Blanc Comme Neige (旧Iris BOTの現状)
1.アカウントハッキングとは?
2.アカウントハッキングの手口
2-1 メッセンジャー経由のウイルス
2-2 駆除方法
2-3 見かけないドメインに注意
2-4 盗まれるMSNアカウント
2-5 動画サイトAcitiveX許可の罠
2-6 偽画像、ファイルアップローダの罠
2-7 安心?安全?MIXIの罠
2-8 BBSやコメントの罠
2-9 職業Wiki外部リンクの罠
3.アカウントハッキング予防策
3-1 WindowsUpdateの方法
3-2 自動更新の設定方法
3-3 他ブラウザについて
3-4 IE系の場合の対策方法
4.感染してしまった?
5.情報はマメに確認しよう/情報は提供しよう。
手口は日々新しいモノが出てきています。
アカウントハッキング罠アドレスのドメインも毎日のように新しいタイプが
確認されています。
WARNING! (2007.8.13追記)(Chaos-BOT情報局一部抜粋及び追記)
メッセンジャーを介して
zipファイルが送りつけられる事例が報告されています。
以前からメッセのウイルスはあったのですが、今回ROのアカウントハッキングに
いきなり送られたファイルを実行する、いきなり送られたURLにアクセスする。
関係ありそうなウイルスが確認されたようです。
Windows Live Messenger
MSN Messenger
Windows Messenger等を通して知人リストにscrファイルを送りつけるウィルスが確認される
これは感染した人を踏み台にしてさらに被害を進めていく
私自身もメンバーリストにあるとある友人から怪しいメッセージを何度も受信しています。
メッセンジャー自体はオフラインが多い(携帯で接続が多いため添付ファイルの受信はまだ受けたことは無いです)ので、
被害はないのですが、友人知人からといえども
そのような事はしないようにしましょう。ネット社会において身を守る常識です
友人知人または全く知らない人から
「img1756.zip」が送られてくる
↓
解凍するとscrファイルが出てくる
↓
起動したらアウト
↓
勝手に友人に「img1756.zip」を送りつける
↓
無限ループ
※ ファイル名「img1756.zip」はそのときで変わる
【ファイル送信時のメッセージ例】
・what the fuck, did you see this?
・hey man, did you take this picture?
・look @ this picture of me, when I was a kid
・look @ my cute new puppy :D
・I just took this picture with my webcam, like it?
・check it, i shaved my head
xxxxxxxx の発言 (1:48):
look @ this picture of me, when I was a kid
xxxxxxxx の送信:
img1756.zip(41.1 KB)
承諾(Alt+C) 名前を付けて保存...(Alt+S) 辞退(Alt+D)
ウィルス情報(駆除方法もこちらで
・W32.Scrimage.A
・W32.Mubla.B
・WORM_IRCBOT.ADU
亜種も出ているので同じ名前が無い場合は各対策スレで相談を
感染してしまうとメッセンジャーでメッセージが送れなくなり
友達リストにファイルを送信しまくる
メッセ再起動でメッセージを送れるようになりとりあえず送信はとまる?
感染者のPCにはバックドアが仕掛けられる
【駆除方法】
対応済のウイルス対策ソフトでスキャン→駆除
※未対応のものもあるので対応状況を確認すること
1. 感染したらLANケーブルを抜く(インターネット接続をきる)
2. レジストリのチェック スタートメニュー→ファイルを指定して実行で「regedit」
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Microsoft Genuine Logon" = "svchost.exe"
3. 念のためにWindows再起動
4. 必要無いと思いますが、システムの復元を無効化(_RESTOREにあるファイルを削除する)
無効化の方法
スタートメニュー→システム→システムの復元
5. C:\WINDOWS\svchost.exeの削除
注意!!
本来のsvchost.exeというファイルは
C:\WINDOWS\system32\svchost.exeにあります。
間違ってこちらのほうを削除しないように!!
システムが起動しなくなってしまい、OSの再インストールをしなければならなくなります。
6. C:\WINDOWS\img1756.zipの削除
7. 必要無いと思いますが、Windows再起動
8. 4を実行した人は、システムの復元を有効化
有効化の手順は無効化にしたときのチェックを外すだけ。
9. アンチウイルスのソフトウェアを全て最新にする
10. 全スキャンを実行する
11. 全スキャン中は暇なので、反省する
見かけないドメインに注意(2007.3.25追記)
仮想橋様の方に上がっていたのでこちらでも書いておきます。
以下引用
見慣れないドメイン名、「.mobi」や「.info」等を含むURLは危険です
下記は、本日当サイトのBBSに書き込まれた内容です。1 名前:皇子:2007/03/22 21:11 ID:1Ts0YVfZFc IP:59.58.219.206:
韓国をはじめとする他国のLineageの、様々な情報を交換したり議論したりするスレッドです。
?スレタイトルと関係のない話題は他スレでお願いします。話題を止める際には、その話題に該当する
スレッドへの誘導を忘れずに。
?晒しスレではないので、日記サイト等の個人的なサイトURLの貼り付けはやめましょう。
?嘘情報に釣られても怒らずに、それを経験にして嘘情報を見抜く術を身に付けましょう。
http://www.r*g*a*o**.mobi/bbs
URLのドメイン名「.mobi」ですが、見慣れないものだと思います。
「.mobi」は、昨年9月26日より一般登録が可能となった新しいドメイン名です。(参考:wikipedia)
【見慣れないドメイン名は危険!】です。
あまり見かけないドメインは危険な場合が多いため、むやみにリンク先へ行かない様にしてください。
日本ではスクウェアエニックスによるFFスペシャルタスクチーム、中国では本格的にRMT全面規制と、RMT排除に対する
活動が活発になってきました。今後、攻撃はますます増えてくる可能性があります。十分に注意して下さい。
盗まれるmsnアカウント(2007.3.25追記)
msnのアカウントを盗むトロイも同梱されていることが
多いので、msn messengerが入っているようなら要注意です。
・アカウントを盗用しメンバーへのアカウントハッキングアドレスの配布の可能性
・ROのID (レジストリから簡単に得られます)、msnのパスワード、
msnのメールアドレスの組み合わせで、人によっては いろいろ
いじれちゃう状態にあるかも。
アカハック総合スレ5/795さんの書き込みより
ウィルス情報→PWS-Maran.dr(正確にはトロイ)
コレにより知人からのメールに書いてあるURLも
疑わなければなりません。
MSNのアカウントをハッキングし、、知り合いのメッセでINし
メッセでRO垢ハックURLを貼り付けてくる輩もいるようです。
知り合いからのメッセでも、いきなりのURLや
語尾にexeのついているURLは踏まないように
みなさんも十分気をつけてください
動画サイトActiveX許可の罠
ActiveXを許可しないと見れない動画のサイトの
コメント欄へのアカウントハッキング罠アドレスの書き込みがあったようです。
偽造画像、アプロダの罠
アプロダなどで拡張子がjpgなので油断して踏むと、実はhtml
0サイズのiflameで罠アドに飛ばされ偽装のjpgを表示します。
IEなどの拡張子が違うものでも開いてしまうブラウザでは
むやみにアプロダをクリックしないようにしてください。
画像だからと気軽に押さずに先ずはカーソルを合わせて
リンク先を確かめてクリックしましょう
画像がすでに表示されているタイプのモノは
大丈夫だろうということです。
安心?安全?mixiの罠
mixiなどの囲まれて安全が保証されたかのように感じる空間でも
コメント欄にハッキングアドレス貼り付けが行われているようです。
BBSやコメントの罠
管理人や常連を語った書き込みや、アカウントハッキング対策などという
名目でURLを貼り付ける悪質なものも確認されています。
ROに関係のないHPやブログなどにも
無差別で書き込みが行われているようです。
職業wiki外部リンクの罠
大手情報サイト閉鎖などで情報を求めて各職業のwikiを
たずねる事も多いでしょう。
ですがwikiは多くの人が簡単に書き換えることができるのが特徴
その特徴を逆手にとった悪質な書き換えが頻発しています。
アカウントハッキングとは、あなたのラグナロクオンライン(以下RO)のアトラクションIDとパスワードが
盗まれて、それを利用してログインされることです。
ハッキングとは貴方の知らない間にIDやパスワードを盗み出し、悪意のある第3者が勝手に利用することです。
スタートメニューからすべてのプログラムを選びます。
スタートメニューの中にWindows Updateがあると思います。
それを選びます。
上の画像のような画面になったら高速を選びます。
優先度の高い更新プログラムをダウンロードしてくれます。
高速を選んだらアップデートファイルがあれば一覧で出てきますので
一覧からアップデートファイルを選んでください。
更新プログラムによってはPCの再起動が必要になる場合もあります。
その際には再起動してください。
更新プログラムによっては何回かに分けてWindows Updateを
行わなければならない場合もありますので、Windows Updateは
定期的に実行しましょう。
また自動更新の設定をすることをお勧めします。
Windows Updateをせずに被害に遭うのは論外です。
Windows Updateは無料です、面倒でも1日1回必ずチェックするようにしましょう。
(自動更新を有効にしておきましょう)
自動更新の設定方法
WindowsXPの場合、スタートメニュー→コントロールパネル→自動更新
拡張子を偽装した罠への対応法
IE以外の拡張子が違う場合は開かない設定のできるブラウザを使うのも有効です。
IE以外のブラウザに変更してみることをお勧めします。
Firefoxの導入方については
こちらのサイトに詳しく書かれています。
白角堂の徒然記 カテゴリー「Firefox導入について」
・Firefox公式
・Firefoxまとめサイト
・Opera日本公式
・Opera-wiki
例)Mozilla Firefox、Operaなど
IE系の場合の対策方法
-「拡張子ではなく内容で開く」を無効にするにします。-
は、IE6SP2以降から出来る設定項目で、IE6SP2はXP専用です。
(VistaではIE7を使用しているので)
Win2000やMeユーザーはIE6SP2が積めない為、IE6SP1が最新IEとなりますのでこの設定は出来ません。
インターネットオプション→セキュリティ→レベルのカスタマイズ
「拡張子ではなく内容で開く」を無効にするにします。
インターネットオプションを選ぶ。
画面が開いたらセキュリティをクリックし、次にレベルのカスタマイズを選びます。
そうすると画像のような画面が出てきます。
該当の拡張子ではなく、内容によってファイルを開くというものが出てくるまで
下にカーソルを動かしていきます。みつけたら無効にするにチェックをします。
■ アカウントハック総合スレ纏めサイト
■ Secure RO - 安全なゲームプレイのために
■ aguse.jp(HPのソースを調べてくれます)
ソースチェックの結果で発信元が海外、CN(中国)なら注意してください。
張られたURLのリンクを踏む前に、WHOISでサイトの情報確認を!
「ドメイン・IP情報検索」こちらでも情報を確認できます。
