since.2003.09

Calendar
Sun Mon Tue Wed Thu Fri Sat
      1
2345678
9101112131415
16171819202122
23242526272829
30      
<< April 2017 >>
こんたくと2&
新着情報
こめんと
とらっくばっく
かてごり〜
ぷろふぃ〜る
過去ろぐ
りんく
OTHERS

■FF11■ある革職人の軌跡

オンラインゲームFF11のカーバンクルサーバに生息するおきらく革職人「革屋」こと
Andの合成が思ったより中心になってない適当なプレイ日記です

凹んだりズッコケたり大食いだったりしますがポジティブに生きていますので長細い目で応援してやってください




リアル知り合いにばれない様にひっそりやってたつもりだけど・・・
バレちゃったから(ノД`)完全リンクフリーでどうぞ

当ホームページに記載されている会社名・製品名・システム名などは、各社の登録商標、もしくは商標です。

スポンサーサイト

一定期間更新がないため広告を表示しています

| - | - | - |

※PC版FFをプレイしている人へ
週末某所の有志により今回のアカウントハックの実体と思われる部分の解明が進みました
そんな成果を革屋アイにより大雑把(で申し訳ない)に要約
(元の情報はにゃんこさんの所あたりを参照してー)


○今回見つかったマルウェアについて
・システムファイルに紛れ込み偽装されていた
・20080713日までの時点ではずべてのアンチウィルスソフトで検出不可
・POLのプロセスに介入してパスワードの抜き取りを行っているため
 「パスワードのこまめな変更」「パスワード未保存」「ソフトキー入力」の効果は無し


○こんな人は即チェック!(' Д')q


 「PC版FFをインストールしている人」(of all)

「自分だけは大丈夫w」なんて思わずにチェックしましょう・・・・
マルウェアの混入時期が解らないので「今FlashPlayer等すべて最新だからOK」
なんて考えずにチェックしましましょう、厳密には経路もひとつとは限らないですしキヨシ
今はアカウントを停止している人もFFがインストールされているなら要チェックです

今まで報告のあったPCでの症状のうち
「WindowsUpdateでエラーが発生する」「POLの初回起動時にエラーが発生する」
この2つはもう完全に黒と言ってもよくなりました
前にも書いたようにエラーコードが周知のモノでなければアウトです
さて、そのチェック方法は・・・・・


チェックその1:オンラインスキャン(初心者向け)

有志の検体提供によりカスペル発覚しているモノに関しては
検出出来るようになりました(>>カスペルのオンラインスキャン
まずこれでチェックする価値はあります


チェックその2:レジストリ&実体ファイルチェック(なんとかがんばれ)

実際に問題のあるファイルが存在&登録されているかを確認します

○レジストリチェック
・スタートメニューの「ファイル名を指定して実行」で「regedit」と入力、実行
・検索対象のデータのところにチェックを入れ検索する値に「wzcsvbxm.dll」を入力、検索※1
・見つかったらアウト!

○ファイルチェック
・フォルダオプションの「 保護されたオペレーティングシステムファイルを表示しない(推奨)」
 がオフになっているのかを確認
・ファイルの詳細検索オプションで以下の3つを入れる
 「システムフォルダの検索」「隠しファイルとフォルダの検索」「サブフォルダの検索」
・ファイル名に「wzcsvbxm.dll」を入力、検索
・見つかったらアウト!※2

※1実際はWindowsUpdateのエントリを書き換えます
以下のキーの値が「wuauserv.dll」になってなかったら要注意
HKEY_LOCAL_MACHINE¥SYSTEM¥ControlSetxxx(xxxは数字)¥Services¥wuauserv¥Parameters
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Services¥wuauserv¥Parameters
この2つ中の「ServiceDll」→「REG_EXPAND_SZ(種類)」の「データ」


※2検索履歴がひっかかる場合があります
こんなもんレジストリに残しておくなよ・・・・・M$め



 「アウトでした、どうすればいい?(ノ∀`)」

感染したPCではもうFFを起動しない
コンシュマー機(PS2 or XBOX)又は感染されんてないPCにてログイン、即パスワード変更
今はハッキングされて無くても処理待ちなだけの可能性があります


問題が発見された場合は「素直にクリーンインストールしましょう」
一応修復も可能なのですが発覚していない問題がまだ眠っている可能性があります
よってまずはこの機会にきちっとクリーンインストール(再インストール)
そして現時点で解っているセキュリティホール(FlashPlayerやRealPlayer)について
速攻で対策を打つことを推奨します


決して「自分だけは大丈夫w」なんて思わないこと
あとPC版を使ってる知り合いが居たらこのことを確認してみましょう
みんながみんな某所とかブログとか読んでいる訳ではないので認知度が高いとは言えません
対応が早ければまだ助かる可能性もありますので身近なPC版ユーザーに確認してみましょう
自分もフレから被害者が出てしまったのじゃよ(´; ω;)=3





○雑感なヨタ話
(無責任な内容が含まれるかもしれませんのでツッコミ不可)

うーーん、正直どんどん手が込んできたなぁ・・・・・・感じ(´Д`)
単一実行ファイルでは無くてsvchost経由でPOLのプロセスを使うとは
あまつさえメモリ内のパスワードを参照してたっぽいからパスワード未保存とか
ゲストログインとかも関係無く抜かれていた可能性が高いときたもんだ
これは早くスクエニ側で対応して欲しいところだ>メモリ上のPWの扱い改善

そしていやなのがこうやってサービスの一部として動作する手口が追加されたこと
今回はWindowsUpdateの奴だったから他の現象も出て怪しいと感じることが出来たが
これがもっと違うサービスならどうだったろう
情報が公開されていて他と比較しやすいM$純正ライブラリ置き換えでは無く
灰色なサードパーティ製ライブラリのところだったらはたして気が付いただろうか?

この手のマルウェアはPCに入られた時点でもう負け
いかに入られないような環境を構築し運用するかが鍵なんです


ノートパソコン1台でやってる人とかは厳しいとは思うけど
専用機を用意してFFプレイ環境を切り離すことを推奨します(゜ーÅ)
| 【FFXI】プレイ日記 | comments(42) | trackbacks(4) |
| ←いっこ前 | とっぷ | いっこ次→ |

スポンサーサイト
| - | - | - |

接続側はプロバイダーわかるんだから、そこで判定させればいいんじゃよ。

毎日プロバイダ変える人もいないだろうし。

ハッカーだってアカの為にプロバイダから契約すまい。

せめて日本か外国か・・・だけでもいいs

まぁ、狙ってやらないんだとは思うけど。

裏で流れてるんだろうなあ・・・

山吹色の うわ!なにをすr

| みか |
2008.07.11(金) 20:30 From: プレイオンライン

プレイオンラインへの一部接続元からの接続制限について

ファイナルファンタジーXIにおけるセキュリティ向上対策の一環として、一部接続元からのプレイオンラインへのログイン制限を行います。この制限については当面維持されることとし、解除時期については以後の状況により検討を行います。


やってた(笑)
でも遅いぞ

| みか |
こいつぁ大変だ…。

記事の内容を、リンク、転載、引用と好き放題させていただいたのでご報告です。

大変な手口です…。
もう腹立つ!ヽ(`Д´)ノ
| ちょろ |
むむむ・・・。メモリ上のパスワードはほとんど無理では・・・・・・。

そういえば、この前のVUで暗号キーとかいうのが追加されてますね。これを使えば多少はましでしょうか。

でも結局はメモリ上に復号化されたパスワードが置かれてるなら意味ないですしね(;´ρ`)
| Fakir |
ちょっとづつ今回の原因わかってきてますね

中国からのIP制限 接続元の制限することで海外からの接続を遮断
あとは残った業者が
日本のプロクシ経由でつなげている業者
ここを潰さない限りは延々いたちごっこ

日本国内での犯罪だし
京都警察とかにあるネット犯罪捜査部隊とか動いてくれればいいんですけどね

ちょっとだけ国内のサツ期待してます(´・ω・`)
| Gao*3 |
やられてました。。。orz
| Azumy |
> みか さん
いや、プロバイダは保証出来ないんだよね・・・・
やるなら(大雑把に言うとアクティべーションみたいな仕組みか
非オンラインによるパスワード生成しないと(´・ω・`)

> ちょろ さん
今回も自分の手元では確認出来なかったんでちょと出遅れたわ・・
しっかし嫌なパターンだよな、これ(´Д`)

> Fakir さん
少なくも前は平文でメモリ上に存在していたらしい
今も変化値見ればパスワード部の特定は出来るってところか?
プロセス介入だからファイルをさわりにいってる感じでは無さそうだしね

> Gao*3 さん
京○警察はス○エニばりに斜め下を突くかもしれないんだぜw
とりあえずもちっと認知させるために情報を公式でも公開して欲しいわ
企業イメージ的には辛いかもしれないけどユーザーが一番だからねぇ
| 革屋 |
> Azumy さん
おう?!(;°ロ°)
まだ抜かれて無いならすぐに対策を!
| 革屋 |
レジストリに、wzcsvbxm.dllありました(´;ω;`)
ただ、革屋さんが書かれてる場所ではない模様
(確認したけど、そこはwuauserv.dllのまま)

HKEY_CURRENT_USER¥Software¥Microsoft¥Search Assistant¥ACMru¥5603

この中に、
名前000〜002・種類REG_SZ で、
データが
wzcsvbxm.dll ・ Mail ・ Profiles
の3種類あったΣ(´д`*)

カスペでスキャンは、無事。ファイル・フォルダも無事。
ここだけ・・・ちとネットで調べて見ますが不安です( TДT)

あと、この問題についてブログアップしておきます( ・◇・)ノ
リンクも貼らせてもらいますね
| らいる |
某師ひっかってたそこの検索履歴の残るのは想定外だった・・・
こまごまとしたエントリよりも一発の検索が楽だと思って
まとめていたのが裏目にでたわ(゜ーÅ)
| 革屋 |
ヒィ!(゜Д゜)

家で早速しらべてみます。トラックバックももらってくー
| あこ |
アイテム復活は1契約につき1回まで(2垢、3垢でも1キャラのみ)
とかで、フレが「今はたいしたアイテムないし、今回は解約する」って解約してしまったのですが、これ本当なんでしょうか?
| みか |
ヒィ!(゜Д゜)

家で早速しらべてみます。トラックバックももらってくー
| あこ |
ぎゃーーー!なんで2回もコメントいれてんd
| あこ |
>みかさんへ
 アイテム復活は1アカウントにつき一度のみというのは知っていましたが、1契約で一回というのは初めて聞きました。
 1アカウントにつき一度というのは、以前にフレがビビキーの潮騒をぶんなげてしまって復活してもらったときにGMから説明をしてもらっていたので本当です。
 でも、今回のアカハックの問題にこれが適応されるかどうかは…ちょっと私にもわかりません。
| だいごろう |
>だいごろうさん
 
ありがとうございます。

キャラの移動とか停止はいいのですが、
アイテムの復活は適用になるらしく、今回は諦めたそうなのですが・・・

GMいわく、各アカウントごとにすると不正が行われるので契約者に1回しか許されていないらしい


ハックで無条件復活ならフレの解約を止めようと思うのですが・・・

| みか |
公式サイトの「不正アクセスについて」より、
※「ゲームデータの復元」は、お1人様1回のみに制限させていただきます。なお、アカウントを複数ご使用の方についても、いずれかのアカウントに対する1回のみの対応とさせていただきますが、同時のご依頼であれば複数のアカウントに対する措置も承ります。 ※

ということですから、
・1アカウント複数キャラ
・複数アカウント複数キャラ
いずれのケースも巻き戻しは可能ですが「同時に依頼すること」が条件だと思います。
(つまり後だしで「やっぱり別の倉庫キャラも被害受けてたからそれもお願いします」は×)
| にゃんこ |
#途中で送信してしまった…

つまり1回ハックされて巻き戻しを受けた後再度ハックされた場合、2回めの巻き戻しは不可です。
上記の巻き戻しについての条件は公式サイトで読むことができますので、一読をおすすめします。
ファイナルファンタジーXI公式サイト>[ルール & マナー]>[不正アクセス対策]



| にゃんこ |
まだまだ認知度低いみたいだな・・・・
PC版な人はカシッとチェックしてみてください(´Д`)
| 革屋 |
こんにちわ、はじめましてです。
ちょろさんのところから、今回の情報について詳しく書かれているとあり、飛んでまいりました。
いや、以前からこっそり拝見させていただいてはいたのですが!

私もブログを書いている身ですし、周りにPCユーザーもいますので、この情報をさっそくバラまこうと思います!情報ありがとうございました。

こういったことがきっかけというのも皮肉なのですが、こちらのブログのリンクをいただいてもよろしいでしょうか?問題があればすぐはがしますので、ご一報ください。当方のブログは↓
ttp://fuhtaru.blog.shinobi.jp/
です。よろしくお願いします。m(_ _)m
| ふぅ |
>にゃんこさん

ありがとうございます。
ハッキングでもやっぱり1回なんですね。
貴重装備もっていないのなら解約したほうがよさそうですね。

皆さんご説明ありがとうございました。
| みか |
こんにちわw
他サバでFFやってました。
本日16日午前1:50頃アカウントハック受けました(´・ω・)
記事に書かれているような問題(Winupdateのフリーズ、POL起動時にのエラー)はありませんでした。
が、エラーコード:POL-1039が表示されFFから弾き出され、POLへのログインすら出来ずで、現在に至ります。

アカハックについて何か分かったらまた書き込ませてもらいます。ではでは(´・ω・)ノシ
| すなふきん |
初めまして、こんにちわ。
ブログに今回の記事のリンクと転載をさせていただきました。
もし不都合ありましたら消しますのでご連絡ください(⊃д⊂)
ttp://yaplog.jp/purecherry/
です。

フレが被害にあっていました…、アカハックはどうにもならないものなのでしょうか(´;ω;`)
| くれあ |
私のは大丈夫そうです。情報ありがとう!それにしてもFF専用マシンにしてるとはいえ、ハックされてるんじゃ・・・という恐怖が拭い切れない(´;ω;`)
| あこ |
こんにちは、自分のブログに貼らせて頂きます。
(URLはこんなご時世なので張りません(〃▽〃)

当記事でPCに疎い自分がわかりずらかった所があったので
勝手に補足文を。(間違っていたら指摘下さい)

・「フォルダオプション」の場所
スタートメニューの「マイドキュメント(じゃなくても良い)」を開いて、メニューバーの「ツール」の中に「ファイルオプション(0)」があります。
・「 保護されたオペレーティングシステムファイルを表示しない(推奨)」の場所
フォルダオプションの「表示」タブの中の一番下にあります。チェックがついていたら「オン」ということです。
「オフ」にするにはチェックをはずして、「適用」ボタンを
押した後(このとき警告ウィンドウがでますが、あとでまたオンにしておけばよいでしょう)、「OK」ボタンでウィンドウを閉じます。
・「ファイルの詳細検索オプション」の場所
スタートメニューの「検索」を選んで、「ファイルとフォルダ全て」の中に「詳細設定オプション」があります。
革屋さんのいっている、3つにチェックを入れて、「ファイル名の全てまたは一部」に「wzcsvbxm.dll」を入力して「検索」ボタンを押します。
| toorisugari |
> ふぅ さん
今回の内容はちょろさんのところの方が詳しいようなw
1つと言わず2つでも3つでもリンクOKね('Д')b

> みか さん
悲しい選択だよね・・・・
もちっとなんとかして欲しいもんだ

> すなふきん さん
もう今回は被害広がりまくりだな・・・・
根本的なところをもう少しなんとかして欲しいわ;;

> くれあ さん
今回のは身近なところに出るレベルになってますね
フラッシュは普段から意識してない人多いだろうからねぇ

> あこ さん
これからも注意を払っていきましょう
またなんか新しい手口を発見したらここに書いていくよ

> toorisugari さん
自分は要約しか書いてなかったから解らない人も居たかもですね
詳しい説明ありがとー

| 革屋 |
ここ一連の&さんのアカハク対策記事には本当に助かってます!GJ&/salute
スクエニには、他のオンラインゲームにあるようなセキュアなアカウント処理の実装を早期に実現して欲しいですね。

今このコメントを書きながらオンラインスキャンしたり検索かけたりしてますが、こういう情報とか対策とかが必要な人たちって物凄くいっぱい居るだろうと思いますので、今後も有益な情報があれば是非よろしくお願いします。
周りのフレとかにも出来る限り伝えておきます!
| trimax |
自分もらいるさんと同じように

HKEY_CURRENT_USER¥S-1-5-21-172231942-2817991156-512462977-1003Software¥Microsoft¥Search Assistant¥ACMru¥5603

というところに

000 REG_SZ wzcsvbxm.dll

というものがでてきました

ウィルスチェック、ファイルチェックでは一切引っかからなかったのですがここだけ出てきました
怖くてPCでログインできません(´Д`;)ヾ
| ぷに |
> trimax さん
ここまで問題になってるんだからなんとかしてほしいよなぁ

> ぷに さん
「Search Assistant」がキーワード
これは検索履歴だから大丈夫
| 革屋 |
そうなのですかっ

革屋さんのこの記事でファイルチェックの項目で※2が書かれていたので、レジストリチェックの方は関係ないと思っておりました

知り合いの人に同じ様にチェックしてもらうとでなかった、と言われたので一人不安になっておりました(´Д`;)ヾ

ありがとうございました_(._.)_
| ぷに |
読んでたら怖くなってレジストリエディタでチェックしたら000 REG_SZ wzcsvbxm.dll出てきました;;
PCのHDDが調子悪いのもありPOLが最初だけ再起動?になるのかなーと思ってただけに不安が・・・
ウィルス関係まったく無知なだけに怖いですねorz

toorisugariさんのわかりやすい説明ありがたかったですm(__)m 
| ちぇ |
> ぷに さん
サーチの履歴は自分で種まいて収穫してる感じになっちゃってましたね
ちょっと誤算(´Д`)

> ちぇ さん
POLが最初だけ再起動ってのは通常は出ない反応なんで
詳しくチェックしてみるんだ('Д')
| 革屋 |
初めまして。
ハックなんて他人事かと思ってたらレジストリにあのファイルが(-_-;)
急いでPC初期化&再インストール中・・・
パス抜き前だったようなのかな。POLにはすんなり入れました。
まだまだ業者は諦めてないようですので、フレにも気をつける警告いってきます(T_T)
| ひなた |
自分でファイル検索した履歴かもしれんので落ち着いてキー内容を見るんじゃぞ(´・ω・`)
| 革屋 |
無事終了とおもって再検索
またあるΣ
と思ったら、履歴なのでしたね。
革屋さんのコメントがなかったらまた再セットから始めるところでしたw(ちゃんと読んでおけというつっこみは聞こえないふりで・・・)
ありがとうございましたw
| ひなた |
そこで安心しないでこれから先も自衛を意識するんじゃぞ('Д')
| 革屋 |
はじめまして、こんにちは。
遅ればせながら、記事へのリンクをさせていただきました。
まだ自分の周りには被害にあった人は居ませんが、いつ自分も・・・と考えると、本当に怖いです。
| せいじゅ |
他人事では済ませれないくらい広がってますからねぇ・・・
はやく根本的なところの対策をして欲しいぜ(゜ーÅ)
| 革屋 |
はじめまして おじゃま致します。
こちらの記事を拝見してレジストリの検索をかけたところ
しっかりいてやがりました(つд・)
PCにはたいしたファイルもないし、知識もないのでw
この機会にクリーンインストールしておこうと思います。

ワタシのブログでこちらのサイトを紹介させて頂きました。
ttp://abell.blog72.fc2.com/
事後になり申し訳ありません。
問題がありましたら削除しますので宜しくお願いします。
| あべる |
ぎゃー2回も貼ってしまいました。
申し訳ないです;;
| あべる |
直しておいたー
サーチてのは気を付けないと自分の検索履歴が引っかかる場合があるんで
そこらはチェックしておいてね(´・ω・`)
| 革屋 |
While I agree with this on about a 95% basis, I feel that a few things are missing from it. While I understand these are the ‘basics of the basics’, I am a little fretful that you have only really stressed upon grammatical and lexical knowledge and its importance. There is an underlying necessity that others tend to forget, and it is the “flat post”, or the post without dynamic. On top of a broad lexical understanding, and a solid grammatical foundation, roleplay requires one to be imaginative in their writing. . . Not just in character creation, but how they write. The way that you describe something also affects the tonality as much as punctuating in right. This doesn’t necessarily rely on knowing a lot of words, but being artistic enough to put them together. While this does depend on the style of roleplaying, every player should have a clean balance of ACTION and DESCRIPTION. I have noticed far too often that posts are either heavily descriptive with very little to respond to in any practical sense, or far too filled with action that it’s utterly boring to read because of the lack of imagery. This is really where you want to spend your ‘extra time’. Generally, if you run a post through MS Word, it should catch MOST of your mistakes, and the few that may be left aren’t anything that will bother anybody. This takes a whole of three seconds, honestly. Most of the time you spend with your post should be making it sound nice, fun to read, easy and fluid, et cetera. All of this has to do with words and language, and is entirely relevant, really. More or less, I feel like while the basics are listed here, the actual purpose of their application (aside from the great punctuation example) is not illustrated. Many posts I’ve read have had great grammar, punctuation, and a diverse vocabulary?sometimes OBNOXIOUSLY diverse, the kind where you have to grab a dictionary because somebody got word-happy with theirs, yet their post is still utterly atrocious because they have no
| toms shoes outlet |




http://and2u.jugem.cc/trackback/1596
アカウントハック - またかとは思いたくない
もうウンザリハックが当たり前になりそうで怖いアンジェラです(´・ω・`) 実は先週、フレがアカハックされました。 二人目ですわよ・・・。 二人目ということもあり、本人も周りのみんなも落ち着いて?対処したようです。 えーまた?もう気をつけろよ〜。何
| [FFXI]アンジェラート | 2008/07/15 11:54 PM |
またまた流行のアカウントハックについて。
いつもお世話になってます。周囲への周囲喚起&対策紹介のため、トラバはらせていただきました。ホント嫌な状況ですね(-_-;)。スクエニがどうのというか、警察と立法がもっとちゃんと考え、動いてほしいと思いました。
| 樽遠バーストII★100W | 2008/07/15 11:10 PM |
みなさん、注意してください!
またまた、アカウントハック問題が横行しているそうです! れおちゃんも、どうやらやられたらしい・・・。 みんな、気をつけるんだ!! こちらのブログ ttp://and2u.jugem.cc (はじめのhを抜いて、2文字目のtは大文字にしてあるよ) に詳しい事はのって
| 〜FFXI〜 ソロ猫気まま旅 | 2008/07/15 2:25 PM |
【重要!!!!】 PCでFFの方は、全員対象者です
久々の記事が、アカウントハック問題関連ってのが悲しいね(´Д⊂ アカウントハック問題の件で、詳しい内容が出てきたようです 革屋さんが詳しく記事にされてます。 ■FF11■ある革職人の軌跡:※PC版FFをプレイしている人へ ---------------------------
| FF11で、まったり(´・ω・`) | 2008/07/15 11:33 AM |