GENOウイルススレ ★23at SEC
GENOウイルススレ ★23 - 暇つぶし2ch175:名無しさん@お腹いっぱい。
09/12/15 23:38:19
>>169
JavaScript切ればとりあえず回避できるとかあった

Adobe 0-day in the wild - again
URLリンク(isc.sans.org)


176:名無しさん@お腹いっぱい。
09/12/15 23:45:43
>>175

このスレの住民ならAcrobat Javascriptは切ってるだろうから問題ないな

177:名無しさん@お腹いっぱい。
09/12/15 23:50:30
>>158
> Virustotalのアップロード部分に、.phpのURLを入れてみた。
これは無理

> パソコン内のファイルじゃないとだめなのかと思って。
そういうことです
アップロードしたファイルを確認できるのはそのファイルを持っている人だけ
VirusTotalからDLは不可能
DLできちゃったら危ないからね

178:名無しさん@お腹いっぱい。
09/12/16 00:59:43
ところでアニたまのウイルスは本当にGumblar系か?
似てはいるがスクリプトの挿入位置や内容が違うような
いままで <script>/*GNU GPL*/ こんなのなかったしカスペで反応しない・・・
あるいは新型のスクリプトなのか

結果: 0/41
URLリンク(www.virustotal.com)

179:名無しさん@お腹いっぱい。
09/12/16 01:04:21
糞ジャンクショップ GENO 閉店…店舗販売を終了しWeb販売のみに
スレリンク(news板)

やっぱ例の事件の影響があったのかな?

180:名無しさん@お腹いっぱい。
09/12/16 01:59:40
>>178
本体じゃないから反応しないだろ
ノートンで行くと反応した

181:名無しさん@お腹いっぱい。
09/12/16 02:32:41
>>180
なるほど本体バイナリは同じか
スクリプトが大きく変わったんだな

182:名無しさん@お腹いっぱい。
09/12/16 07:29:19
>>161-163
これはいわゆる8080系イジェクションで、gumblar(geno)じゃないよ。
使う脆弱性はおなじみFlashやAcrobatなので対策は同じ。


183:名無しさん@お腹いっぱい。
09/12/16 07:37:20
>>176
ついでに。
URLリンク(www.shadowserver.org)
Right now only 5 out of the 41 different Antivirus vendors used by Virustotal are detecting this threat.
Even then their detection appears to be generic and is not currently specifically detecting this exploit.
The 5 vendors to detect the threat are:
(McAfee-GW-Edition) *note this is not the same as McAfee Desktop or Mail Server Edition
(eSafe)
(NOD32)
(AntiVir)
(Kaspersky)

補足するとMcAfeeのGWは旧Webwasherで、McAfee+何かという構成で
VirusTotalのはMcAfee+AnviVir。実質4ベンダー。
eSafeがKasperskyオプション付きなら実質3ベンダー。

184:名無しさん@お腹いっぱい。
09/12/16 07:43:24
ほい、anitamaの初段スクリプト。
URLリンク(www.virustotal.com)

185:名無しさん@お腹いっぱい。
09/12/16 07:45:16
アニたまスレにもレスしたけど、こっちにも
いつもGumblar追っかけてくれてる人が検証してくれてた

「アニたまどっとコム」のサイトが改ざん被害。さまざまな脆弱性を突く処理が・・・
URLリンク(blogs.yahoo.co.jp)

上にもあるようにGumblarではないけど、Gumblarよりもタチ悪いかもな
ってことでこれ以上はここではスレチか

186:名無しさん@お腹いっぱい。
09/12/16 07:48:36
>>184
さっき誤ってアニたまに飛ぼうとしてカスペ先生が遮断してくれたとこだぜw
まあ砂箱内のブラウザで、js切った状態だったから飛んでも問題なかっただろうが

187:名無しさん@お腹いっぱい。
09/12/16 08:06:07
いちおanitamaのスクリプトは各社に提出済みです。
バスターはトレンドマイクソの鯖がおかしいんで送れてないけど。

188:名無しさん@お腹いっぱい。
09/12/16 09:49:45
>>185
スレチではあるが同じ脆弱性も突いているウイルスだから
ここでもアリのような気もする・・・ウイルス総合スレなんてないしな

189:名無しさん@お腹いっぱい。
09/12/16 11:46:30
アニヲタ撲滅運動か??

190:名無しさん@お腹いっぱい。
09/12/16 13:50:31
>184
今はカスペだけか、恐いな

191:名無しさん@お腹いっぱい。
09/12/16 13:56:07
検出の仕方にもよるからカスペだけとは限らない
現にノートンでも検出する

192:名無しさん@お腹いっぱい。
09/12/16 14:48:27
アンラボ?とかいうので駆除してみたんでもう大丈夫ですかね??

193:名無しさん@お腹いっぱい。
09/12/16 20:20:31
>>188
ページ改竄の総合情報スレ的なものってないのかな?

ちなみにアニたまは公式アナウンス来た
一応あのスクリプトは取り除いたみたいだが、まだ調査中の模様
完全に安全になりました、とは言えないな・・・

194:名無しさん@お腹いっぱい。
09/12/16 22:03:13
>>189
むしろ頑張れって感じだなw

195:名無しさん@お腹いっぱい。
09/12/16 22:44:44
>>193
アニたまに関しては、今のところスレチだ他でやれ的なレスも
ないようだからここでやってもよさそうだ

しかし、ページ改竄の被害が身近になってくると
総合情報スレ的なものが欲しくなるな
新しく立てても過疎りそうだから個人的には
次スレはこれを考慮に入れたスレにしたいものだが

196:名無しさん@お腹いっぱい。
09/12/16 22:49:57
スレチだ他でやれ

197:名無しさん@お腹いっぱい。
09/12/16 23:31:08
ああいうとやっぱりこういうレスがつくよなw

198:名無しさん@お腹いっぱい。
09/12/16 23:37:07
アニたまのは音楽ファイル自体は大丈夫なのかのう。

199:名無しさん@お腹いっぱい。
09/12/17 00:16:09
>195
アニたまはいい加減スレチとして、確かに>193の「インジェクション総合スレ」っぽいのは見たい
欲張って「マルウェア・ウイルス総合スレ」にしちゃうと、分量・速度的にキリが無さそうだしな

200:名無しさん@お腹いっぱい。
09/12/17 00:23:39
ブラウジングウイルス対策総合スレ

201:名無しさん@お腹いっぱい。
09/12/17 00:28:39
>>199
たしかに欲張ると質問が押し寄せて収拾つかなくなりそうだ
ただ、範囲を絞りすぎると過疎が怖いしな・・・
検索で見つけやすいスレタイやテンプレの問題もあるが

202:名無しさん@お腹いっぱい。
09/12/17 00:47:06
【Gumblar】Webウイルス対策総合スレ【8080】

203:名無しさん@お腹いっぱい。
09/12/17 01:03:34
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】

ではどう? GENOと改竄を入れた方が分かり易いと思う。

204:名無しさん@お腹いっぱい。
09/12/17 01:11:09
なんか建てるならブラウザ戦争おこさないようにテンプラ気をつけろ

205:名無しさん@お腹いっぱい。
09/12/17 02:06:07
ここ来る連中にちょろいやつはいないだろうからもうここイラネ

206:名無しさん@お腹いっぱい。
09/12/17 02:35:09
【Gumblar/GENO】Web改竄ウイルス情報総合スレ【8080】

ちょっと長いけどこれでどうだ?
情報って言葉を入れることであくまでも第一報やそれに準じる大まかな情報のみ扱う
で、被害が大きかったり細かい対策で情報量が増えていくようだったら
そのウイルスごとに別スレを立てて誘導していくって感じ





207:名無しさん@お腹いっぱい。
09/12/17 03:25:11
内容はこんな感じでどうだろ?
一応このスレの改変してテンプレも作っているが
自分も詳しいわけではないのでアップデート対策と
Gumblarについてしかまとめていない

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
被害が増加しているようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080、JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***



あとブラウザについてだが

■ ブラウザでJavascriptの使用を基本無効に設定
・Internet Explorer ツール → インターネット オプション →
 → セキュリティ・タブ → このゾーンのセキュリティのレベルを「高」に
・Firefox NoScriptを導入する
・Google Chrome -disable-javascriptで起動。
・Opera ツール → クイック設定 → 「JavaScriptを有効にする」のチェックを外す

こうしているが他にいい案はないかな

208:名無しさん@お腹いっぱい。
09/12/17 05:11:13
>>207
だからそういう風に書くから粘着馬鹿につけ込まれるんだって。
個人的にはブラウザ関連の記述はあえてテンプレからは外すようにした方がいいと思うけど
どうしても入れたいなら

■ ブラウザでJavascriptの使用を基本無効に設定
・Internet Explorer ツール → インターネット オプション →
 → セキュリティ・タブ → このゾーンのセキュリティのレベルを「高」に
・Firefox ツール→オプション→コンテンツ→ 「JavaScriptを有効にする」のチェックを外す
・Google Chrome -disable-javascriptで起動。
・Opera ツール → クイック設定 → 「JavaScriptを有効にする」のチェックを外す

とした方がいい。

209:名無しさん@お腹いっぱい。
09/12/17 06:52:58
なんでわざわざIE厨の機嫌取らないといけないんだよ


210:名無しさん@お腹いっぱい。
09/12/17 07:01:48
まあでもJavaScriptの無効方法のテンプレなのに、NoScriptが対処方法ってのはおかしいな
ブラウザ単体で切ること自体はできるんだから

211:名無しさん@お腹いっぱい。
09/12/17 07:09:53
なんでわざわざ火狐厨の機嫌取らないといけないんだよ

212:名無しさん@お腹いっぱい。
09/12/17 08:15:43
こういうのがいるからだろ

213:名無しさん@お腹いっぱい。
09/12/17 08:49:54
IEでも火狐でも、どーでもいいわい

214:名無しさん@お腹いっぱい。
09/12/17 10:27:53
>>208-213

・WebブラウザのJAVAScriptを切っておく
※切り方はググれカス(勝手に調べて下さい)

これでどないだ?(苦笑)

215:名無しさん@お腹いっぱい。
09/12/17 11:41:20
共通の敵がいるのになんで内紛せにゃならんのだ

216:207
09/12/17 12:21:34
ご意見どうも
ブラウザに関しては利便性の問題もあるので
応用的なことは外すほうがいいか
あまり代わり映えしないが扱う範囲が広くなるからよしとして
アップデートとGumblarくらいのシンプルなものにするかね
あとは誰か詳しい人が追加してくれるだろうし

それと
・QuickTime・RealPlayer等の更新
・VirusTotal・VirSCAN.org
・サイトチェッカー
・オンラインスキャン

このあたりは入れていないがいいかな?
とりあえず立てるにしてもいろいろ意見は欲しいところ

217:名無しさん@お腹いっぱい。
09/12/18 11:46:37
>>700
その共有ボタンに登録した情報から動向を探るのが本当の目的だろ
いつもの収集作業だな

218:名無しさん@お腹いっぱい。
09/12/18 11:49:01
ごばったけど過疎ってるしまぁいいか…

219:名無しさん@お腹いっぱい。
09/12/18 12:23:30
過疎ってないよ

220:名無しさん@お腹いっぱい。
09/12/18 12:26:32
動きがないと過疎るからなあ
総合スレは次になにかあったときのほうがいいかもな・・・

221:名無しさん@お腹いっぱい。
09/12/19 03:57:44
水面下で着々と怠惰な情弱共が喰われていってるくらいだな
事前に最低限の対策をしていれば当面の間は問題ない

222:名無しさん@お腹いっぱい。
09/12/19 12:12:49
今GENOサイトがメンテナンス中なんだが、
また何かあったのか?と疑ってしまう・・・

223:名無しさん@お腹いっぱい。
09/12/19 18:24:13
メンテナンスはメンテナンスですしおすし

224:名無しさん@お腹いっぱい。
09/12/20 21:35:28
よく分からんが、恐らく感染してるっぽいが、userフォルダをusbメモリに退避して、osクリーンインストールでおk?

225:名無しさん@お腹いっぱい。
09/12/20 22:02:39
その退避したファイルが~ってオチですね

226:名無しさん@お腹いっぱい。
09/12/21 01:04:28
USBメモリが別のにやられてそうだよね

227:名無しさん@お腹いっぱい。
09/12/21 04:40:41
HijackThisのログで拾ってくれないかな?
感染した人、試してみて

228:名無しさん@お腹いっぱい。
09/12/21 05:50:49
>>227
VirtualBox上で感染させたちょっと古いやつだけど、HijackThisのログでは拾えなかった

229:名無しさん@お腹いっぱい。
09/12/21 21:35:55
thx
やっぱり駄目か・・

230:名無しさん@お腹いっぱい。
09/12/21 23:52:31
つかワクチンで対処ができないとかjavaって欠陥ソフトやん、どうにかしろや

231:名無しさん@お腹いっぱい。
09/12/22 09:22:26
ワクチンとかアンチウイルスとかが既に幻想
UACも、ウイルス系の8割が突破、通常アプリの8割がブロック

自分の責任じゃないとか言ってるうちにWindows滅びますぜ ゲイツさんよ


232:名無しさん@お腹いっぱい。
09/12/22 12:05:42
>231
MSEを無料で作る程度には、責任感じてる気もする
肝心のMSEの性能はシラネ

233:名無しさん@お腹いっぱい。
09/12/22 13:46:02
MSEやその前身のOneCareもどこかよその企業をいくつか買収しただけだったりする。

234:名無しさん@お腹いっぱい。
09/12/22 23:37:25
ソープ板から すまんこ。
アニたま系と同じやつだとおもうのだけど(ソープ店HP)
//santafe.santafe-group.com/index.html 内の最後の方のアクセス解析スクリプト
//santafe.santafe-group.com/acc/xenoLogger.js
が乗っ取られてるみたいで ロシアにご案内されてしまう。

地味に被害が広がっていて、管理者側も依然手を打ってない模様。

専用スレでも立ててage放しにして警告しといたほうがいいのかな?
3行ほどでアドバイスいただけないかしら。

235:名無しさん@お腹いっぱい。
09/12/22 23:38:45
>>231
ゲイツは08年6月27日に退職しとるがな

236:名無しさん@お腹いっぱい。
09/12/22 23:56:55
>>234
Gumblarじゃない
--
document.write(acCODE); /*GNU GPL*/ try{window.onload = function(){var 以下略
--
参照
URLリンク(www.so-net.ne.jp)


237:名無しさん@お腹いっぱい。
09/12/23 02:51:35
>231
OS・アプリ・Flashの更新関係は全部チェック、ブラウザも極力最新版を
無料でもセキュソフトは必須、未対策は感染を広げる(偽セキュソフトに注意)
不安ならブラウザとPDFソフトのJavascriptはOFF、後者は常時OFFでもいい

ほい、3行
できる・やるべき対策はGumblarと同じ

238:名無しさん@お腹いっぱい。
09/12/23 02:53:02
>237は>234宛だった

239:名無しさん@お腹いっぱい。
09/12/23 04:04:08
言ってることは正しいんだが、安価ぐらいちゃんと打とうよ・・・

しかしGNU GPLで始まるスクリプトのインジェクション、じわじわと拡がってるみたいね
もう1個ぐらい有名サイトが陥落でもしたら、総合スレ立てても良いような

240:234
09/12/23 04:41:13
>>236-239
色々ありがとう。
メディアでの記事も参考になったし、Adobe Readerでjavaスクリプトとかあるの知らなかった。

最後にもうひとつだけ質問させて。
コレって、サーバーに侵入されて書き換えられてるの?
それとも、保守用のPCが何らかの感染しているの?

241:名無しさん@お腹いっぱい。
09/12/23 05:13:34
両方あり得るし、それは管理者じゃないとわからん。

242:名無しさん@お腹いっぱい。
09/12/23 07:41:40
管理者のPCが感染
→鯖の管理アカウントが漏洩
 →鯖に仕掛けられる
   →それを見た別の管理者のPCが感染
の永久ループだろ

ちなみに、adobe readerは全バージョンセキュリティホール放置中、対策版は恐らく来月中旬
攻撃コードの作り方が簡単過ぎて笑ったので、年末年始に流行りそうな予感


243:名無しさん@お腹いっぱい。
09/12/23 08:11:44
年末年始を狙ってくるのは確実だろうなあ
んで改ざんされたサイトの管理人が休暇中で、ウイルスばらまいた状態になったままとかorz

ところでJR東日本の公式サイトが改ざんされたとかでサービス停止してる
URLリンク(www.mbs.jp)

244:名無しさん@お腹いっぱい。
09/12/23 08:15:17
URLリンク(sorry.jreast.co.jp)
JR東もやられたっぽい。
只今メンテ中。

245:234
09/12/23 09:14:51
>>241,242
ありがとう。>>239さんの通りじわじわ拡大してるようですね。
件の管理者も早く気付いて欲しいところです。

246:名無しさん@お腹いっぱい。
09/12/23 13:16:32
管理者自身、geno技術がすごすぎて手が打てないんだろ

247:名無しさん@お腹いっぱい。
09/12/23 13:26:21
JR東のサイト内検索窓に改ざん 運用停止
URLリンク(www.fnn-news.com)
社内で調査したところ、外部からの不正なアクセスがあったほか
改ざんされた画面などにアクセスした場合、ウイルスに感染するおそれもあるという。


248:名無しさん@お腹いっぱい。
09/12/23 13:35:31
この際、javaやめてnet frameでええよ

249:名無しさん@お腹いっぱい。
09/12/23 15:15:27
Gumblar撤退?
URLリンク(blogs.yahoo.co.jp)
--
asianmotors●co●in ←危険
ここって、インジェクションの実験場に使われてる?
*GNU GPL*に酷似した(同じ?)
<script>/*CODE1*/ try{window.onload = function(){var
こんなのが転がってるんだが・・・
※Gumblarは残ったまま

250:名無しさん@お腹いっぱい。
09/12/23 15:36:53
ここも凄い事になってるなw
URLリンク(www)●cafekamrans●co●uk/


251:名無しさん@お腹いっぱい。
09/12/23 17:03:10
>>249-250
どんな感じなんだ
一回見てみたいんだがチキンだから見れない画像うpしてください^q^

252:名無しさん@お腹いっぱい。
09/12/23 19:13:18
Firefoxで頭にview-source:付ければいいだろ

253:名無しさん@お腹いっぱい。
09/12/23 19:19:58
>>249
code1は8080系だね。前はGNU GPLとか書いてた奴。

254:名無しさん@お腹いっぱい。
09/12/23 19:20:48
上げてください^q^

255:名無しさん@お腹いっぱい。
09/12/23 20:03:53
自分で見れないレベルなら見てもわからんと思うよ

256:名無しさん@お腹いっぱい。
09/12/23 20:36:48
>>251
249と250もチキンだからな

257:名無しさん@お腹いっぱい。
09/12/24 00:08:42
JR東日本のサイト改ざんはGamblar亜種
URLリンク(www.jreast.co.jp)

不正アクセスにより改ざんされたページ及び期間
JR東日本ホームページ内キーワード検索
2009年12月8日(火)21:40~12月21日(月)23:55
大人の休日倶楽部内の東京講座ページ
2009年12月18日(金)11:00~12月22日(火)21:00

258:名無しさん@お腹いっぱい。
09/12/24 00:10:22
久々に見にきてみれば、JRもGENOか

259:名無しさん@お腹いっぱい。
09/12/24 00:14:58
検索だけじゃなかったのか

260:名無しさん@お腹いっぱい。
09/12/24 00:15:32
>>256
よう、腰抜けw

261:名無しさん@お腹いっぱい。
09/12/24 00:15:40
スペル覚えにくいけどGumblarね

262:名無しさん@お腹いっぱい。
09/12/24 00:21:57
>>261
Gumblarなのね、覚えた

263:名無しさん@お腹いっぱい。
09/12/24 00:45:10
>>256
ほっといたらいい
URLしか貼り付けれない奴らだから

264:名無しさん@お腹いっぱい。
09/12/24 01:12:37
GENO怖くて4月からもうずっと専ブラで2chとふたば見るだけのネット生活だ…

265:名無しさん@お腹いっぱい。
09/12/24 01:59:27
【GENO出世】JR東のサイトにアクセスしたユーザーにGENOウイルス感染の恐れ
スレリンク(news板)

266:名無しさん@お腹いっぱい。
09/12/24 02:11:52
GENOウイルススレ 23
スレリンク(sec板)

267:名無しさん@お腹いっぱい。
09/12/24 02:12:34
>>266
誤爆したスマソ

268:名無しさん@お腹いっぱい。
09/12/24 05:34:59
ここまでGENOで定着してしまうとはね・・・アメリカの企業だったら名誉毀損で訴訟起こすレベルw
そりゃインジェクションされたGENO側が悪いのも分かるけどさ・・・
JRが真っ先にやられてたらJRウイルスとでも言われてたのだろうか?

269:名無しさん@お腹いっぱい。
09/12/24 06:23:31
>>261

「ガンバレー」に見えてしまう

270:名無しさん@お腹いっぱい。
09/12/24 10:32:08
ガンプラに見えてしまわない

271:名無しさん@お腹いっぱい。
09/12/24 11:27:12
機動戦士Gumblar

272:名無しさん@お腹いっぱい。
09/12/24 12:07:08
vistaでDaonol感染した。
UAC切ってたからだと思う。
7のインストールディスクのコマンドプロンプト使ったが、midi9がないので、更なる亜種みたいだわ。
復元ポイントに戻ればいいみたいだが、生憎vistaのインストールディスクがなくてなおしようがない…

273:名無しさん@お腹いっぱい。
09/12/24 12:32:33
>>272
Vistaで応用できるか分からんが、KNOPPIXから修復する方法がある
URLリンク(pctrouble.lessismore.cc)

274:名無しさん@お腹いっぱい。
09/12/24 19:41:07
JR東日本のサイト改ざん、Gumblarの亜種は間違いで/*GNU GPL*/らしいな
Gumblarが撤退をしているようだから、これから8080系が流行るのか・・・
URLリンク(www.st.ryukoku.ac.jp)

275:名無しさん@お腹いっぱい。
09/12/24 19:47:30
8080系って電車みたいだな

276:名無しさん@お腹いっぱい。
09/12/24 20:16:13
>>272
midi9見えてないだけかもよ

277:名無しさん@お腹いっぱい。
09/12/24 20:16:56
>>268
GENOは対応の仕方がまずすぎたな

278:名無しさん@お腹いっぱい。
09/12/24 22:57:28
>>273
ありがとう、試してみる。

>>276
ん~、削除しようとしても見つからないって言われるし、展開してみても見つからないんで、とりあえず>>273が教えてくれたのを試してみる。

279:名無しさん@お腹いっぱい。
09/12/24 23:16:39
今度はJREか…

280:名無しさん@お腹いっぱい。
09/12/25 00:33:55
>279
3秒くらい、JR東日本とJavaランタイムのどっちか混乱した

281:名無しさん@お腹いっぱい。
09/12/25 03:33:03
今度の8080系がアニたまウイルスと命名されないか、心配だぜ
なんかso-netの記事見てると、分かりやすくするためだろうがやけにアニたまって言葉使ってて・・・

282:名無しさん@お腹いっぱい。
09/12/25 03:39:52
ここで命名しない限りそれは無い

283:名無しさん@お腹いっぱい。
09/12/25 07:17:10
ちゃんと閉鎖・発表してるのに命名されるのは可哀想だ


284:名無しさん@お腹いっぱい。
09/12/25 21:58:27
/*GNU GPL*/や/*CODE1*/などの8080系でAdobe Reader 9.2(最新版)の
脆弱性を突いたPDFファイルが落ちてくるようになった模様

対策は >>1 の「Acrobat JavaScriptをオフ」にすること

新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃~今すぐ対策を
URLリンク(www.so-net.ne.jp)

285:名無しさん@お腹いっぱい。
09/12/26 10:10:59
ついにきたか
さてと、どうすっかなぁ

年末年始休暇の間に職場の全PC設定は勘弁してほしいな



286:名無しさん@お腹いっぱい。
09/12/26 11:28:37
Adobeの次はJava。GENOウイルスの第二波が来るぞー(^o^)ノ
スレリンク(news板)

287:名無しさん@お腹いっぱい。
09/12/26 11:43:36
URLリンク(www.google.co.jp)

288:名無しさん@お腹いっぱい。
09/12/26 14:20:56
AdobeReaderの設定ってユーザーごとなのね。めんどくさ。
例 AcrobatJavaScriptの設定
HKCU\Software\Adobe\Acrobat Reader\9.0\JSPrefs
bEnableJS
(HKLMには無い)
ドメイン環境下ならポリシーでばら撒けばいいのか?

289:名無しさん@お腹いっぱい。
09/12/26 14:53:39
>>288
無いなら無いでHKLMにキーを作ってしまえばいいのでは?
Adobe Readerの設定の方からは有効無効を切り替えられなくなるだろうけど。

290:名無しさん@お腹いっぱい。
09/12/26 17:09:20
無駄な情報だったらゴメンこ
現在pixiv一般デイリー3位の人のサイト、踏むとウイルス検知されるみたいなので行かないように
他板のスレでGENOチェッカーで反応したというレスあったので一応念のため

291:名無しさん@お腹いっぱい。
09/12/26 17:13:36
GENOチェッカーとか未だに信じてる奴がいるなんて…

292:名無しさん@お腹いっぱい。
09/12/26 17:21:15
>>291
ああ、ずっとスレ見てなかったからそういうの知らんわスマンね

293:名無しさん@お腹いっぱい。
09/12/26 17:22:16
GENOチェッカーはともかく
/*GNU GPL*/に感染してるな・・・
avast!のWebシールドも反応する

294:名無しさん@お腹いっぱい。
09/12/26 17:49:50
>>289
確かにHKCUからbEnableJSを削除してHKLMに作成した場合は
HKLMを見てくれるようだ。
でもHKCUとHKLMの両方にあって設定が異なる場合は
HKCUのが優先されるからやっぱりだめだ。

www.openspc2.org/reibun/Acrobat9/javascript/app/001/sample/sample.pdf
で動作確認。

295:名無しさん@お腹いっぱい。
09/12/26 20:06:50
Adobe9.2の脆弱性って8や7には関係ないの?

296:名無しさん@お腹いっぱい。
09/12/26 20:11:45
ほれ
URLリンク(www.jpcert.or.jp)

297:名無しさん@お腹いっぱい。
09/12/26 20:59:44
>>297
ありがとう。7は平気なのかな

298:名無しさん@お腹いっぱい。
09/12/26 21:32:50
だめじゃね? 1年以上前にサポート終了してるから特に書いてないだけで。

299:名無しさん@お腹いっぱい。
09/12/26 21:58:12
もしサポート切れてる7使ってたら、その時点で今回の脆弱性云々の問題じゃないだろうねw

300:名無しさん@お腹いっぱい。
09/12/26 23:39:22
>>293
ついこの間、やんちゃにはっちゃけ暴走かましてくれた
avast!って正気に戻ったの?

301:名無しさん@お腹いっぱい。
09/12/27 00:07:47
>>300
いつの話だよ…。大きな誤検知騒ぎは速攻で修正されるわ。
ノートンだろうと何だろうと。

302:名無しさん@お腹いっぱい。
09/12/27 00:44:42
速攻じゃなかったろw

303:名無しさん@お腹いっぱい。
09/12/27 00:50:59
>>301

304:名無しさん@お腹いっぱい。
09/12/27 01:22:50
ホンダのHPがGENOウィルスに感染
スレリンク(news板)

305:名無しさん@お腹いっぱい。
09/12/27 01:34:15
>>304
うわ~ついに車関係も。

306:名無しさん@お腹いっぱい。
09/12/27 01:50:01
>>304
↓ここをGoogleのキャッシュで見ると/*GNU GPL*/の記述があるな
URLリンク(www)●honda●co●jp/STREAM/safety/

そろそろ総合スレ立てたほうがいいかね?

307:名無しさん@お腹いっぱい。
09/12/27 01:54:37
GENOじゃねえだろ

308:306
09/12/27 02:12:09
JR東日本と同じで8080系と区別がつかんのだろう

309:名無しさん@お腹いっぱい。
09/12/27 02:17:06
GENOにかかったっぽいのですが
システムの復元でかかる以前の状態に戻せば
クリーンインストールせずに済むのでしょうか?

310:名無しさん@お腹いっぱい。
09/12/27 02:25:54
>>309
このスレはクリーンインストール推奨
できれば安全なPCからパスワードも
変えたほうがいいくらい
自己責任でどうぞ

最近は8080系のほうが流行っているから
本当にGumblarかも分からないし

311:名無しさん@お腹いっぱい。
09/12/27 02:29:44
>>310
そうですか・・・
クリーンインストールをするということはCもDも
プログラムもファイルも全て消えて
PCを買った時の状態に戻るという認識でおkですか?

312:名無しさん@お腹いっぱい。
09/12/27 02:40:50
>>311
メーカー・パソコンのリカバリならそうなるかも
残せるかどうかはマニュアルをよく読むしかない
どちらにしても重要なデータはクリーンインストール前に
USBメモリなどにバックアップしておくのがいい

313:名無しさん@お腹いっぱい。
09/12/27 02:49:02
>>312
明日DVD-ROMでも買って大事なデータをバックアップ後クリーンインストールしてみます。
ありがとうございました。

あ、そのバックアップからまた感染という事態も起こりうるんでしょうか・・・?

314:名無しさん@お腹いっぱい。
09/12/27 02:56:37
>>313
ない、とはいいきれないが、実行ファイルでもない限り大丈夫だと思う
まあ念のため安全な環境から、バックアップデータをウイルススキャンするのもいいかも

315:名無しさん@お腹いっぱい。
09/12/27 03:00:29
>>314
ありがとうございます。
消すのに惜しいプログラムも多少ありますので・・・
明日おっしゃるとおりにやってみます。


316:名無しさん@お腹いっぱい。
09/12/27 03:13:45
Gumblarが戦略的撤退中で8080系が活発に活動。それもゼロデイ突いてくるというおまけ付き

そろそろ総合スレの時期が来たか
スレタイ>>206辺りで良いんじゃないかと個人的には思うけど、GENOって文字含むかどうか難しいなぁ・・・
後テンプレで無駄な論争になるのもなんだかなぁ・・・

317:名無しさん@お腹いっぱい。
09/12/27 03:16:42
8080なんかで検索しねえだろ
そんな名前で呼ぶやつなんて一人くらいだろうし

318:名無しさん@お腹いっぱい。
09/12/27 03:24:42
8080よりむしろGENOのがいらないと思うが

319:名無しさん@お腹いっぱい。
09/12/27 03:28:01
テンプレから無駄な論争に発展しそうな要素を排除すればいいだけだろ。
ブラウザのJavaScript関連なんてテンプレに書く必要ないと思うわ。

320:名無しさん@お腹いっぱい。
09/12/27 03:29:01
ウェブ改竄や脆弱性をついた攻撃であることが分かればいいだろ
8080なんてなんでいるんだよ
それならGENOや/*GNU GPL*/や/*CODE1*/とかのがよっぽどいい
こんなことで争うつもりはないが8080はないよ

321:名無しさん@お腹いっぱい。
09/12/27 03:37:36
スレタイでもうこんな状態かよw
総合スレなんてもうどうにでもな~れ(AA略

322:名無しさん@お腹いっぱい。
09/12/27 03:50:52
固有名詞ならGumblar(ガンブラー)(系)表記が正しいけど、
GENOウィルスって名称は普通名詞だから、通称表記ならGENOウィルスだね。

323:名無しさん@お腹いっぱい。
09/12/27 03:52:18
タイトルなんて分かれば良いんだけどさ
さすがにGENOは一番有名な呼び名だからいるだろ

324:名無しさん@お腹いっぱい。
09/12/27 03:54:26
だから GENO(系)ウィルススレ でいいんじゃね?

325:名無しさん@お腹いっぱい。
09/12/27 03:55:13
GENOには悪いが
もはやGENOウイルスはウェブ改竄による脆弱性攻撃の総称になりつつあるな

326:名無しさん@お腹いっぱい。
09/12/27 03:58:39
このウィルスってVistaとWin7には無害なんでしょ?

327:名無しさん@お腹いっぱい。
09/12/27 04:06:29
これ感染するとどうなるの?

328:名無しさん@お腹いっぱい。
09/12/27 04:08:37
テンプレは用意してあるがブラウザのJavaScript関連は入れてない
セキュリティ・アップデートのみまとめてある

あとスレタイについては
【8080系ウイルスについて】
という簡単な説明を入れてあるので反対意見もあるが8080は入れたい

>>206 は残念ながら長すぎて入らないので現スレタイ案は
>>203 となっている

とりあえず正式名称と検索でGumblar/GENOは必要と思う
そうすると残りは/*GNU GPL*/と/*CODE1*/だが長くて入らないし
表記が変わるかもしれないので8080の総称を、と思うんだが・・・

329:名無しさん@お腹いっぱい。
09/12/27 04:14:52
>>328
テンプレ用意してあるんなら、このスレとは別に立てればいいじゃん。
このスレのスレタイは今後も GENOウイルススレ だよ。

330:名無しさん@お腹いっぱい。
09/12/27 04:17:05
>>328
次スレ(笑)
スレリンク(sec板)

331:名無しさん@お腹いっぱい。
09/12/27 04:29:46
立てた
追加テンプレ、サンクス

【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)

抜け、間違いがあれば指摘よろ

332:名無しさん@お腹いっぱい。
09/12/27 10:32:04
ノートンだと8080系で侵入防止が働く

333:名無しさん@お腹いっぱい。
09/12/27 14:43:02
>>318
まだ世の中ではGENOという呼称が一般的かと

334:名無しさん@お腹いっぱい。
09/12/27 14:43:43
>>319
それはこまる。ヘボ庶民としては。

335:名無しさん@お腹いっぱい。
09/12/27 14:55:54
>>333
×世の中
○2chの中

336:名無しさん@お腹いっぱい。
09/12/27 15:32:18
>>332
たしかにノートンで侵入防止が働きました。
一安心?

337:名無しさん@お腹いっぱい。
09/12/27 18:05:46
ふと思ったけど、
これって、8080の外行きをブロックしちゃえばOKか?

意外に対策しやすいオチ?


338:名無しさん@お腹いっぱい。
09/12/27 18:26:17
みんながブロックしたら80にするだけだと思うんだ
8080はたぶん串

339:名無しさん@お腹いっぱい。
09/12/27 18:48:02
だから8080なんて呼ぶなよ
頭悪いだろ

340:名無しさん@お腹いっぱい。
09/12/27 18:50:53
GENOのが頭悪い

341:名無しさん@お腹いっぱい。
09/12/27 18:52:04
頭悪いは良いぎだが
そう呼ぶ理由がない

342:名無しさん@お腹いっぱい。
09/12/27 18:56:15
実質そう読んでるのは一人だろ
なぜか普及させようとしてるようだが

343:名無しさん@お腹いっぱい。
09/12/27 19:36:06
ポート8080を使う改竄は、海外メインで他にもあるらしいからなあ…
って、これ以上は総合スレ出来た以上スレチか

344:名無しさん@お腹いっぱい。
09/12/27 19:41:51
>>322


345:名無しさん@お腹いっぱい。
09/12/28 00:18:27
GENOに感染してると100%わかるサイトチェッカーってある?

346:名無しさん@お腹いっぱい。
09/12/28 00:25:49
むしろ感染してたら迷惑なので、さっさとネットから切断して欲しいんだが

347:名無しさん@お腹いっぱい。
09/12/28 00:26:21
GIGAZINEが感染してる
注意せよ

348:名無しさん@お腹いっぱい。
09/12/28 00:27:05
注意喚起あげ

349:名無しさん@お腹いっぱい。
09/12/28 00:44:27
今見たけど見当たらないような

350:名無しさん@お腹いっぱい。
09/12/28 00:46:20
Nortonセーフウェブでもgredでも異常なしだった。
どこが感染してるの?

351:名無しさん@お腹いっぱい。
09/12/28 00:46:58
GIGAZINEはAvastの誤検知のやつじゃねえの?
ちゃんと確認したのかよ

352:名無しさん@お腹いっぱい。
09/12/28 00:54:34
>>347
PCニュースにスレ立てるとかGIGAZINEにメールとかはしたの?

353:名無しさん@お腹いっぱい。
09/12/28 00:55:52
GIGAZINEは無罪
またavastが、やらかした
スレリンク(sec板:897番)n-

354:名無しさん@お腹いっぱい。
09/12/28 00:58:28
ソース見たけどって・・またavastか

355:名無しさん@お腹いっぱい。
09/12/28 00:59:26
誤検出かどうかも確認しないで条件反射で騒ぎ立てる奴は消えろよ
アホか

356:名無しさん@お腹いっぱい。
09/12/28 01:01:55
すまん… orz By avast

357:名無しさん@お腹いっぱい。
09/12/28 01:26:44
HTMLわからんのに感染てるって言い切るところがかっこいい

358:名無しさん@お腹いっぱい。
09/12/28 01:27:29
しがぬけたけどどうてもよかった

359:名無しさん@お腹いっぱい。
09/12/28 01:34:21
こんな短期間にまたも語検出暴発再発とは…。
さすがにこれでもうavast使うやつはいなくなるだろ。
これでまだ使うのはマゾか頭がイカれてるかどちらかだ。

360:名無しさん@お腹いっぱい。
09/12/28 02:51:41
スルーされて感染するよりか誤検出のほうがマシという考えもあるからね
avast使い慣れてるし便利な機能もあるからサポートが切れるまでは乗り換えは眼中にないかな

361:名無しさん@お腹いっぱい。
09/12/28 03:01:08
ユニメル騒動に釣られたデジタルマガジン 今度はGENOウイルスに感染か?
スレリンク(news板)

362:名無しさん@お腹いっぱい。
09/12/28 04:47:55
■カスペルスキー
初期設定が明らかにまずいから変更推奨。
GENOに特化しているがそれ以外は微妙。
癖があってアプリやwinupdate時に誤作動起こしたり勝手に削除される事あり。

■マカフィー
御三家では地味な印象。
シンプルでそこそこ軽い部類だけど対応が甘く信頼しきれない。

■ウィルスバスター
ガチ重い。
無駄にリソース喰いで受けていないテストも多く検出能力は眉唾、過去に盛大なやらかし有。

■ノートン
初期設定がまずいから要設定。常駐時は軽いがスキャンは遅い。
定義更新でたまにやらかしたりFIREFOX3.5xとの相性が微妙。
2010実装のSONAR2はGENO亜種などの未知のウィルスに対応しているが設定変えないと
強力な誤爆(=デフォルトだと強制削除)をくらう可能性ありで注意。
多機能でアドオンとインサイトなどの連携機能は優秀。
OSは安定性考えるならVista以降を推奨。

■ESET
軽くて割とシンプル(機能面でちょっと物足りないかも)。
検出能力は普通か。過去に一度だけ盛大なやらかし有。


誰でも知ってる市販の有名どころを出してみたが、ぶっちゃけ、どこも一長一短ですな。


363:名無しさん@お腹いっぱい。
09/12/28 05:00:28
いきなりどうした?

364:名無しさん@お腹いっぱい。
09/12/28 05:34:34
男ならアンチウィルスもFWも必要ない!
常時ノーガードだ

365:名無しさん@お腹いっぱい。
09/12/28 09:29:54
esetなんて有名でもなんでもないが…またアレな人かw

366:名無しさん@お腹いっぱい。
09/12/28 13:47:24
この手のウイルス感染って
やっぱりみんな管理者権限で普段から使ってるってこと?


367:名無しさん@お腹いっぱい。
09/12/28 15:25:17
だってじゃないと不便だし・・・

っていう層が大半だからだろ

368:名無しさん@お腹いっぱい。
09/12/28 16:10:17
DropMyRightsってソフトいいね
マイクロソフト製だし(未サポートソフトだけど)
普段管理者権限で使ってるけどWEBアプリとかこれ通して起動したら
そのアプリはユーザー権限に下げられる
GENO対策にいいんじゃない?


369:名無しさん@お腹いっぱい。
09/12/28 16:16:08
そんなの使うやつなら
もともとGENOなど感染しない

370:名無しさん@お腹いっぱい。
09/12/28 16:17:39
Vistaユーザになる

371:名無しさん@お腹いっぱい。
09/12/28 16:35:57
GENOじゃないけど
最近のパスワード流出はソフトの設定読み取るのもあるみたいだから
権限関係なかったりする

372:名無しさん@お腹いっぱい。
09/12/28 16:39:41
そもそもユーザー権限とか基本的には関係ないし。
単にアップデートを怠っている馬鹿が引っかかるだけだろ。

373:名無しさん@お腹いっぱい。
09/12/28 16:53:32
ユーザー権限関係ないっておかしくね?
感染PCシステムファイル変更されてるみたいだけど
ユーザー権限でシステムに変更加えられるの?

374:名無しさん@お腹いっぱい。
09/12/28 17:05:43
>>362
GDATAが入ってないとな!?

375:名無しさん@お腹いっぱい。
09/12/28 17:14:17
>>373
だから「基本的には」だろ。
やるべきことさえきっちりやっておけばシステムファイルの変更なんてされないんだから。

376:名無しさん@お腹いっぱい。
09/12/28 17:24:26
これ感染したらどうなるの?

377:名無しさん@お腹いっぱい。
09/12/28 17:44:32
信越放送HP 不正アクセスされ改ざん 閲覧した人はウイルスに感染した可能性
スレリンク(news板)

378:名無しさん@お腹いっぱい。
09/12/28 21:20:47
>>287
実害はこれの10倍以上はあるだろうな

379:名無しさん@お腹いっぱい。
09/12/31 14:18:06
 

380:名無しさん@お腹いっぱい。
10/01/01 02:32:55
ん?

381:某社シス管
10/01/01 15:49:14
さて、年明け早々、Web改竄ウイルス対策を上に説明しないといけない。
うちは、被害が確認されていないけど。
これから、資料作るべか。
親会社のシステムの関係でAdobeのJavaScript切れないし、
ReaderもflashもJREも自動更新きってあるし、配布ツールないし、700台あるし、どないするべかな。
親会社からのウイルス対策案内は、「なめてんのか?」のかという内容だし(無許可のUSBメモリなど使うなとか勝手にソフト入れるなとか)だし。
はぁ~・・orz


382:名無しさん@お腹いっぱい。
10/01/02 05:59:01
700台のハニーポットか…

383:名無しさん@お腹いっぱい。
10/01/04 03:35:07
URLリンク(www)●naito-akira●com/
新型っぽい。

384:名無しさん@お腹いっぱい。
10/01/04 07:21:21
>>383
GNU GPLの8080。新型というほどでは…。飛び先は
salesforce-com.tinypic.com.gameztar-com.guidebat■ru:8080/rambler.ru/rambler.ru/corriere.it/adsrevenue.net/google.com/

385:名無しさん@お腹いっぱい。
10/01/04 23:03:29
//www●morozoff●co.jp/

ニュー速で何やら話題になっていたようだがこれは?

386:名無しさん@お腹いっぱい。
10/01/04 23:04:52
GNU GPLの8080。

387:名無しさん@お腹いっぱい。
10/01/04 23:13:22
モロゾフの公式サイトでトロイ配布中
スレリンク(news板)l50


388:名無しさん@お腹いっぱい。
10/01/04 23:26:39
モロゾフ、アウト~

389:名無しさん@お腹いっぱい。
10/01/05 00:29:25
504 名前: アスピレーター(アラバマ州)[sage] 投稿日:2010/01/05(火) 00:05:24.72 ID:9xzGeSng
感染してるやつ

プロセス見てみろ変なのが('A`)


516 名前: カッターナイフ(鹿児島県)[sage] 投稿日:2010/01/05(火) 00:08:10.60 ID:JBW7jlI0
>>504
~TM108.tmp
こんな感じのやつ?

524 名前: アスピレーター(アラバマ州)[sage] 投稿日:2010/01/05(火) 00:10:12.00 ID:E7kbsyQA
>>516
そう

>>517
ログインしているユーザー名
systemにはいない

535 名前: アスピレーター(アラバマ州)[sage] 投稿日:2010/01/05(火) 00:12:24.54 ID:E7kbsyQA
うわあああああああああああああああああああああ
早速TELNETでユーザ名的確に打って総当たり攻撃キタ━━(°Д°)━━!!!!

ファイル抜かれるからIP変更するさらばあああああ

390:名無しさん@お腹いっぱい。
10/01/05 00:48:03
楽しそうだなw

391:名無しさん@お腹いっぱい。
10/01/05 17:07:20
Gumblarが読売の夕刊のトップ記事になってるね
カタカナでガンブラーって凄い違和感があるけどw

392:名無しさん@お腹いっぱい。
10/01/05 17:16:10
釣りだろ

393:名無しさん@お腹いっぱい。
10/01/05 17:21:14
GENO(Gumblar)ウイルススレ ★24

394:名無しさん@お腹いっぱい。
10/01/05 18:24:43
ガンプラー

395:名無しさん@お腹いっぱい。
10/01/05 20:33:59
グーグルの急上昇ワードにガンブラーがw

396:名無しさん@お腹いっぱい。
10/01/05 20:44:44
癌ブラーは転移していくぞ


397:名無しさん@お腹いっぱい。
10/01/05 22:25:29
p://knnn4321●chips●jp/hpblog/p-18044●html

かなりヤバい

398:名無しさん@お腹いっぱい。
10/01/05 22:32:33
avastたん入れるしかないのか

399:名無しさん@お腹いっぱい。
10/01/05 22:41:11
>>397
新種か?

400:名無しさん@お腹いっぱい。
10/01/05 23:27:03
>>397
なにもないぞ

401:名無しさん@お腹いっぱい。
10/01/05 23:31:24
うん?

402:名無しさん@お腹いっぱい。
10/01/05 23:41:53
prototype.jsに仕込み

403:名無しさん@お腹いっぱい。
10/01/05 23:48:47
辻ちゃんのサイトがトロイに感染
スレリンク(news板)

404:名無しさん@お腹いっぱい。
10/01/06 01:01:51
辻ちゃん、アウト~

405:名無しさん@お腹いっぱい。
10/01/06 01:32:24
今北さん用、GENO(Gumblar)ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す

406:名無しさん@お腹いっぱい。
10/01/06 01:55:54
p://www●biwako●ne●jp/~kohsoku/home●html

407:名無しさん@お腹いっぱい。
10/01/06 04:10:27
ReaderとFlashはともかく、JREとQuick Timeは余程の事がない限り
入れない方が賢い

408:名無しさん@お腹いっぱい。
10/01/06 04:29:09
株や為替のチャートってJava使ってる業者が多いから使わざる得ない人も多いはず


409:名無しさん@お腹いっぱい。
10/01/06 04:54:08
入れててもチェック外して使わないようにしてればいいがね

410:名無しさん@お腹いっぱい。
10/01/06 05:09:09
JREはシステムに喰いこみ過ぎでうざい

411:名無しさん@お腹いっぱい。
10/01/06 06:52:22
>>408
お絵描き掲示板がほぼJavaなので同人では多いかもね

412:名無しさん@お腹いっぱい。
10/01/06 10:21:18
zing-vn.google~
のアドレスの中身(IP)がフランスに飛んだりドイツに飛んだりしてる?

413:名無しさん@お腹いっぱい。
10/01/06 10:52:09
今日の朝日新聞朝刊1面にガンブラーが載ってた。対策はウイルス対策ソフトを最新にすることだってさ。
abobe readerのことまで書けばいいのにね

414:名無しさん@お腹いっぱい。
10/01/06 10:53:32
>>413 URLリンク(www.asahi.com)


415:名無しさん@お腹いっぱい。
10/01/06 11:06:36
>>404
嘘の情報を流して楽しいの?

416:名無しさん@お腹いっぱい。
10/01/06 12:02:23
>>30
コピー~貼り付けでこれ使ってしまった俺は負け組か?

417:名無しさん@お腹いっぱい。
10/01/06 12:04:43
>>407
QuickTimeはどうしても必要な場合のみ一旦落としてから他のフォーマットに変換して見てるから特に困らない
JREはサブ機のみに入れて利用してる

418:名無しさん@お腹いっぱい。
10/01/06 12:10:10
>>416
まあドンマイ

419:名無しさん@お腹いっぱい。
10/01/06 12:22:34
UACてなに~?
教えてエロい人

420:名無しさん@お腹いっぱい。
10/01/06 12:28:42
>>414

>被害は計5社、改ざんされたサイトの閲覧者は延べ7万人を超す。
>(中略)
>ホンダはミニバン「ストリーム」のサイトが昨年12月18~21日に改ざんされ、約5千人が閲覧した。
>JR東日本のHPは同月8~22日に不正アクセスが繰り返され、プログラムが書き換えられた。
>23日に約17時間にわたって閉鎖して復旧したが、それまでの閲覧者は約5万人。
>
>信越放送のHPも同月26~28日に改ざんされ、約5400人が閲覧した。
>ラジオ関西では同月15~16日に特集サイトの「アニたまどっとコム」が改ざん、約6千人が閲覧した。
>洋菓子のモロゾフのHPは今月4~5日に改ざん。「ガンブラーかどうかは調査中」とするが、この間に約3860人が閲覧した。

421:名無しさん@お腹いっぱい。
10/01/06 12:33:44
>>412
fast-fluxなんでね? 手駒に使える陥落サイトが腐るほどあるし。
そことは別の8080にdigしまくってみたけど1秒経たずにIP変わる。

422:名無しさん@お腹いっぱい。
10/01/06 12:36:16
ユーザーアカウント制御のことだお。
それぐらいググレ厨房

423:名無しさん@お腹いっぱい。
10/01/06 12:44:15
>>416
悔しかったら通報してみなさい!

424:名無しさん@お腹いっぱい。
10/01/06 14:04:47
>>419
URLリンク(www.tkssoft.com)

425:名無しさん@お腹いっぱい。
10/01/06 14:07:27
モロゾフをgoogleで検索したら、AVGツールバーは安全ですって緑のマークが検索結果横に付いているんだけど、もうこのサイトの脅威は去ったの?
それともまだ訪問したらgumblarに感染するのかな?

426:名無しさん@お腹いっぱい。
10/01/06 14:18:57
>>425
モロゾフは修正されてるね

427:名無しさん@お腹いっぱい。
10/01/06 14:21:56
>>381
つ Systems Management Server



428:名無しさん@お腹いっぱい。
10/01/06 14:33:28
>>423
「30に引っかかって、パソコンのエロ動画が全部消えてしまいまいた」
って通報しますた。

429:名無しさん@お腹いっぱい。
10/01/06 14:40:05
wwwwwwww

430:名無しさん@お腹いっぱい。
10/01/06 14:44:52
>>425
検索エンジンで未だに改ざんコードが埋まってるページを検索しても安全扱いされてそうな気がするんだけど、
そこら辺はどうなってる?

431:名無しさん@お腹いっぱい。
10/01/06 15:17:16
>>430
そこが自分も知りたいのですよ
今脅威のあるサイト名が分からないので試せないのですが、このツールバーがいったいどの程度の精度と安心・信頼感があるのかを試したくて
もし今脅威のサイトを検索して黄色とかになっていたら信用できるから自分は引っかかる可能性は低いと安心できるのですが・・・

432:名無しさん@お腹いっぱい。
10/01/06 15:32:55
そもそもAVGはモロゾフのやつ防げるのか?
スクリプトも何もかも検出してるところは見たこと無いが

433:名無しさん@お腹いっぱい。
10/01/06 15:43:48
>>431
Bingで「"*/ try{window.onload"」で検索してみて
※リンク先には改ざんコードが埋まってるのでアクセスは絶対にしないように

多分改ざんには対応してない気がするんだけどな

434:名無しさん@お腹いっぱい。
10/01/06 15:46:30
動的サイトを作らなければOK

435:名無しさん@お腹いっぱい。
10/01/06 16:00:37
>>430
www.hikky-country.net
ここのサイトは埋め込まれたまま1ヶ月くらい放置してたけど、google検索で安全の緑マークのままだった。
検索エンジンは、リアルタイムで、内容を反映するわけではないし、安全マークを「今現在」の判断の根拠にするのは無理があるのでは?

436:名無しさん@お腹いっぱい。
10/01/06 16:24:15
>>435
AVGツールバーの仕組みを理解してるか?

437:名無しさん@お腹いっぱい。
10/01/06 16:39:58
だからすくりぷと防げるとかにやっきになってないで
ソフト更新しとけばオワリ
してる?じゃあきにすんなオワリ

438:名無しさん@お腹いっぱい。
10/01/06 17:17:12
フジテレビキタ━━━(゚∀゚)━━━!!!!

439:名無しさん@お腹いっぱい。
10/01/06 17:40:25
GENOウイルス感染 ローソン
スレリンク(news板)

440:名無しさん@お腹いっぱい。
10/01/06 17:43:46
>>435
今はどうなん?
対処したの?
俺のgoogle検索結果でもAVGは緑マークだけど

ってか、寧ろ逆にこのAVGが黄色とか注意してる検索結果サイトを知りたい


441:名無しさん@お腹いっぱい。
10/01/06 17:47:32
>>439
マジか?
ローソンもう対処うったのか分からんけれど例のAVGは緑チェック入ってるね

ってか、このウィルスっていったいどうやって各サイトに侵入してスクリプト埋め込んでるの?
俺Webサイト作るんだけど、対策どうすればいいのか分からないんだけど・・・
サーバサイド側のどこをどうしたらいいのかとか

442:名無しさん@お腹いっぱい。
10/01/06 17:49:08
馬鹿すぎプレイか1から読めよ

443:名無しさん@お腹いっぱい。
10/01/06 17:49:31
HTMLとCSSだけ使っとけばいいよ^^

444:名無しさん@お腹いっぱい。
10/01/06 18:07:21
>>30
最低だな、お前!
氏ねよ!

>>416
のようにやってしまった人間はアクセサリの復元しても駄目なん?


445:名無しさん@お腹いっぱい。
10/01/06 18:24:21
さっきTVでも、ローソンに「狙われる覚えは?」なんてアホな質問してたし
世間的にはこのウイルスもそういう認識が大方なんだろうなあ

446:名無しさん@お腹いっぱい。
10/01/06 18:55:35
p://hirayuonsen●or●jp/

ここも反応する。。

447:名無しさん@お腹いっぱい。
10/01/06 19:07:16
>446
森のほうはどう?

448:名無しさん@お腹いっぱい。
10/01/06 19:10:11
アンチウイルスソフトはどれがいいんだよ。
どのスレも荒れてて訳わからんわ。

449:名無しさん@お腹いっぱい。
10/01/06 19:13:05
カスペかアバスト

450:名無しさん@お腹いっぱい。
10/01/06 19:13:17
>>448
「Norton 360 Ver.3 2コニコPACK」がいいよ。

451:名無しさん@お腹いっぱい。
10/01/06 19:16:58
バスターしかないだろ

452:名無しさん@お腹いっぱい。
10/01/06 19:20:45
>>448
有料ならKaspersky
URLリンク(www.kaspersky.co.jp)

無料ならavast!
URLリンク(files.avast.com)
URLリンク(www.btfree.info)

453:名無しさん@お腹いっぱい。
10/01/06 19:42:07
>>444
ムリだよ
こういう屑虫は逮捕された方が世の為だが、
税金で生かすにも勿体ないので死んで欲しいよね

454:名無しさん@お腹いっぱい。
10/01/06 19:42:52
>>439はギコナビで見ても大丈夫?
見ようとしたらウイルスソフトが「だめーーー!」って言って見れなかったんだが…

455:名無しさん@お腹いっぱい。
10/01/06 19:44:02
Norton360は余計な糞機能が付きまくってるから論外
通常のNIS2010はOK
バスターは無駄に重いがPCのスペックに余裕がある人は可

456:名無しさん@お腹いっぱい。
10/01/06 19:44:28
GENO専なら重いカスペか
うちは3939NODだけどw
バスターはありえない

457:名無しさん@お腹いっぱい。
10/01/06 19:45:24
カスペは誤爆ひどいぞ
GENO以外じゃ使えたもんじゃない

458:名無しさん@お腹いっぱい。
10/01/06 19:47:36
アンチソフトなんか最後の最後の気休め
それなりに知識あればウイルスなんかかからんし
アホが変なサイト回ってればどれでも同じ

459:名無しさん@お腹いっぱい。
10/01/06 19:54:38
>>458みたいな知的障害者を駆除するソフトが欲しいな

460:名無しさん@お腹いっぱい。
10/01/06 19:54:39
スレリンク(pc板)

461:名無しさん@お腹いっぱい。
10/01/06 19:56:15
対応が遅れる場合あるしな
ぶっちゃけ、各ソフトウェア&Winupdate>セキュリティソフト
で、JS切るかアドオン制御で完全に予防できる
この手のウィルスは無差別攻撃だから変なサイト、個人、法人関わらず平等に危険性があるからノーガード情弱はしねる

462:名無しさん@お腹いっぱい。
10/01/06 19:59:03
>>459
同意w

で、これ皆さんのAV反応する?
スレリンク(news板)

463:名無しさん@お腹いっぱい。
10/01/06 19:59:42
esetはマジ最悪だからやめとけ

464:名無しさん@お腹いっぱい。
10/01/06 20:02:04
>>463
去年だったか
FWの更新で数日程度、ネット接続できなくなる不具合をやらかしたんだっけ?


465:名無しさん@お腹いっぱい。
10/01/06 20:03:00
はいはい、ウイルスに感染してPCが壊れるよりは大分マシだろ
FWくらいでいちいち騒ぐな

466:名無しさん@お腹いっぱい。
10/01/06 20:17:55
GENOウイルス感染 ローソン
スレリンク(news板)l50


467:名無しさん@お腹いっぱい。
10/01/06 20:23:47
>>464
うん。
「繋がんねーんだけど…」
キヤノン:「更新していただければ繋がります(キリッ」
「だから繋がんねーんだけど…」
こんな感じだったらしい。
この直後だと思うがFW以外にAV側も誤検知連続してたな。

468:名無しさん@お腹いっぱい。
10/01/06 20:25:13
またアホがぼくの「ういるすそふと」がスゴイ競争か
よそでやれよ

469:名無しさん@お腹いっぱい。
10/01/06 20:27:57
お前のことだ雑音

470:454
10/01/06 20:53:58
>>463
なぜ私のソフトがESETだとわかったw?

471:名無しさん@お腹いっぱい。
10/01/06 20:56:58
キムチ臭いから

472:名無しさん@お腹いっぱい。
10/01/06 20:59:16
本当にわからないんだけど、専ブラでみる分にはウイルス大丈夫なんじゃないの?

473:名無しさん@お腹いっぱい。
10/01/06 21:06:43
p://www●moffle●jp/

モッフルきますた

474:名無しさん@お腹いっぱい。
10/01/06 21:08:06
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
の76に直リンがあるから見てみたら画像のサムネイルを保存するタイプの
専ブラならアンチウイルスソフトが侵入を遮断するはず。

475:名無しさん@お腹いっぱい。
10/01/06 21:09:28
モッフルモッフル

>>470
誰もあんたとは言ってない件
最悪はVBだろjk

476:名無しさん@お腹いっぱい。
10/01/06 21:11:27
世界最悪ソフトウイルスバスター伝説乙w

477:o゚孕o三
10/01/06 21:12:06
curl -s URLリンク(www.moffle.jp) | clamdscan -
stream: Trojan.JS-40 FOUND

----------- SCAN SUMMARY -----------
Infected files: 1
Time: 4.612 sec (0 m 4 s)

478:名無しさん@お腹いっぱい。
10/01/06 21:14:42
まあバスターの場合はクライアントをウイルス扱いするからね
アップデートの度に他のDL停止とか常識であり得ないわ

479:名無しさん@お腹いっぱい。
10/01/06 21:15:00
直リンすんなよ在日

480:名無しさん@お腹いっぱい。
10/01/06 21:20:20
直リンクリックなぞ在日以下池沼でもしない

481:名無しさん@お腹いっぱい。
10/01/06 21:20:46
皆さ、どうやって感染したサイト見つけられるの?

482:名無しさん@お腹いっぱい。
10/01/06 21:22:14
在日以外、直リンしない
皆、●つけてるだろ

483:名無しさん@お腹いっぱい。
10/01/06 21:23:04
ばかばっか

484:名無しさん@お腹いっぱい。
10/01/06 21:23:44
また菓子屋か・・・ゴディバとかメリーチョコは無事かな?


485:名無しさん@お腹いっぱい。
10/01/06 21:37:22
今年もGENOウイルスが猛威を振るうのか

486:名無しさん@お腹いっぱい。
10/01/06 21:46:10
そうGENO。

487:名無しさん@お腹いっぱい。
10/01/06 21:50:38
早くも紅白出場決定だな・・・

488:名無しさん@お腹いっぱい。
10/01/06 22:11:18 BE:9904379-2BP(1236)
>>446
GMOにそこの管理者へ連絡してもらったお。

489:名無しさん@お腹いっぱい。
10/01/06 22:21:30
>>448
ノートンが良い
avasは対応が早かったわけでもないのでt薦める意味は全くない


490:名無しさん@お腹いっぱい。
10/01/06 22:23:41
avastはフリーというのが利点

491:名無しさん@お腹いっぱい。
10/01/06 22:26:56
フリーならantivirのが対応は速かった
ノートンの場合は脆弱性を利用した攻撃に対するIPSが優れてるので
新たな脆弱性を利用した攻撃が合ったとしても最初から対応できる可能性が高い

492:名無しさん@お腹いっぱい。
10/01/06 22:28:16
誤解を招かないように訂正
>新たな脆弱性を利用した攻撃
脆弱性を利用した新たな攻撃

493:名無しさん@お腹いっぱい。
10/01/06 22:29:20
avast!は誤検出しまくりのなかで対応したからな
あんまり良い印象はない

494:名無しさん@お腹いっぱい。
10/01/06 22:56:08
順位 プログラム 検出数  検出率
#1 G Data  761,499 99.93%
#2 McAfee  761,431 99.92%
#3 Kaspersky  756,994 99.34%
#4 Symantec  756,734 99.31%
#5 K7 Computing  754,496 99.01%
#6 Microsoft  752,426 98.74%
#7 Eset Nod32  747,278 98.06%
#8 Trend Micro  741,606 97.32%
#9 AVG      737,980 96.84%
#10 Rising   696,220 91.36%

URLリンク(antivirus-news.net)

ほらよっ

495:名無しさん@お腹いっぱい。
10/01/06 23:15:43
>>494
マカフィー、あいかーらず地味で無難だな
そこが良くて使ってるが


496:名無しさん@お腹いっぱい。
10/01/06 23:16:07
hosts書き換えって対策にならない?
ウイルスばら撒いてるアドレスを適当なサイトに飛ばせば感染しないよな?

497:名無しさん@お腹いっぱい。
10/01/06 23:19:03
G Dataじゃモロゾフのやつは初期の頃感染した
そんな順位の話なんてしてないだろ
頭悪いやつはそれしか参考に出来ないんだろうけど

498:名無しさん@お腹いっぱい。
10/01/06 23:20:31
ランキングとか糞の役にもたたんだろ

499:名無しさん@お腹いっぱい。
10/01/06 23:20:49
アンチウイルスの優劣は荒れるから出来れば余所で
防御の点である程度は仕方ないだろうけど

500:名無しさん@お腹いっぱい。
10/01/06 23:24:32
>>496
キリがないよ

501:名無しさん@お腹いっぱい。
10/01/06 23:28:17
>>500
みたいですね。
てっきりアドレスは一本でそこから色んなサーバーに繋がってるかと思ってました。
アップデートが一番の対策か。

502:名無しさん@お腹いっぱい。
10/01/07 00:14:36
京王電鉄HPも改ざん被害 ウイルス「ガンブラー」
スレリンク(news板)

503:名無しさん@お腹いっぱい。
10/01/07 00:47:55
>>502
!!
おrz

504:名無しさん@お腹いっぱい。
10/01/07 00:47:59
>>473
トップページに貼られてるjsも2つともやられとるね。

505:名無しさん@お腹いっぱい。
10/01/07 00:51:58
企業でこれだけあるんだから個人のはもっとあるんだろうな

506:名無しさん@お腹いっぱい。
10/01/07 00:52:14
モッフル、京王電鉄、アウト~

507:名無しさん@お腹いっぱい。
10/01/07 00:54:51
32 名前: すり鉢(アラバマ州) 投稿日: 2010/01/07(木) 00:45:39.79 ID:RXPRsCkB
p://www●spacecraft●co●jp/home●html
スペースクラフトグループ
神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。

ガンブラーキタ━(゚∀゚)━!!

508:名無しさん@お腹いっぱい。
10/01/07 00:58:38
>>455
必要の無い機能などは停止したり、カスタマイズ設定すればいいんだよ。
何でもデフォの状態や設定なままで、全てを使うことなんてナンセンス。
NIS 2010はまだ、特定の条件や環境で不具合があったりもするらしいぞ。

509:名無しさん@お腹いっぱい。
10/01/07 08:45:57
ぎゃー
きのうローソン99の店舗探しにいってた
はやくはっぴょうしろおy

510:名無しさん@お腹いっぱい。
10/01/07 09:33:36
PDFリーダをUSBメモリで隔離している俺に死角は無い

511:名無しさん@お腹いっぱい。
10/01/07 11:12:28
結局、このGumblarというウイルスは、フリーのソフトだとどれで防げるんですか?
AVGとかAvastとかMicrosoftのやつとかありますけれど

512:名無しさん@お腹いっぱい。
10/01/07 11:19:04
>>511
>>1もみれんのかお前は
あとただでさえ100%安全は保証できないのに亜種多すぎだから、
ただアンチウィルスソフトいれて安心するよりHDDのバックアップとかとっとけ

513:名無しさん@お腹いっぱい。
10/01/07 11:54:18
Gumblarって今一時撤退してるんじゃなかったっけ?
タグが消えてるとかいう記事をどっかで見たが。
今は8080系とかいうやつじゃないの?
喪ッフルも見てきたがガンプラじゃなかった。
ガンプラと8080って別だよね?作者一緒とか?
いろいろ混ざっててよくわからなくなってきた。

514:名無しさん@お腹いっぱい。
10/01/07 12:13:44
亜種が多すぎてよく分かってないんじゃないか?

515:名無しさん@お腹いっぱい。
10/01/07 12:16:31
>>513
Gumblarは再始動している。
URLリンク(www.google.com)
URLリンク(www.google.com)


516:名無しさん@お腹いっぱい。
10/01/07 12:19:50
ガンブラー自己中心派。

517:名無しさん@お腹いっぱい。
10/01/07 12:26:09
ついでにYahoo!のも

URLリンク(headlines.yahoo.co.jp)

518:名無しさん@お腹いっぱい。
10/01/07 12:34:37
捕捉した。
URLリンク(tollywoodb4u)●com/sessions/22564●php


519:名無しさん@お腹いっぱい。
10/01/07 12:35:31
>>513
基本的に新聞社とかwebページが感染した企業はGumblarと8080の区別はしてなくて
両方ともガンブラーと言ってるというのが俺の認識

520:名無しさん@お腹いっぱい。
10/01/07 12:46:40
Gumblarが再始動してるなら尚更8080系とは区別すべきだよ

521:名無しさん@お腹いっぱい。
10/01/07 12:46:44
【画像あり】IPA、注意を喚起「すべてのファイルが『イカ』になる破壊型ウイルス」
スレリンク(news板)

522:名無しさん@お腹いっぱい。
10/01/07 12:53:20
>>521
それはスレ違い

523:名無しさん@お腹いっぱい。
10/01/07 12:58:21
>>515
うおマジか。情報ありがとう。

>>520
だよな。
ブラウザ閲覧感染という特徴は一緒でも、感染後の挙動とか
全然違う別物なのにひとくくりにするから訳わからなくなる。
なんか豚インフルと季節性インフルみたいだ。


524:名無しさん@お腹いっぱい。
10/01/07 13:01:24
>>513
>>519 のとおり。補足すると
LACが11月に
【注意喚起】Gumblarおよびその亜種に関する大量の感染事例について
URLリンク(www.lac.co.jp)
を出し(これはGumblar.x)、その後「続報」として(一部使いまわして)
【注意喚起】Gumblar(ガンブラー)ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認
URLリンク(www.lac.co.jp)
を出した(これは8080)。
JR東日本やホンダは(IPAやJPCERTでは具体名を出していないのでこれを元に)
「Gumblar亜種」との告知を作り、新聞社は「亜種」を外し、後はみんなコピペ、だと思う。

>>521
それはダウソ厨専用、板違い。
URLリンク(hideyoshi.2ch.net)

525:名無しさん@お腹いっぱい。
10/01/07 13:01:36
それを言ったらこのスレで8080の話題はスレ違いじゃないの?

526:名無しさん@お腹いっぱい。
10/01/07 13:02:05
インフルエンザもウイルスだね。ああおもしろいワロタ

527:名無しさん@お腹いっぱい。
10/01/07 13:06:29
タコとかイカとかはこれっぽっちも関係ないから。まじで。

528:名無しさん@お腹いっぱい。
10/01/07 13:08:27
は?
タコとかGENOよりひどいぞ
画面真黒

529:名無しさん@お腹いっぱい。
10/01/07 13:10:13
ガンプラが再始動してるなら、8080とは区別して動向を追いたいから
全く分けてもらったほうがありがたい気がする。
どちらかが劇的な進化をとげたりした場合に「GENOで~」「8080で~」と
前置きがつかないとわからないような状況は面倒くさい。

530:名無しさん@お腹いっぱい。
10/01/07 13:17:24
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
こっちと使い分ければ?

531:名無しさん@お腹いっぱい。
10/01/07 13:18:15
改鼠されたWebは交番に届けないのでしょうか?
保険が降りず何のうまみもないので笑い死にするのが普通なのでしょうか?
犯罪者は悪い人なので外事警察に捕まってほしいです

532:名無しさん@お腹いっぱい。
10/01/07 13:25:21
>>530
そっちも見てるけど、GENO専スレのはずのここにも
8080感染サイトとかが貼られたりしてるから
どっちも総合みたいなことになっててややこしくね?w

533:名無しさん@お腹いっぱい。
10/01/07 13:28:30
電源入れるとランプは点灯して本体は起動してるっぽいんだけど
画面は真っ黒でマウスポインタも何も出ないんだが、これも感染?
取り合えず何回か強制終了で起動しなおしたら普通に画面が出たけど

534:名無しさん@お腹いっぱい。
10/01/07 13:31:36
>>530
そっち業者がいるねw

535:名無しさん@お腹いっぱい。
10/01/07 13:42:33
>>530に書き込んだんだけど、その後NOD32に遮断されて行けなくなったのでコチラに。。。

URLリンク(pc11.2ch.net) > GZ > file.htm JS/TrojanDownloader.Agent.NRL トロイの木馬

こっちにも来れなくなるのだろうか。

536:名無しさん@お腹いっぱい。
10/01/07 13:43:40
頭悪いな

537:名無しさん@お腹いっぱい。
10/01/07 14:38:17
NOD32切れってこと?

2010/01/07 14:35:32 HTTP フィルタ アーカイブ スレリンク(sec板) JS/TrojanDownloader.Agent.NRL トロイの木馬 接続が切断されました

538:名無しさん@お腹いっぱい。
10/01/07 14:45:08
NODが
スレリンク(sec板:380番)
に反応してるだけでは?

539:名無しさん@お腹いっぱい。
10/01/07 15:02:03
それをこのスレにコピペすれば・・

540:名無しさん@お腹いっぱい。
10/01/07 15:20:51
>>538
なるほどそれかも。
でもURLリンク(pc11.2ch.net)で出たのはなんだったんだろう・・・

で、JS/TrojanDownloader.Agent.NRLってのが今流行のガンブラーで合ってるのかな?

541:名無しさん@お腹いっぱい。
10/01/07 15:36:46
どんだけー

542:名無しさん@お腹いっぱい。
10/01/07 15:48:30
だって自分で調べるより、お前ら識者に聞いた方が早いじゃん。

でも最初から検索ワードに2ch入れてたのが悪かった。
JS/TrojanDownloader.Agent.NRLだけでググったら分かった。。。

543:名無しさん@お腹いっぱい。
10/01/07 17:26:13
ハウス食品もやられたって
有名企業がこんだけ被害にあってるってことは
個人サイトの被害の規模ってどんだけあるんだろうか;

544:名無しさん@お腹いっぱい。
10/01/07 17:34:14
企業のほうがセキュリティが上だと思うのは幻想

545:名無しさん@お腹いっぱい。
10/01/07 17:35:41
>>543
過去半年の閲覧ページのURLを抽出してみたら
40件が何らかのウィルスに感染していたようだ
js切ってるから全く気にしないがね

546:名無しさん@お腹いっぱい。
10/01/07 17:46:39
>>543
休み明けに騒ぎになるんじゃないのって危惧されてたけど
そうなってきたね。
16日?のアップデートがくれば騒ぎは収まるのだろうか?

547:名無しさん@お腹いっぱい。
10/01/07 17:51:02
今時、企業のHPなのにFTP使ってアップとかどうなのよって思うわ。


548:名無しさん@お腹いっぱい。
10/01/07 17:56:00
USBウイルスが常套化、「Gumblar」などWebからの脅威も続く
p://internet.watch.impress.co.jp/docs/news/20100107_340954.html

仮想マシン上での動作デモ見たかったな

549:名無しさん@お腹いっぱい。
10/01/07 18:00:40
>>546
無理

550:名無しさん@お腹いっぱい。
10/01/07 18:24:18
ガンブラー感染サイト増加  ハウス食品も感染  JR東日本、ホンダ、ローソン、京王電鉄
スレリンク(news板)

551:名無しさん@お腹いっぱい。
10/01/07 18:27:06
【しょこたん号泣】amebloのブログパーツ「ノートン警察」がトロイに感染
スレリンク(news板)

552:名無しさん@お腹いっぱい。
10/01/07 18:29:30
2009年のウイルス被害は大幅に減少 IPA調べ
スレリンク(news板)

553:名無しさん@お腹いっぱい。
10/01/07 18:53:11
>>544
個人サイトやブログは、こまめに更新するから
そのときに管理人が改ざんなどに気づく機会がある。

554:名無しさん@お腹いっぱい。
10/01/07 20:50:08
URLリンク(www.dotup.org)

この状態で大丈夫なんだろうか?

555:名無しさん@お腹いっぱい。
10/01/07 21:27:35
Gumblar感染してないか確認する方法は、GENOと同じ?

556:名無しさん@お腹いっぱい。
10/01/07 21:53:27
違うよ

557:名無しさん@お腹いっぱい。
10/01/07 22:11:00
>>555
最新のやつは
msconfigでスタートアップに次の2つが登録されてなければ感染はないと思う
タスクマネージャーで調べてどちらかが起動していてもまずい

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"


558:名無しさん@お腹いっぱい。
10/01/07 22:23:27
sysgif32で検索してヒットしなければ平気?

559:名無しさん@お腹いっぱい。
10/01/07 22:24:54
ガンブラー被害って採用ページとか多いけど
エントリーフォームをつっつく→クロスサイトの一種なんじゃないの?
対策してないフォームが狙われているような気がする

そもそもの報じられている「改ざん」の部分が
FTP進入してソース書き換える基本的な不正アクセスなのか、
フォームや引数にスクリプト書き込んで、その状態のURLを表示させてぶっ壊す方式なのかどっち?



560:名無しさん@お腹いっぱい。
10/01/07 22:30:46
>>559
このスレの書き込み、全く読んでないよね?

561:名無しさん@お腹いっぱい。
10/01/07 22:46:06
>>557すみませんパソコン初心者なんですがどうやって見れば良いか詳しく教えて頂けませんか?

あと、avastとゆうフリーソフト入れてるんですがちゃんと検知してくれますか?

562:名無しさん@お腹いっぱい。
10/01/07 22:54:47
>>559
不正アクセス

>>558
sysgif32の部分はレジストリね
siszyd32.exeと~TMD.tmpって言うファイルがなければ問題ない

ただ違った攻撃もあるからこれで完全に安心というわけではないけど

563:名無しさん@お腹いっぱい。
10/01/07 22:58:02
>>561
「ファイル名を指定して実行」かコマンドプロンプトにmsconfigと打ち込んでエンターキーを押す
[スタートアップ]って言うタブをクリックしてそう言う記述がないか確認

564:名無しさん@お腹いっぱい。
10/01/07 22:58:31
>>559
アホなWebデザイナーな管理者のマシンに感染してjsやhtmlにアレゲなコードを組み込んでいる
そして改竄されたことに気づかぬまま鯖にうp→閲覧した奴にウイルスをばらまく→∞

565:名無しさん@お腹いっぱい。
10/01/07 22:59:46
>>564
FTPのIDパスワード盗むんじゃないの?

566:名無しさん@お腹いっぱい。
10/01/07 23:02:12
>>561
avast!はスクリプトの検知はするのでサイトを見た時点で反応する
ウイルス本体にも反応するがwin.jpg、JavaGame.jar、ChangeLog.pdfなどの
脆弱性攻撃バイナリには反応しない
当然亜種が出ると分からないので、脆弱性持ちのソフトはアップデートして
使っているならAdobe ReaderのAcrobat Javascriptをオフにする

567:名無しさん@お腹いっぱい。
10/01/07 23:02:41
盗んでWEB自動更新

568:名無しさん@お腹いっぱい。
10/01/07 23:02:56
>>558
siszyd32.exeは検索しても見つからないよ
エクスプローラでも見えない
msconfigのスタートアップにあったらやばい
無効にしても復活する

セーフモードだとエクスプローラで見えるようになるのでそこで削除


569:名無しさん@お腹いっぱい。
10/01/07 23:04:07
>>564
管理者のマシンに感染してFTPアカウント情報を盗聴、
入手したFTPアカウントを悪用してサイトを改ざん

だから全然違うがな

570:名無しさん@お腹いっぱい。
10/01/07 23:06:53
>>563詳しく教えて頂きありがとうございました
無かったようです、ひとまず安心して良いのかな?

>>566そうなんですね!
ソフトを常に最新の状態にして、javaはオフにしときます
ありがとうございます

571:名無しさん@お腹いっぱい。
10/01/07 23:08:51
>>569
あら?違うのか
別のウイルスだったかもしれない

572:名無しさん@お腹いっぱい。
10/01/07 23:18:30
>>568
フォルダオプションで隠し属性のファイルも表示させるようにしていても見えないってこと?

573:名無しさん@お腹いっぱい。
10/01/07 23:25:02
>>572
ZwQueryDirectoryFile辺りをフックすればファイルを隠蔽できるはず
ファイルがあるのに見えないように・・・

574:名無しさん@お腹いっぱい。
10/01/07 23:38:23
>>572
うん
エクスプローラじゃないツールなら見えるのもある
消せないけど

575:名無しさん@お腹いっぱい。
10/01/07 23:47:57
8080は、FTPソフトを起動してなくても勝手に改ざんする。
ずっと放置してたサイトが感染後にがっつり改ざんされてたとの報告も。
PC起動している間はずっと改ざんを繰り返すみたいだよ。

576:名無しさん@お腹いっぱい。
10/01/07 23:54:13
ほう、けっこう原始的な改ざん方法なんだな。
てかあんな大手企業サイトが、ローカルPCから直接サーバーへ繋げるような
簡易なインフラ環境ってのがなんか意外だった。
もっと凄い構成組んでるとおもったけど。



577:名無しさん@お腹いっぱい。
10/01/08 00:01:00
>>530の先のレス番99-110あたりに感染後の改ざん挙動報告があるよ

578:名無しさん@お腹いっぱい。
10/01/08 00:18:59
>>576
うーん直接管理してなくて委託にまかせっきりってイメージ持ってたけどなぁ
アンチウィルスソフト会社は流石に違うだろうけど
なんにせよごちゃごちゃ動きまくってるのは嫌だな

579:名無しさん@お腹いっぱい。
10/01/08 01:36:48
委託請け負ってる会社のPCがやられてるから
委託するような大手に被害が出てるのかもね

580:名無しさん@お腹いっぱい。
10/01/08 01:37:35
そう言うのがほとんどだろうね

581:名無しさん@お腹いっぱい。
10/01/08 02:04:41
委託請け負ってる所ってそんなにいい加減なのか?
まあピンキリなのかもしれんがこうも大手企業のサイトが改ざんされると不安になるな

582:名無しさん@お腹いっぱい。
10/01/08 03:33:26
pdfでいろいろやりとりするのが多いからやられるのが多いのかもな


583:名無しさん@お腹いっぱい。
10/01/08 03:39:43
pdfのメッカ、官庁はいまんとこ無事みたいだね

584:名無しさん@お腹いっぱい。
10/01/08 03:41:21
pdfという形式自体を、これを機に廃れさせるべきなんじゃないだろうか
仕事で使うつっても仕事の能率とセキュリティ性なら後者が優先されるべきだし

585:名無しさん@お腹いっぱい。
10/01/08 12:31:39
自分はpdfあんま好きじゃないから消えてもらってもかまわないな

586:名無しさん@お腹いっぱい。
10/01/08 12:44:19
アメーバがGENOウィルス感染! 危険だから今後Ameba Newsをソースにするの禁止な。
スレリンク(news板)

587:名無しさん@お腹いっぱい。
10/01/08 13:27:12
JREはWindowsVista以降の保護モードに対応してるから、
IEで保護モードで使う設定にしてれば、やられてもごく限られた動作しかできず、
ほとんど影響をうけない

firefoxとかchromeとか保護モード非対応の脆弱なブラウザは使ってないから知らん

588:名無しさん@お腹いっぱい。
10/01/08 13:30:24
でも脆弱性ついてきたら実行されちゃうんでしょ

589:名無しさん@お腹いっぱい。
10/01/08 13:30:38
保護モードなんてバイパス出来るのに・・・

590:名無しさん@お腹いっぱい。
10/01/08 13:39:04
結局きちんと対策してなくちゃ駄目なんだから
OSやブラウザの種類云々は関係ないと思うが

591:名無しさん@お腹いっぱい。
10/01/08 13:51:54
もっと大騒ぎしてほしい
mixiあたりヘマしないかなあ

592:名無しさん@お腹いっぱい。
10/01/08 13:53:32
>>591
愉快犯乙

593:名無しさん@お腹いっぱい。
10/01/08 13:54:28
>>591
もしかして:ロシア人

594:名無しさん@お腹いっぱい。
10/01/08 13:54:44
いやあもっと騒がれたらセキュリティの意識高まるかもしれないじゃん?


595:名無しさん@お腹いっぱい。
10/01/08 13:56:01
Anti Windowsの俺が通りますよっと

596:名無しさん@お腹いっぱい。
10/01/08 14:08:09
>>594
馬鹿と歴史は繰り返されるもの

597:名無しさん@お腹いっぱい。
10/01/08 14:22:12
>>587
保護モードって何?

598:名無しさん@お腹いっぱい。
10/01/08 14:50:26
avast!のWebシールドでも反応しない新ガンブラーが登場
スレリンク(news板)

599:名無しさん@お腹いっぱい。
10/01/08 17:13:39
盛り上がってるなあ

600:名無しさん@お腹いっぱい。
10/01/08 17:27:04
とうとう警視庁も捜査に乗り出したしな
8080の犯人探すのかGENOの犯人探すのかよくわからんが
できればどっちも見つけてほしいね

601:名無しさん@お腹いっぱい。
10/01/08 17:28:57
>>600
警視庁ってマジ?
ニュースでたのか?

602:名無しさん@お腹いっぱい。
10/01/08 17:30:41
>>601
出た。
今朝の犬HKラジオでトップニュース。

603:名無しさん@お腹いっぱい。
10/01/08 17:32:07
>>597
URLリンク(msdn.microsoft.com)(VS.85).aspx
日本語訳もあるけど、UACが旧名称のUAPになってたり機械翻訳みたいだったり基本的にやる気なし。
UACとかユーザーインターフェースの特権分離(UIPI)とかいう仕組みでIEが制限されたモードで実行され、
悪意のあるコードがWindowsに影響を与えるのを防ぐ仕組みが保護モードなのかな。
UACに依存している機能だから例によってUACを無効にしてると機能しない。また、UACが動作していてもIEを管理者で
起動すると保護モードは無効になる。

604:名無しさん@お腹いっぱい。
10/01/08 17:33:48
へー、とうとう警視庁が動くのか
犯人見つかればいいけど捕まえるのは難しいだろうな

605:名無しさん@お腹いっぱい。
10/01/08 17:35:02
>>604
そもそも犯人って何人なんだ?
日本人ではなさそうな予感

606:603
10/01/08 17:35:23
IT Proのこっちの説明のほうがわかりやすいかww
URLリンク(itpro.nikkeibp.co.jp)

ふーん。勉強になるね。

607:名無しさん@お腹いっぱい。
10/01/08 17:36:30
これ、つかまえたらすごいね。
ハッカー逮捕!とか、でっかく出るのかな。
病原菌?

608:名無しさん@お腹いっぱい。
10/01/08 17:36:36
MSみたいに懸賞金かければいいのに


609:名無しさん@お腹いっぱい。
10/01/08 17:38:00
>>605
複数居てもおかしくないと思う
犯人日本人でなきゃ見つけるのも難しいよな

610:名無しさん@お腹いっぱい。
10/01/08 17:41:29
犯人は日本人じゃねーだろw
中露のどっちかだろうなw

611:名無しさん@お腹いっぱい。
10/01/08 17:43:04
これ、犯人が外国人だったらどーなんの?
どーしょーもない?

612:名無しさん@お腹いっぱい。
10/01/08 17:47:48
今回、仕組み調べるためにあちこちにアクセスしちゃったから、
何かの間違いで調べとか入ったらやばいな。
ウイルスに関しては調べられても何も出てこないが(やってないんだから)、
HDDの中のエロ動画が違法じゃなくても恥ずかしすぎるw

613:名無しさん@お腹いっぱい。
10/01/08 18:03:36
CVE-2009-4324

VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
URLリンク(vrt-sourcefire.blogspot.com)

extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
URLリンク(extraexploit.blogspot.com)

614:名無しさん@お腹いっぱい。
10/01/08 18:22:29
感染サイトを意図的にはった人とかも逮捕されたりして

615:名無しさん@お腹いっぱい。
10/01/08 18:30:51
>>614

無いな

616:名無しさん@お腹いっぱい。
10/01/08 18:32:42
特定なんて無理じゃないか?
アクセス解析してうんたらかんたらで出来るもんなのか?

617:名無しさん@お腹いっぱい。
10/01/08 18:35:58
>>616
ウイルス本体が置かれている鯖→ロシア
協力してもらえない予感ww

618:名無しさん@お腹いっぱい。
10/01/08 18:38:34
>>616
時系列に追っていけば最初の発生源が分かる

はず

少なくとも日本国内管理下の鯖の感染第一号は特定できるかも

619:名無しさん@お腹いっぱい。
10/01/08 18:44:59
>>605
そもそも日本企業狙い撃ちする旨味がないし、
テストでなければ日本(在住)人の可能性が高いのでは?

620:名無しさん@お腹いっぱい。
10/01/08 18:45:06
おまえやれ。

621:名無しさん@お腹いっぱい。
10/01/08 18:49:09
感染拡大する以前の導入段階は単純な不正アクセスなんだから特定できるだろうに
というか、だからこそk察が動くって話になってるんだろ

622:名無しさん@お腹いっぱい。
10/01/08 18:50:48
>>619
狙い打ってないです

623:名無しさん@お腹いっぱい。
10/01/08 19:16:58
つうかこれまで動いてなかったんかと
ウイルス製作者って中々捕まらんのだな
アンチウイルスソフト作ってるところが流してるという噂もこういう所から出てきてるんだろうな

624:名無しさん@お腹いっぱい。
10/01/08 19:30:09
genoや8080って
海外の企業も被害出てるの?

日本企業ばかりのイメージがあるんだけど

625:名無しさん@お腹いっぱい。
10/01/08 19:35:12
去年の5月くらいからずっと被害でてるよ

626:名無しさん@お腹いっぱい。
10/01/08 19:40:15
>>623
今回みたいに被害が大きくならないと動けないんじゃね?
動いても犯人捕まえられそうにない予感

627:名無しさん@お腹いっぱい。
10/01/08 22:19:14
日本人じゃないしな
>>624
日本語のニュースが出てないだけじゃね
企業かどうかとか国がどこかとか区別されていない

628:名無しさん@お腹いっぱい。
10/01/08 22:47:09
日本の警察が捕まえられるのはP2P利用者のような
権力があれば誰でも捕まえられるレベルだけ。

629:名無しさん@お腹いっぱい。
10/01/08 22:53:06
日本の警察に何ができるの?
部下「課長、ノートン警察ってのがありますよ」
課長「よし!そこへ協力を頼もう」
とかじゃないよね

630:名無しさん@お腹いっぱい。
10/01/08 23:02:52
まぁ、無理だな

調べたところで、botと串が出てきて終わりだろ

民主党が不正アクセスに加担していた なんて事になればもっと無理


631:名無しさん@お腹いっぱい。
10/01/08 23:04:26
>>611
いんたーぽーるがなんとかするのでは

632:名無しさん@お腹いっぱい。
10/01/08 23:05:59
やばいwちょっとわろたwwwww
アクセス地を地道に探し出すんじゃwwwww
URLリンク(blog.trendmicro.co.jp)
にイラスト有るけど
FTPアカウント情報を集めて攻撃者が地道に改ざんするみたいだから
FTPを送られる側と最初にアタックしてきた奴を探すんじゃないかなw

633:名無しさん@お腹いっぱい。
10/01/09 02:11:08
>>632
地道にっつってもその辺は自動化されてると思うよ。

634:名無しさん@お腹いっぱい。
10/01/09 02:14:27
Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)

インシデントの届出
URLリンク(form.jpcert.or.jp)

記入例
URLリンク(www.jpcert.or.jp)
結構適当でいいらしい。

635:名無しさん@お腹いっぱい。
10/01/09 02:30:41
>>570
sysgif32が登録されないパターンもあるっぽいから油断禁物

636:名無しさん@お腹いっぱい。
10/01/09 03:02:56
>>557
あるとまずいもの
>C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

プログラムフォルダに見当たらなかったので、
テキストファイルをつくって、名前変更してsiszyd32.exeにしたら、削除できなくなって困ったw

637:名無しさん@お腹いっぱい。
10/01/09 03:41:29
なにその面白プレイ

638:名無しさん@お腹いっぱい。
10/01/09 11:00:07
削除できないと困るのか?

639:名無しさん@お腹いっぱい。
10/01/09 14:37:48
>>287
URLリンク(www.google.co.jp)

640:名無しさん@お腹いっぱい。
10/01/09 14:39:38
>>635マジか
他に確認方法ある?ちなみにavast使ってます

641:名無しさん@お腹いっぱい。
10/01/09 14:41:55
URLリンク(www.google.co.jp)

642:名無しさん@お腹いっぱい。
10/01/09 16:26:36
ってか、確実に確認できる方法が確立してれば
ここまでの騒ぎにはならないわけで。

判明してる方法でわからないのであれば
あとは自分が出来る限りの回避策をとって運任せ。

それか当分ネットから離れるかのどっちかだw

643:名無しさん@お腹いっぱい。
10/01/09 16:28:33
>>638
「他のプログラムが使用していて削除できません」
とかウイルスがいるような気がするだろw

644:名無しさん@お腹いっぱい。
10/01/09 16:32:22
これ、三糞とか2NNとかコソアンとかが感染してたら
さらにどえらい騒ぎになるんだろうなあ。

645:名無しさん@お腹いっぱい。
10/01/09 19:12:21
>>574
WindowsPEを使えば見えないファイルも見えるはず。

646:名無しさん@お腹いっぱい。
10/01/09 20:34:19
【Geno】 ガンブラーウィルス  ヤフーも被害に  昨年10月27日~今年1月8日
スレリンク(news板)

647:名無しさん@お腹いっぱい。
10/01/09 20:57:50
p://mangakakouze●com/

新型きますた

648:名無しさん@お腹いっぱい。
10/01/09 21:07:13
新型か~

649:名無しさん@お腹いっぱい。
10/01/09 21:18:08
>>647

カスペルスキーさんは検知してくれました


Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

p://mangakakouze●com/

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:17:03
Kaspersky Internet Security 2010

650:名無しさん@お腹いっぱい。
10/01/09 21:39:19
>>647
ここと同種だったはず


スレリンク(sec板:392番)

392 :名無しさん@お腹いっぱい。:2010/01/01(金) 15:17:02
片桐はいり4倍速の公式サイトで動画再生したら
ウィルスアラートでまくって
その後、PCの動作がおかしい

誰か検証してくだされ

651:名無しさん@お腹いっぱい。
10/01/09 21:47:17
>>650
MSE使用者の馬鹿さ加減がよく分かるなw

652:名無しさん@お腹いっぱい。
10/01/09 21:53:47
Yahoo占い、運が悪いと新型PCウイルス「ガンブラー」に感染するという斬新な占い機能を提供
スレリンク(news板)

653:名無しさん@お腹いっぱい。
10/01/09 21:56:00
>>652
>>646
重複側貼られても・・・

654:名無しさん@お腹いっぱい。
10/01/09 23:03:55
>>647
ノートン先生は反応しないな

655:名無しさん@お腹いっぱい。
10/01/09 23:11:59
virusutotalでは検出してるけどな
URLリンク(www.virustotal.com)
スクリプトに反応しなくても防いではくれるから問題ないだろうけど

656:名無しさん@お腹いっぱい。
10/01/09 23:13:12
またうちの子は検出してくれる!!スゴイ合戦してるのか

657:名無しさん@お腹いっぱい。
10/01/09 23:15:58
重要なことだろ
スクリプトだけで判断するやつが多いのは問題だが
それもどうでも良いわけではない

658:名無しさん@お腹いっぱい。
10/01/09 23:17:35
元を防げよ防いでるならどうでもいい

659:名無しさん@お腹いっぱい。
10/01/09 23:19:11
防ぐのは重要だが感染していることに気づくのも必要なんだよ
気づかないからそのままな人もいる

660:名無しさん@お腹いっぱい。
10/01/09 23:21:23
当たり前のことだがな
馬鹿もいるから仕方ない

661:名無しさん@お腹いっぱい。
10/01/10 01:07:06
盗んだID販売目的か 感染広がる「ガンブラー」
スレリンク(news板)

662:名無しさん@お腹いっぱい。
10/01/10 01:31:55
Windows使いでなくてよかったよ

663:名無しさん@お腹いっぱい。
10/01/10 01:57:57
やはり有料版かね。

664:名無しさん@お腹いっぱい。
10/01/10 02:46:52
p://www●mag-x●com/

最新型きますた

665:名無しさん@お腹いっぱい。
10/01/10 04:07:30
>>664
実験用VMでアクセスしたら
avastさんが叩いてくれました

666:名無しさん@お腹いっぱい。
10/01/10 05:24:09
カスペも反応した
まぁ、新型だとしてもセキュリティソフトで対処できる程度の応用なわけだ

667:名無しさん@お腹いっぱい。
10/01/10 05:37:18
>>666
/*LGPL*/は何パターンかのスクリプトがあるようだから
必ずしも安心できないぞ

結果: 5/40
URLリンク(www.virustotal.com)
結果: 3/41
URLリンク(www.virustotal.com)
結果: 10/41
URLリンク(www.virustotal.com)

668:名無しさん@お腹いっぱい。
10/01/10 05:44:29
怖いのはメジャーなサイトでも安心できないという事
これに尽きる
例えば、noscriptやそれに近い方法でJSを止めてる場合は確かに安全だが
JSを許可しているサイトが後々、感染する可能性があるからな

669:名無しさん@お腹いっぱい。
10/01/10 10:06:59
JRとかローソンとか普通は見てしまうからなw


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch