【Gumblar/GENO】Web改竄ウイルス総合スレ7【8080】

>>572
/shared/openwin.js
ttp://www.virustotal.com/jp/analisis/d51b3fc0767a5a66e25a06bbc462e31357516a724f334a96a27982fcec06ce78-1270456759

>>573
もう修正されてるお。
Last-Modified: Mon, 05 Apr 2010 11:44:28 GMT

>>572
いま行ったら消えてた。
「人間性を備えた技術集団」を目指すと、改竄は告知なしのこっそり修正になるのか。
胸が熱くなるな。

まだある
Firefoxでwww●digital-as●co●jp/service/index●html
ソースの14行目の/shared/openwin.jsをクリック
ページをコピペしてvirustotalに投げてみそ

>>576
http://www.kakiko.com/check/test.cgi?http%3A%2F%2Fwww%2Edigital%2Das%2Eco%2Ejp%2Fshared%2Fopenwin%2Ejs
http://rd.or.tp/get.php?site=http%3A%2F%2Fwww%2Edigital%2Das%2Eco%2Ejp%2Fshared%2Fopenwin%2Ejs&act=view
http://www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww.digital-as.co.jp%2Fshared%2Fopenwin.js

キャッシュじゃにゃいのか？

http://online.us.drweb.com/result/?url=http%3A%2F%2Fwww.digital-as.co.jp%2Fshared%2Fopenwin.js
>>573の修正後なぬで緑

>>577のVTの結果

誰かが投げたの
http://www.virustotal.com/analisis/18f5d41467bfe3e00870d1e668df8f5fadec3bc0b041c8c97c1d78c14d39ae15-1270477188
File openwin.js received on 2010.04.05 14:19:48 (UTC)
Result: 0/39 (0.00%)

今、漏れが投げたの
http://www.virustotal.com/analisis/18f5d41467bfe3e00870d1e668df8f5fadec3bc0b041c8c97c1d78c14d39ae15-1270480147
File openwin.js received on 2010.04.05 15:09:07 (UTC)
Result: 0/39 (0%)

>>573はヒゲおじさんから次のうｐだてで「Trojan.JS.Redirector.bt」だおって返事きてた。
かすぺユーザーは確認よろ。（VTは更新が遅いから）

>>577
別PCで見たらなかったにゃ

>>579
ﾉｼ

時間も経ってるしとりあえず投げてみた。
http://www.virustotal.com/analisis/d51b3fc0767a5a66e25a06bbc462e31357516a724f334a96a27982fcec06ce78-1270483429
File www.digital-as.co.jp.openwin.js received on 2010.04.05 08:39:19 (UTC)
Result: 5/39 (12.82%)

まだ、更新されてないのね。

>>580
× File www.digital-as.co.jp.openwin.js received on 2010.04.05 08:39:19 (UTC)
○ File www.digital-as.co.jp.openwin.js received on 2010.04.05 16:03:49 (UTC)

念のため
http://www.virustotal.com/analisis/ed0ebd67eb843594cb0b87476e488e1e0fe44c32bc8afd85d2feef157372cf78-1270455682
File www.digital-as.co.jp.index.html received on 2010.04.05 08:21:22 (UTC)
Result: 7/39 (17.95%)
↓
http://www.virustotal.com/analisis/ed0ebd67eb843594cb0b87476e488e1e0fe44c32bc8afd85d2feef157372cf78-1270483925
File www.digital-as.co.jp.index.html received on 2010.04.05 16:12:05 (UTC)
Result: 7/39 (17.95%)

相変わらずavastは頑張ってますな
ありがたやありがたや

digital-as●co●jp中の人がスレに常駐してたっぽいなｗ
こんなところを見てる暇があったら「告知(お詫び)」書け。

■サイト改ざん(1)「告知せず」で感染拡大の恐れ〜負の連鎖を断ち切るために
ttp://www.so-net.ne.jp/security/news/library/2112.html
>改ざんされたサイトを閲覧し、不幸にもウイルスに感染してしまった人たちは、
あなた方が知らせなければ、今も感染に気付かないままでいる可能性が高いのだ。
>Webサイトの管理者や運営者の方たちは、できるだけ迅速に改ざんされていた期間と場所を告知し、
この負の連鎖を断ち切れるよう尽力いただきたい。

■インシデント報告の届出(JPCERT/CC)
https://www.jpcert.or.jp/form/
報告もしろよ＞digital-asの糞シス管

>>584
>>566さんとは別に漏れもめるぽした時にセキュリティ通信のそのアドレスも含めて送ったお。
toで同時に送ったCPIからは返事きてた。
JPCERT/CCにはccで同時に送ったお。

デジタルアソシエーション 株式会社 にはせめてIPAに自社のホームページが改竄を受けてトロイをばら撒いていたことを自己申告してほしい。


　　　γ⌒ヽ
　　＜　・､,,,;;,）　　　　　　ﾊ,,..,,ﾊ
　 ＜　つ＝つ　　　　　/;;・ω・;;ヽ
　 ノ　　 ﾉ三）　　　　　(;(　^^^　);)
∠、　m）＝m） 　 　 　 `'ｰ---‐´


いかんな、もう修正されたしいい加減スルーするとこだけど>>565だからなぁ…

>>585
【主な取引先】
NECシステムテクノロジー株式会社
株式会社NTTデータアウラ
株式会社NTTデータ関西
株式会社大阪第一食糧
京セラ　コミュニケーションシステム株式会社
スミセイ情報システム株式会社
住友化学システムサービス株式会社
デジタルプロセス株式会社
ニッセイ情報テクノロジー株式会社
日本電話施設株式会社
パナソニックAVCマルチメディアソフト株式会社
株式会社日立システムアンドサービス
株式会社富士通九州システムズ
富士通テン株式会社
富士電機ＩＴセンター株式会社
三井情報株式会社
安川情報システム株式会社

日本アイ・ビー・エム株式会社
みずほ銀行
三井住友銀行
りそな銀行


上記の企業を相手に商売してて「逃げ(告知無し)」がバレたら
倒産フラグ成立間違いなしだろうなｗ

>>586
( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼/ ＼

http://www.nca.gr.jp/member/index.html
ここの会員でJPCERT/CCから情報の共有があって、関連会社との連携が深ければ ぁぅぁぅ

>>586
どうせ特定派遣で人材出してるだけだろうから
派遣されてるヤツが派遣先で問題起こしたとかじゃなければあんまり影響ないよ。
取引先のWebサイトとかを制作してたとか、
顧客のPCをGumbler攻撃で感染させちゃったとかなら契約切られる可能性もあるが…

銀行系にはそんなずさんな企業と取引があることが
信用不安になるからそれなりに効果ありそうだけどね。

釈明報も掲示しないで隠蔽しようとする会社って…

銀行は単に融資を受けてるだけじゃねw
融資銀行だって取引先に書くだろうし、この程度で信用不安になるなら
もっとマスコミが騒ぎ立てるだろ…

【陥落サイトのURL悪用厳禁】
中途半端なコード撤去、再改竄、絶賛放置中とか･･･
posh-e●com/index10●htm
pacific-staff●net/
hoikuen●19th●org/
cre2cash●2pg●in/ ←朝日オート(sunrise●2pg●in/)と同じく<!--<script>-->

>>592
コメントアウトとかアホな対応してるな…

> <!--<script>-->
これって一応、無効化してるんだ

>>592
醤油みてる最中だけど新型？
＞ hoikuen●19th●org/
bestdarkstar●info:8080

自己レス
91.121.117.37
gnomeさんとこで確認すた。。。

94.23.159.128になった。
これもgnomeさんとこで確認

>>592
あーーっ！
> hoikuen●19th●org/

http://bestdarkstar●info:8080/google●com/blogcatalog●com/orbitdownloader●com●php

.info 浸食

</script><noscript><div style="position:absolute;">
<img width=1 height=1 alt="" src="http://b3.yahoo.co.jp/b?P=
FBGG7XxTw7GuMbELS3k.QhJAeWYvBUu7D_gAAyR9&T=13vm0jrtv%2fX%3d1270
550520%2fE%3d2079744651%2fR%3djp_r25%2fK%3d5%2fV%3d3.1%2fW%3dJ%2fY
%3djp%2fF%3d3785814215%2fQ%3d-1%2fS%3d1%2fJ%3d52C3537C"></div></no
script>
これは?

>>595
かぶった

>>597
いまはこの5個セット
195.160.200.36 GB:AS44949 (GIGACODES)
77.241.93.114 BE:AS34762 (COMBELL)
91.121.117.37 FR:AS16276 (OVH)
91.121.169.6 FR:AS16276 (OVH)
94.23.159.128 FR:AS16276 (OVH)

OVH死ねよ

>>599

ビーコン用GIFかな

>>592
sunrise●2pg●inも変わってる
-> snoreflash●ru:8080

2pg●in消えたっぽい？
>>602ソースアーカイブでけんかった。。。orz....

>>595-603
天然で新型を引っ張ってたみたいだぬ（苦笑）

>>598
.ruドメイン管理厳格化の影響だな
次は.infoか…

>>564-591
【お詫び】ホームページ改ざん被害について
Last-Modified: Tue, 06 Apr 2010 12:53:17 GMT ttp://www.digital-as.co.jp/newstopics/2010/04/post-8.html

>>606
これ、説明として正しいのか？
自分とこの管理用PCが感染して、それでサイト更新しただけだろ？

本当に管理用PCだけが感染してたかはわからんしな
他にもあるんじゃなかろうか

まあでも一応不正アクセスではあるんじゃね
広義では、管理者の意図しないアクセス＝不正アクセスらしいからな

やはりOS再インストールしろとは書かないのね…

書けないでしょね。。。



>>573-582あたりの続き

http://www.virustotal.com/analisis/d51b3fc0767a5a66e25a06bbc462e31357516a724f334a96a27982fcec06ce78-1270563397
File www.digital-as.co.jp.openwin.js received on 2010.04.06 14:16:37 (UTC)
Result: 7/38 (18.43%)
Avast 4.8.1351.0 2010.04.06 JS:Illredir-AL
Avast5 5.0.332.0 2010.04.06 JS:Illredir-AL
DrWeb 5.0.2.03300 2010.04.06 JS.Redirector.based.2
GData 19 2010.04.06 JS:Illredir-AL
Kaspersky 7.0.0.125 2010.04.06 Trojan.JS.Redirector.bt
NOD32 5004 2010.04.06 JS/TrojanDownloader.Pegel.AB
Sophos 4.52.0 2010.04.06 Troj/JSRedir-BB

http://www.virustotal.com/analisis/ed0ebd67eb843594cb0b87476e488e1e0fe44c32bc8afd85d2feef157372cf78-1270563154
File www.digital-as.co.jp.index.html received on 2010.04.06 14:12:34 (UTC)
Result: 11/39 (28.21%)
Avast 4.8.1351.0 2010.04.06 JS:Illredir-AL
Avast5 5.0.332.0 2010.04.06 JS:Illredir-AL
BitDefender 7.2 2010.04.06 Trojan.JS.Clicker.ABW
DrWeb 5.0.2.03300 2010.04.06 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.06 Trojan.JS.Clicker.ABW
GData 19 2010.04.06 Trojan.JS.Clicker.ABW
Jiangmin 13.0.900 2010.04.06 Trojan/JS.Pegel.a
Kaspersky 7.0.0.125 2010.04.06 Trojan.JS.Redirector.bt
NOD32 5004 2010.04.06 JS/TrojanDownloader.Pegel.AA
nProtect 2009.1.8.0 2010.04.06 Trojan.Script.397566
Sophos 4.52.0 2010.04.06 Troj/JSRedir-BB

んで>>595-603あたりでやった分

http://www.virustotal.com/analisis/9afe33fa08cea6979affa902512999d9df95078a07290cdef0aeda02b9b7370e-1270556815
File hoikuen.19th.org.html received on 2010.04.06 12:26:55 (UTC)
Result: 2/39 (5.13%)
Jiangmin 13.0.900 2010.04.06 Trojan/JS.Pegel.a
NOD32 5003 2010.04.06 JS/TrojanDownloader.Pegel.AA

ソースだけにしたブツ
http://www.virustotal.com/analisis/5f943b2b2e48467b0a934a6eb5eac41319ed71c9fe3a5b71346cabfe2446dc1f-1270557088
File 19th.org.txt received on 2010.04.06 12:31:28 (UTC)
Result: 0/39 (0%)

>>610
avast以外のフリー系には期待出来んな

>>612
得手不得手があるよ
Gumblar.xだとAVGがよかったりする。
>>611はほぼ全滅なぬで国ドメイン（IPアドレス）変えただけでも脅威になるのね。。。
個人的にイパーイ検体出してるけどユーザーじゃないから届いてないかもしれにゃい。。。orz.....

>>613
メールなら関係ないと思う
俺はユーザーだけどメールで検体出してるし、2回ほど返事が来たこともある
まぁavastはめったに返事来ないがな

>>606
>2. 不正アクセスにより改ざんされた対象期間
2010年3月25日(木)6：00　〜　2010年4月5日(月)23：00

>>564 ：コテハン ◆8080adndqg ：2010/04 /05(月) 14:34:45
ここに投下されて凸られるまで「気づかなかった」としたら最悪だなwww

>>614
AVGはツンデレ（死語）でねぇ、一度も返事がなかったんだけど
解パス間違えて送ったら、パス合わねぇーって返事北。
同時に出したかすぺはパス解読して対応の返事北。ｗ

>>615
注意：醤油に反応する場合があります。
Last-Modified: Thu, 01 Apr 2010 13:17:22 GMT : ttp://megalodon.jp/2010-0405-1616-22/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww.digital-as.co.jp%2Fcompany%2Findex.html
多分気づかなかったんですね

>>616
1回は検体提出感謝の返事がスペルミス付きで来たｗ
1回は添付忘れて送ったら、4日後に「添付がねぇ」ってサポートからメール来た

>>617
みんなやっちゃうなぁｗ

ここんとこパス合ってるけど圧縮ファイル名間違えて送ること数回。
顰蹙買い捲ってそうです＞＜

>>615
期間長っ！　終わってるな・・・

>>612
スクリプトが検知できないから期待できないと言うのは早漏だろ。
スクリプトを踏んだ時点で検知できればそれに越したことはないが
肝心なのは現物がDLされる前に検知できるかであって
検知できれば結果は同じことだ。


その現物を持っていないから検知できるか知らんけどね。

bestdarkなんとか踏んだ時にJava6アップデート19(ビルド 1.6.0_19-b04)のアイコンがタスクトレイに表示されたんだけど、これ感染してるんでしょうか？
>>2はやってるはず。adobe readerは半年以上前にアンインストールしてある

重複してるのはぢめて見た･･･

【陥落サイトのURL悪用厳禁】
www●jc-consulting●jp/ ←絶賛放置中
↓
hXXp://bestdarkstar●info:8080/google●com/blogcatalog●com/orbitdownloader●com●php
コードは>>598と同じなんだけど･･･
<!--562ba23ffcf28efa4f71fc787258d3d3-->
<!--e62178df1fa90a28d1b2efa8443ab220-->
謎の文字列が謎...

はずじゃなんとも言えませんなあ
心配ならOS入れなおし推奨

このスレで質問しても無駄だぜ
「感染してるかもと思ったんならクリーンインストールしろ！」で終わりだから

実際それが一番確実だろうしな

info:8080の拡散が始まった？
http://www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.jc-consulting.jp%2F&x=23&y=13

at:8080
http://www.aguse.jp/?m=w&url=http%3A%2F%2Fnetnavi.boo.jp%2Fleopalace%2Flink%2F&x=55&y=12

やばいねー

引き続き*:8080/をブロックでおｋかな？

【陥落サイトのURL悪用厳禁】
www●toutyann●com/
↓
hXXp://snoreflash●ru:8080/360-cn/google●com/thesun●co●uk●php

また重複しとる...

>>626
いいんじゃね。
8080全弾きは誤爆するという奴もいるけど、そんな事例見たことないし。

>>625
hXXp://helphomecare●at:8080/ultimate-guitar-com/google●com/livedoor●biz●php
at:8080/もでつか･･･ orz

>>626 *:8080/* ブロックでおｋ。
巻き込みで阻止られるサイトはURLが悪い（笑）

仮に :8080/ がアドレスに含まれる真っ当なサイトがあったとしても、そのときは一時的に
ブロックを解除すればいいだけだしな。

http://rd.or.tp/get.php?site=http%3A%2F%2Fwww.jde-net.co.jp%2F&act=view&ua-freetext=Mozilla%2F4.0+%28compatible%3B+MSIE+8.0%3B+Windows+NT+6.1%3B+Trident%2F4.0%29&ua=none

http://rd.or.tp/get.php?site=http%3A%2F%2Fwww.chanwoomul.net%2FNicecart4plus%2FShop%2FMember%2Fjoin_agree.html+&act=view&ua-freetext=Mozilla%2F4.0+%28compatible%3B+MSIE+8.0%3B+Windows+NT+6.1%3B+Trident%2F4.0%29&ua=none

> Found iFrame!
誤検出かな？

>>631
上: 269, 270
下: 1053, 1054

にそれぞれ<iframe></iframe>があるぜぃ

Avira10premium使ってみたがwebリダイレクトは問答無用でブロック。
offにするにはwebGuardを無効にするしかない。i-frameに対する設定は出来る。
なんでもクリックするヤツには良いかもしれん。

>>631
jde-net●co●jp センセイの診断結果
>このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。

センセイ激怒中ｗ

>>633
なんでもかんでもクリッコするやつは
パソコンを使わない方がいいと思うｗ

ABP 1.1.3ですけど

|http://*:8080*

でおｋ？

>>650
ttp://www.aguse.jp/?m=w&url=www.footsal-club.net&x=30&y=19
ttp://www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.unique-gifts-ideas.com%2Fcontact_us.html&x=39&y=16

阿斗ちゃん増殖中…

http://rd.or.tp/get.php?site=ayaka.echoll.net&act=view&ua-freetext=Mozilla%2F4.0+%28compatible%3B+MSIE+8.0%3B+Windows+NT+6.1%3B+Trident%2F4.0%29&ua=none
ここ出てたかな

ごめんミス
>>625でした・・・

新コードに絶賛更新中
【陥落サイトのURL悪用厳禁】
fleur●webinfo●jp → loadtube●ru:
dog-g-club●com → helphomecare●at:
f39●aaa●livedoor●jp/~miyui/archives/cat3/cat10/index●html → helphomecare●at:
miyagi●007champagne●biz/asobo → youhelpnow●ru:
dxenglish●value-net●net/index●html → bestdarkstar●info:
--
発掘中にみつけた8080じゃないやつ
www●bestofunder●com/ ←アクセス注意

8080ではなく懐かしのGumblar.xちゃん
moebox●com/main●html

たぶんもっと前から改ざんされてたとおもうけど一応貼っとく
Last-Modified: Sun, 04 Apr 2010 23:20:30 GMT

でもドメインが新しいのかこれ
.irってイランか
初めて見たわ

>>639追記
aguseのソースをまとめてDLしてくれるの便利だね
/js/table.js や /js/lk.js にてんこ盛りされてて吹いた

ずっと修正されないまま更新され続けてるっぽいなあ
同じURLが連続してるとこから手動ではなく自動っぽいことが伺える
まあLast-Modified: も近い時間になってるしね

>>638
注意のURLを踏んでしまったOTZ
とあるインドの”コンピューターの危険にさらされる”サイトに飛ばされた

ちょうしこいて踏むんじゃなかったぉ・・・

www●bestofunder●com/
↓2ヶ所に飛ばされる
zeneey●com/email/znystyle.phpとzeneey●com/は踏んでしまったOTZ
nt01●co●in/3　はセクルチーが防いで踏まずに済んだみたい…

zeneey●com/は感染サイトだから、今月中にOSの再インストールするぉ！

>>622
> <!--562ba23ffcf28efa4f71fc787258d3d3-->
> <!--e62178df1fa90a28d1b2efa8443ab220-->
> 謎の文字列が謎...

この文字列が有る無しでもセキュリティベンダーによっては検出しない場合があるね。
つか、avast!対応早杉、頑張り過ぎだろｗ

http://www.virustotal.com/jp/analisis/073b35436e7d1826fffeddb9ba86dbbda88b31ff0f313434cc192ab448b0598b-1270798114
http://www.virustotal.com/jp/analisis/576625dfc92ddec9c083a0be35955bcbbb2ccc00e8fa10529593b1d9fd66fa45-1270798218
http://www.virustotal.com/jp/analisis/64e5f4361d53c04a3507ccd0f5fa26f825334712f067cb1ca13a0752d5004cf6-1270798308
http://www.virustotal.com/jp/analisis/196b6cc52572a0df14fa9464d23791ae672ff96a7d193d232e4391d290b6a030-1270798380
http://www.virustotal.com/jp/analisis/bf1442e8539eff69b8cc1030558336386fe37ced27486f4781d1ac13cfb99606-1270798440
http://www.virustotal.com/jp/analisis/a8b209ae2b1c3763d0a2c594f707dc508e37321bd243b9e6651c541ca97d84c1-1270798557
http://www.virustotal.com/jp/analisis/c8cdcb6c4c477d5003838dfebc02a83c5988514cc043069d8358b5b5dee17dbc-1270798655
http://www.virustotal.com/jp/analisis/5a293d97eb69fc9b774679863c8702048de6d6f3b5fc701ae81b3309181fde3b-1270798725
http://www.virustotal.com/jp/analisis/aef4d81b737da5ed04e1baf7055584392e6e5bb9cbcda7003feb6463199e5c32-1270798795
http://www.virustotal.com/jp/analisis/ea69840abf9a2e9d0614bfae8968951493ad27439900fb4d4742422d069d5abb-1270798870
http://www.virustotal.com/jp/analisis/f972bd8e899ff3faf7d96441af889eb3382705badca99ebe6b96b2405b5102b7-1270799054
http://www.virustotal.com/jp/analisis/2368c9df63ed57807419bc6bd8549a8a4c8d5d7da87a0e823f30a7406da595df-1270799145
http://www.virustotal.com/jp/analisis/7688fcc5d7ff528a345f2fed476550887b3d979791431436a861b585c5ed91c9-1270799251
http://www.virustotal.com/jp/analisis/a5dce97142a62462733d934cb253aea387371ce9356f7b6a14ac135b72ca7ce8-1270799355

きゅ〜い！きゅ〜い！（ｷﾘｯ

【陥落サイトのURL悪用厳禁】
www●ferahdondurma●com ← アクセス注意！
※改竄されすぎててよくわからんｗ

neta-script●lionking●jp/ (.at:8080/)
8080系のスクリプトが最大の仕込み？


携帯オンリーで掘るのは厳しいゾ･･･とｗ

ところでなんでVTのスキャンに使われているカスペってバージョン古いんだ？
VTのスキャン結果でカスペがスルーして「ウイルス検出できない！カスペオワタ！」
って言われるのはカスペ信者としては見過ごせないのだが。

面倒くさいからじゃないか？ｗ

>>647
だれうまｗ

www●e-tokunaga●co●jp/contents/house_dock/index●html
www●vericapandilovska●com●mk/
this●is/ausgot/
at:8080

capvex●com
egujarat●net
info:8080

reagold●com
カスペに蹴られた…ウイルスか？

>>650
>reagold●com
色々仕込んであるというか･･･元のページの面影が無いｗ

・<!-- ad -->
・Gumblarっぽいやつ
・var I={j･･･
・var Il1I1111I1=function

www●e-tokunaga●co●jp/pc/free06●html

動画って見るのめんどいよなあ
LACCOTV: 「Gumblarの脅威！新たな危険挙動を追跡中！」
http://www.youtube.com/user/laccotv#p/u/0/R1t4QPIRzsg

>>621
> bestdarkなんとか踏んだ時にJava6アップデート19(ビルド 1.6.0_19-b04)のアイコンがタスクトレイに表示されたんだけど、これ感染してるんでしょうか？

JREのアップデート通知でしょ。
Java 新版登場。27 種類の欠陥が修正されている。
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/04.html#20100401_Oracle

Javaの実行プログラムが呼ばれてタスクトレイにでてきたんじゃないの

すみません教えてください
見たいサイトがあってグーグルのキャッシュというところをおして見ようとしたら
avastに警告され、キャッシュのURLを入れてチェッカーに掛けたら
外部へリダイレクトされていますと赤字で出ましたが
マルウェアが検出されないと出ます。
これってウイルスサイトではないってことですか？

見たかったサイトはur-chintai.infoというところです。

>>657
仮想マシン一台作って見にいってみたけど
403エラーで何も見れません。
心配なら、OSの再インストールを勧めます。

ur-chintai.infoは以前ガンブラーに感染してたんだよ
今はアクセスできない
キャッシュは感染してる

すいません、ガンブラーって手動削除可能でしょうか？
なんかウィルスバスター起動しなくて、、、

www●geocities●jp/owari_ka_ra/
www●geocities●jp/o_tweb/
www●geocities●jp/shimilw/

>www●geocities●jp/owari_ka_ra/
懐かしのCODE1

>>658
>>659
ありがとうございました。感染してたur-chintai.●infoはなくなったのに
キャッシュで感染するんですね・・・
ａｖａｓｔでＨＤＤ検査して一応ウイルスなかったのですが
カスペでもやって見つかったら再インストールします・・・

>>663
avastが防いでくれたから問題ないだろ

www●kyoudoumusen●jp

freett●com/takarafune
www●tirashi●jp/　ここも全然対処しない

ss-gaido●info

ふりちけは存在自体がウイルス（広告的な意味で）

avastスレより
partsdepot●jp/

チキンな私のかわりにどなたかよろしく。。
www●gozaisho.co●jp

右下に「やんちゃ爆弾」てのが出ていて、難読化されています。
ググってみたら、やんちゃ爆弾自体はブログパーツのようなんですが、
ロープウェイの公式サイトにこんなオモチャを仕掛けるって、普通の企業なら
あり得ないと思うのですが。
そもそも、難読化する必要性がないですよね。他の部分は普通に読める
アドレスで貼ってあるのに、ｏｐｅｎの部分のみ。

既存のものを利用した新たな改竄ってことはないですか？
それともこれが普通の形態？

考えてみたら、ブログパーツ部分に仕掛けられたら、危険性認識せずに
押してしまう人はたくさんいそうだ。。

>>670
解読結果

　 　　　*　　　　　　*
　　＊　　うそです　　　＋　　
　 　　 n ∧＿∧　n
　＋　(ﾖ（* ´∀｀）E)
　 　 　 Y 　　　 Y　　　　＊

ｗｗｗｗｗｗ

>>660
無理
セキュリティソフトが起動しない時点でいろいろやられてるってことです
OS入れなおしましょう

>>663
キャッシュなら安全とおもうほうがおかしいよ
単純に考えてコードをそのまま保存するんだから攻撃スクリプトも保存されるでしょ

1994年生まれの人集まれ！★3
http://gimpo.2ch.net/test/read.cgi/nendai/1269784099/

>>674
マルチ死ね

やっぱavast入れとくか

何使おうがやるべき事やっていれれば今のところは感染のしようもないけどな。

>>2の対策だけで心配なら以下の変更もやっておく可
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797
Java Runtime Environment
http://this.is/ausgot/?id=forum/serious-new-java-flaw-affects-all-browsers-040910

下のURLあやしすぎわろた

>>678
俺の貼った陥落サイトのURL使ってんじゃねーよクソが
http://www.aguse.jp/?m=w&url=http%3A%2F%2Fthis.is%2Fausgot%2F%3Fid%3Dforum%2Fserious-new-java-flaw-affects-all-browsers-040910+&x=55&y=13

>>680
管理者氏名がパッと見Gumblarに見えたｗｗｗ

>>670
ここは鑑定スレではありませぬ。

>>678
下段のURLは8080系の陥落サイト。
easyfunguide●at:8080/

「陥落サイトが増える(かもしれない)」から
遊びで貼るのはやめましょう。

http://www.avast.com/virus-monitor
JS:Illredir-AQ(＝8080)の増え方が激しい…本日の検出数は上から5番目
盛大に拡散中ですなｗｗｗ

ここで話していいかわからんけどgredのURL入力欄で http://　ってのいらなくね？
消すのメンドイ

【陥落サイトのURL悪用厳禁】
jyo●eisuku●com/home/
adgaw●com/lovesheet/index●html
www●borneomarathon●com/jpn/home●html ←旧型

けんさくわーど："new String();" "new Date();" "new Array();" -JAVA -JAVAScript
site:jp の検索結果 約 160 件
site:cn の検索結果 約 490 件
site:ru の検索結果 約 1,860 件 ←ｗｗｗ

お前らなんでこんな詳細にウイルス分析してんだよｗｗ
セキュリティベンダーに就職しろｗｗｗ

www■tirashi■jp/
トップはメンテ中になってるが他のページがネット上に残ったまま
www■tirashi■jp/tmp/flyer_zooma/ZcyyxafVGp_129/

www■niaufuku■com/sense_up/index■htm
書き込みに失敗しているところが掛ったと思ったら
www■niaufuku■com/index■htm
他のページは成功してるらしい。

bag■fukunekodo■com/mindex/　携帯向けのサイト
と思ったらfukunekodo■com/　上にあるサイトが全部やられてるっぽい

wagashi■fukunekodo■com/index/
shochu■fukunekodo■com/index/
nihonshu■fukunekodo■com/index/
sweet■fukunekodo■com/index/
cosme■fukunekodo■com/index/
make■fukunekodo■com/index/
car■fukunekodo■com/index/
mens■fukunekodo■com/index/
pc■fukunekodo■com/index/
baby■fukunekodo■com/index/
diet■fukunekodo■com/index/　たぶん他にもあると思う

失敗？
inner■fukunekodo■com/index/
fashion■fukunekodo■com/index/
acces■fukunekodo■com/index/
golf■fukunekodo■com/index/
meet■fukunekodo■com/index/
bekkan■fukunekodo■com/index/　

どっちもru:8080

>>665
ホームページ制作会社
Collco - 株式会社コルコ
ttp://www●collco●jp/works/index.html
↑
ttp://www.virustotal.com/jp/analisis/5b775a22571016560950fe2bd81349e73163483a3e199beb7292c32612555b37-1270944263

世もまつだww

コルコ倒産しろ

>>689
世も末(すえ)な
日本語は正しく使いましょう

マジにネタレスｶｯｺｲｲ

>>688 fukunekodo●com
絞り込んでみた
ttp://search●yahoo●co●jp/search?p=site%3Afukunekodo●com%2F+%22function%22&ei=UTF-8&fr=top_ga1_sa&x=wrt
検索結果 約193件(多少の巻き込み有)

>>689
www●collco●jp/
↓巻き込み改竄↓
www●kyoudoumusen●jp/

／(^o^)＼やっちまった
･･･ということだなｗ

>>693
fukunekodoひどいな

コルコはorz×100000000000

利用されるくらいならやめちまえと書き込みを控えるつもりでいたが、
ちょっと気になったので賢明な諸兄の判断を仰ぎたく・・・

http://www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.aparajeyo.org%2Findex.php&x=53&y=7
> www●saidenterprise●com:2095/login/

ウイルスかな？
違ってたらすまない、本当に少し気になっただけなんだ

>>695
www●aparajeyo●org/index●php
avastが反応、JS:Illredir-AL

絶賛崩壊中ｗ
ソース見た限りでは.ru:8080だな
下のアドレスはどこから？

と思ったら下にあったのかorz
Web Mailって書いてあるから、ポート2095はたぶん関係ないと思う

>>696
すまない、ありがとう

【陥落サイトのURL悪用厳禁】
www●nadara●jp ←途中で切れてる
npo-aichi●or●jp/ ← ＼(^o^)／
creole●jp/
kumarin●biz/

npo-aichi
4発(本文3発.js1発)仕込みｗｗｗ

しかし何で途中で切れたりするんだろ

www●amakusaturigu●com
hrhr●sakura●ne●jp ←ブログ？

>>700
それはいつも思う、どうしてだろうね？

650のままだった事と、>>636で未来の自分に安価打ってた事に
今頃気が付いたｗ

名無しさんに戻りますね

加速度的に被害広がってるのに、話題的にはどんどん静まってきてるのはなんでだろう
現実逃避？

ttp://headlines.yahoo.co.jp/hl?a=20100409-00000031-inet-secu

そういえば、cmsツールの脆弱性とか聞いた覚えがあったw

iner●kz/index2●php

Googleにリダイレクト
77●221●153●178/go2/in●phpの代替かも…よく判らない


>>703
対策取っとけば怖くない現実に辿り着いたんだよきっとｗ

誰も感染しなくなって、ガンブラーが廃れて、このスレも要らなくなる
それが何より望ましい事なんだからそれはそれで良い結末だけどね

>>704
これ以降の話？
ttp://www.itmedia.co.jp/enterprise/articles/1004/08/news068.html

>>705
前にHP作成会社に聞いた話で
複数のHPを管理していて改竄されたのが一つだけ
自動更新するソフトを使ってるHPだけが改竄されたとか
IPAと警察庁に報告する様お願いしたけど

んで、今日同じ様な話しを聞いて思い出したw

>>703
対策や予防方法が広く認知されるようになったからだろう。
わかっていても検証コスト等の理由で後手に回っているサーバの改ざんは広がっていても
閲覧するだけの個人ユーザに被害が及ばなくなれば話題としては収束するさ。

>>700
npo-aichiはサイト内全滅でござる
/content/include/xoops●js
/content/modules/xhld0/phpdate●js
/content/modules/xhld1/phpdate●js
/content/modules/xhld2/phpdate●js
/content/modules/xhld3/phpdate●js
jsも全滅ｗ

これはひどいｗｗｗ

報告アドレスが結構悪用されてるな
感染を広げる一因にもなってるんじゃねｗ

報告アドレスを難読化させればよいんじゃね？

>>711
おまい頭いいなｗｗｗ

> 報告アドレスを難読化

こんな感じかな？
http:%2F%2Fwww.jc-consulting.jp%2F
http:%2F%2Fwww.amakusaturigu.com%2Fhtml%2F
http:%2F%2Fwww.niaufuku.com%2Findex.htm

ちなみに踏んでも無害だから安心しる！

>>713
こゆのはどないだ？(苦笑
687474703a2f2f7777772e6a632d636f6e73756c74696e672e6a702f
687474703a2f2f7777772e616d616b7573617475726967752e636f6d2f68746d6c2f0d0a
687474703a2f2f7777772e6e69617566756b752e636f6d2f696e6465782e68746d0d0a

この程度でいいんじゃね？
aHR0cDovL3d3dy5leGFtcGxlLmNvbS8K
aHR0cDovL3d3dy4yY2gubmV0Lwo=
aHR0cDovL3BjMTEuMmNoLm5ldC90ZXN0L3JlYWQuY2dpL3NlYy8xMjY4MDU5Njg0Lwo=

javaに0dayだってさ。

>>714　へっくし案
>>715　はっぱ案

d3d3LnNha2lrby5qcA==
こうすれば良いんだな？

\x68\x74\x74\x70\x3a\x2f\x2f の時は捜しやすかったんだが･･･
発掘されやすいから %68%74%74%70%3a%2f%2f こうしたのかな？
↓
ttp://search●yahoo●co●jp/search?p=%22%5Cx68%5Cx74%5Cx74%5Cx70%5Cx3a%5Cx2f%5Cx2f%22&search.x=1&fr=top_ga1_sa&tid=top_ga1_sa&ei=UTF-8&aq=&oq=

aHR0cDovL3d3dy5hZ3VzZS5qcC8/bT13JnVybD1odHRwJTNBJTJGJTJGd3d3LmRhaW5pLXN1cnZleS5jb20lMkYmeD00NiZ5PTQ=
ここって1回閉鎖したんじゃなかった？

www●bandoolshien●com

nodさんが反応しました

難読化云々よりここに晒す前に凸ってればいいのでは？

凸だけじゃどうせスルーされるか隠蔽されるだけだから公表すべきだけど
みんなに知らせるって意味じゃ難読化してちゃ意味ないんだよな

まあ2chに貼られたURL無用心に踏む奴もなあ
俺は2chに貼ってあるURLは全てgredとaguseでチェックしてるけど

そこらへんはひっかかるほうも悪いよな
グロでもウイルスでも2chじゃ無用心に踏む方も悪い
グロ踏んで学習するかウイルス踏んで学習するかの違いだろう
貼るバカを肯定するわけじゃないけどな

張るバカよりも踏むバカのほうが悪いって感覚が蔓延してる限り悪用はなくならんよ
不特定多数の人間がいる場所では常に用心はすべきだというのは紛れもない事実だけどね

URL貼られることの多いスレとかはテンプレに　
※貼られたURLが安全だということは保障できません　踏む前に必ずブラクラチェック等行いましょう※
くらい入れてもいい気はする

ドライビングバイダウンロード攻撃突撃ｨ！

どこへドライブ行くんだよ

不利な対策ソフトを使っている人は不幸だねぇ

ガンブラー系に限ってならDr.WEBが強いから心配な人は使ってみれば

Dr.WEB リンクチェッカー
http://drweb.jp/support/link_checker.html

コマンドの例
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK
Gumblar/8080 Checker=http://ec2-204-236-148-61.us-west-1.compute.amazonaws.com/$TEXT$LINK

www●collco●jp/
コルコの方、こっそり修正している様ですが
告知はまだですか？

先程は検討をしてると言っていましたね
未だに告知をしていない様ですが…

それとね、貴方達は修正したつもりなのでしょうけど
リダイレクターはまだ残っているのです
改竄は完全には修正されてはいないのです

他の方からメールで教えて貰った事を全て完全に実行しなさい
>>584を心に刻み、心を入れ替えなさい
真摯な姿勢こそが大切だとは思わないのですか

>>733
せめて安価は>>606にｗ

＞ リダイレクター
確認すた。。。。

情報処理推進機構：情報セキュリティ：ウイルス・不正アクセス届出状況について（3月分および第1四半期）
http://www.ipa.go.jp/security/txt/2010/04outline.html
＞ ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
＞ ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
＞ ・ 改ざんの事実の説明
＞ ・ 改ざんされていた箇所
＞ ・ 改ざんされていた期間
＞ ・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害（ウイルス感染など）の説明
＞ ・ ウイルスのチェック方法の説明（必要に応じてオンラインスキャンサイトの紹介など）
＞ ・ 問い合わせ用窓口の連絡先

>>733
それについてはエヌピーオー愛知ネットも気になるね

昨日、NPO-AICHIの登録担当と技術担当、倉敷CATVの技術担当のメアドに
aguseの調査結果を送ってさしあげたら何の説明もなしに閉鎖してたさ

"災害時の確実な情報伝達を目的とするNPO法人"とか何のジョークだよｗ

>>736
役に立たない鳩耳に密告しておくか・・・・

>>736
ｲ牛のNPOからスクリプトは除去したってメルきたお。
その時点ではスクリプトはなくなってた。
IPAに被害報告してってことと>>735のこと書いて返信したら403になった。
思案中かも。

>>738
おやそうでしたか、それは失礼しました…

明日の朝までに緑になってますように (-人-)
ttp://www.google.com/url?q=http%3A%2F%2Fonline%2Eus%2Edrweb%2Ecom%2Fresult%2F%3Furl%3Dhttp%253A%252F%252Fwww%252Ecollco%252Ejp%252Finquiry%252Findex%252Ephp

JAVA Web Startの0-day対策は

javaws.exeをHIPS等で無効化
Firefoxだったら、Java Deployment Toolkitプラグインを無効化

とかでいいのかな？
どうも情報が少なくてよくわからない。

これか。

ttp://japan.cnet.com/news/sec/story/0,2000056024,20411906,00.htm
>　Ormandy氏がこの脆弱性についてSun Microsystemsに連絡したと
>ころ、四半期ごとの通常の修正パッチ公開スケジュール外でパッチを
>公開するほど緊急度が高いとは考えていない、との返事だったという。

またしばらく放置される訳ですね、わかります。Sunはマジで死ね。

>>736
倉敷CATVも感染してたのか・・・実家の地元局でケーブル引いてるだけになんか凄い残念だな

>>740
指摘されないとわからないバカの集団らしいなｗ
/inquiry
<!--トロイを絶賛配布中！（無料）-->
↑追記しておけｗｗｗｗｗ

>>743
whoisかaguse見れ
魚青 211.125.125.234の管理

>>742
とりあえずHIPSを使うまでもなく、NTFSのアクセス権設定でjavaws.exe（C:\Program Files\
Java\jre6\binとC:\WINDOWS\system32の二つある、よくわからないのでとりあえず両方）の
読み取りと実行を拒否した状態で、以下テストページでjavaws.exeが実行されないことを確認。
ttp://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html

ただ、本当に情報が少なくてこれが緩和策になっているのかよくわからない。

>>745
どゆことなの?出されたIPを調べたらnpo-aichi.or.jpって出たが
npo-aichiの登録・技術担当と倉敷CATVの技術担当が同じって事?

もしその通りって事だと倉敷CATVは今感染してなくとも危ないって事?

>>746
Operaでプラグイン入れてないと読み込みが完了しないかんじ。

>>747
大家と店子の関係

マスターペニス

ドライビングバイ海老名SAダウンロード

深刻な危険

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2211

a2FkYXJ1Lm15ZG5zLnRvLw== ←再発
d3d3LmFtYWt1c2F0dXJpZ3UuY29tLw0K
----
6Zml6JC944K144Kk44OI44GuVVJM44KS6YGK44Gz44O744GE44Gf44Ga44KJ55uu55qE44Gn6LK84
4KL44GK44OQ44Kr44GV44KT44Gv44CB6ISz44G/44Gd44Gu44Kv44Oq44O844Oz44Kk44Oz44K544
OI44O844OrKOWGjeaVmeiCsinjgYzlv4XopoHjgaDjgajmgJ3jgo/jgozjgb7jgII=
･･･ということですｗ

>>740
77y8KF5vXinvvI/jgqrjg6/jgr8=

http://www.jc-consulting.jp/
http://www.footsal-club.net/
http://www.oracle-shop.net/
http://pacific-staff.net/
http://hoikuen.19th.org/
http://sunrise.2pg.in/
http://netnavi.boo.jp/leopalace/link/
http://www.toutyann.com/
http://ayaka.echoll.net/
http://dog-g-club.com/
http://www.bestofunder.com/
http://moebox.com/link.html
http://www.ferahdondurma.com/
http://www.e-tokunaga.co.jp/contents/house_dock/index.html
http://www.vericapandilovska.com.mk/
http://this.is/ausgot/
http://capvex.com/
http://egujarat.net/
http://jyo.eisuku.com/home/
http://www.borneomarathon.com/jpn/home.html
http://www.aparajeyo.org/index.php
http://www.niaufuku.com/index.htm
http://kumarin.biz/
http://www.amakusaturigu.com/html/
http://www.bandoolshien.com/
http://www.hdta.jp/

きゅ〜い！きゅ〜い！（ｷﾘｯ

ばーか

確信犯死ねよ

aHR0cDovL2Jvby4yY2gubmV0L2JvbzIwMDguY2dpP3R5cGU9cmVkJmJvbzIwMDhfdXJpPWh0dHAl
M0ElMkYlMkZwYzExLjJjaC5uZXQlMkZ0ZXN0JTJGcmVhZC5jZ2klMkZzZWMlMkYxMjY4MDU5Njg0
JTJGNzU0JmJvbzIwMDhfdGltZT0yMDEwJTJGMDQlMkYxMyUyOCU4OSVDRSUyOSsxMyUzQTQzJTNB
NDMmYm9vMjAwOF9pZD0mYm9vMjAwOF9wb3J0PSZib28yMDA4X3RyaXA9


>>753
77y8KF5vXinvvI/jgqrjgr/jg68=

これじゃ、どこのサイトが危険なのか分からん

よかった、うちのサイトは晒されてないわ

コントロールパネル見てて思ったんだが、
J2SE runtime Environment 5.0 update6と
Java(TM)6 update19が一緒に存在してるんだ
これは更新の仕様がないJ2SEを消すべき？それとも両方とも置いておかないといけないモノ？

>>760
古いの消せ

>>757
>串迎撃部隊＠2ch掲示板 -- Boo2008 --
>Good bye 9000
>がいしゅつ!!Done ! -> [BBQ]None(^-^)

>名も無きBoo2008さん、ありがとうですm(_ _)m

>＼(^o^)／オワタ

>>762
IGh0dHA6Ly9qYS53aWtpcGVkaWEub3JnL3dpa2kvJUUzJTgyJUFBJUUzJTgyJUJGJUUzJTgzJUFG

もうJava自体をアンインスコしたんだけど
無くて困ることってなにかある？

あなたが困らなければ無いし、困ればそれ

>>763
＼(^o^)／オタワ

･･････もうやめよう（苦笑）

おーはぴーでーい

>764
Javaに新たな問題が見つかる、多数のブラウザに影響の恐れ
ttp://www.itmedia.co.jp/enterprise/articles/1004/13/news072.html
Java Deployment Toolkitに見つかった新たな問題
launch()メソッドからJava Web Startユーティリティ（javaws.exe）に任意の引数を渡すことができてしまうという
。攻撃者が悪用した場合、ユーザーが細工されたHTMLを閲覧してしまうことで
リモートから任意のJARファイルを実行されてしまう危険がある。

　Java Deployment Toolkitは、Java SE 6 update 10以降をインストールした際に
同時にインストールされる。ブラウザのプラグインやActive-X コントロールとしても利用されるため
Microsoft Internet ExplorerやFirefox、Google ChromeなどWindowsベースの
多数のブラウザに影響が及ぶ可能性がある。

　米Oracleの対応は未定。IPAとJPCERT コーディネーションセンターは
当面の回避策として、ActiveX コントロールやブラウザのJava Deployment Toolkitを
無効にすることを推奨している。

【陥落サイトのURL悪用厳禁】
www●tu-han4●com/hatumo/
www●daini-survey●com/
versamold●com/

難読化はムダっぽい...

Gumblarまとめ
http://labs-uploader.sabaitiba.com/virus/download/1271170314.zip
infected

Javaに未修正の脆弱性、Webページを閲覧するだけで攻撃を受けるおそれ
IE6/7/8や「Firefox」「Google Chrome」などWebブラウザー全般が対象
http://www.forest.impress.co.jp/docs/news/20100413_360951.html

Adobe Readerアップデートきたな

>>772
またなんかありそうだから様子見。
てか、もう Foxit に乗り換えたし。

コンパネ見たがJavaは最近更新したRuntimeしかなかった
上で述べられてるツールキットは最近の奴だとruntime内蔵なのかな？
そうならどうやって無効化するのか……
ActiveXはインターネットオプションで無効化できるんだが

>>774
対象がIEだけなら
ttp://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/full-disclosure/2010.04/msg00133.html
を参考にKill-Bitを追加すればいい。

複数のブラウザを入れていて、個別ではなく一括で対策したいならjavaws.exeのアクセス権を
読み取り実行拒否に変更してやればいい。
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/04.html#20100412_JAVA

【陥落サイトのURL悪用厳禁】 ←まねしてみた
www●sot●com●al

VirusTotalでの検出結果は5/40(12.5%)
Avast頑張るなぁ

avastは今は知らないが初期の頃はスクリプトの段階で処理しないと防御できなかったからな
スクリプトに対応しなくても防御はできるが
こういう風に特に初心者にアピールにはなるから一生懸命なのだろう

サブPCでavastを使ってるけど>>770の検体の全てに反応した。
メインPCでは某ベンダの有料版を使っているが>>770の検体の検出はまちまちだった。
ただ>>754のサイトでは全てに反応した。
avastはソース段階（スクリプト自体）で検出しているが、
某ベンダは実行段階で検出しているようだ。

そうか。よかったな。

そもそもソースの段階で何を検出してんだ

>>770
AVG Freeが9個しか反応しなかった・・・おぉコワイコワイ

avast5だけど、>>770で３つスルーされた・・・
なるほど、オレはもう掛かってるのか！

>>782
スルーした３つをhttp://www.virustotal.com/jp/で調べてみれば？
無害かも

gumblerにも無害有害があるのか……
つか、最近の亜種だとcmdとregdit動くみたいだし、どういう症状が出るか解らんから
感染してるかどうかすらオンラインスキャン以外じゃわからんよな

>>2の対策してれば、まず感染しないよ

>>783
３つとも解析済みで、検出したのはなかったそうだ
再解析してみたら1つだけ出てきた
Gumblar_js.txt
Sophos 4.52.0 2010.04.14 Troj/JSRedir-BD

【陥落サイトのURL悪用厳禁】
www●nittoka●com/ ←そーすの途中にコードが･･･
discussanctuary●com/からコードごと引っ越したのかな？

www●1a●ad-jeaayf●com/ae/
s6●artemisweb●jp/djtsushin/naruto/part1/index●html ←改竄されてるってばよｗ※jword注意

http://www.tu-han4.com/hatumo/
http://www.daini-survey.com/
http://versamold.com/
http://www.sot.com.al

avast!は文字列自体に反応してるみたいだな
http://i39.tinypic.com/2z8ybts.png

http://www.nittoka.com
http://www.1a.ad-jeaayf.com/ae/
http://s6.artemisweb.jp/djtsushin/naruto/part1/index.html

788
1：きゅい〜ん
2：きゅい〜ん
3：403
4：きゅい〜ん
790
1：きゅい〜ん
2：きゅい〜ん
3：きゅい〜ん

avast!　大勝利ｗ

アバストは警告を発した！しかし、感染してしまった

>>792
なんやねん、それ・・・

KATINOが効かないと全滅するパーティーですか

>>2
(4) JRE(Java Runtime Environment)を最新版に更新する

これはAdobe Readerなんかと同じでWindowsをインストールしただけでは
JREはインストールされないよね？
JREをインストールしていなければ特に気にする必要はないんだよね？
PC初心者でちょっとよくわからないので教えてくれると助かります

初心者であればメーカー製PCを使用している可能性が高い
メーカー製PCにはAdobeReaderもJREもプリインストールされていることがほとんど

コントロールパネルにJavaのアイコンがあればインストールされてる
ちなみにそのアイコンをダブルクリックするとバージョン確認やアップデートもできる

>>795
WindowsをインストールしただけではJAVAは入らないよ
上の人が言うようにメーカー製PCを買った場合は入ってるかもしれない
でもWindowsのCDを使ってOSをインストールしただけではJAVAは入らない

JREはアンインスコor入れないで全然問題ないと思うけどね

君にとってはそうなんだろうが、それを言い出すと最後には「Windowsじゃなくても全然問題
ないと思うけどね」みたいな不毛な話になるから自重しろ。

>>689-740
「不正改ざんに関するお詫び」
Last-Modified: Wed, 14 Apr 2010 07:03:06 GMT : www.collco.jp/index.html

Adobe Reader 修正キタコレ
http://www.forest.impress.co.jp/docs/news/20100414_361134.html

>>801
思うんだが、「不正改ざんされた」ってのは責任逃れだろ。
むしろ、ここのサイト覗いた奴のPC「不正改ざんした」のがこの会社だろうに。

＞※本件による、お客様にお預かりしております個人情報の流出はございません。
お前のサイト覗いたせいでパスとか流出する話しないで、どうすんだよ

0-day対策版？
ttp://java.sun.com/javase/6/webnotes/6u20.html

スレに出ているサイトにクリックしても2割くらいしか反応しない。
ちなみにカスペルスキー2010
これはザルなのか？
設定でオフになってるのかと思いきやそうでもないし

Java Deployment Toolkit 6.0.200.2
Java(TM) Platform SE 6 U20 6.0.200.2

>>805
とりあえず>>770の検体送れ。
話はそれからだm9(^Д^)

>>805
検体提出汁

>>805
反応しないとこは修正済みもあるんじゃね

*:8080/*　をブロックでおｋだよね？
*の位置が分からん

>804
Java Deployment Toolkit の脆弱性を悪用したゼロディ攻撃を観測
https://www-950.ibm.com/blogs/tokyo-soc/entry/javaws-201004?lang=ja
2010年4月15日、Oracle より Java SE 6 Update 20 がリリースされました[5]。
東京SOCでは、上記バージョンの JRE をインストールすることで、本脆弱性への攻撃を
防げることを確認しております。

他の普通のサイトも巻き添えにしていいなら
>>810
巻き添えにしたくないなら
*.ru:8080/*

>>812
最近は.atと.infoも侵食されてるからそれじゃダメ

うむ、8080ポートの先にコンテンツを置くページは巻き添えにされても仕方ないな。

特定のURLブロックしてる人ってどういうソフト使ってますか？
PeerBlockとかあるみたいだけどこれ使えばいいのかな

>>810
ブラウザのJAVAScript切っとけ

>>815
意味ない

>>810
例えば敵方が8090に変った時には8080ブロックは無意味

あたりめえだろ
先のこと考えたら無意味なことばかりだ
現状の防御としては意味があるのだからそれで良いに決まってる

【陥落サイトのURL悪用厳禁】
www1●kamakuranet●ne●jp/artinfo/　メル凸済み



心の和む小ネタをひとつ

http://www.aguse.jp/?m=w&url=helphomecare●at%3A8080&x=15&y=13
↓
http://www.aguse.jp/?m=w&url=helphomecare●at&x=52&y=14
↓
http://a001.aguse.jp/images/img/6d53e388eed6c7f0f5b3404a9e7a1e65f4e47f3c/ea280effbf7dbaa378533a69bd2dc1a216ea0eca_00_x.jpg

Fuck off!

>>817
んじゃどういうソフト使ってるんですかね
avast!5にはURLブロック付いてるようですが

ポート8080ブロックするだけならいろんなファイアウオールで可能だよ
大概のルーター内蔵のでも可能じゃないか

Proxomitron なら正規表現風味の細かい指定が出来る。
セキュ板覗くような人間ならデフォで入れてるソフトだと思ってたんだが違うのか。

違うだろうな

>>823
Proxomitron はよく知らないが
難読化されてるスクリプトも簡単にフィルタリングできるのか？

>>823
入れてるけど使ってない

>>823
無料HPスペースの広告がウザかった時代に使ってたけど、今は使ってない。

>>825
自分でフィルター書かなきゃダメ、もしくは有志の人待ち

>>825
パターンが変わればその都度になるが、現行では一応対応できているけど。
最近は変化が無いからつまらん。

どのみちいらねえよ

Proxomitronの脆弱性放置中

>>820
www1●kamakuranet●ne●jp/artinfo/
メル凸先からttp://www.painters-club.com/homepage-artist.html
に連絡は行ったらしいが、なぜか別のページを閉鎖したらしい

>>822-823
ありがとうございます。
とりあえず手持ちのFWでリモートポート8080番をシャットアウトすればいいんですかね？

まず>>2をやれよと

Javaは早急にu20にしないと危険だべな
Deployment Toolkitの脆弱性が8080インジェクションで使われ始めてるらしいから

なんか、ここの被害報告のヒロまり方見てると、
ダウソ板のイカタコなんて、子供の遊びに見えてくるな

12月下旬から騒ぎ出した気がするけど
4月になっても収まらないね。

>>835
実際子供の遊びだろ

>>2の対策しておけばウイルス対策ソフトはいらない？

いります

java19入ってる状態で20入れたら19がコントロールパネルから消えた
これは上書きされたって事でいいのかな
以前の17→19の時は上書きなんてしなかったから「ひょっとして19のプログラム残ってるんじゃないか」って不安

>>2の対策してれば、あとはActiveXやJavaを自動実行したりしないようにすればおｋかな

20でだいじょうぶなのかな

2ch「三脚」検索でHTML／spoofing Genが・・・どうゆうこと？

>>840
心配なら入れなおせばおｋ

>>840
xpでjava19から20に上書きしたらｆｉｒｅｒｏｘのプラグインに19と20の
Deployment ToolkitがあったのでJava20をアンインストール後に
再度20をインストールした。
そしたら19の姿が消えたので心配なら一度アンインストールをした
方がいいと思う。

>>843
それもそうだな……アンインスコして入れ直してみる

そういえば、ここの文字検索でgoogleがいくつかあるんだが、
ひょっとしてgoogle自体もう全て完全に感染してるのか？
PCが重くなってる様子もメモリ異常に食われてるって事もないんだが……

なんでDeployment Toolkitとか余計なもん入れた

過去のJavaデータとかはJavaRaで消してるなあ

>>831
再度メール出します、ご報告感謝

>>845
どれのことを言ってるの？
URLを理解できていないってことならどっかで勉強してきてください

そもそもgoogle自体が感染してたらここで騒がれるとかそういうレベルじゃ収まらんだろ

>>849
ごめん、URLと検索ワード読み直して大体把握した
感染サイトを探した結果だったのね……

avast、GDataのみヒット

http://www.virustotal.com/jp/analisis/94ff0b47a595324877d535d963346ccfe8e7c70140327fd95498f14c88279c5a-1271428269

>>851
8080じゃないはず(8080はJS:Illredir)
GDataはavastエンジン使ってるから実質avastだけ検知

スレ違いか、すまない

仕込まれる位置とかがちょっと違うようだね
海外では３月下旬くらいから出てるのかな

>>854
定義自体は2009/02/18に追加

http://www.shinsei-fukushi.net/
http://www.plci.net/egf/

>>853
すまないではすまないのだ！

(�VД�V)死ねっ！さぁ死ぬのだ低脳よ

さて朝の挨拶も済んだことだし
ガンブラをガンプラスレにでも貼り貼りしてきますかのう（　�Vд�V）

( ´,дゝ`)フォッフォフォフォーwww

>>858
ようお前にこないだウイルス踏まされたもんじゃボケ！
お前の本名、斎藤智成だろ？住所もググったらあったから請求書送るから待っとけや！ｗ

住所がわかるなら直接行けば？
その方が話が早いだろ

なんか変な人いるけどなにこいつ

('д')うん、確かに変な人いるね
俺様にウィルス踏まされる時点で自己管理が悪いわけで、つまり踏む奴が悪いわけで
これはもう暗黙の了解ならぬ暗黙の常識なわけで(＞ｗ＜)変な人だなぁプｸスｽｽｽwwwwwwwwwwwwww

（�Vд�V）しかも請求書ってなにいってるんだ？
もし俺様が踏ませたウィルスの影響で金銭的な損害を受けたのだとしたら
それは・・・



(�VД�V)ざまあみろだぜ！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

それより俺様、昨日うる星やつらの再放送見逃したから
youtubeでその回見なきゃなんないんだ。
やっぱ80年代の神アニメはうる星やつらだよね。

(*�Vд�V*)デヘヘヘヘヘヘヘベヘヘケヘヘヘヘヘヘヘヘヘヘケewwwwwwwwwwwwwwp

キチガイってどうしてキチガイなんだろう

そりゃーおまえキチガイだからだろ

既出かもだけどこの痕跡は何ですか？

/?N=A
/?M=D
/?S=D
/?D=D
/?N=A

補足、ログの痕跡です。

何回も言われてるけど一回感染するとルートキットとかで雲隠れしやがるようだから検出できるか怪しいし
ウイルス感染したPCでスキャンしても絶対安全と保障できないぞ
心当たりあるんなら素直にクリーンインスコしたほうが良いよ
>>2完璧に実行してブラウザ常時仮想化とかしてて「俺がウイルス感染なんかするわけねーだろばーか！」なら自分を信じていいだろうが

>>868
言ってる事は解らなくもないがこのスレ全否定してるよな、4行目でスレ住人の卑下までやってるし
クリーンインスコなんてみんながみんなホイホイできるわけでもないだろうに

>>862
【間接正犯】
http://ja.wikipedia.org/wiki/%E9%96%93%E6%8E%A5%E6%AD%A3%E7%8A%AF
8080作者のコードを悪用して何等かの被害が発生した時点で成立。

>>870
これぞ本当のざまあ ->862

まあやる気があれば民事でも請求できるでしょ

>>866
アクセスログなら何か試そうとしたんじゃね

>>873

ユーザーディレクトリでのアクセスで
このコマンド？じゃ何も出来ないと思うけど、何かに感染したPCからの痕跡なのか...
ただ、面白いのは、IP調べると日本のＭ＄専用線からのアクセスで
こっそり調べると鯖では無く、クライアントPCっぽい。

>>870
>間接正犯とは、他人の行為を利用して自己の犯罪を実現する正犯のことである。
>共犯ではないというのが通説である。
＜中略＞
>正犯とは、犯罪実現の現実的危険性を有する行為を自ら行う者をいうが、
>「自ら」は規範的理解が可能（緩やかに解することが可能）とする。
>そのうえで、他人を道具として利用する場合は、規範的には「自らの手で」行ったといえ、
>利用者の行為には正犯としての実行行為性が認められるとされる。

8080作者と同じ罪になるって事で･･･
顔文字（糞コテ）オワタｗｗｗｗｗｗｗｗ

誰かVIPに燃料投下してこいよ。
奴らの調査力なら顔文字野郎の個人情報なんてすぐに割れるだろ。

よし、任せたぞ

そして「誰かがやるだろ」とみんな思ってるので
誰も投下しないのであった

だって板別規制されてるし

糞コテのブログから
【ウィルス入りURLを踏ませることは犯罪か？】
ttp://ruhuraro.blog57.fc2.com/blog-entry-161.html
※見る時はhttp://gw.aguse.jp/経由を推奨
ウイルス入りURLを踏ませる事に対しての直接的な罪は問えないけど
感染後のPCで発生する被害(情報流出が起きる場合)については罪を問えるのです。
※個人情報ぁぅぁぅとか･･･

つまり、8080系の作者のコードが埋め込まれた陥落サイトを
ウイルスに感染する可能性があると知っていて
「その危険性を知らせずに貼った」場合
誰かが踏んで被害が発生した時点で>>870が成立＝刑事罰を問えるという事。

糞コテのブログには「踏ませるのが趣味」と書いてあるので
酌量の余地は全くありません（）笑

なんだよあの糞コテおでん厨じゃなかったのかよ・・・
早く規制されてほしいな。

というか規制からやっと復活したがその間にこんなにガンブラーでてたんだな・・・
　　　　　　　　　　　　　　気　を　つ　け　な　け　れ　ば

>>880
つまりこの糞コテを訴える事も出来るわけか。

顔文字ざまぁｗｗｗｗｗm9(^Д^)ﾌﾟｷﾞｬｰｗｗｗｗｗ

犯人に告ぐ。今夜は震えて眠れ（ｷﾘｯ

>>862
aHR0cDovL3d3dy5nb29nbGUuY28uanAvc2VhcmNoP2hsPWphJnE9JUU5JTgwJTlEJUUzJ
TgxJUEzJUUzJTgxJUE2JUUzJTgyJTg4JUUzJTgxJTk3KyVFOSVBMSU5NCVFNiU5NiU4Ny
VFNSVBRCU5NyZidG5HPSVFNiVBNCU5QyVFNyVCNCVBMiZscj0=
死語とか言うなよｗｗｗ

5pep44GP5q2744Gta3Nn

>>862
通報した

顔文字息してるー？ｗ

こんなん出てきたんだがｗｗ
ttp://jbbs.livedoor.jp/bbs/read.cgi/game/36137/1192213469/l50

逮捕者が出ると聞いて

また無職か

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　`ヽ、
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ＼
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　＼
　　　　　　　,,ヅ彡ﾆミ;;,,　　　　　　　　　　　　　 ヅ彡ﾆミ;;,,　　　　　　　　　　l
　　　　　　ィ<"　 , ‐ ､　ﾞﾐ、　　　　　　　　　　ィ<"　 , ‐ ､　ﾞﾐ、　　　　　　　　 ﾞi
　　　　　 ﾐミ､,　ゝ_ﾟ_,ﾉ,, ｲ　　　　　　　　　　 :ﾐミ､,　ゝ_ﾟ_,ﾉ,, ｲ　　　　　　　　　　 ﾞi
　　　　　　　ﾞ'ヾ三≡彡'"　　　　　　　　　　　　ﾞ'ヾ三≡彡'　　　　　　　　　　　　 i!　
　　　　　　　　　　　　　　　 ／　　　　　　　　ヽ　　　　　　　　 　　　　　　,. -- ､　 i!　　　　　　>>862 しねよ
　　　　　　　　　　　　　　／　　　　　　　　　　　 ＼　　　　　　　　　　　/　 　 __,＞─ ､
　　　　　　　　　　　　　/　　　　　　 ',/　　　　　　　',　　　　　　　　　　/ 　 　　　　　　　ヽ
　　　　　　　　　　　　　!　 　 　 　 　 l　　　　　　　　l　　　　　　　　　｛ 　　　　　　　　　　|__
　　　　　　　　　　　　　 、　 　 　 　 ,' 、　 　 　 　 ,'　　　　　　　　　 ｝ 　＼　　　　　　 ,丿　ヽ
　　　　　　　　　　　　　　ヽ . ＿ ..　'　　ヽ . ＿ ..　'　　　　　　　　　/ 　 ､　｀┬----‐１　 　 }
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　／　　　`¬|　 　 　 l　　　ﾉヽ
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　/　　　　､ !_/ｌ　　　　l　 　 /　 ｝
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　{　　 　 　 ＼　　　　 l　　 /　　,'
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　＼　　　 　 ´｀ヽ.__,ノ　　/ 　 ﾉ
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ＼　　　　 ヽ､＼ __,ノ　／
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　￣ ヽ､_　　〉 ,!､__／

>>875-890
�Vд�V)ん？
ずいぶんと必死に自演連投をしているようだな
そんなに連続で書き込んでたらいくらIDでなくてもバレバレだぜ
そんなことにも気づけないほど悔しかったのだな( ´,дゝ`)からかった甲斐があるぜ

でも残念ながらその程度の煽りでは不合格
というより残念賞というべきか。
なぜなら5年前からウィルス踏ませ続けてぴんぴんしているのだからな
この事実を覆すことはできないよ(＞ｗ＜)本当に残念だったな

どぉだ？またムカムカしてきたか？(笑)
(�VД�V)そうか！じゃあ死ねっ！！！！！！！！(爆)

(*�Vд�V*)

(*�Vд�V*)あーきっと今頃･･･
俺様にウィルス踏まされた奴は
俺様がこうやってますます調子に乗り乗り♪してることにムカつきながら俺のこと見てるんだろなw

これだからやめられないお(＞ｗ＜)快っ感！！！！

80年代の神アニメは映画版のSF新世紀レンズマン
「愛するものを守れ」
ブルーレイで出してほしいな…

顔文字一人が来ただけでお前ら釣られすぎ

(�Vд�V) ◆yUyb3Tqn92 ＝斎藤智成
http://www.unkar.org/read/jfk.2ch.net/mmo/1263347649

更にこの名前でぐぐると携帯番号ヒットした

一仕事してきたので一部紹介
http://yutori7.2ch.net/test/read.cgi/news4vip/1271515115/


(�VД�V)頭の悪いVIPのツイッタスレ住人大パニック！ブワハハハハハハハハ！！！！！ｗWwwWWWwwｗW

まだやってんのか斉藤ｗ

斉藤ってだあれ？
斎藤ならまだしも斉藤とは？(笑)

(�Vд�V)これってまたまた俺様が一本とっちゃった感じ？
つーわけで漢字読めない低脳は死ね！と止めを刺しておこう(�Vд�V)vﾁｪｷﾗ

(�Vд�V)！
ウィルス踏ませて笑いながらポテチを食うっ！

とかキラっぽくポテチ食ってるなう！ヽ(�Vд�V)ﾉなうなうなのらーい

韓国、Ｆ５戦闘機墜落←ざまーみろ！８０１ども！

1 ：斎藤智成 ◆LIuJMgzRRY ：2010/03 /03(水) 17:55:35.83 ID:LlEpEw2v0

おい韓国人みてるか！！！？？？

F-5戦闘機墜落おめでとう！！！よかったね！！！！！おめでとう祭りだわっしょい！

日本にはニートや陰陽師がいるんだぜ

俺達ニートや陰陽師が韓国人が2人死ぬように術式を組んだんだよ

そのためにはなにか関連したもの、繋がりあるものを狙わなければならなかった

だからF-5戦闘機を狙ったのさ！！！！

ざまーみろ！８０１野郎ども！死ね！せいぜい８０１プレイでもしてろよキムチ！

文句があるならニートの代表、斎藤智成様のブログを落としてみやがれ！！！
ttp://www.google.co.jp/search?num=100&hl=ja&safe=off&rlz=1B3DVFA_ja___JP330&q=%E9%9F%93%E5%9B%BD%E3%80%80%E6%96%8E%E8%97%A4%E6%99%BA%E6%88%90&btnG=%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq=

↑すまん、送信の途中で文が切れた。

ついでにageとく。


韓国、Ｆ５戦闘機墜落←ざまーみろ！８０１ども！
http://yutori7.2ch.net/test/read.cgi/news4vip/1267606535/


「８０１ども」の使いどころが間違っとるというか・・・
在日なん？

お前釣り安っ！
俺様を斉藤でも斎藤智成と思うのもお前の勝手だが
困るのは俺様ではなく斎藤智成なのだよ( ´,дゝ`)頭の悪い奴だなｧ
なので斎藤晒しならじゃんじゃんやってOK（�Vд＾）−☆動画も探せばあるから

それよりまた一仕事してきたので晒しましょ〜う（�Vз�V）♪
http://yutori7.2ch.net/test/read.cgi/news4vip/1271529136/n146-168

(�Vд�V)=3ふぅ〜
今日も踏ませてたら時間を忘れちゃったおw夢のような時間だったお
もしかして俺様って日本一ウィルス踏ませてるコテじゃね？ギネス入りも近い？＞ｗ＜

なんか最近調子が良い
この調子でますます俺様のファンが増えそうだ
ウィルス踏ませてるのはホント、ゲーム感覚だが
考えてみたらあまりブログには書いてないな〜って思った。

近々気が向いたらブログでそういうの書いてみるわ
昔ヤフチャでボイチャしてる奴にウィルス踏ませてふぁびょってる録音とかあるけど
うｐしたら需要あるかな？まーお楽しみに＞ｗ＜

さて、ドラゴンボールとワンピースまで寝るお
(�Vд�V)おやすみお前ら

関係ないけど、まだ生きてるチェッカーってあるのかな？

>>2のどれも死んでるんだが…。

間違えた。>>5ね。

aguseとgredは普通に使えるぞ

gredのサイトをチェックするボタンがグレーアウトで使えなかったのが
IE8のInPrivateフィルターがオンのままだったのに最近気がついた俺って

最近の亜種だとどういう症状が出るかサッパリ情報が出てないから
感染してるのかどうかわからなくて怖いぜ……
オンラインスキャンは推奨だけで十分なんだよな？

www●hd-cre●com

>>908
逆に人柱PCを用意してわざと感染すればメインPCが安全かどうかがわかるんじゃね？

最近のってなかなか感染しないな
どうやったら感染するんだ？
なんかちゃんと感染してないサイトも多いんじゃないか

http://　logsoku.com/thread/pc11.2ch.net/sec/1263822552/l50

↑はログ速の過去ログなんだが
これ踏んだらカスペがヒューリスティックで遮断した
しかしgredで「リンク先のページをチェック」のオプションを使用しないと安全だと言われる（リンク先のページのスキャンを行うと改ざんサイトを検出）し、
しかもこれ他でもないこのスレの過去ログだから誰かが直リンで貼った改ざんサイトのURLに反応してカスペが遮断しただけかね？
それともスレ住人が書いたスクリプトにでも反応したのか
>>2はしてあるしjavascriptも無効でその上仮想ブラウザ使ってるんだがちょっと不安になったもんで・・・

>>912
２ちゃんのログかな
なら問題ない

>>905
danさんとこも普通に使えてるよ

実際のとこ感染するとどんな症状がでるの？
再起動すると立ち上がらなくなったりとか？

ルートキット仕込まれたらなんでも出来るから一概には言えないだろうな
ぶっちゃけ何やるかはクラッカーの気分次第なんじゃないかな・・・

だからこそクリーンインストールが勧められるわけか

ルートキットってそんなに見つけ出すの難しいのか
ルートキットに仕込まれたものも見つけ出せるようなのを開発したら
ノーベル賞取れるくらい難しいの？

ノーベル賞にそういう分野の賞はない

>>918
見つけ出すのは知識があればそれなりに出来るが、
駆除するのは非常に難しい。
それはセキュリティのプロでもルートキットを発見すると即クリーンインストールするほどだ。

>>915
感染させる目的が「利用者を困らせること」じゃなくて
「自分たち(と顧客)がそのPCを自由に使えるようにすること」だから
あからさまな不具合を出すようなことはあんまりない
たまにミスって出ちゃうけどそういうのはすぐ修正される

自由に使って何をしたいかというと、フィッシング詐欺用のサイトを構築したり
スパムメールを送りまくったり、どっかの国の政府関連サイトを攻撃したり
要は犯罪のお手伝いをすることになります
それによってある日突然おまわりさんがおうちに来るかもしれません

>>918
BlackLight使え
といっても、ある種のルートキットは、それでも見つからんけどね。

糞ニーの仕込むルートキット発見した人も、
自分でデバッガ作ってそれで見つけたそうだし

概出だったらスマソ
ガンブラー
ttp://www●plci●net/egf/?s=shiseldoh

http://www.avast.com/virus-monitor
8080さんついに1位になりましたｗ

>>923
旧型のタイプ違いが混在
www●plci●net/以下の階層は全滅かな？

禿検索で"window;var" "unescape;var"やってみなー
unescape;this型を除外しても凄い数･･･orz

改ざん疑惑
60●37●110●200/

>>926
特に異常は見受けられんが

こっちの改ざん疑惑はどうですか？
wwwwwwwwwww.net/

>>547
> cashingalliance
昨日、有効なスクリプトの再改竄を確認、つーほー。
あちらの鯖缶から午前中に停止等の処置済みの連絡、確認すますた。

>>2
1　済
2　Foxit Reader使ってるので未導入
3　同上
4　済
5　済
6　済

FoxitやPDF-XChangeもJavaScript機能使える環境だから注意

んだんだ。
そういうおいらは Linux使いw

この機会にpdf滅びてくんないかな

ウイルスセキュリティ対策ソフトのウイルスバスター2010（360日無料版）
http://www.techgravy.net/2010/04/free-trend-micro-internet-security-2010.html
http://virusbuster.jp/vb2010/trial2/?cid=paid_aw_1&sem_detection
どちらか必要な方を落として、
Enter this product key pfeo-9996-0691-8113-9527 ( OEM version )
このキーを使用で行ける。

>>930
安全第一ならFoxit Readerは避けた方がいい。
安全性よりも軽さの方が大事なら自己責任で使えばいいけど。

ごおgぇどきゅめんとびゅーあーでかいけつやで

会社や役所でのやりとりがpdfなので最早避けては通れない

>>937
インターネットに接続しなければおｋ

>>934
上のアドレスはウイルス注意

>>939
変なスクリプトはあるけどウイルスじゃなくね？

>>940
ソース見たけど怪しすぎるだろ、そこ。
trendmicroのアンチウイルス落とすのに、そんなサイト行く必要無いだろ

そもそもスレの流れと関係なく唐突にURL貼ってるのは警戒していい

>>941-942
ですよね、やっぱり

>>942
それは･･俺が掘ってきた陥落サイトも含むのか？

【陥落サイトのURL悪用厳禁】とか
危ないとこは「←アクセス注意」とか書いてるんだが･･･

>>944
スレタイと合ってる分には問題ないだろ
バスターなんてどう考えても関係ない

>>945
では、スレタイ通りの陥落サイトを。
URLがアヤシイのは気のせいだ（たぶん）

【陥落サイトのURL悪用厳禁】
www●god-hand●org ←途中で切れてる
22ch●org/pocketsbs/

連投スマソ

【陥落サイトのURL悪用厳禁】
amyou●net/
↓たぶん全滅↓
ttp://www●google●co●jp/search?hl=ja&source=hp&q=site%3Aamyou●net

70po●com/pocketsbs/
ttp://www●google●co●jp/search?hl=ja&q=site%3A*%2Fpocketsbs%2F
絞り込み方法を模索ちう...

>>946
> god-hand
jsが ぁぅぁぅぁー

「写女」っていう着エロ系でそれなりにDVDシリーズ作ってる
メーカーのサイトだが、ウィルス警告が出た。
とりあえず間違いかもしれないので注意喚起のためにスレ探し回ってここに書いてみたが、
どうですかね？ 公式サイトなんでググればすぐ出るし。

ここは鑑定スレではございません

たぶん感染中だな

"unescape;var" OR "window;var" OR "document;this" OR "document;var" "false;this" OR "false;var" -javascript -java

下手なワードもOR打ちゃ当たる的な何かorz

sage忘れた…

>>935
横から失礼。Foxitが純正リーダーに次ぐ危険性だとは思わなんだ。
ところで、代替リーダーどれかオススメしてくれないか？

【陥落サイトのURL悪用厳禁】
kagaden●com/haato ←途中切れ
www●shinsei-fukushi●net
www●0120110908●com/ ←ガル繋がり？
www●hd-cre●com/
↓たぶん全滅↓
ttp://www●google●co●jp/search?hl=ja&q=site%3Ahd-cre●com%2F

誰か新スレ建ててくださいなのです...

>>954
Google ドキュメント ビューア
ttp://docs.google.com/viewer

>>954
http://pc12.2ch.net/software/

>>954
勘違いしてはいけない。逆だ。
ことセキュリティに関しては、今のFoxit ReaderはAdobe Readerより下。

すっかり忘れられてるPDF-XChange Viewer・・・

>>955
> kagaden
index2.phpとindex3.phpが ぁぅぁぅぁー

次スレ逝ってみる。

次スレ

【Gumblar/GENO】Web改竄ウイルス総合スレ8【8080】
http://pc11.2ch.net/test/read.cgi/sec/1271787262/

>>962
乙

>>962
乙です

>>708
Last-Modified: Wed, 21 Apr 2010 14:36:46 GMT : /content/index.htm
>ＮＰＯ愛知ネットからのお詫びとお知らせ

(´･ω･`)ｼｮﾎﾞｰﾝ

>>965
理事長：天野竹行＞
改竄されていた事を隠蔽せず、告知を行ってください。


【重要】ＮＰＯ愛知ネットからのお詫びとお知らせ
◆当ホームページを管理しているパソコンがGumblar亜種に感染し、ホームページが改竄されておりました。

◆改竄されていた期間
○月○日○時○分〜●月●日●時●分

◆改竄されていたページ

◆該当期間に当ホームページを閲覧した方へ
セキュリティソフトで（以下略
オンラインスキャンで（以下略

↑こんな感じで。


マトモな対応ができないなら、ホームページを閉鎖してweb上から消滅してください。

どうせアホみたいにちっさいリンク貼るだけだろ

2ちゃんという危険リンク満載のサイトで
何でそんな偉そうなんだ

2ちゃんのリンクは安全さ！
なんてったって人柱リンクチェッカーが山のようにいるからな！

http://22ch.org/pocketsbs/
http://amyou.net/
http://70po.com/pocketsbs/
http://www.shinsei-fukushi.net
http://www.0120110908.com/
http://www.hd-cre.com/

>>967
おっきいｗ

ここつかわないの？

新スレ立てるのが早すぎたんだろうな
流れがあっちに行っちゃってどうしたものやら

【陥落サイトのURL悪用厳禁】
再改竄、放置プレイ、新規サイトのごった煮です
重複してたらスルーしてちょうだい

"unescape;var" "new RegExp" -JAVA -JAVAScript
pre21●jp
www●sakiko●jp
www●shinsei-fukushi●net
www●marbell●jp
www●ecos-kenya●jp

tp://yamisyoku.info/

これもかな？
realshoponline.info:8080/worldofwarcraft-com/google.com/lemonde.fr.php

KatesKiller PCからも駆除して欲しいもんだよね。
http://support.kaspersky.co.jp/viruses/solutions?qid=208283462

>>974
>>1
それでもリンクされるから危ない

>>974
テンプレの書き方に従えないならアドレスは一切貼らない方がいい

埋めるか

このサイトを踏まされたんだけど、ここも開いただけでウイルスに感染しちゃうサイトなのかな
どなたか教えてください
http://ime●nu/amyou●net/?free/n/e/t/download/number=2010

埋めますよ

梅

生め

埋

間違った、こっち
http://amyou●net/?free/n/e/t/download/number=2010

産め

>>984
ちょっとは自分で調べると良いよ
このスレにも報告されてる

>>984

>>947

さらに埋め

うめ

う

め

埋めます

生め

産め

再度

次スレ

【Gumblar/GENO】Web改竄ウイルス総合スレ8【8080】
http://pc11.2ch.net/test/read.cgi/sec/1271787262/

お

っぱい

>>979
専ブラ使えよ

１０００なら作者は死刑

1000昌夫

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。