09/12/22 23:37:25
ソープ板から すまんこ。
アニたま系と同じやつだとおもうのだけど(ソープ店HP)
//santafe.santafe-group.com/index.html 内の最後の方のアクセス解析スクリプト
//santafe.santafe-group.com/acc/xenoLogger.js
が乗っ取られてるみたいで ロシアにご案内されてしまう。
地味に被害が広がっていて、管理者側も依然手を打ってない模様。
専用スレでも立ててage放しにして警告しといたほうがいいのかな?
3行ほどでアドバイスいただけないかしら。
235:名無しさん@お腹いっぱい。
09/12/22 23:38:45
>>231
ゲイツは08年6月27日に退職しとるがな
236:名無しさん@お腹いっぱい。
09/12/22 23:56:55
>>234
Gumblarじゃない
--
document.write(acCODE); /*GNU GPL*/ try{window.onload = function(){var 以下略
--
参照
URLリンク(www.so-net.ne.jp)
237:名無しさん@お腹いっぱい。
09/12/23 02:51:35
>231
OS・アプリ・Flashの更新関係は全部チェック、ブラウザも極力最新版を
無料でもセキュソフトは必須、未対策は感染を広げる(偽セキュソフトに注意)
不安ならブラウザとPDFソフトのJavascriptはOFF、後者は常時OFFでもいい
ほい、3行
できる・やるべき対策はGumblarと同じ
238:名無しさん@お腹いっぱい。
09/12/23 02:53:02
>237は>234宛だった
239:名無しさん@お腹いっぱい。
09/12/23 04:04:08
言ってることは正しいんだが、安価ぐらいちゃんと打とうよ・・・
しかしGNU GPLで始まるスクリプトのインジェクション、じわじわと拡がってるみたいね
もう1個ぐらい有名サイトが陥落でもしたら、総合スレ立てても良いような
240:234
09/12/23 04:41:13
>>236-239
色々ありがとう。
メディアでの記事も参考になったし、Adobe Readerでjavaスクリプトとかあるの知らなかった。
最後にもうひとつだけ質問させて。
コレって、サーバーに侵入されて書き換えられてるの?
それとも、保守用のPCが何らかの感染しているの?
241:名無しさん@お腹いっぱい。
09/12/23 05:13:34
両方あり得るし、それは管理者じゃないとわからん。
242:名無しさん@お腹いっぱい。
09/12/23 07:41:40
管理者のPCが感染
→鯖の管理アカウントが漏洩
→鯖に仕掛けられる
→それを見た別の管理者のPCが感染
の永久ループだろ
ちなみに、adobe readerは全バージョンセキュリティホール放置中、対策版は恐らく来月中旬
攻撃コードの作り方が簡単過ぎて笑ったので、年末年始に流行りそうな予感
243:名無しさん@お腹いっぱい。
09/12/23 08:11:44
年末年始を狙ってくるのは確実だろうなあ
んで改ざんされたサイトの管理人が休暇中で、ウイルスばらまいた状態になったままとかorz
ところでJR東日本の公式サイトが改ざんされたとかでサービス停止してる
URLリンク(www.mbs.jp)
244:名無しさん@お腹いっぱい。
09/12/23 08:15:17
URLリンク(sorry.jreast.co.jp)
JR東もやられたっぽい。
只今メンテ中。
245:234
09/12/23 09:14:51
>>241,242
ありがとう。>>239さんの通りじわじわ拡大してるようですね。
件の管理者も早く気付いて欲しいところです。
246:名無しさん@お腹いっぱい。
09/12/23 13:16:32
管理者自身、geno技術がすごすぎて手が打てないんだろ
247:名無しさん@お腹いっぱい。
09/12/23 13:26:21
JR東のサイト内検索窓に改ざん 運用停止
URLリンク(www.fnn-news.com)
社内で調査したところ、外部からの不正なアクセスがあったほか
改ざんされた画面などにアクセスした場合、ウイルスに感染するおそれもあるという。
248:名無しさん@お腹いっぱい。
09/12/23 13:35:31
この際、javaやめてnet frameでええよ
249:名無しさん@お腹いっぱい。
09/12/23 15:15:27
Gumblar撤退?
URLリンク(blogs.yahoo.co.jp)
--
asianmotors●co●in ←危険
ここって、インジェクションの実験場に使われてる?
*GNU GPL*に酷似した(同じ?)
<script>/*CODE1*/ try{window.onload = function(){var
こんなのが転がってるんだが・・・
※Gumblarは残ったまま
250:名無しさん@お腹いっぱい。
09/12/23 15:36:53
ここも凄い事になってるなw
URLリンク(www)●cafekamrans●co●uk/
251:名無しさん@お腹いっぱい。
09/12/23 17:03:10
>>249-250
どんな感じなんだ
一回見てみたいんだがチキンだから見れない画像うpしてください^q^
252:名無しさん@お腹いっぱい。
09/12/23 19:13:18
Firefoxで頭にview-source:付ければいいだろ
253:名無しさん@お腹いっぱい。
09/12/23 19:19:58
>>249
code1は8080系だね。前はGNU GPLとか書いてた奴。
254:名無しさん@お腹いっぱい。
09/12/23 19:20:48
上げてください^q^
255:名無しさん@お腹いっぱい。
09/12/23 20:03:53
自分で見れないレベルなら見てもわからんと思うよ
256:名無しさん@お腹いっぱい。
09/12/23 20:36:48
>>251
249と250もチキンだからな
257:名無しさん@お腹いっぱい。
09/12/24 00:08:42
JR東日本のサイト改ざんはGamblar亜種
URLリンク(www.jreast.co.jp)
不正アクセスにより改ざんされたページ及び期間
JR東日本ホームページ内キーワード検索
2009年12月8日(火)21:40~12月21日(月)23:55
大人の休日倶楽部内の東京講座ページ
2009年12月18日(金)11:00~12月22日(火)21:00
258:名無しさん@お腹いっぱい。
09/12/24 00:10:22
久々に見にきてみれば、JRもGENOか
259:名無しさん@お腹いっぱい。
09/12/24 00:14:58
検索だけじゃなかったのか
260:名無しさん@お腹いっぱい。
09/12/24 00:15:32
>>256
よう、腰抜けw
261:名無しさん@お腹いっぱい。
09/12/24 00:15:40
スペル覚えにくいけどGumblarね
262:名無しさん@お腹いっぱい。
09/12/24 00:21:57
>>261
Gumblarなのね、覚えた
263:名無しさん@お腹いっぱい。
09/12/24 00:45:10
>>256
ほっといたらいい
URLしか貼り付けれない奴らだから
264:名無しさん@お腹いっぱい。
09/12/24 01:12:37
GENO怖くて4月からもうずっと専ブラで2chとふたば見るだけのネット生活だ…
265:名無しさん@お腹いっぱい。
09/12/24 01:59:27
【GENO出世】JR東のサイトにアクセスしたユーザーにGENOウイルス感染の恐れ
スレリンク(news板)
266:名無しさん@お腹いっぱい。
09/12/24 02:11:52
GENOウイルススレ 23
スレリンク(sec板)
267:名無しさん@お腹いっぱい。
09/12/24 02:12:34
>>266
誤爆したスマソ
268:名無しさん@お腹いっぱい。
09/12/24 05:34:59
ここまでGENOで定着してしまうとはね・・・アメリカの企業だったら名誉毀損で訴訟起こすレベルw
そりゃインジェクションされたGENO側が悪いのも分かるけどさ・・・
JRが真っ先にやられてたらJRウイルスとでも言われてたのだろうか?
269:名無しさん@お腹いっぱい。
09/12/24 06:23:31
>>261
「ガンバレー」に見えてしまう
270:名無しさん@お腹いっぱい。
09/12/24 10:32:08
ガンプラに見えてしまわない
271:名無しさん@お腹いっぱい。
09/12/24 11:27:12
機動戦士Gumblar
272:名無しさん@お腹いっぱい。
09/12/24 12:07:08
vistaでDaonol感染した。
UAC切ってたからだと思う。
7のインストールディスクのコマンドプロンプト使ったが、midi9がないので、更なる亜種みたいだわ。
復元ポイントに戻ればいいみたいだが、生憎vistaのインストールディスクがなくてなおしようがない…
273:名無しさん@お腹いっぱい。
09/12/24 12:32:33
>>272
Vistaで応用できるか分からんが、KNOPPIXから修復する方法がある
URLリンク(pctrouble.lessismore.cc)
274:名無しさん@お腹いっぱい。
09/12/24 19:41:07
JR東日本のサイト改ざん、Gumblarの亜種は間違いで/*GNU GPL*/らしいな
Gumblarが撤退をしているようだから、これから8080系が流行るのか・・・
URLリンク(www.st.ryukoku.ac.jp)
275:名無しさん@お腹いっぱい。
09/12/24 19:47:30
8080系って電車みたいだな
276:名無しさん@お腹いっぱい。
09/12/24 20:16:13
>>272
midi9見えてないだけかもよ
277:名無しさん@お腹いっぱい。
09/12/24 20:16:56
>>268
GENOは対応の仕方がまずすぎたな
278:名無しさん@お腹いっぱい。
09/12/24 22:57:28
>>273
ありがとう、試してみる。
>>276
ん~、削除しようとしても見つからないって言われるし、展開してみても見つからないんで、とりあえず>>273が教えてくれたのを試してみる。
279:名無しさん@お腹いっぱい。
09/12/24 23:16:39
今度はJREか…
280:名無しさん@お腹いっぱい。
09/12/25 00:33:55
>279
3秒くらい、JR東日本とJavaランタイムのどっちか混乱した
281:名無しさん@お腹いっぱい。
09/12/25 03:33:03
今度の8080系がアニたまウイルスと命名されないか、心配だぜ
なんかso-netの記事見てると、分かりやすくするためだろうがやけにアニたまって言葉使ってて・・・
282:名無しさん@お腹いっぱい。
09/12/25 03:39:52
ここで命名しない限りそれは無い
283:名無しさん@お腹いっぱい。
09/12/25 07:17:10
ちゃんと閉鎖・発表してるのに命名されるのは可哀想だ
284:名無しさん@お腹いっぱい。
09/12/25 21:58:27
/*GNU GPL*/や/*CODE1*/などの8080系でAdobe Reader 9.2(最新版)の
脆弱性を突いたPDFファイルが落ちてくるようになった模様
対策は >>1 の「Acrobat JavaScriptをオフ」にすること
新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃~今すぐ対策を
URLリンク(www.so-net.ne.jp)
285:名無しさん@お腹いっぱい。
09/12/26 10:10:59
ついにきたか
さてと、どうすっかなぁ
年末年始休暇の間に職場の全PC設定は勘弁してほしいな
286:名無しさん@お腹いっぱい。
09/12/26 11:28:37
Adobeの次はJava。GENOウイルスの第二波が来るぞー(^o^)ノ
スレリンク(news板)
287:名無しさん@お腹いっぱい。
09/12/26 11:43:36
URLリンク(www.google.co.jp)
288:名無しさん@お腹いっぱい。
09/12/26 14:20:56
AdobeReaderの設定ってユーザーごとなのね。めんどくさ。
例 AcrobatJavaScriptの設定
HKCU\Software\Adobe\Acrobat Reader\9.0\JSPrefs
bEnableJS
(HKLMには無い)
ドメイン環境下ならポリシーでばら撒けばいいのか?
289:名無しさん@お腹いっぱい。
09/12/26 14:53:39
>>288
無いなら無いでHKLMにキーを作ってしまえばいいのでは?
Adobe Readerの設定の方からは有効無効を切り替えられなくなるだろうけど。
290:名無しさん@お腹いっぱい。
09/12/26 17:09:20
無駄な情報だったらゴメンこ
現在pixiv一般デイリー3位の人のサイト、踏むとウイルス検知されるみたいなので行かないように
他板のスレでGENOチェッカーで反応したというレスあったので一応念のため
291:名無しさん@お腹いっぱい。
09/12/26 17:13:36
GENOチェッカーとか未だに信じてる奴がいるなんて…
292:名無しさん@お腹いっぱい。
09/12/26 17:21:15
>>291
ああ、ずっとスレ見てなかったからそういうの知らんわスマンね
293:名無しさん@お腹いっぱい。
09/12/26 17:22:16
GENOチェッカーはともかく
/*GNU GPL*/に感染してるな・・・
avast!のWebシールドも反応する
294:名無しさん@お腹いっぱい。
09/12/26 17:49:50
>>289
確かにHKCUからbEnableJSを削除してHKLMに作成した場合は
HKLMを見てくれるようだ。
でもHKCUとHKLMの両方にあって設定が異なる場合は
HKCUのが優先されるからやっぱりだめだ。
www.openspc2.org/reibun/Acrobat9/javascript/app/001/sample/sample.pdf
で動作確認。
295:名無しさん@お腹いっぱい。
09/12/26 20:06:50
Adobe9.2の脆弱性って8や7には関係ないの?
296:名無しさん@お腹いっぱい。
09/12/26 20:11:45
ほれ
URLリンク(www.jpcert.or.jp)
297:名無しさん@お腹いっぱい。
09/12/26 20:59:44
>>297
ありがとう。7は平気なのかな
298:名無しさん@お腹いっぱい。
09/12/26 21:32:50
だめじゃね? 1年以上前にサポート終了してるから特に書いてないだけで。
299:名無しさん@お腹いっぱい。
09/12/26 21:58:12
もしサポート切れてる7使ってたら、その時点で今回の脆弱性云々の問題じゃないだろうねw
300:名無しさん@お腹いっぱい。
09/12/26 23:39:22
>>293
ついこの間、やんちゃにはっちゃけ暴走かましてくれた
avast!って正気に戻ったの?
301:名無しさん@お腹いっぱい。
09/12/27 00:07:47
>>300
いつの話だよ…。大きな誤検知騒ぎは速攻で修正されるわ。
ノートンだろうと何だろうと。
302:名無しさん@お腹いっぱい。
09/12/27 00:44:42
速攻じゃなかったろw
303:名無しさん@お腹いっぱい。
09/12/27 00:50:59
>>301
304:名無しさん@お腹いっぱい。
09/12/27 01:22:50
ホンダのHPがGENOウィルスに感染
スレリンク(news板)
305:名無しさん@お腹いっぱい。
09/12/27 01:34:15
>>304
うわ~ついに車関係も。
306:名無しさん@お腹いっぱい。
09/12/27 01:50:01
>>304
↓ここをGoogleのキャッシュで見ると/*GNU GPL*/の記述があるな
URLリンク(www)●honda●co●jp/STREAM/safety/
そろそろ総合スレ立てたほうがいいかね?
307:名無しさん@お腹いっぱい。
09/12/27 01:54:37
GENOじゃねえだろ
308:306
09/12/27 02:12:09
JR東日本と同じで8080系と区別がつかんのだろう
309:名無しさん@お腹いっぱい。
09/12/27 02:17:06
GENOにかかったっぽいのですが
システムの復元でかかる以前の状態に戻せば
クリーンインストールせずに済むのでしょうか?
310:名無しさん@お腹いっぱい。
09/12/27 02:25:54
>>309
このスレはクリーンインストール推奨
できれば安全なPCからパスワードも
変えたほうがいいくらい
自己責任でどうぞ
最近は8080系のほうが流行っているから
本当にGumblarかも分からないし
311:名無しさん@お腹いっぱい。
09/12/27 02:29:44
>>310
そうですか・・・
クリーンインストールをするということはCもDも
プログラムもファイルも全て消えて
PCを買った時の状態に戻るという認識でおkですか?
312:名無しさん@お腹いっぱい。
09/12/27 02:40:50
>>311
メーカー・パソコンのリカバリならそうなるかも
残せるかどうかはマニュアルをよく読むしかない
どちらにしても重要なデータはクリーンインストール前に
USBメモリなどにバックアップしておくのがいい
313:名無しさん@お腹いっぱい。
09/12/27 02:49:02
>>312
明日DVD-ROMでも買って大事なデータをバックアップ後クリーンインストールしてみます。
ありがとうございました。
あ、そのバックアップからまた感染という事態も起こりうるんでしょうか・・・?
314:名無しさん@お腹いっぱい。
09/12/27 02:56:37
>>313
ない、とはいいきれないが、実行ファイルでもない限り大丈夫だと思う
まあ念のため安全な環境から、バックアップデータをウイルススキャンするのもいいかも
315:名無しさん@お腹いっぱい。
09/12/27 03:00:29
>>314
ありがとうございます。
消すのに惜しいプログラムも多少ありますので・・・
明日おっしゃるとおりにやってみます。
316:名無しさん@お腹いっぱい。
09/12/27 03:13:45
Gumblarが戦略的撤退中で8080系が活発に活動。それもゼロデイ突いてくるというおまけ付き
そろそろ総合スレの時期が来たか
スレタイ>>206辺りで良いんじゃないかと個人的には思うけど、GENOって文字含むかどうか難しいなぁ・・・
後テンプレで無駄な論争になるのもなんだかなぁ・・・
317:名無しさん@お腹いっぱい。
09/12/27 03:16:42
8080なんかで検索しねえだろ
そんな名前で呼ぶやつなんて一人くらいだろうし
318:名無しさん@お腹いっぱい。
09/12/27 03:24:42
8080よりむしろGENOのがいらないと思うが
319:名無しさん@お腹いっぱい。
09/12/27 03:28:01
テンプレから無駄な論争に発展しそうな要素を排除すればいいだけだろ。
ブラウザのJavaScript関連なんてテンプレに書く必要ないと思うわ。
320:名無しさん@お腹いっぱい。
09/12/27 03:29:01
ウェブ改竄や脆弱性をついた攻撃であることが分かればいいだろ
8080なんてなんでいるんだよ
それならGENOや/*GNU GPL*/や/*CODE1*/とかのがよっぽどいい
こんなことで争うつもりはないが8080はないよ
321:名無しさん@お腹いっぱい。
09/12/27 03:37:36
スレタイでもうこんな状態かよw
総合スレなんてもうどうにでもな~れ(AA略
322:名無しさん@お腹いっぱい。
09/12/27 03:50:52
固有名詞ならGumblar(ガンブラー)(系)表記が正しいけど、
GENOウィルスって名称は普通名詞だから、通称表記ならGENOウィルスだね。
323:名無しさん@お腹いっぱい。
09/12/27 03:52:18
タイトルなんて分かれば良いんだけどさ
さすがにGENOは一番有名な呼び名だからいるだろ
324:名無しさん@お腹いっぱい。
09/12/27 03:54:26
だから GENO(系)ウィルススレ でいいんじゃね?
325:名無しさん@お腹いっぱい。
09/12/27 03:55:13
GENOには悪いが
もはやGENOウイルスはウェブ改竄による脆弱性攻撃の総称になりつつあるな
326:名無しさん@お腹いっぱい。
09/12/27 03:58:39
このウィルスってVistaとWin7には無害なんでしょ?
327:名無しさん@お腹いっぱい。
09/12/27 04:06:29
これ感染するとどうなるの?
328:名無しさん@お腹いっぱい。
09/12/27 04:08:37
テンプレは用意してあるがブラウザのJavaScript関連は入れてない
セキュリティ・アップデートのみまとめてある
あとスレタイについては
【8080系ウイルスについて】
という簡単な説明を入れてあるので反対意見もあるが8080は入れたい
>>206 は残念ながら長すぎて入らないので現スレタイ案は
>>203 となっている
とりあえず正式名称と検索でGumblar/GENOは必要と思う
そうすると残りは/*GNU GPL*/と/*CODE1*/だが長くて入らないし
表記が変わるかもしれないので8080の総称を、と思うんだが・・・
329:名無しさん@お腹いっぱい。
09/12/27 04:14:52
>>328
テンプレ用意してあるんなら、このスレとは別に立てればいいじゃん。
このスレのスレタイは今後も GENOウイルススレ だよ。
330:名無しさん@お腹いっぱい。
09/12/27 04:17:05
>>328
次スレ(笑)
スレリンク(sec板)
331:名無しさん@お腹いっぱい。
09/12/27 04:29:46
立てた
追加テンプレ、サンクス
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
抜け、間違いがあれば指摘よろ
332:名無しさん@お腹いっぱい。
09/12/27 10:32:04
ノートンだと8080系で侵入防止が働く
333:名無しさん@お腹いっぱい。
09/12/27 14:43:02
>>318
まだ世の中ではGENOという呼称が一般的かと
334:名無しさん@お腹いっぱい。
09/12/27 14:43:43
>>319
それはこまる。ヘボ庶民としては。
335:名無しさん@お腹いっぱい。
09/12/27 14:55:54
>>333
×世の中
○2chの中
336:名無しさん@お腹いっぱい。
09/12/27 15:32:18
>>332
たしかにノートンで侵入防止が働きました。
一安心?
337:名無しさん@お腹いっぱい。
09/12/27 18:05:46
ふと思ったけど、
これって、8080の外行きをブロックしちゃえばOKか?
意外に対策しやすいオチ?
338:名無しさん@お腹いっぱい。
09/12/27 18:26:17
みんながブロックしたら80にするだけだと思うんだ
8080はたぶん串
339:名無しさん@お腹いっぱい。
09/12/27 18:48:02
だから8080なんて呼ぶなよ
頭悪いだろ
340:名無しさん@お腹いっぱい。
09/12/27 18:50:53
GENOのが頭悪い
341:名無しさん@お腹いっぱい。
09/12/27 18:52:04
頭悪いは良いぎだが
そう呼ぶ理由がない
342:名無しさん@お腹いっぱい。
09/12/27 18:56:15
実質そう読んでるのは一人だろ
なぜか普及させようとしてるようだが
343:名無しさん@お腹いっぱい。
09/12/27 19:36:06
ポート8080を使う改竄は、海外メインで他にもあるらしいからなあ…
って、これ以上は総合スレ出来た以上スレチか
344:名無しさん@お腹いっぱい。
09/12/27 19:41:51
>>322
345:名無しさん@お腹いっぱい。
09/12/28 00:18:27
GENOに感染してると100%わかるサイトチェッカーってある?
346:名無しさん@お腹いっぱい。
09/12/28 00:25:49
むしろ感染してたら迷惑なので、さっさとネットから切断して欲しいんだが
347:名無しさん@お腹いっぱい。
09/12/28 00:26:21
GIGAZINEが感染してる
注意せよ
348:名無しさん@お腹いっぱい。
09/12/28 00:27:05
注意喚起あげ
349:名無しさん@お腹いっぱい。
09/12/28 00:44:27
今見たけど見当たらないような
350:名無しさん@お腹いっぱい。
09/12/28 00:46:20
Nortonセーフウェブでもgredでも異常なしだった。
どこが感染してるの?
351:名無しさん@お腹いっぱい。
09/12/28 00:46:58
GIGAZINEはAvastの誤検知のやつじゃねえの?
ちゃんと確認したのかよ
352:名無しさん@お腹いっぱい。
09/12/28 00:54:34
>>347
PCニュースにスレ立てるとかGIGAZINEにメールとかはしたの?
353:名無しさん@お腹いっぱい。
09/12/28 00:55:52
GIGAZINEは無罪
またavastが、やらかした
スレリンク(sec板:897番)n-
354:名無しさん@お腹いっぱい。
09/12/28 00:58:28
ソース見たけどって・・またavastか
355:名無しさん@お腹いっぱい。
09/12/28 00:59:26
誤検出かどうかも確認しないで条件反射で騒ぎ立てる奴は消えろよ
アホか
356:名無しさん@お腹いっぱい。
09/12/28 01:01:55
すまん… orz By avast
357:名無しさん@お腹いっぱい。
09/12/28 01:26:44
HTMLわからんのに感染てるって言い切るところがかっこいい
358:名無しさん@お腹いっぱい。
09/12/28 01:27:29
しがぬけたけどどうてもよかった
359:名無しさん@お腹いっぱい。
09/12/28 01:34:21
こんな短期間にまたも語検出暴発再発とは…。
さすがにこれでもうavast使うやつはいなくなるだろ。
これでまだ使うのはマゾか頭がイカれてるかどちらかだ。
360:名無しさん@お腹いっぱい。
09/12/28 02:51:41
スルーされて感染するよりか誤検出のほうがマシという考えもあるからね
avast使い慣れてるし便利な機能もあるからサポートが切れるまでは乗り換えは眼中にないかな
361:名無しさん@お腹いっぱい。
09/12/28 03:01:08
ユニメル騒動に釣られたデジタルマガジン 今度はGENOウイルスに感染か?
スレリンク(news板)
362:名無しさん@お腹いっぱい。
09/12/28 04:47:55
■カスペルスキー
初期設定が明らかにまずいから変更推奨。
GENOに特化しているがそれ以外は微妙。
癖があってアプリやwinupdate時に誤作動起こしたり勝手に削除される事あり。
■マカフィー
御三家では地味な印象。
シンプルでそこそこ軽い部類だけど対応が甘く信頼しきれない。
■ウィルスバスター
ガチ重い。
無駄にリソース喰いで受けていないテストも多く検出能力は眉唾、過去に盛大なやらかし有。
■ノートン
初期設定がまずいから要設定。常駐時は軽いがスキャンは遅い。
定義更新でたまにやらかしたりFIREFOX3.5xとの相性が微妙。
2010実装のSONAR2はGENO亜種などの未知のウィルスに対応しているが設定変えないと
強力な誤爆(=デフォルトだと強制削除)をくらう可能性ありで注意。
多機能でアドオンとインサイトなどの連携機能は優秀。
OSは安定性考えるならVista以降を推奨。
■ESET
軽くて割とシンプル(機能面でちょっと物足りないかも)。
検出能力は普通か。過去に一度だけ盛大なやらかし有。
誰でも知ってる市販の有名どころを出してみたが、ぶっちゃけ、どこも一長一短ですな。
363:名無しさん@お腹いっぱい。
09/12/28 05:00:28
いきなりどうした?
364:名無しさん@お腹いっぱい。
09/12/28 05:34:34
男ならアンチウィルスもFWも必要ない!
常時ノーガードだ
365:名無しさん@お腹いっぱい。
09/12/28 09:29:54
esetなんて有名でもなんでもないが…またアレな人かw
366:名無しさん@お腹いっぱい。
09/12/28 13:47:24
この手のウイルス感染って
やっぱりみんな管理者権限で普段から使ってるってこと?
367:名無しさん@お腹いっぱい。
09/12/28 15:25:17
だってじゃないと不便だし・・・
っていう層が大半だからだろ
368:名無しさん@お腹いっぱい。
09/12/28 16:10:17
DropMyRightsってソフトいいね
マイクロソフト製だし(未サポートソフトだけど)
普段管理者権限で使ってるけどWEBアプリとかこれ通して起動したら
そのアプリはユーザー権限に下げられる
GENO対策にいいんじゃない?
369:名無しさん@お腹いっぱい。
09/12/28 16:16:08
そんなの使うやつなら
もともとGENOなど感染しない
370:名無しさん@お腹いっぱい。
09/12/28 16:17:39
Vistaユーザになる
371:名無しさん@お腹いっぱい。
09/12/28 16:35:57
GENOじゃないけど
最近のパスワード流出はソフトの設定読み取るのもあるみたいだから
権限関係なかったりする
372:名無しさん@お腹いっぱい。
09/12/28 16:39:41
そもそもユーザー権限とか基本的には関係ないし。
単にアップデートを怠っている馬鹿が引っかかるだけだろ。
373:名無しさん@お腹いっぱい。
09/12/28 16:53:32
ユーザー権限関係ないっておかしくね?
感染PCシステムファイル変更されてるみたいだけど
ユーザー権限でシステムに変更加えられるの?
374:名無しさん@お腹いっぱい。
09/12/28 17:05:43
>>362
GDATAが入ってないとな!?
375:名無しさん@お腹いっぱい。
09/12/28 17:14:17
>>373
だから「基本的には」だろ。
やるべきことさえきっちりやっておけばシステムファイルの変更なんてされないんだから。
376:名無しさん@お腹いっぱい。
09/12/28 17:24:26
これ感染したらどうなるの?
377:名無しさん@お腹いっぱい。
09/12/28 17:44:32
信越放送HP 不正アクセスされ改ざん 閲覧した人はウイルスに感染した可能性
スレリンク(news板)
378:名無しさん@お腹いっぱい。
09/12/28 21:20:47
>>287
実害はこれの10倍以上はあるだろうな
379:名無しさん@お腹いっぱい。
09/12/31 14:18:06
380:名無しさん@お腹いっぱい。
10/01/01 02:32:55
ん?
381:某社シス管
10/01/01 15:49:14
さて、年明け早々、Web改竄ウイルス対策を上に説明しないといけない。
うちは、被害が確認されていないけど。
これから、資料作るべか。
親会社のシステムの関係でAdobeのJavaScript切れないし、
ReaderもflashもJREも自動更新きってあるし、配布ツールないし、700台あるし、どないするべかな。
親会社からのウイルス対策案内は、「なめてんのか?」のかという内容だし(無許可のUSBメモリなど使うなとか勝手にソフト入れるなとか)だし。
はぁ~・・orz
382:名無しさん@お腹いっぱい。
10/01/02 05:59:01
700台のハニーポットか…
383:名無しさん@お腹いっぱい。
10/01/04 03:35:07
URLリンク(www)●naito-akira●com/
新型っぽい。
384:名無しさん@お腹いっぱい。
10/01/04 07:21:21
>>383
GNU GPLの8080。新型というほどでは…。飛び先は
salesforce-com.tinypic.com.gameztar-com.guidebat■ru:8080/rambler.ru/rambler.ru/corriere.it/adsrevenue.net/google.com/
385:名無しさん@お腹いっぱい。
10/01/04 23:03:29
//www●morozoff●co.jp/
ニュー速で何やら話題になっていたようだがこれは?
386:名無しさん@お腹いっぱい。
10/01/04 23:04:52
GNU GPLの8080。
387:名無しさん@お腹いっぱい。
10/01/04 23:13:22
モロゾフの公式サイトでトロイ配布中
スレリンク(news板)l50
388:名無しさん@お腹いっぱい。
10/01/04 23:26:39
モロゾフ、アウト~
389:名無しさん@お腹いっぱい。
10/01/05 00:29:25
504 名前: アスピレーター(アラバマ州)[sage] 投稿日:2010/01/05(火) 00:05:24.72 ID:9xzGeSng
感染してるやつ
プロセス見てみろ変なのが('A`)
516 名前: カッターナイフ(鹿児島県)[sage] 投稿日:2010/01/05(火) 00:08:10.60 ID:JBW7jlI0
>>504
~TM108.tmp
こんな感じのやつ?
524 名前: アスピレーター(アラバマ州)[sage] 投稿日:2010/01/05(火) 00:10:12.00 ID:E7kbsyQA
>>516
そう
>>517
ログインしているユーザー名
systemにはいない
535 名前: アスピレーター(アラバマ州)[sage] 投稿日:2010/01/05(火) 00:12:24.54 ID:E7kbsyQA
うわあああああああああああああああああああああ
早速TELNETでユーザ名的確に打って総当たり攻撃キタ━━(°Д°)━━!!!!
ファイル抜かれるからIP変更するさらばあああああ
390:名無しさん@お腹いっぱい。
10/01/05 00:48:03
楽しそうだなw
391:名無しさん@お腹いっぱい。
10/01/05 17:07:20
Gumblarが読売の夕刊のトップ記事になってるね
カタカナでガンブラーって凄い違和感があるけどw
392:名無しさん@お腹いっぱい。
10/01/05 17:16:10
釣りだろ
393:名無しさん@お腹いっぱい。
10/01/05 17:21:14
GENO(Gumblar)ウイルススレ ★24
394:名無しさん@お腹いっぱい。
10/01/05 18:24:43
ガンプラー
395:名無しさん@お腹いっぱい。
10/01/05 20:33:59
グーグルの急上昇ワードにガンブラーがw
396:名無しさん@お腹いっぱい。
10/01/05 20:44:44
癌ブラーは転移していくぞ
397:名無しさん@お腹いっぱい。
10/01/05 22:25:29
p://knnn4321●chips●jp/hpblog/p-18044●html
かなりヤバい
398:名無しさん@お腹いっぱい。
10/01/05 22:32:33
avastたん入れるしかないのか
399:名無しさん@お腹いっぱい。
10/01/05 22:41:11
>>397
新種か?
400:名無しさん@お腹いっぱい。
10/01/05 23:27:03
>>397
なにもないぞ
401:名無しさん@お腹いっぱい。
10/01/05 23:31:24
うん?
402:名無しさん@お腹いっぱい。
10/01/05 23:41:53
prototype.jsに仕込み
403:名無しさん@お腹いっぱい。
10/01/05 23:48:47
辻ちゃんのサイトがトロイに感染
スレリンク(news板)
404:名無しさん@お腹いっぱい。
10/01/06 01:01:51
辻ちゃん、アウト~
405:名無しさん@お腹いっぱい。
10/01/06 01:32:24
今北さん用、GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
406:名無しさん@お腹いっぱい。
10/01/06 01:55:54
p://www●biwako●ne●jp/~kohsoku/home●html
407:名無しさん@お腹いっぱい。
10/01/06 04:10:27
ReaderとFlashはともかく、JREとQuick Timeは余程の事がない限り
入れない方が賢い
408:名無しさん@お腹いっぱい。
10/01/06 04:29:09
株や為替のチャートってJava使ってる業者が多いから使わざる得ない人も多いはず
409:名無しさん@お腹いっぱい。
10/01/06 04:54:08
入れててもチェック外して使わないようにしてればいいがね
410:名無しさん@お腹いっぱい。
10/01/06 05:09:09
JREはシステムに喰いこみ過ぎでうざい
411:名無しさん@お腹いっぱい。
10/01/06 06:52:22
>>408
お絵描き掲示板がほぼJavaなので同人では多いかもね
412:名無しさん@お腹いっぱい。
10/01/06 10:21:18
zing-vn.google~
のアドレスの中身(IP)がフランスに飛んだりドイツに飛んだりしてる?
413:名無しさん@お腹いっぱい。
10/01/06 10:52:09
今日の朝日新聞朝刊1面にガンブラーが載ってた。対策はウイルス対策ソフトを最新にすることだってさ。
abobe readerのことまで書けばいいのにね
414:名無しさん@お腹いっぱい。
10/01/06 10:53:32
>>413 URLリンク(www.asahi.com)
415:名無しさん@お腹いっぱい。
10/01/06 11:06:36
>>404
嘘の情報を流して楽しいの?
416:名無しさん@お腹いっぱい。
10/01/06 12:02:23
>>30
コピー~貼り付けでこれ使ってしまった俺は負け組か?
417:名無しさん@お腹いっぱい。
10/01/06 12:04:43
>>407
QuickTimeはどうしても必要な場合のみ一旦落としてから他のフォーマットに変換して見てるから特に困らない
JREはサブ機のみに入れて利用してる
418:名無しさん@お腹いっぱい。
10/01/06 12:10:10
>>416
まあドンマイ
419:名無しさん@お腹いっぱい。
10/01/06 12:22:34
UACてなに~?
教えてエロい人
420:名無しさん@お腹いっぱい。
10/01/06 12:28:42
>>414
>被害は計5社、改ざんされたサイトの閲覧者は延べ7万人を超す。
>(中略)
>ホンダはミニバン「ストリーム」のサイトが昨年12月18~21日に改ざんされ、約5千人が閲覧した。
>JR東日本のHPは同月8~22日に不正アクセスが繰り返され、プログラムが書き換えられた。
>23日に約17時間にわたって閉鎖して復旧したが、それまでの閲覧者は約5万人。
>
>信越放送のHPも同月26~28日に改ざんされ、約5400人が閲覧した。
>ラジオ関西では同月15~16日に特集サイトの「アニたまどっとコム」が改ざん、約6千人が閲覧した。
>洋菓子のモロゾフのHPは今月4~5日に改ざん。「ガンブラーかどうかは調査中」とするが、この間に約3860人が閲覧した。
421:名無しさん@お腹いっぱい。
10/01/06 12:33:44
>>412
fast-fluxなんでね? 手駒に使える陥落サイトが腐るほどあるし。
そことは別の8080にdigしまくってみたけど1秒経たずにIP変わる。
422:名無しさん@お腹いっぱい。
10/01/06 12:36:16
ユーザーアカウント制御のことだお。
それぐらいググレ厨房
423:名無しさん@お腹いっぱい。
10/01/06 12:44:15
>>416
悔しかったら通報してみなさい!
424:名無しさん@お腹いっぱい。
10/01/06 14:04:47
>>419
URLリンク(www.tkssoft.com)
425:名無しさん@お腹いっぱい。
10/01/06 14:07:27
モロゾフをgoogleで検索したら、AVGツールバーは安全ですって緑のマークが検索結果横に付いているんだけど、もうこのサイトの脅威は去ったの?
それともまだ訪問したらgumblarに感染するのかな?
426:名無しさん@お腹いっぱい。
10/01/06 14:18:57
>>425
モロゾフは修正されてるね
427:名無しさん@お腹いっぱい。
10/01/06 14:21:56
>>381
つ Systems Management Server
428:名無しさん@お腹いっぱい。
10/01/06 14:33:28
>>423
「30に引っかかって、パソコンのエロ動画が全部消えてしまいまいた」
って通報しますた。
429:名無しさん@お腹いっぱい。
10/01/06 14:40:05
wwwwwwww
430:名無しさん@お腹いっぱい。
10/01/06 14:44:52
>>425
検索エンジンで未だに改ざんコードが埋まってるページを検索しても安全扱いされてそうな気がするんだけど、
そこら辺はどうなってる?
431:名無しさん@お腹いっぱい。
10/01/06 15:17:16
>>430
そこが自分も知りたいのですよ
今脅威のあるサイト名が分からないので試せないのですが、このツールバーがいったいどの程度の精度と安心・信頼感があるのかを試したくて
もし今脅威のサイトを検索して黄色とかになっていたら信用できるから自分は引っかかる可能性は低いと安心できるのですが・・・
432:名無しさん@お腹いっぱい。
10/01/06 15:32:55
そもそもAVGはモロゾフのやつ防げるのか?
スクリプトも何もかも検出してるところは見たこと無いが
433:名無しさん@お腹いっぱい。
10/01/06 15:43:48
>>431
Bingで「"*/ try{window.onload"」で検索してみて
※リンク先には改ざんコードが埋まってるのでアクセスは絶対にしないように
多分改ざんには対応してない気がするんだけどな
434:名無しさん@お腹いっぱい。
10/01/06 15:46:30
動的サイトを作らなければOK
435:名無しさん@お腹いっぱい。
10/01/06 16:00:37
>>430
www.hikky-country.net
ここのサイトは埋め込まれたまま1ヶ月くらい放置してたけど、google検索で安全の緑マークのままだった。
検索エンジンは、リアルタイムで、内容を反映するわけではないし、安全マークを「今現在」の判断の根拠にするのは無理があるのでは?
436:名無しさん@お腹いっぱい。
10/01/06 16:24:15
>>435
AVGツールバーの仕組みを理解してるか?
437:名無しさん@お腹いっぱい。
10/01/06 16:39:58
だからすくりぷと防げるとかにやっきになってないで
ソフト更新しとけばオワリ
してる?じゃあきにすんなオワリ
438:名無しさん@お腹いっぱい。
10/01/06 17:17:12
フジテレビキタ━━━(゚∀゚)━━━!!!!
439:名無しさん@お腹いっぱい。
10/01/06 17:40:25
GENOウイルス感染 ローソン
スレリンク(news板)
440:名無しさん@お腹いっぱい。
10/01/06 17:43:46
>>435
今はどうなん?
対処したの?
俺のgoogle検索結果でもAVGは緑マークだけど
ってか、寧ろ逆にこのAVGが黄色とか注意してる検索結果サイトを知りたい
441:名無しさん@お腹いっぱい。
10/01/06 17:47:32
>>439
マジか?
ローソンもう対処うったのか分からんけれど例のAVGは緑チェック入ってるね
ってか、このウィルスっていったいどうやって各サイトに侵入してスクリプト埋め込んでるの?
俺Webサイト作るんだけど、対策どうすればいいのか分からないんだけど・・・
サーバサイド側のどこをどうしたらいいのかとか
442:名無しさん@お腹いっぱい。
10/01/06 17:49:08
馬鹿すぎプレイか1から読めよ
443:名無しさん@お腹いっぱい。
10/01/06 17:49:31
HTMLとCSSだけ使っとけばいいよ^^
444:名無しさん@お腹いっぱい。
10/01/06 18:07:21
>>30
最低だな、お前!
氏ねよ!
>>416
のようにやってしまった人間はアクセサリの復元しても駄目なん?
445:名無しさん@お腹いっぱい。
10/01/06 18:24:21
さっきTVでも、ローソンに「狙われる覚えは?」なんてアホな質問してたし
世間的にはこのウイルスもそういう認識が大方なんだろうなあ
446:名無しさん@お腹いっぱい。
10/01/06 18:55:35
p://hirayuonsen●or●jp/
ここも反応する。。
447:名無しさん@お腹いっぱい。
10/01/06 19:07:16
>446
森のほうはどう?
448:名無しさん@お腹いっぱい。
10/01/06 19:10:11
アンチウイルスソフトはどれがいいんだよ。
どのスレも荒れてて訳わからんわ。
449:名無しさん@お腹いっぱい。
10/01/06 19:13:05
カスペかアバスト
450:名無しさん@お腹いっぱい。
10/01/06 19:13:17
>>448
「Norton 360 Ver.3 2コニコPACK」がいいよ。
451:名無しさん@お腹いっぱい。
10/01/06 19:16:58
バスターしかないだろ
452:名無しさん@お腹いっぱい。
10/01/06 19:20:45
>>448
有料ならKaspersky
URLリンク(www.kaspersky.co.jp)
無料ならavast!
URLリンク(files.avast.com)
URLリンク(www.btfree.info)
453:名無しさん@お腹いっぱい。
10/01/06 19:42:07
>>444
ムリだよ
こういう屑虫は逮捕された方が世の為だが、
税金で生かすにも勿体ないので死んで欲しいよね
454:名無しさん@お腹いっぱい。
10/01/06 19:42:52
>>439はギコナビで見ても大丈夫?
見ようとしたらウイルスソフトが「だめーーー!」って言って見れなかったんだが…
455:名無しさん@お腹いっぱい。
10/01/06 19:44:02
Norton360は余計な糞機能が付きまくってるから論外
通常のNIS2010はOK
バスターは無駄に重いがPCのスペックに余裕がある人は可
456:名無しさん@お腹いっぱい。
10/01/06 19:44:28
GENO専なら重いカスペか
うちは3939NODだけどw
バスターはありえない
457:名無しさん@お腹いっぱい。
10/01/06 19:45:24
カスペは誤爆ひどいぞ
GENO以外じゃ使えたもんじゃない
458:名無しさん@お腹いっぱい。
10/01/06 19:47:36
アンチソフトなんか最後の最後の気休め
それなりに知識あればウイルスなんかかからんし
アホが変なサイト回ってればどれでも同じ
459:名無しさん@お腹いっぱい。
10/01/06 19:54:38
>>458みたいな知的障害者を駆除するソフトが欲しいな
460:名無しさん@お腹いっぱい。
10/01/06 19:54:39
スレリンク(pc板)
461:名無しさん@お腹いっぱい。
10/01/06 19:56:15
対応が遅れる場合あるしな
ぶっちゃけ、各ソフトウェア&Winupdate>セキュリティソフト
で、JS切るかアドオン制御で完全に予防できる
この手のウィルスは無差別攻撃だから変なサイト、個人、法人関わらず平等に危険性があるからノーガード情弱はしねる
462:名無しさん@お腹いっぱい。
10/01/06 19:59:03
>>459
同意w
で、これ皆さんのAV反応する?
スレリンク(news板)
463:名無しさん@お腹いっぱい。
10/01/06 19:59:42
esetはマジ最悪だからやめとけ
464:名無しさん@お腹いっぱい。
10/01/06 20:02:04
>>463
去年だったか
FWの更新で数日程度、ネット接続できなくなる不具合をやらかしたんだっけ?
465:名無しさん@お腹いっぱい。
10/01/06 20:03:00
はいはい、ウイルスに感染してPCが壊れるよりは大分マシだろ
FWくらいでいちいち騒ぐな
466:名無しさん@お腹いっぱい。
10/01/06 20:17:55
GENOウイルス感染 ローソン
スレリンク(news板)l50
467:名無しさん@お腹いっぱい。
10/01/06 20:23:47
>>464
うん。
「繋がんねーんだけど…」
キヤノン:「更新していただければ繋がります(キリッ」
「だから繋がんねーんだけど…」
こんな感じだったらしい。
この直後だと思うがFW以外にAV側も誤検知連続してたな。
468:名無しさん@お腹いっぱい。
10/01/06 20:25:13
またアホがぼくの「ういるすそふと」がスゴイ競争か
よそでやれよ
469:名無しさん@お腹いっぱい。
10/01/06 20:27:57
お前のことだ雑音
470:454
10/01/06 20:53:58
>>463
なぜ私のソフトがESETだとわかったw?
471:名無しさん@お腹いっぱい。
10/01/06 20:56:58
キムチ臭いから
472:名無しさん@お腹いっぱい。
10/01/06 20:59:16
本当にわからないんだけど、専ブラでみる分にはウイルス大丈夫なんじゃないの?
473:名無しさん@お腹いっぱい。
10/01/06 21:06:43
p://www●moffle●jp/
モッフルきますた
474:名無しさん@お腹いっぱい。
10/01/06 21:08:06
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
の76に直リンがあるから見てみたら画像のサムネイルを保存するタイプの
専ブラならアンチウイルスソフトが侵入を遮断するはず。
475:名無しさん@お腹いっぱい。
10/01/06 21:09:28
モッフルモッフル
>>470
誰もあんたとは言ってない件
最悪はVBだろjk
476:名無しさん@お腹いっぱい。
10/01/06 21:11:27
世界最悪ソフトウイルスバスター伝説乙w
477:o゚孕o三
10/01/06 21:12:06
curl -s URLリンク(www.moffle.jp) | clamdscan -
stream: Trojan.JS-40 FOUND
----------- SCAN SUMMARY -----------
Infected files: 1
Time: 4.612 sec (0 m 4 s)
478:名無しさん@お腹いっぱい。
10/01/06 21:14:42
まあバスターの場合はクライアントをウイルス扱いするからね
アップデートの度に他のDL停止とか常識であり得ないわ
479:名無しさん@お腹いっぱい。
10/01/06 21:15:00
直リンすんなよ在日
480:名無しさん@お腹いっぱい。
10/01/06 21:20:20
直リンクリックなぞ在日以下池沼でもしない
481:名無しさん@お腹いっぱい。
10/01/06 21:20:46
皆さ、どうやって感染したサイト見つけられるの?
482:名無しさん@お腹いっぱい。
10/01/06 21:22:14
在日以外、直リンしない
皆、●つけてるだろ
483:名無しさん@お腹いっぱい。
10/01/06 21:23:04
ばかばっか
484:名無しさん@お腹いっぱい。
10/01/06 21:23:44
また菓子屋か・・・ゴディバとかメリーチョコは無事かな?
485:名無しさん@お腹いっぱい。
10/01/06 21:37:22
今年もGENOウイルスが猛威を振るうのか
486:名無しさん@お腹いっぱい。
10/01/06 21:46:10
そうGENO。
487:名無しさん@お腹いっぱい。
10/01/06 21:50:38
早くも紅白出場決定だな・・・
488:名無しさん@お腹いっぱい。
10/01/06 22:11:18 BE:9904379-2BP(1236)
>>446
GMOにそこの管理者へ連絡してもらったお。
489:名無しさん@お腹いっぱい。
10/01/06 22:21:30
>>448
ノートンが良い
avasは対応が早かったわけでもないのでt薦める意味は全くない
490:名無しさん@お腹いっぱい。
10/01/06 22:23:41
avastはフリーというのが利点
491:名無しさん@お腹いっぱい。
10/01/06 22:26:56
フリーならantivirのが対応は速かった
ノートンの場合は脆弱性を利用した攻撃に対するIPSが優れてるので
新たな脆弱性を利用した攻撃が合ったとしても最初から対応できる可能性が高い
492:名無しさん@お腹いっぱい。
10/01/06 22:28:16
誤解を招かないように訂正
>新たな脆弱性を利用した攻撃
脆弱性を利用した新たな攻撃
493:名無しさん@お腹いっぱい。
10/01/06 22:29:20
avast!は誤検出しまくりのなかで対応したからな
あんまり良い印象はない
494:名無しさん@お腹いっぱい。
10/01/06 22:56:08
順位 プログラム 検出数 検出率
#1 G Data 761,499 99.93%
#2 McAfee 761,431 99.92%
#3 Kaspersky 756,994 99.34%
#4 Symantec 756,734 99.31%
#5 K7 Computing 754,496 99.01%
#6 Microsoft 752,426 98.74%
#7 Eset Nod32 747,278 98.06%
#8 Trend Micro 741,606 97.32%
#9 AVG 737,980 96.84%
#10 Rising 696,220 91.36%
URLリンク(antivirus-news.net)
ほらよっ
495:名無しさん@お腹いっぱい。
10/01/06 23:15:43
>>494
マカフィー、あいかーらず地味で無難だな
そこが良くて使ってるが
496:名無しさん@お腹いっぱい。
10/01/06 23:16:07
hosts書き換えって対策にならない?
ウイルスばら撒いてるアドレスを適当なサイトに飛ばせば感染しないよな?
497:名無しさん@お腹いっぱい。
10/01/06 23:19:03
G Dataじゃモロゾフのやつは初期の頃感染した
そんな順位の話なんてしてないだろ
頭悪いやつはそれしか参考に出来ないんだろうけど
498:名無しさん@お腹いっぱい。
10/01/06 23:20:31
ランキングとか糞の役にもたたんだろ
499:名無しさん@お腹いっぱい。
10/01/06 23:20:49
アンチウイルスの優劣は荒れるから出来れば余所で
防御の点である程度は仕方ないだろうけど
500:名無しさん@お腹いっぱい。
10/01/06 23:24:32
>>496
キリがないよ
501:名無しさん@お腹いっぱい。
10/01/06 23:28:17
>>500
みたいですね。
てっきりアドレスは一本でそこから色んなサーバーに繋がってるかと思ってました。
アップデートが一番の対策か。
502:名無しさん@お腹いっぱい。
10/01/07 00:14:36
京王電鉄HPも改ざん被害 ウイルス「ガンブラー」
スレリンク(news板)
503:名無しさん@お腹いっぱい。
10/01/07 00:47:55
>>502
!!
おrz
504:名無しさん@お腹いっぱい。
10/01/07 00:47:59
>>473
トップページに貼られてるjsも2つともやられとるね。
505:名無しさん@お腹いっぱい。
10/01/07 00:51:58
企業でこれだけあるんだから個人のはもっとあるんだろうな
506:名無しさん@お腹いっぱい。
10/01/07 00:52:14
モッフル、京王電鉄、アウト~
507:名無しさん@お腹いっぱい。
10/01/07 00:54:51
32 名前: すり鉢(アラバマ州) 投稿日: 2010/01/07(木) 00:45:39.79 ID:RXPRsCkB
p://www●spacecraft●co●jp/home●html
スペースクラフトグループ
神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。
ガンブラーキタ━(゚∀゚)━!!
508:名無しさん@お腹いっぱい。
10/01/07 00:58:38
>>455
必要の無い機能などは停止したり、カスタマイズ設定すればいいんだよ。
何でもデフォの状態や設定なままで、全てを使うことなんてナンセンス。
NIS 2010はまだ、特定の条件や環境で不具合があったりもするらしいぞ。
509:名無しさん@お腹いっぱい。
10/01/07 08:45:57
ぎゃー
きのうローソン99の店舗探しにいってた
はやくはっぴょうしろおy
510:名無しさん@お腹いっぱい。
10/01/07 09:33:36
PDFリーダをUSBメモリで隔離している俺に死角は無い
511:名無しさん@お腹いっぱい。
10/01/07 11:12:28
結局、このGumblarというウイルスは、フリーのソフトだとどれで防げるんですか?
AVGとかAvastとかMicrosoftのやつとかありますけれど
512:名無しさん@お腹いっぱい。
10/01/07 11:19:04
>>511
>>1もみれんのかお前は
あとただでさえ100%安全は保証できないのに亜種多すぎだから、
ただアンチウィルスソフトいれて安心するよりHDDのバックアップとかとっとけ
513:名無しさん@お腹いっぱい。
10/01/07 11:54:18
Gumblarって今一時撤退してるんじゃなかったっけ?
タグが消えてるとかいう記事をどっかで見たが。
今は8080系とかいうやつじゃないの?
喪ッフルも見てきたがガンプラじゃなかった。
ガンプラと8080って別だよね?作者一緒とか?
いろいろ混ざっててよくわからなくなってきた。
514:名無しさん@お腹いっぱい。
10/01/07 12:13:44
亜種が多すぎてよく分かってないんじゃないか?
515:名無しさん@お腹いっぱい。
10/01/07 12:16:31
>>513
Gumblarは再始動している。
URLリンク(www.google.com)
URLリンク(www.google.com)
516:名無しさん@お腹いっぱい。
10/01/07 12:19:50
ガンブラー自己中心派。
517:名無しさん@お腹いっぱい。
10/01/07 12:26:09
ついでにYahoo!のも
URLリンク(headlines.yahoo.co.jp)
518:名無しさん@お腹いっぱい。
10/01/07 12:34:37
捕捉した。
URLリンク(tollywoodb4u)●com/sessions/22564●php
519:名無しさん@お腹いっぱい。
10/01/07 12:35:31
>>513
基本的に新聞社とかwebページが感染した企業はGumblarと8080の区別はしてなくて
両方ともガンブラーと言ってるというのが俺の認識
520:名無しさん@お腹いっぱい。
10/01/07 12:46:40
Gumblarが再始動してるなら尚更8080系とは区別すべきだよ
521:名無しさん@お腹いっぱい。
10/01/07 12:46:44
【画像あり】IPA、注意を喚起「すべてのファイルが『イカ』になる破壊型ウイルス」
スレリンク(news板)
522:名無しさん@お腹いっぱい。
10/01/07 12:53:20
>>521
それはスレ違い
523:名無しさん@お腹いっぱい。
10/01/07 12:58:21
>>515
うおマジか。情報ありがとう。
>>520
だよな。
ブラウザ閲覧感染という特徴は一緒でも、感染後の挙動とか
全然違う別物なのにひとくくりにするから訳わからなくなる。
なんか豚インフルと季節性インフルみたいだ。
524:名無しさん@お腹いっぱい。
10/01/07 13:01:24
>>513
>>519 のとおり。補足すると
LACが11月に
【注意喚起】Gumblarおよびその亜種に関する大量の感染事例について
URLリンク(www.lac.co.jp)
を出し(これはGumblar.x)、その後「続報」として(一部使いまわして)
【注意喚起】Gumblar(ガンブラー)ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認
URLリンク(www.lac.co.jp)
を出した(これは8080)。
JR東日本やホンダは(IPAやJPCERTでは具体名を出していないのでこれを元に)
「Gumblar亜種」との告知を作り、新聞社は「亜種」を外し、後はみんなコピペ、だと思う。
>>521
それはダウソ厨専用、板違い。
URLリンク(hideyoshi.2ch.net)
525:名無しさん@お腹いっぱい。
10/01/07 13:01:36
それを言ったらこのスレで8080の話題はスレ違いじゃないの?
526:名無しさん@お腹いっぱい。
10/01/07 13:02:05
インフルエンザもウイルスだね。ああおもしろいワロタ
527:名無しさん@お腹いっぱい。
10/01/07 13:06:29
タコとかイカとかはこれっぽっちも関係ないから。まじで。
528:名無しさん@お腹いっぱい。
10/01/07 13:08:27
は?
タコとかGENOよりひどいぞ
画面真黒
529:名無しさん@お腹いっぱい。
10/01/07 13:10:13
ガンプラが再始動してるなら、8080とは区別して動向を追いたいから
全く分けてもらったほうがありがたい気がする。
どちらかが劇的な進化をとげたりした場合に「GENOで~」「8080で~」と
前置きがつかないとわからないような状況は面倒くさい。
530:名無しさん@お腹いっぱい。
10/01/07 13:17:24
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
こっちと使い分ければ?
531:名無しさん@お腹いっぱい。
10/01/07 13:18:15
改鼠されたWebは交番に届けないのでしょうか?
保険が降りず何のうまみもないので笑い死にするのが普通なのでしょうか?
犯罪者は悪い人なので外事警察に捕まってほしいです
532:名無しさん@お腹いっぱい。
10/01/07 13:25:21
>>530
そっちも見てるけど、GENO専スレのはずのここにも
8080感染サイトとかが貼られたりしてるから
どっちも総合みたいなことになっててややこしくね?w
533:名無しさん@お腹いっぱい。
10/01/07 13:28:30
電源入れるとランプは点灯して本体は起動してるっぽいんだけど
画面は真っ黒でマウスポインタも何も出ないんだが、これも感染?
取り合えず何回か強制終了で起動しなおしたら普通に画面が出たけど
534:名無しさん@お腹いっぱい。
10/01/07 13:31:36
>>530
そっち業者がいるねw
535:名無しさん@お腹いっぱい。
10/01/07 13:42:33
>>530に書き込んだんだけど、その後NOD32に遮断されて行けなくなったのでコチラに。。。
URLリンク(pc11.2ch.net) > GZ > file.htm JS/TrojanDownloader.Agent.NRL トロイの木馬
こっちにも来れなくなるのだろうか。
536:名無しさん@お腹いっぱい。
10/01/07 13:43:40
頭悪いな
537:名無しさん@お腹いっぱい。
10/01/07 14:38:17
NOD32切れってこと?
2010/01/07 14:35:32 HTTP フィルタ アーカイブ スレリンク(sec板) JS/TrojanDownloader.Agent.NRL トロイの木馬 接続が切断されました
538:名無しさん@お腹いっぱい。
10/01/07 14:45:08
NODが
スレリンク(sec板:380番)
に反応してるだけでは?
539:名無しさん@お腹いっぱい。
10/01/07 15:02:03
それをこのスレにコピペすれば・・
540:名無しさん@お腹いっぱい。
10/01/07 15:20:51
>>538
なるほどそれかも。
でもURLリンク(pc11.2ch.net)で出たのはなんだったんだろう・・・
で、JS/TrojanDownloader.Agent.NRLってのが今流行のガンブラーで合ってるのかな?
541:名無しさん@お腹いっぱい。
10/01/07 15:36:46
どんだけー
542:名無しさん@お腹いっぱい。
10/01/07 15:48:30
だって自分で調べるより、お前ら識者に聞いた方が早いじゃん。
でも最初から検索ワードに2ch入れてたのが悪かった。
JS/TrojanDownloader.Agent.NRLだけでググったら分かった。。。
543:名無しさん@お腹いっぱい。
10/01/07 17:26:13
ハウス食品もやられたって
有名企業がこんだけ被害にあってるってことは
個人サイトの被害の規模ってどんだけあるんだろうか;
544:名無しさん@お腹いっぱい。
10/01/07 17:34:14
企業のほうがセキュリティが上だと思うのは幻想
545:名無しさん@お腹いっぱい。
10/01/07 17:35:41
>>543
過去半年の閲覧ページのURLを抽出してみたら
40件が何らかのウィルスに感染していたようだ
js切ってるから全く気にしないがね
546:名無しさん@お腹いっぱい。
10/01/07 17:46:39
>>543
休み明けに騒ぎになるんじゃないのって危惧されてたけど
そうなってきたね。
16日?のアップデートがくれば騒ぎは収まるのだろうか?
547:名無しさん@お腹いっぱい。
10/01/07 17:51:02
今時、企業のHPなのにFTP使ってアップとかどうなのよって思うわ。
548:名無しさん@お腹いっぱい。
10/01/07 17:56:00
USBウイルスが常套化、「Gumblar」などWebからの脅威も続く
p://internet.watch.impress.co.jp/docs/news/20100107_340954.html
仮想マシン上での動作デモ見たかったな
549:名無しさん@お腹いっぱい。
10/01/07 18:00:40
>>546
無理
550:名無しさん@お腹いっぱい。
10/01/07 18:24:18
ガンブラー感染サイト増加 ハウス食品も感染 JR東日本、ホンダ、ローソン、京王電鉄
スレリンク(news板)
551:名無しさん@お腹いっぱい。
10/01/07 18:27:06
【しょこたん号泣】amebloのブログパーツ「ノートン警察」がトロイに感染
スレリンク(news板)
552:名無しさん@お腹いっぱい。
10/01/07 18:29:30
2009年のウイルス被害は大幅に減少 IPA調べ
スレリンク(news板)
553:名無しさん@お腹いっぱい。
10/01/07 18:53:11
>>544
個人サイトやブログは、こまめに更新するから
そのときに管理人が改ざんなどに気づく機会がある。
554:名無しさん@お腹いっぱい。
10/01/07 20:50:08
URLリンク(www.dotup.org)
この状態で大丈夫なんだろうか?
555:名無しさん@お腹いっぱい。
10/01/07 21:27:35
Gumblar感染してないか確認する方法は、GENOと同じ?
556:名無しさん@お腹いっぱい。
10/01/07 21:53:27
違うよ
557:名無しさん@お腹いっぱい。
10/01/07 22:11:00
>>555
最新のやつは
msconfigでスタートアップに次の2つが登録されてなければ感染はないと思う
タスクマネージャーで調べてどちらかが起動していてもまずい
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
558:名無しさん@お腹いっぱい。
10/01/07 22:23:27
sysgif32で検索してヒットしなければ平気?
559:名無しさん@お腹いっぱい。
10/01/07 22:24:54
ガンブラー被害って採用ページとか多いけど
エントリーフォームをつっつく→クロスサイトの一種なんじゃないの?
対策してないフォームが狙われているような気がする
そもそもの報じられている「改ざん」の部分が
FTP進入してソース書き換える基本的な不正アクセスなのか、
フォームや引数にスクリプト書き込んで、その状態のURLを表示させてぶっ壊す方式なのかどっち?
560:名無しさん@お腹いっぱい。
10/01/07 22:30:46
>>559
このスレの書き込み、全く読んでないよね?
561:名無しさん@お腹いっぱい。
10/01/07 22:46:06
>>557すみませんパソコン初心者なんですがどうやって見れば良いか詳しく教えて頂けませんか?
あと、avastとゆうフリーソフト入れてるんですがちゃんと検知してくれますか?
562:名無しさん@お腹いっぱい。
10/01/07 22:54:47
>>559
不正アクセス
>>558
sysgif32の部分はレジストリね
siszyd32.exeと~TMD.tmpって言うファイルがなければ問題ない
ただ違った攻撃もあるからこれで完全に安心というわけではないけど
563:名無しさん@お腹いっぱい。
10/01/07 22:58:02
>>561
「ファイル名を指定して実行」かコマンドプロンプトにmsconfigと打ち込んでエンターキーを押す
[スタートアップ]って言うタブをクリックしてそう言う記述がないか確認
564:名無しさん@お腹いっぱい。
10/01/07 22:58:31
>>559
アホなWebデザイナーな管理者のマシンに感染してjsやhtmlにアレゲなコードを組み込んでいる
そして改竄されたことに気づかぬまま鯖にうp→閲覧した奴にウイルスをばらまく→∞
565:名無しさん@お腹いっぱい。
10/01/07 22:59:46
>>564
FTPのIDパスワード盗むんじゃないの?
566:名無しさん@お腹いっぱい。
10/01/07 23:02:12
>>561
avast!はスクリプトの検知はするのでサイトを見た時点で反応する
ウイルス本体にも反応するがwin.jpg、JavaGame.jar、ChangeLog.pdfなどの
脆弱性攻撃バイナリには反応しない
当然亜種が出ると分からないので、脆弱性持ちのソフトはアップデートして
使っているならAdobe ReaderのAcrobat Javascriptをオフにする
567:名無しさん@お腹いっぱい。
10/01/07 23:02:41
盗んでWEB自動更新
568:名無しさん@お腹いっぱい。
10/01/07 23:02:56
>>558
siszyd32.exeは検索しても見つからないよ
エクスプローラでも見えない
msconfigのスタートアップにあったらやばい
無効にしても復活する
セーフモードだとエクスプローラで見えるようになるのでそこで削除
569:名無しさん@お腹いっぱい。
10/01/07 23:04:07
>>564
管理者のマシンに感染してFTPアカウント情報を盗聴、
入手したFTPアカウントを悪用してサイトを改ざん
だから全然違うがな
570:名無しさん@お腹いっぱい。
10/01/07 23:06:53
>>563詳しく教えて頂きありがとうございました
無かったようです、ひとまず安心して良いのかな?
>>566そうなんですね!
ソフトを常に最新の状態にして、javaはオフにしときます
ありがとうございます
571:名無しさん@お腹いっぱい。
10/01/07 23:08:51
>>569
あら?違うのか
別のウイルスだったかもしれない
572:名無しさん@お腹いっぱい。
10/01/07 23:18:30
>>568
フォルダオプションで隠し属性のファイルも表示させるようにしていても見えないってこと?
573:名無しさん@お腹いっぱい。
10/01/07 23:25:02
>>572
ZwQueryDirectoryFile辺りをフックすればファイルを隠蔽できるはず
ファイルがあるのに見えないように・・・
574:名無しさん@お腹いっぱい。
10/01/07 23:38:23
>>572
うん
エクスプローラじゃないツールなら見えるのもある
消せないけど
575:名無しさん@お腹いっぱい。
10/01/07 23:47:57
8080は、FTPソフトを起動してなくても勝手に改ざんする。
ずっと放置してたサイトが感染後にがっつり改ざんされてたとの報告も。
PC起動している間はずっと改ざんを繰り返すみたいだよ。
576:名無しさん@お腹いっぱい。
10/01/07 23:54:13
ほう、けっこう原始的な改ざん方法なんだな。
てかあんな大手企業サイトが、ローカルPCから直接サーバーへ繋げるような
簡易なインフラ環境ってのがなんか意外だった。
もっと凄い構成組んでるとおもったけど。
577:名無しさん@お腹いっぱい。
10/01/08 00:01:00
>>530の先のレス番99-110あたりに感染後の改ざん挙動報告があるよ
578:名無しさん@お腹いっぱい。
10/01/08 00:18:59
>>576
うーん直接管理してなくて委託にまかせっきりってイメージ持ってたけどなぁ
アンチウィルスソフト会社は流石に違うだろうけど
なんにせよごちゃごちゃ動きまくってるのは嫌だな
579:名無しさん@お腹いっぱい。
10/01/08 01:36:48
委託請け負ってる会社のPCがやられてるから
委託するような大手に被害が出てるのかもね
580:名無しさん@お腹いっぱい。
10/01/08 01:37:35
そう言うのがほとんどだろうね
581:名無しさん@お腹いっぱい。
10/01/08 02:04:41
委託請け負ってる所ってそんなにいい加減なのか?
まあピンキリなのかもしれんがこうも大手企業のサイトが改ざんされると不安になるな
582:名無しさん@お腹いっぱい。
10/01/08 03:33:26
pdfでいろいろやりとりするのが多いからやられるのが多いのかもな
583:名無しさん@お腹いっぱい。
10/01/08 03:39:43
pdfのメッカ、官庁はいまんとこ無事みたいだね
584:名無しさん@お腹いっぱい。
10/01/08 03:41:21
pdfという形式自体を、これを機に廃れさせるべきなんじゃないだろうか
仕事で使うつっても仕事の能率とセキュリティ性なら後者が優先されるべきだし
585:名無しさん@お腹いっぱい。
10/01/08 12:31:39
自分はpdfあんま好きじゃないから消えてもらってもかまわないな
586:名無しさん@お腹いっぱい。
10/01/08 12:44:19
アメーバがGENOウィルス感染! 危険だから今後Ameba Newsをソースにするの禁止な。
スレリンク(news板)
587:名無しさん@お腹いっぱい。
10/01/08 13:27:12
JREはWindowsVista以降の保護モードに対応してるから、
IEで保護モードで使う設定にしてれば、やられてもごく限られた動作しかできず、
ほとんど影響をうけない
firefoxとかchromeとか保護モード非対応の脆弱なブラウザは使ってないから知らん
588:名無しさん@お腹いっぱい。
10/01/08 13:30:24
でも脆弱性ついてきたら実行されちゃうんでしょ
589:名無しさん@お腹いっぱい。
10/01/08 13:30:38
保護モードなんてバイパス出来るのに・・・
590:名無しさん@お腹いっぱい。
10/01/08 13:39:04
結局きちんと対策してなくちゃ駄目なんだから
OSやブラウザの種類云々は関係ないと思うが
591:名無しさん@お腹いっぱい。
10/01/08 13:51:54
もっと大騒ぎしてほしい
mixiあたりヘマしないかなあ
592:名無しさん@お腹いっぱい。
10/01/08 13:53:32
>>591
愉快犯乙
593:名無しさん@お腹いっぱい。
10/01/08 13:54:28
>>591
もしかして:ロシア人
594:名無しさん@お腹いっぱい。
10/01/08 13:54:44
いやあもっと騒がれたらセキュリティの意識高まるかもしれないじゃん?
595:名無しさん@お腹いっぱい。
10/01/08 13:56:01
Anti Windowsの俺が通りますよっと
596:名無しさん@お腹いっぱい。
10/01/08 14:08:09
>>594
馬鹿と歴史は繰り返されるもの
597:名無しさん@お腹いっぱい。
10/01/08 14:22:12
>>587
保護モードって何?
598:名無しさん@お腹いっぱい。
10/01/08 14:50:26
avast!のWebシールドでも反応しない新ガンブラーが登場
スレリンク(news板)
599:名無しさん@お腹いっぱい。
10/01/08 17:13:39
盛り上がってるなあ
600:名無しさん@お腹いっぱい。
10/01/08 17:27:04
とうとう警視庁も捜査に乗り出したしな
8080の犯人探すのかGENOの犯人探すのかよくわからんが
できればどっちも見つけてほしいね
601:名無しさん@お腹いっぱい。
10/01/08 17:28:57
>>600
警視庁ってマジ?
ニュースでたのか?
602:名無しさん@お腹いっぱい。
10/01/08 17:30:41
>>601
出た。
今朝の犬HKラジオでトップニュース。
603:名無しさん@お腹いっぱい。
10/01/08 17:32:07
>>597
URLリンク(msdn.microsoft.com)(VS.85).aspx
日本語訳もあるけど、UACが旧名称のUAPになってたり機械翻訳みたいだったり基本的にやる気なし。
UACとかユーザーインターフェースの特権分離(UIPI)とかいう仕組みでIEが制限されたモードで実行され、
悪意のあるコードがWindowsに影響を与えるのを防ぐ仕組みが保護モードなのかな。
UACに依存している機能だから例によってUACを無効にしてると機能しない。また、UACが動作していてもIEを管理者で
起動すると保護モードは無効になる。
604:名無しさん@お腹いっぱい。
10/01/08 17:33:48
へー、とうとう警視庁が動くのか
犯人見つかればいいけど捕まえるのは難しいだろうな
605:名無しさん@お腹いっぱい。
10/01/08 17:35:02
>>604
そもそも犯人って何人なんだ?
日本人ではなさそうな予感
606:603
10/01/08 17:35:23
IT Proのこっちの説明のほうがわかりやすいかww
URLリンク(itpro.nikkeibp.co.jp)
ふーん。勉強になるね。
607:名無しさん@お腹いっぱい。
10/01/08 17:36:30
これ、つかまえたらすごいね。
ハッカー逮捕!とか、でっかく出るのかな。
病原菌?
608:名無しさん@お腹いっぱい。
10/01/08 17:36:36
MSみたいに懸賞金かければいいのに
609:名無しさん@お腹いっぱい。
10/01/08 17:38:00
>>605
複数居てもおかしくないと思う
犯人日本人でなきゃ見つけるのも難しいよな
610:名無しさん@お腹いっぱい。
10/01/08 17:41:29
犯人は日本人じゃねーだろw
中露のどっちかだろうなw
611:名無しさん@お腹いっぱい。
10/01/08 17:43:04
これ、犯人が外国人だったらどーなんの?
どーしょーもない?
612:名無しさん@お腹いっぱい。
10/01/08 17:47:48
今回、仕組み調べるためにあちこちにアクセスしちゃったから、
何かの間違いで調べとか入ったらやばいな。
ウイルスに関しては調べられても何も出てこないが(やってないんだから)、
HDDの中のエロ動画が違法じゃなくても恥ずかしすぎるw
613:名無しさん@お腹いっぱい。
10/01/08 18:03:36
CVE-2009-4324
VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
URLリンク(vrt-sourcefire.blogspot.com)
extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
URLリンク(extraexploit.blogspot.com)
614:名無しさん@お腹いっぱい。
10/01/08 18:22:29
感染サイトを意図的にはった人とかも逮捕されたりして
615:名無しさん@お腹いっぱい。
10/01/08 18:30:51
>>614
無いな
616:名無しさん@お腹いっぱい。
10/01/08 18:32:42
特定なんて無理じゃないか?
アクセス解析してうんたらかんたらで出来るもんなのか?
617:名無しさん@お腹いっぱい。
10/01/08 18:35:58
>>616
ウイルス本体が置かれている鯖→ロシア
協力してもらえない予感ww
618:名無しさん@お腹いっぱい。
10/01/08 18:38:34
>>616
時系列に追っていけば最初の発生源が分かる
はず
少なくとも日本国内管理下の鯖の感染第一号は特定できるかも
619:名無しさん@お腹いっぱい。
10/01/08 18:44:59
>>605
そもそも日本企業狙い撃ちする旨味がないし、
テストでなければ日本(在住)人の可能性が高いのでは?
620:名無しさん@お腹いっぱい。
10/01/08 18:45:06
おまえやれ。
621:名無しさん@お腹いっぱい。
10/01/08 18:49:09
感染拡大する以前の導入段階は単純な不正アクセスなんだから特定できるだろうに
というか、だからこそk察が動くって話になってるんだろ
622:名無しさん@お腹いっぱい。
10/01/08 18:50:48
>>619
狙い打ってないです
623:名無しさん@お腹いっぱい。
10/01/08 19:16:58
つうかこれまで動いてなかったんかと
ウイルス製作者って中々捕まらんのだな
アンチウイルスソフト作ってるところが流してるという噂もこういう所から出てきてるんだろうな
624:名無しさん@お腹いっぱい。
10/01/08 19:30:09
genoや8080って
海外の企業も被害出てるの?
日本企業ばかりのイメージがあるんだけど
625:名無しさん@お腹いっぱい。
10/01/08 19:35:12
去年の5月くらいからずっと被害でてるよ
626:名無しさん@お腹いっぱい。
10/01/08 19:40:15
>>623
今回みたいに被害が大きくならないと動けないんじゃね?
動いても犯人捕まえられそうにない予感
627:名無しさん@お腹いっぱい。
10/01/08 22:19:14
日本人じゃないしな
>>624
日本語のニュースが出てないだけじゃね
企業かどうかとか国がどこかとか区別されていない
628:名無しさん@お腹いっぱい。
10/01/08 22:47:09
日本の警察が捕まえられるのはP2P利用者のような
権力があれば誰でも捕まえられるレベルだけ。
629:名無しさん@お腹いっぱい。
10/01/08 22:53:06
日本の警察に何ができるの?
部下「課長、ノートン警察ってのがありますよ」
課長「よし!そこへ協力を頼もう」
とかじゃないよね
630:名無しさん@お腹いっぱい。
10/01/08 23:02:52
まぁ、無理だな
調べたところで、botと串が出てきて終わりだろ
民主党が不正アクセスに加担していた なんて事になればもっと無理
631:名無しさん@お腹いっぱい。
10/01/08 23:04:26
>>611
いんたーぽーるがなんとかするのでは
632:名無しさん@お腹いっぱい。
10/01/08 23:05:59
やばいwちょっとわろたwwwww
アクセス地を地道に探し出すんじゃwwwww
URLリンク(blog.trendmicro.co.jp)
にイラスト有るけど
FTPアカウント情報を集めて攻撃者が地道に改ざんするみたいだから
FTPを送られる側と最初にアタックしてきた奴を探すんじゃないかなw
633:名無しさん@お腹いっぱい。
10/01/09 02:11:08
>>632
地道にっつってもその辺は自動化されてると思うよ。
634:名無しさん@お腹いっぱい。
10/01/09 02:14:27
Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)
インシデントの届出
URLリンク(form.jpcert.or.jp)
記入例
URLリンク(www.jpcert.or.jp)
結構適当でいいらしい。
635:名無しさん@お腹いっぱい。
10/01/09 02:30:41
>>570
sysgif32が登録されないパターンもあるっぽいから油断禁物
636:名無しさん@お腹いっぱい。
10/01/09 03:02:56
>>557
あるとまずいもの
>C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
プログラムフォルダに見当たらなかったので、
テキストファイルをつくって、名前変更してsiszyd32.exeにしたら、削除できなくなって困ったw
637:名無しさん@お腹いっぱい。
10/01/09 03:41:29
なにその面白プレイ
638:名無しさん@お腹いっぱい。
10/01/09 11:00:07
削除できないと困るのか?
639:名無しさん@お腹いっぱい。
10/01/09 14:37:48
>>287
URLリンク(www.google.co.jp)
640:名無しさん@お腹いっぱい。
10/01/09 14:39:38
>>635マジか
他に確認方法ある?ちなみにavast使ってます
641:名無しさん@お腹いっぱい。
10/01/09 14:41:55
URLリンク(www.google.co.jp)
642:名無しさん@お腹いっぱい。
10/01/09 16:26:36
ってか、確実に確認できる方法が確立してれば
ここまでの騒ぎにはならないわけで。
判明してる方法でわからないのであれば
あとは自分が出来る限りの回避策をとって運任せ。
それか当分ネットから離れるかのどっちかだw
643:名無しさん@お腹いっぱい。
10/01/09 16:28:33
>>638
「他のプログラムが使用していて削除できません」
とかウイルスがいるような気がするだろw
644:名無しさん@お腹いっぱい。
10/01/09 16:32:22
これ、三糞とか2NNとかコソアンとかが感染してたら
さらにどえらい騒ぎになるんだろうなあ。
645:名無しさん@お腹いっぱい。
10/01/09 19:12:21
>>574
WindowsPEを使えば見えないファイルも見えるはず。
646:名無しさん@お腹いっぱい。
10/01/09 20:34:19
【Geno】 ガンブラーウィルス ヤフーも被害に 昨年10月27日~今年1月8日
スレリンク(news板)
647:名無しさん@お腹いっぱい。
10/01/09 20:57:50
p://mangakakouze●com/
新型きますた
648:名無しさん@お腹いっぱい。
10/01/09 21:07:13
新型か~
649:名無しさん@お腹いっぱい。
10/01/09 21:18:08
>>647
カスペルスキーさんは検知してくれました
Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません
URL:
p://mangakakouze●com/
このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:17:03
Kaspersky Internet Security 2010
650:名無しさん@お腹いっぱい。
10/01/09 21:39:19
>>647
ここと同種だったはず
スレリンク(sec板:392番)
392 :名無しさん@お腹いっぱい。:2010/01/01(金) 15:17:02
片桐はいり4倍速の公式サイトで動画再生したら
ウィルスアラートでまくって
その後、PCの動作がおかしい
誰か検証してくだされ
651:名無しさん@お腹いっぱい。
10/01/09 21:47:17
>>650
MSE使用者の馬鹿さ加減がよく分かるなw
652:名無しさん@お腹いっぱい。
10/01/09 21:53:47
Yahoo占い、運が悪いと新型PCウイルス「ガンブラー」に感染するという斬新な占い機能を提供
スレリンク(news板)
653:名無しさん@お腹いっぱい。
10/01/09 21:56:00
>>652
>>646
重複側貼られても・・・
654:名無しさん@お腹いっぱい。
10/01/09 23:03:55
>>647
ノートン先生は反応しないな
655:名無しさん@お腹いっぱい。
10/01/09 23:11:59
virusutotalでは検出してるけどな
URLリンク(www.virustotal.com)
スクリプトに反応しなくても防いではくれるから問題ないだろうけど
656:名無しさん@お腹いっぱい。
10/01/09 23:13:12
またうちの子は検出してくれる!!スゴイ合戦してるのか
657:名無しさん@お腹いっぱい。
10/01/09 23:15:58
重要なことだろ
スクリプトだけで判断するやつが多いのは問題だが
それもどうでも良いわけではない
658:名無しさん@お腹いっぱい。
10/01/09 23:17:35
元を防げよ防いでるならどうでもいい
659:名無しさん@お腹いっぱい。
10/01/09 23:19:11
防ぐのは重要だが感染していることに気づくのも必要なんだよ
気づかないからそのままな人もいる
660:名無しさん@お腹いっぱい。
10/01/09 23:21:23
当たり前のことだがな
馬鹿もいるから仕方ない
661:名無しさん@お腹いっぱい。
10/01/10 01:07:06
盗んだID販売目的か 感染広がる「ガンブラー」
スレリンク(news板)
662:名無しさん@お腹いっぱい。
10/01/10 01:31:55
Windows使いでなくてよかったよ
663:名無しさん@お腹いっぱい。
10/01/10 01:57:57
やはり有料版かね。
664:名無しさん@お腹いっぱい。
10/01/10 02:46:52
p://www●mag-x●com/
最新型きますた
665:名無しさん@お腹いっぱい。
10/01/10 04:07:30
>>664
実験用VMでアクセスしたら
avastさんが叩いてくれました
666:名無しさん@お腹いっぱい。
10/01/10 05:24:09
カスペも反応した
まぁ、新型だとしてもセキュリティソフトで対処できる程度の応用なわけだ
667:名無しさん@お腹いっぱい。
10/01/10 05:37:18
>>666
/*LGPL*/は何パターンかのスクリプトがあるようだから
必ずしも安心できないぞ
結果: 5/40
URLリンク(www.virustotal.com)
結果: 3/41
URLリンク(www.virustotal.com)
結果: 10/41
URLリンク(www.virustotal.com)
668:名無しさん@お腹いっぱい。
10/01/10 05:44:29
怖いのはメジャーなサイトでも安心できないという事
これに尽きる
例えば、noscriptやそれに近い方法でJSを止めてる場合は確かに安全だが
JSを許可しているサイトが後々、感染する可能性があるからな
669:名無しさん@お腹いっぱい。
10/01/10 10:06:59
JRとかローソンとか普通は見てしまうからなw
670:名無しさん@お腹いっぱい。
10/01/10 10:09:42
yahooが感染したとしてyahoo.co.jpを許可してたら感染しちゃうのか?
誘導するスクリプトを許可してなければ大丈夫だと理解してるけどどうなの?
671:名無しさん@お腹いっぱい。
10/01/10 10:10:25
カスペはLGPLより前の古いスクリプトは検出しないけどな
672:名無しさん@お腹いっぱい。
10/01/10 11:21:14
はいはい
673:名無しさん@お腹いっぱい。
10/01/10 11:24:47
馬鹿信者登場か
674:名無しさん@お腹いっぱい。
10/01/10 14:19:45
>>670
わからんが、yahooは占いページか何かが感染してたぞ
675:名無しさん@お腹いっぱい。
10/01/10 14:24:23
>>670
は私も知りたい。
その場合、yahooから感染サイトへリダイレクトされちゃうけど、
リダイレクト先は許可してないから、攻撃はできないって理解で桶?
>>674
それ意味が違うと思う。
ただyahooの占いサイトの場合、過去ログをたどった先の占いスクリプトか
何かが感染されてたみたいなので、これ、感染スクリプトをもらったままで
アップしちゃっただけなのか、当該サイト管理人のPCが汚染されてたのか、
どっちかはっきりして欲しいと思ったよ。
676:名無しさん@お腹いっぱい。
10/01/10 15:46:53
BBセキュリティが感染してたらおもろかったのに
677:名無しさん@お腹いっぱい。
10/01/10 16:00:58
678:名無しさん@お腹いっぱい。
10/01/10 16:47:12
esetはGNU GPLの頃から検知しないな
679:名無しさん@お腹いっぱい。
10/01/10 16:51:34
esetはしてるだろ
嘘は言うなよ
680:名無しさん@お腹いっぱい。
10/01/10 16:52:50
気にくわないからって嘘はやめてくれ
文句言うならカスペに言えよ
681:名無しさん@お腹いっぱい。
10/01/10 17:40:49
/* BSD なんだこれ
682:名無しさん@お腹いっぱい。
10/01/10 17:41:48
url プリーズ
683:名無しさん@お腹いっぱい。
10/01/10 18:07:22
馬鹿信者登場か
684:名無しさん@お腹いっぱい。
10/01/10 18:21:07
yahooが被害にあったのは何日の何時頃?
とりあえずyahooのトップページとメールのページはやられてない?
685:名無しさん@お腹いっぱい。
10/01/10 18:21:41
>>684
>とりあえずyahooのトップページとメールのページはやられてない?
無問題
686:名無しさん@お腹いっぱい。
10/01/10 18:47:19
最近毎日完全スキャン
687:名無しさん@お腹いっぱい。
10/01/10 18:48:23
完全スキャンとかダルくね?
脆弱性を塞いじゃえばいいのに。
688:名無しさん@お腹いっぱい。
10/01/10 23:00:26
js使わないと見られないような企業サイトウザい
689:名無しさん@お腹いっぱい。
10/01/10 23:07:40
一番の問題はそこの気がする。
javascript無いと見れない・機能しないサイト多すぎ
flash無いと見れない・機能しないサイト多すぎ
そして、javascriptとflashに頼る限り、閲覧側は脆弱性から逃れられない
690:名無しさん@お腹いっぱい。
10/01/10 23:07:50
なんか大手のサイトしか回ってないのに感染した
yahooかmsnって他にも感染してる?
691:名無しさん@お腹いっぱい。
10/01/10 23:19:02
URLリンク(www.so-net.ne.jp)
サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況
692:名無しさん@お腹いっぱい。
10/01/10 23:31:02
>>691
こいつここにいるだろ
693:名無しさん@お腹いっぱい。
10/01/11 20:24:22
何だか、ちょっとしたパニックだな。
いや、完全にパニックか。
いよいよ、世界的にJavaスクリプトとFlashを捨てる時が来たか!!
そん時は、新しい亜種が別経路で入り込んで来るんだろうけどなー。
694:名無しさん@お腹いっぱい。
10/01/11 20:52:31
これって世界中でこんな感じなの?それとも日本だけ?
695:名無しさん@お腹いっぱい。
10/01/11 21:23:51
ぐぐればわかる
696:名無しさん@お腹いっぱい。
10/01/11 21:25:19
新ウイルスGumblar(ガンブラー)について
URLリンク(www.mcafee.com)
iframe使ったGumblarって何よw
697:名無しさん@お腹いっぱい。
10/01/11 21:31:24
>>696
最終的にはiframeで危険なpdfやjavaを含むページを開く
698:名無しさん@お腹いっぱい。
10/01/11 21:56:33
URLリンク(www.ccc.go.jp)
無料のMcAfee Security Scanを外すorz
McAfeeを外すのは、使用中のセキュリティーソフトとバッティングしてしまい
動作不良を起こすからなんだお(^0^)/
McAfeeをいらない子扱いにするなおorz
699:名無しさん@お腹いっぱい。
10/01/11 22:00:47
>>697
>ユーザが不正にiframeを埋め込まれたWebサイトを閲覧することから始まります
どこのことよ
>次にIframeにより難読化されたJavaScriptが実行され
んなもんあったけ
700:名無しさん@お腹いっぱい。
10/01/11 22:38:50
あるよ。1段目から落ちてくる
701:名無しさん@お腹いっぱい。
10/01/11 23:07:42
>>700
コードよろ
702:名無しさん@お腹いっぱい。
10/01/11 23:21:03
>>701
1つだけだけど、2nd のスクリプト
URLリンク(tane.sakuratan.com)
pass: virus
最小サイズに足りなかったので、LGPLスクリプト足しといた
703:名無しさん@お腹いっぱい。
10/01/11 23:43:38
>>702
>>699はさ、日本語的には
始めに見たHPにiframeがあって
iframeがJavaScriptを実行するという事でしょ
704:名無しさん@お腹いっぱい。
10/01/11 23:46:23
>>703
そこまで追求しなくてもおkだろww
「一部語弊がありました」で済む話
705:名無しさん@お腹いっぱい。
10/01/11 23:47:29
おー、下しか読んでなかったw
706:名無しさん@お腹いっぱい。
10/01/12 00:08:55
ガンブラー新型きますた
194 名前:名無しさん@お腹いっぱい。:2010/01/11(月) 22:01:15
URLリンク(www.dotup.org)
pass:Virus
195 名前:名無しさん@お腹いっぱい。:2010/01/11(月) 22:06:50
>>194
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
707:名無しさん@お腹いっぱい。
10/01/12 00:33:49
URLリンク(www.mcafee.com)
↑ここで対応していると言っているものは
スレリンク(sec板:24番)
↑ここでMcAfee Labs, Aylesbury, UKが解析したものであって
日本のAVERTは、今でもこれを危険なファイルではないとしている
去年の暮れ以降送った検体にも対応する気配もないし
スーパーショボボボ(´(´・(´・ω・`)・`)`)──ンだわ
708:名無しさん@お腹いっぱい。
10/01/12 07:21:00
メールで送るくらいならWebImmuneにアップしたほうが対応早いぞ
709:名無しさん@お腹いっぱい。
10/01/12 12:53:13
ウイルス「ガンブラー」暴れ杉ワロタwお前ら一刻も早くgredセキュリティサービスでURLチェックしろ!
スレリンク(news板)
710:名無しさん@お腹いっぱい。
10/01/12 13:15:00
なんでN速厨って本スレではとっくに出尽くした話を
わざわざN速にリンク貼ってするんだろうな
711:名無しさん@お腹いっぱい。
10/01/12 13:20:15
厨だからさ
712:名無しさん@お腹いっぱい。
10/01/12 14:07:30
自分たちの情報が最新だって思い込んでるんだね
713:名無しさん@お腹いっぱい。
10/01/12 14:52:58
狙い撃ちwwワロタ
714:名無しさん@お腹いっぱい。
10/01/12 15:12:07
Gumblar対策を再チェック 基本的な作業で感染防止を(ITmedia News)
URLリンク(headlines.yahoo.co.jp)
715:名無しさん@お腹いっぱい。
10/01/12 17:33:32
>>708
WebImmuneは登録する必要があるので
私のセキュリティポリシーに反するのだー
716:名無しさん@お腹いっぱい。
10/01/12 18:21:56
URLリンク(www.google.co.jp)
717:名無しさん@お腹いっぱい。
10/01/12 19:17:45
最近、騒ぎの中心が8080なせいでGENOが紛れ気味なんだが
活動再会したGENOは以前との違いとかあるのか?
タグの挿入場所は変わらず<BODY>の直前?
718:名無しさん@お腹いっぱい。
10/01/12 19:37:08
>>715
メルアドだけじゃん…。
719:名無しさん@お腹いっぱい。
10/01/13 01:59:13
次スレからスレタイにGumblarを入れるかしたほうがいいかもね
720:名無しさん@お腹いっぱい。
10/01/13 02:04:43
>>393
> GENO(Gumblar)ウイルススレ ★24
721:名無しさん@お腹いっぱい。
10/01/13 02:24:11
当初みてたけどまだやってるんすかwww
今GENOのぺーじでカートに入れてみたけどなんともない
genoチェッカでも反応無しみたい。GENOのサイトではもう駆除されたの?
722:名無しさん@お腹いっぱい。
10/01/13 03:16:13
>>721
タイムマシンで過去からお越しですか?
723:名無しさん@お腹いっぱい。
10/01/13 06:04:28
genoチェッカーとか懐かしいなw
ページ作った人はどうしてるんだろう
724:名無しさん@お腹いっぱい。
10/01/13 13:44:00
まだいるんじゃねーの?
PLなんとかってIDでいたぞ
725:名無しさん@お腹いっぱい。
10/01/13 13:48:39
URLリンク(genochk.crz.jp)
726:名無しさん@お腹いっぱい。
10/01/13 21:21:05
URLリンク(labs-uploader.sabaitiba.com)
pass: virus
ガンブラー系のまとめきますた。
727:名無しさん@お腹いっぱい。
10/01/13 21:57:13
>>696=>>699
釣り?それとも今北産業の人?
昨年春に現れたその時から感染経路はiframeだったしJavaScriptだったし
難読化が出てきたのは昨年夏。
過去ログリスト書いてあるんだから読んでこい。
728:名無しさん@お腹いっぱい。
10/01/13 22:51:18
難読化は最初からされてなかったっけ?
729:名無しさん@お腹いっぱい。
10/01/13 23:07:03
>>727
699-をよく読め
730:名無しさん@お腹いっぱい。
10/01/14 00:26:39
avastには引っかからない?
731:名無しさん@お腹いっぱい。
10/01/14 00:41:44
>>730
>>726の検体を送付したら反応するようになると思う。
732:名無しさん@お腹いっぱい。
10/01/14 00:44:55
>>730
反応する件
733:名無しさん@お腹いっぱい。
10/01/14 04:48:32
さっきあるサイト開いたらavastでJS:Illredir-C検出されたんだけどJSオフなら見ても大丈夫かな。
できたら管理者に伝えてやりたいとこなんだけど
見つけてどういうもんか調べてる最中だから下手に踏めない。
734:名無しさん@お腹いっぱい。
10/01/14 05:39:48
URLリンク(www.matsutake-gr.com)
反応しますか?
735:名無しさん@お腹いっぱい。
10/01/14 06:08:10
>>734
/i と .jsファイルが*GNU GPL*
736:名無しさん@お腹いっぱい。
10/01/14 08:04:38 BE:2829863-2BP(1236)
>>734
とりあえずkagoya.netとJPCERT/CCに報告した。
737:名無しさん@お腹いっぱい。
10/01/14 09:27:32
起動からしかjs切れない黒目終わってるなw
738:名無しさん@お腹いっぱい。
10/01/14 14:12:14
ガンブラーで三井住友カード被害!ほんと、どえらい
スレリンク(news板)
739:名無しさん@お腹いっぱい。
10/01/14 16:10:55
新型GENOウイルス
URLリンク(www.virustotal.com)
うんこMSEは未対応
740:名無しさん@お腹いっぱい。
10/01/14 16:48:41
>>739
その結果ってマカフィーもカスペもスも糞じゃねーかよ
741:名無しさん@お腹いっぱい。
10/01/14 16:54:53
志村ーファイル受理した日付ー日付ー
742:名無しさん@お腹いっぱい。
10/01/14 17:10:47
>>739
マルチポストするよなネタでもないわな
743:名無しさん@お腹いっぱい。
10/01/14 18:12:07
>>739
>Infostealer.Kenzero
アダルトゲームのsetup.exeを装い、個人情報を晒すトロイの木馬
URLリンク(internet.watch.impress.co.jp)
「Infostealer.Kenzero」は、ファイル共有ソフト「Share」のネットワーク上で、
アダルトゲームの偽のインストールファイル(setup.exe)として流通しており、
複数のゲームタイトルにこのファイルが含まれることが確認されたという。
ダウソ厨専用。Gumblarとは全く関係がない。
URLリンク(hideyoshi.2ch.net)