【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

＊＊＊ 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ＊＊＊
＊＊＊ 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ＊＊＊

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/
【関連スレ】
GENOウイルススレ　★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic

>>1もつ

【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/

【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
＊＊＊ 【注意！】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ＊＊＊
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/

【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください

セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済

上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール＆サイト持ちは
安全なPCからのパスワードの変更を推奨します

＊＊＊ テンプレ終了 ＊＊＊

抜け、間違いがあれば指摘よろ

JREも(使っていないならアンインストール)を推奨した方がいいかも

GENO（Gumblar）ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す


※サイトを運営されている方は、さらに次のことも実施していただきたい。

(1）管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2）改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する

危険ポートを閉じることでセキュリティを強化する。

【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下：DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。

ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。

ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。

ポート135 445
ttp://www.google.com/search?hl=ja&q=%E3%83%9D%E3%83%BC%E3%83%88135+445&lr=lang_ja

捕まえてきたGumblarたんの本体を仮想マシンで実行してみるてｓｔ
→豪快にavast!とClamAVをスルーしたぞこいつ・・・
→Anti VM・・・だと！？
解析する前にunpack＋Anti Anti Debugする必要が・・・
もう少し時間がかかる。

【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除

packされていなかった
デバッガを通す"だけ"でAnti VMを回避できた件・・・何このウイルスどうなってるの・・・

【緊急】ガンブラー復旧パッチ使用手順。
http://sirmaximus.com/?security/news/view.cgi?type=gumblar
http://www14.atpages.jp/saba02site/files/fukkyuu0.zip

手順1
上記をダウンロードする。
手順2
ダウンロードしたファイルを任意のソフトで解凍する。
手順3
解凍したファイル内にある復旧パッチを実行すると、
｢windowを復旧しますか？｣とメッセージが出るので｢yes｣を選択します。
手順4
実行後、PCをセーフモードで再起動してください。

　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
.　　 ∧__,,∧　　 旦 旦 旦 旦 旦
　　 ( ´･ω･ ).　 旦 旦 旦 旦 旦
.　　 /ヽ○==○ 旦 旦 旦 旦 旦
　　/　　||＿　|_ 旦 旦 旦 旦 旦
　　し'￣(_)） ￣(_)） ￣(_)） ￣(_)）

>>1乙
これはただのお茶なんだから。レスポップアップして見ないでね。

>>14
ウイルス注意

Anti VMかと思えばカーネルを強引にクラッシュさせていただけ
特に怪しげな動きを見せない（本体をコピーしようとするが失敗に終わっている）

>>14
genoや8080じゃないけどウイルス警告

Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

tp://sirmaximus●com/?security/news/
view●cgi?type=gumblar

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Clicker.JS.Iframe.cz
情報:
2:14:52
Kaspersky Internet Security 2010


URL:

tp://www14●atpages●jp/saba02site/files/
fukkyuu0●zip

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan.BAT.KillFiles.mb
情報:
2:15:33
Kaspersky Internet Security 2010

>>14のzip注意
ファイルを削除されるお・・・

>>14
ファイル削除ウイルスってモペキチだろｗｗ
ttp://www28.atwiki.jp/mopekiti/pages/142.html

ttp://www.dotup.org/uploda/www.dotup.org545818.7z
Pass:virus

jad乙

993 ：名無しさん＠お腹いっぱい。：2010/01/10(日) 02:20:34
http://www●mag-x●com/にアクセスするとメンテナンスページに飛ばされるけど
リダイレクトが２回あって１回目でG dataが反応する

997 ：名無しさん＠お腹いっぱい。：2010/01/10(日) 02:37:38
>>993
ほんとだ

http://www●mag-x●com/　←302だけどボディに/*LGPL*/
↓
http://www●mag-x●com/pc●html
↓
http://www●mag-x●com/blog/index●html

センセイはスルー中
ttp://www.google.com/safebrowsing/diagnostic?site=www.mag-x.com&hl=ja

＊転載＊

320 ： 錐(関東・甲信越)：2010/01/09(土) 13:26:32.65 ID:B+8hBSVN
・avast!用
webシールド→URLブロック
*:8080/*

・Adblock Plus用
|http://*:8080*
注：|http://*8080/*だと機能しない（後ろ側の / ←に注意）

上記は「http://〜〜:8080/〜」
というURLを使ってくる限りずっと有効。

>>22
http://www.aguse.jp/　なら見事だお

http://genochk.crz.jp/index.php
Gumblar(GENO)に感染させる悪質コードを検出するプログラム書いた
寝たい・・

>>21
乙
avast!に提出しておいた

http://2sen.dip.jp/cgi-bin/upgun/up1/source/up36170.pdf
これって、ほんとにテスト用のウイルス？

>>25
>>22は検出できたGJ

>>27
stringsコマンドでざっくりみたらJavaScriptは埋め込まれてるね。
どういう動作するんかは試してないけども。

>>25
XSS対策できてないみたいです

>>25
乙
Operaでも動く模様
avast!には怒られたがw

>>30
ありがとうございます。見つけたところを直しておきました
PHPソースを見る機能をつけたのでおかしなところがあれば何でも言ってやってください

>>25ってスクリプトは実行してないよな？
アバストに引っかかるんだけど。

>>33
ウイルスコードそのまま表示してるからじゃね？

>>33
エスケープはしてますがソースを表示しているのでそれで怒られていると思います

検出した場合はその部分を表示しない オプションをつけました

>>36
乙！avastに怒られなくなったわ

298 名前：名無しさん＠十周年 []： 2010/01/09(土) 11:38:56 ID:WtIo91R60
ttp://www.youtube.com/watch?v=7q3wQ0Ux8TI
これの１：１８にボーガンの矢が打ち込まれてるぞ
これは殺人未遂事件だ。


いいですか、
ボーガンというのは狩猟道具なんです。
狩猟と言うのは動物を対象としているわけです。
放水はあくまで人間相手だから放水なんです。
しかし、ボーガンと言うのは人間相手の攻撃ではなくて、
「動物」相手の攻撃なんだ。


要するに日本人を動物とみなしているからこそ、
ボーガンで「狩り」をしてくるわけだ。


これは捕鯨問題ではなくて、
人種差別問題なんだ。
だから日本人は怒らなければいけないんだ。
日本人は差別されている！！

>>23
それでも漏れるでしょ

http://.*
でおｋ

ガンブラー騒動の時から、windowsXPの終了時に、
プログラムの終了中です。　n
というメッセージが出るようになりました。
n というのはプログラム名だと思うんですけど、特に心当たりはありません

avastを使っていて、正直該当サイト踏んだ記憶あるので
これってもしかして感染していますか？
一応完全スキャンと、オンライン検査はしています。

>>27
CVE-2009-4324かと思ったらCVE-2009-0927だけかよ
これか ttp://www.corruptcode.org/library/src/spltsrc/2009-CVE-2009-0927_package/CVE-2009-0927_package%5Cevil_pdf.py

payloadは本当にMessageBox出すだけみたいだな
しかしpayloadのDLLでかすぎだろ
こんなのもっと小さく作れよ

>>42
どうやって解析したの？

>>43
dll_payload = unescape("%u5a4d%u0090
ここのunescapeに渡されてる文字列がpayload(DLL)だから
これを取り出してバイナリにすれば古いAdobe Reader用意してなくても解析できる
shellcodeは>>42のURLのやつと同じだからpayloadだけmalwareじゃないと分かればいい
解析は仮想マシンで実行したり逆アセして読んだり

>>44
thxです。
こういうこと仕事でやってる方ですか？

>>41
8080系だと仮定してレスするが
>>21 のうｐしてくれた今のウイルス本体は
結果: 3/41 (F-Secure,Panda,Prevx)
ttp://www.virustotal.com/jp/analisis/189416f54f929ebaeb6ae7116c5833e822b09b0bc1d4dab82e2bcc030a1450f1-1263065521
だから検出しないんだろう

とりあえず >>6 の感染確認で見てみればどうだ？

>>45
ただのニートだよ
仕事でやってる方ほどの知識はないよ

>>21のうｐしてくれたウイルス本体をanubisに投げてみた
ttp://anubis.iseclab.org/?action=result&task_id=1f6c515039f6cb6a45d78e22d06cf05ce&format=html
>>6の感染確認方法はまだ使えるな

>>47
セキュリティ企業で働きなさい。もったいない。

サイト登録日
2009-11-11 18:52:09
サイトのタイトル
なし
実際に表示されるサイトのURL
ttp://www14●atpages.jp/saba0●site/files/fukkyuu0.zip
IPアドレス
203.152.213.250
逆引きホスト名
203.152.213.250.static.zoot.jp
画像取得日時
2010-01-10 05:39:48
検出されたウイルス（ワーム、スパイウエア）
★Trojan.BAT.KillFiles.mb
　サーチ
1 60.42.255.33
2 118.21.192.131
3 118.21.197.41
4 218.43.251.37
5 210.190.162.5
6 118.23.168.15
7 122.1.246.94
8 221.184.27.254
9 163.139.130.150
10 163.139.124.135
11 203.152.213.250
www14.atpages.jp

転記
ttp://pc11.2ch.net/test/read.cgi/sec/1263055073/
2010/01/10　02:04:45 書き込み時間

>>14 は軽犯罪法に抵触され
実害も発生したため警察へ通報を検討中
謝罪投稿で良心的態度を示してください

>>47 サンクス
Anubisのレポートのおかげで >>6 のミスに気付いた

○　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
×　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

>>44
"%u5a4d%u0090
MZヘッダーなのは判るけど、これ一発でバイナリ化するツールとかあるん？

検出スレより転載

●セキュリティ板専用アプロダ推奨↓
http://tane.sakuratan.com/
・ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"推奨

圧縮はzipがのぞましい

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
>>6 >>12 の「感染確認」は一部正確ではありません
そのまま実行してもスタートアップのsiszyd32.exeが残ったままなので
起動時に再感染すると思われます
ご注意ください

○　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
×　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

やっぱり検証しないとダメだなorz

微だろ
http://aomori.cool.ne.jp/hime5/miku666.jpg

>>55
グロ注意

http://www.110kz.com/003/

>>57
全て破壊されたよ、過去に戻りたい… シニタイ

>>41
騒がれるだいぶ前からたまに出る。ネトゲやってない？
X虎とかそういう系かなぁと思ってたんだが

>>41 プレゼント♪
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q119038941

>>57
踏んだら死ぬよ、最後フォーマット完遂

ファイル名 A.bin 受理 2010.01.09 20:33:17 (UTC)　　2010.01.10 5:33:17 (JST)
現在の状態： 完了
結果: 4/41 (9.76%)

F-Secure　　Suspicious:W32/Riskware!Online
Kaspersky　　Backdoor.Win32.Bredolab.bsr
Panda　　Suspicious file
Prevx　　Medium Risk Malware

追加情報
File size: 23040 bytes
MD5 : 35d23f69b7af292c2dcea9a1b58b6ef3

http://www.virustotal.com/jp/analisis/189416f54f929ebaeb6ae7116c5833e822b09b0bc1d4dab82e2bcc030a1450f1-1263069197



Name of malicious program　　 Detection time　　Update released
10 January 2010
Backdoor.Win32.Bredolab.bsr　　00:24　　　　　　　10 Jan 2010, 04:37 (JST)

http://www.kaspersky.com/viruswatchlite?search_virus=Backdoor.Win32.Bredolab.bsr&hour_offset=6



　　　*　　ワ━━━━━　　+　　　*
　+　ﾊﾟﾁﾊﾟﾁ　　ﾊﾟﾁﾊﾟﾁ　ﾊﾟﾁﾊﾟﾁ　　　　*
*　 ゛ ∧_∧　 ゛∧_∧　　　∧_∧〃　+
　+ ヾ(　　 )ﾉ ヾ(　　 )/ヾ＼(　　 )/″
　　　/　 /　　　.|　　|.　　　 ＼　＼
　　ノ￣ゝ 　　 ノ￣.＼ 　　　 /￣.＼

Detection タイムが
>>21に、うｐられる前あたりとか、あーでもない、こーでもない、含めて ザ・現実。やな

意味不明な文だな
こどもか

こどもでもいみのとおったぶんしょうくらいかけるだろー

池沼の関西人です

>>50
ν速にもあったよそれ

昔の2ｃｈらしくていいなｗ

20世紀も21世紀も油断なりませんな！

ちょっと練習
ttp://www.virustotal.com/jp/analisis/189416f54f929ebaeb6ae7116c5833e822b09b0bc1d4dab82e2bcc030a1450f1-1263083398

>>44
そのPDFファイルうｐ

pdfupd.exeも変わったのかな
アイコンが以前と違うな
ttp://www.virustotal.com/jp/analisis/ea9714abd8c3107877e397a39be3d5751a5f7a3dc74b7cb7413639fd40725a94-1263092043

自分でAnubisに上げといて>>51に気付かなかったorz

>>52 Perl使った
open my $fr, 'up36170.pdf' or die;
binmode $fr;
my $pdf = do {local $/; <$fr>};
close $fr;
my $n = 0;
while ($pdf =~ s/unescape\("([^"]+)//) {
$_ = $1;
s/%u([0-9A-Fa-f]{4})/pack("v", hex($1))/eg; # unescape
open my $fw, '>', $n++ or die;
binmode $fw;
print $fw $_;
close $fw;
}

>>71 >>27

ひとつ見つけた。ここはまだGNU GPLですな
www●candyfruit●com/brand_policy/

>>73
あららららw

>>72
●セキュリティ板専用アプロダ推奨↓
http://tane.sakuratan.com/
・ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"推奨

upしてー

http://www16●atpages.jｐ/fileｄl/ds%20psp%20syosinsyakouza.html
http://www16.atpages.jｐ/filedl/dnserror.html

コード入り注意

p://kowai●sub●jp/
昔オカ板のどっかの倉庫だったのがなんか宣伝サイトになってるけどここも。
こんなサイトは報告することもないか

俺の環境だと何故か感染しない・・・死ね

pdfにスクリプトって何に使うんだろ

これは鯖のスクリプトを除去するツールだろうか？
最新バージョン1.1では/*LGPL*/に対応しているみたいだ
ttp://justcoded.com/article/gumblar-family-virus-removal-tool/

>>80
お目にかかったことはないけど、Flashとかを埋め込んだ文書の作成や閲覧ができるらしいよ。

Malware Archive (8080) Rev2
ttp://www.dotup.org/uploda/www.dotup.org546892.7z
PASS:virus

制限ユーザで常用していても感染しますか？
ソフトウェア制限のポリシーで実行可能パスをデフォルトの最小限枠に絞っていても感染しますか？

と訊かれたのですが何の事ですか？

わからないならわからないって答えればいいだけじゃないの

>>83　乙
もう亜種が出るのか・・・
avast!に提出しておいた

向こうのスレと提出が重複してるな
次から自分は控えとくか

提出が重複してても無問題。
検体を沢山送って早く対応してくれれば。

>>88
いや、向こうのスレのテンプレで
多重送付を避けるとなっているからな
実際ベンダーの迷惑になりかねないだろ

多重送付といってもガンブラーに限っていえば10人もいないだろｗ

>>89
被ってすまぬ〜。
俺、平日は 2ch 監視してる時間無いから引っ込むわ。
あとよろ。

>>89
被っても問題ないだろ
数をこなさないと対応してくれないだろ

>>91
向こうに報告しないで勝手にやってた自分が悪い
提出したら向こうに報告するよ

>>88
1つの検体を多数送っても無意味だろ
多数の検体を送るならまだしも

Gumblar撒いてる危険なドメイン
ttp://*.thechocolateweb.ru*
ttp://*.guidebat.ru*
ttp://*.suesite.ru*
ttp://*.superaguide.ru*
ttp://*.theatticsale.ru*
ttp://*.themobilewindow.ru*
ttp://*.lagworld.ru*
ttp://*.worldsouth.ru*
ttp://*.ampsguide.ru*
ttp://*.webnetloans.ru*
ttp://*.webnetenglish.ru*
ttp://*.theaworld.ru*
ttp://*.thelaceweb.ru*
まだまだありそう

つーか、ロシアのサイトなんか普通見に行かないんだから、
.ru:8080/か.ru/を丸ごとブロックで十分じゃね

*.ruでおkだろ・・・

それがウイルス撒いてる狙いかもしれない

>>98
botnetの構築

>>99
なるほどー
深いな

愛機がボットに使われるのは嫌だな
暇だから目についたURL片っ端から踏んでるけど

兎に角鎖国は損だから

README死ぬほどワロス

>>103
何のREADME？

ミーコ先生の学級新聞じゃね

>>99
irc@2chでもbot作ろうとした人が鯖管に警告受けてたなあ･･･。

×bot作ろうとした　○botnet作ろうとした
間違えた･･･。

>>106
irc@2chをBotnetの拠点にしたのかｗｗ

>>106
何の鯖管？

ここのサイトも？？？

http://www.goodroom.co.jp/

>>110
感染してない

嘘だっ！

宣伝おつ

ttp://labaulebeach・fr/
ttp://alabaule・com/

>>114
/*LGPL*/

>>114
http://www.virustotal.com/jp/analisis/004931db79093c9f72976b92a86d2ff564374138e000a542dff070ddeae82a1b-1263113207
結果: 7/41 (17.08%)

リンク先はgoogleセーフブラウジングで攻撃サイト判定

質問です。
古いWinXPを再インスコするとFlashの6が入っています。(WinXPSP1→SP3にした)
AdobeReaderなしのとき、これでもやられちゃいますか?

AdobeReader,Java
どちらかが欠けていれば何もならない

>>117
危険なところ行く前に、アドビに行って最新版入れればいいだけでしょ。

ワロタｗ

>>117
安全なPCからあらかじめ最新のインストーラをDLして
メディアに焼けばおｋじゃね

>>118
残念ながら片方だけで感染する

今回狙われている脆弱性を持つプログラム
・Adobe Reader(未修正)
・Sun Java(脆弱性、いいえ仕様です)
・Microsoft InternetExplorer(最新版は影響無し)

ガンプラXがおかしくなってきてるような希ガス

tp://www●derinkuyumuftulugu.gov●tr/haber/yazimaraclari/RTE_popup_open_file●asp

＜script src=ｈttp://kasino●hdd1●ru/index●php＞＜/script＞

URLをエｎ(ry

おまえらいい加減なこと言い過ぎ

利用者に渡すとき、管理者権限がないので最新版をインスコできないようにしてるんです。
「Adobeもflashいれてないからいいや」って思ってたら、WinXPに入っていたこと思い出して・・

>>123
それはちょっと別のタイプだな

>>122
kwsk

LaBauleBeach　　　　　　　　　　　　
表示サイト
http://ala*aule*com*
IPアドレス
82.165.98.36
逆引きホスト
kundenserver.de
検出体
Trojan-Downloader.JS.Agent.ewo

alabaule.com サーバの位置
国名 地域名 　都市名
GERMANY　Karlsruhe　Karlsruhe

AdobeのReaderじゃなくてAcrobatの方は問題ない？

>>125
渡す前にできないの？

>>129
あるよ

>>127
セットで動いてるわけじゃないからね

>>125
>Adobeもflash
どっちもadobeだよねorz
正しくは「Adobe RedaerもAdobe Flash」
だな

>>131
駄目なのか
javaもreaderも入れてないからセーフかななんて期待してしまった

http://genochk.crz.jp/index.php?url=http%3A%2F%2Fgoogle-de.time.com.nypost-com.thechocolateweb.ru%3A8080%2Fgoogle.com%2Fgoogle.com%2Frambler.ru%2Fwalmart.com%2Fkaixin.com%2F&hids=on　（安全）
更新するたびに毎回コードが変わるね

>>130
あさってくらいリリースのやつ入れて渡したとしても次のヤツを入れられない。
いっそ削除できればいいな。
Webサイト見せたくないけど見るのに使われてもらっちまうよりはいい。
「このパソで見るもんじゃない。だから絵は動かないんだ」で通る。

Foxit Readerは危険性ないのかしら。

>136
FoxitにもJavaScriptが搭載されてる件

>>137
それは知ってるけど、脆弱性は無いのかな？ってことなんだけど。

>>137
のあさってリリースってReaderだけですね。
だめだ、社内のReaderとFlash他の更新作業でマジつかれてる・・(泣

>>139
flashのアンインストーラーで消せなかったっけ？

>>138
Foxitにもかなり以前から放置されている脆弱性があるよ。
adobeと同じかどうかは知らないが。

GoogleDocsに上げて画像で見るのが一番安全

>>140
>flashのアンインストーラーで消せなかったっけ？

ありがとう!
削除できました!!

>>117に管理を任せている企業は頭がおかしい

たしかにw

そして動画サイトが見れなくなった社員がFlashをいれたりするんですね

>>144
正論過ぎてワロタw

業務システム用PCだお。
普通のPCには、Flashいれてるお。

なぜか、「IEのWebインタフェースのシステム=インターネット使うもの」思い込んでるのがいて、
わざわざ「(IEの)ホームページをYahooにする」とか「自分のPCを使わないでWebサイト見ようとする」のがいる。

なにいってるかわからねー、ゆとりなもんでｗ

>>148
ここでする話じゃないから
http://pc11.2ch.net/pcqa/
こっちの適当なスレで聞けよw

>>148
Vipperカエレ

>>117の人気に嫉妬

すんませんでした・・・。

>>135
システム管理者レベルでパソはないだろ・・・
古いのはよくわからんけど6はアンインストールできないの？

>>154
ごめんリロードしてなかった

>>148はVIP関連のまとめブログ読んでるだけだろ

フルボッコ（´・ω・） ｶﾜｲｿｽ

>>153はオイラじゃないといっておく。
>>154
人手がたりないから何でもやります。
>>140の教えてくれたとおおり、adobeのサイトからアンインストーラ落としてきて
削除できました。

マジな話だが、語尾の"お"って痛い奴の典型なので止めた方がいいよ

マジな話だが､語尾の"お"って痛い奴の典型なので止めた方がいいよ（キリッ

だっておwwwww

わかったお

何このスレ酷い

>>159
ありがと。

Readerだけ更新する手間(新版がでたらもう一回入れなおす)とFlashも一緒に更新する手間も大して変わらないので
一緒に更新してます。

いつものことだお

だぬ

お前ら、よくぞ釣られてくれた
褒美に感染する権利をやろう

今回の改竄騒ぎで、被害会社・マスコミ各社が「Gumblar亜種」とかいてくれたんで
社内にウイルス対策ソフトだけじゃダメ。Adobe ReaderとFlashの更新が必要ということが認知された。
「やばそうなソフトもいっしょに更新または削除しろ」という判断になった。
ソフト自動配布ソフト買う話ができるようになった。

>>166はオイラじゃないよ。

もうどうでもいいよ

【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/

ESETがJS/TrojanDownloader.Agent.NRL トロイの木馬　検出して
前スレ開くと接続が遮断されるんだけどなんですかねこれ

コード貼られてるとか？かな

>>168
不安ならオンラインスキャンも追加しとけよ。
http://lhsp.s206.xrea.com/misc/onlinescan.html
http://mangakakouze.com/?sscv6/home.asp?langid=jp

>>172
感染サイトなので注意

もう誰も信じられない

GENOウイルススレ　★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/675

これわかる方おられます？

>>170
うちのESETは何も言わないけど・・・

>>175
URLを具体的に

ノートンでC:\Documents and Settings\[ユーザー名]\Local Settings\Temp\plugtmp-1
にplugin-changelog.pdfがbloodhound.pdf.5に感染してるとヒューリスティック検出。
言われてる更新は全部最新なんだけど、どこでもらったのかまったく記憶がない。
ダウンロードはされたけど、発動しなかったってことなんだろうか？

しかも友達にガンブラー流行ってるよって言われて、
ノートン以外でスキャンしてみようと、トレンドマイクロのオンラインスキャンをやってる最中に
ノートンのAuto-Protectが働いて上のパスから検出したというのがわからない。
一応感染してるかどうかのレジストリ等の確認では感染はしてないみたいなんだけど…。
再インストールしたほうがいいのかなぁ

　　　　　　＼　　　　　　　ヽ 　 　 　 　 　 |　　　　　　 　/　　　　　　　　／
　　　　　　　　　 ＼　　 　 　ヽ　　　　　　　 　 　 　 　/　　　　　　／
‐､、　 　 　 　 　殺　伐　と　し　た　ス　レ　に　鳥　取　県　が　！　！　 　 　 _,,−''
　　｀−､、　　　　　　　　　　　　　　　　　　__／＼ 　　 　 　 　 　 _,,−''
　 　　　　｀−､、　　　　　　　　　　　　　 _|　　　 `〜┐ 　 　 　 　 _,,−''
　　　　　　　　 　　　　　　　　　　　　　_ノ　　　　　　 ∫
　　　　　　　　　　　　　　　　　　＿,.〜’　　　　　　　　/
───────‐　　　　　,「~　　　　　　　　　　 　 ﾉ　 　 ───────‐
　　　　　　　　　　　　　　　,/　　　　　　　　　　　　　 ｀￣7
　　　　　　　　　　 　 　 　｜　　　　　島　根　県　　　 　/
　　　　　　 　 　 _,,−'　　　~`⌒^7　　　　　　　　　　　 /　　 　｀−､、
　 　 　 　 _,,−'' 　 　 　 　 　　 丿　　　　　　　　　　　 ＼, 　 　 　｀−､、
　,'´＼　　　　　　 　 　 ／　　_７　　　　　　 ／`⌒ーへ＿,._⊃　　　　　　　　　／｀i
　!　 　＼　　　　 　 _,,-┐ 　　 ＼　　　 ＿,.,ﾉ　 　 　　　　　 ｒ‐-､、　　　 　 ／　 　!
　ﾞ、　　　｀ー--＜´ 　 / 　　　　 Ｌ. ,〜’ 　 　 　　　　　　　 ﾞ、　　＞−一'′ 　　,'
　　y'　　U 　 　 　｀ヽ/ 　 　 / 　　　　　　　　　　　ヽ 　　　 　ヽ '´　　　　　U　 　ｲ
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　＿＿＿＿
　　　　　　　　 /　　　　　 ＿＿　　　　　 　 |　　　　　　 ＼＿＿＿＿＼
　　　 ＿＿＿/＿＿　/￣　　　　＿＿＿＿|＿＿＿＿ ＼ ＼＿＿＿＿＼
　　　 　　 ／/ヽ　　 /＿＿＿ 　 　 　 　 ／|＼　　　　　　 ＼ ＼＿＿＿＿＼
　　　　 ／　/　ヽ　 /　/＿＿　　　　　／　 |　 ＼　　　　　　 ＼＿＿＿＿＿＿＿
　　　／　　/　　 ／ ／　　　/ 　 　 ／ 　　 | 　　 ＼　　　　　 　 　 |　 　 ＼
　 ／　　　/　 ／ ／　 ＿／ 　 __／　 　 　 |　 　 　 ＼__　　　　　　|　　　　 ＼　￣―＿

ルートキットスキャンが、あまりにも重いので
カスペ2010をアンスコしていたが

今回の騒動でまたインスコしました
ルートキットは修正されたのか
ずいぶんとキビキビ軽くなった

ホモとかメタボとか、おやじを馬鹿にしていたが
カスペがやはり一番信用できるにゃ

>>178
トレンドマイクロのオンラインスキャンがそのファイルにアクセス→
ノートンがファイルアクセスに反応してリアルタイムスキャン→
ウイルス検出という流れかな
PDFをDLしたときの定義ファイルでは検出できなかったんだろう

ウイルス感染したかはわからん
心配ならOS入れなおしが安全安心楽ちん

【Geno.Checker2 rev80】
ttp://genochk.crz.jp/index.php
管理人殿＞
<script>function･･のやつも検知できるようにして欲しいのです。
ソースは↓でググれば大量ヒットするはず
"<script>function" "return String.fromCharCode(c);" "getElementById("

>>182
なるほど、やってみます

>>179
それ群馬県じゃないかよw

>>177
URL具体的にって??

つまり、Noscriptを入れている環境において、Aというサイトを信用していたとして、

１．感染したサイトＡを見に行く
↓
２．サイトＡのＪＳは許可しているから、悪意のサイトＢへリダイレクトされる
↓
３．サイトＢは許可していないのでＪＳが働かない
↓
４．さらなるリダイレクトも脆弱性攻撃も発動しない

という認識が合ってるかどうかなのだけど。
１の時点で攻撃があるならアウトだけど、３かそのリダイレクト先で攻撃だよね？
間違ってる？

既出のtp://mangakakouze●com/絡みと思われる連鎖を確認。

/*LGPL*/
tp://www●geocities●co●jp/AnimeComic-Cell/7747/

陥落サイトの調査に戻る･･･

>>185
多分防げる

これって2回目以降のアクセスって拒否されるようになってる？

AnimeComic-Cellか・・・
>>186
おつ

>>188
「完全犯罪とは操作する側が気付かない犯罪である」だ。
今時、二回目、更新後に自分たちの存在そのものを隠そうとしないウイルスを作る馬鹿がどこにいるよ。

かっこいいこと言ったつもりで盛大にすべってる痛いのがいると聞いて

おまいらさFTPクライアント使ってHP更新してんの？
ブラウザでできるだろうに
俺はトークン導入させてるけどね
その方が安全だぜ

>>192
何それ美味しいの（´・ω・） ｽ

>>188
ありがとう！
ということは、現状ではNoscript系で何とかなるってことですね。

問題は、手動で書き換えてるぽいから、1の段階で攻撃されたら
終わりってことか。
ゼロデイ考えると当分気を抜けませんが、少しラクになりました。

すみません、アンカミス。
>>187あてでした。

>>193
トークンは地下鉄とかで使うんだよ、最近はカード形式になってるところが多いね

もうOTPで良いよ・・・

さっき、wikiの王様ゲームのページ見たんだけど、ここもやられてるっぽい。
お前ら、行くなよ！

ttp://hackademix.net/2010/01/08/nat-pinning-and-abe/
Good news is that ABE can prevent exploitation without hampering the useful functionality.
If you’re concerned about this issue, you just need to open NoScript Options|Advanced|ABE and edit the “USER” ruleset, adding the following rule:

# NAT Pinning blockage (blocks outbound HTTP traffic to unlikely ports)
Site ^https?://[^/]+:[0-35-7]
Deny

>Bad news is that Java, Flash, Silverlight and maybe other plugins can open raw sockets bypassing any browser control,
>including ABE. Just another reason to keep them at bay.

ttp://noscript.net/features#contentblocking
Finally, toggling
NoScript Options/Embeddings/Apply these restrictions to trusted sites too
extends the plugin content restrictions you set for untrusted sites also to whitelisted pages,
turning NoScript in a general content blocker for Java, Silverlight, Flash and other plugins functionally similar to FlashBlock.
NoScriptの中の人のブログ記事だけど許可サイトでも
NoScript Options/Embeddings/Apply these restrictions to trusted sites too
以下ににチェック入れたりしたらプラグインとかの動作とかで少しは安心できるって事なんかな？

's&c^$#r))i($p@&t^&'.replace(/&|#|\$|\(|@|\!|\^|\)/ig //　=> script
のように難読化されたコードを調査できるようになりました
ttp://genochk.crz.jp/index.php

>>200
更新乙

>>200
乙ー

>>200
近所だったら牛丼おごってやりたいわ。

>>200
乙

Botnet疑惑の新種
File B.exe.virus received on 2010.01.10 16:06:15 (UTC)
Current status: finished
Result: 2/40 (5%)
かすぺたんとトレンドマイクロだけですた・・・

>>199
Adblock Plusを入れて
|http://*:8080*
↑これを放り込んでおけ。
※コードが発動してもきっと大丈夫

>>200 乙！
シゴト早いなw

>>182はまだ検出できません、
試しに実装してみたらググる先生をウイルスと認識したので＾＾；

よくわかんないから調べてたんだけど、
Gumblar（GENO）と8080系って、似てるだけで全く別物？
なんか一緒くたにしてるからみんないろいろ勘違いしてる気がするんだけど

誰か無知な俺に教えておくれ
ついでにいつから8080で騒いでるのか教えてくれるとありがたい

>>208
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2113

>>209
�d�d

Foxit Readerの脆弱性について
結論：未だに修正されていない。任意のコードを幅広く実行可能。
今のところ防止策無し。アレゲなPDFを開いた時点で死亡フラグ。

PDFビューワーに関してはもうアンインスコ推奨じゃなくて必須でいいよ

そしたらPDFは何で見るんですか？

これで
http://docs.google.com/viewer?url=

>>211
ttp://www.kb.cert.org/ で見る限り修正済ってことになってるけど？
他に何かあんの？

>>214
マウスオーバー辞書も使えないし
常用には無理だなそれは

Foxit Readerで、踏んでもいまだに感染してないけどな。

>>213
オンラインでPDFの表示・編集が出来るらしい(Free!)
ttp://www.pdfescape.com/

>>215
CVE-2009-0836等々

再インストールしたんだけど、怖くてadobe関連インストできん。
いつごろ収まる？？

Adobe readerの脆弱性の修正版は1月13日(日本時間)ってことになってるが
改ざんがいつ収まるかってのはシラネ
どうせ新しい脆弱性が見つかればそれを悪用してくるのは確実だし

>>219
不安なのはわかるがそんな事誰にも答えられないし答えられても合っている保証はない

>>218
> >>215
> CVE-2009-0836等々
ttp://www.securityfocus.com/archive/1/archive/1/501623/100/0/threaded
CVE-2009-0836 は対応済みみたいだけど。

>>222
Foxit Reader 3.1.4.1125でCVE-2009-0836の脆弱性の動作確認済み
俺の環境がおかしい・・・のか！？

とりあえず、Foxitユーザが少数派である限り、脆弱性を突かれる可能性は低いと思うな。

そんなこと言い出したら、FirefoxにしろIEにしろ、未修正の脆弱性があるわけだし

こういうやり取りは英語苦手な自分には為になる。

>>224
Adobeじゃないから安全という過信は禁物ってことだよ

Foxit Readerのやりとり少ないから、大いにやってほしいｗ

主に使ってるソフトほとんどAdobeだから早くこの騒ぎが収まって欲しいわ

AdobeReaderのセキュリティアップデート13日だっけ？
早よせーよと

Brava!シリーズについてのお問い合わせは、Brava!シリーズ製品国内総販売代理店　
株式会社オーシャンブリッジ([email protected])までお問い合わせください。

Foxitに穴があると聴いて

>>182
対応しました

>>182って普通にjavascriptのコードだよ
今回の8080にまったく関係ないぞ

>>232
乙！

>>232
Firefox3.6にも対応よろしく
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=570

(�VД�V)ブワハハハハハ！！！！
早速あらゆるネトゲスレやその他スレでウィルス踏ませてきたぜ！！！！
わーい大量(�Vд�V三�Vд�V)大量わーい

(�VД�V)チネ

（´・ω・） ｽ

一般社団法人　環境共生住宅推進協議会

/*LGPL*/
ttp://www●kkj●or●jp/check_publication/symbiotic/index_name.html

jsの404は何だ？

(�VД�V)生きろ！俺！

ru:8080からpdf落とすのはどうやんの？

>>239
> jsの404は何だ？
/jscs/base.jsなら/*LGPL*/

>>198
wikiってwikipediaのこと？

以前チェックしたサイトがavast!で検出しないパターンの/*LGPL*/になっている模様
そのサイトのjsも/*LGPL*/だが反応なし
avast!には提出済み

ttp://www●puzzue.com/mv/
結果: 9/40 (/*LGPL*/前回)
ttp://www.virustotal.com/jp/analisis/9f98f7d38a29d95cbe39e98a2555cd7a9b6ec467308bce1a5ace14bf8e74e153-1263173057
結果: 0/41 (/*LGPL*/今回)
ttp://www.virustotal.com/jp/analisis/893496a0ad2a7a9908373edfd75855d868e971748e38588ef1ff49572fdca94d-1263173112

>>244
更新してないHPとかまだまだ感染しててもわからないのがおおそう。
目的はなんだろ。

candyfruitからリンクたどってみたらひとつあった
tp://www●mist-mist●jp/

>>246
index.html全滅か。。。

538 ：名無しさん＠お腹いっぱい。：2010/01/08(金) 00:39:27
cnとruを遮断すればかなり安全になるしな

↑↑↑
こういうのってどうやるんでしょうか？
自分はvista＆ノートンユーザーなんですがノートン使ってやれるんでしょうか？

金払ってるんだからサポートに訊け

>>248
やってもあんまり意味ないと思うよ。

>>248
>>150

LRから引用
> ここは、LANや個人のPCへの侵入、トロイ、ウィルス、スパイウェアなど、
> 様々なネット上の危険や、その対策方法を語りあうための板です。
> パソコン初心者の方は、【 PC初心者板 】で、
> ネット上の架空請求などは【 防犯・詐欺対策板 】で質問した方が良い場合があります。

ノートンなら防いでくれるからな
防御が甘いから色々工夫してるだけで

これも 244 と同じ新型
hxxp://blog.kyaru.net/

>>253

カスペルスキースルー

でもフィッシングサイトとして禁止しやがったｗ

2010/01/11 15:17:58 禁止しました: http://google-ae.lenta.ru.insightexpressai-com.burkewebservices.ru:8080/msn.com.cn/msn.com.cn/in.com/google.com/rambler.ru/
(フィッシングサイトの定義データベースに登録されているURL) 定義データベースに登録されているURL

>>253
blog.抜いても/*LGPL*/があるの。。。

>>232 遅くなってしまったが、乙です！！
〜・〜・〜・〜・〜・〜
以下、使えそうなツール類

【System Protect】
いわゆるHIPS
ttp://www.system-protect.com/download.aspx
解説：ttp://all-freesoft.net/soft/computerprotection/systemprotect/systemprotect.html
※Ask Modeを推奨

【WinPatrol】
スタートアップへの登録、ファイルの種類の関連付けの変更などを監視
ttp://www.winpatrol.com/download.html

【Macrium Reflect FREE Edition】
バックアップ
ttp://download.cnet.com/Macrium-Reflect-Free-Edition/3000-2242_4-10845728.html解説：ttp://gigazine.net/index.php?/news/comments/20090206_macrium_reflect_free_edition/

【EASEUS Todo Backup】
バックアップ
ttp://www.todo-backup.com/download/

【仮想化】Returnil Virtual System【仮想化】
http://pc11.2ch.net/test/read.cgi/sec/1202337108/
・RVS 2.0.1.9002(旧版)＞XP、Vista向け
ttp://www.filecluster.com/downloads/Returnil-Virtual-System-Personal-Edition.html
※External Mirror 1から

バックアップはParagonのが良いだろ
Paragon Backup & Recovery 10 Free Edition
http://www.paragon-software.com/home/db-express/index.html

こんなのも最近出た
Comodo Time Machine
http://www.comodo.com/home/data-storage-encryption/data-recovery.php

>>244 閲覧用リンク

>>253
>>255
サンクス
avast!に提出した

すでに>>25があるからいらないだろうけど、前につくった奴を弄ってみた
http://end.if.land.to/geno.php?url=
http://end.if.land.to/geno.php?mode=nobold&url=

ReturnilなんてCTMがある今では利用するメリットすらないゴミだわ

>>260
乙
簡単に使えていいね

>>25,232>>260
ソースチェッカーオンラインみたいに使えるから助かります。

>>261 そのコピペ見飽きたわw

Returnilは殆ど話題にならないけどアンチウイルスでもあるからな

ガンブラーに対してはAntivirは検出率があんまりよろしくないのかな。

ここは対ウイルスアプリの優劣を議論する場所ではありません

おまいら 難読化されたJSを解読する時どうしてる？

メモ帳でさくさく置換削除

Firebugのコンソールに難読化された部分だけ取り出して突っ込んでる
たとえばこんな感じ
http://www.dotup.org/uploda/www.dotup.org551126.png

すみません、>>200をソースチェッカーやAGUSEのように、
専ブラの右クリックに登録する際のコマンドを教えてもらえないでしょうか？

HAHAHA

>>200
UserAget欄は何のためにあるの？

>>270
http://genochk.crz.jp/index.php?url=$LINK&hids=on&code=on&chk=AUTO

>>272
UAを変えるためにあります、変えたところで特に何も変わらないことがほとんどですが
作ってしまったからしょうがない


ブラウザで利用できる検索エンジンを用意しました
ページを開くとIEではこのように検索エンジンを追加できます(Firefoxも同様)
http://rainbow2.sakuratan.com/img/rainbow2nd58546.png

>>253>>255
403

>>273
ソースチェックも同様にできるとありがたいけど。
あなたのスキルなら可能ですよね。

>>274
255は読めるぞ

2ch に書き込んだら閉じられたぜwww

キャッシュに残ってたのでは…

>>273
コマンド化乙です。
スクリプトだけではなく、ソースチェッカーへの対応も鑑みてはどうですか？
そのほうが需要は無限大に広がると思われます。

>>278
更新しても変化無かったんだが、ブラウザ再起動したら403になったorz
スレ汚しすまん

>>280
いえいえ、こちらこそ確認ありがとうございました。
ろりぽっぷが対応してくれた模様です。

>>275,279
こういうのがふえてくとやる気なくすんだよな
需要が無限大とか勘弁してくれ

どうでも良いよ

クレクレ厨死ね

死ねとか言うなよ
あちこちで荒らしてるやつだろお前

煽りですか？

>>273
有難うございます！

>>282

>>200にも問題があるよな。わざわざここで公表する必要はなかった。

問題ねえよ

Flash Playerの更新が来たけどこれは本件とは無関係？
ttp://www.adobe.com/support/security/bulletins/apsb09-19.html

>>290
Flashは今流行のやつには関係ない
このスレ的に無関係というわけではないけど
その更新先月でしょ

>>291
ありがとう
おとといバージョンテストしてたのに見落としてたみたい

>>288
それはべつによくね
ただ、それに便乗して自分勝手な要望出すやつが増えてくると
作ってる方が嫌になってくるってだけだ

問題あるわけ無いよ
アホ相手するな

>>244
かたじけない＾＾

別に有料ソフトじゃないんだからてきとーにやりゃいい

自分の欲しいものをつくって「よかったらどうぞ」でおｋ

他力本願寺の変

あぅ、ろりぽフロントページだけ消したのね。。。
再依頼しました。

どうせチェッカー作った奴は放棄するんだろｗｗｗｗｗｗ

NOOB

にしてもAdobeはホント屑だな
最悪でもJavaScriptをデフォルトでオフにしておいて欲しい

adobeはこれからも脆弱性見つかり続けるんじゃね？

pdf編集しないなら別にAdobeじゃなくてもいいんだっけか？

利用者が多いのはタダだけど編集できないReaderなんじゃないか

ワード、エクセルのマクロウイルスと同じ
蔓延するようになったら実行しますかY/Nのダイアログ表示出すだけ

Adobeはそれすらしないだろうな。

Adobe JavaScript を実行しますか？

　　　　　　　[ はい(Y) ]

なぜpdf readerはAdobeのに固執するのかねぇ
PDF-XChange Viewerとか Foxit Reader とかいろいろあるじゃないか

編集もするから

AdobeのPDFは最初からパソコンに入っているから

>>308
他のでも確実に安全ではないと何度言えば

PDF編集なんかするのは極一部の人だけで、
ほとんどのやつはビューワーとして使ってるだけでしょ。
俺は前回GENOがはやった時にFoxit Readerにした。

俺はPDF-XChange派だな

Adobe Reader派だな

>>310
ないないwwww

>>302
だろうね。あと、セキュリティの穴埋めのバージョンアップと共に、要求スペックが
あがって、未だにXPとか使ってるユーザーが重くなるとかいってバージョンアップしなかったり・・・

実際、今感染してるしてるような人って、そういう感じなんじゃないのかな・

「バージョンアップ＝重くなる」が成り立つのはAdobeとMicrosoftの製品のみ

SkypeもiTunesもバージョン上がって重くなった気がするけど

>>21
>>83

MD5 : 35d23f69b7af292c2dcea9a1b58b6ef3
9/41
http://www.virustotal.com/jp/analisis/189416f54f929ebaeb6ae7116c5833e822b09b0bc1d4dab82e2bcc030a1450f1-1263219292
8/41
http://www.virustotal.com/jp/analisis/189416f54f929ebaeb6ae7116c5833e822b09b0bc1d4dab82e2bcc030a1450f1-1263198713
8/41
http://www.virustotal.com/jp/analisis/189416f54f929ebaeb6ae7116c5833e822b09b0bc1d4dab82e2bcc030a1450f1-1263197303
7/41
http://www.virustotal.com/jp/analisis/189416f54f929ebaeb6ae7116c5833e822b09b0bc1d4dab82e2bcc030a1450f1-1263150340
7/41
http://www.virustotal.com/jp/analisis/189416f54f929ebaeb6ae7116c5833e822b09b0bc1d4dab82e2bcc030a1450f1-1263139860



MD5 : 60cc202fb8ca7786494db1144841e407
11/41
http://www.virustotal.com/jp/analisis/ea9714abd8c3107877e397a39be3d5751a5f7a3dc74b7cb7413639fd40725a94-1263219304
7/41
http://www.virustotal.com/jp/analisis/ea9714abd8c3107877e397a39be3d5751a5f7a3dc74b7cb7413639fd40725a94-1263202459
6/41
http://www.virustotal.com/jp/analisis/ea9714abd8c3107877e397a39be3d5751a5f7a3dc74b7cb7413639fd40725a94-1263197313
2/41
http://www.virustotal.com/jp/analisis/ea9714abd8c3107877e397a39be3d5751a5f7a3dc74b7cb7413639fd40725a94-1263150347
2/41
http://www.virustotal.com/jp/analisis/ea9714abd8c3107877e397a39be3d5751a5f7a3dc74b7cb7413639fd40725a94-1263139770

>>319
乙

いつになったらFoxit Readerの脆弱性が塞がれるのですか？
ほんの一部のユーザーは怒っています！

>>308
なんだかんだ言っても表示品質は一番だからだろ。

>>319

MD5 : 35d23f69b7af292c2dcea9a1b58b6ef3

3/41
http://www.virustotal.com/jp/analisis/189416f54f929ebaeb6ae7116c5833e822b09b0bc1d4dab82e2bcc030a1450f1-1263057105




MD5 : 60cc202fb8ca7786494db1144841e407

1/41
http://www.virustotal.com/jp/analisis/ea9714abd8c3107877e397a39be3d5751a5f7a3dc74b7cb7413639fd40725a94-1263110576

adobe leaderアンインスコして
illustratorかphotoshopでpdf開けばいいんじゃね

readerだった

pdfとして開くから悪いんだ
他のファイルに変換して開けば……え、もっと使い勝手悪い？

ガンブラー新型きますた

194 名前：名無しさん＠お腹いっぱい。：2010/01/11(月) 22:01:15
ttp://www.dotup.org/uploda/www.dotup.org552022.zip.html
pass:Virus

195 名前：名無しさん＠お腹いっぱい。：2010/01/11(月) 22:06:50
>>194
ttp://www.virustotal.com/analisis/60d916c851c6cc72e6de9d96b882fda284fbe37fea06ed3f502f9c96ae8abfe1-1263215078
ttp://www.virustotal.com/analisis/69b2c803e40c546b715d7f3eb647ae191b838dc13bdfbc7b8a65045135c14018-1263215072

もう完全に千日戦争状態に入ったな

>>327
既出

epsとして開いたほうが安全そうだわな

誰が何の目的でこんなん作ってるん？

就職活動または職にあぶれて憂さ晴らし

>>331
名簿業者みたいに、PASS等抜いて売買してるらしいって記事読んだよ。

>>331
・Botnet構築（DDoS攻撃等に悪用される）←今回はこれ
・個人情報取得（クレジットカード番号等々）
・データ破壊
etc...

>>331
ここに詳しく書いてある
http://www.threatexpert.com/

Gumblarウイルスからコンピュータを保護する
ttp://genochk.crz.jp/defend.html
書いてみた

ttp://www.npa.go.jp/cyber/
は仕事してるん
ttp://www.npa.go.jp/kokusai2/renkei.htm
ショボっ

ガンブラーよりGENOのほうがかっこいいよね

>336
乙。読んでて気づいたがJAVA切っても良かったんだな。
OOo使ってるからアンインストールできなくて悩んでたんだが、ブラウザでは使う機会ほとんど無いし。

>>336
Flash PlayerはIE用とFirefox,Chrome,Safari,Opera等用は別にアップデートする必要があるって
書いたほうがいいかも
Adobe Readerはブラウザでもプラグインを無効にしたほうがいいような気がするけどどうなんだろう？
IEならアドオンの管理、Firefoxならアドオン−プラグインで無効にして意味あるかね

>>336
乙

追加
Google Chrome/Chromium
引数に --disable-java を追加

>>336
gj

>>336
わざわざやらなくていいよ
ほんと
自分が感染してたらどうなるの？
お前らm9(^Д^)ﾌﾟｷﾞｬｰ　自己責任でねって言うの？

>>336
よくやった

しばらくしたら抜かれたクレカ情報が流通始めるんだろうな
クレカ情報抜かれたとは思ってる人は感染した人の中でいないだろうし

お前ら実際の攻撃コード(javascriptじゃなくて)はどうやっておとしてんの？

串刺してwget

>>331
遅レスだけど個人的にはインターネット撲滅勢力によるネット撲滅のための実力行使だと思う

信濃毎日新聞
http://www.shinmai.co.jp/
クロスドメインスクリプト発見しまくられｗ

ガンプラ？

>>348
これだけ感染力強いんだししばらく亜種を作り続けて
行き渡ったと思ったらゼロデイで一気にPC破壊とかな
まあそんなサイバーテロしたら自分の身が危ないわけだが

トレンドマイクロ、ウイルスソフト「ガンブラー」対策で注目
http://news.searchina.ne.jp/disp.cgi?y=2010&d=0112&f=business_0112_012.shtml

　トレンドマイクロ <4704> に注目する動きが出てきた。
09年末から10年年初にかけて、ＧＵＭＢＬＡＲ（ガンブラー）によるＷｅｂ改ざん被害が増加してきたためだ。

ＧＵＭＢＬＡＲは、感染したコンピュータからＩＤ情報やパスワードを盗み出し、そのコンピュータが管理する
Ｗｅｂサイトを改ざんするコンピュータウイルスで、Ｗｅｂサイトにアクセスするだけで閲覧ユーザーにも感染
する、既にＪＲ東日本 <9020> やホンダ <7267> などの大手企業のＷｅｂサイト感染が確認されている。

そこで、注目されるのがトレンドマイクロというわけ。
野村證券では2010年度の企業向けセキュリティ需要拡大を指摘、ガンブラー流行も需要回復の支えになる
と見ている。ウイルス対策未導入ユーザーの新規導入を促進できる可能性があるとしている。

>>352
(　´,_ゝ｀) ﾌﾟｯ

サーチナw

ガンブラーがどうと買って、IPAが仕分け逃れのために仕事してるふりするために煽ってるだけなんじゃないの？

>>355
そう思うならそう思えばいいさー

明日があるさ−

世間じゃもう忘れ去られてるぞ
騒いでるのはこのスレだけｗ

>>358
さっきもTVでやってたのに？

間違いだらけのGumblar対策
ttp://blog.f-secure.jp/archives/50334036.html

Adobe Readerゼロデイの検出
ttp://blog.f-secure.jp/archives/50321539.html

New Gumblarとその亜種に関する注意喚起
ttp://blog.f-secure.jp/archives/50305625.html

"新"Gumblarに注意喚起
ttp://blog.f-secure.jp/archives/50295245.html

Adobe Acrobatゼロデイ分析
ttp://blog.f-secure.jp/archives/50315410.html

Gadgetadvisor.com の悪意ある IFrame
ttp://blog.f-secure.jp/archives/50243652.html

Adobe Acrobat Readerに新たに2種の脆弱性
ttp://blog.f-secure.jp/archives/50237796.html

>>359
ここにいるようなちゃんと危機感持ってる連中は少数派。
やってても対岸の火事と思ってるやつばかりだと思うよ。
実際周りにちゃんと説明しても危機感持ってすぐ対策するやつは少なかった。

http://blood-genome●com/
このサイト見ると、avira先生がHTML/Crypted.Genって騒ぐから
genoチェックとかガンブラチェックとかやってみて見つからないんだけど、ただの誤検出かな？

オレはウイルスなんて掛かったことないし
PC買ったときに入ってたマカフィーがあるから問題ない
怪しいサイトなんて見ないし
サイト持ってるからFTPは繋ぐけど、大したデータ入ってない
パソコンが壊れるわけじゃないだろうし、大丈夫
このスレ以外だとこんな人多いだろう

>>362
たぶん誤。少なくともGumblarではない。

うちの会社も何の対策もとってない
度々ウイルス情報伝えてるのに、アホかと思う
営業の奴らなんて一日中あちこちのサイト見て回ってるのに
もういっそ感染して焦れと思う

去年のやつなら安心してもよかったんじゃないか。

ただ、今回のやつで明るみにでたのが、企業のホームページ管理の杜撰さ（つっても、
この手の業界にいたやつなら、このウィルスはヤバイなと去年から思っていたと思うけど）だから、
危険度は間違いなく高レベル

ディズニーが感染被害とか明らかにやばいよな

祖父母のところに父がいつでも仕事できるようにノートパソコンを常備してるんだが、
今年の一月二日にみたらJREが10（古！）でadobeも最新版でなかったし、
リーダーもスクリプトが動いていた。ブラウザもIEのみ。とりあえず、ざらっと更新かけた

アダルトサイトとかそういうのを見に行く人ではないんだけれども、運が悪かったら
どこかで感染していてもおかしくない。今度自分が休日のときにチェックしないといけない。

感染対象ファイルはHTMLだけなんでしょうか？

HTML末尾にLGPLなどのスクリプトが書き込まれている
というのはわかるんですが、画像やswfなんかは
感染しないと考えておｋ？？？

画像やswfにJavaScript書いても意味ねーだろ
jsファイルは普通にやられる

ありがとう。安心しました。

脆弱性さえあればどんなファイルでも危険
今回はAdobe Reader(未修正)とSun Java(仕様)・InternetExplorer(ActiveXまわり)が対象

AdobeとActiveXはいつもの通りだと思うんだが
Java(仕様)っていうのを具体的に書いてある所はどこかにない？
すごく気になる

結局ノートン警察が感染してたウイルスってなんだったの？

>>373
1 dataにウイルス本体のURLを入れてJavaGame.jarを起動
2 dataをダウンロード
3 dataを実行
4 終了

脆弱性ではなくJavaを悪用しただけ
ちなみに数日前ソースコードが上がっていた

>>374
ノートン警察のブログパーツが改ざんされて、閲覧しただけでウイルスに感染する恐れがあった
それが8080系だったって話だろ

>>376
ありがとう。
ノートンのブログパーツっていうのはHTML形式だったのか。
リブリーみたいなのしか知らなくて、ノートンもてっきりFLASHか何かかと
思ってたもんで感染と聞いて？？となってた。

>>375
サンクス！
JavaGame.jarでググったらCVE-2008-5353という古いJREの脆弱性に
行き当たったんだけどこれが仕様なの？

仕様ではないだろ。修正済みの脆弱性。

やっぱそうだよね
仕様ってのは間違いでFA

>>378
それは関係ないｗｗ

取りあえずノートンだけは入れるなって結論で正しい？

>>382
>>266

adobeとJREは基本アンインスコでいいんじゃないかな
仕事でどうしても使うって人だけ最新版を薦めるようにして

>>382
　「ノートン インターネット セキュリティ 特別90日無償版」ダウンロードページ
　http://www.symantecstore.jp/special/ameba/trial90/

AdobeReaderは、新旧にかかわらずScriptをOFFにしとくだけでOK？
脆弱点を具体的に教えてくれているサイトはないものだろうか。

ok
今日までゼロデイなのはnewPlayer、これでググってわからんのなら
具体的にとか無理だから忘れろ。

http://genochk.crz.jp/
Proxyを利用できるようにしました

>>388
乙

【社会】 最新２９機種ドコモ携帯、個人情報流出の恐れ…
http://tsushima.2ch.net/test/read.cgi/newsplus/1263274820/

制限付きアカウントだと大丈夫説があったり、UAC突破する亜種がいるって噂があるが今の所両方ガセだよね？

>>386
いままでのならAdobeのサイトに載ってたような

アップデート明日だよね
何時頃来るのかな

WindowsUpdateは深夜に来るけど
Adobeは数時間遅かったような…。

AdobeReader使わないからいらないよな・・と削除したら
何を思ったのか無意識にダウンロードしてインストールしてた

え？

>>388
乙！

>>395
？

>>395
！

>>395
・・・ｗ

GNU GPLとかLGPLとかウイルスコードに書いてあるのはFSFへの嫌がらせかな？

>>401
逆に考えろ
→「敬意を払っている」

つか、これってGENOが始めだろ？
GENOはどうやって感染したんだ？

オープンソースで配布されてるスクリプトの中にコードが仕込まれてて誰かが感染
でっ広がっていったのか？

こえぇな・・・

GENOが最初かどうかは分からんが、そこそこ知名度のあるところとしてはGENOが最初

＞オープンソースで配布されてるスクリプトの中にコードが仕込まれてて

何言ってんだ？

>>403
はいはい、新参乙

>>404
CMSとか掲示板ってGPLやBSDライセンスで配布してるところあるだろ
その中に裏切り者がいたんじゃねーかなと

>>406
いつ適用されるか分からないソースコードをいじるよりは、
botnet使って罠を踏ませた方が早いと思うが

ttp://pc11.2ch.net/test/read.cgi/sec/1262858640/316

INTERNET Watch
シマンテック、「Gumblar」攻撃の新しいスクリプトを注意喚起　2010/01/12
年末年始にかけての攻撃は、2009年5月に流行した「Gumblar」との関連性は低いと見ているという
ttp://internet.watch.impress.co.jp/docs/news/20100112_341886.html

PC Online
『ガンブラー』はウイルスの名前ではない――シマンテックが解説　2010/01/12
オリジナルは2009年5月に出現、「感染するウイルスは同じとは限らない」
ttp://pc.nikkeibp.co.jp/article/news/20100112/1022144/

So-net
相次ぐサイト改ざん(1)(2) 注意が必要なのは「ガンブラー」ではなく「8080」　2010/01/12
「Gumblar亜種」と「ガンブラー」が招く困った事態
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2116

So-netと他はいってること違うぞ
So-netは素人だから名前にこだわってるだけ
他は攻撃名だといってるだけ

>>409
so-netが一番的確だってどっかで読んだぞ

「Yahoo!占い」内の一部ページにGumblar、2009年10月末から
ttp://internet.watch.impress.co.jp/docs/news/20100112_341802.html

ヤフーは9日、「Yahoo!占い」サイト内の「鏡リュウジの星に願いを」のページにおいて、
HTMLファイルの改ざんが確認されたことを公表した。当該ページの閲覧者にはウイルス感染の
恐れがあるとして、確認を呼びかけている。

改ざんが確認されたページは、「Yahoo!占い」サイト内の「鏡リュウジの星に願いを」で、
2009年10月13日号として掲載された「Vol.65 『食べ物に宿る魔法の力』」の2ページ。
改ざんされていた期間は2009年10月27日〜2010年1月8日で、この間に該当ページを閲覧したユーザーは
ウイルス「Gumblar」の亜種に感染している恐れがある。

Web改竄を「ガンブラー」という言葉でひとまとめにして理解している人に
so-netの記事は向かないね

>>410
そんなわけねえだろ

とくに重要なポイントとしては、「ソフトを最新版にアップデートするだけでは大丈夫とはいえない」
「アドレス制限やファイヤウォールでは防ぎきれない」「Gumblarは耐解析機能があるため、閲覧先Webサイトが
安全かどうかチェックしてくれるソフトやサイトでも、判定は完全ではない」といった点があげられている。

ちなみに現在のGumblarの動作は、「手元のWindowsパソコンが感染する」「そのパソコンで更新している
Webサイトが改ざんされる」という2つの段階に分けられる。

まず、感染したサイトを閲覧した際に、脆弱性が利用され、パソコンが感染。
Gumblarのバイナリが送り込まれ、パソコン内に潜むようになる。そして、 FTPプロトコルを使って外部にアクセスした際に、
アカウントとパスワードを盗み出す。この盗んだアカウントでサイバー犯罪者（PC側のGumblarウイルス）はWebサイトにアクセスして、
サイトを改ざんするのだ。改ざんされたサイトを、第3者が閲覧することで、さらに感染が拡大することとなる。

ttp://www.rbbtoday.com/news/20100112/64882.html

>>409
w

>>414 の元ネタ
エフセキュアブログ　間違いだらけのGumblar対策
ttp://blog.f-secure.jp/archives/50334036.html

>>416
思いっきりツッコマれててワロタ

ttp://www3.atword.jp/gnome/2010/01/12/adobe-nightmares-night/
間違い？
少なくとも、
(略)
このへんから既に（この筆者自身が）錯綜してますが？
Gumblar.xの悪用脆弱性は、実はカテゴリー的には変わっていません。
Microsoft系が１つ増えただけで、FlashもAdobe Readerも旧来のものです。
問題となっている 8080は 絶賛ゼロディの Adobe Reader CVE-2009-4324 と、
Java JRE CVE-2008-5353 の双方がどちらも
（メーカPCにプリインストールの多い日本では特に）クリティカルなので、
こんだけパンデミックな問題になってるわけですが・・・
更に、8080系の使用している URL文字列をみても、
明らかに日本をターゲットにした攻撃になっています。
（でないと kakaku.comとか 2ch.netとかを埋め込んでくる意味がわかりません）
このURL文字列は IDS管理者がログをチェックした際に、
日本で一般的なドメインが混じっているためスルーしてしまうことを狙ったものです。

セキュ会社よりも so-net様のほうが的確ってのはどうなんでしょうね？

つかGumblarは8080系インジェクションの特徴の〜.ru:8080とかの
.〜:8080にはリダイレクトされないんでしょ？

>>410>>417
そんなわけねえだろｗ

>>410>>417
思いっきりツッコマれててワロタ

取り敢えずブラックリスト機能程度で放置プレイカマした
adobeは腹切って土下座しやがれ

>>417
単純にGumblarの表現手法が違うだけだろ
ことさらに大げさに言うことじゃないわ
そのブログキモイ

いまさっきやってみたけどダメ
ttp://up3.viploader.net/pc/src/vlpc001801.png

このスレもGumblarと8080を明確に区別している人と
そうでない人で反応が違うのが面白いね

Windows ApdateとAdobe Reader Updaterやって、Windowsだけおわった
アドビはよやれよ

Adobe Reader 9.3
ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.3/jpn/AdbeRdr930_ja_JP.exe

偉そうな>>424に乾杯

>>424
やたらとGENOにこだわる人もいますｗｗｗ

(*>艸<)キャァッ

自演の予感！

Adobe Reader 9.3
ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.3/jpn/AdbeRdr930_ja_JP.exe
ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.3/jpn/AdbeRdr930_ja_JP.msi
ftp://ftp.adobe.com/pub/adobe/reader/win/9.x/9.3/jpn/AdbeRdr930_ja_JP.exe
ftp://ftp.adobe.com/pub/adobe/reader/win/9.x/9.3/jpn/AdbeRdr930_ja_JP.msi

So-netADSLがつながりません(T_T)

またすぐ穴が見つかるんだろうな

Acrobatの方はまだなのかよ

>>433
モザイクかけといてくれ
モ有で

>>434
使ってる人あまり居ないと思った(使ってる人は自力で取りに行くと思った)ので
わざわざ貼らんかった。
ftp://ftp.adobe.com/pub/adobe/acrobat/win/9.x/9.3/misc/
ftp://ftp.adobe.com/pub/adobe/ からたどれば基本的に全部いただける。

おまえらAdobeをやめて
他のReaderにすればいいジャマイカ

それも散々出尽くした話ですー
Foxitの脆弱性が攻撃に使われたこともありますー(IBM東京SOC談)

EPSファイルと構造似ているんだからイラストレーターで見ればいいんじゃね？

Acrobat8と9は来たのに7は無しかよ

7はサポート終了したから出ないだろ

どうして7がいるんだよ

うちはAdobe Updaterで9.3.0来たよん

あるサイトにアクセスして、ノートン先生に「トロイの木馬だから遮断した」と大目玉をくらったので、
ソースを確認したら/*LGPL*/が入ってた。
サイト運営者に通報したら、こんな答えが返ってきた

今回の件は、現在、調査、修正作業中ですが、保守業者に確認したところ、スクリプトの改ざんウィルスであったことが判明しております。
「改ざん」なので閲覧での感染はないとの報告を受けております。

この認識って合ってるのか？

>>443
やっときたよ

>>444
間違ってるね

>>444
なんという阿呆な回答
ふざけんな勉強しろと言ってやれ

保守業者てどんな業者だｗ

>>444
ﾜﾛﾀ

サイト自体にはトロイ本体なくて外部サイトにあるからなぁ

>>450
あぁ、そういう意味で運営者が勘違いしてるのか、業者がごまかそうとしてるのかw
まぁ役所関連なんで面倒な事にしたくないんだろうな

Adobe Updater やっときたか
http://up3.viploader.net/pc/src/vlpc001803.png

業者のごまかしだったらかなり悪質だなw

とかいいつつ「感染してみた」系のブログとかで
感染後もスタートアップ変化なし、HPも改ざんもされないという報告をみて
混乱気味だ。はやく感染確認方法判明してほしいな。

>>451
>役所関連
晒せ

グニュー レッサー ゼネラル パブリック ライセンス

数日前にgenoウィルスらしきものをavast先生が検知したんだけど、
昨日、前触れもなくBSOD。ハードウェア回りも疑ってみたけど、
心当たりがあるばっかりに放置する気にはなれず、泣く泣く再インストする羽目に…

GENOウィルスってPC起動できなくなるような症状ってあるの？

>>456
GENOにはある（症状は違う気がするが）
8080は今の所不明
ところで最近流行ってるのは8080だが、それは本当にGENOなのか？

(*´∀｀*)ｱｯﾀｶｰｲ

僕の肛門もGENOウィルスに感染しそうです＞＜

インターネットオプションで
アクティブスクリプトを無効にしてたのに、
どこぞのサイトでflashが再生されよった
「activexコントロールとプラグインの実行」
これも無効にしないといけないの？

ところでavastはもう対応されたの？

>>461
http://pc11.2ch.net/test/read.cgi/sec/1261930389/754

すみません、パソコン初心者なものでここで質問するのはおかしいとも思うんですが
各所で調べた所、どうもこのウィルスと関係ありそうなんでここで質問させてください

昨日1/12日にsecurity toolという類のウィルスに感染してしまったんです
どうやらこれはとある場所のwiki（現在は復旧済み）のwebページを改ざんしたものらしいのですが
このウィルスについてよくわかりません

感染後即システムの復元→ノートンで検出されなかったのでウィルスバスター購入
という手順で今の所特に動作に支障はおきていませんが、完全に駆除できないと書かれているので途方にくれています
もしよろしければsecurity toolについて詳しい説明をお願いできませんでしょうか
wikiのwebページが改ざんされていたという事なのですが
これは個人がスクリプトか何かを仕込んでいたという事ですか？

WikiってどこのWiki?
Wikipedia?

>>464
＠wikiのとあるページです
もう復旧しているみたいですが

何回かウィルススクリプトが貼り付けられたようで
何度かノートンが反応した事があります

>パソコン初心者なものでここで質問するのはおかしいとも
PC初心者
http://pc11.2ch.net/pcqa/

security tool　駆除　でぐぐるとトップに具体的な駆除例が出てくる件
初心者とかのレベルじゃねーわ

>>388
otu

自演乙

なんだ、開発者の自作自演か

嫉妬すんなよカスどもｗ

アンチドートを語ろう♪ MAP05
http://pc11.2ch.net/test/read.cgi/sec/1261107653/

インストール不要でKasperskyエンジン使いたい人は、
これ使えば安心だね。

アドレス踏んだときに回避してくれるヤツじゃないとな

この流れで質問するのは忍びないんだけど初心者からの質問です
8080系に改ざんされてるサイトを踏んだので感染してるか確かめたいんだけど
>>7で確認した所
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
も無かったんだけど白って事でいいんでしょうか？

ごめん>>6でした

判明してる確認方法が、今のところそれだけということじゃないの。
まだ完全には解ってないみたいだし。
踏んだ後の挙動もあまりハッキリしてない。
悪さをするPDFファイルが落ちてきて reader が起動するとかなんとか。

ありがとう
疑心暗鬼になるよりクリーンインストールしてきたほうが
精神上良いのでサクッとしてきます

http://genochk.crz.jp/
管理人氏>
fileseek.net/
fileseek.jp/
↑
弾くの(403)は勘弁して･･

　　　　　　　　　　　　　　　　／⌒＼
　　　　　　 _.,,,,,,.....,,,　　　.／　　　:::　＼
　　　　 ／::::::::::::::::::::::"／　　／⌒＼:::　＼
　　　 /:::::::::::::::::::::::::ノ《 　 ／　　　　 ＼:::　＼
　　 /::::::;;;;...-‐'""´´ 《_／ヽヽ 　　　　　＼:::　|
　　 |::::::::|　　　　。　　┃....|;ﾉ　　　　　　　 ￣
　　 |::::::/　　,,,.....　 　 ...,,,,, ||
　　 ,ヘ;;|　　 　-・‐, 　‐・=.|
　　（〔y　　　　-ｰ''　 | ''ｰ .|
　　 ヽ,,,,　　 　　ﾉ(,､_,.)ヽ　|　　
　　　 ヾ.| 　　　/,--╂、 ./
　　　　　|＼　　 ￣二´ /
　 　_ ／:|＼　　 ....,,,,.／＼___

　　　　　　　　管　理人

>>478
拒否設定を変更しました、別サイトで使ってたhttpd.configをコピペして使ったのが原因のようです

fileseek.netなんだこれ？

感染収まった？

なんだ、ただのスクリプトキディか

>>480 光速対応感謝！

>>481 携帯でPCサイトを見るためのProxy
※ヒント「FireMobileSimulator」

自演乙

三井住友カードＨＰも改ざん被害　ガンブラー亜種で
http://www.47news.jp/CN/201001/CN2010011301000588.html

三井住友カードのサイトも改ざん　ガンブラー感染の恐れ
ttp://www.asahi.com/national/update/0113/TKY201001130361.html

北海道教委の関連ＨＰ改ざん、ガンブラーか
ttp://www.yomiuri.co.jp/national/news/20100113-OYT1T01189.htm

猫も杓子もガンブラー
Gumblar.xは亜種だろうけど、8080は違うんじゃね？

「ハオハオ」の意味「8080」
ttp://haohao.shiawasehp.net/hao2a1.html
企業のお偉いさん、hpの製作会社さん
「ハオハオ」よんw

ロシアのウイルス配布鯖が使ってるnginxの串ポートだろ

>>486-487
//www.s-visagiftcard.com
今現在403になってるからここだろうな

http://labs-uploader.sabaitiba.com/virus/download/1263384000.7z
pass: virus

ガンブラー系のまとめきますた。

>>493
中身何？

ガンブラーってどんな怪獣なんだよ

>>493
今のところすべて検出可能だ

>>492
Bingのキャッシュに/*GNU GPL*/

>>495
　　　γ⌒ヽ
　　＜　・､,,,;;,）
　 ＜　つ＝つ
　 ノ　　 ﾉ三）
∠、　m）＝m）

　　ガンプラー
（2009 〜 ）

あらかわいい

>>498
　　　　　　　　　　,,-'　 _,,-''"　　　　　　"''- ,,_　 ￣"''-,,__　 ''--,,__
　　　　　　　　　　　,,-''"　　,, --''"ニ_―- _　　''-,,_　　　 ゞ　　　　"-
　　　　　　　　　 て　　　／ ,,-",-''i|　　￣|i''-、　　ヾ　　　{
　　　　　　　　 （"　　.／ 　 i　{;;;;;;;i|　　　 .|i;;;;;;）　,ノ　　　 ii
　　　　 ,,　　　　　　 （　　　 l,　`'-i|　　　　|i;;-'　　　　 ,,-'"　　　_,,-"
　　　　　"'-,,　　　　　`-,,,,-'--'':::￣:::::::''ニ;;-==,_____　'"　　_,,--''"
　　　　　　　 ￣"''-- _-'':::::"￣::::::::::::::::;;;;----;;;;;;;;::::`::"''::---,,_　　__,,-''"
　　　　　　　　._,,-'ニ-''ニ--''"￣.i|￣　　　|i-----,,￣`"''-;;::''-`-,,
　　　　　　,,-''::::二-''"　　　　 .--i|　　　　 .|i　　　　　　　　　 "- ;;:::`、
　　　　._,-"::::／　　　￣"''---　 i|　　　　　|i　　　　　　　　　　　　ヽ::::i
　　　 .（:::::{:（i(____　　　　　　　　 i|　　　　　.|i　　　　　　　　　　_,,-':/:::}
　　　　 `''-,_ヽ:::::''- ,,__,,,,　_______i|　　　　　 .|i--__,,----..--'''":::::ノ,,-'
　　　　　　　"--;;;;;;;;;;;;;;;;;""''--;;i|　　　　　　.|i二;;;;;::---;;;;;;;::--''"~
　　　　　　　　　　　　　 ￣￣"..i|　　　　 　　.|i
　　　　　　　　　　　　　　　　　.i|　　　　　　　 |i
　　　　　　　　　　　　　　　　　i|　　　　　　　　|i
　　　　　　　　　　　　　　　　 .i|　　 　 　　　　 .|i
　　　　　　　　　　　　　　　 .i|　　　　 　　　　　　|i
　　　　　　　　　　　　　　　.i|　　　　　　,,-､　､　　|i
　　　　　　　　　　　　　　 i|　　　　　　ノ::::i:::トiヽ､_.|i
　　　　　　　　　　　_,,　　i|/"ヽ／:iヽ!::::::::ﾉ:::::Λ::::ヽ|i__n､ト､
　　　　　,,／^ヽ,-''":::i／::::::::／:::::|i／;;;;;;/::::;;;;ノ⌒ヽノ::::::::::::ヽ,_Λ
　　　　　;;;;;;:::::;;;;;;;;;;:::::;;;;;;;;:::/;;;;;;:::::::::;;;;;;/;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;:::::::::::;;:;;;;:::ヽ

>>498
なんだそんなに可愛いのか
警戒して損したわ
ノーガードに戻そう

ガンプラーたん (*´Д`*)

ガンプラーﾀｿはおにゃのこなの？男の娘なの？

Gumbyじゃなくてよかったね

>>498
かわえええ
飼いたい

　　　　 |　　　　パカッ　　　　 |
　　　γ|　　　　　　　　　　　　 |⌒ヽ
　　＜　|三　　　ｱｲﾔｰ　　三　・､,,,;;,）
　 ＜　|　≡　　∧∧　　 　≡|つ＝つ
　 ノ　　| ∧∧／　支＼∧∧ | ﾉ三）
∠、　m|<｀∀´（ ｀ハ´ ）｀∀´>|）＝m）
　　　　 ,|（ 北 （　φφ ）¶ 韓）|
　　　　 |￣￣￣￣￣￣　|　　 |

ゆめをこわすなｗ

>>493
この中のが実行されるとリダイレクトされて
不正pdfふみにいくって認識でおk？

ウイルス本体・PDF・JavaGameのソースコード
ttp://labs-uploader.sabaitiba.com/virus/download/1263288905.7z
virus

ぐぐってたらアメーバの動画のサムネが上に方にあって嫌な気分になった
ああいう事あったんだからサムネ出ないようにしてくれよ、念のため

ヤフーもやられたね

ヤフーがヤラレタって本当か？

>>411で既出

占いか、ヤフオク、ヤフーメール、ヤフー番組欄、ヤフオク懸賞じゃなかったから取り合えず安心か

Windows Updateきた

ずいぶん遅いな。
君以外の人のところには24時間以上前に来てるよ。

なんかずっとイタチごっこしてるなあ
この様子じゃまだ被害増えそうな気がする
おちおちネットもできやしない

脆弱性対策をしてればほぼ大丈夫なんじゃない？
あとは今後の新規ゼロデイ情報かな

JRE 6u18 が出てた。

これか
ttp://java.sun.com/javase/6/webnotes/6u18.html

セキュリティフィックスではないようだけど、とりあえずバージョンアップしておくかな。

うん、俺は入れたけどお好みでどうぞ〜って感じ

Bug Fixes
This feature release does not contain any new fixes for security vulnerabilities to its previous release,
Java SE 6 Update 17. Users who have Java SE 6 Update 17 have the latest security fixes and do not need
to upgrade to this release to be current on security fixes.

Mac使いの俺には別世界の出来事

その考えはいつか足元を掬われる事になる

と言われ続けて早10年

いまだにMacは標的になるほどのシェアを獲得できず

感染しても気づかない人多そうだよね
そこがまたこわい

目に見えて変な動きするわけじゃないでしょ？

大手サイトは利用者多いし結構簡単に見つかるけど
個人サイトやアンダーグラウンドな所とかアダルト系は見つからず長期間放置されそうだな

あうー
ttp://www.bing.com/search?q=%22.replace%28%2F%5C%29%7C%26%7C%23%7C%5C%28%7C%5C%5E%7C%40%7C%5C%21%7C%5C%24%2Fig%2C%22&go=&form=QBRE&filt=all

JREって日本語版とか、英語版とかって区別があるの？
自動アップデートが来てからでいいかなあ・・・

ないよ

なんだこれ？
tp://www●maschinen-makler●eu/
↓
ｈttp://archive-org●pixnet●net●eorezo-com●thechocolateweb●ru:8080/gameztar●com/gameztar●com/google●com/rakuten●ne●j ･･(？
--
/artikel.php?intern=XX
XX＝1〜65(もっとあるかも)

/anfahrt/Anfahrt_reso_Siegen.pdf
/anfahrt/Anfahrt_reso_Koeln.pdf
/anfahrt/Anfahrt_reso_frankfurt.pdf
/katalog/katalog.pdf
※pdfの中身は調べてないー

>>6の感染確認ってセーフモードじゃないとダメ？

エクスプローラだと見えないことがあるらしいよ。
外部のファイラやコマンドプロンプトからなら見れるだろうから、確認だけならセーフモードでなくてもいいと思う。

>>533
セーフモードじゃないと削除するウイルス・ファイルが見えないらしい

あと >>6 は一部間違ってるから削除するときは気をつけて
>>51,54 の通り
○　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
×　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

>>534,535
ありがとうございます

レジストリ確認は、セーフモードじゃなくてもよくて
syszyの削除にはセーフモードか、表示可能な外部ファイラ
って感じでよいですかね？

セーフモードが一番確実かも知れませんが

？

SafeModeでやればいいじゃん。
なんで「もしかしたらだめかも」な通常モードでやろうとするのか理解できん。

新型GENOウイルス

ttp://www.virustotal.com/jp/analisis/5e92dd5fe8561605a0ecb138725d27373503d129195357edf3e8eef6a0a4685c-1259371503

うんこMSEは未対応

>>540
どこのコピペか知らんがPCTools　Prevx　Symantecの3社製品以外全部未対応のうんこじゃん

>ファイル名 Setup.exe 受理 2009.11.28 01:25:03 (UTC)
（ ´,_ゝ｀）ﾌﾟｯ

>>519-522
ttp://java.sun.com/javase/6/webnotes/6u18.html#bugfixes-1.6.0_18
これ見るとu17からのバグ修正めちゃめちゃ多くされてね？

今現在も感染してるサイトってあるか？

www●oygas●com
先頭部分が改ざんされてるけどめずらしい？

>>543
runtimeだけが実際の利用者に関係する
あとは開発環境関係

>>498-507

ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

あっちにいったりこっちにきたり

>>540
>Infostealer.Kenzero
アダルトゲームのsetup.exeを装い、個人情報を晒すトロイの木馬
ttp://internet.watch.impress.co.jp/docs/news/20091201_332607.html
「Infostealer.Kenzero」は、ファイル共有ソフト「Share」のネットワーク上で、
アダルトゲームの偽のインストールファイル（setup.exe）として流通しており、
複数のゲームタイトルにこのファイルが含まれることが確認されたという。

ダウソ厨専用。Gumblarとは全く関係がない。
http://hideyoshi.2ch.net/download/

　　　γ⌒ヽ
　　＜　・､,,,;;,）
　 ＜　つ＝つ
　 ノ　　 ﾉ三）
∠、　m）＝m）

　　ガンプラー
（2009 〜 ）

>>549
株式会社ロマンシング（笑 ですね、わかります

>>545
Last-Modifiedが読み込んだ日時になる。
つまり動的に生成しているページ。
ヘッダをいろいろ隠しているのであれだけど
(これ自体は攻撃者に対して鯖の環境を隠す点で有効)、
/index.php で同じのが帰るのでPHPと思われ。
元ファイルに適当に突っ込まれていると
どこに出てくるかわからんかったりする。

SQLインジェクションで適当にDBに突っ込んでたら
タグがエンコされて表示されて赤っ恥ってのはよくある。

>>545
「Gasblar.LP」と命名する

>>552
ありがとう。勉強になりました。

tp://birliktaekwondo●com/
コードがそのまんま表示されてワロタ
↓
ttp://fx.104ban.com/up/src/up12037.jpg

>>555
ttp://genochk.crz.jp/index.php?url=http%3A%2F%2Fbirliktaekwondo.com%2F&hids=on&code=on&ua=IE7&chk=AUTO
そのまま表示されてるものを含めたら４つも埋め込まれてるｗ

3000以上のサイトが感染している可能性があるってか。
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm

FTPのIDとパスワードを盗まれるらしいけど、
AFPしか使わないMac使いの俺には別世界の話しだな。

Yahoo!ジオシティーズでもホームページ改ざん事例
ttp://internet.watch.impress.co.jp/docs/news/20100114_342269.html

Yahoo!ジオシティーズは申告しても何も代わらないAbuse対応。
JPCERTに申告したからと、自身のサイトが改ざんされたからこんなお知らせを出しただけ。

初歩的な質問で申し訳ないけどガンブラーってUAC有効状態のVistaなら危険性ゼロなんですか？
ゼロではないけどホイホイなんでもインスコしてなきゃXPに比べればかなりマシってこと？

>>560
今主流の8080は、UAC有効状態のVistaでも７でも脆弱性があったら突かれる。

すり抜けるものもあると聞くから絶対ではないが、UACが有効であれば許可の可否を求める
ダイアログでいったん止めてくれるからいきなり実行されることはないというだけ。

2000やXPでもHIPS付きのファイヤーウォールを入れてあればUACと同等の防止効果はある。
どっちにしても判断を誤って実効許可してしまえば同じこと。

おや？
561 ：名無しさん＠お腹いっぱい。：2010/01/14(木) 23:55:08
562 ：名無しさん＠お腹いっぱい。：2010/01/14(木) 23:55:05

562と被ったが、時間がおかしいぞ･･とw

時間ぐらい気にしない。
ずいぶん前に別の板での話だが、どういうわけかレスを返した相手とIDが被ったことがあって
自作自演ではないと説明するのに一苦労したことがある。

IDは偶に被るが、時間が逆転したのは初めて見た。

投稿時間が歪むのは結構よくある
ID被りは稀だけど

>>562
許可の可否を求める
ダイアログ、ってこのウイルスの場合は具体的にどんなメッセージが表示されるのかな？
毎回違う？

>>567
「HIPS セキュリティ」「HIPS システム保護」とかでググれ

馬鹿

Gumblar被害から見えるWebサイト更新用PCの管理レベル
ttp://blogs.itmedia.co.jp/yohei/2010/01/gumblarwebpc-db.html

新型GENO病毒

ttp://www.virustotal.com/zh-cn/analisis/5e92dd5fe8561605a0ecb138725d27373503d129195357edf3e8eef6a0a4685c-1259371503


安全特警は完全地支持

シマンテックは、Webに仕掛けられたりPDFでばらまかれるトロイ導入部分への対応は遅かったりするが、
トロイ本体への対応は早い場合が多いね

やばいJSやPDFはしっかり検出するがトロイ本体はスルーか、やばいJSやPDFはスルーでトロイ本体は検出か、
どっちがいいんだろ

脆弱性対策をするのがいいと思う

どっちも検出が一番だろ

>>572
>>266

スターダストプロモーション　の stardustpress HPも感染してます。

MS Security Essentials が検知して助かりました。

_ttp://sd-g.jp/stardustpress/04/index.html

公的機関で　どこの報告あげれば良いでしょうか？

総務省だな

>>576
あやうくクリックしかけただろうがボケ

ﾌﾟｧｰﾝﾌﾟｧｰﾝ

社保庁のサイトでssl_error_bad_cert_domainが出たけどこれってヤバいエラー？

SSL鯖証明書に書かれているドメインと>>580アクセスしているドメインが違う場合に表示される
おそらく鯖の設定ミス

>>581
なるほど
サンクス

>>582
フィッシングの可能性もあるので注意

>>583
年金個人情報提供サービスのところにアクセスしたら出たからフィッシングだったらヤバいかも

>>584
発行者www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
発行先www3.IDPASS-NET.nenkin.go.jp

>>585
よくわからんけど問題無し？

ドメイン変更しますた（キリッ
だが証明書は手続きが面倒なので変更しない

このパターンは有り得る

ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2116
アーバン・コスモ・グループが「不明」になってるけど
Googleのキャッシュを見たら/*GNU GPL*/だった。

↓アクセス注意↓
tp://74●125●153●132/search?q=cache:KOi5Qv7rfXkJ:www.aikensetsu.com/+%E3%82%BB%E3%83%B3%E3%83%81%E3%83%A5%E3%83%AA%E3%83%BC21%EF%BC%88%E6%A0%AA%EF%BC%89%E3%82%A2%E3%82%A4%E5%BB%BA%E8%A8%AD%E6%B8%8B%E8%B0%B7%E6%94%AF%E5%BA%97&cd=1&hl=ja&ct=clnk&gl=jp

>>587
そういうものか
サンクス

IEでゼロデイじゃね？
ttp://blogs.technet.com/jpsecurity/archive/2010/01/15/3305843.aspx

>>590
IE8は大丈夫だった

まぁIEもだらだら6とか7を使い続けず
さっさとIE8にしろってことだよな。

ところでMac OSは今回Acrobatのアップデータをするなだってさ。
影響を受けるOS：PowerPC&Intel両方
問題を起こすアップデータ：Acrobat8＆AdobeReader8（8.2.0）
影響を受けるアプリ：Illustrator CS&CS2　InDesign CS&CS2
ttp://blogs.adobe.com/iwamoto/2010/01/acrobat.html

IEを狙う攻撃への回避策
http://www.itmedia.co.jp/enterprise/articles/1001/15/news059.html

＞Internet Explorerに存在する未修正の脆弱性を狙う攻撃が確認されたことを受けて、
＞国内のセキュリティ機関も回避策などを緊急情報として公開した。

＞このほどGoogleなど米企業数十社が被害に遭った攻撃では、攻撃手法の一部がIE 6を
＞標的にしていたことが判明。Microsoftの調査で、IE 5.01を除くIE 6以上の全バージョンが
＞影響を受けることが分かった。なお、IE 6以外のバージョンを狙った攻撃は確認されていない。

p://www.puzzue.com/
ここまた書き換えてあるんじゃね？

うん

ほんとだ
スクリプトって眺めてると ^^ とか ^e^ とかあってなんか腹立つな
変な顔文字使うなころすぞって

>>592

http://www.itmedia.co.jp/news/articles/0908/17/news018.html

>>593
今度はIEの未修正の脆弱性を狙ってくるということか
感染者が大規模になるな

めんどくせーなぁ　IE6好きなのに

すいませんが教えてください。
Adobe Reader9.3とAcrobat6が入っているのですが、PDFファイルの関連付けを
Reader側にしておけば大丈夫でしょうか?

「オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする」なんて項目がないんだが・・・

>>244
自己レス
avast!が定義データ100115-0にて対応
JS:Illredir-CではなくJS:Illredir-Bで検出

結果: 14/41
ttp://www.virustotal.com/jp/analisis/893496a0ad2a7a9908373edfd75855d868e971748e38588ef1ff49572fdca94d-1263554923

DEPってXPのsp3以降からだったっけ？

SP2から

>>555
　　　γ⌒ヽ
　　＜　・､,,,;;,）
　 ＜　つ＝つ
　 ノ　　 ﾉ三）
∠、　m）＝m）
　　_,,_ ∩
　(＾Д＾)/
　⊂　　ﾉ とったどー
　 (つ ﾉ
　　(ノ

http://www.mcafee.com/japan/seminar/seminar_gumblar.asp
こんな事してる場合じゃないでしょ

今回の改竄騒ぎで、ホームページ制作会社やクリエータにも影響があるのだが、
あまり語られていないな。

たぶん感染したことに気付いてないだけ

>>605
ネットの海で0円生活
伝説達成だなw

>>608
それで、納品物が改竄されたことに気づかず納品してしまい、
事件とになり契約を切られるわけですね。

発注元から、納品物の改竄チェックを要求されるはずなんだけどな。

もひとつ。
現場(客先)にくるソフト会社のSE・CEに「客のパソコンやサーバでWebサイト見るな」
といお達しでないのかな。とくにサーバメンテナンスとかできて、サーバ使うときとかね。

ITドカタと軽蔑されるのも無理ないな

うち業務サーバや情報サーバにインストールドキュメント読むため
AdobeReader入れてる。
そこで、うちにくる大手のSEに「以前までは許可していたけど、対策で切るまで
ダメね。」とつたえたら
SE「PDFはみませんよ」
といってたのでそれじゃダメだろと説明することになった。
(説明で本人も納得)

まだ、危険性が浸透していないな。

ここも改ざんされてる。
http://ppcdesu●com/keyword/

へー

いわゆるガンブラーに感染してみた４　「あ、感染した。」 - smilebanana -
ttp://www.smilebanana.com/archives/2010/01/14-1912.php

この人の実験を読んでみるに、AdobeとかJavaとか以前にWindowsにSPすら当てていないPCで
管理されているページが多いってことなのかね。

>>613
もちょっとわかりやすく頼む

>>613
PDFを開かないから大丈夫と思い込んでたんだろそのSEは
インストールされてるだけでダメなのを知らずに
デフォルトでreaderのjavascriptがONになってるのも知らないだろうし

ウチ某役所だけどさ、端末に管理者権限ないからといって、ＯＳは
ｘＰのＳＰ２、リーダーは９．１、ＩＥは６のまま。
恐ろしいことに、管理者権限有のネット担当課の端末も同じ状態。
昨年から何度も更新しろと言ってるのに、検討している以外の答えなし。
なのに先週は、ガンブラーのチェックしろと言って、昨年秋に作成された
ＧＥＮＯの説明書送ってきやがった。
ネット管理を某大手民間に委託してもこれかよ、どれだけＩＴ業界弱いんだよ。

管理者権限なくても、現にＵＳＢマルウェア感染は大量に出ていて
使用禁止令が出てるんだが、それ以前の問題だろ。
脆弱性対策も、その何が危険なのかの職員向け説明もないままで、
今後管理者権限なくても発動するウィルスに化けたらどうするんだ。

つか、現時点では管理者権限なしなら大丈夫だよな？この前提が
崩れるなら、ネット全面禁止すべきだよな。役所の全端末がボット化
なんて想像したくもない。

感染したら担当の奴に責任を取らせればおkだろ
痛い目みてなんぼ

感染したファイルって手動でチマチマ書き換えていかなきゃいけないの？
会社のサーバの中見てたら去年のGENOがそのまま残ってるんだが・・・GENOとGumblarの同居とか

GUMBLAR（ガンブラー）ウイルス対策におすすめ！「ウイルスバスター2010」
ttp://www.yodobashi.com/ec/promotion/newtopics/detail/10000000000000005200/index.html
>「ウイルスバスター2010」を自信を持っておすすめします。

こんなもの(ザルセキュリティ)をオススメするなよ･･･
あと、URLを何とかしろwww

>>621
改ざんされるのはサーバ上のファイルだけでしょ
オリジナルファイルは別にあるんじゃないの？

大手IT企業なんて世相に疎い専門バカの集合

世相はどうでもいいけど専門馬鹿ならきちんと対処できなきゃダメだろw

>>619

> 脆弱性対策も、その何が危険なのかの職員向け説明もないままで、
> 今後管理者権限なくても発動するウィルスに化けたらどうするんだ。

説明して理解できる職員が何人居るやら・・・と、
某役所のアウトソースを引き受けてる俺が言ってみる。

「Adobe ReaderのJavaScript切れ」とは簡単に言えんのよ。

性格の悪い役人は「何できらにゃいかんのじゃゴルァ」とか
「切って何かあったら責任とってくれるんかゴルァ」とか言ってくる。
もちろん本音は面倒で設定変更したくないだけ。

だから、有効なソースを出して納得させないといけない
（反論の余地を与えないようにしないといけない）んだけど、
特に今回の場合Gunblarと8080系がごっちゃになってる状況で
8080系についてまともに解説してるのは個人のブログのような
ソースにできないものが殆だったから、レポートが思うように出せなかった。

IEが6のままってのも、移行にかかわる費用が捻出できんのでしょ。
偉い人から、「IE6はWinXPサポート終了までサポートされてるけど、なんで今わざわざ移行せにゃならんの？」
「既存のシステムの検証周りはWin7全面移行時でいいんじゃないの？」ってな感じで。

一度痛めに会わないと分からないのが人間だからどうしようもないな

たいていの人にとってパソコンって
まだまだよくわからない箱なんだよ。
設定変えて動かなくなった経験はみんなあって、
それが変にいじることへの抵抗になってる気がする。

>>619 >>626
うんこシス管(脆弱性放置)が多いから
ttp://all-freesoft.net/soft/vulnerability/f-secureexploitshield/f-secureexploitshield.html
こういうものが作られたんだろうな。

>>619
>ｘＰのＳＰ２、リーダーは９．１、ＩＥは６のまま

業務システムなんかのの動作検証ができていない(検証すると金かかる。
不具合が出れば修正にさらに金かかる)ため同じようなとこあるよ。
XPSP2→SP3は、自動更新ではきつい(アップデートに時間がかかりすぎて
利用者からのクレームのもとになる)。だから人手にたよることになるため
お金がかかる(台数が多いと)。

Readerも自動更新の仕組みができていないと人手にたよるので更新にお金がかかる。

だから、そのままの会社(特に大企業)が多いんじゃないかな。

>>620
役所だと、担当者ではなく、業者の責任にするんじゃなすかな。

>>626
>特に今回の場合Gunblarと8080系がごっちゃになってる状況で
>8080系についてまともに解説してるのは個人のブログのような
>ソースにできないものが殆だったから、レポートが思うように出せなかった。

漏れもそう。ただ、役所や客にだすわけではないけど対策の報告作るのに考えちまったよ。

うちの会社はFWで社外向け8080の通信をブロックするようにしているから、8080系からは
守られたようだ。しかし、「FWがあるから大丈夫でしょ」という間違った認識をもたれると
困るので報告からははずした。

出張などでアップデートを行うビジネスがある事を考えると
結構多くの人が無防備な状態でパソコンを使っているのだろうね。
そりゃガンプラとか蔓延するわな。

CMやってるくらい有名なウイルスバスターが入ってるから大丈夫に決まってる
ウィンドウズ標準のFWが入ってるから何も問題はない

問題があったらお前が悪い

うちの学校のコンピュータ室はこいつ使ってる
ttp://www.nec.co.jp/pfsoft/ardence/

WindowsもLinuxみたいに主要なアプリはコマンド一発でアップデート出来たらいいのに

MSがレポ管理したら間違いなく戦争になる

ネットワークブートなんて・・・帯域不足祭

で
どれ踏めばいいんだ？

新宿ヨドバシのパソコンコーナーに逝ったらそこら中にガンブラーの張り紙がwww

>>637
testしたいの？
改竄されたサイトで放置してる馬鹿サイトなら
http://pc11.2ch.net/test/read.cgi/sec/1261855221/879
↑ここにあるけど

>>639
1月15日22:47:50頃に修正されてる

>>638
セキュリティソフトの販売コーナーのパソに張り紙がしてあったら笑えたな。

>>629
穴を逐次埋めていくのではなく、アンチウイルスソフトやHIPS、ファイアーウォールを使用して、
穴があっても突くことが出来ないようにして穴が埋まったのと同等にする。

っていう考え方は存在するし、良く使われる。もちろん推奨されるものではないが。
いかに少ないコスト(金銭/人的リソース)でインシデント発生を防ぐかってのがあるからな。
どっかにこういうことをまとめてあったページがあったような気がするけど忘れた。

http://gimpo.2ch.net/test/read.cgi/cafe40/1257814754/151

Gumblarって不正なpdfがgumblar.cnでホスティングされてた事から名付けられたんだよな
じゃあ今回のウイルスはthechocolateweb.ruでホスティングされてるからChocolatewebになるのかな？

Chocolatewebならモロゾフで

ちら裏

ここまでハケーンしたの

ampsguide.ru
burkewebservices.ru
carswebnet.ru
guidebat.ru
lagworld.ru
suesite.ru
superaguide.ru
theatticsale.ru
theaworld.ru
thechocolateweb.ru
thelaceweb.ru
themobilewindow.ru
themobisite.ru
viewhomesale.ru
webdirectbroker.ru
webnetenglish.ru
webnetloans.ru
whosaleonline.ru
worldsouth.ru
worldwebworld.ru

誰か通報よろしく。一番上は普通のサイトだけど下は宣伝サイトね
http://www.p-moon●net/

http://swdp.pecori●jp/
http://mdoh.mods●jp/
http://higata.sakura.ne●jp/
http://under.under●jp/
http://www.cute-max●net/
http://emika.babymilk●jp/
http://yuck.pepper●jp/
http://lovable.ciao●jp/
http://dp11046722.lolipop●jp/

あんまり見つからないなあ。終了したサイトのドメインでやってる宣伝サイトが
感染(配布)してることが多い？

名称候補としては Quicksilver ってのがあるらしい。

Quicksilver Malware Network | Unmask Parasites. Blog.
ttp://blog.unmaskparasites.com/2009/09/17/quicksilver-malware-network/

かっこよすぎだろ
珍走団的なダサい名前でいいよ

なんで水銀なんだろう？

形容詞としては
（水銀のように）動きや変化が激しい
ってのがあるからだろう。

>>647
一番上Dan's View Sourceと飛び先のチェックを撥ねてるっぽい。。。

>>651
なるほど

http://oshiete1.goo.ne.jp/qa4982913.html

＞良くHIPSやプロアクティブの事を言われる方を見受けますが実際は
＞GENOウイルスには全く役に立ちませんでした

javaのチェッカーで調べたら
エラー。お使いのオペレーティングシステムに推奨されたバージョンの Java がインストールされていません。
って出たんですけど古いバージョンってことかな？

>>655
早急にアップデートしましょう

何の事だか解らないのでググッてみた
ttp://images.google.com/images?oe=Shift_JIS&q=HIPS&um=1&ie=UTF-8&sa=N&hl=ja&tab=wi
ttp://images.google.com/images?oe=Shift_JIS&q=%E3%83%97%E3%83%AD%E3%82%A2%E3%82%AF%E3%83%86%E3%82%A3%E3%83%96&um=1&ie=UTF-8&sa=N&hl=ja&tab=wi

>>655
JRE入れた記憶はあるの？

最新ってVersion 6 Update 17だよな？

ttp://www.pcdepot.co.jp/
最新チラシにガンブラー診断実施中とありますが
無知に付け込んで客を騙し金を巻き上げるのは如何なものかと

>659
Version 6 Update 18

>>661
ｍｊｓｋ

JREは17だろｊｋ

>>663
http://java.sun.com/javase/6/webnotes/6u18.html

セキュリティ修正は含まれてないんだっけか

機能拡張とゴミ収集の強化ぐらいだな

>>664
JavaSEって開発向けだろ？
被害があるとしたら明らかにJRE・・・

http://java.sun.com/javase/ja/6/download.html

ここから普通にJRE 6 Update 18がダウンロード出来る

Anti Javaの俺に隙はなかった

>>647
通報作業中だけど3番目と9番目のリンク先もぁぅぁぅ
ttp://horiken●ciao.jp/
ttp://eefy●fem.jp/
ttp://ko-akuma●jp/

2番目まで了
ttp://www.p-moon●net/　める
ttp://swdp●pecori●jp/　ろりぽ

>>670
てかほかにもいっぱいあたー

って、ことで追加>>670
ttp://in-out●upper●jp/
ttp://www●linto●org/gannkaken/
ttp://www●bridal-lasik●com/

自作板から来ました
以下のURLを2ch専用ブラウザで開いた所、nortonのAUTO-PROTECTが激しく反応し
固まったのですがこれは大丈夫なんでしょうか・・・・？
尚、検出名は、Trojan.Malscript.Bとなっておりファイル元はIEのキャッシュファイルとなっています（IE使用型の2chブラウザです）

http://pc11.2ch.net/test/read.cgi/jisaku/1263466809/

自分には、感染しているか調べる敷居が高い
早くチェッカーできないかな・・・

>>670
おお、通報ありがとうございます

>>673
何故ここに来た？
2chの板はGENOと何も関係無いだろう

>>674
対策ちゃんとしてれば良いよ
それ以上は無理する必要ないです

>>673
危険かもしれない物を直リンするなタコ
さっさとクビをくくれ

>>673
PC慣れてないのに自作板とな？

はいはい、aguse.jp
ttp://www.aguse.jp/

2ch自体が感染していない限りはスレURL踏んで感染する事はない
キャッシュ生成する専ブラも同様
そもそも、現在は既知のセキュリティホール内で収まっているから各ソフトウェアをアップデート
及びセキュリティソフトの定義を最新に保っておけば仮に直接踏みに言っても感染はしない
これから先は保証出来ないがな

>>675
>>670-672のほかにもありそうだけどみなかったことにして、
4番目まで了
mdoh●mods●jp　ろりぽ
higata●sakura●ne●jp　さくら

あと11

”今”最新でも明日にはもう使い物になないことが多いからな、特にウイルス対策ソフト

OSや該当ソフトを最新にしておけば問題ない

今駆除したけど、こんなのに感染してました

Trojan:Java/Selace.K
Exploit.Java/CVE-2008-5353.C
Trojan:Java/Selace.L

別に怪しいサイト踏んでないし、エロも海外も踏んでないのにどうして…
大丈夫でしょうか？

ウイルス対策ソフトはＭＳＥ使ってます。
ウイルスに感染したのは初めてでビビってます。
これが噂のガンブラーってやつですか？

>>2のテンプレ見てとりあえずadobe readerはアップデートしました。
windows updateも万全です。
Adobe Flash PlayerはＰＣに入ってませんでした。（買ったばかり）
それからjavaっていうのがよくわかりません。
じっぷらで質問スレ立てたら、javaをアップデートしたほうがよいと指摘されたんですが、
「java」で検索して出てくるプログラムは「java platform se binary」というので、
クリックしても一瞬画面にdosが出てくるだけで何も応答ありません。

ウイルス初心者です。初めての感染です。ＯＳはWindows7です。よろしくお願いします。

リカバリー推奨

>>686
え？まじですか？
パソコンを購入時の状態に戻さないとダメですか？
駆除しましたけどこのままじゃダメですか？

UACはONになっていましたか？

>>685
ウイルスを発見した場所はどこだ？
キャッシュなら問題ない

>>688
すいません、返事遅くなって。ＵＡＣってなんのことだがわからなくていろいろ調べてました。
パソコン起動したときに出てくるパスワード入力のことですね？
それだったら設定してます。

>>687
不安ならオンラインスキャンも検査しとけよ。
http://ppcdesu.com/?sscv6/home.asp?langid=jp
http://www.puzzue.com/mv/?misc/onlinescan.html

p://comcast-net●videosz.com●welt-de●ampsguide●ru:8080/pics/ChangeLog.pdf
p://www●balbal●net/

この辺もあうあうあー

まず、”Exploit.Java/CVE-2008-5353.C”→JREをターゲットにしたExploitで散々既出で割と古い形式。
ただし、UACなどユーザー操作はスルーしない。注意したいのはJREはクリーンアンインストール後に最新版を入れるように
しないと旧バージョンが残存していて感染の危険性はある
他二つもGumblar系だね
モロゾフに一式入っていた気がする

＞別に怪しいサイト踏んでないし、エロも海外も踏んでないのにどうして…

海外も被害は出てるけど最近ではむしろ、日本国内の普通のサイトが危ないです
ほとんど無差別散布
ところで>>689が言ってるようにファイル元はどこ？
URLに反応しての遮断ではなく駆除なんだよね？

>>689
今、ＭＳＥで削除したウイルスの履歴を見ました。
項目全てに「cashe」の文字が含まれているんですが、これはキャッシュという意味ですか？
問題ないんでしょうか？

見覚えがないなら掲示板のURLにでも反応したのかも
janeやその他主要専ブラだと画像サムネイル機能とかあるしそこから検出される事がよくある
馬鹿が面白がって貼りまくってるからな

これらに感染すると症状が派手で明らかに分かるレベルでそれが救いと言える
感染はしていないんじゃないかな？

ＭＳＥで感染した項目を一部書きますと、

containerfile:C:\Users\（登録名）\AppData\Local\Temp|jar_cashe（以下数字羅列）.tmp

こんな感じです。全部は書き出せませんが、全部これと同じ形式で表示されます。
「cashe]という文字が全てにあります。
なお、いまのところパソコンの動作にこれといって異常は感じていません。

>>697
なら大丈夫でしょう、
検出されたということは事前に阻止されたという証拠

知り合いのサイトが/*LGPL*/の8080に感染していた。
avast反応せず・・・役に立たないねorz
でも良く発見出来たな、オレ。自分で自分を褒めたいです。

で、こちらXPSP3（2010年1月分のパッチ済み）、IE8でサイト閲覧したんだが、
avastでスキャンしたところどうも感染してなさそうなんだけど、そこで質問です。

・「IE7以前だと危険」という書き込みを見たが、IE8だと感染しないのか？
・avastだと感染してても検出しない？　ウイルスバスター（オンラインスキャン）だと検出する？
　やっぱカスペルスキー（オンラインスキャン）でチェックすべき？
・知り合いのサイトはネットショップなんだけど、「サイト感染してました」と注意喚起をトップに書いておくべき？

他にも質問があったんだが忘れた・・・回答お願いします。

ちなみに、オレの閲覧時のPC環境
adobe reader：9.10
flash player：不明（アップデート必要だった
java：不明（アップデート必要だった

>>698
すごい安心しました。ありがとうございます。

最後にひとつだけ質問させてください。
アマゾンで買い物するのでクレカ情報盗まれたらどうしようって…心配だったんですが
その心配はないんでしょうか？

>>700
クレカの情報を入力するときにウイルスが動いていたらキーボードの入力を盗むことが出来る
http://ja.wikipedia.org/wiki/%E3%82%AD%E3%83%BC%E3%83%AD%E3%82%AC%E3%83%BC

>>701
今のＰＣ買ったのが昨年の12/24です。
買ったばっかりです。
で、今までこのパソコンでネットショッピングしたことはありません。

とりあえず大丈夫ですよね？

クレカとか無いから
WEB弄られて踏み台にされるだけ

ありがとうございます。安心しました。今から一服します。
みなさん夜遅くほんとうにありがとうございました。

クレカ情報盗まれたらニュースになるわな

今後変化してダウンローダ型のウイルス（ウイルスがウイルスをダウンロードしてくれる）になる可能性もあるから注意だな

>>682続き
めんどくさくなったのでいっぺんに送った。

under●under●jp/　ろりぽ
www●cute-max●net/　ろりぽ
emika●babymilk●jp/　ろりぽ
yuck●pepper●jp/　ろりぽ
lovable●ciao●jp/　ろりぽ
dp11046722●lolipop●jp/　ろりぽ
horiken●ciao●jp/　ろりぽ
eefy●fem●jp/　ろりぽ
ko-akuma●jp/　ろりぽ
in-out●upper●jp/　ろりぽ
tarenagashi●boo●jp/　ろりぽ

あとふたつ

>>699
avast!反応せずってそれ新型じゃねーの？
つか、どこのサイトだよ。
検体送付するから教えれ。

>>707お疲れ様です

>>691
ナニコレ

>>708
もう修正しちまってるが、改ざんされたjsは1つ保存してる。
/*LGPL*/以降の難読化部分をうｐればいいかな？

>>691
Trojan.JS.Agent.baeってうあああああああああああああああああ

>>704
スキャンで発見したならブロックできたわけじゃないんじゃね
買ったばかりならリカバリもすぐできるだろうしリカバリしたほうが
精神的にもいいよ

あとFlashPlayerは動画サイト見てれば入ってます
ヤフーのトップにある動く広告が見えてれば入ってます
Javaに関してはコントロールパネルからバージョンを確認するか
以下から確認してください
http://www.java.com/ja/download/installed.jsp

通報お願いします
インディーズ情報サイト
http://www.music-trip.que.ne●jp/

針灸院
http://yamanashi.harikyu.or●jp/asakawa/
http://www.suzuran7●jp/index.html
http://hikiyamahari●com/

一番下のやつがなんかすこし変わってる。aguseで検出できず
<script>/*LGPL*/ try{ window.onload = function(){E1e6wn3ijzwv9g = 'h$@t##()t(!&@p!@:@/&@/$^&()

ウイルス感染URLをそのまま貼るな!!

ttp://www.dotup.org/uploda/www.dotup.org568575.zip.html

難読化部分だけうｐしますた。

難読化を複号するとこんなアドレス。
ttp://haberturk-com.welt.de.over-blog-com.anycitytown.ru:8080/webmasterworld.com/webmasterworld.com/sendspace.com/me.com/google.com/

生アドレスのリンクを張るとか嫌がらせですか？

あ、>>716は699=711です。

ウィルスアップしてるならウィルスって書いてくれ・・・

あ、ゴメン・・・何かすさまじくアホなことしてますか・・・？

報告に見せかけてURLを踏まそうとする罠

Windows XP SP3
Java 6 Update 3
Adobe Reader 9.1
で感染するか試してみる

難読化部分の完全な解読って出来るのか？

>>716
>>714 の一番下のと同タイプみたいですね

>>723
もちろん
Firebugのコンソールに突っ込んだり・・・
手動でゴリゴリってのも一つの手段ｗ

ちょ・・感染ページ開いたらブルスクで落ちた

>>707続き
bridal-lasik●com　さくら
linto●org　でじろく

あきたねる

>>727
乙でした

>>713
ありがとう。確認しました。最新のが既に入ってました。助かります。

ブルスク意外に目立った変化がないな・・
ttp://www.dotup.org/uploda/www.dotup.org568621.png
ttp://www.dotup.org/uploda/www.dotup.org568624.png

ここまで俺一人の自作自演

ねるねる鷺



>>714
インディーズ情報サイト
www●music-trip●que●ne●jp める

針灸院
yamanashi●harikyu●or●jp/asakawa める
www●suzuran7●jp　ジェイナビ
hikiyamahari●com　さくら


ろりぽ以外はめるで同時にJPCERT/CCにもつーほー

夜中から明け方は賑わって、夜が明けるとひっそり。
おまえら魔族か？

セキュリティー怪獣

　　　γ⌒ヽ
　　＜　・､,,,;;,）
　 ＜　つ＝つ
　 ノ　　 ﾉ三）
∠、　m）＝m）

　　ガンプラー
（2009 〜 ）

>>495-507

パルコール嬬恋スキーリゾート
のホーページに異変あり?

>>734-735
ｗ

>>736
ぐぐったら二つアドレスがあってどっちもぁぅぁぅぁー

>>736
>>714 下の亜種スクリプトか・・・

とりあえず>>646に
anycitytown.ru
easylifedirect.ru
追加で

>>736
めるした。

ついでに検体も送付先いぱーい

http://www.virustotal.com/analisis/2849dbd2bc8006042aaca6dd3efdc5db68f34e62004a2100062a6f28db8f8ffa-1263701087
File index.html received on 2010.01.17 04:04:47 (UTC)
Result: 6/41 (14.63%)

あばばばばば

>>736
電凸してみました

OS:ME＋ノートン2010だがHPは開けますが？と
＆名誉毀損で警察に訴えるそうですw

>742
日曜日だし、ネタだろ？

…ネタだよな？

この辺りに報告した方が効果有るんじゃないのか

s://form.jpcert.or.jp/

p://www.google.com/safebrowsing/report_badware/

本当なら訴えて恥かけばいいよ
善意の一般人を犯罪者呼ばわりするなんて

Googleに通報してやるのが一番だな。検索して安全でないとか表示されて痛い目に遭わんとわからんだろ多分

> OS:ME＋ノートン2010だがHPは開けますが？と
> ＆名誉毀損で警察に訴えるそうですw

ノートン2010ってMEで動くの？

>>747
このスレの住人にとっては失笑ものでしょうけど
一般的にはこんなものでしょうw

最近のガンブラーすげーじゃん。
MGとかめちゃリアルだし、しかも接着剤、塗料不要だからしんなー臭い思いしなくて済む。
昔のはよく股関節折れたりしたな。

警視庁の特捜課のハイテク課にマブダチがいるそうです
モロゾフの件もここが捜査をしているので勝負したるでw

これさ
感染したら、裏でウイルスDLしてくるんでしょ

具体的に、どんな症状がでてくるんでしょうか？

>>751
見た目分かりやすいのが偽セキュリティソフトの
「Security Tool」がインストールされることだろう
他にもあるんだろうが裏でこっそりやられてたらわからん
ダウンロードされるウイルスによるだろうな

>>736
カスペだと↓こんなん出ました〜

2010/01/17 16:33:31 検出しました: HEUR:Trojan-Downloader.Script.Generic http://www●s-palcall●com/

とりあえずパルコールのサイトをGoogleに通報してみよう
こんな文面でおｋ？

http://www●s-palcall●com/
This site is infected with '8080 Virus', accessing to malicious PDF file.

>725
ちょっと解析のやり方教えてくれ

http://genochk.crz.jp/ は
preg_match_all("/'([^']+)'\.replace\(\s*(\/[^\/]+\/i*)g*\s*,\s*'([^']*)'/","文字列",$match);
で難読化コードと置換パターンを取り出してpreg_replaceに突っ込んでる

Firefoxなら
'〜難読化された文字列〜'.replace(/&|#|\$|\(|@|\!|\^|\)/ig , ''); を取り出して
Firebugという拡張で突っ込むだけ
http://www.dotup.org/uploda/www.dotup.org570191.png

JTBのサイトも感染してる？

JavaScriptを報告するよりウイルス本体を報告すべきだろ

>>756
ぜんぜん難読じゃなくね
普通に置換してるだけじゃん

>>759
なんどく 0 【難読】
文字の読みがむずかしいこと。また、読みにくいこと

>>757
ちょ・・・
昨日、今日JTBのツアー漁ってたんだけど...
改ざん疑いのあるページとかkwsk

nortonは360の前、2005？くらいからXP以前は動作不可になってたはず
バスターはまだ9x系サポートしてんのか、フリーのは9x系もサポート対象だな
もうそろそろソフトも動かなくなってきてるはずだけど

2006まで2000に対応2007から

訂正

2006まで2000に対応　2007からXP以前のOSには対応しなくなった。
2005は98などに対応していた。

気のせいかもしれないが
XP以前じゃなくて2000以前じゃ・・・
まあいいや

いくないのはJTB今日見ちゃったんだが・・・・

JS切ってれば閲覧していても何も問題なし
有効でも万全の対策が取れていれば感染は免れる

>>757
>1見てURL書いてくれ
トップページとか国内旅行とか大丈夫だったけど

8080の本体まとめ3
ttp://labs-uploader.sabaitiba.com/virus/download/1263726345.7z
PASS:virus

BSODってうああああああああああああああああああ

とりあえずFox＋NoScriptで遮断してたから大丈夫だった：
とはいえ、「JTB」となるとうっかり許可してしまう可能性も・・・。
ホワイトリストをかなり絞って、許可を控えたほうがいいような・・・・・。

全てのサイトに等しく感染の危険性があるから許可サイトがやられる時はやられる
FlashやReaderは仕方ないがJAVAは削除して常に最新の状態にしておくしかないだろう

Readerも消せるんじゃないか

無理でしょ
特に仕事で使う場合とか

JAVAって削除すると何に影響があるの？

何でインスコしたか考えればわかるんじゃね

オンライントレードのリアルタイムチャートとかはJavaで動かしているものが多い。
Javaを使うアプリも少なくないし、要不要は人それぞれ。

というか、Gumblarや8080系に付かれる穴があるソフトはみな不要なんて言い始めたら
Windows自体が要らないみたいな極論になるよな。

利便性と安全性は反比例

ネットにはいつどこで何が出てくるかわかんねーからもうネットすんなって極論にもなるしなｗ
要は日頃使ってるものにどれだけリスクがあるかを学ぶってことなんだろうけど

ＪＴＢってＪＳ入れないと検索できなかった覚えがあるけど。
たまたま最近見てなかったけど、そろそろ必要になりそうだから、
本当に感染してるなら早く上げてほしい。
（と言いつつ確認しに行けないチキンでスマソ）

火狐＋ＮＳだから、未知の脆弱性が出てきたとしても>>185でFA
なんだろうけど。

>>775
そういうのってブラウザプラグインは要らないからシステムに影響を与えない形でJREを同梱するだけなのになぁ

新型GENO病毒

ttp://www.virustotal.com/zh-tw/analisis/5e92dd5fe8561605a0ecb138725d27373503d129195357edf3e8eef6a0a4685c-1259371503


安全特警は完全地支持

>>781
P2P厨死ね

javaって最新の入れるだけじゃダメなの？
>>770だと古いの削除しなきゃいけないみたいだけど。

javaって上書き更新だと古いverのゴミが残って干渉する可能性があるような

同人サイトの報告は減ってきているような気がする
ポイントサイト及び日本語リードメールサイトのの広告先の報告は上昇気味

>>784
1年ぐらい前に最新版でも古いJavaが原因でブラウザがクラッシュする不具合があったな、今は直ってるけど

>>784
最初に入れたのがJRE 1.6.0_u10以降のバージョンならその心配はない。
JRE 1.6.0_u10未満のバージョンから上書きアップデートを続けているなら要確認。
詳しくは以下参照。

JRE 1.6.0_u10 でのインストールパスの変更 - 思い立ったら書く日記
ttp://d.hatena.ne.jp/kaito834/20100116/1263623866

テルモの通販にトロイ様がいらっしゃる模様。
ESETで検知。

>>788
LGPLタイプ
これはニュースで報道される会社レベルだな

www●terumo●co●jp/healthcare/shopping/index.html
これ、カートがjava script無いと動作しないタイプだから
申し込んだやつは確実にru.8080へ飛ばされてる

peerＧｕａｒｄｉａｎ用のリスト作ってみようかな・・・

>>791
あると助かる

ほぼ意味ないよ
そんな事で回避できたら苦労しない

そんなことをするよりちゃんと対策しましょう

毎回変わるから遮断しても無駄

コワイヨー

どこまでいってもイタチゴッコだな

古いjava消すにはjavaraがおすすめ。

例えば、こういうのって自分の持っているブログが原因の感染の場合は
どうすればいいの？
感染の事実と各メーカーからのアンチウイルスをソフトを進めるのがいいの？
それともどうにもならなくなったら最悪広げないために一刻も早くサイトを畳むべき？

>>799
１．webサーバーを停止する
２．パスワードを変更する
３．ファイルを置き換える
４．お詫びの告知をする

0. 感染しない

コンパネにjavaのコーヒーカップのアイコンがないんだけど入ってないと捉えてOK？

ここは初心者Q&Aスレになったか

>>803
検索して回るのがこわい

SunJava 5.0 Update 16なんだけど感染するの？

n

>>768

ハイ、粕です。
Cエグゼファイル

提出時刻が20:51
解析終了時刻が21:22
定義リリース時刻が0：59で検出可

検出名　Trojan.Win32.Agent.dfru
ウイルストータルでは現時点ではまだ検出が反映されず。

>>800
クリーンでない環境からパスワード変更してもまた盗まれないか？

>>805
感染する可能性が高い。
Java 5.0を指定するアプリを使っているなら最新のUpdate 22に、Java 6.0でも問題がないのなら
Update 17以上（最新はUpdate 18）に速やかに更新すべし。

>>808
感染したままの環境を使い続けるとかありえないだろ、常識的に考えて

>>808
ウイルス除去は大前提で書いたんだすまん

まとめ3.5
ttp://labs-uploader.sabaitiba.com/virus/download/1263753667.zip
PASS:virus

PDF入れ忘れていたので追加した・・・
NER（´・ω・） ｽ

　

なんか妙に亜種の出回り方、日本国内で速くねえ？

元は露助かもしれんが、今は国内にイタズラ者がいるような気がする

パルコール嬬恋，ゴルフのページもやられてるね
スキーは稼ぎどきだろうし，一旦閉じる気はないのかも

>>814
自公がインターネットを撲滅するためにやってるんだよ

>>768　Ｃexe
その後の経過VirusTotalアドレスを数本入れてあります。
http://www1.axfc.net/uploader/Sc/so/74280

PASS：今日の鉢
ﾅﾂｶｼｽ

>>817
8つですか
どうもで〜す

テルモの通販はページごと無くなってるね
よっぽど慌てたのかTOPからのリンクは残ってるけど

テルモ製品の組み込みOSは大丈夫だろうか

空気の読めねえ政治厨はどこにでも現れるんだな

>>809
Version 6 Update 17が最新じゃないの？

一応18は出てるよ

>>818
AntiVir
Avast
AVG
GData
Kaspersky
McAfee
NOD32
TrendMicro

自分の作ったサイトが感染しているかどうかは、
アップロードしたファイルをローカルでスキャンすればわかりますか？
何年も前に作ったサイトを放置したままなのですが、
どうすればいいのかわかりません。

>>819
テルモ報告した人だけど、こういうのって対策ソフトベンダーから連絡入るの？
一応ESETには報告しといたんだけど。（といっても報告画面が出てきたから送信ボタン押しただけ）
それともここの誰かが連絡入れたりしてる？

実はこういうのに遭遇したのはじめてなんだ。

>>822
日本語ページが更新されてないだけ

EditMtuでググって窓の社のダウンロードページにIE8で行くと
Mcafeeでウイルスがブロックされるのだが
http://www.forest.impress.co.jp/lib/inet/websupt/speedanlz/editmtu.html

この トロイの木馬 について
検出済み: Exploit-ObscuredHtml (トロイの木馬)
場所: C:\Documents and Settings\home\Local Settings\Application Data\Google\Toolbar History\urls\00000002

これって誤検出？　プニルだと無反応なのにIE8だと反応する不思議！

\Google\Toolbar History\urls\00000002
これ見るとGoogle Toolbarにある過去のURLに関係ありそうじゃない？

>>815
カスペだと↓こんなん出ました。ヒューリスティック検出じゃなくなってます

パルコール嬬恋
2010/01/18 6:17:21 検出しました: Trojan.JS.Agent.bay　　http://www.s-palcall.com/
2010/01/18 12:45:55 検出しました: Trojan.JS.Agent.bay　　http://www.palcall.co.jp/

嬬恋は「なかったことにする」パターンな気がするなあ
コッソリ直してお詫びも載せず、そ知らぬ顔で営業続けそう

ググルツールバー入れてる、若しくは前に入れてたんじゃね
ググルツールバー入れて該当ページに逝くと、ツールバーを
奨める判断の為に履歴チェックが掛かってるだけかと

すみません
うっかり直リンしてしまいました
危険です踏まないでください

>>830
今はこんな感じ
ttp://www.virustotal.com/analisis/4ca4c454cbbbf51466918f69200b6a14c998edd8b71665254ec8f5cf5433a576-1263787080

>>834
日本ではメジャーどころのSymantec、TrendMicro、Avast、AVGあたりが
検出しないから、ガセネタと思っているのかも？？？

avast!にはメールした。他はよろしく

テルモは復旧してるけど告知無しだけど
通販サイトだからやばくないか

テルモはこのまま無かったことにするとみた

感染が疑われているサイトらしい
↓

tp://www.team-e.co.jp/
tp://imlabel.jp/

>839
Gumblar Checker 2にかけたけど
両方ともやられてましたよ

>>839
その貼り方じゃ専ブラでリンク化する

ttp://imlabel●jp/からたどってみたが，
ttp://www●re-no●jp/　もやられてた

team-eは上のほうにあったスキー場と同じ
imlabelは違ってた
ttp://www.virustotal.com/jp/analisis/d2b1c6cdefad8cd0ec7f59f73365507ad027ce9887e340e79bb3ba815fce7fbb-1263790363
もうキリが無いｗ

imlabelは違うの？ティームにはメールしとく

違うって違うタイプのウィルスってことだろｗ

お前らはlinuxで作業してるの？

誤爆

>>843ですがteam-eとimlabelの両方とも/*LGPL*/なんだけど、その後に続く難読化した文字列が同じかどうかです
紛らわしくてすいません

imlabelとre-noはaguseスルーするわ
誰か電凸しろよ

ティームはメールしといた

>>843のimlabelのvirustotalの結果でカスペがスルーしてるから、aguseもスルーしてると思われ
aguseはカスペ使ってるみたいだし

ウイルス対策を調査しようとして
逆に被害にあうケースのほうが多そうだな ＾＾；

いきってんじゃねーよ

>>852
それはお前だけだ

imlabelはavast!にメールした。

>>851
カスペだと↓こんなん出ました〜
ヒューリスティック検出です〜

2010/01/18 14:39:57 検出しました: HEUR:Trojan-Downloader.Script.Generic　　http://imlabel.jp/

また直リンやってしもた〜
すみません

ベンダーの本音「JAPが大量に送ってきた検体・・・重複大杉」

>>855
これ最新だから送付して
http://labs-uploader.sabaitiba.com/virus/download/1263790883.7z
pass: virus

>>856
virustotalのカスペのバージョンが7.0.0.125なので、そのへんの違いなのかね

>>857
直リンより、名前欄に矢印でレス指定しようとしてることのほうがムカつくｗ

さっきネット(無線Lanで)を見ていたら、恥ずかしながらGumblarに引っかかってしまいました。
かかったPCはSymantecEndpointProtectionで検知したものの分析保留のまま、
Acrobat8が起動しフリーズしてしまいました。
すぐに無線親機の電源を切りましたが、ほかに2台パソコンが起動しておりましたのでそれらに広がっていないか不安です。
今現在、かかったPCはネットから切り離しフルスキャン中で、起動していた2台のPCの片方はMicrosoftのSecurityEssentialsで同様にフルスキャン中です。
ただし、フルスキャンを行っている2つのPCは2ヶ月以上セキュリティの更新を行っておりませんでした。
また、もう片方のPCにはセキュリティ対策のソフトウェアが入っていないためスキャンができません。
私、WebとFTPのサーバーも管理しておりそちらのPCはたまたま電源が入っておりませんでしたが、
何かすべき対策はありますでしょうか？ご教授お願いいたします。

>>862です。
因みに
http://akiba-ns●com/
でかかりました

>>862
ウイルス対策入ってなくてもスキャンできるようなサイトがあるから、
「オンラインスキャン」でGoogle検索するといろいろあるはず
問題はオンラインスキャンがGumblarの検出に対応してくれているのか・・・

>>862
国分：「感染したらこうなるらしいけど、どう思った？」
http://www.smilebanana.com/archives/2010/01/18-0003.php

>>835
嬬恋はSymantecを使ってると聞いたことがある。
おそらくSymantecが検出しないといくらこっちが丁寧な対応で報告しても悪戯だと思ってるのかも。

>>859
その中に３つあったけど、１つ目はスキー場と同じでメール済
２つ目はimlabelと同じでメール済
３つ目は/*LGPL*/の後の文字列も１つ目２つ目とは違ってて
virustotalでもResult: 1/40 (2.5%)だったので、これだけavast!にメールした
ttp://www.virustotal.com/analisis/6adfe857fb92a67931f32ba4ccb90cdc82c4187d57c35353a7423f567d3bc42d-1263794970

ちなみに３つともru:8080だけどURLは全部違う

>>863
わお　てんこもりｗ

>>863
そこ凄いね。新旧揃い組？

>>867乙。

ソロイブミって言うんだよ>>869

>>863
3つかかってるのか
重症だな

てかそこなんのサイト？

>>863に沸くのも良いが、>>862に答えてやれよｗ

>>873
秋葉原人 | 秋葉原のニュース投稿ポータルサイトだって

>>874
WebとFTPのサーバーも管理しており　ってｗ
セキュリティ対策全くと言って良いほどしてねーし

踏んだPC　リカバしとけ

862みたいな人がサーバーの管理をしていると考えるとゾッとするね

自称鯖管ｗｗ

>>875
ほー　ありがと
無縁だなｗ

>>877
現状中小企業はそんなもんだな

でも862が管理してるサーバって・・・・

殆どのサーバー管理者ってそんなもんじゃないの。
中小企業じゃ専門の業者じゃなく自称パソコンに詳しい社員にろくな報酬無しで押しつけてるみたいだし。

p://akiba-ns●com/は連絡先が見あたらないから
直接さくらインターネットに連絡するしかないのかな

「とりあえず動けばいい
セキュリティ？何それ美味しいの？」

WordPressで生成されてるサイトっぽいけど
こういうサイトってWPのパスを奪われてテンプレに書き加えられてるのかね？

>>881
気がついたらしいけど残骸に/*LGPL*/

皆様早速のご意見ありがとうございました！！
とりあえずオンラインスキャンをいくつか試してみようかと思います。
>>865 これとは症状が全く違う症状でした。 急にAcrobatが起動してVistaがフリーズしたので。。。
>>877 >>878 >>879 その通り自称鯖管のようなもので、大学の研究用に使っているだけの大したことない自宅鯖です。
今は使っていなかったので、セーフ?だったわけですが。。。
「現状中小企業はそんなもんだな 」ってマジすか...結構無防備なのですね。
今回はいろいろ勉強になりました。ありがとうございます！！

>>884取り消し
重くなってただけだった。。。

>>885
オマエに無防備言われてもなｗ

おい、誰か>>885をなんとかしろ

鯖大混乱
http://dailynews.yahoo.co.jp/photograph/pickup/?1263798241

>>816
まあ落ち着け
とりあえずキムチで食ってろ

>>890
オマエもsageとけ

あえてageる

>>889
これ見に行ったら歌手の浅川マキさん死去の訃報を見てしまいへこんだ・・

>>889
もったいない・・・

>>883
WPと言っても結局FTP使って設置する場合が多いんだから同じでしょ
テンプレもindex.phpだから普通に書き換えられるだろうし、大量にあるjsファイルも全部書き換えられる

www●canodizayn●com

「CODE1」以外にdocument.write(unescape("〜が仕込まれていて
<IFRAME name="StatPage" src="http://iner●kz/index2.php" width=5 height=5 style="display:none">
になるのだけど新手の改竄？

>>896
Avast!が反応したけどそういうことではなくて?

view-sourceで見ようとしたらFirefoxが反応した

>>897
Avast!が反応したのが「CODE1〜」だけでなく、「document.write(unescape("〜」にも
反応してるならいいのですが、「CODE1〜」を新しいコードに置き換えようとして失敗
してるのかと思った次第。

>>898
Bingのキャッシュ
p://cc.bingj.com/cache.aspx?q=script+code1+try&d=4586565574853043&mkt=ja-JP&setlang=ja-JP&w=415a73d1,318f0160

operaのコンテンツブロックにru:8080を入れたらどうなるんだろ

で、次スレはだれが？

>>950

>>893
自分はそのレスで知ったよ……

>>6 の修正よろ

○　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
×　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

ｋｓｋ

> C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
> のファイルを削除すれば復旧しますが
これはいらない
消せば直ると勘違いする

>>830
210.189.83.28
http://whois.jp/
f. [組織名] 株式会社キャッチボール・トゥエンティワン・インターネット・コンサルティング
o. [電話番号] 03-3237-1367

電凸
特別なツールで調査中だそうですww

長い会社名だな

特別なツールってなんだよｗ

ウイルスバスターだな

>>856
只今メンテナンス中につき、ご利用いただけません。

パルコールもメンテ中だ

閲覧した人間も感染するってことを知らなくてこのまま何のアナウンスも無くサイト復帰かな

>911
www●re-no●jp/ とか re-no●jp/imbit/ がまだ見られるね
気がついてればいいけど

コンサルが噛んでんのに知らないで済むのかねえ

電凸で通報するとかぬかしてた馬鹿が少しは後悔してるといいな

ttp://www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww%2Es%2Dpalcall%2Ecom%2Findex%2Ehtml
ttp://www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww%2Epalcall%2Eco%2Ejp%2Fpalcabin%2Findex%2Ehtml
/*LGPL*/

>>912
絶賛放置中にしか見えない。。。

www●palcall●co●jpはメンテ中なんだが
s-palは稼働中なんだなｗ

感染を告知しない企業が告知するまでここで晒してやれよ。

感染させた企業がここを見てるとは思えない

あわわ〜　感染した〜

>>919
見てたかもしれない。。。
http://pc11.2ch.net/test/read.cgi/sec/1261855221/823+834-835

oh....

>>922
どうした？

おや？

あら？

すごい初心者でもしかしたらくだらない相談かもしれんが質問していい？

いいよ

今日のパンチの色なに？

Gumblar

>862
ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1435481549
回答者と同じ気持ちだ

ﾜﾛﾀｗ

>>901
*.ru*　これはどうかな？
まったく意味がないかも知れんがｗ

知恵袋のほうが先なんだなｗ

知恵袋のを丸々コピーした可能性があるな

マルチダメ！絶対！
http://i.yimg.jp/images/ks/official/nt/ch48_grd01.gif

おぉ。俺の回答がｗ

やっぱり感染した場合はリカバリが良いよね。

回答者も
どっかでみたことあるような

って
ワロタ
マルチはだめって言えよｗｗ

感染対策はしてるんだけど、自分のサーバーが感染しないか心配です。
FTPの設定を盗むのかな？
保存しないで、IDとパスワードを手打ちにすれば大丈夫ですか？

>>896
たぶん新手の改竄だと思われ

テルモホームページに関するお詫びとお知らせ
ttp://www.terumo.co.jp/press/2010/notice.html

このスレの住人は何気に頑張ってるな
感心した

>>938
ポート監視してるんじゃね？FTPは生のIDとパスを流すから

>>942
個人的にはそれに加えて、FTPソフトがhtmlファイルを開く動作にフックかけてそうな気がする。

>>938
設定も盗むし同一ネットワーク内の通信も見てる

このスレで書くことじゃないのかもしれないけど、しばらく使ってなかったＰＣを
久しぶりに最新版にしようと、ＩＥ８でアドビ行ってリーダー９．３

ごめん切れた。

リーダー９．３をダウンロードしたところで「攻撃的なアドオンを
認めたのでＩＥが閉じました」とブロックされてしまった。
３回やって同じ。なんで？アドビ今大丈夫？

つまりFTPをSSL通して使えば若干リスクが軽減されるのか

次スレはどうするよ？

>>948
立てます？

>>949 お願いしますです

【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除

>>951誤爆…

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263822552/

次立てました

>>940
お詫び天才してくれね？

テルモホームページに関するお詫びとお知らせ

弊社ホームページのうち一部のサイトにおいて、第三者の不正アクセスにより改ざんされていたことが判明致しました。当該サイトに下記期間中にアクセス頂いたお客様には大変ご心配、ご迷惑をおかけいたしました。深くお詫び申し上げます。
１．対象サイト

* テルモヘルスケアショッピングサイト
（http://www.terumo.co.jp/healthcare/shopping/index.html）

２．改ざんされていた期間

* 2010年1月15日（金） 15:00 〜 2010年1月18日（月） 09:30

３．改ざんに伴う影響

* 上記期間、対象サイトにアクセスした場合は、ウィルスに感染する可能性があります。
* ウィルスに感染した場合は、意図しないサイトへ誘導される可能性があります。

４．原因となったウィルス

* ウィルスの種類　：　「Gumblar（ガンブラー）」亜種

５．感染の確認方法、駆除方法

* 下記のサイトにて感染の確認および駆除が可能です。（無料）
トレンドマイクロ社　オンラインスキャン
http://www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_onlinescan

６．個人情報に扱い

* ショッピングに関する個人情報は、別サイト（http://www.e-terumo.jp/healthcare/）で扱っているため今回の影響はございません。

金曜日から改ざんされてたんだな
む。

palcallの方は復活したが
s-palcallは依然放置か
aguseもgredもスルーするし改竄されてることに気づいてないんだろうか

>>954
のオンラインスキャンってちゃんと対応してるの？

当面はWebを更新しないのが一番なのか…。

>>952 乙
通報願い
化粧品サイト
ttp://www.marielouise-cosme●jp/
通販カタログ？
ttp://www.askulnet●com/
化粧品の宣伝
ttp://mesia.nicestyle●org/asuka/
ttp://abi.velvet●jp/link/ リンク先も
ホスト丸ごと？
ttp://54.hou-hou●com/
ttp://104.hou-hou●com/
ttp://kaden.hou-hou●com/
とか。
化粧品の宣伝多いね

>>952
おつー

どんどん増えてるねー　国が関わってるのかしらｗ

乙

通報のテンプレとか作れば便利じゃないの
これからどんどん増えていきそうだし

>>960
民主がやりそうなこったな

ひどいなー
鯖管何しとんのやー
首だ首

メールでの連絡先やメールフォームの無いサイトは
ブラウザから送信できるFAXとかで連絡しないと駄目かな

>>965
本人にいってもろくに通じない
レンタルサーバならレンタル元のが確実で楽

>>966
個人ブログとかもで連絡先・メールアドレス無い場合はサーバの方にメールすればいいの？
貴重なご意見ありがとうございます的なテンプレメールすら来ないってイメージがある

ブログって感染するか？

この変種は今のところ目立った発病がないからじゃないか
3大対策ソフトも後追い状況で自称IT専門家みたいな人は全然気づいてない
感染だけが進行して行く

JavaとJavaScript切った状態で見ても感染するの？

>>967
ブログがどっかのサービスのものならそこのサービス元に連絡すれば
対応してくれるよ
平日昼間のみだろうけど

>>971
そうなんだ。ありがと。