【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】at SEC
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】 - 暇つぶし2ch500:名無しさん@お腹いっぱい。
10/01/07 21:43:38
8080系ってことはガンブラーの8080系って言いたいんだろ?

501:名無しさん@お腹いっぱい。
10/01/07 21:45:16
呼び名なんて分かれば良いんだよ
世間でガンブラーらなそれで良いだろ
間違いとか言うなよ

502:名無しさん@お腹いっぱい。
10/01/07 21:51:14
>世間でガンブラーらなそれで良いだろ
良くないから感染が広がったんじゃないかと

Gumblar8080とかかっこよくね?

503:名無しさん@お腹いっぱい。
10/01/07 21:51:50
分かればGumblarでもGENOでもなんでもいいよ
でも今のこのごちゃ混ぜ状態で何が起こってるかって言ったら、8080で感染したのにGumblarってだけでGENOウイルスチェッカーが
未だに使えると思ってる奴が居たり、初代Gumblar(GENOとよく言われた奴)の感染確認方法で確認できると思ってる奴が居たり・・・

どっかベンダーが改めて名前つけてくれたら良いのに・・・ベンダー共通の名前つけよう云々ってどうなったんだ

504:名無しさん@お腹いっぱい。
10/01/07 21:59:16
しかし目的はなんなのかね
ウェブ改竄の被害を楽しんでるだけかな

505:名無しさん@お腹いっぱい。
10/01/07 22:06:36
>>504
8080で詐欺紛いもやってるみたいだけどね>>424
まあコード書き換えれば感染PCをボットネット化するようなこともできるだろうし、金にしようと思えばどうにでもなるな

506:名無しさん@お腹いっぱい。
10/01/07 22:09:16
GumblarもそうだがゾンビPC化すると
DOS攻撃やらなにやらでサイバーテロも起こせるだろ?
金になるとしてもかなり危険だと思うがな

507:名無しさん@お腹いっぱい。
10/01/07 22:10:35
この手のウィルスって亜種が作りやすいだろうから、なんか切りがないよな

508:名無しさん@お腹いっぱい。
10/01/07 22:23:06
切りがないけど、アンチウイルスソフトじゃ対応が一歩遅い気がする
ブラウザで判定できたらいいのにっておもう

509:名無しさん@お腹いっぱい。
10/01/07 22:28:42
ブラウザで判定する意義が分からん・・・結局ウイルス対策ソフトでやってることと一緒じゃね?
そんなことより、使ってるソフトのアップデートを的確にやって既知の脆弱性を埋める&最新のウイルス対策ソフトの常駐の徹底が
一番効果的かと

510:名無しさん@お腹いっぱい。
10/01/07 22:28:48
ブラウザで判定すると早くなるのか?
そんなこと無いから同じ

511:名無しさん@お腹いっぱい。
10/01/07 22:30:04
もうJavaScript切っとけ

512:名無しさん@お腹いっぱい。
10/01/07 22:39:26
別にJavaScript自体が悪いって訳じゃないけど、ホワイトリスト形式で使った方が賢明な状況だよね
で、この流れでNoScriptの話題に振ると、暴れる粘着が居るという・・・
まあなんだ、IEなら信頼済みサイトゾーンの有効活用、FirefoxならNoScript導入、Operaならサーバーマネージャ使うか
No More Scriptsっていうブックマークレット使うか・・・こんな書き方で良い?w

513:名無しさん@お腹いっぱい。
10/01/07 22:41:28
アップデートの徹底がいいのは当然だけど、(ブラウザに定義をカスタマイズできるようにして)
jsの内容が難読処理されてたら、実行しないとか、中国ロシアのサイトに飛ばす内容は実行しないとか
ウイルスソフトの判定の前にブラウザで判定できたら、2段ガマエになって、よりいいんじゃないかと思っただけ。
ウイルスソフトに任せきりが嫌なんだよ。どこまでちゃんと見てるかわかりづらいから。

514:名無しさん@お腹いっぱい。
10/01/07 22:43:53
ウイルスソフトに任せちゃ駄目だよねw

515:名無しさん@お腹いっぱい。
10/01/07 22:51:24
アドビ製品は強制アップデートでおk

516:名無しさん@お腹いっぱい。
10/01/07 22:51:31
>>513
そんな機能ブラウザに標準搭載したら、正常なサイトまで表示崩れたり、真っ白ってことになりかねんか?
外部の奴がアドオンで作るならまだ現実味があるが、ブラウザベンダー自体が付けるような機能には思えん

そこまで心配なら、真っ新な状態の仮想化環境でブラウジングがお勧め

517:名無しさん@お腹いっぱい。
10/01/07 22:59:57
真っ新なマッシン

518:名無しさん@お腹いっぱい。
10/01/07 23:04:54
>>516
ブラウザベンダーがつけてこそ、そのブラウザの信用やシェアが上がったりしないかな。
まあ現実的ではないと思うけど

519:名無しさん@お腹いっぱい。
10/01/07 23:17:43
>>518
逆に否定意見が結構集まる気がするw
まあ最新バージョンのブラウザはどこもフィッシング対策との名目で何かしらのフィルタリング機能入ってるから、そこに期待するしかないんじゃ
ないかな
と言っても、実際改竄されてるページをブロックできてたり、対応が早いかっていうと・・・

結局は環境を常に最新に、ウイルス対策ソフトも最新に(ただし過信は禁物)ってとこに落ち着く

520:名無しさん@お腹いっぱい。
10/01/07 23:31:10
ウイルスが先かウイルスソフトが先かという命題と同じ
Web改鼠は結果でしかなくて、インターネットの開発者は皆どこかしらの違法結社に属していて
ウイルス漬けにされているという現実が露呈した格好だ

521:名無しさん@お腹いっぱい。
10/01/07 23:40:39
なんだか楽天トラベルおかしい?

522:名無しさん@お腹いっぱい。
10/01/07 23:48:19
アメーバがやられた
ブログパーツを使ったサイトで改ざんされたらしい
流出事件といいこのサイトはだめぽ

523:名無しさん@お腹いっぱい。
10/01/07 23:49:10
ハスクバーナ・ゼノアのHPもGENOに感染してない?
URLリンク(www.zenoah.co.jp)

524:名無しさん@お腹いっぱい。
10/01/07 23:49:24
アメバが駄目なんてずっと前から言われてるよ

525:名無しさん@お腹いっぱい。
10/01/07 23:56:22
>523
ノートン先生に怒られた

526:名無しさん@お腹いっぱい。
10/01/07 23:56:24
>>523

Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

URLリンク(www.zenoah.co.jp)

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewh

情報:
23:55:06
Kaspersky Internet Security 2010


527:名無しさん@お腹いっぱい。
10/01/07 23:59:51
> Trojan-Downloader.JS.Agent.ewh
いつものだね

528:名無しさん@お腹いっぱい。
10/01/08 00:00:15
だから>>1ぐらい読めよ・・・・

*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***


危険かもしれないってアドレスも含むぞ

529:名無しさん@お腹いっぱい。
10/01/08 00:02:42
>>523
アバストタンにも怒られた

530:名無しさん@お腹いっぱい。
10/01/08 00:09:37
お前らよく平気で踏めるな。

531:名無しさん@お腹いっぱい。
10/01/08 00:11:38
だいたい仮想環境で踏んでるんだろ
アホもいるだろうけど

532:名無しさん@お腹いっぱい。
10/01/08 00:12:40
自信があるならドンドン踏むことをオススメする、それが漢だ

自己責任だけどね

533:名無しさん@お腹いっぱい。
10/01/08 00:13:08
一応view-source:使ったけどそれでも怒られた
オンラインソースチェッカーがなくなったのが辛い

534:名無しさん@お腹いっぱい。
10/01/08 00:21:05
>>530

バーチャルなら余裕だべ

535:名無しさん@お腹いっぱい。
10/01/08 00:29:20
そろそろニュースでも扱われるようになってきたし
これを機にネットは怖いという意識が強くなって90年代半ばくらいのネット人口に戻ったりしないものか

536:名無しさん@お腹いっぱい。
10/01/08 00:37:40
しかし.ruばっかだな


537:名無しさん@お腹いっぱい。
10/01/08 00:38:46
別に感染してもたいしたことないしな
それほど怖くもないだろ

538:名無しさん@お腹いっぱい。
10/01/08 00:39:27
cnとruを遮断すればかなり安全になるしな

539:名無しさん@お腹いっぱい。
10/01/08 00:41:33
ならないだろうな、無関心な奴は大して気にしなさそうだしニュースで扱われても
一部の人間が騒ぐことになるだけ

mixiとかが感染媒体になれば大騒ぎになるだろうけど携帯メインの層は気にもとめないだろう

540:名無しさん@お腹いっぱい。
10/01/08 00:46:31
サイバーエージェントとノートンの「ノートン警察」閲覧者にトロイの木馬感染のおそれ
スレリンク(news板)  

541:名無しさん@お腹いっぱい。
10/01/08 01:08:28
>>523
/*LGPL*/
ちょっと変わってるぞ

>>529
あれ? こっちでは反応ない

542:名無しさん@お腹いっぱい。
10/01/08 01:12:26
>>541
スクリプトにはどこも反応しないみたいだね
URLリンク(www.virustotal.com)

543:541
10/01/08 01:22:17
もう一ヶ所/*LGPL*/になっている所をみつけた
新型スクリプトみたいだな
検出できるのはノートンの侵入検知くらいかも
avast!にはスクリプトの検体を提出しておこう

544:名無しさん@お腹いっぱい。
10/01/08 01:29:57
>>541
えっ
さっきトロイがどうとかいいながら発狂して何かを遮断したんだが

545:名無しさん@お腹いっぱい。
10/01/08 01:38:45
>>544
標準シールドとWebシールド(高)で使っているんだが
時間差で書き換えられたか?
定義データも手動で更新して100107-0の最新のはず
スクリプトは提出しておいた

546:名無しさん@お腹いっぱい。
10/01/08 01:58:14
貼られた直後に飛び先のチェックでソース見たときは/*GNU GPL*/だったような・・・
まったく確証のない俺の記憶だが、もしかしたら推測通りこの数分・数時間の間に書き換えられたのかも

547:名無しさん@お腹いっぱい。
10/01/08 02:43:36
Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
URLリンク(www.itmedia.co.jp)

12月26日午後11時15分、委託先の制作会社が運営管理するブログパーツのサーバが不正アクセスを受け、
プログラムを改ざんされたという。ユーザーからの情報と委託先からの報告で改ざんが発覚。1月6日に
ブログパーツをすべて削除した。

 ノートン警察は、シマンテックと共同で昨年9月17日~12月9日に行った広告キャンペーン。
中川翔子さんの大切なもの「ギザ」をサイバー犯罪グループから守るというストーリー形式で、
ウイルスやトロイの木馬などについても学ぶ内容だったという。

548:名無しさん@お腹いっぱい。
10/01/08 02:47:15 BE:1887326-2BP(1236)
>>523
whois見てそこへ報告すた。
届けばいいけど。。。

549:名無しさん@お腹いっぱい。
10/01/08 02:54:13
Adblockのブロックリストに
|URLリンク(*.ru:8080)
で今のところは大丈夫かな

550:名無しさん@お腹いっぱい。
10/01/08 02:56:26
>>526
aguseで調べたけど出なかったKasperskyなのに
画像取得日時 2010-01-08 02:53:28
検出されたウイルス(ワーム、スパイウエア)
ウイルス(ワーム、スパイウエア)は検出されませんでした。


551:名無しさん@お腹いっぱい。
10/01/08 02:59:42
ドクター中松のサイトもやられてる

552:名無しさん@お腹いっぱい。
10/01/08 03:01:59 BE:2829492-2BP(1236)
>>551
/*GNU GPL*/ だぎゃ。。。

553:名無しさん@お腹いっぱい。
10/01/08 03:02:03
>>551
GNU GPLだね

554:名無しさん@お腹いっぱい。
10/01/08 03:08:37
しかし凄いことになってるな

555:名無しさん@お腹いっぱい。
10/01/08 03:09:16 BE:11319089-2BP(1236)
>>551
ほい、飛び先.ru:8080/pics/win.jpg
URLリンク(online.us.drweb.com)

556:名無しさん@お腹いっぱい。
10/01/08 03:33:03
インターネットからftpでメンテできるwebサイトが多すぎなのが悪いんだろ?
うちは、インターネット側からは、VPN経由でしかログインできないようにしてるから、
HP制作会社にはVPNクライアントいれてもらってる
仮にFTPアカウントが漏れてもVPNの認証を突破しない限り書き換え不可

557:名無しさん@お腹いっぱい。
10/01/08 03:34:32
avast!のWebシールドでも反応しない新ガンブラーが登場
スレリンク(news板)

558:名無しさん@お腹いっぱい。
10/01/08 03:38:13
今まで/*GNU GPL*/だったサイトも/*LGPL*/に変わったりするのかな?

Webシールドに頼って定義ファイルが手薄だったavastには不吉な予感

559:名無しさん@お腹いっぱい。
10/01/08 04:00:05
RequestPolicyでブロックしたがthelaceweb●ruだな。

560:名無しさん@お腹いっぱい。
10/01/08 04:14:39
>>523
スクリプト以外は今までと同じっぽいから
スクリプトだけで対応してたアンチウイルスは以外は大丈夫みたいだね

561:名無しさん@お腹いっぱい。
10/01/08 04:21:50 BE:1572252-2BP(1236)
>>541,543
漏れも別の感染のサイトで「/*GNU GPL*/ 」が「/*LGPL*/」に変わったのを確認したお。。。
他もそーなるんだろか…

562:名無しさん@お腹いっぱい。
10/01/08 04:22:12
ドクター中松のサイトが/*LGPL*/になった・・・

563:名無しさん@お腹いっぱい。
10/01/08 04:25:23 BE:943632-2BP(1236)
>>562
あちゃー

564:名無しさん@お腹いっぱい。
10/01/08 04:30:52 BE:2830436-2BP(1236)
しかも呼び込み先変えてるっぽい…

565:名無しさん@お腹いっぱい。
10/01/08 04:32:34
yahooやらgooやらがやられない事を祈るだけだな・・・

566:名無しさん@お腹いっぱい。
10/01/08 05:00:21
>>562
もともと/*LGPL*/じゃなかったの?
俺は初めに見た時から/*LGPL*/だったよ?
カスペは全く反応しなかったよ
新種なの?


567:名無しさん@お腹いっぱい。
10/01/08 05:05:39 BE:5660249-2BP(1236)
>>566
「/*GNU GPL*/」
URLリンク(megalodon.jp)
「/*LGPL*/」
URLリンク(megalodon.jp)

568:名無しさん@お腹いっぱい。
10/01/08 05:06:43
>>566
URLリンク(www.virustotal.com)
どこも検出しない

569:名無しさん@お腹いっぱい。
10/01/08 05:08:03
>>566
>>551-553
自分も確認したけどね
メモに控えてある感染サイトも時間ごとに/*LGPL*/に置き換わってる
あきらかに新型スクリプトだな
確認してないがウイルス本体も新型かもな

570:名無しさん@お腹いっぱい。
10/01/08 05:10:54 BE:2830829-2BP(1236)
>>569
一応>>567の下にはいつものはあったお
URLリンク(online.us.drweb.com)

571:名無しさん@お腹いっぱい。
10/01/08 05:12:44
検出逃れのために数時間の間に書き換えが行われているってこと?


572:名無しさん@お腹いっぱい。
10/01/08 05:13:32
>>571
えぐざくとりぃ
多分…

573:名無しさん@お腹いっぱい。
10/01/08 05:14:10
春先のGENO騒動(同人祭り)に比べてスレ伸びが鈍いのが気になる…大手企業も続々やられてるというのに。
adobe系更新でokだからか?
一般ユーザには実害が無いからか?
春先はちょうど時期的に豚インフルと重なって盛り上がっただけなのか?
この手の騒動に飽きたのか?

574:名無しさん@お腹いっぱい。
10/01/08 05:14:15
それじゃソフト入れて対策コピペの奴全部実行して対処しても意味ねーじゃん('A`)

575:名無しさん@お腹いっぱい。
10/01/08 05:17:09 BE:1572252-2BP(1236)
>>573
> 同人祭り
学習したんじゃないかな。。。

>>574
頻繁に更新があるウイルスもあったのでにゃー

576:名無しさん@お腹いっぱい。
10/01/08 05:18:01
>>573
GENOは起動不可だったり動作が重たかったりで気がつかれる失敗作だから
今回はちゃんと動くバージョンに進化したた言うべきなのか、いやな進化だ
ちょっと重いとかネットワークハブのランプが常にチカチカとか普通の人は気がつかないから怖い

577:名無しさん@お腹いっぱい。
10/01/08 05:22:20 BE:3773838-2BP(1236)
>>576
にゃるほど。
初期のものはそーだったのか。

578:名無しさん@お腹いっぱい。
10/01/08 05:22:53
>>573
・2ちゃんねるの規制・スレ分割・8080とGumblarと区別できなくて情報が錯綜・感染したか実感がない
などなど考えられることは多数。ってかスレの勢いが盛り上がりの指標とは限らない
正直、感染しましたってだけのレスだけで加速してるのならこれぐらいの勢いで、有用な情報のみ書き込まれる方が良い
>>574
発覚してない脆弱性を使ったゼロデイが使われない限り、今までの対策で問題なし

579:名無しさん@お腹いっぱい。
10/01/08 05:27:00
>>576
Gumblarとはまた別物なんだから進化したって訳じゃないだろ。今までのものより厄介な新種が出てきたって言った方が正しくね?
ちなみに初代Gumblarも復活の兆しありとか

580:名無しさん@お腹いっぱい。
10/01/08 05:27:27
>>573
前回時にAdobe系のアンスコやアップデートやAcrobat JS切る等の対策は周知されてたわけだから
今回騒いでるのって前回対策取らなかった人達だけだからじゃね

581:名無しさん@お腹いっぱい。
10/01/08 05:30:36
>>579
そうだな、8080系と言っておかないと混同してしまうな
ウイルス製作者同士のプライド合戦とか勘弁してほしいよ

582:名無しさん@お腹いっぱい。
10/01/08 05:30:40
>>578
水面下で拡大して後々めんどくさい事になるのが怖いんだが…。

583:名無しさん@お腹いっぱい。
10/01/08 05:33:32
結局、8080系に引っかかった奴らって>>580が答えなの?
あんだけ騒がれてたのにアップデートもしてなかったの?

584:名無しさん@お腹いっぱい。
10/01/08 05:34:11
同人系でも古参が多かったり旬で活発なジャンルは今でもGENOの注意書き残してるとこ多いからなぁ
若い子が多いジャンルや活動が活発じゃないジャンルは放置しっ放しだが

585:名無しさん@お腹いっぱい。
10/01/08 05:34:12
コメント行が書き換えられただけで検出できないって・・
どこのセキュソフトも本格的な対策は取ってないってこと?

586:名無しさん@お腹いっぱい。
10/01/08 05:40:13
>>581
まあGumblarと8080系の作った作者orグループが同一人物orグループでないとも言い切れないんじゃないのかな?w
そこら辺どうなってんのかはよく知らんけど、感染経路は似ていても別物であることは確か
>>585
何を以て本格的な対策と言うのか?そりゃスクリプトの時点で検知できなくても、その先で検知する場合もあるだろうし、しないかもしれない
ユーザーができる本格的な対策と言えば、脆弱性のあるソフトのアップデートとReaderのjs切るってこと
そしてウイルス対策ソフトで検知できるから安心だ!とか絶対に思わないこと

587:名無しさん@お腹いっぱい。
10/01/08 05:44:30
>>585
いや、Gumblar.xの時はもっとひどくて取得ごとにスクリプトが違ってたから
誤検出を考えると対応が難しいんだと思う
ほぼ確実な検出ができたのはカスペくらいだったはず

588:名無しさん@お腹いっぱい。
10/01/08 05:52:18
今のところついてってるのはNOD32だけだね
ユーザーの対策が出来ていても、htmlに埋め込まれたドロッパーは取り込んでしまうからね。
それに、この調子だとユーザー側の対策なんて、気休め程度になってしまうかもしれない。
JAVAもフラッシュも使えないネットなんて
経済的損失が計り知れなくなるだろう。

589:名無しさん@お腹いっぱい。
10/01/08 05:55:53
業者起きたのか。釣り針でけえな

590:名無しさん@お腹いっぱい。
10/01/08 05:57:19
NOD32(笑)

591:名無しさん@お腹いっぱい。
10/01/08 05:58:04
JAVAとJAVAScriptの区別は必要だな

592:名無しさん@お腹いっぱい。
10/01/08 05:58:51
おおっNOD32一番乗りか?と思いきや別のサイトのスクリプトでは・・・
偶然引っかかっただけだな

結果: 0/41
URLリンク(www.virustotal.com)
結果: 0/41
URLリンク(www.virustotal.com)
結果: 0/41
URLリンク(www.virustotal.com)

85 名前: 滑車(東日本)[sage] 投稿日:2010/01/08(金) 05:33:19.37 ID:ERkw5/xM
>>1のソースをvirustotalにおくったらNOD32だけが反応した
スレリンク(news板:85-87番)

593:名無しさん@お腹いっぱい。
10/01/08 05:59:26
>>589
>>588はこのことだね。
スレリンク(news板:85-87番)n

594:名無しさん@お腹いっぱい。
10/01/08 06:01:47
>>593 それ書いたのは僕なんですがAvast!信者です。


595:名無しさん@お腹いっぱい。
10/01/08 06:01:49
さて、変わったのはコメント行だけかな?
どうやって指令してるのかな?

596:名無しさん@お腹いっぱい。
10/01/08 06:04:58
犬HKラジオでもトップニュース扱いだな。

597:名無しさん@お腹いっぱい。
10/01/08 06:05:22
受付のスクリプトに反応するかしないかの問題であって、他のベンダーが絶対検知できないって訳じゃないでしょ
要はどの段階で検知するかの問題
後virustotalでの結果と実製品で違いでる場合がある。ヒューリスティックの違いなのか、HIPSとかとの兼ね合いなのか詳しい事は俺は知らん

でも1つだけ言えることは、このスレはどこのベンダーが良い・悪いとか議論するとこじゃないと思うけど?
製品比較やりたいなら、適当な別スレでどうぞ

598:592
10/01/08 06:12:34
自分はあくまで検証目的で貼っただけなんだが・・・
気を悪くしたなら少し控えるか
定義データに左右されないらしいノートンの侵入検知の例もあるしな

599:名無しさん@お腹いっぱい。
10/01/08 06:16:18
>>598
いやいや、検証目的としてはぜんぜんおkだし>>592のレス内容を叩いてる訳じゃない。これからもどうぞ続けて下さいw
俺が言いたかったのはただ単に特定のベンダーが良い・悪いとかここですんなよってだけです
紛らわしいタイミングになってサーセン

600:名無しさん@お腹いっぱい。
10/01/08 06:19:34
>>599
おk
ではこれからも節度を持った上で貼らせてもらおう

601:名無しさん@お腹いっぱい。
10/01/08 07:21:17
なんだかすげえ馬鹿スレになってきたな

602:名無しさん@お腹いっぱい。
10/01/08 07:43:56
>>522
ノートンは確信犯だってば
芸能アバターのせい

603:名無しさん@お腹いっぱい。
10/01/08 08:03:40
良い悪いすんなっても気になるのが人情だろ。
人間見ないでルールだけ見る奴って何なの?

604:名無しさん@お腹いっぱい。
10/01/08 08:09:03
avast以外大丈夫だよ

605:名無しさん@お腹いっぱい。
10/01/08 08:53:47
そもそも、インターネットからFTPで更新できるってのがもういまの時代はダメダメだろ
特定のIPアドレスに制限するとか、VPN必須にするとかしないと

606:名無しさん@お腹いっぱい。
10/01/08 09:25:29
>>604
なにが?avast!以外大丈夫なのかな?


607:名無しさん@お腹いっぱい。
10/01/08 09:37:40
これ明らかに世界中のインターネット絶滅推進派が仕組んだテロだろ

608:名無しさん@お腹いっぱい。
10/01/08 09:47:27
まずいなあ、ウイルス本体も新型みたいだぞ

結果: 0/40
URLリンク(www.virustotal.com)
avast!Anti-Virus Part120
スレリンク(sec板:448番)

609:名無しさん@お腹いっぱい。
10/01/08 09:48:34
こういうネズミ算式に増えていく無差別で大規模な改竄は今まで何度かあったけど、
今回はAdobeが脆弱性を12日(日本時間13日)まで放置してるのが痛すぎる。

610:名無しさん@お腹いっぱい。
10/01/08 10:27:03
>>609
年末年始休暇を狙った組織的犯行の模様
サイト運営者もアップデート担当の開発者も休みだろうしな

611:sage ◆sage/xLnlI
10/01/08 10:28:46
>>608
('A`)

612:名無しさん@お腹いっぱい。
10/01/08 11:13:29
結局どうすりゃいいのよ、誰もわかんないのかよ

613:名無しさん@お腹いっぱい。
10/01/08 11:16:20
lanケーブルをハサミでチョキンとやれば確実に防げるぞ

614:名無しさん@お腹いっぱい。
10/01/08 11:18:47
FTPの情報どうやって抜いてんの?
FFFTPのレジストリに生で記録されてんのか?
iniに出力するようにしてるんだが、どうだろうか

615:名無しさん@お腹いっぱい。
10/01/08 11:29:36
会社で借りてるサーバにうちの馬鹿が感染させたんだが、
上に言っても、パスワードは変えられないの一点張り、脳みそがイカれてる

書き換えられるたびにコード削除していくの疲れたよ

616:名無しさん@お腹いっぱい。
10/01/08 11:30:16
FTP通信したときのパケットそのものを見てると思う
FTPソフト側での回避は無理

617:名無しさん@お腹いっぱい。
10/01/08 11:33:20
>>615

感染したのは8080?
書き換えられる頻度はどのくらい?

618:名無しさん@お腹いっぱい。
10/01/08 11:38:49
>>615
それはありえんw

619:名無しさん@お腹いっぱい。
10/01/08 11:50:47
>>615

アホだなー

620:名無しさん@お腹いっぱい。
10/01/08 11:55:01
>>615
なんで変えられないんだろう?
感染をもみ消したいのかな?

更に大きな感染呼び込んで信用失うだけだと思うが。

621:sage ◆sage/xLnlI
10/01/08 12:09:16
URLリンク(www.zenoah.co)アッー!jp/

実験台で見たらコードがなかった・・・

622:名無しさん@お腹いっぱい。
10/01/08 12:09:31
>>617
まだ3回くらいだけどね
IDパスばれてるんだから今後もやられるとしたらキツいんだ

今は/*LGPL*/から始まって8!@0@^8)@0?/とか書いてあるから8080だろう
前は/*GNU GPL*/だったな

一部/*GNU GPL*/~のまま放っておいたものが/*LGPL*/~に置き換わってた
追記じゃないみたいだね

>>620
全ファイル消去されたら考えも変わるかもね
俺は元データ持ってないから落してエディタで書き換えて再アップ
スクリプト書いて消そうかと思ったけどミスって全消去したら・・・怖いな

623:名無しさん@お腹いっぱい。
10/01/08 12:11:02
>>622
なんなのその原始時代みたいな会社w

624:名無しさん@お腹いっぱい。
10/01/08 12:11:25 BE:235456823-2BP(7777)
他人の不幸で飯が旨い

625:名無しさん@お腹いっぱい。
10/01/08 12:15:13
どうせ感染したというアナウンスもしてないんだろ

てういか今後も感染するから出せないかw

626:名無しさん@お腹いっぱい。
10/01/08 12:15:39
>>623
実際、原始時代みたいな会社だよ
いくら言っても「スキャンしとけよ、ファイル書き換えておけ」と言われるだけ
セキュリティに何の関心もない様子
去年のGENOもしっかり掛かってたしな、そのときもパス変えてくれって言ったけど今に至る

627:名無しさん@お腹いっぱい。
10/01/08 12:18:01
>>626
そういうバカ会社は一回痛い目を見ないと変わらないから
全消去になったほうがいいかもね。

いくら言っても聞かなかったくせに、いざその事態になると泣きつくんだよな。
ほんと氏ねよと思うわw

628:名無しさん@お腹いっぱい。
10/01/08 12:19:59
>>626
会社としてやばい
すぐに転職を勧める

629:sage ◆sage/xLnlI
10/01/08 12:28:39
URLリンク(up3.viploader.net)

一部の記号を消したらこうなった

630:名無しさん@お腹いっぱい。
10/01/08 12:33:03
誰か検体上げてくれ

631:名無しさん@お腹いっぱい。
10/01/08 12:33:58
なんでサーバーの管理者がWindowsなんか使ってるんだ?
普通は違うOSを使うと思うんだけどな

632:名無しさん@お腹いっぱい。
10/01/08 12:34:52
>>631
Webデザイナのマシンに感染したとか

633:名無しさん@お腹いっぱい。
10/01/08 12:40:04
ずっと鯖OSさわってるのは鯖屋であって
鯖管とは違くないか

Telnetあるし

634:sage ◆sage/xLnlI
10/01/08 12:41:51
URLリンク(up3.viploader.net)

hundekuru

635:名無しさん@お腹いっぱい。
10/01/08 12:42:21
ソースチェッカーオンラインみたいなサイトないの?
怖くて未知のURLは踏めん・・・

636:名無しさん@お腹いっぱい。
10/01/08 12:43:32
Telnetってww
いつの時代だよwww

637:sage ◆sage/xLnlI
10/01/08 12:43:45
仮想でAVAST止めて行ったら仮想じゃない方攻撃されてノートン先生に止められたwwwwwww

638:名無しさん@お腹いっぱい。
10/01/08 12:44:46
顧客情報にアクセスできるショッピングサイトの管理者はすぐに対応しろ

639:名無しさん@お腹いっぱい。
10/01/08 12:45:22
>>625
URLリンク(www.aguse.jp)

640:名無しさん@お腹いっぱい。
10/01/08 12:48:33
>>637
そのゲストOS・・・プロダクトキー入れてる?
盗まれるぞ・・・

641:名無しさん@お腹いっぱい。
10/01/08 12:54:44
>>281
それってなんでWindows標準FWだと防げないの
既知のアプリの未知のポートだと無理だけど
未知のアプリが通信しようとすればポップアップがあるのは変わらないはずだけど

642:名無しさん@お腹いっぱい。
10/01/08 13:00:04
>>641
WindowsファイアウォールAPIってのがあってだな・・・
例外追加等々

643:名無しさん@お腹いっぱい。
10/01/08 13:12:35
>>642
MSDNに該当する記事有り
Windows Firewall and Windows Firewall with Advanced Security (Windows)
URLリンク(msdn.microsoft.com)(VS.85).aspx

644:sage ◆sage/xLnlI
10/01/08 13:31:12
>>640
このゲストOS・・・プロダクトキー入れてる
盗まアッれるの・・・


645:名無しさん@お腹いっぱい。
10/01/08 13:33:10
>>642
なにそれ
だめじゃん

646:名無しさん@お腹いっぱい。
10/01/08 13:34:22
そもそも、Windowsを管理者権限で常に使用してるようなやつが
Firewallとかセキュリティーとかの各種設定をトロイに変更されたりするんだろ

通常使用は一般ユーザーで使用すればいいのに
7/Vistaなら、ログインしなおさなくても管理者権限が必要なときは管理者パスワードのダイヤログボックスが開いて
すぐ管理者作業できるから、常に一般ユーザーでログイン知れればいい

647:名無しさん@お腹いっぱい。
10/01/08 13:36:03
>>644
マイクロソフトで使用期限3ヶ月くらいの体験版の仮想マシンVPC配ってるから、
その仮想マシン使えばいい

648:名無しさん@お腹いっぱい。
10/01/08 13:36:15
一般ユーザーですら管理者権限
流石Microsoft

649:sage ◆sage/xLnlI
10/01/08 13:37:32
>>647
大丈夫がと思うよ
なにかあったときにはAVASTとノートン先生が守ってくれるからb

650:sage ◆sage/xLnlI
10/01/08 13:38:12
>>648
なアッー!っなアッー!んだアッー!ってええええええええええええええええええええええええええええええええええええええええ

651:sage ◆sage/xLnlI
10/01/08 13:40:03
>>647
アッー!と、一回M$のXPModeで、ひどい目にアッー!っアッー!から使いたくない

652:名無しさん@お腹いっぱい。
10/01/08 13:41:18
◆sage/xLnlI、アウト~

653:名無しさん@お腹いっぱい。
10/01/08 13:41:18
>>646
明示的に表示されてないとfirewallスルーできないよね
できないといって><

654:sage ◆sage/xLnlI
10/01/08 13:42:12
>>652
なアッー!んで?

655:名無しさん@お腹いっぱい。
10/01/08 13:42:51
結論「ユーザーの意識改革が必要」

656:名無しさん@お腹いっぱい。
10/01/08 13:43:52
少々知識が足りなかったようだな

657:sage ◆sage/xLnlI
10/01/08 13:44:29
Firefoxがクラッシュしまアッー!した

658:名無しさん@お腹いっぱい。
10/01/08 13:44:59
NGNameに追加 sage </b>◆sage/xLnlI <b>

659:名無しさん@お腹いっぱい。
10/01/08 13:45:51
話は全部聞かせて貰ったぞ!(ガラッ
sage ◆sage/xLnlIのプロダクトキーは既に流出している

660:sage ◆sage/xLnlI
10/01/08 13:46:35
>>659
えっ


どうゆうこと?




661:名無しさん@お腹いっぱい。
10/01/08 13:59:27
既に感染しているかどうかを調べる方法がないことだけは分かった

662:sage ◆sage/xLnlI
10/01/08 14:00:29
>>661
うn


windows7の感染確認方法知ってす人いないよね?・?

663:名無しさん@お腹いっぱい。
10/01/08 14:02:03
>>646

そもそもXPの時点では、まともにユーザーモードで動かないソフトが多すぎて...



664:名無しさん@お腹いっぱい。
10/01/08 14:04:28
ずっとこんなイタチゴッコ続けるのかよ。
感染したらUbuntuにする。少なくとも嫁のPCは。

665:名無しさん@お腹いっぱい。
10/01/08 14:04:34
もそもそ

666:名無しさん@お腹いっぱい。
10/01/08 14:05:52
>>664
上流のdebianにしろksg

667:名無しさん@お腹いっぱい。
10/01/08 14:06:08
むしろ感染してしまえば楽になるような気がする
俺は遠慮するけど

668:名無しさん@お腹いっぱい。
10/01/08 14:10:35
とりあえず現状、普通のクライアントPCが感染してるかどうかの判断ってどうやってんの?
春のGENO祭りの時にはレジストリ内におかしなファイルが有るか無いかで判断してたが

669:名無しさん@お腹いっぱい。
10/01/08 14:12:00
ウイルスの検体マダー!?

670:名無しさん@お腹いっぱい。
10/01/08 14:12:47
>>663
自分もそれが困る
たいしたソフトじゃないのになんで管理者権限じゃなきゃいけないんだろう

671:sage ◆sage/xLnlI
10/01/08 14:12:54
>>669
>>76


672:名無しさん@お腹いっぱい。
10/01/08 14:14:31
プロダクトキーを入力せずにインスコ→被害者向けの特価で正規のプロダクトキー購入→ウマー
これがMicrosoftクオリティーなのか・・・

673:名無しさん@お腹いっぱい。
10/01/08 14:26:03
>>668
ウソの情報が飛び交ってるだけで、アンチウイルスソフト作ってる会社でも分からない

674:名無しさん@お腹いっぱい。
10/01/08 14:28:05
>>673
嘘の情報ってww
検体があればリバースエンジニアリングで動作くらい分かるだろJK

675:名無しさん@お腹いっぱい。
10/01/08 14:32:49
>>663
つ 別のユーザとして実行

これで動かないソフトのほとんどは動く。


676:名無しさん@お腹いっぱい。
10/01/08 14:32:53
あっちこっちで呼び方が違うからもう何がなんだか分からない

677:名無しさん@お腹いっぱい。
10/01/08 14:33:42
>>664
誰も使ってないようなOSにすればウイルスのターゲットにならないから、
できるだけマイナーなのにしとけ

NetBSDとかOpenBSDとか

678:名無しさん@お腹いっぱい。
10/01/08 14:33:58
普通のクライアントPCは感染してるかどうか確認する方法ないの?
マジで?

全台クリーンインストールしろと言うのか

679:名無しさん@お腹いっぱい。
10/01/08 14:36:02
>>678
新種のマルウェアに強いウイスルソフト使ってスキャンすればいいだろ
100%ではないが、だいたい確認できる

680:名無しさん@お腹いっぱい。
10/01/08 14:37:00
section .note.netbsd.ident
dd 0x07,0x04,0x01
db "NetBSD",0x00,0x00
dd 200000000


section .data

section .text
global _start

_start:
xor eax, eax
push 0x09
mov eax, -1
push eax
xor eax,eax
mov al, 37
push eax
int 0x80

681:名無しさん@お腹いっぱい。
10/01/08 14:38:21
>>648
マニュアル読め。
スタートアップガイドで普段は制限ユーザで使うようにと書いてあるわ。

682:名無しさん@お腹いっぱい。
10/01/08 14:39:01
AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。

683:名無しさん@お腹いっぱい。
10/01/08 14:39:28
>>681
誰でも簡単に権限昇格できるWindowsなんて(ry

684:名無しさん@お腹いっぱい。
10/01/08 14:43:17
>>675

大量にあったら、そんなめんどーなことは誰もやってくれないつぅこと
各アプリケーションもほとんどまともに対応してくれなかったしねぇ~

Vistaが出てやっと対応したところのが多いじゃん

685:名無しさん@お腹いっぱい。
10/01/08 14:46:15
【ネット】洋菓子「モロゾフ」のサイト、何者かが改ざん 閲覧すると新型ウイルス「ガンブラー」に感染する恐れがあったが、被害報告なし
1 :おっおにぎりがほしいんだなφ ★:2010/01/06(水) 07:20:34 ID:???0
洋菓子メーカー「モロゾフ」(本社・神戸市)のインターネットサイトが
何者かに改ざんされる被害に遭っていたことが5日、わかった。

同社によるとサイトを閲覧したパソコンが新型コンピューターウイルス
「ガンブラー」に感染する恐れがあったが、被害の報告はなく、
サイトは改善済みという。

同社の説明では、改ざんされたのは4日午後7時半~5日正午で、
感染や情報漏えいなどの連絡はない、としている。




こういう「被害の報告は無く」ってのが一番怖いと思うんだが…
閲覧ユーザは感染に気づかず、ボット化してる可能性もあるって事だろ?

686:名無しさん@お腹いっぱい。
10/01/08 14:48:00
>>682
だからそのときのために、わざわざMSがIEに保護モードつけたりしてくれてるんだろ
ちゃんと保護モードに対応したIEプラグイン類なら、プラグインに脆弱性があってマルウェアにやられても、
やられる範囲を制限できる

687:名無しさん@お腹いっぱい。
10/01/08 14:50:26
【今株馬鹿】GENOウイルスのお陰でウイルス対策会社の株が急騰
スレリンク(news板)

688:名無しさん@お腹いっぱい。
10/01/08 14:51:25
保護モードなんてバイパス出来るだろww

689:名無しさん@お腹いっぱい。
10/01/08 14:53:07
>>686
IEの保護モード機能ってサイト閲覧時のファイル保存先を限定してるだけじゃないの?
Adobeの脆弱性を突いた攻撃と何の関係があるの?

690:名無しさん@お腹いっぱい。
10/01/08 14:54:51
感染しているかどうかを調べる
今一番有力な方法を教えてくださひ。

691:名無しさん@お腹いっぱい。
10/01/08 14:56:19
>>685
お前らモロゾフのHP見てみろw
URLリンク(mimizun.com)

1 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 22:48:45.86 ID:kMgcW7bI0
URLリンク(www.morozoff.co.jp)

なんだこれw


5 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 22:53:02.74 ID:+8J8P32m0
Javaのコンソールが起動してPCがすげー重くなった
なんか仕込まれてるの?


7 :以下、名無しにかわりましてVIPがお送りします:2010/01/04(月) 23:00:03.62 ID:euSlf2pA0
>>1
死ね

重いいいいいいいいいい

692:名無しさん@お腹いっぱい。
10/01/08 14:56:45
webサイト作ったらわかるんじゃね?
改ざんされたら感染してる

693:名無しさん@お腹いっぱい。
10/01/08 14:59:14
VPCでモロゾフを踏んでみた。
processmoniterでその時の挙動を調べてみたが、何も起こらない・・・

694:名無しさん@お腹いっぱい。
10/01/08 15:01:03
保護モードって、IEのプロセスを通常よりさらに限定された権限で
動作させることに一番の意味があるんだよ

保護モード非対応のプラグイン類を動作させるときはデフォルトで警告が出るし、
警告がでない保護モード対応プラグインなら、脆弱性でやられてもまず影響が出ない

保護モード下で動いてるIEやプラグインに脆弱性があってやられても、
システムのほとんどの場所に書き込めない

このあたり呼んでみれば?
URLリンク(msdn.microsoft.com)(VS.85).aspx

695:名無しさん@お腹いっぱい。
10/01/08 15:03:37
>>692
適当なHTML作って、FTPでどこか上げたときに
書き換わってるかをチェックする感じでしょうか?
社員のPCをチェックしたいんですがなにかいい
方法はないかなァと思いまして。。。

696:名無しさん@お腹いっぱい。
10/01/08 15:03:51
保護モードバイパス美味しいです^^
CodeProject: A Developer's Survival Guide to IE Protected Mode. Free source code and programming help
URLリンク(www.codeproject.com)

697:名無しさん@お腹いっぱい。
10/01/08 15:16:11
>>693
そりゃあ、今踏んだって何も起こらなくて当然。

698:名無しさん@お腹いっぱい。
10/01/08 15:21:48
>>694を素直に読むと、IEの保護モード有効下だとAdobe脆弱性回避できるように思えるけど実際は違うよな?

699:名無しさん@お腹いっぱい。
10/01/08 15:22:40
他サイトに飛ぶときに警告を出せば済む話だろう
2ちゃんを見習え

700:名無しさん@お腹いっぱい。
10/01/08 15:28:22
>>694

>>99
99 :名無しさん@お腹いっぱい。:2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/~というコードが埋め込まれてたっぽい

サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる

(以下略)



これってつまり、IE保護モードで今回のリスクは回避されないんじゃね?

701:名無しさん@お腹いっぱい。
10/01/08 15:30:21
保護モードは一部回避可能だけど、
Flashの脆弱性を狙うコードが保護モード回避したとかの話は聞いたこと無い
テストコードは出ても、実際にそれを使ったマルウェア等は出てない

702:名無しさん@お腹いっぱい。
10/01/08 15:30:29
感染実験したいからURLくれ

703:名無しさん@お腹いっぱい。
10/01/08 15:34:25
>>696
そこ見ても、保護モードのシステムの管理下で動作するだけで、
勝手にシステムとかに書き込めるわけじゃないじゃん

704:名無しさん@お腹いっぱい。
10/01/08 15:42:33
>>694
>Adobe Readerの脆弱性攻撃は、「ChangeLog.pdf」というPDFファイルの中に
>複数の攻撃コードが組み込まれており、パソコンにAdobe Readerがインストールされている場合には、
>この細工されたPDFファイルを自動的に開いて攻撃を行う。


↑保護モードでは通過してしまうプロセスを悪用してるんじゃないのかと

705:名無しさん@お腹いっぱい。
10/01/08 16:02:33
>>脆弱性でやられてもまず影響が出ない
そういえばJavaがウイルスのローダーとして悪用されていた件
脆弱性以前の問題だよね・・・

706:名無しさん@お腹いっぱい。
10/01/08 16:22:12
もうどんな防御しようと無意味なんじゃないかって思えてきた


707:名無しさん@お腹いっぱい。
10/01/08 16:24:38
OSなりブラウザを仮想化すれば良いではないか

708:名無しさん@お腹いっぱい。
10/01/08 16:28:59
そういう手段しか思いつかないレベルってことですね

709:名無しさん@お腹いっぱい。
10/01/08 16:33:53
>>706-708
NO

Adobeがちゃんと脆弱性塞いでれば良いだけの話
もっと言えばMSが情報公開して協力してれば良いだけの話
攻撃自体は単純

710:名無しさん@お腹いっぱい。
10/01/08 16:35:30
警視庁も動きだしたそうじゃないか
どこまでできるのかわからんけど

711:名無しさん@お腹いっぱい。
10/01/08 16:37:16
>>709
>MSが情報公開して協力
誰に?

712:名無しさん@お腹いっぱい。
10/01/08 16:38:20
>>711
Adobeに

713:名無しさん@お腹いっぱい。
10/01/08 16:46:25
JavaもReaderもアンインストール
WindowsとFlashは最新
ばっちこいや

714:名無しさん@お腹いっぱい。
10/01/08 16:51:55
>>713
最終ステップ:Windowsもアンインストール

715:名無しさん@お腹いっぱい。
10/01/08 16:54:29
Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)

716:名無しさん@お腹いっぱい。
10/01/08 17:09:01
WIN7は感染しないんですか?

717:名無しさん@お腹いっぱい。
10/01/08 17:21:20
ゲームやケータイのブラウザが最強だな
感染する場所がありゃしないぜ!

718:名無しさん@お腹いっぱい。
10/01/08 17:22:16
もうみんなでマカーになろうよ

719:名無しさん@お腹いっぱい。
10/01/08 17:34:42
つlinux

720:名無しさん@お腹いっぱい。
10/01/08 17:38:33
凄い初心者な質問で申し訳ないけど
普段から使ってるもの一通り最新版にしておけばGumblarに限らず
大体のウイルスにかからないもんなの?

721:名無しさん@お腹いっぱい。
10/01/08 17:42:15
さきほどGENOウィルスが仕込まれてる可能性の高いURLを踏んでしまいました。
慌てて途中でブラウザを閉じたのですが感染してるか心配です。
こちらの(URLリンク(www29.atwiki.jp))GENOウイルスまとめサイトに書かれていた方法を確認し
感染の可能性は低いと判断しましたが、このサイトの情報は古いと書いてあったので
本当に無事なのかちょっと心配です。
上記サイトに書かれている方法以外に感染を判断する方法はありますか?

722:名無しさん@お腹いっぱい。
10/01/08 17:46:26
>>720
古いバージョンの脆弱性を狙うタイプのウイルスは防げるかと思われ

それ以外にも例えばAdobeReaderのjsOFFみたいな機能設定に関する脆弱性とか、
そもそも実行型ファイルを開いて感染する場合もあると思うけども

723:名無しさん@お腹いっぱい。
10/01/08 17:47:13
>>720
一通り最新版にして適切な設定にしていれば助かる可能性は高くなる
なんでもかんでも自動実行されるPCだとGumblarに限らず危険って事

724:名無しさん@お腹いっぱい。
10/01/08 17:49:41
>>709
Adobeの対応悪すぎだよな。
過去のMicrosoftと同じ過ちを繰り返してる。
みんな歴史に学べないねぇ。

725:名無しさん@お腹いっぱい。
10/01/08 17:51:14
>>720
新型はふせげねー、新型にあたったらクリーンインストールするしかない

726:名無しさん@お腹いっぱい。
10/01/08 17:51:38
やっとAdobeの修正がきたみたいだね
URLリンク(internet.watch.impress.co.jp)

727:名無しさん@お腹いっぱい。
10/01/08 17:53:01
来週の話でしょ。
対応遅すぎ。

728:名無しさん@お腹いっぱい。
10/01/08 17:54:32
なんでそんな悠長に構えてんだろうなアドビ
自分とこの製品が犯罪に利用されてるってのに

729:名無しさん@お腹いっぱい。
10/01/08 17:56:43
AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。

730:名無しさん@お腹いっぱい。
10/01/08 17:57:04
競合相手がいないからさ

731:名無しさん@お腹いっぱい。
10/01/08 17:59:09
>>720
感染しているPCはCPU使用率が異常に高いのも目安のひとつだな

732:名無しさん@お腹いっぱい。
10/01/08 17:59:23
サイト改ざんリスト(発表分のみ)
URLリンク(www.so-net.ne.jp)

三栄コーポレーション
サイバーエージェント
ハウス食品
東京財団
データリンクス
京王電鉄
ビロング
恵那バッテリー電装
ナショナルクリエイターズカンファレンス
大学図書館問題研究会
モロゾフ
民主党東京都総支部連合会
ローソン
検索エンジンMooter
デジタルマガジン
ディズニー
信越放送
FX為替情報検索「fxwill.com」
野村ビルマネジメント
京成トラベルサービス
本田技研工業
JR東日本
ラジオ関西


しかし、とんでもねー数だな…

733:名無しさん@お腹いっぱい。
10/01/08 18:02:14
adobeもアレだけど感染した企業のセキュリティに対する認識の甘さも問題だな


734:名無しさん@お腹いっぱい。
10/01/08 18:02:32
猛威をふるうガンブラーの徹底対策術
URLリンク(www.yomiuri.co.jp)

735:名無しさん@お腹いっぱい。
10/01/08 18:02:43
/*LGPL*/
URLリンク(www.virustotal.com)
対応済み:Avira カスペ NOD32

736:名無しさん@お腹いっぱい。
10/01/08 18:02:49
CVE-2009-4324

VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
URLリンク(vrt-sourcefire.blogspot.com)

extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
URLリンク(extraexploit.blogspot.com)

737:名無しさん@お腹いっぱい。
10/01/08 18:04:25
>>732
ここらのサイトやアメブロなんかで気づかずに感染してる一般人って相当数いるんじゃね?
今回のは自分が感染してるかどうか分からないみたいだし…

738:名無しさん@お腹いっぱい。
10/01/08 18:05:29
>>732
ネズミーもか!?
閲覧者多そうだしますますやばいな

739:名無しさん@お腹いっぱい。
10/01/08 18:09:37
>>721
一応他スレから転載

437 :8080:2010/01/08(金) 18:03:07 ID:Db0zlWvOO
>>435
旧Gumblarのやつは使えない。


【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除


*感染していた場合*
駆除するより、バックアップを取ってから
リカバリ(クリーンインストール)を強く推奨。

740:名無しさん@お腹いっぱい。
10/01/08 18:09:37
>>732
ディズニー見ちゃったよ
いつの時点で改ざんされてたんだろう

741:名無しさん@お腹いっぱい。
10/01/08 18:10:19
>>737-738
リンク先読めばわかるけど、大体の企業は
「特定のページがやられてて、それ以外は今のところ異常ない」って建前らしい。

まあ、ウイルスの全貌が解析されきってない以上
実際のところはどうだかわかったもんじゃないけどね。

742:名無しさん@お腹いっぱい。
10/01/08 18:11:01
>>740
リンク先に詳しく書いてある。

743:名無しさん@お腹いっぱい。
10/01/08 18:14:29
>>742
Forbiddenってなる

744:名無しさん@お腹いっぱい。
10/01/08 18:15:51
>>732

>■検索エンジンMooter(2009年12月30日発表)
>種別:/*GNU GPL*/
>期間:2009年12月25日1時~12月28日18時30分
>場所:Mooterホームページ(*.mooter.co.jp)、および「Mooter検索窓」の設置サイト
>告知:弊社ホームページの改ざんについてのお詫びとお知らせ(削除済み)

こことか地味に酷くね?
検索窓設置してるサイトもやられてるとしたら、どこまで広がってるか…
しかも告知「削除済み」とか対応がありえねえだろ。

745:名無しさん@お腹いっぱい。
10/01/08 18:15:55
>>743
は?

746:名無しさん@お腹いっぱい。
10/01/08 18:16:52
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)

しょうがないやつだ。念のためおまえのPCはクリーンインストールして来い

747:名無しさん@お腹いっぱい。
10/01/08 18:17:40
>>743

>■ディズニー(2009年12月29日発表)
>種別:Gumblar.x
>期間2009年12月22日16時~12月25日18時
>場所:ショッピングサイト お正月特集ページ(www.disney.co.jp●shopping/special/0912_newyear.html)
>告知:お正月特集ページに関するお詫び
>www.disney.co.jp●shopping/pop/091229_info.html

748:名無しさん@お腹いっぱい。
10/01/08 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)

749:名無しさん@お腹いっぱい。
10/01/08 18:19:16
>>735
>>592 を再スキャンしてみた
定義データでは一部のスクリプトだけの検出だな・・・
本格的な対応はこれからか

結果: 0/41
URLリンク(www.virustotal.com)
結果: 0/41
URLリンク(www.virustotal.com)
結果: 1/41 (Sophos)
URLリンク(www.virustotal.com)

750:名無しさん@お腹いっぱい。
10/01/08 18:20:54
でもまぁ、
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

の対策が取れてたら感染サイト踏んでたとしても大丈夫なはずだが一応

751:名無しさん@お腹いっぱい。
10/01/08 18:21:11
>>746-748
わざわざすいません
該当する期間とショッピングサイトには行っていないから
なんとかセフセフ


752:名無しさん@お腹いっぱい。
10/01/08 18:23:48
New谷さん大丈夫かね

748 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)

753:名無しさん@お腹いっぱい。
10/01/08 18:24:12
>>750
スレリンク(sec板:405番)
今北さん用、GENO(Gumblar)ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す

754:名無しさん@お腹いっぱい。
10/01/08 18:25:05
もともとスクリプトを検出していたのは少ない
win.jpgなどの脆弱性を突いた攻撃自体を検出した方が効率的だろ
脆弱性攻撃を受けた後実行されるpdfupf.exeだけを検出すものもあるがこれでも防御は可能


755:名無しさん@お腹いっぱい。
10/01/08 18:26:28
>>739の感染確認方法ってどうなの?

756:名無しさん@お腹いっぱい。
10/01/08 18:27:45
現時点じゃ他に確認のしようがない

757:名無しさん@お腹いっぱい。
10/01/08 18:28:11
「New谷さん」呼びはやめろよな

758:名無しさん@お腹いっぱい。
10/01/08 18:30:20
>>755
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいやつで
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる
しかし同じような名前なのですぐ気づく
これからも変わるかも知れないが変な物が登録されているかはすぐ分かるだろう


759:名無しさん@お腹いっぱい。
10/01/08 18:34:06
>>758
詳しくありがとうございます

760:752
10/01/08 18:37:49
ごめん誤爆だった

761:名無しさん@お腹いっぱい。
10/01/08 18:40:31
このあいだfirefox NoScript+view-source:で
感染サイトのソース見ようとしたらavast!がプゥプゥいった。
この状況でも感染するもの?
adobeのjavaはオフにしてある。

762:名無しさん@お腹いっぱい。
10/01/08 18:40:40
糸色望した

763:名無しさん@お腹いっぱい。
10/01/08 18:42:29
>>761
その場合はNoScriptでブロックされているはず
問題ない

>adobeのjavaはオフにしてある。
Tips:JavaとJavaScriptは別物

764:名無しさん@お腹いっぱい。
10/01/08 18:48:29
view-sourceだけでも安全な気がしてたんだが・・・
違うのね

765:名無しさん@お腹いっぱい。
10/01/08 18:49:05
安全だよ

766:名無しさん@お腹いっぱい。
10/01/08 18:49:37
txtとして開くんだから大丈夫じゃないの?

767:名無しさん@お腹いっぱい。
10/01/08 18:52:52
txt形式でもウイルスのコード記述があれば反応するのでは
感染はしないけど

768:名無しさん@お腹いっぱい。
10/01/08 18:52:58
>>763ありがとう
ていうかview-source:ってリンク先のサイト踏まずに
ソースがみれるものだと思ってたんだがウイルスは防げないのか…
オンラインソースチェッカー閉鎖が惜しまれる

769:名無しさん@お腹いっぱい。
10/01/08 18:54:52
オンラインソースチェッカーの代わりに
URLリンク(www.aguse.jp)
じゃだめなのか?

770:名無しさん@お腹いっぱい。
10/01/08 18:55:57
>>768
見れると思うけど
>>550
URLリンク(www.aguse.jp)

771:名無しさん@お腹いっぱい。
10/01/08 18:57:21
初心者で申し訳ないんだけど、>>753の(1)~(4)に加えて
IEでセキュリティ高にしたり、firefox+NoScript使えばさらに安全になるのかな?

772:名無しさん@お腹いっぱい。
10/01/08 18:57:43
>>710
モロゾフの人がFTPログを証拠として被害届けを出したそうですね
でもあれは不正アクセスの証明にしかなりませんね

モロゾフの人健忘症なのでしょうかね
自身が加害者であることは伝えてあるのですが
対応が駄目駄目です

>モロゾフの人
首吊って氏んだ方がいいとおもいますよ

773:名無しさん@お腹いっぱい。
10/01/08 18:58:48
URLリンク(www.aguse.jp)
ってソースどこに表示されるの?
ホストだとかドメインだとかは出てくるんだけど

774:772EM114-48-42-165.pool.e-mobile.ne.jp
10/01/08 19:01:01
>モロゾフの人
文句があったらかかってきなさい

-o_japan-オルティスジャパンー

775:名無しさん@お腹いっぱい。
10/01/08 19:02:20
>>773
調べたいサイトのURLを入力してクリック
結果のページ右のスクリーンショット(クリックすると拡大します)これで見られます

776:名無しさん@お腹いっぱい。
10/01/08 19:02:22
飛び先チェック
URLリンク(kakiko.com)

777:名無しさん@お腹いっぱい。
10/01/08 19:03:23
更新するものは最新版に更新して、
Adobe Reader、JRE、QuickTimeとか大して使わないものはアンインストール
Adobe Readerなんて他の無料で軽いの使えばいいんだし
これが一番の防御策だね

778:名無しさん@お腹いっぱい。
10/01/08 19:03:30
>>775
ゴメンこれはサイトを見たいときね

779:sage ◆sage/xLnlI
10/01/08 19:09:32
>>702
検体(コードが書いてあるやつ)いるならあげる
うpできるかわからないけど

780:名無しさん@お腹いっぱい。
10/01/08 19:09:48
>>776
これ知らなかった
ありがとう

781:名無しさん@お腹いっぱい。
10/01/08 19:12:39
ドクター中松さんのサイトは修正済みみたいだね

782:名無しさん@お腹いっぱい。
10/01/08 19:17:18
>>159
ここはまだだね
いつの間にかLGPLに変わってるし

783:名無しさん@お腹いっぱい。
10/01/08 19:18:42
>>738
なんで馬鹿みたいにネズミーとか言うんだろ
長くてみんどくさいならTDLとかでいいじゃん
何かスゲーむかついたので
>ネズミー

784:名無しさん@お腹いっぱい。
10/01/08 19:19:11
>>782
どういう人かと思って検索したら驚いた

785:名無しさん@お腹いっぱい。
10/01/08 19:20:42
>>783
いちいち言わなくて良いよ

786:名無しさん@お腹いっぱい。
10/01/08 19:21:01
>>782
LGPLだね
元がどうだったか知らないけど


787:名無しさん@お腹いっぱい。
10/01/08 19:37:29
このブラウザ使えるかもしれん
URLリンク(www.scriptbrowserk.com)

コンテンツブロックに*:8080/*を放り込m(ry

788:名無しさん@お腹いっぱい。
10/01/08 19:45:43
「GNU(ぐぬー)たん」
お馴染みのヌーを萌擬人化したキャラ

誰か・・・描いて・・・

789:名無しさん@お腹いっぱい。
10/01/08 19:50:47
>>773
右上のスクリーンショットの下からいけるGatewayへ。
上のフレームにある「ソース表示」でソースを持ってこれる。
だから、最初からGatewayに行ったらいいんじゃないかな。
URLリンク(gw.aguse.jp)
逆に、ここからaguseに行くことも可能(フレームの「ウェブ調査」)。

790:名無しさん@お腹いっぱい。
10/01/08 20:12:15
ノートンは対応してないのか・・・
>>739の方法で調べて
スタートアップにsiszyd32.exeとTMD.tmpの両方なかったら
この手のウイルスには感染していないでFA?
感染してないと思うけど気になるので

791:名無しさん@お腹いっぱい。
10/01/08 20:13:10
朝刊の一面になるほどのニュースなのに
対策していない企業とかマジでありえない
対策していないネットユーザにも責任はあるが
そのままWEBサイトを放置している企業の責任は重大

792:名無しさん@お腹いっぱい。
10/01/08 20:19:08
>>790
ノートンは脆弱性保護で最初から対応してる
今はファイルも検出する

793:名無しさん@お腹いっぱい。
10/01/08 20:21:30
>>159
こちらがまだだったのでVPCで踏んでみた。
特に何も起こらない・・・

フラッシュのバージョンが10.0.42.34だと影響ないということ?

794:名無しさん@お腹いっぱい。
10/01/08 20:22:27
>>792
ありがとう、少し安心した

795:名無しさん@お腹いっぱい。
10/01/08 20:23:21
>>793
Flashは関係ない

796:名無しさん@お腹いっぱい。
10/01/08 20:24:43
>>794
感染が気になるならスタートアップ確認でOK
さらに言えばタスクマネージャーで確認

797:790
10/01/08 20:31:54
>>796
タスクマネージャーにもmsconfigで見たスタートアップにも
siszyd32.exeとTMD.tmpは影も形もなかったよ、よかった
みんな教えてくれてありがとう


798:名無しさん@お腹いっぱい。
10/01/08 20:35:03 BE:1098795874-2BP(7777)
>>797
早い話
オンラインスキャン汁

799:名無しさん@お腹いっぱい。
10/01/08 20:37:35
オンラインスキャンしたところで検出できるやつがなかったりするからな

800:名無しさん@お腹いっぱい。
10/01/08 20:41:04
>>799
オワタ\(^o^)/

今でも(´・ω・) スクリプトが埋め込まれているうrlplz

801:名無しさん@お腹いっぱい。
10/01/08 20:51:06
Quick Time ですけど、QuickTime Alternativeはどうなんでしょ?入れて置いてもいいの?
アホな質問しているのかしら…。

802:名無しさん@お腹いっぱい。
10/01/08 21:02:06
>>783
TDLのガイドライン・・・

803:sage ◆sage/xLnlI
10/01/08 21:08:21
>>800
おk
うpしてくる(自分のサイトに)

804:名無しさん@お腹いっぱい。
10/01/08 21:13:00
>>803
お前はさっきから何がしたいんだ?

805:sage ◆sage/xLnlI
10/01/08 21:13:40
URLリンク(www16.atpages.j)p/filedl/dnserror.html

検体的なもの(アクセスすると危険)

806:名無しさん@お腹いっぱい。
10/01/08 21:18:10
>>805
エラーにみせかけるとな?
鬼畜ですな

807:名無しさん@お腹いっぱい。
10/01/08 21:27:28
>>805
/*GNU GPL*/

808:名無しさん@お腹いっぱい。
10/01/08 21:33:55
>>805
カスペルスキー無反応
win7
firefox カスペルスキー仮想実行モード

809:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:41:15
>>808
それやばい

810:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:43:09
>>806
エラー画面をみて思いつきましたw

811:名無しさん@お腹いっぱい。
10/01/08 21:45:22
まいど。
URLリンク(www.okamoto.co.jp)
KIS2010で検出。

812:名無しさん@お腹いっぱい。
10/01/08 21:47:22
新ウイルスに対応したオンラインスキャナーないのかよ・・・
アンチウイルスソフトをインスコするたびにBSOD祭りの俺はどうすれば・・・

813:名無しさん@お腹いっぱい。
10/01/08 21:51:26
>>811


Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

>>811

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:50:29
Kaspersky Internet Security 2010

814:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:52:22
>>812
なにそれこわい
明日は京都は違う検体をupします
種類も変えます(明日も鬼畜なやつにしようwwwwwwフヒッwwwwwww)


upの仕方

コードを書いてtxtに

up

txtをhtmlに書き換え

ヽ('A`)ノ 完成!
 (  )
 ノω|


815:名無しさん@お腹いっぱい。
10/01/08 21:53:47
感染の有無をチェックする無料のオンラインスキャンサービス

URLリンク(www.trendflexsecurity.jp)
URLリンク(security.symantec.com)


816:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:54:29
>>811
なにも起こらない  当たり前だけど
(pspで2ch北から)

817:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:56:13
検体upは仮装pcから←オヌヌメ


818:名無しさん@お腹いっぱい。
10/01/08 21:57:26
>>817
最近のウイルスはホストOSまで影響を与えるらしいよ(そよっ

819:名無しさん@お腹いっぱい。
10/01/08 21:58:57
仮想PCだから安心なんてのは幻想にすぎんよ

820:名無しさん@お腹いっぱい。
10/01/08 22:07:53
>>811
こういうのは2chブラウザビューアで見ても感染しない?

821:名無しさん@お腹いっぱい。
10/01/08 22:09:11
>>820
winマシンで見る限り絶対安心とは言えない


822:名無しさん@お腹いっぱい。
10/01/08 22:10:08
>>817
押入れから古いPC(HDD無)引っ張り出して
KNOPPIX(DVD)+USBメモリマウント

823:名無しさん@お腹いっぱい。
10/01/08 22:12:44
URLリンク(www.copper-brass.gr.jp)

日本伸銅協会

824:名無しさん@お腹いっぱい。
10/01/08 22:14:12
>>777
Adobe互換ソフトも必ずしも安全ではないと何度言えば

825:sage ◆sage/xLnlI
10/01/08 22:14:12
>>818
( ゚д゚)

(つд⊂)ゴシゴシ

(;゚д゚)

(つд⊂)ゴシゴシ
  _, ._
(;゚ Д゚) …?!

( ゚д゚ )フラグビンビン[ピー]ビンビン

826:名無しさん@お腹いっぱい。
10/01/08 22:15:46
>>812
まずはOSの入れなおしからどうぞ

827:名無しさん@お腹いっぱい。
10/01/08 22:17:09
もうこうなると、まだ無事なサイト上げた方が早い気すらしてくる

828:sage ◆sage/xLnlI
10/01/08 22:18:14
ホストpcスペック
OS windows7
メモリー 4GB
CPU AMD アスロン64X2 2.7GHz
ADOBE 8.12
flash 最新
JRE ? 12


829:名無しさん@お腹いっぱい。
10/01/08 22:20:24
他はともかく、JREはアンインスコしとけば他のウィルス対策にもなるから
アンインスコしない手はない

830:名無しさん@お腹いっぱい。
10/01/08 22:20:41
>>826
ウイルス踏んでもいないのにクリーンインストールかよ・・・
アレなんだよ・・・NICのドライバと競合して入れられない俺のマシン
アンチウイルスと犬猿の仲・・・

831:sage ◆sage/xLnlI
10/01/08 22:43:00
>>829
俺はJREがないと2chが見れませんので無理でつ

832:名無しさん@お腹いっぱい。
10/01/08 22:54:18
>>830
ドライバソフトの更新ないの?

833:名無しさん@お腹いっぱい。
10/01/08 22:58:13
>>832
最近更新されていないお・・・
バージョンを色々と変えてみたが・・・ムリポ

834:名無しさん@お腹いっぱい。
10/01/08 22:59:21
>>823
あれ、教えてもずっと放置してたのにいつの間にかサーバ落としたのか

835:名無しさん@お腹いっぱい。
10/01/08 23:02:57
>>834
ここ見てたんですかねぇ。。。

836:名無しさん@お腹いっぱい。
10/01/08 23:10:45
ウイルスに感染できるうrlplz

837:名無しさん@お腹いっぱい。
10/01/08 23:26:13
>>717
ケータイに感染するウィルスなかったっけ

838:名無しさん@お腹いっぱい。
10/01/08 23:31:36
「日本伸銅協会」をヤフで検索、キャッシュのソース内にしっかりと/*GNU GPL*/がwww

839:名無しさん@お腹いっぱい。
10/01/08 23:42:19
URLリンク(www.okamoto.co)●jp/js/over.js

/*LGPL*/ ですね

840:名無しさん@お腹いっぱい。
10/01/08 23:53:34
危ないURLを踏んでみたが感染しなかったwww
俺最強

841:名無しさん@お腹いっぱい。
10/01/08 23:54:37
『蜂の家』でググって一番上のサイトはまだ感染してるのかな

842:名無しさん@お腹いっぱい。
10/01/08 23:58:01
このウイルスって2度目のアクセスは感染させるためのページ表示させない仕様なのかな?

843:名無しさん@お腹いっぱい。
10/01/08 23:58:46
アプリケーションの追加と削除にJAVAの旧バージョンが10個位あったんだけど影響とかあるの?

844:名無しさん@お腹いっぱい。
10/01/09 00:01:55
javaなんてほとんど使い道ないから全部消した方が安心

845:名無しさん@お腹いっぱい。
10/01/09 00:04:34
お絵かきチャットできなくなっちゃう!><

846:名無しさん@お腹いっぱい。
10/01/09 00:05:04
今日の会社のお年寄りの会話
おっさんA「ガンプラって怖いらいな、HP見ただけで・・・」
おっさんB「ブログ見ただけでも感染するって書いてあるぞ・・・」


もれ心の中で「それ、ガンプラじゃなくてガンブラーだから・・・
       しかも、仕事中にどんなところ覗いているんだよ・・・おっさんども。」

847:名無しさん@お腹いっぱい。
10/01/09 00:11:23
Java消したらEclipse使えないじゃん

848:名無しさん@お腹いっぱい。
10/01/09 00:12:14
誰かウイルス本体を上げてくれ
URLリンク(ux.getuploader.com)

849:名無しさん@お腹いっぱい。
10/01/09 00:23:37
>>744
鳩山首相のtwitter偽アカウントやってたメガネ王という人のブログにmooterのブログパーツがあって、
年末ちょっと騒動になった

850:名無しさん@お腹いっぱい。
10/01/09 00:45:47
インターネットに公開してる企業のサイトは、
セキュリティのきっちりしたデータセンターに鯖が置いてあって、
更新時なんかは許可された端末からのみVPN経由でできるよう
にしてあるのが常識だと思ってたんだけど、意外とみんなそうじゃないんだね・・・


851:名無しさん@お腹いっぱい。
10/01/09 00:55:48
そんなところはほとんどないだろ

852:名無しさん@お腹いっぱい。
10/01/09 00:57:53
社内セキュリティ>サイト

853:名無しさん@お腹いっぱい。
10/01/09 01:22:32
>>850
それやってもやられるものはやられる

854:名無しさん@お腹いっぱい。
10/01/09 01:32:40
>>847
そうそう
JREのバージョンを上げるって対策だけはおいそれと出来ないから困ってる

855:名無しさん@お腹いっぱい。
10/01/09 01:35:38
>>854
色々不具合が起きるケースが多いわな、確かに。

856:名無しさん@お腹いっぱい。
10/01/09 01:36:43
わかります、戸松遥,中島愛,早見沙織なわけですね

857:名無しさん@お腹いっぱい。
10/01/09 02:00:56
変則的だけど、インストーラは別だからシステムに影響するJREは最新にして
JDK側は開発に合わせるとかもできなくもない気がする
試してないけどね

お絵かきしたい人は諦めてくれ

858:名無しさん@お腹いっぱい。
10/01/09 02:09:23
Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)

インシデントの届出
URLリンク(form.jpcert.or.jp)

記入例
URLリンク(www.jpcert.or.jp)
結構適当でいいらしい。

859:名無しさん@お腹いっぱい。
10/01/09 02:44:26
>>844
JAVAのバージョンチェックしたらJAVAそのものが入っていなかったでござる

860:名無しさん@お腹いっぱい。
10/01/09 03:01:00
噴いたwww

861:名無しさん@お腹いっぱい。
10/01/09 03:02:43
>>859
あれ? 俺書いたっけ・・・
とりあえずJAVA入れてきたw

862:名無しさん@お腹いっぱい。
10/01/09 03:03:16
>>732見たけど
■三栄コーポレーション(2010年1月8日発表)
告知:「モッフル」ホームページの改ざんとウイルス被害に関する報告とお詫び[PDF]

いま出すお詫びがPDFでなくてもよかろうもん

863:名無しさん@お腹いっぱい。
10/01/09 03:25:32
>>861
なかったもんをなぜわざわざ入れるのだ

864:名無しさん@お腹いっぱい。
10/01/09 03:54:58
サイバー/サーバー/サバイバー(なんかキワモノバンドの名前になりそうな)

 しかしネットサーフィンも電脳サバイバルの様相を呈してきた感じ・・・

865:名無しさん@お腹いっぱい。
10/01/09 04:01:52
20XX年にはネットサーフィンをしていて脳を焼き切られたりする訳か。

866:名無しさん@お腹いっぱい。
10/01/09 04:07:55
>>841
してるよ

867:名無しさん@お腹いっぱい。
10/01/09 06:00:54
ノートソ警察w
URLリンク(megalodon)●jp/2010-0107-1225-07/ameblo●jp/caetla-2008/entry-10427328482●html


868:名無しさん@お腹いっぱい。
10/01/09 06:42:22
>753
(4) JRE(Java Runtime Environment)を最新版に更新する

JRE入れてなかったら問題無い?
それともJRE入れて最新版にしとかないと駄目?

869:名無しさん@お腹いっぱい。
10/01/09 06:44:05
いらないなら入れる必要はない

870:名無しさん@お腹いっぱい。
10/01/09 06:49:17
個人PCに悪さしないならおとなしくAvast!のupdateまったほうがいいんではないかな

871:名無しさん@お腹いっぱい。
10/01/09 06:58:22
URLリンク(bakera.jp)
似通った文章にみえた
指南してる人いるのかな

872:名無しさん@お腹いっぱい。
10/01/09 07:14:49
>>870
avast使ってる人はそれでも良いんじゃないか
みんなが使ってると思ってるのかな

873:名無しさん@お腹いっぱい。
10/01/09 07:24:09
avast!タン ずっと一緒だお!
きゅいきゅい きゅいーん!

874:名無しさん@お腹いっぱい。
10/01/09 07:29:24
もう馬鹿しか使ってない

875:名無しさん@お腹いっぱい。
10/01/09 07:36:56
>>872
なんでもいいけどアンチウイルスのupdateをまてばいいのさ

876:名無しさん@お腹いっぱい。
10/01/09 07:48:38
意味分からねえな
馬鹿havastのスレいけよ

877:名無しさん@お腹いっぱい。
10/01/09 07:49:56
アンチウイルスの対応待つんじゃなくて
脆弱性の対処しとけば良いだけだ
avastなんかに期待するな

878:名無しさん@お腹いっぱい。
10/01/09 07:56:01
>>849
検索窓のパーツに含まれてるJavaScriptファイルがやられてたので
設置してたサイトは改ざんサイト同然。

「ノートン警察」のブログパーツもJavaScriptファイルだから同じね。

>>744

>期間:2009年12月25日1時~12月28日18時30分

改ざんファイルのタイムスタンプは 2009/12/24 1:30(GMT)周辺だったんだが、
どういう計算すると12月25日1時になるんだろ。

2009/12/26 2:47:54(GMT)に、検索窓のJavaScriptファイルだけ直したみたい。
ほかの奴のは29日夕方だけど、28日18時30分に閉鎖したってことかな


879:名無しさん@お腹いっぱい。
10/01/09 09:16:47
URLリンク(www.note-pc.biz)
このページ改竄されてね?js検知すんぞ

880:名無しさん@お腹いっぱい。
10/01/09 09:28:19
>>879
URLリンク(www)●note-pc●biz/js/rollover●js
rollover.jsにぐぬーたんがいるおっおww

881:sage ◆sage/xLnlI
10/01/09 09:37:40
おっっっっっっっっっっっっっっっっっっっっっっっっはっっっっっっっっっっっっっっっっっっっっっっっっっっっようごっごっごごごごごございまkっさ

882:名無しさん@お腹いっぱい。
10/01/09 09:44:13
>>880
aguseのカスペが反応しないんだが新種かねぇ?

883:sage ◆sage/xLnlI
10/01/09 09:45:20
URLリンク(www16)●atpages.jp/filedl/ds%20psp%20syosinsyakouza.html

884:sage ◆sage/xLnlI
10/01/09 09:46:02
>>883
検体です
(踏んだら危険)

885:名無しさん@お腹いっぱい。
10/01/09 09:50:52
>>882
ほい
URLリンク(www.virustotal.com)

886:名無しさん@お腹いっぱい。
10/01/09 09:53:04
ClamAVに検体送っといたお

887:名無しさん@お腹いっぱい。
10/01/09 09:55:41
>>885
テンキュー

888:sage ◆sage/xLnlI
10/01/09 10:02:17
>>883に付け加え

コード

書いてある
だけ
です

889:名無しさん@お腹いっぱい。
10/01/09 10:15:30
>>879を踏んでみた→Adobe ReaderとJavaが起動したが結局何も起こらず
両者とも最新版だお

890:名無しさん@お腹いっぱい。
10/01/09 10:17:31
ニフティのオンラインスキャンやっても
3万ファイルぐらいでスキャン終了されて
system32のログとかローカルの中のtmpとかロック扱いで中身見てもらえないんだが
これ本当に大丈夫なんだろうか

マカフィーは今日手動更新してもファイル更新できないし
FTP使った後、一時間以上サイト改ざんされなければもう白でいいのか?

891:名無しさん@お腹いっぱい。
10/01/09 10:33:21
>>889
>踏んでみた→Adobe ReaderとJavaが起動
これアウトじゃね?
pdf開いてないのにReaderは普通起動しないだろ…

892:名無しさん@お腹いっぱい。
10/01/09 10:38:02
>>891
URLリンク(www.keiyu.com)
embedでPDFを埋め込めるお

893:名無しさん@お腹いっぱい。
10/01/09 10:41:09
/*------------------------------------------------------------
* ロールオーバーを設定する画像にクラス名「over」を指定
* ロールオーバー時に表示するための画像ファイル名後ろに「_over」をつける
/*------------------------------------------------------------*/



894:名無しさん@お腹いっぱい。
10/01/09 10:44:13
しかも今回の攻撃は最新版のAdobe Readerがまだ修正してない脆弱性を使うようなんだが…
仮想環境でもないWindowsであんまりチャレンジしない方がいいぞ

895:名無しさん@お腹いっぱい。
10/01/09 10:58:13
その落ちてくるPDFってのをくれ
scriptが埋め込むURLにアクセスしても0byteが帰ってくるだけで
何も落ちてこない。
windows使ってないから?リファラ見てる?

896:名無しさん@お腹いっぱい。
10/01/09 11:01:14
今回悪用されていると思われる脆弱性のPoC拾ってきたお
悪質なコードを取り除きPDFを作成次第配布するお

897:名無しさん@お腹いっぱい。
10/01/09 11:04:08
>>889
ReaderはバージョンだけじゃなくJavaScript機能オフまでが対策

>>890
1時間程度じゃ改ざんされない可能性もある
心配ならOS入れなおせよ

898:名無しさん@お腹いっぱい。
10/01/09 11:05:20
>>895
リファラも見てるかもしれんが
少なくともUserAgentは見てるんじゃね

899:名無しさん@お腹いっぱい。
10/01/09 11:09:21
>>895
>>896のようにPoCをちょっといじったものなら別スレで喜んで張ってた奴がいる
avast!のWebシールドでも反応しない新ガンブラーが登場
スレリンク(news板)

wgetで普通に取れる ただこれは今回実際に攻撃に使われてるものではない

900:名無しさん@お腹いっぱい。
10/01/09 11:10:07
>>889
> Adobe ReaderとJavaが起動したが結局何も起こらず
何も起きてないことをどうやって確認したんだ?

901:名無しさん@お腹いっぱい。
10/01/09 11:12:10
>>900
ファイル操作系のAPIを全てフックして監視していたお
念のためにディスクイメージも比較した
結論:特に変化無し

902:名無しさん@お腹いっぱい。
10/01/09 11:13:03
>>889は、まだトロイ本体が侵入して無いだけの状態かな?



903:名無しさん@お腹いっぱい。
10/01/09 11:14:28
>>901
APIフックって自作?
何かツールあるの?

904:名無しさん@お腹いっぱい。
10/01/09 11:15:54
企業が結構やられてるから個人のサイトなんかもう恐くて見れないな
2ちゃんがやられる可能性もあるの?

905:名無しさん@お腹いっぱい。
10/01/09 11:16:01
>>903
自作だお
既製品はシラネ

906:名無しさん@お腹いっぱい。
10/01/09 11:18:24
時間経過で変化出るのかな

907:名無しさん@お腹いっぱい。
10/01/09 11:19:05
>>905
俺に作り方教えてくれ

908:名無しさん@お腹いっぱい。
10/01/09 11:24:54
>>907
言語は?

909:名無しさん@お腹いっぱい。
10/01/09 11:26:26
>>901
砂箱つかえよ
Sandboxieとか

910:名無しさん@お腹いっぱい。
10/01/09 11:29:28
>>908
一応Cできる。カーネルの知識はない。

911:名無しさん@お腹いっぱい。
10/01/09 11:30:23
>>910
要するにファイル操作系のAPIを全てフックして監視すればいいんじゃね?

912:名無しさん@お腹いっぱい。
10/01/09 11:49:27
>>901
古いreaderとか入れろよ

913:名無しさん@お腹いっぱい。
10/01/09 11:59:33
>>879
パソコンお直し隊 電話番号
URLリンク(www.google.co.jp)
2010-1-9(土)11:46電凸
中国人?が出る
よく分からんが、むかついたので完了とする
これ以降は、恣意的にウイルスを拡散しているものと判断

914:名無しさん@お腹いっぱい。
10/01/09 12:11:37
>>811
凸電した
お宅のHPをみたらPCぶっ壊れたと言ってやった

915:名無しさん@お腹いっぱい。
10/01/09 12:40:52
>>879
HEUR:Exploit.Script.Generic

カスペルスキー
ジェネリックで検知

916:名無しさん@お腹いっぱい。
10/01/09 13:08:28
URLリンク(www.note-pc.biz)
ここはもう何も落としてこないな
単にアンチウィルスが反応するだけで、pdfも送り返して来ない

917:名無しさん@お腹いっぱい。
10/01/09 13:31:33
ru:8080側でアクセス制御していて2度目以降は404を装うと何度言ったら…。
IP変えて(串可)どうぞ。

918:名無しさん@お腹いっぱい。
10/01/09 13:33:34
アンチウイルスが反応するリンクをそのまま張るな

919:名無しさん@お腹いっぱい。
10/01/09 13:39:48
>>912
それは軽く死ねる

920:名無しさん@お腹いっぱい。
10/01/09 13:58:01
またAviraは誤検出か
いい加減にしとけや

921:名無しさん@お腹いっぱい。
10/01/09 14:56:04
ファイル操作系だけじゃなくてプロセス生成とかネットワークを監視しなくていいのか?
というか監視は普通にProcess Monitorとかでできるんじゃないか

922:名無しさん@お腹いっぱい。
10/01/09 15:02:50
高木浩光さんコメントお願いします

923:名無しさん@お腹いっぱい。
10/01/09 15:04:43
高木はNyzillaで忙しい

924:名無しさん@お腹いっぱい。
10/01/09 15:45:45
>>921
それだと表示されない関数があるお
Wiresharkと適当な実装のAPIフックプログラムを併用しているお

何故かVistaでフック出来ない件
教えてエロい人

925:名無しさん@お腹いっぱい。
10/01/09 15:47:44
ム板行け

926:名無しさん@お腹いっぱい。
10/01/09 15:52:22
語尾の「~お」がキモい
死ね

927:名無しさん@お腹いっぱい。
10/01/09 15:57:02
はいはいVipper乙

928:名無しさん@お腹いっぱい。
10/01/09 16:01:22
おちつけお( ^ω^)

929:名無しさん@お腹いっぱい。
10/01/09 16:06:39
(゚ω゚)VIPお断りします

930:名無しさん@お腹いっぱい。
10/01/09 16:10:57
(´・ω・) カワイソス

931:名無しさん@お腹いっぱい。
10/01/09 16:13:57
>>924
プラグインの起動まではしているがその後こけてるということか
具体的にどういうコードが動いてるかは見てる?

932:名無しさん@お腹いっぱい。
10/01/09 16:22:30
セキュ板はNoノートンだおだお

933:名無しさん@お腹いっぱい。
10/01/09 18:57:52
このメールは全ご登録ユーザー様、
および製品情報サービスを申し込まれた方にお送りしております。

「Gumblar(ガンブラー)」関連ウイルスにご注意ください

                              ソースネクスト株式会社

いつもソースネクスト製品をご愛用いただき、誠にありがとうございます。
さて、現在、改ざんされたサイトを閲覧しただけで感染する「Gumblar(ガンブラー)」と
その亜種が流行しています。念のため、利用されているウイルス対策ソフトの対応状況を
確認されることをおすすめいたします。

なお、ソースネクストの「ウイルスセキュリティ」は、これらのウイルスに対応済みですので、
必要な方はこの機会にご検討ください。

  セキュリティ製品のお客様専用サイト
  URLリンク(mail.sourcenext.info)

  「ウイルスセキュリティ」のお買い求めはこちら
  eSHOP価格4,480円 (標準価格 4,980円) 10%OFF
  URLリンク(mail.sourcenext.info)

今後ともソースネクスト製品を末永くお使いいただきますようお願い申し上げます

934:名無しさん@お腹いっぱい。
10/01/09 19:06:49
だが! 断る!!

935:名無しさん@お腹いっぱい。
10/01/09 19:07:25
>>932
バスターでサクサク快適アルヨー

936:名無しさん@お腹いっぱい。
10/01/09 19:33:26
ClamAVニダ

937:名無しさん@お腹いっぱい。
10/01/09 20:01:59
>>616
FTP通信そのものを見てるとしたら繋いだFTP鯖だけだよね
繋いでないのに改竄されてる・一つ繋いだら他のFTP鯖のサイトも改竄されたと言ってる人はどうなるの?

繋いだのに忘れてるのかな?

938:名無しさん@お腹いっぱい。
10/01/09 20:03:17
>>937
FTPクライアントにパスが保存してあるって
それを読み取られてるんじゃね?

939:名無しさん@お腹いっぱい。
10/01/09 20:03:58
嗚呼w日本語がw

940:名無しさん@お腹いっぱい。
10/01/09 20:21:57
JAVAとJavascriptオフにしてたら感染しない?

941:名無しさん@お腹いっぱい。
10/01/09 20:23:26
>>937
genoを解析したところによると一部のFTPクライアントの設定を読み取って改ざんするとなってた。

942:名無しさん@お腹いっぱい。
10/01/09 20:31:27
スレの内容も堂々巡りだなw

943:名無しさん@お腹いっぱい。
10/01/09 20:55:44
>>941
Genoとは別物だけどね
FTPクライアントの設定ファイルは見てるのは事実

944:名無しさん@お腹いっぱい。
10/01/09 20:59:43
【Geno】 ガンブラーウィルス  ヤフーも被害に  昨年10月27日~今年1月8日
スレリンク(news板)

945:名無しさん@お腹いっぱい。
10/01/09 21:04:37
こう頻繁に見つかると企業の極秘情報も中国に売られてるんじゃない?

946:名無しさん@お腹いっぱい。
10/01/09 22:01:39
avast! が LGPL のスクリプトに対応した
JS:Illredir-C [Trj]

947:名無しさん@お腹いっぱい。
10/01/09 22:32:53
LGPLタイプのvirus total 再解析
結果: 10/41 (24.4%)
URLリンク(www.virustotal.com)

948:名無しさん@お腹いっぱい。
10/01/09 22:46:59
こっちのLGPLはもっと少ないな
新たにavastが加わったくらいだ
結果: 6/41 (14.64%)
URLリンク(www.virustotal.com)

949:名無しさん@お腹いっぱい。
10/01/09 22:52:18
カーチャンのPCが物凄いアクセスしてくる

950:名無しさん@お腹いっぱい。
10/01/09 22:54:15
カーチャンが必死なんだろ

951:名無しさん@お腹いっぱい。
10/01/09 23:41:12
カーチャンがんがれ!

952:名無しさん@お腹いっぱい。
10/01/09 23:42:47
>>948
100109-0の定義データでavast!がLGPLに対応したみたいだ
手持ちの12個の検体すべてに反応するようになった

953:名無しさん@お腹いっぱい。
10/01/09 23:48:08
馬鹿には(´・ω・) スnスn出来ない(´・ω・) スクリプト
URLリンク(2sen.dip.jp)

954:名無しさん@お腹いっぱい。
10/01/09 23:55:24
権限なしのなら大丈夫?

955:名無しさん@お腹いっぱい。
10/01/09 23:57:23
>>953
これはなんだ?
NoScript入れてたからどうもないと思うが

956:名無しさん@お腹いっぱい。
10/01/10 00:00:12
Security Tool はGumblarみたいにFTP情報流したりしないの?

957:名無しさん@お腹いっぱい。
10/01/10 00:08:33
>>953
NoScript解いたけどどうもならないな・・・

958:名無しさん@お腹いっぱい。
10/01/10 00:27:12

URLリンク(www29.atwiki.jp)
の管理人だけど、更新したほうがいい?

正直今頃になって大騒ぎするとは思わなかったわ


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch