09/05/14 20:23:09 bxw/Zy770
(1)感染してるサイトを閲覧する
(2)自分のパソコンが感染する
(3)その状態でFTPで自分のサイトを更新する
(4)その時にFTPのIDとパスを抜かれる
(5)ウイルスが勝手にHTML、phpファイル等に
不正なジャバスクリプトを埋め込む
(6)サイトが感染状態になる。
(7)そのサイトを見た人が感染する
このようなアニサキス状態になっております
418:働け働けニトニト●ちゃんねる
09/05/14 20:33:01 smRv385ZP
アニキサスに見えた
419:動け動けウゴウゴ2ちゃんねる
09/05/14 20:44:24 bxw/Zy770
アニキサスは危険
あなたの体にアニキが感染します
420:あひるちゃん ◆z0WvbsWRgg
09/05/14 20:59:40 wkUd4Ate0
烏賊の塩辛にアニーがうごめいてた恐怖
421:動け動けウゴウゴ2ちゃんねる
09/05/14 20:59:53 M3Wj7Hta0 BE:33063124-PLT(80113)
>>414-415
なるへそ、解析してみたらgumblarだった。
色々と考えるもんだねぇ
422:root▲▲ ★
09/05/14 21:19:56 0 BE:2553874-DIA(102226)
>>417
成程。
マルウェアを仕込まれるわけですから、
仮にうp手段が ftp じゃなくて ssh とか使っていても、
少なくとも*原理的には*だめっぽいですね。
マルウェアが key logger だったりするのかもしれないし。
で、、、。
もし仮に今回の maido3.com もこのパターンでやられたんであれば、
中身をうpしている人*全員*のPCをウイルス駆除するのは当然として、
maido3.com の中の人がいじった可能性のあるサイトの、
あらゆるパスワードを変更しないと危険なような。
423:動け動けウゴウゴ2ちゃんねる
09/05/14 21:24:33 M3Wj7Hta0 BE:57859272-PLT(80113)
他のはしらんけどmaidoの方はVISTA避けてあるみたいですねぇ
おきつねさんVISTAだっけ?しかしどうやって仕込むんだろうなぁー
424:動け動けウゴウゴ2ちゃんねる
09/05/14 21:26:23 M3Wj7Hta0 BE:260367179-PLT(80113)
ああー
>(5)ウイルスが勝手にHTML、phpファイル等に不正なジャバスクリプトを埋め込む
これかー、なるほどなー考えてるなぁ
425:動け動けウゴウゴ2ちゃんねる
09/05/14 21:33:16 xyLSFQR40
ジャバスクリプト切って見てたらセーフ?
426:動け動けウゴウゴ2ちゃんねる
09/05/14 21:34:06 cpS5OZck0
こういうクラッキングって被害サイトからセキュリティ企業に報告とかいくの?
情報共有みたいなのするよね?
427:root▲▲ ★
09/05/14 21:35:52 0 BE:5837388-DIA(102226)
>>423-424
>>417 のとおりで、概ねこんなかんじのシナリオかと。
1) どっかの感染している index.html やら index.php やらを持ったサイトを、
自分のサイトのコンテンツを FTP で更新する担当の人がアクセスする
2) 担当の人の PC にトロイが侵入する
3) 2) で侵入したトロイは、担当の人が FTP で
自分のサイトにアクセスするのを待ち続ける
4) 担当の人が感染した PC から FTP で自分のサイトを更新すると、
トロイがその様子をチェックしていて、そのサイトにアクセスした
ログイン名とパスワードを盗み取る
5) トロイはしばらくすると自動的に、4) で盗んだパスワードを使って
そのサイトにアクセスし、index.html やら index.php やらをこっそり書き換えて、
そのサイトに感染コードを仕込む
5') もしうまく作ってあるトロイなら、ローカルの PC にある
自分のサイトに上げるためのファイルのローカルコピーにも、
同じ感染コードを仕込むだろう。
6) 1) に戻る
428:root▲▲ ★
09/05/14 21:36:59 0 BE:1824454-DIA(102226)
で、これだとつまり、
>>404 が正解、ってことなのかなと。
429:動け動けウゴウゴ2ちゃんねる
09/05/14 21:39:13 gysa5PqM0
脅威レポート
見つかった脅威の合計: 123
ウイルス (説明の表示)
見つかった脅威: 123
サンプル:
脅威名: VBS.Freelink.B
場所: URLリンク(banana710.maido3.com)
脅威名: Bloodhound.Exploit.6
場所: URLリンク(banana710.maido3.com)
脅威名: VBS.Freelink.B
場所: URLリンク(banana710.maido3.com)
脅威名: VBS.LoveLetter.Var
場所: URLリンク(banana710.maido3.com)
直接リンク先: URLリンク(banana710.maido3.com)
場所: URLリンク(banana710.maido3.com)
直接リンク先: URLリンク(banana710.maido3.com)
場所: URLリンク(banana710.maido3.com)
脅威名: 直接リンク先は VBS.Freelink.B
場所: URLリンク(banana710.maido3.com)
脅威名: 直接リンク先は VBS.LoveLetter.Var
場所: URLリンク(banana710.maido3.com)
脅威名: 直接リンク先は VBS.Freelink.B
場所: URLリンク(banana710.maido3.com)
脅威名: 直接リンク先は Bloodhound.Exploit.6
場所: URLリンク(banana710.maido3.com)
430:動け動けウゴウゴ2ちゃんねる
09/05/14 21:39:47 M3Wj7Hta0 BE:123984465-PLT(80113)
難読化されてるのを解読したら中身を見る限りではVISTAなら今の所だいじょぶみたい
userAgentを(u.indexOf("Win") > 0) && (u.indexOf("NT 6") < 0)で避けてる様子。
亜種が出てきたら分からんけど、maidoの奴はこれだった。
>>425
切ってたら動作しないのでだいじょぶなんじゃね?
>>427
のようですね、サイト管理者が感染すると芋ずる式と・・・おそロシヤ
431:動け動けウゴウゴ2ちゃんねる
09/05/14 21:40:47 cpS5OZck0
ということはweb担当者が見ることが多いようなサイトが感染されたら
もっと感染拡大するのか
まあ、adobeの方の対策は入ったみたいだから自衛できるんだろうけど
432:動け動けウゴウゴ2ちゃんねる
09/05/14 21:45:38 ZXszTz3C0
これはWindows7が発売される前に在庫のVISTAを少しでも売ってしまいたい業者の陰謀だったんだよ!!!
433:動け動けウゴウゴ2ちゃんねる
09/05/14 21:47:46 M3Wj7Hta0 BE:103320555-PLT(80113)
>>431
そですね、発信先になりかねないので注意が必要だろうと
例えば2chを直接触れる人が感染したら恐ろしいんでしょうな;
でも2chのものだとツール使って変更してるのかな?直接うpだったら変更人さんは注意した方がいいかもですねぇ
434:root▲▲ ★
09/05/14 21:48:01 0 BE:3648285-DIA(102226)
>>431
「管理者」って書きましたが、当然、それとは限らないですね。
最近は自分のブログとかを持ってて、
せっせと FTP で更新している人がかなりの人数いるわけで、
それを非常にうまく悪用した、まさに典型的なトロイの木馬かと。
435:root▲▲ ★
09/05/14 21:51:49 0 BE:7387799-DIA(102226)
>>433
FTP で自分の PC に 2ch のファイルのマスターを持っていたり、
あるいは 2ch から持ってきて、ローカルに更新してからうpしている人は、
気をつける必要があるですね。
ちなみに私の場合は、そういう機会はないです。
bbs.cgi や read.cgi を更新する場合、
必ずサーバにログインして、サーバのマスターを直接、
更新するようにしているです。
例えば自分の PC に bbs.cgi のソースを持ってくるのとかって、
怖いというか、ありえないです。
436:動け動けウゴウゴ2ちゃんねる
09/05/14 21:53:56 M3Wj7Hta0 BE:173578076-PLT(80113)
>>435
なるへそ、流石ですなぁ
私が気になったのはメニュー関係ですね、変更人さんはhtmlを直接弄ってるのかしら?
だとしたらちょっと注意していただきたいなぁと
437:動け動けウゴウゴ2ちゃんねる
09/05/14 21:55:33 cpS5OZck0
お?
Google Safe Browsing diagnostic page for gumblar.cn
URLリンク(google.com)
Gumblar hitting Googlers hard
URLリンク(www.daniweb.com)
Large amount of cross-site scripting attacks see websites compromised - SC Magazine UK
URLリンク(www.scmagazineuk.com)
438:桶屋
09/05/14 21:57:21 39yzLlo30
menuやtableを更新されている方は、FTPでアップしている方法だと思いますよ。
439:root▲▲ ★
09/05/14 21:57:26 0 BE:1095034-DIA(102226)
まほらさんは、ここを読んでおられると思いますので、
ご注意いただけると思います。
maido3.cc の Web にあった注意内容:
【目視で確認する方法】
※Windows XP をご利用の方のみ
・sqlsodbc.chm の確認
ウィルスに感染した場合、C:\WINDOWS\system32\sqlsodbc.chm が上書きされます。
ご利用のパソコンの sqlsodbc.chm を確認してください。
今 Google さんに聞いてみて出てきたリンク:
sqlsodbc.chmの改変を継続的にチェックする方法: 高機能サロン管理システム★さまれぼ!★開発日記
URLリンク(excomp.cocolog-nifty.com)
440:root▲▲ ★
09/05/14 21:57:50 0 BE:1641863-DIA(102226)
>>438
かぶりますたね。