10/01/08 15:28:22
>>694
>>99
99 :名無しさん@お腹いっぱい。:2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告
fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/~というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
(以下略)
これってつまり、IE保護モードで今回のリスクは回避されないんじゃね?
701:名無しさん@お腹いっぱい。
10/01/08 15:30:21
保護モードは一部回避可能だけど、
Flashの脆弱性を狙うコードが保護モード回避したとかの話は聞いたこと無い
テストコードは出ても、実際にそれを使ったマルウェア等は出てない
702:名無しさん@お腹いっぱい。
10/01/08 15:30:29
感染実験したいからURLくれ
703:名無しさん@お腹いっぱい。
10/01/08 15:34:25
>>696
そこ見ても、保護モードのシステムの管理下で動作するだけで、
勝手にシステムとかに書き込めるわけじゃないじゃん
704:名無しさん@お腹いっぱい。
10/01/08 15:42:33
>>694
>Adobe Readerの脆弱性攻撃は、「ChangeLog.pdf」というPDFファイルの中に
>複数の攻撃コードが組み込まれており、パソコンにAdobe Readerがインストールされている場合には、
>この細工されたPDFファイルを自動的に開いて攻撃を行う。
↑保護モードでは通過してしまうプロセスを悪用してるんじゃないのかと
705:名無しさん@お腹いっぱい。
10/01/08 16:02:33
>>脆弱性でやられてもまず影響が出ない
そういえばJavaがウイルスのローダーとして悪用されていた件
脆弱性以前の問題だよね・・・
706:名無しさん@お腹いっぱい。
10/01/08 16:22:12
もうどんな防御しようと無意味なんじゃないかって思えてきた
707:名無しさん@お腹いっぱい。
10/01/08 16:24:38
OSなりブラウザを仮想化すれば良いではないか
708:名無しさん@お腹いっぱい。
10/01/08 16:28:59
そういう手段しか思いつかないレベルってことですね
709:名無しさん@お腹いっぱい。
10/01/08 16:33:53
>>706-708
NO
Adobeがちゃんと脆弱性塞いでれば良いだけの話
もっと言えばMSが情報公開して協力してれば良いだけの話
攻撃自体は単純
710:名無しさん@お腹いっぱい。
10/01/08 16:35:30
警視庁も動きだしたそうじゃないか
どこまでできるのかわからんけど
711:名無しさん@お腹いっぱい。
10/01/08 16:37:16
>>709
>MSが情報公開して協力
誰に?
712:名無しさん@お腹いっぱい。
10/01/08 16:38:20
>>711
Adobeに
713:名無しさん@お腹いっぱい。
10/01/08 16:46:25
JavaもReaderもアンインストール
WindowsとFlashは最新
ばっちこいや
714:名無しさん@お腹いっぱい。
10/01/08 16:51:55
>>713
最終ステップ:Windowsもアンインストール
715:名無しさん@お腹いっぱい。
10/01/08 16:54:29
Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)
716:名無しさん@お腹いっぱい。
10/01/08 17:09:01
WIN7は感染しないんですか?
717:名無しさん@お腹いっぱい。
10/01/08 17:21:20
ゲームやケータイのブラウザが最強だな
感染する場所がありゃしないぜ!
718:名無しさん@お腹いっぱい。
10/01/08 17:22:16
もうみんなでマカーになろうよ
719:名無しさん@お腹いっぱい。
10/01/08 17:34:42
つlinux
720:名無しさん@お腹いっぱい。
10/01/08 17:38:33
凄い初心者な質問で申し訳ないけど
普段から使ってるもの一通り最新版にしておけばGumblarに限らず
大体のウイルスにかからないもんなの?
721:名無しさん@お腹いっぱい。
10/01/08 17:42:15
さきほどGENOウィルスが仕込まれてる可能性の高いURLを踏んでしまいました。
慌てて途中でブラウザを閉じたのですが感染してるか心配です。
こちらの(URLリンク(www29.atwiki.jp))GENOウイルスまとめサイトに書かれていた方法を確認し
感染の可能性は低いと判断しましたが、このサイトの情報は古いと書いてあったので
本当に無事なのかちょっと心配です。
上記サイトに書かれている方法以外に感染を判断する方法はありますか?
722:名無しさん@お腹いっぱい。
10/01/08 17:46:26
>>720
古いバージョンの脆弱性を狙うタイプのウイルスは防げるかと思われ
それ以外にも例えばAdobeReaderのjsOFFみたいな機能設定に関する脆弱性とか、
そもそも実行型ファイルを開いて感染する場合もあると思うけども
723:名無しさん@お腹いっぱい。
10/01/08 17:47:13
>>720
一通り最新版にして適切な設定にしていれば助かる可能性は高くなる
なんでもかんでも自動実行されるPCだとGumblarに限らず危険って事
724:名無しさん@お腹いっぱい。
10/01/08 17:49:41
>>709
Adobeの対応悪すぎだよな。
過去のMicrosoftと同じ過ちを繰り返してる。
みんな歴史に学べないねぇ。
725:名無しさん@お腹いっぱい。
10/01/08 17:51:14
>>720
新型はふせげねー、新型にあたったらクリーンインストールするしかない
726:名無しさん@お腹いっぱい。
10/01/08 17:51:38
やっとAdobeの修正がきたみたいだね
URLリンク(internet.watch.impress.co.jp)
727:名無しさん@お腹いっぱい。
10/01/08 17:53:01
来週の話でしょ。
対応遅すぎ。
728:名無しさん@お腹いっぱい。
10/01/08 17:54:32
なんでそんな悠長に構えてんだろうなアドビ
自分とこの製品が犯罪に利用されてるってのに
729:名無しさん@お腹いっぱい。
10/01/08 17:56:43
AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。
730:名無しさん@お腹いっぱい。
10/01/08 17:57:04
競合相手がいないからさ
731:名無しさん@お腹いっぱい。
10/01/08 17:59:09
>>720
感染しているPCはCPU使用率が異常に高いのも目安のひとつだな
732:名無しさん@お腹いっぱい。
10/01/08 17:59:23
サイト改ざんリスト(発表分のみ)
URLリンク(www.so-net.ne.jp)
三栄コーポレーション
サイバーエージェント
ハウス食品
東京財団
データリンクス
京王電鉄
ビロング
恵那バッテリー電装
ナショナルクリエイターズカンファレンス
大学図書館問題研究会
モロゾフ
民主党東京都総支部連合会
ローソン
検索エンジンMooter
デジタルマガジン
ディズニー
信越放送
FX為替情報検索「fxwill.com」
野村ビルマネジメント
京成トラベルサービス
本田技研工業
JR東日本
ラジオ関西
しかし、とんでもねー数だな…
733:名無しさん@お腹いっぱい。
10/01/08 18:02:14
adobeもアレだけど感染した企業のセキュリティに対する認識の甘さも問題だな
734:名無しさん@お腹いっぱい。
10/01/08 18:02:32
猛威をふるうガンブラーの徹底対策術
URLリンク(www.yomiuri.co.jp)
735:名無しさん@お腹いっぱい。
10/01/08 18:02:43
/*LGPL*/
URLリンク(www.virustotal.com)
対応済み:Avira カスペ NOD32
736:名無しさん@お腹いっぱい。
10/01/08 18:02:49
CVE-2009-4324
VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
URLリンク(vrt-sourcefire.blogspot.com)
extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
URLリンク(extraexploit.blogspot.com)
737:名無しさん@お腹いっぱい。
10/01/08 18:04:25
>>732
ここらのサイトやアメブロなんかで気づかずに感染してる一般人って相当数いるんじゃね?
今回のは自分が感染してるかどうか分からないみたいだし…
738:名無しさん@お腹いっぱい。
10/01/08 18:05:29
>>732
ネズミーもか!?
閲覧者多そうだしますますやばいな
739:名無しさん@お腹いっぱい。
10/01/08 18:09:37
>>721
一応他スレから転載
437 :8080:2010/01/08(金) 18:03:07 ID:Db0zlWvOO
>>435
旧Gumblarのやつは使えない。
【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)
削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除
*感染していた場合*
駆除するより、バックアップを取ってから
リカバリ(クリーンインストール)を強く推奨。
740:名無しさん@お腹いっぱい。
10/01/08 18:09:37
>>732
ディズニー見ちゃったよ
いつの時点で改ざんされてたんだろう
741:名無しさん@お腹いっぱい。
10/01/08 18:10:19
>>737-738
リンク先読めばわかるけど、大体の企業は
「特定のページがやられてて、それ以外は今のところ異常ない」って建前らしい。
まあ、ウイルスの全貌が解析されきってない以上
実際のところはどうだかわかったもんじゃないけどね。
742:名無しさん@お腹いっぱい。
10/01/08 18:11:01
>>740
リンク先に詳しく書いてある。
743:名無しさん@お腹いっぱい。
10/01/08 18:14:29
>>742
Forbiddenってなる
744:名無しさん@お腹いっぱい。
10/01/08 18:15:51
>>732
>■検索エンジンMooter(2009年12月30日発表)
>種別:/*GNU GPL*/
>期間:2009年12月25日1時~12月28日18時30分
>場所:Mooterホームページ(*.mooter.co.jp)、および「Mooter検索窓」の設置サイト
>告知:弊社ホームページの改ざんについてのお詫びとお知らせ(削除済み)
こことか地味に酷くね?
検索窓設置してるサイトもやられてるとしたら、どこまで広がってるか…
しかも告知「削除済み」とか対応がありえねえだろ。
745:名無しさん@お腹いっぱい。
10/01/08 18:15:55
>>743
は?
746:名無しさん@お腹いっぱい。
10/01/08 18:16:52
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)
しょうがないやつだ。念のためおまえのPCはクリーンインストールして来い
747:名無しさん@お腹いっぱい。
10/01/08 18:17:40
>>743
>■ディズニー(2009年12月29日発表)
>種別:Gumblar.x
>期間2009年12月22日16時~12月25日18時
>場所:ショッピングサイト お正月特集ページ(www.disney.co.jp●shopping/special/0912_newyear.html)
>告知:お正月特集ページに関するお詫び
>www.disney.co.jp●shopping/pop/091229_info.html
748:名無しさん@お腹いっぱい。
10/01/08 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)
749:名無しさん@お腹いっぱい。
10/01/08 18:19:16
>>735
>>592 を再スキャンしてみた
定義データでは一部のスクリプトだけの検出だな・・・
本格的な対応はこれからか
結果: 0/41
URLリンク(www.virustotal.com)
結果: 0/41
URLリンク(www.virustotal.com)
結果: 1/41 (Sophos)
URLリンク(www.virustotal.com)
750:名無しさん@お腹いっぱい。
10/01/08 18:20:54
でもまぁ、
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
の対策が取れてたら感染サイト踏んでたとしても大丈夫なはずだが一応
751:名無しさん@お腹いっぱい。
10/01/08 18:21:11
>>746-748
わざわざすいません
該当する期間とショッピングサイトには行っていないから
なんとかセフセフ
752:名無しさん@お腹いっぱい。
10/01/08 18:23:48
New谷さん大丈夫かね
748 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)
753:名無しさん@お腹いっぱい。
10/01/08 18:24:12
>>750
スレリンク(sec板:405番)
今北さん用、GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
754:名無しさん@お腹いっぱい。
10/01/08 18:25:05
もともとスクリプトを検出していたのは少ない
win.jpgなどの脆弱性を突いた攻撃自体を検出した方が効率的だろ
脆弱性攻撃を受けた後実行されるpdfupf.exeだけを検出すものもあるがこれでも防御は可能
755:名無しさん@お腹いっぱい。
10/01/08 18:26:28
>>739の感染確認方法ってどうなの?
756:名無しさん@お腹いっぱい。
10/01/08 18:27:45
現時点じゃ他に確認のしようがない
757:名無しさん@お腹いっぱい。
10/01/08 18:28:11
「New谷さん」呼びはやめろよな
758:名無しさん@お腹いっぱい。
10/01/08 18:30:20
>>755
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいやつで
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる
しかし同じような名前なのですぐ気づく
これからも変わるかも知れないが変な物が登録されているかはすぐ分かるだろう
759:名無しさん@お腹いっぱい。
10/01/08 18:34:06
>>758
詳しくありがとうございます
760:752
10/01/08 18:37:49
ごめん誤爆だった
761:名無しさん@お腹いっぱい。
10/01/08 18:40:31
このあいだfirefox NoScript+view-source:で
感染サイトのソース見ようとしたらavast!がプゥプゥいった。
この状況でも感染するもの?
adobeのjavaはオフにしてある。
762:名無しさん@お腹いっぱい。
10/01/08 18:40:40
糸色望した
763:名無しさん@お腹いっぱい。
10/01/08 18:42:29
>>761
その場合はNoScriptでブロックされているはず
問題ない
>adobeのjavaはオフにしてある。
Tips:JavaとJavaScriptは別物
764:名無しさん@お腹いっぱい。
10/01/08 18:48:29
view-sourceだけでも安全な気がしてたんだが・・・
違うのね
765:名無しさん@お腹いっぱい。
10/01/08 18:49:05
安全だよ
766:名無しさん@お腹いっぱい。
10/01/08 18:49:37
txtとして開くんだから大丈夫じゃないの?
767:名無しさん@お腹いっぱい。
10/01/08 18:52:52
txt形式でもウイルスのコード記述があれば反応するのでは
感染はしないけど
768:名無しさん@お腹いっぱい。
10/01/08 18:52:58
>>763ありがとう
ていうかview-source:ってリンク先のサイト踏まずに
ソースがみれるものだと思ってたんだがウイルスは防げないのか…
オンラインソースチェッカー閉鎖が惜しまれる
769:名無しさん@お腹いっぱい。
10/01/08 18:54:52
オンラインソースチェッカーの代わりに
URLリンク(www.aguse.jp)
じゃだめなのか?
770:名無しさん@お腹いっぱい。
10/01/08 18:55:57
>>768
見れると思うけど
>>550
URLリンク(www.aguse.jp)
771:名無しさん@お腹いっぱい。
10/01/08 18:57:21
初心者で申し訳ないんだけど、>>753の(1)~(4)に加えて
IEでセキュリティ高にしたり、firefox+NoScript使えばさらに安全になるのかな?
772:名無しさん@お腹いっぱい。
10/01/08 18:57:43
>>710
モロゾフの人がFTPログを証拠として被害届けを出したそうですね
でもあれは不正アクセスの証明にしかなりませんね
モロゾフの人健忘症なのでしょうかね
自身が加害者であることは伝えてあるのですが
対応が駄目駄目です
>モロゾフの人
首吊って氏んだ方がいいとおもいますよ
773:名無しさん@お腹いっぱい。
10/01/08 18:58:48
URLリンク(www.aguse.jp)
ってソースどこに表示されるの?
ホストだとかドメインだとかは出てくるんだけど
774:772EM114-48-42-165.pool.e-mobile.ne.jp
10/01/08 19:01:01
>モロゾフの人
文句があったらかかってきなさい
-o_japan-オルティスジャパンー
775:名無しさん@お腹いっぱい。
10/01/08 19:02:20
>>773
調べたいサイトのURLを入力してクリック
結果のページ右のスクリーンショット(クリックすると拡大します)これで見られます
776:名無しさん@お腹いっぱい。
10/01/08 19:02:22
飛び先チェック
URLリンク(kakiko.com)
777:名無しさん@お腹いっぱい。
10/01/08 19:03:23
更新するものは最新版に更新して、
Adobe Reader、JRE、QuickTimeとか大して使わないものはアンインストール
Adobe Readerなんて他の無料で軽いの使えばいいんだし
これが一番の防御策だね
778:名無しさん@お腹いっぱい。
10/01/08 19:03:30
>>775
ゴメンこれはサイトを見たいときね
779:sage ◆sage/xLnlI
10/01/08 19:09:32
>>702
検体(コードが書いてあるやつ)いるならあげる
うpできるかわからないけど
780:名無しさん@お腹いっぱい。
10/01/08 19:09:48
>>776
これ知らなかった
ありがとう
781:名無しさん@お腹いっぱい。
10/01/08 19:12:39
ドクター中松さんのサイトは修正済みみたいだね
782:名無しさん@お腹いっぱい。
10/01/08 19:17:18
>>159
ここはまだだね
いつの間にかLGPLに変わってるし
783:名無しさん@お腹いっぱい。
10/01/08 19:18:42
>>738
なんで馬鹿みたいにネズミーとか言うんだろ
長くてみんどくさいならTDLとかでいいじゃん
何かスゲーむかついたので
>ネズミー
784:名無しさん@お腹いっぱい。
10/01/08 19:19:11
>>782
どういう人かと思って検索したら驚いた
785:名無しさん@お腹いっぱい。
10/01/08 19:20:42
>>783
いちいち言わなくて良いよ
786:名無しさん@お腹いっぱい。
10/01/08 19:21:01
>>782
LGPLだね
元がどうだったか知らないけど
787:名無しさん@お腹いっぱい。
10/01/08 19:37:29
このブラウザ使えるかもしれん
URLリンク(www.scriptbrowserk.com)
コンテンツブロックに*:8080/*を放り込m(ry
788:名無しさん@お腹いっぱい。
10/01/08 19:45:43
「GNU(ぐぬー)たん」
お馴染みのヌーを萌擬人化したキャラ
誰か・・・描いて・・・
789:名無しさん@お腹いっぱい。
10/01/08 19:50:47
>>773
右上のスクリーンショットの下からいけるGatewayへ。
上のフレームにある「ソース表示」でソースを持ってこれる。
だから、最初からGatewayに行ったらいいんじゃないかな。
URLリンク(gw.aguse.jp)
逆に、ここからaguseに行くことも可能(フレームの「ウェブ調査」)。
790:名無しさん@お腹いっぱい。
10/01/08 20:12:15
ノートンは対応してないのか・・・
>>739の方法で調べて
スタートアップにsiszyd32.exeとTMD.tmpの両方なかったら
この手のウイルスには感染していないでFA?
感染してないと思うけど気になるので
791:名無しさん@お腹いっぱい。
10/01/08 20:13:10
朝刊の一面になるほどのニュースなのに
対策していない企業とかマジでありえない
対策していないネットユーザにも責任はあるが
そのままWEBサイトを放置している企業の責任は重大
792:名無しさん@お腹いっぱい。
10/01/08 20:19:08
>>790
ノートンは脆弱性保護で最初から対応してる
今はファイルも検出する
793:名無しさん@お腹いっぱい。
10/01/08 20:21:30
>>159
こちらがまだだったのでVPCで踏んでみた。
特に何も起こらない・・・
フラッシュのバージョンが10.0.42.34だと影響ないということ?
794:名無しさん@お腹いっぱい。
10/01/08 20:22:27
>>792
ありがとう、少し安心した
795:名無しさん@お腹いっぱい。
10/01/08 20:23:21
>>793
Flashは関係ない
796:名無しさん@お腹いっぱい。
10/01/08 20:24:43
>>794
感染が気になるならスタートアップ確認でOK
さらに言えばタスクマネージャーで確認
797:790
10/01/08 20:31:54
>>796
タスクマネージャーにもmsconfigで見たスタートアップにも
siszyd32.exeとTMD.tmpは影も形もなかったよ、よかった
みんな教えてくれてありがとう
798:名無しさん@お腹いっぱい。
10/01/08 20:35:03 BE:1098795874-2BP(7777)
>>797
早い話
オンラインスキャン汁
799:名無しさん@お腹いっぱい。
10/01/08 20:37:35
オンラインスキャンしたところで検出できるやつがなかったりするからな
800:名無しさん@お腹いっぱい。
10/01/08 20:41:04
>>799
オワタ\(^o^)/
今でも(´・ω・) スクリプトが埋め込まれているうrlplz
801:名無しさん@お腹いっぱい。
10/01/08 20:51:06
Quick Time ですけど、QuickTime Alternativeはどうなんでしょ?入れて置いてもいいの?
アホな質問しているのかしら…。
802:名無しさん@お腹いっぱい。
10/01/08 21:02:06
>>783
TDLのガイドライン・・・
803:sage ◆sage/xLnlI
10/01/08 21:08:21
>>800
おk
うpしてくる(自分のサイトに)
804:名無しさん@お腹いっぱい。
10/01/08 21:13:00
>>803
お前はさっきから何がしたいんだ?
805:sage ◆sage/xLnlI
10/01/08 21:13:40
URLリンク(www16.atpages.j)p/filedl/dnserror.html
検体的なもの(アクセスすると危険)
806:名無しさん@お腹いっぱい。
10/01/08 21:18:10
>>805
エラーにみせかけるとな?
鬼畜ですな
807:名無しさん@お腹いっぱい。
10/01/08 21:27:28
>>805
/*GNU GPL*/
808:名無しさん@お腹いっぱい。
10/01/08 21:33:55
>>805
カスペルスキー無反応
win7
firefox カスペルスキー仮想実行モード
809:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:41:15
>>808
それやばい
810:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:43:09
>>806
エラー画面をみて思いつきましたw
811:名無しさん@お腹いっぱい。
10/01/08 21:45:22
まいど。
URLリンク(www.okamoto.co.jp)
KIS2010で検出。
812:名無しさん@お腹いっぱい。
10/01/08 21:47:22
新ウイルスに対応したオンラインスキャナーないのかよ・・・
アンチウイルスソフトをインスコするたびにBSOD祭りの俺はどうすれば・・・
813:名無しさん@お腹いっぱい。
10/01/08 21:51:26
>>811
Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません
URL:
>>811
このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:50:29
Kaspersky Internet Security 2010
814:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:52:22
>>812
なにそれこわい
明日は京都は違う検体をupします
種類も変えます(明日も鬼畜なやつにしようwwwwwwフヒッwwwwwww)
upの仕方
コードを書いてtxtに
↓
up
↓
txtをhtmlに書き換え
ヽ('A`)ノ 完成!
( )
ノω|
815:名無しさん@お腹いっぱい。
10/01/08 21:53:47
感染の有無をチェックする無料のオンラインスキャンサービス
URLリンク(www.trendflexsecurity.jp)
URLリンク(security.symantec.com)
816:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:54:29
>>811
なにも起こらない 当たり前だけど
(pspで2ch北から)
817:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:56:13
検体upは仮装pcから←オヌヌメ
818:名無しさん@お腹いっぱい。
10/01/08 21:57:26
>>817
最近のウイルスはホストOSまで影響を与えるらしいよ(そよっ
819:名無しさん@お腹いっぱい。
10/01/08 21:58:57
仮想PCだから安心なんてのは幻想にすぎんよ
820:名無しさん@お腹いっぱい。
10/01/08 22:07:53
>>811
こういうのは2chブラウザビューアで見ても感染しない?
821:名無しさん@お腹いっぱい。
10/01/08 22:09:11
>>820
winマシンで見る限り絶対安心とは言えない
822:名無しさん@お腹いっぱい。
10/01/08 22:10:08
>>817
押入れから古いPC(HDD無)引っ張り出して
KNOPPIX(DVD)+USBメモリマウント
823:名無しさん@お腹いっぱい。
10/01/08 22:12:44
URLリンク(www.copper-brass.gr.jp)
日本伸銅協会
824:名無しさん@お腹いっぱい。
10/01/08 22:14:12
>>777
Adobe互換ソフトも必ずしも安全ではないと何度言えば
825:sage ◆sage/xLnlI
10/01/08 22:14:12
>>818
( ゚д゚)
(つд⊂)ゴシゴシ
(;゚д゚)
(つд⊂)ゴシゴシ
_, ._
(;゚ Д゚) …?!
( ゚д゚ )フラグビンビン[ピー]ビンビン
826:名無しさん@お腹いっぱい。
10/01/08 22:15:46
>>812
まずはOSの入れなおしからどうぞ
827:名無しさん@お腹いっぱい。
10/01/08 22:17:09
もうこうなると、まだ無事なサイト上げた方が早い気すらしてくる
828:sage ◆sage/xLnlI
10/01/08 22:18:14
ホストpcスペック
OS windows7
メモリー 4GB
CPU AMD アスロン64X2 2.7GHz
ADOBE 8.12
flash 最新
JRE ? 12
829:名無しさん@お腹いっぱい。
10/01/08 22:20:24
他はともかく、JREはアンインスコしとけば他のウィルス対策にもなるから
アンインスコしない手はない
830:名無しさん@お腹いっぱい。
10/01/08 22:20:41
>>826
ウイルス踏んでもいないのにクリーンインストールかよ・・・
アレなんだよ・・・NICのドライバと競合して入れられない俺のマシン
アンチウイルスと犬猿の仲・・・
831:sage ◆sage/xLnlI
10/01/08 22:43:00
>>829
俺はJREがないと2chが見れませんので無理でつ
832:名無しさん@お腹いっぱい。
10/01/08 22:54:18
>>830
ドライバソフトの更新ないの?
833:名無しさん@お腹いっぱい。
10/01/08 22:58:13
>>832
最近更新されていないお・・・
バージョンを色々と変えてみたが・・・ムリポ
834:名無しさん@お腹いっぱい。
10/01/08 22:59:21
>>823
あれ、教えてもずっと放置してたのにいつの間にかサーバ落としたのか
835:名無しさん@お腹いっぱい。
10/01/08 23:02:57
>>834
ここ見てたんですかねぇ。。。
836:名無しさん@お腹いっぱい。
10/01/08 23:10:45
ウイルスに感染できるうrlplz
837:名無しさん@お腹いっぱい。
10/01/08 23:26:13
>>717
ケータイに感染するウィルスなかったっけ
838:名無しさん@お腹いっぱい。
10/01/08 23:31:36
「日本伸銅協会」をヤフで検索、キャッシュのソース内にしっかりと/*GNU GPL*/がwww
839:名無しさん@お腹いっぱい。
10/01/08 23:42:19
URLリンク(www.okamoto.co)●jp/js/over.js
/*LGPL*/ ですね
840:名無しさん@お腹いっぱい。
10/01/08 23:53:34
危ないURLを踏んでみたが感染しなかったwww
俺最強
841:名無しさん@お腹いっぱい。
10/01/08 23:54:37
『蜂の家』でググって一番上のサイトはまだ感染してるのかな
842:名無しさん@お腹いっぱい。
10/01/08 23:58:01
このウイルスって2度目のアクセスは感染させるためのページ表示させない仕様なのかな?
843:名無しさん@お腹いっぱい。
10/01/08 23:58:46
アプリケーションの追加と削除にJAVAの旧バージョンが10個位あったんだけど影響とかあるの?
844:名無しさん@お腹いっぱい。
10/01/09 00:01:55
javaなんてほとんど使い道ないから全部消した方が安心
845:名無しさん@お腹いっぱい。
10/01/09 00:04:34
お絵かきチャットできなくなっちゃう!><
846:名無しさん@お腹いっぱい。
10/01/09 00:05:04
今日の会社のお年寄りの会話
おっさんA「ガンプラって怖いらいな、HP見ただけで・・・」
おっさんB「ブログ見ただけでも感染するって書いてあるぞ・・・」
もれ心の中で「それ、ガンプラじゃなくてガンブラーだから・・・
しかも、仕事中にどんなところ覗いているんだよ・・・おっさんども。」
847:名無しさん@お腹いっぱい。
10/01/09 00:11:23
Java消したらEclipse使えないじゃん
848:名無しさん@お腹いっぱい。
10/01/09 00:12:14
誰かウイルス本体を上げてくれ
URLリンク(ux.getuploader.com)
849:名無しさん@お腹いっぱい。
10/01/09 00:23:37
>>744
鳩山首相のtwitter偽アカウントやってたメガネ王という人のブログにmooterのブログパーツがあって、
年末ちょっと騒動になった
850:名無しさん@お腹いっぱい。
10/01/09 00:45:47
インターネットに公開してる企業のサイトは、
セキュリティのきっちりしたデータセンターに鯖が置いてあって、
更新時なんかは許可された端末からのみVPN経由でできるよう
にしてあるのが常識だと思ってたんだけど、意外とみんなそうじゃないんだね・・・
851:名無しさん@お腹いっぱい。
10/01/09 00:55:48
そんなところはほとんどないだろ
852:名無しさん@お腹いっぱい。
10/01/09 00:57:53
社内セキュリティ>サイト
853:名無しさん@お腹いっぱい。
10/01/09 01:22:32
>>850
それやってもやられるものはやられる
854:名無しさん@お腹いっぱい。
10/01/09 01:32:40
>>847
そうそう
JREのバージョンを上げるって対策だけはおいそれと出来ないから困ってる
855:名無しさん@お腹いっぱい。
10/01/09 01:35:38
>>854
色々不具合が起きるケースが多いわな、確かに。
856:名無しさん@お腹いっぱい。
10/01/09 01:36:43
わかります、戸松遥,中島愛,早見沙織なわけですね
857:名無しさん@お腹いっぱい。
10/01/09 02:00:56
変則的だけど、インストーラは別だからシステムに影響するJREは最新にして
JDK側は開発に合わせるとかもできなくもない気がする
試してないけどね
お絵かきしたい人は諦めてくれ
858:名無しさん@お腹いっぱい。
10/01/09 02:09:23
Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)
インシデントの届出
URLリンク(form.jpcert.or.jp)
記入例
URLリンク(www.jpcert.or.jp)
結構適当でいいらしい。
859:名無しさん@お腹いっぱい。
10/01/09 02:44:26
>>844
JAVAのバージョンチェックしたらJAVAそのものが入っていなかったでござる
860:名無しさん@お腹いっぱい。
10/01/09 03:01:00
噴いたwww
861:名無しさん@お腹いっぱい。
10/01/09 03:02:43
>>859
あれ? 俺書いたっけ・・・
とりあえずJAVA入れてきたw
862:名無しさん@お腹いっぱい。
10/01/09 03:03:16
>>732見たけど
■三栄コーポレーション(2010年1月8日発表)
告知:「モッフル」ホームページの改ざんとウイルス被害に関する報告とお詫び[PDF]
いま出すお詫びがPDFでなくてもよかろうもん
863:名無しさん@お腹いっぱい。
10/01/09 03:25:32
>>861
なかったもんをなぜわざわざ入れるのだ
864:名無しさん@お腹いっぱい。
10/01/09 03:54:58
サイバー/サーバー/サバイバー(なんかキワモノバンドの名前になりそうな)
しかしネットサーフィンも電脳サバイバルの様相を呈してきた感じ・・・
865:名無しさん@お腹いっぱい。
10/01/09 04:01:52
20XX年にはネットサーフィンをしていて脳を焼き切られたりする訳か。
866:名無しさん@お腹いっぱい。
10/01/09 04:07:55
>>841
してるよ
867:名無しさん@お腹いっぱい。
10/01/09 06:00:54
ノートソ警察w
URLリンク(megalodon)●jp/2010-0107-1225-07/ameblo●jp/caetla-2008/entry-10427328482●html
868:名無しさん@お腹いっぱい。
10/01/09 06:42:22
>753
(4) JRE(Java Runtime Environment)を最新版に更新する
JRE入れてなかったら問題無い?
それともJRE入れて最新版にしとかないと駄目?
869:名無しさん@お腹いっぱい。
10/01/09 06:44:05
いらないなら入れる必要はない
870:名無しさん@お腹いっぱい。
10/01/09 06:49:17
個人PCに悪さしないならおとなしくAvast!のupdateまったほうがいいんではないかな
871:名無しさん@お腹いっぱい。
10/01/09 06:58:22
URLリンク(bakera.jp)
似通った文章にみえた
指南してる人いるのかな
872:名無しさん@お腹いっぱい。
10/01/09 07:14:49
>>870
avast使ってる人はそれでも良いんじゃないか
みんなが使ってると思ってるのかな
873:名無しさん@お腹いっぱい。
10/01/09 07:24:09
avast!タン ずっと一緒だお!
きゅいきゅい きゅいーん!
874:名無しさん@お腹いっぱい。
10/01/09 07:29:24
もう馬鹿しか使ってない
875:名無しさん@お腹いっぱい。
10/01/09 07:36:56
>>872
なんでもいいけどアンチウイルスのupdateをまてばいいのさ
876:名無しさん@お腹いっぱい。
10/01/09 07:48:38
意味分からねえな
馬鹿havastのスレいけよ
877:名無しさん@お腹いっぱい。
10/01/09 07:49:56
アンチウイルスの対応待つんじゃなくて
脆弱性の対処しとけば良いだけだ
avastなんかに期待するな
878:名無しさん@お腹いっぱい。
10/01/09 07:56:01
>>849
検索窓のパーツに含まれてるJavaScriptファイルがやられてたので
設置してたサイトは改ざんサイト同然。
「ノートン警察」のブログパーツもJavaScriptファイルだから同じね。
>>744
>期間:2009年12月25日1時~12月28日18時30分
改ざんファイルのタイムスタンプは 2009/12/24 1:30(GMT)周辺だったんだが、
どういう計算すると12月25日1時になるんだろ。
2009/12/26 2:47:54(GMT)に、検索窓のJavaScriptファイルだけ直したみたい。
ほかの奴のは29日夕方だけど、28日18時30分に閉鎖したってことかな
879:名無しさん@お腹いっぱい。
10/01/09 09:16:47
URLリンク(www.note-pc.biz)
このページ改竄されてね?js検知すんぞ
880:名無しさん@お腹いっぱい。
10/01/09 09:28:19
>>879
URLリンク(www)●note-pc●biz/js/rollover●js
rollover.jsにぐぬーたんがいるおっおww
881:sage ◆sage/xLnlI
10/01/09 09:37:40
おっっっっっっっっっっっっっっっっっっっっっっっっはっっっっっっっっっっっっっっっっっっっっっっっっっっっようごっごっごごごごごございまkっさ
882:名無しさん@お腹いっぱい。
10/01/09 09:44:13
>>880
aguseのカスペが反応しないんだが新種かねぇ?
883:sage ◆sage/xLnlI
10/01/09 09:45:20
URLリンク(www16)●atpages.jp/filedl/ds%20psp%20syosinsyakouza.html
884:sage ◆sage/xLnlI
10/01/09 09:46:02
>>883
検体です
(踏んだら危険)
885:名無しさん@お腹いっぱい。
10/01/09 09:50:52
>>882
ほい
URLリンク(www.virustotal.com)
886:名無しさん@お腹いっぱい。
10/01/09 09:53:04
ClamAVに検体送っといたお
887:名無しさん@お腹いっぱい。
10/01/09 09:55:41
>>885
テンキュー
888:sage ◆sage/xLnlI
10/01/09 10:02:17
>>883に付け加え
コード
が
書いてある
だけ
です
889:名無しさん@お腹いっぱい。
10/01/09 10:15:30
>>879を踏んでみた→Adobe ReaderとJavaが起動したが結局何も起こらず
両者とも最新版だお
890:名無しさん@お腹いっぱい。
10/01/09 10:17:31
ニフティのオンラインスキャンやっても
3万ファイルぐらいでスキャン終了されて
system32のログとかローカルの中のtmpとかロック扱いで中身見てもらえないんだが
これ本当に大丈夫なんだろうか
マカフィーは今日手動更新してもファイル更新できないし
FTP使った後、一時間以上サイト改ざんされなければもう白でいいのか?
891:名無しさん@お腹いっぱい。
10/01/09 10:33:21
>>889
>踏んでみた→Adobe ReaderとJavaが起動
これアウトじゃね?
pdf開いてないのにReaderは普通起動しないだろ…
892:名無しさん@お腹いっぱい。
10/01/09 10:38:02
>>891
URLリンク(www.keiyu.com)
embedでPDFを埋め込めるお
893:名無しさん@お腹いっぱい。
10/01/09 10:41:09
/*------------------------------------------------------------
* ロールオーバーを設定する画像にクラス名「over」を指定
* ロールオーバー時に表示するための画像ファイル名後ろに「_over」をつける
/*------------------------------------------------------------*/
894:名無しさん@お腹いっぱい。
10/01/09 10:44:13
しかも今回の攻撃は最新版のAdobe Readerがまだ修正してない脆弱性を使うようなんだが…
仮想環境でもないWindowsであんまりチャレンジしない方がいいぞ
895:名無しさん@お腹いっぱい。
10/01/09 10:58:13
その落ちてくるPDFってのをくれ
scriptが埋め込むURLにアクセスしても0byteが帰ってくるだけで
何も落ちてこない。
windows使ってないから?リファラ見てる?
896:名無しさん@お腹いっぱい。
10/01/09 11:01:14
今回悪用されていると思われる脆弱性のPoC拾ってきたお
悪質なコードを取り除きPDFを作成次第配布するお
897:名無しさん@お腹いっぱい。
10/01/09 11:04:08
>>889
ReaderはバージョンだけじゃなくJavaScript機能オフまでが対策
>>890
1時間程度じゃ改ざんされない可能性もある
心配ならOS入れなおせよ
898:名無しさん@お腹いっぱい。
10/01/09 11:05:20
>>895
リファラも見てるかもしれんが
少なくともUserAgentは見てるんじゃね
899:名無しさん@お腹いっぱい。
10/01/09 11:09:21
>>895
>>896のようにPoCをちょっといじったものなら別スレで喜んで張ってた奴がいる
avast!のWebシールドでも反応しない新ガンブラーが登場
スレリンク(news板)
wgetで普通に取れる ただこれは今回実際に攻撃に使われてるものではない
900:名無しさん@お腹いっぱい。
10/01/09 11:10:07
>>889
> Adobe ReaderとJavaが起動したが結局何も起こらず
何も起きてないことをどうやって確認したんだ?
901:名無しさん@お腹いっぱい。
10/01/09 11:12:10
>>900
ファイル操作系のAPIを全てフックして監視していたお
念のためにディスクイメージも比較した
結論:特に変化無し
902:名無しさん@お腹いっぱい。
10/01/09 11:13:03
>>889は、まだトロイ本体が侵入して無いだけの状態かな?
903:名無しさん@お腹いっぱい。
10/01/09 11:14:28
>>901
APIフックって自作?
何かツールあるの?
904:名無しさん@お腹いっぱい。
10/01/09 11:15:54
企業が結構やられてるから個人のサイトなんかもう恐くて見れないな
2ちゃんがやられる可能性もあるの?
905:名無しさん@お腹いっぱい。
10/01/09 11:16:01
>>903
自作だお
既製品はシラネ
906:名無しさん@お腹いっぱい。
10/01/09 11:18:24
時間経過で変化出るのかな
907:名無しさん@お腹いっぱい。
10/01/09 11:19:05
>>905
俺に作り方教えてくれ
908:名無しさん@お腹いっぱい。
10/01/09 11:24:54
>>907
言語は?
909:名無しさん@お腹いっぱい。
10/01/09 11:26:26
>>901
砂箱つかえよ
Sandboxieとか
910:名無しさん@お腹いっぱい。
10/01/09 11:29:28
>>908
一応Cできる。カーネルの知識はない。
911:名無しさん@お腹いっぱい。
10/01/09 11:30:23
>>910
要するにファイル操作系のAPIを全てフックして監視すればいいんじゃね?
912:名無しさん@お腹いっぱい。
10/01/09 11:49:27
>>901
古いreaderとか入れろよ
913:名無しさん@お腹いっぱい。
10/01/09 11:59:33
>>879
パソコンお直し隊 電話番号
URLリンク(www.google.co.jp)
2010-1-9(土)11:46電凸
中国人?が出る
よく分からんが、むかついたので完了とする
これ以降は、恣意的にウイルスを拡散しているものと判断
914:名無しさん@お腹いっぱい。
10/01/09 12:11:37
>>811
凸電した
お宅のHPをみたらPCぶっ壊れたと言ってやった
915:名無しさん@お腹いっぱい。
10/01/09 12:40:52
>>879
HEUR:Exploit.Script.Generic
カスペルスキー
ジェネリックで検知
916:名無しさん@お腹いっぱい。
10/01/09 13:08:28
URLリンク(www.note-pc.biz)
ここはもう何も落としてこないな
単にアンチウィルスが反応するだけで、pdfも送り返して来ない
917:名無しさん@お腹いっぱい。
10/01/09 13:31:33
ru:8080側でアクセス制御していて2度目以降は404を装うと何度言ったら…。
IP変えて(串可)どうぞ。
918:名無しさん@お腹いっぱい。
10/01/09 13:33:34
アンチウイルスが反応するリンクをそのまま張るな
919:名無しさん@お腹いっぱい。
10/01/09 13:39:48
>>912
それは軽く死ねる
920:名無しさん@お腹いっぱい。
10/01/09 13:58:01
またAviraは誤検出か
いい加減にしとけや
921:名無しさん@お腹いっぱい。
10/01/09 14:56:04
ファイル操作系だけじゃなくてプロセス生成とかネットワークを監視しなくていいのか?
というか監視は普通にProcess Monitorとかでできるんじゃないか
922:名無しさん@お腹いっぱい。
10/01/09 15:02:50
高木浩光さんコメントお願いします
923:名無しさん@お腹いっぱい。
10/01/09 15:04:43
高木はNyzillaで忙しい
924:名無しさん@お腹いっぱい。
10/01/09 15:45:45
>>921
それだと表示されない関数があるお
Wiresharkと適当な実装のAPIフックプログラムを併用しているお
何故かVistaでフック出来ない件
教えてエロい人
925:名無しさん@お腹いっぱい。
10/01/09 15:47:44
ム板行け
926:名無しさん@お腹いっぱい。
10/01/09 15:52:22
語尾の「~お」がキモい
死ね
927:名無しさん@お腹いっぱい。
10/01/09 15:57:02
はいはいVipper乙
928:名無しさん@お腹いっぱい。
10/01/09 16:01:22
おちつけお( ^ω^)
929:名無しさん@お腹いっぱい。
10/01/09 16:06:39
(゚ω゚)VIPお断りします
930:名無しさん@お腹いっぱい。
10/01/09 16:10:57
(´・ω・) カワイソス
931:名無しさん@お腹いっぱい。
10/01/09 16:13:57
>>924
プラグインの起動まではしているがその後こけてるということか
具体的にどういうコードが動いてるかは見てる?
932:名無しさん@お腹いっぱい。
10/01/09 16:22:30
セキュ板はNoノートンだおだお
933:名無しさん@お腹いっぱい。
10/01/09 18:57:52
このメールは全ご登録ユーザー様、
および製品情報サービスを申し込まれた方にお送りしております。
「Gumblar(ガンブラー)」関連ウイルスにご注意ください
ソースネクスト株式会社
いつもソースネクスト製品をご愛用いただき、誠にありがとうございます。
さて、現在、改ざんされたサイトを閲覧しただけで感染する「Gumblar(ガンブラー)」と
その亜種が流行しています。念のため、利用されているウイルス対策ソフトの対応状況を
確認されることをおすすめいたします。
なお、ソースネクストの「ウイルスセキュリティ」は、これらのウイルスに対応済みですので、
必要な方はこの機会にご検討ください。
セキュリティ製品のお客様専用サイト
URLリンク(mail.sourcenext.info)
「ウイルスセキュリティ」のお買い求めはこちら
eSHOP価格4,480円 (標準価格 4,980円) 10%OFF
URLリンク(mail.sourcenext.info)
今後ともソースネクスト製品を末永くお使いいただきますようお願い申し上げます
934:名無しさん@お腹いっぱい。
10/01/09 19:06:49
だが! 断る!!
935:名無しさん@お腹いっぱい。
10/01/09 19:07:25
>>932
バスターでサクサク快適アルヨー
936:名無しさん@お腹いっぱい。
10/01/09 19:33:26
ClamAVニダ
937:名無しさん@お腹いっぱい。
10/01/09 20:01:59
>>616
FTP通信そのものを見てるとしたら繋いだFTP鯖だけだよね
繋いでないのに改竄されてる・一つ繋いだら他のFTP鯖のサイトも改竄されたと言ってる人はどうなるの?
繋いだのに忘れてるのかな?
938:名無しさん@お腹いっぱい。
10/01/09 20:03:17
>>937
FTPクライアントにパスが保存してあるって
それを読み取られてるんじゃね?
939:名無しさん@お腹いっぱい。
10/01/09 20:03:58
嗚呼w日本語がw
940:名無しさん@お腹いっぱい。
10/01/09 20:21:57
JAVAとJavascriptオフにしてたら感染しない?
941:名無しさん@お腹いっぱい。
10/01/09 20:23:26
>>937
genoを解析したところによると一部のFTPクライアントの設定を読み取って改ざんするとなってた。
942:名無しさん@お腹いっぱい。
10/01/09 20:31:27
スレの内容も堂々巡りだなw
943:名無しさん@お腹いっぱい。
10/01/09 20:55:44
>>941
Genoとは別物だけどね
FTPクライアントの設定ファイルは見てるのは事実
944:名無しさん@お腹いっぱい。
10/01/09 20:59:43
【Geno】 ガンブラーウィルス ヤフーも被害に 昨年10月27日~今年1月8日
スレリンク(news板)
945:名無しさん@お腹いっぱい。
10/01/09 21:04:37
こう頻繁に見つかると企業の極秘情報も中国に売られてるんじゃない?
946:名無しさん@お腹いっぱい。
10/01/09 22:01:39
avast! が LGPL のスクリプトに対応した
JS:Illredir-C [Trj]
947:名無しさん@お腹いっぱい。
10/01/09 22:32:53
LGPLタイプのvirus total 再解析
結果: 10/41 (24.4%)
URLリンク(www.virustotal.com)
948:名無しさん@お腹いっぱい。
10/01/09 22:46:59
こっちのLGPLはもっと少ないな
新たにavastが加わったくらいだ
結果: 6/41 (14.64%)
URLリンク(www.virustotal.com)
949:名無しさん@お腹いっぱい。
10/01/09 22:52:18
カーチャンのPCが物凄いアクセスしてくる
950:名無しさん@お腹いっぱい。
10/01/09 22:54:15
カーチャンが必死なんだろ
951:名無しさん@お腹いっぱい。
10/01/09 23:41:12
カーチャンがんがれ!
952:名無しさん@お腹いっぱい。
10/01/09 23:42:47
>>948
100109-0の定義データでavast!がLGPLに対応したみたいだ
手持ちの12個の検体すべてに反応するようになった
953:名無しさん@お腹いっぱい。
10/01/09 23:48:08
馬鹿には(´・ω・) スnスn出来ない(´・ω・) スクリプト
URLリンク(2sen.dip.jp)
954:名無しさん@お腹いっぱい。
10/01/09 23:55:24
権限なしのなら大丈夫?
955:名無しさん@お腹いっぱい。
10/01/09 23:57:23
>>953
これはなんだ?
NoScript入れてたからどうもないと思うが
956:名無しさん@お腹いっぱい。
10/01/10 00:00:12
Security Tool はGumblarみたいにFTP情報流したりしないの?
957:名無しさん@お腹いっぱい。
10/01/10 00:08:33
>>953
NoScript解いたけどどうもならないな・・・
958:名無しさん@お腹いっぱい。
10/01/10 00:27:12
俺
URLリンク(www29.atwiki.jp)
の管理人だけど、更新したほうがいい?
正直今頃になって大騒ぎするとは思わなかったわ
959:名無しさん@お腹いっぱい。
10/01/10 00:31:18
>>958
更新してくれるとありがたい
960:名無しさん@お腹いっぱい。
10/01/10 00:31:43
>>958
当たり前だろ。出来ないんだったら
古い情報垂れ流して混乱招くからサイトごと消せ
961:名無しさん@お腹いっぱい。
10/01/10 00:33:33
>>958
8080系がそのGENOウイルスと一緒だと思ってて
そこに書いてある対策とか薦めてる人が結構いるから
せめて注意書きくらいはしといた方がいいんじゃない?
962:名無しさん@お腹いっぱい。
10/01/10 00:39:06
>>958
感染の確認方法と復帰方法は違う種類なので役に立たないと
いうのは書いておいた方がいいかも
963:名無しさん@お腹いっぱい。
10/01/10 00:42:23
ブロック推奨うrl
URLリンク(baidu-com)●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/
糞長すぎ乙
964:958
10/01/10 00:52:25
とりあえずほぼ全ページに警告入れてみた。
URLリンク(www29.atwiki.jp)
これは今も有効な対策?
965:名無しさん@お腹いっぱい。
10/01/10 00:54:02
>963
8080以下は何種類からかランダムで決まるから意味なし乙
それなら.ru:8080/をブロックする方がマシ
966:名無しさん@お腹いっぱい。
10/01/10 00:55:06
>>964
うん
967:名無しさん@お腹いっぱい。
10/01/10 00:57:15
>>964
とっても乙
968:名無しさん@お腹いっぱい。
10/01/10 01:11:09
感染したサイト
↓リダイレクト
URLリンク(baidu-com)<)●fandango●com●linkedin-com●webdirectbroker●ru:8080/index●php?ys
↓/pics/jquery.jx→eval("Aapdk2='M';");
現在人力デコードなう ←今ココ
969:名無しさん@お腹いっぱい。
10/01/10 01:24:10
>>963
これは何なの?
970:名無しさん@お腹いっぱい。
10/01/10 01:26:12
>>969
ガンプラの親玉
971:名無しさん@お腹いっぱい。
10/01/10 01:27:47
>>964
超乙
それはいまも必要な情報でございます
972:名無しさん@お腹いっぱい。
10/01/10 01:31:32
そろそろまずいので次スレ立ててくる
973:972
10/01/10 01:35:01
ERROR!
ERROR:新このホストでは、しばらくスレッドが立てられません。
またの機会にどうぞ。。。
orz
ダメだったのでテンプレ貼り
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
【関連スレ】
GENOウイルススレ ★23
スレリンク(sec板)
974:名無しさん@お腹いっぱい。
10/01/10 01:37:07
>>973
逝ってみる。
2以降はよろ。
975:名無しさん@お腹いっぱい。
10/01/10 01:38:37
>>973
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
スレリンク(sec板)
976:名無しさん@お腹いっぱい。
10/01/10 01:41:23
>>975
乙
977:名無しさん@お腹いっぱい。
10/01/10 01:42:11
>>975
おつなんだから
978:名無しさん@お腹いっぱい。
10/01/10 01:42:52
>>974
乙
貼っておきました
979:名無しさん@お腹いっぱい。
10/01/10 01:43:55
>>978
乙でした。
980:名無しさん@お腹いっぱい。
10/01/10 01:44:44
8080関連の検体詰め合わせってうpっても大丈夫なのか?
981:名無しさん@お腹いっぱい。
10/01/10 01:46:22
ほい
【鑑定目的禁止】検出可否報告スレ13
スレリンク(sec板)
982:名無しさん@お腹いっぱい。
10/01/10 01:48:22
>>980
検出可否報告スレにならロダもあるし提出もしてくれそうで一石二鳥
解凍パスワードを"infected"か "virus"にしてうp
983:名無しさん@お腹いっぱい。
10/01/10 01:53:14
ほな 1000とっとくわな
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
スレリンク(sec板)
984:名無しさん@お腹いっぱい。
10/01/10 01:54:40
レッドカード出ますたw
985:名無しさん@お腹いっぱい。
10/01/10 02:00:29
ここ「ガンブラー」に感染したのか?
URLリンク(www.mag-x.com)
986:名無しさん@お腹いっぱい。
10/01/10 02:05:28
>>985
URLリンク(www)●mag-x●com/blog/cat16/
/*LGPL*/
987:名無しさん@お腹いっぱい。
10/01/10 02:05:45
Bingのキャッシュに/*GNU GPL*/
988:名無しさん@お腹いっぱい。
10/01/10 02:06:18
ほかもやられてるお。。。
989:名無しさん@お腹いっぱい。
10/01/10 02:09:04
凄いな・・・
990:名無しさん@お腹いっぱい。
10/01/10 02:12:58
>>985
実施中の緊急メンテナンス終了予定のお知らせ
対応早いね
991:名無しさん@お腹いっぱい。
10/01/10 02:16:09
>>990
他のページが放置っぽい。。。
992:名無しさん@お腹いっぱい。
10/01/10 02:17:10
対応早いとこはだいたいわかってないからな
再発する
993:名無しさん@お腹いっぱい。
10/01/10 02:20:34
URLリンク(www)●mag-x●com/にアクセスするとメンテナンスページに飛ばされるけど
リダイレクトが2回あって1回目でG dataが反応する
994:名無しさん@お腹いっぱい。
10/01/10 02:22:54
>993
このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
2:21:57
Kaspersky Internet Security 2010
995:名無しさん@お腹いっぱい。
10/01/10 02:36:34
>>985
これ一ブログじゃなくて収容してるブログ全体にウイルスコード入れられたのか
996:名無しさん@お腹いっぱい。
10/01/10 02:37:14
ikhvyhbl;lknouvb;jnl/ nu:;lj/.kl\;N*M*
なんだこれ新型か?
997:名無しさん@お腹いっぱい。
10/01/10 02:37:38
>>993
ほんとだ
URLリンク(www)<)●mag-x●com/pc●html
↓
URLリンク(www)●mag-x●com/blog/index●html
998:名無しさん@お腹いっぱい。
10/01/10 02:40:30
>>997
URLリンク(www.google.co.jp)
これはひどいなあ
999:名無しさん@お腹いっぱい。
10/01/10 02:42:04
>>998
うはw収容サイトにもれなく入ってる
1000:名無しさん@お腹いっぱい。
10/01/10 02:42:26
1000なら癌ブラーは無くなる
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。