【報告専用】同人サイト向け・GENOウィルス注意11at DOUJIN
【報告専用】同人サイト向け・GENOウィルス注意11 - 暇つぶし2ch650:GENO
10/02/27 20:29:05 u/R/zU+K0
User-Agent was found on blacklist GET /favicon.gif HTTP/1.1
Connection: Keep-Alive
User-Agent: Mozilla/4.0 (compatible; GoogleToolbar 6.4.1321.1732; Windows XP 5.1; MSIE 7.0.5730.13)

引っ掛かったのはUser-Agentです。アクセスログではなくてブロッカーのログなんですが

ボットネット(Botnet)
URLリンク(ja.wikipedia.org)
確認しましたが、随分前から同じような事例が報告されているようです
擬装されるUser-Agentが通常ユーザが使うものに似せたものになり、仕様しているデータベースに登録され
その結果結果ブロックされたことになります

651:GENO
10/02/27 20:30:14 VcZO34sr0
>>649
favicon.ico入れてないとログがうざい事になるよねー。
リンク切れとかの本当の404を見落とし易くなるから
エラーログとにらめっこして「仕方ない、favicon.ico入れるか」て
なった管理人も少なくないだろうに、本当に625は何を勘違いしたのか……。
不審なリクエストパラメータがくっついていたとかならまだ判るけど。

652:絡み
10/02/27 20:33:45 GJdWtRyyP
>>650
やべー
やっぱり何が言いたいのか理解できねぇ

653:GENO
10/02/27 20:42:22 VcZO34sr0
そろそろ相手にしない方が良さそうだ。NGに放り込んどこう。

654:GENO
10/02/27 20:44:07 rCm2i+NA0
つまりgoogleツールバーのアクセスをウィルスだと騒いでいるという事だ

655:8080
10/02/27 20:50:01 OxfKVYW40
ブロッカー使ったことないからよくわかんないけど
アクセスログもブロッカーのログも基本は同じ情報をとってるんじゃないの

ファビコン情報を探して火狐やgoogleツールバーが何度かアクセスを試みる
(ファビコン設置してないとこはファビコン情報がないから404になるけど
 一度のアクセスでそれを判別することはできないから何度かアクセスする)
→短時間に同じユーザーから何度もアクセスされてるのをブロッカーが
「これ怪しいんじゃない?」と報告してるんじゃないのか

それ自体は仕様みたいなもんだしボットネットは全く関係ない

自分も人に言える程じゃないけど
ID:u/R/zU+K0は拡張子云々と人を見下す前に
自分の知識がものっすごく中途半端かつ我流かつ勘違い筋違いだらけなんだと気付け

656:GENO
10/02/27 20:53:46 BTCuEwit0
googleツールバー、か…

657:GENO
10/02/27 20:57:45 u/R/zU+K0
スパムデータベースがブラックリストと照合した結果がこのログですが
使ったことないのにたいそうなことおっしゃいますね

658:GENO ◆AbjB8MStDM
10/02/27 21:00:04 BFO1LCBy0
自分のサイトでやってろよ
邪魔

659:GENO
10/02/27 21:13:19 KEEheP5G0
八百長を801と間違えて当該板に突撃している
韓国のサイバー攻撃の余波かと思われるような
日本語がめちゃくちゃなやつだなw

660:GENO
10/02/28 01:32:54 188IKQSo0
なんにせよ何かしらのデータベースやらリストやらに載ってるとか言うんなら
とっくにセキュリティ系のとこから注意喚起出てるだろ
他者への情報伝達能力が著しく欠けてるヤツはもう黙ってていい

661:GENO
10/02/28 15:01:29 YNf0ZtR00
URLリンク(despairstale.scrapping.cc)
基地の使ってるのはWordPressでブロッカー云々喚いてるのは
プラグインのBad Behavior
このプラグインが>650のアクセスをスパムbotだと判断して
アクセス弾いたって言いたいんだろうが
それがどうして別物のGumblar、8080関連の攻撃と結びつけるのか
基地の妄想乙としか言えない
WPの穴狙われてるのは今更だしGumblar、8080とは完全に別問題

662:GENO
10/02/28 15:08:44 u4d0ReRX0
迷惑だから$を誘導しないでくれ
$の相手はしかるべき場所でやってくれ

663:GENO
10/03/04 06:52:08 2t/MqFsx0
「.htaccess」を不正アップロード、Gumblarが新たな改ざん攻撃
URLリンク(internet.watch.impress.co.jp)

誰も来てないみたいだけど要らない情報だったらすまん
念のため

664:GENO
10/03/04 11:37:43 in9PWcRH0
>>663

でもこれは、.htaccessがアップ出来ないレンタル鯖には関係ないのか?

665:Gumblar
10/03/04 15:47:28 tKGMeUXT0
>>663
報告乙です
なんか色々手を変え品を変えだねー…
私のような素人にはついていけません

ちょっとあげときます

666:Gumblar
10/03/04 16:10:49 RmEpjD/F0
関連記事…

「スクリプトを無効にしても防げない」、新たな「ガンブラー」出現
URLリンク(itpro.nikkeibp.co.jp)

いったい何をどうしたら防げるのか訳わかんなくなってきた

667:GENO ◆AbjB8MStDM
10/03/04 16:24:04 ffWUkzwa0
例の六カ条を守ってればいいだけ

 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
 (2) JRE(Java Runtime Environment)を最新版に更新する
 (3)Adobe Readerを最新版に更新する
 (4) Flash Playerを最新版に更新する
 (5) QuickTimeを最新版に更新する
 (6) Adobe ReaderのAcrobat JavaScriptを無効に設定する

668:GENO
10/03/04 16:24:15 mfwFlLjT0
>>666
 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
 (2) JRE(Java Runtime Environment)を最新版に更新する
 (3)Adobe Readerを最新版に更新する
 (4) Flash Playerを最新版に更新する
 (5) QuickTimeを最新版に更新する
 (6) Adobe ReaderのAcrobat JavaScriptを無効に設定する

これしてあれば飛ばされても今のところは感染しないから

669:GENO ◆AbjB8MStDM
10/03/04 16:31:06 ffWUkzwa0
>>668
結婚して下さい

670:GENO ◆AbjB8MStDM
10/03/04 17:04:38 /3nAgAeo0
アク解見てると結構サポート切れのOS使ってる人居る
大前提として98や2000のsp3までやMeじゃ
セキュリティ一般的には意味無いってのはあるんだろうけど

そもそもGumblarのターゲットにすらなってないんだっけか?

671:GENO
10/03/04 17:27:45 cp7mYlMQ0
始終ジャバスク切ってフラッシュも無効化していると
最先端サイトなんかほとんど見られないw
アドビリーダーも普段ほぼいらないけど
今のPC周辺機器はマニュアルPDFだけのとこ
多くなってきたから入れないわけにいかないし

672:GENO ◆AbjB8MStDM
10/03/04 18:37:15 Zoa0yZaO0
マニュアル見る程度なら他のビューアでもいいんじゃないの?

673:GENO
10/03/04 19:05:31 /QD8wgcC0
PDF-XChange ViewerのPortable使ってる
勝手にPDF起動しないから便利だ
JavaScript項目は外してる

674:GENO
10/03/04 21:55:39 1kn3vfeF0
SumatraPDF使ってるけどどうなんだろ

675:GENO
10/03/05 19:23:34 RboZWpOP0
ウイルスの目的はより多くの情報盗んだりすることだから
シェアの広いアプリが狙われるんだろう

ただシェアの狭いのが狙われないかというと
更新もあまりされないことも考えると
一概にいえないんだよなあ

XP、Adobeが狙われるのは今のところ宿命だよな

676:Gumblar
10/03/06 11:18:31 1mB1/lRLO
ウイルス製作者もそろそろ飽きてこないのかねぇ
騒動が始まってからもうすぐ一年になるし

今回の騒動でサイトの更新頻度が下がって人減ったジャンルいっぱいあるんだろうなぁ…寂しい

677:GENO
10/03/06 13:36:15 fA8n+JL1O
管理人、閲覧者ともども感染に気づいてないサイトもたくさんありそうだよね…

678:GENO
10/03/06 20:27:36 H7OCpaIk0
セルシス・弊社製品をご利用のユーザー様へ
libpng における圧縮された補助チャンクの処理に脆弱性
 URLリンク(www.celsys.co.jp)
 URLリンク(jvn.jp)
想定される影響
 遠隔の第三者によるサービス運用妨害 (DoS) 攻撃が行われる可能性があります。

679:GENO ◆AbjB8MStDM
10/03/06 20:46:57 HOA+qcKU0
ウイルス何でも相談所にスンナ

680:ウイルスたん
10/03/07 16:19:51 qwcBTQxV0
しかしスレ名かえて「ウイルスなら何でも来い」にした方がいいような気も

681:GENO ◆AbjB8MStDM
10/03/07 17:44:43 nIwp0YZs0
少なくともサイトの管理人として、感染すると他へ迷惑のかかるタイプのものじゃないと
ここでやる意味が無いよ

情弱な同人者のためのウイルス対策講座みたいのはちょっと違うと思う

682:GENO ◆AbjB8MStDM
10/03/10 19:55:47 J+HjS1OU0
3月のMS月例パッチが来てるからMicrosoft Updateを忘れずに

683:GENO
10/03/26 17:13:34 BycP0mum0
Adobeの9.3.1ってのが何度やってもエラーが出てアップデートできないんですが
どうやればできますか?XPです

684:GENO
10/03/26 17:19:14 BycP0mum0
質問なのでageます

685:683
10/03/26 18:55:33 1axIeORL0
自己解決しました
フリーソフト(Flash_Reader_Update)でバージョンチェックしたら9.3.1の方が
旧バージョンとなっていたので混乱しました

686:Pegel(ピーゲル)
10/03/26 19:32:45 tAVb++Oj0
他に良いスレが見つからなかったのでここに書き込ませていただきます。

Pegel(ピーゲル)というウイルス感染が広がっているようなので、ご注意下さい。
当方、本日ネットサーフィン中に感染サイトを確認。
すぐに自PCをウイルス検索したところ、同ウイルスに感染確認。
また自サイトにアクセスしたところ、自サイトも感染していたのでサイトを削除しました。

3/26 19:10時点でデュラララ同人サイトで数件感染を確認してます。
中には大手さんもいたので、自分のPCのウイルスチェックをしたほうがいいと思われます。
それからサイトを持ってる人も、自分のサイトが感染してないかチェックしたほうがいいです。

現在のところ、Avira AntiVirフリー日本語版では該当ウイルスを検出できました。
また、別PCでウイルスバスターで全体の検索をしている途中ですが、まだ検出はされていません。
これはウイルスバスターが該当ウイルスに対応していないのか、そのPCが未感染なのかは分かりません。
ウイルスバスターの完全検索が終わったら、Avira AntiVirを入れて検索する予定です。

とりあえず、報告と注意喚起をさせていただきます。

687:GENO
10/03/26 19:33:51 k1FDziaa0
>>685
そのソフトもバージョンアップしてるよ

688:Pegel(ピーゲル)
10/03/26 19:38:17 tAVb++Oj0
連投すみません。

Pegel(ピーゲル)に関する情報サイトがあったので、貼り付けておきます。
 Gumblar 亜種に続く、Pegel 対策に関する留意点
 URLリンク(www.kaspersky.co.jp)

当方あまりウイルスに詳しくないので
対策がいまいち分からないのですが、
もしどなたか詳しい方がいらっしゃいましたら、感染した場合の対処や、
まだかかっていない方のために感染予防方法をお教えいただけると幸いです。

689:GENO
10/03/26 19:50:24 ol4FUo5t0
今更何言ってるんだ

690:GENO
10/03/26 19:57:02 aAzMkpUO0
>>688
スゲー今更だなwww散々既出の以下をやっとけ、感染前に
感染した場合はクリーンインストール

 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
 (2) JRE(Java Runtime Environment)を最新版に更新する
 (3)Adobe Readerを最新版に更新する
 (4) Flash Playerを最新版に更新する
 (5) QuickTimeを最新版に更新する
 (6) Adobe ReaderのAcrobat JavaScriptを無効に設定する

691:Pegel(ピーゲル)
10/03/26 20:02:36 tAVb++Oj0
既出でしたか、失礼しました。
ちょっと気が動転していたので過去スレ見過ごしていたようです。
対策ありがとうございます。
クリーンインストールしてきます。

692:GENO
10/03/26 21:16:37 feC2hu0C0
l

693:Pegel(ピーゲル)
10/03/27 00:13:37 ldjoKX/a0
>>687
遅くなりましたが、情報ありがとうございます。
ウイルスバスターを入れたPCでは、ウイルスは検出されませんでした。
また、念のためウイルスバスターを削除、Avira AntiVirを導入して
完全チェックしてみたところ、ウイルス検出はありませんでした。

なお、これも既出の範疇(>>383)かもしれませんが
今回自サイトの感染についてですが、
更新は全てfc2のファイルマネージャーで行っていて、
FPTソフトはPCにインストールしていませんでしたが、サイトを改ざんされました。
fc2管理画面ログイン時にIDとPWを手打ちしていたことが原因かもしれません。
念のため、FTPソフト未使用でファイルマネージャー使ってる方もご注意下さい。


694:GENO
10/03/27 02:34:50 mq1gKv3M0
>>693が感染して情報を取られてサイトを改変されたのではなく、
FC2鯖がやられてそれを見た693が感染した可能性もあるかも

>>686
>3/26 19:10時点でデュラララ同人サイトで数件感染を確認してます。
の感染していたサイトは全部FC2鯖だったりしないか?

695:Pegel(ピーゲル)
10/03/27 03:03:04 ldjoKX/a0
>>694
コメントありがとうございます。
ビンゴです。現在こちらで確認しているデュラララ感染サイトは全てFC2鯖です。
当方もFC2鯖を使用していました。

デュラララサイトさんには当然他のサイトを運営している方もいらっしゃるのですが、
同じ方のサイトなのに感染しているサイトとしていないサイトがあって不思議でしたが、
鯖を見ると、FC2は感染していて、それ以外の鯖は感染していませんでした。

ということは…デュラララサイトではなく、
FC2鯖サイトを運営して入る方が今のところ感染の危険があるということですね。

696:Pegel
10/03/27 14:47:25 TEQ/l8k80
感染サイトってすぐわかったってことは
上に出てた.htaccessじゃなくて、スクリプトが入ってたのか
感染した後の症状でどんなのあったの?
その感染されたサイトって
最近更新されてないけどGumblar Checker3では引っかかるのかな

697:GENO
10/03/27 15:03:54 xxK8uqYB0
FC2鯖が本当にやられてウィルス蒔いているのか、
ウィルスソフトの誤検知でFC2鯖には問題ないのか
どっちだろうなあ

698:GENO
10/03/27 16:07:50 b2J+R27e0
同じくFC2鯖で>>693と同じ状況でウィルス感知した
ウィルスバスターでは感知してなかったけどAvira AntiVirだと感知

自分のサイトはスクリプトが混入されてました

699:GENO
10/03/27 16:15:35 SU71hIA+0
ウイルスバスター、どんだけ…   orz

700:GENO
10/03/27 16:24:39 khKBOJTa0
>>687
685です。そうだったんですね。気付きませんでした
早速最新のにしました。ありがとうございました

701:GENO
10/03/27 19:55:49 4IcI91dD0
今使っているパソを調べたところ、ノートン先生は何も言わなかったけれど
Avira AntiVirだとPegelを検出した。
FC2の自サイトにも反応。
サイトのインデックスページのソースを見たら、ページの最後の方に
ftpの文字列がたくさんあるジャバスクのコードがあった。
これってやっぱり一度クリーンインストールですかね。


702:GENO
10/03/27 20:29:12 Rq7Y/+r60
通ってるサイトさんのtopが昨日からウイルス警告出しまくり
しかも時間が経つにつれてウイルス検出する量が増えてる
最初は一個だったのに今だと4個ぐらい連発で警告が出る

拍手からお知らせしたけどまったく改善する気配がないんだけど
自分が使ってるaviraの誤検出なのかなあ

703:GENO
10/03/27 20:36:55 Rq7Y/+r60
ちょっと上のログ読んでみた
自分が検出したサイトさんもFC2鯖使ったサイトです
敏感なaviraタンの誤検出なのか、FC2鯖がやられてるのかどっちだろ


704:GENO
10/03/27 20:42:33 4IcI91dD0
同ジャンルのサイトさんをざっと回ってみたけど、aviraが反応したのは
ことごとくFC2のサイトのみ。他のサーバのサイトには無反応。
これってFC2の広告にでも誤反応してるんじゃないの?

705:GENO
10/03/27 20:44:44 vrvcO4+/0
>>701のスクリプトってのが気になるけど
広告タグじゃないんだよね?

706:GENO
10/03/27 20:49:26 H8vNlWwb0
aviraの誤検出?…ググっていたらこんなブログ記事を見つけたけど…?

Avira AntiVir、FC2ホームページのタグを「JS/Pegel.B.28」と誤検出

URLリンク(geocities.yahoo.co.jp)

707:Pegel
10/03/27 20:57:46 RYbcMdxZ0
>>703
それについて、ちょっと気になるものを見つけた。
URLリンク(geocities.yahoo.co.jp)
本当だったら人騒がせだなー

708:Pegel
10/03/27 20:59:37 RYbcMdxZ0
>>706
被ってた。すまん

709:Pegel
10/03/27 21:07:51 b2J+R27e0
>>707-708
まじかorz
初期化しちまった…

とりあえずホッとした

710:GENO
10/03/27 21:08:12 4IcI91dD0
>>705
ごめん。今調べたら広告だったようです…。
URLリンク(detail.chiebukuro.yahoo.co.jp)
↑ここにあった物そのものだった…自分バカス…
お騒がせして申し訳なかったです

って事はますますaviraの反応がわからないな。


711:GENO
10/03/27 21:50:53 A9yM4C9l0
>>709
ま まあ、初期化もゴミが取れて軽くなったり
悪く無いんだぜ?

環境設定がちと面倒だけどな

712:GENO
10/03/27 22:18:34 Rq7Y/+r60
>>707
誤検出なのか。アリガトン


713:GENO
10/03/28 16:04:37 CQpbAPXa0
前もFC2の広告で誤検出騒ぎなかったっけ?

714:GENO ◆AbjB8MStDM
10/03/28 17:32:29 obfE42d10
早とちりして大騒ぎした閲覧者がいたのは確かw
あの時凸された管理人さんは元気だろうか

715:GENO
10/03/28 18:21:45 tlGkBwlQ0
去年の騒動の時も広告で大騒ぎしてる人たちがいたよね
スクリプトってだけでウィルスだと思ってた人も多かったし。


716:GENO
10/03/28 18:43:38 JV60hR1i0
>>715
仕方ないさ、アレは命令文アレルギー見たいな物だから。

717:GENO
10/04/05 23:25:47 DessDBVO0
春になっても続くGumblar被害 ~ 3月のウイルス・不正アクセス状況[IPA]
URLリンク(headlines.yahoo.co.jp)
URLリンク(www.rbbtoday.com)

718:GENO ◆AbjB8MStDM
10/04/08 16:13:05 vXY5J6LaP
PDF の機能を悪用して任意のコードを実行Adobeが対策を公開
URLリンク(internet.watch.impress.co.jp)

719:GENO ◆AbjB8MStDM
10/04/28 17:50:21 K90lgkKCP
“Gumblar”ウイルスにDDoS攻撃を行う新種、JPCERT/CCが注意喚起
URLリンク(internet.watch.impress.co.jp)

720:GENO
10/05/07 19:14:43 yj2XiZrk0
515 管雑 [sage] 2010/05/07(金) 19:11:23 ID:PoQU/V/G0
行ったことないからどんなサイトか知らんけど
http://doujinnews.jp/ってとこがガンブラに感染してるよ
コロンとドットはあえて全角にしたよ

721:GENO
10/05/08 00:10:33 msB1wbaj0
ガンブラー攻撃が常態化、トレンドマイクロ、4月のウイルス感染・報告ランキング
URLリンク(headlines.yahoo.co.jp)

722:名前欄にスレ名入力推奨@自治スレ
10/05/08 00:11:27 O/4Jqx6Q0
参考
doujinnews●jp
URLリンク(www.aguse.jp)●jp%2F&x=0&y=0
ドットは●に置き換え

723:GENO ◆AbjB8MStDM
10/05/08 22:45:46 y4FxmCag0
大分前コードフリークっていう会社のサイトにも
ガンブラーが感染してたな。

724:名前欄にレス名出力推奨@自治レス
10/05/27 14:05:30 KRhrq4040
初心者必見! 究極の感染対策「6つの約束」を実行しよう
URLリンク(www.so-net.ne.jp)

725:名前欄にスレ名入力推奨@自治スレ
10/05/28 22:28:25 uybA+N1f0
Raymond.CC Blog
URLリンク(www.raymond.cc)
 ↓
NEW!
◆「URLVoid.com - BETA」 (9種類のサイト安全性チェックを一度に)
URLリンク(www.urlvoid.com)
 *BrowserDefender (Microsoft)
 *Google Diagnostic
 *MalwareDomainList
 *McAfee SiteAdvisor
 *McAfee Trusted Secure
 *MyWOT
 ★Norton SafeWeb
 *TrendMicro Web Reputation
 *Web Security Guard (URLリンク(www.websecurityguard.com)

onlinelinkscan.comとは重複しない安全性チェックになっているので、併用がベストです
◆「URLリンク(onlinelinkscan.com)」 (4種類のサイト安全性チェックを一度に Google Safe Browsing ,PhisTank ,AVG ,SiteTruth)

726:GENO
10/06/08 18:27:17 3v4hFVS+0
テス


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch