10/04/24 22:53:19
www●sakiko●jp
電凸完了
51:コテハン ◆8080adndqg
10/04/24 23:00:12
>>40 亀レススマソ
8080発掘中に遭遇したことはあるけど、海外のやつは絶賛スルー中なのです。
【陥落サイトのURL悪用厳禁】
www●asianmotors●co●jp/ ←アクセス注意!
いつのまにかコードが整理されてて・・・
一番下の<script>function c12174138951n4bc351d711cc6~~
もう勘弁して...
52:名無しさん@お腹いっぱい。
10/04/25 00:42:06
>>51
こちらの環境では1371行まででその記述が見当たらないぽ。
53:名無しさん@お腹いっぱい。
10/04/25 01:22:58
>>46
>>50
乙です
>>51
レスありがと、こちらも不躾ですまない
asianmotorsのスクリプトは消えてるみたいね、上書きしたかな?
> function pde63eee4~
> function jIxnUrxy(){if~
そういえば最近やたらとこのタイプに引っ掛かる
【陥落サイトのURL悪用厳禁】
winbet●tonosama●jp :JS.Shadraem VT 02/41
nihon-support●jp :スクリプトが中途半端だけど念の為
54:名無しさん@お腹いっぱい。
10/04/25 02:07:03
>>53
上、醤油が化けちゃってわかんね。。。orz.....
下、Last-Modified: Wed, 21 Apr 2010 01:01:15 GMT : /index.html
55:名無しさん@お腹いっぱい。
10/04/25 02:41:44
URLリンク(www.taguchiso.com)
URLリンク(winbet.tonosama.jp)<)
URLリンク(www.shinsei-fukushi.net)
URLリンク(www.nittoka.com)
URLリンク(www.1a.ad-jeaayf.com)
URLリンク(www.tu-han4.com)
URLリンク(www.daini-survey.com)
URLリンク(www.borneomarathon.com)
URLリンク(www.niaufuku.com)
URLリンク(kumarin.biz)
URLリンク(www.amakusaturigu.com)
URLリンク(www.hdta.jp)
URLリンク(giddeon.com)
URLリンク(amyou.net)
URLリンク(yamisyoku.info)
56:名無しさん@お腹いっぱい。
10/04/25 03:58:27
スレリンク(news板)
57:コテハン ◆8080adndqg
10/04/25 04:09:00
ドメインまちがえたにゃ/(^o^)\
誤:www●asianmotors●co●jp/
正:www●asianmotors●co●in/ ←アクセス注意
58:名無しさん@お腹いっぱい。
10/04/25 04:30:44
>>57
*CODE1*
Last-Modified: Tue, 27 Oct 2009 07:47:47 GMT : Scripts/AC_RunActiveContent.js
>>51のコードは「'+x1d+'」を抜いてHEXデコードしてURLデコード
59:名無しさん@お腹いっぱい。
10/04/25 14:47:08
どなたか教えてください。
・メールのhtmlプレビュー画面でGumblar(.x)、8080系に感染する恐れってありますか?またそういった感染報告はありますか?
・ファイアーウォールでポート8080を閉じることにより感染予防の効果はありますか?
60:名無しさん@お腹いっぱい。
10/04/25 15:15:05
>>59
> メールのhtmlプレビュー画面でGumblar(.x)、8080系に感染する恐れってありますか?
可能性はある。
これに限らずテキスト表示推奨。
> またそういった感染報告はありますか?
マカフィーサイトアドバイザでのgumblar.cnは一時期こんなのが出ていた。
> Our analysis found that this site may be promoted through spammy e-mail.
> ファイアーウォールでポート8080を閉じることにより感染予防の効果はありますか?
「8080系ウイルス」だけ、
Gumblar(.x)には通用しない。
61:名無しさん@お腹いっぱい。
10/04/25 15:19:17
>>60ちょい訂正
「8080系ウイルス」以外には通用しない。
62:名無しさん@お腹いっぱい。
10/04/25 15:29:07
芸能プロのケイダッシュのサイトが軒並みやられてるらしい。
オードリーの公式サイトとか
63:名無しさん@お腹いっぱい。
10/04/25 15:30:57
>>60
ありがとうございます。
ポート8080閉じることで8080系ウイルスの対策になるんですね。
64:名無しさん@お腹いっぱい。
10/04/25 15:32:51
>>63
>>2
>>62
にゃんと…
65:名無しさん@お腹いっぱい。
10/04/25 15:33:24
>>63
ほんとだ確認しました・・・
66:名無しさん@お腹いっぱい。
10/04/25 15:35:01
>>62
確認すた。
67:名無しさん@お腹いっぱい。
10/04/25 15:40:11
>>62
冗談だと思ったけれど・・・マジだった・・・
68:名無しさん@お腹いっぱい。
10/04/25 16:15:41
>>63
そんなことよりしっかり>>2を行いましょう
69:名無しさん@お腹いっぱい。
10/04/25 16:18:56
>>62のケイダッシュについて聞きたいんだけど
ウィルスと判断できるコードはソース最後のfunctionから始まるのでいいの?
ちょっとスレたてたいもので確認できる材料が欲しい。
70:名無しさん@お腹いっぱい。
10/04/25 16:21:29
>>69
それでいいけどそういうことは余計な混乱の元になるから半端に載せない方がいいよ
71:名無しさん@お腹いっぱい。
10/04/25 16:21:53
>>70
了解です
ありがとう
72:名無しさん@お腹いっぱい。
10/04/25 16:28:17
というかハッシュっぽい目印も含めて2行か
まあいいや
VirusTotal ただしこの結果だけでavastに乗り換えるというのは早計
URLリンク(www.virustotal.com)
73:名無しさん@お腹いっぱい。
10/04/25 16:34:31
>>72
スクリプトはDrWebは最近は一番だな
74:名無しさん@お腹いっぱい。
10/04/25 16:57:34
グーグル検索結果のケイダッシュ事務所HPアドレスに
マウスポインタ合わせてただけでavastさんが怒った
どうなってんだ
75:名無しさん@お腹いっぱい。
10/04/25 17:10:42
感染サイト踏んだんだけど感染確認方法ってありますか?
>>2は3以外しています
76:62
10/04/25 17:12:45
ちゃんと確認したらケイダッシュのサイト(kdash●jp)の全ページ?がやられてるのね。
オードリーのは公式サイトと言うよりは公式のプロフィールページのことですな。
ちなみに各タレントの公式サイト(別ドメインでのサイト)は大丈夫っぽい。
まだまだ猛威ふるってますねぇ。
というか、いい加減にHP製作会社はウイルス対策しろ。
77:名無しさん@お腹いっぱい。
10/04/25 17:17:22
>>74
俺はグーグルでケイダッシュを検索しただけでavastが怒りだしたわ
78:名無しさん@お腹いっぱい。
10/04/25 17:27:30
オードリースレに確認方法を書いてきた
79:名無しさん@お腹いっぱい。
10/04/25 17:42:34
>>75
ない
80:名無しさん@お腹いっぱい。
10/04/25 17:49:27
>>75
本当に最新かもう一度確認をしたほうがいい
81:名無しさん@お腹いっぱい。
10/04/25 17:53:19
>>77
俺もだ
接続を遮断したけど大丈夫なのかな?
82:名無しさん@お腹いっぱい。
10/04/25 18:02:52
>>80
MyJVN バージョンチェッカでは最新でした
83:62
10/04/25 18:05:01
元メジャーリーガー、現オリックスの田口の公式もやられてるらしい。
気を付けましょう。
84:名無しさん@お腹いっぱい。
10/04/25 18:48:21
ケイダッシュは、Google safe browsingでもMS SmartScreenでもスルーだな
だれか報告しよけよ
85:名無しさん@お腹いっぱい。
10/04/25 18:49:23
田口は、Google Safe browsingが怒り出した
けど、MS safe browsingはスルー
86:名無しさん@お腹いっぱい。
10/04/25 19:04:19
オードリーサイトメンテ中になってる
87:名無しさん@お腹いっぱい。
10/04/25 19:05:10
>>62
Last-Modified: Sun, 25 Apr 2010 09:18:06 GMT : /alert.html
> ただいまメンテナンス中です。
> ご迷惑をおかけしますが、もうしばらくお待ちください。
88:名無しさん@お腹いっぱい。
10/04/25 19:06:19
>>62
一時期、スターダスト?系のHPがやられていたり
なんとかはいりって人のHPがやられてたって聞いたけど
改善はされてるのか?こわくて近づけない。
89:名無しさん@お腹いっぱい。
10/04/25 19:17:55
>>88
後醍醐●netもやられてたお。
90:名無しさん@お腹いっぱい。
10/04/25 19:19:03
>>89補足
今は直ってるお。
91:名無しさん@お腹いっぱい。
10/04/25 20:01:47
>>5
亀レスですまないが
Gumblar/8080 Checker
URLリンク(ec2-204-236-148-61.us-west-1.compute.amazonaws.com)
ここもいれておくべきなのでは
92:コテハン ◆8080adndqg
10/04/25 20:07:08
>>74>>77>>81
ブラウザのリンク先読み機能を切ってください・・・なのです。
93:名無しさん@お腹いっぱい。
10/04/25 20:07:25
>>91
それってJaneのコマンドに追加するときはどうやって書いたらいいの?
94:名無しさん@お腹いっぱい。
10/04/25 20:27:27
>>92
サンクス
ちなみにスレチだがavastが切断を遮断したってことは感染してないよな?
95:名無しさん@お腹いっぱい。
10/04/25 20:29:26
>>94
切断を遮断したら接続しちゃうんじゃね?
96:名無しさん@お腹いっぱい。
10/04/25 20:34:22
>>92
ありがと
そんな機能あったんか
97:名無しさん@お腹いっぱい。
10/04/25 20:40:41
>>95
すまん接続を遮断だった
バカか俺はw
98:名無しさん@お腹いっぱい。
10/04/25 21:00:25
リンク先読みはキャッシュを保存してるだけじゃなかったかな
99:名無しさん@お腹いっぱい。
10/04/25 21:02:38
URLリンク(satupa)●syuriken●jp/
もしかしてかんせんしてる?
100:名無しさん@お腹いっぱい。
10/04/25 21:03:00
元気ブックもやられてる?
101:名無しさん@お腹いっぱい。
10/04/25 21:07:47
何で感染するんだよ
馬鹿じゃねえの
102:名無しさん@お腹いっぱい。
10/04/25 21:09:22
マジでなんで感染してるのか知りたい
使用してるセキュリティソフトとか
103:名無しさん@お腹いっぱい。
10/04/25 21:14:08
元気ブック改ざん受けてない?
104:名無しさん@お腹いっぱい。
10/04/25 21:23:11
これか
news●genki-book●jp/
avast反応した
105:名無しさん@お腹いっぱい。
10/04/25 21:31:24
>>104
aguseやgredで
google-analytics.com/urchin.js
floridaorigin.at:8080/google-ch/google.com/passport.net.php
出てきた
106:名無しさん@お腹いっぱい。
10/04/25 21:52:20
元気ブック 参考程度にしかならんけど
VirusTotal
URLリンク(www.virustotal.com)
107:名無しさん@お腹いっぱい。
10/04/26 01:00:01
オードリーの公式サイトがGENOウイルスに感染中
スレリンク(news板)
avira対応してる?
108:名無しさん@お腹いっぱい。
10/04/26 01:03:17
してない
109:名無しさん@お腹いっぱい。
10/04/26 01:04:52
してる
110:名無しさん@お腹いっぱい。
10/04/26 01:05:47
してますん
111:名無しさん@お腹いっぱい。
10/04/26 01:13:32
セキュ板の各アンチウイルススレって、なんでああも荒れてるの?
ゲハ脳みたい
112:名無しさん@お腹いっぱい。
10/04/26 01:19:54
荒らしてるのは数人だろ
同じ気違いがずっと騒いでるだけ
113:名無しさん@お腹いっぱい。
10/04/26 01:19:57
ID出ない分変なの居着きやすいんでしょ
NGワードで対処出来ないスレはハナから見ない、これで解決
114:コテハン ◆8080adndqg
10/04/26 11:48:39
【陥落サイトのURL悪用厳禁】
pre21●jp/
ソースの中央付近
</SCRIPT><SCRIPT>var t;if・・・(.at:)
※定位置(最下部)には.info:のやつ
otokudou●h01●jp ←<!--<script>-->で絶賛無効化中
115:名無しさん@お腹いっぱい。
10/04/26 14:21:39
朝日オート系列は何回感染してんだ
パスワード変えてないのか?
116:名無しさん@お腹いっぱい。
10/04/26 16:45:58
バスターの公式サイトがガンブラーで改ざんされたりしたら面白そうだな
過去にも一回やらかしてるだけにもう一回やらかしたらユーザー激減しそうw
117:名無しさん@お腹いっぱい。
10/04/26 17:28:20
それをネタとして流せないあたりが何とも
118:名無しさん@お腹いっぱい。
10/04/26 17:57:26
そういう面白いことはESETとかウィルスセキュリティにやってもらいたいんだが
119:名無しさん@お腹いっぱい。
10/04/26 19:28:13
改ざんならesetもやられたじゃん
120:名無しさん@お腹いっぱい。
10/04/26 19:34:47
なた低レベルなやつが増えてきたな
121:名無しさん@お腹いっぱい。
10/04/26 19:59:46
___ ,,、
, ' ´ /;;;;ヘ`丶
/ 〈;;;;;;;;;;;;ヘ \
/_____ \;;;;;;;;;ヘ \
〈'´ ____\_.>''´ ̄\ ',
\/...:::::::::::::___:/ , -、j 〉 /\
< ̄.::::::::;:> ' { } {、;;;;;\┬' /. \
,≦::::; ' ´ , ゝ-夂i不丁::::::\;;;;;\__ /::::.. \
>'´ ,. イ/ |:/イ乙i |::::::::::::::\;;;;〈/;;;::::::::::.. \
/ , イN|仡} 辷ソノ:::::::::::::::::::iヽ/;;;;;;;;;;::::::::::.... \
\ ≦:::::::::八.ヒ!、 /.:::::::::::/:::::::| \;;;;;;;;;;;;;;;::::::::::.. \
\ `<:__;ゝ―‐<::::::::::::; イl:::::::::i \;;;;;;;;;;;;;;;::::::::::... \
. \ /:::/ ヾニニニニヽ;::::::〉 \;;;;;;;;;;;;;;;;:::::::::... \
ヽ、|::::| \  ̄`丶 \;;;;;;;;;;;;;;;;;::::::::.. \
|::::| \ \;;;;;;;;;;;;;;;;;::::::::.. \
 ̄\ \ \;;;;;;;;;;;;;;;;;;;:::::::... \_____
ヽ ____ / \ \;;;;;;;;;;;;,;;;;;;:::::::... /
,.イ ヽ i \ \;;;;,;;;;;;;;;;;;;;;:::::::... /
/:::{ ト、 .......ヽ \;;;;;;;;;;;;;,;;;;;;;::::::::/
122:名無しさん@お腹いっぱい。
10/04/26 20:29:57
キモイもん貼るなっての
123:名無しさん@お腹いっぱい。
10/04/26 20:59:10
なたなら仕方がない
124:名無しさん@お腹いっぱい。
10/04/26 21:01:12
どうしてこうなた
125:名無しさん@お腹いっぱい。
10/04/26 22:38:34
なったなたにしてやんよ!
ところでケイダッシュ公式が再開してるようだが
URLリンク(www.aguse.jp)
URLリンク(www.aguse.jp)
126:名無しさん@お腹いっぱい。
10/04/26 22:52:02
なたでここ
>>125
上はまだ ぁぅぁぅぁー
スレリンク(news板:329番)
127:名無しさん@お腹いっぱい。
10/04/26 22:55:38
>>126
な(んてこっ)た
aguseGWで覗いて正解だった…危ない危ない
128:名無しさん@お腹いっぱい。
10/04/26 23:03:42
>>125
URLリンク(www.virustotal.com)
ケイダッシュとpre21●jp/に連日凸したが
奴等は電話を切りやがった
人としておかしい
流石三国人w
129:名無しさん@お腹いっぱい。
10/04/27 02:18:58
ところで
やっぱりセキュリティベンダーって信頼に関わるから自社の公式サイトとか配布するツール等は命かけて安全確保してるの?
130:名無しさん@お腹いっぱい。
10/04/27 08:39:45
最近はどこのメーカーも電子署名してるから、電子署名がないようなexeは踏まない
131:名無しさん@お腹いっぱい。
10/04/27 08:44:59
>>115
トロイが仕掛けられたクライアントで更新してるから、いくらやってもまた改変されるとかじゃないの?
>>116
さすがにセキュリティー企業なら、インターネットからだれてもコンテンツ更新とか無理じゃねーの?
Webデザイン企業には、CMSとかにしかアクセスできないようにして、
メインサーバへの更新は社員が社内からやってるんじゃね?
132:名無しさん@お腹いっぱい。
10/04/27 10:21:53
>>92
リンク先読みって火狐でググッただけで感染するのか?コードまで実行しちゃうの?ノートントラップの類じゃないのか
133:62
10/04/27 10:34:47
ケイダッシュはまだprototype.jsが感染してるわけだが、一生このままじゃね?
スカイリンクとかいう会社もケイダッシュもカス。カスが。春日。
134:名無しさん@お腹いっぱい。
10/04/27 11:58:37
誰かが投げたの
URLリンク(www.virustotal.com)
File www.kdash.jp_common_js_prototype. received on 2010.04.26 18:18:29 (UTC)
Result: 7/40 (17.50%)
Avast 4.8.1351.0 2010.04.26 JS:Illredir-AX
Avast5 5.0.332.0 2010.04.26 JS:Illredir-AX
BitDefender 7.2 2010.04.26 Trojan.JS.Agent.EAL
DrWeb 5.0.2.03300 2010.04.26 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.26 Trojan.JS.Agent.EAL
GData 21 2010.04.26 Trojan.JS.Agent.EAL
nProtect 2010-04-26.01 2010.04.26 Trojan.JS.Agent.EAL
さっき漏れが投げたの
URLリンク(www.virustotal.com)
File prototype.js received on 2010.04.27 02:50:00 (UTC)
Result: 9/41 (21.96%)
a-squared 4.5.0.50 2010.04.27 Trojan.JS.Agent!IK
Avast 4.8.1351.0 2010.04.26 JS:Illredir-AX
Avast5 5.0.332.0 2010.04.26 JS:Illredir-AX
BitDefender 7.2 2010.04.27 Trojan.JS.Agent.EAL
DrWeb 5.0.2.03300 2010.04.27 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.26 Trojan.JS.Agent.EAL
GData 21 2010.04.27 Trojan.JS.Agent.EAL
Ikarus T3.1.1.80.0 2010.04.27 Trojan.JS.Agent
nProtect 2010-04-26.01 2010.04.26 Trojan.JS.Agent.EAL
>>133
状況を理解してないのかも。
135:名無しさん@お腹いっぱい。
10/04/27 12:08:20
>>57
まちがえんな、カス
136:名無しさん@お腹いっぱい。
10/04/27 12:09:06
管理者に抜き打ちセキュリティテストとかやってもいいと思うんだ
137:名無しさん@お腹いっぱい。
10/04/27 13:03:47
自分でしないと...
138:名無しさん@お腹いっぱい。
10/04/27 13:46:39
>>133
Last-Modified: Tue, 27 Apr 2010 04:43:37 GMT : common/js/prototype.js
なおたよ。
139:名無しさん@お腹いっぱい。
10/04/27 15:47:23
>>133
キャッシュぐらい消せカスが
140:名無しさん@お腹いっぱい。
10/04/27 16:51:12
ケイダッシュはどうせまた再改ざんくるだろ
141:名無しさん@お腹いっぱい。
10/04/27 18:05:53
>>130
電子署名ない.exe踏まないとか
フリーソフト殆ど使えないじゃん
142:名無しさん@お腹いっぱい。
10/04/27 18:26:21
>>141
インスコ不要なソフト(zip解凍で使えるようなやつ)なら
exeとdllあたりをVirusTotalに投げればだいたいわかるだろ
143:名無しさん@お腹いっぱい。
10/04/27 18:28:39
それだと>>130と矛盾する
144:62
10/04/27 19:44:13
>>139
Google先生のチェッカー使いましたが何か?
そして相変わらず告知無し。こんだけ言われてるのに無視とか新し過ぎる。
メッセサンオー以上だぜ
145:名無しさん@お腹いっぱい。
10/04/27 20:02:32
>>142
>>143が言ってるように>>130はexe踏まない=使わないと言ってる件・・・
146:名無しさん@お腹いっぱい。
10/04/27 20:10:28
>>134
avastとBitDefender以外のフリーものは駄目だね
147:名無しさん@お腹いっぱい。
10/04/27 20:23:58
>>146
bitのフリーは常駐監視ないからGumblar/8080から守れないだろ
148:名無しさん@お腹いっぱい。
10/04/27 21:03:37
aguseとgredと>>91のチェッカーで問題なしなら
そのサイトは安全と見ていいのかな?
149:名無しさん@お腹いっぱい。
10/04/27 21:06:45
>>57
IPアドレスの鯖缶:惑星さんからお返事北。
> We appreciate you bringing this matter to our attention. This issue is currently being investigated. Due to privacy policies, we will most likely not be able to provide you with details regarding the outcome of our investigation.
なんて書いてあるのかよくわかんない。。。orz....
日本語でつーほーしたのがいかんかったのかにゃ。
150:名無しさん@お腹いっぱい。
10/04/27 21:10:38
>>148
安全と断定はできない。
目安程度で過信は禁物。
ガンブラー以外にも脅威はあるし。
151:名無しさん@お腹いっぱい。
10/04/27 21:11:49
>>149
通報ありがとうね
この件は現在調査中だよ
だけどプライバシーの問題で詳細は明かせないよ
って感じ
152:149
10/04/27 21:13:23
>>151
㌧㌧
(゚ν゚)ニホンゴムズカスィネー だったろうなぁ。
153:名無しさん@お腹いっぱい。
10/04/27 21:13:54
ありがとよ
今から調べちゃる
結果は知らせねぇけどな
154:149
10/04/27 21:17:26
>>153
これまた㌧㌧
返事がこないとこよりも いい(≧∇≦)b
ぐぐるせーふぶらうじんぐとノートン先生のせーふうぇぶつけたのがよかったのかも。
155:名無しさん@お腹いっぱい。
10/04/27 21:38:29
>>144
>>139は多分>>138見て早とちりしたんだと思う。
GMTに9時間足すと日本時間JSTになるので今日の午前11時43分で>>133の1時間後に修復したってことに。
156:名無しさん@お腹いっぱい。
10/04/27 22:12:24
>>148
aguseも最近のはスルー率高いしgredも結構スルーする
そんなもんよりとにかく>>2
157:名無しさん@お腹いっぱい。
10/04/27 23:54:49
gredってただ乗りで検体集めまくってるのにスルーがあるんじゃ意味ねーな
158:名無しさん@お腹いっぱい。
10/04/28 00:01:51
ところで
aguseのカスペもVTと同じで旧バージョンなのかね?
159:名無しさん@お腹いっぱい。
10/04/28 00:11:14
「×××●pipicotts●com」が全滅っぽい
160:名無しさん@お腹いっぱい。
10/04/28 03:24:03
マスターペニス
161:名無しさん@お腹いっぱい。
10/04/28 09:17:23
ケイダッシュは反日創価、だからこのまま放置するよ
162:コテハン ◆8080adndqg
10/04/28 11:45:13
【陥落サイトのURL悪用厳禁】
kimiyo-web●srv7●biz/index●html ←???
gex●sexona●net/
163:名無しさん@お腹いっぱい。
10/04/28 12:00:51
これって証明書がカスペルスキー本家とサーバー証明書が違うということですよね?
URLリンク(up3.viploader.net)
だとしたら、どうやって本家の証明書を取ってきたら良いのですか?
やり方が分かりません。教えてください。
164:名無しさん@お腹いっぱい。
10/04/28 12:29:15
スレ違いだよ馬鹿
OKwave、教えてgoo、ヤフー知恵袋にでも行って聞いてこい
165:名無しさん@お腹いっぱい。
10/04/28 12:39:47
>>163
PC初心者
URLリンク(pc11.2ch.net)
初心者の質問
URLリンク(gimpo.2ch.net)
Kaspersky internet security Part100.カスペルスキーラボ
スレリンク(sec板)
166:名無しさん@お腹いっぱい。
10/04/28 12:44:20
Windows Updateをしてるけどこれってそのまま放置でも対策してくれるの?
マカフィーフルスキャンしたけど何も出てこなかったら安心していい?
167:163
10/04/28 12:55:30
>>163>>164
ありがとう
168:名無しさん@お腹いっぱい。
10/04/28 16:38:12
>>166
ログくらい読めチンカス
169:名無しさん@お腹いっぱい。
10/04/28 18:05:03
www●1a●ad-jeaayf●com
170:名無しさん@お腹いっぱい。
10/04/28 21:43:10
すみませんがちょっと教えて。
外側からwebページを改ざんするっていうのは
どういう仕組みなの?
なにかそういうソフトがあるんですか?
自分の持ってるwebページが勝手にレイアウトが
変わっちゃったんですけど、これッて誰かのいたずら
ですかね。
171:名無しさん@お腹いっぱい。
10/04/28 21:44:22
>>170
いたずらですめばいいけどそういうレベルで済まない場合の方が多いんじゃね
外側からではなく内側からです
172:名無しさん@お腹いっぱい。
10/04/28 22:04:13
>>171
どういうこと?
何かウイルスに感染してるってこと?
173:名無しさん@お腹いっぱい。
10/04/28 22:20:35
結局どのアンチウィルスソフト使えばいいんだよ
スレリンク(news板:86番)
ν速で検体テストやってるから参加してみ。
174:名無しさん@お腹いっぱい。
10/04/28 22:29:33
URLリンク(www.sony.jp)
DR-350USBの商品ページ入るとなんか変になるけど俺だけかな?
戻っても戻っても戻れないみたいな
スレ違いならごめん
175:U.F.O ◆U.F.OT1DQ2
10/04/28 23:01:46
概出だったらスマソ
URLリンク(www)●rctank●jp/
ガンブラーだと思われ。
176:名無しさん@お腹いっぱい。
10/04/28 23:05:57
>>172
その可能性がおおいにある
あとは単純なIDパスワードがアタックされて漏れたとか
>>173
スレ違い
>>174
ブラウザキャシュクリアしてみるとか
177:名無しさん@お腹いっぱい。
10/04/28 23:08:42
ふと思ったんだけど・・・
URLリンク(ja.wikipedia.org)
>マルウェアをコンピュータに感染させ、FTPアカウントを攻撃者に送信させる
これってPFWを適切に設定してあればブロックできると思うのだが
マルウェアがPFW回避行動を取るのか?
178:名無しさん@お腹いっぱい。
10/04/28 23:10:02
>>175
さいごのとこに難読化無しでframeのが入っとるね
179:名無しさん@お腹いっぱい。
10/04/28 23:17:15
>>177
止めちゃうんじゃね
180:名無しさん@お腹いっぱい。
10/04/28 23:17:44
すげぇ、本当にケイダッシュ完全無視してやがる。
これがバーニング系か。
ニュースにもならんし。
181:名無しさん@お腹いっぱい。
10/04/28 23:18:11
>>175絡みでぐぐってみたけどこれもかなあ
www●militarize●org/01.htm
一回失敗してるような感じのコードが見える
182:U.F.O ◆U.F.OT1DQ2
10/04/28 23:19:18
またハヶ━m9( ゚д゚)っ━ン!!
URLリンク(bentominowa)●web●fc2●com/
この後にあるURLも感染を確認・・・
概出だったら土下座します。
183:名無しさん@お腹いっぱい。
10/04/28 23:33:27
>>182
確認できないな
修正はいったかな
184:名無しさん@お腹いっぱい。
10/04/29 00:00:08
www●xn--eckxbbj3b4kwa3fxh●jp
日本語URLうざい…
>>183
gredに仕掛けてみれ
185:名無しさん@お腹いっぱい。
10/04/29 00:04:28
>>175
>>181
>>182
>>184
どれも確認できないのだが。
飛び先のチェック by ぴょん基地の友達
URLリンク(www.kakiko.com)
186:名無しさん@お腹いっぱい。
10/04/29 00:12:55
>>184
xn--はdanさんとこで確認できた
187:名無しさん@お腹いっぱい。
10/04/29 00:13:45
>>185
injection_graph_func.js
188:名無しさん@お腹いっぱい。
10/04/29 00:20:19
連休で悲惨なことにならないといいが、ほんと・・・
189:名無しさん@お腹いっぱい。
10/04/29 00:34:16
むしろ悲惨じゃない状態が想像できない
190:名無しさん@お腹いっぱい。
10/04/29 01:17:59
www●speedchannel●co●jp/campaign/friend09/
/mobile-info/
/mobile-info/
/mobile-info/common/js/jquery●js
/mobile-info/common/js/jquery-auto●js
既出だったらごめんよ
そういや皆さま連休はどのようにお過ごしで?
191:名無しさん@お腹いっぱい。
10/04/29 02:05:35
>>190
うんこがたくさんあるね
192:名無しさん@お腹いっぱい。
10/04/29 03:55:06
>>182のやつ
Aguseで見ると外部と接続するオブジェクトに
helphomecare■at:8080/google■com/download■com/qip■ru■php
がある。
JSファイルの中身だけやられてるらしい。
bentominowa■web■fc2■com/index_files/kotypeb_data/injection_graph_func■js
/*LGPL*/
function E(){ で始まるやつで数字のメモがついてない
193:名無しさん@お腹いっぱい。
10/04/29 04:04:16
<<< JPCERT/CC Alert 2010-04-28 >>>
URLリンク(www.jpcert.or.jp)
いわゆる Gumblar ウイルスによって
ダウンロードされる DDoS 攻撃を行うマルウエアに関する注意喚起
JPCERT/CC では感染するマルウエアの中に新たに DDoS 攻撃を行うものが追加
された事を確認しました。
このマルウエアに感染すると、使用している PC が国内外の企業や組織に対
して、DDoS 攻撃を行う可能性があります。
194:名無しさん@お腹いっぱい。
10/04/29 06:19:44
■Drive-by Downloadとも呼ばれるWebベースの攻撃からコンピュータを保護する上での有効性分析。
URLリンク(www.cascadialabs.com)
┌─ Overall(総合)30ケース
│ ┌─ In-the-Wild
│ │ ┌─ CORE IMPACT
30 = (15) + (15)
| .100%| .100%| .100%| Norton Internet Security 2009
| . .57%| . .60%| . .53%| AVG Internet Security 8.0
| . .46%| . .60%| . .33%| McAfee Internet Security 2009
| . .37%| . .53%| . .20%| Kaspersky Internet Security 2009
| . .27%| . .40%| . .13%| Trend Micro Internet Security 2009
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
2008年9月-10月に行われた結果。
URLリンク(www.cascadialabs.com)
195:名無しさん@お腹いっぱい。
10/04/29 07:53:47
データが古すぎて参考にもならない…
どれもGumblarをろくに検出できないやつばっかりじゃん
196:名無しさん@お腹いっぱい。
10/04/29 08:59:02
一般サイトがフィッシング詐欺の踏み台に、Gumblar攻撃と関係か
URLリンク(www.itmedia.co.jp)
197:名無しさん@お腹いっぱい。
10/04/29 09:07:55
セキュアブレインが、Twitter上で不審なURLのチェックが行えるTwitter bot「gredでチェック on Twitter」のベータ版を公開
URLリンク(www.securebrain.co.jp)
198:名無しさん@お腹いっぱい。
10/04/29 09:08:32
>>195
最新はこちら
【AV-Testによる検出率テスト】3月分発表 マカフィーが転落
AV-TESTによる毎月恒例のウイルス検出率テストの3月分結果が発表になった。テストは今回で30回目となる。
2位と3位が入れ替わり。Symantecが2ヶ月連続でランクをあげた。McAfeeは転落した。
4位、5位、6位は先月と変わらずK7とEset、Microsoftがキープ。
Kasperskyは検出率を落とし、TrendMciroが8位に転落。
9位、10位は変わらず、AVGとRisingだった。
順位 ベンダー 検出数 検出率
# Symantec 630,754 98.46% 谷垣
# McAfee 628,906 98.18% 公明
---
# K7 Computing 616,025 96.17% 在日
# Eset Nod32 610,787 95.35% 小沢
# Microsoft 609,523 95.15% 創価
---
# Kaspersky 606,897 94.74% 鳩山
# Trend Micro 604,908 94.43% 蓮舫
# AVG 597,580 93.29% 徳之島
---
# Rising 555,879 86.78% 朝鮮人
テスト実施機関: AV-TEST.org
マルウェア総数: 640,591
(検体の内訳)
バックドア: 85,856
ボット: 43,658
トロイの木馬: 407,043
狭義のウイルス: 37,606
ワーム: 66,428
テスト日: 2010年4月26日
テスト対象: 国内でよく知られているウイルス対策ソフト10製品(うち、MicrosoftとAVGは無料版)
*テストの対象は、国内で流通している主要ウイルス対策ソフト。なお「Microsoft」は、MSE(Microsoft Security Essentials)。
199:名無しさん@お腹いっぱい。
10/04/29 10:49:15
>>195
>どれもGumblarをろくに検出できないやつばっかりじゃん
できるよ
Gumblarもドライブバイダウンロードだしね
スクリプト検出しないからダメなんてことはない
200:名無しさん@お腹いっぱい。
10/04/29 11:45:47
>>170
診断して欲しいならURLかけよ
201:名無しさん@お腹いっぱい。
10/04/29 12:55:03
>>199
ダメとまでは言わないが、攻撃の段階が進んでからじゃないと止められないってことだから
スクリプト段階で止められるものより危険性が高いんじゃないか?
202:名無しさん@お腹いっぱい。
10/04/29 14:16:27
スクリプトを検出した→○
↓
リダイレクト先のURLをブロックした→○
↓
落ちてくるファイルを検出した→△(※)
※対策済の場合は何も落ちてこない
↓
AdobeやJAVAが起動したり、HDDがゴリゴリ・・→×
○=安全
△=対策漏れ有(環境を見直すべき)
×=\(^o^)/オワタ
203:名無しさん@お腹いっぱい。
10/04/29 14:18:44
落ちてくるファイルを検出した→○
何問題ない
204:名無しさん@お腹いっぱい。
10/04/29 14:20:02
>>201
攻撃を受けないんだから問題ない
スクリプトだけで防御するよりずっと堅牢
205:名無しさん@お腹いっぱい。
10/04/29 14:24:59
>>202
ダウンロードされるものも脆弱性を利用する攻撃のためのものやマルウェア本体などもある
あんまり分かってないのに不安を煽るな
206:名無しさん@お腹いっぱい。
10/04/29 14:28:00
年末に(多分)踏んで、それ以来月一起動のうちのPCは
未だにフルスキャンかけても何も引っかからないんだが
運がいいのか悪いのか
つうか、本当に有効な8080踏んだんだろうか
実はまともに動いてない地雷だったんだろうか
こんな微妙な状況ではクリーンインスコする気になれん
207:名無しさん@お腹いっぱい。
10/04/29 14:29:29
ノートンがドライブバイダウンロードに強いのは
スクリプトなんて検出しなくても
攻撃に使われる脆弱性を利用しようとするのを検出ブロックするから
だから初期からガンブラーも防御できた
208:名無しさん@お腹いっぱい。
10/04/29 14:35:57
このスレも初期の頃はもっとマシな検証してたんだけど
今はスクリプト検出可否スレになってるからな
209:名無しさん@お腹いっぱい。
10/04/29 14:38:44
つーか、対策済みであれば攻撃目的のファイルは落ちてこないし実行されないのだから
スクリプトが発見されてもされなくてもどちらでもいい。
210:コテハン ◆8080adndqg
10/04/29 14:49:27
【陥落サイトのURL悪用厳禁】
www●hd-cre●com/ab-tz/
san●ron5●com/gbl/
marukin-gohuku●hp●infoseek●co●jp/komono/index●html
211:名無しさん@お腹いっぱい。
10/04/29 15:28:06
感染してるサイトググったんだけど
firefoxのリンク先読み機能切ってない場合アウト?
212:名無しさん@お腹いっぱい。
10/04/29 15:47:41
>>211
事前に>>2の対策がきちんとできていればセーフ。
213:名無しさん@お腹いっぱい。
10/04/29 16:26:27
>>198
相変わらず信用ならんテストだなあ
ところで特に中身は無くていいからHP立ち上げて置けば自分が感染してないか指標の一つになる様な気がするんだけど
HPって立ち上げるのメンドイの?
214:名無しさん@お腹いっぱい。
10/04/29 18:03:39
自分が感染してたら撒き散らすことになるから
215:名無しさん@お腹いっぱい。
10/04/29 18:08:29
>>211 心配ない。
心配なら先読み機能を切る。「 firefox 先読み 無効 」でググりゃんせ。
216:名無しさん@お腹いっぱい。
10/04/29 18:13:29
>>162
kimiyo-web●srv7だが、何か足りなくね?
217:名無しさん@お腹いっぱい。
10/04/29 18:35:30
>>215
本当だな?心配ないんだな?信じていいんだな?
218:215
10/04/29 18:49:23
本当は嘘です
219:名無しさん@お腹いっぱい。
10/04/29 18:51:41
「このスレに書かれていることはすべて嘘です」
220:名無しさん@お腹いっぱい。
10/04/29 19:03:04
狐ってそんな危なっかしい昨日がデフォで有効なのか
221:名無しさん@お腹いっぱい。
10/04/29 19:13:03
>>206
逆にちょっとでも怪しい状況なら
さっさとクリーンインスコして不安要素を取り除いた方が精神的にいいと思うんだが
222:名無しさん@お腹いっぱい。
10/04/29 19:39:04
>>221
データのバックアップ2年近くサボってたんだよ
今更退避しても感染してたら意味ないし
サイトは殆ど動いてないのを一つ持ってて、FFFTP使ってたけど
結局現在にいたるまで改竄の形跡はなし
でもMP3データをCからDに移すだけで、何か謎のエラー(使用中って出た。使ってねえよ)
出たりして、微妙に調子悪い
かといってHDD動きまくってるわけでも、起動が重く、遅くなってるわけでもない
カスペオンラインでも何も出てこない。WINうpだては問題なくできる
ベンダーのサイトにも繋がる
もうどこで感染判定していいのかワカンネ
223:名無しさん@お腹いっぱい。
10/04/29 21:22:15
■Drive-by Downloadとも呼ばれるWebベースの攻撃からコンピュータを保護する上での有効性分析。
URLリンク(www.cascadialabs.com)
┌─ Overall(総合)30ケース
│ ┌─ In-the-Wild
│ │ ┌─ CORE IMPACT
30 = (15) + (15)
| .100%| .100%| .100%| Norton Internet Security 2009
| . .57%| . .60%| . .53%| AVG Internet Security 8.0
| . .46%| . .60%| . .33%| McAfee Internet Security 2009
| . .37%| . .53%| . .20%| Kaspersky Internet Security 2009
| . .27%| . .40%| . .13%| Trend Micro Internet Security 2009
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
2008年9月-10月に行われた結果。
URLリンク(www.cascadialabs.com)
224:名無しさん@お腹いっぱい。
10/04/30 00:39:13
>>222
全部消してOS入れなおせばすっきり!
225:名無しさん@お腹いっぱい。
10/04/30 01:24:02
>>222
移動出来ないMP3を救済したいのならファイルロックの解除ツールを
試してみてはどうか、UNLOCKERが便利、何にロックされてるかも判るよ
ってそういう話じゃないのか、すまない
知らない間にpre21がウイルスを駆除したっぽい、aguse、gredは反応せず
ちゃんと告知しようよ…
あと、www●kagayaki-t●co●jpがスクリプト系の何かに感染してたみたい
226:名無しさん@お腹いっぱい。
10/04/30 01:25:59
間違えた、訂正
×告知 ○公表
227:名無しさん@お腹いっぱい。
10/04/30 03:19:14
>>225
ゲイシのキャッシュ見たらここだぬ。
URLリンク(www.google.com)
URLリンク(www.siteadvisor.com)
gnomeさんとこに紹介されてたお。
Zbotかぁ。。。
228:名無しさん@お腹いっぱい。
10/04/30 03:22:34
>>227補足
他のキャッシュみたら難読化されてないのがあたー。。。
URLリンク(www.google.com)
URLリンク(safeweb.norton.com)
URLリンク(www.siteadvisor.com)
229:名無しさん@お腹いっぱい。
10/04/30 03:31:01
>>228補足の補足
他にもあたー
URLリンク(www.google.com)
URLリンク(www.google.com)
( ゚Д゚)ネムヒー
230:名無しさん@お腹いっぱい。
10/04/30 04:01:56
>>227-229
わざわざ探してくださったのですか、ありがとうございます
Gumblar/8080系ではなかったようですね
スクリプト見ただけじゃどれがどれやらさっぱりだ…
231:名無しさん@お腹いっぱい。
10/04/30 04:06:08
>>230
>>227はURLエンコードにゃ。
232:名無しさん@お腹いっぱい。
10/04/30 04:12:37
>>230
ゴメンもひとつ難読化されてたの見てなかった。上のほうにあるのに…orz....
URLリンク(www.google.com)
URLリンク(www.siteadvisor.com)
233:名無しさん@お腹いっぱい。
10/04/30 08:17:28
>>225
ありがとう。でも、移動は一応出来てるらしい
エラーメッセージとカラのフォルダが残るだけで
AdobeReaderの更新も、何故か一発でいけなかったんだよな・・・
そのままファイル移動できず・更新できず、だと諦めて初期化するか
オフライン専用機にする諦めも付くんだが・・・
>>224
すっきりしたいが、撮り貯めた写真だのなんだの大量にあるからすっきりできねえよ
234:名無しさん@お腹いっぱい。
10/04/30 10:01:34
>>217
KatesKiller
URLリンク(support.kaspersky.co.jp)
235:名無しさん@お腹いっぱい。
10/04/30 13:05:46
ガンブラーさんは年中無休らしいです…なんか一杯出てきたorz
【陥落サイトのURL悪用厳禁】
www●m-gcomm●jp
ivisit-corp●com/company/
stargatepcmaru●com/ual0g/
deaicafe●org/hito332/
kagaden●com/reiai/ :gredでチェック入れて見ると他にも…
236:名無しさん@お腹いっぱい。
10/04/30 13:26:56
> ivisit-corp●com/company/
これはどこに埋め込まれてるの?
237:名無しさん@お腹いっぱい。
10/04/30 13:32:30
>>233
HDDが物理的にあやしいんでね?
バックアップ早めにしたほうがいいかも
238:名無しさん@お腹いっぱい。
10/04/30 13:32:45
>>236
/js/rollover.js
/js/popup.js
239:名無しさん@お腹いっぱい。
10/04/30 13:33:45
>>236
popup.js
rollover.js
240:名無しさん@お腹いっぱい。
10/04/30 13:36:30
かぶったorz、>>238すまない
241:名無しさん@お腹いっぱい。
10/04/30 14:01:07
>>238-239
確認できる方法は?
242:名無しさん@お腹いっぱい。
10/04/30 14:02:37
>>241
danさんとこで見れたよ
243:名無しさん@お腹いっぱい。
10/04/30 14:04:15
>>242追記
gredはcompanyで黒判定
244:名無しさん@お腹いっぱい。
10/04/30 14:05:04
スクリプトが確認できないんだけど
245:名無しさん@お腹いっぱい。
10/04/30 14:11:03
>>244
/jsのURLミスってるとおもう
gredでcompanyを見ればわかるよ
246:名無しさん@お腹いっぱい。
10/04/30 14:21:39
>>235の続き
【陥落サイトのURL悪用厳禁】
tukaoh●com
ekisupa●visual-imp●net :GWにこれはまずくないか…?
247:名無しさん@お腹いっぱい。
10/04/30 14:32:02
visual-imp●net自体がやられてるっぽい
放置アフィサイトじゃないかなこれ
248:名無しさん@お腹いっぱい。
10/04/30 14:44:22
>>247
放置されてるんだorz
だめもとでメル凸しときます
上のサイトにも全部送らないとねえ、見つけりゃ見つけたで大変だ…
249:名無しさん@お腹いっぱい。
10/04/30 14:53:07
ガンブラーに感染しているサイトを閲覧をしてもノートンが反応をしないのだが・・
250:名無しさん@お腹いっぱい。
10/04/30 14:53:49
>>249
そんなときもあるさ
251:名無しさん@お腹いっぱい。
10/04/30 14:57:31
>>249
何の攻撃も受けてないから
252:名無しさん@お腹いっぱい。
10/04/30 15:07:38
>>249
最悪ノートンスルーで感染してても、自覚があるなら調べればすぐわかるって
253:名無しさん@お腹いっぱい。
10/04/30 17:13:46
URLリンク(biz-int.jp)
これの「企業情報」でAVGが反応するんだけど何?
254:名無しさん@お腹いっぱい。
10/04/30 17:26:48
>>253
www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.mystic-rugby.com%2F
やられてるね
255:名無しさん@お腹いっぱい。
10/04/30 17:58:57
>>254
そのサイトはマルチ商法の末期のもので、つい先日集団訴訟が始まったところです。
これは、サイト閉鎖の理由にするためにわざとしたのか、たまたま外部から攻撃されたのかとかわかる?
256:名無しさん@お腹いっぱい。
10/04/30 18:29:41
ガンブラー攻撃に新手口、感染パソコンをDDoS攻撃の踏み台に
URLリンク(pc.nikkeibp.co.jp)
「.ru」ドメイン対策では防げない「Gumblar」攻撃 - マルウェア配布サイトに「.com」などが
URLリンク(www.security-next.com)
257:名無しさん@お腹いっぱい。
10/04/30 19:01:06
>>254
なんで企業情報だけ別ドメインなんだろうね
>>255
わからんよ
ただjava1.jsというファイル名はいろいろ不安になる
258:253
10/04/30 19:22:00
この会社を1年以上見てきたんだけど、以前のリンクはここだったはず。
URLリンク(www.mystic-rugby.com)
あと、「採用情報」のところも反応するので、調べたら以前のリンクはここのよう。
URLリンク(www.micro-opt.com)
以前のリンクはどちらも感染してないのは、復旧を簡単にするためかな?
259:名無しさん@お腹いっぱい。
10/04/30 19:43:20
>>258
そんなことはどうでもいいから>>1読めよ
260:名無しさん@お腹いっぱい。
10/04/30 19:48:13
>>258
www●micro-opt●com トップがやられてる
全ページ改ざんされるわけじゃない
意図的だと思いたいなら勝手に思えばいいけど他人に迷惑かけないでくれ
261:253
10/04/30 19:56:42
申し訳ありませんでした。
262:名無しさん@お腹いっぱい。
10/05/01 04:50:25
「com:8080」あちこち探したけど見つからない…
【陥落サイトのURL悪用厳禁】
myako●net :再改竄ですかね、ここ
www●m-gcomm●jp :.jsに残ってたので再メル凸しときました
ivisit-corpは閉鎖した模様…再開するならちゃんと公表してほしい
そういえばkdashもpre21も全然公表してくれないなあ…
2chで晒されちゃったし、隠しても良い事ないと思うんだけど
263:名無しさん@お腹いっぱい。
10/05/01 12:23:36
> myako●net
確認できないお
264:名無しさん@お腹いっぱい。
10/05/01 12:51:50
/migilink2.js
ってのがやられてる
ほかにもあるかも
265:名無しさん@お腹いっぱい。
10/05/01 12:53:50
ノートンはガンブラーに弱いのですね。
266:名無しさん@お腹いっぱい。
10/05/01 13:00:59
最強だろ
267:名無しさん@お腹いっぱい。
10/05/01 18:57:14
URLリンク(blog.f-secure.jp)
268:名無しさん@お腹いっぱい。
10/05/01 19:35:44
そういえばAdobeとjavaって自動でアップデート出来なかったっけ?
269:名無しさん@お腹いっぱい。
10/05/01 19:57:07
できる。
AdobeReaderのは最近追加&自分で設定する必要あり。
270:名無しさん@お腹いっぱい。
10/05/02 00:04:12
Webシールド付いてるソフトがGumblar対策には有利?
271:名無しさん@お腹いっぱい。
10/05/02 00:36:39
報告してくれる猛者の感染URLを確認しているが、何気にアクセスする可能性は皆無だな。
272:名無しさん@お腹いっぱい。
10/05/02 01:30:16
>>270
あるに越したことはないが、どうせ>>2がきっちりできていれば攻撃は空振りになるので
有利なんて言えるほどの価値はない。
273:名無しさん@お腹いっぱい。
10/05/02 02:08:56
近くにあるネカフェ探してて
URLリンク(www)●freaks.ne●jp/honten/index●shtml
を見てたらEssentialsが反応してたんだけど
感染してる?
274:名無しさん@お腹いっぱい。
10/05/02 02:17:57
js/jump●jsが引っかかった。
275:名無しさん@お腹いっぱい。
10/05/02 02:18:13
>>273
gredによるとGumblar Generic (GJS055)
danさんとこで見たけどわからんかった
276:名無しさん@お腹いっぱい。
10/05/02 02:20:07
>>274
なるほど。わかったthx
5行追加されててこれは相当やばいな
Last-Modified: Sat, 24 Oct 2009 02:01:08 GMT
277:名無しさん@お腹いっぱい。
10/05/02 03:09:29
今更ですけど honten/js/index●js にも仕込まれてますね
無差別爆撃からjsファイル狙い撃ちに切り替えたのかな
278:名無しさん@お腹いっぱい。
10/05/02 13:02:55
san●ron5●com/gbl/
ampmda●com
harappa-h●org/AtoZ
279:名無しさん@お腹いっぱい。
10/05/02 13:10:28
www●komaike●com/drink/
280:名無しさん@お腹いっぱい。
10/05/02 14:23:29
>>278279
これaguseで検出しないのにavastはガンブラー認定する
どっちが正しいのか
281:名無しさん@お腹いっぱい。
10/05/02 14:39:05
>>280
そういうときは黒の結果を信用すべきでしょ
黒だと思ってりゃそれが間違っててもHP見れないだけだが
白だと思って実は黒でしたなんて事になったら目も当てられない
aguseはカスペだったと思うけどVTのカスペがバージョン古い事考えると
aguseも旧バージョンなんじゃね?と妄想
282:名無しさん@お腹いっぱい。
10/05/02 14:47:14
>>280
全部黒だよ
283:名無しさん@お腹いっぱい。
10/05/02 14:58:31
>>280
aguseはスルー多い
最近のはほとんどスルーされる
284:名無しさん@お腹いっぱい。
10/05/02 14:58:46
よくわかんないけど、278と279、カスペ反応したよ。
285:名無しさん@お腹いっぱい。
10/05/02 18:50:19
www●niaufuku●com/sense_up/
286:名無しさん@お腹いっぱい。
10/05/02 19:08:34
www●kaizenya●net
ここも放置ですね
287:名無しさん@お腹いっぱい。
10/05/02 20:22:50
www●sakiko●jp
288:名無しさん@お腹いっぱい。
10/05/03 11:31:31
>>283
Gumblar/8080 Checker
URLリンク(ec2-204-236-148-61.us-west-1.compute.amazonaws.com)
ここは最近のやつにも強いかな?
289:名無しさん@お腹いっぱい。
10/05/03 12:18:58
>>288
ampmda●com
URLリンク(rd.or.tp)
URLリンク(www.virustotal.com)
判断はお任せします
290:名無しさん@お腹いっぱい。
10/05/03 12:25:46
ていうか色々試してみたらいいんじゃない?
検出できないやつを引っ張ってきただけで新型かどうか俺わかんないし
10社以上が検出してるやつでもそこでは引っかからないかもしんない
291:名無しさん@お腹いっぱい。
10/05/03 12:31:42
YouTube - がんばらんば
URLリンク(www.youtube.com)
292:名無しさん@お腹いっぱい。
10/05/03 12:39:04
>>289
(”http5GIu”.substr(0,4)+”://w”+”ebguRx2”.substr(0,4)+”idet”+”v●in”+”fo:”))
↓
-> http://webguidetv●info:
62●67●246●113
293:名無しさん@お腹いっぱい。
10/05/03 16:07:32
>>288
どれも過信は禁物
一般ユーザーは>>2をやっとけばいい
294:名無しさん@お腹いっぱい。
10/05/03 17:22:39
気になることがあるのですが
ググるだけで感染することはありえるのですか
295:名無しさん@お腹いっぱい。
10/05/03 17:31:21
Googleが感染なんてことになればそうなるだろう
296:名無しさん@お腹いっぱい。
10/05/03 17:41:12
avastが反応することはあるんじゃね?
297:名無しさん@お腹いっぱい。
10/05/03 17:49:55
それはリンクの先読みしてるからだ
298:名無しさん@お腹いっぱい。
10/05/03 17:50:05
リンク先読みな
あと右クリックしてリンクをブックマークとか名前を付けて保存とか間違って選択しただけでもヤバイ
履歴に残ってるから何らかのアクセスはしてる
299:名無しさん@お腹いっぱい。
10/05/03 18:02:09
なぜここまで被害が広がったのか
なぜ未だに被害がおさまらないのか
300:名無しさん@お腹いっぱい。
10/05/03 18:15:40
Gamblerが多いのさ
301:名無しさん@お腹いっぱい。
10/05/03 19:52:39
サイト管理者はいつまで冷汗を流せばいいのやら
302:名無しさん@お腹いっぱい。
10/05/03 20:02:42
ちゃんと対策してれば大丈夫なのに冷や汗も何もなくね
303:名無しさん@お腹いっぱい。
10/05/03 20:09:58
>>2の対策はしたがIEとかウェブブラウザのJavaScriptも切っておいた方がいい?
YouTube等利用する時には面倒だけど
304:名無しさん@お腹いっぱい。
10/05/03 20:25:55
動画を見る人が全てのサイトでオフにするのは現実的じゃないね
ドメインによって判断するタイプでも本人が判断できなければ意味がないしなあ
305:名無しさん@お腹いっぱい。
10/05/03 20:28:20
オンで問題ないよ
306:名無しさん@お腹いっぱい。
10/05/03 20:42:21
>>303
良いか悪いかで言えば「良い」ではある
利便性を断てば断つほど安全性が上がるのは間違いないし
307:名無しさん@お腹いっぱい。
10/05/03 21:50:54
え。>>2の対策してたらJavaScript切らなくても良いの?
ダメなんかと思って、ようつべとか、わざわざその時だけオンにしてたのに
308:名無しさん@お腹いっぱい。
10/05/03 22:08:10
切ってればいいじゃん
変に重いブログパーツとか広告とか読みこまなくても済むんだし
309:名無しさん@お腹いっぱい。
10/05/03 22:12:05
FirefoxでNoscript入れて使えばいいじゃん
310:名無しさん@お腹いっぱい。
10/05/03 22:12:48
昔は基本スクリプトOFFで必要なサイトだけONになるように登録しておくという使い方で
スクリプト必須なサイトなんか余り無かったから余裕だったんだけど
今はスクリプト一切使ってないサイトの方が少ないくらいだからな
311:Undetect
10/05/03 23:10:44
スクリプト切ってても駄目なときは駄目なんだなこれが
そういう手立てを考えてきてるしね
312:名無しさん@お腹いっぱい。
10/05/03 23:11:50
URLリンク(pachi-navi)●biz/blog/
313:名無しさん@お腹いっぱい。
10/05/03 23:15:29
スクリプトOFFでも感染するタイプのものもあるからね
スクリプト切るのは気休め程度にはなる
314:名無しさん@お腹いっぱい。
10/05/04 00:27:03
>>312
found:Trojan-Downloader.JS.Pegel.e
try{window.onload=function()…
315:名無しさん@お腹いっぱい。
10/05/04 02:12:34
>>2以上の対策は本当に自己満足や趣味の領域だからなあ。
316:名無しさん@お腹いっぱい。
10/05/04 11:41:06
>>309
request policy
317:名無しさん@お腹いっぱい。
10/05/04 11:53:40
今時ブラウザのJavaScriptをオフるなんてこといってる馬鹿がいるのはここか
318:名無しさん@お腹いっぱい。
10/05/04 11:56:44
じゃあ>>4のテンプレはなんなんだ……
319:名無しさん@お腹いっぱい。
10/05/04 12:02:44
対策してあればそんなことするのは不要って書いてあるじゃん
320:名無しさん@お腹いっぱい。
10/05/04 12:11:01
荒れる元だから、テンプレからJavaScript関係は外すべきだという意見もあったんだけどな。
結局は当時スレ立てした奴がどうしても入れたがって今の形に落ち着いちゃった。
321:名無しさん@お腹いっぱい。
10/05/04 13:00:50
>>319
不要なら>>4入れる必要すらないじゃん
まぁスレ建てた奴が必要だ必要だとゴネたんだろうか
322:名無しさん@お腹いっぱい。
10/05/04 13:24:43
2の対策してなかったら、切った方が良い?
323:名無しさん@お腹いっぱい。
10/05/04 13:31:41
対策しろよw
324:名無しさん@お腹いっぱい。
10/05/04 13:31:46
どうにかして2の対策をしろ
325:名無しさん@お腹いっぱい。
10/05/04 13:35:50
JAVAとJAVAスクリプトの違いがわかってない人もいるらしいからなあ
326:名無しさん@お腹いっぱい。
10/05/04 13:51:18
JAVAと全部大文字で書く奴もいるしな
327:名無しさん@お腹いっぱい。
10/05/04 13:59:11
Cokeと書いてコーラと読むしな
328:名無しさん@お腹いっぱい。
10/05/04 14:10:32
>>321
ゴネたね。
放っとけばNoScriptみたいな特定拡張をテンプレに入れるのが確実なところを
他の奴が説得して、当たり障りのない>>4まで後退させた感じ。
329:名無しさん@お腹いっぱい。
10/05/04 14:16:41
なぜかIEを執拗に推すやつがごねたんだよな
330:名無しさん@お腹いっぱい。
10/05/04 14:28:24
というか、この現行スレを立てた奴も早漏だったんだよな。
前スレの残り50レスぐらいでテンプレの見直し案を話し合えばよかったのにさ。
331:名無しさん@お腹いっぱい。
10/05/04 15:53:13
確か950どころか900を超えた瞬間に立ったんだよな
332:名無しさん@お腹いっぱい。
10/05/04 16:08:34
そもそも>>2の対策してればガンブラーは無力とか言ってる奴は0dayという言葉を知っているのだろうか
333:名無しさん@お腹いっぱい。
10/05/04 16:11:04
>>332
今のところ大丈夫ってだけで無力とはだれもいってないんじゃね
334:名無しさん@お腹いっぱい。
10/05/04 16:27:29
得られる安心感よりも失う利便性の方が勝るような対策をテンプレで勧めるなってこと。
現状でのJavaScript切りは掛け捨てが確実な保険みたいな物なんだからさ。
335:名無しさん@お腹いっぱい。
10/05/04 17:15:21
>>332
今出てるものに対して無力ならそれで十分だろ
これから出る亜種にも完璧です、が成立するんならgumblerに限らず
どのウイルスも感染する騒ぎになんてならないと思うんだが
336:コテハン
10/05/04 18:40:41
久しぶりに掘ってみた
【陥落サイトのURL悪用厳禁】
www●seibidou●jp/ ←中途半端な修正
※products/information_sign/index●htmlとか
www●terralab●net/
bishoujyo●net/
rnacity●com/
■Gumblarっぽいの
www16●tok2●com/home/sawaiwan/part11/information4●html
337:コテハン1
10/05/04 19:11:56
追加
www.hipparidako.net/index.html
338:名無しさん@お腹いっぱい。
10/05/04 19:34:59
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
339:八頭 ◆YAGApwSaEw
10/05/04 19:53:29
いつも貰ってばかりでなんか悪いのでw
Google危険警告ページ
www●444wg●com/
wofxx●com/dnf/105.html
wofxx●com/dnf/106.html
www●dvdktv.com/list.asp?ProdId=0014
340:名無しさん@お腹いっぱい。
10/05/05 01:50:23
毎日このスレ見てるがGENOを最後にユーザーが多いサイトは改ざんにあってないようだね
そもそもGENOも尼や楽天に比べればユーザー数は大した事ないだろうし
URL見てもどうでもいいような個人HPばっかのようだし
341:名無しさん@お腹いっぱい。
10/05/05 02:08:17
> 毎日このスレ見てるがGENOを最後にユーザーが多いサイトは改ざんにあってないようだね
ニュースは見てないのか?
342:名無しさん@お腹いっぱい。
10/05/05 02:08:44
水掛け論になってないか?
目指せ「サルでも判るガンブラー対策」…今更すぎるorz
>>336
www16●tok2●com/home/sawaiwan/part11/information4●html :Gumblar Generic (GJS005)
ここもですね
www●mayabeya●com/mm/mail_magazine●html :Gumblar Generic (GJS003)
>>337
www●hipparidako●net/index●html :8080 Injection (GJS092)
>>339
この類のサイトは放置でも構わない気がしないでもないw
343:名無しさん@お腹いっぱい。
10/05/05 02:11:10
>>340
おまえはなにをいってるんだ
344:名無しさん@お腹いっぱい。
10/05/05 05:13:47
>>341>>343
なんかGENO以外に大事件あったっけ
あーJR束は改ざんされたか
345:名無しさん@お腹いっぱい。
10/05/05 06:13:22
URLリンク(www.so-net.ne.jp)
セキュリティ関連ニュースを過去ログ含めて読んでみるといい
346:名無しさん@お腹いっぱい。
10/05/05 12:29:57
nameps●net/4/2
347:名無しさん@お腹いっぱい。
10/05/05 13:21:59
Gumblarって感染の話ばかりで、どんな発症・被害を与えるのかその中身の話はされないな
348:名無しさん@お腹いっぱい。
10/05/05 13:40:01
それはひょっとしてギャグで言っているのか?
349:名無しさん@お腹いっぱい。
10/05/05 13:45:20
君こそギャグで言ってるのか?
350:名無しさん@お腹いっぱい。
10/05/05 13:51:01
俺がギャグだ
351:名無しさん@お腹いっぱい。
10/05/05 14:33:26
URLリンク(ampmda)●com/?up/download/file/1953752846●zip●html
踏んじまったけどavast反応しねー
352:名無しさん@お腹いっぱい。
10/05/05 14:41:31
>>344
三井住友VISAも改ざんされなかったっけ?
一応プレスリリースで報告出したけど、対応が最低だった
353:名無しさん@お腹いっぱい。
10/05/05 15:14:13
>>352
見てみたけど確かに最低だな
委託会社の責任とはいえ個人情報やクレカ番号流出させといて
保証のほの字も書いてないんじゃなあ…
354:名無しさん@お腹いっぱい。
10/05/05 15:54:22
TOPページの情報からはさっさと消してるしな>三井住友VISA
355:名無しさん@お腹いっぱい。
10/05/05 16:00:13
>>351
>>278だな
gredスルー
aguseスルーだが8080を拾って赤文字表示
そのドメインでぐぐったら必死チェッカーがひっかかった
同一人物が連日貼っているようだね
hissi.org/read.php/news/20100504/SjJBaCtkNVc.html
hissi.org/read.php/news/20100503/RVVtUUl6SWM.html
356:名無しさん@お腹いっぱい。
10/05/05 17:00:16
この問題って
何でTVや新聞で大きく取り上げられないの?
357:名無しさん@お腹いっぱい。
10/05/05 17:09:49
新聞、TVが取り上げてもメリットがないから
三井住友だと自分に出資してるところだったりして
自分の首を絞めることになるから
358:名無しさん@お腹いっぱい。
10/05/05 17:13:01
>>357
サンクス
359:名無しさん@お腹いっぱい。
10/05/05 17:13:37
それなら、GENO以下じゃなかいか
360:名無しさん@お腹いっぱい。
10/05/05 18:48:20
>>356
多少ニュースにはなったけど説明めんどくさくて省略されがち
NHKニュースでわりとまともに扱ってくれたことはあったけど視聴者は思考停止が大半だろうな
361:名無しさん@お腹いっぱい。
10/05/05 18:49:58
Gumblarに感染そして発症→
→サイト管理のIDとPasswordを盗まれる→
→それを使用されサーバ自体から情報が盗まれる、ついでにサイト改竄(ウイルスを仕込む)→
→そのサイトの訪問者にGumblar感染、感染先でまたIDとPasswordが盗まれる→あとは繰り返し
でも不思議なのはサービス提供する企業とかのサーバなのに、なんでそれ使ってネットサーフィンなんかやってんの?
それともアクセスされるだけで感染するわけか
それとゼロデイ攻撃の段階では仕方ないとしても、それ以降はアプデしておくだけで防げたんでそ
なんで企業レベル行政レベルがこんなものに感染し続けたのか
362:名無しさん@お腹いっぱい。
10/05/05 19:17:05
>>361
企業はパッチの安全性や安定性が確認されるまでパッチを導入しないことがほとんど
理由はパッチの適用でシステムが不安定になる可能性がゼロじゃないから
ゼロデイ修正パッチとかは配布元的には配布と同時に適用してもらいたいはずだが
確認が終わるまで導入が見送られるため攻撃に晒されてしまうことがある
363:名無しさん@お腹いっぱい。
10/05/05 19:34:45
>>361
いろいろ勘違いしてるようだけど
サーバ自身でネットサーフィンとかしてるわけじゃないし
感染してるのはサイト管理PCであってサーバじゃない
おそらく話の半分くらいしか理解できてないよね
> それともアクセスされるだけで感染するわけか
アクセスされるだけで感染するのはそのサイトを閲覧したPCであってサーバーじゃない
感染し続けてる理由はサイト管理者のセキュリティ意識が低いからってだけだよ
閲覧してるPCが感染し続けるのは>>362もあるけど
それは企業のサイト改ざんにはあまり結びつかない
364:名無しさん@お腹いっぱい。
10/05/05 19:35:27
>>363補足
サイト管理PCもしくはサイト管理PCと同じネットワーク内にあるPCだ
365:名無しさん@お腹いっぱい。
10/05/05 20:27:34
>>362
聞き覚えある、そういう要素あったね
>>363
なるほどそっかー
サーバでネットサーフィンとか、言われると自分で読んでても確かに痛い誤解
>閲覧してるPCが感染し続けるのは>>362もあるけど
>それは企業のサイト改ざんにはあまり結びつかない
これは>>362は組織・団体レベルのサイト管理者はこれが言い訳にはならないってこと?
ここも合わせて読んで9割は理解できたと思う
URLリンク(www.atmarkit.co.jp)
でもFTPのIDとPasswordを盗られる以外の被害ってあんま語られないね
そのうち暴露系と組み合わさったものが出てくるのかもしれんね
またとんちんかんだったらゴメン笑
366:名無しさん@お腹いっぱい。
10/05/05 20:48:18
>>365
一般ユーザーが多い企業、部署や実際に運用してる基幹系サーバーじゃパッチあてに
慎重なとこもあるけどサイト管理してるとこでそれはありえないでしょ
単に意識が希薄だったとしかいえない
しかも大きめの企業サイトなら管理してるのはシロウトじゃなくプロ
「同一ネットワーク内」の感染があるとしてもプロがやるミスとしてはありえないレベル
> でもFTPのIDとPasswordを盗られる以外の被害ってあんま語られないね
これはいろいろ出てるんだけど適当にまとまったソースはないかもしれない
so-netのセキュリティ通信とかLACあたりにあったかなー
ユーザーにも見える範囲だと偽セキュリティソフトのインストール、
見えないとこだとどっかのサイト攻撃とか
偽セキュリティソフトのインストールはケイダッシュが感染したときの被害者報告でも確認できた
暴露系はP2Pで目的が違うから別です
367:名無しさん@お腹いっぱい。
10/05/05 21:08:21
>>366
暴露系ってP2Pを超えて被害を出したんじゃなかったっけ、山田オルタナティブ、Kenzeroとか
まあスクショ取ってバラ撒くくらいのものがGunblarでもありうるかと思った
いろいろ勉強してくる、ありがとう!
368:名無しさん@お腹いっぱい。
10/05/05 21:16:13
>>366補足
肝心なこと忘れてた
そもそもまともなサイト管理会社ならFTPなんか使わない
>>367
日本のウイルスはイタズラ目的
こういうのはビジネス目的だから違うんだよ
369:名無しさん@お腹いっぱい。
10/05/05 22:35:53
これって感染すると自分のブログも改竄されちゃうの?
元々非公開設定だから改竄されても他人には迷惑かけないとは思うんだけど……
370:名無しさん@お腹いっぱい。
10/05/05 22:46:44
>>355
VIPとかの画像スレとかで見たなそれ
レスに対して不自然な単発レスとか付いてたし
「面白いなこのサイト」とかあったから自演を駆使して踏ませようと必死になってるっぽいw
371:名無しさん@お腹いっぱい。
10/05/05 23:14:15
>>369
FTPサーバ上で提供されるサイトやブログがGumblarに感染して、そうして管理IDとPassを盗られて、それを使って改竄をするんじゃない
だからそのブログを改竄しようと思えばやれるんだけど、そのブログにそんなことする価値があるのかで変わってくるんじゃないのかね
372:名無しさん@お腹いっぱい。
10/05/05 23:27:38
>>371
改竄する価値は無いと思うw
自分のPCが感染してたら
クリーンインストールしてブログのパスワードも変えなきゃいけないのかあと思って
373:名無しさん@お腹いっぱい。
10/05/05 23:36:37
ampmda.comって奴は8080系だからリモートポート8080番塞いでれば無効化できるって認識でいいの?
374:名無しさん@お腹いっぱい。
10/05/05 23:37:40
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
375:名無しさん@お腹いっぱい。
10/05/05 23:40:15
ブログやSNS、HPもやってない俺は>>2以外に何をすればいいのだろう
376:371
10/05/05 23:48:12
>FTPサーバ上で提供されるサイトやブログがGumblarに感染して、
これ違ったか、個々のクライアントPCが感染するんだ、そしてFTPサーバ上で提供されるサイト開設やブログ開設サービスを使ってる場合にその管理者IDとPassを盗られる
だから、公開してないんだから大丈夫だと思ったけど上記の理由で大丈夫じゃない
それに管理者IDとPass盗られて改竄できるってことは、ただ閲覧されたりもするってことで
犯人たちの目的と興味次第ってことだと
377:名無しさん@お腹いっぱい。
10/05/05 23:52:10
>>372
日本語わからんからそういうの関係ないよ
軒並み改ざんされるだけ
ブログの場合はFTPじゃないとおもうんでまた別だろうけど
感染していた場合はそのPCで犯罪行為の手伝いをさせられるんでクリーンインストール推奨です
378:名無しさん@お腹いっぱい。
10/05/05 23:55:15
botnetwork使ってFTPにアップロード命令させてるんなら
blogまではいちいち改ざんしないとは思うけど
まぁ、過信は禁物だね
379:369
10/05/06 00:03:12
クリーンインストールやって、>>2をしっかりやったあとで、ブログのパスワードも変える
これが一番確かなんですよね
アドバイスくれた方々どうもです
>>2は以前からやってたけど
そもそも自分のブログは改竄される可能性があるのかどうかが気になって
ちょっと気持ち悪かったので質問させてもらいました
380:名無しさん@お腹いっぱい。
10/05/06 00:13:49
つーか被害の広がり方を見ると
意識の低さが浮き彫りになってるな
381:名無しさん@お腹いっぱい。
10/05/06 00:19:09
>>2には「使わないならインストールするな」と書き加えるべきだな
382:名無しさん@お腹いっぱい。
10/05/06 01:06:16
ブログは、直接htmlファイルをいじる訳じゃないし
タグを記述する場合もテキストボックス上で行うから
PCが感染してても問題ないように思うけど
383:名無しさん@お腹いっぱい。
10/05/06 01:27:55
■8080系の対策について
>>2をやっておけば「現時点では」感染しない。
※Adobe ReaderやJavaは必要無いならアンインストールを推奨
【参照】
サイト改ざん猛威:ウイルス感染を100%防げる「ソフトウェアの更新」を
URLリンク(www.so-net.ne.jp)
オラクル、JREの最新版「6 Update 20」公開~早急に更新しないと危険
URLリンク(www.so-net.ne.jp)
■以下は「自己満足」の世界(過剰防衛が好きな人向け)
・ブラウザのJavaScriptを切る(JavaScriptベースのDbd全般に有効)
・*:8080/*を含むURLをブロック(対8080系限定)
・8080番ポートを閉じる(対8080系限定/但し非推奨)
384:名無しさん@お腹いっぱい。
10/05/06 01:40:05
危険ポートを閉じることでセキュリティを強化する。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
ポート135 445
URLリンク(www.google.com)
385:名無しさん@お腹いっぱい。
10/05/06 02:51:57
>>384
ポート135を閉じる(RPC停止する)と問題発生することが多いと書いてあったが
>そこで,Windows XPが備えているパーソナル・ファイアウォールやセキュリティ対策ソフトに付いているクライアントPC用のファイアウォール機能で
>危険なポートを閉じれば,感染予防としてはさらに効果があります。しかし,既存システムへ与える影響は大きくなります。
>例えば,各PCでTCP/UDP135番を閉じてしまうと,RPCを用いたシステムやActive Directoryが拠点内でも利用できなくなります。
>また,TCP/UDP139番や445番を閉じると,ファイルやプリンタの共有さえできなくなります。
まあ、やるなら自己責任でってことで
386:385
10/05/06 02:53:33
ごめん、sageるの忘れてた
387:名無しさん@お腹いっぱい。
10/05/06 02:59:50
135はファイアウォールで閉じるのが常識だな
139や445はLANを組んでなかったら閉じても問題ない
388:名無しさん@お腹いっぱい。
10/05/06 03:04:41
ルータのファイアウォールの初期設定は0~1023のポートは閉じてるのが多いんじゃなかったっけ
外部からのアクセスのみだけど
389:名無しさん@お腹いっぱい。
10/05/06 03:08:04
ステートフルインスペクションだね
390:名無しさん@お腹いっぱい。
10/05/06 03:10:32
ステートフルインスペクション はガンブラーには無力だし
391:名無しさん@お腹いっぱい。
10/05/06 03:19:34
>>384にて135ポートを閉じると
OSの再インストールをするはめになる
回避策はあるがド素人はやめとけ
392:名無しさん@お腹いっぱい。
10/05/06 09:18:51
135、445、8080はsymantecのポートスキャンで「ステルス」になっていればいいんじゃないか?
393:名無しさん@お腹いっぱい。
10/05/06 10:13:00
ステルスってポートスキャンに対して反応返さない=空いてるかどうかわからないってだけで閉じてるわけじゃないのでは
シマンテックのスキャン使ったことないからわからないけど
今確認したら俺はポート135,445は受信ストリームはTCP/UDPとも俺は手持ちのカスペがデフォで閉じていた
8080は一応自分でTCP/UDPともリモートポートは閉じてみた
394:名無しさん@お腹いっぱい。
10/05/06 12:47:46
福本先生確認
395:394
10/05/06 12:48:36
誤爆しますた(´・ω・`)
396:名無しさん@お腹いっぱい。
10/05/06 12:54:03
絶対に許さない
397:名無しさん@お腹いっぱい。
10/05/06 13:07:56
絶対にだ
398:名無しさん@お腹いっぱい。
10/05/06 13:13:35
絶対ニダ
399:名無しさん@お腹いっぱい。
10/05/06 13:16:33
謝罪と賠償を求めるニダ
400:名無しさん@お腹いっぱい。
10/05/06 13:34:50
レイシストうざ
401:名無しさん@お腹いっぱい。
10/05/06 13:39:47
半島へ返れ
402:名無しさん@お腹いっぱい。
10/05/06 13:44:37
何言ってんだこのバカ
403:名無しさん@お腹いっぱい。
10/05/06 13:59:12
>>384
サービスを止めるのと、ポートを閉じるのは違うぞ。
サービス止めればOSに問題が起きるだろ。
404:385
10/05/06 16:10:17
>Gumblar.x #
>Gumblar.xの改ざんコードは日本のIPアドレスからのアクセスを弾く!?
URLリンク(www)●securelist●com/en/blog/2132/Gumblar_Farewell_Japan
↑これってGumblar.Xに関しては終息するってこと?
405:名無しさん@お腹いっぱい。
10/05/06 16:45:49
希望的観測はしない方がいい
406:名無しさん@お腹いっぱい。
10/05/06 17:00:33
だな
仮に今弾いてるとしても一時的なものと思ってた方がいい
407:名無しさん@お腹いっぱい。
10/05/06 17:23:32
FFFTPなんて日本人しか使ってないようなソフトを狙ってるんだから
Gumblarの大元の作者は日本への攻撃を念頭に置いてるだろうしな
408:名無しさん@お腹いっぱい。
10/05/06 17:29:59
日本の奴はアホみたいにかかるからな
409:名無しさん@お腹いっぱい。
10/05/06 17:34:47
「るーたーがあるからだいじょうぶ」「さわぎすぎだろ」
老害の思考はこんなもんです
そして「自分だけは大丈夫」と思ってる奴がかかってサイト持ちがまたバラ撒く悪循環
410:名無しさん@お腹いっぱい。
10/05/06 17:56:06
「自分だけは大丈夫」とか「ヘンなとこ見ないから俺には関係ない」とかホントにいるからなあ
そのくせ対策はセキュソフト任せでWindowsUpdateやってればマシな部類という…
411:名無しさん@お腹いっぱい。
10/05/06 18:03:12
OSアプデしててアンチウイルスきちんと使ってて、それ以上なにしろってんだ
PCにどこまでも人生の時間使ってられるかよ
412:名無しさん@お腹いっぱい。
10/05/06 18:10:45
>>411
本来それが理想なんだがな
413:名無しさん@お腹いっぱい。
10/05/06 18:29:43
クラウドコンピューティングが発達して行くと個人レベルではウイルス対策から開放される
これは間違いか?
414:名無しさん@お腹いっぱい。
10/05/06 18:31:29
評論家ごっこは他所でやれよ
415:名無しさん@お腹いっぱい。
10/05/06 18:31:50
ぺぺぺ^_^
416:名無しさん@お腹いっぱい。
10/05/06 18:32:08
pdfリーダーとflashplayerとjavaはアンインスコ推奨の方がいいと思う
今は大丈夫でも対策されるのは時間の問題だろうし
少なくとも、わざわざこんな板まで来るくらいに危機意識持ってるならアンインスコ必須かと
417:名無しさん@お腹いっぱい。
10/05/06 18:34:46
>>415
なんだあ、ぺぺぺって
わかりにくい反応すんなw
418:名無しさん@お腹いっぱい。
10/05/06 18:37:06
>>416
( ゚,_ゝ゚)バカジャネーノ
419:名無しさん@お腹いっぱい。
10/05/06 18:38:44
>>416
JavaScriptも切っておけよ、極論厨
420:名無しさん@お腹いっぱい。
10/05/06 18:40:11
>>416
動画見れないとかなるとPC使う理由が半分はなくなる
エロだけのこと言ってんじゃないよ?
Flashplayer使えないとかネットしててもおもしろくないよ
421:名無しさん@お腹いっぱい。
10/05/06 18:40:15
>>419
それは普通に切るだろ
422:名無しさん@お腹いっぱい。
10/05/06 18:40:46
>>416
PDFリーダーとJavaはともかくFlash Playerアンインスコは非現実的でしょ
423:名無しさん@お腹いっぱい。
10/05/06 18:52:29
ブラウザの中にはFlashplayerを簡単にその場その場でON/OFFできるものがある
そういうものを使えば両者対立せずに済む
終了
424:名無しさん@お腹いっぱい。
10/05/06 19:44:09
>>423
で、OFFにしておいたまま放置してバージョンが古くなったFlashPlayerの
脆弱性をつつかれて感染ですね
わかります
425:名無しさん@お腹いっぱい。
10/05/06 19:53:56
Gumblarかかる層なんて、そもそもブラウザIEしかしらないのがほとんどだし
ON/OFF切り替えなんて発想無いぞ?
426:名無しさん@お腹いっぱい。
10/05/06 19:56:46
仮想環境にすればいい
427:名無しさん@お腹いっぱい。
10/05/06 21:56:37
ブラウザをアンインストールすれば解決
428:名無しさん@お腹いっぱい。
10/05/06 22:16:50
全人類が秘密を共有すれば解決
429:名無しさん@お腹いっぱい。
10/05/06 22:43:21
Gumblarかかる層なんてOSはWindowsしかしらないし
430:名無しさん@お腹いっぱい。
10/05/06 22:52:36
それ以前にガンブラーがどんなものか知らないに10モリタポ
431:名無しさん@お腹いっぱい。
10/05/06 22:55:11
すげえ低レベルになったな
432:名無しさん@お腹いっぱい。
10/05/06 23:00:09
へぇ
レベル高かったことって
あったっけ
433:名無しさん@お腹いっぱい。
10/05/06 23:01:26
ガンブラーのAAが初めてはられたときのみレベルが高かった
それ以外は糞
434:名無しさん@お腹いっぱい。
10/05/06 23:44:22
>>420
動画は落としてから見ればいいんじゃないか?
435:名無しさん@お腹いっぱい。
10/05/06 23:44:26
ガンブラーとガンプラの違いがわからないに1狐ぽ
436:名無しさん@お腹いっぱい。
10/05/06 23:59:40
違法な行為にならないか, よく調べて実行するように
URLリンク(www39.atwiki.jp)
437:名無しさん@お腹いっぱい。
10/05/07 00:31:55
Webブラウザ仮想化しておけば無問題じゃねーの
なんならOS毎仮想化しとけ
438:名無しさん@お腹いっぱい。
10/05/07 01:25:58
Gumblarかかる層の人間の話してるのに、なんで仮想化なんてキーワードが出てくるんだろう
奴等にできるわけねーだろ
439:名無しさん@お腹いっぱい。
10/05/07 02:50:45
荒れすぎワロタ
440:名無しさん@お腹いっぱい。
10/05/07 13:13:31
www●ems-kankyo●co●jp
441:名無しさん@お腹いっぱい。
10/05/07 13:29:45
てすt
442:コテハン ◆8080adndqg
10/05/07 14:16:53
www●hd-cre●com/bj-fh ←なんだこれ?
newegg-com●paypal●com●renren-com●wayoutmall●ru:8080/・・・以下略
<?eval(base64_decode("Cm1i・・・
あふぃ・・・なのか?
443:名無しさん@お腹いっぱい。
10/05/07 14:39:16
>>442
憶測は書くな。
444:名無しさん@お腹いっぱい。
10/05/07 17:24:20
それはそうとflash playerは10.0.45.2からしばらく更新が無いね
445:コテハン ◆8080adndqg
10/05/07 18:00:22
>>443 [・皿・;]
--
【陥落サイトのURL悪用厳禁】
blog●ceed●jp/ ←サイト内全滅w(.jsも)
myako●net/ ←中途半端な修正
※java2/imgkotei●js
www●hds-x●com/ ←Refresh
↓
www●hds-x●com/top●html ←Gumblarがw
doujinnews●jp
446:名無しさん@お腹いっぱい。
10/05/07 18:20:53
>>445
一番下のドメインがこわい
447:名無しさん@お腹いっぱい。
10/05/07 18:21:23
気になるのだが
そのサイトのトップにはgumblerがあったとしても
そのサイトのトップ以外のページ(コラムとか他サイトへのリンクページとか)にはgumblerが無く
そこを見る分には大丈夫という場合はあるのか
まあ、>>2の対策をしていてもわざわざそんなページを見に行く物好きもそういないとおもうけど
448:名無しさん@お腹いっぱい。
10/05/07 18:22:10
>>444
そろそろまた新しいゼロデイが発生する頃だよな…
来月か再来月くらいのWindowsUpdateの前後に更新されると予想
449:名無しさん@お腹いっぱい。
10/05/07 18:23:10
>>447
あるけどいつ埋め込まれるかわからんしおすすめはしない
450:名無しさん@お腹いっぱい。
10/05/07 18:36:05
doujinnewsのとこ一番下だけじゃなく一番上にもあるのか
初めて見たけどいままで気付かなかっただけかな
451:名無しさん@お腹いっぱい。
10/05/07 18:57:55
adobeのセキュリティ意識の低さはもう完全に露呈されたんだから
flashplayerの代替品をMS辺りが用意してくれよ
452:名無しさん@お腹いっぱい。
10/05/07 19:20:07
>>451
F-Secureブログで、F-Secureで開発するかもって言ってた
453:名無しさん@お腹いっぱい。
10/05/07 19:20:48
>>451
つsilver light
454:名無しさん@お腹いっぱい。
10/05/07 20:25:13
>>451
どう間違ったらそこでMSなんだよ
455:名無しさん@お腹いっぱい。
10/05/07 20:57:52
>>453
silver lightは代替手段としてはありだと思うが
今の半分くらいまで負荷を下げてくれないと低スペPCがつらい
あとグラボの再生支援への対応
456:名無しさん@お腹いっぱい。
10/05/07 21:02:25
×silver light
○Silverlight
457:名無しさん@お腹いっぱい。
10/05/07 21:28:43
HTML5でいいじゃん
458:名無しさん@お腹いっぱい。
10/05/07 21:38:23
現時点ではHTML5用のリッチコンテンツを簡単に作るようなツールがないからなあ…
459:名無しさん@お腹いっぱい。
10/05/07 22:08:32
codec決まってないべ
460:名無しさん@お腹いっぱい。
10/05/07 22:23:10
IE9ではH.264のみらしいけど
461:コテハン ◆8080adndqg
10/05/07 23:37:20
doujinnews●jp 検索結果 約 7,730 件
www●google●co●jp/search?q=site%3Adoujinnews●jp&btnG=%E6%A4%9C%E7%B4%A2&hl=ja&lr=&sa=2
\(^o^)/オワタ
462:名無しさん@お腹いっぱい。
10/05/08 00:23:21
ガンブラー攻撃が常態化、トレンドマイクロ、4月のウイルス感染・報告ランキング(japan.internet.com)
URLリンク(headlines.yahoo.co.jp)
Yahooトップ
463:名無しさん@お腹いっぱい。
10/05/08 00:33:51
>>461
なんか気のせいか物凄まじくやばいような。
464:名無しさん@お腹いっぱい。
10/05/08 00:34:24
さっきMSEでTrojanDownloader:JS/Psyme.genが検出されたがGumblar?
465:名無しさん@お腹いっぱい。
10/05/08 00:34:37
俺もついに感染したようだ。このスレのアドレス開いてから
すぐにブルースクリーンになったりで調子が悪い
466:名無しさん@お腹いっぱい。
10/05/08 00:41:40
>>465
Kaspersky File Scanner オンラインウイルススキャン
URLリンク(blog.ceed.jp)
これで検出されなければ感染してないよ
467:名無しさん@お腹いっぱい。
10/05/08 00:48:06
>>465
Online Scanner
URLリンク(www.f-secure.com)
468:名無しさん@お腹いっぱい。
10/05/08 00:57:17
>>466-467
乙。
469:名無しさん@お腹いっぱい。
10/05/08 01:01:20
>>466-467ってKasperskyやF-secure以外のアンチウイルスソフト使っててもスキャン出来るの?
470:名無しさん@お腹いっぱい。
10/05/08 01:06:01
>>469
は?
471:名無しさん@お腹いっぱい。
10/05/08 01:08:24
>>470
あれ 競合しないのか
472:名無しさん@お腹いっぱい。
10/05/08 01:08:31
オンラインスキャンがなんたるかをよく理解してないらしい
473:名無しさん@お腹いっぱい。
10/05/08 01:08:37
>オンラインウイルススキャン
>Online Scanner
474:名無しさん@お腹いっぱい。
10/05/08 01:10:18
>>471
そんな認識だからPCウイルスに感染するんだぞ(笑)
475:名無しさん@お腹いっぱい。
10/05/08 01:12:23
>>465
このスレのアドレス?
このスレ開いたら感染するのか?
476:名無しさん@お腹いっぱい。
10/05/08 01:17:55
>>474
ホントにな…
477:名無しさん@お腹いっぱい。
10/05/08 01:25:00
>>464
トロイの木馬だけどGumblarでは無いな
478:名無しさん@お腹いっぱい。
10/05/08 01:25:45
>>475
うん
479:名無しさん@お腹いっぱい。
10/05/08 01:31:02
>>478
そんなこと全然ないけど?
live2chで見てるけど全然平気なんだけど
>>2の対策をしてるからかな?
480:名無しさん@お腹いっぱい。
10/05/08 01:33:50
>このスレのアドレス?
うん
>このスレ開いたら感染するのか?
うん
どっちやねん
481:名無しさん@お腹いっぱい。
10/05/08 01:36:51
>>479
信じるなよw
482:名無しさん@お腹いっぱい。
10/05/08 01:53:25
PDFに埋め込まれた全プログラムを無効化できるようになった「Foxit Reader」v3.3
URLリンク(www.forest.impress.co.jp)
これどうなんだろ?
483:名無しさん@お腹いっぱい。
10/05/08 02:07:23
対策もしてないのにこのスレで挙げられてる陥落サイトのアドレスを
うっかり踏んじゃったってことじゃないか。
484:名無しさん@お腹いっぱい。
10/05/08 02:27:36
>>466-476
競合もしないレベルで動くオンラインスキャン使ってスキャンして、
それで何もないからってどれ位の意味なの
485:名無しさん@お腹いっぱい。
10/05/08 02:29:52
結局そのオンラインスキャンを実行してるのは、感染疑いのあるそのPC自体でしょ
すくなくともインストールして使うもの利用したほうがいいのかね
486:名無しさん@お腹いっぱい。
10/05/08 03:12:02
doujinnewsのやつ
URLリンク(www.virustotal.com)
結果: 1/41 (2.44%)
McAfee-GW-Edition:Heuristic.BehavesLike.HTML.Shellcode.K
487:名無しさん@お腹いっぱい。
10/05/08 08:17:07
>>466のアドレスへ行ったのですが、
Kasperskyのオンラインスキャンがあるのかわかりません。
どなたか教えてください。よろしくお願いします。
488:名無しさん@お腹いっぱい。
10/05/08 08:36:53
>>487
そこGumblarの可能性ありって出るよ
489:名無しさん@お腹いっぱい。
10/05/08 09:09:12
www●spoffice●jp
株式会社セカンドプランニング この会社が関わっている
yamatwo●jp
www●sobank●jp
www●spoffice●jp
全てが改ざん
490:名無しさん@お腹いっぱい。
10/05/08 09:23:25
>>488
そうですか・・・
教えてくださってありがとうございます。
一応>>2-3あたりの対策はしているのですが
クリーンインストールした方がいいですか?
何度もすいません。
491:名無しさん@お腹いっぱい。
10/05/08 09:35:13
ネット上にあがってるWebサイトの改竄方法を教えてください
ウイルスを仕込むわけではなくバナーを消したり文章を変える程度です
Web改竄について詳しく書いてあるサイトを教えてくれる形でもいいです
お願いします
492:名無しさん@お腹いっぱい。
10/05/08 09:40:27
スレチだゴミ
493:名無しさん@お腹いっぱい。
10/05/08 09:57:54
最近嘘書いて改ざんサイトに誘導するバカが出没してるな
しかもそれに対して大体レスが付くことから自演を駆使してるようだ
どうせ>>465-471あたりは同一人物だろ
でもって>>490はキモイ流れになってる事とおかしなURLから危険を察しろ
494:名無しさん@お腹いっぱい。
10/05/08 11:53:36
suncs●sakura●ne●jp
www●kfbclub●com