GENOウイルススレ　★23

声優個人の中村繪里子スレより。
ラジ関のアニラジサイトanitama.comがやられている模様

> 282 名無しさん＠お腹いっぱい。 [sage] 2009/12/15(火) 17:48:43 ID:TnBI7JUt0 Be:
> ありがとう、その辺が妥当かな？
> ちと聞いてみる。
>
> とはいえ、xnxx-com.nu.nl.w3-org.goldgolfbag.ruなんてドメイン使うってことないよね？

> 283 名無しさん＠お腹いっぱい。 [sage] 2009/12/15(火) 17:56:33 ID:7Tpx8wr40 Be:
> よくわからんけどキャッシュの方のソース見ると最後の一行が入ってないね

> 299 名無しさん＠お腹いっぱい。 [sage] 2009/12/15(火) 18:50:45 ID:zA943d8b0 Be:
> anitama.comのページ全部やられているような気がする。

> 300 名無しさん＠お腹いっぱい。 [sage] 2009/12/15(火) 18:52:16 ID:TnBI7JUt0 Be:
> >>297
> Adobe Readerを更新してなかったスタッフがいたんじゃないかなぁ。
> Javaと一緒にChangeLog.pdfってのも読み込ませようとしてたから、まず
> その辺かなという気がするよ。

http://changi.2ch.net/test/read.cgi/voiceactor/1260365719/

先に書き込みありましね、勝手ながら注意喚起のため緊急浮上でage

中村繪里子スレの住人です。

インターネットラジオのページだけは大丈夫のようです。
各ページからは直接リンクではなく、javascriptで別ウィンドウを開く作りなのが功を奏したか。
もし番組を聞かれる方は直接飛んだ方がいいかと。ttp://anitama.com/radio/radio.html

アニやまのHPにアクセスしたらおかしくなった…
アンチウイルスソフトいれてないんだけどヤバイですか？

Adobe Readerつかうより
Foxit Readerの方が安全と言えるだろうか

>164
>1の「更新」関係で抜けがあったらご愁傷さま

>>165
FoxitReaderにも似たような脆弱性なかったっけ
勘違いならｽﾏｿ

SecuniaがAdobe Reader危ないとうるさい

>>165
個人的には気休め程度には安全かと
Adobe Readerと同じ脆弱性が他のPDF Viewerにないとは言い切れないから
それより利便性は落ちるが、プラグインは切ってブラウザに連動させて見たりせずに
ダウンロードしてから見るようにしたほうが安全な気がする

あとゼロデイの脆弱性がAdobe Reader 9.2以下で発生している模様
詳細が不明なので対策しにくいが・・・
ttp://blogs.adobe.com/psirt/2009/12/new_adobe_reader_and_acrobat_v.html

このウイルスって、同一LAN上のPCは感染しますか？
アニ●マをネットブック（Puppy Linux4.3.1-jp　SeaMonkey 1.1.18）で表示していて（ネトラジを聴いていて）、
他の作業を同一LAN上の他のPC（WinXP 一応>>1の対応は済）でやっていたのですが。
念のためネットブックは隔離、様子見中。

…めちゃくちゃおもたくなってきた。
まうすかーそるも長ゆっくりしか動かない

アニオタがダイ終結してるのか
とりあえず再インストールして
>1の更新関連をしておけ

>>170
Linuxでは感染しないので同一LAN上にWindowsがあっても大丈夫
またLAN上で動作するようなことは確認されていない
アップデートで対策をしているなら安心していい

>>173
レスとんくす。
安心しました。Linuxでは感染しないのですね。
ほっとしました。
ちなみに>>171は自分ではありません。

>>169
JavaScript切ればとりあえず回避できるとかあった

Adobe 0-day in the wild - again
http://isc.sans.org/diary.html?storyid=7747

>>175
乙
このスレの住民ならAcrobat Javascriptは切ってるだろうから問題ないな

>>158
> Virustotalのアップロード部分に、.phpのURLを入れてみた。
これは無理

> パソコン内のファイルじゃないとだめなのかと思って。
そういうことです
アップロードしたファイルを確認できるのはそのファイルを持っている人だけ
VirusTotalからDLは不可能
DLできちゃったら危ないからね

ところでアニたまのウイルスは本当にGumblar系か？
似てはいるがスクリプトの挿入位置や内容が違うような
いままで <script>/*GNU GPL*/ こんなのなかったしカスペで反応しない・・・
あるいは新型のスクリプトなのか

結果: 0/41
ttp://www.virustotal.com/jp/analisis/dc4976e67b5e917aa732cbec56d3cd9d6ec8066a39ff75228fbac00aa4464ce6-1260889054

糞ジャンクショップ GENO 閉店…店舗販売を終了しWeb販売のみに
http://tsushima.2ch.net/test/read.cgi/news/1260873784/

やっぱ例の事件の影響があったのかな？

>>178
本体じゃないから反応しないだろ
ノートンで行くと反応した

>>180
なるほど本体バイナリは同じか
スクリプトが大きく変わったんだな

>>161-163
これはいわゆる8080系イジェクションで、gumblar(geno)じゃないよ。
使う脆弱性はおなじみFlashやAcrobatなので対策は同じ。

>>176
ついでに。
ttp://www.shadowserver.org/wiki/pmwiki.php/Calendar/20091214
Right now only 5 out of the 41 different Antivirus vendors used by Virustotal are detecting this threat.
Even then their detection appears to be generic and is not currently specifically detecting this exploit.
The 5 vendors to detect the threat are:
(McAfee-GW-Edition) *note this is not the same as McAfee Desktop or Mail Server Edition
(eSafe)
(NOD32)
(AntiVir)
(Kaspersky)

補足するとMcAfeeのGWは旧Webwasherで、McAfee+何かという構成で
VirusTotalのはMcAfee+AnviVir。実質4ベンダー。
eSafeがKasperskyオプション付きなら実質3ベンダー。

ほい、anitamaの初段スクリプト。
ttp://www.virustotal.com/analisis/bc7de3f780916aeb7733fa846131d0b94c61f62e16feb140b278715d5c01015f-1260916937

アニたまスレにもレスしたけど、こっちにも
いつもGumblar追っかけてくれてる人が検証してくれてた

「アニたまどっとコム」のサイトが改ざん被害。さまざまな脆弱性を突く処理が・・・
ttp://blogs.yahoo.co.jp/noooo_spam/59274371.html

上にもあるようにGumblarではないけど、Gumblarよりもタチ悪いかもな
ってことでこれ以上はここではスレチか

>>184
さっき誤ってアニたまに飛ぼうとしてカスペ先生が遮断してくれたとこだぜｗ
まあ砂箱内のブラウザで、js切った状態だったから飛んでも問題なかっただろうが

いちおanitamaのスクリプトは各社に提出済みです。
バスターはトレンドマイクソの鯖がおかしいんで送れてないけど。

>>185
スレチではあるが同じ脆弱性も突いているウイルスだから
ここでもアリのような気もする・・・ウイルス総合スレなんてないしな

アニヲタ撲滅運動か？？

>184
今はカスペだけか、恐いな

検出の仕方にもよるからカスペだけとは限らない
現にノートンでも検出する

アンラボ？とかいうので駆除してみたんでもう大丈夫ですかね？？

>>188
ページ改竄の総合情報スレ的なものってないのかな？

ちなみにアニたまは公式アナウンス来た
一応あのスクリプトは取り除いたみたいだが、まだ調査中の模様
完全に安全になりました、とは言えないな・・・

>>189
むしろ頑張れって感じだなｗ

>>193
アニたまに関しては、今のところスレチだ他でやれ的なレスも
ないようだからここでやってもよさそうだ

しかし、ページ改竄の被害が身近になってくると
総合情報スレ的なものが欲しくなるな
新しく立てても過疎りそうだから個人的には
次スレはこれを考慮に入れたスレにしたいものだが

スレチだ他でやれ

ああいうとやっぱりこういうレスがつくよなw

アニたまのは音楽ファイル自体は大丈夫なのかのう。

>195
アニたまはいい加減スレチとして、確かに>193の「インジェクション総合スレ」っぽいのは見たい
欲張って「マルウェア・ウイルス総合スレ」にしちゃうと、分量・速度的にキリが無さそうだしな

ブラウジングウイルス対策総合スレ

>>199
たしかに欲張ると質問が押し寄せて収拾つかなくなりそうだ
ただ、範囲を絞りすぎると過疎が怖いしな・・・
検索で見つけやすいスレタイやテンプレの問題もあるが

【Gumblar】Webウイルス対策総合スレ【8080】

【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】

ではどう？　GENOと改竄を入れた方が分かり易いと思う。

なんか建てるならブラウザ戦争おこさないようにテンプラ気をつけろ

ここ来る連中にちょろいやつはいないだろうからもうここｲﾗﾈ

【Gumblar/GENO】Web改竄ウイルス情報総合スレ【8080】

ちょっと長いけどこれでどうだ？
情報って言葉を入れることであくまでも第一報やそれに準じる大まかな情報のみ扱う
で、被害が大きかったり細かい対策で情報量が増えていくようだったら
そのウイルスごとに別スレを立てて誘導していくって感じ

内容はこんな感じでどうだろ？
一応このスレの改変してテンプレも作っているが
自分も詳しいわけではないのでアップデート対策と
Gumblarについてしかまとめていない

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
被害が増加しているようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080、JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

＊＊＊ 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ＊＊＊



あとブラウザについてだが

■ ブラウザでJavascriptの使用を基本無効に設定
・Internet Explorer　ツール → インターネット オプション →
　→ セキュリティ・タブ → このゾーンのセキュリティのレベルを「高」に
・Firefox　NoScriptを導入する
・Google Chrome　-disable-javascriptで起動。
・Opera　ツール → クイック設定 → 「JavaScriptを有効にする」のチェックを外す

こうしているが他にいい案はないかな

>>207
だからそういう風に書くから粘着馬鹿につけ込まれるんだって。
個人的にはブラウザ関連の記述はあえてテンプレからは外すようにした方がいいと思うけど
どうしても入れたいなら

■ ブラウザでJavascriptの使用を基本無効に設定
・Internet Explorer　ツール → インターネット オプション →
　→ セキュリティ・タブ → このゾーンのセキュリティのレベルを「高」に
・Firefox　ツール→オプション→コンテンツ→ 「JavaScriptを有効にする」のチェックを外す
・Google Chrome　-disable-javascriptで起動。
・Opera　ツール → クイック設定 → 「JavaScriptを有効にする」のチェックを外す

とした方がいい。

なんでわざわざIE厨の機嫌取らないといけないんだよ

まあでもJavaScriptの無効方法のテンプレなのに、NoScriptが対処方法ってのはおかしいな
ブラウザ単体で切ること自体はできるんだから

なんでわざわざ火狐厨の機嫌取らないといけないんだよ

こういうのがいるからだろ

IEでも火狐でも、どーでもいいわい

>>208-213

・WebブラウザのJAVAScriptを切っておく
※切り方はググれカス(勝手に調べて下さい)

これでどないだ？(苦笑)

共通の敵がいるのになんで内紛せにゃならんのだ

ご意見どうも
ブラウザに関しては利便性の問題もあるので
応用的なことは外すほうがいいか
あまり代わり映えしないが扱う範囲が広くなるからよしとして
アップデートとGumblarくらいのシンプルなものにするかね
あとは誰か詳しい人が追加してくれるだろうし

それと
・QuickTime・RealPlayer等の更新
・VirusTotal・VirSCAN.org
・サイトチェッカー
・オンラインスキャン

このあたりは入れていないがいいかな？
とりあえず立てるにしてもいろいろ意見は欲しいところ

>>700
その共有ボタンに登録した情報から動向を探るのが本当の目的だろ
いつもの収集作業だな

ごばったけど過疎ってるしまぁいいか…

過疎ってないよ

動きがないと過疎るからなあ
総合スレは次になにかあったときのほうがいいかもな・・・

水面下で着々と怠惰な情弱共が喰われていってるくらいだな
事前に最低限の対策をしていれば当面の間は問題ない

今GENOサイトがメンテナンス中なんだが、
また何かあったのか？と疑ってしまう・・・

メンテナンスはメンテナンスですしおすし

よく分からんが、恐らく感染してるっぽいが、userフォルダをusbメモリに退避して、osクリーンインストールでおk？

その退避したファイルが〜ってオチですね

USBメモリが別のにやられてそうだよね

HijackThisのログで拾ってくれないかな？
感染した人、試してみて

>>227
VirtualBox上で感染させたちょっと古いやつだけど、HijackThisのログでは拾えなかった

thx
やっぱり駄目か・・

つかワクチンで対処ができないとかjavaって欠陥ソフトやん、どうにかしろや

ワクチンとかアンチウイルスとかが既に幻想
UACも、ウイルス系の8割が突破、通常アプリの8割がブロック

自分の責任じゃないとか言ってるうちにWindows滅びますぜ　ゲイツさんよ

>231
MSEを無料で作る程度には、責任感じてる気もする
肝心のMSEの性能はｼﾗﾈ

MSEやその前身のOneCareもどこかよその企業をいくつか買収しただけだったりする。

ソープ板から すまんこ。
アニたま系と同じやつだとおもうのだけど（ソープ店HP）
//santafe.santafe-group.com/index.html 内の最後の方のアクセス解析スクリプト
//santafe.santafe-group.com/acc/xenoLogger.js
が乗っ取られてるみたいで ロシアにご案内されてしまう。

地味に被害が広がっていて、管理者側も依然手を打ってない模様。

専用スレでも立ててage放しにして警告しといたほうがいいのかな？
3行ほどでアドバイスいただけないかしら。

>>231
ゲイツは08年6月27日に退職しとるがな

>>234
Gumblarじゃない
--
document．write（acCODE）; ／*GNU GPL*／ try{window．onload = function（）{var 以下略
--
参照
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102

>231
OS・アプリ・Flashの更新関係は全部チェック、ブラウザも極力最新版を
無料でもセキュソフトは必須、未対策は感染を広げる(偽セキュソフトに注意)
不安ならブラウザとPDFソフトのJavascriptはOFF、後者は常時OFFでもいい

ほい、3行
できる・やるべき対策はGumblarと同じ

>237は>234宛だった

言ってることは正しいんだが、安価ぐらいちゃんと打とうよ・・・

しかしGNU GPLで始まるスクリプトのインジェクション、じわじわと拡がってるみたいね
もう1個ぐらい有名サイトが陥落でもしたら、総合スレ立てても良いような

>>236-239
色々ありがとう。
メディアでの記事も参考になったし、Adobe Readerでjavaスクリプトとかあるの知らなかった。

最後にもうひとつだけ質問させて。
コレって、サーバーに侵入されて書き換えられてるの？
それとも、保守用のPCが何らかの感染しているの？

両方あり得るし、それは管理者じゃないとわからん。

管理者のPCが感染
→鯖の管理アカウントが漏洩
　→鯖に仕掛けられる
　 　→それを見た別の管理者のPCが感染
の永久ループだろ

ちなみに、adobe readerは全バージョンセキュリティホール放置中、対策版は恐らく来月中旬
攻撃コードの作り方が簡単過ぎて笑ったので、年末年始に流行りそうな予感

年末年始を狙ってくるのは確実だろうなあ
んで改ざんされたサイトの管理人が休暇中で、ウイルスばらまいた状態になったままとかorz

ところでJR東日本の公式サイトが改ざんされたとかでサービス停止してる
ttp://www.mbs.jp/news/jnn_4315368_zen.shtml

ttp://sorry.jreast.co.jp/
JR東もやられたっぽい。
只今メンテ中。

>>241,242
ありがとう。>>239さんの通りじわじわ拡大してるようですね。
件の管理者も早く気付いて欲しいところです。

管理者自身、geno技術がすごすぎて手が打てないんだろ

JR東のサイト内検索窓に改ざん 運用停止
http://www.fnn-news.com/news/headlines/articles/CONN00168905.html
社内で調査したところ、外部からの不正なアクセスがあったほか
改ざんされた画面などにアクセスした場合、ウイルスに感染するおそれもあるという。

この際、javaやめてnet　frameでええよ

Gumblar撤退？
http://blogs.yahoo.co.jp/noooo_spam/archive/2009/12/23
--
asianmotors●co●in ←危険
ここって、インジェクションの実験場に使われてる？
*GNU GPL*に酷似した(同じ？)
＜script＞／*CODE1*／ try{window.onload = function(){var
こんなのが転がってるんだが･･･
※Gumblarは残ったまま

ここも凄い事になってるなw
tp://www●cafekamrans●co●uk/

＞＞249-250
どんな感じなんだ
一回見てみたいんだがチキンだから見れない画像うｐしてください＾ｑ＾

Firefoxで頭にview-source:付ければいいだろ

>>249
code1は8080系だね。前はGNU GPLとか書いてた奴。

上げてください＾ｑ＾

自分で見れないレベルなら見てもわからんと思うよ

>>251
249と250もチキンだからな

JR東日本のサイト改ざんはGamblar亜種
ttp://www.jreast.co.jp/apology/20091223_restart.html

不正アクセスにより改ざんされたページ及び期間
JR東日本ホームページ内キーワード検索
2009年12月8日（火）21：40〜12月21日（月）23：55
大人の休日倶楽部内の東京講座ページ
2009年12月18日（金）11：00〜12月22日（火）21：00

久々に見にきてみれば、JRもGENOか

検索だけじゃなかったのか

>>256
よう、腰抜けw

スペル覚えにくいけどGumblarね

>>261
Gumblarなのね、覚えた

>>256
ほっといたらいい
URLしか貼り付けれない奴らだから

GENO怖くて4月からもうずっと専ブラで2chとふたば見るだけのネット生活だ…

【GENO出世】JR東のサイトにアクセスしたユーザーにGENOウイルス感染の恐れ
http://tsushima.2ch.net/test/read.cgi/news/1261575712/

GENOウイルススレ 23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

>>266
誤爆したスマソ

ここまでGENOで定着してしまうとはね・・・アメリカの企業だったら名誉毀損で訴訟起こすレベルｗ
そりゃインジェクションされたGENO側が悪いのも分かるけどさ・・・
JRが真っ先にやられてたらJRウイルスとでも言われてたのだろうか？

>>261

「ガンバレー」に見えてしまう

ガンプラに見えてしまわない

機動戦士Gumblar

vistaでDaonol感染した。
UAC切ってたからだと思う。
7のインストールディスクのコマンドプロンプト使ったが、midi9がないので、更なる亜種みたいだわ。
復元ポイントに戻ればいいみたいだが、生憎vistaのインストールディスクがなくてなおしようがない…

>>272
Vistaで応用できるか分からんが、KNOPPIXから修復する方法がある
ttp://pctrouble.lessismore.cc/boot/recover_registry.html

JR東日本のサイト改ざん、Gumblarの亜種は間違いで/*GNU GPL*/らしいな
Gumblarが撤退をしているようだから、これから8080系が流行るのか・・・
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/#20091224__JR

8080系って電車みたいだな

>>272
midi9見えてないだけかもよ

>>268
GENOは対応の仕方がまずすぎたな

>>273
ありがとう、試してみる。

>>276
ん〜、削除しようとしても見つからないって言われるし、展開してみても見つからないんで、とりあえず>>273が教えてくれたのを試してみる。

今度はJREか…

>279
3秒くらい、JR東日本とJavaランタイムのどっちか混乱した

今度の8080系がアニたまウイルスと命名されないか、心配だぜ
なんかso-netの記事見てると、分かりやすくするためだろうがやけにアニたまって言葉使ってて・・・

ここで命名しない限りそれは無い

ちゃんと閉鎖・発表してるのに命名されるのは可哀想だ

/*GNU GPL*/や/*CODE1*/などの8080系でAdobe Reader 9.2(最新版)の
脆弱性を突いたPDFファイルが落ちてくるようになった模様

対策は >>1 の「Acrobat JavaScriptをオフ」にすること

新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106

ついにきたか
さてと、どうすっかなぁ

年末年始休暇の間に職場の全PC設定は勘弁してほしいな

Adobeの次はJava。GENOウイルスの第二波が来るぞー(^o^)ノ
http://tsushima.2ch.net/test/read.cgi/news/1261786925/

http://www.google.co.jp/search?hl=ja&hs=91M&q=%3Cscript%3E%2F*CODE1*%2F+try{window.onload+%3D+function%28%29{var+-co.jp

AdobeReaderの設定ってユーザーごとなのね。めんどくさ。
例 AcrobatJavaScriptの設定
HKCU\Software\Adobe\Acrobat Reader\9.0\JSPrefs
bEnableJS
(HKLMには無い)
ドメイン環境下ならポリシーでばら撒けばいいのか?

>>288
無いなら無いでHKLMにキーを作ってしまえばいいのでは？
Adobe Readerの設定の方からは有効無効を切り替えられなくなるだろうけど。

無駄な情報だったらゴメンこ
現在pixiv一般デイリー３位の人のサイト、踏むとウイルス検知されるみたいなので行かないように
他板のスレでGENOチェッカーで反応したというレスあったので一応念のため

GENOチェッカーとか未だに信じてる奴がいるなんて…

>>291
ああ、ずっとスレ見てなかったからそういうの知らんわスマンね

GENOチェッカーはともかく
/*GNU GPL*/に感染してるな・・・
avast!のWebシールドも反応する

>>289
確かにHKCUからbEnableJSを削除してHKLMに作成した場合は
HKLMを見てくれるようだ。
でもHKCUとHKLMの両方にあって設定が異なる場合は
HKCUのが優先されるからやっぱりだめだ。

www.openspc2.org/reibun/Acrobat9/javascript/app/001/sample/sample.pdf
で動作確認。

Adobe9.2の脆弱性って８や７には関係ないの？

ほれ
ttp://www.jpcert.or.jp/at/2009/at090027.txt

>>297
ありがとう。7は平気なのかな

だめじゃね? 1年以上前にサポート終了してるから特に書いてないだけで。

もしサポート切れてる7使ってたら、その時点で今回の脆弱性云々の問題じゃないだろうねｗ

>>293
ついこの間、やんちゃにはっちゃけ暴走かましてくれた
avast!って正気に戻ったの？

>>300
いつの話だよ…。大きな誤検知騒ぎは速攻で修正されるわ。
ノートンだろうと何だろうと。

速攻じゃなかったろｗ

>>301

ホンダのHPがGENOウィルスに感染
http://tsushima.2ch.net/test/read.cgi/news/1261839070/

>>304
うわ〜ついに車関係も。

>>304
↓ここをGoogleのキャッシュで見ると/*GNU GPL*/の記述があるな
ttp://www●honda●co●jp/STREAM/safety/

そろそろ総合スレ立てたほうがいいかね？

GENOじゃねえだろ

JR東日本と同じで8080系と区別がつかんのだろう

GENOにかかったっぽいのですが
システムの復元でかかる以前の状態に戻せば
クリーンインストールせずに済むのでしょうか？

>>309
このスレはクリーンインストール推奨
できれば安全なPCからパスワードも
変えたほうがいいくらい
自己責任でどうぞ

最近は8080系のほうが流行っているから
本当にGumblarかも分からないし

>>310
そうですか・・・
クリーンインストールをするということはＣもＤも
プログラムもファイルも全て消えて
ＰＣを買った時の状態に戻るという認識でおｋですか？

>>311
メーカー・パソコンのリカバリならそうなるかも
残せるかどうかはマニュアルをよく読むしかない
どちらにしても重要なデータはクリーンインストール前に
USBメモリなどにバックアップしておくのがいい

>>312
明日ＤＶＤ−ＲＯＭでも買って大事なデータをバックアップ後クリーンインストールしてみます。
ありがとうございました。

あ、そのバックアップからまた感染という事態も起こりうるんでしょうか・・・？

>>313
ない、とはいいきれないが、実行ファイルでもない限り大丈夫だと思う
まあ念のため安全な環境から、バックアップデータをウイルススキャンするのもいいかも

>>314
ありがとうございます。
消すのに惜しいプログラムも多少ありますので・・・
明日おっしゃるとおりにやってみます。

Gumblarが戦略的撤退中で8080系が活発に活動。それもゼロデイ突いてくるというおまけ付き

そろそろ総合スレの時期が来たか
スレタイ>>206辺りで良いんじゃないかと個人的には思うけど、GENOって文字含むかどうか難しいなぁ・・・
後テンプレで無駄な論争になるのもなんだかなぁ・・・

8080なんかで検索しねえだろ
そんな名前で呼ぶやつなんて一人くらいだろうし

8080よりむしろGENOのがいらないと思うが

テンプレから無駄な論争に発展しそうな要素を排除すればいいだけだろ。
ブラウザのJavaScript関連なんてテンプレに書く必要ないと思うわ。

ウェブ改竄や脆弱性をついた攻撃であることが分かればいいだろ
8080なんてなんでいるんだよ
それならGENOや/*GNU GPL*/や/*CODE1*/とかのがよっぽどいい
こんなことで争うつもりはないが8080はないよ

スレタイでもうこんな状態かよｗ
総合スレなんてもうどうにでもな〜れ(AA略

固有名詞ならGumblar（ガンブラー）（系）表記が正しいけど、
GENOウィルスって名称は普通名詞だから、通称表記ならGENOウィルスだね。

タイトルなんて分かれば良いんだけどさ
さすがにGENOは一番有名な呼び名だからいるだろ

だから　GENO（系）ウィルススレ　でいいんじゃね？

GENOには悪いが
もはやGENOウイルスはウェブ改竄による脆弱性攻撃の総称になりつつあるな

このウィルスってVistaとWin7には無害なんでしょ？

これ感染するとどうなるの？

テンプレは用意してあるがブラウザのJavaScript関連は入れてない
セキュリティ・アップデートのみまとめてある

あとスレタイについては
【8080系ウイルスについて】
という簡単な説明を入れてあるので反対意見もあるが8080は入れたい

>>206 は残念ながら長すぎて入らないので現スレタイ案は
>>203 となっている

とりあえず正式名称と検索でGumblar/GENOは必要と思う
そうすると残りは/*GNU GPL*/と/*CODE1*/だが長くて入らないし
表記が変わるかもしれないので8080の総称を、と思うんだが・・・

>>328
テンプレ用意してあるんなら、このスレとは別に立てればいいじゃん。
このスレのスレタイは今後も　GENOウイルススレ　だよ。

>>328
次スレ（笑）
http://pc11.2ch.net/test/read.cgi/sec/1245402584/

立てた
追加テンプレ、サンクス

【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/

抜け、間違いがあれば指摘よろ

ノートンだと8080系で侵入防止が働く

>>318
まだ世の中ではＧＥＮＯという呼称が一般的かと

>>319
それはこまる。ヘボ庶民としては。

>>333
×世の中
○2chの中

>>332
たしかにノートンで侵入防止が働きました。
一安心？

ふと思ったけど、
これって、8080の外行きをブロックしちゃえばOKか？

意外に対策しやすいオチ？

みんながブロックしたら80にするだけだと思うんだ
8080はたぶん串

だから8080なんて呼ぶなよ
頭悪いだろ

GENOのが頭悪い

頭悪いは良いぎだが
そう呼ぶ理由がない

実質そう読んでるのは一人だろ
なぜか普及させようとしてるようだが

ポート8080を使う改竄は、海外メインで他にもあるらしいからなあ…
って、これ以上は総合スレ出来た以上スレチか

>>322

GENOに感染してると100％わかるサイトチェッカーってある？

むしろ感染してたら迷惑なので、さっさとネットから切断して欲しいんだが

GIGAZINEが感染してる
注意せよ

注意喚起あげ

今見たけど見当たらないような

Nortonセーフウェブでもgredでも異常なしだった。
どこが感染してるの？

GIGAZINEはAvastの誤検知のやつじゃねえの？
ちゃんと確認したのかよ

>>347
PCニュースにスレ立てるとかGIGAZINEにメールとかはしたの？

GIGAZINEは無罪
またavastが、やらかした
http://pc11.2ch.net/test/read.cgi/sec/1260287998/897n-

ソース見たけどって・・またavastか

誤検出かどうかも確認しないで条件反射で騒ぎ立てる奴は消えろよ
アホか

すまん… orz　By avast

HTMLわからんのに感染てるって言い切るところがかっこいい

しがぬけたけどどうてもよかった

こんな短期間にまたも語検出暴発再発とは…。
さすがにこれでもうavast使うやつはいなくなるだろ。
これでまだ使うのはマゾか頭がイカれてるかどちらかだ。

スルーされて感染するよりか誤検出のほうがマシという考えもあるからね
avast使い慣れてるし便利な機能もあるからサポートが切れるまでは乗り換えは眼中にないかな

ユニメル騒動に釣られたデジタルマガジン　今度はGENOウイルスに感染か？
http://tsushima.2ch.net/test/read.cgi/news/1261936729/

■カスペルスキー
初期設定が明らかにまずいから変更推奨。
GENOに特化しているがそれ以外は微妙。
癖があってアプリやwinupdate時に誤作動起こしたり勝手に削除される事あり。

■マカフィー
御三家では地味な印象。
シンプルでそこそこ軽い部類だけど対応が甘く信頼しきれない。

■ウィルスバスター
ガチ重い。
無駄にリソース喰いで受けていないテストも多く検出能力は眉唾、過去に盛大なやらかし有。

■ノートン
初期設定がまずいから要設定。常駐時は軽いがスキャンは遅い。
定義更新でたまにやらかしたりFIREFOX3.5xとの相性が微妙。
2010実装のSONAR2はGENO亜種などの未知のウィルスに対応しているが設定変えないと
強力な誤爆（＝デフォルトだと強制削除）をくらう可能性ありで注意。
多機能でアドオンとインサイトなどの連携機能は優秀。
OSは安定性考えるならVista以降を推奨。

■ESET
軽くて割とシンプル（機能面でちょっと物足りないかも）。
検出能力は普通か。過去に一度だけ盛大なやらかし有。


誰でも知ってる市販の有名どころを出してみたが、ぶっちゃけ、どこも一長一短ですな。

いきなりどうした？

男ならアンチウィルスもFWも必要ない！
常時ノーガードだ

esetなんて有名でもなんでもないが…またアレな人かｗ

この手のウイルス感染って
やっぱりみんな管理者権限で普段から使ってるってこと？

だってじゃないと不便だし・・・

っていう層が大半だからだろ

DropMyRightsってソフトいいね
マイクロソフト製だし（未サポートソフトだけど）
普段管理者権限で使ってるけどWEBアプリとかこれ通して起動したら
そのアプリはユーザー権限に下げられる
GENO対策にいいんじゃない？

そんなの使うやつなら
もともとGENOなど感染しない

Viｓtaユーザになる

GENOじゃないけど
最近のパスワード流出はソフトの設定読み取るのもあるみたいだから
権限関係なかったりする

そもそもユーザー権限とか基本的には関係ないし。
単にアップデートを怠っている馬鹿が引っかかるだけだろ。

ユーザー権限関係ないっておかしくね？
感染PCシステムファイル変更されてるみたいだけど
ユーザー権限でシステムに変更加えられるの？

>>362
GDATAが入ってないとな！？

>>373
だから「基本的には」だろ。
やるべきことさえきっちりやっておけばシステムファイルの変更なんてされないんだから。

これ感染したらどうなるの？

信越放送ＨＰ　不正アクセスされ改ざん　閲覧した人はウイルスに感染した可能性
http://tsushima.2ch.net/test/read.cgi/news/1261989823/

>>287
実害はこれの10倍以上はあるだろうな

　

ん？

さて、年明け早々、Web改竄ウイルス対策を上に説明しないといけない。
うちは、被害が確認されていないけど。
これから、資料作るべか。
親会社のシステムの関係でAdobeのJavaScript切れないし、
ReaderもflashもJREも自動更新きってあるし、配布ツールないし、700台あるし、どないするべかな。
親会社からのウイルス対策案内は、「なめてんのか?」のかという内容だし(無許可のUSBメモリなど使うなとか勝手にソフト入れるなとか)だし。
はぁ〜・・orz

700台のハニーポットか…

tp://www●naito-akira●com/
新型っぽい。

>>383
GNU GPLの8080。新型というほどでは…。飛び先は
salesforce-com.tinypic.com.gameztar-com.guidebat■ru:8080/rambler.ru/rambler.ru/corriere.it/adsrevenue.net/google.com/

//www●morozoff●co.jp/

ニュー速で何やら話題になっていたようだがこれは？

GNU GPLの8080。

モロゾフの公式サイトでトロイ配布中
http://tsushima.2ch.net/test/read.cgi/news/1262611814/l50

モロゾフ、アウト〜

504 名前： アスピレーター(アラバマ州)[sage] 投稿日：2010/01/05(火) 00:05:24.72 ID:9xzGeSng
感染してるやつ

プロセス見てみろ変なのが('A`)


516 名前： カッターナイフ(鹿児島県)[sage] 投稿日：2010/01/05(火) 00:08:10.60 ID:JBW7jlI0
>>504
~TM108.tmp
こんな感じのやつ？

524 名前： アスピレーター(アラバマ州)[sage] 投稿日：2010/01/05(火) 00:10:12.00 ID:E7kbsyQA
>>516
そう

>>517
ログインしているユーザー名
systemにはいない

535 名前： アスピレーター(アラバマ州)[sage] 投稿日：2010/01/05(火) 00:12:24.54 ID:E7kbsyQA
うわあああああああああああああああああああああ
早速TELNETでユーザ名的確に打って総当たり攻撃ｷﾀ━━━━(°Д°)━━━━!!!!

ファイル抜かれるからIP変更するさらばあああああ

楽しそうだなｗ

Gumblarが読売の夕刊のトップ記事になってるね
カタカナでガンブラーって凄い違和感があるけどｗ

釣りだろ

GENO（Gumblar）ウイルススレ　★24

ガンプラー

グーグルの急上昇ワードにガンブラーがｗ

癌ブラーは転移していくぞ

p://knnn4321●chips●jp/hpblog/p-18044●html

かなりヤバい

avastたん入れるしかないのか

>>397
新種か？

>>397
なにもないぞ

うん？

prototype.jsに仕込み

辻ちゃんのサイトがトロイに感染
http://tsushima.2ch.net/test/read.cgi/news/1262698533/

辻ちゃん、アウト〜

今北さん用、GENO（Gumblar）ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す

p://www●biwako●ne●jp/~kohsoku/home●html

ReaderとFlashはともかく、JREとQuick Timeは余程の事がない限り
入れない方が賢い

株や為替のチャートってJava使ってる業者が多いから使わざる得ない人も多いはず

入れててもチェック外して使わないようにしてればいいがね

JREはシステムに喰いこみ過ぎでうざい

>>408
お絵描き掲示板がほぼJavaなので同人では多いかもね

zing-vn.google〜
のアドレスの中身（IP)がフランスに飛んだりドイツに飛んだりしてる？

今日の朝日新聞朝刊1面にガンブラーが載ってた。対策はウイルス対策ソフトを最新にすることだってさ。
abobe readerのことまで書けばいいのにね

>>413　ttp://www.asahi.com/national/update/0105/TKY201001050398.html

>>404
嘘の情報を流して楽しいの？

>>30
コピー〜貼り付けでこれ使ってしまった俺は負け組か？

>>407
QuickTimeはどうしても必要な場合のみ一旦落としてから他のフォーマットに変換して見てるから特に困らない
JREはサブ機のみに入れて利用してる

>>416
まあドンマイ

UACてなに〜？
教えてエロい人

>>414

>被害は計５社、改ざんされたサイトの閲覧者は延べ７万人を超す。
>（中略）
>ホンダはミニバン「ストリーム」のサイトが昨年１２月１８〜２１日に改ざんされ、約５千人が閲覧した。
>ＪＲ東日本のＨＰは同月８〜２２日に不正アクセスが繰り返され、プログラムが書き換えられた。
>２３日に約１７時間にわたって閉鎖して復旧したが、それまでの閲覧者は約５万人。
>
>信越放送のＨＰも同月２６〜２８日に改ざんされ、約５４００人が閲覧した。
>ラジオ関西では同月１５〜１６日に特集サイトの「アニたまどっとコム」が改ざん、約６千人が閲覧した。
>洋菓子のモロゾフのＨＰは今月４〜５日に改ざん。「ガンブラーかどうかは調査中」とするが、この間に約３８６０人が閲覧した。

>>412
fast-fluxなんでね? 手駒に使える陥落サイトが腐るほどあるし。
そことは別の8080にdigしまくってみたけど1秒経たずにIP変わる。

ユーザーアカウント制御のことだお。
それぐらいググレ厨房

>>416
悔しかったら通報してみなさい！

>>419
http://www.tkssoft.com/cmd/cmd026.html

モロゾフをgoogleで検索したら、AVGツールバーは安全ですって緑のマークが検索結果横に付いているんだけど、もうこのサイトの脅威は去ったの？
それともまだ訪問したらgumblarに感染するのかな？

>>425
モロゾフは修正されてるね

>>381
つ　Systems Management Server

>>423
「30に引っかかって、パソコンのエロ動画が全部消えてしまいまいた」
って通報しますた。

ｗｗｗｗｗｗｗｗ

>>425
検索エンジンで未だに改ざんコードが埋まってるページを検索しても安全扱いされてそうな気がするんだけど、
そこら辺はどうなってる？

>>430
そこが自分も知りたいのですよ
今脅威のあるサイト名が分からないので試せないのですが、このツールバーがいったいどの程度の精度と安心・信頼感があるのかを試したくて
もし今脅威のサイトを検索して黄色とかになっていたら信用できるから自分は引っかかる可能性は低いと安心できるのですが・・・

そもそもAVGはモロゾフのやつ防げるのか？
スクリプトも何もかも検出してるところは見たこと無いが

>>431
Bingで「"*/ try{window.onload"」で検索してみて
※リンク先には改ざんコードが埋まってるのでアクセスは絶対にしないように

多分改ざんには対応してない気がするんだけどな

動的サイトを作らなければOK

>>430
www.hikky-country.net
ここのサイトは埋め込まれたまま1ヶ月くらい放置してたけど、google検索で安全の緑マークのままだった。
検索エンジンは、リアルタイムで、内容を反映するわけではないし、安全マークを「今現在」の判断の根拠にするのは無理があるのでは？

>>435
AVGツールバーの仕組みを理解してるか？

だからすくりぷと防げるとかにやっきになってないで
ソフト更新しとけばオワリ
してる？じゃあきにすんなオワリ

フジテレビｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!!

GENOウイルス感染　ローソン
http://tsushima.2ch.net/test/read.cgi/news/1262766483/

>>435
今はどうなん？
対処したの？
俺のgoogle検索結果でもAVGは緑マークだけど

ってか、寧ろ逆にこのAVGが黄色とか注意してる検索結果サイトを知りたい

>>439
マジか？
ローソンもう対処うったのか分からんけれど例のAVGは緑チェック入ってるね

ってか、このウィルスっていったいどうやって各サイトに侵入してスクリプト埋め込んでるの？
俺Webサイト作るんだけど、対策どうすればいいのか分からないんだけど・・・
サーバサイド側のどこをどうしたらいいのかとか

馬鹿すぎプレイか1から読めよ

HTMLとCSSだけ使っとけばいいよ＾＾

>>30
最低だな、お前！
氏ねよ！

>>416
のようにやってしまった人間はアクセサリの復元しても駄目なん？

さっきTVでも、ローソンに「狙われる覚えは？」なんてアホな質問してたし
世間的にはこのウイルスもそういう認識が大方なんだろうなあ

p://hirayuonsen●or●jp/

ここも反応する。。

>446
森のほうはどう？

アンチウイルスソフトはどれがいいんだよ。
どのスレも荒れてて訳わからんわ。

カスペかアバスト

>>448
「Norton 360　Ver.3　2コニコPACK」がいいよ。

バスターしかないだろ

>>448
有料ならKaspersky
http://www.kaspersky.co.jp/trials?blocknum2=1

無料ならavast!
http://files.avast.com/iavs4pro/setupjpnpro.exe
http://www.btfree.info/html/0339d429a878a5d.html

>>444
ムリだよ
こういう屑虫は逮捕された方が世の為だが、
税金で生かすにも勿体ないので死んで欲しいよね

>>439はギコナビで見ても大丈夫？
見ようとしたらウイルスソフトが「だめーーー！」って言って見れなかったんだが…

Norton360は余計な糞機能が付きまくってるから論外
通常のNIS2010はOK
バスターは無駄に重いがPCのスペックに余裕がある人は可

GENO専なら重いカスペか
うちは3939NODだけどｗ
バスターはありえない

カスペは誤爆ひどいぞ
GENO以外じゃ使えたもんじゃない

アンチソフトなんか最後の最後の気休め
それなりに知識あればウイルスなんかかからんし
アホが変なサイト回ってればどれでも同じ

>>458みたいな知的障害者を駆除するソフトが欲しいな

http://pc11.2ch.net/test/read.cgi/pc/1261006089/

対応が遅れる場合あるしな
ぶっちゃけ、各ソフトウェア&Winupdate＞セキュリティソフト
で、JS切るかアドオン制御で完全に予防できる
この手のウィルスは無差別攻撃だから変なサイト、個人、法人関わらず平等に危険性があるからノーガード情弱はしねる

>>459
同意ｗ

で、これ皆さんのAV反応する？
http://tsushima.2ch.net/test/read.cgi/news/1262684235/

esetはマジ最悪だからやめとけ

>>463
去年だったか
FWの更新で数日程度、ネット接続できなくなる不具合をやらかしたんだっけ？

はいはい、ウイルスに感染してPCが壊れるよりは大分マシだろ
FWくらいでいちいち騒ぐな

GENOウイルス感染　ローソン
http://tsushima.2ch.net/test/read.cgi/news/1262766483/l50

>>464
うん。
「繋がんねーんだけど…」
キヤノン:「更新していただければ繋がります(ｷﾘｯ」
「だから繋がんねーんだけど…」
こんな感じだったらしい。
この直後だと思うがFW以外にAV側も誤検知連続してたな。

またアホがぼくの「ういるすそふと」がスゴイ競争か
よそでやれよ

お前のことだ雑音

>>463
なぜ私のソフトがESETだとわかったｗ？

キムチ臭いから

本当にわからないんだけど、専ブラでみる分にはウイルス大丈夫なんじゃないの？

p://www●moffle●jp/

モッフルきますた

【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/
の76に直リンがあるから見てみたら画像のサムネイルを保存するタイプの
専ブラならアンチウイルスソフトが侵入を遮断するはず。

モッフルモッフル

>>470
誰もあんたとは言ってない件
最悪はVBだろｊｋ

世界最悪ソフトウイルスバスター伝説乙ｗ

curl -s http://www.moffle.jp/ | clamdscan -
stream: Trojan.JS-40 FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 4.612 sec (0 m 4 s)

まあバスターの場合はクライアントをウイルス扱いするからね
アップデートの度に他のDL停止とか常識であり得ないわ

直リンすんなよ在日

直リンクリックなぞ在日以下池沼でもしない

皆さ、どうやって感染したサイト見つけられるの？

在日以外、直リンしない
皆、●つけてるだろ

ばかばっか

また菓子屋か・・・ゴディバとかメリーチョコは無事かな？

今年もGENOウイルスが猛威を振るうのか

そうGENO。

早くも紅白出場決定だな・・・

>>446
GMOにそこの管理者へ連絡してもらったお。

>>448
ノートンが良い
avasは対応が早かったわけでもないのでt薦める意味は全くない

avastはフリーというのが利点

フリーならantivirのが対応は速かった
ノートンの場合は脆弱性を利用した攻撃に対するIPSが優れてるので
新たな脆弱性を利用した攻撃が合ったとしても最初から対応できる可能性が高い

誤解を招かないように訂正
>新たな脆弱性を利用した攻撃
脆弱性を利用した新たな攻撃

avast!は誤検出しまくりのなかで対応したからな
あんまり良い印象はない

順位　プログラム　検出数　 検出率
#1　G Data 　761,499　99.93%
#2　McAfee 　761,431　99.92%
#3　Kaspersky 　756,994 99.34%
#4　Symantec 　756,734 99.31%
#5　K7 Computing　 754,496 99.01%
#6　Microsoft 　752,426 98.74%
#7　Eset Nod32 　747,278 98.06%
#8　Trend Micro 　741,606 97.32%
#9　AVG 　　　　　737,980 96.84%
#10 Rising 　 696,220 91.36%

http://antivirus-news.net/2009/12/avtest12-g-data.html

ほらよっ

>>494
マカフィー、あいかーらず地味で無難だな
そこが良くて使ってるが

hosts書き換えって対策にならない？
ウイルスばら撒いてるアドレスを適当なサイトに飛ばせば感染しないよな？

G Dataじゃモロゾフのやつは初期の頃感染した
そんな順位の話なんてしてないだろ
頭悪いやつはそれしか参考に出来ないんだろうけど

ランキングとか糞の役にもたたんだろ

アンチウイルスの優劣は荒れるから出来れば余所で
防御の点である程度は仕方ないだろうけど

>>496
キリがないよ

>>500
みたいですね。
てっきりアドレスは一本でそこから色んなサーバーに繋がってるかと思ってました。
アップデートが一番の対策か。

京王電鉄ＨＰも改ざん被害　ウイルス「ガンブラー」
http://tsushima.2ch.net/test/read.cgi/news/1262784863/

>>502
！！
おｒｚ

>>473
トップページに貼られてるjsも2つともやられとるね。

企業でこれだけあるんだから個人のはもっとあるんだろうな

モッフル、京王電鉄、アウト〜

32 名前： すり鉢(アラバマ州) 投稿日： 2010/01/07(木) 00:45:39.79 ID:RXPRsCkB
p://www●spacecraft●co●jp/home●html
スペースクラフトグループ
神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。

ガンブラーｷﾀ━(ﾟ∀ﾟ)━!!

>>455
必要の無い機能などは停止したり、カスタマイズ設定すればいいんだよ。
何でもデフォの状態や設定なままで、全てを使うことなんてナンセンス。
NIS 2010はまだ、特定の条件や環境で不具合があったりもするらしいぞ。

ぎゃー
きのうローソン９９の店舗探しにいってた
はやくはっぴょうしろおｙ

PDFリーダをUSBメモリで隔離している俺に死角は無い

結局、このGumblarというウイルスは、フリーのソフトだとどれで防げるんですか？
AVGとかAvastとかMicrosoftのやつとかありますけれど

>>511
>>1もみれんのかお前は
あとただでさえ100%安全は保証できないのに亜種多すぎだから、
ただアンチウィルスソフトいれて安心するよりHDDのバックアップとかとっとけ

Gumblarって今一時撤退してるんじゃなかったっけ？
タグが消えてるとかいう記事をどっかで見たが。
今は8080系とかいうやつじゃないの？
喪ッフルも見てきたがガンプラじゃなかった。
ガンプラと8080って別だよね？作者一緒とか？
いろいろ混ざっててよくわからなくなってきた。

亜種が多すぎてよく分かってないんじゃないか？

>>513
Gumblarは再始動している。
http://www.google.com/safebrowsing/diagnostic?site=gumblar.cn&hl=ja
http://www.google.com/safebrowsing/diagnostic?site=martuz.cn&hl=ja

ガンブラー自己中心派。

ついでにYahoo!のも

http://headlines.yahoo.co.jp/hl?a=20100106-00000112-mai-soci

捕捉した。
tp://tollywoodb4u●com/sessions/22564●php

>>513
基本的に新聞社とかwebページが感染した企業はGumblarと8080の区別はしてなくて
両方ともガンブラーと言ってるというのが俺の認識

Gumblarが再始動してるなら尚更8080系とは区別すべきだよ

【画像あり】IPA、注意を喚起「すべてのファイルが『イカ』になる破壊型ウイルス」
http://tsushima.2ch.net/test/read.cgi/news/1262834173/

>>521
それはスレ違い

>>515
うおマジか。情報ありがとう。

>>520
だよな。
ブラウザ閲覧感染という特徴は一緒でも、感染後の挙動とか
全然違う別物なのにひとくくりにするから訳わからなくなる。
なんか豚インフルと季節性インフルみたいだ。

>>513
>>519 のとおり。補足すると
LACが11月に
【注意喚起】Gumblarおよびその亜種に関する大量の感染事例について
ttp://www.lac.co.jp/info/alert/alert20091119.html
を出し(これはGumblar.x)、その後「続報」として(一部使いまわして)
【注意喚起】Gumblar（ガンブラー）ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認
ttp://www.lac.co.jp/info/alert/alert20091225.html
を出した(これは8080)。
JR東日本やホンダは(IPAやJPCERTでは具体名を出していないのでこれを元に)
「Gumblar亜種」との告知を作り、新聞社は「亜種」を外し、後はみんなコピペ、だと思う。

>>521
それはダウソ厨専用、板違い。
http://hideyoshi.2ch.net/download/

それを言ったらこのスレで8080の話題はスレ違いじゃないの？

インフルエンザもウイルスだね。ああおもしろいワロタ

タコとかイカとかはこれっぽっちも関係ないから。まじで。

は？
タコとかGENOよりひどいぞ
画面真黒

ガンプラが再始動してるなら、8080とは区別して動向を追いたいから
全く分けてもらったほうがありがたい気がする。
どちらかが劇的な進化をとげたりした場合に「GENOで〜」「8080で〜」と
前置きがつかないとわからないような状況は面倒くさい。

【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/
こっちと使い分ければ？

改鼠されたWebは交番に届けないのでしょうか？
保険が降りず何のうまみもないので笑い死にするのが普通なのでしょうか？
犯罪者は悪い人なので外事警察に捕まってほしいです

>>530
そっちも見てるけど、GENO専スレのはずのここにも
8080感染サイトとかが貼られたりしてるから
どっちも総合みたいなことになっててややこしくね？w

電源入れるとランプは点灯して本体は起動してるっぽいんだけど
画面は真っ黒でマウスポインタも何も出ないんだが、これも感染？
取り合えず何回か強制終了で起動しなおしたら普通に画面が出たけど

>>530
そっち業者がいるねｗ

>>530に書き込んだんだけど、その後NOD32に遮断されて行けなくなったのでコチラに。。。

http://pc11.2ch.net/linux/ > GZ > file.htm JS/TrojanDownloader.Agent.NRL トロイの木馬

こっちにも来れなくなるのだろうか。

頭悪いな

NOD32切れってこと？

2010/01/07 14:35:32 HTTP フィルタ アーカイブ http://pc11.2ch.net/test/read.cgi/sec/1261855221/ JS/TrojanDownloader.Agent.NRL トロイの木馬 接続が切断されました

NODが
http://pc11.2ch.net/test/read.cgi/sec/1261855221/380
に反応してるだけでは？

それをこのスレにコピペすれば・・

>>538
なるほどそれかも。
でもhttp://pc11.2ch.net/linuxで出たのはなんだったんだろう・・・

で、JS/TrojanDownloader.Agent.NRLってのが今流行のガンブラーで合ってるのかな？

どんだけー

だって自分で調べるより、お前ら識者に聞いた方が早いじゃん。

でも最初から検索ワードに2ch入れてたのが悪かった。
JS/TrojanDownloader.Agent.NRLだけでググったら分かった。。。

ハウス食品もやられたって
有名企業がこんだけ被害にあってるってことは
個人サイトの被害の規模ってどんだけあるんだろうか；

企業のほうがセキュリティが上だと思うのは幻想

>>543
過去半年の閲覧ページのURLを抽出してみたら
40件が何らかのウィルスに感染していたようだ
js切ってるから全く気にしないがね

>>543
休み明けに騒ぎになるんじゃないのって危惧されてたけど
そうなってきたね。
16日？のアップデートがくれば騒ぎは収まるのだろうか？

今時、企業のHPなのにFTP使ってアップとかどうなのよって思うわ。

USBウイルスが常套化、「Gumblar」などWebからの脅威も続く
p://internet.watch.impress.co.jp/docs/news/20100107_340954.html

仮想マシン上での動作デモ見たかったな

>>546
無理

ガンブラー感染サイト増加　　ハウス食品も感染　　ＪＲ東日本、ホンダ、ローソン、京王電鉄
http://tsushima.2ch.net/test/read.cgi/news/1262852313/

【しょこたん号泣】amebloのブログパーツ「ノートン警察」がトロイに感染
http://tsushima.2ch.net/test/read.cgi/news/1262848963/

2009年のウイルス被害は大幅に減少　IPA調べ
http://tsushima.2ch.net/test/read.cgi/news/1262846244/

>>544
個人サイトやブログは、こまめに更新するから
そのときに管理人が改ざんなどに気づく機会がある。

ttp://www.dotup.org/uploda/www.dotup.org538333.jpg

この状態で大丈夫なんだろうか？

Ｇｕｍｂｌａｒ感染してないか確認する方法は、GENOと同じ？

違うよ

>>555
最新のやつは
msconfigでスタートアップに次の２つが登録されてなければ感染はないと思う
タスクマネージャーで調べてどちらかが起動していてもまずい

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"

sysgif32で検索してヒットしなければ平気？

ガンブラー被害って採用ページとか多いけど
エントリーフォームをつっつく→クロスサイトの一種なんじゃないの？
対策してないフォームが狙われているような気がする

そもそもの報じられている「改ざん」の部分が
ＦＴＰ進入してソース書き換える基本的な不正アクセスなのか、
フォームや引数にスクリプト書き込んで、その状態のURLを表示させてぶっ壊す方式なのかどっち？

>>559
このスレの書き込み、全く読んでないよね？

>>557すみませんパソコン初心者なんですがどうやって見れば良いか詳しく教えて頂けませんか？

あと、avastとゆうフリーソフト入れてるんですがちゃんと検知してくれますか？

>>559
不正アクセス

>>558
sysgif32の部分はレジストリね
siszyd32.exeと~TMD.tmpって言うファイルがなければ問題ない

ただ違った攻撃もあるからこれで完全に安心というわけではないけど

>>561
「ファイル名を指定して実行」かコマンドプロンプトにmsconfigと打ち込んでエンターキーを押す
[スタートアップ]って言うタブをクリックしてそう言う記述がないか確認

>>559
アホなWebデザイナーな管理者のマシンに感染してjsやhtmlにアレゲなコードを組み込んでいる
そして改竄されたことに気づかぬまま鯖にうｐ→閲覧した奴にウイルスをばらまく→∞

>>564
FTPのIDパスワード盗むんじゃないの？

>>561
avast!はスクリプトの検知はするのでサイトを見た時点で反応する
ウイルス本体にも反応するがwin.jpg、JavaGame.jar、ChangeLog.pdfなどの
脆弱性攻撃バイナリには反応しない
当然亜種が出ると分からないので、脆弱性持ちのソフトはアップデートして
使っているならAdobe ReaderのAcrobat Javascriptをオフにする

盗んでWEB自動更新

>>558
siszyd32.exeは検索しても見つからないよ
エクスプローラでも見えない
msconfigのスタートアップにあったらやばい
無効にしても復活する

セーフモードだとエクスプローラで見えるようになるのでそこで削除

>>564
管理者のマシンに感染してFTPアカウント情報を盗聴、
入手したFTPアカウントを悪用してサイトを改ざん

だから全然違うがな

>>563詳しく教えて頂きありがとうございました
無かったようです、ひとまず安心して良いのかな？

>>566そうなんですね!
ソフトを常に最新の状態にして、javaはオフにしときます
ありがとうございます

>>569
あら？違うのか
別のウイルスだったかもしれない

>>568
フォルダオプションで隠し属性のファイルも表示させるようにしていても見えないってこと？

>>572
ZwQueryDirectoryFile辺りをフックすればファイルを隠蔽できるはず
ファイルがあるのに見えないように・・・

>>572
うん
エクスプローラじゃないツールなら見えるのもある
消せないけど

8080は、FTPソフトを起動してなくても勝手に改ざんする。
ずっと放置してたサイトが感染後にがっつり改ざんされてたとの報告も。
PC起動している間はずっと改ざんを繰り返すみたいだよ。

ほう、けっこう原始的な改ざん方法なんだな。
てかあんな大手企業サイトが、ローカルＰＣから直接サーバーへ繋げるような
簡易なインフラ環境ってのがなんか意外だった。
もっと凄い構成組んでるとおもったけど。

>>530の先のレス番99-110あたりに感染後の改ざん挙動報告があるよ

>>576
うーん直接管理してなくて委託にまかせっきりってイメージ持ってたけどなぁ
アンチウィルスソフト会社は流石に違うだろうけど
なんにせよごちゃごちゃ動きまくってるのは嫌だな

委託請け負ってる会社のPCがやられてるから
委託するような大手に被害が出てるのかもね

そう言うのがほとんどだろうね

委託請け負ってる所ってそんなにいい加減なのか？
まあピンキリなのかもしれんがこうも大手企業のサイトが改ざんされると不安になるな

pdfでいろいろやりとりするのが多いからやられるのが多いのかもな

pdfのメッカ、官庁はいまんとこ無事みたいだね

pdfという形式自体を、これを機に廃れさせるべきなんじゃないだろうか
仕事で使うつっても仕事の能率とセキュリティ性なら後者が優先されるべきだし

自分はpdfあんま好きじゃないから消えてもらってもかまわないな

アメーバがGENOウィルス感染！　危険だから今後Ameba Newsをソースにするの禁止な。
http://tsushima.2ch.net/test/read.cgi/news/1262875249/

JREはWindowsVista以降の保護モードに対応してるから、
IEで保護モードで使う設定にしてれば、やられてもごく限られた動作しかできず、
ほとんど影響をうけない

firefoxとかchromeとか保護モード非対応の脆弱なブラウザは使ってないから知らん

でも脆弱性ついてきたら実行されちゃうんでしょ

保護モードなんてバイパス出来るのに・・・

結局きちんと対策してなくちゃ駄目なんだから
OSやブラウザの種類云々は関係ないと思うが

もっと大騒ぎしてほしい
mixiあたりヘマしないかなあ

>>591
愉快犯乙

>>591
もしかして：ロシア人

いやあもっと騒がれたらセキュリティの意識高まるかもしれないじゃん？

Anti Windowsの俺が通りますよっと

>>594
馬鹿と歴史は繰り返されるもの

>>587
保護モードって何？

avast!のWebシールドでも反応しない新ガンブラーが登場
http://tsushima.2ch.net/test/read.cgi/news/1262886266/

盛り上がってるなあ

とうとう警視庁も捜査に乗り出したしな
8080の犯人探すのかGENOの犯人探すのかよくわからんが
できればどっちも見つけてほしいね

>>600
警視庁ってマジ？
ニュースでたのか？

>>601
出た。
今朝の犬HKラジオでトップニュース。

>>597
ttp://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx
日本語訳もあるけど、UACが旧名称のUAPになってたり機械翻訳みたいだったり基本的にやる気なし。
UACとかユーザーインターフェースの特権分離（UIPI）とかいう仕組みでIEが制限されたモードで実行され、
悪意のあるコードがWindowsに影響を与えるのを防ぐ仕組みが保護モードなのかな。
UACに依存している機能だから例によってUACを無効にしてると機能しない。また、UACが動作していてもIEを管理者で
起動すると保護モードは無効になる。

へー、とうとう警視庁が動くのか
犯人見つかればいいけど捕まえるのは難しいだろうな

>>604
そもそも犯人って何人なんだ？
日本人ではなさそうな予感

IT Proのこっちの説明のほうがわかりやすいかww
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279341/

ふーん。勉強になるね。

これ、つかまえたらすごいね。
ハッカー逮捕！とか、でっかく出るのかな。
病原菌？

MSみたいに懸賞金かければいいのに

>>605
複数居てもおかしくないと思う
犯人日本人でなきゃ見つけるのも難しいよな

犯人は日本人じゃねーだろｗ
中露のどっちかだろうなｗ

これ、犯人が外国人だったらどーなんの？
どーしょーもない？

今回、仕組み調べるためにあちこちにアクセスしちゃったから、
何かの間違いで調べとか入ったらやばいな。
ウイルスに関しては調べられても何も出てこないが（やってないんだから）、
HDDの中のエロ動画が違法じゃなくても恥ずかしすぎるｗ

CVE-2009-4324

VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
ttp://vrt-sourcefire.blogspot.com/2009/12/adobe-reader-medianewplayer-analysis.html

extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
ttp://extraexploit.blogspot.com/search?q=CVE-2009-4324

感染サイトを意図的にはった人とかも逮捕されたりして

>>614

無いな

特定なんて無理じゃないか？
アクセス解析してうんたらかんたらで出来るもんなのか？

>>616
ウイルス本体が置かれている鯖→ロシア
協力してもらえない予感ｗｗ

>>616
時系列に追っていけば最初の発生源が分かる

はず

少なくとも日本国内管理下の鯖の感染第一号は特定できるかも

>>605
そもそも日本企業狙い撃ちする旨味がないし、
テストでなければ日本(在住)人の可能性が高いのでは？

おまえやれ。

感染拡大する以前の導入段階は単純な不正アクセスなんだから特定できるだろうに
というか、だからこそk察が動くって話になってるんだろ

>>619
狙い打ってないです

つうかこれまで動いてなかったんかと
ウイルス製作者って中々捕まらんのだな
アンチウイルスソフト作ってるところが流してるという噂もこういう所から出てきてるんだろうな

genoや8080って
海外の企業も被害出てるの？

日本企業ばかりのイメージがあるんだけど

去年の5月くらいからずっと被害でてるよ

>>623
今回みたいに被害が大きくならないと動けないんじゃね？
動いても犯人捕まえられそうにない予感

日本人じゃないしな
>>624
日本語のニュースが出てないだけじゃね
企業かどうかとか国がどこかとか区別されていない

日本の警察が捕まえられるのはP2P利用者のような
権力があれば誰でも捕まえられるレベルだけ。

日本の警察に何ができるの？
部下「課長、ノートン警察ってのがありますよ」
課長「よし！そこへ協力を頼もう」
とかじゃないよね

まぁ、無理だな

調べたところで、botと串が出てきて終わりだろ

民主党が不正アクセスに加担していた　なんて事になればもっと無理

>>611
いんたーぽーるがなんとかするのでは

やばいｗちょっとわろたｗｗｗｗｗ
アクセス地を地道に探し出すんじゃｗｗｗｗｗ
http://blog.trendmicro.co.jp/archives/3317
にイラスト有るけど
FTPアカウント情報を集めて攻撃者が地道に改ざんするみたいだから
FTPを送られる側と最初にアタックしてきた奴を探すんじゃないかなｗ

>>632
地道にっつってもその辺は自動化されてると思うよ。

Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt

インシデントの届出
ttps://form.jpcert.or.jp/

記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
結構適当でいいらしい。

>>570
sysgif32が登録されないパターンもあるっぽいから油断禁物

>>557
あるとまずいもの
>C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

プログラムフォルダに見当たらなかったので、
テキストファイルをつくって、名前変更してsiszyd32.exeにしたら、削除できなくなって困ったｗ

なにその面白プレイ

削除できないと困るのか？

>>287
http://www.google.co.jp/search?hl=ja&q=%3Cscript%3E%2F*GNU+GPL*%2Ftry%7Bwindow.onload+%3D+function%28%29%7Bvar&btnG=%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq=

>>635マジか
他に確認方法ある？ちなみにavast使ってます

http://www.google.co.jp/search?hl=ja&num=50&q=%3Cscript%3E%2F*LGPL*%2F+try%7B+window.onload+%3D+function%28%29%7Bvar&btnG=%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq=

ってか、確実に確認できる方法が確立してれば
ここまでの騒ぎにはならないわけで。

判明してる方法でわからないのであれば
あとは自分が出来る限りの回避策をとって運任せ。

それか当分ネットから離れるかのどっちかだｗ

>>638
「他のプログラムが使用していて削除できません」
とかウイルスがいるような気がするだろｗ

これ、三糞とか2NNとかコソアンとかが感染してたら
さらにどえらい騒ぎになるんだろうなあ。

>>574
WindowsPEを使えば見えないファイルも見えるはず。

【Geno】　ガンブラーウィルス　 ヤフーも被害に　　昨年１０月２７日〜今年１月８日
http://tsushima.2ch.net/test/read.cgi/news/1263036497/

p://mangakakouze●com/

新型きますた

新型か〜

>>647

カスペルスキーさんは検知してくれました


Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

p://mangakakouze●com/

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:17:03
Kaspersky Internet Security 2010

>>647
ここと同種だったはず


http://pc11.2ch.net/test/read.cgi/sec/1262054865/392

392 ：名無しさん＠お腹いっぱい。：2010/01/01(金) 15:17:02
片桐はいり4倍速の公式サイトで動画再生したら
ウィルスアラートでまくって
その後、ＰＣの動作がおかしい

誰か検証してくだされ

>>650
MSE使用者の馬鹿さ加減がよく分かるなｗ

Yahoo占い、運が悪いと新型PCウイルス「ガンブラー」に感染するという斬新な占い機能を提供
http://tsushima.2ch.net/test/read.cgi/news/1263040426/

>>652
>>646
重複側貼られても・・・

>>647
ノートン先生は反応しないな

virusutotalでは検出してるけどな
http://www.virustotal.com/jp/analisis/ee1f8bb4ea5f1d4615b33345c4ed4a7fd1844f3e2ff38c3b3f7dc07287fc4159-1263041250
スクリプトに反応しなくても防いではくれるから問題ないだろうけど

またうちの子は検出してくれる！！スゴイ合戦してるのか

重要なことだろ
スクリプトだけで判断するやつが多いのは問題だが
それもどうでも良いわけではない

元を防げよ防いでるならどうでもいい

防ぐのは重要だが感染していることに気づくのも必要なんだよ
気づかないからそのままな人もいる

当たり前のことだがな
馬鹿もいるから仕方ない

盗んだＩＤ販売目的か　感染広がる「ガンブラー」
http://tsushima.2ch.net/test/read.cgi/news/1263041732/

Windows使いでなくてよかったよ

やはり有料版かね。

p://www●mag-x●com/

最新型きますた

>>664
実験用VMでアクセスしたら
avastさんが叩いてくれました

カスペも反応した
まぁ、新型だとしてもセキュリティソフトで対処できる程度の応用なわけだ

>>666
/*LGPL*/は何パターンかのスクリプトがあるようだから
必ずしも安心できないぞ

結果: 5/40
ttp://www.virustotal.com/jp/analisis/b51322f52d9926c76479aaadecf5d9a037f2361387e811911b7f83c6a32bc3c8-1263068932
結果: 3/41
ttp://www.virustotal.com/jp/analisis/232d5aa747718a48e4471bdee5a35fd136be15087e7faf69f17a7619dfa8d209-1263068989
結果: 10/41
ttp://www.virustotal.com/jp/analisis/aca66f8d123896d30b71158c6fa451121939d5b5adccdd15c9f7b183fd80b430-1263069028

怖いのはメジャーなサイトでも安心できないという事
これに尽きる
例えば、noscriptやそれに近い方法でJSを止めてる場合は確かに安全だが
JSを許可しているサイトが後々、感染する可能性があるからな

JRとかローソンとか普通は見てしまうからなｗ

yahooが感染したとしてyahoo.co.jpを許可してたら感染しちゃうのか？
誘導するスクリプトを許可してなければ大丈夫だと理解してるけどどうなの？

カスペはLGPLより前の古いスクリプトは検出しないけどな

はいはい

馬鹿信者登場か

>>670
わからんが、yahooは占いページか何かが感染してたぞ

>>670
は私も知りたい。
その場合、yahooから感染サイトへリダイレクトされちゃうけど、
リダイレクト先は許可してないから、攻撃はできないって理解で桶？

>>674
それ意味が違うと思う。
ただyahooの占いサイトの場合、過去ログをたどった先の占いスクリプトか
何かが感染されてたみたいなので、これ、感染スクリプトをもらったままで
アップしちゃっただけなのか、当該サイト管理人のＰＣが汚染されてたのか、
どっちかはっきりして欲しいと思ったよ。

BBセキュリティが感染してたらおもろかったのに

　

esetはGNU GPLの頃から検知しないな

esetはしてるだろ
嘘は言うなよ

気にくわないからって嘘はやめてくれ
文句言うならカスペに言えよ

/*　BSD　なんだこれ

url プリーズ

馬鹿信者登場か

yahooが被害にあったのは何日の何時頃？
とりあえずyahooのトップページとメールのページはやられてない？

>>684
>とりあえずyahooのトップページとメールのページはやられてない？
無問題

最近毎日完全スキャン

完全スキャンとかダルくね?
脆弱性を塞いじゃえばいいのに。

js使わないと見られないような企業サイトウザい

一番の問題はそこの気がする。

javascript無いと見れない・機能しないサイト多すぎ
flash無いと見れない・機能しないサイト多すぎ

そして、javascriptとflashに頼る限り、閲覧側は脆弱性から逃れられない

なんか大手のサイトしか回ってないのに感染した
yahooかmsnって他にも感染してる？

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2113
サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況

>>691
こいつここにいるだろ

何だか、ちょっとしたパニックだな。
いや、完全にパニックか。
いよいよ、世界的にJavaスクリプトとFlashを捨てる時が来たか！！
そん時は、新しい亜種が別経路で入り込んで来るんだろうけどなー。

これって世界中でこんな感じなの？それとも日本だけ？

ぐぐればわかる

新ウイルスGumblar（ガンブラー）について
http://www.mcafee.com/japan/security/gumblar.asp

iframe使ったGumblarって何よw

>>696
最終的にはiframeで危険なpdfやjavaを含むページを開く

https://www.ccc.go.jp/detail/web/index.html
無料のMcAfee Security Scanを外すorz

McAfeeを外すのは、使用中のセキュリティーソフトとバッティングしてしまい
動作不良を起こすからなんだお(^0^)/
McAfeeをいらない子扱いにするなおorz

>>697
＞ユーザが不正にiframeを埋め込まれたWebサイトを閲覧することから始まります
どこのことよ

＞次にIframeにより難読化されたJavaScriptが実行され
んなもんあったけ

あるよ。1段目から落ちてくる

>>700
コードよろ

>>701
１つだけだけど、2nd のスクリプト
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=572
pass: virus
最小サイズに足りなかったので、LGPLスクリプト足しといた

>>702
>>699はさ、日本語的には
始めに見たHPにiframeがあって
iframeがJavaScriptを実行するという事でしょ

>>703
そこまで追求しなくてもおｋだろｗｗ
「一部語弊がありました」で済む話

おー、下しか読んでなかったw

ガンブラー新型きますた

194 名前：名無しさん＠お腹いっぱい。：2010/01/11(月) 22:01:15
ttp://www.dotup.org/uploda/www.dotup.org552022.zip.html
pass:Virus

195 名前：名無しさん＠お腹いっぱい。：2010/01/11(月) 22:06:50
>>194
ttp://www.virustotal.com/analisis/60d916c851c6cc72e6de9d96b882fda284fbe37fea06ed3f502f9c96ae8abfe1-1263215078
ttp://www.virustotal.com/analisis/69b2c803e40c546b715d7f3eb647ae191b838dc13bdfbc7b8a65045135c14018-1263215072

http://www.mcafee.com/japan/security/gumblar.asp
↑ここで対応していると言っているものは
http://pc11.2ch.net/test/read.cgi/sec/1258817697/24
↑ここでMcAfee Labs, Aylesbury, UKが解析したものであって
日本のAVERTは、今でもこれを危険なファイルではないとしている

去年の暮れ以降送った検体にも対応する気配もないし
ｽｰﾊﾟｰｼｮﾎﾞﾎﾞﾎﾞ(´(´・(´・ω・｀)・｀)｀)────ﾝだわ

メールで送るくらいならWebImmuneにアップしたほうが対応早いぞ

ウイルス「ガンブラー」暴れ杉ﾜﾛﾀｗお前ら一刻も早くｇｒｅｄセキュリティサービスでURLチェックしろ！
http://tsushima.2ch.net/test/read.cgi/news/1263250962/

なんでN速厨って本スレではとっくに出尽くした話を
わざわざN速にリンク貼ってするんだろうな

厨だからさ

自分たちの情報が最新だって思い込んでるんだね

狙い撃ちwwﾜﾛﾀ

Gumblar対策を再チェック　基本的な作業で感染防止を（ITmedia News）
http://headlines.yahoo.co.jp/hl?a=20100112-00000001-zdn_n-sci

>>708
WebImmuneは登録する必要があるので
私のセキュリティポリシーに反するのだー

http://www.google.co.jp/search?hl=ja&num=50&q=%3Cscript%3E%2F*LGPL*%2F+try%7B+window.onload+%3D+function%28%29%7Bvar+-co.jp&btnG=%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq=

最近、騒ぎの中心が8080なせいでGENOが紛れ気味なんだが
活動再会したGENOは以前との違いとかあるのか？
タグの挿入場所は変わらず<BODY>の直前？

>>715
メルアドだけじゃん…。

次スレからスレタイにGumblarを入れるかしたほうがいいかもね

>>393
> GENO（Gumblar）ウイルススレ　★24

当初みてたけどまだやってるんすかｗｗｗ
今GENOのぺーじでカートに入れてみたけどなんともない
genoチェッカでも反応無しみたい。GENOのサイトではもう駆除されたの？

>>721
タイムマシンで過去からお越しですか？

genoチェッカーとか懐かしいなｗ
ページ作った人はどうしてるんだろう

まだいるんじゃねーの？
PLなんとかってIDでいたぞ

tp://genochk.crz.jp/

http://labs-uploader.sabaitiba.com/virus/download/1263384000.7z
pass: virus

ガンブラー系のまとめきますた。

>>696=>>699
釣り？それとも今北産業の人？
昨年春に現れたその時から感染経路はiframeだったしＪａｖａＳｃｒｉｐｔだったし
難読化が出てきたのは昨年夏。
過去ログリスト書いてあるんだから読んでこい。

難読化は最初からされてなかったっけ？

>>727
699-をよく読め

avastには引っかからない？

>>730
>>726の検体を送付したら反応するようになると思う。

>>730
反応する件

さっきあるサイト開いたらavastでJS:Illredir-C検出されたんだけどJSオフなら見ても大丈夫かな。
できたら管理者に伝えてやりたいとこなんだけど
見つけてどういうもんか調べてる最中だから下手に踏めない。

ttp://www.matsutake-gr.com/shimamura/
反応しますか？

>>734
/i と .jsファイルが*GNU GPL*

>>734
とりあえずkagoya.netとJPCERT/CCに報告した。

起動からしかjs切れない黒目終わってるなｗ

ガンブラーで三井住友カード被害！ほんと、どえらい
http://tsushima.2ch.net/test/read.cgi/news/1263444584/

新型GENOウイルス

ttp://www.virustotal.com/jp/analisis/5e92dd5fe8561605a0ecb138725d27373503d129195357edf3e8eef6a0a4685c-1259371503

うんこMSEは未対応

>>739
その結果ってマカフィーもカスペもスも糞じゃねーかよ

志村ーファイル受理した日付ー日付ー

>>739
マルチポストするよなネタでもないわな

>>739
>Infostealer.Kenzero
アダルトゲームのsetup.exeを装い、個人情報を晒すトロイの木馬
ttp://internet.watch.impress.co.jp/docs/news/20091201_332607.html
「Infostealer.Kenzero」は、ファイル共有ソフト「Share」のネットワーク上で、
アダルトゲームの偽のインストールファイル（setup.exe）として流通しており、
複数のゲームタイトルにこのファイルが含まれることが確認されたという。

ダウソ厨専用。Gumblarとは全く関係がない。
http://hideyoshi.2ch.net/download/

>>743
株式会社ﾛﾏﾝｼﾝｸﾞ（笑 ですね､わかります

エロゲーやってる末期池沼にPCなんざイラネ―わなｗ

新型GENOウイルス

ttp://www.virustotal.com/jp/analisis/5e92dd5fe8561605a0ecb138725d27373503d129195357edf3e8eef6a0a4685c-1259371503

うんこＮＯＤは未対応

それ>>739と同じだから何度も貼らなくていいよ

新型GENOウイルス

ttp://www.virustotal.com/analisis/5e92dd5fe8561605a0ecb138725d27373503d129195357edf3e8eef6a0a4685c-1259371503


セキュリティZEROは完全対応

ダウソ板に帰れよ

エロゲに仕込む発想は日本人臭い

そもそもShareって時点でお察し

>>748

ZERO　って２００９の秋すぎから急速に性能上げたな

どこの調査でも検出率を含めた総合評価はかなり良い

毎年さんざん酷評していた某PC誌もこの現象には驚いてたな

新アンチスキャナの性能が相当良いのかな？

執拗にWindows7対応版にアップグレードして下さい！
のダイアログ出してくるのはうざいけどな
メール送れば対応してくれるらしいが

＞急速に性能上げたな
当社比()笑

紙と現実のギャップ（）笑

　

bタグ付きワラタ
これでアンチウイルス系は再定義かねぇ

プニルでjsなんかを全部切っておけよ

　

また火狐野郎がなんかいっちゃってたのか
MACつかえ

数値→文字列の変換するだけでメモリリーク起こすMACなんか・・・・
Linux最強！

>>760-761
一般人には相手にされないって早く気付いたほうがよいぞ

火狐野郎も相手にされないという

ゲームのブラウザ最強ですね

IEパッチ出たと思ったら
gumblarも新型になったみたいですよ

自称マジョリティの方は対策頑張ってくださいな

メジャーの方が楽だよ。
あらゆることでトラブルに巻き込まれる奴が必ず居るから
簡単に情報が入る。

挿入されるコードが変わっただけだろ。
導かれる処理とか突かれる脆弱性、回避策が全く変わっていないのに新型とかいうなよ。

だな
foxitの情報がほとんど出てこない

だねえ。メジャーなものは要望やウイルスが多くなるから不具合も多いが、
その分、暇な人が解決策を強引にでも作るからそれにのるだけでいい。
マイナーなものだと解決策がないどころか、気付かないことのほうが多い。

foxitユーザーに朗報です
未だに修正されていないアレゲな脆弱性有り・・・

>>770
どこ情報？

そういや3.6はどうなんだろ。まだ様子見してるが

入れたけど3.5とそれほど変わらん。拡張とかはお察し。
あとプラグインチェックは何の役にも立たないクソ機能。

俺も真っ赤になって質問するぞ・・・・とりあえず、詳しいやつ助けてくれ・・・・
どうなったらアウト何だよおおおおおおおおおおおおおおおおおおおおおお
もう情報漏れてんのか、再起動したらもうご愁傷様なのか、おれの

>>774
すみません、誤爆しました。

>>774
アウト

>>774
vip板の風俗嬢がなんからかんたらって沢山ｗが付いたスレの誤爆でしょ

>>774
ご愁傷様ですね・・・

JS DLOADR.VTGっていうウイルスに感染したっぽいんだけど
ＧＥＮＯの亜種かな？
ウイルスバスターでは対処できないみたいなんだけど･･･

じゃぁノートンとかで。

今カスペのオンラインスキャンがメンテ中だからniftyのカスペスキャンやろうとしてたんだけど
１回目のアドオンの許可では承認（認証だったかな？）されたkaspersky labのアドオンだったけど
２回目に承認されてないkaspersky online scanner pro gui partってのが出てきた。実行したけど・・・

ググッたらkaspersky online scanner proがトロイとして検出されたっていってる人もいたけど俺のPCもうやられたのかなｗｗｗｗ

ググって出てきた記事
2007/10/12って出てるから
大丈夫だろ
ニフティがウイルスに感染してるという話も聞かないしな

　

さっきaviraが「C\WINDOWS\lfd4_tmp.#32」がトロイだと騒いでた
検索してみるとGENOウイルスの亜種ってことなんだが、実際はどうなんでしょうか？

とっとと削除しろよ

admachikoって何よ

ともだちんこ

●K7コンピューティング最高技術責任者の甘いマスク公開
http://www.k7computing.com/images/k7mt/andi.jpg
　　ノ⌒)(⌒ヽ
(((´瑞,人_星　｀)
●2007年8月 ＺＥＲＯ 既にワイルドリストは大差なし
http://itpro.nikkeibp.co.jp/article/COLUMN/20071215/289572/zu02s.jpg
(　　)´･ω･｀(　　) 　
新型GENO病毒
安全特警は完全地支持
★ 　ノ　⊂　）　))　
https://zeustracker.abuse.ch/monitor.php
　＼（　ヽつ 〈　　　
https://zeustracker.abuse.ch/monitor.php?browse=binaries
　 (((＿)~ヽ_,,）　　
http://virscan.org/report/cc90813187e20d55b5ec1f1af34ce73e.html

http://x28go.s12.xrea.com/terumi/vsign.jpg

　

見たことあると思ったらTERUMIか

？

懐かしいなｗ

てｓｔ

？

　

【産経抄】３月３日
2010.3.3 02:44
ネットの巨大掲示板「２ちゃんねる」のサーバーがダウンし、日韓のネットユーザーたちを熱くさせている。
韓国から大規模なサイバー攻撃を受けたためらしく、きのう午後もアクセスしようとしたがだめだった。

　▼原因は、バンクーバー五輪で金メダルを獲得した金妍児選手を批判する意見が、掲示板上に多数寄せられたためだとか。
小欄も２ちゃんねるの掲示板には、しょっちゅう悪口を書かれているので、助っ人する義理はないのだが、由々しき事態である。

　▼ネットの匿名掲示板は、好き勝手な意見を書けるのが売りだが、受け狙いのあまり過激に走りやすい。
それを真に受けて、サイバー攻撃を仕掛けるとは韓国のネットユーザーも大人げない。

　▼大人げないどころか謀略のにおいさえする。サイバー攻撃が始まった１日は、日本統治時代に独立を求めて起きた「３・１独立運動」記念日。
毎年、大統領が演説することになっているが、李明博大統領は就任以来、未来志向の日韓関係を訴え続けている。日韓併合１００年の今年も「過去にとらわれない」と強調した。

　▼２ちゃんねる風に書けば、「３・１」に対日批判を繰り返していた盧武鉉前大統領の支持者は、これが気にくわない。
今回の事件は、ささいな理由で韓国のネットユーザーをあおり、日本の「嫌韓」派に火をつけることによって両国の離反を狙ったテロ行為そのものだ。

　▼２ちゃんねるは政治も大好きだ。民主党の小沢一郎幹事長の一挙手一投足をあげつらったコメントは天文学的数字にのぼる。
いつもなら民主党議員側に違法献金したとして北海道教職員組合幹部が逮捕された事件も格好のネタになっていたはずだ。実は民主党もサーバーダウンを喜んでいたりして。

>>797
産経もいよいよ落ちるところまで落ちた感があるな

GENOウイルスのせいです

　　　　　　 　 　 , ‐ ､ - ― ､_ .-―､.､ 　　　　　　　　　　　　＿
　 　　　 　 　 ／: ／: : :/ /: : :＼: : :ヽ ヽ 　　　 r‐、 　 ＿＿|　|＿_
. 　　　 　 　/ : /:_:_:ィ :.|/: :i : : : .ヽ: :ヽ : i 　　　| 　| 　 |＿＿ 　＿_| 　　 　　　　 ／￣￣￣＼
　　　 　 　 |: : /:/＼i :/|: : ii : :.i : : :| : |.: | 　　　|　 |　　 　 　 |　| 　　＿＿＿＿　|　　r-‐-､ 　|
　　　　　 　|: :|/fイi.}:/ .!: ／ヽ i : : /|ｲvﾘ 　　　| 　|　　 　 　 |　| 　　|＿＿＿_|　 `‐‐' ,.-‐'′/
　 　　　 　　|:/　ゞ-'　 　fイﾊ/i |:// | 　　　　　 ! 　{　 /￣￣　 ｀ヽ、 　　　　　　　　　|＿ｒ‐'′
　 　　　　 　|∧ 　 ,､＿　ヾつ'oi//: ﾉ　　　　　　|　 !　 |　 (二}　iヽノ 　　　　　　　　　　r-、
　 　　　　　　|:::ヽ_ ! 　 ﾉ　 ／ : : ／ 　　　　　　 !___}　 `ｰ‐---'′ 　　　　　　　　　　 └┘
　 　 　 　 　 　ヽ|::i : r―∠: : ／

☆☆トロイの木馬☆☆5台目 (522)
http://pc11.2ch.net/test/read.cgi/sec/1215569127/
にも書いたけど
ttp://irving-maichi.jp/
にトロイの木馬が仕掛けられている可能性あり
java scriptで自動でダウンロードされ
感染するかもしれませんよ

>>801
2010/03/07 10:46:37 感染しています トロイの木馬 Trojan-Downloader.JS.Pegel.b Webサイト ttp://irving-maichi●jp/common/ flash.js アプリケーションを仮想実行中です 高
2010/03/07 10:46:37 感染しています トロイの木馬 Trojan-Downloader.JS.Pegel.b Webサイト ttp://irving-maichi●jp/common/ right_click_prohibition.js アプリケーションを仮想実行中です 高
2010/03/07 10:46:37 感染しています トロイの木馬 Trojan-Downloader.JS.Pegel.b Webサイト ttp://irving-maichima●jp/common/ menu.js アプリケーションを仮想実行中です 高

>>802

トロイは全部カスペの自演です♪
と言いたいところだが本当だ。
当時はピンサロ平塚ジャンジャンが有名で
ロシア人とのハーフである光月夜也のまんまんを
ペロンペロンに舐めまくっていた。
ボーッとしてると従業員に「お客さんちゃんと舐めてくださいよ」と
叱られた記憶もある。
花びら3回転だったしもちろん生尺。
近所の紅花という定食屋でサインを貰おうとした記憶がある。

http://www.yourfilehost.com/media.php?cat=video&file=pinsaro_part001.wmv
http://www.yourfilehost.com/media.php?cat=video&file=pinsaro_part002.wmv
http://www.yourfilehost.com/media.php?cat=video&file=pinsaro_part003.wmv
http://www.premium-beauty.com/images/works/pgd/pgd351/pgd351jp-12.jpg

>>801
電凸完了

>>804
乙
てか、
ttp://ameblo.jp/maiko6041/に米したんだけどな
携帯大喜利にでてたから直後のgoogle検索で結構上位にいたぞ。
セキュリティ意識の甘いやつみんな感染＼(^o^)／

>google検索で結構上位にいたぞ。
Google 急上昇ワード

>>770
foxitはマイナーすぎて攻撃側が対応してないだろ
Adobeのしか攻撃ターゲットになってない

JSを無効化すると、いろいろなサイトは使いにくくなる、なかなか理想な方法は見つからない。
今日、このサイトを見つかりました。
http://www.sequsa.co.jp

日本語でおｋ

一応>>1の対策は取ってるが
Adobereaderが8だった
アップデートしても8じゃムダなのかな？
オンラインスキャンページも感染してるんじゃねと怖くて
いつも感染確認はプログラムからcmd.exeとregedit.exeの起動な俺

>>810
情報古いよー！

志村ー、日付日付ー！

1 名前：名無しさん＠お腹いっぱい。　[]　投稿日：2009/12/01(火) 04:01:23

>>810
情報古すぎて無効なので今更そんな確認しても無駄です
オンラインスキャンのページが感染してたらとっくに騒ぎになってるはずだと思わないか？
そのくせに>>1の確認方法を信じるという思考が謎すぎる
おとなしくニフティのスキャンでもやっとけよ

こわいなら素直にOS入れなおせばおｋ

>>813
それもそうだな、と思ってオンラインスキャン入れようとしたらアップデート失敗した
スキャン前に最新のウイルス定義データベースに〜と言われる
kaspersky online scanner pro gui partが検索してもどういうのかさっぱりだし
情報バーの選択肢が「アドオンの実行」「全てのwebサイトで〜」しか無くて怖くて実行してなかったんだが
これがまずかったのかな

スマン、インし直したら開始できた
推奨スキャンで完了するまで17分ほどスキャンしたが特にウイルスは無し
こんな無知な奴に助言ありがとう>>813

対策についてはこっちより↓の上の方を見た方が良いよ
http://pc11.2ch.net/test/read.cgi/sec/1268059684/

>>816
ありがとう
java(TM)6は最新版のupdate19に更新してるんだけど、
J2SE Runtimeの方は記憶に無いんだ
かといってruntimeの更新確認しようとすると決まってjava6 update19のダウンロードページにたどり着く、JRE単独の更新ページが見つからない
コントロールパネルだと別々だけどjava(TM)＝JREなのかな

>>817
java 0-day 出てるんで、update20が出るまでアンインストール
しとくのが吉かと。

こっちのスレは過疎ってるから保存用にするか
http://www.tirashi.jp/
http://www.footsal-club.net/
http://www.pokebai.net/
http://www.jc-consulting.jp/
http://www.mog-mmy.com/
http://www.ichiryuimono.com/
http://www.oracle-shop.net/
http://pacific-staff.net/
http://hoikuen.19th.org/
http://cre2cash.2pg.in/
http://sunrise.2pg.in/
http://netnavi.boo.jp/leopalace/link/
http://www.toutyann.com/
http://www.unique-gifts-ideas.com/contact_us.html
http://ayaka.echoll.net/
http://fleur.webinfo.jp/
http://dog-g-club.com/
http://www.bestofunder.com/
http://moebox.com/link.html
http://www.ferahdondurma.com/
http://neta-script.lionking.jp/
http://www.e-tokunaga.co.jp/contents/house_dock/index.html
http://www.vericapandilovska.com.mk/

http://this.is/ausgot/
http://capvex.com/
http://egujarat.net/
http://reagold.com/
http://freett.com/takarafune/index.html
http://www.geocities.jp/shimilw/
http://www.geocities.jp/o_tweb/
http://ss-gaido.info/
http://jyo.eisuku.com/home/
http://adgaw.com/lovesheet/index.html
http://www.borneomarathon.com/jpn/home.html
http://www.aparajeyo.org/index.php
http://www.niaufuku.com/index.htm
http://fukunekodo.com/index/
http://www.collco.jp/works/index.html
http://www.kyoudoumusen.jp/index.html
http://www.npo-aichi.or.jp/content/index.php
http://creole.jp/
http://kumarin.biz/
http://www.amakusaturigu.com/html/
http://hrhr.sakura.ne.jp
http://www.bandoolshien.com
http://www.hdta.jp

追加があったらまたヨロシクね

…上ふたつ、あぼんしたが宜しいか？

>>817
何を言っているのかわからん
必要な部分を省略しすぎてる上に自分でも理解できない用語を使ってるのがすごくわかる
JREって意味わかって使ってんの？J2SE RuntimeもJREだろ

とりあえず古いバージョンのJavaランタイムが残ってるならアンインストールでおｋ
わからなかったらJava関連全部アンインストールすればおｋ
どうせ使ってないだろうし使ってないソフトはアンインストール推奨

>>821
おねがいします

GENOで注文したら変なメールが急にたくさん届いたけどこれヤバイの？

>>808
http://boo.2ch.net/boo2008.cgi?type=red&boo2008_uri=http%3A%2F%2Fpc11.2ch.net%2Ftest%2Fread.cgi%2Fsec%2F1259607683%2F808&boo2008_time=2010%2F04%2F06%28%89%CE%29+16%3A25%3A04&boo2008_id=&boo2008_port=&boo2008_trip=
宣伝乙

>>824
白カードでも買ったのか？

>>824
変なメールとは？

　　　　　　　　,,　―- 、＿
　　　　　　／　　　　　　　 '' - ,,
　　　　／　　　　　　　　　　　　　'' - ,,
　　 ／　　　　　　　　　　　　　　　　　ヽ
　　i　　　　　　　　　　　／　／ヽ　　　 !
　 ,i　　　　　　　　　 .／　／ ''―､　　　!
　 i　　　　 ,､　n　て'' ノノ　　　　ヾ　　 !
　 i　　　　ﾉﾉノ ﾉ ノ　''´　　　　　　!　 /
　�U　　　j　　 ' ´　　　 ﾉ (　　　　ヽ　|
　>-,,　 /　　,,=━━・!'　,ﾉ━＝=　! ﾉ
　!・　 ヽ |　　’ﾆﾝniii､　:::::i/ｨ7iii=　 i )
　＼（てi iヽ　　 ^'　~　　　　　-'　　/｝
　　｀i_ 　 ､ ＼　　　 　　 　i_　　　　l_j
　　　｀┐　i　　　　／(,,,　,n 〉　　 /＼＼ 　　物売るっていうレベルじゃねぇぞ！
　￣￣へ　　　　! '　　　T'' 　　　l |　　＼
　　 ｜　　!　i　　　　ン=ｪｪi) i　ｿ　)
　　　|　 i´＼!　,,　-ｪ｀､＿ﾝ ﾉノ　〈
　　　|　 |　　＼＼,,　｀―''´／/　　|
　　　|　 つ　 　!､＿'''''''''''''　 /　　 7

(ﾟДﾟ)ﾊｧ?

ｷﾘｯ

ｱｯｰ

　　　　　　　∧∧
　　　　　　 (д´*　)
　　　　　　 （⊃⌒*⌒⊂)
　　　　　 　　/__ノωヽ__）

http://www.itmedia.co.jp/enterprise/articles/1003/09/news088.html
>従来から日本のマルウェア感染は海外に比べて少ないと言われてきたものの、Trojan.Bredolabでは日本の感染被害が目立つ状況になった。

なんでGumblarに限って日本での被害が多いんですかね？

http://blogs.yahoo.co.jp/noooo_spam/59837855.html
>Gumblar.xの改ざんコードは日本のIPアドレスからのアクセスを弾く!?

攻撃側も日本がウザいらしい

!?

AVGで誤検出が発生してるみたいだね

　

　

　

　

もう終わったの？

今日VISTA　64bitでやられた･･･

>>841
ｋｗｓｋ

スクリプト切ってなかったの

>>843
ぉっ。
OSのうｐだてとフラッシュ・JAVA・PDFやQuicktimeとかとかのうｐだてもしなかったの？

黒画面でポインタしかうごかね

LinuxのCDブーストでHDはいきとるの確認

セキュリティ高くないPCだからしゃーない

解決策探してここに来たから、
うまく説明できない
聞きたいことを逆にkwsk

Windows7だけど、Windowsのユーザー権限を変更したら
＞黒画面でポインタしかうごかね
になって焦ったことがあるよ

>>845
どこのサイトで感染？

>>847
確認方法おしえて
そしたら調べるっす

そもそもどのタイミングで何故感染したと分かったんだ

Vistaは感染しにくいはずだが

>黒い画面にマウスカーソル・マウスポインターのみ表示され、
>Windowsが起動しない。セーフモードでも起動することはできません。

この症状ってGENOウイルス亜種じゃないのかお？

ここチェックしてる人いるんだね
安心した

ゲノン総督

ドルドレイ攻略

株式会社GENO - ECサイト運営スタッフ募集
http://www.find-job.net/list/j83468.html?from=23

カ　オ　ス　ラ　ウ　ン　ジ　ゆ　る　せ　な　ぁ　い　ー

http://img851.imageshack.us/img851/6761/gameplayjenkey020110729.jpg

tes

絶滅

win7だけど定期的に真っ暗になる
再起動何回かすると元に戻るけど

保守

>>860
バックライトが切れかかってるんじゃね？

保守

MSEだと特定のページでメッセージが出るらしい、またやらかしたのか？

>>851
うわあ今の俺だ
コンセント抜いてしばらく置いたらなぜか通常起動したけど、ビビってウイルス検索始めた