|
|
|
2009.07.19
テーマ:REDSTONE(3572)
カテゴリ:赤石
鳴海です。 タイトル通り、前回の続きからいきたいと思います。 垢ハック1については、昨日の記事を参照ください。 ☆ネット上での感染例 正規のFC2ブログURLからの感染について、 非常に危険な例が各ネトゲーBBSで報告されています。 詳細が記載されていたblogは消滅していらっしゃったので、 重要な内容を一部転載。 -------------------------------------------------- ■確認されている現象について。 ・FC2ブログのテンプレートが改竄(書き換え)され、 ブログ主の意図せぬ外部のWebサイトを読み込むようになっている。 ブログ主やFC2以外の第三者によって、 ブログのテンプレートが不当に改竄(書き換え)されているといった現象が発見されました。 改竄の内容はインラインフレームという機能を用いて、 他のWebサイトを自動で読み込む様になってしまいます。 これによりそのブログを開いた際に、 意図せぬURLを知らない内に表示した時と同様の処理が行われ、 ウイルスに感染する恐れがあります。 利用する脆弱性はRealPlayerで、 スクリプトを見る限り多くのバージョンに対応しています。 dda3がダウンロードし実行するのは/sys.exeで、 検体をVirusTotalでスキャンしましたが珍しく「全滅」です。 RealPlayerは最新版でも「現時点で」大穴が開いており、塞がれていません。 アンインストールを推奨します。 バイナリを見る限りLineage2のパス抜きと思われますが、 他にも機能はあるかもしれません。 krnb32drv.dllというダイナミックリンクライブラリと vvsg.batというバッチファイルをドライブに生成する様に見受けられます。 Cドライブ全域を上記2ファイルの名前で検索し、 もし2つのファイルが見受けられるようならまず間違い無く感染していると思われます。 ■どうすればいいの?ブログ閲覧者偏 ・ウイルススキャンを掛けて感染のチェック ・RealPlayerのアンインストール(不要であれば) ・インラインフレームの無効化 以下のサイトで無料のオンラインスキャンが可能です。 1.カスペルスキーオンラインスキャナ ←お勧め 2.シマンテックセキュリティスキャン 3.ウイルスバスターオンラインスキャン あとは今回の主原因となる「インラインフレーム」の機能を禁止させる事。 ブラウザーによってやり方は異なりますが、 私が使用しているOperaですと設定から実施する事が可能です。 ■どうすればいいの?FC2ブログ管理者偏 ・使用しているテンプレートのソースを確認し、異常があれば修正する。 テンプレートのHTMLソースで Iframe という単語で検索しましょう。 万が一テンプレートHTML内部から上記のタグが見つかった場合。 どのサイトへのリンクが張られているかを確認しましょう。 (もちろんですが、Aguseさん等のチェッカーで確認する事) <iframe src=http://****** width=# height=#></iframe> 上記のタグが見つかった場合、 ******に入っているアドレスへのリンクが張られている事になります。 #にはフレームサイズを示す数字が入っていますが、 ここが0の場合はかなりグレーです。 サイズ0×0でフレーム表示するなんて事は通常しないですしね~。 身に覚えの無いアドレスが入っている場合は、 即刻そのタグ(上記の部分)を削除しテンプレートを更新してください。 そしてウイルススキャンを実施し、 FC2IDのパスワードを変更すると共にFC2へ一報入れると◎です。 その他セキュリティツールの案内 ●Dr.WEBのリンクチェッカー このツール…というかブラウザーに導入できるDr.WEBの無償サービス。 リンク先をクリックし開く前に、そのリンク先の安全性を確認し 結果を知らせてくれるという物です。 (ちなみにDr.WEBでは、今回のウイルスを既に検出可能だそうです) ●ソースチェッカーオンライン オンラインでブラウザクラッシャーのチェックをしてくれます。使い方はAguseと同様。 ただし、負荷によって正しい結果が出ないこともあるそうです。 こちらのサイトのリンク先も見てみるとよいかも知れません。 -------------------------------------------------- FC2系列ではなくなってるようですので (アメブロだとか楽天に移行されていてもおかしくはありません) この記事をご覧になっているブロガーさんは、即刻チェックしてください。 ・広告の罠 広告サービスを配信した広告に罠iframeが載っていたという報告なども過去に出ています。 報告があったのはFF11でした。 すぐに運営側で対策をされたようですが、 他のサイトの広告にも混入している危険性があり、とても危険。 閲覧側の対策として、ブラウザの設定からiframeの表示をブロックすることが推奨されます。 ------------------ FFXIAHフォーラム トピック名:ハッキング? トピック名:表示される広告のガイドライン PM | 引用 | 返事 By Ramuh.Rikapi 2008-03-19 16:00:01 元ネタ⇒Reporting Advertisements FF11では次のタイプの広告は表示しない方針です: *実際に広告をクリックする前に別窓やダイアログボックスを表示する広告 *ユーザーを強制的に別サイトに誘導する広告 *ポケモソ症候群を引き起こしそうな目に痛い広告 *音を鳴らす広告 *何かを強制的にインスコしようとする広告 (FFXIAHは絶対に何もインストールさせません!) *エロ広告 *ActiveXを使用する広告 現在FFXIAHが使用してる広告ネットワークは 特定の広告を任意にブロックする事が出来ます。 ただ、運営人が人間である事と、「安全」な広告を隠れ蓑にした 罠とかの可能性もありますので、 これらの広告をブロックする為にはユーザーの皆様からの声も必要としています。 #得に、地域(国)限定な広告になると 北米在住の管理陣が見逃す場合が多いです… 削除すべき広告を見かけた時は次の事項を報告してくださいー *自分の地域(これ読んでるって事は日本かな?) *広告のリンク先URL(flash広告ならflashそのもののURL) 可能なら上記2点と同時に広告のキャプチャをffxiah@gmail.comにメールをお願いします。 #これが一番反応早いんですが、メール主は日本語×なので簡単な英語で… ⇒flashのURLのコピー方法@Firefox メニューから【ツール>ページの情報】を開く 【メディア】タブから【埋め込みオブジェクト】を探す 埋め込みオブジェクトのURLを右クリして「コピー」でOK。 悪質広告の中には転送とかで自動HTML書き換えする広告もたまにありますが、 その場合はWeb Developer Toolbarアドオン搭載のFirefoxなどで その手の解析出来る場合だけでいいので、解析結果(=広告元)を報告してくださいね。 ------------------ 上記の事例はRSではまだ聞いたことはありませんが、 今後の対策として頭の隅にでも覚えておいてください。 ランダムに表示される広告にまで仕組まれている場合は決して捨てきれないので。 まぁ、一番手っ取り早い対策はインラインフレームを使用不可にすることですが。 2.IE Super 0day RSでの被害はそうでもない(と思う)けど、 昔から流行ってる大手ネトゲーの垢ハックの正体。トロイの木馬の一種です。 有名どころだとリネージュ、FF11、RO、テイルズウィーバー辺りが該当します。 参考サイト ・【アカウントハック対策サイト】畏れよ、我を Super IE 0dayとは トロイの木馬(コンピュータ) - Wikipedia ・流出者 以下、アスカネットワークからのコピペ ----- 現在配布されているトロイの木馬の格納されているホストが ほぼmyhostadmin.netのDNSまたはサービスを使っている事を Whois(ドメインやIPの所持者を確認するサイト)で確認しました。 myhostadmin.netは中華系のホストで、通報窓口がないと言う 最悪な作りになっています。ROやリネージュを狙うトロイの木馬である Super IE 0dayやZIP(実際はRAR)型トロイなどはほぼここにあると言っても 過言ではないと思います。 ------ ・注意事項とプチ対策 このトロイの木馬ウィルスは亜種が多く、 すぐに精度の高いと言われているカスペルスキーなどメジャーなセキュリティソフトでも 検知しにくい状況となっています。 VirusTotalのサイトに検体を投稿できる環境 (仮想PCやMacなど感染する可能性が極めて低いまたは感染しても外部に出ない環境) がある場合は出来れば投稿して出来る限りのウイルス定義を広めるようにしてもらいたい。 ウイルス概要としては、サイトを開くだけで感染してPCが起動不能になり、 保存されているパスワードを盗み出すウイルスが一部で流行していること。 直接ハックには関係ないが、これもダメージ大きそうなので まとめサイトをおいておきます。 通称「GENOウイルス」対策まとめ RSではルーツも感染具合もこっちよりはロガー寄りなので、まだ大丈夫だと思います。 あとは補足として、ネカフェなどでログインするときは必ずゲームのみにしてください。 ただし、店舗によってはロガーに繋がるソフトも入ってる場合もあるので、 できるだけネカフェで繋がないことが一番なんですけどね。 そんなこんなで、君が望む永遠の垢ハック対策講座を終えようと思います。 ご静観、ありがとうございました。 [オマケ]     2週間くらい前に注文したエロゲだけども、まだ一度も手をつけていない件。。。 批評空間とかレビューサイトいろいろチェックしてますけど、 誰か既にプレイした人いたらどれがお勧めか教えて頂きたいものです。。 と、いうか あれだけ規制規制騒がれてたのに タイトルちょこっと変えただけで発売された「町ぐるみ輪姦」ですが  普通に凌辱ってワードがパッケージに入ってて吹いた お気に入りの記事を「いいね!」で応援しよう
|
