●● RMT業者の垢ハックが多発している件29 ●●

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 02/11 11:53 / Filesize : 282 KB / Number-of Response : 972
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：既にその名前は使われています [2008/07/12(土) 12:38:17 ID:GjyZbp4X]: ここはRMT業者が一般プレイヤーのID・パスワードを盗んで不正にログインし、アイテムやギルを奪う事件についてのスレッドです。
詳細は>>2-20くらい、スレ内での報告は報告テンプレで（>>10あたり）
◆垢ハックの予防と自衛が各プレイヤーに求められています！
前スレ　●● RMT業者の垢ハックが多発している件28 ●●
changi.2ch.net/test/read.cgi/ogame/1215690673/
まとめサイト
【FF11】アカウント不正ログイン被害まとめ(過去ログあり)　ort.sakura.ne.jp/taisai/
FF11Warning（ハッキングに重点をおいて詳しくまとめてあります）　miku.a.orn.jp/miku2/
FFIX Virus問題まとめサイト（初心者さん向け）　www.eonet.ne.jp/~lunaticwaltz/notvirus_ffxi/

★リアルタイムで被害に遭われている方へ★
まずサポセンに電話し、不正アクセスの被害にあっていると伝えましょう(本人確認の後、対処してくれます)
ttp://www.playonline.com/ff11/rule/uacs01.html

■スクウェア・エニックスインフォメーションセンター
　 TEL:0570-003-399(PHSからは03-5333-1860）
　月曜～金曜　11:00～19:00（土・日・祝・指定休日はお休み）
※サポセンが営業時間外の場合は、別アカウントを所持しているならそれでログインしてGMを呼ぶか、
　他にログインできるアカウントがない場合はサポセンが開いてから電話をすることになります。
2 名前：既にその名前は使われています [2008/07/12(土) 12:39:03 ID:GjyZbp4X]: ■アカウントハックとは
主に中国のRMT業者（※1）がFF11関係のサイト（blogや情報サイト等）にアカウント情報を吸い出せる
罠ツールを仕掛けたサイトアドレスを貼り、FF11プレイヤーにそれを踏ませることにより
IDとpassを盗んで不正にログインし、所持アイテムやギルをを奪ってしまう（※2）行為の事です。
ログイン時にパスワードも変更され利用者本人がログイン出来なくなることも多々あります。

奪われたアイテムは各鯖にいるアイテム販売用キャラ（※3）が競売や店売りしてる模様。

※1：blogへの書き込みIP、リンクで飛んだ先のHPアドレスの所持者を調べると中国な為
※2：アイテムを奪われるだけの人も居れば、サーバー移動させられてたりキャラが消されていたり
と多種多様の報告があります。
※3：(鯖名3文字+ジョブ名3文字)シリーズ等、必要に応じて複数の鯖に作成される業者の販売担当キャラ。
ttp://karimohu.com/uploader/src/nejitsu11245.png
3 名前：既にその名前は使われています [2008/07/12(土) 12:39:43 ID:WglQzRpU]: 中華消えてねーぞクズエニ
4 名前：既にその名前は使われています [2008/07/12(土) 12:39:45 ID:GjyZbp4X]: ■予防と自衛が各プレイヤーに求められています。
被害に遭わないためにも各自でできる限りの防衛手段を身に着けておきましょう。
【公式より抜粋】

▼内容が不明なサイトにアクセスしない
（blogのレスの名前部分（HPアド）にリンクをつけてリンクアドレスを見せないようにする手口もあります。
　絶対にリンクを押す前にアドレスを見る事）

▼不明なサイトにあるソフトウェアのダウンロードを不用意に行わない

▼Windows Updateを定期的に実行し、Windowsを常に最新の状態に保つ
　※詳しくはマイクロソフト社の公式サイトを参照のこと。

▼利用しているWebブラウザーなどを定期的にアップデートして常に最新のプログラムを使用する

▼スクウェアエニックス社が使用を認めていない外部ツールを絶対に使用しない

▼ウイルス駆除ソフトを常に最新のバージョンで使用する
5 名前：既にその名前は使われています [2008/07/12(土) 12:41:10 ID:GjyZbp4X]: ■具体的な自衛策その２

４：IPフィルタを導入する
　　PeerGuardian2というフリーソフトで特定の国(この場合は特に中国)のIPへのアクセスを遮断できます

　　★PeerGuardian2の導入・設定方法はここから
　　　　リネージュ資料室 ttp://lineage.paix.jp/guide/security/basic-ipfilter.html
　　　　このURLを踏みたくない人はgoogleで『リネージュ資料室』で検索してメニューから
　　　　セキュリティー対策→IPフィルタ　で確認してください。

５：IE以外のウェブブラウザを使用する
　　Firefox、Opera、Safariなど。
　　ただしそれぞれのブラウザにもセキュリティホールが見つかることもあるので、ブラウザ自体の
　　アップデートも行う必要があります。

６：不審な・見覚えの無いURIを踏む必要がある場合は、まずaguse.jpやソースチェッカーを使用する。
　　www.aguse.jp/
　　URIを入力するとそのページのSSとドメイン情報、各ブラックリストに照らし合わせた結果が表示されます。
　　ソースチェッカーにはWebページ上のものと、DLして使用できるフリーソフトがあります。
　　so.7walker.net/
6 名前：既にその名前は使われています [2008/07/12(土) 12:41:37 ID:GjyZbp4X]: 　■具体的な自衛策その３
７：SecuniaPSIを導入する
　　SecuniaPSIというフリーソフトでWindowsUpdateでは更新されない各種アプリケーション、プラグイン、ソフトウェアが最新版であるかどうか
　　チェックする事が出来ます。最近多発しているソフトウェアの脆弱性を突いたウィルスの感染・攻撃への予防策として有効です。

　　Secunia公式
　　https://psi.secunia.com/
　　Cow&ScorpionのSecuniaPSI RC3ダウンロードページ（日本語解説付き）
　　cowscorpion.com/Security/SecuniaPSI.html
　　
★★もし被害に遭ってしまった場合★★
●「ある日突然登録してあるパスワードでログインできなくなった」もしくは「ある日ログインすると
キャラクターのアイテムやギルが奪われていた」等の、不正アクセスと思しき被害にあった場合は、
まず>>1にあるサポセンの連絡先に電話してパスワードの再発行を受けたり、不正アクセスの被害を
受けたことを報告しましょう。
ttp://www.playonline.com/ff11/rule/uacs01.html
●リアルタイムで被害にあっている場合は、同時にログインできる別アカがある場合はそちらから、
メール・電話・メッセ等のPOL・FF以外の連絡手段がある知人からゲーム内でGMコールを行い、
アカウント凍結の申請を行いましょう。
7 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:42:02 ID:GjyZbp4X]: ■警察への通報方法
１：まず住んでいる都道府県警が設置しているサイバー犯罪相談窓口に相談の電話やメール送信をしておきます。
　　都道府県警察本部のサイバー犯罪相談窓口等一覧
　　(p)www.npa.go.jp/cyber/soudan.htm

２：相談窓口から「所轄の警察署に直接行って相談するように」という返事が来ます。
　　(この段階を踏まずに直接所轄署に行くと、「専門の窓口に連絡しろ」と言われてしまう可能性があります)

３：所轄署に電話で連絡し、直接訪問して話を聞いてもらえるか確認します。

４：資料を持参して所轄の署に赴き、「利用権の侵害」での被害を報告します。
　　「たかがゲームのアイテムを取られたからって警察に行くなんて…」という方もいるかもしれませんが、
　　家族やネット上、またこのスレッド内でそういったことを言われても気にせず警察に相談しください。
　　利用権の侵害というのは立派な被害です。警察の方もちゃんと話を聞いてくれます。
8 名前：既にその名前は使われています [2008/07/12(土) 12:42:28 ID:GjyZbp4X]: ■警察へ行く際に持っていく・用意しておくもの
過去スレで実際に警察へ行った被害者のレスから抜粋

もっていったもの †
o 身分証明、印鑑
o スクエニの会社情報　ＨＰのプリントアウトしたもの
o プレイオンラインサポセンの電話番号
受け答えしてくれたサポセンの人の名前も伝えるといいかも

↑
警察で聞かれたもの †
o プレイオンラインのＩＤとパスワード
o キャラ名
o 犯行時間帯
o 被害内容（なくなったゲーム内通貨・アイテム）
o プロバイダ
9 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:42:55 ID:GjyZbp4X]: ■このスレの目的
１：予防・自衛の徹底の周知
２：被害報告の収集
３：罠サイトURIの収集
４：被害者が現れた場合に対処をアドバイスする

★age進行(mail欄に何も書かない)でネ実民及びFF11プレイヤーへの周知と啓蒙にご協力ください

☆「スクエニ社に法的責任を！」や「誰が悪いかランキング」、「被害者の会を作れ」等の議論も
この場で行ってくださって構いませんが、スレを見に来た一見さんの質問や被害者の報告は
無視せずに対応してください
10 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:43:19 ID:GjyZbp4X]: ----------報告用テンプレ、書ききれない場合は複数レスに分けて下さい----------
【　　　気付いた日時　　　　　】 (被害に気付いた日時)
【不審なアドレスのクリックの有無　】 (blog/bbs/Wiki等で踏んだ記憶の有無とそのアドレス、ドメインのドット(.)を■等で置き換える事。h抜き等は駄目)
【他人が貴方のIDを使用したことが一度でもあるか】 (Yes/No)
【ID・Passの認証方法】 (POLに保存/自動ログイン/手打ち、途中で変更した場合はその履歴、例：自動ログイン→○月○日から手打ち、等)
【　Pass変更の履歴　】（していた/していなかった、していたなら最後にパスを変えたのはいつか）
【他人が貴方のPCを使う可能性の有無】 (Yes/No)
【　　ツールの使用の有無　　　】 (Yes/No、Yesの場合はそのToolの説明)
【　ネットカフェの利用の有無　　　】 (Yes/No)
【　　　 OS　　】 (SP等まで書く)
【使用ブラウザ】 (バージョン等まで分かれば書く)
【WindowsUpdateの有無】 (一番最後はいつ頃か、等)
【FlashPlayerとRealPlayerのバージョン】（更新日時をわかる範囲で　未導入であれば無し）
【　アンチウイルスソフト】 (NortonInternetSecurity2008 等の名称、及びパターン更新日)
【その他のSecurty対策】 (Spybot S&D、ルータ、等)
【ウイルススキャン結果】 (カスペルスキーオンラインスキャンでC:\WINDOWS\System32\●●.DLLをTrojan.W32●●として発見等)
【スレログやテンプレを読んだか】 (Yes/No/今から読みます)
【hosts変更】(有/無　[有りの場合は最終更新は何時ごろか])
【PeerGuardian2導入】(有/無 [有りの場合は参照元サイトはどこか)
11 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:43:40 ID:GjyZbp4X]: PG2導入解説動画（改訂版）
www.nicovideo.jp/watch/nm2825098

警察庁セキュリティポータルサイト@police
ttp://www.cyberpolice.go.jp/
警察庁によるセキュリティ情報提供サイト。セキュリティ最新動向の他、子供向け、一般ユーザ向け、サーバ管理者向けに、
各種講座や被害事例等を紹介
ttp://www.cyberpolice.go.jp/case/pc/
具体的な被害事例と対処法について解説します

ttp://www.jpcert.or.jp/
ttp://www.ipa.go.jp/security/
12 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:44:01 ID:GjyZbp4X]: ●●　プラグイン他、各種ソフトの更新も重要です　●●

最近特に被害報告の例として多いのは
★プラグインソフト（※）が未更新であったため、その脆弱性（弱点）を突かれて感染してしまった★とういうものです。
（※）Flashplayer、Realplayer、Shockwaveplayer、Quicktime、Adobe Acrobat/Readerなど
ですので、対策としては、>>3-6に挙げた対策の他に、今は特に、★★各種ソフトを最新版に更新する★★ことが重要です。
※ここ最近増えている被害報告は「Flashplayerが未更新であったため」というものが多いです！
※先日、大規模な被害を産んだ罠は「一般のHPで表示される広告」に「見ただけで感染する罠」をしかけたものでした。

更新状況の確認、方法については各ソフトによって異なるので各自調べるか、不明であればスレ内で質問して下さい。
以下に、最近被害の多いFlashplayerおよびつい先日脆弱性の報告されたAdobe/Readerの更新/確認方法を記載しておきます。ご参照ください。

FlashPlayerの更新確認（現在の最新は9.0.124.0）
www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
9.0.124.0未満の場合は↓で更新。Adobe Flash Playerのダウンロード
www.adobe.com/go/getflash
注意：FlashPlayerはウェブブラウザごとに更新する必要があります。（IEとFx使用なら両方で更新しましょう）
（※このURLに限らず、他者に薦められたURLはaguse.jpなどを通してチェックする習慣をつけましょう）
Adobe Acrobat/Readerの更新確認・・・上部バーの「ヘルプ」→「アップデートの有無」
13 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:44:22 ID:GjyZbp4X]: こんな症状が出たら感染の疑いありです、大至急対策を！
◆Windows Updateがフリーズする
◆POLを起動するとエラーが出る（２回目からは正常に起動）
◆シャットダウンに時間がかかるようになった

これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た１～２週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、すでにパスを盗まれ処理待ちである可能性が高いです！

「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにやられます。
被害報告は６月中旬から以前の20倍近いペースで増えています！
至急ウィルスチェック・Flashplayer更新・パスワード変更を！

Flashのバージョン確認
live27.2ch.net/test/read.cgi/ogame/1214625452/20-

カスペルスキーオンラインスキャン（無料）
www.kaspersky.co.jp/virusscanner
14 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:44:53 ID:GjyZbp4X]: ※アップデート報告の符丁について

垢ハックの人がスレ内を検索しやすいように
各種ソフトのupdate情報のレスには符丁をつけておくことを推奨します。
・FlashPlayer
・Adobe系ソフト
・ブラウザ
・NoScript
などの更新があったときには
※※各種ソフトウェアアップデート情報※※

またセキュリティホールに関するニュースが出たときには
※※セキュリティホール情報※※

を付けてみてください。
15 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:45:13 ID:GjyZbp4X]: ゲームデータ復元完了までに要する時間について
ttp://www.playonline.com/ff11/polnews/news13701.shtml
現在、救済するための措置となるデータ復元が、
作業終了までに1週間以上のお時間を必要とする見込みとなっております。
早急の対応ができるよう善処してまいりますので、
いましばらくお待ちいただけますようお願いいたします。
お客様にはご迷惑をおかけしておりますことをお詫びいたします。

GMコール受付状況について
ttp://www.playonline.com/ff11/polnews/news13736.shtml
現在、多数のGMコールが寄せられており、
ゲームマスター(GM)が対応に伺うまで長時間を要する状況となっております。
GMコールをご利用のお客様は、
いましばらくお待ちいただけますようお願いいたします。
なお、不具合報告やご意見ご要望、
スペシャルタスクチームへの報告につきましては、
メールフォームの利用もご検討ください。
ご不便をおかけし申し訳ありません。
ご理解とご協力をよろしくお願い申し上げます。
16 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:45:43 ID:GjyZbp4X]: インフォメーションセンターおよびGMコール混雑状況のお知らせ
www.playonline.com/ff11/polnews/news13744.shtml
現在インフォメーションセンターへ多数の電話問い合わせをいただいており、
明日以降も電話が非常に繋がりにくい状況が予想されます。
また、ゲームマスター(GM)サポートへも多数のGMコールをいただいており、
対応に伺うまでに長時間を要しております。
キャラクターのデータ復元作業につきましては順次作業を行っておりますが、
作業完了までに通常より多く日数を要している状況です。
既にご依頼済みのお客様は、大変恐縮ながら、
今しばらく弊社からのメール連絡をお待ちいただけますようお願いいたします。
お客様には、ご迷惑をおかけしておりますことをお詫びいたします。
引き続き混雑緩和に向け鋭意対処いたしますので、
ご理解とご協力をよろしくお願い申し上げます。
17 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 12:46:37 ID:GjyZbp4X]: 抜けてたorz

■具体的な自衛策その１
１：ウイルススキャンソフトを導入する。
　　・シマンテック、マカフィー、カスペルスキー、トレンドマイクロなどのソフトを有料で購入する。
　　・avast!、AVG、AntiVir、BitDefenderなどの無料ソフトをダウンロードして使用するという手もあります。

２：Windows UpdateでWindowsを最新の状態にする
　　　Windowsは最初にインストールしただけで万全というわけではなく、次々と発見されるセキュリティホールを
　　　後付で修正し、それをWindows Updateで配布することで安全性を保つようにできています。
　　　一般的には自動更新がされるよう設定されていますが、重いからという理由で自動更新機能を
　　　オフにしている人もいると思います。その場合は必ず定期的に手動で更新を行ってください。

３：ファイアウォールを有効にする
　　・１に上げた有料ソフト等に同梱されているものや、同じ会社から出ているものを使う

　　・ベクターや窓の杜などでフリーのファイアウォールソフトを探し、導入する
　　　(2chカテゴリ「ネット関係」＞「セキュリティ」板にフリーのファイアウォールソフトの
　　　　スレッドがあります。「ファイアウォール」などの単語で検索してください)
18 名前：既にその名前は使われています mailto:sage [2008/07/12(土) 18:05:35 ID:2bj42DQQ]: わざと重複させて勢いを沈静化させようという魂胆か
19 名前：既にその名前は使われています mailto:sage [2008/07/13(日) 10:17:30 ID:lm7x/Cxs]: 汚い！
20 名前：既にその名前は使われています mailto:ada [2008/07/14(月) 09:08:17 ID:B+MlKlAD]: まだ28生きてるから！使いきってないから！

●● RMT業者の垢ハックが多発している件28 ●●
changi.2ch.net/test/read.cgi/ogame/1215690743/

使い切るまで保守。
21 名前：既にその名前は使われています [2008/07/14(月) 17:08:26 ID:Ga0POk/5]: ★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件

wuauserv.dll(ウィンドウスアップデートに使われるダイナミックリンクライブラリ)のレジストリを、正規のプロセスC:\WINDOWS\System32\svchost.exeを使って罠サイトへパスを送るwzcsvbxm.dllに書き換える。
ファイルからではなくプロセスをフックしてメモリからパスを送信。送信経路はhttp。
(レジストリの不正更新もあるにもかかわらず)ほとんどのセキュリティソフトは未検知。
7/13付けで検体爆撃済み。

判明している送信先(置き換えではなく
引退：wowinterfcae●com 204●13●64●0 - 204●13●71●255
現役：googlesydition●com 74●86●185●101

【%SystemRoot%\System32\wzcsvbxm.dllを探す方法。】
スタート→ファイル名を指定して実行→regedit
HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx（xxxは数字）\Services\wuauserv\Parametersと
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parametersの中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」を確認
C:\WINDOWS\system32\wuauserv.dllならそのままクローズ(この件の感染はしていない)
C:\WINDOWS\system32\wzcsvbxm.dllなど上記以外のファイルが登録されていた場合、感染している可能性が極めて大　まず安全な環境でパス変更　wzcsvbxm.dllをwuauserv.dllに書き換えられるなら書き換え等の対策をする。
ただし　すぐに戻ってしまう報告もあるため　修正後要確認。
本体(生成元)および感染ルートは現状不明なため、上記の修正をしたとしても完全に駆除されているか分かりませんので、感染が確認された場合は『クリーンインストール推奨』。
22 名前：既にその名前は使われています [2008/07/14(月) 17:09:04 ID:Ga0POk/5]: ここ最近でこんな症状が出たら感染の疑いありです、大至急対策を！
◆Windows Updateがフリーズし実行できない
◆POLを起動するとエラーが出る（2回目からは正常に起動）
◆Windowsのシャットダウンに時間がかかるようになった
◆アプリケーションの追加と削除を選択して表示されるまでに時間がかかるようになった

これらはアカウントハックスレに寄せられた前兆症状で、この症状が出た１～２週間後に
アカウントハックを受けた人が多数います。
今大丈夫でも、すでにパスを盗まれ処理待ちである可能性が高いです！

「普通のHP」に自動挿入される広告に罠が仕込まれるパターンが増えています。
★★踏まなくても表示しただけでウィルスに感染する★★ので気付かずにパスを盗まれます。
被害報告は6月中旬から以前の20倍近いペースで増えています！
至急ウィルスチェック・Flashplayer更新・パスワード変更を！

Flashのバージョン確認
live27.2ch.net/test/read.cgi/ogame/1214625452/20-

カスペルスキーオンラインスキャン（無料）
www.kaspersky.co.jp/virusscanner
23 名前：既にその名前は使われています [2008/07/14(月) 17:11:28 ID:Ga0POk/5]: A、アカウントハック受けた場合クレカ悪用されますか？
Q、予断はできませんが今の所は下4桁のみしか表示されないので悪用はされません。

自己防衛の為にウェブマネーで課金することも可能です。
現在はクレカ払いからウェブマネーへ変更することができます。
24 名前：既にその名前は使われています [2008/07/14(月) 17:13:41 ID:Ga0POk/5]: 前スレ
●● RMT業者の垢ハックが多発している件28 ●●　(重複の再利用のため本来は29)
changi.2ch.net/test/read.cgi/ogame/1215690743/

当スレは重複の28(実際は29)に気づかずたったので本来は30です

次スレは31でお願いします
25 名前：既にその名前は使われています [2008/07/14(月) 17:21:23 ID:dOXVMBza]: 再利用age
26 名前：既にその名前は使われています [2008/07/14(月) 17:27:45 ID:iBbL4ctp]: 質問します～
垢ハックされたので、サポセンに連絡してアカウント停止をお願いしたのですが、
アカウント停止の状態というのは、
パスワードが違いますというふうになるのですか？
それとも、pol自体にはいれなくなるのですか？
もしかしたら、また垢ハックくらったのかも；；
27 名前：既にその名前は使われています [2008/07/14(月) 17:47:57 ID:CaelPPs0]: >>26
マルチ乙
28 名前：既にその名前は使われています [2008/07/14(月) 17:50:47 ID:pf84gkPl]: ネ実STTのじつりきはすごいな

スクエニいらないんじゃねえ？
29 名前：既にその名前は使われています [2008/07/14(月) 17:56:42 ID:tr549L/i]: ファイアーウォールの設定　アプリケーションルールでpol.exeの設定
許可しているリモートIPの範囲は
61.195.48.0～61.195.55.255
61.195.56.0～61.195.59.255
61.195.60.0～61.195.63.255
202.67.48.0～202.67.63.255
219.117.144.0～219.117.159.255
空けているポート TCP1024-65535　UDP50000-65535
30 名前：既にその名前は使われています [2008/07/14(月) 17:59:16 ID:tr549L/i]: ★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件　現状まとめ(>>21の挙動周り修正)
【レジストリ】
　WindowsUpdateで使用するAutomaticUpdatesサービスのエントリを改竄する。
　・キー位置
　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx（xxxは数字）\Services\wuauserv\Parameters
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
　・感染時エントリ（値）
　　%SystemRoot%\system32\wzcsvbxm.dll　（未感染Windowsでは%SystemRoot%\system32\wuauserv.dll）
　wzcsvbxm.dllはAutomaticUpdatesサービスとしてOS起動時に常駐すると考えられる。
　エントリを書き換えた場合、常駐しているwzcsvbxm.dllが再度書き戻しにくるようだ。

【POL】
　wzcsvbxm.dllはAutomaticUpdatesサービスとして常駐しているwzcsvbxm.dllはsvchost(wuauser)としてPOLのプロセスに介入すると考えられる。
　svchost(wuauser)の介入がなされた時点でPOLの接続先が□e鯖から業者鯖に変更または追加されているようだ。
　POLのプロセスを使用して業者鯖にID/PASSを送信する。送信後POL異常終了？（異常終了しないケースもあるため後期Verでは落ちない可能性
　そのため、ファイアヲールなどでPOLの接続ルールをアプリケーション単位で許可している場合は検知は難しい。
　現時点で確認されている送信先(置き換えではなく●を単純に削る)
　・wowint●erfcae.com 204.13.6●4.0 - 204.13.71.255
　・googlesy●dition.com 74.86.1●85.101
31 名前：既にその名前は使われています [2008/07/14(月) 18:00:26 ID:tr549L/i]: 【POLでの対策叩き台】
　ID/PASSは未保存に、自動ログインも解除。
　POLの接続できる鯖をファイアヲールのアプリケーションルールで絞っておく。>>29
　プロアクティブディフェンス機能のついたセキュリティソフトを導入、常駐させる。
　　・カスペルスキー、Comodo Diffence+、etc（他にあったら追記してくだちい
　アクティブコネクションリストを表示できるセキュリティソフトを導入。（コマンドプロンプトからnetstat -bでもいいけど
　　・Comodo（追記してくだちい
　
　１．POL起動（まだ接続しない
　　　この時点でsvchostなどがPOLに対して介入してきたとアラートが出た場合、FF11関係の何かに関係したマルウェアに感染している可能性がある。
　　　通常、POL.exeはsvchostなどサービスからの介入をうけることはない。アラートが出たら解決するまでログインはしないこと。
　２．アクティブコネクションリストを表示する。（ファイアヲールによって名前違うかも
　　　POLがどこにも接続していないことを確認する。
　３．偽アカウントでログイン試行。
　　　ID caonima5963 Pass 4649などでも(うっかり一致を避けるため、できるだけ既存のPOLID命名規則と離れたものにすること。
　４．アクティブコネクションリストでPOLが現在接続している鯖を確認する。
　　　>>29 参照
　　　□e鯖以外への接続が確認されたら感染している可能性がある。解決するまでログインしないこと。
　５．手順全てをクリアしたら正規アカウントでログイン。よい旅を。
32 名前：既にその名前は使われています [2008/07/14(月) 18:02:42 ID:tr549L/i]: >>31でアクチブコネクションリストが無い人向け。
ただしタイミングによって見落としの可能性があるため非推奨。面倒だしｗ

０．PC再起動。
１．POLの自動ログイン及びパス保存は解除しておく。
２．スタート＞アクセサリ＞コマンドプロンプト起動。
３．POL起動（まだ接続しない
４．コマンドプロンプトで netstat -b コマンド投入。
　　Proto　Local　Address　　　FreignAddress State　PIDの下ににズラズラーっと現在接続しているアプリケーションとIP、Portなどの情報がでるのでPOL.exeがないことを確認。
５．POLでデタラメアカウント情報で接続、ユーザ名caonima5963 Pass 4649などでも。
６．ピロピロいってる最中にカカっとコマンドプロンプトにマッハ。netstat -b投入。
　　そうすると今度はPOL.exeの接続先が出てきているはず。というか感染していると接続後異常終了する可能性が高い？
７．その接続先が>>71にあるリモートIPのどれかであれば、POLが変なところにID/PASSは送信していないと思われる。それ以外のところに繋がっていたら危ないヤカン。パス変更マッハ。
８．POLが変なところに接続してないようなら、再度正規のID/PASSつっこんでログイン。
33 名前：既にその名前は使われています [2008/07/14(月) 18:12:12 ID:V2mlPub+]: もうテンプレ>>29～>>31だけでいいや
従来のテンプレはやたら長いだけでやくにたたん
34 名前：既にその名前は使われています [2008/07/14(月) 18:24:37 ID:3E6xx/4S]: >>32

悪い、>>71は

71 名前：既にその名前は使われています [sage] 投稿日： 2008/07/12(土) 18:45:54 ID:pNmvgauC
Windowsサービスの
Universal Plug and Play Device Host
SSDP Discovery Service
もUPnPがらみのサービスだからOFFに。

だたし、これ切るとUPnPをサポートしてるソフト起動時に、
イベントビューアにDCOMのエラーが記録されるので、気になるならそのままでもいい。
ルーター側で切ってあれば問題ないはず。

これかな？
ちょっと自分の頭の中整理中・・・・
35 名前：既にその名前は使われています [2008/07/14(月) 18:30:09 ID:tr549L/i]: >>34
ああごめんｗｗこれ前々スレだかで俺書いたやつなんだｗｗ
それを前スレにサルベージしてもらったのそのまま張っちゃたｗ
×　>>71
○　>>29
36 名前：既にその名前は使われています [2008/07/14(月) 18:31:42 ID:3E6xx/4S]: >>35
ありがとう！前々スレだったかｗ
これでつながったｗ
そしてまとめ助かるわ、わかりやすい。
37 名前：既にその名前は使われています [2008/07/14(月) 18:38:57 ID:/c01cY15]: 前スレ埋め終わりage
38 名前：既にその名前は使われています [2008/07/14(月) 18:40:04 ID:CaelPPs0]: ついでにも一発age
39 名前：既にその名前は使われています [2008/07/14(月) 18:41:52 ID:4DFPe91p]: どーも分からないんだが
普通、アカウント停止＞パスワード変更＞POLでGMに本人確認。って流れじゃないのか？

パスワード変更してからアカウント停止してもらう、って何か意味あんの？
40 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 18:44:40 ID:DLEEgKDQ]: テンプレなげえｗｗｗ
41 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 18:45:34 ID:DLEEgKDQ]: なんだ、おれのID
ダウンロードエモーションエンジンゲートキーパードラゴンクエストかよ
42 名前：既にその名前は使われています [2008/07/14(月) 18:46:44 ID:WAIxQP07]: サポ戦つながらねぇ(ノ-o-)ノ ┫オリャ
垢凍結しないで動かしてたら巻戻作業できないですしおすし。
メンテも機械止めないとできないのと一緒かと。
43 名前：既にその名前は使われています [2008/07/14(月) 18:46:47 ID:CaelPPs0]: >>39
意図的に別手段にしてるのは、第三者による成りすまし対策です、と言ってみる
44 名前：既にその名前は使われています [2008/07/14(月) 18:49:57 ID:onhUdhhr]: ていうか巻き戻し申請した時点で垢凍結さますしおすし。
45 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 18:50:46 ID:BjU4T3eZ]: そろそろテンプレ圧縮しないとスレ立て人が死ぬぜw
46 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 18:51:26 ID:QXhW/u+i]: ハックされた日から見てるんだけど
ずっと気になっていた私の王子様のID:tr549L/iさんはハックされてないんだよね？
47 名前：既にその名前は使われています [2008/07/14(月) 18:52:04 ID:tr549L/i]: >>40
>>29-31はただの叩き台だからなｗ
48 名前：既にその名前は使われています [2008/07/14(月) 18:54:46 ID:tr549L/i]: >>46
されてないよ。
さっき意図的にwzcsvbxm.dllをつっこんでたノートで2垢倉庫入ってしまって慌ててパス変えたけどｗｗ
49 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 18:58:07 ID:QXhW/u+i]: そうか、知識あるのにされていたらフイタんだけどｗ
まだ私が該当する原因が発見されてないので期待してます
50 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 18:58:54 ID:QXhW/u+i]: うわ･･･日本語おかしす
51 名前：既にその名前は使われています [2008/07/14(月) 19:01:58 ID:WAIxQP07]: サポ戦19時になるまえに受付終了メッセージにしやがった！

また明日かけよう…
52 名前：既にその名前は使われています [2008/07/14(月) 19:02:35 ID:Bdh4DSPt]: 落ち着け
53 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:07:01 ID:Y/z/51gv]: サポ戦だけに挑発

いや何でもない
54 名前：既にその名前は使われています [2008/07/14(月) 19:14:22 ID:WAIxQP07]: >>53
ちとワロタｗ
和んだ。ありがとう。
55 名前：既にその名前は使われています [2008/07/14(月) 19:16:47 ID:+tWThGUZ]: まずログアウト寸前にフレにクラクラスピベルなどをトレード
↓
危ないサイトを片っ端から見てアカハックされるようにする
↓
うったえでて巻き戻しで最後ログアウトから少々前にまき戻される
↓
あら不思議ｗスピベクラクラ増殖ｗｗ
56 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:23:34 ID:bcpcqM3b]: いまさら何得意げに語ってるんだろうね？
57 名前：既にその名前は使われています [2008/07/14(月) 19:25:06 ID:oQ/lf3kO]: >>55
そして本当にアカハックされて２度目の巻き戻しできなくて涙目になるわけですねｗ
58 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:25:37 ID:giiOkMcF]: 残念だけどスピベルクラクラトレードされた直後に戻されるんだよね
59 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:25:57 ID:Pvow1l/i]: >>55
クラクラ増えたＧＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪＪ
60 名前：既にその名前は使われています [2008/07/14(月) 19:26:26 ID:CaelPPs0]: どう考えてもアイテム精査でフレもろとも　YOU BAN！　だから真に受けてはだめにゃー
61 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:27:29 ID:BbTIMT1F]: >>55
そのフレが鯖移転ですね、わかります
62 名前：既にその名前は使われています [2008/07/14(月) 19:27:33 ID:G4tUSvQR]: >>56
急になんかスゴい事思いついた気になって意気込んで回りに話したら「は？」って顔をされるとき。
人生に一度は訪れるその奇跡の瞬間が、今まさに>>55の身に訪れているのです。
祝福しましょう。
63 名前：既にその名前は使われています [2008/07/14(月) 19:27:49 ID:frzbXjrd]: ちょっとクラクラ増やしてくる
64 名前：既にその名前は使われています [2008/07/14(月) 19:33:39 ID:VAFPhRec]: >>58
ハックされるタイミングにもよるけど少し余分に前に戻される
65 名前：既にその名前は使われています [2008/07/14(月) 19:33:47 ID:b4ofyeFH]: アイテム増殖用にわざとハックされる奴はまずいないと思うけどｗ
フレとか話聞いてるとログイン可能になってロールバック待ちがあるときにアイテムを信頼できるフレに渡すのは常識みたいだな
66 名前：既にその名前は使われています [2008/07/14(月) 19:34:22 ID:+tWThGUZ]: 知り合いでアカハクされた香具師は最後のログアウトより少し前の日の巻き戻りになったらしい
だから成功するんでないかな
67 名前：既にその名前は使われています [2008/07/14(月) 19:37:34 ID:OnyXJk9v]: 業者が虚偽ハックでアイテム増殖しほうだいですね、分かります
68 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:39:02 ID:giiOkMcF]: 個人情報送らなきゃ無理だからそれはできない
69 名前：既にその名前は使われています [2008/07/14(月) 19:44:08 ID:5SnzlgEK]: 先週垢ハクうけて、凍結巻き戻しを依頼して未だに連絡ないんで
さっき、GMチャットしてたんだが
まだ書類が届いてないとか言いやがる・・・・
先週金曜到着で送って筈なんだが・・・・意味不ｗｗｗ
70 名前：既にその名前は使われています [2008/07/14(月) 19:45:51 ID:r8P3ydW9]: 宅配の記録残らない仕様なのかね？
残っていたら業者全員バンできてるかｗ
71 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:46:55 ID:giiOkMcF]: 宅配のアイテム履歴残ってると思って宅配除いたけど何故か名前が出るところ空欄だった
なんでだろ
72 名前：既にその名前は使われています [2008/07/14(月) 19:47:22 ID:HSkUXhbX]: 宅配や競売に流れたアイテムは救済対象外じゃなかったっけ？
73 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:47:50 ID:BbTIMT1F]: >>69
郵便屋の都合とかもあるしな

確実にしたなら書留＋配達証明なりつけろ
74 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:48:22 ID:mLgh1svW]: >>69
バカだな　そういう言い訳されないためにも配達記録郵便で出せばよかったのに
俺はいつもそうしてるぞ　あっちが下手な言い訳できないようにな
75 名前：既にその名前は使われています [2008/07/14(月) 19:51:14 ID:5SnzlgEK]: そっか・・・配達証明忘れてた・・・orz
しかし、書類届いてからどれぐらいかかるの？って聞いたら
そこから約2週間かかるとか言うし・・・
かかりすぎだろと・・・
76 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 19:52:18 ID:BbTIMT1F]: 一般郵便だと、相手には大量に手紙来るから事故も十分ある

書留つけておけば受け取る際にあっちも印なりサイン必要だから
より確実だし、途中経路も記録に残る
77 名前：既にその名前は使われています [2008/07/14(月) 19:56:29 ID:oQ/lf3kO]: 復旧待ちだけどなんか不安になってきたぞｗｗｗ
ちょっと確認してみるか…。
78 名前：既にその名前は使われています [2008/07/14(月) 19:57:10 ID:CaelPPs0]: 希に良く100メートルも離れたマンションの同じ部屋番号の郵便がうちに届く
郵便も不確実だが、社内のメール分けで別の所に行ってる可能性もある
郵便事故で全ロストかも試練よ
79 名前：既にその名前は使われています [2008/07/14(月) 19:58:32 ID:WQUx1mer]: 夏休みだとバイト君が宅配しないで捨てたりするしなｗ
80 名前：既にその名前は使われています [2008/07/14(月) 19:59:13 ID:5SnzlgEK]: よし、もう一度送る！
今度は書留で
81 名前：既にその名前は使われています [2008/07/14(月) 20:00:38 ID:2jz6EUN7]: 3回垢ハック経験豊富で有名な俺が参上。あしあと。
82 名前：既にその名前は使われています [2008/07/14(月) 20:00:43 ID:iyTfYA5H]: >>80
内容証明郵便
83 名前：既にその名前は使われています [2008/07/14(月) 20:01:27 ID:CaelPPs0]: むしろ現金書留で
84 名前：既にその名前は使われています [2008/07/14(月) 20:01:58 ID:MZqGoJNq]: >>80
ttp://enaiyo.post.japanpost.jp/mpt/
85 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 20:02:47 ID:BbTIMT1F]: >>82
内容証明はこの場合ダメ

本文以外のものは同封不可だ
86 名前：既にその名前は使われています [2008/07/14(月) 20:04:01 ID:iyTfYA5H]: >>85
間違った、配達証明だった
87 名前：既にその名前は使われています [2008/07/14(月) 20:05:26 ID:iyTfYA5H]: っていうか、直接行って直談判すれば早い
88 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 20:06:39 ID:BbTIMT1F]: >>87
さすがにアホかと言わざるを得ない
89 名前：既にその名前は使われています [2008/07/14(月) 20:11:48 ID:tr549L/i]: ★wuauserv.dllがwzcsvbxm.dllに改ざんされていた件　現状まとめ叩き台シリーズ

【レジストリエントリ修正　叩き台】
　１．OSをセーフモードで起動する。（OS起動中にF８連打
　２．レジストリエディタを起動する。
　　　スタート＞ファイル名を指定して実行＞regedit
　３．改竄されているレジストリキーへ移動する。
　　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSetxxx（xxxは数字）\Services\wuauserv\Parameters
　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters
　４．エントリ（値）を本来の値に戻す。
　　　%SystemRoot%\system32\wuauserv.dll　（%SystemRoot%は　ほにゃらら:\WINDOWSってことね
　５．保存して終了。
　６．ファイルやフォルダの検索でwzcsvbxm.dllを探す。
　７．wzcsvbxm.dllをunkotinko.waruiunko あたりにリネーム後、適当にsystem32フォルダから外に出す（なんでもいいですここで消してもいい。
　８　OS再起動。
　９．レジストリエディタを起動して修正箇所を確認。WindowsUpdate動作確認。正しければ終了。

　以上で今回の垢パクウェアのシステムからの分離はできるんだけど、まだwzcsvbxm.dllを生成したやつの特定できてないので。
　PC内部に色々残ってる可能性が結構高いと思われる。ぶっちゃけ検証用とかでなければクリンスコ大推奨。
　というか危ないのでクリンスコしてください。
90 名前：既にその名前は使われています [2008/07/14(月) 20:13:04 ID:ihOKe/GE]: なんか、いろいろ言われてるOSだけどVista入れて、
↑のセキュリティソフト対策したほうが、早い気がしてきた。

VISTAだと権限なくて動かないのもあるけど、セキュリティ重視なら
Vista乗り換えも手かなとおもったり。
91 名前：既にその名前は使われています [2008/07/14(月) 20:17:17 ID:frzbXjrd]: 俺の垢もう1ヶ月放置されてる
どうでもよくなった
92 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 20:18:22 ID:BbTIMT1F]: >>91
しむらー　IDID
93 名前：既にその名前は使われています [2008/07/14(月) 20:20:58 ID:frzbXjrd]: ＩＤがどうした？
94 名前：既にその名前は使われています mailto:sage [2008/07/14(月) 20:22:44 ID:BbTIMT1F]: >>63
>>91
95 名前：既にその名前は使われています [2008/07/14(月) 20:23:15 ID:iyTfYA5H]: >>89
>OS起動中にF８連打

ここは環境によって違うから

（環境によってはF8ではない場合もあります）

を入れたほうがいいですね
96 名前：既にその名前は使われています [2008/07/14(月) 20:23:18 ID:frzbXjrd]: なんなんだよｗ
97 名前：既にその名前は使われています [2008/07/14(月) 20:25:15 ID:2jz6EUN7]: Vistaにしていれば、垢ファックされないってことでFA?
すくなくとも今のところは、XP+最強セキュリティより
Vista+普通のセキュリティのがマシ？
98 名前：既にその名前は使われています [2008/07/14(月) 20:25:36 ID:iyTfYA5H]: >>97
FAはありえません
99 名前：既にその名前は使われています [2008/07/14(月) 20:27:27 ID:tr549L/i]: >>95
それもそーだね、ありがとーｗ
100 名前：既にその名前は使われています [2008/07/14(月) 20:28:17 ID:2jz6EUN7]: >>98
だったら後半の質問にも答えろカス

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef