【Gumblar/GENO】Web改竄ウイルス総合スレ9【8080】

このエントリーをはてなブックマークに追加
1名無しさん@お腹いっぱい。
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します ***

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ8【8080】
http://pc11.2ch.net/test/read.cgi/sec/1274675964/
2名無しさん@お腹いっぱい。:2010/07/07(水) 00:29:51
■Gumblar(.x)、8080系ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

■Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す

■サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
3名無しさん@お腹いっぱい。:2010/07/07(水) 00:30:56
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows XPは可能ならば新しいOSに
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする

Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp

■JRE(Java Runtime Environment)を更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
4名無しさん@お腹いっぱい。:2010/07/07(水) 00:32:07
【改ざんサイトの調査など】
■ チェッカーサイト
・gredでチェック
ttp://www.gred.jp/
・aguse
ttp://www.aguse.net/
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html


※改竄を確認して通報する場合、サイト管理者への通報とともにJPCERT/CCに届出もお願いします。
■インシデント報告の届出(JPCERT/CC)
https://www.jpcert.or.jp/form/

■IPAに不正アクセスの届出
http://www.ipa.go.jp/security/ciadr/index.html
5名無しさん@お腹いっぱい。:2010/07/07(水) 00:33:01
サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。
以下、代表的なサーバー管理会社
デジロック https://www.value-domain.com/webabuse.php
OCN http://www.ocn.ne.jp/info/rules/abuse/
さくら https://secure.sakura.ad.jp/notify/form/abuse.phtml
ロリポップ https://lolipop.jp/support/inq/
GMOインターネットグループ https://secure.gmo.jp/contact/
インフォシーク (isweb) http://portal.faq.rakuten.co.jp/
DION http://www.auone-net.jp/security/knowledge/navi/index.html
NTTPCコミュニケーションズ http://www.nttpc.ne.jp/
ODN https://www.odn.ne.jp/support/question/input_netabuse.html
xserver (株式会社ベット) http://www.xserver.ne.jp/faq.php
heteml ヘテムル https://secure.heteml.jp/support/inquiry/
ファーストサーバ http://www.firstserver.co.jp/contact/index.html
エキサイト http://www.excite.co.jp/help/support

○通報先・便利なリンク一覧
■警視庁匿名通報フォーム(通報は2chのように書き込むだけ)
 http://www.keishicho.metro.tokyo.jp/anket/other.htm
■全国ハイテク警察リンク集 http://www002.upp.so-net.ne.jp/dalk/ksatulink.html
■警視庁ホームページ http://www.keishicho.metro.tokyo.jp/
■警察総合相談電話番号 http://www.npa.go.jp/safetylife/soudan/madoguchi.htm
 (携帯電話・PHSからは全国共通#9110 緊急性を要するものは110)
■公安調査庁 http://www.moj.go.jp/KOUAN/
■国家公安委員会 http://www.npsc.go.jp/
■国際刑事警察機構(ICPO) http://www.interpol.int/
■国防省(アメリカ) http://www.defenselink.mil/
6名無しさん@お腹いっぱい。:2010/07/07(水) 00:35:41
Windows XPの方はこちらも・・
■Windows のヘルプとサポート センターの脆弱性を悪用する攻撃
https://www-950.ibm.com/blogs/tokyo-soc/entry/mshelp0day_20100625?lang=ja

■マイクロソフト サポート オンライン
ヘルプ センターの脆弱性により、リモートでコードが実行される
http://support.microsoft.com/kb/2219475
7名無しさん@お腹いっぱい。:2010/07/07(水) 00:37:26
■ 専ブラで右クリからの検索を有効にする方法。
設定例:JaneView

設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
http://www.geocities.jp/nanasi_san_exe/online_help/option/function/command.html

これで専ブラから検索でチェックできるようになります。

以下がそのコマンドの一例になります。
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK
81:2010/07/07(水) 00:39:09
スレタイが「9」のままなのはナイショなorz
9名無しさん@お腹いっぱい。:2010/07/07(水) 01:31:30
早いけど
>>1
10名無しさん@お腹いっぱい。:2010/07/08(木) 15:33:45
>>1
死ね
せっかく10になるはずだったのに9のままとか死ねよゴミ屑
11名無しさん@お腹いっぱい。:2010/07/08(木) 16:40:36
俺も進みの遅いスレ見守ってきた者として10であってほしかった('A`)
12名無しさん@お腹いっぱい。:2010/07/09(金) 10:21:11
頭おかしい奴が来れば何故か進みが速くなったりするけどな
13名無しさん@お腹いっぱい。:2010/07/09(金) 16:17:54
罠リンク回避のためにさっさと立ててしまうのも手だな
番号間違えたぐらいどんまい
14名無しさん@お腹いっぱい。:2010/07/19(月) 12:50:33
>>1 回線切って首吊って死んじまえ
15名無しさん@お腹いっぱい。:2010/07/21(水) 16:32:38
以下誘導

【Gumblar/GENO】Web改竄ウイルス総合10【8080】
http://pc11.2ch.net/test/read.cgi/sec/1279692828/
16名無しさん@お腹いっぱい。:2010/07/21(水) 17:11:38
こっちのスレのほうが先に立ってるだろ
こっちが本スレだ
17名無しさん@お腹いっぱい。:2010/07/21(水) 20:19:09
どっちだよ
18名無しさん@お腹いっぱい。:2010/07/21(水) 22:07:05
> hoshino-jimusho
401を確認。
19名無しさん@お腹いっぱい。:2010/07/21(水) 22:08:03
>>16
住民の居付き具合によっては後発スレが本スレとなることもありうる
実際、過疎ってる先発スレを重複として削除依頼に出せばかなりの確率でスレストor削除してもらえる
20名無しさん@お腹いっぱい。:2010/07/21(水) 22:47:23
こっちを削除依頼してきた
21名無しさん@お腹いっぱい。:2010/07/21(水) 23:07:50
こっち20レス、あっち12レス
あっちはまだほとんどテンプレのみなのになんでこっちが過疎と判断されるんだ

もともと住人の少ないスレで
すでに次スレが立っていたことを大半が知っていたのに
なんでわざわざ余計なおせっかいして立ててるの?
10たてたの荒らしじゃね?
22夷塚 ◆y0JEaK6O/gDf :2010/07/22(木) 05:16:01
まとめてどん、本スレはこちらでよろしいので?

> minimini-east●jp
感染ファイルからウイルスを駆除したようです、精査はしてません

http://www.virustotal.com/analisis/d3637ac9938c15dbdf0825b0b22f7e3977854a096a7b2d9d3d9644b158a69e63-1279600171
Aviraに検体提出済み

> www●hoshino-jimusho●co●jp
「入力されたページあるいはファイルは存在しませんでした。」
あるぇー?

http://www.virustotal.com/analisis/85a877a99ed0c77aefcbbfb1f6c720a73009c092d92a6754548fed64c21b19b2-1279599420
http://www.virustotal.com/analisis/8e5c44ccabed008017e1a4347f907f7618f6f9cfec3aae8f292cff9b80025b51-1279635497
http://www.virustotal.com/analisis/1f229f2ced4f0bc64fcd9b02a8ee5aef0e355663a8b87dedd6fa3661dbb1143d-1279681972
Aviraに検体提出済み

> www●kakiyasuhonten●co●jp
http://a001.aguse.jp/images/img/3ca520237b3c3ed919f20de9e658be8baa78b14e/78fd3d700835b8ecbdd7f9b55c368946aeeec5e5_00_x.jpg
復旧期間に移行、謝罪文掲載に感謝、お疲れ様です

> store●nextbusinesssystem●com
だめもとでIPAに報告

> www●kidsdrink●jp
メル凸に返信あり、感染ファイルからウイルスを駆除したようです
23名無しさん@お腹いっぱい。:2010/07/22(木) 14:48:36
>>22
このスレを立てた人が自ら削除依頼してるみたいだから
>>15の本スレに移動して下さい。

http://qb5.2ch.net/test/read.cgi/saku/1097242111/552
552 名前:依頼:10/07/21 22:46 HOST:p2025-ipad31kobeminato.hyogo.ocn.ne.jp
削除対象アドレス:
http://pc11.2ch.net/test/read.cgi/sec/1278430098/
削除理由・詳細・その他:
重複のため。
削除依頼対象の方が先に立ったスレなのですが、
10スレめなのに「9」になってしまっていますので。
24名無しさん@お腹いっぱい。:2010/07/22(木) 15:34:51
削除依頼なんかしたって意味ねーよ
ここ本スレ
25名無しさん@お腹いっぱい。:2010/07/22(木) 17:00:18
どっちでもいいじゃん
放っておいても続いたほうが自然に本スレになるんだよ
26名無しさん@お腹いっぱい。:2010/07/22(木) 19:34:13
>>23
きめえ
27名無しさん@お腹いっぱい。:2010/07/22(木) 20:13:22
前スレ925がまともなナンバリングさえしてれば
無問題だったのにな
28名無しさん@お腹いっぱい。:2010/07/22(木) 21:49:45
元から番号間違いぐらいなんともないだろw
29名無しさん@お腹いっぱい。:2010/07/23(金) 00:50:25
このスレッドは削除依頼が出されています。
以下の本スレに移動して下さい。

【Gumblar/GENO】Web改竄ウイルス総合10【8080】
http://pc11.2ch.net/test/read.cgi/sec/1279692828/
30名無しさん@お腹いっぱい。:2010/07/23(金) 01:01:01
>>29
死ね
31名無しさん@お腹いっぱい。:2010/07/23(金) 01:01:26
セキュ板の削除依頼って機能してなくね
32名無しさん@お腹いっぱい。:2010/07/23(金) 01:06:57
>>29
夏休みの宿題はそんなのじゃ、先生受け取りませんよ?
33名無しさん@お腹いっぱい。:2010/07/28(水) 00:29:01
とりあえず例の脆弱性でショートカットが真っ白になるのが嫌なひとはコレか

Windows狙いの攻撃を防ぐ無料ツール、Sophosが提供
>同ツールは他社のウイルス対策ソフトと併用でき、「Microsoftの回避策のように
>Windowsスタートメニューのショートカットをすべて真っ白にしてしまうこともない」
ttp://www.itmedia.co.jp/news/articles/1007/27/news014.html
34名無しさん@お腹いっぱい。
↑一応リンク張っとくか

Windows Shortcut Exploit Protection Tool
ttp://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html