【Gumblar/GENO】Web改竄ウイルス総合スレ5【8080】
1 :
名無しさん@お腹いっぱい。 :
2010/02/06(土) 01:29:29 改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】実質4スレ目
http://pc11.2ch.net/test/read.cgi/sec/1263865118/ 【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
2 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 01:30:52
GENO(Gumblar)ウイルス対処法。 行っておくべき事項を箇条書きにしました。 細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする (2)Adobe Readerを最新版に更新する (3) Adobe ReaderのAcrobat JavaScriptを無効に設定 (4) JRE(Java Runtime Environment)を最新版に更新する (5) Flash Playerを最新版に更新する (6) QuickTimeを最新版に更新する (1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。 攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。 Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。 Acrobat JavaScriptを無効にする方法は以下の通り。 (1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択 (2)「分類」の中の「JavaScript」を選択 (3)「Acrobat JavaScriptを使用」のチェックをクリア (4)「OK」ボタンを押す ※サイトを運営されている方は、さらに次のことも実施していただきたい。 (1)管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する (2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、 ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
3 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 01:32:52
4 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 01:41:29
【Gumblar】混ぜるな危険【8080系】 ■Gumblar(たぶん消滅済) 2009/4〜6に猛威を振るったやつ。 GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。 ■Gumblar.x (祝・復活) 2009/10〜12に出現。 挿入するコードが Gumblarのそれと同じだった為、 Gumblarの進化型(亜種?)と言われている。 ※今後の動向には注意が必要。 ■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG、.ru:X) Gumblar.x が消滅した直後に出現し、今現在も猛威を振るっている。 ※セキュリティソフト依存の防御は非常に危険。 【感染確認方法】 msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定) 削除はネットワークから切り離して、セーフモードで起動させ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp" 削除 ※sysgif32で検索 ↓ ○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe ファイルを削除
5 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 01:42:45
6 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 01:44:04
【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106 ■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください
セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済
上記の登録情報を削除した上で
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール&サイト持ちは
安全なPCからのパスワードの変更を推奨します
7 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 01:46:42
8 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 01:48:44
危険ポートを閉じることでセキュリティを強化する。
※【ルータ】未導入の人用です。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
ポート135 445
ttp://www.google.com/search?hl=ja&q=%E3%83%9D%E3%83%BC%E3%83%88135+445&lr=lang_ja
9 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 01:55:19
(1)Microsoft Update(Windows Update)が不要なものを使う (2)Adobe Readerは使わないか (3) Adobe ReaderのAcrobat JavaScriptを無効に設定 (4) JRE(Java Runtime Environment)を削除 (5) Flash Playerを7以降にしない (6) QuickTimeを最新版に更新する
10 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 07:09:49
/: : : : : : : : :.\〜 |:::::::/ ̄ ̄ ̄  ̄ ̄ ̄|:::::::| ~ /,. ― 、, -―- 、
/: : : : : : : : : : : : : \~ |=ロ -=・=- -=・=- ロ=| .//.: : : : : : : : : : : :.\
/: : : :|: : : : : : : : : : : : :\|::::::| ノ |:::::::|/...: : : : :/ \\: : : : : : :ヽ
. |: : : : @ヽ-------‐‐'′.\::|*∵∴ (● ●) ∴∴*|::://: : : : : :/ ヾ.\: : : : : :' ,
.|: : : :/ .\ ∵∴\__l_l__/∵∴ |/ {: : : ///-‐' `ー-ヾ.\: : : : :',
|: : : / ̄ ̄ ̄ ̄ヽ===/ ̄ ̄ ̄ \ \____/ ./ ヾ::/ /⌒ヽ._/⌒`ヽ__,ヘ: : : ;|
| : =ロ -=・=- |, ┏━━━━━━━━━━━━━━━━━━━━━━┓_ ノ Y¨ヾ!
| : :/ヽ /ノ .┃ ノートン ファイター 売り場に参上! ┃、 }}5リ
| :/ `─── /. ┃ ┃ ` }ゞ'ュ
| ノ .(●_┃
http://www.youtube.com/watch?v=jH2LFjbYR0A ┃ lヘ:::ュ
|:| l┗━━━━━━━━━━━━━━━━━━━━━━┛ ノ ヾ
|:| __-- ̄`´ ̄--__ /::,/ノ;ノ);;);;/~);;;ハ;ノ;;ノ;;人:\ rテ _ゝ、 ー イ
|:| -二二二二- ./::::::l | ,=・= ンー―-t=・=、j l:::::ヽ\ `` ‐ `ー一'¨´フ´
|.:\ /;::::::::j `ー-ノ ● ● ヽ一' |::::::::ヽ\ー- ..,, _\ / __,、-'´
、: : :\ _- ̄ ̄ ̄//:::::r'rノ U ``‐、::::ヽ\ \三三三/
..|Ξ|~ \ / /::::::レ' ゙Y⌒'ー─'⌒Y i::::::ヽ \ ;ゞ○;=く
/: : :ヽ/|\____./ ノ::::::/ l 、___,,ノ │ l:::::::::}~ \/三∧三:\
|: : : : | \ / l::::::l ノゝ、____,,ハ l:::::::::l ~ \/ \三 ヽ
11 :
名無しさん@お腹いっぱい。 :2010/02/06(土) 07:12:01
/: : : : : : : : :.\〜 |:::::::/ ̄ ̄ ̄  ̄ ̄ ̄|:::::::| ~ /,. ― 、, -―- 、
/: : : : : : : : : : : : : \~ |=ロ -=・=- -=・=- ロ=| .//.: : : : : : : : : : : :.\
/: : : :|: : : : : : : : : : : : :\|::::::| ノ |:::::::|/...: : : : :/ \\: : : : : : :ヽ
. |: : : : @ヽ-------‐‐'′.\::|*∵∴ (● ●) ∴∴*|::://: : : : : :/ ヾ.\: : : : : :' ,
.|: : : :/ .\ ∵∴\__l_l__/∵∴ |/ {: : : ///-‐' `ー-ヾ.\: : : : :',
|: : : / ̄ ̄ ̄ ̄ヽ===/ ̄ ̄ ̄ \ \____/ ./ ヾ::/ /⌒ヽ._/⌒`ヽ__,ヘ: : : ;|
| : =ロ -=・=- |, ┏━━━━━━━━━━━━━━━━━━━━━━┓_ ノ Y¨ヾ!
| : :/ヽ /ノ .┃ ノートン ファイター 大勝利!!! ┃、 }}5リ
| :/ `─── /. ┃ ┃ ` }ゞ'ュ
| ノ .(●_┃
http://www.youtube.com/watch?v=phyxnhSth24 ┃ lヘ:::ュ
|:| l┗━━━━━━━━━━━━━━━━━━━━━━┛ ノ ヾ
|:| __-- ̄`´ ̄--__ /::,/ノ;ノ);;);;/~);;;ハ;ノ;;ノ;;人:\ rテ _ゝ、 ー イ
|:| -二二二二- ./::::::l | ,=・= ンー―-t=・=、j l:::::ヽ\ `` ‐ `ー一'¨´フ´
|.:\ /;::::::::j `ー-ノ ● ● ヽ一' |::::::::ヽ\ー- ..,, _\ / __,、-'´
、: : :\ _- ̄ ̄ ̄//:::::r'rノ U ``‐、::::ヽ\ \三三三/
..|Ξ|~ \ / /::::::レ' ゙Y⌒'ー─'⌒Y i::::::ヽ \ ;ゞ○;=く
/: : :ヽ/|\____./ ノ::::::/ l 、___,,ノ │ l:::::::::}~ \/三∧三:\
|: : : : | \ / l::::::l ノゝ、____,,ハ l:::::::::l ~ \/ \三 ヽ
________ /:.'`::::\/:::::\ /:: \ /::. /""" """\ ヽ |::〉 ●" ●" | (⌒ヽ |) ( __ ( ∩∩ ) | がしゃーん | 、_____ / ヽ \____/ / \ / \____/ /│ 亀 │\ がしゃーん < \____/ > ┃ ┃ = = 亀田ロボや 荒らしが出たら自動でしばくで
RealとかJaveとかQuickTimeは本件とは関係ない
@<丶`∀´> セキュリティサービスのアンラボ<`∀´#>
ニュースリリース 2010-01-12
ttp://www.ahnlab.co.jp/company/press/news_release_view.asp?seq=4537&pageNo=1 ホームページにウイルスが埋め込まれる脅威に対するアンラボの取り組みについて
韓国トップシェアのセキュリティベンダー AhnLab, Inc.(韓国ソウル市)の日本法人である株式会社
アンラボ (東京都千代田区) は、昨今日本でも被害が急増しているホームページにウイルス
(Gumblar その他)が埋め込まれるタイプの脅威に対し、韓国での取り組みと被害状況などを発表します。
韓国インターネット振興院※1 (KISA:Korea Information Security Agency)の発表によると、現在、
韓国でのウイルス感染経路はインターネット経由が中心であり、企業で85%、個人ユーザーの88%の
感染がインターネットからダウンロードしたファイルによるものであることがわかりました (※2)。すべての
年齢層と性別に関わらず同様の数値を示しており、いまやインターネットの利用はすべてのパソコン
ユーザーにとって大きなリスクになっています。
また、アンラボの統計から、危険なホームページの割合は、SNSやオンラインコミュニティが27%、
オンラインショッピングモールが26%、ブログ・個人ホームページ21%、パソコン・IT情報4%、ポータル・
検索サイト4%、その他18%となっています。2009年の1年間でウイルスが埋め込まれたホームページの
数は、韓国で発見されただけでも 338,970 サイトあり、去年7月の統計では、1ヶ月間に配布された
ウイルスが 827 種類、危険なサイトを閲覧したユーザー数は50万名以上にのぼったことがわかっています。
19 :
名無しさん@お腹いっぱい。 :2010/02/07(日) 00:20:55
celeb-deaeru●com bihada5●nes3●com ggpurasu●com/PS2 gu-zu●com kyoshin-jp●com www●custom-mode●com more-more●net
バンダイのプラモデル
というか、Kenzeroに引っかかる奴って理解できんわ。 セットアップを起動させてしまうのはともかく、登録フォームが出てきたら普通そこで止めるだろ。
このスレをたてたのが早漏だから取捨選択もできなかったんだよ
26 :
名無しさん@お腹いっぱい。 :2010/02/07(日) 15:38:57
軽く感染実験・・
環境は、WinXP+SP2(IE6SP2)
設定は初期値
WindowsUpdateは優先度の高い更新を全部入れた。
セキュリティソフトはウイルスバスターCorp8.0SP1 パターン6.829(最新)
インターネット接続は、IIJモバイル
>>19 の
>www●custom-mode●com
につないでみた。
(1)AdobeReader無
スクリプトはJS_ONLOAD.SMZで検出される。
TROJ_MALWARE.VTGも検出された。
(2)AdobeReader7.14と7.10で試してみる
スクリプトはJS_ONLOAD.SMZで検出される。
TROJ_MALWARE.VTGも検出された。
(3)ウイルスバスターCorpを切って(1)と(2)を試してみる
接続後しばらく置いてウイルスバスターでスキャンしてみるが何も出ず。
レジストリのRrunを見てみたが変化なし。
感染してないかも・・
27 :
26 :2010/02/07(日) 15:45:39
>>26 で一箇所まちがい。
IEは終了時に一時ファイルを削除するようにしてた。
ついでに他のタイプの改竄サイトでためしてみた
123●sub●jp/iwabuchi/
リアルタイム検索でPossibe_Hifrm-5とTROJ_PIDIEF.SMEが検出されるが
ウイルスバスターを切って問題サイト閲覧後、手動検索とてもなにも見つからない。
レジストリのRUNも書き換わっていなかった。
8080系ウイルスの感染確認のセーフモードから起動してレジストリエディタでRunエントリ のRunエントリが分からない。誰か詳しく教えてください
レジストリエディタを開いて
レジストリエディタを開いて HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run に移動する。この移動先がRunエントリ。このRunエントリに "sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp" "~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp" のようなのがあれば感染してる。
くこか
なかった。感染してないようです。ありがと
で、スタートアップはこれ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\wwwpos32.exe
つーかVirusTotalからいつのまにかノートン消えてたけどいつから?
Symantecって無いか?
ほんとだね 右上の詳細のとこのリストにはあるんだけど
FFFTP をVer.1.97にバージョンアップ。 マスターパスワードの機能を導入しました。パスワードが抜かれないための対策として、マスターパスワードを設定してください。この機能は、げんげんさんが開発してくださったものです。ありがとうございます。 パスワードの暗号化をAESを使用して行うようにしました。パスワード保存時の暗号化の強度が高くなりました。この機能はMocaさんが開発してくださったものです。ありがとうございます。
>>27 めるぽと念のためろりぽにもつーほーしますた。
VirusTotalは気分次第でベンダー2,3社欠けるときが結構あるよ
気分かw
マスターペニス
49 :
名無しさん@お腹いっぱい。 :2010/02/08(月) 04:17:00
http://www ●milky-ms●com/index2●html
これって、やっぱこれなの
mca○ee役立たずだった
やられてますな
51 :
名無しさん@お腹いっぱい。 :2010/02/08(月) 04:32:53
これどうやったら、削除できるのよ? とりあえず、netuza32.exeだけは、スタートアップから抜いたけど、 なんかまだあやすぃ。
/ ̄ ̄ ̄ / /''7 ./''7 / ̄/ /''7 ./ ./ ̄/ / /__/ / / ____  ̄ / / 'ー' _/ / ___ノ / /____/ ___ノ / /___ノ /____,./ /____,./ _ノ ̄/ / ̄/ /''7 / ̄ ̄ ̄/ / ̄/ /'''7'''7 / ̄ /  ̄ / /  ̄ フ ./ / ゙ー-; ____ / / /._  ̄/ / ___ノ / __/ (___ / /ー--'゙ /____/ _ノ /i i/ ./ /__/ /____,./ /___,.ノゝ_/ /_/ /__,/ ゝ、__/ いやマジで
ありがとう バカフィー市ね。
スクリプト無効にしておけばいいのに
マカフィーならペアレンタルコントロールも使っとけよ。
>>49 めるぽ、念のためさくらにもつーほーしますた。
マカフィーじゃなくて脆弱性持ちソフトを更新してない
>>53 が馬鹿なだけなのにな
>>44 マスターパスワードを設定するとパスワードが抜かれないの?
同人スレから流れ込んで来るならもうちょっとさあ
毎度。 www●f-curtain●jp Gumbler.xとGumbler:8080の複合型っぽい。 Bodyタグの前に難読化されたスクリプトが挿入されてる。
やっぱさー
>>61 とか新型亜種ってfile.exeがおかしくない?
これ感染してくんない・・・
VMでやろうとしてね? 解析避けのケチケチ機能が前より強化されてる気がする
>>61 純粋な8080だよ。
main/main.htm は従来通りの場所に全く同じのが仕込まれてる。
トップは</head>の前に入れてるけどgumblar.xは</head>の後。
トップだけ変なとこに入っているのとscriptタグ含めて大文字になっていることから
ホームページビルダーか何かの余計なお世話機能でそうなったんだと思う。
65 :
名無しさん@お腹いっぱい。 :2010/02/08(月) 12:21:29
>>27 カラー設定の8080表記を誤検出してない?
Kaspersky ESET aviraで検出してないんだけど
実機にクリーンインストールしてもダメだった xpsp1、ie6、flash 8.x、adobe reader 7.x、jre 6u10 file.exeのDLまではうまく動いてるが、file.exe実行でPCが落ちて自動リブート リブート後も何も起こらず感染の気配なし ちなみにVM上でもまったく同じ症状
>>64 どうもです。
そういえば中途半端なところにタグ挿入されてソース丸見えだったり
scriptがちゃんと動作してない改ざんサイトもあったね…。
あれも余計なお世話機能が働いてたのかもなぁ…。
8080系で、 <script>/*LGPL*/ <script>/*GNU GPL*/ <script>/*CODE1*/ のどのコメントもない(いきなり難読化したJSコードが書いてある)ものを見かけました。
チェッカー系って難読化したんじゃなくてそのGPLだかのワード探してるだけなのか
>>61 は新聞にも載ったのにまた随分と放置しまくりだな
74 :
名無しさん@お腹いっぱい。 :2010/02/08(月) 17:42:33
Last-Modified: Mon, 08 Feb 2010 02:14:39 GMT だし再感染だろう
Gumblar.Xって本格的に活動再開なの?
いみが
ネットラジオ聴いててリンク踏んだらノートンが反応したのですが tokyo●cool●ne●jp
GumblarChecker 2がFirefox3.6で、適当なURLを調べると上の方に Notice: Undefined index: src in /home/gumblar/public_html/index.php on line 505 とか出るな。
>>80 Firefoxだけじゃないだろ。
IEもOperaもChromeもSafariもみんな出るじゃん。
>>80 それは特に気にしなくてもいいメッセージですが、
とりあえず非表示にしました。
//www●pinfu●info/blog/hukurahagi/ 新コードテスト中?
>>83 Last-Modified: Mon, 08 Feb 2010 20:10:30 GMT
昨日か
>>84 いや、GMTだから日本時間だと午前5時だね
//www●hondasanken●com/newhonda/lofty_suwano/index.html これも Last-Modified: Mon, 08 Feb 2010 20:03:22 GMT
しばらく新種が来ないなと思ったら超新型開発中だったのかw かなり偽装に手が込んでるなぁ
特徴なのはタグの途中で挿入されてることかな? LGPLとかDEBUGとかのように</body>直前で挿入されてることはなく
こちらの環境では肝心のブツが落ちてこない…
こういう時に限ってWepanetメンテナンスだしねえ
いや、つながるよ
>>93 さんくす。
>>92 のときはつながらなかった。
んでwww●hondasanken●comは全体っぽい。
ぐぐるきゃっしゅは無印8080 > 30 Jan 2010 13:50:00 GMT
8080系がコードを更新中・・・ tp://www●i-paradise5●jp/~simple/otona/index●php ※明日以降なら↓で釣れそうな予感 "<script>var" ";this.go" "document;this." ".replace(/["
落ちてこない。変わったの? :8080/pics/win.jpg :8080/pics/JavaGame.jar :8080/pics/ChangeLog.pdf
97 :
名無しさん@お腹いっぱい。 :2010/02/09(火) 20:09:13
ドメインは準備中かな?
いや、違うか
うーん、鯖は生きてるみたいだけどねぇ どうなんだろ
鯖にアクセスできないぞゴラァ ウイルスマダー!?
鯖煮食った
鯖缶のスレを見つけてそこのレシピを見たら気になってこれから作ってみる
>>83 ろりぽ
>>86 めるぽ
>>95 whois上流めるぽ
株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ (NTT PC Communications,Inc.)
改竄されてはいるので。。。
www●cory●ne●jp/koujirireki/index●htm 2つ入り www●homemate-trusty●com/lent/ 古いの www●e-robin●com/recruit/index●html aguseで見ると.ruの国名がFRになっているんだけど どういうことだろう?
二輪駆動ってことだ
そういうことだよ
DEになってるときもあったな
国別ドメインのカントリーコードとサーバがある国は関係ない。 slickdeals-net●alimama●com●imageshack-us●recentmexico●ru → 94.23.199.154 FR → 188.40.118.68 DE → 78.41.156.236 GB → 85.25.152.241 DE → 91.121.112.227 FR
>>105 めるぽしました。
whoisからめるぽ。
めるぽしました。
しましましほ。
マスターペニス
>>104 相変わらずadobeの脆弱性をつくものなのですか?
>>112 javascriptがかわっただけでDLされるプログラムは変わってなかった
環境とかによってDLされるプログラムが変わるだろうけど
とりあえず俺の環境だと相変わらず感染もしなかった・・・
file.exeうまく動かないってこれw
>>105 の2つ入りのやつの2つは<script>varじゃなくて<script>thisなんだね。
今回はいろんなパターンがあるな。
こまけえな
>>117 その記事は確認済みだけど、確かにその挙動の時もあったけど
必ずしもそうじゃない時もあるんだよね
ほんとよくわからんw
こんだけスクリプト自体も変更してるんだから、アクセス制御なり他の挙動もコロコロ変わってるんだろうねぇ。本体以外は ホント憎たらしい程に頭良いな、このマルウェアの作者w たまに本気でデバック段階のコードじゃないのっていうスクリプトを流したりお茶目なことしてくれるけどさ
頭いいとは思うけど、才能の無駄遣いだよなぁ…
まだ金とか物理的な被害ってないのかな?
>>120 こういう人がセキュリティ会社に入ってソフト作ってほしいよな。
高給で雇わないかなぁ。
allabout●co●jp/gm/gc/7236/ チェッカーに引っかかったのだが
>>124 親子丼とか見せんじゃねー
一気に腹へっちまったじゃねーかww
ノートンがRapid Releaseで対応してきた
>>123 コードの難読化自体はそんなに難しいことではない
それでもこの作者はかなりやり手だけど
キラよりもLの方が立場は厳しい
こんなのやってるのは底辺だろ
それにしても急に感染広まったのって何故? プログラムの中身の変化にあまり関係なくみたいだが。
感染原因になるプログラムの更新をしてない鯖管がそれだけ多いってことじゃね? 感染してftpパス抜かれても改ざんが目に見えない箇所だから めるぽとかされなきゃ気づかないんだろう
>>130 詳細な動作検証をしないとパッチを当てられないポリシーのところが多い
汎用機時代の考えから抜けられないバカ情シスのせい
パッチをあてなきゃ
↓
でも検証しなきゃ当てられない
↓
検証しなきゃ
↓
予算がない
↓
パッチあてられないね
↓
ウイルスにやられたウギャー
MSパッチでてるね
133 :
名無しさん@お腹いっぱい。 :2010/02/10(水) 18:32:38
スクリプトも変化してるが、 最後のfile.exeなんかほぼ常時、 アンチウィルスソフトでは引っかからない状態なんだけど まさか落として来て実行されるなんてことはないよな?
そのウイルス対策ソフトがダメなんじゃないの?
年賀状PDFか
ネットワークの脅威の改善、これはネットワーカーの責務です。 ガンブラーはネットワークの脅威です。 さて、ネットワーク上からガンブラーを消し去って ネットワークの脅威はなくなるのでしょうか。 ネットワークの脅威とは何なのでしょうか。 マシンを管理出来ない方、HPを管理出来ない方 彼等もまたネットワークの脅威なのかも知れません。 ガンブラー仕掛け人に問います。 貴方達のしている事、それは ネットワーカーとして胸を張れる事なのかと。。。
ウイルスは作品だろ
140 :
名無しさん@お腹いっぱい。 :2010/02/10(水) 18:51:10
>>134 どこのウィルスソフトでも変らんよ。
今拾って来たfile.exeに反応するのはSymantecとTrendMicroだけだし。
このfile.exeもまた明日になれば変わる。
また数社が検出するか、全く検出しないかで、
また次の日が来ればfile.exeは変わる。
その繰り返し。
穴ふさいどけそんだけ
ウィルス? ウィルスソフト? www
つか、もうアンチウイルスソフトベンダー各社は :8080/ を含むアドレスのアクセスの一時遮断と 警告メッセージを出すようなフィルタの標準装備を考えた方がいいんじゃね?
そんなのすぐに対処されるからほとんど意味ない
プロバイダだけどbiglobeは海外からのftp接続を遮断するってさ
しかしここまで面倒なことになるとはなぁ 迷惑だが、このウィルス作り出したヤツは凄いとも思うわ 穴ふさぎしていても、一抹の不安はあるわ
下手人は日本人ですか?
>>146 BIGLOBEは海外からFTPで接続して改ざんされてると思ってるのかな…
その可能性もあるけど、海外からの接続遮断しても改ざんされてたら
第三者の仕業じゃないって証明にもなるな
時間稼ぎにはなるとは思うが 今度は国内のボットネット感染PCを使って広めたりしそうだな だがmeshユーザーとしては有難い処置だ
>>150 そのへんはログ見て判断したんだろ
さすがに想像だけで行動するほどバカじゃないはず
効果のほどはやってみないとわからないとしても、ISPの側から対策に乗り出した姿勢は評価。 サイト主の自己管理に任せていてもらちがあかないのは確かなんだし。
>>150 ユーザー自身によるFTPアクセス制限の開放・遮断を行う機能も追加する予定らしいし
ユーザーがしっかり対処すれば、FTPパスを盗んだだけじゃまず改変できなくなるだろう
海外サイトでのGumblar感染はあまり聞かないね ここまで晒されてるURLは日本のサイトがほとんどだし
アホなこと言うなよ日本だけのわけないだろ
>>155 海外のサイトだとほとんど反応ないよな。
またアホが
海外は確かに少ないね ニュースになるだけで ふ〜ん そっか〜 見たいな感じ
海外のサイト見ないからだろ 一人で必死に嘘言うなよ
複数のFTPクライアントのなかにFFFTPが含まれてたり 様々なサイト名のなかに日本のサイトが含まれてるだけで 日本を攻撃してるなんて言ってるアホもいるからな そう言うのを信じるやつもいるから いい加減な嘘はやめれ
>>160 ん?お前なに必死になってんの?
海外サイト見てるんだぜ
すごいぜとでもいいたいの?
ばかじゃねーの?ww
ロシアの地震予知サイトが2度攻撃受けてるがな
ほんとなら 【 感 染 し て い る ! 】 海 外 サ イ ト の U R L 張って欲しいな
このスレもずいぶん馬鹿が増えて来たな
馬鹿が多いスレですね
>>167 自分で探せ?
探さなくちゃ出てこないの?
馬鹿が多いね
馬鹿でもなんでもいいから、海外のサイトのURL貼って欲しい もちろんドットを●に置き換えて
つ//www●vrsgroup●com/index.html /*CODE1*/
新型(海外) //www●elmwoodguestcottage●com/
ゲーム系サイトは大丈夫・・・かな
//ggpurasu●com/PS2/ ここならやられてた
いちいち挑発にのるなよ バカを相手にしても疲れるだけだよ
珍しく荒れてる理由は↓これに尽きるなw 541 :名無しさん@お腹いっぱい。 :2010/02/10(水) 20:16:53 そろそろあほ大学の入試が終わる時期だな
こんだけなの? すくねwwwwwwwww 腹痛くてげっぷでそうwwwwwwwwwwwwwwwww
>>178 馬鹿?
お前ウイルス相手に疲れないの?ww
>>180 これだけじゃないよ
米Yahoo使うとかなり出るから検索しろ
悪意をもってP2Pのスレにリンク貼ってる奴がいるのは、確か。
185 :
名無しさん@お腹いっぱい。 :2010/02/10(水) 23:14:57
だんだん検索で 新型のスクリプト探すの難しくなって来たな。
187 :
名無しさん@お腹いっぱい。 :2010/02/11(木) 00:03:42
ここも新型 www●mfreep●com
188 :
名無しさん@お腹いっぱい。 :2010/02/11(木) 00:05:10
>>186 んーなもん、最後のfile.exe落とすまでほとんど検出されんぞ。
穴ふさいで、ゼロデイ来ないの祈る他無い。
神頼みだぞ。
>>188 落として検出されることを願おう
>>187 新型ではあるが昨日にはもう出てた
各社対応が進み始めてる(avastに怒られたよ)
今まではjpドメインばっかり見ていたんで ほかをちょっと見てみた。 us、uk、de、ruはありそうだけど、cnが見つからない...
193 :
名無しさん@お腹いっぱい。 :2010/02/11(木) 02:36:07
マスターペニス
やべーやられた
まず始めに環境
XPSP3 Firefox3.6 NoscriptでJavascript常時無効
Flashplayer10,0,42,34
AdobeReader未インストール(PDFX-change viewer 2.0 build0.45)
Java Runtime Environment6.0 build18
QuickTime未インストール、RealPlayer未インストール
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに疑わしきプログラムは無し
自サイトをftpで更新しようと思ったらdbフォルダに(ランダムな英数字文字列).phpが生成されてた。
<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4apY2FsbF9PT0nYmdZvcigkaT1jb3VudCgkcyktMTskaT49MDskaS0tKXskc1skaV1bMV09b2JfZ2V0X2NvbnRlbnRzKCk7b2JfZW5kX2CRfUE9TVFsnZSddKSk7')); ?>
中身を見るとこんな感じのbase64で記述されていた。(↑の中身は例)
これを変換すると以下の内容が書かれたファイルが生成された。(xはランダムな数字。ここでは伏せる)
$axxxxxxxx=xxxxxx; if($_SERVER["HTTP_USER_AGENT"] != "asdfhgysrtgh") header("Location:
http://heartearly.com/?said=c5 "); else print "rysdty"."jstyah"; $bxxxxxxxx=xxxxxx;
以下にも怪しいheartearly.comを調べるとフィッシングサイトだった
http://www.siteadvisor.com/sites/heartearly.com/postid/?p=2765765 FTPに生成されていたのはこの(ランダムな英数字文字列).phpだけで、
サイト本体のindex.phpにこのファイルを呼び出すタグは幸い埋め込まれていなかったので自分や第三者に影響はなかった。
自分が感染した形跡もないし原因はいったい何だったのか全くわからん
原因は慢心だな。 これなら大丈夫という思い込みが 手動で調べるという作業を怠らせた。 その結果がこれだ。
>>194 同じかどうかわからないけど
去年の11月にあったGumblar.xのときは
その騒動が始まる前からWordPressとかでそういう改ざん騒ぎがあったはず。
サイトに使われているソフトが古くてその脆弱性を突かれたとか。
takahashifumiki■com/web/programing/717/
他のサイトにそのPHPファイルのURLが埋め込まれてウィルスばらまくのに使われてたんだろう。
トップにウィルス埋め込んでないと発覚が遅くなるということなのかも。
197 :
名無しさん@お腹いっぱい。 :2010/02/11(木) 05:03:41
198 :
名無しさん@お腹いっぱい。 :2010/02/11(木) 05:09:18
マスターペニス
>>197 このクソ会社潰れてくれねーかな?マジでいらねーだろ。
>Flash Player 10.1の安定版は「近いうちに」リリースする予定。 いつになるんだろ・・・・・・・
Flash Player 窓から投げ捨てたい
202 :
名無しさん@お腹いっぱい。 :2010/02/11(木) 07:59:52
しかしこいつだけまともな代替案が無い罠
だからHTML5を早急に! っていつまともな状態になるのかも分からんし、Flash一掃する程のモノかと言うと… PDFも企業・お役所で根強いしなぁ 結局はAdobeに振り回される日々はまだまだ続く
火狐ざまあ
GENOもガンブラーも作ってるのは日本人だよ これだけははっきりと言える
作った本人なんだろ 通報しとくわ
208 :
名無しさん@お腹いっぱい。 :2010/02/11(木) 11:16:11
普通に考えて日本人だろ 日本人じゃなきゃ利用しないようなサイトが感染されているケースが多過ぎる
ただこのスレに晒されているURLが日本ばっかりだから勘違いしたんでしょ?
ばーかb−か
>>202 Silverlightでも、HTML5でも。
>>196 つまりそれって、
>>194 が感染してるんじゃなくて、サーバが直接やられたってこと?
私も194と同じ環境なので、ヒトゴトじゃないです。
念のため全部確認しに行くか。大手鯖しか使ってないから大丈夫と信じたいけど。
犯人は日本人、あるいは外国人の男性、もしくは女性
犯人はヤス
>>146 これ自分で書いといてあれだが、遮断するのは2/22からだったんだな
緊急措置ならさっさとやってくれよw
GENOウィルスチェッカーって今あてになるの?
>>220 笑わすなw
わけ分からずに言われるがまま使うならモノが何でも意味ねえだろ
で、あてになるの?
ググれカス
前言ったロシアの地震予知サイトなんだがスレにいる人柱によるとまた感染してるらしい。Dr.Webとgredでは安全との事なんだが・・・ quake_vnb●rshu●ru/index_eng●html ここでは報告されたか分からんが元祖GENOも含め計3回目の感染らすぃ・・・
>>224 Gumblar Checker 3で検出されないことを確認したので、現在パターンを試行錯誤中です。
対応までしばらくお待ちください。
>>221 だってどうみても感染してないサイトが100%とかなってるんだけど
>>220 GENOウイルスチェッカーってまさか去年のやつ…?
あれはもう古いぞ
230 :
227 :2010/02/11(木) 16:02:18
去年のチェッカーなんかリリース直後に信用ならん判定出てたのにw
糞チェッカは糞
readerのバージョン古いまま放置とかほんとに糞説明の糞サイトだな
//www●jtmetal●jp/data/index2●html /*CODE1*/
>>216 Gumblarとの関連は不明だけどCMSに脆弱性があって狙われていたのは事実
BASE64でやられてたとこも同じ
自分は大丈夫と思わず常に注意は必要
大手だから大丈夫とか根拠のない思い込みはやめたほうがいい
信じる信じないの問題じゃないです
以上だ、何か質問ある?
大手だからといって大丈夫と思ってる奴まだ居たのか。
大手は大丈夫 任天堂もトヨタも平気だし
超大手じゃん
Gumblar Checker ver2/ver3の管理者様 ver2はIE8でチェックすると途切れ続けます。 最初の製作者様の時もそうで、その後対応されてからは症状が出ませんでした。 ver3はチェックすると文字化けするんですが自分だけでしょうか。
>>243 とりあえずIETester入れて試してみましたが、どちらの現象も再現出来ませんでした。
ver3の方はとりあえず対策っぽいのをしてみましたが、いかがでしょうか。
>245 対応ありがとうございます。ver3は文字化けしなくなりました。 ver2の途切れ状態ですが、チェック後は大丈夫ですが下にスクロールすると途切れ出します。 ちなみに、製作者様からの当時の回答です。↓ >ハイライト表示に使っているSyntaxHighlighterの一部機能がIE8と相性が悪いようで、この機能を無効にすることで修正しました
>>246 SyntaxHighlighterをUAにTrident/4.0が入っていると無効にするようにしてみましたがいかがでしょうか。
>247 途切れなくなりました! 勝手なお願いに、すばやく対応してくださりありがとうございました。 いつもお世話になっております。
250 :
名無しさん@お腹いっぱい。 :2010/02/11(木) 21:48:56
www●lets-juken●com は放置みたいだな
//dreamcafe●s17●xrea.com/ 二重感染
//tantei-shoukai●com/
//cherry●piyo●to/st/s/o/index.html
254 :
名無しさん@お腹いっぱい。 :2010/02/11(木) 22:44:34
>>250 aguse Gateway(Kaspersky?)でスルー(T_T) ESETでブロック
感染覚悟でURL報告大変ですなあ
>>3 をしっかり行っているとは思いますが
>>255 これだから初心者は・・・
Adobe Reader以外のPDFソフトで感染報告は無いの?
これだからチャンコロ連中は・・・ そんなに照れるなよ
もう黙ってたほうがいいよ
死ねカス
無知を指摘されて切れちゃうとか お里が知れるね
カスにカスって言われてもw
情弱黙れww
=========ここまで俺一人の自作自演=========
楽しゅうございました
>>250 index.htmlは修正したけど/javascript/swapimage.js が絶賛放置中
Last-Modified: Fri, 22 Jan 2010 01:53:43 GMT /*Exception*/
パスワード変える知恵はあったか
>>250 8日(月曜日)に さくらインターネットAbuse対策チーム へ再めるぽしてます。。。。
届いてにゃいのか。。。
>>251-252 でじろ
>>253 cherry●piyo●to陥落、サンプルページも感染中。
whoisから210.233.74.155の鯖缶へめるぽ。
aguse落ちてる?
見返りを求めてんだろうよ
272 :
名無しさん@お腹いっぱい。 :2010/02/12(金) 04:19:57
250って1月にもつーほーしたんだよな。
273 :
名無しさん@お腹いっぱい。 :2010/02/12(金) 04:26:44
>>272 http://pc11.2ch.net/test/read.cgi/sec/1263822552/280+299 >>269 の8日(月曜日)に送った内容(一部省略してます)は以下でCCでJPCERT/CCにも送付してその自動応答あり。
----------------------------------------------------------------------------------------------------
お疲れ様です。
今現在、 www●lets-juken●com/javascript/swapimage.js にはまだガンブラーのスクリプトがあります。
(2010/01/22 14:57), SAKURA Internet support wrote:
>
> さくらインターネットAbuse対策チームの○○と申します。
> -----
>> www●lets-juken●com/index.html
>> www●lets-juken●com/javascript/swapimage.js
>>
>>
>> 悪意のあるスクリプトがあります。
>> スクリプトは常に更新されている模様です。
>>
>> ガンブラー8080です。
>> 迅速な対応を切に願います。
>> これまでに訪れた人にも注意喚起を行ってください。
>>
>> 該当サイトに連絡できるメールアドレスが見当たらなかったので
>> Whois情報からお知らせしますことをご容赦ください。
>>
>> また同時にJPCERT/CCにもお知らせします。
>
> -----
> 当該コンテンツ管理者へは早急に対応要請を行わせていただ
> きました。
>
> この度は、情報提供をいただきまして有難うございます。
まぁ、感染サイトがいぱーいあるので対応も後手後手になってるのかも。。。
276 :
名無しさん@お腹いっぱい。 :2010/02/12(金) 04:55:33
なおすきなさそうだからどこかで「危険サイト」としてさらせないものかな。
www●7chord●com/mobile/ try-function型改良版?
squid.conf での対策の一例:
acl gumblarhost dstdomain thechocolateweb.ru を参考にして
acl gumblaruri url_regex ^
http://.*\.ru:8080/ を追加して deny するとよし!なのかなのか?
俺の端末に落ちてくるfile.exeは相変わらずまともに動いてくれないんだが・・・ みんなよく感染できるなw
ver〜(2発混在) tp://slim●nonedust●com/link/ eval tp://www●rubbersoul●ne●jp/store/home●htm ver〜、this〜(2発混在) tp://www●ojika-ns●jp/21gihu 最新型が釣れにくいorz
284 :
194 :2010/02/12(金) 11:21:59
>>216 >サーバが直接やられたってこと?
その通り。。
ガンブラーが登場する3年以上前から24時間全プロセスの監視してて
見慣れないexe実行を実行した形跡はログに無かったから確定してる
>$axxxxxxxx=xxxxxx;
この伏せた部分はFTPのIDとパスワードなんだが
自分のじゃなくて同じ鯖を利用している他人のIDとパスだった
うちの鯖はFTPのIDが英字3文字+数字4桁で規則性があって、
例えば始めに登録した奴がabc0001ならその次にアカウント登録した奴はabc0002になるって感じの連番
さらにはパスが適当な5桁のものに一定期間ごとに変わる(セキュリティ対策)って仕様だから
総当たりでいけば比較的簡単にIDとパスがわかる。
そんで今回自分はその5桁のまま変更していなかったからパスも短ければIDも規則性で簡単に推測できるって鯖に進入されたってこと
放置サイトでも油断できないな
>>285 16日までゼロデイ脆弱性に怯えなきゃならんのか。
こないだ更新したばかりだというのに。
最終的にAdobeサイトも陥落したらどうなるの
>>287 Flashはもう10.0.45.2が出ているよ。
Readerの方は17日まで待ち。
あらadobeって10.1まで待てみたいな記事あったけど 10.0の方で修正してくれたんだ 早速更新しよう
>あら じゃねーよハゲ
ハ……ハハ禿ちゃうわ!
294 :
名無しさん@お腹いっぱい。 :2010/02/12(金) 13:57:37
情弱「死ねカス」
禿げって髪の毛一本もない状態から地肌がかすかに見えてる状態、 更にはかつらと分かる状態までを包含するスケーラビリティ高い単語やね
そう考えると…ハゲじゃない人ってそう多くもなさそうだな
おれはボーボーだ!!
>>283 whois ucom
めるぽ
whois ムームー
299 :
名無しさん@お腹いっぱい。 :2010/02/12(金) 16:21:14
オトクナツウハン!w
>>290 お〜、サンクスコ。
FLASHバージョンチェックの
下に表示されてる最新情報が
一つ前のままになってて
気がつかなかった。
aguse gatewayで感染サイトにアクセスしてしまった・・・アウトかな?
Flashを10.0.45.2にアップデートしてMyJVNチェッカでチェックしたら 最新じゃないって怒られた(´・ω・`) せめて登録されてるのよりバージョンが上なら最新扱いしようぜ
せーふ
良かった。。。
>>299 そのページの下から二番目のバーナーの会社経由で連絡を入れるそうです。。
せっかくボーボーの毛を燃しちゃうの?
禿 の ね た み か !
ver〜が更に難読化しちょります(汁; tp://www●rakushobito●jp/place .replace(/[・・・.replace(/[・・・.replace(/[・・・.replace(/[・・・.replace(/[・・・.replace(/[・・・.replace(/[・・・;var (;゚Д゚)・・・
いずれ正規コードと見分けることが限りなく困難になる予感
うわあなにそれ
>>311 旧バージョンから残った脆弱性+現バージョンの追加機能から発生する脆弱性があるわけだからな
それに修正したことで発生することもあるし完全にゼロにするのは不可能だよ
チェッカーも統合ってできないんですかね?
>>318 近いうちに統合します。
ただ、Gumblar.X Checkerのみ統合しない予定です。
ありがとうございます。期待してます。 aguseじゃでなかったりするし、いろんなチェッカーで調べるのが めんどかったので
>>322 お疲れ様です。
ありがとうございました。
チェッカーってどれ?
327 :
名無しさん@お腹いっぱい。 :2010/02/12(金) 21:33:01
>>320 ウエブ検査で[Gumblarの可能性あり]というのがサイトイメージ下部に出てますよ
Gatewayじゃでないですね
>>326 そこ3回目じゃん
サイトから駆除しただけで更新に使用しているPCから駆除できてないんじゃないのか
329 :
名無しさん@お腹いっぱい。 :2010/02/12(金) 21:48:17
lets-juken.comやっと死んだな。
www●in-service●jp/ googlのセーフブラウジングに引っかかるね
332 :
名無しさん@お腹いっぱい。 :2010/02/12(金) 22:30:28
>>331 www●in-service●jp/common●js
にGumblar.Xがかなり仕込まれてる
>>284 解説ありがとうございます。
少しだけ安心して、それ以上に怖くなった。
それ、もしかしてウチの職場が使ってる鯖と同じかな。
ランダムパスだから抜きにくいだろうけど、さらに複雑化してみる。
>>319 できればGumblarChecker 2を新型対応にする形で統合して欲しいなあ。
●をピリオドに自動置換する機能とか、使い勝手は3より2の方が優れているから。
本当にアドビとGumblar作ったやつと8080系作ったやつは死刑じゃ済まされないな
はい
Adobe以外のPDFソフトで感染したなんて人いるのかな
adobeはたかが更新するだけなのに わざわざ変なインストーラーをインスコさせようとするから腹立つ なにがgetplusだ
339 :
名無しさん@お腹いっぱい。 :2010/02/12(金) 23:38:48
>>338 「ご存知ですか?
Adobeの悪口を一度投稿するたびに金1万円の請求が届きます。
また、投稿を削除したとしても課金され支払う義務が発生します。
支払いを無視した暁には(ry」という謎のレスを創造した俺はきっと病気
HDD容量、比較的狙われにくいマイナーさからみて Foxit Reader、PDF X-change viewerに乗り換えた方が良いのだろうか
google docs
Foxitは軽いけど広告がウザイからお勧めしない
>>327 http:●www●rubbersoul.ne.jp/store/home.htm
ここがaguseじゃでないですね
チェッカー2だとでるんですが
>>343 あんな小さな広告も許せないお前は何使っても同じ。
>>349 >>1 *** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
>>349 bukatsu.com
2重感染
eishinyobikou
同じく2重観戦
両方とも8080タイプのように見える・・・
で。URLは危険だから、.を●とかに置き換えようね><;
なんかaguseで検出されないのが増えてきたような・・・ チェッカー2だと検出されるけど
aguseの中身はカスペルスキーなんだから新しい物は検出しなくて当然
検出されないの理解しました 再感染サイトも多いけど感染サイトを貼りまくってるのがいて困る・・・
>>348 だなあ…
アフィとかのバナーが貼られまくったサイトとか見に行っちゃったら憤死するんだろうな
361 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 10:06:12
www●goldlane●co●jp 再感染
>>361 復号に一部失敗していたので修正しました。
>>334 個人的にはGumblar Checker 3のコードの方がいじりやすいので多分Gumblar Checker 3を旧型8080系に対応する形で行くと思います。
●を自動変換する機能などは統合するまでには対応します。
>>361 210.172.138.224
GMOにつーほー
チェッカーは、3だけ使えばいいのかな?
>>371 これtってオリジナルのスクリプトのコードは表示できないの?
それを検体として送りたいので。
今は飛び先のチェックで抽出してるけど。
>>372 なるほど、もしかしたら誤検出する対策ソフト出るかもしれませんが実験してみます。
少々お待ちください
コード表示させるようにしてみました 改行処理は面倒なのでしてませんが・・・
VirusTotalでチェックした所一部誤検出する対策ソフトがあったので一回停止します
日本語ドメインにも対応してほしいです。 puniに変換するのめんど(ry
まんま表示させたら駄目だろwww
Gumblar Checker 3の作者さん。
Gumblar.X Checkerもそうだけど、アドレス入力ボックスにあらかじめ入力されている
http:// が
IE以外では意味ないのは仕様ですか?
>>379 今から組み込んでみます。少々お待ちください。
>>382 仕様ですがやっぱりアレなので変更しました。
日本語ドメインなんて使ってるやついるんだな
ごめんなさい、一応組み込んだんですが、今使用しているレン鯖が日本語ドメインをPunycodeに変換するモジュールが入ってないみたいなので対応できませんでした。
386 :
379 :2010/02/13(土) 18:23:05
>>385 わざわざありがとうございます。
とりあえず自分で変換して使ってみます。
387 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 18:47:41
388 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 18:54:41
www●bamu7●com www●camu7●com www●eamu7●com www●famu7●com www●gamu7●com こんなSEO目的の屑サイトが事態を悪くしている
391 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 19:24:16
断然 aguse
自前のgredよりカスペ頼りのaguseの方が優秀とは皮肉な
頼むぜ
>>395 index.phpが何故か消えてたので再アップしました
398 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 20:20:16
>>397 パスワードが割れてる予感
鯖管の悪戯か?
こえーよ 大丈夫かよ チェッカーでウイルス掛かるとかまじやだ・・
鯖のアンチウイルスが消したとか?
401 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 20:28:37
八苦されるようなチェッカーを作る奴は信用できない
レジストリチェックしましたが感染してないっぽです。
転送量や負荷をかけていると予告無しで消される、と規約にあるけどそれなのかな。
ファイルはすべてチェックしましたが感染しているとこはありませんでした。
次回も起きるようだったら鯖移転しようと思います。
>>400 もしかしたらそれかもしれないですね。
移転したほうがいいよ
404 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 20:50:29
うーん、もしかしたら鯖が暴走してるっぽい?
鯖が意思を持ち始めた スカイネットの誕生である
HAL2010
407 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 21:07:15
人生、宇宙、すべての答えは?
408 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 21:07:22
42
23
410 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 21:13:12
分かる人向けのネタ多すぎww
全然わからんなw 関係ないけど死んだら14に行くって事はちゃんと知ってる
412 :
名無しさん@お腹いっぱい。 :2010/02/13(土) 21:18:57
www●tanpopo-clinic●jp カスペが反応しないけど改ざんされている
チェッカーだと検出するね
>>417 Decryptor Generic (GJS063)感染
京都府立医科大学ねぇ〜
>>417 それと、URLはh抜きだけじゃ危ない
.を●にしれ
2009年第1回駿台全国模試理系学部合格目標ライン 前期日程 国語補正済み 80 ●東京大理V 79 78 ●京都大医 77 76 75 ●大阪大医 74 73 東京医科歯科大医 ←←←←←←←←←←←←←←←←←←←←←←←←←←←←←← 72 ●東北大医 千葉大医 ●九州大医 ●名古屋大医 71 70 京都府立医科大医 ★東京大理T 69 ●北海道大医 ★東京大理U 68 神戸大医 岡山大医 横浜市立大医 名古屋市立大医 大阪市立大医 67 新潟大医 金沢大医 滋賀医科大医 広島大医 熊本大医 奈良県立医科大医 ★京都大薬 66 三重大医 長崎大医 札幌医科大医 ★京都大理 65 群馬大医 浜松医科大医 山口大医 愛媛大医 和歌山県立医科大医 北海道大獣医 ★京都大物理工 64 富山大医 福井大医 岐阜大医 徳島大医 鹿児島大医 63 弘前大医 山形大医 山梨大医 信州大医 大分大医 九州大生命科学 ★京都大農 62 旭川医科大医 秋田大医 香川大医 琉球大医 福島県立医科大医 61 大阪大薬 東京農工大獣医 60 鳥取大医 佐賀大医 宮崎大医 東京医科歯科大歯 大阪大歯 帯広畜産獣医
矢印どうにかしてから貼れよ
ところで感染するとどうなるんだい?
どっちが?
425 :
418 :2010/02/13(土) 22:39:43
とりあえず大学だから連絡しておいた。
91●201●28●53/ztr/index.php?s=7a38815ea3cb6bf17d728f1d256da477 に飛ばされた その先はシラネ
サクラとかロリポップは連絡先がわかりやすいんだけど デジロックとかOCNってどこから通報したらいいんだ?
>429 なんで直接貼るの?
クソバカが!直リンするなって書いてあるだろうが!テンプレよく見ろクズ虫!
わざとだろ
h抜いてすらいないし
なんかどれも萌えキャラの名前みたいに見える
>>224 quake_vnb●rshu●ru/index_eng●html
再発
438 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 09:44:22
kasori●seikei-kai●or●jp
441 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 10:17:03
443 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 11:28:55
ちょっと前まで感染するとbase64で変換してPOSTでパスワード上げてたのに 最近は圧縮してんな、POSTで上げたり、SMTPで送ったりいろいろやってし。 だいぶ複雑になって来た。 俺と同じXPSP3使ってる奴は 最新のウィルス実行するとソフト全部最新にしても死ぬから気を付けろ。 まず実行されることはないと思うけど。
>>443 な・・・ん・・・だと・・・!?
XPSP3だと対策は現状無意味とでも言うのか?
これは7買えって言う事なのか・・・金ねぇよ・・・・・・
>>443 どういう事なの・・。
感染したサイト行ったりしたけど今のところ何の問題も無いぞ・・。
446 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 11:43:16
>>444 avast付けてここに出てるURL全部踏んでるけど
実行される前に止まってるから感染しない。
普通にやってる限りは止まってくれるんじゃないか?
すげぇー適当だけど。
>>446 いや、それで普通だからw
実行ファイルの実行場所がキャッシュやtempで、且つ明示的に実行した場合は
感染を防ぐのが難しいだけ
>>443 > 最新のウィルス実行すると
実行する前提ならソフトが最新かどうかなんて関係ないだろw
素人?
449 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 12:34:44
451 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 12:38:27
==========ここまで俺の自作自演==========
452 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 12:41:44
最近定義ファイルよりもヒューリスティックでブロックするケースが多くなってきた。 セキュリティソフト2本併走中 (定義2本 ヒューリスティック2本)
既出ご容赦&上の階層は調べてないのです(多すぎるから) tp://www●hondasanken●com/ tp://www●palmjp●com/index5●html tp://whitetiger●sakura●ne●jp ←大量装填中(笑) tp://bobobo●boom-k●com/poor-athlete-japan tp://www.goldlane●co●jp/utsunomiya/guide/index●html ←前科多数 tp://www●damu7●com/kaisiha tp://www●hondasanken●com/newhonda/rofty tp://soc●jpn●org/soc05/kyouju/kinter tp://www●shisetsu-sc●co●jp/c/cat23/01-4/cat29 tp://ai●hotel-saint-paul-saint-germain-paris●com/nomuikumou tp://viennaoptimist●org つーほー&検体提出ヨロ。 発掘作業に戻る......
>>449 それは法政大学社会学部公式サイトで今まで掲載された物を年度別に仕分けたページと思われる
上記公式サイト上からリンク有り
とにかく、どのHPもここんこチェッカーを通してからじゃないと アクセスできねぇよ。なんだよこの不安感。ブラスターで 攻撃されまくってた98時代を思い出す。ハンパネェ。
ブラスターなのに98???
>>456 乙です。
--
朝日オート(再再再再再再再再再再再再再再再再再再再再再・・・改竄)
tp://sunrise●2pg●in/
( ゚Д゚) <!--<script>-->
カスサイトは消滅してほしいのです・・・
>>460 ひでーな…もう行政指導か何かでもしないと直らないんじゃないか?
まあ行政指導する側もあんまり理解してなさそうだが
>>462 ソネットセキュリティのアドレスも書いた方がよくね?
とりあえずさくらたんとサイトの管理人にメールした。 whitetiger。sakura。ne。jp
gredもaguseも最近発見率が下がってる気がするのは俺だけか
466 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 15:00:28
こんな内容で送ってます〜。
感染している方々はPCに疎いことが考えられるんでチェックサービスでカスペルスキーなんて出たら「駆除済み」と思われかねないかと。
突然のメール失礼いたします。
わたくし●●と申します。
2010/2/13 21:00現在
貴サイトにおいて
「ガンブラー攻撃」に分類される疑いのあるスクリプト(HP用の命令文)を確認いたしております。
アクセス時はご注意ください
「
http://****.**.** 」
●以下のことが考えられます。
ホームページ管理を行っているパソコンがウイルスに感染。
(外注している場合、同一PCで製作している複数のホームページへ感染)
個人情報がインターネット上に流出している。
ホームページ訪問者への感染拡大。
至急対策を講じられますことをお奨めいたします。
●対策(可及的すみやかに)
@パソコンからのウイルス駆除
AWindowsなどのソフトウエアの更新
Bセキュリティソフトの導入
Cホームページパスワードの変更
Dウイルス感染告知の掲載&ホームページからのスクリプト除去(クリーニング)
ご自身で対応できない場合、【絶対に放置せず】詳しい方に対応してもらってください。
尚、既に対応済みであった場合はご容赦ください。
>>460 tp://s1●shard●jp/dreaming/mitubishiucar/index●html
こっちは気付いてないのかしらん
468 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 15:04:40
>>465 アグセ(ウエブのほう)は検出しなくても下部リンクに赤字でスクリプト記載がでますよ
亜種が多くてパターンファイル頼みじゃ限界の予感
>>467 Gumblar Checker 3で対応しました。
通報した人って返信メールとかお礼的なメールってもらって事ありますか? 連絡してもさっぱりどういう対応なのか分からない・・・
>>470 表示に問題ありませんでしたぁ〜(笑)
だいじょうぶですぅ〜
っていうアフェなのが来たことがあった。
その後鯖屋の手によって封鎖されたんだが…
>>472 やめろや
ちゃんとルール守ろうね
ママのおっぱいでも吸っとけば?
なんか法政大学に繋がるメールアドレスが見当たらないんだが・・・これは連絡は電話だけに限るってか・・・? whoisにも連絡出来るようなアドレス無いし・・・
>>467 スマソ・・・orz
トップページもオワタ
tp://s1●shard●jp/dreaming/
478 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 15:55:47
>>475 iwatsuki at k.hosei.ac.jp
480 :
472 :2010/02/14(日) 16:10:28
>>473 おまえさんのブラウザはスペースが入っててもリンクになるのかw
http //www.damu7●com/kaisiha/
デジロにも通報した
まぁ誤記防ぐような機能でURLにスペースあっても無視して繋げるようなブラウザは有ったようなないような
482 :
472 :2010/02/14(日) 16:14:11
そうなのか… だったらスマソ
FC2から注意しろってめーるが来た
484 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 16:53:12
めるぼしました
このスレだけで3回は見たわ
489 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 19:04:05
akrapovic●sakura●ne●jp/m06/ akrapovic●sakura●ne●jp/m08/ akrapovic●sakura●ne●jp/mr02/ akrapovic●sakura●ne●jp/mr07/ cocoro-dhp●sakura●ne●jp/
>>489 cocoro-dhp激しいなこれ・・・
何が混ざってるかもうわかんない><;
xn--oyr98sizl●xn--n8jmt0y●jp/index.html
aguseってJavaScriptを有効にしないと使えないのかよ。 一応対策としてJavaScript切ってんのに
まだ作った奴捕まってないのか?
>>496 大きな会社だから通報しますた
あの芸能事務所系だし…
>>499 小さい会社なら通報しないんか
うぜーなそういう奴
どんな性格がだいたいわかるわ
(キリッ
自分は何もしないくせに文句だけ言うんか うぜーなそういう奴 どんな性格がだいたいわかるわ
今日は食が進むわ
チキンうめwwww
チキン・・・・・・? チョコは?
チョコ? そんなもん金曜日に全部食べたわ 今年は8個 まぁまぁかな
***.249.123.1**様、***.97.205.1**様、***.200.38.**様、***.48.184.1**様
***.231.203.23*様、***.126.173.3*様、***.236.78.15*様、**.244.194.8*様
***.110.16.9*様、***.128.191.5*様、**.62.192.19*様
危険な中確かめに来ていただいてありがとうございました。
メールをくださった方、この度は連絡していただいてありがとうございました。
本当ならば、おひとりづつお礼のメールを差し上げたいのですが、
すでに連絡の取れなくなっているアドレス(捨てアド?)から送っていただいた方が
多いのでこちらでまとめて書かせていただきます。
一つだけ質問があるのですが、
>>492 様はどちらでこのページを見つけたのですか?
身内向けのページなので検索避けしてあったのですが…
>>507 ここに一部伏せたとはいえIP書くと脅してるみたい
509 :
507 :2010/02/14(日) 23:21:52
>>508 そうなんですか!?
2チャンネルはよくわからなくて…
こちらもメールで教えていただいたんです。
普通に考えてIPなんか晒されたくないよ なんで「連絡をくれた方々」じゃいけんかったんじゃ
なんだこいつ IPフェチか
( ´,_ゝ`) プッ
ウイルスに感染してメールが来て2chにお礼をしにきたら煽り入れられて・・・踏んだり蹴ったりですね 同情します
>>507 ,508
IP全部じゃなくて一部隠してる理由は何?
全部晒すのは良くないと思ってるからじゃないの?
よくわからないのなら全部晒せばいいだろうに
それらのIPが外部の者だとすぐにわかるってことは相当身内のみなんだろうな
>>492 以前のログが身内しかなければ身内による通報だってことだよ
直前にアクセスした人とは限らないが
>>507 分からないふりして恫喝しに来たんだろう。モロバレ。
>>507 どう見ても私のIPはいってます。本当にありがとうございました。
wgetしてるから危険も何もないんですけどねwww
>>507 親切で教えたのに何その態度
その身内全員ウィルスに感染してるかもしれないのでチェック忘れずに
>>一つだけ質問があるのですが、
>>492 様はどちらでこのページを見つけたのですか?
これが言いたかったわけね……
それよりもどんなウイルスを食らってるか心配したほうがいいと思う 管理者も閲覧者も
522 :
名無しさん@お腹いっぱい。 :2010/02/14(日) 23:53:28
523 :
507 :2010/02/14(日) 23:55:26
ええと… 本当にごめんなさい。 今、兄に代筆してもらい削除依頼をしてもらいました。 それとここに通報した人は兄でした。 ブックマークの中からみつけたそうです。 ごめんなさい。
感染したサイトのURLをリンク化させるなって人は とりあえず、Jane系のブラウザ使ってる人限定だけど <ex>.[tab]●[tab]msg[tab]<0>Web改竄ウイルス総合スレ [tab]はキーボードのタブキーを押してタブ文字を入れて これをReplaceStr.txtに追加してくれ そうすると、レス本文の中にあるコロンの文字が置換される StyleとNida向けにはスレのタイトルに”Web改竄ウイルス総合スレ”が含まれていると置換対象になる Viewだと置換対象のスレッドを特定することが難しいだろうから、他のスレに誤爆する可能性大 後、危険のない安全なサイトのURLにも誤爆するから、導入する人はそれを覚悟で頼む
>>525 公共のために言ってるんだからそういうことじゃないだろ
>>525 冒頭2行からしておかしいけど
・・・全てが狂ってる
>>525 対症療法としてはありだが、リンク自体を殺せと言ってるに等しい。
>>523 削除依頼をしても消されません。
発信者情報は削除要請では投稿した時に一部の人を除いて強制表示される仕組みです。
マナーの問題として善意でメールした人のアドレスを晒すのどうかとは思います。
531 :
名無しさん@お腹いっぱい。 :2010/02/15(月) 01:21:47
>>530 IPアドレスを晒しちゃ駄目なの?
全く問題無いだろ
全くってことはない
>>531 強制開示している掲示板もあります。しかし、それは投稿者が承知して書き込む前提です。
嫌なら書かなければ良いです。駄目とかでは無く530で言うようにマナーの問題です。
専ブラの場合、適当なテキストブラウザ入れてそのブラウザで開くようパスを指定すればいいんじゃないか。 テキストブラウザの設定もソースで開くにすれば即調査できる。
検索回避なんて 紳士協定ですからー
本気で回避したけりゃ 認証入れろってことだわな
まー認証入れてたら、入れる中から指摘するやつが現れないと発覚しないからな 気づいたときには全員感染済みとか有り得る
>>534 ルールを守れないアフォは来なくていいから
539 :
名無しさん@お腹いっぱい。 :2010/02/15(月) 12:46:17
>>470 >>471 外部からの指摘メールは余計な作業を増やす原因
と思っている方が多いようです。
返事やお礼なんか一切ないです。
・・・訂正 少し反応ありました。
「あんたのパソコンこわれてるんじゃないの?」
「外注先にまかせてるのでわかりません」
など
甚だしいのは
「みつけたんならなおしといて」
(T_T)
めるぽ人乙すぐる;;
>>539 聞く耳持たないクソ企業が損害受けるだけならザマーなんだけど
これはそうじゃないのがつらいとこだね。。
>>539 あんたのパソコンこわれているんじゃないのじゃねえよなw
あんたのサイトがみんなのパソコン壊してんのに。
鯖缶って馬鹿でも出来る職業なの
前スレだか前々スレに来てた鯖缶を見る限りはそうなんだろうなw
うん
相変わらずfile.exe 実行中に落ちるだけで感染せず・・・orz もうまんどくさくなってきたw
そういやSEOに関するHPもちょこちょこやられてるな。 SEO業者って案外PCに関する知識無いからな・・・ SEO業者って すごくきけん!!
SEO業者ってページ作ったらほったらかしなんじゃないの
>>551 なんで
>>550 が氏ねって言われないといけないんだよ
ドットは●に変換されてるぞ?まさか「-」まで●にしろとか基地外発言するんじゃないだろうな?
所で誰か法政大社会学部公式サイトの改ざんの連絡した奴いる?
>>547 探して貼るの面倒だが流れとしては
経費削減でパソコンに詳しいと思われて無理矢理サーバ管理者にされた聞くも涙な話があった。
と思ったらページ消されてた
>>449 該当ページの削除を確認
>>553 ttpが残ってると専ブラとかだとリンクになるからじゃないかな?
【8080系】 tp://www●midori-gourmet●com/mise/267_goose/index●html ←3発 tp://www●ananya●jp/index●html ←ぉ? 海外(検体取得に...) tp://jaguarracing●xf●cz/xmlrpc●php tp://mogulclub●com/BANDS_AND_GIGS/index_CIARA●html 崩壊サイトが多くなってきたー 【Gumblar】 tp://www●kiyasuisan●co●jp/ tp://www●tailor●co●jp/hs●html
だから専ブラで誤ってクリックしても大丈夫なように
>>534 の様な対策とれってことだな。
いくら言ってもドットは●に変換しない人が出てくるわけで。
www●luna-ashiya●jp/rental-studio/index●html www●scc●u-tokai●ac●jp/club/tennis/index●htm 前スレみれないから既出かどうか確認出来てませんが。 このスレも確認しましたけど見落としてるかも・・・
www だけでええやろ 俺が許すから
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
***
http://は不要 。 www からどうぞ。 俺が許すから ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
>>556 tpだけでもjaneはリンクにしてくれる
まあうっかり踏む奴も問題
>>417 と
>>496 封鎖確認
ところで、いつまで待っても対応しない奴ってIPAにも通報するべきか
意味ない?
>563 まぴょーん
対策済URL(●付き)にガタガタ文句を言う腰抜けは こ の ス レ に 来 る な !
tp://hoso●it-bunka●com/shinkansen/ DEBUG改
・このスレを見る ・うっかり踏む ・脆弱性を残したまま ・セキュリティーがうんこ これだけのバカしなければ被害も出ない。
素でVisualBasicかと思っt 宣伝力は業界1・2を争うくらいだと思うがセキュリティソフトとしては並くらい?
574 :
名無しさん@お腹いっぱい。 :2010/02/15(月) 19:06:10
VisualBasicの略だと思った俺死亡 自分で集めた検体を食わしたが...全く検出出来なかった VeryBaka
575 :
名無しさん@お腹いっぱい。 :2010/02/15(月) 19:13:08
マスターペニス
:::::::::::/ ヽ:::::::::::: :::::::::::| 糞 な ガ i:::::::::::: :::::::::::.ゝ だ ん ン ノ::::::::::: :::::::::::/ よ て ブ イ::::::::::::: ::::: | 。 ラ ゙i :::::: \_ | ,,-' ――--、..,ヽ__ _,,-'' :::::::,-‐、,‐、ヽ. )ノ _,,...- :::::_|/ 。|。ヽ|-i、 ∠_::::::::: /. ` ' ● ' ニ 、 ,-、ヽ|::::::::: ニ __l___ノ |・ | |, -、:: / ̄ _ | i ゚r ー' 6 |:: |( ̄`' )/ / ,.. i '- `ー---―' / '(__ ) ヽ 、 ====( i)==::::/ ,/ニニニ :/ ヽ:::i /;;;;;;;;;;;;;;;;
>>572-574 d、よくわかった。
次の更新の時avastに乗り換えるわ。
半年くらい先だけど。
バスター(笑)使ってるけど問題ないけどなー。 まー何のソフト使ってるかが問題っていうより意識の問題が重要かと
まったく検出しないからサクサク軽快です
panda使おうpanda
>>577 どれが大丈夫ってのは無いからよくわからないならそのまま同じのを使っていた方が無難
周りに流されていちいち対策ソフトを変えることに大きな意味はないし
素人が使い慣れないセキュリティ対策ソフトを使うことはマイナス要因にもなり得る
さらに無料製品は自分でなんとかできない人にはおすすめしない
結局は
>>578 のように各ソフトウェアの更新とかそういう対策が重要なだけだ
無料製品は自分でなんとかできない人にはおすすめしないって書いてるけど なんとかできないようなことってあるかな?
自分でなんとかするって何をなんとかするんだ
ケッコウ有る 日本語で電話のサポート受けられるのとは違うから
>>582 人によっては、何もしてないのこ壊れたふじこふじこ
という電話で出張サポートがきてくれるらしいぞ orz
サポート窓口がある会社の製品使ってるのに、 なぜか俺のところに問い合わせが来る件。
バスターさんはWinnyグループの一員だしなぁ
何でもかんでも先生つけるなよ 先生はノートンくらいだろ
590 :
名無しさん@お腹いっぱい。 :2010/02/15(月) 22:15:31
Google製のアンチウイルスはリリースされないのか? 検索サービスからウェブアルバム・IME・動画共有までなんでもござれのGoogleならやりかねん
Googleは基本的にWebサービスありきだからなあ クラウド型ならありなのかな そのへん買収か
movって拡張子のファイルは分からないけど rmって拡張子のファイルだとMedia Player Classicってやつで再生出来るかもよ?
チェッカーは携帯に対応してませんか?
携帯には感染しないと思います
誰か携帯でアクセスしてみてよ どうなるの?
597 :
名無しさん@お腹いっぱい。 :2010/02/15(月) 23:04:38
JavaScriptが動かないだろ フルブラウザはわからんが
598 :
名無しさん@お腹いっぱい。 :2010/02/15(月) 23:05:13
ガラゲー?
PCサイトビューアならJavaScript働いて.ruに飛ばされて…まぁどうせエラーとかだろ
JavaもないしAdobe Readerもないし、ましてやWindowsでもないから、転送されて文字表示されて終わり 逆に言えば感染専用機がなくてもケータイで感染してるか否かくらいは判別可能
www●lcd-repair●biz/pref/ このタイプ新型かな
603 :
名無しさん@お腹いっぱい。 :2010/02/15(月) 23:17:05
ガラパゴスゲータイ!!!
ガラバゴズゲーダイ!
>>602 飛ばされる先のURLにnicovideo.jpとか入っててワロタ
>>606 とうとうニコ動までやられたってことか?
>>606 ウイルス作者に認識されるようなサイトだったのかwww
>>606 全然詳しくないんだけど、以前楽天がやって問題になった
"ad4Uの隠しリンク"ってやつ?
>>607 , 609
//****.ru:8080/google.com/google.com/nicovideo.jp/torrentdownloads.net/fox.com/
デコード結果。
前もnikkansports.comとか入ってたこともあったな まぁこれで日本人がウィルスの作者だと決めるのは間違ってるだろうが
hekiru1985●fc2web●com/
>>613 どこが感染してるのか俺にはわからんのだが
Backlinks,
Norton Safe Web has analyzed hekiru1985●fc2web●com for safety and security problems. Below is a sample of the threats that were found.
fc2はブログとかでロック登録されているけどだからってこれを宣伝とは!w
620 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 09:33:56
マスターペニス
>>539 (´・ω・`)「Gumularで改竄されてるよ」
(゚ д ゚)「あんたのパソコンこわれてるんじゃないの?」
ワロタw
どこのお母さんだよ。
不埒なサイトはGoogleのブラックリスト行きにしたい
Adobe Readerバージョンアップまだぁ おせーぞ ゴラァ 氏ね 糞adobe
>>624 今夜〜明日ぐらいにパッチが出るんだってよ
AdobeもMSも寡占状態でやる気ねーんだろうなw
脆弱性のあるバージョンのAdobe Readerをダウンロード出来るようにしている 注意やとりあえずの回避方法もダウンロードページに示していない 企業としてこれはダメだろ
>>625 ほんとに怒りで足が震えてくる。adobeだけはぶっ潰さないと俺の気が静まらない。
あのMSでさえ、セキュリティホールがあれば下手に出てきて対応してるのに、
なんじゃこの企業は。
この際、もう好きにしてていいから、これ以上企業買収するな。毒をばら撒くな。
ウィルス作成者の狙いは怒りをアドビに向けさせることだったんだよ!
もしそうならウイルス作者応援してもいいw
そしてとばっちりを受けるマカフィー(インスコ時に無料スキャンが付いてくる関係で
うちの父親がガブラーで覚えてしまってて困る
633 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 14:46:49
>>631 え。あれはJwordとかaskツールバーと同じでチェックを外すのもインスコ作業のうちだろう
quake_vnb●rshu●ru/index_eng●html 再々再発 いい加減これはどうにかしないといかんざき
tpいらね とか書いてあったような気がしたから//〜にしておく -- 「不動産 久地|大生不動産」 //www●taisei-fudousan●co●jp/index●html //www●taisei-fudousan●co●jp/js/smartRollover●js //www●taisei-fudousan●co●jp/js/head●js チェッカーは3無反応、チェッカー2は一部コードに反応(スルー有)
ウイルス作ったり、最初にばらまくのって一人でやってるの?
>>637 8080系ドメインリスト確認機能が一部のページをチェックする際に動作しなくなっていたので修正しました。
チェッカー2&3がスルーするようになってしまた(危) //www●hervochapiteaux●be 国内・海外関係無く、最新型の陥落サイト掘ってくる
>>636 ,640
(636はとりあえず//www●taisei-fudousan●co●jp/index●htmlのみ)
対応しました。
640の複号がちょっとおかしいっぽいです。修正するので少々お待ちください。
っミ //www●midori-gourmet●com/mise/316_tresette ※www●midori-gourmet●com/mise/を消滅させないと・・ //www2●odn●ne●jp/2711726/style/index●html //ten-company●com/04office/index●html ←新旧混在 //nakahara-seitai●com ←最新型じゃないけど・・ 発掘中に遭遇した素晴ら(ry ***危険・アクセス注意*** usuarios●multimania●es/robney/main/baladas●php ・<script>functionが大量装填中 ・1390行目の<script>dLkpShsWFt= 〜 fMDB="fMDB";</script> ・1411行目に<!-- [ 733c67e5073afcc12142e02c28a1c256 ] -->
>>638 最近のはビジネス目的なんで集団でやってるとこが多いみたいです
アドレス怪しいのなんとかならんのか
>>648 凸完了
閉鎖して二度とnetに係わらないらしい
この人変w
「stylen.net」の検索結果
owner-contact: P-SEA182
owner-organization: Personal
owner-title: None
owner-fname: Shinji
owner-lname: Aoki
owner-street: Kameari 5-19-12 None
owner-city: Katusikaku
owner-state: Tokyo
owner-zip: 125-0061
owner-country: JP
owner-phone: 03-3606-1083
あー…
ん?
あーあ
>>651 お前・・・凸報告は良いがその下の検索結果はいらんだろ
削除依頼だせ
ん?どういうこと
うぼぁ・・・踏んでしまった・・・orz アバストが気味悪いファンファン鳴るサイレンとともにトロイを検知したんだが・・・ 下にはオンラインスキャナが何か見つけたって書いてた
モロに個人情報じゃねーか whoisで調べれば出るとはいえ
公開されている番号だな
>>651 馬鹿?
お前ネット初心者?
さっさと削除依頼だしてこい
661 :
657 :2010/02/16(火) 19:56:06
>>651 それ・・・完全に特定可能だぞ人物を
つかどーするよ・・・アバスト先生がトロイを見つけたって騒いでその中に接続を遮断ってのがあったから即押したが・・・
苦し紛れにスパイボットとウィルスバスターとアバストでPC内総点検するか・・・
諦めて再インストールしようぜ
ああ、個人情報か
個人情報晒しは殺人予告並に悪質ととられる 通報される前に削除以来を出しておけ
一般人のwhois晒すとか頭大丈夫か?w
//ad4u●jp/ml-arena/ 朝、avastが反応した
667 :
657 :2010/02/16(火) 20:10:58
>>662 再インストールなんて眼中にない
アバストはJS:Illredir-I [Trj]が某アドレスから検出されたって警告を出したみたい
これはガンブラー系亜種確定・・・?ご愁傷さまですか?
ちなみにバスターは無反応。今まではバスター入れてりゃ安心だって思ってたが以外と違うのかもしれん・・・・
(((((´;ω;)))))ガクガクブルブル
削除依頼しておいたよ
ついに逮捕者が・・・
>>668 余計なお世話です。
whois情報は誰でも確認できる後悔情報です。
ウイルスをばら撒き改善もせず、可笑しな主張をする方が一般人とは笑わせるんじゃありませんよ。
バスターってVeryBakaだろ…
>>667 所詮アンチウィルスなんてどれも後手後手の対応だからな
どんないいアンチウィルスでも予防注射程度に考えた方がいい
その理屈が取り締まり側に通用すればいいがな 悪気はなかった、しらなかったですまないのが最近のネット界
>>667 どのセキュリティ対策ソフトでも
それだけ入れてりゃ大丈夫なんてものはない
マジで再インストールした方がいい それでもやらないなら後は好きにしろ、俺は知らん
678 :
651 :2010/02/16(火) 20:26:46
ガンブラーに感染していると知らたにも係わらず 非礼な対応をし、HPを削除すればいいんだろみたいな方は 容赦しません。
679 :
657 :2010/02/16(火) 20:27:56
>>670 ありがとう。
>>4 >>6 確認したところ異常は無かった。
とりあえずアバストの検索終了待ち・・・・
で、晒した貴方が訴えられる可能性がありますがね その発言で故意という事が分かったし予告inやそれ系の外部の偽善サイトでターゲットにされても不思議じゃない
681 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 20:29:03
whoisで見えるから晒してもOK?馬鹿かこいつw
>>678 だいたい面倒なことになるし本人に直接いうのだるくね?
上を叩いた方が楽だと何度言えば
タウンページに載ってるのを晒してるのと一緒 あほすぎ
>>679 >>4 ,6が最新のものも同じである保障はないんで気休めにもならないよ
Avastが検出しきれるかも不明
687 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 20:33:35
誰でも自由に閲覧できる しかし、晒して良い情報ではない
どうなんだろうね
http://info.2ch.net/guide/adv.html 電話番号
電話番号は、一部伏字・それを示唆するような文字列・等でも、確認方法が
確立していない為に原則として全て削除対象です。
明らかに公的な物・投稿者がハンドルキャップ使用・文意によって
本人が公開したと判断できるもの・リンク先で確認できるもの・等は、
自己責任として削除されないことがあります。
面白いから通報というか某所に連絡しておいた しかし、およそセキュリティ板とは思えない輩だな ISPは登録者の個人情報を守る義務があるがそれは建前で悪い事をすれば普通に 開示するのでたかが2chのレスと侮るなかれ このスレは特にまともな部類だと思っていたんだが
そもそもセキュ板自体IDねえしなwまあIDなんて参考程度にしかならんが
>>651 これを代行したのだけど申し訳ないです。
いつもここを見ていたので何時もの連絡だと思って
詳細を確認せずに代行してしまいました。
すみませんでした。
693 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 20:40:15
whoisの情報なら公開しても良い? 何考えてんだwww 出直してこい
一般的な荒し(プロバイダ規制の温床)→実家に電話&AA含む2chのログを印刷して実家に送りつけてくる 個人情報晒し/殺人予告/爆破予告など支障をきたすもの→明確で悪質ととられた場合、逮捕も
通報したい奴は
>>675 のリモホを通報すればいいんじゃないかな。
とりあえず転載
996 [´・ω・`] EM114-48-20-216.pool.e-mobile.ne.jp [] 2010/02/16(火) 19:42:09 ID:lkIlsWkc
【依頼に関してのコメントなど】よろしくおねがいします
---------------------------------------------------------------------------
【*板名】セキュリティ
【*スレ名】【Gumblar/GENO】Web改竄ウイルス総合スレ5【8080】
【*スレのURL】
http://pc11.2ch.net/test/read.cgi/sec/1265387369/ 【名前欄】
【メール欄】sage
【*本文:この下にコピペして欲しい文を入れて下さい。以下を本文としてコピペします】
>>648 凸完了
閉鎖して二度とnetに係わらないらしい
この人変w
(以下略)
晒し君、火消し必死すなぁ 頭の中にウィルス感染したんじゃないの?
699 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 20:44:15
>>696 ならお前の氏名,住所,電話番号を掲載しろよ
>>697 馬鹿?
じゃあ明日公開されている個人情報をTシャツにプリントして歩き回れ
証拠もよろしくね
>>701 というか書けるなら代行使う必要無いよね
2件の外部サイトに連絡完了
706 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 20:48:02
晒し厨乙
>>698 火消しって意味分かる?
むしろそれは晒したお前の方じゃん
晒してる奴もウィルスと一緒だな
>>695 e-mobile規制されてるのか 何故だろう
711 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 20:50:52
まぁ、通報する奴は適当なとこに通報して 晒した奴はガクブルしてればいいんじゃね?
公開情報であろうともなかろうと、2chでは電話番号は削除対象だった希ガス
言い訳ワロタ
いつもの連絡だと思って代行してしまってすみませんでした。 昨夜殆ど寝て居ないので少し仮眠とりますが、また来ます。 この度は申し訳ありませんでした。
スレ伸びてるな。
人間て面白っ
719 :
651 :2010/02/16(火) 20:53:59
とりあえず、私が悪いと主張したいなら訴えれば? 私に非がない場合は、覚悟してねw
(キリッ
覚悟も何もルール違反に抵触しているから既に複数の外部に通達済
トリつけてよw それでまた今度書き込みにきてよ
公開情報だけど2chでは載せるの駄目なんでしょ。 なんでここまで荒れてるの・・・
725 :
657 :2010/02/16(火) 20:56:13
主に俺が感染サイト踏んだって騒いだのが原因orz
どう考えてもアウトだしトリとかつけれるわけ無いでしょ
セキュ板でこんなに笑う日がくるとは思わなかった
公開されてる電話番号は削除対象外です。
>>708 「自己責任」 として削除されないことがあります。
まぁ何かあれば責任とるんじゃないの?
>>651 がw
731 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 21:01:26
個人情報晒し乙
732 :
657 :2010/02/16(火) 21:01:51
>>730 PCの対策はしておいたけど心の対策なんてしてなかったから一瞬でテンパってしまったんよ・・・
飯だしこれでノ
ト、 ______)
「::::\┐ _,,. --──- 、..,,_ `ヽ. で 泣 も
r-‐'へ::::::::!_'´ __,,,,......,,,,,__ `ヽ、 ', す い う
>:、:;::::::>''"´ `"'' 、 ':, i. よ て や
└─ァ''" / `':., ',. !! る め
,:' / / ,' / ,' i. ', ':, i ',! i. |. 子 て
/ ,' .,'`メ、!,_,/ ./! 、i__,,!イ .|. i ,ゝ | |. も .下
,' i ,!/,.-ァー;' / !/ァ;ー'-r'、 ! /__」 | | い さ
i ! ハ!イ i `ハ i `'ハ Y/ i/ ; | |. る い
└'^iー! ,iヘ ':,_ン ':,__ン ノ!' | i. i ,' ん ! !
,:' .!.7,.,., ' .,.,., ,'! .! | |∠,_ ________
o ゜/ ,:'. ト、 r‐,-‐ ''"´`ヽ. / ; | ! ! `Y´ ̄
,' .// i. `i:.、.,!/ ,.イ,:' ,' | ,'i .|
レヘ_/ヽ. !ァ''"´ `ヾi、ー=''"/ヨ___,/、___!へr┘
/ ヾ!二へ/:::::ト,.-'‐'^ヽ,
,' ',l>く}:::7 rノ ,. '"´ ̄`ヽ. っ
K_ _,r-イYン/ムi:::::/ ,ノ´ /
>>651 ', っ
/Y>ベ´ '';:::::io:/ ,イ / !
,.:':::::ヽ、ン':, ヽ/ ,イ /゙,ー、,' 、 ,.-‐、,'
/:::/:::::::::::::::::ヽ. ' ,.;'ヾ/、/_/ノ ヽ. ヽ,/,.-‐'/
,く:::::::/::::::::::::::::::::::::`ヽ、___,.,.イi `'ー'^''‐'/ ヽ.,/ (___)
'´::ヽ`'::、::::::::::::::::::::::::::::::::/!::::::::::! ,' ,.:'"´
::::::::/`7::::`''r-::、:;_______/rL_,.イヽ. i _,. -‐''"´`ヽ /
::::::;'::::::!::::::::::';:::::::::::\:::::::::::::::::!:::::::':, ヽ、 ノ ノi
734 :
651 :2010/02/16(火) 21:04:31
「stylen.net」のAokiさんはnetには係わらないで下さい。 ご自分でおしゃったのですからね。
736 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 21:07:17
モラル低過ぎ セキュリティ板はこの程度なのか?
うんw
1件追加で計3件のサイトに連絡完了
自分はこれで満足したのでこれで退散
>>651 (笑)も程々にね
ト、 ______) 「::::\┐ _,,. --──- 、..,,_ `ヽ. で 泣 も r-‐'へ::::::::!_'´ __,,,,......,,,,,__ `ヽ、 ', す い う > :、:;::::::>''"´ `"'' 、 ':, i. よ て や └─ァ''" / `':., ',. !! る め ,:' / / ,' / ,' i. ', ':, i ',! i. |. 子 て / ,' .,'`メ、!,_,/ ./! 、i__,,!イ .|. i ,ゝ | |. も .下 ,' i ,!/,.-ァー;' / !/ァ;ー'-r'、 ! /__」 | | い さ i ! ハ!イ i `ハ i `'ハ Y/ i/ ; | |. る い └'^iー! ,iヘ ':,_ン ':,__ン ノ!' | i. i ,' ん ! ! ,:' .!.7,.,., ' .,.,., ,'! .! | |∠,_ ________ o ゜/ ,:'. ト、 r‐,-‐ ''"´`ヽ. / ; | ! ! `Y´ ̄ ,' .// i. `i:.、.,!/ ,.イ,:' ,' | ,'i .| レヘ_/ヽ. !ァ''"´ `ヾi、ー=''"/ヨ___,/、___!へr三/) (ヽ三/) )) / ヾ!二へ/:::::ト,.-'‐'^ヽ(((i ) ___ ( i))) ,' ',l>く}:::7 rノ/ / \ ヽ \ K_ _,r-イYン/ムi:::::/ ,ノ´く / (●) (●) \ > ) /Y>ベ´ '';:::::io:/ ,イ\ `/::::::⌒(__人__)⌒:::::\' / ,.:':::::ヽ、ン':, ヽ/ ,イ /゙,ー、 |  ̄ |/ /:::/:::::::::::::::::ヽ. ' ,.;'ヾ/、/_/ノ \ / ,く:::::::/::::::::::::::::::::::::`ヽ、___,.,.イi `'ー'^''‐'/ \ :::::/
ID出れば多少はマシになるんだろうが…
P2で自演するの楽しい
742 :
名無しさん@お腹いっぱい。 :2010/02/16(火) 21:12:58
これでも去年の腐れ女子騒動の時よりはマシだという
他のスレから拝借したのを改造したけどこれでいけるか? このスレのリンクを無効化するReplaceStr <rx>[TAB]h?t?tps?://()[TAB]<font color="red">【リンク無効化】</font> $1[TAB]msg[TAB]<0>【Gumblar/GENO】Web改竄ウイルス総合スレ
www.midori-gourmet●com/mise/267_goose/index●html なんか怪しいリンクが貼られてたんですけど・・・チェッカーやaguse じゃ反応なかったんですけど、どうですか?
点はもう一個あるぞ
ごめん、気がつかなかった。反省です。
>>725 全然関係ないよ
自意識過剰にもほどがある
だまってOSいれなおせ
今のFlashの最新バージョンって10,0,45,2でいいんかな? Adobeの最新版のリストが10.0.42.34ってなってるんだけど。
12日に来たばっかりだしそれが最新だろ
不正アクセスしてくるIPを晒すスレPart12 ↑ こんなんとかいいのか? 本当に不正アクセスがあったのかわからんのに Whoisの情報バンバン張りつけてるぞ!
今更自己弁護とかいいから 正しいと思ってやったんなら同類を探すこと無いだろ
758 :
757 :2010/02/16(火) 22:14:08
間違えた、リストに最新版が無いって話か
>>752 最新版がインストールされない不具合ってもの聞いたけど・・・
その場合は一度アンインストールしないと駄目らしい。
>>756 自分は、表示されるヴァージョンが前のなってるけど
プログラムの追加と削除からプロパティでみると最新なんだよね・・・
インストールやり直したほうがいいかな?
まさしく dll hell だな。 マニュアルでdllをコピーとかしていたんじゃねーの
どうしたらいいの・・・・
分かりました。試してみます。IEは、なぜかバージョンが表示されない・・・
なんかスレが伸びてると思ったら… 公開情報の何がいけないのか教えてはくれまいか?マジで。
>>発掘屋たん www●midori-gourmet●com/mise/316_tresette これは別に何もなくね?
>>766 Gumblarに感染してここに来た新参が同病相哀れむ的に火病ってるだけ
だんだんコードがながくなってきたんだね、 新しいコードは何がなんだかわからん。
コードが高度になってきたな
しんぎきょひ
>>771 去年の4〜5月あたりから出て一年近くになるけど一向に落ち着く気配が無いような気がする
コードがこーどになってきたな…
このウイルス作って広めたやつ 普通に処刑されるだけじゃ済まされないだろうな 刑務所で半永久的に拷問を受けるとか 死んだ方がマシなレベルの罰と苦痛を与えられそうだ
そんなふうにならんからはびこってるのに……
一体何処の国ならそんなことになるんだw
783 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 01:20:08
>>781 ロシアです♪
と言いたいところだが本当だ。
当時はピンサロ平塚ジャンジャンが有名で
ロシア人とのハーフである光月夜也のまんまんを
ペロンペロンに舐めまくっていた。
ボーッとしてると従業員に「お客さんちゃんと舐めてくださいよ」と
叱られた記憶もある。
花びら3回転だったしもちろん生尺。
近所の紅花という定食屋でサインを貰おうとした記憶がある。
>>784 URLを投下した時は8080のコードがあったから
改竄→修正→再改竄・・・を繰り返してると思う(Google先生が激怒してるし)
>>785 分かりました。先生激怒してるってどうやって見たらいいのかな?
>>786 そこのページを含むドメインにGoogle検索から行けばいい。
「緑区料飲組合」で検索すればおk。
もしくはFirefoxとかのセーフブラウジングのデータを内蔵しているブラウザでアクセスしてもいい。
788 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 03:20:06
直リンバーカ!
ウィルス直リンは荒し区分に入り、通報対象
Adobe Reader 9.3.1 Adobe Reader Plugin 9.3.0.148
スクリプトに 2ch-net が入ってるじゃん。 ニコ動といい、 このスレ見にきてるだろ。作った奴。 ほくそ笑んでんじゃんぇーぞ。
そういや・・・法政の8080は除去されたけど消して何も無かった事にしてるような・・・まぁいいか
795 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 09:24:27
www●tatsumi-elec●co●jp
IEじゃなければ機能しないみたいだからFirefox使いなら無用の長物だな
798 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 09:49:58
799 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 09:50:44
↑ ごめんURLそのまま貼ってしまった
>>801 PhishWallがいち早く改ざんアラートを出すらしいし
設定によってはメンテナンス画面に切り替えてアクセス不能にするらしい
これらがちゃんと機能するなら問題なさそうだが…
>>802 語弊があるけど、もとから改ざんされていたら検知できないよな。
そんなマイナーなものまで導入しているサイトより バージョンアップすらしない危機管理できないサイトが 圧倒的に改竄されているのが現実。
>>798 32bit OSのみ対応だってさ Orz
どーでもいいけど詐欺wallってネーミングなんかにどーしてしたんだろう 一瞬マルウェア食わせるフェイクセキュリティソフトかと思った
807 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 12:28:26
www●shindaihome●com またスクリプト変わってない?
>>806 ファイアウォール 炎を防ぐ壁
フィッシュウォール フィッシングを防ぐ壁
詐欺ウォール 詐欺を防ぐ壁
センスのなさに異存はないぞ。
www●momo-food●co●jp/index●html ここも新コードに変わってますね VirusTotal無反応
JavaScriptのコードの書き方は無限にあるといえる。 コードのパターンマッチングなぞ意味をなさない。 砂場で実行してみるしか手はないのでは。
○砂箱 ×砂場 だろJK
812 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 13:26:29
連絡しても対処しない。 こんなさいときりがない dagaya●arigatougozaimasu-jp●com
感染しました かろうじて動いています
814 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 13:34:57
>>809 スクリプトは記述あるけどウイルス本体につながってない予感
ESET
AVIRA
いずれもヒューリスティックレベルを高くしてる
でも無反応
一時フォルダをオンラインスキャンしても検出なし
>>814 ソースを見て、スクリプト=感染の危険性という判断のみで
書き込みましたが、種なしというオチは想定してませんでしたw
わざわざ確認していただいてすいません
ソース内にvarが50以上あるものすべて怪しい って判断で十分なきがするんだが
http://wikimedia-org ●meetup●com●dailymotion-com●recentmexico●ru:8080/nifty●com/nifty●com/alot●com/google●com/mozilla●com/
http://sina-com-cn ●pornorama●com●webmasterworld-com●livesitedesign●ru:8080/google●com/google●com/google●dk/wellsfargo●com/guardian●co●uk/
momoのサイトのJavascriptの指定先?
毎日違うfile.exeがDLされるが、相変わらず感染しない件w あと、ここで新たに報告されてるやられたサイトのjavascriptもほとんど動作していない件ww スクリプトが埋め込まれた時点で対策必須だから、動作しないサイトは不幸中の幸いだねw
821 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 15:19:10
古いスクリプトだけど info0825●com
マスターペニス
>823 おいカス PCぶっ壊れたぞ如何してくれんだ氏ね
>>651 まだ消えていないのか
いい加減消してやれよ
また火狐野郎がてきとうぶっこいてるのか Macつかえ
こMaった
Pegel葉山
直リンすんなバカ
>>811 sandboxの訳は砂場でもあってるので間違いじゃない
834 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 17:44:09
835 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 17:45:02
見せしめのために運営に言っておいたほうがいいな 直リン基地外うざす
>>830 sR=の後に大量に並んでる数字はなんなんだ
>>830 http://freelotto-com ●cdiscount●com●bloomberg-com●livesitedesign●ru:8080/cncmax●cn/cncmax●cn/google●ae/wp●pl/google●com/
を流していた。
"replace(/ホニャララ/, '')" だらけだった(検出の一つの目安にはなった)のが、 難読化用の文字列置換関数を独自に書き始めたんだね。 この関数部分はそれこそどうとでも書ける(パターンが存在しない)し、 もはやパターンマッチングによる検出は限界にきてると思うよ。
//kabuto●bz/digitalgirl/talentlist/index●html <script>function ←(゚∀゚)!! www●fx-dealer●jp/qa/index●html <script>function = 8080系 でおk?
>>841 実行した結果で判断すればおkだろ
tracemonkeyやv8辺りにスクリプトを突っ込んで実行結果をチェック
だからそれってパターンマッチによる検出は限界きてるってことじゃね?
チェッカーの中の人はどう実装すんのかな
うーん、これはphpでの復号は難しそうな予感。 検出は簡単に出来ると思いますが・・・
ウィルス作者がニヤニヤしてチェッカーの対応を見守っていたりして
改ざんするならせめて親切に <gumblar>...</gumblar> タグで囲んでほしいよな
作者死ね
>>842 の上の方
複号が変なところなので修正します。
>>840 対応してみます。
ただ、復号が無理っぽそうです
壷とかニコニコもそろそろヤバそうだな… もう完全に目付けられてんじゃん
856 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 19:08:25
gumblarウイルス蔓延でウハウハなひとはだれですか?
ここの住人
859 :
修正 :2010/02/17(水) 19:13:25
>>855 >改竄されて否かいるかなのです。
改竄されているか否かなのです。
ww
修正申告がなかったらミスタイプに気付かなかった俺 人間って前後関係から勝手に脳内修正して普通に読んじゃうんだな
表面的なパターン検索してるだけのちぇっカなんぞ
http://lowes-com ●aebn●net●youku-com●sitemape●ru:8080/play●com/play●com/masrawy●com/google●com/verizonwireless●com/
作者には、:8080 以降のドメイン風パスに /pc11.2ch.net/test/read.cgi/sec/1265387369/ を含めるくらいの茶目っ気が欲しいところだね。
どゆこと? ("oogelgoc.m", [2,1,0]) googel.com
>>862 こうなの?
("omcsi.emtpearu.80:80", [2,0,1])
com●sitemape●ru:8080
作者が独自に実装したデコード関数だろ デコード前の文字列、構成文字の順序が それほど大きく入れ替わってるわけでもないので じっと見てると脳内デコード出来るけどなw
感染確認・駆除ツールって同じメーカーのアンチウィルスソフト入れないと動作しない? トレンドマイクロオンラインスキャン使う場合 ウイルスバスター必須あるいはavast、MSE等との競合の恐れありとか
配列を使って入れ替えているだけで独自でも何でもないよ
jane styleで使えるGumblar Checker 3のコマンド教えてくれ
URLを右クリックしてGumblar Checker 3をクリックする
ウィルスサイトを貼り付けてる人を通報するのは、どうしたら良い? ここのスレじゃないんだけどさ。スレ違いでごめん
F("string", [2, 0, 1]) 系のデコード関数は、解読する気力を萎えさせる為に デコード処理に全く関係のない無意味な処理がゴマンと記述してある。 で、ゴミを削ぎ落とした実態がコレ↓だね。 function F(str, arr) { var strlen = str.length; var arrlen = arr.length; var p = ""; for (var i = 0; i < strlen; i += arrlen) { var s = str.substr(i, arrlen); if (s.length == arrlen) for (var j in arr) p += s.substr(arr[j], 1); else p += s; } return p; } 要は、str を頭から順に配列 arr の長さ分ずつ切り出し、 切り出されたそれら各部分文字列について、 その構成文字を arr の要素に合わせて並べ替えているんだな。 (配列の長さ分に満たない切れ端は、並べ替えないでそのまま使う)
("oogelgoc.m", [2,1,0]) ↓ oog elg oc. m 210 210 210 ↓ goo gle .co m ↓ google.com というわけか
ちょっと違う。(その例の場合はたまたま最終的に一致する) oog elg oc. m 012 012 012 というふうにまずは各部分文字列(の構成文字)に自然に付番して、 それを arr の要素の並び(今の場合 2,1,0)順に抽出していく。
Gumblar亜種に代わって今度は「Pegel」が拡大:カスペルスキー警告
http://japan.cnet.com/news/sec/story/0,2000056024,20408679,00.htm Kaspersky Labs Japan(カスペルスキー)は2月16日、「Gumblar」の亜種に代わって
「Pegel(ピーゲル)」による日本国内の大手企業ウェブサイト感染を確認したと発表した。
感染後の対策が十分に取られていないケースも見られるという。
Gumblar亜種と同様にウェブ誘導型のマルウェアであるPegelは、改ざんされた正規のウェブサイトを閲覧したユーザーを
ru:8080などの不正サイトに誘導する。
改ざんで正規のウェブページが感染源になってしまう点、そのウェブサイトにアクセスしたPCが
不正プログラムに感染させられ、新たな感染源となって2次、3次の被害が拡大し続ける点が特徴としている。
Pegelの攻撃は、正規のウェブサイトが改ざんされ、不正ページへリダイレクトするスクリプトが埋め込まれているために
閲覧するユーザーは表面上の変化を感じられず知らない間に感染の危険性に晒されることになる。
また、さまざまなマルウェアのダウンロードが次々に試みられる可能性もあるため
カスペルスキーでは感染が確認された場合、OSの再インストールを勧めている。
877 :
名無しさん@お腹いっぱい。 :2010/02/17(水) 22:25:41
もうさ、JavaScriptすらいらないシンプルなウェブに回帰しようよ パトラッシュ、僕もう疲れたよ・・・
【Gumblar/Pegel】Web改竄ウイルス総合スレ6【8080/GENO】
>>879 俺もだよ…
いつになったらこんなこと終わるんだ…
つーかさっさと作者を捕まえろよ無能警察が!
>>881 国内に作成者がいるとでもおもってんの?
カスペは何故、Pegelと命名したのか。 GENOから尾長いされたか?
誰かFirefoxかIEでjavascriptを通常は使用せずに例外等で登録されたページのみ使用するようなアドオン知らない?
光月夜也>>>>>佐々木希
作者のプロファイル。 はじめは2人か3人でVirusの作り拡散させたが現在は1人。 日本語がなんとかわかるか、もしくは、日本語を解する複数のオタク系友人がいる。 留学生の可能性があり、素人童貞である。
犯人は20代から30代、もしくは40代から60代 パソコンのプログラミングに詳しい男性あるいは女性
>>886 >>留学生の可能性があり、素人童貞である。
素人童貞の根拠は?
投下 //www●hikky-country●net/cgi/ftb/index●htm
これってサイトから感染する以外の経路はあるの? 例えばメールによるファイルのやりとりとか…
また火狐野朗が自演してるのか のうすくりぷとすごいですね
脆弱ふさいどきゃ平気
>>894 22:59:08から約5分か
さすがだな
わたしなどまだまだです
多くは異性との性交渉で感染します
なんだ、なら俺は大丈夫だ。
同性もダメ
ぬこもダメ
>>882 思ってねーよ
そいつがいる国の警察だよ
ピーゲルって名前になったのか
>>889 それはGENOウィルスの時に一度入れて使ってみたけど使い心地が悪かった
と言うか例外サイト登録できたっけそれ?
できなきゃわざわざ使う意味ないじゃん
↓火狐野郎がどうのこうの
>>903 その国に取り締まる法律があるかわからんのに
なんで警察が動くって思えるの?
こまけー人だね
小学生みたいな質問だな 先生に何でもかんでも質問攻め
火狐野郎がどうのこうの
目には目を歯には歯を、を地でいくような国の人間が犯人だと 刑罰はPCにウイルス植え付けられて終わりなのかなw
PC破壊じゃね? で、破壊されたゴミを一かけらも残さず持ち帰らせると
答えになってねえw
別にアドオンとか使わなくても、IEもFirefoxも本体機能だけで
>>884 の望む動作は可能だけど
使い心地がどうのとか返される可能性が高いと思えたので答えるのはやめておく。
使い心地とか言われてもな
どうしても安全性とはトレードオフになってしまうんだがな
どうでもいいから巣でブラウザ戦争しろよ
感染確認でググッたら、 Cドライブの「sqlsodbc.chm」というファイルを検索して下さい。 ファイルのサイズが「50,727バイト」になっていたら正常です。 GENOウイルスに感染していると、ファイル容量が異なります。 ※ファイル内容が書き換えられているため。 とあったので調べたらそれよりサイズ小さかったから、 やばいと思ってマカフィーで調べたら問題なかった ファイルが小さいのはなんでだろう
あっすくされてるんじゃね
(VДV)ブアハハハハハハハハハハハハハハハハハハハハハハハハハハハハハッハハー! 2010年に入ってからもう云万人に踏ませたぜーい:(>w<):踏んだ奴らざまぁああっぁぁ!
そんな行く先々で足蹴にされているのか まぁ何だ、強く生きろ
Adobe Flash Playerの更新キタっぽい?
こないね16日って言うのは記事の間違いじゃないか それらしいことadobeのサイトに書いてあるの見つからなかったけど
そのアップデートって言うのは すでにリリースされてる10.0.45.2のことだろ 16日に修正されるというのは訳の間違いっぽい 元の文もはっきりしないが
12日…Flash Player 10.0.45.2およびAdobe AIR 1.5.3.1930 16日…Adobe Reader と Adobe Acrobat の 9.3.1/8.2.1 じゃないの?
(VдV)安心せい 俺様は一人じゃない 沢山いる
今、Adobe Flash Playerしたところだ
田舎イルカ!
Adobe Readerアップデートするたびにスタートアップに登録するのやめて欲しいわ
毎度。 sqript●net ← indexが改ざん t-station●tv ← indexが読み込むjsファイルが改ざん もう疲れたよ…
938 :
名無しさん@お腹いっぱい。 :2010/02/18(木) 12:59:51
www●atam37●com www●bamu7●com www●camu7●com www●eamu7●com www●famu7●com www●gamu7●com www●tako45●com デジロックは通報しても全く止まらない
デジロのサポートは崩壊状態だからな
941 :
名無しさん@お腹いっぱい。 :2010/02/18(木) 15:24:43
http:// ●opi.dtiblog.●com/blog-entry-5028.●html
これは大丈夫ですか?
このスレでむやみにURL開くバカはいないから普通に貼っていいよ 俺が許可する( ´,дゝ`)
ここやられてる疑いがあるんだが www●candyfruit●com
>>938 デジロックのサポートをあてにしてはいけない
最近file.exeは凄いな。 完全にラスボス化して来た。 あらゆるウイルスをくっつけて見ました。的状態になってるし。 感染隠す気もゼロだよ。 「your system is infected!」ってデカデカ書かれた背景に変わり、 インチキソフトが勝手にウイルス検索し始めて、インチキサイトに誘導して クレジットのカードナンバーゲットしようとしてたり。 buy-security-essentials●com 作ってる本人が面白くなって来たんだろうな。 実用性ゼロの作品になってる。
> ここやられてる疑いがあるんだが なんでそう思うのか具体的に
判定スレじゃねえっつってんのに
こういう奴はいずれ功名心が仇となって足がつく。
952 :
名無しさん@お腹いっぱい。 :2010/02/18(木) 17:14:25
シナ人だろJK
955 :
名無しさん@お腹いっぱい。 :2010/02/18(木) 17:23:53
www●sira036●com www●curry-dream●com 34di●mecha-kawa●com www●dgnx●net coolfocus●jp/seminar/heartful デジロック
>>941 ●の正しい使い方を覚えて出直してきてね。
957 :
名無しさん@お腹いっぱい。 :2010/02/18(木) 17:34:25
>>949 別のスレでガンブラーにやられたって聞いたんだ
で、告知してなかったって…
とりあえず1コ投下 //www●tako45●com/netu/ 新スレまだー?
>>958 別スレは信用せずにここのスレは信用すんの?
>>962 Gubmler攻撃で使用された転送先不正Webサイトのうちの実に96%を検出し、アクセスをブロックすることが可能だったという実績を上げている(2009年11月のデータ)。
>(2009年11月のデータ)。
年明けからいろいろ変ったよねー?
ヽ(VдV)ノ今度受験生に踏ませてみようっと♪
テンプレ最低限のしか書いてないから、あとの補足をよろしく たぶん変更点もあるだろうし そしてChecker 3 のhを抜き忘れたorz では、通報作業に戻りまつ ノ
OpenOfficeにJRE版があるんだけど使わない方がいいの?
テンプレはこんだけでいいよ
>>963 Gumblar.xが攻撃を停止してたときのデータじゃね?
>>968 JRE版なんかない。ダウンロードページをよく読め
>>968 JAVA無しだとごく一部の機能が使えなくなるな。
まあ、普通に表計算するだけなら要らないよ。
マクロとか使ってドップリ使うならJREもいれとかないとダメ。
>>963 この手の攻撃は「100%」防げないと無意味
そろそろ寝ようかって思ってた時に、アバストがJS:Illredir-R [Trj]の警告を出してきて いろいろやっててこんな時間になったよ とりあえずテンプレに書いてくれてることをやって アバストのスキャン→シマンテックのオンラインスキャン→アバストのブートタイム検査をして パケットの動作状況の監視をしばらくやって、勝手な通信はしてないことは確認できたけど まだ不安でたまらんわ こんなウィルスを作った奴は前身からスルメ臭がするようになっちまえ
>>974 avastは去年発狂してから使ってないけど最近はだいじょうぶなの?
今はAvira使ってるけど仕事してるのかわからないくらいおとなしいんだけど・・・。
IEに「同期」ってあるけど、 ウイルス検出ソフトを導入しているPCで WEBサイトが感染しているかどうか判断する時 WEBサイトを「同期」でリンク先も含めテンポラリにキャプチャして テンポラリをウイルス検出ソフトでチェック、 検出されたら感染サイト!という判定でおk?
Adobe Flash Player 10.0.45.2
978 :
名無しさん@お腹いっぱい。 :2010/02/19(金) 09:53:46
hout●kanji2003●com
>>974 >まだ不安でたまらんわ
(VДV)ブハハハハハ!!!
ざまーみろ情弱死ね!(>w<)!笑えるwwwwwwwww
ウィルスに感染してしまうようなお前が低脳なだけ
(VДV)その不安が原因で癌細胞増やしてさっさと死ねっ!!!!!
こうやってただでさえ不安とイライラで胸いっぱいの人間に 更に止めを刺すのって楽しいよね(*VдV*)ウフフフフフフフフwwww
981 :
名無しさん@お腹いっぱい。 :2010/02/19(金) 10:13:01
www●win-win777●com hanahaitatsu●com
982 :
名無しさん@お腹いっぱい。 :2010/02/19(金) 16:29:13
おまえら勢いが足りないぞ
オンラインスキャンしようとすると 正しく機能しないアドオンまたは悪意のあるアドオンが存在するため、Internet Explorer はこの Web ページを閉じました。 って言われるんだが、なぜ? どこのも出来ない
>>938 サポート掲示板に書き込みが無くなり
サポートメール打ってもテンプレしか返ってこず
クラックされても不具合あっても鯖のデータ飛んでも対応が1週間以上経ってからとかデフォ
でも値段が安いのにデータベースの数やマルチドメインやら
スペックが非常に高いので他の鯖屋に移れない
ホントxreaとcoreserverは地獄だぜぇ〜フゥゥハァァァァァ〜
毎度。 www●geocities●jp/agasa21inc/ Avast!で検出できた
なんかたびたび消えてたとか○○になってたとかあるんだけど……
>>988 ちょっと意味が分かりにくかったですね、すいません。
正しくは動作「していなかった」です。
ちなみにこれは自分のコード記述ミスです。
ガンブラー感染するとどんな症状出る? オンラインスキャン出来ないわ
ソフマップ.comのトップページに 「ガンブラー対策なら”防御力No.1”の実力!「ウイルスバスター2010」がおすすめです!」 って書いてあった。
995 :
名無しさん@お腹いっぱい。 :2010/02/19(金) 18:25:19
>>993 ガンブラーウイルスをもらっても
別に駆除しなくても平気だと聞きましたから
どうってことないですよ
どうせ2ちゃん専用パソコンなんでしょ
996
997 :
名無しさん@お腹いっぱい。 :2010/02/19(金) 18:43:33
997
998 :
名無しさん@お腹いっぱい。 :2010/02/19(金) 18:52:12
998
ガンブラーなんて怖くないもん
999
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。