【Gumblar/GENO】Web改竄ウイルス総合スレ7【8080】
>>573 もう修正されてるお。
Last-Modified: Mon, 05 Apr 2010 11:44:28 GMT
575 :
571 :2010/04/05(月) 23:16:41
>>572 いま行ったら消えてた。
「人間性を備えた技術集団」を目指すと、改竄は告知なしのこっそり修正になるのか。
胸が熱くなるな。
まだある Firefoxでwww●digital-as●co●jp/service/index●html ソースの14行目の/shared/openwin.jsをクリック ページをコピペしてvirustotalに投げてみそ
579 :
576 :2010/04/06(火) 01:01:28
>>580 × File www.digital-as.co.jp.openwin.js received on 2010.04.05 08:39:19 (UTC)
○ File www.digital-as.co.jp.openwin.js received on 2010.04.05 16:03:49 (UTC)
相変わらずavastは頑張ってますな ありがたやありがたや
>>584 >>566 さんとは別に漏れもめるぽした時にセキュリティ通信のそのアドレスも含めて送ったお。
toで同時に送ったCPIからは返事きてた。
JPCERT/CCにはccで同時に送ったお。
デジタルアソシエーション 株式会社 にはせめてIPAに自社のホームページが改竄を受けてトロイをばら撒いていたことを自己申告してほしい。
γ⌒ヽ
< ・、,,,;;,) ハ,,..,,ハ
< つ=つ /;;・ω・;;ヽ
ノ ノ三) (;( ^^^ );)
∠、 m)=m) `'ー---‐´
いかんな、もう修正されたしいい加減スルーするとこだけど
>>565 だからなぁ…
>>585 【主な取引先】
NECシステムテクノロジー株式会社
株式会社NTTデータアウラ
株式会社NTTデータ関西
株式会社大阪第一食糧
京セラ コミュニケーションシステム株式会社
スミセイ情報システム株式会社
住友化学システムサービス株式会社
デジタルプロセス株式会社
ニッセイ情報テクノロジー株式会社
日本電話施設株式会社
パナソニックAVCマルチメディアソフト株式会社
株式会社日立システムアンドサービス
株式会社富士通九州システムズ
富士通テン株式会社
富士電機ITセンター株式会社
三井情報株式会社
安川情報システム株式会社
日本アイ・ビー・エム株式会社
みずほ銀行
三井住友銀行
りそな銀行
上記の企業を相手に商売してて「逃げ(告知無し)」がバレたら
倒産フラグ成立間違いなしだろうなw
>>586 どうせ特定派遣で人材出してるだけだろうから
派遣されてるヤツが派遣先で問題起こしたとかじゃなければあんまり影響ないよ。
取引先のWebサイトとかを制作してたとか、
顧客のPCをGumbler攻撃で感染させちゃったとかなら契約切られる可能性もあるが…
銀行系にはそんなずさんな企業と取引があることが 信用不安になるからそれなりに効果ありそうだけどね。
釈明報も掲示しないで隠蔽しようとする会社って…
銀行は単に融資を受けてるだけじゃねw 融資銀行だって取引先に書くだろうし、この程度で信用不安になるなら もっとマスコミが騒ぎ立てるだろ…
【陥落サイトのURL悪用厳禁】 中途半端なコード撤去、再改竄、絶賛放置中とか・・・ posh-e●com/index10●htm pacific-staff●net/ hoikuen●19th●org/ cre2cash●2pg●in/ ←朝日オート(sunrise●2pg●in/)と同じく<!--<script>-->
>>592 コメントアウトとかアホな対応してるな…
> <!--<script>--> これって一応、無効化してるんだ
>>592 醤油みてる最中だけど新型?
> hoikuen●19th●org/
bestdarkstar●info:8080
自己レス 91.121.117.37 gnomeさんとこで確認すた。。。
94.23.159.128になった。 これもgnomeさんとこで確認
>>592 あーーっ!
> hoikuen●19th●org/
http://bestdarkstar ●info:8080/google●com/blogcatalog●com/orbitdownloader●com●php
.info 浸食
599 :
名無しさん@お腹いっぱい。 :2010/04/06(火) 19:43:52
</script><noscript><div style="position:absolute;">
<img width=1 height=1 alt="" src="
http://b3.yahoo.co.jp/b?P= FBGG7XxTw7GuMbELS3k.QhJAeWYvBUu7D_gAAyR9&T=13vm0jrtv%2fX%3d1270
550520%2fE%3d2079744651%2fR%3djp_r25%2fK%3d5%2fV%3d3.1%2fW%3dJ%2fY
%3djp%2fF%3d3785814215%2fQ%3d-1%2fS%3d1%2fJ%3d52C3537C"></div></no
script>
これは?
>>595 かぶった
>>597 いまはこの5個セット
195.160.200.36 GB:AS44949 (GIGACODES)
77.241.93.114 BE:AS34762 (COMBELL)
91.121.117.37 FR:AS16276 (OVH)
91.121.169.6 FR:AS16276 (OVH)
94.23.159.128 FR:AS16276 (OVH)
OVH死ねよ
>>592 sunrise●2pg●inも変わってる
-> snoreflash●ru:8080
2pg●in消えたっぽい?
>>602 ソースアーカイブでけんかった。。。orz....
>>598 .ruドメイン管理厳格化の影響だな
次は.infoか…
>>606 これ、説明として正しいのか?
自分とこの管理用PCが感染して、それでサイト更新しただけだろ?
本当に管理用PCだけが感染してたかはわからんしな 他にもあるんじゃなかろうか まあでも一応不正アクセスではあるんじゃね 広義では、管理者の意図しないアクセス=不正アクセスらしいからな
やはりOS再インストールしろとは書かないのね…
書けないでしょね。。。
>>573-582 あたりの続き
http://www.virustotal.com/analisis/d51b3fc0767a5a66e25a06bbc462e31357516a724f334a96a27982fcec06ce78-1270563397 File www.digital-as.co.jp.openwin.js received on 2010.04.06 14:16:37 (UTC)
Result: 7/38 (18.43%)
Avast 4.8.1351.0 2010.04.06 JS:Illredir-AL
Avast5 5.0.332.0 2010.04.06 JS:Illredir-AL
DrWeb 5.0.2.03300 2010.04.06 JS.Redirector.based.2
GData 19 2010.04.06 JS:Illredir-AL
Kaspersky 7.0.0.125 2010.04.06 Trojan.JS.Redirector.bt
NOD32 5004 2010.04.06 JS/TrojanDownloader.Pegel.AB
Sophos 4.52.0 2010.04.06 Troj/JSRedir-BB
http://www.virustotal.com/analisis/ed0ebd67eb843594cb0b87476e488e1e0fe44c32bc8afd85d2feef157372cf78-1270563154 File www.digital-as.co.jp.index.html received on 2010.04.06 14:12:34 (UTC)
Result: 11/39 (28.21%)
Avast 4.8.1351.0 2010.04.06 JS:Illredir-AL
Avast5 5.0.332.0 2010.04.06 JS:Illredir-AL
BitDefender 7.2 2010.04.06 Trojan.JS.Clicker.ABW
DrWeb 5.0.2.03300 2010.04.06 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.06 Trojan.JS.Clicker.ABW
GData 19 2010.04.06 Trojan.JS.Clicker.ABW
Jiangmin 13.0.900 2010.04.06 Trojan/JS.Pegel.a
Kaspersky 7.0.0.125 2010.04.06 Trojan.JS.Redirector.bt
NOD32 5004 2010.04.06 JS/TrojanDownloader.Pegel.AA
nProtect 2009.1.8.0 2010.04.06 Trojan.Script.397566
Sophos 4.52.0 2010.04.06 Troj/JSRedir-BB
>>610 avast以外のフリー系には期待出来んな
>>612 得手不得手があるよ
Gumblar.xだとAVGがよかったりする。
>>611 はほぼ全滅なぬで国ドメイン(IPアドレス)変えただけでも脅威になるのね。。。
個人的にイパーイ検体出してるけどユーザーじゃないから届いてないかもしれにゃい。。。orz.....
>>613 メールなら関係ないと思う
俺はユーザーだけどメールで検体出してるし、2回ほど返事が来たこともある
まぁavastはめったに返事来ないがな
>>606 >2. 不正アクセスにより改ざんされた対象期間
2010年3月25日(木)6:00 〜 2010年4月5日(月)23:00
>>564 :コテハン ◆8080adndqg :2010/04 /05(月) 14:34:45
ここに投下されて凸られるまで「気づかなかった」としたら最悪だなwww
>>616 1回は検体提出感謝の返事がスペルミス付きで来たw
1回は添付忘れて送ったら、4日後に「添付がねぇ」ってサポートからメール来た
>>617 みんなやっちゃうなぁw
ここんとこパス合ってるけど圧縮ファイル名間違えて送ること数回。
顰蹙買い捲ってそうです><
>>612 スクリプトが検知できないから期待できないと言うのは早漏だろ。
スクリプトを踏んだ時点で検知できればそれに越したことはないが
肝心なのは現物がDLされる前に検知できるかであって
検知できれば結果は同じことだ。
その現物を持っていないから検知できるか知らんけどね。
bestdarkなんとか踏んだ時にJava6アップデート19(ビルド 1.6.0_19-b04)のアイコンがタスクトレイに表示されたんだけど、これ感染してるんでしょうか?
>>2 はやってるはず。adobe readerは半年以上前にアンインストールしてある
重複してるのはぢめて見た・・・
【陥落サイトのURL悪用厳禁】
www●jc-consulting●jp/ ←絶賛放置中
↓
hXXp://bestdarkstar●info:8080/google●com/blogcatalog●com/orbitdownloader●com●php
コードは
>>598 と同じなんだけど・・・
<!--562ba23ffcf28efa4f71fc787258d3d3-->
<!--e62178df1fa90a28d1b2efa8443ab220-->
謎の文字列が謎...
はずじゃなんとも言えませんなあ 心配ならOS入れなおし推奨
このスレで質問しても無駄だぜ 「感染してるかもと思ったんならクリーンインストールしろ!」で終わりだから 実際それが一番確実だろうしな
引き続き*:8080/をブロックでおkかな?
【陥落サイトのURL悪用厳禁】 www●toutyann●com/ ↓ hXXp://snoreflash●ru:8080/360-cn/google●com/thesun●co●uk●php また重複しとる...
>>626 いいんじゃね。
8080全弾きは誤爆するという奴もいるけど、そんな事例見たことないし。
>>625 hXXp://helphomecare●at:8080/ultimate-guitar-com/google●com/livedoor●biz●php
at:8080/もでつか・・・ orz
>>626 *:8080/* ブロックでおk。
巻き込みで阻止られるサイトはURLが悪い(笑)
仮に :8080/ がアドレスに含まれる真っ当なサイトがあったとしても、そのときは一時的に ブロックを解除すればいいだけだしな。
>>631 上: 269, 270
下: 1053, 1054
にそれぞれ<iframe></iframe>があるぜぃ
Avira10premium使ってみたがwebリダイレクトは問答無用でブロック。 offにするにはwebGuardを無効にするしかない。i-frameに対する設定は出来る。 なんでもクリックするヤツには良いかもしれん。
>>631 jde-net●co●jp センセイの診断結果
>このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
センセイ激怒中w
>>633 なんでもかんでもクリッコするやつは
パソコンを使わない方がいいと思うw
新コードに絶賛更新中 【陥落サイトのURL悪用厳禁】 fleur●webinfo●jp → loadtube●ru: dog-g-club●com → helphomecare●at: f39●aaa●livedoor●jp/~miyui/archives/cat3/cat10/index●html → helphomecare●at: miyagi●007champagne●biz/asobo → youhelpnow●ru: dxenglish●value-net●net/index●html → bestdarkstar●info: -- 発掘中にみつけた8080じゃないやつ www●bestofunder●com/ ←アクセス注意
8080ではなく懐かしのGumblar.xちゃん moebox●com/main●html たぶんもっと前から改ざんされてたとおもうけど一応貼っとく Last-Modified: Sun, 04 Apr 2010 23:20:30 GMT
でもドメインが新しいのかこれ .irってイランか 初めて見たわ
>>639 追記
aguseのソースをまとめてDLしてくれるの便利だね
/js/table.js や /js/lk.js にてんこ盛りされてて吹いた
ずっと修正されないまま更新され続けてるっぽいなあ 同じURLが連続してるとこから手動ではなく自動っぽいことが伺える まあLast-Modified: も近い時間になってるしね
>>638 注意のURLを踏んでしまったOTZ
とあるインドの”コンピューターの危険にさらされる”サイトに飛ばされた
ちょうしこいて踏むんじゃなかったぉ・・・
www●bestofunder●com/ ↓2ヶ所に飛ばされる zeneey●com/email/znystyle.phpとzeneey●com/は踏んでしまったOTZ nt01●co●in/3 はセクルチーが防いで踏まずに済んだみたい… zeneey●com/は感染サイトだから、今月中にOSの再インストールするぉ!
>>622 > <!--562ba23ffcf28efa4f71fc787258d3d3-->
> <!--e62178df1fa90a28d1b2efa8443ab220-->
> 謎の文字列が謎...
この文字列が有る無しでもセキュリティベンダーによっては検出しない場合があるね。
つか、avast!対応早杉、頑張り過ぎだろw
【陥落サイトのURL悪用厳禁】 www●ferahdondurma●com ← アクセス注意! ※改竄されすぎててよくわからんw neta-script●lionking●jp/ (.at:8080/) 8080系のスクリプトが最大の仕込み? 携帯オンリーで掘るのは厳しいゾ・・・とw
ところでなんでVTのスキャンに使われているカスペってバージョン古いんだ? VTのスキャン結果でカスペがスルーして「ウイルス検出できない!カスペオワタ!」 って言われるのはカスペ信者としては見過ごせないのだが。
面倒くさいからじゃないか?w
>>647 だれうまw
www●e-tokunaga●co●jp/contents/house_dock/index●html
www●vericapandilovska●com●mk/
this●is/ausgot/
at:8080
capvex●com
egujarat●net
info:8080
reagold●com
カスペに蹴られた…ウイルスか?
>>650 >reagold●com
色々仕込んであるというか・・・元のページの面影が無いw
・<!-- ad -->
・Gumblarっぽいやつ
・var I={j・・・
・var Il1I1111I1=function
652 :
名無しさん@お腹いっぱい。 :2010/04/09(金) 20:57:46
www●e-tokunaga●co●jp/pc/free06●html
Javaの実行プログラムが呼ばれてタスクトレイにでてきたんじゃないの
656 :
名無しさん@お腹いっぱい。 :2010/04/10(土) 05:48:47
すみません教えてください 見たいサイトがあってグーグルのキャッシュというところをおして見ようとしたら avastに警告され、キャッシュのURLを入れてチェッカーに掛けたら 外部へリダイレクトされていますと赤字で出ましたが マルウェアが検出されないと出ます。 これってウイルスサイトではないってことですか?
見たかったサイトはur-chintai.infoというところです。
>>657 仮想マシン一台作って見にいってみたけど
403エラーで何も見れません。
心配なら、OSの再インストールを勧めます。
ur-chintai.infoは以前ガンブラーに感染してたんだよ 今はアクセスできない キャッシュは感染してる
すいません、ガンブラーって手動削除可能でしょうか? なんかウィルスバスター起動しなくて、、、
661 :
名無しさん@お腹いっぱい。 :2010/04/10(土) 10:14:53
www●geocities●jp/owari_ka_ra/ www●geocities●jp/o_tweb/ www●geocities●jp/shimilw/
>www●geocities●jp/owari_ka_ra/ 懐かしのCODE1
>>658 >>659 ありがとうございました。感染してたur-chintai.●infoはなくなったのに
キャッシュで感染するんですね・・・
avastでHDD検査して一応ウイルスなかったのですが
カスペでもやって見つかったら再インストールします・・・
>>663 avastが防いでくれたから問題ないだろ
665 :
名無しさん@お腹いっぱい。 :2010/04/10(土) 10:42:06
www●kyoudoumusen●jp
666 :
名無しさん@お腹いっぱい。 :2010/04/10(土) 11:00:03
freett●com/takarafune www●tirashi●jp/ ここも全然対処しない
667 :
名無しさん@お腹いっぱい。 :2010/04/10(土) 11:11:09
ss-gaido●info
ふりちけは存在自体がウイルス(広告的な意味で)
avastスレより partsdepot●jp/
チキンな私のかわりにどなたかよろしく。。 www●gozaisho.co●jp 右下に「やんちゃ爆弾」てのが出ていて、難読化されています。 ググってみたら、やんちゃ爆弾自体はブログパーツのようなんですが、 ロープウェイの公式サイトにこんなオモチャを仕掛けるって、普通の企業なら あり得ないと思うのですが。 そもそも、難読化する必要性がないですよね。他の部分は普通に読める アドレスで貼ってあるのに、openの部分のみ。 既存のものを利用した新たな改竄ってことはないですか? それともこれが普通の形態? 考えてみたら、ブログパーツ部分に仕掛けられたら、危険性認識せずに 押してしまう人はたくさんいそうだ。。
>>670 解読結果
* *
* うそです +
n ∧_∧ n
+ (ヨ(* ´∀`)E)
Y Y *
wwwwww
>>660 無理
セキュリティソフトが起動しない時点でいろいろやられてるってことです
OS入れなおしましょう
>>663 キャッシュなら安全とおもうほうがおかしいよ
単純に考えてコードをそのまま保存するんだから攻撃スクリプトも保存されるでしょ
やっぱavast入れとくか
何使おうがやるべき事やっていれれば今のところは感染のしようもないけどな。
下のURLあやしすぎわろた
680 :
650 :2010/04/10(土) 17:09:46
>>680 管理者氏名がパッと見Gumblarに見えたwww
>>670 ここは鑑定スレではありませぬ。
>>678 下段のURLは8080系の陥落サイト。
easyfunguide●at:8080/
「陥落サイトが増える(かもしれない)」から
遊びで貼るのはやめましょう。
ここで話していいかわからんけどgredのURL入力欄で
http:// ってのいらなくね?
消すのメンドイ
【陥落サイトのURL悪用厳禁】 jyo●eisuku●com/home/ adgaw●com/lovesheet/index●html www●borneomarathon●com/jpn/home●html ←旧型 けんさくわーど:"new String();" "new Date();" "new Array();" -JAVA -JAVAScript site:jp の検索結果 約 160 件 site:cn の検索結果 約 490 件 site:ru の検索結果 約 1,860 件 ←www
お前らなんでこんな詳細にウイルス分析してんだよww セキュリティベンダーに就職しろwww
www■tirashi■jp/ トップはメンテ中になってるが他のページがネット上に残ったまま www■tirashi■jp/tmp/flyer_zooma/ZcyyxafVGp_129/
www■niaufuku■com/sense_up/index■htm 書き込みに失敗しているところが掛ったと思ったら www■niaufuku■com/index■htm 他のページは成功してるらしい。 bag■fukunekodo■com/mindex/ 携帯向けのサイト と思ったらfukunekodo■com/ 上にあるサイトが全部やられてるっぽい wagashi■fukunekodo■com/index/ shochu■fukunekodo■com/index/ nihonshu■fukunekodo■com/index/ sweet■fukunekodo■com/index/ cosme■fukunekodo■com/index/ make■fukunekodo■com/index/ car■fukunekodo■com/index/ mens■fukunekodo■com/index/ pc■fukunekodo■com/index/ baby■fukunekodo■com/index/ diet■fukunekodo■com/index/ たぶん他にもあると思う 失敗? inner■fukunekodo■com/index/ fashion■fukunekodo■com/index/ acces■fukunekodo■com/index/ golf■fukunekodo■com/index/ meet■fukunekodo■com/index/ bekkan■fukunekodo■com/index/ どっちもru:8080
コルコ倒産しろ
>>689 世も末(すえ)な
日本語は正しく使いましょう
マジにネタレスカッコイイ
>>688 fukunekodo●com
絞り込んでみた
ttp://search ●yahoo●co●jp/search?p=site%3Afukunekodo●com%2F+%22function%22&ei=UTF-8&fr=top_ga1_sa&x=wrt
検索結果 約193件(多少の巻き込み有)
>>689 www●collco●jp/
↓巻き込み改竄↓
www●kyoudoumusen●jp/
/(^o^)\やっちまった
・・・ということだなw
>>693 fukunekodoひどいな
コルコはorz×100000000000
695 :
650 :2010/04/11(日) 11:52:00
>>695 www●aparajeyo●org/index●php
avastが反応、JS:Illredir-AL
絶賛崩壊中w
ソース見た限りでは.ru:8080だな
下のアドレスはどこから?
697 :
696 :2010/04/11(日) 12:27:40
と思ったら下にあったのかorz Web Mailって書いてあるから、ポート2095はたぶん関係ないと思う
698 :
650 :2010/04/11(日) 12:38:41
【陥落サイトのURL悪用厳禁】 www●nadara●jp ←途中で切れてる npo-aichi●or●jp/ ← \(^o^)/ creole●jp/ kumarin●biz/
700 :
696 :2010/04/11(日) 14:19:24
npo-aichi 4発(本文3発.js1発)仕込みwww しかし何で途中で切れたりするんだろ
701 :
650 :2010/04/11(日) 14:51:08
www●amakusaturigu●com
hrhr●sakura●ne●jp ←ブログ?
>>700 それはいつも思う、どうしてだろうね?
650のままだった事と、
>>636 で未来の自分に安価打ってた事に
今頃気が付いたw
名無しさんに戻りますね
加速度的に被害広がってるのに、話題的にはどんどん静まってきてるのはなんでだろう 現実逃避?
>>705 前にHP作成会社に聞いた話で
複数のHPを管理していて改竄されたのが一つだけ
自動更新するソフトを使ってるHPだけが改竄されたとか
IPAと警察庁に報告する様お願いしたけど
んで、今日同じ様な話しを聞いて思い出したw
>>703 対策や予防方法が広く認知されるようになったからだろう。
わかっていても検証コスト等の理由で後手に回っているサーバの改ざんは広がっていても
閲覧するだけの個人ユーザに被害が及ばなくなれば話題としては収束するさ。
>>700 npo-aichiはサイト内全滅でござる
/content/include/xoops●js
/content/modules/xhld0/phpdate●js
/content/modules/xhld1/phpdate●js
/content/modules/xhld2/phpdate●js
/content/modules/xhld3/phpdate●js
jsも全滅w
これはひどいwww
報告アドレスが結構悪用されてるな 感染を広げる一因にもなってるんじゃねw
報告アドレスを難読化させればよいんじゃね?
>>713 こゆのはどないだ?(苦笑
687474703a2f2f7777772e6a632d636f6e73756c74696e672e6a702f
687474703a2f2f7777772e616d616b7573617475726967752e636f6d2f68746d6c2f0d0a
687474703a2f2f7777772e6e69617566756b752e636f6d2f696e6465782e68746d0d0a
この程度でいいんじゃね? aHR0cDovL3d3dy5leGFtcGxlLmNvbS8K aHR0cDovL3d3dy4yY2gubmV0Lwo= aHR0cDovL3BjMTEuMmNoLm5ldC90ZXN0L3JlYWQuY2dpL3NlYy8xMjY4MDU5Njg0Lwo=
javaに0dayだってさ。
d3d3LnNha2lrby5qcA== こうすれば良いんだな?
\x68\x74\x74\x70\x3a\x2f\x2f の時は捜しやすかったんだが・・・
発掘されやすいから %68%74%74%70%3a%2f%2f こうしたのかな?
↓
ttp://search ●yahoo●co●jp/search?p=%22%5Cx68%5Cx74%5Cx74%5Cx70%5Cx3a%5Cx2f%5Cx2f%22&search.x=1&fr=top_ga1_sa&tid=top_ga1_sa&ei=UTF-8&aq=&oq=
aHR0cDovL3d3dy5hZ3VzZS5qcC8/bT13JnVybD1odHRwJTNBJTJGJTJGd3d3LmRhaW5pLXN1cnZleS5jb20lMkYmeD00NiZ5PTQ= ここって1回閉鎖したんじゃなかった?
www●bandoolshien●com nodさんが反応しました
難読化云々よりここに晒す前に凸ってればいいのでは?
凸だけじゃどうせスルーされるか隠蔽されるだけだから公表すべきだけど みんなに知らせるって意味じゃ難読化してちゃ意味ないんだよな
まあ2chに貼られたURL無用心に踏む奴もなあ 俺は2chに貼ってあるURLは全てgredとaguseでチェックしてるけど
そこらへんはひっかかるほうも悪いよな グロでもウイルスでも2chじゃ無用心に踏む方も悪い グロ踏んで学習するかウイルス踏んで学習するかの違いだろう 貼るバカを肯定するわけじゃないけどな
張るバカよりも踏むバカのほうが悪いって感覚が蔓延してる限り悪用はなくならんよ 不特定多数の人間がいる場所では常に用心はすべきだというのは紛れもない事実だけどね
URL貼られることの多いスレとかはテンプレに ※貼られたURLが安全だということは保障できません 踏む前に必ずブラクラチェック等行いましょう※ くらい入れてもいい気はする
ドライビングバイダウンロード攻撃突撃ィ!
どこへドライブ行くんだよ
不利な対策ソフトを使っている人は不幸だねぇ
733 :
オルティス・ジャパン :2010/04/12(月) 22:02:43
www●collco●jp/
コルコの方、こっそり修正している様ですが
告知はまだですか?
先程は検討をしてると言っていましたね
未だに告知をしていない様ですが…
それとね、貴方達は修正したつもりなのでしょうけど
リダイレクターはまだ残っているのです
改竄は完全には修正されてはいないのです
他の方からメールで教えて貰った事を全て完全に実行しなさい
>>584 を心に刻み、心を入れ替えなさい
真摯な姿勢こそが大切だとは思わないのですか
情報処理推進機構:情報セキュリティ:ウイルス・不正アクセス届出状況について(3月分および第1四半期)
http://www.ipa.go.jp/security/txt/2010/04outline.html > ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
> ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
> ・ 改ざんの事実の説明
> ・ 改ざんされていた箇所
> ・ 改ざんされていた期間
> ・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害(ウイルス感染など)の説明
> ・ ウイルスのチェック方法の説明(必要に応じてオンラインスキャンサイトの紹介など)
> ・ 問い合わせ用窓口の連絡先
>>733 それについてはエヌピーオー愛知ネットも気になるね
昨日、NPO-AICHIの登録担当と技術担当、倉敷CATVの技術担当のメアドに
aguseの調査結果を送ってさしあげたら何の説明もなしに閉鎖してたさ
"災害時の確実な情報伝達を目的とするNPO法人"とか何のジョークだよw
>>736 役に立たない鳩耳に密告しておくか・・・・
>>736 イ牛のNPOからスクリプトは除去したってメルきたお。
その時点ではスクリプトはなくなってた。
IPAに被害報告してってことと
>>735 のこと書いて返信したら403になった。
思案中かも。
>>738 おやそうでしたか、それは失礼しました…
JAVA Web Startの0-day対策は javaws.exeをHIPS等で無効化 Firefoxだったら、Java Deployment Toolkitプラグインを無効化 とかでいいのかな? どうも情報が少なくてよくわからない。
>>736 倉敷CATVも感染してたのか・・・実家の地元局でケーブル引いてるだけになんか凄い残念だな
>>740 指摘されないとわからないバカの集団らしいなw
/inquiry
<!--トロイを絶賛配布中!(無料)-->
↑追記しておけwwwww
>>743 whoisかaguse見れ
魚青 211.125.125.234の管理
746 :
741 :2010/04/13(火) 04:22:51
>>745 どゆことなの?出されたIPを調べたらnpo-aichi.or.jpって出たが
npo-aichiの登録・技術担当と倉敷CATVの技術担当が同じって事?
もしその通りって事だと倉敷CATVは今感染してなくとも危ないって事?
>>746 Operaでプラグイン入れてないと読み込みが完了しないかんじ。
>>747 大家と店子の関係
749 :
名無しさん@お腹いっぱい。 :2010/04/13(火) 06:41:42
マスターペニス
750 :
名無しさん@お腹いっぱい。 :2010/04/13(火) 06:55:32
ドライビングバイ海老名SAダウンロード
a2FkYXJ1Lm15ZG5zLnRvLw== ←再発 d3d3LmFtYWt1c2F0dXJpZ3UuY29tLw0K ---- 6Zml6JC944K144Kk44OI44GuVVJM44KS6YGK44Gz44O744GE44Gf44Ga44KJ55uu55qE44Gn6LK84 4KL44GK44OQ44Kr44GV44KT44Gv44CB6ISz44G/44Gd44Gu44Kv44Oq44O844Oz44Kk44Oz44K544 OI44O844OrKOWGjeaVmeiCsinjgYzlv4XopoHjgaDjgajmgJ3jgo/jgozjgb7jgII= ・・・ということですw
753 :
名無しさん@お腹いっぱい。 :2010/04/13(火) 13:33:40
>>740 77y8KF5vXinvvI/jgqrjg6/jgr8=
ばーか
確信犯死ねよ
aHR0cDovL2Jvby4yY2gubmV0L2JvbzIwMDguY2dpP3R5cGU9cmVkJmJvbzIwMDhfdXJpPWh0dHAl
M0ElMkYlMkZwYzExLjJjaC5uZXQlMkZ0ZXN0JTJGcmVhZC5jZ2klMkZzZWMlMkYxMjY4MDU5Njg0
JTJGNzU0JmJvbzIwMDhfdGltZT0yMDEwJTJGMDQlMkYxMyUyOCU4OSVDRSUyOSsxMyUzQTQzJTNB
NDMmYm9vMjAwOF9pZD0mYm9vMjAwOF9wb3J0PSZib28yMDA4X3RyaXA9
>>753 77y8KF5vXinvvI/jgqrjgr/jg68=
これじゃ、どこのサイトが危険なのか分からん
よかった、うちのサイトは晒されてないわ
コントロールパネル見てて思ったんだが、 J2SE runtime Environment 5.0 update6と Java(TM)6 update19が一緒に存在してるんだ これは更新の仕様がないJ2SEを消すべき?それとも両方とも置いておかないといけないモノ?
>>757 >串迎撃部隊@2ch掲示板 -- Boo2008 --
>Good bye 9000
>がいしゅつ!!Done ! -> [BBQ]None(^-^)
>名も無きBoo2008さん、ありがとうですm(_ _)m
>\(^o^)/オワタ
>>762 IGh0dHA6Ly9qYS53aWtpcGVkaWEub3JnL3dpa2kvJUUzJTgyJUFBJUUzJTgyJUJGJUUzJTgzJUFG
もうJava自体をアンインスコしたんだけど 無くて困ることってなにかある?
あなたが困らなければ無いし、困ればそれ
>>763 \(^o^)/オタワ
・・・・・・もうやめよう(苦笑)
おーはぴーでーい
>764
Javaに新たな問題が見つかる、多数のブラウザに影響の恐れ
ttp://www.itmedia.co.jp/enterprise/articles/1004/13/news072.html Java Deployment Toolkitに見つかった新たな問題
launch()メソッドからJava Web Startユーティリティ(javaws.exe)に任意の引数を渡すことができてしまうという
。攻撃者が悪用した場合、ユーザーが細工されたHTMLを閲覧してしまうことで
リモートから任意のJARファイルを実行されてしまう危険がある。
Java Deployment Toolkitは、Java SE 6 update 10以降をインストールした際に
同時にインストールされる。ブラウザのプラグインやActive-X コントロールとしても利用されるため
Microsoft Internet ExplorerやFirefox、Google ChromeなどWindowsベースの
多数のブラウザに影響が及ぶ可能性がある。
米Oracleの対応は未定。IPAとJPCERT コーディネーションセンターは
当面の回避策として、ActiveX コントロールやブラウザのJava Deployment Toolkitを
無効にすることを推奨している。
【陥落サイトのURL悪用厳禁】 www●tu-han4●com/hatumo/ www●daini-survey●com/ versamold●com/ 難読化はムダっぽい...
Adobe Readerアップデートきたな
>>772 またなんかありそうだから様子見。
てか、もう Foxit に乗り換えたし。
774 :
名無しさん@お腹いっぱい。 :2010/04/14(水) 12:37:10
コンパネ見たがJavaは最近更新したRuntimeしかなかった 上で述べられてるツールキットは最近の奴だとruntime内蔵なのかな? そうならどうやって無効化するのか…… ActiveXはインターネットオプションで無効化できるんだが
【陥落サイトのURL悪用厳禁】 ←まねしてみた www●sot●com●al VirusTotalでの検出結果は5/40(12.5%) Avast頑張るなぁ
avastは今は知らないが初期の頃はスクリプトの段階で処理しないと防御できなかったからな スクリプトに対応しなくても防御はできるが こういう風に特に初心者にアピールにはなるから一生懸命なのだろう
サブPCでavastを使ってるけど
>>770 の検体の全てに反応した。
メインPCでは某ベンダの有料版を使っているが
>>770 の検体の検出はまちまちだった。
ただ
>>754 のサイトでは全てに反応した。
avastはソース段階(スクリプト自体)で検出しているが、
某ベンダは実行段階で検出しているようだ。
そうか。よかったな。
そもそもソースの段階で何を検出してんだ
>>770 AVG Freeが9個しか反応しなかった・・・おぉコワイコワイ
avast5だけど、
>>770 で3つスルーされた・・・
なるほど、オレはもう掛かってるのか!
gumblerにも無害有害があるのか…… つか、最近の亜種だとcmdとregdit動くみたいだし、どういう症状が出るか解らんから 感染してるかどうかすらオンラインスキャン以外じゃわからんよな
>>783 3つとも解析済みで、検出したのはなかったそうだ
再解析してみたら1つだけ出てきた
Gumblar_js.txt
Sophos 4.52.0 2010.04.14 Troj/JSRedir-BD
【陥落サイトのURL悪用厳禁】 www●nittoka●com/ ←そーすの途中にコードが・・・ discussanctuary●com/からコードごと引っ越したのかな? www●1a●ad-jeaayf●com/ae/ s6●artemisweb●jp/djtsushin/naruto/part1/index●html ←改竄されてるってばよw※jword注意
788 1:きゅい〜ん 2:きゅい〜ん 3:403 4:きゅい〜ん 790 1:きゅい〜ん 2:きゅい〜ん 3:きゅい〜ん avast! 大勝利w
アバストは警告を発した!しかし、感染してしまった
KATINOが効かないと全滅するパーティーですか
>>2 (4) JRE(Java Runtime Environment)を最新版に更新する
これはAdobe Readerなんかと同じでWindowsをインストールしただけでは
JREはインストールされないよね?
JREをインストールしていなければ特に気にする必要はないんだよね?
PC初心者でちょっとよくわからないので教えてくれると助かります
初心者であればメーカー製PCを使用している可能性が高い メーカー製PCにはAdobeReaderもJREもプリインストールされていることがほとんど
コントロールパネルにJavaのアイコンがあればインストールされてる ちなみにそのアイコンをダブルクリックするとバージョン確認やアップデートもできる
>>795 WindowsをインストールしただけではJAVAは入らないよ
上の人が言うようにメーカー製PCを買った場合は入ってるかもしれない
でもWindowsのCDを使ってOSをインストールしただけではJAVAは入らない
JREはアンインスコor入れないで全然問題ないと思うけどね
君にとってはそうなんだろうが、それを言い出すと最後には「Windowsじゃなくても全然問題 ないと思うけどね」みたいな不毛な話になるから自重しろ。
>>689-740 「不正改ざんに関するお詫び」
Last-Modified: Wed, 14 Apr 2010 07:03:06 GMT : www.collco.jp/index.html
>>801 思うんだが、「不正改ざんされた」ってのは責任逃れだろ。
むしろ、ここのサイト覗いた奴のPC「不正改ざんした」のがこの会社だろうに。
>※本件による、お客様にお預かりしております個人情報の流出はございません。
お前のサイト覗いたせいでパスとか流出する話しないで、どうすんだよ
スレに出ているサイトにクリックしても2割くらいしか反応しない。 ちなみにカスペルスキー2010 これはザルなのか? 設定でオフになってるのかと思いきやそうでもないし
Java Deployment Toolkit 6.0.200.2 Java(TM) Platform SE 6 U20 6.0.200.2
>>805 反応しないとこは修正済みもあるんじゃね
*:8080/* をブロックでおkだよね? *の位置が分からん
他の普通のサイトも巻き添えにしていいなら
>>810 巻き添えにしたくないなら
*.ru:8080/*
>>812 最近は.atと.infoも侵食されてるからそれじゃダメ
うむ、8080ポートの先にコンテンツを置くページは巻き添えにされても仕方ないな。
特定のURLブロックしてる人ってどういうソフト使ってますか? PeerBlockとかあるみたいだけどこれ使えばいいのかな
>>810 ブラウザのJAVAScript切っとけ
>>810 例えば敵方が8090に変った時には8080ブロックは無意味
あたりめえだろ 先のこと考えたら無意味なことばかりだ 現状の防御としては意味があるのだからそれで良いに決まってる
>>817 んじゃどういうソフト使ってるんですかね
avast!5にはURLブロック付いてるようですが
ポート8080ブロックするだけならいろんなファイアウオールで可能だよ 大概のルーター内蔵のでも可能じゃないか
Proxomitron なら正規表現風味の細かい指定が出来る。 セキュ板覗くような人間ならデフォで入れてるソフトだと思ってたんだが違うのか。
違うだろうな
>>823 Proxomitron はよく知らないが
難読化されてるスクリプトも簡単にフィルタリングできるのか?
>>823 無料HPスペースの広告がウザかった時代に使ってたけど、今は使ってない。
>>825 自分でフィルター書かなきゃダメ、もしくは有志の人待ち
>>825 パターンが変わればその都度になるが、現行では一応対応できているけど。
最近は変化が無いからつまらん。
どのみちいらねえよ
Proxomitronの脆弱性放置中
>>822-823 ありがとうございます。
とりあえず手持ちのFWでリモートポート8080番をシャットアウトすればいいんですかね?
Javaは早急にu20にしないと危険だべな Deployment Toolkitの脆弱性が8080インジェクションで使われ始めてるらしいから
なんか、ここの被害報告のヒロまり方見てると、 ダウソ板のイカタコなんて、子供の遊びに見えてくるな
12月下旬から騒ぎ出した気がするけど 4月になっても収まらないね。
>>2 の対策しておけばウイルス対策ソフトはいらない?
いります
java19入ってる状態で20入れたら19がコントロールパネルから消えた
これは上書きされたって事でいいのかな
以前の17→19の時は上書きなんてしなかったから「ひょっとして19のプログラム残ってるんじゃないか」って不安
>>2 の対策してれば、あとはActiveXやJavaを自動実行したりしないようにすればおkかな
20でだいじょうぶなのかな
842 :
名無しさん@お腹いっぱい。 :2010/04/16(金) 21:42:01
2ch「三脚」検索でHTML/spoofing Genが・・・どうゆうこと?
>>840 xpでjava19から20に上書きしたらfireroxのプラグインに19と20の
Deployment ToolkitがあったのでJava20をアンインストール後に
再度20をインストールした。
そしたら19の姿が消えたので心配なら一度アンインストールをした
方がいいと思う。
>>843 それもそうだな……アンインスコして入れ直してみる
そういえば、ここの文字検索でgoogleがいくつかあるんだが、
ひょっとしてgoogle自体もう全て完全に感染してるのか?
PCが重くなってる様子もメモリ異常に食われてるって事もないんだが……
なんでDeployment Toolkitとか余計なもん入れた
過去のJavaデータとかはJavaRaで消してるなあ
>>845 どれのことを言ってるの?
URLを理解できていないってことならどっかで勉強してきてください
そもそもgoogle自体が感染してたらここで騒がれるとかそういうレベルじゃ収まらんだろ
>>849 ごめん、URLと検索ワード読み直して大体把握した
感染サイトを探した結果だったのね……
>>851 8080じゃないはず(8080はJS:Illredir)
GDataはavastエンジン使ってるから実質avastだけ検知
スレ違いか、すまない
仕込まれる位置とかがちょっと違うようだね 海外では3月下旬くらいから出てるのかな
>>853 すまないではすまないのだ!
(VДV)死ねっ!さぁ死ぬのだ低脳よ
さて朝の挨拶も済んだことだし ガンブラをガンプラスレにでも貼り貼りしてきますかのう( VдV) ( ´,дゝ`)フォッフォフォフォーwww
>>858 ようお前にこないだウイルス踏まされたもんじゃボケ!
お前の本名、斎藤智成だろ?住所もググったらあったから請求書送るから待っとけや!w
住所がわかるなら直接行けば? その方が話が早いだろ
なんか変な人いるけどなにこいつ
('д')うん、確かに変な人いるね 俺様にウィルス踏まされる時点で自己管理が悪いわけで、つまり踏む奴が悪いわけで これはもう暗黙の了解ならぬ暗黙の常識なわけで(>w<)変な人だなぁプクススススwwwwwwwwwwwwww (VдV)しかも請求書ってなにいってるんだ? もし俺様が踏ませたウィルスの影響で金銭的な損害を受けたのだとしたら それは・・・ (VДV)ざまあみろだぜ!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
それより俺様、昨日うる星やつらの再放送見逃したから youtubeでその回見なきゃなんないんだ。 やっぱ80年代の神アニメはうる星やつらだよね。 (*VдV*)デヘヘヘヘヘヘヘベヘヘケヘヘヘヘヘヘヘヘヘヘケewwwwwwwwwwwwwwp
キチガイってどうしてキチガイなんだろう
そりゃーおまえキチガイだからだろ
既出かもだけどこの痕跡は何ですか? /?N=A /?M=D /?S=D /?D=D /?N=A
867 :
866 :2010/04/17(土) 09:57:32
補足、ログの痕跡です。
何回も言われてるけど一回感染するとルートキットとかで雲隠れしやがるようだから検出できるか怪しいし
ウイルス感染したPCでスキャンしても絶対安全と保障できないぞ
心当たりあるんなら素直にクリーンインスコしたほうが良いよ
>>2 完璧に実行してブラウザ常時仮想化とかしてて「俺がウイルス感染なんかするわけねーだろばーか!」なら自分を信じていいだろうが
>>868 言ってる事は解らなくもないがこのスレ全否定してるよな、4行目でスレ住人の卑下までやってるし
クリーンインスコなんてみんながみんなホイホイできるわけでもないだろうに
まあやる気があれば民事でも請求できるでしょ
>>866 アクセスログなら何か試そうとしたんじゃね
874 :
866 :2010/04/17(土) 13:58:06
>>873 ユーザーディレクトリでのアクセスで
このコマンド?じゃ何も出来ないと思うけど、何かに感染したPCからの痕跡なのか...
ただ、面白いのは、IP調べると日本のM$専用線からのアクセスで
こっそり調べると鯖では無く、クライアントPCっぽい。
>>870 >間接正犯とは、他人の行為を利用して自己の犯罪を実現する正犯のことである。
>共犯ではないというのが通説である。
<中略>
>正犯とは、犯罪実現の現実的危険性を有する行為を自ら行う者をいうが、
>「自ら」は規範的理解が可能(緩やかに解することが可能)とする。
>そのうえで、他人を道具として利用する場合は、規範的には「自らの手で」行ったといえ、
>利用者の行為には正犯としての実行行為性が認められるとされる。
8080作者と同じ罪になるって事で・・・
顔文字(糞コテ)オワタwwwwwwww
誰かVIPに燃料投下してこいよ。 奴らの調査力なら顔文字野郎の個人情報なんてすぐに割れるだろ。
よし、任せたぞ
そして「誰かがやるだろ」とみんな思ってるので 誰も投下しないのであった
だって板別規制されてるし
881 :
U.F.O ◆U.F.OnbYNA :2010/04/17(土) 18:32:17
なんだよあの糞コテおでん厨じゃなかったのかよ・・・
早く規制されてほしいな。
というか規制からやっと復活したがその間にこんなにガンブラーでてたんだな・・・
気 を つ け な け れ ば
>>880 つまりこの糞コテを訴える事も出来るわけか。
顔文字ざまぁwwwwwm9(^Д^)プギャーwwwww
犯人に告ぐ。今夜は震えて眠れ(キリッ
>>862 aHR0cDovL3d3dy5nb29nbGUuY28uanAvc2VhcmNoP2hsPWphJnE9JUU5JTgwJTlEJUUzJ
TgxJUEzJUUzJTgxJUE2JUUzJTgyJTg4JUUzJTgxJTk3KyVFOSVBMSU5NCVFNiU5NiU4Ny
VFNSVBRCU5NyZidG5HPSVFNiVBNCU5QyVFNyVCNCVBMiZscj0=
死語とか言うなよwww
5pep44GP5q2744Gta3Nn
顔文字息してるー?w
逮捕者が出ると聞いて
また無職か
`ヽ、
\
\
,,ヅ彡ニミ;;,, ヅ彡ニミ;;,, l
ィ<" , ‐ 、 ゙ミ、 ィ<" , ‐ 、 ゙ミ、 ゙i
ミミ、, ゝ_゚_,ノ,, イ :ミミ、, ゝ_゚_,ノ,, イ ゙i
゙'ヾ三≡彡'" ゙'ヾ三≡彡' i!
/ ヽ ,. -- 、 i!
>>862 しねよ
/ \ / __,>─ 、
/ ',/ ', / ヽ
! l l { |__
、 ,' 、 ,' } \ ,丿 ヽ
ヽ . _ .. ' ヽ . _ .. ' / 、 `┬----‐1 }
/ `¬| l ノヽ
/ 、 !_/l l / }
{ \ l / ,'
\ ´`ヽ.__,ノ / ノ
\ ヽ、\ __,ノ /
 ̄ ヽ、_ 〉 ,!、__/
>>875-890 VдV)ん?
ずいぶんと必死に自演連投をしているようだな
そんなに連続で書き込んでたらいくらIDでなくてもバレバレだぜ
そんなことにも気づけないほど悔しかったのだな( ´,дゝ`)からかった甲斐があるぜ
でも残念ながらその程度の煽りでは不合格
というより残念賞というべきか。
なぜなら5年前からウィルス踏ませ続けてぴんぴんしているのだからな
この事実を覆すことはできないよ(>w<)本当に残念だったな
どぉだ?またムカムカしてきたか?(笑)
(VДV)そうか!じゃあ死ねっ!!!!!!!!(爆)
(*VдV*)
(*VдV*)あーきっと今頃・・・ 俺様にウィルス踏まされた奴は 俺様がこうやってますます調子に乗り乗り♪してることにムカつきながら俺のこと見てるんだろなw これだからやめられないお(>w<)快っ感!!!!
80年代の神アニメは映画版のSF新世紀レンズマン 「愛するものを守れ」 ブルーレイで出してほしいな…
まだやってんのか斉藤w
斉藤ってだあれ? 斎藤ならまだしも斉藤とは?(笑) (VдV)これってまたまた俺様が一本とっちゃった感じ? つーわけで漢字読めない低脳は死ね!と止めを刺しておこう(VдV)vチェキラ
(VдV)! ウィルス踏ませて笑いながらポテチを食うっ! とかキラっぽくポテチ食ってるなう!ヽ(VдV)ノなうなうなのらーい
900 :
名無しさん@お腹いっぱい。 :2010/04/18(日) 06:43:35
901 :
名無しさん@お腹いっぱい。 :2010/04/18(日) 06:49:33
(VдV)=3ふぅ〜 今日も踏ませてたら時間を忘れちゃったおw夢のような時間だったお もしかして俺様って日本一ウィルス踏ませてるコテじゃね?ギネス入りも近い?>w< なんか最近調子が良い この調子でますます俺様のファンが増えそうだ ウィルス踏ませてるのはホント、ゲーム感覚だが 考えてみたらあまりブログには書いてないな〜って思った。 近々気が向いたらブログでそういうの書いてみるわ 昔ヤフチャでボイチャしてる奴にウィルス踏ませてふぁびょってる録音とかあるけど うpしたら需要あるかな?まーお楽しみに>w< さて、ドラゴンボールとワンピースまで寝るお (VдV)おやすみお前ら
関係ないけど、まだ生きてるチェッカーってあるのかな?
>>2 のどれも死んでるんだが…。
aguseとgredは普通に使えるぞ
gredのサイトをチェックするボタンがグレーアウトで使えなかったのが IE8のInPrivateフィルターがオンのままだったのに最近気がついた俺って
908 :
名無しさん@お腹いっぱい。 :2010/04/18(日) 08:33:07
最近の亜種だとどういう症状が出るかサッパリ情報が出てないから 感染してるのかどうかわからなくて怖いぜ…… オンラインスキャンは推奨だけで十分なんだよな?
909 :
名無しさん@お腹いっぱい。 :2010/04/18(日) 12:15:45
www●hd-cre●com
>>908 逆に人柱PCを用意してわざと感染すればメインPCが安全かどうかがわかるんじゃね?
最近のってなかなか感染しないな どうやったら感染するんだ? なんかちゃんと感染してないサイトも多いんじゃないか
http:// logsoku.com/thread/pc11.2ch.net/sec/1263822552/l50
↑はログ速の過去ログなんだが
これ踏んだらカスペがヒューリスティックで遮断した
しかしgredで「リンク先のページをチェック」のオプションを使用しないと安全だと言われる(リンク先のページのスキャンを行うと改ざんサイトを検出)し、
しかもこれ他でもないこのスレの過去ログだから誰かが直リンで貼った改ざんサイトのURLに反応してカスペが遮断しただけかね?
それともスレ住人が書いたスクリプトにでも反応したのか
>>2 はしてあるしjavascriptも無効でその上仮想ブラウザ使ってるんだがちょっと不安になったもんで・・・
実際のとこ感染するとどんな症状がでるの? 再起動すると立ち上がらなくなったりとか?
ルートキット仕込まれたらなんでも出来るから一概には言えないだろうな ぶっちゃけ何やるかはクラッカーの気分次第なんじゃないかな・・・
だからこそクリーンインストールが勧められるわけか
ルートキットってそんなに見つけ出すの難しいのか ルートキットに仕込まれたものも見つけ出せるようなのを開発したら ノーベル賞取れるくらい難しいの?
ノーベル賞にそういう分野の賞はない
>>918 見つけ出すのは知識があればそれなりに出来るが、
駆除するのは非常に難しい。
それはセキュリティのプロでもルートキットを発見すると即クリーンインストールするほどだ。
>>915 感染させる目的が「利用者を困らせること」じゃなくて
「自分たち(と顧客)がそのPCを自由に使えるようにすること」だから
あからさまな不具合を出すようなことはあんまりない
たまにミスって出ちゃうけどそういうのはすぐ修正される
自由に使って何をしたいかというと、フィッシング詐欺用のサイトを構築したり
スパムメールを送りまくったり、どっかの国の政府関連サイトを攻撃したり
要は犯罪のお手伝いをすることになります
それによってある日突然おまわりさんがおうちに来るかもしれません
>>918 BlackLight使え
といっても、ある種のルートキットは、それでも見つからんけどね。
糞ニーの仕込むルートキット発見した人も、
自分でデバッガ作ってそれで見つけたそうだし
923 :
U.F.O ◆U.F.OnbYNA :2010/04/18(日) 21:29:17
概出だったらスマソ
ガンブラー
ttp://www ●plci●net/egf/?s=shiseldoh
>>923 旧型のタイプ違いが混在
www●plci●net/以下の階層は全滅かな?
禿検索で"window;var" "unescape;var"やってみなー
unescape;this型を除外しても凄い数・・・orz
改ざん疑惑 60●37●110●200/
927 :
名無しさん@お腹いっぱい。 :2010/04/19(月) 11:05:43
こっちの改ざん疑惑はどうですか? wwwwwwwwwww.net/
>>547 > cashingalliance
昨日、有効なスクリプトの再改竄を確認、つーほー。
あちらの鯖缶から午前中に停止等の処置済みの連絡、確認すますた。
>>2 1 済
2 Foxit Reader使ってるので未導入
3 同上
4 済
5 済
6 済
FoxitやPDF-XChangeもJavaScript機能使える環境だから注意
んだんだ。 そういうおいらは Linux使いw
この機会にpdf滅びてくんないかな
>>930 安全第一ならFoxit Readerは避けた方がいい。
安全性よりも軽さの方が大事なら自己責任で使えばいいけど。
ごおgぇどきゅめんとびゅーあーでかいけつやで
会社や役所でのやりとりがpdfなので最早避けては通れない
>>939 変なスクリプトはあるけどウイルスじゃなくね?
>>940 ソース見たけど怪しすぎるだろ、そこ。
trendmicroのアンチウイルス落とすのに、そんなサイト行く必要無いだろ
そもそもスレの流れと関係なく唐突にURL貼ってるのは警戒していい
943 :
939 :2010/04/19(月) 23:10:32
>>942 それは・・俺が掘ってきた陥落サイトも含むのか?
【陥落サイトのURL悪用厳禁】とか
危ないとこは「←アクセス注意」とか書いてるんだが・・・
>>944 スレタイと合ってる分には問題ないだろ
バスターなんてどう考えても関係ない
>>945 では、スレタイ通りの陥落サイトを。
URLがアヤシイのは気のせいだ(たぶん)
【陥落サイトのURL悪用厳禁】
www●god-hand●org ←途中で切れてる
22ch●org/pocketsbs/
連投スマソ
【陥落サイトのURL悪用厳禁】
amyou●net/
↓たぶん全滅↓
ttp://www ●google●co●jp/search?hl=ja&source=hp&q=site%3Aamyou●net
70po●com/pocketsbs/
ttp://www ●google●co●jp/search?hl=ja&q=site%3A*%2Fpocketsbs%2F
絞り込み方法を模索ちう...
>>946 > god-hand
jsが ぁぅぁぅぁー
「写女」っていう着エロ系でそれなりにDVDシリーズ作ってる メーカーのサイトだが、ウィルス警告が出た。 とりあえず間違いかもしれないので注意喚起のためにスレ探し回ってここに書いてみたが、 どうですかね? 公式サイトなんでググればすぐ出るし。
ここは鑑定スレではございません
たぶん感染中だな
952 :
名無しさん@お腹いっぱい。 :2010/04/20(火) 01:44:24
"unescape;var" OR "window;var" OR "document;this" OR "document;var" "false;this" OR "false;var" -javascript -java 下手なワードもOR打ちゃ当たる的な何かorz
sage忘れた…
>>935 横から失礼。Foxitが純正リーダーに次ぐ危険性だとは思わなんだ。
ところで、代替リーダーどれかオススメしてくれないか?
【陥落サイトのURL悪用厳禁】
kagaden●com/haato ←途中切れ
www●shinsei-fukushi●net
www●0120110908●com/ ←ガル繋がり?
www●hd-cre●com/
↓たぶん全滅↓
ttp://www ●google●co●jp/search?hl=ja&q=site%3Ahd-cre●com%2F
誰か新スレ建ててくださいなのです...
>>954 勘違いしてはいけない。逆だ。
ことセキュリティに関しては、今のFoxit ReaderはAdobe Readerより下。
すっかり忘れられてるPDF-XChange Viewer・・・
>>955 > kagaden
index2.phpとindex3.phpが ぁぅぁぅぁー
次スレ逝ってみる。
962 :
961 :2010/04/21(水) 03:20:21
965 :
738 :2010/04/22(木) 01:36:58
>>708 Last-Modified: Wed, 21 Apr 2010 14:36:46 GMT : /content/index.htm
>NPO愛知ネットからのお詫びとお知らせ
(´・ω・`)ショボーン
>>965 理事長:天野竹行>
改竄されていた事を隠蔽せず、告知を行ってください。
【重要】NPO愛知ネットからのお詫びとお知らせ
◆当ホームページを管理しているパソコンがGumblar亜種に感染し、ホームページが改竄されておりました。
◆改竄されていた期間
○月○日○時○分〜●月●日●時●分
◆改竄されていたページ
◆該当期間に当ホームページを閲覧した方へ
セキュリティソフトで(以下略
オンラインスキャンで(以下略
↑こんな感じで。
マトモな対応ができないなら、ホームページを閉鎖してweb上から消滅してください。
どうせアホみたいにちっさいリンク貼るだけだろ
2ちゃんという危険リンク満載のサイトで 何でそんな偉そうなんだ
2ちゃんのリンクは安全さ! なんてったって人柱リンクチェッカーが山のようにいるからな!
970 :
名無しさん@お腹いっぱい。 :2010/04/22(木) 17:17:51
972 :
名無しさん@お腹いっぱい。 :2010/04/24(土) 08:11:29
ここつかわないの?
新スレ立てるのが早すぎたんだろうな 流れがあっちに行っちゃってどうしたものやら 【陥落サイトのURL悪用厳禁】 再改竄、放置プレイ、新規サイトのごった煮です 重複してたらスルーしてちょうだい "unescape;var" "new RegExp" -JAVA -JAVAScript pre21●jp www●sakiko●jp www●shinsei-fukushi●net www●marbell●jp www●ecos-kenya●jp
tp://yamisyoku.info/ これもかな? realshoponline.info:8080/worldofwarcraft-com/google.com/lemonde.fr.php
>>974 テンプレの書き方に従えないならアドレスは一切貼らない方がいい
埋めるか
このサイトを踏まされたんだけど、ここも開いただけでウイルスに感染しちゃうサイトなのかな
どなたか教えてください
http://ime ●nu/amyou●net/?free/n/e/t/download/number=2010
埋めますよ
梅
生め
埋
984 :
979 :2010/04/24(土) 19:53:42
産め
>>984 ちょっとは自分で調べると良いよ
このスレにも報告されてる
さらに埋め
うめ
う
め
埋めます
生め
産め
お
っぱい
1000なら作者は死刑
1000昌夫
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。