手を変え品を変え襲ってきますね、業者さんがた。

風邪で更新する元気がなかったので、情報を目にしてから

日数が経ってしまいましたが、注意喚起の情報は

数多く発信した方がいいと思って、うちにも載せてみます。

≪今までの罠≫

　コメントから罠サイトに誘導

≪今回の罠≫

　一般ブログのテンプレートを改ざんして、

　罠サイトを不可視状態で表示する

　（普通にネットサーフィンしているだけで罠にかかる）

今までの罠は、怪しいURLにアクセスしなければいい

というものでしたが、今度のは本当タチが悪い。

昨日まで普通に見ていたサイトに、いつものようにアクセスしたら

ウィルスに感染した！Σ(゜д゜|||)　ということになり得るんですね。

また、自分のブログがウィルス発信源になっている！Σ(゜д゜|||)

ということも。

なんと恐ろしい。・ﾟﾟ･(≧д≦)･ﾟﾟ･｡

実際にどういう改ざんがなされているかというと、

テンプレートに縦横ともにサイズ０（不可視）の

インラインフレームタグが挿入される。

その中で罠サイトを表示し、

アクセスしたPCにトロイを投下するってもの。

不可視なので、普通にサーフィンしている分には気付けません。

ブログのソースを表示して、Ctrl+Fで『iframe』を検索。

<iframe src="http://○○○.××.△△" width=0 height=0>

のようなサイズ０のiframeがあって…

URLをaguse（サイト調査） で検索した結果、

明らかに罠サイトorサーバーが中国であれば…

･････････終了？（゜Д゜）

（あるサーバーでは『自動でサイズ０のiframeタグが埋め込まれるが、

　URLのところが空白で何も読み込まれない』ものもあるようです。

　全ての０サイズiframeが悪！という訳ではないです）

感染した場合は

krnb32drv.dll

vvsg.bat

というファイルがDLされます。
いずれかのファイルが存在した場合は間違いなく感染しています。

不安な方は、上記ファイル名でPC内を検索してみて下さい。

オンラインスキャンも有効です。

チェックには時間がかかりますが、

感染に気付かないままでいるよりはいいですよね。

■カスペルスキーオンラインスキャナ
■シマンテックセキュリティスキャン
■ウイルスバスターオンラインスキャン
■マカフィーフリースキャン

一番上のカスペルスキーが検出率が高いと言われています。

この４つの中で今回のウィルスに対する対策が

一番早かったのがカスペだとか。

その他の会社の現在の対応状況等は調べてません(´Д｀;)ヾ

うちのPCはカスペでオンラインスキャンしてみましたが

何も検出されませんでした。

あ、感染が発覚した場合、そのブログ主さんへの報告もお忘れなく。

今回の罠は、RealPlayerの穴をついたもののようなので、

RealPlayerがインストールしてあって、でも全然使ってないや…

という方は、アンインストールした方が良いと思います。

また、iframeタグを使用した罠なので、

ブラウザのiframe設定を無効にしておくと良いかと。

設定の仕方は、この記事の一番下に

『この記事を書くにあたって参考にさせていただいたブログさま』

のリンクがあるので、そこのリンク先ブログさまを参照して下さい。

これを行なうと、iframeの中でプログラムやファイルの起動がある場合

その内容が表示されなくなるようです。

普通のテキストデータや画像は通常通り表示される模様。

（私もiframe無効設定にしたのですが、非表示は確認できず…

　どんなサイトにアクセスしたら確かめられるんだろ）

この罠で仕込まれるウィルスは

リネージュ２のパスを抜くもののようですが、

今後FF11対応版が出てもおかしくないので注意が必要です。

今のところ２月末～３月頭に、fc2のサーバーのブログで

数件発生した問題のようですが、

『fc2だから危険、fc2じゃないから安全』ということではありません。

テンプレートの自由度が高いブログサーバーは

どこでも狙われる可能性があります。

我がアメブロでも、iframeを使用することはできるようです。

私はアメブロのテンプレートいじったことがないので

（できあがったものをそのまま使っているので）

やり方はわかりませんが！（゜Д゜）

使用している方はいらっしゃるので、まぁ…可能なんだとｗ

で、当ブログが改ざんされていないか、

iframeタグをチェックしてみましたが、怪しいものはありませんでした。

毎日ネットサーフィンするので、その都度

怪しいタグがないかチェックしています。

チェックした最終日時をプロフィール欄に記録しますので、

目安として下さい。

こんな感じ↓

が、常に見張っている訳ではないので、時間差で

罠が仕込まれてもおかしくありません。

対応の遅れに対する言い訳をするつもりはありませんが、

『どのサーバー、どのブログでも完全に安全なところはない』と

認識していただけると助かります。

その上で、当ブログで何か問題がありましたら、

コメントでお知らせいただけるとありがたいです。

今回問題が発生したブログさまでは、既に対策は済んでいるようです。

でも今後も同じような手口が実行される可能性もありますので

ブロガーさんは継続して注意が必要です。

サーフィンする側としては…

今回のことは自衛のしようがないので何とも…（´△｀；）

右クリックでリンク先のサイトに

ウィルスが含まれていないかを

チェックするツールもあるようですが…

導入するかどうかは、自己判断でお願いします。

私は、レジストリをいじるものはあまり好きではないので、

今のところ導入は考えていません。

だってレジストリって、おかしくなった時に直すの大変なんだもん（-_-）

また、訪問する全てのサイトをチェックするのか？と考えると、

あまり現実的ではないのかも…と思いますね。

==================

■この記事を書くにあたって参考にさせていただいたブログ記事

≪被害にあわれた方≫

FF11　ペット狩り黒猫奮闘記 さま（事の顛末・右クリツール詳細）

FFXI:戦士スキーのブログ さま
某青魔道士のFF11雑記 さま

≪解説されている方≫
[FF11]-まったり行こうよ！ さま

たるたるアンミラ★Z さま（iframeについての詳細）

FFXI Virus問題 まとめサイト さま

状況説明、対応方法など、とても詳しく記載されていますので、

ぜひご参照下さい。

===================

■過去の罠関連記事

※注意※　罠コメント来たる

罠URLから身を守りましょう

１年に１度風邪をひくかひかないか、という私ですが、

ただいま絶賛風邪っぴき中です。

ぶぇっくしょ、でっきし、へっくしゃん、ぐっぶふ…

変な音のくしゃみを連発した後、鼻をかみながら

ふと思って旦那に聞いてみました。

「マ゛スクして寝た方がいいかな（風邪菌ばらまくから）」

「あーダスクぅ？あぁ装備した方がいいね」

「強いしね」

「歩くのゆっくりになるしね」

「それって体が重くなるってことなんじゃ…」

「安静にできるってことだよ」

ダスクマスク 防31 HP+30 VIT+5 命中+5 回避+5 移動速度ダウン
ダスクジャーキン 防50 HP+40 命中+2 リジェネ 移動速度ダウン
ダスクグローブ 防24 HP+20 攻+5 ヘイスト+3% 移動速度ダウン
ダスクトラウザ 防47 HP+35 攻+14 飛命+10 移動速度ダウン
ダスクレデルセン 防23 HP+25 攻+4 ヘイスト+2% 移動速度ダウン

鼻が詰まってて「マスク」と発音できなかったんだよ…orz

まぁダスクなら体力も上がるし、リジェネも付くしね…（´△｀）

ということで、ダスクマスク装備して寝ました。

土曜は雪がたくさん降りましたね。

土曜にお出かけする予定だったぷち子は、

Yahoo天気予報で、地域ごとの詳細の天気予報が見たかった。

「○○って、何区？」

「墨田区？」「荒川区？」

「あら・・・ぱ　　　ご　　　区　　　？(´・ω・｀)」

どこだよｗｗｗｗｗｗｗｗ

どうやら、同時に発言したせいで

私の「荒川区？」の「あら」しか聞こえなかったようです。

「ぱ・ご・区？」っていうスローテンポな言い方がツボったｗｗｗ

最近、アメブロのメンテの関係で『最新コメント一覧』が

表示されない仕様になっています。

数日に１度書き込まれるアダルト関係の広告コメントが

目立たなくなってありがたいといえばありがたいんですが。

でもアメブロの他の方のブログを巡っていて、

最新コメント一覧がないと不便に感じますね。

まぁうちはそうそう更新がないので

困る人もあんまりいないでしょうけどー（゜∀゜）

さてさて、続報を書いてませんでした。

前回の記事（゜Д゜）つ　NIS(´・ω・｀)

ノートンインターネットセキュリティのアクティブ化の問題、

『このプロダクトキーでインストールできる数を超えました』の件です。

その問題がおきた翌週にサポセンに電話して、

上限に引っかかってたアクティブ化回数を０回にクリアしてもらいました。

電話して、１０分ほどですぐに再使用できるようになりました。

アクティブ化ができるようになったら、その後に

『アクティブ化が複数求められるようになってしまった時のパッチ』を

あててくれ、とサポートスタッフさんに言われました。

なんだ、ちゃんと対策してるんじゃん。

公式サイトで検索すると説明ページが出てくるようですが、

モジュール名で検索しないと出てこないとか、

NISのバージョンによってエラーメッセージが違うのか

うちのNIS（2005）のエラーメッセージで検索してもヒットしなかったりとか、

ちょっとイマイチですな。

ブログの検索ワードでも引っかかっていたし、

需要のある情報だと思うので、以下に詳細を。

シマンテック公式サイトhttp://www.symantec.com/ja/jp/index.jsp

の右上の検索窓で、『symkbfix』と入力。

検索結果の一番上、

『SymKBFix ツールをダウンロードして実行する方法 』をクリック。

これは、アクティブ化ファイルが損傷している時に

自動で修復してくれるというもの。

ふむふむ、そうですか。

んじゃ早速実行しましょうかね。

　・

　・

　・

exe実行がエラーで止まるんですが（￣Д￣）

ダウンロード時にファイルが破損したのかな？と思って

何度かダウンロードしなおしてみたのですが、

実行中、必ず同じところで引っかかる。

エラーメッセージはこんな感じ。

『Error 1309. Error reading from file: （デスクトップのパス）\SymKBFix\COMMON\SYMSHARE\MANIFEST\symcleng.spm.

Verify that the file exists and that you can access it. 』

デスクトップに置いたSymKBFixファイルの中の、

symcleng.spmというファイルが読めません。

ファイルが存在しているか、また、アクセス可能か確認して下さい。

というメッセージです。

「べ、べりふぁいって何だっけ（´Д｀；）」と辞書検索しましたよｗ

デスクトップに置いたのは、説明がそうなっているからなんですが、

試しにCドライブ直下に置いてみましたが結果は同じでした。

「あんだよシマンテックさんよー、できねぇじゃねぇかよー」と

オンラインサポートにメールで問い合わせ。

数日後返ってきたメールには、

「何か壊れてるみたいなんで、一度全部削除して、

　再インストールしてくれる？hehe(´∀`)」と。

・・・(´￢`)

面倒でまだやっていません…。

まだアクティブ化求められてないし、いいよね…と

そのまま使っております…。

そのうちやりますよ、そのうち…(´д`)

前回の記事はこちら↓

※注意※　罠コメント来たる

aguseのドメインが変更になっていたので、記事内のURLを修正。

記事の左にある『BOOKMARKS』にaguseとSCOを追加。

ついでに、地図サイトのヴァナーな。さんが

ずっといなくなったままなので、愛用している

Vana'diel Atlasさんに変更しました。（英語ですが）

「aguseとかSCOで調べてもちんぷんかんぷんだよ！」

という方もいらっしゃるかもしれないので、以下に目安を。

・aguseで調べると出てくる【サイトのスクリーンショット】が真っ白

全ての罠URLがそうという訳ではないでしょうが、

FFブログに罠URLが相次いだ頃に

たくさんのURLを調べていたらみんな真っ白でした。

まぁ、作った側としてはスクリプトが実行されればいいだけですから、

見た目に出る中身なんて作る必要がないので

当然といえば当然ですね。

・サーバーの位置情報が中国

独自ドメインを取っていないURLの場合は判断材料になりませんが

（fc2など、日本鯖のブログの場合もある）

上記のfcty-netや、覚えていませんがplayonlineに似せた

英字の羅列で取っているドメインなど、

罠っぽいコメントで不思議なドメインだったらだいたい中国です。

中国でなくても、FF11の正式サービスが行なわれていない地域が

サーバー位置情報で示されたら、怪しさいっぱいということです。

・スクリーンショットに中身が写っている

・サーバーの位置情報が中国じゃない

・ブラックリスト判定結果が全て「○Safe」

　↓

　じゃあこのURLは大丈夫なんだ(´∀`)

…と安心するのはまだ早い。

罠URLで、上記３つに当てはまってしまうものを

実際見たことがあります。

（どんなURLかは覚えてないのですがorz）

見つかってから追加されるので、ブラックリストの反映が

遅くなってしまうのはどうしても仕方ないんですね。

となると、どうすれば良いのか。

SCOで調べるしかないんです。

URLを入れてCHECKボタンを押します。

結果画面に『上記アドレスのチェックもお勧めします。』

という文言がでてきたら、

１行上に表示されているURLをクリックします。

≪チェック結果≫

・このアドレスは危険URLです

・Locationヘッダ

・ループタグ

・インラインフレームタグ

≪HTMLソース表示≫

・拡張子　『.exe』

・拡張子　『.cur』

・拡張子　『.scr』

・『script』の文言

・『javascript』の文言

・文字化けで何だか全然読めない

などが出てきたらもうアクセスしない方がいい

と思ってしまっていいです。

ブログに投下されたのがどんなに魅力的なコメントだったとしても、

あなたの知的好奇心を満たす情報は

そこには一切ないと思って下さい。

（これらを満たす普通のサイトがないとはいいませんが、

　判断がつかないならやめておいた方がいい）

あー、でもですね、

ブログ系はプラグインわんさかなのが一般的なようで、

安全なところでも、（うちのブログでも）

『隠しスクリプト』とか『ループタグ』とか出てくるんで、

まぁ上で言ってることも確実ではないんです…。

結局は、わからなくてもいいからSCOで見てみて、

自信がないならアクセスするのをやめる、

というやり方しかないかと。

ちなみに、SCOの下の方にちっちゃく書いてある

『このアドレスの安全度××％』ってのは

ほとんど信用できませんので悪しからず…。

だって罠URLで『危険URL』って判定が出ながら

『安全度７７％』とかなってるサイトあるし…。

「えー、気になるし。ウィルス対策ソフト入れてるから大丈夫でしょ？」

ってのはダメです。

ソフトを過信しないこと。

どの会社のソフトでも完璧なものはないんです。

さらに、既知のものしか対応できないんです。

結局、自分の身は自分で守るしかないんです。

ソフトは単なる補助。

って、この記事書くために、久々に

『ttp://fcty-net■com/jplink』のURLをSCOにかけたら

ページの構成、実際の表示URLなど色々変わってる（-_-）

やりたいこと（罠埋め込み）は変わってませんが、

あちらさんも日々進化してるんですな。