2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

XREA無料鯖で表示される広告内にウィルス

1 :ウイルス:2008/06/16(月) 21:05:00 ID:Tn89YA2n0
2008年6月8日20時頃より、
XREAの無料サービスで表示される広告内にウィルスが埋め込まれました。
被害はXREAの無料サービス全体に及んでいます。
この件に関し、運営会社からのアナウンスは特に出ていません。

埋め込まれたのはJavaScriptコードで、
世界的に猛威をふるっているSQLインジェクション攻撃で使用されたのと同じアドレスに置かれています。
Flash Playerの脆弱性を突いて、オンラインゲームのアカウント情報を盗むウィルスに感染させようとします。
Flash Playerのバージョンが最新でない場合には、ウィルス感染してしまいます。

リネージュ資料室
ttp://lineage.paix.jp/guide/security/virus-site.html#XREAAD

セキュリティホール memo
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/06.html#20080613_XREA

XREAサポート掲示板
ttp://sb.xrea.com/showthread.php?t=12819
ttp://sb.xrea.com/showthread.php?t=12820

関連スレ xrea.com part132
http://pc11.2ch.net/test/read.cgi/hosting/1213512039/

2 :ウイルス:2008/06/16(月) 21:11:42 ID:Tn89YA2n0
97 名無しさん@お腹いっぱい。 2008/06/16(月) 04:25:38 0
>>96
とりあえずorz.exeとi115.swfがPC内に紛れてないか検索しとけ、今回の犯人
あとカスペルスキーのオンラインスキャンお勧め


102 名無しさん@お腹いっぱい。 2008/06/16(月) 07:49:13 0
>>97
taa.gif(orz.exeのドロップ前の名前)、
sonb32drv.dll(orz.exeがドロップするトロイ)も追加で。

3 :ウイルス:2008/06/16(月) 21:15:20 ID:Tn89YA2n0
同人サイトでもXREA使っている人結構いると思うので、スレ立てました。


4 :X:2008/06/16(月) 21:39:09 ID:gktnZuz40
今さら立てても手遅れなんじゃね?

5 :ウイルス:2008/06/16(月) 22:04:28 ID:Tn89YA2n0
Flashプレーヤーのバージョン確認できる場所
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

バージョンが9.0.124.0ならok


>>4
( ´・ω・`)

6 :XREA:2008/06/16(月) 22:43:01 ID:oOWtU36y0


神サイトがXREA無料版なんだが
サイト持ってる人は具体的にどんな対応すればいいんだろ。
○○したほうがいいですよーと連絡したほうがいいんだろうけど
関連スレ見てもサイト持ちじゃないから何書いてるのかいまいちわからん。
サイト持ってる人ならこのスレの1を教えたらわかってくれるんだろうか。

7 :xrea:2008/06/16(月) 22:50:00 ID:e7Vo9rX30
とりあえず、応急処置で有料に移行するか、
藁屋見捨てて、引越するしかないんじゃないのか。

無料鯖でもドメイン使えるから、アドレスで完全に判断できないのも問題だな。

8 :xre事:2008/06/16(月) 22:54:10 ID:tLzGL81Y0
閲覧者はJavaScript切っとけ
サイト持ちは対策出るまでサイト丸ごと削除
でおけ

9 :XREA:2008/06/16(月) 22:57:07 ID:YDIEhABo0
サイト丸ごと削除したら垢デリ食らいますがな。
広告削除も同じく。
常時広告が表示されているからこそ無料なわけだし。

10 :XREA:2008/06/16(月) 22:59:22 ID:oOWtU36y0
レスthx!
金払ってくださいor移動してくださいになるんだね。
神の判断によっては最悪神殿が消えるかもしれないのか…orz

11 :xrea:2008/06/16(月) 23:01:46 ID:MbL5+jp10
別鯖にサイト移転して、旧URLにアクセスしてきたら飛ばす
のが安全なのかな

別件で移転したサイトはそうやっているが

12 :xrea:2008/06/16(月) 23:46:24 ID:T8ErMA7iO
さっきこのスレ見て初めて知りました…
垢削除覚悟でとりあえず広告非表示にしてきた
自分のパソも絶賛オンラインスキャン中

そろそろ鯖かえろって事かな〜
鯖11なんだケド、もう何年使ったかわかんないや

13 :ウィルス:2008/06/16(月) 23:47:59 ID:ou9YtGmfO
最近トロイにパソコンやられたけどこれかも…orz

14 :XREA:2008/06/17(火) 00:02:10 ID:GBw22evb0
クリックしてなくても表示されるだけで駄目なんだよね?

15 :ウイルス:2008/06/17(火) 00:07:53 ID:FgxdQd470
・ウイルス対策ソフトを入れている
・Flash Playerを最新バージョンにしている
・JSを読み込まないようにしている

という人は感染しないのでは
自分は元々上の対策してるからまず大丈夫だけど

16 :XREA:2008/06/17(火) 00:09:27 ID:YjnpuSf80
>>14
>>1

17 :ウィルス:2008/06/17(火) 00:16:54 ID:MuSYKrogO
>>2のファイルに引っかかったーorz
隔離も削除もできない…

18 :ウイルス:2008/06/17(火) 00:22:56 ID:0yqeil+w0
観覧するだけで感染する。
反応しないウイルス対策ソフトがあるので、ソフトはあてにならない。

あと、複数ブラウザ使ってる人が忘れがちなこと。
全てFlash Playerを最新バージョンにする必要があるので注意。

19 :ウイルス:2008/06/17(火) 00:26:07 ID:FgxdQd470
>>2見るとカスペルスキーは反応するのかな
カスペルスキーユーザーやおkって事かね

20 :ウィルス:2008/06/17(火) 00:34:03 ID:3sZcoIB90
avastとカスペが検出するみたいだよ

21 :ウイルス:2008/06/17(火) 07:05:13 ID:PAgbnMNN0
有料なら何の問題もないんだね?
なんか不安だ・・・

22 :ウイルス ◆Bdk5VLpbCI :2008/06/17(火) 08:59:24 ID:zxxvLbTb0
>21
有料(XREA+・広告免除)かつ有料専用サーバを使っていれば、
デフォルトで広告が組み込まれる事はない。

23 :ウイルス:2008/06/17(火) 14:45:15 ID:eoC64Y6o0
バスター、ノートン対応しますた

24 :xrea:2008/06/17(火) 15:56:00 ID:0v6LVqrN0
あ、やっぱそうなんだ
バスター、でかいの続けてキターだったから
更新即検索かけてる

25 :ウイルス:2008/06/17(火) 16:01:59 ID:5pZGN0lk0
これって手動で広告入れてるサイトだけじゃなかったか?

26 :xrea:2008/06/17(火) 16:05:42 ID:0v6LVqrN0
それ以外も五分の一の確率で表示される枠から感染したりしなかったり
するらしい

自動表示の放置垢の一つに昨夜アクセスしたらPG2が反応した
IPは例のものだと思う

27 :ウイルス:2008/06/17(火) 16:13:53 ID:pwucMcC00
>>20
それにプラスしてAVIRAも検出できるっぽ
こっちは英語版だからカスペの方がいいかもしれん

とりあえずこのスレはage進行の方が良くないかい?

28 :薬屋:2008/06/17(火) 16:18:40 ID:OO/1iHq/0
>>25

442 :名無しさん@お腹いっぱい。:2008/06/17(火) 14:34:56 0
>>438
自動広告+独自ドメインの場合100%ヤバイ


・手動広告100%ヤバイ
・自動広告+独自ドメインの場合100%ヤバイ
・自動広告1/5の確率でヤバイ
今のところはこのようだ

29 :ウィルス:2008/06/17(火) 16:36:14 ID:OGZ4W+v30
これもコピペしとく

 ・ xreaの広告付き無料レンタルサーバーを使ったサイトを
 ・ Flash Player を最新版にしないままjavascriptオンで閲覧した場合
 ・ ウイルスに感染する可能性があり、
 ・ それによってネトゲ、MSN Messenger、mixiなどのアカウントを盗まれる可能性がある
 ・ 感染していた場合、カスペルスキーのオンラインスキャンで検知できる

30 :XREA:2008/06/17(火) 16:42:31 ID:j7qTsLe50
カスペ以外でも検出できるが?
なんで今頃騒がれてるんだ?

31 :ウィルス:2008/06/17(火) 16:56:23 ID:hTrdgijL0
対策してもこれじゃ意味なくね?

347 名前:既にその名前は使われています 投稿日:2008/06/17(火) 16:20:10.79 ID:DId+bfn7
ノートンさん
Downloader.Swif.C
危険度 1: ほとんど影響なし
ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-052714-3021-99&tabid=2

32 :XREA:2008/06/17(火) 16:59:34 ID:/wDYCngm0
反応するだけで十分
同人オタは詳細なんて読まんだろうし

33 :薬屋:2008/06/17(火) 17:01:12 ID:eoC64Y6o0
>30
カスペやAvast!が検知した当初は「ウイルス検知ソフトの誤作動」と報告されていたから。
(ニコ動にAvast!が反応→ニワンゴ「誤作動です」とコメントしていた時期とかぶる)

後日正真正銘のキーロガー拡散型トロイと判明、ジャストシステムのカスペ公式サイトや
マカフィーで公開している亜種の数は日々増加。独自ドメインを使っているならとにかく
XREAは有料サービスと無料サービスの区別(サブドメイン)も利用者以外見分けがつけ
にくいから有料サービス契約者も風評被害の巻き添え。

XREAの無料サービスを使った2chや有益情報のwikiも多いから皆神経質になってる。

それにXREAをみなければいい、なんて甘いものじゃない。
Flash Playerの脆弱性から生まれた全世界の被害のほんの一端
【ネット】 無料サービス「XREA」の広告から「Flash Player」の脆弱性をついたウイルス拡散中…今すぐ対策を
 ttp://mamono.2ch.net/test/read.cgi/newsplus/1213644598/

34 :XREA:2008/06/17(火) 18:22:36 ID:CNAicsyd0
>>30
>なんで今頃騒がれてるんだ?
報告されてから10日以上、XREAが絶賛放置中で被害が拡大の一途を辿ってるから。

35 :エクソリア:2008/06/17(火) 18:24:42 ID:2jH56KBT0
自分ところのサイトXrea広告免除でそもそも広告でないんだけど
一応ウィルスのことと広告を表示しない限り大丈夫だということを書いたほうがいいんだろうか

hit数下がりまくってるよ……orz

36 :xrea:2008/06/17(火) 18:35:23 ID:0v6LVqrN0
サブドメの自サイトは一年以上更新してないから人来なくても(゚ε゚)キニシナイ!!
なんだが、それでも一応は幸紹介に「広告表示していません」と添えようかと
一瞬考えたよ

踏んでみるまで広告の有無がわからないのは辛いやね

37 :ウイルス:2008/06/17(火) 18:38:31 ID:pwucMcC00
>>35
とりあえず「Flashプレイヤーを最新にせよ」はガチ。
あとまとめサイトができたようなので、それをリンクするのもいいんじゃないかな。
2ちゃん関連スレが貼ってある版と貼ってない版があるからリンクしやすいかと。

関連スレ有り版
ttp://www.geocities.jp/pehchunpm/mondai_XREA.htm
関連スレ無し版
ttp://www.geocities.jp/pehchunpm/mondai_XREA_.htm

38 :ウイルス:2008/06/17(火) 18:43:14 ID:OGZ4W+v30
対応来た模様
http://sb.xrea.com/showthread.php?p=83947#post83947

XREA広告ウイルス散布期間
6/5 不明 〜 6/17 16:06

39 :ウイルス:2008/06/17(火) 18:46:39 ID:pwucMcC00
続々ときてるね

736 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2008/06/17(火) 18:42:49 0
無料サーバーはサービス中止するかもね

http://sb.xrea.com/showthread.php?t=12839

○今後の対策:

コスト削減のため、外部委託で管理しておりますが、このため弊社側で、ログインが
できなかったなど、多々問題が発生し、多々ご迷惑をお掛けしました。

正当な理由にはなりませんが、無料サーバー部門については完全な赤字となっており、
なるべくコスト削減を行い、長期運営を図るよう努力してまいりました。
現在もドメインのご利用のお客様を中心に新たにご利用が増加している状況にあります。
しかし、有料契約のお客様以上に頻発する規約違反への対応問題などで、コストは増加
する一方で、かつ、管理における問題も発生する状況になっております。

ご利用のお客様にもご迷惑をお掛けするのは決して許されませんが、それ以外の外部の
方にもご迷惑をお掛けする許されない状況が増えつつある事実があります。

8月にて無料サーバー開始から8年となります。今後の無料サーバー自体の方向性も含め
見直しを図る所存です。

40 :ウィルス:2008/06/17(火) 19:12:45 ID:MuSYKrogO
言い訳が最悪だな………

41 :ウイルス:2008/06/17(火) 19:16:05 ID:4ceeZDdC0
不具合とか不正なページとか言ってお茶を濁してるな
ちゃんと垢ハックなどを行うウイルスって書けよ

42 :ウイルス:2008/06/17(火) 19:19:31 ID:FgxdQd470
無料で提供していて管理しきれず
管理放置されてイタタな奴が野放しになるような自体になるくらいなら
これで無料サーバーが廃止になってもしょうがないと思う

無料で提供というのは今の時流にあってないと思うしね


43 :ウイルス:2008/06/17(火) 20:17:16 ID:rSo2Gqmd0
>>39
これは酷い言い訳ですね (#^ω^)ビキビキ

44 :ウイルス:2008/06/17(火) 20:21:08 ID:rSo2Gqmd0
mixiもみたいだからコピペしとくね


436 名無しさん@お腹いっぱい。 2008/06/17(火) 14:32:12 0
最近よくあるウィルスはFF、RO、リネージュ辺りを狙ったオンラインゲームの
アカウントハックを目論むものや、mixi、メッセの乗っ取りをするもの。
mixiやメッセは、感染するとそのアカウントから危険サイトへのリンクを含む
メッセージをばら撒いたりする。

45 :ウィルス:2008/06/17(火) 20:23:47 ID:ApP7k1on0
>>44
それは勝手な憶測で、mixiの一次情報は出てないんじゃないか。

46 :orz:2008/06/17(火) 20:24:08 ID:W9tb2/vx0
>>44
ブログもじゃなかったっけ?

47 :ウィルス:2008/06/17(火) 20:27:41 ID:87aXuygn0
mixiは疑いであって確定はしてない
でも可能性としてはあると言う話

48 :ウィルス:2008/06/17(火) 20:28:47 ID:I2AnkCfI0
この鯖もだけどみくしの所も対応早いところじゃなかった気がする
てことで>45
一次情報出てなくても対策できるならそれに越したことはないかも

49 :XREA:2008/06/17(火) 20:34:01 ID:CNAicsyd0
>>45
憶測って言うか、あくまで「最近の流行り」の話かと。
今回はROやリネでの影響があんまり無く、FFだけが酷い有様になってたので
FFをピンポイントで狙ったものかもしれない。

50 :ウイルス:2008/06/17(火) 20:43:58 ID:VpPr/L6i0
XREAじゃないから…たままたFF(POL)をピンポイントで狙ったのかも
なんて、どんだけ日和見主義なんだ。

51 :XREA:2008/06/17(火) 20:54:19 ID:CNAicsyd0
俺に言ってる? っていうか>>50の日本語がよくわからない。
>>44の436書いたの俺なんですが、きっちり書くとこんな感じか。

「最近よくあるウィルスはFF、RO、リネージュ辺りを狙ったオンラインゲームの
アカウントハックを目論むものや、mixi、メッセの乗っ取りをするもの。
mixiやメッセは、感染するとそのアカウントから危険サイトへのリンクを含む
メッセージをばら撒いたりする。

今回、FFでの被害が恐ろしいほどに急増しているのに対して、ROやリネージュは
あまり被害増加という感じでもない(普段と同程度)。
なのでひょっとすると今回のウィルスはFFを限定的に狙った物だったのかもしれないし、
mixi、メッセも影響範囲外なのかもしれない。

ただし、サーバ側にあるファイルを差し替えることは自由に出来るので、他のゲームや
mixi、メッセも射程に入る状態だと思って油断はしない方がいいと思う」


52 :XREA:2008/06/17(火) 20:57:28 ID:CNAicsyd0
まぁ、ともあれ終息したようで何よりですよ。

個人的にはXREAから引き上げる事に決めましたけど……
他にいい鯖探さないとなぁ

53 :XREA:2008/06/17(火) 23:46:58 ID:PAgbnMNN0
xreaの広告免除&ドメインを使用してるんだけど
無料鯖から撤退した場合、消えてしまう事になるんだろうか
広告免除と有料鯖は違うんだよね?

54 :xrea:2008/06/17(火) 23:53:30 ID:c9kud52+0
>>53
ここで聞くよりレン鯖板で聞いた方が確かだと思うよ

55 :エクソリア:2008/06/17(火) 23:55:06 ID:2jH56KBT0
広告免除=有料鯖
エクスリアは全てのサーバーが無料鯖として開放されている(という建前)だから
厳密に言えば有料鯖は存在しない
Xreaは広告免除という形で課金し、ただ最初から広告免除してくれる人には
そういうユーザーだけを集めたいい鯖を振り分けますよ、という約束をしているだけ
だから無料鯖から撤退しても広告免除している人は大丈夫だよ

56 :xrea:2008/06/18(水) 00:32:56 ID:s2uwLJpu0
レン鯖板のスレ見に行ったけど、同人板の書き込みなんておとなしいくらいに
何かひどい文章が溢れてるね…
>>54
聞いたら無視か煽られて馬鹿にされて終わりの気がする
最初にこのウィルスの事を言ってた人への最初の方のレス見てみなよ

57 :エクソリア:2008/06/18(水) 00:57:39 ID:II8sAw0C0
スマン
エクスリアスレはあれがデフォだ

58 :ウイルス:2008/06/18(水) 04:19:42 ID:nHwoNShF0
>>39の修正版がようやく完成したっぽいので貼っておきますね
ttp://sb.xrea.com/showthread.php?t=12839

○今後の対策:

外部に構築・管理依頼していたため、恥ずかしながら弊社側で直接操作ができなかった、
コミュニケーションがうまく取れていなかったなど、多々不手際が発生し、長々とご迷惑をお掛けしました。
この件を猛省し委託契約を見直すなど早急な対策をとります。

無料サーバーの管理体制についてですが、
現実問題とまして、無料サーバーについては、有料契約のお客様以上に頻発する規約違反への
対応問題などでコストは増加する一方で、かつ、管理における問題も発生する状況になっております。
また、ご利用のお客様にもご迷惑をお掛けするのは決して許されませんが、それ以外の外部の
方にもご迷惑をお掛けする許されない状況(迷惑メール、スパムブログ等々)が増えつつあります。
正当な理由にはなりませんが、無料サーバー部門については、正直申し上げまして、赤字となっているため、
なるべくコスト削減を行い、その一環で外部委託に頼る状況があります。
ただ、これらは、お客様に対する不手際の理由、言い訳にはなりえないと承知しております。


59 :ウイルス:2008/06/18(水) 04:20:09 ID:nHwoNShF0
8月にて無料サーバー開始から8年となります。
開始から、かれこれ8年もの間、お付き合いいただいている方もいらっしゃいます。本当にありがとうございます。
柔軟な対応をと心がけていますが、細かい対応ができなくなったり、中々スタッフの手が回らない部分があったり、
ご迷惑をおかけしています。
今後の無料サーバー自体の方向性も含め、心機一転、少しずつですが、見直し、改善を図る所存です。
今後は、関係者、スタッフにセキュリティ意識向上の再徹底を図ると共に、徐々に自社で管理する体制に戻していく予定です。


この度はご迷惑をお掛けし大変申し訳ございません。

今後ともよろしくお願い申し上げます。

以上です。

-----

最終版:2008/06/18 03:00 AM

60 :ウイルス:2008/06/18(水) 04:35:23 ID:YJmX6avL0
思うんだが感染しちゃった人の対処に触れてなくね?

61 :ウイルス:2008/06/18(水) 04:59:11 ID:C1HTveznO
感染したら、電源を切ろうとしても
『アプリケーションが終了出来ませんでした〜』みたいなことが表示されて、切れなかったりする?
この間パソコンがおかしかったのはそれなんだろうか。

62 :ウイルス:2008/06/18(水) 05:48:32 ID:HGZXxQk10
>>61
感染しなくても使用しているアプリケーションのせいでなったりする

感染したら云々言う前に自分で判断付かない人はまずオンラインスキャンすべし

63 :薬屋:2008/06/18(水) 07:38:55 ID:2E034w/b0
>56
連鯖板ではあれが普通
つかあれはましな方

>61
もっと詳しく書いてくれないと誰もわからん
使用中の書類があると、タイミングしだいで
「使用中のファイルがあるためアプリケーションを終了できません」とか出る

64 :エクスリア:2008/06/18(水) 07:49:31 ID:yXwbTmJE0
>55
なるほど・・・答えてくれてアリがトン!!

65 :ウイルス ◆Bdk5VLpbCI :2008/06/18(水) 09:35:40 ID:FQv8E8/n0
>61
今すぐカスペルスキーのオンラインスキャンかけなはれ

一番いい方法はクリーンインストールかけて、Flashプレーヤーを最新版に
更新する事(Adobe Flash CS3ユーザーならCS3アップデータの適用を
激しく推奨→一緒に9.0.124.0がインストールされる為)。

66 :ウイルス ◆Bdk5VLpbCI :2008/06/18(水) 09:38:45 ID:FQv8E8/n0
>60
XREAは基本「何か問題が起こったら、てめぇで調べてめぇで対処しろ、
ユーザーで情報交換しあえ、それでも駄目なら個別に管理画面から
サポートに連絡しろ、ただし問い合わせ回数はカウントするからな」と
いう運営姿勢のサーバ(申し込み時の規約承諾画面でこの旨
同意していないとアカウントの作成が出来ない)。

感染した人は自分で対処しろって事でしょ。




67 :ウイルス61:2008/06/18(水) 10:39:34 ID:C1HTveznO
>>62-63>65
もう終わったしいいかとか思ってたけど、今からオンラインスキャンしてみる!
レスありがとう!

68 :ウィルス:2008/06/18(水) 13:09:52 ID:UcDoKYnu0
>>66
しかし今回感染したのはユーザーだけじゃなくて
無数の閲覧者なんだから
規約に同意したユーザーへのサポとは一緒にできんだろ

まああの放置っぷりを見ると、主義主張じゃなくて
ただ無責任なだけだと思うけどな
スキルのなさを理由にしてるのにはびっくりしたw

69 :ウイルス:2008/06/18(水) 13:30:32 ID:2/2C2VgI0
あのいいわけの何が凄いかって
>現実問題とまして、無料サーバーについては、有料契約のお客様以上に頻発する規約違反への
>対応問題などでコストは増加する一方で、かつ、管理における問題も発生する状況になっております。
>また、ご利用のお客様にもご迷惑をお掛けするのは決して許されませんが、

>それ以外の外部の方にもご迷惑をお掛けする許されない状況(迷惑メール、スパムブログ等々)が
>増えつつあります。

…で、その理由が無料サーバの存在による赤字と管理体制の外部委託?
不特定多数の外部の被害に対する責任・謝罪もなしとはね。

70 :ウイルス:2008/06/18(水) 14:21:58 ID:2/2C2VgI0
Flashの脆弱性をついたウイルスだって事くらい報道してやれよ…
ttp://internet.watch.impress.co.jp/cda/news/2008/06/18/19977.html

71 :ウイルス:2008/06/18(水) 16:57:45 ID:0t9HF8qQ0
知人サイトがXREAで、見てきたんだけど
XREA広告のことをサイトトップから告知して
期間中にサイトに来たことがある人はウイルスチェックをしてください。
と、ウイルスに犯されていた(広告だけど)サイト管理者として一般的な対応をとってるんだけど

XREAサイトなんて他にも星の数ほどあるんだから、
もうちょっと告知を詳しくして、注意してやってくれても良いんじゃないかと思ってしまう
ウイルス対策ソフト入れてても、更新遅かったソフトのせいで感染してたって人多いし
被害がゲームのアカウントだからと軽く見てしまうのかな

うちはXREAじゃないけど、注意喚起してるんだが
別の友人の拍手米が「ウイルスがあったんですねー。でもむずかしくてさっぱりw」とか。
皆軽視しすぎと思うんだけど、私が神経質なだけ?

72 :ウィルス:2008/06/18(水) 18:10:31 ID:CyR784lEO
ノートンとバスターはまだ対応してないの?

73 :ウイルス:2008/06/18(水) 18:20:32 ID:GxbHTmQJ0
>>72
昨日対応したっぽい

74 :薬屋:2008/06/18(水) 22:30:09 ID:SKEwflbV0
今回の問題まとめサイトktkr
XREA利用者でサイトに解説と対策法を載せたい人は利用汁
 ttp://www.geocities.jp/pehchunpm/mondai_XREA_.htm


75 :ウイルス:2008/06/19(木) 01:17:45 ID:nI387JYY0
今月頭にはさくら(専鯖のみ)でも外部からウイルスコード埋め込まれてたね
こうも立て続けにレン鯖が狙われるとは…不穏だわ

76 :ウイルス:2008/06/19(木) 01:33:53 ID:7KczY43p0
レン鯖XREAスレからまともな発言だけ抜粋

210 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2008/06/18(水) 15:30:58 0
> 17日18時の時点で、サーバーを初期状態に戻し復旧しております。

初期状態に戻しちゃったら原因の追跡も何もできないだろ。

> 広告配信や画像読み込み用として、外部に構築依頼をしておりました
>分散キャッシュサーバー内の1台の 広告配信用サイト管理パスワードが、
>受託会社外の者に渡り、使用され、不正なファイルがアップロードされておりました。

これが事実なら犯人特定できているってことになるよ?
具体的な対応はどうするの?
まさか黙認ってわけじゃあるまい。

215 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2008/06/18(水) 15:46:22 0
>>210
確かに犯人わかってるのにそっちに対して何のアクションも
起こさないってなると
今回のxreaの言い分全てに疑問符が出てくる

※xreaの言い分…無料版サービス赤字転落対策のアウトソーシング

77 :ウイルス:2008/06/19(木) 10:48:34 ID:pMRoCwjM0
>71
XREAを使ってサイトを作らない・XREAページにアクセスしければ問題ないんでしょ?

78 :ウイルス:2008/06/19(木) 13:05:35 ID:YBXXP3hq0
>>77
「今回は」XREAに作らない・アクセスしなければ大丈夫「だった」。
同様の脆弱性をついた攻撃は世界中ですでに発生していて、
今後同じ事態が別の国内サーバーで起きる可能性は十二分にある。
今回のことを教訓として備えておくべき。

79 :ウィルス:2008/06/19(木) 13:12:01 ID:/kCnQcFg0
独ドメで広告ついてるところはどうやって判断する気だ?

80 :ウイルス:2008/06/19(木) 14:07:38 ID:D2QKSzEc0
>79
XREAの広告サーバのIPアドレスをファイアーウォールなり広告遮断ソフトで蹴ればいい。
対象となるIPアドレスは5つ、レン鯖・ν速+まとめ(ねらー向け)ページで解析済。
59.106.22.138/ad_iframe.html
202.181.97.140/ad_iframe.html
202.181.97.153/ad_iframe.html (←今回汚染されていたサーバ)
202.229.187.26/ad_iframe.html
210.153.116.18/ad_iframe.html

ハッキングされたアカウント情報は中国の特定IPアドレスへ送信するよう設定されていた。
(6/14〜16FF IXの大量アカハク被害に利用された可能性があるfromネ実板RMT業者監視スレ)

さくらWeb(専鯖10M)も先日攻撃型ウイルスコードが書き込まれ問題になったばかり。
ttp://www.sakura.ne.jp/news/archives/20080605-002.news



81 :ウィルス:2008/06/19(木) 14:35:49 ID:/kCnQcFg0
>>80
サンクス。

いや77は自信満々だけど「アクセスしなければ」って
どこから言いきってるんだろうと思ってさ。
情報が外に出たのだって、かなりたってからだし。

82 :ウイルス:2008/06/19(木) 15:47:36 ID:Jn3sfYvH0
どっちにしろもうXREAの広告は直ったから大丈夫なんだけどね
問題は直るまでの期間が長く、XREA鯖のサイトはそれなりに数が多かったこと
未だに知らない人多そうだから自分もサイトで布教活動することにしたよ

FF11が被害にあったみたいだけど、ウイルスは他のゲームの垢も抜いてたらしいし
来週は別ゲーが狙われるなんてことありそう

83 :薬屋:2008/06/19(木) 17:31:34 ID:ZWYHNsLA0
昨日ネ実板追跡スレで発見された中国産ウイルスの例
1回の感染でFFXI、RO、リネージュ、mixiの4つを検索・吸い上げ福建省の業者鯖へ流す。
Norton McAfee バスター AVG はまだ対応していない。

ニコニコもブラウザ読み込み中になぜか韓国のデータを取りに行っている広告が
いくつか報告されているので、セキュリティソフトやブラウザに「広告ブロック」機能が
ついているなら積極的に活用汁(マイページや市場の広告バナーは即、off)

84 :ウイルス:2008/06/19(木) 18:45:11 ID:Jn3sfYvH0
バスターとノートン対応着てるよ
だいぶおそかったけど

85 :ウィルス:2008/06/19(木) 19:15:56 ID:hzdo0vWb0
XREAってサーチで使ってるジャンル多いけど、広告表示してたところで
ウィルスチェック促してるところほとんどないね。
ジャンルごと感染してそうだ。

86 :ウイルス:2008/06/19(木) 19:35:05 ID:FUU+EtJl0
それはサーチ管理人に連絡した方がいいんじゃないか?

87 :ウィルス:2008/06/19(木) 19:47:14 ID:hzdo0vWb0
>>86
自ジャンルはもう告知されてるから、他は各ジャンル者にまかせるよ。
メルアドとか必要だし。

88 :ウィリス:2008/06/19(木) 20:46:20 ID:dQehq/pp0
聞く耳持ってるだけいいと思。
うちのジャンル幸はウイルス感染サイト・即・悪主義だから、削除依頼(通信欄なし)を出す前に
他のXREAドメインサイトごと「規約違反」で即日削除されてた。

89 :ウィルス:2008/06/19(木) 20:59:29 ID:jHxyICTW0
>>88
すっごいな、それ…。

90 :ウイルス:2008/06/19(木) 22:04:11 ID:m6gaJ/Lx0
>80
Firefox使っている人ならJavaScript規制機能拡張「Noscript」を導入すれば、
Web DeveloperでJavaScriptをオフにした状態でさらに細かく広告の呼び出しに
仕込まれるJavaScriptを遮断できる(動画・画像もカットされるけど、右クリック
メニューから部分的に一時解除可)。

おすすめ最大の理由はiframeタグおよびそのhtml呼び出しもも遮断すること。
安定している2.0.0.14はもちろん最新の3.0にも対応。DL先は具具れ。

91 :ウィルス:2008/06/20(金) 06:55:18 ID:CxxImJCN0
>>88
管理人判断でウィルス配布サイトは即削除ってこと?
とてもしっかりしたところだと思うけど。

広告のないプラスごとって事なら巻き込まれたサイトは悲惨だな。

92 :ウイルス:2008/06/20(金) 11:16:30 ID:1zQ5Oq4K0
ハードウェア関係のwikiをXREA広告免除で運営しているんだけど、2chで
話が出てからというものアクセス履歴は約800/一日→4〜12/一日。
かつてフリーティケットシアターが嫌がられたように(昔以上の広告地獄)、
いまやURLにXREAの字が入っているだけで回れ右されてしまう様になった。

93 :ウイルス:2008/06/20(金) 12:50:44 ID:tsSVhVxD0
>>92
問題の肝心なところが伝わってないんだろうな。
いつからいつまで問題が発生していて、すでに問題は解決しているけど、
問題の期間中にやられた可能性があるので心当たりのある人はチェックしてください、
こう案内すればいいだけなのに、それを怠ってるところが多すぎる。
結果「なんかXREAがやばいらしい」という噂だけが一人歩きしてるんだよな・・・
XREAスレなんか覗くとひどいぞ?「客が減るから今回のこと知らせたくない><」てのがウヨウヨだ。
そういうのが逆に自分たちの首絞めてんのにな。

94 :ウィルス:2008/06/20(金) 13:02:55 ID:Mvkmk2T10
>>93
「案内すればいいだけ」って、時系列ちゃんと考えてるか?
対策取られた今ならそんな悠長な告知もできるけど
2ちゃんで話が出た時ですら、XREAの対策出てなかったんだぞ

95 :ウイルス:2008/06/20(金) 13:08:20 ID:tsSVhVxD0
>>94
今現在とるべき周知・対策の話したつもりだったんだけど。

96 :薬屋:2008/06/20(金) 13:13:59 ID:/Xs6AYNk0
いや普通に分かったから大丈夫

97 :ウィルス:2008/06/20(金) 13:31:26 ID:Mvkmk2T10
>>95
今告知したってこねーだろ。URLに入ってるだけで避けられてるんだから。

「減ったのは2ちゃんで出てから(でもその時には公式未対策)」で
「アドレスに入ってるだけで避けられる」のに
その解決法が「今XREAサイトが案内すればいいだけ」って。順序がおかしいんだよ。
告知が必要なのは当然だしするべきだが、その論理展開はちょっとちがうと思う。

98 :ウイルス:2008/06/20(金) 13:40:11 ID:tsSVhVxD0
>>97
じゃあ他にどうするね。現状できることは少しずつでも事実を周知するしかないだろう?
それとも何か、閲覧者やリピーター全員に一人一人「問題ないので来てね」メールでも出すか?
風評被害で閲覧者減っていらだってるのはわかるが、風評消すには淡々とでも事実を広めてくしかないだろう。
XREA以外のサイトで取り上げてもらうとか。
今回のことでしんどい思いをしてるのは同じなんだよ。俺に噛み付かれても困るっての。

99 :ウイルス:2008/06/20(金) 13:55:37 ID:OzixtZ3b0
>>98
問題ないので来てねはないけど、
問題があってご迷惑をおかけしました
今は大丈夫ですがお手数ですが念のためウイルスチェック〜
と言う知らせならありかも。

XREAじゃない自サイトはゲーム好きだし酷い問題だったと思うから告知してるよ
「XREAの広告」で、いつの期間と何が原因かと対策にFlashPlayerをと。
反応はかなり薄くて皆どうでも良いんだなと言うのがありありと伝わってきてる。

>>92の>約800/一日→4〜12/一日が信じられない
ハードウェア関係だから知ってる人が多いのかとも思ったけど
だったら広告に問題があったとか、今はXREA対応済みとかも知ってそうなのに

100 :ウイルス:2008/06/20(金) 14:05:42 ID:0Pvf+m5f0
>反応はかなり薄くて
あの悪名高きIloveyouやメリッサ・キンタマウイルスさえ「危ないサイトを踏んでいない、
メールはWebメール、そんな自分は大丈夫」と高をくくっていた人がいたもの。

中でもネトゲやってる人は「重くなるから」とプレイ中セキュリティソフトを切ってるか
ルータ(のファイアーウォール)すら導入していないケース大杉。知らない間に大量の
トロイをHDDの中に飼っててもわからない。

今回最終的なターゲットとなったFFXI垢ハック被害者からのデータ復旧申請が今
運営に殺到していてその処理も平均2週間待ちとか。1週間放置の影響は鯖が
対策したから大丈夫、では終わってないぞ。

101 :ウイルス:2008/06/20(金) 14:17:44 ID:OzixtZ3b0
>>100
鯖が対応したから今は閲覧できると言う意味の大丈夫
最初に知ったとき情報がなかなか見つけられなくて
垢ハックスレにたどり着いたからその辺のことはよく知ってるよ
FFはやってないけど話聞くだけで本当に痛々しい
ちなみにスキャンにはカスペを薦めて
対策遅いアンチソフトもあって感染者は更に多いとも知らせてる

中国の業者がFFのリストを使っただけで終わるとは思えない
余ったROや他のリストもFFが終わったら使うか
使わないなら他の業者に売ったりする可能性もありえるし

102 :ウイルス:2008/06/20(金) 22:21:44 ID:CdOT4M5k0
利用者 閲覧者 どっちも被害者
それにしたってよく一週間もウイルスばらまき鯖を放置していられたね運営

103 :ウイルス:2008/06/20(金) 23:49:29 ID:WZyliWRO0
とりあえずカスペで完全スキャンした。
トロイ検出されたけど、検知ステータス見ると、一部のトロイが
「見つかりませんでした」になって途方に暮れている。
挙動が怪しいからまだ解決して無いと思う。

Flashプレーヤーはとりあえず最新版にしたけど
感染してからPC本体からピッ、ピッ、ピッryという音が鳴り止まない
おまけにキーボードも認識しなくて今はIMEパッド使って文字打ってる…
火狐使ってて、「Noscript」と「QuickJava」も導入した。

もうどうすればいいか分からない…
頻繁にネットで買い物するしカード払いが多いから心配だし、困る。

104 :ウィルス:2008/06/21(土) 00:02:02 ID:FPQTQWNp0
それ別のウィルスか故障じゃないか

105 :ウイルス:2008/06/21(土) 00:05:01 ID:oo8A9QGK0
>103
ネット上での支払いに使うカードはデビッドカード(バーチャルクレカ)推奨。
もしくは少額入金口座を作ってPayPalで払う。月の買物予算以外絶対に
入金しない、引き落とし記録は必ず形に残す(いざというときの通帳記入と
明細書は強力な証拠になります)。WebMoney等のプリカ・BitCashといった
コンビニの端末で支払えるバーチャルキャッシュも一考を。

IEやFirefox等ブラウザのフォーム入力補完機能は絶対に使わない・ONにしないこと。
どんなに面倒でも使うとき手入力、用が済んだら履歴もキャッシュも全部消す。
アマゾンやmixi、MSNメッセ、Hotmail等は必ずログアウトする、極力Cokkieも残さない。

それとMe、XP、Vistaユーザーは「システム復元」機能を切る事。せっかくカスペその他が
トロイを見つけて駆除したとしても、次の起動でバックアップされた「汚染されたシステム」に
巻き戻されていたら意味がない、トロイは半永久的にあなたのPCに居座り続ける。

>「見つかりませんでした」になって途方に暮れている。
>挙動が怪しいからまだ解決して無いと思う。
必要なデータだけバックアップとってからクリーンインストール
またはリストアも考えてください。

106 :ウィルス:2008/06/21(土) 00:55:22 ID:+89fyE7n0
なんてウィルスに感染してたか結果も示さんやつに親切だなお前ら

107 :ウィルス:2008/06/21(土) 01:06:23 ID:HBj2wSzu0
>>106
>>103の二行目にトロイって書いてあるけど
スレタイ的にも当然

108 :ウィルス:2008/06/21(土) 01:17:52 ID:+89fyE7n0
だからさ、今回のトロイか分からないでしょ?と
トロイで検出される物がどれだけあるのかと

109 :ウイルス:2008/06/21(土) 01:32:08 ID:P99L8INf0
とりあえず検出されたウィルス名と感染ファイル名は欲しいな。
カスペのウィルスウォッチなんか見てみると、仮にTrojan-○○という名前だけでも
6/20付24時間で報告されただけで約50種程ある。
ちなみに今回検出されるやつはカスペだと「Trojan-PSW.Win32.Nilage.djl」で出てくる。
仕込まれてたトロイはシステム破壊系じゃないし、今回の感染「のみ」で複数検出された報告も無いはず。
まぁ、今回話題に上がったんでスキャンしてみたら今まで他にも食らいまくりだった、ってヤツはいたけど。

110 :ウイルス103:2008/06/21(土) 01:58:26 ID:HBj2wSzu0
>>103
入力補完機能の事やログアウト、クッキーの件など勉強になりました。
今まで迂闊でした。これからは気をつけます
ディスク自体が行方不明なのでクリーンが出来ない…。

>>109
ウイルス名ですが、検知ステータスの上から順にコピペします

1■検知しました: リスクウェア Hidden data sending プロセスを実行します: C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe

2■削除しました: トロイの木馬 Trojan-PSW.Win32.Nilage.dlj ファイル: C:\Documents and Settings\ユーザー名\Local Settings\Temporary Internet Files\Content.IE5\2K7214YA\taa[1].gif

3■見つかりませんでした: トロイの木馬 Trojan-PSW.Win32.Nilage.djl ファイル: C:\WINDOWS\system32\sonb32drv.dll

4■削除しました: トロイの木馬 Trojan-PSW.Win32.Nilage.djl ファイル: C:\System Volume Information\_restore{51ACABE4-AD91-48B6-9268-63B2C097FBBC}\RP834\A0079823.dll

謎なのが検知項目の見出し?が「現在、脅威はありません」になっている事
という事はPCの不調はトロイのせいじゃないのかな?

111 :ウイルス:2008/06/21(土) 02:09:29 ID:CNJjzC3O0
補足してくれたところ悪いけど、
どっちにしろスレ違いなんだが
2は今回のウイルスだけど、だからどうこうってスレじゃない
と言うか検知したとか削除したと言うことは、オンラインスキャンじゃなくて
製品版(試用版)使ってるってことだよね?
だったらそれで駆除してもらってとしか言いようがない

112 :ウィルス:2008/06/21(土) 02:42:01 ID:+89fyE7n0
>>110
一つ目は今回と無関係。Java Runtime Environmentのバージョン上げれ
二つ目はIE一時ファイルからtaa[1].gif(=orz.exeだっけ?)が正常に削除された
三つ目system32フォルダ下に二つ目がドロップしてくるはずのsonb32drv.dll が何らかの理由で存在しない
四つ目は復元のためのバックアップが削除された

なので今回のトロイの脅威はとりあえずなくなったから「現在、脅威はありません」になる
ただし復元にチェックが入ってたら再起動後四つ目が復活してまた検知される。多分

そんで103は現在復元切ってるのか、OSは何か分からないのか結局分からん
PC不調は上記以外検知されてないなら物理的な物を疑え
ここで情報小出しして不安解消しようとしないで
>>105に従って復元切ってとりあえずもう一度駆除を実行してそれからディスク探せ

113 :ウィルス:2008/06/21(土) 04:33:17 ID:HBj2wSzu0
>>112
詳しく解説して下さり助かりました。
今回のトロイについては大丈夫なようでとりあえず安心しました
最後にひとつお聞きしたいのですが、「復元」の設定はどこで
確認出来るのでしょうか
火狐ブラウザのオプションを見ましたが分かりませんでした。

以降はここで教えていただいたようにバックアップを取りクリーンしようと思います
スレ違いにも関わらず、ありがとうございました。

114 :ウイルス:2008/06/21(土) 12:24:02 ID:d7XX+p+Y0
>113
>105が「Me、XP、Vistaユーザーは」「システム復元」と書いてるだろ。
四の五の言わずググれ。Windowsのスタートメニューにあるヘルプで検索しろ。
どんなに面倒でも自分が使っているPCとOS、セキュリティ対策ソフトのマニュアルも読め。
いい加減板違いだからここでは「システム復元はFirefoxで設定するものじゃない」の一言で済ます。

115 :ウィルス:2008/06/22(日) 01:17:15 ID:RhYWOqGS0
何の対策もしてない人がいるとは考えにくかったけど
仕事先で面倒だからとパソコンを対策ソフト体験版すら入ってないまま
ずっと使い続けてる人がいたから2chですらもそういう人が
たくさんいるかも知れないってことなのな
ここ見てると

ウィルス感染してる人にググレといってもしないかも知れないし
次に同じのが来たら>>でこの番号示してくれりゃいいので書くよ
>>113
マイコンピュータを右クリック
(orコントロールパネルの「システムのプロパティ」を開く)
→上の方の項目に「システムの復元」という名前が見えると思うのでそこを開く
→「全てのドライブの復元を無効にする」をチェック→「OK」を押す
監査になってた状態が無効に変化したらおk

116 :ウィルス:2008/06/22(日) 10:33:52 ID:GrBKfoyiO
バスターじゃまだ駆除できなかった…
オンラインスキャン行ってきます
バスター役に立たねえ

117 :ウィルス:2008/06/22(日) 11:04:41 ID:ipFQCX4m0
ん?バスターもノートンもとっくに対応されたんじゃないのか?

118 :ウイルス:2008/06/22(日) 12:17:15 ID:iY5S6Eit0
対応したのは別のウイルス(今回問題になっている*.gifから.exeに変異する
タイプではなく、最初から.exe、mixiのアカハクももくろむタイプ)。

ローカルで既にカスペを導入している人は、念のためルートスキャンもかけた方がいい。
(完全スキャンとは別、こちらは未知のウイルスに起因するシステム攻撃を予測防御する
ためのデータベース作成スキャン)。

あと、昨日昼頃の更新で定義ファイル更新に失敗するエラーが発生しているので、
今日は面倒でも一度は手動で定義ファイルの更新を実行する事(手動操作による
更新で修正される)

119 :ウイルス:2008/06/22(日) 14:33:55 ID:GrBKfoyiO
ごめん、手動でなんとか隔離できた
本当にこれでいいのかはわからないけど…

120 :ウイルス:2008/06/22(日) 15:25:12 ID:Z8rSFVIY0
審配ならクリーンインストールも要検討

自作機使ってる人もWin98以降のOSには最初から\windows\system32\macromed\flashに
バージョン6が入っている(当然アンインストーラは用意されていない)ので必ず9.0.124.0
インストーラで更新すること(その後Flash9f.ocxのバージョンが9.0.124.0である事を確認)。

121 :◆k20sw4.lqo :2008/06/23(月) 02:05:21 ID:oHfdk7WP0
コミケ準備終わってないけど(・∀・)ニコッ!

122 :ウィルス:2008/06/23(月) 02:31:35 ID:jPuPxfJp0
今回Macは何ともないん?

123 :ウイルス:2008/06/23(月) 05:24:03 ID:QUkcpJ2B0
14日頃、ネット見てたらsonb32drv.dllが検出されたというので隔離。
調べてみるとorz.exeが起動された形跡のようなものはあった。
でもファイアウォールのログ見ても、怪しいプログラムが外部と通信しようとした形跡はない。

こういう場合は感染してたけど情報は盗まれてない
という認識でおk?
sonb32drv.dllって感染後どういう動作をするんだろうか・・・

124 :ウイルス:2008/06/23(月) 05:50:53 ID:aJR5jVeU0
>122
Macでもウイルスが発動しないだけでJavaScript ONかつFlash Playerのバージョンが
古いものだった場合はswfファイルのDLと偽装gifファイルの保存まで実行されている
可能性は拭いきれない。

不安ならSherlockでまとめサイトにあるウイルス生成ファイル4つを洗い出してみては?

>123
さっさと感染していないPCからネトゲやmixi、hotmail(とMSNメッセ)のパスワード更新汁。

>こういう場合は感染してたけど情報は盗まれてない という認識でおk?
裏口から泥棒に入られたとして、我が物顔で居座っているやっこさんがそのまま素通り
していくと思う?

125 :ういるす:2008/06/23(月) 10:25:19 ID:v8ZKwGxm0
基本Intelマカーだし、XP側なんて久しく使っていなかったから大丈夫だろうけど
バスター対応した、っていうから念のため週末に最新版にしてスキャンかけて
何もなかったし、安心してたんだけど……安心しちゃいかんのか?

ちなみにMac側でSherlockしたら、この関係のスレログファイルがひっかかったよw
一瞬焦った。

126 :ウィルス:2008/06/23(月) 11:05:09 ID:bHwCAMvy0
orz.exeなんだからMac上じゃ活動しようがないんじゃないの
Mac側しか使ってないんだったら

127 :ウイルス:2008/06/23(月) 11:08:50 ID:QOJhZPD00
>125
フリーのMacOSX版ClamXavやウイルスバリアX等で、XP領域の
完全スキャンをかけた方がいいかも。昔、別件でMac側から調査して
初めてヒットしたウイルスがあったから(MWPスキン中に、再生履歴を
MS以外の特定IPに送信するウイルスが隠してあった)。


128 :ウイルス:2008/06/23(月) 18:48:48 ID:v7sjwB7o0
>>124
今回のウイルスの挙動に詳しい人?パスはもう変更したよ。

1. ウイルスに感染した広告画像・swfファイルの設置されたWebページにアクセス
2. 感染広告に仕込まれたJavascriptによりi115[1].swf呼び出し
3. Flashplayer未更新の場合、swfはトロイの木馬として実行され
4. 最終的にtaa.gif(中身はウィルス)をDL、インストール

上の続きの動作が知りたいんだけど。
sonb32drv.dllは実行ファイルじゃないからそれだけでは動かないと思うんだけど、
パス盗む際にはorz.exeがsonb32drv.dllを使って外部と通信するということなんだろうか?

sonb32drv.dllが見つかってからすぐにパソコン調べても他のファイルは見つからなかったし、
orz.exeには自己消去機能でもついてるのかな?
それかウイルス対策ソフトが勝手に消したのか・・・よく分からんから気持ち悪い。

129 :ウィルス:2008/06/23(月) 22:26:08 ID:4xzWiDdHO
私もsonb32〜しか見つからなかった
隔離したけど不安だ

130 :ういるす:2008/06/24(火) 16:07:13 ID:3d2MFjLb0
125です
>>126-127 ありがと。

マカーだし.exeなんて別に恐くないんだけど、やっぱりIntelでXP同居してると
今までのように聞き流すわけにはいかんよね、と思って。
自分はこの騒動が起こってから手を打たれるまでの期間、XP側は使っていないんだけど、
家人がたまに使ってるんだよね。

127さんのMac側から初めて見つかった、っての恐いですね。
オススメソフトさんくす。

131 :ウイルス:2008/06/24(火) 16:40:16 ID:0iq+Frr+0
Mac用アンチウイルスソフトには実は「Windowsの.exe・画像偽装ウイルスも検知・駆除」する
機能がついているのでどんどん活用(ClamXabはウイルス定義ファイルが共通、ノートン先生
Mac版も9.0からWindowsウイルスの検知駆除に対応)。

たとえば
 Win環境では圧縮ファイルの検疫をとばし、Mac側で圧縮ファイルに隠されたウイルスの検知を行う。
 なぜなら、解凍したファイルの中身に.exeウイルスが潜んでいてもMacでは発症しないから。

132 :ウイルス:2008/06/27(金) 11:44:37 ID:yRFMjAND0
今朝やばかったらしい

678 名前: 既にその名前は使われています 投稿日: 2008/06/27(金) 00:55:58.60 ID:nkWv/8lE
XREAの広告、またやられたというか巻き戻っちゃってるので注意。
XREAの該当ファイルのタイムスタンプは日本時間26日3:21。
fccjaのトロイのタイムスタンプは18日だけど
こっちはたぶんいじってあるのであてにならない。

714 名前: 既にその名前は使われています 投稿日: 2008/06/27(金) 02:02:18.02 ID:nkWv/8lE
XREAまた修正済みの17日のに戻った。書き換え合戦か?

133 :あげとこう:2008/06/27(金) 12:00:31 ID:TTPGlvaO0
>>132
age

134 :ウイルス:2008/06/27(金) 12:32:15 ID:YOmQubxS0
もう何があっても驚かないよ。上位サービスのCOREもぐだぐだみたいだし。
残り8ヶ月分の広告免除費は学習代と割り切って、他サーバ会社へ移転済。

警察もこういっている
「泥棒は、一度盗みに入って成功した家には必ず戻る習性がある…」
(泥棒…RMT業者、ハッカー 家…言わなくてもわかるよな)

135 :ウイスル:2008/06/27(金) 13:28:46 ID:ZZXc0Ky40
value domainにも影響出てくるのかな?

136 :ウィルス:2008/06/27(金) 14:56:14 ID:/Q8ohc/a0
一応ageておくか。

あーもう、広告免除組といえども移転考えとかないとアレかな?
まだ鯖が十数個しかない頃からずっと居て、自由度や容量の多さとかで好きだったんだけどなぁ。

137 :ウイルス:2008/06/27(金) 15:32:47 ID:yRFMjAND0
XREAスレより>>132続報

810 名前: 771 [sage] 投稿日: 2008/06/27(金) 15:07:25 0
nslookup j1.ax.xrea.com
202.181.97.153 DNSから外したみたい。
こんなの最初(10日頃?)からやっとけよ!

何を拘ってたのか知らないがまず最初に打つべき手を
今頃(問題発生から3週間)やっと実行に移すってのはなぁ。

138 :ウィルス:2008/06/27(金) 18:57:54 ID:OCMMG+w80
全てを「外部に委託していたせいで…」で済ますつもりなのかこの会社

139 :ウイルス:2008/06/27(金) 19:09:16 ID:YOmQubxS0
その辺山一証券の社長は偉かったなぁ
「私が悪いんです、部下は悪くないんです…」

140 :ウイルス:2008/06/27(金) 22:58:04 ID:AkbKuQTl0
アレだな。飛騨牛偽装の社長。

141 :XREA:2008/06/27(金) 23:04:45 ID:AkEK6Ujk0
船場吉兆の女将さんもな。

早々に足抜けしたいがいい&信用できる引っ越し先が見つからない…。

142 :ウイルス:2008/06/27(金) 23:05:45 ID:YAVVZAhA0
xreaスレ見たら、まだ攻防してるみたいだよ。

143 :ウィルス:2008/06/28(土) 01:39:27 ID:UeMHuytFO
あげ

144 :xrea:2008/06/28(土) 09:41:42 ID:/GPaemVX0
最新版ダウンロードしようとしても、
何の反応もない…。

ダウンロードのとき、何か必要なものがあるの??

使ってるブラウザがフリーのタブブラウザだから落とせないんだろうか。

145 :ウイルス:2008/06/28(土) 10:50:17 ID:etAVm71k0
>>144
ウイルス以前の勉強をしてきたほうがいいと思う。

146 :無記名:2008/06/28(土) 12:38:17 ID:7b7lbq4C0
↓の話かね?

「Firefox3のダウンロードが「インターネットオプション」の設定に依存する話」
ttp://bakera.jp/ebi/topic/3172

147 :ウイルス:2008/06/28(土) 20:17:41 ID:UPewjo6U0
Firefox3はMac版でもFlashフォームに日本語が入力できない(ことえり・ATOK)し、
配布開始当日早々バグとセキュリティホールが見つかってる。
3.0.0.1が出るまでの間は2.0.0.14使うが吉。

148 :ウィルス:2008/06/28(土) 20:55:58 ID:sI69WSvL0
「IE6にパッチ未公開の脆弱性、Cookieなどを盗まれる危険性あり」
ttp://itpro.nikkeibp.co.jp/article/NEWS/20080627/309680/?ST=security

IE6もしばらくヤバイかも

149 :ウイルス:2008/06/28(土) 22:10:43 ID:nRoQaZZ60
IE6もか!?
じゃあ、一体どのブラウザが安全なんだよorz

150 :ウィルス:2008/06/28(土) 23:14:17 ID:LwXGC07l0
javaとActiveX全部切ってCookie拒否設定でブラウジング

151 :ウイルス:2008/06/28(土) 23:19:40 ID:kf6CTzbV0
ネット切断しる

対処したって後にXREAサイトにぶち当たったんだけどほんと大丈夫だったんだろうか
一応上で出てたことは全部やって問題は出なかったんだが
書き換えされてたってのみたら不安だわー

152 :ウィルス:2008/06/29(日) 02:32:32 ID:3rc/yLRSO
IE7にしたら強制終了の嵐で使い物にならなくなってIE6に戻したというのに…

153 :ウィルス:2008/06/29(日) 02:48:39 ID:Q/lPD8dB0
Opera9.27使ったほうが無難なのかもしれん・・・
9.50は不具合がこわくてDLに踏み切れぬorz

154 :ウィルス:2008/06/29(日) 03:38:04 ID:rnp0NwXe0
FireFox ver2使えばいいじゃない
アドオンが沢山あって楽しいぞよ

155 :ウイルス:2008/06/29(日) 08:30:00 ID:dxbWpD3O0
Firefoxな。
メジャーに限らずどのブラウザにもセキュリティホールはあるんだから
ユーザーが気をつけるしかない。重要なのはユーザーの意識。
それができないなら、Windows・Mac使うのやめろって話。
そうすれば多少安全度が上がるから。

156 :ウイルス:2008/06/29(日) 12:00:55 ID:pCRRETaN0
おいおい、MacはOSXになってから一応Linux系だぞ。
残るは超漢字か、米国に潰され現在は携帯用OSとして寿命を繋いでいるTRONか?
合成音声による読み上げブラウザはなかなかのものだ(当然画像は表示されない)。

OS9は昔からフォントデータだけ破壊するワームが横行しているから、NAV9なりウイルス
バリアは最低限入れとけよ。あとQuickTimeの自動再生は必ずオフだ。SafariのDL
ファイル自動解凍も切っておけ(OSXでもPantherまでは手動設定が必要)。

157 :無記名:2008/06/29(日) 15:30:41 ID:2fV7Zx5V0
下らん

158 :ウィルス:2008/07/04(金) 01:26:25 ID:PNTaAWXkO
あげ

159 :ウィルス:2008/07/04(金) 01:34:03 ID:/aP9ZH640
ブラウザはFirefox2がつい先日2.15になったね。
ここは脆弱性が出ても対応早いと思う。
3についてはもうちょっとかかりそうだが。
IEはどうしても月一回宣言してから脆弱性放置プレイ期間が長いので
設定切るのが面倒という人にはお勧めしない。
そういやSafari使いの人も脆弱性対処されたからupdateしる。

160 :通りすがり:2008/07/06(日) 03:47:02 ID:K4F3OGME0
7/2に、firefox2でとあるサイト閲覧中にtaa.gifウィルス感染した。
IEとfirefoxで、flashplayerのバージョンが違うとは知らなかった。
firefoxで問題サイト閲覧してたのに、taa[1].gifキャッシュはIEのディレクトリにDLされた。
taa[1].gifの中身をテキストエディタで開くと、明らかにexeファイル…。

気づいてカスペのオンラインスキャンでウィルスファイル削除、
PC内に以下の名前を含むファイルが無い事を確認。
「i115[1].swf」「taa.gif」「orz.exe」「sonb32drv.dll」
ウィルススキャンも検出ゼロ。

だが、それ以後も対策で入れたIPフィルタソフト「PeerGuardian2」にて、
web閲覧していない時でも、なぜか定期的に中国IPとたまに韓国IPへ
通信している事が判明。

もう新しいHDDを買って、windowsも何もかも入れなおしました。
その結果、無意味な中国IP韓国IP接続は無くなりました。

駆除でウィルス検出ゼロになって安心していたのに…。
IEじゃないから大丈夫とかXREAの騒動は終結しているからとか、
そんな次元の話じゃないな…。

161 :ウイルス:2008/07/06(日) 04:01:12 ID:SUQZa2Fx0
>>18 の通り

162 :ウィルス:2008/07/06(日) 04:46:10 ID:H3hV+wBS0
160がカスペのオンラインスキャンをかけた後でやったのが
カスペ本体のスキャンで、それでも検出されなかったんだったら厄介だな…

163 :ウイルス:2008/07/09(水) 06:34:24 ID:4r35krcM0
>>160
その無意味な通信は、今回の件でPeerGuardian2を導入する以前に
既に別のスパイウェアに感染してたという可能性もあるんじゃ?
スパイウェアだからカスペのウイルススキャンはで検出できなかったとか。

しかし怖すぎるな。
そのサイト、まだ覚えてるならどっかのスレで報告したほうが良いのでは。

164 :ウイルス:2008/07/09(水) 06:34:59 ID:4r35krcM0
スマソ

×カスペのウイルススキャンはで
○カスペのウイルススキャンでは

165 :XREA:2008/07/10(木) 04:29:12 ID:h/5A+XF/0
これ使おうぜ
http://sourceforge.net/projects/w3m/

166 :175 ◆bTlwJHybFA :2008/07/17(木) 01:41:26 ID:mu5CGZwU0

くだらない

相手に発言の責任は執拗に求めるくせに、
自分の発言の責任は問おうとしない
正面切って相手にモノも言えない奴等が
自分の身の安全だけは保障されたぬるいクソの掃き溜めみたいな場所で
正義面して「情報発信の責任」とか言いつつ
裁判にも出席せず、命じられた罰金も不払いのまま逃げ続けている
ひろゆきの運営する2chのルールを「守らなければいけない」
とか主張して
それで真剣に「議論」してる気になってる

ヲチャはうんこを自覚してるなら大人しくうんこなりにうんこやってればいいよ
うんこのくせに偉そうにヲチ被害について「議論」とかお笑いですよ


167 :無記名:2008/07/17(木) 09:20:02 ID:bES+URMa0
で。要点はなんだい。

168 :XREA:2008/07/17(木) 09:27:33 ID:+5qUIRby0
ウイルスじゃね?

169 :XREA:2008/07/17(木) 22:47:41 ID:O+52j4tA0
恥ずかしい奴だな

170 :XREA:2008/07/17(木) 23:45:42 ID:YLy46wOR0
こういうときは「可愛い奴」って言うのよ

171 :ななしさん:2008/07/18(金) 00:04:26 ID:Vir0xsUh0
ぷっ

172 :とれ ◆hnaWuq0sYg :2008/07/20(日) 22:14:29 ID:w0tlKIEc0
DS版竜探求5
もう勘弁してくれ
堀意はどういうポリシーを持ってあんなキャラを投入したんだ

種村蟻菜の恥ずかしいタイトルの新連載
何だこりゃ。

173 :をち ◆wLAsNgohXs :2008/07/27(日) 21:33:36 ID:gb4Y/Hj70
>>172
いい意見が聞けた
ありがとう

174 :Xrea:2008/08/01(金) 14:20:47 ID:XwGyYqs/0
鯖は使ってないけどアク解なら使ってるんだよXREAの。
あの小さくて細いグレーのバナーもヤバイ?

175 :◆uT0QZal3Hc :2008/08/08(金) 18:41:48 ID:Bz6o/pak0
留浪二検針
話にもキャラにも一切の魅力を感じない
どこで感動したり笑ったりすればいいのか本気で分からなかった
アニメ版の主人公の某読み台詞もきつい

176 :XREAに再度攻撃アリ:2008/08/09(土) 13:27:12 ID:bbeyl4nl0
※注意願います※
8/2頃からXREAサーバー利用者のサイトへの攻撃が再度確認されています。
今回の攻撃はサイトのhtmlソースを直接改変し罠サイトへの強制アクセススクリプトを仕込むというもの。
アクセス先は6月の罠広告に使われたウィルス置き場と同一です。

現在のところ被害報告は特定オンラインゲームの情報を取り扱うサイトのみですが、
ID・パスの漏洩によるものかARPスプーフによるものか原因が確定していません。
後者の場合、XREAサーバーにHPを持つサイトの多く(サイトの内容関係なく)が汚染されている可能性があります。

管理者の皆様はソースのチェック等対策をよろしくお願いします。

177 :ウイルス:2008/08/09(土) 16:37:26 ID:wh0wDUnG0
…またなの…?

178 :ななしさん:2008/08/09(土) 16:42:13 ID:IYxylItw0
いいえ、い つ も ど お り です。

179 :XREAウイルス:2008/08/09(土) 17:05:12 ID:Zd678oSv0
>177
今のところ垢ハク被害報告があがっているのは、信長の野望Onlineだけ。
だからといって油断は禁物。FTPソフトで自分のpublic_htmlにアクセスして
更新日付に不審な点がないかチェックしてみて。

XREAの厄介なところは、関連会社(バリュードメイン)でドメインを修得して
いると無料(広告付き)のままサーバスペースを借りられる=XREAとついて
いないURLなら安心と気を緩めていると感染してた、なんて事も起こりうる。

今月には全無料スペースの有料化または一定期間更新のない契約をあぼーん
する決定が下されるようだけど、公式サポ板にはまだ何の連絡・告知も
上がっていない。無料スペースにデータを上げたきり放置プレイの人は、
一度ローカルに全データのバックアップを取った方がいい。


180 :ミュモル:2008/08/09(土) 18:01:23 ID:VIs9QF/A0
FFXI関係のテンプレサイトが根こそぎやられた。
FFのアカウントハックかも。

181 :ウイルス:2008/08/09(土) 19:42:09 ID:1zSNGkjZ0
XREA+に設置したテンプレサイトもやられたのか

182 :d:2008/08/09(土) 21:51:58 ID:rJhQvVnF0
 
http://openuser.auctions.yahoo.co.jp/jp/show/auctions?userID=qoh_master

同人誌コピーCD、Yahooオークション公認で大好評発売中!

現在の評価数 → qoh_master(2863)
Yahoo様の推奨と保護をいただき、収益1000万円突破!!

月姫 同人誌 450冊セット
美少女戦士セーラームーン 同人誌 300冊セット
涼宮ハルヒの憂鬱 同人誌 300冊セット
ラグナロクオンライン 同人誌 300冊セット
ファイナルファンタジーシリーズ 同人誌 254冊セット
サクラ大戦 同人誌 264冊セット
カードキャプターさくら 同人誌 225冊セット
ToHeart2 同人誌 220冊セット
Fate(フェイト) 同人誌 504冊セット
機動戦士ガンダムSEED/DISTINY 同人誌 300冊セット
ドラクエシリーズ 同人誌 260冊セット

全て、一枚のCDにコピーして収めました!
普通に購入すれば十万円以上もする商品が、激安千円!

※時折著作権に関する筋違いなクレームをされる方がいらっしゃいますが、
当方ではそのような直接のクレームは一切受理しませんので、
Yahoo様にでも通報されたらいいと思います(まず相手にもされないでしょうが(笑))
当方はYahoo様に収益の一部を支払うことで、完璧な保護を受けております。冷静に行動されてはいかがでしょうか。

183 :ウイルス:2008/08/09(土) 23:58:19 ID:gfuUY6CFO
だから先月何もなかったのに、今月に入ってスキャンしたらウイルス見付かったのか

怖くなって薬屋鯖で使ってたファイル全部消した

184 :ウイルス:2008/08/10(日) 12:23:35 ID:HcGUr9Qr0
テキストエディタで開いたくらいじゃ感染しないよ(HTTP記述へリンク属性を付ける
エディタはオプションで切ればいい)

GoLiveやホームページビルダー・Expression Webを使っているならサイト内ファイルの
外部リンクを検索・リストアップできるから、見覚えのない記述や差分記述を発見したら
片っ端から検索&置換で駆除。

今回のハッキングは管理者権限でサーバにアップロードされたファイルを直接書き換えられて
しまっているから、ローカルでの感染を予防するにはこれしか対処のしようがない。

185 :ミュモル:2008/08/11(月) 12:48:14 ID:9ogxS5LW0
XREAサポートフォーラムより

ttp://sb.xrea.com/showthread.php?t=12960
外部ユーザー様から通報いただいた1サイトのみの確認ですが、
ログから判断しますと、
スクリプト経由で書き換えられている可能性が高いと思われます。
スクリプト自体を最新にする
.htaccess に
php_flag allow_url_fopen off
php_flag allow_url_include off
php_flag register_globals off
を記述する
万全ではありませんが、下記の方法でアクセス制限をする
ttp://sb.xrea.com/showpost.php?p=77290&postcount=3
といった対策があります。
他に数サイトあるようですが、他のサイトはまだ把握しておりません。
また、最新ではないXOOPS運用サイトでもなどでも
同様の改ざんがされることを確認できております。
なお、上記PHP設定項目が旧サーバーでOnになっているサーバーは、
アップデート時にサーバー側でOffに変更させていただいております。
ttp://sb.xrea.com/showthread.php?p=83962#post83962

186 :薬問屋:2008/08/11(月) 22:25:40 ID:lgulTLhT0
>>185
ネ実アカハクスレより

>>635
XREAはPHPスクリプト(PukiWiki?)のせいだと言いたいみたいだけど、
忍テンプレはPHP使って無いし、今回の件については的外れな感じが。
XREAのFTPパスワードが全体的に抜かれて改竄された、っていうのが一番しっくりくるんだけど
そういうことはあり得るのかなぁ?

ちなみに被害報告のあった4件のサイトのうちPukiwiki形式のものは1つだけ。

187 :ウイルス:2008/08/12(火) 12:01:09 ID:pJQPofBZ0
とうとう責任逃れを始めたか。
まさかこのまま夏休みに入ったりしないよね。

188 :ミュモル:2008/08/12(火) 12:51:11 ID:FX3f4Lj/0
先週XREAに仕掛けられたトロイが更新。
ttp://www.virustotal.com/analisis/ccc234390e5b7a6c342d589bf2a33038
× Norton McAfee バスター AntiVir avast AVG BitDefender ソースネクスト(笑) 他多数
これはひどい…。各社に提出済み。

189 :えくすりあ:2008/08/13(水) 08:14:42 ID:HKzaTcjQO
既存のPHPスクリプトの脆弱性突いただけじゃねの

四件のうち一つはぷきうぃきらしいが残りはどうよ

190 :XREAウイルス:2008/08/13(水) 11:04:47 ID:DOw7kCLR0
各ファイルの更新日時に不審な点はないし
(全ファイルは確認できてないけど)ソースにも変な記述は無さそうなら
現時点では大丈夫なの?

191 :ウイルス:2008/08/13(水) 21:59:27 ID:HUZsXw4y0
>>189
Pukiwikiどころかスクリプトのスの字も使ってない
HTML上げてるだけの所もやられてる

192 :原因不明:2008/08/13(水) 22:55:57 ID:VfeJOxGu0
ftpパスワード抜かれたまま放置していただけかも知れない
とりあえず被害報告が少なすぎて原因の特定はまだ無理だよ
他人の責任だと思い込みたいのはxreaもユーザも同じ、特に原因不明ならば

193 :XREAウイルス:2008/08/14(木) 00:27:15 ID:IjaVrNsf0
>190
FTPパスどころかサーバそのものへのアクセスパスを破っているということは、
痕跡隠し(更新日時の書き換え)など改ざん者にとっては造作もない。

自分は関係ないと思っている人も、今回はより悪質な手口になっているという
事を忘れずに。一度今上がっているファイル全てをスキャンするなりlinkの
in & outチェックを行った方がいい。

194 :ウイルス:2008/08/15(金) 01:41:59 ID:A3XF76b30
素人なんで全然見当違いかもしれないけど

広告をサーバー側で埋め込むのと同じ手法でスクリプトを埋め込まれたんじゃ?
それだったらファイルのタイムスタンプも変わらないし、
ユーザーがいくらチェックしてもパスワード変えても意味がない。

ただ本来それができるのはXREA運営だけのはずだけど・・・
サーバーそのものが乗っ取られてたんなら可能性あるんじゃ。

195 :ウイルス:2008/08/15(金) 03:51:30 ID:F9LW2wqJ0
6月の奴は、中国にアウトソーシングしていた鯖会社の関係者がウイルスを仕込んだんですけど。


63 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)