10/04/28 21:43:10
すみませんがちょっと教えて。
外側からwebページを改ざんするっていうのは
どういう仕組みなの?
なにかそういうソフトがあるんですか?
自分の持ってるwebページが勝手にレイアウトが
変わっちゃったんですけど、これッて誰かのいたずら
ですかね。
171:名無しさん@お腹いっぱい。
10/04/28 21:44:22
>>170
いたずらですめばいいけどそういうレベルで済まない場合の方が多いんじゃね
外側からではなく内側からです
172:名無しさん@お腹いっぱい。
10/04/28 22:04:13
>>171
どういうこと?
何かウイルスに感染してるってこと?
173:名無しさん@お腹いっぱい。
10/04/28 22:20:35
結局どのアンチウィルスソフト使えばいいんだよ
スレリンク(news板:86番)
ν速で検体テストやってるから参加してみ。
174:名無しさん@お腹いっぱい。
10/04/28 22:29:33
URLリンク(www.sony.jp)
DR-350USBの商品ページ入るとなんか変になるけど俺だけかな?
戻っても戻っても戻れないみたいな
スレ違いならごめん
175:U.F.O ◆U.F.OT1DQ2
10/04/28 23:01:46
概出だったらスマソ
URLリンク(www)●rctank●jp/
ガンブラーだと思われ。
176:名無しさん@お腹いっぱい。
10/04/28 23:05:57
>>172
その可能性がおおいにある
あとは単純なIDパスワードがアタックされて漏れたとか
>>173
スレ違い
>>174
ブラウザキャシュクリアしてみるとか
177:名無しさん@お腹いっぱい。
10/04/28 23:08:42
ふと思ったんだけど・・・
URLリンク(ja.wikipedia.org)
>マルウェアをコンピュータに感染させ、FTPアカウントを攻撃者に送信させる
これってPFWを適切に設定してあればブロックできると思うのだが
マルウェアがPFW回避行動を取るのか?
178:名無しさん@お腹いっぱい。
10/04/28 23:10:02
>>175
さいごのとこに難読化無しでframeのが入っとるね
179:名無しさん@お腹いっぱい。
10/04/28 23:17:15
>>177
止めちゃうんじゃね
180:名無しさん@お腹いっぱい。
10/04/28 23:17:44
すげぇ、本当にケイダッシュ完全無視してやがる。
これがバーニング系か。
ニュースにもならんし。
181:名無しさん@お腹いっぱい。
10/04/28 23:18:11
>>175絡みでぐぐってみたけどこれもかなあ
www●militarize●org/01.htm
一回失敗してるような感じのコードが見える
182:U.F.O ◆U.F.OT1DQ2
10/04/28 23:19:18
またハヶ━m9( ゚д゚)っ━ン!!
URLリンク(bentominowa)●web●fc2●com/
この後にあるURLも感染を確認・・・
概出だったら土下座します。
183:名無しさん@お腹いっぱい。
10/04/28 23:33:27
>>182
確認できないな
修正はいったかな
184:名無しさん@お腹いっぱい。
10/04/29 00:00:08
www●xn--eckxbbj3b4kwa3fxh●jp
日本語URLうざい…
>>183
gredに仕掛けてみれ
185:名無しさん@お腹いっぱい。
10/04/29 00:04:28
>>175
>>181
>>182
>>184
どれも確認できないのだが。
飛び先のチェック by ぴょん基地の友達
URLリンク(www.kakiko.com)
186:名無しさん@お腹いっぱい。
10/04/29 00:12:55
>>184
xn--はdanさんとこで確認できた
187:名無しさん@お腹いっぱい。
10/04/29 00:13:45
>>185
injection_graph_func.js
188:名無しさん@お腹いっぱい。
10/04/29 00:20:19
連休で悲惨なことにならないといいが、ほんと・・・
189:名無しさん@お腹いっぱい。
10/04/29 00:34:16
むしろ悲惨じゃない状態が想像できない
190:名無しさん@お腹いっぱい。
10/04/29 01:17:59
www●speedchannel●co●jp/campaign/friend09/
/mobile-info/
/mobile-info/
/mobile-info/common/js/jquery●js
/mobile-info/common/js/jquery-auto●js
既出だったらごめんよ
そういや皆さま連休はどのようにお過ごしで?
191:名無しさん@お腹いっぱい。
10/04/29 02:05:35
>>190
うんこがたくさんあるね
192:名無しさん@お腹いっぱい。
10/04/29 03:55:06
>>182のやつ
Aguseで見ると外部と接続するオブジェクトに
helphomecare■at:8080/google■com/download■com/qip■ru■php
がある。
JSファイルの中身だけやられてるらしい。
bentominowa■web■fc2■com/index_files/kotypeb_data/injection_graph_func■js
/*LGPL*/
function E(){ で始まるやつで数字のメモがついてない
193:名無しさん@お腹いっぱい。
10/04/29 04:04:16
<<< JPCERT/CC Alert 2010-04-28 >>>
URLリンク(www.jpcert.or.jp)
いわゆる Gumblar ウイルスによって
ダウンロードされる DDoS 攻撃を行うマルウエアに関する注意喚起
JPCERT/CC では感染するマルウエアの中に新たに DDoS 攻撃を行うものが追加
された事を確認しました。
このマルウエアに感染すると、使用している PC が国内外の企業や組織に対
して、DDoS 攻撃を行う可能性があります。
194:名無しさん@お腹いっぱい。
10/04/29 06:19:44
■Drive-by Downloadとも呼ばれるWebベースの攻撃からコンピュータを保護する上での有効性分析。
URLリンク(www.cascadialabs.com)
┌─ Overall(総合)30ケース
│ ┌─ In-the-Wild
│ │ ┌─ CORE IMPACT
30 = (15) + (15)
| .100%| .100%| .100%| Norton Internet Security 2009
| . .57%| . .60%| . .53%| AVG Internet Security 8.0
| . .46%| . .60%| . .33%| McAfee Internet Security 2009
| . .37%| . .53%| . .20%| Kaspersky Internet Security 2009
| . .27%| . .40%| . .13%| Trend Micro Internet Security 2009
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
2008年9月-10月に行われた結果。
URLリンク(www.cascadialabs.com)
195:名無しさん@お腹いっぱい。
10/04/29 07:53:47
データが古すぎて参考にもならない…
どれもGumblarをろくに検出できないやつばっかりじゃん
196:名無しさん@お腹いっぱい。
10/04/29 08:59:02
一般サイトがフィッシング詐欺の踏み台に、Gumblar攻撃と関係か
URLリンク(www.itmedia.co.jp)
197:名無しさん@お腹いっぱい。
10/04/29 09:07:55
セキュアブレインが、Twitter上で不審なURLのチェックが行えるTwitter bot「gredでチェック on Twitter」のベータ版を公開
URLリンク(www.securebrain.co.jp)
198:名無しさん@お腹いっぱい。
10/04/29 09:08:32
>>195
最新はこちら
【AV-Testによる検出率テスト】3月分発表 マカフィーが転落
AV-TESTによる毎月恒例のウイルス検出率テストの3月分結果が発表になった。テストは今回で30回目となる。
2位と3位が入れ替わり。Symantecが2ヶ月連続でランクをあげた。McAfeeは転落した。
4位、5位、6位は先月と変わらずK7とEset、Microsoftがキープ。
Kasperskyは検出率を落とし、TrendMciroが8位に転落。
9位、10位は変わらず、AVGとRisingだった。
順位 ベンダー 検出数 検出率
# Symantec 630,754 98.46% 谷垣
# McAfee 628,906 98.18% 公明
---
# K7 Computing 616,025 96.17% 在日
# Eset Nod32 610,787 95.35% 小沢
# Microsoft 609,523 95.15% 創価
---
# Kaspersky 606,897 94.74% 鳩山
# Trend Micro 604,908 94.43% 蓮舫
# AVG 597,580 93.29% 徳之島
---
# Rising 555,879 86.78% 朝鮮人
テスト実施機関: AV-TEST.org
マルウェア総数: 640,591
(検体の内訳)
バックドア: 85,856
ボット: 43,658
トロイの木馬: 407,043
狭義のウイルス: 37,606
ワーム: 66,428
テスト日: 2010年4月26日
テスト対象: 国内でよく知られているウイルス対策ソフト10製品(うち、MicrosoftとAVGは無料版)
*テストの対象は、国内で流通している主要ウイルス対策ソフト。なお「Microsoft」は、MSE(Microsoft Security Essentials)。
199:名無しさん@お腹いっぱい。
10/04/29 10:49:15
>>195
>どれもGumblarをろくに検出できないやつばっかりじゃん
できるよ
Gumblarもドライブバイダウンロードだしね
スクリプト検出しないからダメなんてことはない
200:名無しさん@お腹いっぱい。
10/04/29 11:45:47
>>170
診断して欲しいならURLかけよ
201:名無しさん@お腹いっぱい。
10/04/29 12:55:03
>>199
ダメとまでは言わないが、攻撃の段階が進んでからじゃないと止められないってことだから
スクリプト段階で止められるものより危険性が高いんじゃないか?
202:名無しさん@お腹いっぱい。
10/04/29 14:16:27
スクリプトを検出した→○
↓
リダイレクト先のURLをブロックした→○
↓
落ちてくるファイルを検出した→△(※)
※対策済の場合は何も落ちてこない
↓
AdobeやJAVAが起動したり、HDDがゴリゴリ・・→×
○=安全
△=対策漏れ有(環境を見直すべき)
×=\(^o^)/オワタ
203:名無しさん@お腹いっぱい。
10/04/29 14:18:44
落ちてくるファイルを検出した→○
何問題ない
204:名無しさん@お腹いっぱい。
10/04/29 14:20:02
>>201
攻撃を受けないんだから問題ない
スクリプトだけで防御するよりずっと堅牢
205:名無しさん@お腹いっぱい。
10/04/29 14:24:59
>>202
ダウンロードされるものも脆弱性を利用する攻撃のためのものやマルウェア本体などもある
あんまり分かってないのに不安を煽るな
206:名無しさん@お腹いっぱい。
10/04/29 14:28:00
年末に(多分)踏んで、それ以来月一起動のうちのPCは
未だにフルスキャンかけても何も引っかからないんだが
運がいいのか悪いのか
つうか、本当に有効な8080踏んだんだろうか
実はまともに動いてない地雷だったんだろうか
こんな微妙な状況ではクリーンインスコする気になれん
207:名無しさん@お腹いっぱい。
10/04/29 14:29:29
ノートンがドライブバイダウンロードに強いのは
スクリプトなんて検出しなくても
攻撃に使われる脆弱性を利用しようとするのを検出ブロックするから
だから初期からガンブラーも防御できた
208:名無しさん@お腹いっぱい。
10/04/29 14:35:57
このスレも初期の頃はもっとマシな検証してたんだけど
今はスクリプト検出可否スレになってるからな
209:名無しさん@お腹いっぱい。
10/04/29 14:38:44
つーか、対策済みであれば攻撃目的のファイルは落ちてこないし実行されないのだから
スクリプトが発見されてもされなくてもどちらでもいい。
210:コテハン ◆8080adndqg
10/04/29 14:49:27
【陥落サイトのURL悪用厳禁】
www●hd-cre●com/ab-tz/
san●ron5●com/gbl/
marukin-gohuku●hp●infoseek●co●jp/komono/index●html
211:名無しさん@お腹いっぱい。
10/04/29 15:28:06
感染してるサイトググったんだけど
firefoxのリンク先読み機能切ってない場合アウト?
212:名無しさん@お腹いっぱい。
10/04/29 15:47:41
>>211
事前に>>2の対策がきちんとできていればセーフ。
213:名無しさん@お腹いっぱい。
10/04/29 16:26:27
>>198
相変わらず信用ならんテストだなあ
ところで特に中身は無くていいからHP立ち上げて置けば自分が感染してないか指標の一つになる様な気がするんだけど
HPって立ち上げるのメンドイの?
214:名無しさん@お腹いっぱい。
10/04/29 18:03:39
自分が感染してたら撒き散らすことになるから
215:名無しさん@お腹いっぱい。
10/04/29 18:08:29
>>211 心配ない。
心配なら先読み機能を切る。「 firefox 先読み 無効 」でググりゃんせ。
216:名無しさん@お腹いっぱい。
10/04/29 18:13:29
>>162
kimiyo-web●srv7だが、何か足りなくね?
217:名無しさん@お腹いっぱい。
10/04/29 18:35:30
>>215
本当だな?心配ないんだな?信じていいんだな?
218:215
10/04/29 18:49:23
本当は嘘です
219:名無しさん@お腹いっぱい。
10/04/29 18:51:41
「このスレに書かれていることはすべて嘘です」
220:名無しさん@お腹いっぱい。
10/04/29 19:03:04
狐ってそんな危なっかしい昨日がデフォで有効なのか
221:名無しさん@お腹いっぱい。
10/04/29 19:13:03
>>206
逆にちょっとでも怪しい状況なら
さっさとクリーンインスコして不安要素を取り除いた方が精神的にいいと思うんだが
222:名無しさん@お腹いっぱい。
10/04/29 19:39:04
>>221
データのバックアップ2年近くサボってたんだよ
今更退避しても感染してたら意味ないし
サイトは殆ど動いてないのを一つ持ってて、FFFTP使ってたけど
結局現在にいたるまで改竄の形跡はなし
でもMP3データをCからDに移すだけで、何か謎のエラー(使用中って出た。使ってねえよ)
出たりして、微妙に調子悪い
かといってHDD動きまくってるわけでも、起動が重く、遅くなってるわけでもない
カスペオンラインでも何も出てこない。WINうpだては問題なくできる
ベンダーのサイトにも繋がる
もうどこで感染判定していいのかワカンネ
223:名無しさん@お腹いっぱい。
10/04/29 21:22:15
■Drive-by Downloadとも呼ばれるWebベースの攻撃からコンピュータを保護する上での有効性分析。
URLリンク(www.cascadialabs.com)
┌─ Overall(総合)30ケース
│ ┌─ In-the-Wild
│ │ ┌─ CORE IMPACT
30 = (15) + (15)
| .100%| .100%| .100%| Norton Internet Security 2009
| . .57%| . .60%| . .53%| AVG Internet Security 8.0
| . .46%| . .60%| . .33%| McAfee Internet Security 2009
| . .37%| . .53%| . .20%| Kaspersky Internet Security 2009
| . .27%| . .40%| . .13%| Trend Micro Internet Security 2009
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
2008年9月-10月に行われた結果。
URLリンク(www.cascadialabs.com)
224:名無しさん@お腹いっぱい。
10/04/30 00:39:13
>>222
全部消してOS入れなおせばすっきり!
225:名無しさん@お腹いっぱい。
10/04/30 01:24:02
>>222
移動出来ないMP3を救済したいのならファイルロックの解除ツールを
試してみてはどうか、UNLOCKERが便利、何にロックされてるかも判るよ
ってそういう話じゃないのか、すまない
知らない間にpre21がウイルスを駆除したっぽい、aguse、gredは反応せず
ちゃんと告知しようよ…
あと、www●kagayaki-t●co●jpがスクリプト系の何かに感染してたみたい
226:名無しさん@お腹いっぱい。
10/04/30 01:25:59
間違えた、訂正
×告知 ○公表
227:名無しさん@お腹いっぱい。
10/04/30 03:19:14
>>225
ゲイシのキャッシュ見たらここだぬ。
URLリンク(www.google.com)
URLリンク(www.siteadvisor.com)
gnomeさんとこに紹介されてたお。
Zbotかぁ。。。
228:名無しさん@お腹いっぱい。
10/04/30 03:22:34
>>227補足
他のキャッシュみたら難読化されてないのがあたー。。。
URLリンク(www.google.com)
URLリンク(safeweb.norton.com)
URLリンク(www.siteadvisor.com)
229:名無しさん@お腹いっぱい。
10/04/30 03:31:01
>>228補足の補足
他にもあたー
URLリンク(www.google.com)
URLリンク(www.google.com)
( ゚Д゚)ネムヒー
230:名無しさん@お腹いっぱい。
10/04/30 04:01:56
>>227-229
わざわざ探してくださったのですか、ありがとうございます
Gumblar/8080系ではなかったようですね
スクリプト見ただけじゃどれがどれやらさっぱりだ…
231:名無しさん@お腹いっぱい。
10/04/30 04:06:08
>>230
>>227はURLエンコードにゃ。
232:名無しさん@お腹いっぱい。
10/04/30 04:12:37
>>230
ゴメンもひとつ難読化されてたの見てなかった。上のほうにあるのに…orz....
URLリンク(www.google.com)
URLリンク(www.siteadvisor.com)
233:名無しさん@お腹いっぱい。
10/04/30 08:17:28
>>225
ありがとう。でも、移動は一応出来てるらしい
エラーメッセージとカラのフォルダが残るだけで
AdobeReaderの更新も、何故か一発でいけなかったんだよな・・・
そのままファイル移動できず・更新できず、だと諦めて初期化するか
オフライン専用機にする諦めも付くんだが・・・
>>224
すっきりしたいが、撮り貯めた写真だのなんだの大量にあるからすっきりできねえよ
234:名無しさん@お腹いっぱい。
10/04/30 10:01:34
>>217
KatesKiller
URLリンク(support.kaspersky.co.jp)
235:名無しさん@お腹いっぱい。
10/04/30 13:05:46
ガンブラーさんは年中無休らしいです…なんか一杯出てきたorz
【陥落サイトのURL悪用厳禁】
www●m-gcomm●jp
ivisit-corp●com/company/
stargatepcmaru●com/ual0g/
deaicafe●org/hito332/
kagaden●com/reiai/ :gredでチェック入れて見ると他にも…
236:名無しさん@お腹いっぱい。
10/04/30 13:26:56
> ivisit-corp●com/company/
これはどこに埋め込まれてるの?
237:名無しさん@お腹いっぱい。
10/04/30 13:32:30
>>233
HDDが物理的にあやしいんでね?
バックアップ早めにしたほうがいいかも
238:名無しさん@お腹いっぱい。
10/04/30 13:32:45
>>236
/js/rollover.js
/js/popup.js
239:名無しさん@お腹いっぱい。
10/04/30 13:33:45
>>236
popup.js
rollover.js
240:名無しさん@お腹いっぱい。
10/04/30 13:36:30
かぶったorz、>>238すまない
241:名無しさん@お腹いっぱい。
10/04/30 14:01:07
>>238-239
確認できる方法は?
242:名無しさん@お腹いっぱい。
10/04/30 14:02:37
>>241
danさんとこで見れたよ
243:名無しさん@お腹いっぱい。
10/04/30 14:04:15
>>242追記
gredはcompanyで黒判定
244:名無しさん@お腹いっぱい。
10/04/30 14:05:04
スクリプトが確認できないんだけど
245:名無しさん@お腹いっぱい。
10/04/30 14:11:03
>>244
/jsのURLミスってるとおもう
gredでcompanyを見ればわかるよ
246:名無しさん@お腹いっぱい。
10/04/30 14:21:39
>>235の続き
【陥落サイトのURL悪用厳禁】
tukaoh●com
ekisupa●visual-imp●net :GWにこれはまずくないか…?
247:名無しさん@お腹いっぱい。
10/04/30 14:32:02
visual-imp●net自体がやられてるっぽい
放置アフィサイトじゃないかなこれ
248:名無しさん@お腹いっぱい。
10/04/30 14:44:22
>>247
放置されてるんだorz
だめもとでメル凸しときます
上のサイトにも全部送らないとねえ、見つけりゃ見つけたで大変だ…
249:名無しさん@お腹いっぱい。
10/04/30 14:53:07
ガンブラーに感染しているサイトを閲覧をしてもノートンが反応をしないのだが・・
250:名無しさん@お腹いっぱい。
10/04/30 14:53:49
>>249
そんなときもあるさ
251:名無しさん@お腹いっぱい。
10/04/30 14:57:31
>>249
何の攻撃も受けてないから
252:名無しさん@お腹いっぱい。
10/04/30 15:07:38
>>249
最悪ノートンスルーで感染してても、自覚があるなら調べればすぐわかるって
253:名無しさん@お腹いっぱい。
10/04/30 17:13:46
URLリンク(biz-int.jp)
これの「企業情報」でAVGが反応するんだけど何?
254:名無しさん@お腹いっぱい。
10/04/30 17:26:48
>>253
www.aguse.jp/?m=w&url=http%3A%2F%2Fwww.mystic-rugby.com%2F
やられてるね
255:名無しさん@お腹いっぱい。
10/04/30 17:58:57
>>254
そのサイトはマルチ商法の末期のもので、つい先日集団訴訟が始まったところです。
これは、サイト閉鎖の理由にするためにわざとしたのか、たまたま外部から攻撃されたのかとかわかる?
256:名無しさん@お腹いっぱい。
10/04/30 18:29:41
ガンブラー攻撃に新手口、感染パソコンをDDoS攻撃の踏み台に
URLリンク(pc.nikkeibp.co.jp)
「.ru」ドメイン対策では防げない「Gumblar」攻撃 - マルウェア配布サイトに「.com」などが
URLリンク(www.security-next.com)
257:名無しさん@お腹いっぱい。
10/04/30 19:01:06
>>254
なんで企業情報だけ別ドメインなんだろうね
>>255
わからんよ
ただjava1.jsというファイル名はいろいろ不安になる
258:253
10/04/30 19:22:00
この会社を1年以上見てきたんだけど、以前のリンクはここだったはず。
URLリンク(www.mystic-rugby.com)
あと、「採用情報」のところも反応するので、調べたら以前のリンクはここのよう。
URLリンク(www.micro-opt.com)
以前のリンクはどちらも感染してないのは、復旧を簡単にするためかな?
259:名無しさん@お腹いっぱい。
10/04/30 19:43:20
>>258
そんなことはどうでもいいから>>1読めよ
260:名無しさん@お腹いっぱい。
10/04/30 19:48:13
>>258
www●micro-opt●com トップがやられてる
全ページ改ざんされるわけじゃない
意図的だと思いたいなら勝手に思えばいいけど他人に迷惑かけないでくれ
261:253
10/04/30 19:56:42
申し訳ありませんでした。
262:名無しさん@お腹いっぱい。
10/05/01 04:50:25
「com:8080」あちこち探したけど見つからない…
【陥落サイトのURL悪用厳禁】
myako●net :再改竄ですかね、ここ
www●m-gcomm●jp :.jsに残ってたので再メル凸しときました
ivisit-corpは閉鎖した模様…再開するならちゃんと公表してほしい
そういえばkdashもpre21も全然公表してくれないなあ…
2chで晒されちゃったし、隠しても良い事ないと思うんだけど
263:名無しさん@お腹いっぱい。
10/05/01 12:23:36
> myako●net
確認できないお
264:名無しさん@お腹いっぱい。
10/05/01 12:51:50
/migilink2.js
ってのがやられてる
ほかにもあるかも
265:名無しさん@お腹いっぱい。
10/05/01 12:53:50
ノートンはガンブラーに弱いのですね。
266:名無しさん@お腹いっぱい。
10/05/01 13:00:59
最強だろ
267:名無しさん@お腹いっぱい。
10/05/01 18:57:14
URLリンク(blog.f-secure.jp)
268:名無しさん@お腹いっぱい。
10/05/01 19:35:44
そういえばAdobeとjavaって自動でアップデート出来なかったっけ?
269:名無しさん@お腹いっぱい。
10/05/01 19:57:07
できる。
AdobeReaderのは最近追加&自分で設定する必要あり。
270:名無しさん@お腹いっぱい。
10/05/02 00:04:12
Webシールド付いてるソフトがGumblar対策には有利?
271:名無しさん@お腹いっぱい。
10/05/02 00:36:39
報告してくれる猛者の感染URLを確認しているが、何気にアクセスする可能性は皆無だな。
272:名無しさん@お腹いっぱい。
10/05/02 01:30:16
>>270
あるに越したことはないが、どうせ>>2がきっちりできていれば攻撃は空振りになるので
有利なんて言えるほどの価値はない。
273:名無しさん@お腹いっぱい。
10/05/02 02:08:56
近くにあるネカフェ探してて
URLリンク(www)●freaks.ne●jp/honten/index●shtml
を見てたらEssentialsが反応してたんだけど
感染してる?
274:名無しさん@お腹いっぱい。
10/05/02 02:17:57
js/jump●jsが引っかかった。
275:名無しさん@お腹いっぱい。
10/05/02 02:18:13
>>273
gredによるとGumblar Generic (GJS055)
danさんとこで見たけどわからんかった
276:名無しさん@お腹いっぱい。
10/05/02 02:20:07
>>274
なるほど。わかったthx
5行追加されててこれは相当やばいな
Last-Modified: Sat, 24 Oct 2009 02:01:08 GMT
277:名無しさん@お腹いっぱい。
10/05/02 03:09:29
今更ですけど honten/js/index●js にも仕込まれてますね
無差別爆撃からjsファイル狙い撃ちに切り替えたのかな
278:名無しさん@お腹いっぱい。
10/05/02 13:02:55
san●ron5●com/gbl/
ampmda●com
harappa-h●org/AtoZ
279:名無しさん@お腹いっぱい。
10/05/02 13:10:28
www●komaike●com/drink/
280:名無しさん@お腹いっぱい。
10/05/02 14:23:29
>>278279
これaguseで検出しないのにavastはガンブラー認定する
どっちが正しいのか
281:名無しさん@お腹いっぱい。
10/05/02 14:39:05
>>280
そういうときは黒の結果を信用すべきでしょ
黒だと思ってりゃそれが間違っててもHP見れないだけだが
白だと思って実は黒でしたなんて事になったら目も当てられない
aguseはカスペだったと思うけどVTのカスペがバージョン古い事考えると
aguseも旧バージョンなんじゃね?と妄想
282:名無しさん@お腹いっぱい。
10/05/02 14:47:14
>>280
全部黒だよ
283:名無しさん@お腹いっぱい。
10/05/02 14:58:31
>>280
aguseはスルー多い
最近のはほとんどスルーされる
284:名無しさん@お腹いっぱい。
10/05/02 14:58:46
よくわかんないけど、278と279、カスペ反応したよ。
285:名無しさん@お腹いっぱい。
10/05/02 18:50:19
www●niaufuku●com/sense_up/
286:名無しさん@お腹いっぱい。
10/05/02 19:08:34
www●kaizenya●net
ここも放置ですね
287:名無しさん@お腹いっぱい。
10/05/02 20:22:50
www●sakiko●jp
288:名無しさん@お腹いっぱい。
10/05/03 11:31:31
>>283
Gumblar/8080 Checker
URLリンク(ec2-204-236-148-61.us-west-1.compute.amazonaws.com)
ここは最近のやつにも強いかな?
289:名無しさん@お腹いっぱい。
10/05/03 12:18:58
>>288
ampmda●com
URLリンク(rd.or.tp)
URLリンク(www.virustotal.com)
判断はお任せします
290:名無しさん@お腹いっぱい。
10/05/03 12:25:46
ていうか色々試してみたらいいんじゃない?
検出できないやつを引っ張ってきただけで新型かどうか俺わかんないし
10社以上が検出してるやつでもそこでは引っかからないかもしんない
291:名無しさん@お腹いっぱい。
10/05/03 12:31:42
YouTube - がんばらんば
URLリンク(www.youtube.com)
292:名無しさん@お腹いっぱい。
10/05/03 12:39:04
>>289
(”http5GIu”.substr(0,4)+”://w”+”ebguRx2”.substr(0,4)+”idet”+”v●in”+”fo:”))
↓
-> http://webguidetv●info:
62●67●246●113
293:名無しさん@お腹いっぱい。
10/05/03 16:07:32
>>288
どれも過信は禁物
一般ユーザーは>>2をやっとけばいい
294:名無しさん@お腹いっぱい。
10/05/03 17:22:39
気になることがあるのですが
ググるだけで感染することはありえるのですか
295:名無しさん@お腹いっぱい。
10/05/03 17:31:21
Googleが感染なんてことになればそうなるだろう
296:名無しさん@お腹いっぱい。
10/05/03 17:41:12
avastが反応することはあるんじゃね?
297:名無しさん@お腹いっぱい。
10/05/03 17:49:55
それはリンクの先読みしてるからだ
298:名無しさん@お腹いっぱい。
10/05/03 17:50:05
リンク先読みな
あと右クリックしてリンクをブックマークとか名前を付けて保存とか間違って選択しただけでもヤバイ
履歴に残ってるから何らかのアクセスはしてる
299:名無しさん@お腹いっぱい。
10/05/03 18:02:09
なぜここまで被害が広がったのか
なぜ未だに被害がおさまらないのか
300:名無しさん@お腹いっぱい。
10/05/03 18:15:40
Gamblerが多いのさ
301:名無しさん@お腹いっぱい。
10/05/03 19:52:39
サイト管理者はいつまで冷汗を流せばいいのやら
302:名無しさん@お腹いっぱい。
10/05/03 20:02:42
ちゃんと対策してれば大丈夫なのに冷や汗も何もなくね
303:名無しさん@お腹いっぱい。
10/05/03 20:09:58
>>2の対策はしたがIEとかウェブブラウザのJavaScriptも切っておいた方がいい?
YouTube等利用する時には面倒だけど
304:名無しさん@お腹いっぱい。
10/05/03 20:25:55
動画を見る人が全てのサイトでオフにするのは現実的じゃないね
ドメインによって判断するタイプでも本人が判断できなければ意味がないしなあ
305:名無しさん@お腹いっぱい。
10/05/03 20:28:20
オンで問題ないよ
306:名無しさん@お腹いっぱい。
10/05/03 20:42:21
>>303
良いか悪いかで言えば「良い」ではある
利便性を断てば断つほど安全性が上がるのは間違いないし
307:名無しさん@お腹いっぱい。
10/05/03 21:50:54
え。>>2の対策してたらJavaScript切らなくても良いの?
ダメなんかと思って、ようつべとか、わざわざその時だけオンにしてたのに
308:名無しさん@お腹いっぱい。
10/05/03 22:08:10
切ってればいいじゃん
変に重いブログパーツとか広告とか読みこまなくても済むんだし
309:名無しさん@お腹いっぱい。
10/05/03 22:12:05
FirefoxでNoscript入れて使えばいいじゃん
310:名無しさん@お腹いっぱい。
10/05/03 22:12:48
昔は基本スクリプトOFFで必要なサイトだけONになるように登録しておくという使い方で
スクリプト必須なサイトなんか余り無かったから余裕だったんだけど
今はスクリプト一切使ってないサイトの方が少ないくらいだからな
311:Undetect
10/05/03 23:10:44
スクリプト切ってても駄目なときは駄目なんだなこれが
そういう手立てを考えてきてるしね
312:名無しさん@お腹いっぱい。
10/05/03 23:11:50
URLリンク(pachi-navi)●biz/blog/
313:名無しさん@お腹いっぱい。
10/05/03 23:15:29
スクリプトOFFでも感染するタイプのものもあるからね
スクリプト切るのは気休め程度にはなる
314:名無しさん@お腹いっぱい。
10/05/04 00:27:03
>>312
found:Trojan-Downloader.JS.Pegel.e
try{window.onload=function()…
315:名無しさん@お腹いっぱい。
10/05/04 02:12:34
>>2以上の対策は本当に自己満足や趣味の領域だからなあ。
316:名無しさん@お腹いっぱい。
10/05/04 11:41:06
>>309
request policy
317:名無しさん@お腹いっぱい。
10/05/04 11:53:40
今時ブラウザのJavaScriptをオフるなんてこといってる馬鹿がいるのはここか
318:名無しさん@お腹いっぱい。
10/05/04 11:56:44
じゃあ>>4のテンプレはなんなんだ……
319:名無しさん@お腹いっぱい。
10/05/04 12:02:44
対策してあればそんなことするのは不要って書いてあるじゃん
320:名無しさん@お腹いっぱい。
10/05/04 12:11:01
荒れる元だから、テンプレからJavaScript関係は外すべきだという意見もあったんだけどな。
結局は当時スレ立てした奴がどうしても入れたがって今の形に落ち着いちゃった。
321:名無しさん@お腹いっぱい。
10/05/04 13:00:50
>>319
不要なら>>4入れる必要すらないじゃん
まぁスレ建てた奴が必要だ必要だとゴネたんだろうか
322:名無しさん@お腹いっぱい。
10/05/04 13:24:43
2の対策してなかったら、切った方が良い?
323:名無しさん@お腹いっぱい。
10/05/04 13:31:41
対策しろよw
324:名無しさん@お腹いっぱい。
10/05/04 13:31:46
どうにかして2の対策をしろ
325:名無しさん@お腹いっぱい。
10/05/04 13:35:50
JAVAとJAVAスクリプトの違いがわかってない人もいるらしいからなあ
326:名無しさん@お腹いっぱい。
10/05/04 13:51:18
JAVAと全部大文字で書く奴もいるしな
327:名無しさん@お腹いっぱい。
10/05/04 13:59:11
Cokeと書いてコーラと読むしな
328:名無しさん@お腹いっぱい。
10/05/04 14:10:32
>>321
ゴネたね。
放っとけばNoScriptみたいな特定拡張をテンプレに入れるのが確実なところを
他の奴が説得して、当たり障りのない>>4まで後退させた感じ。
329:名無しさん@お腹いっぱい。
10/05/04 14:16:41
なぜかIEを執拗に推すやつがごねたんだよな
330:名無しさん@お腹いっぱい。
10/05/04 14:28:24
というか、この現行スレを立てた奴も早漏だったんだよな。
前スレの残り50レスぐらいでテンプレの見直し案を話し合えばよかったのにさ。
331:名無しさん@お腹いっぱい。
10/05/04 15:53:13
確か950どころか900を超えた瞬間に立ったんだよな
332:名無しさん@お腹いっぱい。
10/05/04 16:08:34
そもそも>>2の対策してればガンブラーは無力とか言ってる奴は0dayという言葉を知っているのだろうか
333:名無しさん@お腹いっぱい。
10/05/04 16:11:04
>>332
今のところ大丈夫ってだけで無力とはだれもいってないんじゃね
334:名無しさん@お腹いっぱい。
10/05/04 16:27:29
得られる安心感よりも失う利便性の方が勝るような対策をテンプレで勧めるなってこと。
現状でのJavaScript切りは掛け捨てが確実な保険みたいな物なんだからさ。
335:名無しさん@お腹いっぱい。
10/05/04 17:15:21
>>332
今出てるものに対して無力ならそれで十分だろ
これから出る亜種にも完璧です、が成立するんならgumblerに限らず
どのウイルスも感染する騒ぎになんてならないと思うんだが
336:コテハン
10/05/04 18:40:41
久しぶりに掘ってみた
【陥落サイトのURL悪用厳禁】
www●seibidou●jp/ ←中途半端な修正
※products/information_sign/index●htmlとか
www●terralab●net/
bishoujyo●net/
rnacity●com/
■Gumblarっぽいの
www16●tok2●com/home/sawaiwan/part11/information4●html
337:コテハン1
10/05/04 19:11:56
追加
www.hipparidako.net/index.html
338:名無しさん@お腹いっぱい。
10/05/04 19:34:59
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
339:八頭 ◆YAGApwSaEw
10/05/04 19:53:29
いつも貰ってばかりでなんか悪いのでw
Google危険警告ページ
www●444wg●com/
wofxx●com/dnf/105.html
wofxx●com/dnf/106.html
www●dvdktv.com/list.asp?ProdId=0014
340:名無しさん@お腹いっぱい。
10/05/05 01:50:23
毎日このスレ見てるがGENOを最後にユーザーが多いサイトは改ざんにあってないようだね
そもそもGENOも尼や楽天に比べればユーザー数は大した事ないだろうし
URL見てもどうでもいいような個人HPばっかのようだし
341:名無しさん@お腹いっぱい。
10/05/05 02:08:17
> 毎日このスレ見てるがGENOを最後にユーザーが多いサイトは改ざんにあってないようだね
ニュースは見てないのか?
342:名無しさん@お腹いっぱい。
10/05/05 02:08:44
水掛け論になってないか?
目指せ「サルでも判るガンブラー対策」…今更すぎるorz
>>336
www16●tok2●com/home/sawaiwan/part11/information4●html :Gumblar Generic (GJS005)
ここもですね
www●mayabeya●com/mm/mail_magazine●html :Gumblar Generic (GJS003)
>>337
www●hipparidako●net/index●html :8080 Injection (GJS092)
>>339
この類のサイトは放置でも構わない気がしないでもないw
343:名無しさん@お腹いっぱい。
10/05/05 02:11:10
>>340
おまえはなにをいってるんだ
344:名無しさん@お腹いっぱい。
10/05/05 05:13:47
>>341>>343
なんかGENO以外に大事件あったっけ
あーJR束は改ざんされたか
345:名無しさん@お腹いっぱい。
10/05/05 06:13:22
URLリンク(www.so-net.ne.jp)
セキュリティ関連ニュースを過去ログ含めて読んでみるといい
346:名無しさん@お腹いっぱい。
10/05/05 12:29:57
nameps●net/4/2
347:名無しさん@お腹いっぱい。
10/05/05 13:21:59
Gumblarって感染の話ばかりで、どんな発症・被害を与えるのかその中身の話はされないな
348:名無しさん@お腹いっぱい。
10/05/05 13:40:01
それはひょっとしてギャグで言っているのか?
349:名無しさん@お腹いっぱい。
10/05/05 13:45:20
君こそギャグで言ってるのか?
350:名無しさん@お腹いっぱい。
10/05/05 13:51:01
俺がギャグだ
351:名無しさん@お腹いっぱい。
10/05/05 14:33:26
URLリンク(ampmda)●com/?up/download/file/1953752846●zip●html
踏んじまったけどavast反応しねー
352:名無しさん@お腹いっぱい。
10/05/05 14:41:31
>>344
三井住友VISAも改ざんされなかったっけ?
一応プレスリリースで報告出したけど、対応が最低だった
353:名無しさん@お腹いっぱい。
10/05/05 15:14:13
>>352
見てみたけど確かに最低だな
委託会社の責任とはいえ個人情報やクレカ番号流出させといて
保証のほの字も書いてないんじゃなあ…
354:名無しさん@お腹いっぱい。
10/05/05 15:54:22
TOPページの情報からはさっさと消してるしな>三井住友VISA
355:名無しさん@お腹いっぱい。
10/05/05 16:00:13
>>351
>>278だな
gredスルー
aguseスルーだが8080を拾って赤文字表示
そのドメインでぐぐったら必死チェッカーがひっかかった
同一人物が連日貼っているようだね
hissi.org/read.php/news/20100504/SjJBaCtkNVc.html
hissi.org/read.php/news/20100503/RVVtUUl6SWM.html
356:名無しさん@お腹いっぱい。
10/05/05 17:00:16
この問題って
何でTVや新聞で大きく取り上げられないの?
357:名無しさん@お腹いっぱい。
10/05/05 17:09:49
新聞、TVが取り上げてもメリットがないから
三井住友だと自分に出資してるところだったりして
自分の首を絞めることになるから
358:名無しさん@お腹いっぱい。
10/05/05 17:13:01
>>357
サンクス
359:名無しさん@お腹いっぱい。
10/05/05 17:13:37
それなら、GENO以下じゃなかいか
360:名無しさん@お腹いっぱい。
10/05/05 18:48:20
>>356
多少ニュースにはなったけど説明めんどくさくて省略されがち
NHKニュースでわりとまともに扱ってくれたことはあったけど視聴者は思考停止が大半だろうな
361:名無しさん@お腹いっぱい。
10/05/05 18:49:58
Gumblarに感染そして発症→
→サイト管理のIDとPasswordを盗まれる→
→それを使用されサーバ自体から情報が盗まれる、ついでにサイト改竄(ウイルスを仕込む)→
→そのサイトの訪問者にGumblar感染、感染先でまたIDとPasswordが盗まれる→あとは繰り返し
でも不思議なのはサービス提供する企業とかのサーバなのに、なんでそれ使ってネットサーフィンなんかやってんの?
それともアクセスされるだけで感染するわけか
それとゼロデイ攻撃の段階では仕方ないとしても、それ以降はアプデしておくだけで防げたんでそ
なんで企業レベル行政レベルがこんなものに感染し続けたのか
362:名無しさん@お腹いっぱい。
10/05/05 19:17:05
>>361
企業はパッチの安全性や安定性が確認されるまでパッチを導入しないことがほとんど
理由はパッチの適用でシステムが不安定になる可能性がゼロじゃないから
ゼロデイ修正パッチとかは配布元的には配布と同時に適用してもらいたいはずだが
確認が終わるまで導入が見送られるため攻撃に晒されてしまうことがある
363:名無しさん@お腹いっぱい。
10/05/05 19:34:45
>>361
いろいろ勘違いしてるようだけど
サーバ自身でネットサーフィンとかしてるわけじゃないし
感染してるのはサイト管理PCであってサーバじゃない
おそらく話の半分くらいしか理解できてないよね
> それともアクセスされるだけで感染するわけか
アクセスされるだけで感染するのはそのサイトを閲覧したPCであってサーバーじゃない
感染し続けてる理由はサイト管理者のセキュリティ意識が低いからってだけだよ
閲覧してるPCが感染し続けるのは>>362もあるけど
それは企業のサイト改ざんにはあまり結びつかない
364:名無しさん@お腹いっぱい。
10/05/05 19:35:27
>>363補足
サイト管理PCもしくはサイト管理PCと同じネットワーク内にあるPCだ
365:名無しさん@お腹いっぱい。
10/05/05 20:27:34
>>362
聞き覚えある、そういう要素あったね
>>363
なるほどそっかー
サーバでネットサーフィンとか、言われると自分で読んでても確かに痛い誤解
>閲覧してるPCが感染し続けるのは>>362もあるけど
>それは企業のサイト改ざんにはあまり結びつかない
これは>>362は組織・団体レベルのサイト管理者はこれが言い訳にはならないってこと?
ここも合わせて読んで9割は理解できたと思う
URLリンク(www.atmarkit.co.jp)
でもFTPのIDとPasswordを盗られる以外の被害ってあんま語られないね
そのうち暴露系と組み合わさったものが出てくるのかもしれんね
またとんちんかんだったらゴメン笑
366:名無しさん@お腹いっぱい。
10/05/05 20:48:18
>>365
一般ユーザーが多い企業、部署や実際に運用してる基幹系サーバーじゃパッチあてに
慎重なとこもあるけどサイト管理してるとこでそれはありえないでしょ
単に意識が希薄だったとしかいえない
しかも大きめの企業サイトなら管理してるのはシロウトじゃなくプロ
「同一ネットワーク内」の感染があるとしてもプロがやるミスとしてはありえないレベル
> でもFTPのIDとPasswordを盗られる以外の被害ってあんま語られないね
これはいろいろ出てるんだけど適当にまとまったソースはないかもしれない
so-netのセキュリティ通信とかLACあたりにあったかなー
ユーザーにも見える範囲だと偽セキュリティソフトのインストール、
見えないとこだとどっかのサイト攻撃とか
偽セキュリティソフトのインストールはケイダッシュが感染したときの被害者報告でも確認できた
暴露系はP2Pで目的が違うから別です
367:名無しさん@お腹いっぱい。
10/05/05 21:08:21
>>366
暴露系ってP2Pを超えて被害を出したんじゃなかったっけ、山田オルタナティブ、Kenzeroとか
まあスクショ取ってバラ撒くくらいのものがGunblarでもありうるかと思った
いろいろ勉強してくる、ありがとう!
368:名無しさん@お腹いっぱい。
10/05/05 21:16:13
>>366補足
肝心なこと忘れてた
そもそもまともなサイト管理会社ならFTPなんか使わない
>>367
日本のウイルスはイタズラ目的
こういうのはビジネス目的だから違うんだよ
369:名無しさん@お腹いっぱい。
10/05/05 22:35:53
これって感染すると自分のブログも改竄されちゃうの?
元々非公開設定だから改竄されても他人には迷惑かけないとは思うんだけど……
370:名無しさん@お腹いっぱい。
10/05/05 22:46:44
>>355
VIPとかの画像スレとかで見たなそれ
レスに対して不自然な単発レスとか付いてたし
「面白いなこのサイト」とかあったから自演を駆使して踏ませようと必死になってるっぽいw
371:名無しさん@お腹いっぱい。
10/05/05 23:14:15
>>369
FTPサーバ上で提供されるサイトやブログがGumblarに感染して、そうして管理IDとPassを盗られて、それを使って改竄をするんじゃない
だからそのブログを改竄しようと思えばやれるんだけど、そのブログにそんなことする価値があるのかで変わってくるんじゃないのかね
372:名無しさん@お腹いっぱい。
10/05/05 23:27:38
>>371
改竄する価値は無いと思うw
自分のPCが感染してたら
クリーンインストールしてブログのパスワードも変えなきゃいけないのかあと思って
373:名無しさん@お腹いっぱい。
10/05/05 23:36:37
ampmda.comって奴は8080系だからリモートポート8080番塞いでれば無効化できるって認識でいいの?
374:名無しさん@お腹いっぱい。
10/05/05 23:37:40
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
375:名無しさん@お腹いっぱい。
10/05/05 23:40:15
ブログやSNS、HPもやってない俺は>>2以外に何をすればいいのだろう
376:371
10/05/05 23:48:12
>FTPサーバ上で提供されるサイトやブログがGumblarに感染して、
これ違ったか、個々のクライアントPCが感染するんだ、そしてFTPサーバ上で提供されるサイト開設やブログ開設サービスを使ってる場合にその管理者IDとPassを盗られる
だから、公開してないんだから大丈夫だと思ったけど上記の理由で大丈夫じゃない
それに管理者IDとPass盗られて改竄できるってことは、ただ閲覧されたりもするってことで
犯人たちの目的と興味次第ってことだと
377:名無しさん@お腹いっぱい。
10/05/05 23:52:10
>>372
日本語わからんからそういうの関係ないよ
軒並み改ざんされるだけ
ブログの場合はFTPじゃないとおもうんでまた別だろうけど
感染していた場合はそのPCで犯罪行為の手伝いをさせられるんでクリーンインストール推奨です
378:名無しさん@お腹いっぱい。
10/05/05 23:55:15
botnetwork使ってFTPにアップロード命令させてるんなら
blogまではいちいち改ざんしないとは思うけど
まぁ、過信は禁物だね
379:369
10/05/06 00:03:12
クリーンインストールやって、>>2をしっかりやったあとで、ブログのパスワードも変える
これが一番確かなんですよね
アドバイスくれた方々どうもです
>>2は以前からやってたけど
そもそも自分のブログは改竄される可能性があるのかどうかが気になって
ちょっと気持ち悪かったので質問させてもらいました
380:名無しさん@お腹いっぱい。
10/05/06 00:13:49
つーか被害の広がり方を見ると
意識の低さが浮き彫りになってるな
381:名無しさん@お腹いっぱい。
10/05/06 00:19:09
>>2には「使わないならインストールするな」と書き加えるべきだな
382:名無しさん@お腹いっぱい。
10/05/06 01:06:16
ブログは、直接htmlファイルをいじる訳じゃないし
タグを記述する場合もテキストボックス上で行うから
PCが感染してても問題ないように思うけど
383:名無しさん@お腹いっぱい。
10/05/06 01:27:55
■8080系の対策について
>>2をやっておけば「現時点では」感染しない。
※Adobe ReaderやJavaは必要無いならアンインストールを推奨
【参照】
サイト改ざん猛威:ウイルス感染を100%防げる「ソフトウェアの更新」を
URLリンク(www.so-net.ne.jp)
オラクル、JREの最新版「6 Update 20」公開~早急に更新しないと危険
URLリンク(www.so-net.ne.jp)
■以下は「自己満足」の世界(過剰防衛が好きな人向け)
・ブラウザのJavaScriptを切る(JavaScriptベースのDbd全般に有効)
・*:8080/*を含むURLをブロック(対8080系限定)
・8080番ポートを閉じる(対8080系限定/但し非推奨)
384:名無しさん@お腹いっぱい。
10/05/06 01:40:05
危険ポートを閉じることでセキュリティを強化する。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
ポート135 445
URLリンク(www.google.com)
385:名無しさん@お腹いっぱい。
10/05/06 02:51:57
>>384
ポート135を閉じる(RPC停止する)と問題発生することが多いと書いてあったが
>そこで,Windows XPが備えているパーソナル・ファイアウォールやセキュリティ対策ソフトに付いているクライアントPC用のファイアウォール機能で
>危険なポートを閉じれば,感染予防としてはさらに効果があります。しかし,既存システムへ与える影響は大きくなります。
>例えば,各PCでTCP/UDP135番を閉じてしまうと,RPCを用いたシステムやActive Directoryが拠点内でも利用できなくなります。
>また,TCP/UDP139番や445番を閉じると,ファイルやプリンタの共有さえできなくなります。
まあ、やるなら自己責任でってことで
386:385
10/05/06 02:53:33
ごめん、sageるの忘れてた
387:名無しさん@お腹いっぱい。
10/05/06 02:59:50
135はファイアウォールで閉じるのが常識だな
139や445はLANを組んでなかったら閉じても問題ない
388:名無しさん@お腹いっぱい。
10/05/06 03:04:41
ルータのファイアウォールの初期設定は0~1023のポートは閉じてるのが多いんじゃなかったっけ
外部からのアクセスのみだけど
389:名無しさん@お腹いっぱい。
10/05/06 03:08:04
ステートフルインスペクションだね
390:名無しさん@お腹いっぱい。
10/05/06 03:10:32
ステートフルインスペクション はガンブラーには無力だし
391:名無しさん@お腹いっぱい。
10/05/06 03:19:34
>>384にて135ポートを閉じると
OSの再インストールをするはめになる
回避策はあるがド素人はやめとけ
392:名無しさん@お腹いっぱい。
10/05/06 09:18:51
135、445、8080はsymantecのポートスキャンで「ステルス」になっていればいいんじゃないか?
393:名無しさん@お腹いっぱい。
10/05/06 10:13:00
ステルスってポートスキャンに対して反応返さない=空いてるかどうかわからないってだけで閉じてるわけじゃないのでは
シマンテックのスキャン使ったことないからわからないけど
今確認したら俺はポート135,445は受信ストリームはTCP/UDPとも俺は手持ちのカスペがデフォで閉じていた
8080は一応自分でTCP/UDPともリモートポートは閉じてみた
394:名無しさん@お腹いっぱい。
10/05/06 12:47:46
福本先生確認
395:394
10/05/06 12:48:36
誤爆しますた(´・ω・`)
396:名無しさん@お腹いっぱい。
10/05/06 12:54:03
絶対に許さない
397:名無しさん@お腹いっぱい。
10/05/06 13:07:56
絶対にだ
398:名無しさん@お腹いっぱい。
10/05/06 13:13:35
絶対ニダ
399:名無しさん@お腹いっぱい。
10/05/06 13:16:33
謝罪と賠償を求めるニダ
400:名無しさん@お腹いっぱい。
10/05/06 13:34:50
レイシストうざ
401:名無しさん@お腹いっぱい。
10/05/06 13:39:47
半島へ返れ
402:名無しさん@お腹いっぱい。
10/05/06 13:44:37
何言ってんだこのバカ
403:名無しさん@お腹いっぱい。
10/05/06 13:59:12
>>384
サービスを止めるのと、ポートを閉じるのは違うぞ。
サービス止めればOSに問題が起きるだろ。
404:385
10/05/06 16:10:17
>Gumblar.x #
>Gumblar.xの改ざんコードは日本のIPアドレスからのアクセスを弾く!?
URLリンク(www)●securelist●com/en/blog/2132/Gumblar_Farewell_Japan
↑これってGumblar.Xに関しては終息するってこと?
405:名無しさん@お腹いっぱい。
10/05/06 16:45:49
希望的観測はしない方がいい
406:名無しさん@お腹いっぱい。
10/05/06 17:00:33
だな
仮に今弾いてるとしても一時的なものと思ってた方がいい
407:名無しさん@お腹いっぱい。
10/05/06 17:23:32
FFFTPなんて日本人しか使ってないようなソフトを狙ってるんだから
Gumblarの大元の作者は日本への攻撃を念頭に置いてるだろうしな
408:名無しさん@お腹いっぱい。
10/05/06 17:29:59
日本の奴はアホみたいにかかるからな
409:名無しさん@お腹いっぱい。
10/05/06 17:34:47
「るーたーがあるからだいじょうぶ」「さわぎすぎだろ」
老害の思考はこんなもんです
そして「自分だけは大丈夫」と思ってる奴がかかってサイト持ちがまたバラ撒く悪循環
410:名無しさん@お腹いっぱい。
10/05/06 17:56:06
「自分だけは大丈夫」とか「ヘンなとこ見ないから俺には関係ない」とかホントにいるからなあ
そのくせ対策はセキュソフト任せでWindowsUpdateやってればマシな部類という…
411:名無しさん@お腹いっぱい。
10/05/06 18:03:12
OSアプデしててアンチウイルスきちんと使ってて、それ以上なにしろってんだ
PCにどこまでも人生の時間使ってられるかよ
412:名無しさん@お腹いっぱい。
10/05/06 18:10:45
>>411
本来それが理想なんだがな
413:名無しさん@お腹いっぱい。
10/05/06 18:29:43
クラウドコンピューティングが発達して行くと個人レベルではウイルス対策から開放される
これは間違いか?
414:名無しさん@お腹いっぱい。
10/05/06 18:31:29
評論家ごっこは他所でやれよ
415:名無しさん@お腹いっぱい。
10/05/06 18:31:50
ぺぺぺ^_^
416:名無しさん@お腹いっぱい。
10/05/06 18:32:08
pdfリーダーとflashplayerとjavaはアンインスコ推奨の方がいいと思う
今は大丈夫でも対策されるのは時間の問題だろうし
少なくとも、わざわざこんな板まで来るくらいに危機意識持ってるならアンインスコ必須かと
417:名無しさん@お腹いっぱい。
10/05/06 18:34:46
>>415
なんだあ、ぺぺぺって
わかりにくい反応すんなw
418:名無しさん@お腹いっぱい。
10/05/06 18:37:06
>>416
( ゚,_ゝ゚)バカジャネーノ
419:名無しさん@お腹いっぱい。
10/05/06 18:38:44
>>416
JavaScriptも切っておけよ、極論厨
420:名無しさん@お腹いっぱい。
10/05/06 18:40:11
>>416
動画見れないとかなるとPC使う理由が半分はなくなる
エロだけのこと言ってんじゃないよ?
Flashplayer使えないとかネットしててもおもしろくないよ
421:名無しさん@お腹いっぱい。
10/05/06 18:40:15
>>419
それは普通に切るだろ
422:名無しさん@お腹いっぱい。
10/05/06 18:40:46
>>416
PDFリーダーとJavaはともかくFlash Playerアンインスコは非現実的でしょ
423:名無しさん@お腹いっぱい。
10/05/06 18:52:29
ブラウザの中にはFlashplayerを簡単にその場その場でON/OFFできるものがある
そういうものを使えば両者対立せずに済む
終了
424:名無しさん@お腹いっぱい。
10/05/06 19:44:09
>>423
で、OFFにしておいたまま放置してバージョンが古くなったFlashPlayerの
脆弱性をつつかれて感染ですね
わかります
425:名無しさん@お腹いっぱい。
10/05/06 19:53:56
Gumblarかかる層なんて、そもそもブラウザIEしかしらないのがほとんどだし
ON/OFF切り替えなんて発想無いぞ?
426:名無しさん@お腹いっぱい。
10/05/06 19:56:46
仮想環境にすればいい
427:名無しさん@お腹いっぱい。
10/05/06 21:56:37
ブラウザをアンインストールすれば解決
428:名無しさん@お腹いっぱい。
10/05/06 22:16:50
全人類が秘密を共有すれば解決
429:名無しさん@お腹いっぱい。
10/05/06 22:43:21
Gumblarかかる層なんてOSはWindowsしかしらないし
430:名無しさん@お腹いっぱい。
10/05/06 22:52:36
それ以前にガンブラーがどんなものか知らないに10モリタポ
431:名無しさん@お腹いっぱい。
10/05/06 22:55:11
すげえ低レベルになったな
432:名無しさん@お腹いっぱい。
10/05/06 23:00:09
へぇ
レベル高かったことって
あったっけ
433:名無しさん@お腹いっぱい。
10/05/06 23:01:26
ガンブラーのAAが初めてはられたときのみレベルが高かった
それ以外は糞
434:名無しさん@お腹いっぱい。
10/05/06 23:44:22
>>420
動画は落としてから見ればいいんじゃないか?
435:名無しさん@お腹いっぱい。
10/05/06 23:44:26
ガンブラーとガンプラの違いがわからないに1狐ぽ
436:名無しさん@お腹いっぱい。
10/05/06 23:59:40
違法な行為にならないか, よく調べて実行するように
URLリンク(www39.atwiki.jp)
437:名無しさん@お腹いっぱい。
10/05/07 00:31:55
Webブラウザ仮想化しておけば無問題じゃねーの
なんならOS毎仮想化しとけ
438:名無しさん@お腹いっぱい。
10/05/07 01:25:58
Gumblarかかる層の人間の話してるのに、なんで仮想化なんてキーワードが出てくるんだろう
奴等にできるわけねーだろ
439:名無しさん@お腹いっぱい。
10/05/07 02:50:45
荒れすぎワロタ
440:名無しさん@お腹いっぱい。
10/05/07 13:13:31
www●ems-kankyo●co●jp
441:名無しさん@お腹いっぱい。
10/05/07 13:29:45
てすt
442:コテハン ◆8080adndqg
10/05/07 14:16:53
www●hd-cre●com/bj-fh ←なんだこれ?
newegg-com●paypal●com●renren-com●wayoutmall●ru:8080/・・・以下略
<?eval(base64_decode("Cm1i・・・
あふぃ・・・なのか?
443:名無しさん@お腹いっぱい。
10/05/07 14:39:16
>>442
憶測は書くな。
444:名無しさん@お腹いっぱい。
10/05/07 17:24:20
それはそうとflash playerは10.0.45.2からしばらく更新が無いね
445:コテハン ◆8080adndqg
10/05/07 18:00:22
>>443 [・皿・;]
--
【陥落サイトのURL悪用厳禁】
blog●ceed●jp/ ←サイト内全滅w(.jsも)
myako●net/ ←中途半端な修正
※java2/imgkotei●js
www●hds-x●com/ ←Refresh
↓
www●hds-x●com/top●html ←Gumblarがw
doujinnews●jp
446:名無しさん@お腹いっぱい。
10/05/07 18:20:53
>>445
一番下のドメインがこわい
447:名無しさん@お腹いっぱい。
10/05/07 18:21:23
気になるのだが
そのサイトのトップにはgumblerがあったとしても
そのサイトのトップ以外のページ(コラムとか他サイトへのリンクページとか)にはgumblerが無く
そこを見る分には大丈夫という場合はあるのか
まあ、>>2の対策をしていてもわざわざそんなページを見に行く物好きもそういないとおもうけど
448:名無しさん@お腹いっぱい。
10/05/07 18:22:10
>>444
そろそろまた新しいゼロデイが発生する頃だよな…
来月か再来月くらいのWindowsUpdateの前後に更新されると予想
449:名無しさん@お腹いっぱい。
10/05/07 18:23:10
>>447
あるけどいつ埋め込まれるかわからんしおすすめはしない
450:名無しさん@お腹いっぱい。
10/05/07 18:36:05
doujinnewsのとこ一番下だけじゃなく一番上にもあるのか
初めて見たけどいままで気付かなかっただけかな
451:名無しさん@お腹いっぱい。
10/05/07 18:57:55
adobeのセキュリティ意識の低さはもう完全に露呈されたんだから
flashplayerの代替品をMS辺りが用意してくれよ
452:名無しさん@お腹いっぱい。
10/05/07 19:20:07
>>451
F-Secureブログで、F-Secureで開発するかもって言ってた
453:名無しさん@お腹いっぱい。
10/05/07 19:20:48
>>451
つsilver light
454:名無しさん@お腹いっぱい。
10/05/07 20:25:13
>>451
どう間違ったらそこでMSなんだよ
455:名無しさん@お腹いっぱい。
10/05/07 20:57:52
>>453
silver lightは代替手段としてはありだと思うが
今の半分くらいまで負荷を下げてくれないと低スペPCがつらい
あとグラボの再生支援への対応
456:名無しさん@お腹いっぱい。
10/05/07 21:02:25
×silver light
○Silverlight
457:名無しさん@お腹いっぱい。
10/05/07 21:28:43
HTML5でいいじゃん
458:名無しさん@お腹いっぱい。
10/05/07 21:38:23
現時点ではHTML5用のリッチコンテンツを簡単に作るようなツールがないからなあ…
459:名無しさん@お腹いっぱい。
10/05/07 22:08:32
codec決まってないべ
460:名無しさん@お腹いっぱい。
10/05/07 22:23:10
IE9ではH.264のみらしいけど
461:コテハン ◆8080adndqg
10/05/07 23:37:20
doujinnews●jp 検索結果 約 7,730 件
www●google●co●jp/search?q=site%3Adoujinnews●jp&btnG=%E6%A4%9C%E7%B4%A2&hl=ja&lr=&sa=2
\(^o^)/オワタ
462:名無しさん@お腹いっぱい。
10/05/08 00:23:21
ガンブラー攻撃が常態化、トレンドマイクロ、4月のウイルス感染・報告ランキング(japan.internet.com)
URLリンク(headlines.yahoo.co.jp)
Yahooトップ
463:名無しさん@お腹いっぱい。
10/05/08 00:33:51
>>461
なんか気のせいか物凄まじくやばいような。
464:名無しさん@お腹いっぱい。
10/05/08 00:34:24
さっきMSEでTrojanDownloader:JS/Psyme.genが検出されたがGumblar?
465:名無しさん@お腹いっぱい。
10/05/08 00:34:37
俺もついに感染したようだ。このスレのアドレス開いてから
すぐにブルースクリーンになったりで調子が悪い
466:名無しさん@お腹いっぱい。
10/05/08 00:41:40
>>465
Kaspersky File Scanner オンラインウイルススキャン
URLリンク(blog.ceed.jp)
これで検出されなければ感染してないよ
467:名無しさん@お腹いっぱい。
10/05/08 00:48:06
>>465
Online Scanner
URLリンク(www.f-secure.com)
468:名無しさん@お腹いっぱい。
10/05/08 00:57:17
>>466-467
乙。
469:名無しさん@お腹いっぱい。
10/05/08 01:01:20
>>466-467ってKasperskyやF-secure以外のアンチウイルスソフト使っててもスキャン出来るの?
470:名無しさん@お腹いっぱい。
10/05/08 01:06:01
>>469
は?
471:名無しさん@お腹いっぱい。
10/05/08 01:08:24
>>470
あれ 競合しないのか
472:名無しさん@お腹いっぱい。
10/05/08 01:08:31
オンラインスキャンがなんたるかをよく理解してないらしい
473:名無しさん@お腹いっぱい。
10/05/08 01:08:37
>オンラインウイルススキャン
>Online Scanner
474:名無しさん@お腹いっぱい。
10/05/08 01:10:18
>>471
そんな認識だからPCウイルスに感染するんだぞ(笑)
475:名無しさん@お腹いっぱい。
10/05/08 01:12:23
>>465
このスレのアドレス?
このスレ開いたら感染するのか?
476:名無しさん@お腹いっぱい。
10/05/08 01:17:55
>>474
ホントにな…
477:名無しさん@お腹いっぱい。
10/05/08 01:25:00
>>464
トロイの木馬だけどGumblarでは無いな
478:名無しさん@お腹いっぱい。
10/05/08 01:25:45
>>475
うん
479:名無しさん@お腹いっぱい。
10/05/08 01:31:02
>>478
そんなこと全然ないけど?
live2chで見てるけど全然平気なんだけど
>>2の対策をしてるからかな?
480:名無しさん@お腹いっぱい。
10/05/08 01:33:50
>このスレのアドレス?
うん
>このスレ開いたら感染するのか?
うん
どっちやねん
481:名無しさん@お腹いっぱい。
10/05/08 01:36:51
>>479
信じるなよw
482:名無しさん@お腹いっぱい。
10/05/08 01:53:25
PDFに埋め込まれた全プログラムを無効化できるようになった「Foxit Reader」v3.3
URLリンク(www.forest.impress.co.jp)
これどうなんだろ?
483:名無しさん@お腹いっぱい。
10/05/08 02:07:23
対策もしてないのにこのスレで挙げられてる陥落サイトのアドレスを
うっかり踏んじゃったってことじゃないか。
484:名無しさん@お腹いっぱい。
10/05/08 02:27:36
>>466-476
競合もしないレベルで動くオンラインスキャン使ってスキャンして、
それで何もないからってどれ位の意味なの
485:名無しさん@お腹いっぱい。
10/05/08 02:29:52
結局そのオンラインスキャンを実行してるのは、感染疑いのあるそのPC自体でしょ
すくなくともインストールして使うもの利用したほうがいいのかね
486:名無しさん@お腹いっぱい。
10/05/08 03:12:02
doujinnewsのやつ
URLリンク(www.virustotal.com)
結果: 1/41 (2.44%)
McAfee-GW-Edition:Heuristic.BehavesLike.HTML.Shellcode.K
487:名無しさん@お腹いっぱい。
10/05/08 08:17:07
>>466のアドレスへ行ったのですが、
Kasperskyのオンラインスキャンがあるのかわかりません。
どなたか教えてください。よろしくお願いします。
488:名無しさん@お腹いっぱい。
10/05/08 08:36:53
>>487
そこGumblarの可能性ありって出るよ
489:名無しさん@お腹いっぱい。
10/05/08 09:09:12
www●spoffice●jp
株式会社セカンドプランニング この会社が関わっている
yamatwo●jp
www●sobank●jp
www●spoffice●jp
全てが改ざん
490:名無しさん@お腹いっぱい。
10/05/08 09:23:25
>>488
そうですか・・・
教えてくださってありがとうございます。
一応>>2-3あたりの対策はしているのですが
クリーンインストールした方がいいですか?
何度もすいません。
491:名無しさん@お腹いっぱい。
10/05/08 09:35:13
ネット上にあがってるWebサイトの改竄方法を教えてください
ウイルスを仕込むわけではなくバナーを消したり文章を変える程度です
Web改竄について詳しく書いてあるサイトを教えてくれる形でもいいです
お願いします
492:名無しさん@お腹いっぱい。
10/05/08 09:40:27
スレチだゴミ
493:名無しさん@お腹いっぱい。
10/05/08 09:57:54
最近嘘書いて改ざんサイトに誘導するバカが出没してるな
しかもそれに対して大体レスが付くことから自演を駆使してるようだ
どうせ>>465-471あたりは同一人物だろ
でもって>>490はキモイ流れになってる事とおかしなURLから危険を察しろ
494:名無しさん@お腹いっぱい。
10/05/08 11:53:36
suncs●sakura●ne●jp
www●kfbclub●com
495:名無しさん@お腹いっぱい。
10/05/08 12:06:55
>>490
URLがそのままなのはまあ黒だろ
迂闊に踏む前にちょっと流れ見るべきだね
どうせ誘導したいクソは自分が踏んで感染した腹いせなんだろうが
ひょいとのぞきに来たような人は無理に流れに参加しようとしなくていい
496:名無しさん@お腹いっぱい。
10/05/08 12:47:39
>>493>>495
ご迷惑掛けてすいません。
クリーンインストールはいいのですが
残しておきたいデータなどがあるのでほんと落ち込んでます。
今は起動させてない外付けがあるのですが、
そちらに移すと外付けの方にもダメになりますか?
基本的なことかもしれませんがどうか教えてください。
497:名無しさん@お腹いっぱい。
10/05/08 13:38:36
>>496
そんな大事なデータをバックアップとっていないのなら
今回は勉強として諦めた方がいいよ
悔しいのはわかるけどね
498:名無しさん@お腹いっぱい。
10/05/08 13:39:35
>>496
ざまあああああ
499:名無しさん@お腹いっぱい。
10/05/08 14:16:12
>>496 aguseで確認
dirtysin.ru:8080○google.com○kakaku.com○110mb.com○php
ご愁傷様・・・
500:名無しさん@お腹いっぱい。
10/05/08 14:31:59
最近のGumblarはGENOみたいに動作が重くなるとか変なファイル作成はあるのかなあ
501:名無しさん@お腹いっぱい。
10/05/08 14:44:03
>>2をしっかりやってても踏んだら感染するのか?・・
502:名無しさん@お腹いっぱい。
10/05/08 15:03:13
MyJVNバージョンチェッカ IE8に対応すればいいのになあ
URLリンク(jvndb.jvn.jp)
503:名無しさん@お腹いっぱい。
10/05/08 15:21:11
Windows 7にも未対応だって笑わせるな
504:名無しさん@お腹いっぱい。
10/05/08 16:00:29
>>496
そんな大事なら他のメディアに移すことも考えてみたら
Gumblarの挙動の基本はサイトの管理者アカウントを盗むことらしいし
亜種だったら他のこともするらしいけど
このスレにそこらの書き込みあったと思うよ
一方でOSクリーンインストールする時には、HDD上にデータはすべて消してからのがいいんだろうね多分
505:名無しさん@お腹いっぱい。
10/05/08 16:01:49
107 :('д') ◆yUyb3Tqn92 :2010/05/08(土) 15:04:26 ID:f48FTMOs
>>97はここのコピペだぞw
URLリンク(blog.ceed.jp)
よくできておるのう ´,дゝ`)コピペにマジレス乙だお
↑を踏んでしまいました。
このコテが言うにはガンブラウィルスらしいのですが、釣りや脅しのような気がするので鑑定よろ
506:名無しさん@お腹いっぱい。
10/05/08 16:07:14
アドレス貼りのルールも守れない馬鹿にはいい気味だ
507:名無しさん@お腹いっぱい。
10/05/08 16:08:20
>>505
馬鹿か
すれ違いじゃ
508:名無しさん@お腹いっぱい。
10/05/08 16:09:11
>>506
馬鹿
所詮ローカルルールだと気づけ馬鹿
509:名無しさん@お腹いっぱい。
10/05/08 16:10:02
505 ざまぁwwww
510:名無しさん@お腹いっぱい。
10/05/08 16:10:04
sageろとかいう馬鹿と同じで
システム上できることは仕様だから仕方ないさ
よほどのことしないかぎりね。
511:名無しさん@お腹いっぱい。
10/05/08 16:11:06
マジレスすると('д')のコテ付けた奴はウィルス貼ってる常習犯なわけだが
今回ばかりは505みたいな阿呆にウィルスを踏ませた('д')をGJと言いたいwwwwwww
512:名無しさん@お腹いっぱい。
10/05/08 16:11:46
ガチでGumblarだしざまぁ
URLリンク(dirtysin)●ru:8080/google●com/kakaku●com/110mb●com●php
513:名無しさん@お腹いっぱい。
10/05/08 16:14:02
>>512
>>5や>>91のチェッカー全部スルーしてやがる
514:名無しさん@お腹いっぱい。
10/05/08 16:16:11
os:win7 64bit アップデート済み
northon2010 更新済み
adobe reader 最新ver
JREはup17だったと思われ。
この環境で上記URL踏んでしまったのだが
ノートン先生でフル検索かけてもウィルスが見つからない。
後外部から自分のPCに向けてポートスキャンかけてみたけど(LANで)、異常無し。
普段wimaxで接続してるからgkbrなんだが…さてはて
515:名無しさん@お腹いっぱい。
10/05/08 16:18:00
上記
516:514
10/05/08 16:21:53
おいらが踏んだのはこれです。
URLリンク(blog)<)○megalodon.jp/2008-0922-1659-16/www○geocities○com/imomushi2005/imomushi20○htm
これを踏んで
Nine-Ball Mass Injectionがどうたらって警告が出たので
その対策を調べに来ていてやられました。マジ情けない…
517:名無しさん@お腹いっぱい。
10/05/08 16:26:01
>>516
お前>>505だろwwwwwwwwwwww
だからURL貼り忘れたんだべwwwwwww他いけよもうw
518:491
10/05/08 16:28:33
>>492
スレチかもしれませんがここのスレの人が一番詳しそうなので>>491について教えてくださいお願いします
519:名無しさん@お腹いっぱい。
10/05/08 16:31:51
ママに聞けクソガキ
520:名無しさん@お腹いっぱい。
10/05/08 16:33:13
>>518
犯罪
521:名無しさん@お腹いっぱい。
10/05/08 16:41:42
>>518
ばーか
522:名無しさん@お腹いっぱい。
10/05/08 16:46:15
>>518
バカ
523:名無しさん@お腹いっぱい。
10/05/08 16:47:28
いろいろ、ヘンなのが沸いてきたね。
連休疲れ?
524:名無しさん@お腹いっぱい。
10/05/08 16:54:24
>>518
ハ _
___ ∥ヾ ハ
/ ヽ ∥::::|l ∥:||.
/ 聞 え | ||:::::::|| ||:::||
| こ ? | |{:::::∥. . .||:::||
| え | _」ゝ/'--―- 、|{::ノ!
| な 何 | / __ `'〈
| い ? ! /´ /´ ● __ ヽ
ヽ / / ゝ....ノ /´● i
` ー―< { ゝ- ′ |
厶-― r l> |
∠ヽ ゝ-― `r-ト、_,) |
レ^ヾ ヽ>' ̄ LL/ 、 /
.l ヾ:ヽ ` 、_ \\ '
l ヾ:ヽ ト`ー-r-;;y‐T^
| ヾ `ニニ「〈〉フ /∥. j
525:名無しさん@お腹いっぱい。
10/05/08 17:26:33
>>517
違うんじゃないか
urlが中途半端に違う
このスレで踏んだ奴だろ
>>505は、=>>508=>>510
つーか規制食らったww
526:コテハン ◆8080adndqg
10/05/08 18:49:58
>>501
最新版に更新済でも、JAVAの旧バージョンの残骸が残ってたりすると
やられてしまう可能性があるのです・・・
このスレの住人以外の方へ>
貼ってあるアヤシイURLは直接踏まず
【aguse Gateway】
URLリンク(gw.aguse.jp)
ここを使いましょう。
>aguse Gatewayとは?
スクリーンキャプチャを使った完全に安全なブラウザ型ゲートウェイです。
>サイトを1枚ずつキャプチャして見せ、ブラウザに準じた動作が可能です。
527:名無しさん@お腹いっぱい。
10/05/08 18:57:29
感染確認方法がないのが怖い
528:名無しさん@お腹いっぱい。
10/05/08 18:57:33
aguseは現状のGumblar検出用には当てにならん
あやしいURLリンク(www.example.com:8080)の:8080とかは検出してくれるけど
そこも注意深く見ないと安全なサイトにしか見えないし
529:名無しさん@お腹いっぱい。
10/05/08 19:31:17
なんかFTPのパス抜かれるだけ、って結論に上の方でなってるけど、
確か最初はネトゲのパスが抜かれてたような記憶がある
去年の夏ごろの上に出てたAsian motorsのサイトだったような気が、、、
てか、感染サイトのお知らせ、アンチウイルスサイトのアドレス貼って、そこ行け、で済ませてる所多いけど、
感染してたらウイルス除去、だけじゃ済まんだろ。
FTP以外のパス変えたり、クレカ会社に連絡しなきゃ、たとえクリーンストールしても、
意味無いような気がする。
530:名無しさん@お腹いっぱい。
10/05/08 19:49:03
三井住友VISAはあの程度で済ますとか被害わかってやってんのかな?
仮にもクレジットカード会社の取る行動じゃないよな
531:名無しさん@お腹いっぱい。
10/05/08 20:56:50
>>512
VirusTotalだとどうなのだろう
532:名無しさん@お腹いっぱい。
10/05/08 21:01:57
まあ心配ならゲーム機でネット見るとかすればいいんじゃね
533:名無しさん@お腹いっぱい。
10/05/08 21:07:17
何だか>>504以降の書き込み時間が近接してるな
534:名無しさん@お腹いっぱい。
10/05/08 21:11:34
>>518
それ改ざんとはいわないだろ
要するに広告ブロックとかしたいんじゃないの
あとはぐぐれ
535:名無しさん@お腹いっぱい。
10/05/08 21:12:36
>>529
そんな結論にはなってないとおもうよ
536:名無しさん@お腹いっぱい。
10/05/08 21:20:19
>>532
KNOPPIXをDVD起動で使用
537:名無しさん@お腹いっぱい。
10/05/08 22:39:44
KNOPPIXをusb起動で使用
538:名無しさん@お腹いっぱい。
10/05/08 23:27:54
>>534
広告ブロックではなく文章や写真を少しだけ変えて知り合いを驚かせたいんです。
そのためには管理者側としてソースコードを書き換える必要があると思うのですが
難しいのでしょうか?
ちょっとした自己掲示欲でウイルスを入れようなどは考えていません。
ここにいる人は詳しいと思ったのでここで質問させていただきました。
539:名無しさん@お腹いっぱい。
10/05/08 23:29:33
本当の意味での改竄じゃん
540:名無しさん@お腹いっぱい。
10/05/08 23:32:42
それは犯罪w
541:名無しさん@お腹いっぱい。
10/05/08 23:35:05
>>538
失せろダニ
542:名無しさん@お腹いっぱい。
10/05/08 23:36:44
>>538
( ゚,_ゝ゚)バカジャネーノ
543:名無しさん@お腹いっぱい。
10/05/08 23:41:14
自己掲示欲て
544:名無しさん@お腹いっぱい。
10/05/08 23:43:05
>>538
それは犯罪です
545:名無しさん@お腹いっぱい。
10/05/08 23:44:58
>>516
これってここに貼ってあったやつだけど改竄されてるか?
今見たけどカスペもシマンテックもアバストも特に反応しねーが
546:名無しさん@お腹いっぱい。
10/05/08 23:46:53
>>538
あまりにも幼稚な発想でこわいわ
お前がサイト持ってて突然改ざんされたら驚く程度では済まなくね?
恐怖感のほうが強いはず
ストーカーか何かなの?
軽いイタズラじゃ済まないよ
547:名無しさん@お腹いっぱい。
10/05/08 23:48:59
>>545
上はこっそり修正したのかもしれん
Date: Sat, 08 May 2010 14:47:09 GMT
たぶんそのうちまた再改ざんされるんじゃね
548:名無しさん@お腹いっぱい。
10/05/08 23:49:29
>>545
今は直ってるけど、少なくともURLリンク(blog)●ceed●jp/は>>512が埋まってた
549:名無しさん@お腹いっぱい。
10/05/08 23:58:07
>>547->>548
なるほど、サンクス
修正はされたけどアナウンスはされてないのねw
550:名無しさん@お腹いっぱい。
10/05/09 00:14:37
>>548
そのURL踏むとPC動作重くなったり何かファイル組みこんだりする?
551:名無しさん@お腹いっぱい。
10/05/09 01:40:48
>>550
過去に踏んでしまったのならそういうこともあるかもしれません
552:名無しさん@お腹いっぱい。
10/05/09 02:08:06
>>538
てめー24しとくわ
せいぜい家でマッポがいつくるかガクブルして待ってろ
553:名無しさん@お腹いっぱい。
10/05/09 02:08:16
>>549
>514です。aguseで昨日の12:00頃調べた時には,>>512が検出されました。
Norton Safe Webで調べてみたところ、以前同サーバの別ページ?で
Bloodhound.Exploit.292の存在が確認されている模様。
パスワードやクレジットカード情報などを盗むウィルスに分類されているようですが
windows7への感染は無いっぽい?よく分からん。
554:名無しさん@お腹いっぱい。
10/05/09 13:22:54
こっそり修正が一番たちが悪い
IPAかJPCERTのGumblarにかかったらどうするかって所に
・公表する
・ホームページの管理者なら、いつからいつまでの間ウィルスが埋め込まれていたのか明らかにする
って内容があった気がする
>>516の上は最低だな
555:名無しさん@お腹いっぱい。
10/05/09 13:48:15
ハニーホエール ってどう?
556:名無しさん@お腹いっぱい。
10/05/09 15:00:07
こりか。
URLリンク(www.lac.co.jp)
557:名無しさん@お腹いっぱい。
10/05/09 15:50:45
>>554
まあそういうことをやるとこはポカするたびにこっそり書き換えとかやって段々信用を無くしてくよ
セキュリティ関係ないけどアクティスの電源とかな
558:コテハン ◆8080adndqg
10/05/09 16:18:44
【陥落サイトのURL悪用厳禁】
slmo●co●jp/
www●hd-cre●com/ ←ここはやられてないけど・・・
↓
www●google●co●jp/search?hl=ja&q=site%3Ahd-cre●com%2F&btnG=%E6%A4%9C%E7%B4%A2&lr=
559:名無しさん@お腹いっぱい。
10/05/09 16:20:32
>>555
こりか。
URLリンク(samspade.org)
560:名無しさん@お腹いっぱい。
10/05/09 16:36:48
>>555
>>556
>>559
これはおそらく自演
迂闊に踏むなよ
561:名無しさん@お腹いっぱい。
10/05/09 16:51:54
このスレに住みついてる奴に知らないアドレスをホイホイと踏む馬鹿は居ないと思うが・・・
まぁ外部から興味本位で来て引っ掛かった奴は「ご愁傷さまだ、さっさとクリーンインストールして来い」で良いと思う
562:名無しさん@お腹いっぱい。
10/05/09 17:08:55
普通のリンクじゃん
馬鹿じゃないの
563:名無しさん@お腹いっぱい。
10/05/09 17:45:35
>>557
段々信用をなくすって言うけど元からないだろう。こういうとこは。
564:名無しさん@お腹いっぱい。
10/05/09 17:51:24
>>561
ご愁傷さま
565:名無しさん@お腹いっぱい。
10/05/09 20:42:15
>>560
アンカーつけると削除依頼が通らなくなるぞ
566:名無しさん@お腹いっぱい。
10/05/09 21:50:14
もみじ 乙!
567:名無しさん@お腹いっぱい。
10/05/09 22:42:05
>>565
アンカーつけるところまで自演じゃないの?
568:名無しさん@お腹いっぱい。
10/05/10 00:32:44
www●historyasia●com/Scripts/AC_RunActiveContent●js
傑作な改竄修正。
管理人は一体何を考えているんだ…
569:名無しさん@お腹いっぱい。
10/05/10 03:25:34
>>568
//12Apr2010 : Malware script
ところどころコメントアウトしてあったり、なかったりw
570:名無しさん@お腹いっぱい。
10/05/10 03:42:17
まだあったのかこのスレ
久しぶりすぎる
571:名無しさん@お腹いっぱい。
10/05/10 05:37:59
>>494
下 >ホームページに関するお詫びとお知らせ
572:名無しさん@お腹いっぱい。
10/05/10 10:41:22
質問があるのですが
ruドメインとcnドメインのサイトは全て危険とみなしてよいのでしょうか?
573:名無しさん@お腹いっぱい。
10/05/10 11:39:45
見なしてもいいけど、それが絶対じゃない
ブラジルとか最近spamの温床になってきてる新興国や発展途上国なんかは要注意だね
574:名無しさん@お腹いっぱい。
10/05/10 12:56:05
.infoとかでも罠サイトがあったって話だし、ドメインだけじゃ判断できなくなってきてる
そのうちcomとかjpもできるんじゃないかね
575:名無しさん@お腹いっぱい。
10/05/10 13:03:32
>>574
comは既にあるらしい
「.ru」ドメイン対策では防げない「Gumblar」攻撃 - マルウェア配布サイトに「.com」などが
URLリンク(www.security-next.com)
576:名無しさん@お腹いっぱい。
10/05/10 13:57:51
新種
stompstamp●com
577:名無しさん@お腹いっぱい。
10/05/10 15:19:55
>>572
全部危険ってわけじゃないだろ。
McAfeeは毎年危ないTLDを発表してるが、2009年は
cm(カメルーン)
com(gTLD)
cn(中国)
ws(サモア)
info(gTLD)
の順だった。
PDF www.mcafee.com/common/media/mcafeeb2b/international/japan/pdf/threatreport/2009_MTMW_Report.pdf
cnは昨年12月14日から、ruは4月1日から登録が面倒になった(書類審査)。
今後は他のが増えてくるんじゃね。
578:名無しさん@お腹いっぱい。
10/05/10 17:15:58
ネット鎖国も防衛手段としては有効だぜ?
579:名無しさん@お腹いっぱい。
10/05/10 17:29:13
URLリンク(www.k)●naka.jp/fs/k●naka/Information.html
ちょっと確認してもらえないか
580:名無しさん@お腹いっぱい。
10/05/10 17:30:33
>>579
ここはそういうスレじゃない
581:名無しさん@お腹いっぱい。
10/05/10 18:01:05
>>579
bloodhound.exploit.292
>>580
死ね
>>553
582:名無しさん@お腹いっぱい。
10/05/10 18:43:41
>>581
>>1も読まないやつに答えるなよ
そういうことするからまた同じバカが出てくるんだろ
583:名無しさん@お腹いっぱい。
10/05/10 19:27:43
>>581
>>581
>>581
>>581
>>581
>>581
>>581
>>581
>>581
>>581
>>581
584:名無しさん@お腹いっぱい。
10/05/10 19:37:25
>>581
GJ!
585:名無しさん@お腹いっぱい。
10/05/10 19:57:32
IDやパスワード抜かれるというけど
ftpだけでなく動画サイトやネット接続のID、パスワードも抜かれるのだろうか
586:名無しさん@お腹いっぱい。
10/05/10 20:33:10
誘導されてきました。お話中おそれいります。
サイト持ちです。
このサイトはコンピュータに損害を与える可能性があります
グーグルでこの表示が出たとの知らせをうけて、該当ページから挿入されたスクリプトを除去し、再アップしました。
しかしながら、今後も同様のケースが考えられるので根底から対処しないといけないということです。
ウイルス除去タイプのプロバイダーを使っていたので、今まで安心していました。
今後サイトに変なスクリプトが挿入されないようにするには、どういった対処がおすすめでしょうか。
皆さんの意見をお願いします。※スレチであれば、誘導もお願いします。
587:名無しさん@お腹いっぱい。
10/05/10 20:38:10
ホームページさっさと閉鎖してアラスカで隠居してください
588:名無しさん@お腹いっぱい。
10/05/10 20:39:12
>>586
URLリンク(www.ipa.go.jp)
589:名無しさん@お腹いっぱい。
10/05/10 20:48:13
>>586
あなたのPCに何か感染していますので
とっととクリーンインストールしてください。
590:名無しさん@お腹いっぱい。
10/05/10 21:05:18
>>585
ネット接続のパス抜かれたら終わりだ・・・
Gumblarで実際にそうなるのかねえ
591:名無しさん@お腹いっぱい。
10/05/10 21:12:27
>>585
通信を監視していますので非セキュアな通信はすべて筒抜けです
592:名無しさん@お腹いっぱい。
10/05/10 21:15:28
>>586
セキュリティ対策ソフト入れないってのはありえないわ
根底から対処っていうのはOS入れなおせっていう意味だよ
593:名無しさん@お腹いっぱい。
10/05/10 21:35:29
>>591
最悪ネット接続すら出来ないのか gkbr
594:名無しさん@お腹いっぱい。
10/05/10 21:36:54
>>592とか何の対策にもなってないんだがw
煽るのもいいけど、FTPのパスワードは最低変えておけぐらい言えばいいのに
595:名無しさん@お腹いっぱい。
10/05/10 21:43:00
>>591
よく分からんなFWは無力なのか?
596:名無しさん@お腹いっぱい。
10/05/10 21:49:40
こっちも。
URLリンク(www.ipa.go.jp)
(3)ウェブサイト改ざんの被害発生時の対処
特に利用者の告知は必須。
ウイルスのチェック方法等をあわせて告知しないと、被害が拡大する↓
URLリンク(detail.chiebukuro.yahoo.co.jp)
597:名無しさん@お腹いっぱい。
10/05/10 21:51:25
>>594
感染PCから変えても無駄だろ
598:名無しさん@お腹いっぱい。
10/05/10 21:55:13
586です
対処します。ありがとうございました。
599:名無しさん@お腹いっぱい。
10/05/10 21:58:08
>>593
ISPからの個人あてメールも削除おすすめ・・・かも
600:名無しさん@お腹いっぱい。
10/05/10 22:08:59
>>588や>>596を確認せずにホイホイ踏むようなら、救いようがないな
601:名無しさん@お腹いっぱい。
10/05/10 22:33:18
gnome「夕張メロン熊かわいいよ夕張メロン熊」
602:名無しさん@お腹いっぱい。
10/05/10 22:36:25
Adobe Reader以外のPDFソフトでJavaScript関連の他に気をつける事はあるの?
603:名無しさん@お腹いっぱい。
10/05/10 23:06:12
PDF X-Change ViewerにだってJavaScriptはあるぞとだけ
604:名無しさん@お腹いっぱい。
10/05/10 23:29:19
Office97や2000で散々マクロウィルス叩かれたけど、
だからといって、一太郎や花子に脆弱性が無いという保障にはならない
605:名無しさん@お腹いっぱい。
10/05/10 23:31:59
一太郎とか最近狙われたばっかじゃん
606:名無しさん@お腹いっぱい。
10/05/10 23:44:53
ここ2~3年くらいで急に狙われ出したな>一太郎
あとATOKも
607:名無しさん@お腹いっぱい。
10/05/10 23:58:33
【陥落サイトのURL悪用厳禁】
sound●jp/kimitoiumizunonakade/
fourlcp●com
>>576
色々やってみた
上:
URLリンク(www.virustotal.com)
下(全部):
URLリンク(www.virustotal.com)
下(<script></script>のみ):
URLリンク(www.virustotal.com)
swfobject.js:
URLリンク(www.virustotal.com)
「「Gumblar」関連のウイルスがランキング上位に - 「一太郎」狙いのゼロデイ攻撃も」
URLリンク(www.security-next.com)
608:名無しさん@お腹いっぱい。
10/05/11 00:03:47
>>607
MSE使えねー
609:名無しさん@お腹いっぱい。
10/05/11 00:17:32
ところでこのサイトの主にウイルスを駆除させる妙案はないものでしょうか
myako●net
昨日だけで9000人以上が閲覧
早急にどうにかしないとまずいのに何度メール送ってもスルーされる…
610:名無しさん@お腹いっぱい。
10/05/11 00:25:15
>>609
確認できないんだが
611:名無しさん@お腹いっぱい。
10/05/11 00:39:59
>>609
こちらの環境でも現在は修正及びサブドメインは403にされている模様です。
612:名無しさん@お腹いっぱい。
10/05/11 00:43:59
>>611撤回
残ってた>>445 Last-Modified: Sun, 11 Apr 2010 21:36:14 GMT
alienear●ru
613:名無しさん@お腹いっぱい。
10/05/11 00:54:14
>>610
aguseじゃでなかったけどgredだとでたぞ
614:名無しさん@お腹いっぱい。
10/05/11 01:18:41
>>613
ここの
myako.net/download/down2.cgi
これがやられてるね。
myako.net/download/kensakumdl.js