10/02/06 01:29:29
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】実質4スレ目
スレリンク(sec板)
【関連スレ】
GENOウイルススレ ★23
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
10/02/06 01:30:52
GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
3:名無しさん@お腹いっぱい。
10/02/06 01:32:52
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLリンク(get.adobe.com)
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
URLリンク(get.adobe.com)
URLリンク(www.adobe.com)
・Flash Playerのバージョン確認
URLリンク(www.adobe.com)
URLリンク(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLリンク(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLリンク(www.java.com)
・Javaのバージョン確認
URLリンク(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLリンク(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLリンク(jp.real.com)
4:名無しさん@お腹いっぱい。
10/02/06 01:41:29
【Gumblar】混ぜるな危険【8080系】
■Gumblar(たぶん消滅済)
2009/4~6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。
■Gumblar.x (祝・復活)
2009/10~12に出現。
挿入するコードが Gumblarのそれと同じだった為、
Gumblarの進化型(亜種?)と言われている。
※今後の動向には注意が必要。
■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG、.ru:X)
Gumblar.x が消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険。
【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)
削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
ファイルを削除
5:名無しさん@お腹いっぱい。
10/02/06 01:42:45
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
URLリンク(blogs.technet.com)
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
URLリンク(itpro.nikkeibp.co.jp)
レジストリの修復 Windowsを使わずに修復してみる
URLリンク(pctrouble.lessismore.cc)
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
URLリンク(www.ahnlab.co.jp)
マカフィー(stinger.exe)
URLリンク(www.mcafee.com)
Kaspersky(KatesKiller.exe)
URLリンク(support.kaspersky.com)
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
URLリンク(anubis.iseclab.org)
■ GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
6:名無しさん@お腹いっぱい。
10/02/06 01:44:04
【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃~今すぐ対策を
URLリンク(www.so-net.ne.jp)
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください
セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済
上記の登録情報を削除した上で
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール&サイト持ちは
安全なPCからのパスワードの変更を推奨します
7:名無しさん@お腹いっぱい。
10/02/06 01:46:42
【改ざんサイトの調査など】
■ チェッカーサイト
・Gumblar Checker 2
URLリンク(gumblarchecker.crz.jp)
・aguse
URLリンク(www.aguse.net)
・飛び先のチェック by ぴょん基地の友達
URLリンク(www.kakiko.com)
・WebGetter
URLリンク(rd.or.tp)
・Dan's View Source
URLリンク(www.dan.co.uk)
■ 専ブラで右クリからの検索を有効にする方法。
設定例:JaneView
設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
URLリンク(www.geocities.jp)
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
aguse.net サイト情報検索=URLリンク(www.aguse.net)
飛び先のチェック=URLリンク(www.kakiko.com)
WebGetterでソースを見る=URLリンク(rd.or.tp)
WebGetterでタグを除去してソースを見る=URLリンク(rd.or.tp)
WebGetterでリンクを抽出する=URLリンク(rd.or.tp)
Dan's View Sourcelでソースを見る=URLリンク(www.dan.co.uk)
8:名無しさん@お腹いっぱい。
10/02/06 01:48:44
危険ポートを閉じることでセキュリティを強化する。
※【ルータ】未導入の人用です。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
ポート135 445
URLリンク(www.google.com)
9:名無しさん@お腹いっぱい。
10/02/06 01:55:19
(1)Microsoft Update(Windows Update)が不要なものを使う
(2)Adobe Readerは使わないか
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を削除
(5) Flash Playerを7以降にしない
(6) QuickTimeを最新版に更新する
10:名無しさん@お腹いっぱい。
10/02/06 07:09:49
/: : : : : : : : :.\~ |:::::::/ ̄ ̄ ̄  ̄ ̄ ̄|:::::::| ~ /,. ― 、, -―- 、
/: : : : : : : : : : : : : \~ |=ロ -=・=- -=・=- ロ=| .//.: : : : : : : : : : : :.\
/: : : :|: : : : : : : : : : : : :\|::::::| ノ |:::::::|/...: : : : :/ \\: : : : : : :ヽ
. |: : : : @ヽ-------‐‐'′.\::|*∵∴ (● ●) ∴∴*|::://: : : : : :/ ヾ.\: : : : : :' ,
.|: : : :/ .\ ∵∴\__l_l__/∵∴ |/ {: : : ///-‐' `ー-ヾ.\: : : : :',
|: : : / ̄ ̄ ̄ ̄ヽ===/ ̄ ̄ ̄ \ \____/ ./ ヾ::/ /⌒ヽ._/⌒`ヽ__,ヘ: : : ;|
| : =ロ -=・=- |, ┏━━━━━━━━━━━┓_ ノ Y¨ヾ!
| : :/ヽ /ノ .┃ ノートン ファイター 売り場に参上! ┃、 }}5リ
| :/ `── /. ┃ ┃ ` }ゞ'ュ
| ノ .(●_┃ URLリンク(www.youtube.com) ┃ lヘ:::ュ
|:| l┗━━━━━━━━━━━┛ ノ ヾ
|:| __-- ̄`´ ̄--__ /::,/ノ;ノ);;);;/~);;;ハ;ノ;;ノ;;人:\ rテ _ゝ、 ー イ
|:| -二二二二- ./::::::l | ,=・= ンー―-t=・=、j l:::::ヽ\ `` ‐ `ー一'¨´フ´
|.:\ /;::::::::j `ー-ノ ● ● ヽ一' |::::::::ヽ\ー- ..,, _\ / __,、-'´
、: : :\ _- ̄ ̄ ̄//:::::r'rノ U ``‐、::::ヽ\ \三三三/
..|Ξ|~ \ / /::::::レ' ゙Y⌒'ー─'⌒Y i::::::ヽ \ ;ゞ○;=く
/: : :ヽ/|\____./ ノ::::::/ l 、___,,ノ │ l:::::::::}~ \/三∧三:\
|: : : : | \ / l::::::l ノゝ、____,,ハ l:::::::::l ~ \/ \三 ヽ
11:名無しさん@お腹いっぱい。
10/02/06 07:12:01
/: : : : : : : : :.\~ |:::::::/ ̄ ̄ ̄  ̄ ̄ ̄|:::::::| ~ /,. ― 、, -―- 、
/: : : : : : : : : : : : : \~ |=ロ -=・=- -=・=- ロ=| .//.: : : : : : : : : : : :.\
/: : : :|: : : : : : : : : : : : :\|::::::| ノ |:::::::|/...: : : : :/ \\: : : : : : :ヽ
. |: : : : @ヽ-------‐‐'′.\::|*∵∴ (● ●) ∴∴*|::://: : : : : :/ ヾ.\: : : : : :' ,
.|: : : :/ .\ ∵∴\__l_l__/∵∴ |/ {: : : ///-‐' `ー-ヾ.\: : : : :',
|: : : / ̄ ̄ ̄ ̄ヽ===/ ̄ ̄ ̄ \ \____/ ./ ヾ::/ /⌒ヽ._/⌒`ヽ__,ヘ: : : ;|
| : =ロ -=・=- |, ┏━━━━━━━━━━━┓_ ノ Y¨ヾ!
| : :/ヽ /ノ .┃ ノートン ファイター 大勝利!!! ┃、 }}5リ
| :/ `── /. ┃ ┃ ` }ゞ'ュ
| ノ .(●_┃ URLリンク(www.youtube.com) ┃ lヘ:::ュ
|:| l┗━━━━━━━━━━━┛ ノ ヾ
|:| __-- ̄`´ ̄--__ /::,/ノ;ノ);;);;/~);;;ハ;ノ;;ノ;;人:\ rテ _ゝ、 ー イ
|:| -二二二二- ./::::::l | ,=・= ンー―-t=・=、j l:::::ヽ\ `` ‐ `ー一'¨´フ´
|.:\ /;::::::::j `ー-ノ ● ● ヽ一' |::::::::ヽ\ー- ..,, _\ / __,、-'´
、: : :\ _- ̄ ̄ ̄//:::::r'rノ U ``‐、::::ヽ\ \三三三/
..|Ξ|~ \ / /::::::レ' ゙Y⌒'ー─'⌒Y i::::::ヽ \ ;ゞ○;=く
/: : :ヽ/|\____./ ノ::::::/ l 、___,,ノ │ l:::::::::}~ \/三∧三:\
|: : : : | \ / l::::::l ノゝ、____,,ハ l:::::::::l ~ \/ \三 ヽ
12:名無しさん@お腹いっぱい。
10/02/06 07:14:19
________
/:.'`::::\/:::::\
/:: \
/::. /""" """\ ヽ
|::〉 ●" ●" |
(⌒ヽ |)
( __ ( ∩∩ ) | がしゃーん
| 、_____ /
ヽ \____/ /
\ /
\____/
/│ 亀 │\ がしゃーん
< \____/ >
┃ ┃
= =
亀田ロボや
荒らしが出たら自動でしばくで
13:名無しさん@お腹いっぱい。
10/02/06 08:55:50
RealとかJaveとかQuickTimeは本件とは関係ない
14:名無しさん@お腹いっぱい。
10/02/06 08:58:57
■亜種が多いので油断大敵ですね。
URLリンク(www.virustotal.com)
対応済み:AntiVir・AVG・F-Secure・K7AntiVirus・McAfee・Panda・Symantec 他
未対応:Avast・BitDefender・GData・Kaspersky・Microsoft・NOD32・TrendMicro 他
15:名無しさん@お腹いっぱい。
10/02/06 10:26:06
>>14
Kenzeroは板違い
ダウソでやれ
16:名無しさん@お腹いっぱい。
10/02/06 10:46:10
■亜種が多いので油断大敵ですね。
URLリンク(www.virscan.org)
対応済み:AntiVir・Avast・AVG・BitDefender・F-Secure・GData・Kaspersky・McAfee・Microsoft・Panda・TrendMicro 他
未対応:Authentium・Comodo・Dr.Web・Fortinet・JiangMin・KingSoft・Norman・Rising・Symantec・ViRobot 他
17:名無しさん@お腹いっぱい。
10/02/06 12:17:12
チェッカー追加で
URLリンク(ec2-204-236-148-61.us-west-1.compute.amazonaws.com)
18:名無しさん@お腹いっぱい。
10/02/06 22:34:32
①<丶`∀´> セキュリティサービスのアンラボ<`∀´#>
ニュースリリース 2010-01-12
URLリンク(www.ahnlab.co.jp)
ホームページにウイルスが埋め込まれる脅威に対するアンラボの取り組みについて
韓国トップシェアのセキュリティベンダー AhnLab, Inc.(韓国ソウル市)の日本法人である株式会社
アンラボ (東京都千代田区) は、昨今日本でも被害が急増しているホームページにウイルス
(Gumblar その他)が埋め込まれるタイプの脅威に対し、韓国での取り組みと被害状況などを発表します。
韓国インターネット振興院※1 (KISA:Korea Information Security Agency)の発表によると、現在、
韓国でのウイルス感染経路はインターネット経由が中心であり、企業で85%、個人ユーザーの88%の
感染がインターネットからダウンロードしたファイルによるものであることがわかりました (※2)。すべての
年齢層と性別に関わらず同様の数値を示しており、いまやインターネットの利用はすべてのパソコン
ユーザーにとって大きなリスクになっています。
また、アンラボの統計から、危険なホームページの割合は、SNSやオンラインコミュニティが27%、
オンラインショッピングモールが26%、ブログ・個人ホームページ21%、パソコン・IT情報4%、ポータル・
検索サイト4%、その他18%となっています。2009年の1年間でウイルスが埋め込まれたホームページの
数は、韓国で発見されただけでも 338,970 サイトあり、去年7月の統計では、1ヶ月間に配布された
ウイルスが 827 種類、危険なサイトを閲覧したユーザー数は50万名以上にのぼったことがわかっています。
19:名無しさん@お腹いっぱい。
10/02/07 00:20:55
celeb-deaeru●com
bihada5●nes3●com
ggpurasu●com/PS2
gu-zu●com
kyoshin-jp●com
www●custom-mode●com
more-more●net
20:名無しさん@お腹いっぱい。
10/02/07 01:08:33
バンダイのプラモデル
21:名無しさん@お腹いっぱい。
10/02/07 02:30:13
>>14 何故2ヶ月前の結果?
>未対応:Avast・BitDefender・GData・Kaspersky・Microsoft・NOD32・TrendMicro
は、2010.01.22の時点で検出する
URLリンク(www.virustotal.com)
22:名無しさん@お腹いっぱい。
10/02/07 02:40:59
というか、Kenzeroに引っかかる奴って理解できんわ。
セットアップを起動させてしまうのはともかく、登録フォームが出てきたら普通そこで止めるだろ。
23:名無しさん@お腹いっぱい。
10/02/07 05:27:43
★★★警告! 試すな危険★★★
>>8の2件は【ルータ】未導入の人用です。
前スレで、安易に手を出した初心者によるトラブルが続出しています。
(どうしても試したい人のための、症状例と救済レジストリ操作等)★保障なし★
URLリンク(blog.goo.ne.jp)
URLリンク(soudan1.biglobe.ne.jp)
URLリンク(weblabo.griffonworks.net)
24:名無しさん@お腹いっぱい。
10/02/07 09:47:21
>>8は廃止にするんじゃなかったっけ
25:名無しさん@お腹いっぱい。
10/02/07 11:23:05
このスレをたてたのが早漏だから取捨選択もできなかったんだよ
26:名無しさん@お腹いっぱい。
10/02/07 15:38:57
軽く感染実験・・
環境は、WinXP+SP2(IE6SP2)
設定は初期値
WindowsUpdateは優先度の高い更新を全部入れた。
セキュリティソフトはウイルスバスターCorp8.0SP1 パターン6.829(最新)
インターネット接続は、IIJモバイル
>>19の
>www●custom-mode●com
につないでみた。
(1)AdobeReader無
スクリプトはJS_ONLOAD.SMZで検出される。
TROJ_MALWARE.VTGも検出された。
(2)AdobeReader7.14と7.10で試してみる
スクリプトはJS_ONLOAD.SMZで検出される。
TROJ_MALWARE.VTGも検出された。
(3)ウイルスバスターCorpを切って(1)と(2)を試してみる
接続後しばらく置いてウイルスバスターでスキャンしてみるが何も出ず。
レジストリのRrunを見てみたが変化なし。
感染してないかも・・
27:26
10/02/07 15:45:39
>>26で一箇所まちがい。
IEは終了時に一時ファイルを削除するようにしてた。
ついでに他のタイプの改竄サイトでためしてみた
123●sub●jp/iwabuchi/
リアルタイム検索でPossibe_Hifrm-5とTROJ_PIDIEF.SMEが検出されるが
ウイルスバスターを切って問題サイト閲覧後、手動検索とてもなにも見つからない。
レジストリのRUNも書き換わっていなかった。
28:名無しさん@お腹いっぱい。
10/02/07 16:22:34
前スレまだ埋まっていないしテンプレ修正やってる
スレリンク(sec板)
29:名無しさん@お腹いっぱい。
10/02/07 17:50:00
8080系ウイルスの感染確認のセーフモードから起動してレジストリエディタでRunエントリ
のRunエントリが分からない。誰か詳しく教えてください
30:名無しさん@お腹いっぱい。
10/02/07 18:50:24
レジストリエディタを開いて
31:名無しさん@お腹いっぱい。
10/02/07 18:53:53
レジストリエディタを開いて
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に移動する。この移動先がRunエントリ。このRunエントリに
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
のようなのがあれば感染してる。
32:名無しさん@お腹いっぱい。
10/02/07 18:54:04
>>30
regeditして開いたよ
33:名無しさん@お腹いっぱい。
10/02/07 18:57:09
くこか
34:名無しさん@お腹いっぱい。
10/02/07 18:57:44
なかった。感染してないようです。ありがと
35:名無しさん@お腹いっぱい。
10/02/07 19:05:28
あと、最近はこんなのもあるらしい
"41561623"="C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\41561623\\41561623.exe"
"CTFMON"="C:\\WINDOWS\\Temp\\_ex-08.exe"
ガンブラー 感染動画2の詳細
URLリンク(www.smilebanana.com)
36:名無しさん@お腹いっぱい。
10/02/07 19:09:07
で、スタートアップはこれ
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\wwwpos32.exe
37:名無しさん@お腹いっぱい。
10/02/07 19:13:46
前スレ>>997
URLリンク(labs-uploader.sabaitiba.com)
infected
ファイル名 interiorshop.jp.txt 結果: 17/40
URLリンク(www.virustotal.com)
ファイル名 www.eonet.ne.jp_inoue-clinic.txt
URLリンク(www.virustotal.com)
38:名無しさん@お腹いっぱい。
10/02/07 19:17:01
つーかVirusTotalからいつのまにかノートン消えてたけどいつから?
39:名無しさん@お腹いっぱい。
10/02/07 19:20:50
Symantecって無いか?
40:名無しさん@お腹いっぱい。
10/02/07 19:23:10
少なくとも>>37のには無かった
41:名無しさん@お腹いっぱい。
10/02/07 19:24:25
ほんとだね
右上の詳細のとこのリストにはあるんだけど
42:名無しさん@お腹いっぱい。
10/02/07 20:18:15
FFFTP Version 1.97 [2010/2/7]
URLリンク(www2.biglobe.ne.jp)
43:名無しさん@お腹いっぱい。
10/02/07 20:32:37
>>42
それってこのあいだの改良版と同じ?
44:名無しさん@お腹いっぱい。
10/02/07 20:36:34
FFFTP をVer.1.97にバージョンアップ。
マスターパスワードの機能を導入しました。パスワードが抜かれないための対策として、マスターパスワードを設定してください。この機能は、げんげんさんが開発してくださったものです。ありがとうございます。
パスワードの暗号化をAESを使用して行うようにしました。パスワード保存時の暗号化の強度が高くなりました。この機能はMocaさんが開発してくださったものです。ありがとうございます。
45:名無しさん@お腹いっぱい。
10/02/07 20:49:06 BE:7703377-2BP(1236)
>>27
めるぽと念のためろりぽにもつーほーしますた。
46:名無しさん@お腹いっぱい。
10/02/07 20:51:38
VirusTotalは気分次第でベンダー2,3社欠けるときが結構あるよ
47:名無しさん@お腹いっぱい。
10/02/07 21:10:31
気分かw
48:名無しさん@お腹いっぱい。
10/02/08 02:14:31
マスターペニス
49:名無しさん@お腹いっぱい。
10/02/08 04:17:00
URLリンク(www)●milky-ms●com/index2●html
これって、やっぱこれなの
mca○ee役立たずだった
50:名無しさん@お腹いっぱい。
10/02/08 04:29:55
やられてますな
51:名無しさん@お腹いっぱい。
10/02/08 04:32:53
これどうやったら、削除できるのよ?
とりあえず、netuza32.exeだけは、スタートアップから抜いたけど、
なんかまだあやすぃ。
52:名無しさん@お腹いっぱい。
10/02/08 04:37:32
/ ̄ ̄ ̄ / /''7 ./''7 / ̄/ /''7
./ ./ ̄/ / /__/ / / ____  ̄ / /
'ー' _/ / ___ノ / /____/ ___ノ /
/___ノ /____,./ /____,./
_ノ ̄/ / ̄/ /''7 / ̄ ̄ ̄/ / ̄/ /'''7'''7
/ ̄ /  ̄ / /  ̄ フ ./ / ゙ー-; ____ / / /._
 ̄/ / ___ノ / __/ (___ / /ー--'゙ /____/ _ノ /i i/ ./
/__/ /____,./ /___,.ノゝ_/ /_/ /__,/ ゝ、__/
いやマジで
53:名無しさん@お腹いっぱい。
10/02/08 04:41:14
ありがとう
バカフィー市ね。
54:名無しさん@お腹いっぱい。
10/02/08 04:44:08
クリーンインストールしたら>>3をやっとけ
55:名無しさん@お腹いっぱい。
10/02/08 07:22:18
スクリプト無効にしておけばいいのに
56:名無しさん@お腹いっぱい。
10/02/08 07:34:27
マカフィーならペアレンタルコントロールも使っとけよ。
57:名無しさん@お腹いっぱい。
10/02/08 07:43:45 BE:1258324-2BP(1236)
>>49
めるぽ、念のためさくらにもつーほーしますた。
58:名無しさん@お腹いっぱい。
10/02/08 08:25:24
マカフィーじゃなくて脆弱性持ちソフトを更新してない>>53が馬鹿なだけなのにな
59:名無しさん@お腹いっぱい。
10/02/08 09:29:30
>>44
マスターパスワードを設定するとパスワードが抜かれないの?
60:名無しさん@お腹いっぱい。
10/02/08 10:17:17
同人スレから流れ込んで来るならもうちょっとさあ
61:名無しさん@お腹いっぱい。
10/02/08 11:50:36
毎度。
www●f-curtain●jp
Gumbler.xとGumbler:8080の複合型っぽい。
Bodyタグの前に難読化されたスクリプトが挿入されてる。
62:名無しさん@お腹いっぱい。
10/02/08 11:56:09
やっぱさー
>>61とか新型亜種ってfile.exeがおかしくない?
これ感染してくんない・・・
63:名無しさん@お腹いっぱい。
10/02/08 12:14:51
VMでやろうとしてね?
解析避けのケチケチ機能が前より強化されてる気がする
64:名無しさん@お腹いっぱい。
10/02/08 12:21:25
>>61
純粋な8080だよ。
main/main.htm は従来通りの場所に全く同じのが仕込まれてる。
トップは</head>の前に入れてるけどgumblar.xは</head>の後。
トップだけ変なとこに入っているのとscriptタグ含めて大文字になっていることから
ホームページビルダーか何かの余計なお世話機能でそうなったんだと思う。
65:名無しさん@お腹いっぱい。
10/02/08 12:21:29
>>27
カラー設定の8080表記を誤検出してない?
Kaspersky ESET aviraで検出してないんだけど
66:名無しさん@お腹いっぱい。
10/02/08 12:22:07
実機にクリーンインストールしてもダメだった
xpsp1、ie6、flash 8.x、adobe reader 7.x、jre 6u10
file.exeのDLまではうまく動いてるが、file.exe実行でPCが落ちて自動リブート
リブート後も何も起こらず感染の気配なし
ちなみにVM上でもまったく同じ症状
67:名無しさん@お腹いっぱい。
10/02/08 12:55:44
>>64
どうもです。
そういえば中途半端なところにタグ挿入されてソース丸見えだったり
scriptがちゃんと動作してない改ざんサイトもあったね…。
あれも余計なお世話機能が働いてたのかもなぁ…。
68:名無しさん@お腹いっぱい。
10/02/08 15:06:26
8080系で、
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
のどのコメントもない(いきなり難読化したJSコードが書いてある)ものを見かけました。
69:名無しさん@お腹いっぱい。
10/02/08 15:12:59
チェッカー系って難読化したんじゃなくてそのGPLだかのワード探してるだけなのか
70:名無しさん@お腹いっぱい。
10/02/08 15:51:35
>>68
既出
71:名無しさん@お腹いっぱい。
10/02/08 16:09:40 BE:1572825-2BP(1236)
>>61
めるぽしました。
72:名無しさん@お腹いっぱい。
10/02/08 17:17:58
>>61は新聞にも載ったのにまた随分と放置しまくりだな
73:名無しさん@お腹いっぱい。
10/02/08 17:25:22
>>71
乙です。
>>72
新聞に載ったのかw
再発したんだろうなぁ
74:名無しさん@お腹いっぱい。
10/02/08 17:42:33
Last-Modified: Mon, 08 Feb 2010 02:14:39 GMT
だし再感染だろう
75:名無しさん@お腹いっぱい。
10/02/08 18:43:40
Gumblar.X Checkerのパターンを更新しました。
URLリンク(gumblar.s1.dynamitelife.net)
76:名無しさん@お腹いっぱい。
10/02/08 19:42:13
>>75
乙です
77:名無しさん@お腹いっぱい。
10/02/08 22:13:49
Gumblar.Xって本格的に活動再開なの?
78:名無しさん@お腹いっぱい。
10/02/08 22:15:33
いみが
79:名無しさん@お腹いっぱい。
10/02/09 09:31:44
ネットラジオ聴いててリンク踏んだらノートンが反応したのですが
tokyo●cool●ne●jp
80:名無しさん@お腹いっぱい。
10/02/09 10:39:17
GumblarChecker 2がFirefox3.6で、適当なURLを調べると上の方に
Notice: Undefined index: src in /home/gumblar/public_html/index.php on line 505
とか出るな。
81:名無しさん@お腹いっぱい。
10/02/09 14:55:53
>>80
Firefoxだけじゃないだろ。
IEもOperaもChromeもSafariもみんな出るじゃん。
82:名無しさん@お腹いっぱい。
10/02/09 16:39:10
>>80
それは特に気にしなくてもいいメッセージですが、
とりあえず非表示にしました。
83:名無しさん@お腹いっぱい。
10/02/09 18:56:41
//www●pinfu●info/blog/hukurahagi/
新コードテスト中?
84:名無しさん@お腹いっぱい。
10/02/09 19:06:57
>>83
Last-Modified: Mon, 08 Feb 2010 20:10:30 GMT
昨日か
85:名無しさん@お腹いっぱい。
10/02/09 19:08:25
>>84
いや、GMTだから日本時間だと午前5時だね
86:名無しさん@お腹いっぱい。
10/02/09 19:10:14
//www●hondasanken●com/newhonda/lofty_suwano/index.html
これも
Last-Modified: Mon, 08 Feb 2010 20:03:22 GMT
87:名無しさん@お腹いっぱい。
10/02/09 19:21:16
しばらく新種が来ないなと思ったら超新型開発中だったのかw
かなり偽装に手が込んでるなぁ
88:名無しさん@お腹いっぱい。
10/02/09 19:25:17
特徴なのはタグの途中で挿入されてることかな?
LGPLとかDEBUGとかのように</body>直前で挿入されてることはなく
89:名無しさん@お腹いっぱい。
10/02/09 19:38:51
>>88
スクリプト自体がものすごく変わってる。もちろん検出0。Dr.Webもだめぽ
URLリンク(www.virustotal.com)
ポート8080なのは変わってないけど
90:名無しさん@お腹いっぱい。
10/02/09 19:46:10
こちらの環境では肝心のブツが落ちてこない…
91:名無しさん@お腹いっぱい。
10/02/09 19:48:21
こういう時に限ってWepanetメンテナンスだしねえ
92:名無しさん@お腹いっぱい。
10/02/09 19:49:04
>>86
サイト落ちてる?
93:名無しさん@お腹いっぱい。
10/02/09 19:50:11
いや、つながるよ
94:名無しさん@お腹いっぱい。
10/02/09 19:55:47
>>93
さんくす。
>>92のときはつながらなかった。
んでwww●hondasanken●comは全体っぽい。
ぐぐるきゃっしゅは無印8080 > 30 Jan 2010 13:50:00 GMT
95:名無しさん@お腹いっぱい。
10/02/09 20:01:37
8080系がコードを更新中・・・
URLリンク(www)●i-paradise5●jp/~simple/otona/index●php
※明日以降なら↓で釣れそうな予感
"<script>var" ";this.go" "document;this." ".replace(/["
96:名無しさん@お腹いっぱい。
10/02/09 20:04:15
落ちてこない。変わったの?
:8080/pics/win.jpg
:8080/pics/JavaGame.jar
:8080/pics/ChangeLog.pdf
97:名無しさん@お腹いっぱい。
10/02/09 20:09:13
ドメインは準備中かな?
98:名無しさん@お腹いっぱい。
10/02/09 20:10:47
いや、違うか
99:名無しさん@お腹いっぱい。
10/02/09 20:29:02
うーん、鯖は生きてるみたいだけどねぇ
どうなんだろ
100:名無しさん@お腹いっぱい。
10/02/09 21:02:11
鯖にアクセスできないぞゴラァ
ウイルスマダー!?
101:名無しさん@お腹いっぱい。
10/02/09 21:02:52
鯖煮食った
102:名無しさん@お腹いっぱい。
10/02/09 21:53:33
鯖缶のスレを見つけてそこのレシピを見たら気になってこれから作ってみる
103:名無しさん@お腹いっぱい。
10/02/09 22:40:56 BE:11318898-2BP(1236)
>>83
ろりぽ
>>86
めるぽ
>>95
whois上流めるぽ
株式会社エヌ・ティ・ティ ピー・シー コミュニケーションズ (NTT PC Communications,Inc.)
改竄されてはいるので。。。
104:名無しさん@お腹いっぱい。
10/02/10 01:18:50
>>103 乙!
>>95のスクリプトを投げてみた
URLリンク(www.virustotal.com)
Result:1/41 (2.44%)
Sophos:Troj/JSRedir-AR
( ´・ω・`)・・・
105:名無しさん@お腹いっぱい。
10/02/10 01:50:21
www●cory●ne●jp/koujirireki/index●htm
2つ入り
www●homemate-trusty●com/lent/
古いの
www●e-robin●com/recruit/index●html
aguseで見ると.ruの国名がFRになっているんだけど
どういうことだろう?
106:名無しさん@お腹いっぱい。
10/02/10 01:51:38
二輪駆動ってことだ
107:名無しさん@お腹いっぱい。
10/02/10 01:52:17
そういうことだよ
108:名無しさん@お腹いっぱい。
10/02/10 01:56:41
DEになってるときもあったな
109:名無しさん@お腹いっぱい。
10/02/10 02:05:22
国別ドメインのカントリーコードとサーバがある国は関係ない。
slickdeals-net●alimama●com●imageshack-us●recentmexico●ru
→ 94.23.199.154 FR
→ 188.40.118.68 DE
→ 78.41.156.236 GB
→ 85.25.152.241 DE
→ 91.121.112.227 FR
110:名無しさん@お腹いっぱい。
10/02/10 04:34:42 BE:2515744-2BP(1236)
>>105
めるぽしました。
whoisからめるぽ。
めるぽしました。
しましましほ。
111:名無しさん@お腹いっぱい。
10/02/10 07:44:01
マスターペニス
112:名無しさん@お腹いっぱい。
10/02/10 10:02:13
>>104
相変わらずadobeの脆弱性をつくものなのですか?
113:名無しさん@お腹いっぱい。
10/02/10 10:11:37
>>112
javascriptがかわっただけでDLされるプログラムは変わってなかった
環境とかによってDLされるプログラムが変わるだろうけど
とりあえず俺の環境だと相変わらず感染もしなかった・・・
file.exeうまく動かないってこれw
114:名無しさん@お腹いっぱい。
10/02/10 10:13:33
>>105の2つ入りのやつの2つは<script>varじゃなくて<script>thisなんだね。
今回はいろんなパターンがあるな。
115:名無しさん@お腹いっぱい。
10/02/10 10:16:36
こまけえな
116:名無しさん@お腹いっぱい。
10/02/10 10:23:34
>>113
ありがとう
117:名無しさん@お腹いっぱい。
10/02/10 10:37:09
いつもの人の記事
「Gumblar.8080」の改ざんコード、規則性が崩れて複数に分裂
URLリンク(blogs.yahoo.co.jp)
>『/*GNU GPL*/』『/*LGPL*/』『/*Exception*/』という特徴的な目印(コメント文)、そして直近のものだと目印がないながらもコードにいちおう規則性があったんですが、今回からコードが複数に分裂してサイトごとにほとんどバラバラな感じ。
で、アクセス制御に関して他の人の記事。非常に面倒くさい仕様になっている模様…
インジェクション 8080のアクセス制御?
URLリンク(jvnrss.ise.chuo-u.ac.jp)
>同一IPアドレスで数日後にアクセスしないとコンテンツ(=検体)がダウンロードできない
118:名無しさん@お腹いっぱい。
10/02/10 10:39:46
>>117
その記事は確認済みだけど、確かにその挙動の時もあったけど
必ずしもそうじゃない時もあるんだよね
ほんとよくわからんw
119:名無しさん@お腹いっぱい。
10/02/10 10:46:48
こんだけスクリプト自体も変更してるんだから、アクセス制御なり他の挙動もコロコロ変わってるんだろうねぇ。本体以外は
ホント憎たらしい程に頭良いな、このマルウェアの作者w
たまに本気でデバック段階のコードじゃないのっていうスクリプトを流したりお茶目なことしてくれるけどさ
120:名無しさん@お腹いっぱい。
10/02/10 11:04:05
頭いいとは思うけど、才能の無駄遣いだよなぁ…
121:名無しさん@お腹いっぱい。
10/02/10 11:06:24
まだ金とか物理的な被害ってないのかな?
122:名無しさん@お腹いっぱい。
10/02/10 11:09:34
>>120
随分と大規模な才能の無駄遣いだよな
123:名無しさん@お腹いっぱい。
10/02/10 11:34:00
>>120
こういう人がセキュリティ会社に入ってソフト作ってほしいよな。
高給で雇わないかなぁ。
124:名無しさん@お腹いっぱい。
10/02/10 11:44:22
allabout●co●jp/gm/gc/7236/
チェッカーに引っかかったのだが
125:名無しさん@お腹いっぱい。
10/02/10 11:51:13
>>124
親子丼とか見せんじゃねー
一気に腹へっちまったじゃねーかww
126:名無しさん@お腹いっぱい。
10/02/10 12:01:23
ノートンがRapid Releaseで対応してきた
127:名無しさん@お腹いっぱい。
10/02/10 12:16:34
>>123
コードの難読化自体はそんなに難しいことではない
それでもこの作者はかなりやり手だけど
キラよりもLの方が立場は厳しい
128:名無しさん@お腹いっぱい。
10/02/10 12:19:12
こんなのやってるのは底辺だろ
129:名無しさん@お腹いっぱい。
10/02/10 12:43:58
それにしても急に感染広まったのって何故?
プログラムの中身の変化にあまり関係なくみたいだが。
130:名無しさん@お腹いっぱい。
10/02/10 12:51:59
感染原因になるプログラムの更新をしてない鯖管がそれだけ多いってことじゃね?
感染してftpパス抜かれても改ざんが目に見えない箇所だから
めるぽとかされなきゃ気づかないんだろう
131:名無しさん@お腹いっぱい。
10/02/10 13:06:18
>>130
詳細な動作検証をしないとパッチを当てられないポリシーのところが多い
汎用機時代の考えから抜けられないバカ情シスのせい
パッチをあてなきゃ
↓
でも検証しなきゃ当てられない
↓
検証しなきゃ
↓
予算がない
↓
パッチあてられないね
↓
ウイルスにやられたウギャー
132:名無しさん@お腹いっぱい。
10/02/10 13:15:41
MSパッチでてるね
133:名無しさん@お腹いっぱい。
10/02/10 18:32:38
スクリプトも変化してるが、
最後のfile.exeなんかほぼ常時、
アンチウィルスソフトでは引っかからない状態なんだけど
まさか落として来て実行されるなんてことはないよな?
134:名無しさん@お腹いっぱい。
10/02/10 18:35:05
そのウイルス対策ソフトがダメなんじゃないの?
135:名無しさん@お腹いっぱい。
10/02/10 18:35:12
ほぅ‥‥‥
URLリンク(blog.f-secure.jp)
136:名無しさん@お腹いっぱい。
10/02/10 18:38:44
>>135
ありゃ
これは完全に日本人狙ってるね
137:名無しさん@お腹いっぱい。
10/02/10 18:46:20
年賀状PDFか
138:名無しさん@お腹いっぱい。
10/02/10 18:46:33
ネットワークの脅威の改善、これはネットワーカーの責務です。
ガンブラーはネットワークの脅威です。
さて、ネットワーク上からガンブラーを消し去って
ネットワークの脅威はなくなるのでしょうか。
ネットワークの脅威とは何なのでしょうか。
マシンを管理出来ない方、HPを管理出来ない方
彼等もまたネットワークの脅威なのかも知れません。
ガンブラー仕掛け人に問います。
貴方達のしている事、それは
ネットワーカーとして胸を張れる事なのかと。。。
139:名無しさん@お腹いっぱい。
10/02/10 18:50:27
ウイルスは作品だろ
140:名無しさん@お腹いっぱい。
10/02/10 18:51:10
>>134
どこのウィルスソフトでも変らんよ。
今拾って来たfile.exeに反応するのはSymantecとTrendMicroだけだし。
このfile.exeもまた明日になれば変わる。
また数社が検出するか、全く検出しないかで、
また次の日が来ればfile.exeは変わる。
その繰り返し。
141:名無しさん@お腹いっぱい。
10/02/10 18:52:08
穴ふさいどけそんだけ
142:名無しさん@お腹いっぱい。
10/02/10 19:16:29
avastも一気に3パターンくらい追加したらしい
JS:IllredirがIまで来てる(俺が確認したのはFまでだった)
URLリンク(www.virustotal.com)
143:名無しさん@お腹いっぱい。
10/02/10 19:33:03
ウィルス?
ウィルスソフト?
www
144:名無しさん@お腹いっぱい。
10/02/10 19:39:30
つか、もうアンチウイルスソフトベンダー各社は :8080/ を含むアドレスのアクセスの一時遮断と
警告メッセージを出すようなフィルタの標準装備を考えた方がいいんじゃね?
145:名無しさん@お腹いっぱい。
10/02/10 19:40:30
そんなのすぐに対処されるからほとんど意味ない
146:名無しさん@お腹いっぱい。
10/02/10 19:54:57
プロバイダだけどbiglobeは海外からのftp接続を遮断するってさ
147:名無しさん@お腹いっぱい。
10/02/10 20:03:41
しかしここまで面倒なことになるとはなぁ
迷惑だが、このウィルス作り出したヤツは凄いとも思うわ
穴ふさぎしていても、一抹の不安はあるわ
148:名無しさん@お腹いっぱい。
10/02/10 20:18:20
下手人は日本人ですか?
149:名無しさん@お腹いっぱい。
10/02/10 20:31:24
>>146
こりか。
URLリンク(homepage.biglobe.ne.jp)
150:名無しさん@お腹いっぱい。
10/02/10 20:36:08
>>146
BIGLOBEは海外からFTPで接続して改ざんされてると思ってるのかな…
その可能性もあるけど、海外からの接続遮断しても改ざんされてたら
第三者の仕業じゃないって証明にもなるな
151:名無しさん@お腹いっぱい。
10/02/10 20:37:51
時間稼ぎにはなるとは思うが
今度は国内のボットネット感染PCを使って広めたりしそうだな
だがmeshユーザーとしては有難い処置だ
152:名無しさん@お腹いっぱい。
10/02/10 20:41:16
>>150
そのへんはログ見て判断したんだろ
さすがに想像だけで行動するほどバカじゃないはず
153:名無しさん@お腹いっぱい。
10/02/10 20:51:04
効果のほどはやってみないとわからないとしても、ISPの側から対策に乗り出した姿勢は評価。
サイト主の自己管理に任せていてもらちがあかないのは確かなんだし。
154:名無しさん@お腹いっぱい。
10/02/10 20:52:00
>>150
ユーザー自身によるFTPアクセス制限の開放・遮断を行う機能も追加する予定らしいし
ユーザーがしっかり対処すれば、FTPパスを盗んだだけじゃまず改変できなくなるだろう
155:名無しさん@お腹いっぱい。
10/02/10 21:01:56
海外サイトでのGumblar感染はあまり聞かないね
ここまで晒されてるURLは日本のサイトがほとんどだし
156:名無しさん@お腹いっぱい。
10/02/10 21:07:30
アホなこと言うなよ日本だけのわけないだろ
157:名無しさん@お腹いっぱい。
10/02/10 21:11:41
>>155
海外のサイトだとほとんど反応ないよな。
158:名無しさん@お腹いっぱい。
10/02/10 21:16:09
またアホが
159:名無しさん@お腹いっぱい。
10/02/10 21:20:54
海外は確かに少ないね
ニュースになるだけで
ふ~ん そっか~ 見たいな感じ
160:名無しさん@お腹いっぱい。
10/02/10 21:23:37
海外のサイト見ないからだろ
一人で必死に嘘言うなよ
161:名無しさん@お腹いっぱい。
10/02/10 21:25:53
複数のFTPクライアントのなかにFFFTPが含まれてたり
様々なサイト名のなかに日本のサイトが含まれてるだけで
日本を攻撃してるなんて言ってるアホもいるからな
そう言うのを信じるやつもいるから
いい加減な嘘はやめれ
162:名無しさん@お腹いっぱい。
10/02/10 21:28:37
>>135は開いても大丈夫なの?
163:名無しさん@お腹いっぱい。
10/02/10 21:37:38
>>160
ん?お前なに必死になってんの?
海外サイト見てるんだぜ
すごいぜとでもいいたいの?
ばかじゃねーの?ww
164:名無しさん@お腹いっぱい。
10/02/10 21:40:51
ロシアの地震予知サイトが2度攻撃受けてるがな
165:名無しさん@お腹いっぱい。
10/02/10 21:41:30
ほんとなら 【 感 染 し て い る ! 】 海 外 サ イ ト の U R L
張って欲しいな
166:名無しさん@お腹いっぱい。
10/02/10 21:42:28
URLリンク(gumblar.s1.dynamitelife.net)
新型用のGumblar Checker 3を公開しました。
そのうち旧型にも対応します。
167:名無しさん@お腹いっぱい。
10/02/10 21:53:31
>>165
自分で探せよ
当たり前だがあるから
168:名無しさん@お腹いっぱい。
10/02/10 21:54:23
このスレもずいぶん馬鹿が増えて来たな
169:名無しさん@お腹いっぱい。
10/02/10 22:00:19
>>162
えっ
170:名無しさん@お腹いっぱい。
10/02/10 22:10:16
>>166
乙
171:名無しさん@お腹いっぱい。
10/02/10 22:11:08
馬鹿が多いスレですね
172:名無しさん@お腹いっぱい。
10/02/10 22:12:18
>>167
自分で探せ?
探さなくちゃ出てこないの?
馬鹿が多いね
173:名無しさん@お腹いっぱい。
10/02/10 22:18:16
馬鹿でもなんでもいいから、海外のサイトのURL貼って欲しい
もちろんドットを●に置き換えて
174:名無しさん@お腹いっぱい。
10/02/10 22:18:54
つ//www●vrsgroup●com/index.html
/*CODE1*/
175:名無しさん@お腹いっぱい。
10/02/10 22:25:02
新型(海外)
//www●elmwoodguestcottage●com/
176:名無しさん@お腹いっぱい。
10/02/10 22:27:44
ゲーム系サイトは大丈夫・・・かな
177:名無しさん@お腹いっぱい。
10/02/10 22:32:51
//ggpurasu●com/PS2/
ここならやられてた
178:名無しさん@お腹いっぱい。
10/02/10 22:41:49
いちいち挑発にのるなよ
バカを相手にしても疲れるだけだよ
179:名無しさん@お腹いっぱい。
10/02/10 22:46:27
珍しく荒れてる理由は↓これに尽きるなw
541 :名無しさん@お腹いっぱい。 :2010/02/10(水) 20:16:53
そろそろあほ大学の入試が終わる時期だな
180:名無しさん@お腹いっぱい。
10/02/10 22:49:44
こんだけなの?
すくねwwwwwwwww
腹痛くてげっぷでそうwwwwwwwwwwwwwwwww
181:名無しさん@お腹いっぱい。
10/02/10 22:50:42
>>178
馬鹿?
お前ウイルス相手に疲れないの?ww
182:名無しさん@お腹いっぱい。
10/02/10 22:52:24
>>180
これだけじゃないよ
米Yahoo使うとかなり出るから検索しろ
183:名無しさん@お腹いっぱい。
10/02/10 22:54:28
>>182
わかったわかった。
じゃあな
184:名無しさん@お腹いっぱい。
10/02/10 23:05:10
悪意をもってP2Pのスレにリンク貼ってる奴がいるのは、確か。
185:名無しさん@お腹いっぱい。
10/02/10 23:14:57
だんだん検索で
新型のスクリプト探すの難しくなって来たな。
186:名無しさん@お腹いっぱい。
10/02/10 23:22:25
>>177
よく見たら新型orz
URLリンク(www.virustotal.com)
0/40
187:名無しさん@お腹いっぱい。
10/02/11 00:03:42
ここも新型
www●mfreep●com
188:名無しさん@お腹いっぱい。
10/02/11 00:05:10
>>186
んーなもん、最後のfile.exe落とすまでほとんど検出されんぞ。
穴ふさいで、ゼロデイ来ないの祈る他無い。
神頼みだぞ。
189:名無しさん@お腹いっぱい。
10/02/11 00:11:46
>>188
落として検出されることを願おう
>>187
新型ではあるが昨日にはもう出てた
各社対応が進み始めてる(avastに怒られたよ)
190:名無しさん@お腹いっぱい。
10/02/11 00:18:55
今まではjpドメインばっかり見ていたんで
ほかをちょっと見てみた。
us、uk、de、ruはありそうだけど、cnが見つからない...
191:名無しさん@お腹いっぱい。
10/02/11 01:09:21
相変わらず早い・・・
・サイト改ざん~「8080」「Gumblar.x」に変化、サイト管理者の方は注意を
URLリンク(www.so-net.ne.jp)
「iframes are EVIL! Hate Zeus!」
陥落サイトの奪い合い再発の予感がw
192:名無しさん@お腹いっぱい。
10/02/11 02:14:52 BE:5030584-2BP(1236)
>>177
またろりぽ。
>>187
めるぽ。念のためでじろにもつーほー。
193:名無しさん@お腹いっぱい。
10/02/11 02:36:07
マスターペニス
194:名無しさん@お腹いっぱい。
10/02/11 02:52:49
やべーやられた
まず始めに環境
XPSP3 Firefox3.6 NoscriptでJavascript常時無効
Flashplayer10,0,42,34
AdobeReader未インストール(PDFX-change viewer 2.0 build0.45)
Java Runtime Environment6.0 build18
QuickTime未インストール、RealPlayer未インストール
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runに疑わしきプログラムは無し
自サイトをftpで更新しようと思ったらdbフォルダに(ランダムな英数字文字列).phpが生成されてた。
<?php eval(base64_decode('aWYoIWZ1bmN0aW9uX2V4apY2FsbF9PT0nYmdZvcigkaT1jb3VudCgkcyktMTskaT49MDskaS0tKXskc1skaV1bMV09b2JfZ2V0X2NvbnRlbnRzKCk7b2JfZW5kX2CRfUE9TVFsnZSddKSk7')); ?>
中身を見るとこんな感じのbase64で記述されていた。(↑の中身は例)
これを変換すると以下の内容が書かれたファイルが生成された。(xはランダムな数字。ここでは伏せる)
$axxxxxxxx=xxxxxx; if($_SERVER["HTTP_USER_AGENT"] != "asdfhgysrtgh") header("Location: URLリンク(heartearly.com)"); else print "rysdty"."jstyah"; $bxxxxxxxx=xxxxxx;
以下にも怪しいheartearly.comを調べるとフィッシングサイトだった
URLリンク(www.siteadvisor.com)
FTPに生成されていたのはこの(ランダムな英数字文字列).phpだけで、
サイト本体のindex.phpにこのファイルを呼び出すタグは幸い埋め込まれていなかったので自分や第三者に影響はなかった。
自分が感染した形跡もないし原因はいったい何だったのか全くわからん
195:名無しさん@お腹いっぱい。
10/02/11 03:59:51
原因は慢心だな。
これなら大丈夫という思い込みが
手動で調べるという作業を怠らせた。
その結果がこれだ。
196:名無しさん@お腹いっぱい。
10/02/11 04:53:27
>>194
同じかどうかわからないけど
去年の11月にあったGumblar.xのときは
その騒動が始まる前からWordPressとかでそういう改ざん騒ぎがあったはず。
サイトに使われているソフトが古くてその脆弱性を突かれたとか。
takahashifumiki■com/web/programing/717/
他のサイトにそのPHPファイルのURLが埋め込まれてウィルスばらまくのに使われてたんだろう。
トップにウィルス埋め込んでないと発覚が遅くなるということなのかも。
197:名無しさん@お腹いっぱい。
10/02/11 05:03:41
AdobeがFlash Playerの脆弱性を放置、責任者が「過ち」を認める
URLリンク(www.itmedia.co.jp)
Flash Playerにクラッシュの脆弱性情報があるとの情報は2008年9月に寄せられたが、
修正は次のリリースに先送りされた。
198:名無しさん@お腹いっぱい。
10/02/11 05:09:18
マスターペニス
199:名無しさん@お腹いっぱい。
10/02/11 07:01:28
>>197
このクソ会社潰れてくれねーかな?マジでいらねーだろ。
200:名無しさん@お腹いっぱい。
10/02/11 07:28:59
>Flash Player 10.1の安定版は「近いうちに」リリースする予定。
いつになるんだろ・・・・・・・
201:名無しさん@お腹いっぱい。
10/02/11 07:52:56
Flash Player 窓から投げ捨てたい
202:名無しさん@お腹いっぱい。
10/02/11 07:59:52
しかしこいつだけまともな代替案が無い罠
203:名無しさん@お腹いっぱい。
10/02/11 08:21:11
だからHTML5を早急に!
っていつまともな状態になるのかも分からんし、Flash一掃する程のモノかと言うと…
PDFも企業・お役所で根強いしなぁ
結局はAdobeに振り回される日々はまだまだ続く
204:名無しさん@お腹いっぱい。
10/02/11 08:59:08
火狐ざまあ
205:名無しさん@お腹いっぱい。
10/02/11 10:02:16
GENOもガンブラーも作ってるのは日本人だよ
これだけははっきりと言える
206:名無しさん@お腹いっぱい。
10/02/11 11:00:11
>>205
理由は?
207:名無しさん@お腹いっぱい。
10/02/11 11:03:30
作った本人なんだろ
通報しとくわ
208:名無しさん@お腹いっぱい。
10/02/11 11:16:11
普通に考えて日本人だろ
日本人じゃなきゃ利用しないようなサイトが感染されているケースが多過ぎる
209:名無しさん@お腹いっぱい。
10/02/11 11:17:23
>>208
それは違うだろw
210:名無しさん@お腹いっぱい。
10/02/11 11:25:35
ただこのスレに晒されているURLが日本ばっかりだから勘違いしたんでしょ?
211:名無しさん@お腹いっぱい。
10/02/11 11:32:21
ばーかb-か
212:名無しさん@お腹いっぱい。
10/02/11 11:43:40
>>205と>>208は本当に馬鹿だな
213:名無しさん@お腹いっぱい。
10/02/11 12:26:06
>>202
Silverlightでも、HTML5でも。
214:名無しさん@お腹いっぱい。
10/02/11 12:34:18
>>205
>>208
>>205
>>208
>>205
>>208
>>205
>>208
>>205
>>208
215:名無しさん@お腹いっぱい。
10/02/11 12:38:23
>>205
>>208
>>205
>>208
>>205
>>208
>>205
>>208
>>205
>>208
216:名無しさん@お腹いっぱい。
10/02/11 12:58:48
>>196
つまりそれって、>>194が感染してるんじゃなくて、サーバが直接やられたってこと?
私も194と同じ環境なので、ヒトゴトじゃないです。
念のため全部確認しに行くか。大手鯖しか使ってないから大丈夫と信じたいけど。
217:名無しさん@お腹いっぱい。
10/02/11 13:03:01
犯人は日本人、あるいは外国人の男性、もしくは女性
218:名無しさん@お腹いっぱい。
10/02/11 13:05:06
犯人はヤス
219:名無しさん@お腹いっぱい。
10/02/11 13:06:58
>>146
これ自分で書いといてあれだが、遮断するのは2/22からだったんだな
緊急措置ならさっさとやってくれよw
220:名無しさん@お腹いっぱい。
10/02/11 13:42:20
GENOウィルスチェッカーって今あてになるの?
221:名無しさん@お腹いっぱい。
10/02/11 13:54:09
>>220
笑わすなw
わけ分からずに言われるがまま使うならモノが何でも意味ねえだろ
222:名無しさん@お腹いっぱい。
10/02/11 14:05:31
で、あてになるの?
223:名無しさん@お腹いっぱい。
10/02/11 14:12:46
ググれカス
224:名無しさん@お腹いっぱい。
10/02/11 14:23:36
前言ったロシアの地震予知サイトなんだがスレにいる人柱によるとまた感染してるらしい。Dr.Webとgredでは安全との事なんだが・・・
quake_vnb●rshu●ru/index_eng●html
ここでは報告されたか分からんが元祖GENOも含め計3回目の感染らすぃ・・・
225:名無しさん@お腹いっぱい。
10/02/11 14:29:24
>>224
Gumblar Checker 3で検出されないことを確認したので、現在パターンを試行錯誤中です。
対応までしばらくお待ちください。
226:名無しさん@お腹いっぱい。
10/02/11 14:46:03
>>221
だってどうみても感染してないサイトが100%とかなってるんだけど
227:名無しさん@お腹いっぱい。
10/02/11 15:29:59
>>225
ってかgithubにUPして
228:名無しさん@お腹いっぱい。
10/02/11 15:35:59
>>220
GENOウイルスチェッカーってまさか去年のやつ…?
あれはもう古いぞ
229:名無しさん@お腹いっぱい。
10/02/11 15:49:15
遅れましたが>>224のスクリプトに対応しました。
URLリンク(gumblar.s1.dynamitelife.net)
>>227
考えておきます。
230:227
10/02/11 16:02:18
>>229
ありがとう
よろしく
231:名無しさん@お腹いっぱい。
10/02/11 16:04:14
>>228
マジで
バカなこときいてごめん…
232:名無しさん@お腹いっぱい。
10/02/11 16:37:03
去年のチェッカーなんかリリース直後に信用ならん判定出てたのにw
233:名無しさん@お腹いっぱい。
10/02/11 16:41:22
糞チェッカは糞
234:名無しさん@お腹いっぱい。
10/02/11 16:48:56
質問なんだけど、>>233の糞チェッカっていうのは、
GENOウイルスチェッカー(URLリンク(geno.2ch.tc))を指してるの?
235:名無しさん@お腹いっぱい。
10/02/11 16:59:14
readerのバージョン古いまま放置とかほんとに糞説明の糞サイトだな
236:名無しさん@お腹いっぱい。
10/02/11 17:19:19
>>235
お前がやれよw
237:名無しさん@お腹いっぱい。
10/02/11 17:34:52
//www●jtmetal●jp/data/index2●html
/*CODE1*/
238:名無しさん@お腹いっぱい。
10/02/11 18:09:32
>>216
Gumblarとの関連は不明だけどCMSに脆弱性があって狙われていたのは事実
BASE64でやられてたとこも同じ
自分は大丈夫と思わず常に注意は必要
大手だから大丈夫とか根拠のない思い込みはやめたほうがいい
信じる信じないの問題じゃないです
239:名無しさん@お腹いっぱい。
10/02/11 18:22:24
以上だ、何か質問ある?
240:名無しさん@お腹いっぱい。
10/02/11 18:23:24
大手だからといって大丈夫と思ってる奴まだ居たのか。
241:名無しさん@お腹いっぱい。
10/02/11 18:32:21
大手は大丈夫
任天堂もトヨタも平気だし
242:名無しさん@お腹いっぱい。
10/02/11 18:33:57
超大手じゃん
243:名無しさん@お腹いっぱい。
10/02/11 18:38:45
Gumblar Checker ver2/ver3の管理者様
ver2はIE8でチェックすると途切れ続けます。
最初の製作者様の時もそうで、その後対応されてからは症状が出ませんでした。
ver3はチェックすると文字化けするんですが自分だけでしょうか。
244:名無しさん@お腹いっぱい。
10/02/11 19:02:23
>>208
URLリンク(www.just-kaspersky.jp)
> 2009年10月14日にこのマルウェアを検知してから、11月13日現在までカスペルスキーでは既に
> 国内1,250件以上(世界70,000件以上)の感染サイトを確認しており、大手ISPや管理機関と共に、
> 連携を始めています。
245:名無しさん@お腹いっぱい。
10/02/11 19:18:31
>>243
とりあえずIETester入れて試してみましたが、どちらの現象も再現出来ませんでした。
ver3の方はとりあえず対策っぽいのをしてみましたが、いかがでしょうか。
246:名無しさん@お腹いっぱい。
10/02/11 19:27:34
>245
対応ありがとうございます。ver3は文字化けしなくなりました。
ver2の途切れ状態ですが、チェック後は大丈夫ですが下にスクロールすると途切れ出します。
ちなみに、製作者様からの当時の回答です。↓
>ハイライト表示に使っているSyntaxHighlighterの一部機能がIE8と相性が悪いようで、この機能を無効にすることで修正しました
247:名無しさん@お腹いっぱい。
10/02/11 19:48:44
>>246
SyntaxHighlighterをUAにTrident/4.0が入っていると無効にするようにしてみましたがいかがでしょうか。
248:名無しさん@お腹いっぱい。
10/02/11 19:50:46
>247
途切れなくなりました!
勝手なお願いに、すばやく対応してくださりありがとうございました。
いつもお世話になっております。
249:名無しさん@お腹いっぱい。
10/02/11 20:30:05 BE:5660249-2BP(1236)
>>237
めるぽしました。
スレリンク(sec板:94番)
まだ残ってたのか…
250:名無しさん@お腹いっぱい。
10/02/11 21:48:56
www●lets-juken●com
は放置みたいだな
251:名無しさん@お腹いっぱい。
10/02/11 21:52:42
//dreamcafe●s17●xrea.com/
二重感染
252:名無しさん@お腹いっぱい。
10/02/11 21:55:11
//tantei-shoukai●com/
253:名無しさん@お腹いっぱい。
10/02/11 22:01:15
//cherry●piyo●to/st/s/o/index.html
254:名無しさん@お腹いっぱい。
10/02/11 22:44:34
>>250
aguse Gateway(Kaspersky?)でスルー(T_T) ESETでブロック
255:名無しさん@お腹いっぱい。
10/02/11 22:57:47
感染覚悟でURL報告大変ですなあ
>>3をしっかり行っているとは思いますが
256:名無しさん@お腹いっぱい。
10/02/11 22:59:20
>>255
なんか何にもわかってない気がする
257:名無しさん@お腹いっぱい。
10/02/11 23:16:09
>>255みたいな子は真似しないでね!
258:名無しさん@お腹いっぱい。
10/02/11 23:25:58
>>255
まあとりあえず赤くしておこうか
259:名無しさん@お腹いっぱい。
10/02/11 23:33:16
>>255 これだから初心者は・・・
Adobe Reader以外のPDFソフトで感染報告は無いの?
260:名無しさん@お腹いっぱい。
10/02/11 23:47:25
これだからチャンコロ連中は・・・
そんなに照れるなよ
261:名無しさん@お腹いっぱい。
10/02/11 23:53:26
もう黙ってたほうがいいよ
262:名無しさん@お腹いっぱい。
10/02/11 23:58:07
死ねカス
263:名無しさん@お腹いっぱい。
10/02/12 00:03:13
無知を指摘されて切れちゃうとか
お里が知れるね
264:名無しさん@お腹いっぱい。
10/02/12 00:03:59
カスにカスって言われてもw
265:名無しさん@お腹いっぱい。
10/02/12 00:13:29
情弱黙れww
266:名無しさん@お腹いっぱい。
10/02/12 00:16:16
=========ここまで俺一人の自作自演=========
267:名無しさん@お腹いっぱい。
10/02/12 00:17:47
楽しゅうございました
268:名無しさん@お腹いっぱい。
10/02/12 00:50:46
>>250
index.htmlは修正したけど/javascript/swapimage.js が絶賛放置中
Last-Modified: Fri, 22 Jan 2010 01:53:43 GMT /*Exception*/
パスワード変える知恵はあったか
269:名無しさん@お腹いっぱい。
10/02/12 01:45:51 BE:1887034-2BP(1236)
>>250
8日(月曜日)に さくらインターネットAbuse対策チーム へ再めるぽしてます。。。。
届いてにゃいのか。。。
>>251-252
でじろ
>>253
cherry●piyo●to陥落、サンプルページも感染中。
whoisから210.233.74.155の鯖缶へめるぽ。
aguse落ちてる?
270:名無しさん@お腹いっぱい。
10/02/12 02:09:35
>>269
つーほー乙です。
271:名無しさん@お腹いっぱい。
10/02/12 02:23:30
見返りを求めてんだろうよ
272:名無しさん@お腹いっぱい。
10/02/12 04:19:57
250って1月にもつーほーしたんだよな。
273:名無しさん@お腹いっぱい。
10/02/12 04:26:44
>>250はVBでブロック。
274:名無しさん@お腹いっぱい。
10/02/12 04:47:40 BE:2516328-2BP(1236)
>>272 スレリンク(sec板:280番)+299
>>269の8日(月曜日)に送った内容(一部省略してます)は以下でCCでJPCERT/CCにも送付してその自動応答あり。
----------------------------------------------------------------------------------------------------
お疲れ様です。
今現在、 www●lets-juken●com/javascript/swapimage.js にはまだガンブラーのスクリプトがあります。
(2010/01/22 14:57), SAKURA Internet support wrote:
>
> さくらインターネットAbuse対策チームの○○と申します。
> -----
>> www●lets-juken●com/index.html
>> www●lets-juken●com/javascript/swapimage.js
>>
>>
>> 悪意のあるスクリプトがあります。
>> スクリプトは常に更新されている模様です。
>>
>> ガンブラー8080です。
>> 迅速な対応を切に願います。
>> これまでに訪れた人にも注意喚起を行ってください。
>>
>> 該当サイトに連絡できるメールアドレスが見当たらなかったので
>> Whois情報からお知らせしますことをご容赦ください。
>>
>> また同時にJPCERT/CCにもお知らせします。
>
> -----
> 当該コンテンツ管理者へは早急に対応要請を行わせていただ
> きました。
>
> この度は、情報提供をいただきまして有難うございます。
275:名無しさん@お腹いっぱい。
10/02/12 04:49:06 BE:7703377-2BP(1236)
まぁ、感染サイトがいぱーいあるので対応も後手後手になってるのかも。。。
276:名無しさん@お腹いっぱい。
10/02/12 04:55:33
なおすきなさそうだからどこかで「危険サイト」としてさらせないものかな。
277:名無しさん@お腹いっぱい。
10/02/12 05:12:01
2010/02/12 5:08:42 http://www.lets-juken.com/javascript/swapimage.js Opera Internet Browser Denied: HEUR:Trojan-Downloader.Script.Generic
Exception型なのに変なの
278:名無しさん@お腹いっぱい。
10/02/12 09:19:23
www●7chord●com/mobile/
try-function型改良版?
279:名無しさん@お腹いっぱい。
10/02/12 09:42:04
squid.conf での対策の一例:
acl gumblarhost dstdomain thechocolateweb.ru を参考にして
acl gumblaruri url_regex ^URLリンク(.*\.ru:8080)
を追加して deny するとよし!なのかなのか?
280:名無しさん@お腹いっぱい。
10/02/12 10:20:42
Adobe Flash Player 10.0.45.2
URLリンク(get.adobe.com)
281:名無しさん@お腹いっぱい。
10/02/12 10:46:37
俺の端末に落ちてくるfile.exeは相変わらずまともに動いてくれないんだが・・・
みんなよく感染できるなw
282:名無しさん@お腹いっぱい。
10/02/12 10:47:49
Security update available for Adobe Flash Player
URLリンク(www.adobe.com)
283:へたれ発掘屋
10/02/12 11:10:14
ver~(2発混在)
URLリンク(slim)<)●rubbersoul●ne●jp/store/home●htm
ver~、this~(2発混在)
URLリンク(www)●ojika-ns●jp/21gihu
最新型が釣れにくいorz
284:194
10/02/12 11:21:59
>>216
>サーバが直接やられたってこと?
その通り。。
ガンブラーが登場する3年以上前から24時間全プロセスの監視してて
見慣れないexe実行を実行した形跡はログに無かったから確定してる
>$axxxxxxxx=xxxxxx;
この伏せた部分はFTPのIDとパスワードなんだが
自分のじゃなくて同じ鯖を利用している他人のIDとパスだった
うちの鯖はFTPのIDが英字3文字+数字4桁で規則性があって、
例えば始めに登録した奴がabc0001ならその次にアカウント登録した奴はabc0002になるって感じの連番
さらにはパスが適当な5桁のものに一定期間ごとに変わる(セキュリティ対策)って仕様だから
総当たりでいけば比較的簡単にIDとパスがわかる。
そんで今回自分はその5桁のまま変更していなかったからパスも短ければIDも規則性で簡単に推測できるって鯖に進入されたってこと
放置サイトでも油断できないな
285:名無しさん@お腹いっぱい。
10/02/12 11:32:01
「Adobe Reader」と「Flash Player」に深刻な脆弱性--アドビが警告
URLリンク(japan.cnet.com)
286:名無しさん@お腹いっぱい。
10/02/12 12:36:47
>>285
カスadobe潰れろ。マジ。
287:名無しさん@お腹いっぱい。
10/02/12 12:53:22
>>285
16日までゼロデイ脆弱性に怯えなきゃならんのか。
こないだ更新したばかりだというのに。
288:名無しさん@お腹いっぱい。
10/02/12 13:00:39
最終的にAdobeサイトも陥落したらどうなるの
289:名無しさん@お腹いっぱい。
10/02/12 13:01:15
>>286
Adobeとかまだ使ってんのお前?w
290:名無しさん@お腹いっぱい。
10/02/12 13:14:06
>>287
Flashはもう10.0.45.2が出ているよ。
Readerの方は17日まで待ち。
291:名無しさん@お腹いっぱい。
10/02/12 13:18:37
あらadobeって10.1まで待てみたいな記事あったけど
10.0の方で修正してくれたんだ
早速更新しよう
292:名無しさん@お腹いっぱい。
10/02/12 13:39:47
>あら
じゃねーよハゲ
293:名無しさん@お腹いっぱい。
10/02/12 13:53:16
ハ……ハハ禿ちゃうわ!
294:名無しさん@お腹いっぱい。
10/02/12 13:57:37
情弱「死ねカス」
295:名無しさん@お腹いっぱい。
10/02/12 14:16:46
禿げって髪の毛一本もない状態から地肌がかすかに見えてる状態、
更にはかつらと分かる状態までを包含するスケーラビリティ高い単語やね
296:名無しさん@お腹いっぱい。
10/02/12 14:21:43
そう考えると…ハゲじゃない人ってそう多くもなさそうだな
297:名無しさん@お腹いっぱい。
10/02/12 14:23:35
おれはボーボーだ!!
298:名無しさん@お腹いっぱい。
10/02/12 15:07:00 BE:10061388-2BP(1236)
>>283
whois ucom
めるぽ
whois ムームー
299:名無しさん@お腹いっぱい。
10/02/12 16:21:14
URLリンク(otokunatuuhan)●com/campaign/asp-hikaku
300:名無しさん@お腹いっぱい。
10/02/12 16:26:20
オトクナツウハン!w
301:名無しさん@お腹いっぱい。
10/02/12 17:24:19
>>290
お~、サンクスコ。
FLASHバージョンチェックの
下に表示されてる最新情報が
一つ前のままになってて
気がつかなかった。
302:名無しさん@お腹いっぱい。
10/02/12 17:31:18
aguse gatewayで感染サイトにアクセスしてしまった・・・アウトかな?
303:名無しさん@お腹いっぱい。
10/02/12 17:32:14
Flashを10.0.45.2にアップデートしてMyJVNチェッカでチェックしたら
最新じゃないって怒られた(´・ω・`)
せめて登録されてるのよりバージョンが上なら最新扱いしようぜ
304:名無しさん@お腹いっぱい。
10/02/12 17:32:23
せーふ
305:名無しさん@お腹いっぱい。
10/02/12 17:44:02
良かった。。。
306:名無しさん@お腹いっぱい。
10/02/12 17:51:16
>>299
そのページの下から二番目のバーナーの会社経由で連絡を入れるそうです。。
307:名無しさん@お腹いっぱい。
10/02/12 18:34:47
>>306
バーナーとかやめてよ
何燃やすんじゃ
308:名無しさん@お腹いっぱい。
10/02/12 18:41:27
>>297
309:名無しさん@お腹いっぱい。
10/02/12 18:57:15
せっかくボーボーの毛を燃しちゃうの?
310:名無しさん@お腹いっぱい。
10/02/12 18:58:43
禿 の ね た み か !
311:名無しさん@お腹いっぱい。
10/02/12 19:33:49
>>285
まだ脆弱性あんのか・・・
312:へたれ発掘屋
10/02/12 19:48:56
ver~が更に難読化しちょります(汁;
URLリンク(www)●rakushobito●jp/place
.replace(/[・・・.replace(/[・・・.replace(/[・・・.replace(/[・・・.replace(/[・・・.replace(/[・・・.replace(/[・・・;var
(;゚Д゚)・・・
313:名無しさん@お腹いっぱい。
10/02/12 19:53:52
いずれ正規コードと見分けることが限りなく困難になる予感
314:名無しさん@お腹いっぱい。
10/02/12 20:03:13
うわあなにそれ
315:名無しさん@お腹いっぱい。
10/02/12 20:04:47
>>312
Dr. Webたんが反応した
真っ赤
316:名無しさん@お腹いっぱい。
10/02/12 20:10:17
>>312
Gumblar Checker 3で対応しました。
URLリンク(gumblar.s1.dynamitelife.net)
317:名無しさん@お腹いっぱい。
10/02/12 20:20:40
>>311
旧バージョンから残った脆弱性+現バージョンの追加機能から発生する脆弱性があるわけだからな
それに修正したことで発生することもあるし完全にゼロにするのは不可能だよ
318:名無しさん@お腹いっぱい。
10/02/12 20:26:58
チェッカーも統合ってできないんですかね?
319:名無しさん@お腹いっぱい。
10/02/12 20:38:25
>>318
近いうちに統合します。
ただ、Gumblar.X Checkerのみ統合しない予定です。
320:名無しさん@お腹いっぱい。
10/02/12 20:44:12
ありがとうございます。期待してます。
aguseじゃでなかったりするし、いろんなチェッカーで調べるのが
めんどかったので
321:名無しさん@お腹いっぱい。
10/02/12 20:51:05
>>319
デコードできないもより
URLリンク(gumblar.s1.dynamitelife.net)
322:名無しさん@お腹いっぱい。
10/02/12 20:58:47
>>321
対応しました。
323:名無しさん@お腹いっぱい。
10/02/12 21:00:58
>>322
お疲れ様です。
ありがとうございました。
324:名無しさん@お腹いっぱい。
10/02/12 21:07:41
>>322
対応早いなあ
ほんと乙です
325:名無しさん@お腹いっぱい。
10/02/12 21:13:12
チェッカーってどれ?
326:名無しさん@お腹いっぱい。
10/02/12 21:21:02
www●rcsmovie●co●jp/
URLリンク(www.virustotal.com)
327:名無しさん@お腹いっぱい。
10/02/12 21:33:01
>>320
ウエブ検査で[Gumblarの可能性あり]というのがサイトイメージ下部に出てますよ
Gatewayじゃでないですね
328:名無しさん@お腹いっぱい。
10/02/12 21:46:37
>>326
そこ3回目じゃん
サイトから駆除しただけで更新に使用しているPCから駆除できてないんじゃないのか
329:名無しさん@お腹いっぱい。
10/02/12 21:48:17
lets-juken.comやっと死んだな。
330:名無しさん@お腹いっぱい。
10/02/12 21:50:21 BE:8489669-2BP(1236)
>>306
乙です。
>>312
めるぽしました。
>>326
( ゚Д゚)ポカーン
331:名無しさん@お腹いっぱい。
10/02/12 22:28:11
www●in-service●jp/
googlのセーフブラウジングに引っかかるね
332:名無しさん@お腹いっぱい。
10/02/12 22:30:28
>>331
www●in-service●jp/common●js
にGumblar.Xがかなり仕込まれてる
333:名無しさん@お腹いっぱい。
10/02/12 22:30:27
>>284
解説ありがとうございます。
少しだけ安心して、それ以上に怖くなった。
それ、もしかしてウチの職場が使ってる鯖と同じかな。
ランダムパスだから抜きにくいだろうけど、さらに複雑化してみる。
334:名無しさん@お腹いっぱい。
10/02/12 22:43:17
>>319
できればGumblarChecker 2を新型対応にする形で統合して欲しいなあ。
●をピリオドに自動置換する機能とか、使い勝手は3より2の方が優れているから。
335:名無しさん@お腹いっぱい。
10/02/12 22:46:22
本当にアドビとGumblar作ったやつと8080系作ったやつは死刑じゃ済まされないな
336:名無しさん@お腹いっぱい。
10/02/12 22:48:13
はい
337:名無しさん@お腹いっぱい。
10/02/12 23:04:18
Adobe以外のPDFソフトで感染したなんて人いるのかな
338:名無しさん@お腹いっぱい。
10/02/12 23:32:55
adobeはたかが更新するだけなのに
わざわざ変なインストーラーをインスコさせようとするから腹立つ
なにがgetplusだ
339:名無しさん@お腹いっぱい。
10/02/12 23:38:48
>>338
「ご存知ですか?
Adobeの悪口を一度投稿するたびに金1万円の請求が届きます。
また、投稿を削除したとしても課金され支払う義務が発生します。
支払いを無視した暁には(ry」という謎のレスを創造した俺はきっと病気
340:名無しさん@お腹いっぱい。
10/02/12 23:40:23
HDD容量、比較的狙われにくいマイナーさからみて
Foxit Reader、PDF X-change viewerに乗り換えた方が良いのだろうか
341:名無しさん@お腹いっぱい。
10/02/12 23:41:32
google docs
342:名無しさん@お腹いっぱい。
10/02/12 23:45:47
つーか、この期に及んで
自動更新期間のデフォルト値があり得ない数字だろ・・・
Flashは標準で一ヶ月
最短にしても一週間・・・
しかも、そのコンパネはネット上に・・・
毎日自動更新チェックするには設定ファイルを作る必要が・・・
URLリンク(itpro.nikkeibp.co.jp)
343:名無しさん@お腹いっぱい。
10/02/12 23:46:03
Foxitは軽いけど広告がウザイからお勧めしない
344:名無しさん@お腹いっぱい。
10/02/12 23:51:07
>>327
http:●www●rubbersoul.ne.jp/store/home.htm
ここがaguseじゃでないですね
チェッカー2だとでるんですが
345:名無しさん@お腹いっぱい。
10/02/12 23:51:57
>>335
尻叩き1万発
346:名無しさん@お腹いっぱい。
10/02/12 23:54:28
>>340
どちらも日本語化は完全なのかな・・・
347:名無しさん@お腹いっぱい。
10/02/13 00:03:10
Readerはそれなりのハード(メモリ量とGPU)と
レンダリング周りの設定を変更すれば、サクサクだと思う。
URLリンク(kb2.adobe.com)
・2D GPU アクセラレーションを使用
・ページキャッシュを使用
348:名無しさん@お腹いっぱい。
10/02/13 00:03:36
>>343
あんな小さな広告も許せないお前は何使っても同じ。
349:名無しさん@お腹いっぱい。
10/02/13 00:07:12
アバスト!だと反応しますが。
URLリンク(bukatsu.com)
URLリンク(www.eishinyobikou.com)
350:名無しさん@お腹いっぱい。
10/02/13 00:09:27
>>349
>>1
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
351:名無しさん@お腹いっぱい。
10/02/13 00:10:33
>>349
bukatsu.com
2重感染
eishinyobikou
同じく2重観戦
両方とも8080タイプのように見える・・・
で。URLは危険だから、.を●とかに置き換えようね><;
352:名無しさん@お腹いっぱい。
10/02/13 00:15:05
なんかaguseで検出されないのが増えてきたような・・・
チェッカー2だと検出されるけど
353:名無しさん@お腹いっぱい。
10/02/13 00:18:30
aguseの中身はカスペルスキーなんだから新しい物は検出しなくて当然
354:名無しさん@お腹いっぱい。
10/02/13 00:25:19
検出されないの理解しました
再感染サイトも多いけど感染サイトを貼りまくってるのがいて困る・・・
355:名無しさん@お腹いっぱい。
10/02/13 00:29:49
>>349
ウイルスにやられる予備校って嫌だなw
356:名無しさん@お腹いっぱい。
10/02/13 00:32:37
>>348
だなあ…
アフィとかのバナーが貼られまくったサイトとか見に行っちゃったら憤死するんだろうな
357:名無しさん@お腹いっぱい。
10/02/13 07:14:01
>>346
こんな感じで今のところ文字化けなどの不具合はないよ
URLリンク(www.dotup.org)
>>343
広告は非表示でおk
358:名無しさん@お腹いっぱい。
10/02/13 09:48:56
【やっぱり罠だった】 職業訓練の案内ページ改ざん!閲覧でウイルス感染か! URLリンク(www.ehdo.go.jp)
スレリンク(news板)
359:名無しさん@お腹いっぱい。
10/02/13 09:49:37 BE:7545986-2BP(1236)
>>331
whoisからめるぽとフォームからつーほー
>>349
さくら
>>283上
>>298のucomから対応の返事がきてた。403を確認。
360:名無しさん@お腹いっぱい。
10/02/13 10:01:06
>>358
一週間前ぐらいに報告あったよなここ?
361:名無しさん@お腹いっぱい。
10/02/13 10:06:12
www●goldlane●co●jp
再感染
362:名無しさん@お腹いっぱい。
10/02/13 10:19:34
>>361
復号に一部失敗していたので修正しました。
>>334
個人的にはGumblar Checker 3のコードの方がいじりやすいので多分Gumblar Checker 3を旧型8080系に対応する形で行くと思います。
●を自動変換する機能などは統合するまでには対応します。
363:名無しさん@お腹いっぱい。
10/02/13 10:36:58
・●を自動変換する機能
・http://やhttp://等を入力した際にhttp://を補充する機能
をGumblar Checker 3に追加しました。
URLリンク(gumblar.s1.dynamitelife.net)
364:名無しさん@お腹いっぱい。
10/02/13 10:57:38 BE:8803878-2BP(1236)
>>361
210.172.138.224
GMOにつーほー
365:名無しさん@お腹いっぱい。
10/02/13 11:54:03
Gumblar Checker 3で、
試験的に/*CODE1*/,/*LGPL*/,DEBUG(megaid固定)に対応しました。
URLリンク(gumblar.s1.dynamitelife.net)
366:名無しさん@お腹いっぱい。
10/02/13 12:09:57
>>365
乙
367:名無しさん@お腹いっぱい。
10/02/13 12:14:01
>>365
本当にいつも乙です。
368:名無しさん@お腹いっぱい。
10/02/13 13:33:37
/*GNU GPL*/,/*handle exception*/,DEBUG改,/*Exception*/のコードに対応しました。
URLリンク(gumblar.s1.dynamitelife.net)
369:名無しさん@お腹いっぱい。
10/02/13 13:36:54
チェッカーは、3だけ使えばいいのかな?
370:名無しさん@お腹いっぱい。
10/02/13 13:44:10
>>368
janeのコマンドに登録したいんだけど、以下でおkですか?
Gumblar Checker 3=URLリンク(gumblar.s1.dynamitelife.net)
371:名無しさん@お腹いっぱい。
10/02/13 13:56:10
>>370
大丈夫です
372:名無しさん@お腹いっぱい。
10/02/13 14:05:46
>>371
これtってオリジナルのスクリプトのコードは表示できないの?
それを検体として送りたいので。
今は飛び先のチェックで抽出してるけど。
373:名無しさん@お腹いっぱい。
10/02/13 14:12:20
>>371
これってコード表示できないの?
374:名無しさん@お腹いっぱい。
10/02/13 14:13:16
>>372
なるほど、もしかしたら誤検出する対策ソフト出るかもしれませんが実験してみます。
少々お待ちください
375:名無しさん@お腹いっぱい。
10/02/13 14:14:25
>>370-371 自演ワロタw
376:名無しさん@お腹いっぱい。
10/02/13 14:29:17
>>374
一部表示を全角にするとか
377:名無しさん@お腹いっぱい。
10/02/13 14:52:04
コード表示させるようにしてみました
改行処理は面倒なのでしてませんが・・・
378:名無しさん@お腹いっぱい。
10/02/13 14:56:31
VirusTotalでチェックした所一部誤検出する対策ソフトがあったので一回停止します
379:名無しさん@お腹いっぱい。
10/02/13 15:06:42
日本語ドメインにも対応してほしいです。
puniに変換するのめんど(ry
380:名無しさん@お腹いっぱい。
10/02/13 15:07:35
まんま表示させたら駄目だろwww
381:名無しさん@お腹いっぱい。
10/02/13 15:59:46
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
URLリンク(www.ahnlab.co.jp)
マカフィー(stinger.exe)
URLリンク(www.mcafee.com)
Kaspersky(KatesKiller.exe)
URLリンク(support.kaspersky.com)
Microsoft、trendmicro、McAfee・・・全部表示出来ないんだけどどうすれば良いですか?
Microsoft Updateもupdate出来ないし、オワタ?
382:名無しさん@お腹いっぱい。
10/02/13 16:09:06
Gumblar Checker 3の作者さん。
Gumblar.X Checkerもそうだけど、アドレス入力ボックスにあらかじめ入力されている http:// が
IE以外では意味ないのは仕様ですか?
383:名無しさん@お腹いっぱい。
10/02/13 16:16:44
>>379
今から組み込んでみます。少々お待ちください。
>>382
仕様ですがやっぱりアレなので変更しました。
384:名無しさん@お腹いっぱい。
10/02/13 16:37:22
日本語ドメインなんて使ってるやついるんだな
385:名無しさん@お腹いっぱい。
10/02/13 18:06:20
ごめんなさい、一応組み込んだんですが、今使用しているレン鯖が日本語ドメインをPunycodeに変換するモジュールが入ってないみたいなので対応できませんでした。
386:379
10/02/13 18:23:05
>>385
わざわざありがとうございます。
とりあえず自分で変換して使ってみます。
387:名無しさん@お腹いっぱい。
10/02/13 18:47:41
>>385
送信前にJavaScriptで変換汁
388:名無しさん@お腹いっぱい。
10/02/13 18:54:41
www●bamu7●com
www●camu7●com
www●eamu7●com
www●famu7●com
www●gamu7●com
こんなSEO目的の屑サイトが事態を悪くしている
389:名無しさん@お腹いっぱい。
10/02/13 19:01:49
>>388
8080?
390:名無しさん@お腹いっぱい。
10/02/13 19:12:25
URLリンク(www.aguse.jp)とURLリンク(www.gred.jp)ってどっちが判定正しいんだ?
ここの以外でも確かめてみたくて
391:名無しさん@お腹いっぱい。
10/02/13 19:24:16
断然 aguse
392:名無しさん@お腹いっぱい。
10/02/13 19:25:54
>>387
おお、その手がありましたね。
ということで日本語ドメインに対応しました。日本語JPドメインを入れて「チェックする」ボタンを押すと勝手にPunycodeに変換してチェックします。
Enterキーでやると動作しません。
URLリンク(gumblar.s1.dynamitelife.net)
393:名無しさん@お腹いっぱい。
10/02/13 19:32:47
自前のgredよりカスペ頼りのaguseの方が優秀とは皮肉な
394:名無しさん@お腹いっぱい。
10/02/13 19:34:37
頼むぜ
395:名無しさん@お腹いっぱい。
10/02/13 19:34:55
>>388の
www●camu7●comにある8080系コードに対応しました。
URLリンク(gumblar.s1.dynamitelife.net)
396:へたれ発掘屋
10/02/13 20:13:06
陥落さいと(最新型)釣れすぎwww
【びんぐ】
検索わーど:"var" "if(" ";var" "window" ".replace(/[" ";this."
URLリンク(www.bing.com)
---
MILLION PIXELS [WebDesign/DTP/Sound Production]
URLリンク(www)●millionpixels●com/webdesign/index●html
陥落サイトをデザインしてるとですか?
397:名無しさん@お腹いっぱい。
10/02/13 20:16:13
>>395
index.phpが何故か消えてたので再アップしました
398:名無しさん@お腹いっぱい。
10/02/13 20:20:16
>>397
パスワードが割れてる予感
鯖管の悪戯か?
399:名無しさん@お腹いっぱい。
10/02/13 20:21:48
こえーよ
大丈夫かよ
チェッカーでウイルス掛かるとかまじやだ・・
400:名無しさん@お腹いっぱい。
10/02/13 20:22:33
鯖のアンチウイルスが消したとか?
401:名無しさん@お腹いっぱい。
10/02/13 20:28:37
八苦されるようなチェッカーを作る奴は信用できない
402:名無しさん@お腹いっぱい。
10/02/13 20:37:00
レジストリチェックしましたが感染してないっぽです。
転送量や負荷をかけていると予告無しで消される、と規約にあるけどそれなのかな。
ファイルはすべてチェックしましたが感染しているとこはありませんでした。
次回も起きるようだったら鯖移転しようと思います。
>>400
もしかしたらそれかもしれないですね。
403:名無しさん@お腹いっぱい。
10/02/13 20:49:02
移転したほうがいいよ
404:名無しさん@お腹いっぱい。
10/02/13 20:50:29
うーん、もしかしたら鯖が暴走してるっぽい?
405:名無しさん@お腹いっぱい。
10/02/13 20:54:41
鯖が意思を持ち始めた
スカイネットの誕生である
406:名無しさん@お腹いっぱい。
10/02/13 21:04:47
HAL2010
407:名無しさん@お腹いっぱい。
10/02/13 21:07:15
人生、宇宙、すべての答えは?
408:名無しさん@お腹いっぱい。
10/02/13 21:07:22
42
409:名無しさん@お腹いっぱい。
10/02/13 21:09:59
23
410:名無しさん@お腹いっぱい。
10/02/13 21:13:12
分かる人向けのネタ多すぎww
411:名無しさん@お腹いっぱい。
10/02/13 21:15:16
全然わからんなw
関係ないけど死んだら14に行くって事はちゃんと知ってる
412:名無しさん@お腹いっぱい。
10/02/13 21:18:57
www●tanpopo-clinic●jp
カスペが反応しないけど改ざんされている
413:名無しさん@お腹いっぱい。
10/02/13 21:24:34
チェッカーだと検出するね
414:名無しさん@お腹いっぱい。
10/02/13 21:25:55
>>412
されてます
URLリンク(www.virustotal.com)
415:名無しさん@お腹いっぱい。
10/02/13 22:06:18
いちおうこっちのチェッカーも新しめのやつ検出できてるみたいです
URLリンク(ec2-204-236-148-61.us-west-1.compute.amazonaws.com)