ハルコタン紀行

釣り

フィッシング詐欺にご注意ください
FFXIをプレイしている人向けの、ウイルスというよりフィッシング詐欺の記事です。
以下のようなtellが送信されているようです。

長い空白か改行で複数行に見せかけています(通常のチャットでは不可能な長さです)。
URIを開くと以下のようなフィッシングサイトです。

http://www.playonline.tc/complaint.html
http://ff11.sdo.ac/complaint.html

リンクシェルコミュニティのUS版に似ています
(画像やCSSなどをオリジナルから取得するので似ていて当然です)。
本物のリンクシェルコミュニティと比べてみましょう。

フィッシングサイトはSquareEnixアカウントやワンタイムパスワードまで要求します。
何か後ろめたい事がある人(RMTをしたことがある人など)がIDやパスワードを入力すると
以下のようなリクエストが送信されます。
http://ff11.sdo.ac/savefeedback.asp?NEXT_FORWARD_NAME=loginAccountList&zh=POLID&mm=POLパスワード&szh=SEID&smm=SEパスワード&kl=ワンタイムパスワード
この時点でアカウントの盗用は完了するはずですが、続きがあります。

Agree(同意する)ボタンのリンク先は
http://ff11.sdo.ac/complaint.exe
となっています。
何か後ろめたい事がある人(笑)がこのバイナリを実行すると
hostsが削除され、flasha32.dllがシェル(explorer)をフックします
(別記)。

ところでこのサーバーは何者でしょう。
FFXIのUS版に似ている画面の上をダイアログが動き回ります。
http://ff11.sdo.ac/

「ログイン」をクリックすると

元はLotROのフィッシングサイトのようで、検索すると
lotro.sdo.ac
が見つかります。
サブドメインは何でもいいようです。
www.sdo.ac
foo.sdo.ac
bar.sdo.ac
hostsでのブロックはあまり期待しないほうがいいでしょう。

日本人ですとac.jpのようなまともなドメインと勘違いしそうですが、
acはアセンション島です(教育機関はeduです)。

これほど役に立たないwhois情報は初めて見ました。

CNですが、IPアドレスはアメリカのフロリダです。

2009-08-10
2009-08-12

更新されました。
FFXIの日本版に似ている画面の上を「上訴」(笑)ダイアログが動き回ります。

「こちらから」をクリックするとcomplaint.htmlに行きます。

雑な仕事は嫌いです。

2009-08-12
2009-08-15

更新されました。
http://ff11.sdo.ac/

→http://ff11.sdo.ac/ff11.html

 →http://ff11.sdo.ac/download.html

→http://ff11.sdo.ac/ff11us.html

 →http://ff11.sdo.ac/downloadus.html


2009-08-15
2009-08-16

更新されました。
セキュリティパッチ(笑)。
http://ff11.sdo.ac/
→http://ff11.sdo.ac/ff11.html

 →http://ff11.sdo.ac/download.html

→http://ff11.sdo.ac/ff11us.html

 →http://ff11.sdo.ac/downloadus.html


2009-08-16
2009-08-20

新たなドメインも投入されました。
http://www.playonline.tc/

CNですが、IPアドレスはアメリカのフロリダです。

テーマ:セキュリティ - ジャンル:コンピュータ

  1. 2009/08/10(月) 21:34:44|
  2. ウイルス
  3. | トラックバック:0
  4. | コメント:2
<<エキストラジョブ | ホーム | インジェクション>>

コメント

Re: IPをふさぐしか…。

そうなんですよ。「hostsでのブロックは~」はその意味です。
IPでブロックするか、*.sdo.acみたいな指定ができるFWでブロックするしかないです。
一応ff11、ff11us、lotroあたりが投入されているようです。
  1. 2009/08/12(水) 19:47:21 |
  2. URL |
  3. Ilion #-
  4. [ 編集 ]

IPをふさぐしか…。

突っ込みどもですー。
アレは判例だったのですね。
沢山サブドメインが登録されているのかと勘違いを。
でも検索かけても芳しい結果が出てこなかったのでもやもやしていたので助かりました。ありがとうございます。

アドレスが動かないのであればPG2で
ff11~で出てきたIPを塞いでしまったほうがよいのかもですね。
  1. 2009/08/12(水) 19:31:12 |
  2. URL |
  3. まとめ臨時 #7auZhdRk
  4. [ 編集 ]

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://ilion.blog47.fc2.com/tb.php/147-4f2592dd
この記事にトラックバックする(FC2ブログユーザー)