【Gumblar/GENO】Web改竄ウイルス総合スレ8【8080】at SEC
【Gumblar/GENO】Web改竄ウイルス総合スレ8【8080】 - 暇つぶし2ch116:名無しさん@お腹いっぱい。
10/04/26 16:45:58
バスターの公式サイトがガンブラーで改ざんされたりしたら面白そうだな
過去にも一回やらかしてるだけにもう一回やらかしたらユーザー激減しそうw

117:名無しさん@お腹いっぱい。
10/04/26 17:28:20
それをネタとして流せないあたりが何とも

118:名無しさん@お腹いっぱい。
10/04/26 17:57:26
そういう面白いことはESETとかウィルスセキュリティにやってもらいたいんだが

119:名無しさん@お腹いっぱい。
10/04/26 19:28:13
改ざんならesetもやられたじゃん

120:名無しさん@お腹いっぱい。
10/04/26 19:34:47
なた低レベルなやつが増えてきたな

121:名無しさん@お腹いっぱい。
10/04/26 19:59:46
                 ___ ,,、
            ,  ' ´    /;;;;ヘ`丶
           /       〈;;;;;;;;;;;;ヘ  \
           /_____  \;;;;;;;;;ヘ   \
        〈'´  ____\_.>''´ ̄\    ',
           \/...:::::::::::::___:/    , -、j   〉   /\
        < ̄.::::::::;:> ' {   }      {、;;;;;\┬'  /.  \
       ,≦::::;  ' ´    , ゝ-夂i不丁::::::\;;;;;\__ /::::..   \
      >'´     ,. イ/  |:/イ乙i |::::::::::::::\;;;;〈/;;;::::::::::..   \
     /      , イN|仡}    辷ソノ:::::::::::::::::::iヽ/;;;;;;;;;;::::::::::....    \
     \    ≦:::::::::八.ヒ!、   /.:::::::::::/:::::::| \;;;;;;;;;;;;;;;::::::::::..   \
      \   `<:__;ゝ―‐<::::::::::::; イl:::::::::i   \;;;;;;;;;;;;;;;::::::::::...    \
.         \   /:::/       ヾニニニニヽ;::::::〉    \;;;;;;;;;;;;;;;;:::::::::...   \
          ヽ、|::::|          \     ̄`丶    \;;;;;;;;;;;;;;;;;::::::::..     \
                |::::|                 \    \;;;;;;;;;;;;;;;;;::::::::..    \
             ̄\                     \     \;;;;;;;;;;;;;;;;;;;:::::::...   \_____
                    ヽ ____          /  \     \;;;;;;;;;;;;,;;;;;;:::::::...       /
                    ,.イ    ヽ        i      \     \;;;;,;;;;;;;;;;;;;;;:::::::...   /
                   /:::{               ト、    .......ヽ     \;;;;;;;;;;;;;,;;;;;;;::::::::/

122:名無しさん@お腹いっぱい。
10/04/26 20:29:57
キモイもん貼るなっての

123:名無しさん@お腹いっぱい。
10/04/26 20:59:10
なたなら仕方がない

124:名無しさん@お腹いっぱい。
10/04/26 21:01:12
どうしてこうなた

125:名無しさん@お腹いっぱい。
10/04/26 22:38:34
なったなたにしてやんよ!

ところでケイダッシュ公式が再開してるようだが
URLリンク(www.aguse.jp)
URLリンク(www.aguse.jp)

126:名無しさん@お腹いっぱい。
10/04/26 22:52:02
なたでここ

>>125
上はまだ ぁぅぁぅぁー
スレリンク(news板:329番)

127:名無しさん@お腹いっぱい。
10/04/26 22:55:38
>>126
な(んてこっ)た
aguseGWで覗いて正解だった…危ない危ない

128:名無しさん@お腹いっぱい。
10/04/26 23:03:42
>>125
URLリンク(www.virustotal.com)

ケイダッシュとpre21●jp/に連日凸したが
奴等は電話を切りやがった
人としておかしい
流石三国人w

129:名無しさん@お腹いっぱい。
10/04/27 02:18:58
ところで
やっぱりセキュリティベンダーって信頼に関わるから自社の公式サイトとか配布するツール等は命かけて安全確保してるの?

130:名無しさん@お腹いっぱい。
10/04/27 08:39:45
最近はどこのメーカーも電子署名してるから、電子署名がないようなexeは踏まない

131:名無しさん@お腹いっぱい。
10/04/27 08:44:59
>>115
トロイが仕掛けられたクライアントで更新してるから、いくらやってもまた改変されるとかじゃないの?

>>116
さすがにセキュリティー企業なら、インターネットからだれてもコンテンツ更新とか無理じゃねーの?

Webデザイン企業には、CMSとかにしかアクセスできないようにして、
メインサーバへの更新は社員が社内からやってるんじゃね?

132:名無しさん@お腹いっぱい。
10/04/27 10:21:53
>>92
リンク先読みって火狐でググッただけで感染するのか?コードまで実行しちゃうの?ノートントラップの類じゃないのか

133:62
10/04/27 10:34:47
ケイダッシュはまだprototype.jsが感染してるわけだが、一生このままじゃね?
スカイリンクとかいう会社もケイダッシュもカス。カスが。春日。

134:名無しさん@お腹いっぱい。
10/04/27 11:58:37
誰かが投げたの
URLリンク(www.virustotal.com)
File www.kdash.jp_common_js_prototype. received on 2010.04.26 18:18:29 (UTC)
Result: 7/40 (17.50%)
Avast 4.8.1351.0 2010.04.26 JS:Illredir-AX
Avast5 5.0.332.0 2010.04.26 JS:Illredir-AX
BitDefender 7.2 2010.04.26 Trojan.JS.Agent.EAL
DrWeb 5.0.2.03300 2010.04.26 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.26 Trojan.JS.Agent.EAL
GData 21 2010.04.26 Trojan.JS.Agent.EAL
nProtect 2010-04-26.01 2010.04.26 Trojan.JS.Agent.EAL

さっき漏れが投げたの
URLリンク(www.virustotal.com)
File prototype.js received on 2010.04.27 02:50:00 (UTC)
Result: 9/41 (21.96%)
a-squared 4.5.0.50 2010.04.27 Trojan.JS.Agent!IK
Avast 4.8.1351.0 2010.04.26 JS:Illredir-AX
Avast5 5.0.332.0 2010.04.26 JS:Illredir-AX
BitDefender 7.2 2010.04.27 Trojan.JS.Agent.EAL
DrWeb 5.0.2.03300 2010.04.27 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.26 Trojan.JS.Agent.EAL
GData 21 2010.04.27 Trojan.JS.Agent.EAL
Ikarus T3.1.1.80.0 2010.04.27 Trojan.JS.Agent
nProtect 2010-04-26.01 2010.04.26 Trojan.JS.Agent.EAL

>>133
状況を理解してないのかも。

135:名無しさん@お腹いっぱい。
10/04/27 12:08:20
>>57
まちがえんな、カス

136:名無しさん@お腹いっぱい。
10/04/27 12:09:06
管理者に抜き打ちセキュリティテストとかやってもいいと思うんだ

137:名無しさん@お腹いっぱい。
10/04/27 13:03:47
自分でしないと...

138:名無しさん@お腹いっぱい。
10/04/27 13:46:39
>>133
Last-Modified: Tue, 27 Apr 2010 04:43:37 GMT : common/js/prototype.js
なおたよ。

139:名無しさん@お腹いっぱい。
10/04/27 15:47:23
>>133
キャッシュぐらい消せカスが

140:名無しさん@お腹いっぱい。
10/04/27 16:51:12
ケイダッシュはどうせまた再改ざんくるだろ

141:名無しさん@お腹いっぱい。
10/04/27 18:05:53
>>130
電子署名ない.exe踏まないとか
フリーソフト殆ど使えないじゃん

142:名無しさん@お腹いっぱい。
10/04/27 18:26:21
>>141
インスコ不要なソフト(zip解凍で使えるようなやつ)なら
exeとdllあたりをVirusTotalに投げればだいたいわかるだろ

143:名無しさん@お腹いっぱい。
10/04/27 18:28:39
それだと>>130と矛盾する

144:62
10/04/27 19:44:13
>>139
Google先生のチェッカー使いましたが何か?

そして相変わらず告知無し。こんだけ言われてるのに無視とか新し過ぎる。
メッセサンオー以上だぜ

145:名無しさん@お腹いっぱい。
10/04/27 20:02:32
>>142
>>143が言ってるように>>130はexe踏まない=使わないと言ってる件・・・

146:名無しさん@お腹いっぱい。
10/04/27 20:10:28
>>134
avastとBitDefender以外のフリーものは駄目だね

147:名無しさん@お腹いっぱい。
10/04/27 20:23:58
>>146
bitのフリーは常駐監視ないからGumblar/8080から守れないだろ

148:名無しさん@お腹いっぱい。
10/04/27 21:03:37
aguseとgredと>>91のチェッカーで問題なしなら
そのサイトは安全と見ていいのかな?

149:名無しさん@お腹いっぱい。
10/04/27 21:06:45
>>57
IPアドレスの鯖缶:惑星さんからお返事北。

> We appreciate you bringing this matter to our attention. This issue is currently being investigated. Due to privacy policies, we will most likely not be able to provide you with details regarding the outcome of our investigation.

なんて書いてあるのかよくわかんない。。。orz....
日本語でつーほーしたのがいかんかったのかにゃ。

150:名無しさん@お腹いっぱい。
10/04/27 21:10:38
>>148
安全と断定はできない。
目安程度で過信は禁物。

ガンブラー以外にも脅威はあるし。

151:名無しさん@お腹いっぱい。
10/04/27 21:11:49
>>149
通報ありがとうね
この件は現在調査中だよ
だけどプライバシーの問題で詳細は明かせないよ

って感じ

152:149
10/04/27 21:13:23
>>151
㌧㌧
(゚ν゚)ニホンゴムズカスィネー  だったろうなぁ。

153:名無しさん@お腹いっぱい。
10/04/27 21:13:54
ありがとよ
今から調べちゃる
結果は知らせねぇけどな

154:149
10/04/27 21:17:26
>>153
これまた㌧㌧

返事がこないとこよりも いい(≧∇≦)b

ぐぐるせーふぶらうじんぐとノートン先生のせーふうぇぶつけたのがよかったのかも。

155:名無しさん@お腹いっぱい。
10/04/27 21:38:29
>>144
>>139は多分>>138見て早とちりしたんだと思う。

GMTに9時間足すと日本時間JSTになるので今日の午前11時43分で>>133の1時間後に修復したってことに。

156:名無しさん@お腹いっぱい。
10/04/27 22:12:24
>>148
aguseも最近のはスルー率高いしgredも結構スルーする
そんなもんよりとにかく>>2

157:名無しさん@お腹いっぱい。
10/04/27 23:54:49
gredってただ乗りで検体集めまくってるのにスルーがあるんじゃ意味ねーな

158:名無しさん@お腹いっぱい。
10/04/28 00:01:51
ところで
aguseのカスペもVTと同じで旧バージョンなのかね?

159:名無しさん@お腹いっぱい。
10/04/28 00:11:14
「×××●pipicotts●com」が全滅っぽい

160:名無しさん@お腹いっぱい。
10/04/28 03:24:03
マスターペニス

161:名無しさん@お腹いっぱい。
10/04/28 09:17:23
ケイダッシュは反日創価、だからこのまま放置するよ

162:コテハン ◆8080adndqg
10/04/28 11:45:13
【陥落サイトのURL悪用厳禁】
kimiyo-web●srv7●biz/index●html ←???
gex●sexona●net/


163:名無しさん@お腹いっぱい。
10/04/28 12:00:51
これって証明書がカスペルスキー本家とサーバー証明書が違うということですよね?
URLリンク(up3.viploader.net)
だとしたら、どうやって本家の証明書を取ってきたら良いのですか?
やり方が分かりません。教えてください。

164:名無しさん@お腹いっぱい。
10/04/28 12:29:15
スレ違いだよ馬鹿
OKwave、教えてgoo、ヤフー知恵袋にでも行って聞いてこい

165:名無しさん@お腹いっぱい。
10/04/28 12:39:47
>>163
PC初心者
URLリンク(pc11.2ch.net)

初心者の質問
URLリンク(gimpo.2ch.net)

Kaspersky internet security Part100.カスペルスキーラボ
スレリンク(sec板)

166:名無しさん@お腹いっぱい。
10/04/28 12:44:20
Windows Updateをしてるけどこれってそのまま放置でも対策してくれるの?
マカフィーフルスキャンしたけど何も出てこなかったら安心していい?

167:163
10/04/28 12:55:30
>>163>>164
ありがとう

168:名無しさん@お腹いっぱい。
10/04/28 16:38:12
>>166
ログくらい読めチンカス

169:名無しさん@お腹いっぱい。
10/04/28 18:05:03
www●1a●ad-jeaayf●com

170:名無しさん@お腹いっぱい。
10/04/28 21:43:10
すみませんがちょっと教えて。
外側からwebページを改ざんするっていうのは
どういう仕組みなの?
なにかそういうソフトがあるんですか?
自分の持ってるwebページが勝手にレイアウトが
変わっちゃったんですけど、これッて誰かのいたずら
ですかね。

171:名無しさん@お腹いっぱい。
10/04/28 21:44:22
>>170
いたずらですめばいいけどそういうレベルで済まない場合の方が多いんじゃね
外側からではなく内側からです

172:名無しさん@お腹いっぱい。
10/04/28 22:04:13
>>171
どういうこと?
何かウイルスに感染してるってこと?

173:名無しさん@お腹いっぱい。
10/04/28 22:20:35
結局どのアンチウィルスソフト使えばいいんだよ
スレリンク(news板:86番)

ν速で検体テストやってるから参加してみ。

174:名無しさん@お腹いっぱい。
10/04/28 22:29:33
URLリンク(www.sony.jp)
DR-350USBの商品ページ入るとなんか変になるけど俺だけかな?
戻っても戻っても戻れないみたいな

スレ違いならごめん

175:U.F.O ◆U.F.OT1DQ2
10/04/28 23:01:46
概出だったらスマソ

URLリンク(www)●rctank●jp/
ガンブラーだと思われ。

176:名無しさん@お腹いっぱい。
10/04/28 23:05:57
>>172
その可能性がおおいにある
あとは単純なIDパスワードがアタックされて漏れたとか

>>173
スレ違い

>>174
ブラウザキャシュクリアしてみるとか

177:名無しさん@お腹いっぱい。
10/04/28 23:08:42
ふと思ったんだけど・・・
URLリンク(ja.wikipedia.org)
>マルウェアをコンピュータに感染させ、FTPアカウントを攻撃者に送信させる
これってPFWを適切に設定してあればブロックできると思うのだが
マルウェアがPFW回避行動を取るのか?

178:名無しさん@お腹いっぱい。
10/04/28 23:10:02
>>175
さいごのとこに難読化無しでframeのが入っとるね

179:名無しさん@お腹いっぱい。
10/04/28 23:17:15
>>177
止めちゃうんじゃね

180:名無しさん@お腹いっぱい。
10/04/28 23:17:44
すげぇ、本当にケイダッシュ完全無視してやがる。
これがバーニング系か。
ニュースにもならんし。

181:名無しさん@お腹いっぱい。
10/04/28 23:18:11
>>175絡みでぐぐってみたけどこれもかなあ
www●militarize●org/01.htm

一回失敗してるような感じのコードが見える

182:U.F.O ◆U.F.OT1DQ2
10/04/28 23:19:18
またハヶ━m9( ゚д゚)っ━ン!!

URLリンク(bentominowa)●web●fc2●com/

この後にあるURLも感染を確認・・・
概出だったら土下座します。

183:名無しさん@お腹いっぱい。
10/04/28 23:33:27
>>182
確認できないな
修正はいったかな

184:名無しさん@お腹いっぱい。
10/04/29 00:00:08
www●xn--eckxbbj3b4kwa3fxh●jp
日本語URLうざい…

>>183
gredに仕掛けてみれ

185:名無しさん@お腹いっぱい。
10/04/29 00:04:28
>>175
>>181
>>182
>>184

どれも確認できないのだが。

飛び先のチェック by ぴょん基地の友達
URLリンク(www.kakiko.com)

186:名無しさん@お腹いっぱい。
10/04/29 00:12:55
>>184
xn--はdanさんとこで確認できた

187:名無しさん@お腹いっぱい。
10/04/29 00:13:45
>>185
injection_graph_func.js

188:名無しさん@お腹いっぱい。
10/04/29 00:20:19
連休で悲惨なことにならないといいが、ほんと・・・

189:名無しさん@お腹いっぱい。
10/04/29 00:34:16
むしろ悲惨じゃない状態が想像できない

190:名無しさん@お腹いっぱい。
10/04/29 01:17:59
www●speedchannel●co●jp/campaign/friend09/
/mobile-info/
/mobile-info/
/mobile-info/common/js/jquery●js
/mobile-info/common/js/jquery-auto●js

既出だったらごめんよ
そういや皆さま連休はどのようにお過ごしで?

191:名無しさん@お腹いっぱい。
10/04/29 02:05:35
>>190
うんこがたくさんあるね

192:名無しさん@お腹いっぱい。
10/04/29 03:55:06
>>182のやつ
Aguseで見ると外部と接続するオブジェクトに
helphomecare■at:8080/google■com/download■com/qip■ru■php
がある。
JSファイルの中身だけやられてるらしい。
bentominowa■web■fc2■com/index_files/kotypeb_data/injection_graph_func■js

/*LGPL*/
function E(){ で始まるやつで数字のメモがついてない



193:名無しさん@お腹いっぱい。
10/04/29 04:04:16
<<< JPCERT/CC Alert 2010-04-28 >>>
URLリンク(www.jpcert.or.jp)

いわゆる Gumblar ウイルスによって
ダウンロードされる DDoS 攻撃を行うマルウエアに関する注意喚起

JPCERT/CC では感染するマルウエアの中に新たに DDoS 攻撃を行うものが追加
された事を確認しました。
このマルウエアに感染すると、使用している PC が国内外の企業や組織に対
して、DDoS 攻撃を行う可能性があります。




194:名無しさん@お腹いっぱい。
10/04/29 06:19:44
■Drive-by Downloadとも呼ばれるWebベースの攻撃からコンピュータを保護する上での有効性分析。
URLリンク(www.cascadialabs.com)

   ┌─ Overall(総合)30ケース
   │  ┌─ In-the-Wild
   │  │  ┌─ CORE IMPACT
  30 = (15) + (15)
| .100%| .100%| .100%| Norton Internet Security 2009
| . .57%| . .60%| . .53%| AVG Internet Security 8.0
| . .46%| . .60%| . .33%| McAfee Internet Security 2009
| . .37%| . .53%| . .20%| Kaspersky Internet Security 2009
| . .27%| . .40%| . .13%| Trend Micro Internet Security 2009
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

2008年9月-10月に行われた結果。
URLリンク(www.cascadialabs.com)

195:名無しさん@お腹いっぱい。
10/04/29 07:53:47
データが古すぎて参考にもならない…
どれもGumblarをろくに検出できないやつばっかりじゃん

196:名無しさん@お腹いっぱい。
10/04/29 08:59:02
一般サイトがフィッシング詐欺の踏み台に、Gumblar攻撃と関係か
URLリンク(www.itmedia.co.jp)

197:名無しさん@お腹いっぱい。
10/04/29 09:07:55
セキュアブレインが、Twitter上で不審なURLのチェックが行えるTwitter bot「gredでチェック on Twitter」のベータ版を公開
URLリンク(www.securebrain.co.jp)


198:名無しさん@お腹いっぱい。
10/04/29 09:08:32
>>195
最新はこちら
【AV-Testによる検出率テスト】3月分発表 マカフィーが転落
AV-TESTによる毎月恒例のウイルス検出率テストの3月分結果が発表になった。テストは今回で30回目となる。
2位と3位が入れ替わり。Symantecが2ヶ月連続でランクをあげた。McAfeeは転落した。
4位、5位、6位は先月と変わらずK7とEset、Microsoftがキープ。
Kasperskyは検出率を落とし、TrendMciroが8位に転落。
9位、10位は変わらず、AVGとRisingだった。
順位 ベンダー 検出数  検出率
# Symantec   630,754 98.46% 谷垣
# McAfee    628,906 98.18% 公明
---
# K7 Computing 616,025 96.17% 在日
# Eset Nod32  610,787 95.35% 小沢
# Microsoft   609,523 95.15% 創価
---
# Kaspersky 606,897 94.74% 鳩山
# Trend Micro 604,908 94.43% 蓮舫
# AVG    597,580 93.29% 徳之島
---
# Rising    555,879 86.78% 朝鮮人
テスト実施機関: AV-TEST.org
マルウェア総数: 640,591
(検体の内訳)
 バックドア:  85,856
 ボット:     43,658
 トロイの木馬: 407,043
 狭義のウイルス: 37,606
 ワーム:     66,428
テスト日: 2010年4月26日
テスト対象: 国内でよく知られているウイルス対策ソフト10製品(うち、MicrosoftとAVGは無料版)
*テストの対象は、国内で流通している主要ウイルス対策ソフト。なお「Microsoft」は、MSE(Microsoft Security Essentials)。

199:名無しさん@お腹いっぱい。
10/04/29 10:49:15
>>195
>どれもGumblarをろくに検出できないやつばっかりじゃん
できるよ
Gumblarもドライブバイダウンロードだしね
スクリプト検出しないからダメなんてことはない


200:名無しさん@お腹いっぱい。
10/04/29 11:45:47
>>170
診断して欲しいならURLかけよ

201:名無しさん@お腹いっぱい。
10/04/29 12:55:03
>>199
ダメとまでは言わないが、攻撃の段階が進んでからじゃないと止められないってことだから
スクリプト段階で止められるものより危険性が高いんじゃないか?

202:名無しさん@お腹いっぱい。
10/04/29 14:16:27
スクリプトを検出した→○

リダイレクト先のURLをブロックした→○

落ちてくるファイルを検出した→△(※)
※対策済の場合は何も落ちてこない

AdobeやJAVAが起動したり、HDDがゴリゴリ・・→×

○=安全
△=対策漏れ有(環境を見直すべき)
×=\(^o^)/オワタ

203:名無しさん@お腹いっぱい。
10/04/29 14:18:44
落ちてくるファイルを検出した→○
何問題ない

204:名無しさん@お腹いっぱい。
10/04/29 14:20:02
>>201
攻撃を受けないんだから問題ない
スクリプトだけで防御するよりずっと堅牢

205:名無しさん@お腹いっぱい。
10/04/29 14:24:59
>>202
ダウンロードされるものも脆弱性を利用する攻撃のためのものやマルウェア本体などもある
あんまり分かってないのに不安を煽るな

206:名無しさん@お腹いっぱい。
10/04/29 14:28:00
年末に(多分)踏んで、それ以来月一起動のうちのPCは
未だにフルスキャンかけても何も引っかからないんだが
運がいいのか悪いのか

つうか、本当に有効な8080踏んだんだろうか
実はまともに動いてない地雷だったんだろうか
こんな微妙な状況ではクリーンインスコする気になれん

207:名無しさん@お腹いっぱい。
10/04/29 14:29:29
ノートンがドライブバイダウンロードに強いのは
スクリプトなんて検出しなくても
攻撃に使われる脆弱性を利用しようとするのを検出ブロックするから
だから初期からガンブラーも防御できた

208:名無しさん@お腹いっぱい。
10/04/29 14:35:57
このスレも初期の頃はもっとマシな検証してたんだけど
今はスクリプト検出可否スレになってるからな

209:名無しさん@お腹いっぱい。
10/04/29 14:38:44
つーか、対策済みであれば攻撃目的のファイルは落ちてこないし実行されないのだから
スクリプトが発見されてもされなくてもどちらでもいい。

210:コテハン ◆8080adndqg
10/04/29 14:49:27
【陥落サイトのURL悪用厳禁】
www●hd-cre●com/ab-tz/
san●ron5●com/gbl/
marukin-gohuku●hp●infoseek●co●jp/komono/index●html


211:名無しさん@お腹いっぱい。
10/04/29 15:28:06
感染してるサイトググったんだけど
firefoxのリンク先読み機能切ってない場合アウト?

212:名無しさん@お腹いっぱい。
10/04/29 15:47:41
>>211
事前に>>2の対策がきちんとできていればセーフ。

213:名無しさん@お腹いっぱい。
10/04/29 16:26:27
>>198
相変わらず信用ならんテストだなあ

ところで特に中身は無くていいからHP立ち上げて置けば自分が感染してないか指標の一つになる様な気がするんだけど
HPって立ち上げるのメンドイの?

214:名無しさん@お腹いっぱい。
10/04/29 18:03:39
自分が感染してたら撒き散らすことになるから

215:名無しさん@お腹いっぱい。
10/04/29 18:08:29
>>211 心配ない。
心配なら先読み機能を切る。「 firefox 先読み 無効 」でググりゃんせ。

216:名無しさん@お腹いっぱい。
10/04/29 18:13:29
>>162
kimiyo-web●srv7だが、何か足りなくね?

217:名無しさん@お腹いっぱい。
10/04/29 18:35:30
>>215
本当だな?心配ないんだな?信じていいんだな?

218:215
10/04/29 18:49:23
本当は嘘です

219:名無しさん@お腹いっぱい。
10/04/29 18:51:41
「このスレに書かれていることはすべて嘘です」

220:名無しさん@お腹いっぱい。
10/04/29 19:03:04
狐ってそんな危なっかしい昨日がデフォで有効なのか

221:名無しさん@お腹いっぱい。
10/04/29 19:13:03
>>206
逆にちょっとでも怪しい状況なら
さっさとクリーンインスコして不安要素を取り除いた方が精神的にいいと思うんだが

222:名無しさん@お腹いっぱい。
10/04/29 19:39:04
>>221
データのバックアップ2年近くサボってたんだよ
今更退避しても感染してたら意味ないし
サイトは殆ど動いてないのを一つ持ってて、FFFTP使ってたけど
結局現在にいたるまで改竄の形跡はなし
でもMP3データをCからDに移すだけで、何か謎のエラー(使用中って出た。使ってねえよ)
出たりして、微妙に調子悪い
かといってHDD動きまくってるわけでも、起動が重く、遅くなってるわけでもない
カスペオンラインでも何も出てこない。WINうpだては問題なくできる
ベンダーのサイトにも繋がる

もうどこで感染判定していいのかワカンネ

223:名無しさん@お腹いっぱい。
10/04/29 21:22:15
■Drive-by Downloadとも呼ばれるWebベースの攻撃からコンピュータを保護する上での有効性分析。
URLリンク(www.cascadialabs.com)

   ┌─ Overall(総合)30ケース
   │  ┌─ In-the-Wild
   │  │  ┌─ CORE IMPACT
  30 = (15) + (15)
| .100%| .100%| .100%| Norton Internet Security 2009
| . .57%| . .60%| . .53%| AVG Internet Security 8.0
| . .46%| . .60%| . .33%| McAfee Internet Security 2009
| . .37%| . .53%| . .20%| Kaspersky Internet Security 2009
| . .27%| . .40%| . .13%| Trend Micro Internet Security 2009
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

2008年9月-10月に行われた結果。
URLリンク(www.cascadialabs.com)

224:名無しさん@お腹いっぱい。
10/04/30 00:39:13
>>222
全部消してOS入れなおせばすっきり!

225:名無しさん@お腹いっぱい。
10/04/30 01:24:02
>>222
移動出来ないMP3を救済したいのならファイルロックの解除ツールを
試してみてはどうか、UNLOCKERが便利、何にロックされてるかも判るよ
ってそういう話じゃないのか、すまない

知らない間にpre21がウイルスを駆除したっぽい、aguse、gredは反応せず
ちゃんと告知しようよ…
あと、www●kagayaki-t●co●jpがスクリプト系の何かに感染してたみたい

226:名無しさん@お腹いっぱい。
10/04/30 01:25:59
間違えた、訂正
×告知 ○公表

227:名無しさん@お腹いっぱい。
10/04/30 03:19:14
>>225
ゲイシのキャッシュ見たらここだぬ。
URLリンク(www.google.com)
URLリンク(www.siteadvisor.com)

gnomeさんとこに紹介されてたお。
Zbotかぁ。。。

228:名無しさん@お腹いっぱい。
10/04/30 03:22:34
>>227補足
他のキャッシュみたら難読化されてないのがあたー。。。
URLリンク(www.google.com)
URLリンク(safeweb.norton.com)
URLリンク(www.siteadvisor.com)

229:名無しさん@お腹いっぱい。
10/04/30 03:31:01
>>228補足の補足
他にもあたー
URLリンク(www.google.com)
URLリンク(www.google.com)

( ゚Д゚)ネムヒー

230:名無しさん@お腹いっぱい。
10/04/30 04:01:56
>>227-229
わざわざ探してくださったのですか、ありがとうございます
Gumblar/8080系ではなかったようですね

スクリプト見ただけじゃどれがどれやらさっぱりだ…

231:名無しさん@お腹いっぱい。
10/04/30 04:06:08
>>230
>>227はURLエンコードにゃ。

232:名無しさん@お腹いっぱい。
10/04/30 04:12:37
>>230
ゴメンもひとつ難読化されてたの見てなかった。上のほうにあるのに…orz....
URLリンク(www.google.com)
URLリンク(www.siteadvisor.com)

233:名無しさん@お腹いっぱい。
10/04/30 08:17:28
>>225
ありがとう。でも、移動は一応出来てるらしい
エラーメッセージとカラのフォルダが残るだけで
AdobeReaderの更新も、何故か一発でいけなかったんだよな・・・
そのままファイル移動できず・更新できず、だと諦めて初期化するか
オフライン専用機にする諦めも付くんだが・・・

>>224
すっきりしたいが、撮り貯めた写真だのなんだの大量にあるからすっきりできねえよ

234:名無しさん@お腹いっぱい。
10/04/30 10:01:34
>>217
KatesKiller
URLリンク(support.kaspersky.co.jp)

235:名無しさん@お腹いっぱい。
10/04/30 13:05:46
ガンブラーさんは年中無休らしいです…なんか一杯出てきたorz

【陥落サイトのURL悪用厳禁】
www●m-gcomm●jp
ivisit-corp●com/company/
stargatepcmaru●com/ual0g/
deaicafe●org/hito332/
kagaden●com/reiai/ :gredでチェック入れて見ると他にも…

236:名無しさん@お腹いっぱい。
10/04/30 13:26:56
> ivisit-corp●com/company/
これはどこに埋め込まれてるの?

237:名無しさん@お腹いっぱい。
10/04/30 13:32:30
>>233
HDDが物理的にあやしいんでね?
バックアップ早めにしたほうがいいかも

238:名無しさん@お腹いっぱい。
10/04/30 13:32:45
>>236
/js/rollover.js
/js/popup.js

239:名無しさん@お腹いっぱい。
10/04/30 13:33:45
>>236
popup.js
rollover.js

240:名無しさん@お腹いっぱい。
10/04/30 13:36:30
かぶったorz、>>238すまない

241:名無しさん@お腹いっぱい。
10/04/30 14:01:07
>>238-239
確認できる方法は?

242:名無しさん@お腹いっぱい。
10/04/30 14:02:37
>>241
danさんとこで見れたよ

243:名無しさん@お腹いっぱい。
10/04/30 14:04:15
>>242追記
gredはcompanyで黒判定

244:名無しさん@お腹いっぱい。
10/04/30 14:05:04
スクリプトが確認できないんだけど

245:名無しさん@お腹いっぱい。
10/04/30 14:11:03
>>244
/jsのURLミスってるとおもう
gredでcompanyを見ればわかるよ

246:名無しさん@お腹いっぱい。
10/04/30 14:21:39
>>235の続き

【陥落サイトのURL悪用厳禁】
tukaoh●com
ekisupa●visual-imp●net :GWにこれはまずくないか…?

247:名無しさん@お腹いっぱい。
10/04/30 14:32:02
visual-imp●net自体がやられてるっぽい
放置アフィサイトじゃないかなこれ

248:名無しさん@お腹いっぱい。
10/04/30 14:44:22
>>247
放置されてるんだorz
だめもとでメル凸しときます

上のサイトにも全部送らないとねえ、見つけりゃ見つけたで大変だ…

249:名無しさん@お腹いっぱい。
10/04/30 14:53:07
ガンブラーに感染しているサイトを閲覧をしてもノートンが反応をしないのだが・・

250:名無しさん@お腹いっぱい。
10/04/30 14:53:49
>>249
そんなときもあるさ

251:名無しさん@お腹いっぱい。
10/04/30 14:57:31
>>249
何の攻撃も受けてないから

252:名無しさん@お腹いっぱい。
10/04/30 15:07:38
>>249
最悪ノートンスルーで感染してても、自覚があるなら調べればすぐわかるって

253:名無しさん@お腹いっぱい。
10/04/30 17:13:46
URLリンク(biz-int.jp)
これの「企業情報」でAVGが反応するんだけど何?

254:名無しさん@お腹いっぱい。
10/04/30 17:26:48
>>253
www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.mystic-rugby.com%2F
やられてるね

255:名無しさん@お腹いっぱい。
10/04/30 17:58:57
>>254
そのサイトはマルチ商法の末期のもので、つい先日集団訴訟が始まったところです。
これは、サイト閉鎖の理由にするためにわざとしたのか、たまたま外部から攻撃されたのかとかわかる?

256:名無しさん@お腹いっぱい。
10/04/30 18:29:41
ガンブラー攻撃に新手口、感染パソコンをDDoS攻撃の踏み台に
URLリンク(pc.nikkeibp.co.jp)
「.ru」ドメイン対策では防げない「Gumblar」攻撃 - マルウェア配布サイトに「.com」などが
URLリンク(www.security-next.com)



257:名無しさん@お腹いっぱい。
10/04/30 19:01:06
>>254
なんで企業情報だけ別ドメインなんだろうね

>>255
わからんよ

ただjava1.jsというファイル名はいろいろ不安になる

258:253
10/04/30 19:22:00
この会社を1年以上見てきたんだけど、以前のリンクはここだったはず。
URLリンク(www.mystic-rugby.com)
あと、「採用情報」のところも反応するので、調べたら以前のリンクはここのよう。
URLリンク(www.micro-opt.com)

以前のリンクはどちらも感染してないのは、復旧を簡単にするためかな?

259:名無しさん@お腹いっぱい。
10/04/30 19:43:20
>>258
そんなことはどうでもいいから>>1読めよ

260:名無しさん@お腹いっぱい。
10/04/30 19:48:13
>>258
www●micro-opt●com トップがやられてる
全ページ改ざんされるわけじゃない
意図的だと思いたいなら勝手に思えばいいけど他人に迷惑かけないでくれ

261:253
10/04/30 19:56:42
申し訳ありませんでした。

262:名無しさん@お腹いっぱい。
10/05/01 04:50:25
「com:8080」あちこち探したけど見つからない…


【陥落サイトのURL悪用厳禁】
myako●net :再改竄ですかね、ここ
www●m-gcomm●jp :.jsに残ってたので再メル凸しときました
ivisit-corpは閉鎖した模様…再開するならちゃんと公表してほしい

そういえばkdashもpre21も全然公表してくれないなあ…
2chで晒されちゃったし、隠しても良い事ないと思うんだけど

263:名無しさん@お腹いっぱい。
10/05/01 12:23:36
> myako●net
確認できないお

264:名無しさん@お腹いっぱい。
10/05/01 12:51:50
/migilink2.js
ってのがやられてる
ほかにもあるかも

265:名無しさん@お腹いっぱい。
10/05/01 12:53:50
ノートンはガンブラーに弱いのですね。

266:名無しさん@お腹いっぱい。
10/05/01 13:00:59
最強だろ

267:名無しさん@お腹いっぱい。
10/05/01 18:57:14
URLリンク(blog.f-secure.jp)

268:名無しさん@お腹いっぱい。
10/05/01 19:35:44
そういえばAdobeとjavaって自動でアップデート出来なかったっけ?

269:名無しさん@お腹いっぱい。
10/05/01 19:57:07
できる。
AdobeReaderのは最近追加&自分で設定する必要あり。

270:名無しさん@お腹いっぱい。
10/05/02 00:04:12
Webシールド付いてるソフトがGumblar対策には有利?

271:名無しさん@お腹いっぱい。
10/05/02 00:36:39
報告してくれる猛者の感染URLを確認しているが、何気にアクセスする可能性は皆無だな。

272:名無しさん@お腹いっぱい。
10/05/02 01:30:16
>>270
あるに越したことはないが、どうせ>>2がきっちりできていれば攻撃は空振りになるので
有利なんて言えるほどの価値はない。

273:名無しさん@お腹いっぱい。
10/05/02 02:08:56
近くにあるネカフェ探してて
URLリンク(www)●freaks.ne●jp/honten/index●shtml
を見てたらEssentialsが反応してたんだけど
感染してる?

274:名無しさん@お腹いっぱい。
10/05/02 02:17:57
js/jump●jsが引っかかった。

275:名無しさん@お腹いっぱい。
10/05/02 02:18:13
>>273
gredによるとGumblar Generic (GJS055)
danさんとこで見たけどわからんかった

276:名無しさん@お腹いっぱい。
10/05/02 02:20:07
>>274
なるほど。わかったthx
5行追加されててこれは相当やばいな
Last-Modified: Sat, 24 Oct 2009 02:01:08 GMT

277:名無しさん@お腹いっぱい。
10/05/02 03:09:29
今更ですけど honten/js/index●js にも仕込まれてますね
無差別爆撃からjsファイル狙い撃ちに切り替えたのかな

278:名無しさん@お腹いっぱい。
10/05/02 13:02:55
san●ron5●com/gbl/
ampmda●com
harappa-h●org/AtoZ

279:名無しさん@お腹いっぱい。
10/05/02 13:10:28
www●komaike●com/drink/

280:名無しさん@お腹いっぱい。
10/05/02 14:23:29
>>278279
これaguseで検出しないのにavastはガンブラー認定する
どっちが正しいのか

281:名無しさん@お腹いっぱい。
10/05/02 14:39:05
>>280
そういうときは黒の結果を信用すべきでしょ
黒だと思ってりゃそれが間違っててもHP見れないだけだが
白だと思って実は黒でしたなんて事になったら目も当てられない

aguseはカスペだったと思うけどVTのカスペがバージョン古い事考えると
aguseも旧バージョンなんじゃね?と妄想

282:名無しさん@お腹いっぱい。
10/05/02 14:47:14
>>280
全部黒だよ

283:名無しさん@お腹いっぱい。
10/05/02 14:58:31
>>280
aguseはスルー多い
最近のはほとんどスルーされる

284:名無しさん@お腹いっぱい。
10/05/02 14:58:46
よくわかんないけど、278と279、カスペ反応したよ。


285:名無しさん@お腹いっぱい。
10/05/02 18:50:19
www●niaufuku●com/sense_up/

286:名無しさん@お腹いっぱい。
10/05/02 19:08:34
www●kaizenya●net
ここも放置ですね


287:名無しさん@お腹いっぱい。
10/05/02 20:22:50
www●sakiko●jp

288:名無しさん@お腹いっぱい。
10/05/03 11:31:31
>>283
Gumblar/8080 Checker
URLリンク(ec2-204-236-148-61.us-west-1.compute.amazonaws.com)
ここは最近のやつにも強いかな?

289:名無しさん@お腹いっぱい。
10/05/03 12:18:58
>>288
ampmda●com
URLリンク(rd.or.tp)
URLリンク(www.virustotal.com)
判断はお任せします

290:名無しさん@お腹いっぱい。
10/05/03 12:25:46
ていうか色々試してみたらいいんじゃない?
検出できないやつを引っ張ってきただけで新型かどうか俺わかんないし
10社以上が検出してるやつでもそこでは引っかからないかもしんない

291:名無しさん@お腹いっぱい。
10/05/03 12:31:42
YouTube - がんばらんば
URLリンク(www.youtube.com)

292:名無しさん@お腹いっぱい。
10/05/03 12:39:04
>>289
(”http5GIu”.substr(0,4)+”://w”+”ebguRx2”.substr(0,4)+”idet”+”v●in”+”fo:”))

-> http://webguidetv●info:

62●67●246●113

293:名無しさん@お腹いっぱい。
10/05/03 16:07:32
>>288
どれも過信は禁物
一般ユーザーは>>2をやっとけばいい

294:名無しさん@お腹いっぱい。
10/05/03 17:22:39
気になることがあるのですが
ググるだけで感染することはありえるのですか



295:名無しさん@お腹いっぱい。
10/05/03 17:31:21
Googleが感染なんてことになればそうなるだろう

296:名無しさん@お腹いっぱい。
10/05/03 17:41:12
avastが反応することはあるんじゃね?

297:名無しさん@お腹いっぱい。
10/05/03 17:49:55
それはリンクの先読みしてるからだ

298:名無しさん@お腹いっぱい。
10/05/03 17:50:05
リンク先読みな
あと右クリックしてリンクをブックマークとか名前を付けて保存とか間違って選択しただけでもヤバイ
履歴に残ってるから何らかのアクセスはしてる

299:名無しさん@お腹いっぱい。
10/05/03 18:02:09
なぜここまで被害が広がったのか
なぜ未だに被害がおさまらないのか

300:名無しさん@お腹いっぱい。
10/05/03 18:15:40
Gamblerが多いのさ

301:名無しさん@お腹いっぱい。
10/05/03 19:52:39
サイト管理者はいつまで冷汗を流せばいいのやら

302:名無しさん@お腹いっぱい。
10/05/03 20:02:42
ちゃんと対策してれば大丈夫なのに冷や汗も何もなくね

303:名無しさん@お腹いっぱい。
10/05/03 20:09:58
>>2の対策はしたがIEとかウェブブラウザのJavaScriptも切っておいた方がいい?
YouTube等利用する時には面倒だけど

304:名無しさん@お腹いっぱい。
10/05/03 20:25:55
動画を見る人が全てのサイトでオフにするのは現実的じゃないね
ドメインによって判断するタイプでも本人が判断できなければ意味がないしなあ

305:名無しさん@お腹いっぱい。
10/05/03 20:28:20
オンで問題ないよ


306:名無しさん@お腹いっぱい。
10/05/03 20:42:21
>>303
良いか悪いかで言えば「良い」ではある
利便性を断てば断つほど安全性が上がるのは間違いないし

307:名無しさん@お腹いっぱい。
10/05/03 21:50:54
え。>>2の対策してたらJavaScript切らなくても良いの?
ダメなんかと思って、ようつべとか、わざわざその時だけオンにしてたのに

308:名無しさん@お腹いっぱい。
10/05/03 22:08:10
切ってればいいじゃん
変に重いブログパーツとか広告とか読みこまなくても済むんだし

309:名無しさん@お腹いっぱい。
10/05/03 22:12:05
FirefoxでNoscript入れて使えばいいじゃん

310:名無しさん@お腹いっぱい。
10/05/03 22:12:48
昔は基本スクリプトOFFで必要なサイトだけONになるように登録しておくという使い方で
スクリプト必須なサイトなんか余り無かったから余裕だったんだけど
今はスクリプト一切使ってないサイトの方が少ないくらいだからな

311:Undetect
10/05/03 23:10:44
スクリプト切ってても駄目なときは駄目なんだなこれが
そういう手立てを考えてきてるしね

312:名無しさん@お腹いっぱい。
10/05/03 23:11:50
URLリンク(pachi-navi)●biz/blog/


313:名無しさん@お腹いっぱい。
10/05/03 23:15:29
スクリプトOFFでも感染するタイプのものもあるからね
スクリプト切るのは気休め程度にはなる

314:名無しさん@お腹いっぱい。
10/05/04 00:27:03
>>312
found:Trojan-Downloader.JS.Pegel.e
try{window.onload=function()…

315:名無しさん@お腹いっぱい。
10/05/04 02:12:34
>>2以上の対策は本当に自己満足や趣味の領域だからなあ。

316:名無しさん@お腹いっぱい。
10/05/04 11:41:06
>>309
request policy


317:名無しさん@お腹いっぱい。
10/05/04 11:53:40
今時ブラウザのJavaScriptをオフるなんてこといってる馬鹿がいるのはここか

318:名無しさん@お腹いっぱい。
10/05/04 11:56:44
じゃあ>>4のテンプレはなんなんだ……

319:名無しさん@お腹いっぱい。
10/05/04 12:02:44
対策してあればそんなことするのは不要って書いてあるじゃん

320:名無しさん@お腹いっぱい。
10/05/04 12:11:01
荒れる元だから、テンプレからJavaScript関係は外すべきだという意見もあったんだけどな。
結局は当時スレ立てした奴がどうしても入れたがって今の形に落ち着いちゃった。

321:名無しさん@お腹いっぱい。
10/05/04 13:00:50
>>319
不要なら>>4入れる必要すらないじゃん
まぁスレ建てた奴が必要だ必要だとゴネたんだろうか

322:名無しさん@お腹いっぱい。
10/05/04 13:24:43
2の対策してなかったら、切った方が良い?

323:名無しさん@お腹いっぱい。
10/05/04 13:31:41
対策しろよw

324:名無しさん@お腹いっぱい。
10/05/04 13:31:46
どうにかして2の対策をしろ

325:名無しさん@お腹いっぱい。
10/05/04 13:35:50
JAVAとJAVAスクリプトの違いがわかってない人もいるらしいからなあ

326:名無しさん@お腹いっぱい。
10/05/04 13:51:18
JAVAと全部大文字で書く奴もいるしな

327:名無しさん@お腹いっぱい。
10/05/04 13:59:11
Cokeと書いてコーラと読むしな

328:名無しさん@お腹いっぱい。
10/05/04 14:10:32
>>321
ゴネたね。
放っとけばNoScriptみたいな特定拡張をテンプレに入れるのが確実なところを
他の奴が説得して、当たり障りのない>>4まで後退させた感じ。

329:名無しさん@お腹いっぱい。
10/05/04 14:16:41
なぜかIEを執拗に推すやつがごねたんだよな

330:名無しさん@お腹いっぱい。
10/05/04 14:28:24
というか、この現行スレを立てた奴も早漏だったんだよな。
前スレの残り50レスぐらいでテンプレの見直し案を話し合えばよかったのにさ。

331:名無しさん@お腹いっぱい。
10/05/04 15:53:13
確か950どころか900を超えた瞬間に立ったんだよな

332:名無しさん@お腹いっぱい。
10/05/04 16:08:34
そもそも>>2の対策してればガンブラーは無力とか言ってる奴は0dayという言葉を知っているのだろうか

333:名無しさん@お腹いっぱい。
10/05/04 16:11:04
>>332
今のところ大丈夫ってだけで無力とはだれもいってないんじゃね

334:名無しさん@お腹いっぱい。
10/05/04 16:27:29
得られる安心感よりも失う利便性の方が勝るような対策をテンプレで勧めるなってこと。
現状でのJavaScript切りは掛け捨てが確実な保険みたいな物なんだからさ。

335:名無しさん@お腹いっぱい。
10/05/04 17:15:21
>>332
今出てるものに対して無力ならそれで十分だろ
これから出る亜種にも完璧です、が成立するんならgumblerに限らず
どのウイルスも感染する騒ぎになんてならないと思うんだが

336:コテハン
10/05/04 18:40:41
久しぶりに掘ってみた
【陥落サイトのURL悪用厳禁】
www●seibidou●jp/ ←中途半端な修正
※products/information_sign/index●htmlとか
www●terralab●net/
bishoujyo●net/
rnacity●com/

■Gumblarっぽいの
www16●tok2●com/home/sawaiwan/part11/information4●html

337:コテハン1
10/05/04 19:11:56
追加
www.hipparidako.net/index.html

338:名無しさん@お腹いっぱい。
10/05/04 19:34:59
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***


339:八頭 ◆YAGApwSaEw
10/05/04 19:53:29
いつも貰ってばかりでなんか悪いのでw

Google危険警告ページ
www●444wg●com/
wofxx●com/dnf/105.html
wofxx●com/dnf/106.html
www●dvdktv.com/list.asp?ProdId=0014

340:名無しさん@お腹いっぱい。
10/05/05 01:50:23
毎日このスレ見てるがGENOを最後にユーザーが多いサイトは改ざんにあってないようだね
そもそもGENOも尼や楽天に比べればユーザー数は大した事ないだろうし
URL見てもどうでもいいような個人HPばっかのようだし

341:名無しさん@お腹いっぱい。
10/05/05 02:08:17
> 毎日このスレ見てるがGENOを最後にユーザーが多いサイトは改ざんにあってないようだね
ニュースは見てないのか?

342:名無しさん@お腹いっぱい。
10/05/05 02:08:44
水掛け論になってないか?
目指せ「サルでも判るガンブラー対策」…今更すぎるorz

>>336
www16●tok2●com/home/sawaiwan/part11/information4●html :Gumblar Generic (GJS005)

ここもですね
www●mayabeya●com/mm/mail_magazine●html :Gumblar Generic (GJS003)

>>337
www●hipparidako●net/index●html :8080 Injection (GJS092)

>>339
この類のサイトは放置でも構わない気がしないでもないw

343:名無しさん@お腹いっぱい。
10/05/05 02:11:10
>>340
おまえはなにをいってるんだ

344:名無しさん@お腹いっぱい。
10/05/05 05:13:47
>>341>>343
なんかGENO以外に大事件あったっけ
あーJR束は改ざんされたか

345:名無しさん@お腹いっぱい。
10/05/05 06:13:22
URLリンク(www.so-net.ne.jp)
セキュリティ関連ニュースを過去ログ含めて読んでみるといい

346:名無しさん@お腹いっぱい。
10/05/05 12:29:57
nameps●net/4/2

347:名無しさん@お腹いっぱい。
10/05/05 13:21:59
Gumblarって感染の話ばかりで、どんな発症・被害を与えるのかその中身の話はされないな

348:名無しさん@お腹いっぱい。
10/05/05 13:40:01
それはひょっとしてギャグで言っているのか?

349:名無しさん@お腹いっぱい。
10/05/05 13:45:20
君こそギャグで言ってるのか?

350:名無しさん@お腹いっぱい。
10/05/05 13:51:01
俺がギャグだ

351:名無しさん@お腹いっぱい。
10/05/05 14:33:26
URLリンク(ampmda)●com/?up/download/file/1953752846●zip●html

踏んじまったけどavast反応しねー

352:名無しさん@お腹いっぱい。
10/05/05 14:41:31
>>344
三井住友VISAも改ざんされなかったっけ?
一応プレスリリースで報告出したけど、対応が最低だった

353:名無しさん@お腹いっぱい。
10/05/05 15:14:13
>>352
見てみたけど確かに最低だな
委託会社の責任とはいえ個人情報やクレカ番号流出させといて
保証のほの字も書いてないんじゃなあ…

354:名無しさん@お腹いっぱい。
10/05/05 15:54:22
TOPページの情報からはさっさと消してるしな>三井住友VISA

355:名無しさん@お腹いっぱい。
10/05/05 16:00:13
>>351
>>278だな
gredスルー
aguseスルーだが8080を拾って赤文字表示

そのドメインでぐぐったら必死チェッカーがひっかかった
同一人物が連日貼っているようだね
hissi.org/read.php/news/20100504/SjJBaCtkNVc.html
hissi.org/read.php/news/20100503/RVVtUUl6SWM.html

356:名無しさん@お腹いっぱい。
10/05/05 17:00:16
この問題って
何でTVや新聞で大きく取り上げられないの?

357:名無しさん@お腹いっぱい。
10/05/05 17:09:49
新聞、TVが取り上げてもメリットがないから
三井住友だと自分に出資してるところだったりして
自分の首を絞めることになるから

358:名無しさん@お腹いっぱい。
10/05/05 17:13:01
>>357
サンクス

359:名無しさん@お腹いっぱい。
10/05/05 17:13:37
それなら、GENO以下じゃなかいか

360:名無しさん@お腹いっぱい。
10/05/05 18:48:20
>>356
多少ニュースにはなったけど説明めんどくさくて省略されがち
NHKニュースでわりとまともに扱ってくれたことはあったけど視聴者は思考停止が大半だろうな

361:名無しさん@お腹いっぱい。
10/05/05 18:49:58
Gumblarに感染そして発症→
→サイト管理のIDとPasswordを盗まれる→
→それを使用されサーバ自体から情報が盗まれる、ついでにサイト改竄(ウイルスを仕込む)→
→そのサイトの訪問者にGumblar感染、感染先でまたIDとPasswordが盗まれる→あとは繰り返し

でも不思議なのはサービス提供する企業とかのサーバなのに、なんでそれ使ってネットサーフィンなんかやってんの?
それともアクセスされるだけで感染するわけか
それとゼロデイ攻撃の段階では仕方ないとしても、それ以降はアプデしておくだけで防げたんでそ
なんで企業レベル行政レベルがこんなものに感染し続けたのか

362:名無しさん@お腹いっぱい。
10/05/05 19:17:05
>>361
企業はパッチの安全性や安定性が確認されるまでパッチを導入しないことがほとんど
理由はパッチの適用でシステムが不安定になる可能性がゼロじゃないから

ゼロデイ修正パッチとかは配布元的には配布と同時に適用してもらいたいはずだが
確認が終わるまで導入が見送られるため攻撃に晒されてしまうことがある

363:名無しさん@お腹いっぱい。
10/05/05 19:34:45
>>361
いろいろ勘違いしてるようだけど
サーバ自身でネットサーフィンとかしてるわけじゃないし
感染してるのはサイト管理PCであってサーバじゃない
おそらく話の半分くらいしか理解できてないよね

> それともアクセスされるだけで感染するわけか
アクセスされるだけで感染するのはそのサイトを閲覧したPCであってサーバーじゃない

感染し続けてる理由はサイト管理者のセキュリティ意識が低いからってだけだよ
閲覧してるPCが感染し続けるのは>>362もあるけど
それは企業のサイト改ざんにはあまり結びつかない

364:名無しさん@お腹いっぱい。
10/05/05 19:35:27
>>363補足
サイト管理PCもしくはサイト管理PCと同じネットワーク内にあるPCだ

365:名無しさん@お腹いっぱい。
10/05/05 20:27:34
>>362
聞き覚えある、そういう要素あったね

>>363
なるほどそっかー
サーバでネットサーフィンとか、言われると自分で読んでても確かに痛い誤解
>閲覧してるPCが感染し続けるのは>>362もあるけど
>それは企業のサイト改ざんにはあまり結びつかない
これは>>362は組織・団体レベルのサイト管理者はこれが言い訳にはならないってこと?

ここも合わせて読んで9割は理解できたと思う
URLリンク(www.atmarkit.co.jp)


でもFTPのIDとPasswordを盗られる以外の被害ってあんま語られないね
そのうち暴露系と組み合わさったものが出てくるのかもしれんね
またとんちんかんだったらゴメン笑


366:名無しさん@お腹いっぱい。
10/05/05 20:48:18
>>365
一般ユーザーが多い企業、部署や実際に運用してる基幹系サーバーじゃパッチあてに
慎重なとこもあるけどサイト管理してるとこでそれはありえないでしょ
単に意識が希薄だったとしかいえない
しかも大きめの企業サイトなら管理してるのはシロウトじゃなくプロ
「同一ネットワーク内」の感染があるとしてもプロがやるミスとしてはありえないレベル

> でもFTPのIDとPasswordを盗られる以外の被害ってあんま語られないね
これはいろいろ出てるんだけど適当にまとまったソースはないかもしれない
so-netのセキュリティ通信とかLACあたりにあったかなー
ユーザーにも見える範囲だと偽セキュリティソフトのインストール、
見えないとこだとどっかのサイト攻撃とか

偽セキュリティソフトのインストールはケイダッシュが感染したときの被害者報告でも確認できた

暴露系はP2Pで目的が違うから別です

367:名無しさん@お腹いっぱい。
10/05/05 21:08:21
>>366
暴露系ってP2Pを超えて被害を出したんじゃなかったっけ、山田オルタナティブ、Kenzeroとか
まあスクショ取ってバラ撒くくらいのものがGunblarでもありうるかと思った
いろいろ勉強してくる、ありがとう!

368:名無しさん@お腹いっぱい。
10/05/05 21:16:13
>>366補足
肝心なこと忘れてた
そもそもまともなサイト管理会社ならFTPなんか使わない

>>367
日本のウイルスはイタズラ目的
こういうのはビジネス目的だから違うんだよ

369:名無しさん@お腹いっぱい。
10/05/05 22:35:53
これって感染すると自分のブログも改竄されちゃうの?
元々非公開設定だから改竄されても他人には迷惑かけないとは思うんだけど……

370:名無しさん@お腹いっぱい。
10/05/05 22:46:44
>>355
VIPとかの画像スレとかで見たなそれ
レスに対して不自然な単発レスとか付いてたし
「面白いなこのサイト」とかあったから自演を駆使して踏ませようと必死になってるっぽいw

371:名無しさん@お腹いっぱい。
10/05/05 23:14:15
>>369
FTPサーバ上で提供されるサイトやブログがGumblarに感染して、そうして管理IDとPassを盗られて、それを使って改竄をするんじゃない
だからそのブログを改竄しようと思えばやれるんだけど、そのブログにそんなことする価値があるのかで変わってくるんじゃないのかね


372:名無しさん@お腹いっぱい。
10/05/05 23:27:38
>>371
改竄する価値は無いと思うw
自分のPCが感染してたら
クリーンインストールしてブログのパスワードも変えなきゃいけないのかあと思って

373:名無しさん@お腹いっぱい。
10/05/05 23:36:37
ampmda.comって奴は8080系だからリモートポート8080番塞いでれば無効化できるって認識でいいの?

374:名無しさん@お腹いっぱい。
10/05/05 23:37:40
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***

375:名無しさん@お腹いっぱい。
10/05/05 23:40:15
ブログやSNS、HPもやってない俺は>>2以外に何をすればいいのだろう

376:371
10/05/05 23:48:12
>FTPサーバ上で提供されるサイトやブログがGumblarに感染して、

これ違ったか、個々のクライアントPCが感染するんだ、そしてFTPサーバ上で提供されるサイト開設やブログ開設サービスを使ってる場合にその管理者IDとPassを盗られる
だから、公開してないんだから大丈夫だと思ったけど上記の理由で大丈夫じゃない
それに管理者IDとPass盗られて改竄できるってことは、ただ閲覧されたりもするってことで
犯人たちの目的と興味次第ってことだと


377:名無しさん@お腹いっぱい。
10/05/05 23:52:10
>>372
日本語わからんからそういうの関係ないよ
軒並み改ざんされるだけ
ブログの場合はFTPじゃないとおもうんでまた別だろうけど
感染していた場合はそのPCで犯罪行為の手伝いをさせられるんでクリーンインストール推奨です

378:名無しさん@お腹いっぱい。
10/05/05 23:55:15
botnetwork使ってFTPにアップロード命令させてるんなら
blogまではいちいち改ざんしないとは思うけど
まぁ、過信は禁物だね

379:369
10/05/06 00:03:12
クリーンインストールやって、>>2をしっかりやったあとで、ブログのパスワードも変える
これが一番確かなんですよね
アドバイスくれた方々どうもです

>>2は以前からやってたけど
そもそも自分のブログは改竄される可能性があるのかどうかが気になって
ちょっと気持ち悪かったので質問させてもらいました

380:名無しさん@お腹いっぱい。
10/05/06 00:13:49
つーか被害の広がり方を見ると
意識の低さが浮き彫りになってるな

381:名無しさん@お腹いっぱい。
10/05/06 00:19:09
>>2には「使わないならインストールするな」と書き加えるべきだな

382:名無しさん@お腹いっぱい。
10/05/06 01:06:16
ブログは、直接htmlファイルをいじる訳じゃないし
タグを記述する場合もテキストボックス上で行うから
PCが感染してても問題ないように思うけど

383:名無しさん@お腹いっぱい。
10/05/06 01:27:55
■8080系の対策について
>>2をやっておけば「現時点では」感染しない。
※Adobe ReaderやJavaは必要無いならアンインストールを推奨
【参照】
サイト改ざん猛威:ウイルス感染を100%防げる「ソフトウェアの更新」を
URLリンク(www.so-net.ne.jp)
オラクル、JREの最新版「6 Update 20」公開~早急に更新しないと危険
URLリンク(www.so-net.ne.jp)

■以下は「自己満足」の世界(過剰防衛が好きな人向け)
・ブラウザのJavaScriptを切る(JavaScriptベースのDbd全般に有効)
・*:8080/*を含むURLをブロック(対8080系限定)
・8080番ポートを閉じる(対8080系限定/但し非推奨)


384:名無しさん@お腹いっぱい。
10/05/06 01:40:05
危険ポートを閉じることでセキュリティを強化する。

【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。

ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。

ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。

ポート135 445
URLリンク(www.google.com)

385:名無しさん@お腹いっぱい。
10/05/06 02:51:57
>>384
ポート135を閉じる(RPC停止する)と問題発生することが多いと書いてあったが

>そこで,Windows XPが備えているパーソナル・ファイアウォールやセキュリティ対策ソフトに付いているクライアントPC用のファイアウォール機能で
>危険なポートを閉じれば,感染予防としてはさらに効果があります。しかし,既存システムへ与える影響は大きくなります。
>例えば,各PCでTCP/UDP135番を閉じてしまうと,RPCを用いたシステムやActive Directoryが拠点内でも利用できなくなります。
>また,TCP/UDP139番や445番を閉じると,ファイルやプリンタの共有さえできなくなります。

まあ、やるなら自己責任でってことで

386:385
10/05/06 02:53:33
ごめん、sageるの忘れてた

387:名無しさん@お腹いっぱい。
10/05/06 02:59:50
135はファイアウォールで閉じるのが常識だな
139や445はLANを組んでなかったら閉じても問題ない

388:名無しさん@お腹いっぱい。
10/05/06 03:04:41
ルータのファイアウォールの初期設定は0~1023のポートは閉じてるのが多いんじゃなかったっけ
外部からのアクセスのみだけど

389:名無しさん@お腹いっぱい。
10/05/06 03:08:04
ステートフルインスペクションだね

390:名無しさん@お腹いっぱい。
10/05/06 03:10:32
ステートフルインスペクション はガンブラーには無力だし

391:名無しさん@お腹いっぱい。
10/05/06 03:19:34
>>384にて135ポートを閉じると
OSの再インストールをするはめになる

回避策はあるがド素人はやめとけ

392:名無しさん@お腹いっぱい。
10/05/06 09:18:51
135、445、8080はsymantecのポートスキャンで「ステルス」になっていればいいんじゃないか?

393:名無しさん@お腹いっぱい。
10/05/06 10:13:00
ステルスってポートスキャンに対して反応返さない=空いてるかどうかわからないってだけで閉じてるわけじゃないのでは
シマンテックのスキャン使ったことないからわからないけど

今確認したら俺はポート135,445は受信ストリームはTCP/UDPとも俺は手持ちのカスペがデフォで閉じていた
8080は一応自分でTCP/UDPともリモートポートは閉じてみた

394:名無しさん@お腹いっぱい。
10/05/06 12:47:46
福本先生確認

395:394
10/05/06 12:48:36
誤爆しますた(´・ω・`)

396:名無しさん@お腹いっぱい。
10/05/06 12:54:03
絶対に許さない

397:名無しさん@お腹いっぱい。
10/05/06 13:07:56
絶対にだ

398:名無しさん@お腹いっぱい。
10/05/06 13:13:35
絶対ニダ

399:名無しさん@お腹いっぱい。
10/05/06 13:16:33
謝罪と賠償を求めるニダ

400:名無しさん@お腹いっぱい。
10/05/06 13:34:50
レイシストうざ

401:名無しさん@お腹いっぱい。
10/05/06 13:39:47
半島へ返れ

402:名無しさん@お腹いっぱい。
10/05/06 13:44:37
何言ってんだこのバカ

403:名無しさん@お腹いっぱい。
10/05/06 13:59:12
>>384
サービスを止めるのと、ポートを閉じるのは違うぞ。
サービス止めればOSに問題が起きるだろ。

404:385
10/05/06 16:10:17
>Gumblar.x #
>Gumblar.xの改ざんコードは日本のIPアドレスからのアクセスを弾く!?

URLリンク(www)●securelist●com/en/blog/2132/Gumblar_Farewell_Japan

↑これってGumblar.Xに関しては終息するってこと?

405:名無しさん@お腹いっぱい。
10/05/06 16:45:49
希望的観測はしない方がいい

406:名無しさん@お腹いっぱい。
10/05/06 17:00:33
だな
仮に今弾いてるとしても一時的なものと思ってた方がいい

407:名無しさん@お腹いっぱい。
10/05/06 17:23:32
FFFTPなんて日本人しか使ってないようなソフトを狙ってるんだから
Gumblarの大元の作者は日本への攻撃を念頭に置いてるだろうしな

408:名無しさん@お腹いっぱい。
10/05/06 17:29:59
日本の奴はアホみたいにかかるからな

409:名無しさん@お腹いっぱい。
10/05/06 17:34:47
「るーたーがあるからだいじょうぶ」「さわぎすぎだろ」
老害の思考はこんなもんです
そして「自分だけは大丈夫」と思ってる奴がかかってサイト持ちがまたバラ撒く悪循環

410:名無しさん@お腹いっぱい。
10/05/06 17:56:06
「自分だけは大丈夫」とか「ヘンなとこ見ないから俺には関係ない」とかホントにいるからなあ
そのくせ対策はセキュソフト任せでWindowsUpdateやってればマシな部類という…

411:名無しさん@お腹いっぱい。
10/05/06 18:03:12
OSアプデしててアンチウイルスきちんと使ってて、それ以上なにしろってんだ
PCにどこまでも人生の時間使ってられるかよ


412:名無しさん@お腹いっぱい。
10/05/06 18:10:45
>>411
本来それが理想なんだがな

413:名無しさん@お腹いっぱい。
10/05/06 18:29:43
クラウドコンピューティングが発達して行くと個人レベルではウイルス対策から開放される

これは間違いか?

414:名無しさん@お腹いっぱい。
10/05/06 18:31:29
評論家ごっこは他所でやれよ

415:名無しさん@お腹いっぱい。
10/05/06 18:31:50
ぺぺぺ^_^

416:名無しさん@お腹いっぱい。
10/05/06 18:32:08
pdfリーダーとflashplayerとjavaはアンインスコ推奨の方がいいと思う
今は大丈夫でも対策されるのは時間の問題だろうし
少なくとも、わざわざこんな板まで来るくらいに危機意識持ってるならアンインスコ必須かと

417:名無しさん@お腹いっぱい。
10/05/06 18:34:46
>>415
なんだあ、ぺぺぺって
わかりにくい反応すんなw

418:名無しさん@お腹いっぱい。
10/05/06 18:37:06
>>416
(  ゚,_ゝ゚)バカジャネーノ

419:名無しさん@お腹いっぱい。
10/05/06 18:38:44
>>416
JavaScriptも切っておけよ、極論厨

420:名無しさん@お腹いっぱい。
10/05/06 18:40:11
>>416
動画見れないとかなるとPC使う理由が半分はなくなる
エロだけのこと言ってんじゃないよ?
Flashplayer使えないとかネットしててもおもしろくないよ

421:名無しさん@お腹いっぱい。
10/05/06 18:40:15
>>419
それは普通に切るだろ

422:名無しさん@お腹いっぱい。
10/05/06 18:40:46
>>416
PDFリーダーとJavaはともかくFlash Playerアンインスコは非現実的でしょ

423:名無しさん@お腹いっぱい。
10/05/06 18:52:29
ブラウザの中にはFlashplayerを簡単にその場その場でON/OFFできるものがある
そういうものを使えば両者対立せずに済む

終了

424:名無しさん@お腹いっぱい。
10/05/06 19:44:09
>>423
で、OFFにしておいたまま放置してバージョンが古くなったFlashPlayerの
脆弱性をつつかれて感染ですね
わかります

425:名無しさん@お腹いっぱい。
10/05/06 19:53:56
Gumblarかかる層なんて、そもそもブラウザIEしかしらないのがほとんどだし
ON/OFF切り替えなんて発想無いぞ?

426:名無しさん@お腹いっぱい。
10/05/06 19:56:46
仮想環境にすればいい

427:名無しさん@お腹いっぱい。
10/05/06 21:56:37
ブラウザをアンインストールすれば解決

428:名無しさん@お腹いっぱい。
10/05/06 22:16:50
全人類が秘密を共有すれば解決

429:名無しさん@お腹いっぱい。
10/05/06 22:43:21
Gumblarかかる層なんてOSはWindowsしかしらないし

430:名無しさん@お腹いっぱい。
10/05/06 22:52:36
それ以前にガンブラーがどんなものか知らないに10モリタポ

431:名無しさん@お腹いっぱい。
10/05/06 22:55:11
すげえ低レベルになったな

432:名無しさん@お腹いっぱい。
10/05/06 23:00:09
へぇ
レベル高かったことって
あったっけ

433:名無しさん@お腹いっぱい。
10/05/06 23:01:26
ガンブラーのAAが初めてはられたときのみレベルが高かった
それ以外は糞

434:名無しさん@お腹いっぱい。
10/05/06 23:44:22
>>420
動画は落としてから見ればいいんじゃないか?

435:名無しさん@お腹いっぱい。
10/05/06 23:44:26
ガンブラーとガンプラの違いがわからないに1狐ぽ

436:名無しさん@お腹いっぱい。
10/05/06 23:59:40
違法な行為にならないか, よく調べて実行するように
URLリンク(www39.atwiki.jp)

437:名無しさん@お腹いっぱい。
10/05/07 00:31:55
Webブラウザ仮想化しておけば無問題じゃねーの
なんならOS毎仮想化しとけ

438:名無しさん@お腹いっぱい。
10/05/07 01:25:58
Gumblarかかる層の人間の話してるのに、なんで仮想化なんてキーワードが出てくるんだろう
奴等にできるわけねーだろ

439:名無しさん@お腹いっぱい。
10/05/07 02:50:45
荒れすぎワロタ

440:名無しさん@お腹いっぱい。
10/05/07 13:13:31
www●ems-kankyo●co●jp

441:名無しさん@お腹いっぱい。
10/05/07 13:29:45
てすt

442:コテハン ◆8080adndqg
10/05/07 14:16:53
www●hd-cre●com/bj-fh ←なんだこれ?
newegg-com●paypal●com●renren-com●wayoutmall●ru:8080/・・・以下略
<?eval(base64_decode("Cm1i・・・
あふぃ・・・なのか?

443:名無しさん@お腹いっぱい。
10/05/07 14:39:16
>>442
憶測は書くな。

444:名無しさん@お腹いっぱい。
10/05/07 17:24:20
それはそうとflash playerは10.0.45.2からしばらく更新が無いね

445:コテハン ◆8080adndqg
10/05/07 18:00:22
>>443 [・皿・;]
--
【陥落サイトのURL悪用厳禁】
blog●ceed●jp/ ←サイト内全滅w(.jsも)
myako●net/ ←中途半端な修正
※java2/imgkotei●js

www●hds-x●com/ ←Refresh

www●hds-x●com/top●html ←Gumblarがw
doujinnews●jp


446:名無しさん@お腹いっぱい。
10/05/07 18:20:53
>>445
一番下のドメインがこわい

447:名無しさん@お腹いっぱい。
10/05/07 18:21:23
気になるのだが
そのサイトのトップにはgumblerがあったとしても
そのサイトのトップ以外のページ(コラムとか他サイトへのリンクページとか)にはgumblerが無く
そこを見る分には大丈夫という場合はあるのか

まあ、>>2の対策をしていてもわざわざそんなページを見に行く物好きもそういないとおもうけど

448:名無しさん@お腹いっぱい。
10/05/07 18:22:10
>>444
そろそろまた新しいゼロデイが発生する頃だよな…
来月か再来月くらいのWindowsUpdateの前後に更新されると予想

449:名無しさん@お腹いっぱい。
10/05/07 18:23:10
>>447
あるけどいつ埋め込まれるかわからんしおすすめはしない

450:名無しさん@お腹いっぱい。
10/05/07 18:36:05
doujinnewsのとこ一番下だけじゃなく一番上にもあるのか
初めて見たけどいままで気付かなかっただけかな

451:名無しさん@お腹いっぱい。
10/05/07 18:57:55
adobeのセキュリティ意識の低さはもう完全に露呈されたんだから
flashplayerの代替品をMS辺りが用意してくれよ

452:名無しさん@お腹いっぱい。
10/05/07 19:20:07
>>451
F-Secureブログで、F-Secureで開発するかもって言ってた

453:名無しさん@お腹いっぱい。
10/05/07 19:20:48
>>451
つsilver light

454:名無しさん@お腹いっぱい。
10/05/07 20:25:13
>>451
どう間違ったらそこでMSなんだよ

455:名無しさん@お腹いっぱい。
10/05/07 20:57:52
>>453
silver lightは代替手段としてはありだと思うが
今の半分くらいまで負荷を下げてくれないと低スペPCがつらい
あとグラボの再生支援への対応

456:名無しさん@お腹いっぱい。
10/05/07 21:02:25
×silver light
○Silverlight

457:名無しさん@お腹いっぱい。
10/05/07 21:28:43
HTML5でいいじゃん

458:名無しさん@お腹いっぱい。
10/05/07 21:38:23
現時点ではHTML5用のリッチコンテンツを簡単に作るようなツールがないからなあ…

459:名無しさん@お腹いっぱい。
10/05/07 22:08:32
codec決まってないべ

460:名無しさん@お腹いっぱい。
10/05/07 22:23:10
IE9ではH.264のみらしいけど

461:コテハン ◆8080adndqg
10/05/07 23:37:20
doujinnews●jp 検索結果 約 7,730 件
www●google●co●jp/search?q=site%3Adoujinnews●jp&btnG=%E6%A4%9C%E7%B4%A2&hl=ja&lr=&sa=2
\(^o^)/オワタ

462:名無しさん@お腹いっぱい。
10/05/08 00:23:21
ガンブラー攻撃が常態化、トレンドマイクロ、4月のウイルス感染・報告ランキング(japan.internet.com)
URLリンク(headlines.yahoo.co.jp)

Yahooトップ

463:名無しさん@お腹いっぱい。
10/05/08 00:33:51
>>461
なんか気のせいか物凄まじくやばいような。

464:名無しさん@お腹いっぱい。
10/05/08 00:34:24
さっきMSEでTrojanDownloader:JS/Psyme.genが検出されたがGumblar?

465:名無しさん@お腹いっぱい。
10/05/08 00:34:37
俺もついに感染したようだ。このスレのアドレス開いてから
すぐにブルースクリーンになったりで調子が悪い

466:名無しさん@お腹いっぱい。
10/05/08 00:41:40
>>465
Kaspersky File Scanner オンラインウイルススキャン
URLリンク(blog.ceed.jp)

これで検出されなければ感染してないよ

467:名無しさん@お腹いっぱい。
10/05/08 00:48:06
>>465
Online Scanner
URLリンク(www.f-secure.com)

468:名無しさん@お腹いっぱい。
10/05/08 00:57:17
>>466-467
乙。

469:名無しさん@お腹いっぱい。
10/05/08 01:01:20
>>466-467ってKasperskyやF-secure以外のアンチウイルスソフト使っててもスキャン出来るの?

470:名無しさん@お腹いっぱい。
10/05/08 01:06:01
>>469
は?

471:名無しさん@お腹いっぱい。
10/05/08 01:08:24
>>470
あれ 競合しないのか

472:名無しさん@お腹いっぱい。
10/05/08 01:08:31
オンラインスキャンがなんたるかをよく理解してないらしい

473:名無しさん@お腹いっぱい。
10/05/08 01:08:37
>オンラインウイルススキャン
>Online Scanner

474:名無しさん@お腹いっぱい。
10/05/08 01:10:18
>>471
そんな認識だからPCウイルスに感染するんだぞ(笑)

475:名無しさん@お腹いっぱい。
10/05/08 01:12:23
>>465
このスレのアドレス?
このスレ開いたら感染するのか?

476:名無しさん@お腹いっぱい。
10/05/08 01:17:55
>>474
ホントにな…

477:名無しさん@お腹いっぱい。
10/05/08 01:25:00
>>464
トロイの木馬だけどGumblarでは無いな

478:名無しさん@お腹いっぱい。
10/05/08 01:25:45
>>475
うん

479:名無しさん@お腹いっぱい。
10/05/08 01:31:02
>>478
そんなこと全然ないけど?
live2chで見てるけど全然平気なんだけど
>>2の対策をしてるからかな?

480:名無しさん@お腹いっぱい。
10/05/08 01:33:50
>このスレのアドレス?
うん

>このスレ開いたら感染するのか?
うん

どっちやねん

481:名無しさん@お腹いっぱい。
10/05/08 01:36:51
>>479
信じるなよw

482:名無しさん@お腹いっぱい。
10/05/08 01:53:25
PDFに埋め込まれた全プログラムを無効化できるようになった「Foxit Reader」v3.3
URLリンク(www.forest.impress.co.jp)

これどうなんだろ?

483:名無しさん@お腹いっぱい。
10/05/08 02:07:23
対策もしてないのにこのスレで挙げられてる陥落サイトのアドレスを
うっかり踏んじゃったってことじゃないか。

484:名無しさん@お腹いっぱい。
10/05/08 02:27:36
>>466-476
競合もしないレベルで動くオンラインスキャン使ってスキャンして、
それで何もないからってどれ位の意味なの

485:名無しさん@お腹いっぱい。
10/05/08 02:29:52
結局そのオンラインスキャンを実行してるのは、感染疑いのあるそのPC自体でしょ
すくなくともインストールして使うもの利用したほうがいいのかね

486:名無しさん@お腹いっぱい。
10/05/08 03:12:02
doujinnewsのやつ
URLリンク(www.virustotal.com)
結果: 1/41 (2.44%)
McAfee-GW-Edition:Heuristic.BehavesLike.HTML.Shellcode.K

487:名無しさん@お腹いっぱい。
10/05/08 08:17:07
>>466のアドレスへ行ったのですが、
Kasperskyのオンラインスキャンがあるのかわかりません。
どなたか教えてください。よろしくお願いします。


488:名無しさん@お腹いっぱい。
10/05/08 08:36:53
>>487
そこGumblarの可能性ありって出るよ

489:名無しさん@お腹いっぱい。
10/05/08 09:09:12
www●spoffice●jp

株式会社セカンドプランニング この会社が関わっている
yamatwo●jp
www●sobank●jp
www●spoffice●jp
全てが改ざん

490:名無しさん@お腹いっぱい。
10/05/08 09:23:25
>>488
そうですか・・・
教えてくださってありがとうございます。
一応>>2-3あたりの対策はしているのですが
クリーンインストールした方がいいですか?
何度もすいません。

491:名無しさん@お腹いっぱい。
10/05/08 09:35:13
ネット上にあがってるWebサイトの改竄方法を教えてください
ウイルスを仕込むわけではなくバナーを消したり文章を変える程度です
Web改竄について詳しく書いてあるサイトを教えてくれる形でもいいです
お願いします

492:名無しさん@お腹いっぱい。
10/05/08 09:40:27
スレチだゴミ

493:名無しさん@お腹いっぱい。
10/05/08 09:57:54
最近嘘書いて改ざんサイトに誘導するバカが出没してるな
しかもそれに対して大体レスが付くことから自演を駆使してるようだ
どうせ>>465-471あたりは同一人物だろ
でもって>>490はキモイ流れになってる事とおかしなURLから危険を察しろ

494:名無しさん@お腹いっぱい。
10/05/08 11:53:36
suncs●sakura●ne●jp
www●kfbclub●com

495:名無しさん@お腹いっぱい。
10/05/08 12:06:55
>>490
URLがそのままなのはまあ黒だろ
迂闊に踏む前にちょっと流れ見るべきだね
どうせ誘導したいクソは自分が踏んで感染した腹いせなんだろうが
ひょいとのぞきに来たような人は無理に流れに参加しようとしなくていい

496:名無しさん@お腹いっぱい。
10/05/08 12:47:39
>>493>>495
ご迷惑掛けてすいません。
クリーンインストールはいいのですが
残しておきたいデータなどがあるのでほんと落ち込んでます。
今は起動させてない外付けがあるのですが、
そちらに移すと外付けの方にもダメになりますか?
基本的なことかもしれませんがどうか教えてください。



497:名無しさん@お腹いっぱい。
10/05/08 13:38:36
>>496
そんな大事なデータをバックアップとっていないのなら
今回は勉強として諦めた方がいいよ
悔しいのはわかるけどね

498:名無しさん@お腹いっぱい。
10/05/08 13:39:35
>>496
ざまあああああ

499:名無しさん@お腹いっぱい。
10/05/08 14:16:12
>>496 aguseで確認
dirtysin.ru:8080○google.com○kakaku.com○110mb.com○php

ご愁傷様・・・

500:名無しさん@お腹いっぱい。
10/05/08 14:31:59
最近のGumblarはGENOみたいに動作が重くなるとか変なファイル作成はあるのかなあ

501:名無しさん@お腹いっぱい。
10/05/08 14:44:03
>>2をしっかりやってても踏んだら感染するのか?・・

502:名無しさん@お腹いっぱい。
10/05/08 15:03:13
MyJVNバージョンチェッカ IE8に対応すればいいのになあ

URLリンク(jvndb.jvn.jp)

503:名無しさん@お腹いっぱい。
10/05/08 15:21:11
Windows 7にも未対応だって笑わせるな

504:名無しさん@お腹いっぱい。
10/05/08 16:00:29
>>496
そんな大事なら他のメディアに移すことも考えてみたら
Gumblarの挙動の基本はサイトの管理者アカウントを盗むことらしいし
亜種だったら他のこともするらしいけど
このスレにそこらの書き込みあったと思うよ
一方でOSクリーンインストールする時には、HDD上にデータはすべて消してからのがいいんだろうね多分

505:名無しさん@お腹いっぱい。
10/05/08 16:01:49
107 :('д') ◆yUyb3Tqn92 :2010/05/08(土) 15:04:26 ID:f48FTMOs
>>97はここのコピペだぞw
URLリンク(blog.ceed.jp)

よくできておるのう ´,дゝ`)コピペにマジレス乙だお





↑を踏んでしまいました。
このコテが言うにはガンブラウィルスらしいのですが、釣りや脅しのような気がするので鑑定よろ

506:名無しさん@お腹いっぱい。
10/05/08 16:07:14
アドレス貼りのルールも守れない馬鹿にはいい気味だ

507:名無しさん@お腹いっぱい。
10/05/08 16:08:20
>>505
馬鹿か
すれ違いじゃ

508:名無しさん@お腹いっぱい。
10/05/08 16:09:11
>>506
馬鹿
所詮ローカルルールだと気づけ馬鹿

509:名無しさん@お腹いっぱい。
10/05/08 16:10:02
505 ざまぁwwww

510:名無しさん@お腹いっぱい。
10/05/08 16:10:04
sageろとかいう馬鹿と同じで
システム上できることは仕様だから仕方ないさ
よほどのことしないかぎりね。


511:名無しさん@お腹いっぱい。
10/05/08 16:11:06
マジレスすると('д')のコテ付けた奴はウィルス貼ってる常習犯なわけだが
今回ばかりは505みたいな阿呆にウィルスを踏ませた('д')をGJと言いたいwwwwwww

512:名無しさん@お腹いっぱい。
10/05/08 16:11:46
ガチでGumblarだしざまぁ
URLリンク(dirtysin)●ru:8080/google●com/kakaku●com/110mb●com●php

513:名無しさん@お腹いっぱい。
10/05/08 16:14:02
>>512
>>5>>91のチェッカー全部スルーしてやがる


514:名無しさん@お腹いっぱい。
10/05/08 16:16:11
os:win7 64bit アップデート済み
northon2010 更新済み
adobe reader 最新ver

JREはup17だったと思われ。
この環境で上記URL踏んでしまったのだが
ノートン先生でフル検索かけてもウィルスが見つからない。
後外部から自分のPCに向けてポートスキャンかけてみたけど(LANで)、異常無し。

普段wimaxで接続してるからgkbrなんだが…さてはて

515:名無しさん@お腹いっぱい。
10/05/08 16:18:00
上記

516:514
10/05/08 16:21:53
おいらが踏んだのはこれです。
URLリンク(blog)<)○megalodon.jp/2008-0922-1659-16/www○geocities○com/imomushi2005/imomushi20○htm
これを踏んで
Nine-Ball Mass Injectionがどうたらって警告が出たので
その対策を調べに来ていてやられました。マジ情けない…

517:名無しさん@お腹いっぱい。
10/05/08 16:26:01
>>516
お前>>505だろwwwwwwwwwwww
だからURL貼り忘れたんだべwwwwwww他いけよもうw

518:491
10/05/08 16:28:33
>>492
スレチかもしれませんがここのスレの人が一番詳しそうなので>>491について教えてくださいお願いします


519:名無しさん@お腹いっぱい。
10/05/08 16:31:51
ママに聞けクソガキ

520:名無しさん@お腹いっぱい。
10/05/08 16:33:13
>>518
犯罪

521:名無しさん@お腹いっぱい。
10/05/08 16:41:42
>>518
ばーか

522:名無しさん@お腹いっぱい。
10/05/08 16:46:15
>>518
バカ

523:名無しさん@お腹いっぱい。
10/05/08 16:47:28
いろいろ、ヘンなのが沸いてきたね。
連休疲れ?

524:名無しさん@お腹いっぱい。
10/05/08 16:54:24
>>518

                ハ        _
    ___         ∥ヾ     ハ
  /     ヽ      ∥::::|l    ∥:||.
 / 聞 え  |     ||:::::::||    ||:::||
 |  こ ?  |     |{:::::∥.  . .||:::||
 |  え      |     _」ゝ/'--―- 、|{::ノ!
 |  な 何   |  /   __      `'〈
 |  い ?   ! /´   /´ ●    __  ヽ
 ヽ      / /     ゝ....ノ   /´●   i
  ` ー―< {           ゝ- ′ |
        厶-―    r  l>        |
      ∠ヽ ゝ-―     `r-ト、_,)      |
      レ^ヾ ヽ>' ̄     LL/  、   /
      .l   ヾ:ヽ ` 、_      \\ '
     l    ヾ:ヽ   ト`ー-r-;;y‐T^
      |    ヾ `ニニ「〈〉フ /∥. j

525:名無しさん@お腹いっぱい。
10/05/08 17:26:33
>>517
違うんじゃないか
urlが中途半端に違う
このスレで踏んだ奴だろ

>>505は、=>>508>>510

つーか規制食らったww

526:コテハン ◆8080adndqg
10/05/08 18:49:58
>>501
最新版に更新済でも、JAVAの旧バージョンの残骸が残ってたりすると
やられてしまう可能性があるのです・・・

このスレの住人以外の方へ>
貼ってあるアヤシイURLは直接踏まず
【aguse Gateway】
URLリンク(gw.aguse.jp)
ここを使いましょう。

>aguse Gatewayとは?
スクリーンキャプチャを使った完全に安全なブラウザ型ゲートウェイです。
>サイトを1枚ずつキャプチャして見せ、ブラウザに準じた動作が可能です。


527:名無しさん@お腹いっぱい。
10/05/08 18:57:29
感染確認方法がないのが怖い

528:名無しさん@お腹いっぱい。
10/05/08 18:57:33
aguseは現状のGumblar検出用には当てにならん
あやしいURLリンク(www.example.com:8080)の:8080とかは検出してくれるけど
そこも注意深く見ないと安全なサイトにしか見えないし

529:名無しさん@お腹いっぱい。
10/05/08 19:31:17
なんかFTPのパス抜かれるだけ、って結論に上の方でなってるけど、
確か最初はネトゲのパスが抜かれてたような記憶がある
去年の夏ごろの上に出てたAsian motorsのサイトだったような気が、、、

てか、感染サイトのお知らせ、アンチウイルスサイトのアドレス貼って、そこ行け、で済ませてる所多いけど、
感染してたらウイルス除去、だけじゃ済まんだろ。
FTP以外のパス変えたり、クレカ会社に連絡しなきゃ、たとえクリーンストールしても、
意味無いような気がする。

530:名無しさん@お腹いっぱい。
10/05/08 19:49:03
三井住友VISAはあの程度で済ますとか被害わかってやってんのかな?
仮にもクレジットカード会社の取る行動じゃないよな

531:名無しさん@お腹いっぱい。
10/05/08 20:56:50
>>512
VirusTotalだとどうなのだろう

532:名無しさん@お腹いっぱい。
10/05/08 21:01:57
まあ心配ならゲーム機でネット見るとかすればいいんじゃね

533:名無しさん@お腹いっぱい。
10/05/08 21:07:17
何だか>>504以降の書き込み時間が近接してるな

534:名無しさん@お腹いっぱい。
10/05/08 21:11:34
>>518
それ改ざんとはいわないだろ
要するに広告ブロックとかしたいんじゃないの
あとはぐぐれ

535:名無しさん@お腹いっぱい。
10/05/08 21:12:36
>>529
そんな結論にはなってないとおもうよ

536:名無しさん@お腹いっぱい。
10/05/08 21:20:19
>>532
KNOPPIXをDVD起動で使用

537:名無しさん@お腹いっぱい。
10/05/08 22:39:44
KNOPPIXをusb起動で使用

538:名無しさん@お腹いっぱい。
10/05/08 23:27:54
>>534
広告ブロックではなく文章や写真を少しだけ変えて知り合いを驚かせたいんです。
そのためには管理者側としてソースコードを書き換える必要があると思うのですが
難しいのでしょうか?
ちょっとした自己掲示欲でウイルスを入れようなどは考えていません。
ここにいる人は詳しいと思ったのでここで質問させていただきました。

539:名無しさん@お腹いっぱい。
10/05/08 23:29:33
本当の意味での改竄じゃん

540:名無しさん@お腹いっぱい。
10/05/08 23:32:42
それは犯罪w

541:名無しさん@お腹いっぱい。
10/05/08 23:35:05
>>538
失せろダニ

542:名無しさん@お腹いっぱい。
10/05/08 23:36:44
>>538
(  ゚,_ゝ゚)バカジャネーノ

543:名無しさん@お腹いっぱい。
10/05/08 23:41:14
自己掲示欲て

544:名無しさん@お腹いっぱい。
10/05/08 23:43:05
>>538
それは犯罪です

545:名無しさん@お腹いっぱい。
10/05/08 23:44:58
>>516
これってここに貼ってあったやつだけど改竄されてるか?
今見たけどカスペもシマンテックもアバストも特に反応しねーが

546:名無しさん@お腹いっぱい。
10/05/08 23:46:53
>>538
あまりにも幼稚な発想でこわいわ
お前がサイト持ってて突然改ざんされたら驚く程度では済まなくね?
恐怖感のほうが強いはず
ストーカーか何かなの?
軽いイタズラじゃ済まないよ

547:名無しさん@お腹いっぱい。
10/05/08 23:48:59
>>545
上はこっそり修正したのかもしれん
Date: Sat, 08 May 2010 14:47:09 GMT

たぶんそのうちまた再改ざんされるんじゃね

548:名無しさん@お腹いっぱい。
10/05/08 23:49:29
>>545
今は直ってるけど、少なくともURLリンク(blog)●ceed●jp/は>>512が埋まってた

549:名無しさん@お腹いっぱい。
10/05/08 23:58:07
>>547->>548
なるほど、サンクス
修正はされたけどアナウンスはされてないのねw

550:名無しさん@お腹いっぱい。
10/05/09 00:14:37
>>548
そのURL踏むとPC動作重くなったり何かファイル組みこんだりする?

551:名無しさん@お腹いっぱい。
10/05/09 01:40:48
>>550
過去に踏んでしまったのならそういうこともあるかもしれません

552:名無しさん@お腹いっぱい。
10/05/09 02:08:06
>>538
てめー24しとくわ
せいぜい家でマッポがいつくるかガクブルして待ってろ

553:名無しさん@お腹いっぱい。
10/05/09 02:08:16
>>549
>514です。aguseで昨日の12:00頃調べた時には,>>512が検出されました。
Norton Safe Webで調べてみたところ、以前同サーバの別ページ?で
Bloodhound.Exploit.292の存在が確認されている模様。
パスワードやクレジットカード情報などを盗むウィルスに分類されているようですが
windows7への感染は無いっぽい?よく分からん。

554:名無しさん@お腹いっぱい。
10/05/09 13:22:54
こっそり修正が一番たちが悪い

IPAかJPCERTのGumblarにかかったらどうするかって所に
・公表する
・ホームページの管理者なら、いつからいつまでの間ウィルスが埋め込まれていたのか明らかにする
って内容があった気がする

>>516の上は最低だな


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch