10/04/21 03:14:22
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ7【8080】
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
10/04/21 03:15:14
Gumblar(.x)、8080系ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
3:名無しさん@お腹いっぱい。
10/04/21 03:17:03
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows XPは可能ならば新しいOSに
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLリンク(get.adobe.com)
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
URLリンク(get.adobe.com)
URLリンク(www.adobe.com)
・Flash Playerのバージョン確認
URLリンク(www.adobe.com)
URLリンク(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLリンク(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLリンク(www.java.com)
・Javaのバージョン確認
URLリンク(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLリンク(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLリンク(jp.real.com)
4:名無しさん@お腹いっぱい。
10/04/21 03:18:26
ブラウザのjavascriptを無効にする(しっかり対策してれば不要だが、念のためjavascriptはOFFを推奨)
※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります
●InternetExplorer ツール→インターネットオプション→セキュリティ→
レベルのカスタマイズ→スクリプトのとこ全部無効にチェック
※ActiveXもOFF
●Opera ツール→クイック設定→「javascriptを有効にする」のチェックを外す
●safari 編集→設定→「JavaScriptを有効にする」のチェックを外す
●Sleipnir ツール→Sleipnirのオプション→ビュー(Trident)→
デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す
●Lunascape ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す
※SP3でIE8を使うと重くなる場合、Sleipnir&IE8Sleipnirエディション
もしくはLunascape5を使うといいようです。
●Firefox ツール→オプション→コンテンツでJavaScript有効にするをはずす
5:名無しさん@お腹いっぱい。
10/04/21 03:19:19
ブラウザ個別のプラグイン・アドオン等の使い方に関しては各ブラウザのスレへ行って下さい。
【改ざんサイトの調査など】
■ チェッカーサイト
・gredでチェック
URLリンク(www.gred.jp)
・aguse
URLリンク(www.aguse.net)
・WebGetter
URLリンク(rd.or.tp)
・Dan's View Source
URLリンク(www.dan.co.uk)
・飛び先のチェック by ぴょん基地の友達
URLリンク(www.kakiko.com)
6:名無しさん@お腹いっぱい。
10/04/21 03:22:20
■ 専ブラで右クリからの検索を有効にする方法。
設定例:JaneView
設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
URLリンク(www.geocities.jp)
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
aguse.net サイト情報検索=URLリンク(www.aguse.net)
飛び先のチェック=URLリンク(www.kakiko.com)
WebGetterでソースを見る=URLリンク(rd.or.tp)
WebGetterでタグを除去してソースを見る=URLリンク(rd.or.tp)
WebGetterでリンクを抽出する=URLリンク(rd.or.tp)
Dan's View Sourcelでソースを見る=URLリンク(www.dan.co.uk)
Dr.WEB=URLリンク(online.drweb.com)
7:名無しさん@お腹いっぱい。
10/04/21 03:49:11
改竄を確認して通報する場合、サイト管理者への通報とともにJPCERT/CCに届出もお願いします。
■インシデント報告の届出(JPCERT/CC)
URLリンク(www.jpcert.or.jp)
サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。
以下、代表的なサーバー管理会社
デジロック URLリンク(www.value-domain.com)
OCN URLリンク(www.ocn.ne.jp)
さくら URLリンク(secure.sakura.ad.jp)
ロリポップ URLリンク(lolipop.jp)
GMOインターネットグループ URLリンク(secure.gmo.jp)
インフォシーク (isweb) URLリンク(portal.faq.rakuten.co.jp)
DION URLリンク(www.auone-net.jp)
NTTPCコミュニケーションズ URLリンク(www.nttpc.ne.jp)
ODN URLリンク(www.odn.ne.jp)
xserver (株式会社ベット) URLリンク(www.xserver.ne.jp)
heteml ヘテムル URLリンク(secure.heteml.jp)
ファーストサーバ URLリンク(www.firstserver.co.jp)
エキサイト URLリンク(www.excite.co.jp)
8:名無しさん@お腹いっぱい。
10/04/21 04:06:35
改竄を受けたら
ウイルス・不正アクセス届出状況について(3月分および第1四半期)
URLリンク(www.ipa.go.jp)
(3)ウェブサイト改ざんの被害発生時の対処
ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。
被害の拡大を防ぐために、次に示すような対応が求められます。
▼まず初めに行うべきこと
まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。
このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。
同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。
▼改ざん箇所の洗い出し等の調査
上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。
また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。
また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。
▼ウェブサイトを再公開する場合
上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
改ざんの事実の説明
・ 改ざんされていた箇所
・ 改ざんされていた期間
・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害(ウイルス感染など)の説明
・ ウイルスのチェック方法の説明(必要に応じてオンラインスキャンサイトの紹介など)
・ 問い合わせ用窓口の連絡先
IPAに不正アクセスの届出
URLリンク(www.ipa.go.jp)
9:名無しさん@お腹いっぱい。
10/04/21 04:10:59
関連情報
LAC セキュリティアラート
【注意喚起】Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認
URLリンク(www.lac.co.jp)
> 株式会社ラックでは、Apacheの設定ファイルである「.htaccess」の不正アップロードを行うGumblarウイルスの活動を複数サイトにおいて確認しました。
ニュース・リリース|アンチウイルス・アンチウイルスソフトの【 カスペルスキー 】
Gumblar 亜種に続く、Pegel 対策に関する留意点
URLリンク(www.kaspersky.co.jp)
> 感染が確認された場合は、対策として OS の再インストールをお勧めします。
セキュリティ通信
サイト改ざん猛威:感染パソコンの修復は「OSの再インストール」が近道
URLリンク(www.so-net.ne.jp)
サイト改ざん(1)「告知せず」で感染拡大の恐れ~負の連鎖を断ち切るために
URLリンク(www.so-net.ne.jp)
「ガンブラー」「サイト改ざん」めぐる基本のQ&A ~ 何が起きている? 対策は?
URLリンク(www.so-net.ne.jp)
10:名無しさん@お腹いっぱい。
10/04/21 10:03:02
┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─
┌─┌─小野寺です。〓MS Japan Security Team〓┌─┌─┌─┌─┌─┌─
URLリンク(internet.watch.impress.co.jp)
国/地域ごとのマルウェア感染率。(Microsoft Security Intelligence Reportより)
日本は最も感染率が低い(緑色)が、依然として感染率が高い地域(赤色)も多い。
URLリンク(internet.watch.impress.co.jp)
┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─
下記の図は、2009 年上半期における、8 地域での異なる種類のマルウェアと迷惑
ソフトウェアである可能のあるものの相対的な蔓延を表しています。
(それぞれの期間中に 2 種類以上の脅威が削除されるコンピューターも存在するため、
それぞれの地域における感染率の合計が 100 パーセントを超える場合があります。)
この図で使用されている項目の説明は、マイクロソフト セキュリティ インテリジェンス
レポート 第 7 版40 ページをご覧ください。
いとかしこ
URLリンク(img.microsoft.com)
┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─
┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─
11:名無しさん@お腹いっぱい。
10/04/21 16:48:28
たまたま見つけた感染サイト。
Gumblarの方も元気ですね。
www●putto24●com
12:名無しさん@お腹いっぱい。
10/04/21 20:28:32
結局のところWindows使わなければ問題なし?
13:名無しさん@お腹いっぱい。
10/04/21 20:58:18
断定はできないがその可能性は高いな
14:名無しさん@お腹いっぱい。
10/04/22 00:53:07
アドレスバーに"res://ieframe.dll/"の表示のとき、 Gumblarはあなたの個人情報を狙ってる
15:名無しさん@お腹いっぱい。
10/04/22 05:18:04
よくわからんけどURLブロックに追加してみる俺
16:名無しさん@お腹いっぱい。
10/04/22 08:28:17
www.terminalstudio.com/dask-castle-3d.shtml
↑のサイトavastがトロイの木馬発見してブロックしたけど、表示しただけで感染するの?
17:名無しさん@お腹いっぱい。
10/04/22 10:32:26
>>16
>>1嫁
スクリプトではなくトロイってことはすでに何かDLしてるんじゃね
他の何かに感染してる可能性も否めない
18:名無しさん@お腹いっぱい。
10/04/22 10:45:39
VirusTotalにhtmlぶちこんだ
URLリンク(www.virustotal.com)
19:コテハン ◆8080adndqg
10/04/22 13:28:22
>>16
ソースの最後に
<script>function eIGJJlOJ(・・・・・
8080とはちょっと違うタイプのやつ
20:名無しさん@お腹いっぱい。
10/04/22 14:36:01
>>16
tapiroten■info/lin.cgi?jzo
繋がらない
21:名無しさん@お腹いっぱい。
10/04/22 18:14:16
>>16
Gumblar.Xの亜種とかだな多分
多分だけど
22:名無しさん@お腹いっぱい。
10/04/22 18:17:19
functionがちょっと多いな。珍しい。
23:コテハン ◆8080adndqg
10/04/22 19:42:12
前々スレあたりから話題になってた
URLリンク(8.pro.tok2.com)
>【最低最悪のsecurity toolに関して】は削除しました。
>連日,相当 多数の皆さんが このページの駆除方法で security toolを駆除され,
>再び 元通りにパソコンを使用出来たにも関わらず
>ほとんどの皆さんから 何の喜びのメッセージをいただけませんでした。
>よって このページは削除しました。
>security toolの駆除方法を知りたい人は メールをください。
このジジイの上から目線は何とかならんのか?
24:名無しさん@お腹いっぱい。
10/04/22 19:49:13
SecurityToolsなんざ他のサイトでも散々既出だから放っとけ
25:名無しさん@お腹いっぱい。
10/04/22 19:49:17
>>23
やれやれ…
URLリンク(okwave.jp)
で自サイトの宣伝までしてらぁw
ググりゃ削除方法ぐらいいくらでも出て来るのに、メール出すやつがいるのかねぇ?
26:名無しさん@お腹いっぱい。
10/04/22 19:58:13
2チャンネルらしくなってきたな
放っておけばいいのに
27:名無しさん@お腹いっぱい。
10/04/22 20:01:46
>>23
ググって10番目以内にいるならそのページを見て駆除したってやつもいるかもしれんが…
さすがに自意識過剰すぎてキモいな
28:名無しさん@お腹いっぱい。
10/04/22 20:12:33
そんなの全くの自由だろ
おまえらのがキモいよ
つうか気違いだろお前
29:名無しさん@お腹いっぱい。
10/04/22 20:15:48
長岡乙www
30:名無しさん@お腹いっぱい。
10/04/22 20:16:48
喜びのメッセージわろた
31:名無しさん@お腹いっぱい。
10/04/22 22:19:44
証明書のエラー 接続の傍受
32:名無しさん@お腹いっぱい。
10/04/23 00:22:52
URLリンク(www.aguse.jp)
ここにある8080って大丈夫ですか?
Adblock Plusで8080ブロックしてるフィルタに引っかかったのですが
aguseだとウイルスじゃないようです
外部と接続するオブジェクトが青く表示されているので気になります
33:コテハン ◆8080adndqg
10/04/23 01:54:31
>>32
アクセス解析
34:名無しさん@お腹いっぱい。
10/04/23 03:36:26
【陥落サイトのURL悪用厳禁】
www●idem-home●co●jp
既出だったらごめんよ
she3ah●110mb●com
<script>tmp="22111122211122112111212221…
1と2がだらだらと…こんなスクリプトあったのね
35:名無しさん@お腹いっぱい。
10/04/23 08:01:03
>>33
thx
フィルタに初めて引っかかったので
心配だったが安心したよ
36:名無しさん@お腹いっぱい。
10/04/23 08:13:59
71 :ぼるじょあ ◆yBEncckFOU :2010/04/19(月) 11:00:52
(・3・) エェー お前ら またガンプラーが流行ってるYO
URLリンク(www.asahi.com)
72 :ぼるじょあ ◆yBEncckFOU :2010/04/19(月) 15:42:03
>>71
(・3・) ~♪
Mac OS Xに脆弱性、Appleがセキュリティアップデート公開
URLリンク(itpro.nikkeibp.co.jp)
37:コテハン ◆8080adndqg
10/04/23 13:12:04
先生のキャッシュで捕捉したが・・・新コードがきてるっぽい
【陥落サイトのURL悪用厳禁】
74●125●153●132/search?q=cache:-syKPJt7YlAJ:www●mimi-navi●net/
↓
theultimateweb●info:
以前の.substr多発型に似てるからスルーしそうになったorz
38:名無しさん@お腹いっぱい。
10/04/23 13:29:52
前スレ使い切ろうよ
39:コテハン ◆8080adndqg
10/04/23 13:30:23
"unescape;var"のヒット数が激減してると思ったら
%68%74%74%70%3a%2f%2f%66 ←このタイプも微妙に変化してるし・・・
【陥落サイトのURL悪用厳禁】
win●amyou●net ←絶賛放置中
40:名無しさん@お腹いっぱい。
10/04/23 15:24:32
どうでもいいけどpegelって既にvまであるのね
giddeon●com
>>39
質問、このスクリプトは既出?
"false;var" "function" "new Date();" "String.prototype"
・URLリンク(www.virustotal.com)
・URLリンク(www.virustotal.com)
> "unescape;var"のヒット数が激減
['unescape'];varはあちこちで見掛けるけどね
41:名無しさん@お腹いっぱい。
10/04/23 16:31:58
2週間位前からFirefoxが下記の様な怪しいサイトに時々勝手に繋がりexeをダウンロードさせようとするんだけど、
これってGumblarなのかな?
URLリンク(para-site.net)
URLリンク(para-site.net)
セキュリティ対策として使ってるのはAvira Security SuiteとMalwarebytes'とSUPERAntiSpywareで
何度かスキャンを掛けると様々なトロイが検出され、知らずに感染してる症状が一向に改善されない
手持ちのセキュソフトじゃダメかと思いF-SecureとSymantecでオンラインスキャンも試してみました
(F-Secureでトロイが2つ、Symantecは検出0)
けど、ついさっきも上記の怪しいサイトに勝手に移動された
それとWindows Updateでエラーが出て更新出来ないんだけど、これもGumblarのせいなのだろうか?[エラー番号: 0x80072EFE]
0x80072EFEでググってWindowsFWだけ有効にとか色々試してるんだけど、エラー0x80072EFEのままUpdate出来ない状態です
誰か有効な方法を教えて下さい、OSはXP SP3でIEはIE7、デフォルトブラウザはFirefox3.6.2です
42:名無しさん@お腹いっぱい。
10/04/23 16:36:16
クリーンインストールが手っ取り早い。
あと、スレチかと。
43:名無しさん@お腹いっぱい。
10/04/23 17:31:10
>>41
なんでもかんでもGumblarのせいにしないでくれ
お前のはもっといろんなもんに感染してる
そのPC1年以上調子悪いだろ
スレ違いだが説明しないとケーブル抜いてくれない気がする
ブラウザが半端に古いのも気になる
OSの更新やセキュリティ対策ソフトの動きを抑止するのはウイルスの常套手段
しかしそれ以前にそのPCはいろいろ感染しすぎてどうしようもない状態
システムファイルも書き換えられているだろうしその状態から元に戻すのは困難というかおそらく無理
諦めてOS入れなおせ
ただ、今ネットに接続していること自体が迷惑なのでケーブルを抜いてくださいおねがいします
OSを入れなおす時も新しいセキュリティ対策ソフトをインストールするまではケーブルは抜いたまま
OSの更新は自動にしとけ
無料のセキュリティ対策ソフトは自分でなんとかできる人用であって
そうじゃない人はきちんと購入した方が良い
DownadupってことはUSBメモリも感染してる可能性が高い
そのPCで使用したUSBメモリを他のPCにも使用しているならそっちもやられてるかもしれん
44:名無しさん@お腹いっぱい。
10/04/23 19:37:28
>>16
Avira
TR/Dldr.Shadraem.A.27
7.10.06.194で対応
45:名無しさん@お腹いっぱい。
10/04/23 20:26:44
>>41
もうリカバリした方いいよそれ
46:名無しさん@お腹いっぱい。
10/04/23 23:45:58
>>34
www●idem-home●co●jp
電凸完了
>>39
win●amyou●net
電凸完了
47:オルティス・ジャパン
10/04/23 23:49:42
出時ロックは氏ねばいいと思う
48:名無しさん@お腹いっぱい。
10/04/24 05:31:13
前スレ使いきってください
49:名無しさん@お腹いっぱい。
10/04/24 15:43:39
KatesKiller
URLリンク(support.kaspersky.co.jp)
50:名無しさん@お腹いっぱい。
10/04/24 22:53:19
www●sakiko●jp
電凸完了
51:コテハン ◆8080adndqg
10/04/24 23:00:12
>>40 亀レススマソ
8080発掘中に遭遇したことはあるけど、海外のやつは絶賛スルー中なのです。
【陥落サイトのURL悪用厳禁】
www●asianmotors●co●jp/ ←アクセス注意!
いつのまにかコードが整理されてて・・・
一番下の<script>function c12174138951n4bc351d711cc6~~
もう勘弁して...
52:名無しさん@お腹いっぱい。
10/04/25 00:42:06
>>51
こちらの環境では1371行まででその記述が見当たらないぽ。
53:名無しさん@お腹いっぱい。
10/04/25 01:22:58
>>46
>>50
乙です
>>51
レスありがと、こちらも不躾ですまない
asianmotorsのスクリプトは消えてるみたいね、上書きしたかな?
> function pde63eee4~
> function jIxnUrxy(){if~
そういえば最近やたらとこのタイプに引っ掛かる
【陥落サイトのURL悪用厳禁】
winbet●tonosama●jp :JS.Shadraem VT 02/41
nihon-support●jp :スクリプトが中途半端だけど念の為
54:名無しさん@お腹いっぱい。
10/04/25 02:07:03
>>53
上、醤油が化けちゃってわかんね。。。orz.....
下、Last-Modified: Wed, 21 Apr 2010 01:01:15 GMT : /index.html
55:名無しさん@お腹いっぱい。
10/04/25 02:41:44
URLリンク(www.taguchiso.com)
URLリンク(winbet.tonosama.jp)<)
URLリンク(www.shinsei-fukushi.net)
URLリンク(www.nittoka.com)
URLリンク(www.1a.ad-jeaayf.com)
URLリンク(www.tu-han4.com)
URLリンク(www.daini-survey.com)
URLリンク(www.borneomarathon.com)
URLリンク(www.niaufuku.com)
URLリンク(kumarin.biz)
URLリンク(www.amakusaturigu.com)
URLリンク(www.hdta.jp)
URLリンク(giddeon.com)
URLリンク(amyou.net)
URLリンク(yamisyoku.info)
56:名無しさん@お腹いっぱい。
10/04/25 03:58:27
スレリンク(news板)
57:コテハン ◆8080adndqg
10/04/25 04:09:00
ドメインまちがえたにゃ/(^o^)\
誤:www●asianmotors●co●jp/
正:www●asianmotors●co●in/ ←アクセス注意
58:名無しさん@お腹いっぱい。
10/04/25 04:30:44
>>57
*CODE1*
Last-Modified: Tue, 27 Oct 2009 07:47:47 GMT : Scripts/AC_RunActiveContent.js
>>51のコードは「'+x1d+'」を抜いてHEXデコードしてURLデコード
59:名無しさん@お腹いっぱい。
10/04/25 14:47:08
どなたか教えてください。
・メールのhtmlプレビュー画面でGumblar(.x)、8080系に感染する恐れってありますか?またそういった感染報告はありますか?
・ファイアーウォールでポート8080を閉じることにより感染予防の効果はありますか?
60:名無しさん@お腹いっぱい。
10/04/25 15:15:05
>>59
> メールのhtmlプレビュー画面でGumblar(.x)、8080系に感染する恐れってありますか?
可能性はある。
これに限らずテキスト表示推奨。
> またそういった感染報告はありますか?
マカフィーサイトアドバイザでのgumblar.cnは一時期こんなのが出ていた。
> Our analysis found that this site may be promoted through spammy e-mail.
> ファイアーウォールでポート8080を閉じることにより感染予防の効果はありますか?
「8080系ウイルス」だけ、
Gumblar(.x)には通用しない。
61:名無しさん@お腹いっぱい。
10/04/25 15:19:17
>>60ちょい訂正
「8080系ウイルス」以外には通用しない。
62:名無しさん@お腹いっぱい。
10/04/25 15:29:07
芸能プロのケイダッシュのサイトが軒並みやられてるらしい。
オードリーの公式サイトとか
63:名無しさん@お腹いっぱい。
10/04/25 15:30:57
>>60
ありがとうございます。
ポート8080閉じることで8080系ウイルスの対策になるんですね。
64:名無しさん@お腹いっぱい。
10/04/25 15:32:51
>>63
>>2
>>62
にゃんと…
65:名無しさん@お腹いっぱい。
10/04/25 15:33:24
>>63
ほんとだ確認しました・・・
66:名無しさん@お腹いっぱい。
10/04/25 15:35:01
>>62
確認すた。
67:名無しさん@お腹いっぱい。
10/04/25 15:40:11
>>62
冗談だと思ったけれど・・・マジだった・・・
68:名無しさん@お腹いっぱい。
10/04/25 16:15:41
>>63
そんなことよりしっかり>>2を行いましょう
69:名無しさん@お腹いっぱい。
10/04/25 16:18:56
>>62のケイダッシュについて聞きたいんだけど
ウィルスと判断できるコードはソース最後のfunctionから始まるのでいいの?
ちょっとスレたてたいもので確認できる材料が欲しい。
70:名無しさん@お腹いっぱい。
10/04/25 16:21:29
>>69
それでいいけどそういうことは余計な混乱の元になるから半端に載せない方がいいよ
71:名無しさん@お腹いっぱい。
10/04/25 16:21:53
>>70
了解です
ありがとう
72:名無しさん@お腹いっぱい。
10/04/25 16:28:17
というかハッシュっぽい目印も含めて2行か
まあいいや
VirusTotal ただしこの結果だけでavastに乗り換えるというのは早計
URLリンク(www.virustotal.com)
73:名無しさん@お腹いっぱい。
10/04/25 16:34:31
>>72
スクリプトはDrWebは最近は一番だな
74:名無しさん@お腹いっぱい。
10/04/25 16:57:34
グーグル検索結果のケイダッシュ事務所HPアドレスに
マウスポインタ合わせてただけでavastさんが怒った
どうなってんだ
75:名無しさん@お腹いっぱい。
10/04/25 17:10:42
感染サイト踏んだんだけど感染確認方法ってありますか?
>>2は3以外しています
76:62
10/04/25 17:12:45
ちゃんと確認したらケイダッシュのサイト(kdash●jp)の全ページ?がやられてるのね。
オードリーのは公式サイトと言うよりは公式のプロフィールページのことですな。
ちなみに各タレントの公式サイト(別ドメインでのサイト)は大丈夫っぽい。
まだまだ猛威ふるってますねぇ。
というか、いい加減にHP製作会社はウイルス対策しろ。
77:名無しさん@お腹いっぱい。
10/04/25 17:17:22
>>74
俺はグーグルでケイダッシュを検索しただけでavastが怒りだしたわ
78:名無しさん@お腹いっぱい。
10/04/25 17:27:30
オードリースレに確認方法を書いてきた
79:名無しさん@お腹いっぱい。
10/04/25 17:42:34
>>75
ない
80:名無しさん@お腹いっぱい。
10/04/25 17:49:27
>>75
本当に最新かもう一度確認をしたほうがいい
81:名無しさん@お腹いっぱい。
10/04/25 17:53:19
>>77
俺もだ
接続を遮断したけど大丈夫なのかな?
82:名無しさん@お腹いっぱい。
10/04/25 18:02:52
>>80
MyJVN バージョンチェッカでは最新でした
83:62
10/04/25 18:05:01
元メジャーリーガー、現オリックスの田口の公式もやられてるらしい。
気を付けましょう。
84:名無しさん@お腹いっぱい。
10/04/25 18:48:21
ケイダッシュは、Google safe browsingでもMS SmartScreenでもスルーだな
だれか報告しよけよ
85:名無しさん@お腹いっぱい。
10/04/25 18:49:23
田口は、Google Safe browsingが怒り出した
けど、MS safe browsingはスルー
86:名無しさん@お腹いっぱい。
10/04/25 19:04:19
オードリーサイトメンテ中になってる
87:名無しさん@お腹いっぱい。
10/04/25 19:05:10
>>62
Last-Modified: Sun, 25 Apr 2010 09:18:06 GMT : /alert.html
> ただいまメンテナンス中です。
> ご迷惑をおかけしますが、もうしばらくお待ちください。
88:名無しさん@お腹いっぱい。
10/04/25 19:06:19
>>62
一時期、スターダスト?系のHPがやられていたり
なんとかはいりって人のHPがやられてたって聞いたけど
改善はされてるのか?こわくて近づけない。
89:名無しさん@お腹いっぱい。
10/04/25 19:17:55
>>88
後醍醐●netもやられてたお。
90:名無しさん@お腹いっぱい。
10/04/25 19:19:03
>>89補足
今は直ってるお。
91:名無しさん@お腹いっぱい。
10/04/25 20:01:47
>>5
亀レスですまないが
Gumblar/8080 Checker
URLリンク(ec2-204-236-148-61.us-west-1.compute.amazonaws.com)
ここもいれておくべきなのでは
92:コテハン ◆8080adndqg
10/04/25 20:07:08
>>74>>77>>81
ブラウザのリンク先読み機能を切ってください・・・なのです。
93:名無しさん@お腹いっぱい。
10/04/25 20:07:25
>>91
それってJaneのコマンドに追加するときはどうやって書いたらいいの?
94:名無しさん@お腹いっぱい。
10/04/25 20:27:27
>>92
サンクス
ちなみにスレチだがavastが切断を遮断したってことは感染してないよな?
95:名無しさん@お腹いっぱい。
10/04/25 20:29:26
>>94
切断を遮断したら接続しちゃうんじゃね?
96:名無しさん@お腹いっぱい。
10/04/25 20:34:22
>>92
ありがと
そんな機能あったんか
97:名無しさん@お腹いっぱい。
10/04/25 20:40:41
>>95
すまん接続を遮断だった
バカか俺はw
98:名無しさん@お腹いっぱい。
10/04/25 21:00:25
リンク先読みはキャッシュを保存してるだけじゃなかったかな
99:名無しさん@お腹いっぱい。
10/04/25 21:02:38
URLリンク(satupa)●syuriken●jp/
もしかしてかんせんしてる?
100:名無しさん@お腹いっぱい。
10/04/25 21:03:00
元気ブックもやられてる?
101:名無しさん@お腹いっぱい。
10/04/25 21:07:47
何で感染するんだよ
馬鹿じゃねえの
102:名無しさん@お腹いっぱい。
10/04/25 21:09:22
マジでなんで感染してるのか知りたい
使用してるセキュリティソフトとか
103:名無しさん@お腹いっぱい。
10/04/25 21:14:08
元気ブック改ざん受けてない?
104:名無しさん@お腹いっぱい。
10/04/25 21:23:11
これか
news●genki-book●jp/
avast反応した
105:名無しさん@お腹いっぱい。
10/04/25 21:31:24
>>104
aguseやgredで
google-analytics.com/urchin.js
floridaorigin.at:8080/google-ch/google.com/passport.net.php
出てきた
106:名無しさん@お腹いっぱい。
10/04/25 21:52:20
元気ブック 参考程度にしかならんけど
VirusTotal
URLリンク(www.virustotal.com)
107:名無しさん@お腹いっぱい。
10/04/26 01:00:01
オードリーの公式サイトがGENOウイルスに感染中
スレリンク(news板)
avira対応してる?
108:名無しさん@お腹いっぱい。
10/04/26 01:03:17
してない
109:名無しさん@お腹いっぱい。
10/04/26 01:04:52
してる
110:名無しさん@お腹いっぱい。
10/04/26 01:05:47
してますん
111:名無しさん@お腹いっぱい。
10/04/26 01:13:32
セキュ板の各アンチウイルススレって、なんでああも荒れてるの?
ゲハ脳みたい
112:名無しさん@お腹いっぱい。
10/04/26 01:19:54
荒らしてるのは数人だろ
同じ気違いがずっと騒いでるだけ
113:名無しさん@お腹いっぱい。
10/04/26 01:19:57
ID出ない分変なの居着きやすいんでしょ
NGワードで対処出来ないスレはハナから見ない、これで解決
114:コテハン ◆8080adndqg
10/04/26 11:48:39
【陥落サイトのURL悪用厳禁】
pre21●jp/
ソースの中央付近
</SCRIPT><SCRIPT>var t;if・・・(.at:)
※定位置(最下部)には.info:のやつ
otokudou●h01●jp ←<!--<script>-->で絶賛無効化中
115:名無しさん@お腹いっぱい。
10/04/26 14:21:39
朝日オート系列は何回感染してんだ
パスワード変えてないのか?
116:名無しさん@お腹いっぱい。
10/04/26 16:45:58
バスターの公式サイトがガンブラーで改ざんされたりしたら面白そうだな
過去にも一回やらかしてるだけにもう一回やらかしたらユーザー激減しそうw
117:名無しさん@お腹いっぱい。
10/04/26 17:28:20
それをネタとして流せないあたりが何とも
118:名無しさん@お腹いっぱい。
10/04/26 17:57:26
そういう面白いことはESETとかウィルスセキュリティにやってもらいたいんだが
119:名無しさん@お腹いっぱい。
10/04/26 19:28:13
改ざんならesetもやられたじゃん
120:名無しさん@お腹いっぱい。
10/04/26 19:34:47
なた低レベルなやつが増えてきたな
121:名無しさん@お腹いっぱい。
10/04/26 19:59:46
___ ,,、
, ' ´ /;;;;ヘ`丶
/ 〈;;;;;;;;;;;;ヘ \
/_____ \;;;;;;;;;ヘ \
〈'´ ____\_.>''´ ̄\ ',
\/...:::::::::::::___:/ , -、j 〉 /\
< ̄.::::::::;:> ' { } {、;;;;;\┬' /. \
,≦::::; ' ´ , ゝ-夂i不丁::::::\;;;;;\__ /::::.. \
>'´ ,. イ/ |:/イ乙i |::::::::::::::\;;;;〈/;;;::::::::::.. \
/ , イN|仡} 辷ソノ:::::::::::::::::::iヽ/;;;;;;;;;;::::::::::.... \
\ ≦:::::::::八.ヒ!、 /.:::::::::::/:::::::| \;;;;;;;;;;;;;;;::::::::::.. \
\ `<:__;ゝ―‐<::::::::::::; イl:::::::::i \;;;;;;;;;;;;;;;::::::::::... \
. \ /:::/ ヾニニニニヽ;::::::〉 \;;;;;;;;;;;;;;;;:::::::::... \
ヽ、|::::| \  ̄`丶 \;;;;;;;;;;;;;;;;;::::::::.. \
|::::| \ \;;;;;;;;;;;;;;;;;::::::::.. \
 ̄\ \ \;;;;;;;;;;;;;;;;;;;:::::::... \_____
ヽ ____ / \ \;;;;;;;;;;;;,;;;;;;:::::::... /
,.イ ヽ i \ \;;;;,;;;;;;;;;;;;;;;:::::::... /
/:::{ ト、 .......ヽ \;;;;;;;;;;;;;,;;;;;;;::::::::/
122:名無しさん@お腹いっぱい。
10/04/26 20:29:57
キモイもん貼るなっての
123:名無しさん@お腹いっぱい。
10/04/26 20:59:10
なたなら仕方がない
124:名無しさん@お腹いっぱい。
10/04/26 21:01:12
どうしてこうなた
125:名無しさん@お腹いっぱい。
10/04/26 22:38:34
なったなたにしてやんよ!
ところでケイダッシュ公式が再開してるようだが
URLリンク(www.aguse.jp)
URLリンク(www.aguse.jp)
126:名無しさん@お腹いっぱい。
10/04/26 22:52:02
なたでここ
>>125
上はまだ ぁぅぁぅぁー
スレリンク(news板:329番)
127:名無しさん@お腹いっぱい。
10/04/26 22:55:38
>>126
な(んてこっ)た
aguseGWで覗いて正解だった…危ない危ない
128:名無しさん@お腹いっぱい。
10/04/26 23:03:42
>>125
URLリンク(www.virustotal.com)
ケイダッシュとpre21●jp/に連日凸したが
奴等は電話を切りやがった
人としておかしい
流石三国人w
129:名無しさん@お腹いっぱい。
10/04/27 02:18:58
ところで
やっぱりセキュリティベンダーって信頼に関わるから自社の公式サイトとか配布するツール等は命かけて安全確保してるの?
130:名無しさん@お腹いっぱい。
10/04/27 08:39:45
最近はどこのメーカーも電子署名してるから、電子署名がないようなexeは踏まない
131:名無しさん@お腹いっぱい。
10/04/27 08:44:59
>>115
トロイが仕掛けられたクライアントで更新してるから、いくらやってもまた改変されるとかじゃないの?
>>116
さすがにセキュリティー企業なら、インターネットからだれてもコンテンツ更新とか無理じゃねーの?
Webデザイン企業には、CMSとかにしかアクセスできないようにして、
メインサーバへの更新は社員が社内からやってるんじゃね?
132:名無しさん@お腹いっぱい。
10/04/27 10:21:53
>>92
リンク先読みって火狐でググッただけで感染するのか?コードまで実行しちゃうの?ノートントラップの類じゃないのか
133:62
10/04/27 10:34:47
ケイダッシュはまだprototype.jsが感染してるわけだが、一生このままじゃね?
スカイリンクとかいう会社もケイダッシュもカス。カスが。春日。
134:名無しさん@お腹いっぱい。
10/04/27 11:58:37
誰かが投げたの
URLリンク(www.virustotal.com)
File www.kdash.jp_common_js_prototype. received on 2010.04.26 18:18:29 (UTC)
Result: 7/40 (17.50%)
Avast 4.8.1351.0 2010.04.26 JS:Illredir-AX
Avast5 5.0.332.0 2010.04.26 JS:Illredir-AX
BitDefender 7.2 2010.04.26 Trojan.JS.Agent.EAL
DrWeb 5.0.2.03300 2010.04.26 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.26 Trojan.JS.Agent.EAL
GData 21 2010.04.26 Trojan.JS.Agent.EAL
nProtect 2010-04-26.01 2010.04.26 Trojan.JS.Agent.EAL
さっき漏れが投げたの
URLリンク(www.virustotal.com)
File prototype.js received on 2010.04.27 02:50:00 (UTC)
Result: 9/41 (21.96%)
a-squared 4.5.0.50 2010.04.27 Trojan.JS.Agent!IK
Avast 4.8.1351.0 2010.04.26 JS:Illredir-AX
Avast5 5.0.332.0 2010.04.26 JS:Illredir-AX
BitDefender 7.2 2010.04.27 Trojan.JS.Agent.EAL
DrWeb 5.0.2.03300 2010.04.27 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.26 Trojan.JS.Agent.EAL
GData 21 2010.04.27 Trojan.JS.Agent.EAL
Ikarus T3.1.1.80.0 2010.04.27 Trojan.JS.Agent
nProtect 2010-04-26.01 2010.04.26 Trojan.JS.Agent.EAL
>>133
状況を理解してないのかも。
135:名無しさん@お腹いっぱい。
10/04/27 12:08:20
>>57
まちがえんな、カス
136:名無しさん@お腹いっぱい。
10/04/27 12:09:06
管理者に抜き打ちセキュリティテストとかやってもいいと思うんだ
137:名無しさん@お腹いっぱい。
10/04/27 13:03:47
自分でしないと...
138:名無しさん@お腹いっぱい。
10/04/27 13:46:39
>>133
Last-Modified: Tue, 27 Apr 2010 04:43:37 GMT : common/js/prototype.js
なおたよ。
139:名無しさん@お腹いっぱい。
10/04/27 15:47:23
>>133
キャッシュぐらい消せカスが
140:名無しさん@お腹いっぱい。
10/04/27 16:51:12
ケイダッシュはどうせまた再改ざんくるだろ
141:名無しさん@お腹いっぱい。
10/04/27 18:05:53
>>130
電子署名ない.exe踏まないとか
フリーソフト殆ど使えないじゃん
142:名無しさん@お腹いっぱい。
10/04/27 18:26:21
>>141
インスコ不要なソフト(zip解凍で使えるようなやつ)なら
exeとdllあたりをVirusTotalに投げればだいたいわかるだろ
143:名無しさん@お腹いっぱい。
10/04/27 18:28:39
それだと>>130と矛盾する
144:62
10/04/27 19:44:13
>>139
Google先生のチェッカー使いましたが何か?
そして相変わらず告知無し。こんだけ言われてるのに無視とか新し過ぎる。
メッセサンオー以上だぜ
145:名無しさん@お腹いっぱい。
10/04/27 20:02:32
>>142
>>143が言ってるように>>130はexe踏まない=使わないと言ってる件・・・
146:名無しさん@お腹いっぱい。
10/04/27 20:10:28
>>134
avastとBitDefender以外のフリーものは駄目だね
147:名無しさん@お腹いっぱい。
10/04/27 20:23:58
>>146
bitのフリーは常駐監視ないからGumblar/8080から守れないだろ
148:名無しさん@お腹いっぱい。
10/04/27 21:03:37
aguseとgredと>>91のチェッカーで問題なしなら
そのサイトは安全と見ていいのかな?
149:名無しさん@お腹いっぱい。
10/04/27 21:06:45
>>57
IPアドレスの鯖缶:惑星さんからお返事北。
> We appreciate you bringing this matter to our attention. This issue is currently being investigated. Due to privacy policies, we will most likely not be able to provide you with details regarding the outcome of our investigation.
なんて書いてあるのかよくわかんない。。。orz....
日本語でつーほーしたのがいかんかったのかにゃ。
150:名無しさん@お腹いっぱい。
10/04/27 21:10:38
>>148
安全と断定はできない。
目安程度で過信は禁物。
ガンブラー以外にも脅威はあるし。
151:名無しさん@お腹いっぱい。
10/04/27 21:11:49
>>149
通報ありがとうね
この件は現在調査中だよ
だけどプライバシーの問題で詳細は明かせないよ
って感じ
152:149
10/04/27 21:13:23
>>151
㌧㌧
(゚ν゚)ニホンゴムズカスィネー だったろうなぁ。
153:名無しさん@お腹いっぱい。
10/04/27 21:13:54
ありがとよ
今から調べちゃる
結果は知らせねぇけどな
154:149
10/04/27 21:17:26
>>153
これまた㌧㌧
返事がこないとこよりも いい(≧∇≦)b
ぐぐるせーふぶらうじんぐとノートン先生のせーふうぇぶつけたのがよかったのかも。
155:名無しさん@お腹いっぱい。
10/04/27 21:38:29
>>144
>>139は多分>>138見て早とちりしたんだと思う。
GMTに9時間足すと日本時間JSTになるので今日の午前11時43分で>>133の1時間後に修復したってことに。
156:名無しさん@お腹いっぱい。
10/04/27 22:12:24
>>148
aguseも最近のはスルー率高いしgredも結構スルーする
そんなもんよりとにかく>>2
157:名無しさん@お腹いっぱい。
10/04/27 23:54:49
gredってただ乗りで検体集めまくってるのにスルーがあるんじゃ意味ねーな
158:名無しさん@お腹いっぱい。
10/04/28 00:01:51
ところで
aguseのカスペもVTと同じで旧バージョンなのかね?
159:名無しさん@お腹いっぱい。
10/04/28 00:11:14
「×××●pipicotts●com」が全滅っぽい
160:名無しさん@お腹いっぱい。
10/04/28 03:24:03
マスターペニス
161:名無しさん@お腹いっぱい。
10/04/28 09:17:23
ケイダッシュは反日創価、だからこのまま放置するよ
162:コテハン ◆8080adndqg
10/04/28 11:45:13
【陥落サイトのURL悪用厳禁】
kimiyo-web●srv7●biz/index●html ←???
gex●sexona●net/
163:名無しさん@お腹いっぱい。
10/04/28 12:00:51
これって証明書がカスペルスキー本家とサーバー証明書が違うということですよね?
URLリンク(up3.viploader.net)
だとしたら、どうやって本家の証明書を取ってきたら良いのですか?
やり方が分かりません。教えてください。
164:名無しさん@お腹いっぱい。
10/04/28 12:29:15
スレ違いだよ馬鹿
OKwave、教えてgoo、ヤフー知恵袋にでも行って聞いてこい
165:名無しさん@お腹いっぱい。
10/04/28 12:39:47
>>163
PC初心者
URLリンク(pc11.2ch.net)
初心者の質問
URLリンク(gimpo.2ch.net)
Kaspersky internet security Part100.カスペルスキーラボ
スレリンク(sec板)
166:名無しさん@お腹いっぱい。
10/04/28 12:44:20
Windows Updateをしてるけどこれってそのまま放置でも対策してくれるの?
マカフィーフルスキャンしたけど何も出てこなかったら安心していい?
167:163
10/04/28 12:55:30
>>163>>164
ありがとう
168:名無しさん@お腹いっぱい。
10/04/28 16:38:12
>>166
ログくらい読めチンカス
169:名無しさん@お腹いっぱい。
10/04/28 18:05:03
www●1a●ad-jeaayf●com
170:名無しさん@お腹いっぱい。
10/04/28 21:43:10
すみませんがちょっと教えて。
外側からwebページを改ざんするっていうのは
どういう仕組みなの?
なにかそういうソフトがあるんですか?
自分の持ってるwebページが勝手にレイアウトが
変わっちゃったんですけど、これッて誰かのいたずら
ですかね。
171:名無しさん@お腹いっぱい。
10/04/28 21:44:22
>>170
いたずらですめばいいけどそういうレベルで済まない場合の方が多いんじゃね
外側からではなく内側からです
172:名無しさん@お腹いっぱい。
10/04/28 22:04:13
>>171
どういうこと?
何かウイルスに感染してるってこと?
173:名無しさん@お腹いっぱい。
10/04/28 22:20:35
結局どのアンチウィルスソフト使えばいいんだよ
スレリンク(news板:86番)
ν速で検体テストやってるから参加してみ。
174:名無しさん@お腹いっぱい。
10/04/28 22:29:33
URLリンク(www.sony.jp)
DR-350USBの商品ページ入るとなんか変になるけど俺だけかな?
戻っても戻っても戻れないみたいな
スレ違いならごめん
175:U.F.O ◆U.F.OT1DQ2
10/04/28 23:01:46
概出だったらスマソ
URLリンク(www)●rctank●jp/
ガンブラーだと思われ。
176:名無しさん@お腹いっぱい。
10/04/28 23:05:57
>>172
その可能性がおおいにある
あとは単純なIDパスワードがアタックされて漏れたとか
>>173
スレ違い
>>174
ブラウザキャシュクリアしてみるとか
177:名無しさん@お腹いっぱい。
10/04/28 23:08:42
ふと思ったんだけど・・・
URLリンク(ja.wikipedia.org)
>マルウェアをコンピュータに感染させ、FTPアカウントを攻撃者に送信させる
これってPFWを適切に設定してあればブロックできると思うのだが
マルウェアがPFW回避行動を取るのか?
178:名無しさん@お腹いっぱい。
10/04/28 23:10:02
>>175
さいごのとこに難読化無しでframeのが入っとるね
179:名無しさん@お腹いっぱい。
10/04/28 23:17:15
>>177
止めちゃうんじゃね
180:名無しさん@お腹いっぱい。
10/04/28 23:17:44
すげぇ、本当にケイダッシュ完全無視してやがる。
これがバーニング系か。
ニュースにもならんし。
181:名無しさん@お腹いっぱい。
10/04/28 23:18:11
>>175絡みでぐぐってみたけどこれもかなあ
www●militarize●org/01.htm
一回失敗してるような感じのコードが見える
182:U.F.O ◆U.F.OT1DQ2
10/04/28 23:19:18
またハヶ━m9( ゚д゚)っ━ン!!
URLリンク(bentominowa)●web●fc2●com/
この後にあるURLも感染を確認・・・
概出だったら土下座します。
183:名無しさん@お腹いっぱい。
10/04/28 23:33:27
>>182
確認できないな
修正はいったかな
184:名無しさん@お腹いっぱい。
10/04/29 00:00:08
www●xn--eckxbbj3b4kwa3fxh●jp
日本語URLうざい…
>>183
gredに仕掛けてみれ
185:名無しさん@お腹いっぱい。
10/04/29 00:04:28
>>175
>>181
>>182
>>184
どれも確認できないのだが。
飛び先のチェック by ぴょん基地の友達
URLリンク(www.kakiko.com)
186:名無しさん@お腹いっぱい。
10/04/29 00:12:55
>>184
xn--はdanさんとこで確認できた
187:名無しさん@お腹いっぱい。
10/04/29 00:13:45
>>185
injection_graph_func.js
188:名無しさん@お腹いっぱい。
10/04/29 00:20:19
連休で悲惨なことにならないといいが、ほんと・・・
189:名無しさん@お腹いっぱい。
10/04/29 00:34:16
むしろ悲惨じゃない状態が想像できない
190:名無しさん@お腹いっぱい。
10/04/29 01:17:59
www●speedchannel●co●jp/campaign/friend09/
/mobile-info/
/mobile-info/
/mobile-info/common/js/jquery●js
/mobile-info/common/js/jquery-auto●js
既出だったらごめんよ
そういや皆さま連休はどのようにお過ごしで?
191:名無しさん@お腹いっぱい。
10/04/29 02:05:35
>>190
うんこがたくさんあるね
192:名無しさん@お腹いっぱい。
10/04/29 03:55:06
>>182のやつ
Aguseで見ると外部と接続するオブジェクトに
helphomecare■at:8080/google■com/download■com/qip■ru■php
がある。
JSファイルの中身だけやられてるらしい。
bentominowa■web■fc2■com/index_files/kotypeb_data/injection_graph_func■js
/*LGPL*/
function E(){ で始まるやつで数字のメモがついてない
193:名無しさん@お腹いっぱい。
10/04/29 04:04:16
<<< JPCERT/CC Alert 2010-04-28 >>>
URLリンク(www.jpcert.or.jp)
いわゆる Gumblar ウイルスによって
ダウンロードされる DDoS 攻撃を行うマルウエアに関する注意喚起
JPCERT/CC では感染するマルウエアの中に新たに DDoS 攻撃を行うものが追加
された事を確認しました。
このマルウエアに感染すると、使用している PC が国内外の企業や組織に対
して、DDoS 攻撃を行う可能性があります。
194:名無しさん@お腹いっぱい。
10/04/29 06:19:44
■Drive-by Downloadとも呼ばれるWebベースの攻撃からコンピュータを保護する上での有効性分析。
URLリンク(www.cascadialabs.com)
┌─ Overall(総合)30ケース
│ ┌─ In-the-Wild
│ │ ┌─ CORE IMPACT
30 = (15) + (15)
| .100%| .100%| .100%| Norton Internet Security 2009
| . .57%| . .60%| . .53%| AVG Internet Security 8.0
| . .46%| . .60%| . .33%| McAfee Internet Security 2009
| . .37%| . .53%| . .20%| Kaspersky Internet Security 2009
| . .27%| . .40%| . .13%| Trend Micro Internet Security 2009
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
2008年9月-10月に行われた結果。
URLリンク(www.cascadialabs.com)
195:名無しさん@お腹いっぱい。
10/04/29 07:53:47
データが古すぎて参考にもならない…
どれもGumblarをろくに検出できないやつばっかりじゃん
196:名無しさん@お腹いっぱい。
10/04/29 08:59:02
一般サイトがフィッシング詐欺の踏み台に、Gumblar攻撃と関係か
URLリンク(www.itmedia.co.jp)
197:名無しさん@お腹いっぱい。
10/04/29 09:07:55
セキュアブレインが、Twitter上で不審なURLのチェックが行えるTwitter bot「gredでチェック on Twitter」のベータ版を公開
URLリンク(www.securebrain.co.jp)
198:名無しさん@お腹いっぱい。
10/04/29 09:08:32
>>195
最新はこちら
【AV-Testによる検出率テスト】3月分発表 マカフィーが転落
AV-TESTによる毎月恒例のウイルス検出率テストの3月分結果が発表になった。テストは今回で30回目となる。
2位と3位が入れ替わり。Symantecが2ヶ月連続でランクをあげた。McAfeeは転落した。
4位、5位、6位は先月と変わらずK7とEset、Microsoftがキープ。
Kasperskyは検出率を落とし、TrendMciroが8位に転落。
9位、10位は変わらず、AVGとRisingだった。
順位 ベンダー 検出数 検出率
# Symantec 630,754 98.46% 谷垣
# McAfee 628,906 98.18% 公明
---
# K7 Computing 616,025 96.17% 在日
# Eset Nod32 610,787 95.35% 小沢
# Microsoft 609,523 95.15% 創価
---
# Kaspersky 606,897 94.74% 鳩山
# Trend Micro 604,908 94.43% 蓮舫
# AVG 597,580 93.29% 徳之島
---
# Rising 555,879 86.78% 朝鮮人
テスト実施機関: AV-TEST.org
マルウェア総数: 640,591
(検体の内訳)
バックドア: 85,856
ボット: 43,658
トロイの木馬: 407,043
狭義のウイルス: 37,606
ワーム: 66,428
テスト日: 2010年4月26日
テスト対象: 国内でよく知られているウイルス対策ソフト10製品(うち、MicrosoftとAVGは無料版)
*テストの対象は、国内で流通している主要ウイルス対策ソフト。なお「Microsoft」は、MSE(Microsoft Security Essentials)。
199:名無しさん@お腹いっぱい。
10/04/29 10:49:15
>>195
>どれもGumblarをろくに検出できないやつばっかりじゃん
できるよ
Gumblarもドライブバイダウンロードだしね
スクリプト検出しないからダメなんてことはない
200:名無しさん@お腹いっぱい。
10/04/29 11:45:47
>>170
診断して欲しいならURLかけよ
201:名無しさん@お腹いっぱい。
10/04/29 12:55:03
>>199
ダメとまでは言わないが、攻撃の段階が進んでからじゃないと止められないってことだから
スクリプト段階で止められるものより危険性が高いんじゃないか?
202:名無しさん@お腹いっぱい。
10/04/29 14:16:27
スクリプトを検出した→○
↓
リダイレクト先のURLをブロックした→○
↓
落ちてくるファイルを検出した→△(※)
※対策済の場合は何も落ちてこない
↓
AdobeやJAVAが起動したり、HDDがゴリゴリ・・→×
○=安全
△=対策漏れ有(環境を見直すべき)
×=\(^o^)/オワタ
203:名無しさん@お腹いっぱい。
10/04/29 14:18:44
落ちてくるファイルを検出した→○
何問題ない
204:名無しさん@お腹いっぱい。
10/04/29 14:20:02
>>201
攻撃を受けないんだから問題ない
スクリプトだけで防御するよりずっと堅牢
205:名無しさん@お腹いっぱい。
10/04/29 14:24:59
>>202
ダウンロードされるものも脆弱性を利用する攻撃のためのものやマルウェア本体などもある
あんまり分かってないのに不安を煽るな
206:名無しさん@お腹いっぱい。
10/04/29 14:28:00
年末に(多分)踏んで、それ以来月一起動のうちのPCは
未だにフルスキャンかけても何も引っかからないんだが
運がいいのか悪いのか
つうか、本当に有効な8080踏んだんだろうか
実はまともに動いてない地雷だったんだろうか
こんな微妙な状況ではクリーンインスコする気になれん
207:名無しさん@お腹いっぱい。
10/04/29 14:29:29
ノートンがドライブバイダウンロードに強いのは
スクリプトなんて検出しなくても
攻撃に使われる脆弱性を利用しようとするのを検出ブロックするから
だから初期からガンブラーも防御できた
208:名無しさん@お腹いっぱい。
10/04/29 14:35:57
このスレも初期の頃はもっとマシな検証してたんだけど
今はスクリプト検出可否スレになってるからな
209:名無しさん@お腹いっぱい。
10/04/29 14:38:44
つーか、対策済みであれば攻撃目的のファイルは落ちてこないし実行されないのだから
スクリプトが発見されてもされなくてもどちらでもいい。
210:コテハン ◆8080adndqg
10/04/29 14:49:27
【陥落サイトのURL悪用厳禁】
www●hd-cre●com/ab-tz/
san●ron5●com/gbl/
marukin-gohuku●hp●infoseek●co●jp/komono/index●html
211:名無しさん@お腹いっぱい。
10/04/29 15:28:06
感染してるサイトググったんだけど
firefoxのリンク先読み機能切ってない場合アウト?
212:名無しさん@お腹いっぱい。
10/04/29 15:47:41
>>211
事前に>>2の対策がきちんとできていればセーフ。
213:名無しさん@お腹いっぱい。
10/04/29 16:26:27
>>198
相変わらず信用ならんテストだなあ
ところで特に中身は無くていいからHP立ち上げて置けば自分が感染してないか指標の一つになる様な気がするんだけど
HPって立ち上げるのメンドイの?
214:名無しさん@お腹いっぱい。
10/04/29 18:03:39
自分が感染してたら撒き散らすことになるから
215:名無しさん@お腹いっぱい。
10/04/29 18:08:29
>>211 心配ない。
心配なら先読み機能を切る。「 firefox 先読み 無効 」でググりゃんせ。
216:名無しさん@お腹いっぱい。
10/04/29 18:13:29
>>162
kimiyo-web●srv7だが、何か足りなくね?
217:名無しさん@お腹いっぱい。
10/04/29 18:35:30
>>215
本当だな?心配ないんだな?信じていいんだな?
218:215
10/04/29 18:49:23
本当は嘘です
219:名無しさん@お腹いっぱい。
10/04/29 18:51:41
「このスレに書かれていることはすべて嘘です」
220:名無しさん@お腹いっぱい。
10/04/29 19:03:04
狐ってそんな危なっかしい昨日がデフォで有効なのか
221:名無しさん@お腹いっぱい。
10/04/29 19:13:03
>>206
逆にちょっとでも怪しい状況なら
さっさとクリーンインスコして不安要素を取り除いた方が精神的にいいと思うんだが
222:名無しさん@お腹いっぱい。
10/04/29 19:39:04
>>221
データのバックアップ2年近くサボってたんだよ
今更退避しても感染してたら意味ないし
サイトは殆ど動いてないのを一つ持ってて、FFFTP使ってたけど
結局現在にいたるまで改竄の形跡はなし
でもMP3データをCからDに移すだけで、何か謎のエラー(使用中って出た。使ってねえよ)
出たりして、微妙に調子悪い
かといってHDD動きまくってるわけでも、起動が重く、遅くなってるわけでもない
カスペオンラインでも何も出てこない。WINうpだては問題なくできる
ベンダーのサイトにも繋がる
もうどこで感染判定していいのかワカンネ
223:名無しさん@お腹いっぱい。
10/04/29 21:22:15
■Drive-by Downloadとも呼ばれるWebベースの攻撃からコンピュータを保護する上での有効性分析。
URLリンク(www.cascadialabs.com)
┌─ Overall(総合)30ケース
│ ┌─ In-the-Wild
│ │ ┌─ CORE IMPACT
30 = (15) + (15)
| .100%| .100%| .100%| Norton Internet Security 2009
| . .57%| . .60%| . .53%| AVG Internet Security 8.0
| . .46%| . .60%| . .33%| McAfee Internet Security 2009
| . .37%| . .53%| . .20%| Kaspersky Internet Security 2009
| . .27%| . .40%| . .13%| Trend Micro Internet Security 2009
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
2008年9月-10月に行われた結果。
URLリンク(www.cascadialabs.com)
224:名無しさん@お腹いっぱい。
10/04/30 00:39:13
>>222
全部消してOS入れなおせばすっきり!
225:名無しさん@お腹いっぱい。
10/04/30 01:24:02
>>222
移動出来ないMP3を救済したいのならファイルロックの解除ツールを
試してみてはどうか、UNLOCKERが便利、何にロックされてるかも判るよ
ってそういう話じゃないのか、すまない
知らない間にpre21がウイルスを駆除したっぽい、aguse、gredは反応せず
ちゃんと告知しようよ…
あと、www●kagayaki-t●co●jpがスクリプト系の何かに感染してたみたい
226:名無しさん@お腹いっぱい。
10/04/30 01:25:59
間違えた、訂正
×告知 ○公表
227:名無しさん@お腹いっぱい。
10/04/30 03:19:14
>>225
ゲイシのキャッシュ見たらここだぬ。
URLリンク(www.google.com)
URLリンク(www.siteadvisor.com)
gnomeさんとこに紹介されてたお。
Zbotかぁ。。。
228:名無しさん@お腹いっぱい。
10/04/30 03:22:34
>>227補足
他のキャッシュみたら難読化されてないのがあたー。。。
URLリンク(www.google.com)
URLリンク(safeweb.norton.com)
URLリンク(www.siteadvisor.com)
229:名無しさん@お腹いっぱい。
10/04/30 03:31:01
>>228補足の補足
他にもあたー
URLリンク(www.google.com)
URLリンク(www.google.com)
( ゚Д゚)ネムヒー
230:名無しさん@お腹いっぱい。
10/04/30 04:01:56
>>227-229
わざわざ探してくださったのですか、ありがとうございます
Gumblar/8080系ではなかったようですね
スクリプト見ただけじゃどれがどれやらさっぱりだ…
231:名無しさん@お腹いっぱい。
10/04/30 04:06:08
>>230
>>227はURLエンコードにゃ。
232:名無しさん@お腹いっぱい。
10/04/30 04:12:37
>>230
ゴメンもひとつ難読化されてたの見てなかった。上のほうにあるのに…orz....
URLリンク(www.google.com)
URLリンク(www.siteadvisor.com)
233:名無しさん@お腹いっぱい。
10/04/30 08:17:28
>>225
ありがとう。でも、移動は一応出来てるらしい
エラーメッセージとカラのフォルダが残るだけで
AdobeReaderの更新も、何故か一発でいけなかったんだよな・・・
そのままファイル移動できず・更新できず、だと諦めて初期化するか
オフライン専用機にする諦めも付くんだが・・・
>>224
すっきりしたいが、撮り貯めた写真だのなんだの大量にあるからすっきりできねえよ
234:名無しさん@お腹いっぱい。
10/04/30 10:01:34
>>217
KatesKiller
URLリンク(support.kaspersky.co.jp)
235:名無しさん@お腹いっぱい。
10/04/30 13:05:46
ガンブラーさんは年中無休らしいです…なんか一杯出てきたorz
【陥落サイトのURL悪用厳禁】
www●m-gcomm●jp
ivisit-corp●com/company/
stargatepcmaru●com/ual0g/
deaicafe●org/hito332/
kagaden●com/reiai/ :gredでチェック入れて見ると他にも…
236:名無しさん@お腹いっぱい。
10/04/30 13:26:56
> ivisit-corp●com/company/
これはどこに埋め込まれてるの?
237:名無しさん@お腹いっぱい。
10/04/30 13:32:30
>>233
HDDが物理的にあやしいんでね?
バックアップ早めにしたほうがいいかも
238:名無しさん@お腹いっぱい。
10/04/30 13:32:45
>>236
/js/rollover.js
/js/popup.js
239:名無しさん@お腹いっぱい。
10/04/30 13:33:45
>>236
popup.js
rollover.js
240:名無しさん@お腹いっぱい。
10/04/30 13:36:30
かぶったorz、>>238すまない
241:名無しさん@お腹いっぱい。
10/04/30 14:01:07
>>238-239
確認できる方法は?
242:名無しさん@お腹いっぱい。
10/04/30 14:02:37
>>241
danさんとこで見れたよ
243:名無しさん@お腹いっぱい。
10/04/30 14:04:15
>>242追記
gredはcompanyで黒判定
244:名無しさん@お腹いっぱい。
10/04/30 14:05:04
スクリプトが確認できないんだけど
245:名無しさん@お腹いっぱい。
10/04/30 14:11:03
>>244
/jsのURLミスってるとおもう
gredでcompanyを見ればわかるよ
246:名無しさん@お腹いっぱい。
10/04/30 14:21:39
>>235の続き
【陥落サイトのURL悪用厳禁】
tukaoh●com
ekisupa●visual-imp●net :GWにこれはまずくないか…?
247:名無しさん@お腹いっぱい。
10/04/30 14:32:02
visual-imp●net自体がやられてるっぽい
放置アフィサイトじゃないかなこれ
248:名無しさん@お腹いっぱい。
10/04/30 14:44:22
>>247
放置されてるんだorz
だめもとでメル凸しときます
上のサイトにも全部送らないとねえ、見つけりゃ見つけたで大変だ…
249:名無しさん@お腹いっぱい。
10/04/30 14:53:07
ガンブラーに感染しているサイトを閲覧をしてもノートンが反応をしないのだが・・
250:名無しさん@お腹いっぱい。
10/04/30 14:53:49
>>249
そんなときもあるさ
251:名無しさん@お腹いっぱい。
10/04/30 14:57:31
>>249
何の攻撃も受けてないから
252:名無しさん@お腹いっぱい。
10/04/30 15:07:38
>>249
最悪ノートンスルーで感染してても、自覚があるなら調べればすぐわかるって
253:名無しさん@お腹いっぱい。
10/04/30 17:13:46
URLリンク(biz-int.jp)
これの「企業情報」でAVGが反応するんだけど何?
254:名無しさん@お腹いっぱい。
10/04/30 17:26:48
>>253
www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.mystic-rugby.com%2F
やられてるね
255:名無しさん@お腹いっぱい。
10/04/30 17:58:57
>>254
そのサイトはマルチ商法の末期のもので、つい先日集団訴訟が始まったところです。
これは、サイト閉鎖の理由にするためにわざとしたのか、たまたま外部から攻撃されたのかとかわかる?
256:名無しさん@お腹いっぱい。
10/04/30 18:29:41
ガンブラー攻撃に新手口、感染パソコンをDDoS攻撃の踏み台に
URLリンク(pc.nikkeibp.co.jp)
「.ru」ドメイン対策では防げない「Gumblar」攻撃 - マルウェア配布サイトに「.com」などが
URLリンク(www.security-next.com)
257:名無しさん@お腹いっぱい。
10/04/30 19:01:06
>>254
なんで企業情報だけ別ドメインなんだろうね
>>255
わからんよ
ただjava1.jsというファイル名はいろいろ不安になる
258:253
10/04/30 19:22:00
この会社を1年以上見てきたんだけど、以前のリンクはここだったはず。
URLリンク(www.mystic-rugby.com)
あと、「採用情報」のところも反応するので、調べたら以前のリンクはここのよう。
URLリンク(www.micro-opt.com)
以前のリンクはどちらも感染してないのは、復旧を簡単にするためかな?
259:名無しさん@お腹いっぱい。
10/04/30 19:43:20
>>258
そんなことはどうでもいいから>>1読めよ
260:名無しさん@お腹いっぱい。
10/04/30 19:48:13
>>258
www●micro-opt●com トップがやられてる
全ページ改ざんされるわけじゃない
意図的だと思いたいなら勝手に思えばいいけど他人に迷惑かけないでくれ
261:253
10/04/30 19:56:42
申し訳ありませんでした。
262:名無しさん@お腹いっぱい。
10/05/01 04:50:25
「com:8080」あちこち探したけど見つからない…
【陥落サイトのURL悪用厳禁】
myako●net :再改竄ですかね、ここ
www●m-gcomm●jp :.jsに残ってたので再メル凸しときました
ivisit-corpは閉鎖した模様…再開するならちゃんと公表してほしい
そういえばkdashもpre21も全然公表してくれないなあ…
2chで晒されちゃったし、隠しても良い事ないと思うんだけど
263:名無しさん@お腹いっぱい。
10/05/01 12:23:36
> myako●net
確認できないお
264:名無しさん@お腹いっぱい。
10/05/01 12:51:50
/migilink2.js
ってのがやられてる
ほかにもあるかも
265:名無しさん@お腹いっぱい。
10/05/01 12:53:50
ノートンはガンブラーに弱いのですね。
266:名無しさん@お腹いっぱい。
10/05/01 13:00:59
最強だろ
267:名無しさん@お腹いっぱい。
10/05/01 18:57:14
URLリンク(blog.f-secure.jp)
268:名無しさん@お腹いっぱい。
10/05/01 19:35:44
そういえばAdobeとjavaって自動でアップデート出来なかったっけ?
269:名無しさん@お腹いっぱい。
10/05/01 19:57:07
できる。
AdobeReaderのは最近追加&自分で設定する必要あり。
270:名無しさん@お腹いっぱい。
10/05/02 00:04:12
Webシールド付いてるソフトがGumblar対策には有利?
271:名無しさん@お腹いっぱい。
10/05/02 00:36:39
報告してくれる猛者の感染URLを確認しているが、何気にアクセスする可能性は皆無だな。
272:名無しさん@お腹いっぱい。
10/05/02 01:30:16
>>270
あるに越したことはないが、どうせ>>2がきっちりできていれば攻撃は空振りになるので
有利なんて言えるほどの価値はない。
273:名無しさん@お腹いっぱい。
10/05/02 02:08:56
近くにあるネカフェ探してて
URLリンク(www)●freaks.ne●jp/honten/index●shtml
を見てたらEssentialsが反応してたんだけど
感染してる?
274:名無しさん@お腹いっぱい。
10/05/02 02:17:57
js/jump●jsが引っかかった。
275:名無しさん@お腹いっぱい。
10/05/02 02:18:13
>>273
gredによるとGumblar Generic (GJS055)
danさんとこで見たけどわからんかった
276:名無しさん@お腹いっぱい。
10/05/02 02:20:07
>>274
なるほど。わかったthx
5行追加されててこれは相当やばいな
Last-Modified: Sat, 24 Oct 2009 02:01:08 GMT
277:名無しさん@お腹いっぱい。
10/05/02 03:09:29
今更ですけど honten/js/index●js にも仕込まれてますね
無差別爆撃からjsファイル狙い撃ちに切り替えたのかな
278:名無しさん@お腹いっぱい。
10/05/02 13:02:55
san●ron5●com/gbl/
ampmda●com
harappa-h●org/AtoZ
279:名無しさん@お腹いっぱい。
10/05/02 13:10:28
www●komaike●com/drink/
280:名無しさん@お腹いっぱい。
10/05/02 14:23:29
>>278279
これaguseで検出しないのにavastはガンブラー認定する
どっちが正しいのか
281:名無しさん@お腹いっぱい。
10/05/02 14:39:05
>>280
そういうときは黒の結果を信用すべきでしょ
黒だと思ってりゃそれが間違っててもHP見れないだけだが
白だと思って実は黒でしたなんて事になったら目も当てられない
aguseはカスペだったと思うけどVTのカスペがバージョン古い事考えると
aguseも旧バージョンなんじゃね?と妄想
282:名無しさん@お腹いっぱい。
10/05/02 14:47:14
>>280
全部黒だよ
283:名無しさん@お腹いっぱい。
10/05/02 14:58:31
>>280
aguseはスルー多い
最近のはほとんどスルーされる
284:名無しさん@お腹いっぱい。
10/05/02 14:58:46
よくわかんないけど、278と279、カスペ反応したよ。
285:名無しさん@お腹いっぱい。
10/05/02 18:50:19
www●niaufuku●com/sense_up/
286:名無しさん@お腹いっぱい。
10/05/02 19:08:34
www●kaizenya●net
ここも放置ですね
287:名無しさん@お腹いっぱい。
10/05/02 20:22:50
www●sakiko●jp
288:名無しさん@お腹いっぱい。
10/05/03 11:31:31
>>283
Gumblar/8080 Checker
URLリンク(ec2-204-236-148-61.us-west-1.compute.amazonaws.com)
ここは最近のやつにも強いかな?
289:名無しさん@お腹いっぱい。
10/05/03 12:18:58
>>288
ampmda●com
URLリンク(rd.or.tp)
URLリンク(www.virustotal.com)
判断はお任せします
290:名無しさん@お腹いっぱい。
10/05/03 12:25:46
ていうか色々試してみたらいいんじゃない?
検出できないやつを引っ張ってきただけで新型かどうか俺わかんないし
10社以上が検出してるやつでもそこでは引っかからないかもしんない
291:名無しさん@お腹いっぱい。
10/05/03 12:31:42
YouTube - がんばらんば
URLリンク(www.youtube.com)
292:名無しさん@お腹いっぱい。
10/05/03 12:39:04
>>289
(”http5GIu”.substr(0,4)+”://w”+”ebguRx2”.substr(0,4)+”idet”+”v●in”+”fo:”))
↓
-> http://webguidetv●info:
62●67●246●113
293:名無しさん@お腹いっぱい。
10/05/03 16:07:32
>>288
どれも過信は禁物
一般ユーザーは>>2をやっとけばいい
294:名無しさん@お腹いっぱい。
10/05/03 17:22:39
気になることがあるのですが
ググるだけで感染することはありえるのですか
295:名無しさん@お腹いっぱい。
10/05/03 17:31:21
Googleが感染なんてことになればそうなるだろう
296:名無しさん@お腹いっぱい。
10/05/03 17:41:12
avastが反応することはあるんじゃね?
297:名無しさん@お腹いっぱい。
10/05/03 17:49:55
それはリンクの先読みしてるからだ
298:名無しさん@お腹いっぱい。
10/05/03 17:50:05
リンク先読みな
あと右クリックしてリンクをブックマークとか名前を付けて保存とか間違って選択しただけでもヤバイ
履歴に残ってるから何らかのアクセスはしてる
299:名無しさん@お腹いっぱい。
10/05/03 18:02:09
なぜここまで被害が広がったのか
なぜ未だに被害がおさまらないのか
300:名無しさん@お腹いっぱい。
10/05/03 18:15:40
Gamblerが多いのさ
301:名無しさん@お腹いっぱい。
10/05/03 19:52:39
サイト管理者はいつまで冷汗を流せばいいのやら
302:名無しさん@お腹いっぱい。
10/05/03 20:02:42
ちゃんと対策してれば大丈夫なのに冷や汗も何もなくね
303:名無しさん@お腹いっぱい。
10/05/03 20:09:58
>>2の対策はしたがIEとかウェブブラウザのJavaScriptも切っておいた方がいい?
YouTube等利用する時には面倒だけど
304:名無しさん@お腹いっぱい。
10/05/03 20:25:55
動画を見る人が全てのサイトでオフにするのは現実的じゃないね
ドメインによって判断するタイプでも本人が判断できなければ意味がないしなあ
305:名無しさん@お腹いっぱい。
10/05/03 20:28:20
オンで問題ないよ
306:名無しさん@お腹いっぱい。
10/05/03 20:42:21
>>303
良いか悪いかで言えば「良い」ではある
利便性を断てば断つほど安全性が上がるのは間違いないし
307:名無しさん@お腹いっぱい。
10/05/03 21:50:54
え。>>2の対策してたらJavaScript切らなくても良いの?
ダメなんかと思って、ようつべとか、わざわざその時だけオンにしてたのに
308:名無しさん@お腹いっぱい。
10/05/03 22:08:10
切ってればいいじゃん
変に重いブログパーツとか広告とか読みこまなくても済むんだし
309:名無しさん@お腹いっぱい。
10/05/03 22:12:05
FirefoxでNoscript入れて使えばいいじゃん
310:名無しさん@お腹いっぱい。
10/05/03 22:12:48
昔は基本スクリプトOFFで必要なサイトだけONになるように登録しておくという使い方で
スクリプト必須なサイトなんか余り無かったから余裕だったんだけど
今はスクリプト一切使ってないサイトの方が少ないくらいだからな
311:Undetect
10/05/03 23:10:44
スクリプト切ってても駄目なときは駄目なんだなこれが
そういう手立てを考えてきてるしね
312:名無しさん@お腹いっぱい。
10/05/03 23:11:50
URLリンク(pachi-navi)●biz/blog/
313:名無しさん@お腹いっぱい。
10/05/03 23:15:29
スクリプトOFFでも感染するタイプのものもあるからね
スクリプト切るのは気休め程度にはなる
314:名無しさん@お腹いっぱい。
10/05/04 00:27:03
>>312
found:Trojan-Downloader.JS.Pegel.e
try{window.onload=function()…
315:名無しさん@お腹いっぱい。
10/05/04 02:12:34
>>2以上の対策は本当に自己満足や趣味の領域だからなあ。
316:名無しさん@お腹いっぱい。
10/05/04 11:41:06
>>309
request policy
317:名無しさん@お腹いっぱい。
10/05/04 11:53:40
今時ブラウザのJavaScriptをオフるなんてこといってる馬鹿がいるのはここか
318:名無しさん@お腹いっぱい。
10/05/04 11:56:44
じゃあ>>4のテンプレはなんなんだ……
319:名無しさん@お腹いっぱい。
10/05/04 12:02:44
対策してあればそんなことするのは不要って書いてあるじゃん
320:名無しさん@お腹いっぱい。
10/05/04 12:11:01
荒れる元だから、テンプレからJavaScript関係は外すべきだという意見もあったんだけどな。
結局は当時スレ立てした奴がどうしても入れたがって今の形に落ち着いちゃった。
321:名無しさん@お腹いっぱい。
10/05/04 13:00:50
>>319
不要なら>>4入れる必要すらないじゃん
まぁスレ建てた奴が必要だ必要だとゴネたんだろうか
322:名無しさん@お腹いっぱい。
10/05/04 13:24:43
2の対策してなかったら、切った方が良い?
323:名無しさん@お腹いっぱい。
10/05/04 13:31:41
対策しろよw
324:名無しさん@お腹いっぱい。
10/05/04 13:31:46
どうにかして2の対策をしろ
325:名無しさん@お腹いっぱい。
10/05/04 13:35:50
JAVAとJAVAスクリプトの違いがわかってない人もいるらしいからなあ
326:名無しさん@お腹いっぱい。
10/05/04 13:51:18
JAVAと全部大文字で書く奴もいるしな
327:名無しさん@お腹いっぱい。
10/05/04 13:59:11
Cokeと書いてコーラと読むしな
328:名無しさん@お腹いっぱい。
10/05/04 14:10:32
>>321
ゴネたね。
放っとけばNoScriptみたいな特定拡張をテンプレに入れるのが確実なところを
他の奴が説得して、当たり障りのない>>4まで後退させた感じ。
329:名無しさん@お腹いっぱい。
10/05/04 14:16:41
なぜかIEを執拗に推すやつがごねたんだよな
330:名無しさん@お腹いっぱい。
10/05/04 14:28:24
というか、この現行スレを立てた奴も早漏だったんだよな。
前スレの残り50レスぐらいでテンプレの見直し案を話し合えばよかったのにさ。
331:名無しさん@お腹いっぱい。
10/05/04 15:53:13
確か950どころか900を超えた瞬間に立ったんだよな
332:名無しさん@お腹いっぱい。
10/05/04 16:08:34
そもそも>>2の対策してればガンブラーは無力とか言ってる奴は0dayという言葉を知っているのだろうか
333:名無しさん@お腹いっぱい。
10/05/04 16:11:04
>>332
今のところ大丈夫ってだけで無力とはだれもいってないんじゃね
334:名無しさん@お腹いっぱい。
10/05/04 16:27:29
得られる安心感よりも失う利便性の方が勝るような対策をテンプレで勧めるなってこと。
現状でのJavaScript切りは掛け捨てが確実な保険みたいな物なんだからさ。
335:名無しさん@お腹いっぱい。
10/05/04 17:15:21
>>332
今出てるものに対して無力ならそれで十分だろ
これから出る亜種にも完璧です、が成立するんならgumblerに限らず
どのウイルスも感染する騒ぎになんてならないと思うんだが
336:コテハン
10/05/04 18:40:41
久しぶりに掘ってみた
【陥落サイトのURL悪用厳禁】
www●seibidou●jp/ ←中途半端な修正
※products/information_sign/index●htmlとか
www●terralab●net/
bishoujyo●net/
rnacity●com/
■Gumblarっぽいの
www16●tok2●com/home/sawaiwan/part11/information4●html
337:コテハン1
10/05/04 19:11:56
追加
www.hipparidako.net/index.html
338:名無しさん@お腹いっぱい。
10/05/04 19:34:59
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
339:八頭 ◆YAGApwSaEw
10/05/04 19:53:29
いつも貰ってばかりでなんか悪いのでw
Google危険警告ページ
www●444wg●com/
wofxx●com/dnf/105.html
wofxx●com/dnf/106.html
www●dvdktv.com/list.asp?ProdId=0014
340:名無しさん@お腹いっぱい。
10/05/05 01:50:23
毎日このスレ見てるがGENOを最後にユーザーが多いサイトは改ざんにあってないようだね
そもそもGENOも尼や楽天に比べればユーザー数は大した事ないだろうし
URL見てもどうでもいいような個人HPばっかのようだし
341:名無しさん@お腹いっぱい。
10/05/05 02:08:17
> 毎日このスレ見てるがGENOを最後にユーザーが多いサイトは改ざんにあってないようだね
ニュースは見てないのか?
342:名無しさん@お腹いっぱい。
10/05/05 02:08:44
水掛け論になってないか?
目指せ「サルでも判るガンブラー対策」…今更すぎるorz
>>336
www16●tok2●com/home/sawaiwan/part11/information4●html :Gumblar Generic (GJS005)
ここもですね
www●mayabeya●com/mm/mail_magazine●html :Gumblar Generic (GJS003)
>>337
www●hipparidako●net/index●html :8080 Injection (GJS092)
>>339
この類のサイトは放置でも構わない気がしないでもないw
343:名無しさん@お腹いっぱい。
10/05/05 02:11:10
>>340
おまえはなにをいってるんだ
344:名無しさん@お腹いっぱい。
10/05/05 05:13:47
>>341>>343
なんかGENO以外に大事件あったっけ
あーJR束は改ざんされたか
345:名無しさん@お腹いっぱい。
10/05/05 06:13:22
URLリンク(www.so-net.ne.jp)
セキュリティ関連ニュースを過去ログ含めて読んでみるといい
346:名無しさん@お腹いっぱい。
10/05/05 12:29:57
nameps●net/4/2
347:名無しさん@お腹いっぱい。
10/05/05 13:21:59
Gumblarって感染の話ばかりで、どんな発症・被害を与えるのかその中身の話はされないな
348:名無しさん@お腹いっぱい。
10/05/05 13:40:01
それはひょっとしてギャグで言っているのか?
349:名無しさん@お腹いっぱい。
10/05/05 13:45:20
君こそギャグで言ってるのか?
350:名無しさん@お腹いっぱい。
10/05/05 13:51:01
俺がギャグだ
351:名無しさん@お腹いっぱい。
10/05/05 14:33:26
URLリンク(ampmda)●com/?up/download/file/1953752846●zip●html
踏んじまったけどavast反応しねー
352:名無しさん@お腹いっぱい。
10/05/05 14:41:31
>>344
三井住友VISAも改ざんされなかったっけ?
一応プレスリリースで報告出したけど、対応が最低だった
353:名無しさん@お腹いっぱい。
10/05/05 15:14:13
>>352
見てみたけど確かに最低だな
委託会社の責任とはいえ個人情報やクレカ番号流出させといて
保証のほの字も書いてないんじゃなあ…
354:名無しさん@お腹いっぱい。
10/05/05 15:54:22
TOPページの情報からはさっさと消してるしな>三井住友VISA
355:名無しさん@お腹いっぱい。
10/05/05 16:00:13
>>351
>>278だな
gredスルー
aguseスルーだが8080を拾って赤文字表示
そのドメインでぐぐったら必死チェッカーがひっかかった
同一人物が連日貼っているようだね
hissi.org/read.php/news/20100504/SjJBaCtkNVc.html
hissi.org/read.php/news/20100503/RVVtUUl6SWM.html
356:名無しさん@お腹いっぱい。
10/05/05 17:00:16
この問題って
何でTVや新聞で大きく取り上げられないの?
357:名無しさん@お腹いっぱい。
10/05/05 17:09:49
新聞、TVが取り上げてもメリットがないから
三井住友だと自分に出資してるところだったりして
自分の首を絞めることになるから
358:名無しさん@お腹いっぱい。
10/05/05 17:13:01
>>357
サンクス
359:名無しさん@お腹いっぱい。
10/05/05 17:13:37
それなら、GENO以下じゃなかいか
360:名無しさん@お腹いっぱい。
10/05/05 18:48:20
>>356
多少ニュースにはなったけど説明めんどくさくて省略されがち
NHKニュースでわりとまともに扱ってくれたことはあったけど視聴者は思考停止が大半だろうな
361:名無しさん@お腹いっぱい。
10/05/05 18:49:58
Gumblarに感染そして発症→
→サイト管理のIDとPasswordを盗まれる→
→それを使用されサーバ自体から情報が盗まれる、ついでにサイト改竄(ウイルスを仕込む)→
→そのサイトの訪問者にGumblar感染、感染先でまたIDとPasswordが盗まれる→あとは繰り返し
でも不思議なのはサービス提供する企業とかのサーバなのに、なんでそれ使ってネットサーフィンなんかやってんの?
それともアクセスされるだけで感染するわけか
それとゼロデイ攻撃の段階では仕方ないとしても、それ以降はアプデしておくだけで防げたんでそ
なんで企業レベル行政レベルがこんなものに感染し続けたのか
362:名無しさん@お腹いっぱい。
10/05/05 19:17:05
>>361
企業はパッチの安全性や安定性が確認されるまでパッチを導入しないことがほとんど
理由はパッチの適用でシステムが不安定になる可能性がゼロじゃないから
ゼロデイ修正パッチとかは配布元的には配布と同時に適用してもらいたいはずだが
確認が終わるまで導入が見送られるため攻撃に晒されてしまうことがある
363:名無しさん@お腹いっぱい。
10/05/05 19:34:45
>>361
いろいろ勘違いしてるようだけど
サーバ自身でネットサーフィンとかしてるわけじゃないし
感染してるのはサイト管理PCであってサーバじゃない
おそらく話の半分くらいしか理解できてないよね
> それともアクセスされるだけで感染するわけか
アクセスされるだけで感染するのはそのサイトを閲覧したPCであってサーバーじゃない
感染し続けてる理由はサイト管理者のセキュリティ意識が低いからってだけだよ
閲覧してるPCが感染し続けるのは>>362もあるけど
それは企業のサイト改ざんにはあまり結びつかない
364:名無しさん@お腹いっぱい。
10/05/05 19:35:27
>>363補足
サイト管理PCもしくはサイト管理PCと同じネットワーク内にあるPCだ
365:名無しさん@お腹いっぱい。
10/05/05 20:27:34
>>362
聞き覚えある、そういう要素あったね
>>363
なるほどそっかー
サーバでネットサーフィンとか、言われると自分で読んでても確かに痛い誤解
>閲覧してるPCが感染し続けるのは>>362もあるけど
>それは企業のサイト改ざんにはあまり結びつかない
これは>>362は組織・団体レベルのサイト管理者はこれが言い訳にはならないってこと?
ここも合わせて読んで9割は理解できたと思う
URLリンク(www.atmarkit.co.jp)
でもFTPのIDとPasswordを盗られる以外の被害ってあんま語られないね
そのうち暴露系と組み合わさったものが出てくるのかもしれんね
またとんちんかんだったらゴメン笑
366:名無しさん@お腹いっぱい。
10/05/05 20:48:18
>>365
一般ユーザーが多い企業、部署や実際に運用してる基幹系サーバーじゃパッチあてに
慎重なとこもあるけどサイト管理してるとこでそれはありえないでしょ
単に意識が希薄だったとしかいえない
しかも大きめの企業サイトなら管理してるのはシロウトじゃなくプロ
「同一ネットワーク内」の感染があるとしてもプロがやるミスとしてはありえないレベル
> でもFTPのIDとPasswordを盗られる以外の被害ってあんま語られないね
これはいろいろ出てるんだけど適当にまとまったソースはないかもしれない
so-netのセキュリティ通信とかLACあたりにあったかなー
ユーザーにも見える範囲だと偽セキュリティソフトのインストール、
見えないとこだとどっかのサイト攻撃とか
偽セキュリティソフトのインストールはケイダッシュが感染したときの被害者報告でも確認できた
暴露系はP2Pで目的が違うから別です
367:名無しさん@お腹いっぱい。
10/05/05 21:08:21
>>366
暴露系ってP2Pを超えて被害を出したんじゃなかったっけ、山田オルタナティブ、Kenzeroとか
まあスクショ取ってバラ撒くくらいのものがGunblarでもありうるかと思った
いろいろ勉強してくる、ありがとう!
368:名無しさん@お腹いっぱい。
10/05/05 21:16:13
>>366補足
肝心なこと忘れてた
そもそもまともなサイト管理会社ならFTPなんか使わない
>>367
日本のウイルスはイタズラ目的
こういうのはビジネス目的だから違うんだよ
369:名無しさん@お腹いっぱい。
10/05/05 22:35:53
これって感染すると自分のブログも改竄されちゃうの?
元々非公開設定だから改竄されても他人には迷惑かけないとは思うんだけど……
370:名無しさん@お腹いっぱい。
10/05/05 22:46:44
>>355
VIPとかの画像スレとかで見たなそれ
レスに対して不自然な単発レスとか付いてたし
「面白いなこのサイト」とかあったから自演を駆使して踏ませようと必死になってるっぽいw
371:名無しさん@お腹いっぱい。
10/05/05 23:14:15
>>369
FTPサーバ上で提供されるサイトやブログがGumblarに感染して、そうして管理IDとPassを盗られて、それを使って改竄をするんじゃない
だからそのブログを改竄しようと思えばやれるんだけど、そのブログにそんなことする価値があるのかで変わってくるんじゃないのかね
372:名無しさん@お腹いっぱい。
10/05/05 23:27:38
>>371
改竄する価値は無いと思うw
自分のPCが感染してたら
クリーンインストールしてブログのパスワードも変えなきゃいけないのかあと思って
373:名無しさん@お腹いっぱい。
10/05/05 23:36:37
ampmda.comって奴は8080系だからリモートポート8080番塞いでれば無効化できるって認識でいいの?
374:名無しさん@お腹いっぱい。
10/05/05 23:37:40
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
375:名無しさん@お腹いっぱい。
10/05/05 23:40:15
ブログやSNS、HPもやってない俺は>>2以外に何をすればいいのだろう