【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】at SEC
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】 - 暇つぶし2ch843:名無しさん@お腹いっぱい。
10/01/26 21:01:00
>>782
他人に迷惑かけておいてスクロールしなければ見えないところに告知してんなよ。
自分のことしか考えていないクソ政治家が露呈しているわ。

844:名無しさん@お腹いっぱい。
10/01/26 21:02:29
>>843
ならば君が政治家になりたまえ

845:名無しさん@お腹いっぱい。
10/01/26 21:23:12
まぁ通知すらしない企業だってあるんだし

846:名無しさん@お腹いっぱい。
10/01/26 21:37:05
嫌な言い方

847:名無しさん@お腹いっぱい。
10/01/26 22:11:02
サッカーマガジンの旧ページ(今は移転告知と転送だけ)
URLリンク(soccer.hikaritv-bbm)●com/


848:名無しさん@お腹いっぱい。
10/01/26 22:16:20
 

849:名無しさん@お腹いっぱい。
10/01/26 22:56:15
>>847
whoisからべーすぼーるまがじんにめるしますた。

850:名無しさん@お腹いっぱい。
10/01/26 23:27:33
>>849,839
乙です


851:名無しさん@お腹いっぱい。
10/01/26 23:38:31
【セキュリティ】Gumblarの新しい亜種が突出、感染サイトの4割で検出(10/01/26)
スレリンク(pcnews板)

852:名無しさん@お腹いっぱい。
10/01/27 01:18:54
わざと感染して、いろんなところにFTPアクセスすれば
Gumblarも混乱するんじゃ?

853:名無しさん@お腹いっぱい。
10/01/27 01:22:16
>>852
全部書き換えられるのが落ち

854:名無しさん@お腹いっぱい。
10/01/27 01:48:42
GENOみたいにweb改竄で感染させて ハードディスクフォーマットさせるウイルスってあるの?

855:名無しさん@お腹いっぱい。
10/01/27 03:44:13
さくらオワタwww
URLリンク(www.google.com)
過去 90 日間に、このサイトの一部で不審な動きが 66 回報告されています。
Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 6048 ページのうち
241 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、
インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは2010-01-26で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-26です。

不正なソフトウェアは (省略) を含む
135 個のドメインでホストされています。

(省略) を含む 20 個のドメインが、
このサイトの訪問者に不正なソフトウェアを
配布する媒体として機能しているようです。


ろりぽっぷ
URLリンク(www.google.com)

856:名無しさん@お腹いっぱい。
10/01/27 04:16:32
KKJサイトにおける不正改ざんについての状況報告とお願い
URLリンク(www.kkj.or.jp)
お詫びは良いけどさ・・・

>【GENOウイルスチェッカー】
>URLリンク(geno.2ch.tc)



マスゴミがGumblarと8080を混同して報道したのが原因だろうな。


857:名無しさん@お腹いっぱい。
10/01/27 05:35:31
>>856

ここもそうだよ
URLリンク(ameblo.jp)

なぜにブログで告知する…はおいといて

> ★ウィルス対策や駆除の方法
> ⇒コチラ のサイトに詳しく載っております。
>  所要時間はたったの5分です。

コチラ のサイト(どうしてそこ行く)
URLリンク(blog.ecstudio.jp)


858:名無しさん@お腹いっぱい。
10/01/27 05:41:07
新種の告知かな
URLリンク(www)●mag-x●com/


859:名無しさん@お腹いっぱい。
10/01/27 06:23:51
>>858
改ざんされてる?


860:名無しさん@お腹いっぱい。
10/01/27 06:33:32
糞チェッカーは糞

861:名無しさん@お腹いっぱい。
10/01/27 07:06:38
>>859
サイトリニューアル

> 年末年始にかけて2週間のサイト閉鎖を行い、さらに、1月22日から25日まで、
> 部分的にページが見られなくなっておりましたこと、深くお詫びいたします。
> その後システムの調査をしましたところ、会員情報に関しては、漏洩の事実
> が認められなかったことを、ここにご報告させていただきます。

ウイルス感染問題はウヤムヤ


862:名無しさん@お腹いっぱい。
10/01/27 07:56:35
>>861
レスありがとう

863:名無しさん@お腹いっぱい。
10/01/27 09:20:21
>>857
コメントにSo-netセキュリティ通信のURLでも書いておこうかと思ったけど

>お互いに「アナログ人間万歳☆」ですね?!

これみて萎えた。

864:名無しさん@お腹いっぱい。
10/01/27 10:02:22
知能テストに見せかけHDDのデータを破壊、危険なワームが拡大
HDDの重要な部分を破壊してしまう新手のワーム「Zimuse」が世界各地で感染を広げているという。
2010年01月27日 08時09分 更新
URLリンク(www.itmedia.co.jp)

Web知能テストに見せかけHDDのデータを破壊する粋なウィルスが登場
スレリンク(news板)

865:856
10/01/27 14:25:59
>>857
>コチラ のサイト(どうしてそこ行く)
>URLリンク(blog.ecstudio.jp)

このブログ自体は既出だが・・・
Java(JRE)の事が抜けてるから、環境次第では穴が空いたままになる可能性がw

URLリンク(minkara.carview.co.jp)
何故か人気がある社長の糞ブログwww

さすがみんカラー
※みんな頭カラッポ=略して「みんカラ」


866:名無しさん@お腹いっぱい。
10/01/27 14:42:54
>>865
そのブログにコメント出してたら消されてるなw

867:名無しさん@お腹いっぱい。
10/01/27 15:30:37
T-fal(ティファール)ウェブサイトご利用のみなさまへ

いつもT-falのウェブサイトをご利用くださいましてありがとうございます。
現在サイト内において、ページによって表示されにくい個所がございます。
ただ今改善の作業を進めておりますが、完全な復旧まで今しばらくお待ち
いただけます様、よろしくお願い申し上げます。

株式会社 グループセブ ジャパン

URLリンク(www.t-fal.co.jp)

ここのサイトも感染したのかな?


868:名無しさん@お腹いっぱい。
10/01/27 15:58:24
>※みんな頭カラッポ=略して「みんカラ」

ワロタ
オカルトグッズが蔓延するサイトだからなぁ・・・

869:名無しさん@お腹いっぱい。
10/01/27 16:02:06
ソースに記載のある
/krups/js/xtplugar.js
/krups/js/xtplug.js
が404になってる。改ざんされて消したのかもね。


870:名無しさん@お腹いっぱい。
10/01/27 16:20:33
>>867
DoS攻撃くらってテンポってるだけじゃね?

【調理器具】ティファールの鍋、取っ手外れやけど 同様の事故3件 [10/01/26]
スレリンク(bizplus板)

871:名無しさん@お腹いっぱい。
10/01/27 16:41:20
BLOGって感染しないよね

872:名無しさん@お腹いっぱい。
10/01/27 16:47:47
ティファールは前にも改ざんされたからね

873:名無しさん@お腹いっぱい。
10/01/27 16:48:59
>>871
SQLインジェクション

あ、トレンドマイクロ的な意味じゃなくて

874:名無しさん@お腹いっぱい。
10/01/27 17:22:52
これはひどい(アフィ的な意味で)
symantecgam.seesaa.net

875:人柱になりたい人 ◆sage/xLnlI
10/01/27 17:31:35
WindowsXP
Windows98
Ubuntu 9.10

どれがいいんだろう

876:名無しさん@お腹いっぱい。
10/01/27 17:34:28
>>875
Windows95

877:名無しさん@お腹いっぱい。
10/01/27 17:34:55
URLリンク(www)●mv-tokai●com/

nortonのアドオンが検出
これは改竄ですかね?(もしくは過去に改竄されていた?)

878:人柱になりたい人 ◆sage/xLnlI
10/01/27 17:37:53
>>876
持ってない
よし、Windows98(アンチウイルスソフトなし)で踏んでこよう

879:名無しさん@お腹いっぱい。
10/01/27 17:40:42
>>877
ざっと見た限りでは、少なくとも今は改竄は無いっぽい
キャッシュ見て来ます

880:名無しさん@お腹いっぱい。
10/01/27 17:43:04
1月12日に「お詫びとお知らせ」pdfファイルがあった

スナック菓子に針1本混入だった

881:877
10/01/27 17:44:50
malscript扱いになってるけどキャッシュのどこかに反応したっぽい
トップページでは出ないっす

882:879
10/01/27 17:52:30
GoogleとBingのキャッシュ見たけどよく分からんかった
どこにひっかかってるんだろう…aguseでも反応無いけど

883:名無しさん@お腹いっぱい。
10/01/27 17:59:03
>>882
今確認してみたらyahooのキャッシュでTrojan.Malscript!htmlと出ました

884:名無しさん@お腹いっぱい。
10/01/27 18:04:16
あれ・・これは
ページ関係なしにyahoofs.jp(yahooのキャッシュ)自体が反応しているみたいだけど
これはnortonの駄目機能の誤爆かな
吊ってこようorz

885:名無しさん@お腹いっぱい。
10/01/27 18:05:35
>>830

886:名無しさん@お腹いっぱい。
10/01/27 18:05:54
カスペがGoogleに喧嘩売ったと思ったら
今度はノートンがYahoo!に喧嘩売ったのかw

887:名無しさん@お腹いっぱい。
10/01/27 18:08:18
カスペは即日修正したがノートンは違うな

888:名無しさん@お腹いっぱい。
10/01/27 18:13:30
まぁ24時間は様子見ようぜ。
あっちのYahoo!とYahoo!Japanとでスクリプト等が異なると対応は遅くなるだろうな。

889:人柱になりたい人 ◆sage/xLnlI
10/01/27 18:16:53
Trojan.Malscript!htmlでググるとこんなんでました

URLリンク(www.virustotal.com)



890:名無しさん@お腹いっぱい。
10/01/27 18:31:59
ノートンのネーミングは相当アバウトっつーか広範囲すぎるので
それでググってもあまり意味ないぞ

891:名無しさん@お腹いっぱい。
10/01/27 18:34:26
>>874
URLリンク(search.yahoo.co.jp)

確かに酷い
そしてSEOが出来てる訳でもない

892:名無しさん@お腹いっぱい。
10/01/27 18:57:05
>>884
なに?よく分からないけどヤフーのトップページ見ただけでもノートン反応するって事?
俺のNIS2009は何も反応しないけど

893:名無しさん@お腹いっぱい。
10/01/27 19:10:20
>>892
反応するのはyahooのキャッシュ鯖
検索したページをキャッシュ表示すると出る

894:名無しさん@お腹いっぱい。
10/01/27 19:15:27
>>858-859,>>861-862
リアルタイムで感染中だお。/*Exception*/
URLリンク(www.aguse.jp)

895:名無しさん@お腹いっぱい。
10/01/27 19:19:52
>>893
ありがとう、何も反応しないや、おかしいな

896:名無しさん@お腹いっぱい。
10/01/27 19:26:32
>>895
NIS2010は2009のマイナーバージョンアップに見えて全くの別物仕様だからね
ただ現状の最新エンジンには環境依存の不具合があってうざい事この上ない

897:名無しさん@お腹いっぱい。
10/01/27 20:23:47
>>894
これだけ感染を繰り返すのは更新に使用しているパソコンからウィルス駆除してないんじゃないのか。あとサーバレンタル元に連絡して一時閉鎖とかの対応取って貰うとかしないと駆除と感染のいたちごっこが続きそう

898:名無しさん@お腹いっぱい。
10/01/27 20:49:25
ttp●//kousyu●cool●ne●jp/

MSEで"Trojan:JS/Redirector.BQ"と出たがGumblar?

899:名無しさん@お腹いっぱい。
10/01/27 20:51:48
>>898
/*Exception*/

900:名無しさん@お腹いっぱい。
10/01/27 21:01:49
>>899 thx

MyJVN バージョンチェッカで各ソフトは最新になってるけど大丈夫かな・・・

901:名無しさん@お腹いっぱい。
10/01/27 21:44:54
口唇ヘルペスの治療や症状
www●pdmounted●com

リアルに感染中/*Exception*/

902:名無しさん@お腹いっぱい。
10/01/27 21:49:29
>>898
めるした。

>>897
言いだしっぺの法貝リ
お願いします。m(_ _)m

903:名無しさん@お腹いっぱい。
10/01/27 22:18:03
>>901
whoisからめるしました。

904:名無しさん@お腹いっぱい。
10/01/27 22:36:57
Gumblar蔓延の要因の一つは感染サイトの告知の中の
トレンドマイクロのオンラインシュキャンの進めにあると思われます

トレンドマイクロの営利主義と感染サイトの告知が
感染PCを安全としGumblar蔓延を促進しているのではなかろうかと

PCデポでは無料診断と称してトレンドマイクロのオンラインシュキャンを行っていますが
これは、PCデポとトレンドマイクロの密接な繋がり上行われているものであり
安易にユーザに間違った安心感だけを与えているいるだけかと

PCがGumblarに感染しているか否かを真剣に診断しているとは
断じて言えるものでは無いのだとw

905:名無しさん@お腹いっぱい。
10/01/27 22:39:10
シュキャンorz

906:名無しさん@お腹いっぱい。
10/01/27 22:41:09
シュキャンダル

907:名無しさん@お腹いっぱい。
10/01/27 22:48:36
>>897
パスワードすら変えてないんじゃないの。

しかし感染を告知しないで有料会員に感染者がいたらどうする気なんだろう。
気がつかずにいたら余計に被害が出るかもしれないのにいろんな意味で凄いわ。

908:名無しさん@お腹いっぱい。
10/01/27 22:58:47
>>907
ソネットも見直してほしい…
URLリンク(www.so-net.ne.jp)

>>25,>>52
/*LGPL*/がまだ残ってる。。。
URLリンク(www.aguse.jp)

909:名無しさん@お腹いっぱい。
10/01/27 23:26:30
ニュースでHPが改竄されたって言ってるじゃん。
あれって本当なの?
ハッカーが直接アクセスして改竄してるの?
てっきりウイルスがHP管理者のPCから勝手に
改竄してるんだと思ってたんだけど。

910:名無しさん@お腹いっぱい。
10/01/27 23:29:05
ウイルスバスターのファイルスキャンで安心とか、アホだろ・・・
いや、うちのサイトのせいで、感染していないと言い張るためにわざとなのか?

911:名無しさん@お腹いっぱい。
10/01/27 23:49:17
>>909
本当
直接アクセスって意味がわかってないと思うけどFTPで直接
管理者のPCがウイルス感染してることも事実だけどそこから改ざんではないです

912:名無しさん@お腹いっぱい。
10/01/28 00:11:43
>>911
うむうむ。
改竄の原因はウイルスではないのね。

913:名無しさん@お腹いっぱい。
10/01/28 03:05:57
埋め込まれるスクリプトでコメント無しのがあるそうで
<script> try{window.onload=function(){document.write('<div id=megaid>

で、このへんに飛ばされるらしい
extrafreeweb.ru
limowebcam.ru
supernetbet.ru
topmediasite.ru
yourtopfilms.ru

914:名無しさん@お腹いっぱい。
10/01/28 03:30:26
それで突かれる脆弱性は何?
先週のIEのを含めて既知のものというか、普通にアップデートを怠らなければ問題ないのなら
コードの変更みたいな些事はもうどうでもいいよ。

915:名無しさん@お腹いっぱい。
10/01/28 03:50:13
勝手に仕切るなw

916:名無しさん@お腹いっぱい。
10/01/28 03:53:03
普通にアップデートを怠らなければ問題ない

917:名無しさん@お腹いっぱい。
10/01/28 04:06:53
>>916
フツーはそうなんだけど今回アドビがねぇ。
0-day発覚から一ヶ月放置。
そのせいだろ今回の騒動は。

918:名無しさん@お腹いっぱい。
10/01/28 04:14:43
アドビのjavascriptなんかデフォルトで無効にしとけっての

919:名無しさん@お腹いっぱい。
10/01/28 06:46:27
感染したら
netstat -ap tcp 10
で監視できないのかな

920:名無しさん@お腹いっぱい。
10/01/28 07:41:10
>>914
ソース見てコードないの確認してからNS許可してるんで、変更情報は自分には重要。

921:名無しさん@お腹いっぱい。
10/01/28 09:17:45
>>908
askul代理店、まだ残ってんのか。
LGPL...

922:名無しさん@お腹いっぱい。
10/01/28 10:15:09
新しい?
<script> try{window.onload=function(){document.write('<div id=megaid>addictinggames-com.z5x.ne</div>');以下長文略

923:922
10/01/28 10:17:46
これに掛かると、サイトは真っ白になって
addictinggames-com.z5x.neとだけ表示される

924:名無しさん@お腹いっぱい。
10/01/28 11:08:08
>>916
「普通にアップデート」したら、913のスクリプトが動かなくなるの?
それとも、このスクリプトの飛び先にある毒から守られるの?

925:名無しさん@お腹いっぱい。
10/01/28 11:09:52
/*・・・*/無し最新型はDEBUG(仮称)と記す

伊豆諸島/伊豆大島/大島町/TOP/総合情報(DEBUG)
URLリンク(park5)<)●co●jp/index●html

RONI大好きサイト(Exception)
URLリンク(roni)<)●roselog●net/

テレ東アニメDVD通販情報(たぶんDEBUG)
URLリンク(anime)<)●2pg●in/suzukiucar/index2●html
※コードまる見えw

各所につーほヨロ
また潜りに逝ってくる・・・

926:名無しさん@お腹いっぱい。
10/01/28 11:18:05
価格比較 GIOS ジオス(崩壊仕様)
URLリンク(shop)●relax-living●net
※/bike11/にGNU GPL

エラー崩壊は新コードの挿入ミスかな?


927:名無しさん@お腹いっぱい。
10/01/28 11:26:29
>>925
大田鋼業株式会社

電話に出たババア
「私たちにはそんなことは分かりません」とガチャ切り w

928:名無しさん@お腹いっぱい。
10/01/28 11:44:14
>>927
マジかwひでぇ会社だw

929:名無しさん@お腹いっぱい。
10/01/28 11:50:57
>>927
ふいたwwww

930:名無しさん@お腹いっぱい。
10/01/28 11:51:13
>>927
ちょwww

931:名無しさん@お腹いっぱい。
10/01/28 11:56:43
従業員10名の零細企業だからそんなもんだろ

932:名無しさん@お腹いっぱい。
10/01/28 11:57:01
>>864
エストニアのESET?

933:名無しさん@お腹いっぱい。
10/01/28 11:57:34
社内ネットワーク内のPCからFTPでアップロードしている場合、
そのPCが感染して無くても他のPCが感染してたらパス抜かれる?

934:名無しさん@お腹いっぱい。
10/01/28 12:10:33
>>931
だからってガチャ切りは普通しないだろ

935:名無しさん@お腹いっぱい。
10/01/28 12:13:19
詐欺とか思われたんだろ
aguseで調べるとタイムアウトだらけだ

936:名無しさん@お腹いっぱい。
10/01/28 12:26:58
大田鋼業株式会社(笑)のコードだが

URLリンク(counterbest)<)●ru:8080/wiktionary●org/wiktionary●org/sweetim●com/nhl●com/google●com/

この認識で良いのかな?

937:名無しさん@お腹いっぱい。
10/01/28 12:30:07
闇金業者の融資だと思われたんだな

938:名無しさん@お腹いっぱい。
10/01/28 12:41:31
例どんな相手でも普通の企業でガチャ切りなんてありえん

939:名無しさん@お腹いっぱい。
10/01/28 13:03:43
立て続けに何人もの「善意の第三者」から掛かってきていたとか

940:名無しさん@お腹いっぱい。
10/01/28 13:10:43
KDDIのマイライン勧誘電話はガチャ切りしてる。
そうしないと延々喋り続けるから。

941:名無しさん@お腹いっぱい。
10/01/28 14:32:18
いやいや町工場とか土建屋なんかそんな対応がデフォだぞ

942:名無しさん@お腹いっぱい。
10/01/28 15:10:44
つーか、もうNoScriptのホワイトリストとかIEの信頼済ゾーンとか意味ない感じだよな。
一時許可だけは含めた全拒否か、突かれる穴だけを埋めて全許可の二択だわ。

943:名無しさん@お腹いっぱい。
10/01/28 15:26:24
信じられぬと 嘆くよりも
サイトを信じて 感染するほうがいい~

944:名無しさん@お腹いっぱい。
10/01/28 15:27:31
それはない。

945:名無しさん@お腹いっぱい。
10/01/28 15:29:20
求めないで 対策なんか
臆病者の 言いわけだから~

946:名無しさん@お腹いっぱい。
10/01/28 15:40:05
あると思います。

947:名無しさん@お腹いっぱい。
10/01/28 15:43:27
>>942
おれもそう思って、NoScriptをアンインストールした
そうしたら、FireFoxがけっこう軽くなったよw
穴を詰めておいて、これは絶対やばいだろと思うところは
仮想環境で行くことにした
で、最近のメインンブラウザはチョロメになってる

948:名無しさん@お腹いっぱい。
10/01/28 15:44:30
かっけっすね

949:名無しさん@お腹いっぱい。
10/01/28 15:50:18
外向き8080遮断でいいんじゃねーの?

950:名無しさん@お腹いっぱい。
10/01/28 15:51:44
>>922と全く同じコードが埋め込まれてたんだが(もう復旧済み)
これって表示するだけでウイルスやバックドア感染はしないの?

951:名無しさん@お腹いっぱい。
10/01/28 15:55:11
穴があれば感染する。

952:名無しさん@お腹いっぱい。
10/01/28 15:57:34
俺のアナルはゆるゆるだ

953:名無しさん@お腹いっぱい。
10/01/28 15:58:21
>>951
ありがとう…先方に警告出すわ…
コード解析しても意味ないのかな。仕方がいまいち分からん
先方の鯖管が報告してればいいけど

954:名無しさん@お腹いっぱい。
10/01/28 16:05:22
>>925
izushichi めるしました。
oota 直っているようです。ぐぐるキャッシュに/*LGPL*/
roni、test roselog●netは全滅か?、whoisからめるしました。
sunrise●2pg リンク先はみなかったことにして、whoisからめるしました。

955:名無しさん@お腹いっぱい。
10/01/28 16:14:09
>>922
>>950
みたいに画面真っ白表示するのってなんだろう
感染してるってブラウザで丸わかりじゃ意味ないんじゃないのかな?
愉快犯ってことなのかな

956:名無しさん@お腹いっぱい。
10/01/28 16:18:24
真っ白表示された時点で(穴があれば)感染しているから目的は達成されるだろ。
愉快犯ってことにして閲覧者には無害ですとかアナウンスしたいのかもしれんが
覚悟決めろや。

957:名無しさん@お腹いっぱい。
10/01/28 16:28:43
いやいや、普通ならなるべく多く感染させたいから隠すだろ
感染させてやったって表示してるんだから愉快犯(反応を楽しむ)なんじゃね

当然感染もするけどな

958:名無しさん@お腹いっぱい。
10/01/28 16:30:09
愉快犯=実害がないわけじゃないだろjk

959:名無しさん@お腹いっぱい。
10/01/28 16:31:37
>>926
whoisからめるしました。
飛び先は同じなのでコードの貼り付け失敗かも

960:名無しさん@お腹いっぱい。
10/01/28 16:37:51
ウィルス作る奴が何考えてるかなんてわからねーよ

961:名無しさん@お腹いっぱい。
10/01/28 16:45:44
自サイト感染してた知人、ページ復旧してもう安心な気持ちになってる。
話突っ込んだけどもう元に戻したしって危機感もってないみたい。
いや感染してたら危ないって!って言っていいんだよね?
何故あんなに自信満々なんだ……

962:名無しさん@お腹いっぱい。
10/01/28 16:57:19
お前の説明がヘタクソだから

963:名無しさん@お腹いっぱい。
10/01/28 17:01:10
>>927
吹いた

964:名無しさん@お腹いっぱい。
10/01/28 17:04:54
>>961
知人ともども、so-netの記事を読んでみるといいと思う
このへんとか
URLリンク(www.so-net.ne.jp)

965:名無しさん@お腹いっぱい。
10/01/28 17:05:39
sunrise●2pg●inは
<!--<script>--> (省略) <!--</script>-->
になってるのは何なんだろw

966:名無しさん@お腹いっぱい。
10/01/28 17:07:45
superhighest.ru:DEBUG ってなんだよw

967:名無しさん@お腹いっぱい。
10/01/28 17:12:34
DEBUGだけにまだ試行中なんだよ

968:名無しさん@お腹いっぱい。
10/01/28 17:13:59
>>966
(/DEBUG/g, '8080')

969:名無しさん@お腹いっぱい。
10/01/28 17:27:05
>>965
たぶんだけど、やられたことは知っていて
証拠保全とか何か理由があってコメントアウトしたんじゃないかな。

970:名無しさん@お腹いっぱい。
10/01/28 17:56:16
>>922 >>950
これって新しいやつ?報告見たことないけど

971:名無しさん@お腹いっぱい。
10/01/28 17:58:31
>>970
新しいやつ
>>925のDEBUGで報告されてる

972:名無しさん@お腹いっぱい。
10/01/28 18:00:01
ローカルの8080ポートを閉じるのって効果があるの?
リダイレクト先にロシアサーバの8080ポートが使われるってだけで、ローカルの8080ポートは
関係ないと思っていたけど違うのかな?

973:名無しさん@お腹いっぱい。
10/01/28 18:09:50
>>933
ぬかれる

974:名無しさん@お腹いっぱい。
10/01/28 18:11:41
>>972
ない

975:名無しさん@お腹いっぱい。
10/01/28 18:15:49
>>970
この記事にあるコードがそうだと思う
URLリンク(www3.atword.jp)

976:名無しさん@お腹いっぱい。
10/01/28 18:34:37
DEBUG型、未だどこも検知せず…orz
URLリンク(www.virustotal.com)

avastには提出しました。他のもよろしく

977:名無しさん@お腹いっぱい。
10/01/28 18:48:10
>>976
スレリンク(sec板:329番)
で、やってるっぽい

978:名無しさん@お腹いっぱい。
10/01/28 18:57:33
>>972
ローカル8080開けてるヤツなんてそんないないからな

979:名無しさん@お腹いっぱい。
10/01/28 19:56:51
提出した人はうpロダに物を上げてもらえんか?
対応してないAVソフトのユーザーは、それ使って検体の提出ができるからさ

980:名無しさん@お腹いっぱい。
10/01/28 20:04:35
>>976
>>925izushichiの分
かすぺ @返信日時:17:34
> Hello,
>
> index.htm_, mikura_index.html_, oshima_index.html_, toshima_index.html_ - Trojan.JS.Agent.bcb
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> Please quote all when answering.
> The answer is relevant to the latest bases from update sources.
> --
> Best regards, Sergey Prokudin
> Virus analyst, Kaspersky Lab.

ESET @返信日時:19:00
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> index.htm - JS/TrojanDownloader.Agent.NRP trojan
> mikura_index.html - JS/TrojanDownloader.Agent.NRP trojan
> oshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
> toshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
>
> Regards,
>
> Daniel Novomesky
> Virus Researcher
> ESET spol. s r.o.

981:名無しさん@お腹いっぱい。
10/01/28 20:18:43
>>925gyomu-yoの分
Fortinet @返信日時:16:09 (あちらの時刻かも。)
> Dear Customer,
>
> Thank you for submitting the sample to Fortinet. We have recently added detection for this malware. The signature will be included in the next regular update.
>
> The sample you submitted will be detected as follows:
> index.html - JS/IFrame.FAC!tr
>
> Best Regards,
> AV Lab - Bob

982:名無しさん@お腹いっぱい。
10/01/28 20:20:24
>>981補足
anime●gyomu-yo●netではなくgyomu-yo●netです。

983:名無しさん@お腹いっぱい。
10/01/28 20:43:39
次スレは重複したここでいいのか?

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
スレリンク(sec板)

984:名無しさん@お腹いっぱい。
10/01/28 20:49:42
>>922
それ今朝やられた。自分とこの場合、一瞬正規のページが表示された後に、nhl-com.stc.com.sa.googleと表示。
avast!で検出されず、aguseで調べたら、「ガブンラー感染の恐れあり」。
今年に入って、これで2回目です。
前回はユーザーからメールと電話で報告を受け、今回は運良く自分で見つけたけど、これって、FTPのパスワードとかの
設定変えたほうがいいのかな?ちなみに鯖はXREAですw

985:名無しさん@お腹いっぱい。
10/01/28 20:50:17
>>984
ぉぃw

986:名無しさん@お腹いっぱい。
10/01/28 20:50:50
毎日変えろ糞が

987:名無しさん@お腹いっぱい。
10/01/28 20:53:49
改ざんされたソース保存してて、ブラウザで閲覧してもまだavast!では検出されませんね。
反映されるまで時間かかるのかな?

988:925
10/01/28 20:55:53
検索ワード:".replace(/\(|#|@|&|\^|\$|\)|\!/ig,"

・やふー
URLリンク(search.yahoo.co.jp)

・えきさいと
URLリンク(www.excite.co.jp)

つーほしてくれた人>乙です

989:名無しさん@お腹いっぱい。
10/01/28 20:55:56
987=984です。

>>986
パスワードの変更の仕方がよくわからんのよ

990:984
10/01/28 21:03:06
>>988
けっこう改ざんされてるとこあるんだね。通報してくれた人本当に乙です

991:名無しさん@お腹いっぱい。
10/01/28 21:06:28
>>988
その中から探してきてくれたあなたこそ乙ですぽ。

992:名無しさん@お腹いっぱい。
10/01/28 21:07:31
>>988
J U M P E R Z . N E T - BBS -
感染のオンパレードわろた

993:名無しさん@お腹いっぱい。
10/01/28 21:07:46
>>984
XREAってこれのこと?
URLリンク(www.so-net.ne.jp)

994:984
10/01/28 21:09:00
パスワード変更の方法が分かりました。これからは定期的にパスワード変更します。

995:名無しさん@お腹いっぱい。
10/01/28 21:09:23
次スレ誘導
スレリンク(sec板)
※このスレが重複したやつだが気にすんな

996:984
10/01/28 21:12:40
>>993
今回の改ざんはそうかもしれないですね。でも前回は、今月の中旬頃でした

997:名無しさん@お腹いっぱい。
10/01/28 21:15:26
>>996
OSのクリーンインストールもしてね。

998:名無しさん@お腹いっぱい。
10/01/28 21:20:49
So-net 三つの謎
※中の人ねらー疑惑
※何故マカフィーなのか
※中の人は美少女なのかオサーンなのか

999:名無しさん@お腹いっぱい。
10/01/28 21:23:41
>>998
3番目が最重要だにゃ。

↓1000どぞー

1000:名無しさん@お腹いっぱい。
10/01/28 21:24:09
>※中の人は美少女なのかオサーンなのか
これだけは判る、きっとオサーンなのだw

1000ゲト!

1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch