10/01/09 11:10:07
>>889
> Adobe ReaderとJavaが起動したが結局何も起こらず
何も起きてないことをどうやって確認したんだ?
901:名無しさん@お腹いっぱい。
10/01/09 11:12:10
>>900
ファイル操作系のAPIを全てフックして監視していたお
念のためにディスクイメージも比較した
結論:特に変化無し
902:名無しさん@お腹いっぱい。
10/01/09 11:13:03
>>889は、まだトロイ本体が侵入して無いだけの状態かな?
903:名無しさん@お腹いっぱい。
10/01/09 11:14:28
>>901
APIフックって自作?
何かツールあるの?
904:名無しさん@お腹いっぱい。
10/01/09 11:15:54
企業が結構やられてるから個人のサイトなんかもう恐くて見れないな
2ちゃんがやられる可能性もあるの?
905:名無しさん@お腹いっぱい。
10/01/09 11:16:01
>>903
自作だお
既製品はシラネ
906:名無しさん@お腹いっぱい。
10/01/09 11:18:24
時間経過で変化出るのかな
907:名無しさん@お腹いっぱい。
10/01/09 11:19:05
>>905
俺に作り方教えてくれ
908:名無しさん@お腹いっぱい。
10/01/09 11:24:54
>>907
言語は?
909:名無しさん@お腹いっぱい。
10/01/09 11:26:26
>>901
砂箱つかえよ
Sandboxieとか
910:名無しさん@お腹いっぱい。
10/01/09 11:29:28
>>908
一応Cできる。カーネルの知識はない。
911:名無しさん@お腹いっぱい。
10/01/09 11:30:23
>>910
要するにファイル操作系のAPIを全てフックして監視すればいいんじゃね?
912:名無しさん@お腹いっぱい。
10/01/09 11:49:27
>>901
古いreaderとか入れろよ
913:名無しさん@お腹いっぱい。
10/01/09 11:59:33
>>879
パソコンお直し隊 電話番号
URLリンク(www.google.co.jp)
2010-1-9(土)11:46電凸
中国人?が出る
よく分からんが、むかついたので完了とする
これ以降は、恣意的にウイルスを拡散しているものと判断
914:名無しさん@お腹いっぱい。
10/01/09 12:11:37
>>811
凸電した
お宅のHPをみたらPCぶっ壊れたと言ってやった
915:名無しさん@お腹いっぱい。
10/01/09 12:40:52
>>879
HEUR:Exploit.Script.Generic
カスペルスキー
ジェネリックで検知
916:名無しさん@お腹いっぱい。
10/01/09 13:08:28
URLリンク(www.note-pc.biz)
ここはもう何も落としてこないな
単にアンチウィルスが反応するだけで、pdfも送り返して来ない
917:名無しさん@お腹いっぱい。
10/01/09 13:31:33
ru:8080側でアクセス制御していて2度目以降は404を装うと何度言ったら…。
IP変えて(串可)どうぞ。
918:名無しさん@お腹いっぱい。
10/01/09 13:33:34
アンチウイルスが反応するリンクをそのまま張るな
919:名無しさん@お腹いっぱい。
10/01/09 13:39:48
>>912
それは軽く死ねる
920:名無しさん@お腹いっぱい。
10/01/09 13:58:01
またAviraは誤検出か
いい加減にしとけや
921:名無しさん@お腹いっぱい。
10/01/09 14:56:04
ファイル操作系だけじゃなくてプロセス生成とかネットワークを監視しなくていいのか?
というか監視は普通にProcess Monitorとかでできるんじゃないか
922:名無しさん@お腹いっぱい。
10/01/09 15:02:50
高木浩光さんコメントお願いします
923:名無しさん@お腹いっぱい。
10/01/09 15:04:43
高木はNyzillaで忙しい
924:名無しさん@お腹いっぱい。
10/01/09 15:45:45
>>921
それだと表示されない関数があるお
Wiresharkと適当な実装のAPIフックプログラムを併用しているお
何故かVistaでフック出来ない件
教えてエロい人
925:名無しさん@お腹いっぱい。
10/01/09 15:47:44
ム板行け
926:名無しさん@お腹いっぱい。
10/01/09 15:52:22
語尾の「~お」がキモい
死ね
927:名無しさん@お腹いっぱい。
10/01/09 15:57:02
はいはいVipper乙
928:名無しさん@お腹いっぱい。
10/01/09 16:01:22
おちつけお( ^ω^)
929:名無しさん@お腹いっぱい。
10/01/09 16:06:39
(゚ω゚)VIPお断りします
930:名無しさん@お腹いっぱい。
10/01/09 16:10:57
(´・ω・) カワイソス
931:名無しさん@お腹いっぱい。
10/01/09 16:13:57
>>924
プラグインの起動まではしているがその後こけてるということか
具体的にどういうコードが動いてるかは見てる?
932:名無しさん@お腹いっぱい。
10/01/09 16:22:30
セキュ板はNoノートンだおだお
933:名無しさん@お腹いっぱい。
10/01/09 18:57:52
このメールは全ご登録ユーザー様、
および製品情報サービスを申し込まれた方にお送りしております。
「Gumblar(ガンブラー)」関連ウイルスにご注意ください
ソースネクスト株式会社
いつもソースネクスト製品をご愛用いただき、誠にありがとうございます。
さて、現在、改ざんされたサイトを閲覧しただけで感染する「Gumblar(ガンブラー)」と
その亜種が流行しています。念のため、利用されているウイルス対策ソフトの対応状況を
確認されることをおすすめいたします。
なお、ソースネクストの「ウイルスセキュリティ」は、これらのウイルスに対応済みですので、
必要な方はこの機会にご検討ください。
セキュリティ製品のお客様専用サイト
URLリンク(mail.sourcenext.info)
「ウイルスセキュリティ」のお買い求めはこちら
eSHOP価格4,480円 (標準価格 4,980円) 10%OFF
URLリンク(mail.sourcenext.info)
今後ともソースネクスト製品を末永くお使いいただきますようお願い申し上げます
934:名無しさん@お腹いっぱい。
10/01/09 19:06:49
だが! 断る!!
935:名無しさん@お腹いっぱい。
10/01/09 19:07:25
>>932
バスターでサクサク快適アルヨー
936:名無しさん@お腹いっぱい。
10/01/09 19:33:26
ClamAVニダ
937:名無しさん@お腹いっぱい。
10/01/09 20:01:59
>>616
FTP通信そのものを見てるとしたら繋いだFTP鯖だけだよね
繋いでないのに改竄されてる・一つ繋いだら他のFTP鯖のサイトも改竄されたと言ってる人はどうなるの?
繋いだのに忘れてるのかな?
938:名無しさん@お腹いっぱい。
10/01/09 20:03:17
>>937
FTPクライアントにパスが保存してあるって
それを読み取られてるんじゃね?
939:名無しさん@お腹いっぱい。
10/01/09 20:03:58
嗚呼w日本語がw
940:名無しさん@お腹いっぱい。
10/01/09 20:21:57
JAVAとJavascriptオフにしてたら感染しない?
941:名無しさん@お腹いっぱい。
10/01/09 20:23:26
>>937
genoを解析したところによると一部のFTPクライアントの設定を読み取って改ざんするとなってた。
942:名無しさん@お腹いっぱい。
10/01/09 20:31:27
スレの内容も堂々巡りだなw
943:名無しさん@お腹いっぱい。
10/01/09 20:55:44
>>941
Genoとは別物だけどね
FTPクライアントの設定ファイルは見てるのは事実
944:名無しさん@お腹いっぱい。
10/01/09 20:59:43
【Geno】 ガンブラーウィルス ヤフーも被害に 昨年10月27日~今年1月8日
スレリンク(news板)
945:名無しさん@お腹いっぱい。
10/01/09 21:04:37
こう頻繁に見つかると企業の極秘情報も中国に売られてるんじゃない?
946:名無しさん@お腹いっぱい。
10/01/09 22:01:39
avast! が LGPL のスクリプトに対応した
JS:Illredir-C [Trj]
947:名無しさん@お腹いっぱい。
10/01/09 22:32:53
LGPLタイプのvirus total 再解析
結果: 10/41 (24.4%)
URLリンク(www.virustotal.com)
948:名無しさん@お腹いっぱい。
10/01/09 22:46:59
こっちのLGPLはもっと少ないな
新たにavastが加わったくらいだ
結果: 6/41 (14.64%)
URLリンク(www.virustotal.com)
949:名無しさん@お腹いっぱい。
10/01/09 22:52:18
カーチャンのPCが物凄いアクセスしてくる
950:名無しさん@お腹いっぱい。
10/01/09 22:54:15
カーチャンが必死なんだろ
951:名無しさん@お腹いっぱい。
10/01/09 23:41:12
カーチャンがんがれ!
952:名無しさん@お腹いっぱい。
10/01/09 23:42:47
>>948
100109-0の定義データでavast!がLGPLに対応したみたいだ
手持ちの12個の検体すべてに反応するようになった
953:名無しさん@お腹いっぱい。
10/01/09 23:48:08
馬鹿には(´・ω・) スnスn出来ない(´・ω・) スクリプト
URLリンク(2sen.dip.jp)
954:名無しさん@お腹いっぱい。
10/01/09 23:55:24
権限なしのなら大丈夫?
955:名無しさん@お腹いっぱい。
10/01/09 23:57:23
>>953
これはなんだ?
NoScript入れてたからどうもないと思うが
956:名無しさん@お腹いっぱい。
10/01/10 00:00:12
Security Tool はGumblarみたいにFTP情報流したりしないの?
957:名無しさん@お腹いっぱい。
10/01/10 00:08:33
>>953
NoScript解いたけどどうもならないな・・・
958:名無しさん@お腹いっぱい。
10/01/10 00:27:12
俺
URLリンク(www29.atwiki.jp)
の管理人だけど、更新したほうがいい?
正直今頃になって大騒ぎするとは思わなかったわ
959:名無しさん@お腹いっぱい。
10/01/10 00:31:18
>>958
更新してくれるとありがたい
960:名無しさん@お腹いっぱい。
10/01/10 00:31:43
>>958
当たり前だろ。出来ないんだったら
古い情報垂れ流して混乱招くからサイトごと消せ
961:名無しさん@お腹いっぱい。
10/01/10 00:33:33
>>958
8080系がそのGENOウイルスと一緒だと思ってて
そこに書いてある対策とか薦めてる人が結構いるから
せめて注意書きくらいはしといた方がいいんじゃない?
962:名無しさん@お腹いっぱい。
10/01/10 00:39:06
>>958
感染の確認方法と復帰方法は違う種類なので役に立たないと
いうのは書いておいた方がいいかも
963:名無しさん@お腹いっぱい。
10/01/10 00:42:23
ブロック推奨うrl
URLリンク(baidu-com)●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/
糞長すぎ乙
964:958
10/01/10 00:52:25
とりあえずほぼ全ページに警告入れてみた。
URLリンク(www29.atwiki.jp)
これは今も有効な対策?
965:名無しさん@お腹いっぱい。
10/01/10 00:54:02
>963
8080以下は何種類からかランダムで決まるから意味なし乙
それなら.ru:8080/をブロックする方がマシ
966:名無しさん@お腹いっぱい。
10/01/10 00:55:06
>>964
うん
967:名無しさん@お腹いっぱい。
10/01/10 00:57:15
>>964
とっても乙
968:名無しさん@お腹いっぱい。
10/01/10 01:11:09
感染したサイト
↓リダイレクト
URLリンク(baidu-com)<)●fandango●com●linkedin-com●webdirectbroker●ru:8080/index●php?ys
↓/pics/jquery.jx→eval("Aapdk2='M';");
現在人力デコードなう ←今ココ
969:名無しさん@お腹いっぱい。
10/01/10 01:24:10
>>963
これは何なの?
970:名無しさん@お腹いっぱい。
10/01/10 01:26:12
>>969
ガンプラの親玉
971:名無しさん@お腹いっぱい。
10/01/10 01:27:47
>>964
超乙
それはいまも必要な情報でございます
972:名無しさん@お腹いっぱい。
10/01/10 01:31:32
そろそろまずいので次スレ立ててくる
973:972
10/01/10 01:35:01
ERROR!
ERROR:新このホストでは、しばらくスレッドが立てられません。
またの機会にどうぞ。。。
orz
ダメだったのでテンプレ貼り
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
【関連スレ】
GENOウイルススレ ★23
スレリンク(sec板)
974:名無しさん@お腹いっぱい。
10/01/10 01:37:07
>>973
逝ってみる。
2以降はよろ。
975:名無しさん@お腹いっぱい。
10/01/10 01:38:37
>>973
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
スレリンク(sec板)
976:名無しさん@お腹いっぱい。
10/01/10 01:41:23
>>975
乙
977:名無しさん@お腹いっぱい。
10/01/10 01:42:11
>>975
おつなんだから
978:名無しさん@お腹いっぱい。
10/01/10 01:42:52
>>974
乙
貼っておきました
979:名無しさん@お腹いっぱい。
10/01/10 01:43:55
>>978
乙でした。
980:名無しさん@お腹いっぱい。
10/01/10 01:44:44
8080関連の検体詰め合わせってうpっても大丈夫なのか?
981:名無しさん@お腹いっぱい。
10/01/10 01:46:22
ほい
【鑑定目的禁止】検出可否報告スレ13
スレリンク(sec板)
982:名無しさん@お腹いっぱい。
10/01/10 01:48:22
>>980
検出可否報告スレにならロダもあるし提出もしてくれそうで一石二鳥
解凍パスワードを"infected"か "virus"にしてうp
983:名無しさん@お腹いっぱい。
10/01/10 01:53:14
ほな 1000とっとくわな
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
スレリンク(sec板)
984:名無しさん@お腹いっぱい。
10/01/10 01:54:40
レッドカード出ますたw
985:名無しさん@お腹いっぱい。
10/01/10 02:00:29
ここ「ガンブラー」に感染したのか?
URLリンク(www.mag-x.com)
986:名無しさん@お腹いっぱい。
10/01/10 02:05:28
>>985
URLリンク(www)●mag-x●com/blog/cat16/
/*LGPL*/
987:名無しさん@お腹いっぱい。
10/01/10 02:05:45
Bingのキャッシュに/*GNU GPL*/
988:名無しさん@お腹いっぱい。
10/01/10 02:06:18
ほかもやられてるお。。。
989:名無しさん@お腹いっぱい。
10/01/10 02:09:04
凄いな・・・
990:名無しさん@お腹いっぱい。
10/01/10 02:12:58
>>985
実施中の緊急メンテナンス終了予定のお知らせ
対応早いね
991:名無しさん@お腹いっぱい。
10/01/10 02:16:09
>>990
他のページが放置っぽい。。。
992:名無しさん@お腹いっぱい。
10/01/10 02:17:10
対応早いとこはだいたいわかってないからな
再発する
993:名無しさん@お腹いっぱい。
10/01/10 02:20:34
URLリンク(www)●mag-x●com/にアクセスするとメンテナンスページに飛ばされるけど
リダイレクトが2回あって1回目でG dataが反応する
994:名無しさん@お腹いっぱい。
10/01/10 02:22:54
>993
このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
2:21:57
Kaspersky Internet Security 2010
995:名無しさん@お腹いっぱい。
10/01/10 02:36:34
>>985
これ一ブログじゃなくて収容してるブログ全体にウイルスコード入れられたのか
996:名無しさん@お腹いっぱい。
10/01/10 02:37:14
ikhvyhbl;lknouvb;jnl/ nu:;lj/.kl\;N*M*
なんだこれ新型か?
997:名無しさん@お腹いっぱい。
10/01/10 02:37:38
>>993
ほんとだ
URLリンク(www)<)●mag-x●com/pc●html
↓
URLリンク(www)●mag-x●com/blog/index●html
998:名無しさん@お腹いっぱい。
10/01/10 02:40:30
>>997
URLリンク(www.google.co.jp)
これはひどいなあ
999:名無しさん@お腹いっぱい。
10/01/10 02:42:04
>>998
うはw収容サイトにもれなく入ってる
1000:名無しさん@お腹いっぱい。
10/01/10 02:42:26
1000なら癌ブラーは無くなる
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。