【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】at SEC
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】 - 暇つぶし2ch900:名無しさん@お腹いっぱい。
10/01/27 21:01:49
>>899 thx

MyJVN バージョンチェッカで各ソフトは最新になってるけど大丈夫かな・・・

901:名無しさん@お腹いっぱい。
10/01/27 21:44:54
口唇ヘルペスの治療や症状
www●pdmounted●com

リアルに感染中/*Exception*/

902:名無しさん@お腹いっぱい。
10/01/27 21:49:29
>>898
めるした。

>>897
言いだしっぺの法貝リ
お願いします。m(_ _)m

903:名無しさん@お腹いっぱい。
10/01/27 22:18:03
>>901
whoisからめるしました。

904:名無しさん@お腹いっぱい。
10/01/27 22:36:57
Gumblar蔓延の要因の一つは感染サイトの告知の中の
トレンドマイクロのオンラインシュキャンの進めにあると思われます

トレンドマイクロの営利主義と感染サイトの告知が
感染PCを安全としGumblar蔓延を促進しているのではなかろうかと

PCデポでは無料診断と称してトレンドマイクロのオンラインシュキャンを行っていますが
これは、PCデポとトレンドマイクロの密接な繋がり上行われているものであり
安易にユーザに間違った安心感だけを与えているいるだけかと

PCがGumblarに感染しているか否かを真剣に診断しているとは
断じて言えるものでは無いのだとw

905:名無しさん@お腹いっぱい。
10/01/27 22:39:10
シュキャンorz

906:名無しさん@お腹いっぱい。
10/01/27 22:41:09
シュキャンダル

907:名無しさん@お腹いっぱい。
10/01/27 22:48:36
>>897
パスワードすら変えてないんじゃないの。

しかし感染を告知しないで有料会員に感染者がいたらどうする気なんだろう。
気がつかずにいたら余計に被害が出るかもしれないのにいろんな意味で凄いわ。

908:名無しさん@お腹いっぱい。
10/01/27 22:58:47
>>907
ソネットも見直してほしい…
URLリンク(www.so-net.ne.jp)

>>25,>>52
/*LGPL*/がまだ残ってる。。。
URLリンク(www.aguse.jp)

909:名無しさん@お腹いっぱい。
10/01/27 23:26:30
ニュースでHPが改竄されたって言ってるじゃん。
あれって本当なの?
ハッカーが直接アクセスして改竄してるの?
てっきりウイルスがHP管理者のPCから勝手に
改竄してるんだと思ってたんだけど。

910:名無しさん@お腹いっぱい。
10/01/27 23:29:05
ウイルスバスターのファイルスキャンで安心とか、アホだろ・・・
いや、うちのサイトのせいで、感染していないと言い張るためにわざとなのか?

911:名無しさん@お腹いっぱい。
10/01/27 23:49:17
>>909
本当
直接アクセスって意味がわかってないと思うけどFTPで直接
管理者のPCがウイルス感染してることも事実だけどそこから改ざんではないです

912:名無しさん@お腹いっぱい。
10/01/28 00:11:43
>>911
うむうむ。
改竄の原因はウイルスではないのね。

913:名無しさん@お腹いっぱい。
10/01/28 03:05:57
埋め込まれるスクリプトでコメント無しのがあるそうで
<script> try{window.onload=function(){document.write('<div id=megaid>

で、このへんに飛ばされるらしい
extrafreeweb.ru
limowebcam.ru
supernetbet.ru
topmediasite.ru
yourtopfilms.ru

914:名無しさん@お腹いっぱい。
10/01/28 03:30:26
それで突かれる脆弱性は何?
先週のIEのを含めて既知のものというか、普通にアップデートを怠らなければ問題ないのなら
コードの変更みたいな些事はもうどうでもいいよ。

915:名無しさん@お腹いっぱい。
10/01/28 03:50:13
勝手に仕切るなw

916:名無しさん@お腹いっぱい。
10/01/28 03:53:03
普通にアップデートを怠らなければ問題ない

917:名無しさん@お腹いっぱい。
10/01/28 04:06:53
>>916
フツーはそうなんだけど今回アドビがねぇ。
0-day発覚から一ヶ月放置。
そのせいだろ今回の騒動は。

918:名無しさん@お腹いっぱい。
10/01/28 04:14:43
アドビのjavascriptなんかデフォルトで無効にしとけっての

919:名無しさん@お腹いっぱい。
10/01/28 06:46:27
感染したら
netstat -ap tcp 10
で監視できないのかな

920:名無しさん@お腹いっぱい。
10/01/28 07:41:10
>>914
ソース見てコードないの確認してからNS許可してるんで、変更情報は自分には重要。

921:名無しさん@お腹いっぱい。
10/01/28 09:17:45
>>908
askul代理店、まだ残ってんのか。
LGPL...

922:名無しさん@お腹いっぱい。
10/01/28 10:15:09
新しい?
<script> try{window.onload=function(){document.write('<div id=megaid>addictinggames-com.z5x.ne</div>');以下長文略

923:922
10/01/28 10:17:46
これに掛かると、サイトは真っ白になって
addictinggames-com.z5x.neとだけ表示される

924:名無しさん@お腹いっぱい。
10/01/28 11:08:08
>>916
「普通にアップデート」したら、913のスクリプトが動かなくなるの?
それとも、このスクリプトの飛び先にある毒から守られるの?

925:名無しさん@お腹いっぱい。
10/01/28 11:09:52
/*・・・*/無し最新型はDEBUG(仮称)と記す

伊豆諸島/伊豆大島/大島町/TOP/総合情報(DEBUG)
URLリンク(park5)<)●co●jp/index●html

RONI大好きサイト(Exception)
URLリンク(roni)<)●roselog●net/

テレ東アニメDVD通販情報(たぶんDEBUG)
URLリンク(anime)<)●2pg●in/suzukiucar/index2●html
※コードまる見えw

各所につーほヨロ
また潜りに逝ってくる・・・

926:名無しさん@お腹いっぱい。
10/01/28 11:18:05
価格比較 GIOS ジオス(崩壊仕様)
URLリンク(shop)●relax-living●net
※/bike11/にGNU GPL

エラー崩壊は新コードの挿入ミスかな?


927:名無しさん@お腹いっぱい。
10/01/28 11:26:29
>>925
大田鋼業株式会社

電話に出たババア
「私たちにはそんなことは分かりません」とガチャ切り w

928:名無しさん@お腹いっぱい。
10/01/28 11:44:14
>>927
マジかwひでぇ会社だw

929:名無しさん@お腹いっぱい。
10/01/28 11:50:57
>>927
ふいたwwww

930:名無しさん@お腹いっぱい。
10/01/28 11:51:13
>>927
ちょwww

931:名無しさん@お腹いっぱい。
10/01/28 11:56:43
従業員10名の零細企業だからそんなもんだろ

932:名無しさん@お腹いっぱい。
10/01/28 11:57:01
>>864
エストニアのESET?

933:名無しさん@お腹いっぱい。
10/01/28 11:57:34
社内ネットワーク内のPCからFTPでアップロードしている場合、
そのPCが感染して無くても他のPCが感染してたらパス抜かれる?

934:名無しさん@お腹いっぱい。
10/01/28 12:10:33
>>931
だからってガチャ切りは普通しないだろ

935:名無しさん@お腹いっぱい。
10/01/28 12:13:19
詐欺とか思われたんだろ
aguseで調べるとタイムアウトだらけだ

936:名無しさん@お腹いっぱい。
10/01/28 12:26:58
大田鋼業株式会社(笑)のコードだが

URLリンク(counterbest)<)●ru:8080/wiktionary●org/wiktionary●org/sweetim●com/nhl●com/google●com/

この認識で良いのかな?

937:名無しさん@お腹いっぱい。
10/01/28 12:30:07
闇金業者の融資だと思われたんだな

938:名無しさん@お腹いっぱい。
10/01/28 12:41:31
例どんな相手でも普通の企業でガチャ切りなんてありえん

939:名無しさん@お腹いっぱい。
10/01/28 13:03:43
立て続けに何人もの「善意の第三者」から掛かってきていたとか

940:名無しさん@お腹いっぱい。
10/01/28 13:10:43
KDDIのマイライン勧誘電話はガチャ切りしてる。
そうしないと延々喋り続けるから。

941:名無しさん@お腹いっぱい。
10/01/28 14:32:18
いやいや町工場とか土建屋なんかそんな対応がデフォだぞ

942:名無しさん@お腹いっぱい。
10/01/28 15:10:44
つーか、もうNoScriptのホワイトリストとかIEの信頼済ゾーンとか意味ない感じだよな。
一時許可だけは含めた全拒否か、突かれる穴だけを埋めて全許可の二択だわ。

943:名無しさん@お腹いっぱい。
10/01/28 15:26:24
信じられぬと 嘆くよりも
サイトを信じて 感染するほうがいい~

944:名無しさん@お腹いっぱい。
10/01/28 15:27:31
それはない。

945:名無しさん@お腹いっぱい。
10/01/28 15:29:20
求めないで 対策なんか
臆病者の 言いわけだから~

946:名無しさん@お腹いっぱい。
10/01/28 15:40:05
あると思います。

947:名無しさん@お腹いっぱい。
10/01/28 15:43:27
>>942
おれもそう思って、NoScriptをアンインストールした
そうしたら、FireFoxがけっこう軽くなったよw
穴を詰めておいて、これは絶対やばいだろと思うところは
仮想環境で行くことにした
で、最近のメインンブラウザはチョロメになってる

948:名無しさん@お腹いっぱい。
10/01/28 15:44:30
かっけっすね

949:名無しさん@お腹いっぱい。
10/01/28 15:50:18
外向き8080遮断でいいんじゃねーの?

950:名無しさん@お腹いっぱい。
10/01/28 15:51:44
>>922と全く同じコードが埋め込まれてたんだが(もう復旧済み)
これって表示するだけでウイルスやバックドア感染はしないの?

951:名無しさん@お腹いっぱい。
10/01/28 15:55:11
穴があれば感染する。

952:名無しさん@お腹いっぱい。
10/01/28 15:57:34
俺のアナルはゆるゆるだ

953:名無しさん@お腹いっぱい。
10/01/28 15:58:21
>>951
ありがとう…先方に警告出すわ…
コード解析しても意味ないのかな。仕方がいまいち分からん
先方の鯖管が報告してればいいけど

954:名無しさん@お腹いっぱい。
10/01/28 16:05:22
>>925
izushichi めるしました。
oota 直っているようです。ぐぐるキャッシュに/*LGPL*/
roni、test roselog●netは全滅か?、whoisからめるしました。
sunrise●2pg リンク先はみなかったことにして、whoisからめるしました。

955:名無しさん@お腹いっぱい。
10/01/28 16:14:09
>>922
>>950
みたいに画面真っ白表示するのってなんだろう
感染してるってブラウザで丸わかりじゃ意味ないんじゃないのかな?
愉快犯ってことなのかな

956:名無しさん@お腹いっぱい。
10/01/28 16:18:24
真っ白表示された時点で(穴があれば)感染しているから目的は達成されるだろ。
愉快犯ってことにして閲覧者には無害ですとかアナウンスしたいのかもしれんが
覚悟決めろや。

957:名無しさん@お腹いっぱい。
10/01/28 16:28:43
いやいや、普通ならなるべく多く感染させたいから隠すだろ
感染させてやったって表示してるんだから愉快犯(反応を楽しむ)なんじゃね

当然感染もするけどな

958:名無しさん@お腹いっぱい。
10/01/28 16:30:09
愉快犯=実害がないわけじゃないだろjk

959:名無しさん@お腹いっぱい。
10/01/28 16:31:37
>>926
whoisからめるしました。
飛び先は同じなのでコードの貼り付け失敗かも

960:名無しさん@お腹いっぱい。
10/01/28 16:37:51
ウィルス作る奴が何考えてるかなんてわからねーよ

961:名無しさん@お腹いっぱい。
10/01/28 16:45:44
自サイト感染してた知人、ページ復旧してもう安心な気持ちになってる。
話突っ込んだけどもう元に戻したしって危機感もってないみたい。
いや感染してたら危ないって!って言っていいんだよね?
何故あんなに自信満々なんだ……

962:名無しさん@お腹いっぱい。
10/01/28 16:57:19
お前の説明がヘタクソだから

963:名無しさん@お腹いっぱい。
10/01/28 17:01:10
>>927
吹いた

964:名無しさん@お腹いっぱい。
10/01/28 17:04:54
>>961
知人ともども、so-netの記事を読んでみるといいと思う
このへんとか
URLリンク(www.so-net.ne.jp)

965:名無しさん@お腹いっぱい。
10/01/28 17:05:39
sunrise●2pg●inは
<!--<script>--> (省略) <!--</script>-->
になってるのは何なんだろw

966:名無しさん@お腹いっぱい。
10/01/28 17:07:45
superhighest.ru:DEBUG ってなんだよw

967:名無しさん@お腹いっぱい。
10/01/28 17:12:34
DEBUGだけにまだ試行中なんだよ

968:名無しさん@お腹いっぱい。
10/01/28 17:13:59
>>966
(/DEBUG/g, '8080')

969:名無しさん@お腹いっぱい。
10/01/28 17:27:05
>>965
たぶんだけど、やられたことは知っていて
証拠保全とか何か理由があってコメントアウトしたんじゃないかな。

970:名無しさん@お腹いっぱい。
10/01/28 17:56:16
>>922 >>950
これって新しいやつ?報告見たことないけど

971:名無しさん@お腹いっぱい。
10/01/28 17:58:31
>>970
新しいやつ
>>925のDEBUGで報告されてる

972:名無しさん@お腹いっぱい。
10/01/28 18:00:01
ローカルの8080ポートを閉じるのって効果があるの?
リダイレクト先にロシアサーバの8080ポートが使われるってだけで、ローカルの8080ポートは
関係ないと思っていたけど違うのかな?

973:名無しさん@お腹いっぱい。
10/01/28 18:09:50
>>933
ぬかれる

974:名無しさん@お腹いっぱい。
10/01/28 18:11:41
>>972
ない

975:名無しさん@お腹いっぱい。
10/01/28 18:15:49
>>970
この記事にあるコードがそうだと思う
URLリンク(www3.atword.jp)

976:名無しさん@お腹いっぱい。
10/01/28 18:34:37
DEBUG型、未だどこも検知せず…orz
URLリンク(www.virustotal.com)

avastには提出しました。他のもよろしく

977:名無しさん@お腹いっぱい。
10/01/28 18:48:10
>>976
スレリンク(sec板:329番)
で、やってるっぽい

978:名無しさん@お腹いっぱい。
10/01/28 18:57:33
>>972
ローカル8080開けてるヤツなんてそんないないからな

979:名無しさん@お腹いっぱい。
10/01/28 19:56:51
提出した人はうpロダに物を上げてもらえんか?
対応してないAVソフトのユーザーは、それ使って検体の提出ができるからさ

980:名無しさん@お腹いっぱい。
10/01/28 20:04:35
>>976
>>925izushichiの分
かすぺ @返信日時:17:34
> Hello,
>
> index.htm_, mikura_index.html_, oshima_index.html_, toshima_index.html_ - Trojan.JS.Agent.bcb
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> Please quote all when answering.
> The answer is relevant to the latest bases from update sources.
> --
> Best regards, Sergey Prokudin
> Virus analyst, Kaspersky Lab.

ESET @返信日時:19:00
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> index.htm - JS/TrojanDownloader.Agent.NRP trojan
> mikura_index.html - JS/TrojanDownloader.Agent.NRP trojan
> oshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
> toshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
>
> Regards,
>
> Daniel Novomesky
> Virus Researcher
> ESET spol. s r.o.

981:名無しさん@お腹いっぱい。
10/01/28 20:18:43
>>925gyomu-yoの分
Fortinet @返信日時:16:09 (あちらの時刻かも。)
> Dear Customer,
>
> Thank you for submitting the sample to Fortinet. We have recently added detection for this malware. The signature will be included in the next regular update.
>
> The sample you submitted will be detected as follows:
> index.html - JS/IFrame.FAC!tr
>
> Best Regards,
> AV Lab - Bob

982:名無しさん@お腹いっぱい。
10/01/28 20:20:24
>>981補足
anime●gyomu-yo●netではなくgyomu-yo●netです。

983:名無しさん@お腹いっぱい。
10/01/28 20:43:39
次スレは重複したここでいいのか?

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
スレリンク(sec板)

984:名無しさん@お腹いっぱい。
10/01/28 20:49:42
>>922
それ今朝やられた。自分とこの場合、一瞬正規のページが表示された後に、nhl-com.stc.com.sa.googleと表示。
avast!で検出されず、aguseで調べたら、「ガブンラー感染の恐れあり」。
今年に入って、これで2回目です。
前回はユーザーからメールと電話で報告を受け、今回は運良く自分で見つけたけど、これって、FTPのパスワードとかの
設定変えたほうがいいのかな?ちなみに鯖はXREAですw

985:名無しさん@お腹いっぱい。
10/01/28 20:50:17
>>984
ぉぃw

986:名無しさん@お腹いっぱい。
10/01/28 20:50:50
毎日変えろ糞が

987:名無しさん@お腹いっぱい。
10/01/28 20:53:49
改ざんされたソース保存してて、ブラウザで閲覧してもまだavast!では検出されませんね。
反映されるまで時間かかるのかな?

988:925
10/01/28 20:55:53
検索ワード:".replace(/\(|#|@|&|\^|\$|\)|\!/ig,"

・やふー
URLリンク(search.yahoo.co.jp)

・えきさいと
URLリンク(www.excite.co.jp)

つーほしてくれた人>乙です

989:名無しさん@お腹いっぱい。
10/01/28 20:55:56
987=984です。

>>986
パスワードの変更の仕方がよくわからんのよ

990:984
10/01/28 21:03:06
>>988
けっこう改ざんされてるとこあるんだね。通報してくれた人本当に乙です

991:名無しさん@お腹いっぱい。
10/01/28 21:06:28
>>988
その中から探してきてくれたあなたこそ乙ですぽ。

992:名無しさん@お腹いっぱい。
10/01/28 21:07:31
>>988
J U M P E R Z . N E T - BBS -
感染のオンパレードわろた

993:名無しさん@お腹いっぱい。
10/01/28 21:07:46
>>984
XREAってこれのこと?
URLリンク(www.so-net.ne.jp)

994:984
10/01/28 21:09:00
パスワード変更の方法が分かりました。これからは定期的にパスワード変更します。

995:名無しさん@お腹いっぱい。
10/01/28 21:09:23
次スレ誘導
スレリンク(sec板)
※このスレが重複したやつだが気にすんな

996:984
10/01/28 21:12:40
>>993
今回の改ざんはそうかもしれないですね。でも前回は、今月の中旬頃でした

997:名無しさん@お腹いっぱい。
10/01/28 21:15:26
>>996
OSのクリーンインストールもしてね。

998:名無しさん@お腹いっぱい。
10/01/28 21:20:49
So-net 三つの謎
※中の人ねらー疑惑
※何故マカフィーなのか
※中の人は美少女なのかオサーンなのか

999:名無しさん@お腹いっぱい。
10/01/28 21:23:41
>>998
3番目が最重要だにゃ。

↓1000どぞー

1000:名無しさん@お腹いっぱい。
10/01/28 21:24:09
>※中の人は美少女なのかオサーンなのか
これだけは判る、きっとオサーンなのだw

1000ゲト!

1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch