11/11/22 22:01:58.02 SOVMrElT
ウィルス検索じかん掛かったわー
>>973
報告した方がいいんですかね、今は再現しないのですが再度2chに接続するまでの数時間は再現率100%でした
firefoxのユーザホームディレクトリのCacheで以下4件ウィルスが見つかりました。どこで貰ったのかはちょっと不明です
PUA.Script.Packed-2
PUA.HTML.Infected.WebPage-1
PUA.Script.Packed-1
PUA.JS.Xored
これだけでは現象は現れずjdを起動させて mountコマンドの結果に
binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,realtime)
が出力された時には現象が出てました。今は現象は再現していません
攻撃者が振る舞いを指示できるタイプのウィルスじゃねーかなー なんて素人考えしてます
スレリンク(linux板:92-93番)
977:login:Penguin
11/11/22 22:04:16.37 ugJXxMp8
gnome-shellのsearch boxに日本語で検索しようとした場合、
ibusなどの変換結果が見えないのも仕様ですか?
978:login:Penguin
11/11/22 23:39:09.08 SOVMrElT
日付変更前に追記しとこ
検索エンジン向けキーワード
>>976のウイルス,virus 上から順に
file command :
./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: ASCII English text, with very long lines, with CRLF line terminators
./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: gzip compressed data, max compression
./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: gzip compressed data, from Unix
./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01: gzip compressed data, from FAT filesystem (MS-DOS, OS/2, NT)
ls command :
-rw-------. 1 user_mei user_mei 21567 11月 22 10:17 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01
-rw-------. 1 user_mei user_mei 26280 11月 21 14:23 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01
-rw-------. 1 user_mei user_mei 19653 11月 21 01:11 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01
-rw-------. 1 user_mei user_mei 39644 11月 21 12:27 ./.mozilla/firefox/XXXXXXXX.default/Cache/X/XX/XXXXXd01
979:login:Penguin
11/11/22 23:58:25.91 SOVMrElT
>>970-972さん ありがとうございます
>>968の書き込み後から孤独な確認作業に入ったものので下さった何れのアドバイスも試せてません
すいません、
このF16はHost OSとして使ってるので汚染されてたら非常に困ります。。。
980:login:Penguin
11/11/23 00:48:23.89 tdHRef6D
>>979
基本的なことで申し訳ないが、フツーのコンソールで
shutdown -h now
した時の具合はどうなってる?
981:login:Penguin
11/11/23 01:03:13.49 WNDm2LAx
>>980
22時過ぎから再現しなくなってまして shutdown -h now も試せてません
該当ファイルの隔離で実行環境を破壊したからなのか
それとも攻撃者が指令を引っ込めたからなのか
982:login:Penguin
11/11/23 11:20:21.65 WI/Ujewj
firefox8に上がったら、bookmarkアイコンが出たり出なかったりバラバラです
983:login:Penguin
11/11/23 11:36:12.06 tdHRef6D
>>976
PUAだから即ウィルスは軽率
安易にウィルス感染と考えないほうがいい
地道に/var/log下のログと、
不具合がでる前にやった些細なことを思い出せば
解決できる気がする
984:login:Penguin
11/11/23 12:01:48.98 WNDm2LAx
>>983
> PUAだから即ウィルスは軽率
> 安易にウィルス感染と考えないほうがいい
21kBくらいだけど難読化されたjavascriptファイル見る?
jd起動した場合に現象発生環境が整ってたんだよ
binfmt_misc のmountとか
> 地道に/var/log下のログと、
# grep mount /var/log/messages* | grep -i binfmt
#
syslogからは該当mountの痕跡消えてるし
スレリンク(linux板:27番),67
> セキュリティ上の状態は目をつむったとして
次に再現した場合には2chに書かず即bugzilla行くわ
> スレリンク(news板:1番)
> [ ニュース速報 ] 【ネットの信頼度】 2ちゃんねるの情報は信頼できますか?
こんな話もあるし
985:login:Penguin
11/11/23 12:23:22.76 tbUXNawl
自分がウィルスだって思ってるならそれでいいじゃん。
2chの他のスレのレスを持ちだしてきて何がしたいのかよく分からん。
986:login:Penguin
11/11/23 12:24:06.89 Q0UX8Eqx
WORKSFORME
987:login:Penguin
11/11/23 12:29:57.71 WNDm2LAx
自分でいうのも何だけど確かにPUA.*と現象を即結びつけて考えてるのは軽率、現象とは無関係だったかもしれない
他に原因があることも充分考えられる
しかし、常用してたGUIアプリ5つの内
jd起動後でのみ電源オフ時の振る舞いが変化してたのも事実
988:login:Penguin
11/11/23 12:37:31.86 WNDm2LAx
>>985
通常のユーザなら「セキュリティ上の問題」には目を瞑れない
通常のユーザであるなら「ちょっと使いたいプログラムに限っていつもjavascriptなんだ」←こんな状況は考え難い
特にUnix Like OSのユーザならjavascriptなんかで作るより他の自分が得意なshellなり言語なりでプログラムつくるでしょ
ただし既存のvirusを流用したい場合は別、javascriptを使いたい場合もあるのかも知れない
989:login:Penguin
11/11/23 12:42:29.51 yynBa45m
問題を解決したいのか
自分がウィルス感染したのを主張したいのか
よくわからん
990:login:Penguin
11/11/23 12:53:43.81 WNDm2LAx
問題の解決と注意喚起をしたいのです
それに比べれば主張は重要なことではない と考えてます
認識してる現象は 電源オフ時の振る舞い不良だけですけど、認識できていない現象もあるかも知れない
$ file PUA.*
PUA.HTML.Infected.WebPage-1.gz: gzip compressed data, from FAT filesystem (MS-DOS, OS/2, NT)
PUA.JS.Xored.gz: gzip compressed data, from Unix
PUA.Script.Packed-1.gz: gzip compressed data, max compression
PUA.Script.Packed-2.txt: ASCII English text, with very long lines, with CRLF line terminators
$
$ zcat PUA.HTML.Infected.WebPage-1.gz | file -
/dev/stdin: ASCII C program text, with very long lines
$
$ zcat PUA.JS.Xored.gz | file -
/dev/stdin: UTF-8 Unicode English text, with very long lines
$
$ zcat PUA.Script.Packed-1.gz | file -
/dev/stdin: ASCII assembler program text, with very long lines
$
991:login:Penguin
11/11/23 13:01:38.95 yynBa45m
問題解決にしても注意喚起にしても情報が少ないな
注意喚起のほうは危ないっていってるだけでどうすれば避けられるかよくわからない
差し支えなければ>>978のファイルをどっかに上げれば
何者なのか判断がつく人もいるかもしれないけどな
(知らない人が不用意に展開しないようパスつけて)
992:login:Penguin
11/11/23 13:03:53.62 WNDm2LAx
>>991先ほどから迷ってるのですが国内で何か法改正されてませんでしたっけ
頒布したら有罪 とか何とか、疎いので安全かどうか判らず決断できないでいます
993:login:Penguin
11/11/23 13:08:51.17 s7o4EMT/
注意喚起ならIPAにでも報告しとけ
つかいつまでもアスペに構うなよ
994:login:Penguin
11/11/23 13:34:28.19 tdHRef6D
>>984
俺もPUAならあるよ。
PUA.JS.Obfus-2
PUA.JS.Xored
PUA.Script.Packed
PUA.Script.Packed-1
PUA.Script.Packed-2
ところでルートキットの方はどうなの
995:login:Penguin
11/11/23 18:47:25.04 OrSguwMU
シャットダウンしたのに再起動する現象でしょ?俺はF15では頻繁に起きてたよ。
一応このスレでも聞いたんだが、BIOS確認しろって言われて終わり。
BIOSと言われても関係ありそうなところは無かったがな。そもそもF15より前では
起きないし多分BIOSは関係ないよ。
この現象はF16ではまだ起きてないから、修正されたのかと思ってたが。
996:login:Penguin
11/11/23 20:42:43.25 pqG8kJL0
Fedora 総合スレッド Part 51
スレリンク(linux板)