【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】at SEC
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】 - 暇つぶし2ch750:名無しさん@お腹いっぱい。
10/01/08 18:20:54
でもまぁ、
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

の対策が取れてたら感染サイト踏んでたとしても大丈夫なはずだが一応

751:名無しさん@お腹いっぱい。
10/01/08 18:21:11
>>746-748
わざわざすいません
該当する期間とショッピングサイトには行っていないから
なんとかセフセフ


752:名無しさん@お腹いっぱい。
10/01/08 18:23:48
New谷さん大丈夫かね

748 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 18:18:27
>>743
■ディズニー(2009年12月29日発表)
種別:Gumblar.x
期間2009年12月22日16時~12月25日18時
場所:ショッピングサイト お正月特集ページ(www.disney.co.jp/shopping/special/0912_newyear.html)
告知:お正月特集ページに関するお詫び
URLリンク(www.disney.co.jp)

753:名無しさん@お腹いっぱい。
10/01/08 18:24:12
>>750
スレリンク(sec板:405番)
今北さん用、GENO(Gumblar)ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す

754:名無しさん@お腹いっぱい。
10/01/08 18:25:05
もともとスクリプトを検出していたのは少ない
win.jpgなどの脆弱性を突いた攻撃自体を検出した方が効率的だろ
脆弱性攻撃を受けた後実行されるpdfupf.exeだけを検出すものもあるがこれでも防御は可能


755:名無しさん@お腹いっぱい。
10/01/08 18:26:28
>>739の感染確認方法ってどうなの?

756:名無しさん@お腹いっぱい。
10/01/08 18:27:45
現時点じゃ他に確認のしようがない

757:名無しさん@お腹いっぱい。
10/01/08 18:28:11
「New谷さん」呼びはやめろよな

758:名無しさん@お腹いっぱい。
10/01/08 18:30:20
>>755
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいやつで
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる
しかし同じような名前なのですぐ気づく
これからも変わるかも知れないが変な物が登録されているかはすぐ分かるだろう


759:名無しさん@お腹いっぱい。
10/01/08 18:34:06
>>758
詳しくありがとうございます

760:752
10/01/08 18:37:49
ごめん誤爆だった

761:名無しさん@お腹いっぱい。
10/01/08 18:40:31
このあいだfirefox NoScript+view-source:で
感染サイトのソース見ようとしたらavast!がプゥプゥいった。
この状況でも感染するもの?
adobeのjavaはオフにしてある。

762:名無しさん@お腹いっぱい。
10/01/08 18:40:40
糸色望した

763:名無しさん@お腹いっぱい。
10/01/08 18:42:29
>>761
その場合はNoScriptでブロックされているはず
問題ない

>adobeのjavaはオフにしてある。
Tips:JavaとJavaScriptは別物

764:名無しさん@お腹いっぱい。
10/01/08 18:48:29
view-sourceだけでも安全な気がしてたんだが・・・
違うのね

765:名無しさん@お腹いっぱい。
10/01/08 18:49:05
安全だよ

766:名無しさん@お腹いっぱい。
10/01/08 18:49:37
txtとして開くんだから大丈夫じゃないの?

767:名無しさん@お腹いっぱい。
10/01/08 18:52:52
txt形式でもウイルスのコード記述があれば反応するのでは
感染はしないけど

768:名無しさん@お腹いっぱい。
10/01/08 18:52:58
>>763ありがとう
ていうかview-source:ってリンク先のサイト踏まずに
ソースがみれるものだと思ってたんだがウイルスは防げないのか…
オンラインソースチェッカー閉鎖が惜しまれる

769:名無しさん@お腹いっぱい。
10/01/08 18:54:52
オンラインソースチェッカーの代わりに
URLリンク(www.aguse.jp)
じゃだめなのか?

770:名無しさん@お腹いっぱい。
10/01/08 18:55:57
>>768
見れると思うけど
>>550
URLリンク(www.aguse.jp)

771:名無しさん@お腹いっぱい。
10/01/08 18:57:21
初心者で申し訳ないんだけど、>>753の(1)~(4)に加えて
IEでセキュリティ高にしたり、firefox+NoScript使えばさらに安全になるのかな?

772:名無しさん@お腹いっぱい。
10/01/08 18:57:43
>>710
モロゾフの人がFTPログを証拠として被害届けを出したそうですね
でもあれは不正アクセスの証明にしかなりませんね

モロゾフの人健忘症なのでしょうかね
自身が加害者であることは伝えてあるのですが
対応が駄目駄目です

>モロゾフの人
首吊って氏んだ方がいいとおもいますよ

773:名無しさん@お腹いっぱい。
10/01/08 18:58:48
URLリンク(www.aguse.jp)
ってソースどこに表示されるの?
ホストだとかドメインだとかは出てくるんだけど

774:772EM114-48-42-165.pool.e-mobile.ne.jp
10/01/08 19:01:01
>モロゾフの人
文句があったらかかってきなさい

-o_japan-オルティスジャパンー

775:名無しさん@お腹いっぱい。
10/01/08 19:02:20
>>773
調べたいサイトのURLを入力してクリック
結果のページ右のスクリーンショット(クリックすると拡大します)これで見られます

776:名無しさん@お腹いっぱい。
10/01/08 19:02:22
飛び先チェック
URLリンク(kakiko.com)

777:名無しさん@お腹いっぱい。
10/01/08 19:03:23
更新するものは最新版に更新して、
Adobe Reader、JRE、QuickTimeとか大して使わないものはアンインストール
Adobe Readerなんて他の無料で軽いの使えばいいんだし
これが一番の防御策だね

778:名無しさん@お腹いっぱい。
10/01/08 19:03:30
>>775
ゴメンこれはサイトを見たいときね

779:sage ◆sage/xLnlI
10/01/08 19:09:32
>>702
検体(コードが書いてあるやつ)いるならあげる
うpできるかわからないけど

780:名無しさん@お腹いっぱい。
10/01/08 19:09:48
>>776
これ知らなかった
ありがとう

781:名無しさん@お腹いっぱい。
10/01/08 19:12:39
ドクター中松さんのサイトは修正済みみたいだね

782:名無しさん@お腹いっぱい。
10/01/08 19:17:18
>>159
ここはまだだね
いつの間にかLGPLに変わってるし

783:名無しさん@お腹いっぱい。
10/01/08 19:18:42
>>738
なんで馬鹿みたいにネズミーとか言うんだろ
長くてみんどくさいならTDLとかでいいじゃん
何かスゲーむかついたので
>ネズミー

784:名無しさん@お腹いっぱい。
10/01/08 19:19:11
>>782
どういう人かと思って検索したら驚いた

785:名無しさん@お腹いっぱい。
10/01/08 19:20:42
>>783
いちいち言わなくて良いよ

786:名無しさん@お腹いっぱい。
10/01/08 19:21:01
>>782
LGPLだね
元がどうだったか知らないけど


787:名無しさん@お腹いっぱい。
10/01/08 19:37:29
このブラウザ使えるかもしれん
URLリンク(www.scriptbrowserk.com)

コンテンツブロックに*:8080/*を放り込m(ry

788:名無しさん@お腹いっぱい。
10/01/08 19:45:43
「GNU(ぐぬー)たん」
お馴染みのヌーを萌擬人化したキャラ

誰か・・・描いて・・・

789:名無しさん@お腹いっぱい。
10/01/08 19:50:47
>>773
右上のスクリーンショットの下からいけるGatewayへ。
上のフレームにある「ソース表示」でソースを持ってこれる。
だから、最初からGatewayに行ったらいいんじゃないかな。
URLリンク(gw.aguse.jp)
逆に、ここからaguseに行くことも可能(フレームの「ウェブ調査」)。

790:名無しさん@お腹いっぱい。
10/01/08 20:12:15
ノートンは対応してないのか・・・
>>739の方法で調べて
スタートアップにsiszyd32.exeとTMD.tmpの両方なかったら
この手のウイルスには感染していないでFA?
感染してないと思うけど気になるので

791:名無しさん@お腹いっぱい。
10/01/08 20:13:10
朝刊の一面になるほどのニュースなのに
対策していない企業とかマジでありえない
対策していないネットユーザにも責任はあるが
そのままWEBサイトを放置している企業の責任は重大

792:名無しさん@お腹いっぱい。
10/01/08 20:19:08
>>790
ノートンは脆弱性保護で最初から対応してる
今はファイルも検出する

793:名無しさん@お腹いっぱい。
10/01/08 20:21:30
>>159
こちらがまだだったのでVPCで踏んでみた。
特に何も起こらない・・・

フラッシュのバージョンが10.0.42.34だと影響ないということ?

794:名無しさん@お腹いっぱい。
10/01/08 20:22:27
>>792
ありがとう、少し安心した

795:名無しさん@お腹いっぱい。
10/01/08 20:23:21
>>793
Flashは関係ない

796:名無しさん@お腹いっぱい。
10/01/08 20:24:43
>>794
感染が気になるならスタートアップ確認でOK
さらに言えばタスクマネージャーで確認

797:790
10/01/08 20:31:54
>>796
タスクマネージャーにもmsconfigで見たスタートアップにも
siszyd32.exeとTMD.tmpは影も形もなかったよ、よかった
みんな教えてくれてありがとう


798:名無しさん@お腹いっぱい。
10/01/08 20:35:03 BE:1098795874-2BP(7777)
>>797
早い話
オンラインスキャン汁

799:名無しさん@お腹いっぱい。
10/01/08 20:37:35
オンラインスキャンしたところで検出できるやつがなかったりするからな

800:名無しさん@お腹いっぱい。
10/01/08 20:41:04
>>799
オワタ\(^o^)/

今でも(´・ω・) スクリプトが埋め込まれているうrlplz

801:名無しさん@お腹いっぱい。
10/01/08 20:51:06
Quick Time ですけど、QuickTime Alternativeはどうなんでしょ?入れて置いてもいいの?
アホな質問しているのかしら…。

802:名無しさん@お腹いっぱい。
10/01/08 21:02:06
>>783
TDLのガイドライン・・・

803:sage ◆sage/xLnlI
10/01/08 21:08:21
>>800
おk
うpしてくる(自分のサイトに)

804:名無しさん@お腹いっぱい。
10/01/08 21:13:00
>>803
お前はさっきから何がしたいんだ?

805:sage ◆sage/xLnlI
10/01/08 21:13:40
URLリンク(www16.atpages.j)p/filedl/dnserror.html

検体的なもの(アクセスすると危険)

806:名無しさん@お腹いっぱい。
10/01/08 21:18:10
>>805
エラーにみせかけるとな?
鬼畜ですな

807:名無しさん@お腹いっぱい。
10/01/08 21:27:28
>>805
/*GNU GPL*/

808:名無しさん@お腹いっぱい。
10/01/08 21:33:55
>>805
カスペルスキー無反応
win7
firefox カスペルスキー仮想実行モード

809:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:41:15
>>808
それやばい

810:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:43:09
>>806
エラー画面をみて思いつきましたw

811:名無しさん@お腹いっぱい。
10/01/08 21:45:22
まいど。
URLリンク(www.okamoto.co.jp)
KIS2010で検出。

812:名無しさん@お腹いっぱい。
10/01/08 21:47:22
新ウイルスに対応したオンラインスキャナーないのかよ・・・
アンチウイルスソフトをインスコするたびにBSOD祭りの俺はどうすれば・・・

813:名無しさん@お腹いっぱい。
10/01/08 21:51:26
>>811


Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

>>811

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:50:29
Kaspersky Internet Security 2010

814:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:52:22
>>812
なにそれこわい
明日は京都は違う検体をupします
種類も変えます(明日も鬼畜なやつにしようwwwwwwフヒッwwwwwww)


upの仕方

コードを書いてtxtに

up

txtをhtmlに書き換え

ヽ('A`)ノ 完成!
 (  )
 ノω|


815:名無しさん@お腹いっぱい。
10/01/08 21:53:47
感染の有無をチェックする無料のオンラインスキャンサービス

URLリンク(www.trendflexsecurity.jp)
URLリンク(security.symantec.com)


816:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:54:29
>>811
なにも起こらない  当たり前だけど
(pspで2ch北から)

817:ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI
10/01/08 21:56:13
検体upは仮装pcから←オヌヌメ


818:名無しさん@お腹いっぱい。
10/01/08 21:57:26
>>817
最近のウイルスはホストOSまで影響を与えるらしいよ(そよっ

819:名無しさん@お腹いっぱい。
10/01/08 21:58:57
仮想PCだから安心なんてのは幻想にすぎんよ

820:名無しさん@お腹いっぱい。
10/01/08 22:07:53
>>811
こういうのは2chブラウザビューアで見ても感染しない?

821:名無しさん@お腹いっぱい。
10/01/08 22:09:11
>>820
winマシンで見る限り絶対安心とは言えない


822:名無しさん@お腹いっぱい。
10/01/08 22:10:08
>>817
押入れから古いPC(HDD無)引っ張り出して
KNOPPIX(DVD)+USBメモリマウント

823:名無しさん@お腹いっぱい。
10/01/08 22:12:44
URLリンク(www.copper-brass.gr.jp)

日本伸銅協会

824:名無しさん@お腹いっぱい。
10/01/08 22:14:12
>>777
Adobe互換ソフトも必ずしも安全ではないと何度言えば

825:sage ◆sage/xLnlI
10/01/08 22:14:12
>>818
( ゚д゚)

(つд⊂)ゴシゴシ

(;゚д゚)

(つд⊂)ゴシゴシ
  _, ._
(;゚ Д゚) …?!

( ゚д゚ )フラグビンビン[ピー]ビンビン

826:名無しさん@お腹いっぱい。
10/01/08 22:15:46
>>812
まずはOSの入れなおしからどうぞ

827:名無しさん@お腹いっぱい。
10/01/08 22:17:09
もうこうなると、まだ無事なサイト上げた方が早い気すらしてくる

828:sage ◆sage/xLnlI
10/01/08 22:18:14
ホストpcスペック
OS windows7
メモリー 4GB
CPU AMD アスロン64X2 2.7GHz
ADOBE 8.12
flash 最新
JRE ? 12


829:名無しさん@お腹いっぱい。
10/01/08 22:20:24
他はともかく、JREはアンインスコしとけば他のウィルス対策にもなるから
アンインスコしない手はない

830:名無しさん@お腹いっぱい。
10/01/08 22:20:41
>>826
ウイルス踏んでもいないのにクリーンインストールかよ・・・
アレなんだよ・・・NICのドライバと競合して入れられない俺のマシン
アンチウイルスと犬猿の仲・・・

831:sage ◆sage/xLnlI
10/01/08 22:43:00
>>829
俺はJREがないと2chが見れませんので無理でつ

832:名無しさん@お腹いっぱい。
10/01/08 22:54:18
>>830
ドライバソフトの更新ないの?

833:名無しさん@お腹いっぱい。
10/01/08 22:58:13
>>832
最近更新されていないお・・・
バージョンを色々と変えてみたが・・・ムリポ

834:名無しさん@お腹いっぱい。
10/01/08 22:59:21
>>823
あれ、教えてもずっと放置してたのにいつの間にかサーバ落としたのか

835:名無しさん@お腹いっぱい。
10/01/08 23:02:57
>>834
ここ見てたんですかねぇ。。。

836:名無しさん@お腹いっぱい。
10/01/08 23:10:45
ウイルスに感染できるうrlplz

837:名無しさん@お腹いっぱい。
10/01/08 23:26:13
>>717
ケータイに感染するウィルスなかったっけ

838:名無しさん@お腹いっぱい。
10/01/08 23:31:36
「日本伸銅協会」をヤフで検索、キャッシュのソース内にしっかりと/*GNU GPL*/がwww

839:名無しさん@お腹いっぱい。
10/01/08 23:42:19
URLリンク(www.okamoto.co)●jp/js/over.js

/*LGPL*/ ですね

840:名無しさん@お腹いっぱい。
10/01/08 23:53:34
危ないURLを踏んでみたが感染しなかったwww
俺最強

841:名無しさん@お腹いっぱい。
10/01/08 23:54:37
『蜂の家』でググって一番上のサイトはまだ感染してるのかな

842:名無しさん@お腹いっぱい。
10/01/08 23:58:01
このウイルスって2度目のアクセスは感染させるためのページ表示させない仕様なのかな?

843:名無しさん@お腹いっぱい。
10/01/08 23:58:46
アプリケーションの追加と削除にJAVAの旧バージョンが10個位あったんだけど影響とかあるの?

844:名無しさん@お腹いっぱい。
10/01/09 00:01:55
javaなんてほとんど使い道ないから全部消した方が安心

845:名無しさん@お腹いっぱい。
10/01/09 00:04:34
お絵かきチャットできなくなっちゃう!><

846:名無しさん@お腹いっぱい。
10/01/09 00:05:04
今日の会社のお年寄りの会話
おっさんA「ガンプラって怖いらいな、HP見ただけで・・・」
おっさんB「ブログ見ただけでも感染するって書いてあるぞ・・・」


もれ心の中で「それ、ガンプラじゃなくてガンブラーだから・・・
       しかも、仕事中にどんなところ覗いているんだよ・・・おっさんども。」

847:名無しさん@お腹いっぱい。
10/01/09 00:11:23
Java消したらEclipse使えないじゃん

848:名無しさん@お腹いっぱい。
10/01/09 00:12:14
誰かウイルス本体を上げてくれ
URLリンク(ux.getuploader.com)

849:名無しさん@お腹いっぱい。
10/01/09 00:23:37
>>744
鳩山首相のtwitter偽アカウントやってたメガネ王という人のブログにmooterのブログパーツがあって、
年末ちょっと騒動になった

850:名無しさん@お腹いっぱい。
10/01/09 00:45:47
インターネットに公開してる企業のサイトは、
セキュリティのきっちりしたデータセンターに鯖が置いてあって、
更新時なんかは許可された端末からのみVPN経由でできるよう
にしてあるのが常識だと思ってたんだけど、意外とみんなそうじゃないんだね・・・


851:名無しさん@お腹いっぱい。
10/01/09 00:55:48
そんなところはほとんどないだろ

852:名無しさん@お腹いっぱい。
10/01/09 00:57:53
社内セキュリティ>サイト

853:名無しさん@お腹いっぱい。
10/01/09 01:22:32
>>850
それやってもやられるものはやられる

854:名無しさん@お腹いっぱい。
10/01/09 01:32:40
>>847
そうそう
JREのバージョンを上げるって対策だけはおいそれと出来ないから困ってる

855:名無しさん@お腹いっぱい。
10/01/09 01:35:38
>>854
色々不具合が起きるケースが多いわな、確かに。

856:名無しさん@お腹いっぱい。
10/01/09 01:36:43
わかります、戸松遥,中島愛,早見沙織なわけですね

857:名無しさん@お腹いっぱい。
10/01/09 02:00:56
変則的だけど、インストーラは別だからシステムに影響するJREは最新にして
JDK側は開発に合わせるとかもできなくもない気がする
試してないけどね

お絵かきしたい人は諦めてくれ

858:名無しさん@お腹いっぱい。
10/01/09 02:09:23
Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)

インシデントの届出
URLリンク(form.jpcert.or.jp)

記入例
URLリンク(www.jpcert.or.jp)
結構適当でいいらしい。

859:名無しさん@お腹いっぱい。
10/01/09 02:44:26
>>844
JAVAのバージョンチェックしたらJAVAそのものが入っていなかったでござる

860:名無しさん@お腹いっぱい。
10/01/09 03:01:00
噴いたwww

861:名無しさん@お腹いっぱい。
10/01/09 03:02:43
>>859
あれ? 俺書いたっけ・・・
とりあえずJAVA入れてきたw

862:名無しさん@お腹いっぱい。
10/01/09 03:03:16
>>732見たけど
■三栄コーポレーション(2010年1月8日発表)
告知:「モッフル」ホームページの改ざんとウイルス被害に関する報告とお詫び[PDF]

いま出すお詫びがPDFでなくてもよかろうもん

863:名無しさん@お腹いっぱい。
10/01/09 03:25:32
>>861
なかったもんをなぜわざわざ入れるのだ

864:名無しさん@お腹いっぱい。
10/01/09 03:54:58
サイバー/サーバー/サバイバー(なんかキワモノバンドの名前になりそうな)

 しかしネットサーフィンも電脳サバイバルの様相を呈してきた感じ・・・

865:名無しさん@お腹いっぱい。
10/01/09 04:01:52
20XX年にはネットサーフィンをしていて脳を焼き切られたりする訳か。

866:名無しさん@お腹いっぱい。
10/01/09 04:07:55
>>841
してるよ

867:名無しさん@お腹いっぱい。
10/01/09 06:00:54
ノートソ警察w
URLリンク(megalodon)●jp/2010-0107-1225-07/ameblo●jp/caetla-2008/entry-10427328482●html


868:名無しさん@お腹いっぱい。
10/01/09 06:42:22
>753
(4) JRE(Java Runtime Environment)を最新版に更新する

JRE入れてなかったら問題無い?
それともJRE入れて最新版にしとかないと駄目?

869:名無しさん@お腹いっぱい。
10/01/09 06:44:05
いらないなら入れる必要はない

870:名無しさん@お腹いっぱい。
10/01/09 06:49:17
個人PCに悪さしないならおとなしくAvast!のupdateまったほうがいいんではないかな

871:名無しさん@お腹いっぱい。
10/01/09 06:58:22
URLリンク(bakera.jp)
似通った文章にみえた
指南してる人いるのかな

872:名無しさん@お腹いっぱい。
10/01/09 07:14:49
>>870
avast使ってる人はそれでも良いんじゃないか
みんなが使ってると思ってるのかな

873:名無しさん@お腹いっぱい。
10/01/09 07:24:09
avast!タン ずっと一緒だお!
きゅいきゅい きゅいーん!

874:名無しさん@お腹いっぱい。
10/01/09 07:29:24
もう馬鹿しか使ってない

875:名無しさん@お腹いっぱい。
10/01/09 07:36:56
>>872
なんでもいいけどアンチウイルスのupdateをまてばいいのさ

876:名無しさん@お腹いっぱい。
10/01/09 07:48:38
意味分からねえな
馬鹿havastのスレいけよ

877:名無しさん@お腹いっぱい。
10/01/09 07:49:56
アンチウイルスの対応待つんじゃなくて
脆弱性の対処しとけば良いだけだ
avastなんかに期待するな

878:名無しさん@お腹いっぱい。
10/01/09 07:56:01
>>849
検索窓のパーツに含まれてるJavaScriptファイルがやられてたので
設置してたサイトは改ざんサイト同然。

「ノートン警察」のブログパーツもJavaScriptファイルだから同じね。

>>744

>期間:2009年12月25日1時~12月28日18時30分

改ざんファイルのタイムスタンプは 2009/12/24 1:30(GMT)周辺だったんだが、
どういう計算すると12月25日1時になるんだろ。

2009/12/26 2:47:54(GMT)に、検索窓のJavaScriptファイルだけ直したみたい。
ほかの奴のは29日夕方だけど、28日18時30分に閉鎖したってことかな


879:名無しさん@お腹いっぱい。
10/01/09 09:16:47
URLリンク(www.note-pc.biz)
このページ改竄されてね?js検知すんぞ

880:名無しさん@お腹いっぱい。
10/01/09 09:28:19
>>879
URLリンク(www)●note-pc●biz/js/rollover●js
rollover.jsにぐぬーたんがいるおっおww

881:sage ◆sage/xLnlI
10/01/09 09:37:40
おっっっっっっっっっっっっっっっっっっっっっっっっはっっっっっっっっっっっっっっっっっっっっっっっっっっっようごっごっごごごごごございまkっさ

882:名無しさん@お腹いっぱい。
10/01/09 09:44:13
>>880
aguseのカスペが反応しないんだが新種かねぇ?

883:sage ◆sage/xLnlI
10/01/09 09:45:20
URLリンク(www16)●atpages.jp/filedl/ds%20psp%20syosinsyakouza.html

884:sage ◆sage/xLnlI
10/01/09 09:46:02
>>883
検体です
(踏んだら危険)

885:名無しさん@お腹いっぱい。
10/01/09 09:50:52
>>882
ほい
URLリンク(www.virustotal.com)

886:名無しさん@お腹いっぱい。
10/01/09 09:53:04
ClamAVに検体送っといたお

887:名無しさん@お腹いっぱい。
10/01/09 09:55:41
>>885
テンキュー

888:sage ◆sage/xLnlI
10/01/09 10:02:17
>>883に付け加え

コード

書いてある
だけ
です

889:名無しさん@お腹いっぱい。
10/01/09 10:15:30
>>879を踏んでみた→Adobe ReaderとJavaが起動したが結局何も起こらず
両者とも最新版だお

890:名無しさん@お腹いっぱい。
10/01/09 10:17:31
ニフティのオンラインスキャンやっても
3万ファイルぐらいでスキャン終了されて
system32のログとかローカルの中のtmpとかロック扱いで中身見てもらえないんだが
これ本当に大丈夫なんだろうか

マカフィーは今日手動更新してもファイル更新できないし
FTP使った後、一時間以上サイト改ざんされなければもう白でいいのか?

891:名無しさん@お腹いっぱい。
10/01/09 10:33:21
>>889
>踏んでみた→Adobe ReaderとJavaが起動
これアウトじゃね?
pdf開いてないのにReaderは普通起動しないだろ…

892:名無しさん@お腹いっぱい。
10/01/09 10:38:02
>>891
URLリンク(www.keiyu.com)
embedでPDFを埋め込めるお

893:名無しさん@お腹いっぱい。
10/01/09 10:41:09
/*------------------------------------------------------------
* ロールオーバーを設定する画像にクラス名「over」を指定
* ロールオーバー時に表示するための画像ファイル名後ろに「_over」をつける
/*------------------------------------------------------------*/



894:名無しさん@お腹いっぱい。
10/01/09 10:44:13
しかも今回の攻撃は最新版のAdobe Readerがまだ修正してない脆弱性を使うようなんだが…
仮想環境でもないWindowsであんまりチャレンジしない方がいいぞ

895:名無しさん@お腹いっぱい。
10/01/09 10:58:13
その落ちてくるPDFってのをくれ
scriptが埋め込むURLにアクセスしても0byteが帰ってくるだけで
何も落ちてこない。
windows使ってないから?リファラ見てる?

896:名無しさん@お腹いっぱい。
10/01/09 11:01:14
今回悪用されていると思われる脆弱性のPoC拾ってきたお
悪質なコードを取り除きPDFを作成次第配布するお

897:名無しさん@お腹いっぱい。
10/01/09 11:04:08
>>889
ReaderはバージョンだけじゃなくJavaScript機能オフまでが対策

>>890
1時間程度じゃ改ざんされない可能性もある
心配ならOS入れなおせよ

898:名無しさん@お腹いっぱい。
10/01/09 11:05:20
>>895
リファラも見てるかもしれんが
少なくともUserAgentは見てるんじゃね

899:名無しさん@お腹いっぱい。
10/01/09 11:09:21
>>895
>>896のようにPoCをちょっといじったものなら別スレで喜んで張ってた奴がいる
avast!のWebシールドでも反応しない新ガンブラーが登場
スレリンク(news板)

wgetで普通に取れる ただこれは今回実際に攻撃に使われてるものではない

900:名無しさん@お腹いっぱい。
10/01/09 11:10:07
>>889
> Adobe ReaderとJavaが起動したが結局何も起こらず
何も起きてないことをどうやって確認したんだ?

901:名無しさん@お腹いっぱい。
10/01/09 11:12:10
>>900
ファイル操作系のAPIを全てフックして監視していたお
念のためにディスクイメージも比較した
結論:特に変化無し

902:名無しさん@お腹いっぱい。
10/01/09 11:13:03
>>889は、まだトロイ本体が侵入して無いだけの状態かな?



903:名無しさん@お腹いっぱい。
10/01/09 11:14:28
>>901
APIフックって自作?
何かツールあるの?

904:名無しさん@お腹いっぱい。
10/01/09 11:15:54
企業が結構やられてるから個人のサイトなんかもう恐くて見れないな
2ちゃんがやられる可能性もあるの?

905:名無しさん@お腹いっぱい。
10/01/09 11:16:01
>>903
自作だお
既製品はシラネ

906:名無しさん@お腹いっぱい。
10/01/09 11:18:24
時間経過で変化出るのかな

907:名無しさん@お腹いっぱい。
10/01/09 11:19:05
>>905
俺に作り方教えてくれ

908:名無しさん@お腹いっぱい。
10/01/09 11:24:54
>>907
言語は?

909:名無しさん@お腹いっぱい。
10/01/09 11:26:26
>>901
砂箱つかえよ
Sandboxieとか

910:名無しさん@お腹いっぱい。
10/01/09 11:29:28
>>908
一応Cできる。カーネルの知識はない。

911:名無しさん@お腹いっぱい。
10/01/09 11:30:23
>>910
要するにファイル操作系のAPIを全てフックして監視すればいいんじゃね?

912:名無しさん@お腹いっぱい。
10/01/09 11:49:27
>>901
古いreaderとか入れろよ

913:名無しさん@お腹いっぱい。
10/01/09 11:59:33
>>879
パソコンお直し隊 電話番号
URLリンク(www.google.co.jp)
2010-1-9(土)11:46電凸
中国人?が出る
よく分からんが、むかついたので完了とする
これ以降は、恣意的にウイルスを拡散しているものと判断

914:名無しさん@お腹いっぱい。
10/01/09 12:11:37
>>811
凸電した
お宅のHPをみたらPCぶっ壊れたと言ってやった

915:名無しさん@お腹いっぱい。
10/01/09 12:40:52
>>879
HEUR:Exploit.Script.Generic

カスペルスキー
ジェネリックで検知

916:名無しさん@お腹いっぱい。
10/01/09 13:08:28
URLリンク(www.note-pc.biz)
ここはもう何も落としてこないな
単にアンチウィルスが反応するだけで、pdfも送り返して来ない

917:名無しさん@お腹いっぱい。
10/01/09 13:31:33
ru:8080側でアクセス制御していて2度目以降は404を装うと何度言ったら…。
IP変えて(串可)どうぞ。

918:名無しさん@お腹いっぱい。
10/01/09 13:33:34
アンチウイルスが反応するリンクをそのまま張るな

919:名無しさん@お腹いっぱい。
10/01/09 13:39:48
>>912
それは軽く死ねる

920:名無しさん@お腹いっぱい。
10/01/09 13:58:01
またAviraは誤検出か
いい加減にしとけや

921:名無しさん@お腹いっぱい。
10/01/09 14:56:04
ファイル操作系だけじゃなくてプロセス生成とかネットワークを監視しなくていいのか?
というか監視は普通にProcess Monitorとかでできるんじゃないか

922:名無しさん@お腹いっぱい。
10/01/09 15:02:50
高木浩光さんコメントお願いします

923:名無しさん@お腹いっぱい。
10/01/09 15:04:43
高木はNyzillaで忙しい

924:名無しさん@お腹いっぱい。
10/01/09 15:45:45
>>921
それだと表示されない関数があるお
Wiresharkと適当な実装のAPIフックプログラムを併用しているお

何故かVistaでフック出来ない件
教えてエロい人

925:名無しさん@お腹いっぱい。
10/01/09 15:47:44
ム板行け

926:名無しさん@お腹いっぱい。
10/01/09 15:52:22
語尾の「~お」がキモい
死ね

927:名無しさん@お腹いっぱい。
10/01/09 15:57:02
はいはいVipper乙

928:名無しさん@お腹いっぱい。
10/01/09 16:01:22
おちつけお( ^ω^)

929:名無しさん@お腹いっぱい。
10/01/09 16:06:39
(゚ω゚)VIPお断りします

930:名無しさん@お腹いっぱい。
10/01/09 16:10:57
(´・ω・) カワイソス

931:名無しさん@お腹いっぱい。
10/01/09 16:13:57
>>924
プラグインの起動まではしているがその後こけてるということか
具体的にどういうコードが動いてるかは見てる?

932:名無しさん@お腹いっぱい。
10/01/09 16:22:30
セキュ板はNoノートンだおだお

933:名無しさん@お腹いっぱい。
10/01/09 18:57:52
このメールは全ご登録ユーザー様、
および製品情報サービスを申し込まれた方にお送りしております。

「Gumblar(ガンブラー)」関連ウイルスにご注意ください

                              ソースネクスト株式会社

いつもソースネクスト製品をご愛用いただき、誠にありがとうございます。
さて、現在、改ざんされたサイトを閲覧しただけで感染する「Gumblar(ガンブラー)」と
その亜種が流行しています。念のため、利用されているウイルス対策ソフトの対応状況を
確認されることをおすすめいたします。

なお、ソースネクストの「ウイルスセキュリティ」は、これらのウイルスに対応済みですので、
必要な方はこの機会にご検討ください。

  セキュリティ製品のお客様専用サイト
  URLリンク(mail.sourcenext.info)

  「ウイルスセキュリティ」のお買い求めはこちら
  eSHOP価格4,480円 (標準価格 4,980円) 10%OFF
  URLリンク(mail.sourcenext.info)

今後ともソースネクスト製品を末永くお使いいただきますようお願い申し上げます

934:名無しさん@お腹いっぱい。
10/01/09 19:06:49
だが! 断る!!

935:名無しさん@お腹いっぱい。
10/01/09 19:07:25
>>932
バスターでサクサク快適アルヨー

936:名無しさん@お腹いっぱい。
10/01/09 19:33:26
ClamAVニダ

937:名無しさん@お腹いっぱい。
10/01/09 20:01:59
>>616
FTP通信そのものを見てるとしたら繋いだFTP鯖だけだよね
繋いでないのに改竄されてる・一つ繋いだら他のFTP鯖のサイトも改竄されたと言ってる人はどうなるの?

繋いだのに忘れてるのかな?

938:名無しさん@お腹いっぱい。
10/01/09 20:03:17
>>937
FTPクライアントにパスが保存してあるって
それを読み取られてるんじゃね?

939:名無しさん@お腹いっぱい。
10/01/09 20:03:58
嗚呼w日本語がw

940:名無しさん@お腹いっぱい。
10/01/09 20:21:57
JAVAとJavascriptオフにしてたら感染しない?

941:名無しさん@お腹いっぱい。
10/01/09 20:23:26
>>937
genoを解析したところによると一部のFTPクライアントの設定を読み取って改ざんするとなってた。

942:名無しさん@お腹いっぱい。
10/01/09 20:31:27
スレの内容も堂々巡りだなw

943:名無しさん@お腹いっぱい。
10/01/09 20:55:44
>>941
Genoとは別物だけどね
FTPクライアントの設定ファイルは見てるのは事実

944:名無しさん@お腹いっぱい。
10/01/09 20:59:43
【Geno】 ガンブラーウィルス  ヤフーも被害に  昨年10月27日~今年1月8日
スレリンク(news板)

945:名無しさん@お腹いっぱい。
10/01/09 21:04:37
こう頻繁に見つかると企業の極秘情報も中国に売られてるんじゃない?

946:名無しさん@お腹いっぱい。
10/01/09 22:01:39
avast! が LGPL のスクリプトに対応した
JS:Illredir-C [Trj]

947:名無しさん@お腹いっぱい。
10/01/09 22:32:53
LGPLタイプのvirus total 再解析
結果: 10/41 (24.4%)
URLリンク(www.virustotal.com)

948:名無しさん@お腹いっぱい。
10/01/09 22:46:59
こっちのLGPLはもっと少ないな
新たにavastが加わったくらいだ
結果: 6/41 (14.64%)
URLリンク(www.virustotal.com)

949:名無しさん@お腹いっぱい。
10/01/09 22:52:18
カーチャンのPCが物凄いアクセスしてくる

950:名無しさん@お腹いっぱい。
10/01/09 22:54:15
カーチャンが必死なんだろ

951:名無しさん@お腹いっぱい。
10/01/09 23:41:12
カーチャンがんがれ!

952:名無しさん@お腹いっぱい。
10/01/09 23:42:47
>>948
100109-0の定義データでavast!がLGPLに対応したみたいだ
手持ちの12個の検体すべてに反応するようになった

953:名無しさん@お腹いっぱい。
10/01/09 23:48:08
馬鹿には(´・ω・) スnスn出来ない(´・ω・) スクリプト
URLリンク(2sen.dip.jp)

954:名無しさん@お腹いっぱい。
10/01/09 23:55:24
権限なしのなら大丈夫?

955:名無しさん@お腹いっぱい。
10/01/09 23:57:23
>>953
これはなんだ?
NoScript入れてたからどうもないと思うが

956:名無しさん@お腹いっぱい。
10/01/10 00:00:12
Security Tool はGumblarみたいにFTP情報流したりしないの?

957:名無しさん@お腹いっぱい。
10/01/10 00:08:33
>>953
NoScript解いたけどどうもならないな・・・

958:名無しさん@お腹いっぱい。
10/01/10 00:27:12

URLリンク(www29.atwiki.jp)
の管理人だけど、更新したほうがいい?

正直今頃になって大騒ぎするとは思わなかったわ

959:名無しさん@お腹いっぱい。
10/01/10 00:31:18
>>958
更新してくれるとありがたい

960:名無しさん@お腹いっぱい。
10/01/10 00:31:43
>>958
当たり前だろ。出来ないんだったら
古い情報垂れ流して混乱招くからサイトごと消せ

961:名無しさん@お腹いっぱい。
10/01/10 00:33:33
>>958
8080系がそのGENOウイルスと一緒だと思ってて
そこに書いてある対策とか薦めてる人が結構いるから
せめて注意書きくらいはしといた方がいいんじゃない?

962:名無しさん@お腹いっぱい。
10/01/10 00:39:06
>>958
感染の確認方法と復帰方法は違う種類なので役に立たないと
いうのは書いておいた方がいいかも

963:名無しさん@お腹いっぱい。
10/01/10 00:42:23
ブロック推奨うrl
URLリンク(baidu-com)●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/

糞長すぎ乙

964:958
10/01/10 00:52:25
とりあえずほぼ全ページに警告入れてみた。

URLリンク(www29.atwiki.jp)
これは今も有効な対策?

965:名無しさん@お腹いっぱい。
10/01/10 00:54:02
>963
8080以下は何種類からかランダムで決まるから意味なし乙
それなら.ru:8080/をブロックする方がマシ

966:名無しさん@お腹いっぱい。
10/01/10 00:55:06
>>964
うん

967:名無しさん@お腹いっぱい。
10/01/10 00:57:15
>>964
とっても乙

968:名無しさん@お腹いっぱい。
10/01/10 01:11:09
感染したサイト
↓リダイレクト
URLリンク(baidu-com)<)●fandango●com●linkedin-com●webdirectbroker●ru:8080/index●php?ys
↓/pics/jquery.jx→eval("Aapdk2='M';");
現在人力デコードなう ←今ココ

969:名無しさん@お腹いっぱい。
10/01/10 01:24:10
>>963
これは何なの?

970:名無しさん@お腹いっぱい。
10/01/10 01:26:12
>>969
ガンプラの親玉

971:名無しさん@お腹いっぱい。
10/01/10 01:27:47
>>964
超乙
それはいまも必要な情報でございます

972:名無しさん@お腹いっぱい。
10/01/10 01:31:32
そろそろまずいので次スレ立ててくる

973:972
10/01/10 01:35:01
ERROR!
ERROR:新このホストでは、しばらくスレッドが立てられません。
またの機会にどうぞ。。。

orz
ダメだったのでテンプレ貼り

【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
【関連スレ】
GENOウイルススレ ★23
スレリンク(sec板)

974:名無しさん@お腹いっぱい。
10/01/10 01:37:07
>>973
逝ってみる。
2以降はよろ。

975:名無しさん@お腹いっぱい。
10/01/10 01:38:37
>>973
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
スレリンク(sec板)

976:名無しさん@お腹いっぱい。
10/01/10 01:41:23
>>975


977:名無しさん@お腹いっぱい。
10/01/10 01:42:11
>>975
おつなんだから

978:名無しさん@お腹いっぱい。
10/01/10 01:42:52
>>974

貼っておきました

979:名無しさん@お腹いっぱい。
10/01/10 01:43:55
>>978
乙でした。

980:名無しさん@お腹いっぱい。
10/01/10 01:44:44
8080関連の検体詰め合わせってうpっても大丈夫なのか?

981:名無しさん@お腹いっぱい。
10/01/10 01:46:22
ほい

【鑑定目的禁止】検出可否報告スレ13
スレリンク(sec板)

982:名無しさん@お腹いっぱい。
10/01/10 01:48:22
>>980
検出可否報告スレにならロダもあるし提出もしてくれそうで一石二鳥
解凍パスワードを"infected"か "virus"にしてうp

983:名無しさん@お腹いっぱい。
10/01/10 01:53:14
ほな 1000とっとくわな

【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
スレリンク(sec板)

984:名無しさん@お腹いっぱい。
10/01/10 01:54:40
レッドカード出ますたw


985:名無しさん@お腹いっぱい。
10/01/10 02:00:29
ここ「ガンブラー」に感染したのか?
URLリンク(www.mag-x.com)

986:名無しさん@お腹いっぱい。
10/01/10 02:05:28
>>985
URLリンク(www)●mag-x●com/blog/cat16/
/*LGPL*/

987:名無しさん@お腹いっぱい。
10/01/10 02:05:45
Bingのキャッシュに/*GNU GPL*/

988:名無しさん@お腹いっぱい。
10/01/10 02:06:18
ほかもやられてるお。。。

989:名無しさん@お腹いっぱい。
10/01/10 02:09:04
凄いな・・・

990:名無しさん@お腹いっぱい。
10/01/10 02:12:58
>>985
実施中の緊急メンテナンス終了予定のお知らせ

対応早いね

991:名無しさん@お腹いっぱい。
10/01/10 02:16:09
>>990
他のページが放置っぽい。。。

992:名無しさん@お腹いっぱい。
10/01/10 02:17:10
対応早いとこはだいたいわかってないからな
再発する

993:名無しさん@お腹いっぱい。
10/01/10 02:20:34
URLリンク(www)●mag-x●com/にアクセスするとメンテナンスページに飛ばされるけど
リダイレクトが2回あって1回目でG dataが反応する

994:名無しさん@お腹いっぱい。
10/01/10 02:22:54
>993

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
2:21:57
Kaspersky Internet Security 2010

995:名無しさん@お腹いっぱい。
10/01/10 02:36:34
>>985
これ一ブログじゃなくて収容してるブログ全体にウイルスコード入れられたのか

996:名無しさん@お腹いっぱい。
10/01/10 02:37:14
ikhvyhbl;lknouvb;jnl/ nu:;lj/.kl\;N*M*

なんだこれ新型か?

997:名無しさん@お腹いっぱい。
10/01/10 02:37:38
>>993
ほんとだ

URLリンク(www)<)●mag-x●com/pc●html

URLリンク(www)●mag-x●com/blog/index●html

998:名無しさん@お腹いっぱい。
10/01/10 02:40:30
>>997
URLリンク(www.google.co.jp)
これはひどいなあ

999:名無しさん@お腹いっぱい。
10/01/10 02:42:04
>>998
うはw収容サイトにもれなく入ってる

1000:名無しさん@お腹いっぱい。
10/01/10 02:42:26
1000なら癌ブラーは無くなる

1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch