【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
at SEC
1:名無しさん@お腹いっぱい。
09/12/27 04:20:21
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加しているようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(/*GNU GPL*/ や /*CODE1*/)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【関連スレ】
GENOウイルススレ ★23
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
09/12/27 04:21:08
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLリンク(get.adobe.com)
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
URLリンク(get.adobe.com)
URLリンク(www.adobe.com)
・Flash Playerのバージョン確認
URLリンク(www.adobe.com)
URLリンク(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLリンク(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLリンク(www.java.com)
・Javaのバージョン確認
URLリンク(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLリンク(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLリンク(jp.real.com)
3:名無しさん@お腹いっぱい。
09/12/27 04:21:48
【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
URLリンク(jvndb.jvn.jp)
・Secunia Personal Software Inspector (PSI)
URLリンク(secunia.com)
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
URLリンク(www.forest.impress.co.jp)
URLリンク(hide9999.web.fc2.com)
4:名無しさん@お腹いっぱい。
09/12/27 04:23:10
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
URLリンク(blogs.technet.com)
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
URLリンク(itpro.nikkeibp.co.jp)
レジストリの修復 Windowsを使わずに修復してみる
URLリンク(pctrouble.lessismore.cc)
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
URLリンク(www.ahnlab.co.jp)
マカフィー(stinger.exe)
URLリンク(www.mcafee.com)
Kaspersky(KatesKiller.exe)
URLリンク(support.kaspersky.com)
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
URLリンク(anubis.iseclab.org)
■ GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
5:名無しさん@お腹いっぱい。
09/12/27 04:24:11
【8080系ウイルスについて】
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*GNU GPL*/
または
<script>/*CODE1*/
から始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますが
こちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
URLリンク(www.so-net.ne.jp)
6:名無しさん@お腹いっぱい。
09/12/27 04:25:02
●IPA 情報処理推進機構
Windowsの自動実行(オートラン)機能を無効にする ※USBメモリの使用に関わらず必ず設定しておくこと!
URLリンク(www.ipa.go.jp)
・Microsoft Updateは確実に適用しましょう (*「カスタム」選択更新で適用にエラーが無いか?は確認出来ます)
・ブラウザの「インターネットゾーン」のセキュリティ設定項目は、自分でよく理解して管理しておきましょう
感染するとブラウザ設定を低下させたり、悪意のあるサイトURLを信頼済みサイトへ登録するスパイウェアも存在します
・普段のブラウズは、サードパーティCookieをブロックする設定以上にしておけばスパイウェア予防にもなります
・「アドオンの管理」から、普段ブラウザで読み込まれるアドオン(Webブラウザ拡張機能)の内容は把握しておきましょう
・ソフトウェアやブラウザ(Webプラグイン類も)の最新版Updateとセキュリティ設定を常に心掛けましょう
(*Adobeソフト、動画Player、圧縮解凍ソフト、Office系ソフト、Mailソフト、Sun MicrosystemsのJavaなど)
(*普段、使わないようなWebプラグイン類はアンインストールしておきましょう → 必要時だけ最新版を使用する)
・インターネット上の「無料で配布されているモノ」は、基本的には“疑って”下さい (*VirusTotal.comスキャンを活用)
・怪しいメールや圧縮ファイルは、絶対に開かないようにしましょう (*危険な餌に釣られない用心を持ちましょう)
・週に何回かは、Nortonで「システムの完全スキャン」を実行しましょう
・スキャンでリスクが検出された場合、駆除と同時にSymantecのサイトでリスクによる「被害内容」を確認しましょう
・「タスクマネージャーの常駐プロセスexe」の内容も把握しておきましょう
・Windowsの付加的「サービス」は、攻撃の侵入経路に利用されることもあるので脆弱性となる項目は停止しておきましょう
・大事なIDやパスワードの自己管理には十分に注意しましょう (*IDセーフ機能も活用)
●Webサイトの脆弱性、IPAから指摘しても6割が対応未完了 2009/7/24
サイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている
URLリンク(internet.watch.impress.co.jp)
7:名無しさん@お腹いっぱい。
09/12/27 04:25:21
*** テンプレ終了 ***
抜け、間違いがあれば指摘よろ
8:1
09/12/27 04:26:14
ごめん続けて
9:名無しさん@お腹いっぱい。
09/12/27 04:26:15
Norton +α Defense (Method of JAPAN Norton Forum)
・「a-squared Free 4.5」 ウイルス・トロイの木馬のスキャンと駆除 (*常駐保護は無し *日本語インターフェイス )
URLリンク(www.emsisoft.com)
サービス > 「a-squared Free Service」を無効 > 停止 > 適用で「自動Update常駐 a2service.exe」の停止=手動Update
・「a-square MalAware 1.0」 クラウドスキャナ (*クイッククラウドチェック、a-squared Freeとの併用がベストです)
*インストール不要 *頻繁にプログラムアップデートしているので都度ダウンロードして試してみて下さい
URLリンク(www.emsisoft.com) (URLリンク(i46.tinypic.com)
)
・「Malwarebytes' Anti-Malware 1.42」 ウイルス・スパイウェアのスキャンと駆除 (*常駐保護は無し *手動Update)
URLリンク(www.malwarebytes.org) (*「Protection」ページの機能はNortonとの共存の為に設定しないで下さい)
・「ReducedPermissions」 (手動Windows Updateやオンラインスキャンはエラーに *導入時には「ブロックの解除」設定を)
・「Spyware Blaster 4.2」 危険サイトの制限、危険ActiveXの実行制限処置 (*手動Update *Flash Killer機能も実用的です)
・「Live OneCare PC セーフティ (オンラインスキャン *駆除も可能 *月1・2回程度のチェックでOK)」
URLリンク(onecare.live.com)
・「a-squared HiJackFree 3.1」 URLリンク(www.hijackfree.com) (*詳細な自己診断ビューア *日本語インターフェイス)
(*インストール後、歯車アイコンから一度アップデート → その後はオフでOK URLリンク(i45.tinypic.com)
)
10:名無しさん@お腹いっぱい。
09/12/27 04:26:56
■詐欺・罠サイトURLの報告 - Symantec Security Response 〔Report Suspected Phishing Sites〕
URLリンク(submit.symantec.com) (記入例 URLリンク(i38.tinypic.com)
)
*ワンクリック詐欺や詐欺ソフトのダウンロードを仕向けるURLの報告(*複数の場合はenter moreで報告枠追加できます)
*インターネット中に、奇妙な動作を感じたページや、悪意のある動画やゲーム系サイトの報告もOK
*思わぬサイトへ飛ばされた場合などは、リンク元ボタンを右クリック > プロパティでURL確認
■未対応リスクや疑わしいファイルを検疫経由でSymantecへ送信 (*最大10MB以下?までのサイズ)
タスクトレーのNortonアイコンを右クリック「最近の履歴を表示」 > 「検疫」を選択
検疫に追加 (*明らかに未対応リスクである場合は、「ディスクからファイルを削除」にチェック(=検疫と同時に削除))
検疫後、「詳細」 > 下列にある「処理」 > 「Symantecへ提出」をクリック
■疑わしいファイルの提出 - Symantec Security Response 〔Upload a suspected infected file〕
*ファイルや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕やtxtレポートで調査依頼の提出が出来ます
URLリンク(submit.symantec.com) (記入例 URLリンク(i36.tinypic.com)
)
■Nortonが誤検出してしまうファイルの報告 - Symantec Security Response 〔False Positive Submission〕
URLリンク(submit.symantec.com) (記入例 URLリンク(i38.tinypic.com)
)
●JVN iPedia -脆弱性対策情報データベース (*使用しているソフトウェアの最新版への更新を心掛けましょう)
「脆弱性」とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所(ウィークポイント)です
URLリンク(jvn.jp)
■「URLリンク(www.virustotal.com)」 (37社のファイルスキャンサービス *圧縮ファイルの状態でもOK)
■「URLリンク(onlinelinkscan.com)<)(セキュアブレイン gred)」 (国産サイト安全性チェックサービス … ワンクリ詐欺 ,Web攻撃の有無など)
11:名無しさん@お腹いっぱい。
09/12/27 04:27:38
「漫画・イラストも児童ポルノ規制対象に」約9割─内閣府調査 2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
URLリンク(www.itmedia.co.jp)
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
URLリンク(www.yomiuri.co.jp)
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
URLリンク(itpro.nikkeibp.co.jp)
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
URLリンク(www.itmedia.co.jp)
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
URLリンク(pc.nikkeibp.co.jp)
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service = さまざまな参加呼びかけ型コミュニケーションサイト
URLリンク(www.computerworld.jp)
個人情報をさらすマルウェア、ポルノゲームのインストールファイルを装って流通している 2009/11/30
URLリンク(www.itmedia.co.jp)
ワンクリック不正請求トラブル、相談事例が半年で1万7794件 2009/12/4
URLリンク(internet.watch.impress.co.jp)
Gumblar被害拡大中(3) 予防対策:一般ユーザーの方、サイト管理者の方へ 2009/12/11
URLリンク(www.so-net.ne.jp)
12:◇テンプレここまで
09/12/27 04:29:25
*** テンプレ終了 ***
13:名無しさん@お腹いっぱい。
09/12/27 04:30:48
いきなり荒らし?
>>9-11ってノートンスレのテンプレであって関係ないよな?
14:名無しさん@お腹いっぱい。
09/12/27 05:23:44
「漫画・イラストも児童ポルノ規制対象に」約9割─内閣府調査 2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
URLリンク(www.itmedia.co.jp)
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
URLリンク(www.yomiuri.co.jp)
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
URLリンク(itpro.nikkeibp.co.jp)
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
URLリンク(www.itmedia.co.jp)
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
URLリンク(pc.nikkeibp.co.jp)
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service:さまざまな参加呼びかけ型コミュニケーションサイト
URLリンク(www.computerworld.jp)
セキュアブレインが、「Gumblerウイルス」と類似した新たな攻撃手法を確認 2009/10/23
企業に「gredセキュリティサービス 無償トライアル版」を利用し、自社ウェブサイトの検査を行うよう呼びかけ
URLリンク(antivirus-news.net)
迷惑メールからあなたを守るためのチェックリスト 2009/11/10
URLリンク(japan.zdnet.com)
15:名無しさん@お腹いっぱい。
09/12/27 05:24:56
「漫画・イラストも児童ポルノ規制対象に」約9割─内閣府調査 2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
URLリンク(www.itmedia.co.jp)
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい 2009/02/20
URLリンク(www.yomiuri.co.jp)
「YouTube」に投稿された動画のうち,最大で約4900本のコメント欄に,悪意あるWebページへのリンク 2009/05/25
URLリンク(itpro.nikkeibp.co.jp)
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告 2009/08/27
URLリンク(www.itmedia.co.jp)
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告 2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
URLリンク(pc.nikkeibp.co.jp)
米連邦捜査局(FBI)が、SNSを舞台にした犯罪が増えていると注意を呼びかけ 2009/10/2
Social Network Service:さまざまな参加呼びかけ型コミュニケーションサイト
URLリンク(www.computerworld.jp)
ネット検索は信用できない? ユーザー詐称する広告代理店を処罰 2009/10/28
盗んだ個人情報で4900個ものアカウントを作り、一般ユーザーのふりをして「ここがよかったよ〜」と、
特定のお店やWebサイトの宣伝をしていた。つまり、私達が利用したのは知識検索ではなく広告検索だった
URLリンク(pc.nikkeibp.co.jp)
ミクシィ、4200人情報"露出"…ゲーム課金不具合 2009/11/04
実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」
URLリンク(www.yomiuri.co.jp)
16:名無しさん@お腹いっぱい。
09/12/27 05:28:46
【ヤフオク】Nortonキー出品まとめA・悪い評価
■fantastic_kids_1999
特別に提供されたものを使用したが使えなかった。代替えとおまけで他の出品も提供されたがそれも使えなかった。
結局何も使えなかった。こんなやつの出品は所詮こんなもんでしょう。 (評価日時:2009年 6月 13日 15時 11分)
■intelli2009
プロダクトキーが使えなくなり、有効期間も0日に…詐欺でしょうか?(評価日時:2009年 9月 17日 7時 03分)
■number2009livecn(停止中)
期限切れ (評価日時:2009年 11月 5日 11時 08分)
■uxk1216
落札当初、2年間の有効期限と説明を受けていたが、3ヶ月目で更新期限切れが来てしまいました、
どういう事でしょうか? (評価日時:2009年 10月 25日 22時 24分)
■min9763557(停止中)
購入時は認証できましたが、3ヶ月もせず期限切れになりました。許せません。 (評価日時:2009年 11月 12日 17時 29分)
■yuanchong525
こいつはすぐに期限が切れるものを売りつけてます。詐欺です。
まあ騙された自分が馬鹿だったんですけど、みなさんも気をつけてください。(評価日時:2009年 9月 13日 22時 49分)
■seven_stars_king2000
Yahoo! JAPAN IDが無効です。
■andriy_shevchenko1976929
Yahoo! JAPAN IDが無効です。
■bottega_choice(停止中)
落札、代金支払後に取引停止となり、メール送信しても連絡無く、最悪です。 (評価日時:2009年 10月 20日 17時 03分)
■wxk1216(停止中)
海賊版でした。7日後に期限切れになりました。サポートも不可 (評価日時:2009年 10月 7日 21時 41分)
17:名無しさん@お腹いっぱい。
09/12/27 05:34:27
____
n /⌒ ⌒\
| | /( >) (<)\
i「|^|^ト、/::::::⌒(__人__)⌒::::\ >>1乙だお!
|: :: ! } | /| | | | | |
ヽ ,イ \ (、`ー―'´, /
18:名無しさん@お腹いっぱい。
09/12/27 10:39:45
いきなり嵐にはわろうた
19:名無しさん@お腹いっぱい。
09/12/27 10:41:55
あかかげまるの家庭を壊す案を広く募集いたしております。
URLリンク(www014.upp.so-net.ne.jp)
ちなみに地図はこちらです。
URLリンク(www.mapion.co.jp)
20:名無しさん@お腹いっぱい。
09/12/27 15:40:24
>>1乙
8080(/*GNU GPL*/ や /*CODE1*/)って
いまのところ検知するのノートンとAVASTだけなの?
他のソフトはスキャンでもスルー?
21:名無しさん@お腹いっぱい。
09/12/27 15:57:14
>>20
カスペも検知する。
22:名無しさん@お腹いっぱい。
09/12/27 16:04:28
>>21
(/*GNU GPL)踏んでカスペオンラインチェックで出てこなかったってどっかで見たけど
23:名無しさん@お腹いっぱい。
09/12/27 16:12:49
8080系で>>4みたいな感染確認は無いですかね?
24:名無しさん@お腹いっぱい。
09/12/27 16:19:57
スクリプトをいくつか踏んでみたけど、どうもまちまちみたい
定義ファイルの結果だから実際はもう少し検出するだろうけど
日付はindex.htmlのもの
/*GNU GPL*/
24日 結果: 7/41
URLリンク(www.virustotal.com)
26日 結果: 0/41
URLリンク(www.virustotal.com)
/*CODE1*/
22日 結果: 9/41
URLリンク(www.virustotal.com)
25:名無しさん@お腹いっぱい。
09/12/27 16:45:21
>>23
一例としてsiszyd32.exeをスタートアップに登録するみたいだ
もっともこれが他のウイルスを呼び込むから
感染してたらどうなっているやら・・・
URLリンク(www.so-net.ne.jp)
URLリンク(htlogs.com)
26:名無しさん@お腹いっぱい。
09/12/27 16:47:56
感染の疑いがある場合はAvastとか検出報告のあるソフトで試してみるしか確認も出来ないってことですか?
ポートチェッカーで80や8080が解放されてるものの応答は無し判定だったんですが
やはり黒でしょうか
27:名無しさん@お腹いっぱい。
09/12/27 17:14:33
>>26
avast!は比較的スクリプトには反応するが
ウイルス本体を検出するかは検体を持っていないから分からない
個人的な印象になるが、ウイルス名やファイル名でググって見ると
本体の検出はKaspersky・Microsoft・Symantecあたりが強そうかな?
PCに詳しくないなら
ウイルス対策ソフトでフルスキャンをかけていろいろ検出したら
クリーンインストールが無難だろうな
28:26
09/12/27 17:32:24
>>27
そうですか・・・
一応常駐インスコしてあるマカフィーでフルスキャン、カスペオンラインでスキャン
トロイスレに貼ってあったトロイスキャナーでオンラインスキャンして
何一つ検出されませんでした
(トロイスキャナーで有害度の低いクッキーがちょろっと出てきたのみ)
siszyd32.exeも出てこずMSアップデートも問題なく、再起動も出来てるのですが
これはもう白なんですかね
一日経過しましたが、いまのところプロセスにおかしな挙動をしているものは見当りません
確かに踏んだサイトには/*GNU GPL*/ のスクリプトが挿入されてたようなんですが
29:名無しさん@お腹いっぱい。
09/12/27 17:35:36
あ、あとsymantecのポートチェックもやりましたがこっちは全部白でした
(8080系のポートはチェック対象外のようでした)
30:名無しさん@お腹いっぱい。
09/12/27 18:11:36
>>28
それだけスキャンしてクッキーくらいなら白、なんだろうな
どういう経緯で感染したと思ったのかが分からないが
サイト踏んだと同時にアンチウイルスが反応したんなら
水際で阻止しているだろうし、アップデートで対策されてたら問題ないはず
31:名無しさん@お腹いっぱい。
09/12/27 18:43:17
>>30
いえ、あっちのスレこっちで黒判定されてるサイトを迂闊に踏んでしまって
(偶然すぐに閉じてはいたのですが、マカフィーは無反応
その時は感染サイトだとは気付かず)
感染サイトだと知ってから携帯で該当サイトをもう一度踏んでみて、サイトの最下部に/*GNU GPL*/ を含む
恐らく難読化されたスクリプトが挿入されてるのを見まして
ちなみに踏んだのはGENOスレ290注意喚起されてたサイトなのですが、現在ではスクリプト部分は削除されているようで
今となっては再びの確認が取れません
IEでJAVAスクオンで踏んだんですが、何故生き残ったのか・・・
生き残ったのなら幸いですが、定義ファイルが追いついていないだけだとすると怖いものがあります
とりあえず様子見してみます。ありがとうございました
32:名無しさん@お腹いっぱい。
09/12/28 00:17:17
>>24
ノートンは実際にサイトに訪問したとき反応する
virustotalでスクリプトの部分をスキャンしても反応しない
33:名無しさん@お腹いっぱい。
09/12/28 00:27:56
つまり一度感染したらAVAST以外で確かめる術がないってこと?
でもAVASTも誤検出騒ぎで落ち着かないよな
どうすりゃいいんだ
34:32
09/12/28 00:38:53
>>33
感染後のことは知らない
あくまでもスクリプトのスキャンの話
35:名無しさん@お腹いっぱい。
09/12/28 00:42:02
>>34
ああそうか、スマン読み違えてた
36:名無しさん@お腹いっぱい。
09/12/28 00:44:32
>>33
どっかに書かれているだろうど
OSに最新のアップデートを適用しておく
Adobe製品やSunのJavaなどがインストールされていれば同様にアップデートしておく
Adobe ReaderはJavaScriptを切っておく
どうしても不安ならwebブラウザのJavaScriptを切っておけばほぼ無害
機種によるかも知れないがルーターで切ることも出来る
37:名無しさん@お腹いっぱい。
09/12/28 00:45:56
>>36
いや感染(疑い)後の話よ
どのスキャンでも上がってこないらしいじゃん
38:名無しさん@お腹いっぱい。
09/12/28 00:50:27
あとはHIPSの強力なファイアウォールなどのセキュリティ製品を使う
設定もよりきつめにすれば思わぬマルウェアの実行やファイルやレジストリの書き換えも防げる
確証はないがほぼ防げるんじゃないだろうか
Outpost、Comodo、Online Armor、PC toolsなど
39:名無しさん@お腹いっぱい。
09/12/28 00:52:47
>>37
感染後はどうなるのかと言う情報ある?
40:名無しさん@お腹いっぱい。
09/12/28 00:54:28
>>37
そこまで心配する人なら、疑いのあるサイト行ってしまった自覚があるならOSごとクリーンインスコが精神上一番良いと思う
日々コードも引き連れてくるマルウェアも変化してるものに、どこのベンダーのものが100%検知可能!とか言えない
GumblarなんてHijackThisでも見つけにくいとか報告あったし
41:名無しさん@お腹いっぱい。
09/12/28 00:56:23
あと肝心なことは
感染してもすぐに復旧できるようにバックアップを取っておく
42:名無しさん@お腹いっぱい。
09/12/28 00:57:48
>>39
ない
踏んだって話は色々見かけるが、どうなったっていうレスを見ない
誰か実際やった奴いないんだろうか
43:名無しさん@お腹いっぱい。
09/12/28 01:01:23
8080系はいわゆるダウンローダーで
次々にウイルスをダウンロードしては実行するので
感染したが最後、収拾がつかなくなるはず
だからダウンローダーを削除しても他のウイルスに
感染している可能性が高い
ある意味Gumblarよりたちが悪い
ここの下あたりに動作が記載されてる
URLリンク(www.so-net.ne.jp)
44:名無しさん@お腹いっぱい。
09/12/28 01:02:38
webサイトを管理してるなら
パスワードを変更するのも忘れずに
感染しても今のところweb改竄の被害を受けるだけなのかな
俺がはやりのGNU GPLのスクリプト試したときはpdfup.exeと言うのが落ちてきただけだったな
45:名無しさん@お腹いっぱい。
09/12/28 01:10:34
view-source:URLリンク(digimaga.net)
<script>/*GNU GPL*/・・
デジマガ、アウト。
46:名無しさん@お腹いっぱい。
09/12/28 01:10:34
試す環境がある人でも2回目のアクセスの時は404返すようになったりと素晴らしい工夫がなされてたりして
検証しにくかったりするんだよな
俺は仮想環境とかないのでやったことないけど・・・・
>>44
パスワード変更するのは良いが、感染してないって言い切れる環境でのパスワード変更ってのが必須だな
感染してる環境からパスワード変更はまったく意味ないしw
8080系の奴ってSo-netの記事によると、改竄だけじゃ済まないみたいよ
URLリンク(www.so-net.ne.jp)
>ちなみに、攻撃成立時に実行されるウイルス本体は、「Bredolab」や「HDrop」で検出されたり、汎用名で検出されたり、検出できなかったりと、こちらも微妙だ。
>困ったことに、このウイルスは他の不正なプログラムをダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかがわからない。
>情報を盗み取るスパイウェアやパスワードスティーラ―、外部からパソコンを操るためのボット、偽ウイルス対策ソフトなど、これまでに様々な脅威をインストールして来た系列のウイルスだ。
47:名無しさん@お腹いっぱい。
09/12/28 01:12:08
>>45
志村ー、URLURL
48:名無しさん@お腹いっぱい。
09/12/28 01:13:04
>>45
貼っちまったよ・・。
対策ない奴は、絶対開くなよ。
49:名無しさん@お腹いっぱい。
09/12/28 01:14:32
>>46
分からないって書いてあるじゃん
分かってないのか分かってないのか微妙な文章だが
50:名無しさん@お腹いっぱい。
09/12/28 01:15:42
分かってないのか分かってるのか微妙な文章だw
最後はこういうウイルスの一般的な動作を述べてるだけじゃないか
51:46
09/12/28 01:17:22
レスした後再度読み直してみたら、微妙な文章ですね・・・
まあでも、最悪こういう自体になりかねないよって言う脅しには良いんじゃないかと・・・
52:名無しさん@お腹いっぱい。
09/12/28 01:29:27
>>45
JR東日本のサイト改ざん。『/*GNU GPL*/』の不正なJavaScriptコード
URLリンク(blogs.yahoo.co.jp)
コレと一緒っぽいな。
53:名無しさん@お腹いっぱい。
09/12/28 01:30:41
万一に備えてシステムをバックアップ
True Imageなどのシステムをバックアップするソフトがない場合
お薦めフリーソフト
Paragon Backup & Recovery 10 Free Edition
URLリンク(www.paragon-software.com)
起動メディアを作っておけば起動メディアから復元はもちろんバックアップも出来る
Macrium Reflect FREE Edition
URLリンク(www.macrium.com)
EASEUS Todo Backup
URLリンク(www.todo-backup.com)
54:名無しさん@お腹いっぱい。
09/12/28 01:33:13
たしかアニたまのサイトもそれだった気がするんだが
あんまり大きな騒ぎにはならなかったよな
潜伏してるのが多いのか?
55:名無しさん@お腹いっぱい。
09/12/28 01:38:04
今騒ぎになってきてるじゃないですか。ゼロデイ突いてくるドライブバイダウンロードが有名サイトにぞくぞくとってことで
56:名無しさん@お腹いっぱい。
09/12/28 01:41:11
adobeもjavascriptとか最初から危なっかしいの分かるような機能入れるなよ
ちゃんと対応できるならまだしも全然駄目じゃないか
アホすぎ
57:名無しさん@お腹いっぱい。
09/12/28 01:45:29
>>45
セーフだろうが。嘘を書くなよ
58:名無しさん@お腹いっぱい。
09/12/28 01:47:36
>>57
まさか、ウィルススキャンでチェックしてスルーしたからセーフとか言ってないよな?
59:名無しさん@お腹いっぱい。
09/12/28 01:48:31
ね、URLそのまま晒すとこんな奴出てくるでしょ。>>57
晒すときは>>1をよく読もう
>*** 危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
>>56
そしてその危なっかしいものを有効活用しているところがあるという・・・
URLリンク(slashdot.jp)
60:名無しさん@お腹いっぱい。
09/12/28 01:51:09
>>58
自己レス
URLリンク(digimaga)●net/
開くと、JREが起動して、アクセスに行こうとするな。ロシアのサイト。
61:名無しさん@お腹いっぱい。
09/12/28 01:51:33
デジマガ/*GNU GPL*/あるな
で、>>57は踏んだのか? どうなった?
62:名無しさん@お腹いっぱい。
09/12/28 01:56:24
>>61
ここに行こうとしてるな。
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
やられてるだろ。これ。
63:名無しさん@お腹いっぱい。
09/12/28 01:58:05
>>61
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
ここに向けてリクエスト出してんぞ。
まぁ確実かな。
64:名無しさん@お腹いっぱい。
09/12/28 01:58:54
pdfupd.exeが落ちてくる
virustotalではどれも検出しない
65:名無しさん@お腹いっぱい。
09/12/28 02:00:47
>>62-63
普通踏んだら速攻で(この場合はロシアから)何か運んでくるものなの?
初心者でゴメン
なんかファイルができたとか、そういう話は今回あまり聞かないよね
66:名無しさん@お腹いっぱい。
09/12/28 02:03:27
pdfupd.exeを実行する何かダウンロードして
_ex-68.exeを実行しようとするのでこの辺でやめといた
67:名無しさん@お腹いっぱい。
09/12/28 02:05:29
>>65
いかにユーザーに感染したのが分からないように感染させるのかがマルウェア制作者の腕の見せ所
68:名無しさん@お腹いっぱい。
09/12/28 02:09:32
>>64.66
どうもありがとう。踏んでてpdfupd.exeが隠しファイル含めて上がってこなかったらセーフかな
69:名無しさん@お腹いっぱい。
09/12/28 02:11:43
>>65
踏んだら速攻でダウンロード実行される
ドライブバイダウンロードというやつか
適切なアップデートをしておけば問題ない
もちろんセキュリティソフトが停止させる場合もあるが
70:名無しさん@お腹いっぱい。
09/12/28 02:12:18
>>68
「上がる」って、JREやFlash経由で落ちてくるから、ダウンロードポップアップはおろか、IEのキャッシュにも残らない可能性があるからな
念のため言っておくが。
71:名無しさん@お腹いっぱい。
09/12/28 02:14:43
>>70
いや試したのはJAVAもFlashもインストールされてない環境だ
MSの脆弱性かな
もちろんJAVAやFlashの脆弱性を突かれた場合は同じような動作をするかどうかは分からない
72:名無しさん@お腹いっぱい。
09/12/28 02:16:27
実行ファイルも残らないの?
セキュソフトの定義更新が間に合ってなかったら、もう感染確定の判断はできないのかな
バカでゴメン
73:名無しさん@お腹いっぱい。
09/12/28 02:20:48
>>72
テストしたときは残った
ただテストでは最後まで実行させず途中で終了させた
最後にすべて削除するようなこともあるかも知れない
まあ分からないってことだ
74:名無しさん@お腹いっぱい。
09/12/28 02:22:26
>>73
そっか・・・ありがとう
とりあえずPCの挙動が安定してるうちは様子見して、各種セキュソフトの対応待つよ
75:名無しさん@お腹いっぱい。
09/12/28 02:27:02
難読化といてみると、ただJSを落としてるだけっぽいな。
他のJSをダウンロードしてる先が、ロシアってことか。
そいつがさらに脆弱性ついて、ドライブバイダウンロードするって事か。
76:名無しさん@お腹いっぱい。
09/12/28 02:29:11
>>45
今Aviraで試したらwebguardが検出した。
URL "URLリンク(adsrevenue-net.king.com.newgrounds-com.themobilewindow.ru:8080)" のデータにアクセスする際に、
ウイルスまたは不要なプログラム 'EXP/DirektShow.A' [exploit] が検出されました。
77:名無しさん@お腹いっぱい。
09/12/28 02:30:01
あ、ごめん
直リンしちまったじゃねえか
>>76
はウイルス
注意
78:名無しさん@お腹いっぱい。
09/12/28 02:37:55
pdfupd.exeってやつ
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(anubis.iseclab.org)
同じURLから27日午前9時頃拾ったやつ
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
79:名無しさん@お腹いっぱい。
09/12/28 02:43:33
pdfupd.exe って名前から判断して、またAdobeReaderの脆弱性か?。
たしかコレって、ゼロデイの可能性ありってやつじゃなかったか?
URLリンク(www.adobe.com)
これじゃねーだろうなぁ。
これだったら、Js切るか、AdobeReaderアンインスコしない限り、対策ないぞ。
80:名無しさん@お腹いっぱい。
09/12/28 02:48:41
>>79
あんた、ちょっと遅れてる・・・・
新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
URLリンク(www.so-net.ne.jp)
Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起(JPCERT/CC)
URLリンク(www.jpcert.or.jp)
81:名無しさん@お腹いっぱい。
09/12/28 02:48:53
>>79
マイクロソフトのActiveX
MS09-032あたりじゃないかな
82:名無しさん@お腹いっぱい。
09/12/28 02:53:23
>>80
ありゃ。やっぱゼロデイか。PDF切っとくか。
83:名無しさん@お腹いっぱい。
09/12/28 02:57:49
>>82
pdfupd.exeは>>81氏が言うActiveXの脆弱性突くものかもしれないけど、ゼロデイ攻撃始まってるのも事実ってことで
84:名無しさん@お腹いっぱい。
09/12/28 03:00:07
今回はマイクロソフトのActiveXの脆弱性を突かれてpdfupd.exeがダウンロード実行されたってこと
Adobe Readerがインストールされていれば違った攻撃もあるかも知れない
85:名無しさん@お腹いっぱい。
09/12/28 03:12:40
>>78みる限り、各ベンダー全滅、かろうじてカスペが引っかかったりしなかったりで
後はGENOみたいにPC立ち上がらなかったりするような分かり易い症状もないってこと?
86:名無しさん@お腹いっぱい。
09/12/28 03:16:04
GENO系の全てに黒画面にマウスカーソルの症状が出る訳じゃないんだけど
87:名無しさん@お腹いっぱい。
09/12/28 03:16:17
上にもあるように
ノートンやAviraなどはファイルスキャンではなくwebサイトにアクセスすると検出する仕組みになってる
AviraフリーはWebGuardが無いから注意が必要だが
88:名無しさん@お腹いっぱい。
09/12/28 03:19:08
>>78はpdfupd.exeの検出結果のみであって、どのファイル・コード・タイミング・振る舞いで検出するかもベンダーで違うだろうしなんとも言えないな
ヒューリスティックで捕まえる場合もあるだろうし
ただ
>分かり易い症状もないってこと?
これはYesって言っといた方が対策する人も増えるか?
89:87
09/12/28 03:21:34
ごめん
AviraはWebGuardじゃなくても検出するかも知れない
検証はしていないので分からない
90:名無しさん@お腹いっぱい。
09/12/28 03:24:39
>>76
WebGuardなくてもAviraで検出することを確認
91:名無しさん@お腹いっぱい。
09/12/28 03:32:43
>>24
自己レス
avast!がスクリプトに対応
/*GNU GPL*/
26日 結果: 1/41
Avast 4.8.1351.0 2009.12.27 JS:Illredir-B
URLリンク(www.virustotal.com)
92:名無しさん@お腹いっぱい。
09/12/28 03:32:56
>>76
win.jpg のvirustotalスキャン結果
URLリンク(www.virustotal.com)
93:名無しさん@お腹いっぱい。
09/12/28 03:45:55
>>91
avastは誤検出しまくってるようだが
そのせいではないの?
94:名無しさん@お腹いっぱい。
09/12/28 04:08:43
JAVAを利用した攻撃の際は
win.jpgではなくJavaGame.jarがダウンロードされる
URLリンク(www.virustotal.com)
95:94
09/12/28 04:10:59
ちなみにノートンではダウンロードしようとするときに検出するが
virustotalで検出されない
96:名無しさん@お腹いっぱい。
09/12/28 05:00:58
JAVAが無いときは
Adobe Readerも利用されるね
97:名無しさん@お腹いっぱい。
09/12/28 06:39:35
URLリンク(beatarai)●blog90.fc2●com/
avastのスレでも書かれていたけど、
このブログは大丈夫?
98:名無しさん@お腹いっぱい。
09/12/28 07:20:25
win.jpg はDirectShowのMS Video ActiveX Control(CVE-2008-0015)の脆弱性攻撃。
JavaGame.jar はJRE(CVE-2008-5353)の脆弱性攻撃。
pdfupd.exe はAdobe Readerの脆弱性攻撃用の ChangeLog.pdf が落として来て実行するトロイの木馬本体。
他のルートでも最終的には同じものが落ちて来て、このトロイの木馬が Bredolab とか HDrop
とかで検出されるはず(でも今は全然検出してくれなぁ)のダウンローダです。
ダウンローダが、その後何をダウンロードしてくるかは、その時の攻撃者の気分次第。
攻撃側が用意したものを何でもインストールできちゃうわけね。
実行してみれば、その時点で落ちて来るものは分かるんだろうけど。
99:名無しさん@お腹いっぱい。
09/12/28 08:37:05
何か役に立つかもしれないので報告
fxwill●comにウイルスがあると聞き試しに見てみた(←阿呆)
/*GNU GPL*/〜というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか?というウインドウが出てきて(VISTA)
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
再起動して、通常起動でウインドウを開始すると
マイクロソフトセキュリティーエッセンシャルが反応
詳しい表示は憶えてないけど、表示されたファイルの削除を選択(履歴見ても何も残っておらず詳しいことが不明)
↓
PCはそのまま使えていたので安心していたら、
出先で自分のサイトを携帯でみたらエラー500が表示されるのに気づく
↓
家に帰り、サーバーの履歴を見ると感染源のサイトを見た直後から複数のIPでログインされてた。
そしてパソコンの電源を切って外出した時間あたりでログインも止まっていた。
↓
もう1台のパソコンからFTPのパスワードなど変更
サーバー上のファイルも消去
ファイルを見るとindex.html index.php 〜.jsファイルがほぼすべて最下部に/*GNU GPL*/〜が埋め込まれていた。
↓
問題のPCにカスペの体験版を入れて(オンラインスキャンが停止中なので)みたら
スタートアップにsiszyd32.exeが検出されたので削除。
↓
今ここ
もうこれ再インストールするしかないんでしょうか。
100:名無しさん@お腹いっぱい。
09/12/28 08:42:16
追記
説明がわかりにくいね
自分のサイトはレンタルサーバー上にあり
FTPで更新しています。
101:名無しさん@お腹いっぱい。
09/12/28 08:47:32
>>99
感染した状態でサイト更新した?
それともFTPとか使ってなく自サイトにアクセスした覚えがないのにパス抜かれて改ざんされたの?
102:名無しさん@お腹いっぱい。
09/12/28 08:58:22
>>101
レンタルサーバーは2つ借りていて
片方はWORDPRESSの管理画面からログインはした。
でももう一方は数カ月まったく使っていないサーバーで
念のためにもう一台のパソコンから調べたらしっかりファイルが書き換えられてた。
どちらもFTPソフトにパスワードは登録していた。
103:名無しさん@お腹いっぱい。
09/12/28 09:28:45
サイト閉じてとっとと再インスコしろよ…
104:名無しさん@お腹いっぱい。
09/12/28 09:41:40
>>93
webシールドで止まるようになった。
105:名無しさん@お腹いっぱい。
09/12/28 11:41:07
URLリンク(twitter.com)
いや、アンタが最初にすべきことは、自分のサイトを閉じることだろ。。
106:名無しさん@お腹いっぱい。
09/12/28 12:38:09
どもども、99です
サイトは閉めてサーバー上のファイルは全部消してるよ
今、PCの再インストール中
いらんソフトとか捨てるいいきっかけになったよ、スッキリ
107:名無しさん@お腹いっぱい。
09/12/28 14:42:08
>>106
FTPクライアントは何使ってるの?
パスワード保護に強いのはないかな?
FileZilla使ってるけど全く暗号化してないしこれ最低だよな
108:名無しさん@お腹いっぱい。
09/12/28 15:10:25
これってオンラインゲームのIDもとられるの?
109:名無しさん@お腹いっぱい。
09/12/28 15:38:16
そんなチンケな物はとらんよ、たぶん
110:名無しさん@お腹いっぱい。
09/12/28 16:35:05
>>>107
FFFTP使ってる
サーバーのログイン履歴詳しく見てみたけど
やっぱりパソコンの電源切った時からログインがなくなってる
感染から外出まで1時間、外出から帰宅まで4時間
感染
↓
感染に気付かずPC電源切り外出
↓
帰宅
電源切るまでは、ほぼ10秒単位でランダムなIPからログインあり。
その後帰宅するまでまったくログインなし。
あと、/*GNU GPL*/〜というコードの最後に規則的な英数字が0〜300個ずつ改行されてくっ付いてた。
一応参考までに報告
111:名無しさん@お腹いっぱい。
09/12/28 22:49:21
「思い立ったら書く日記」と「べつになんでもないこと」はググって必ずチェックすることをオススメする。
112:名無しさん@お腹いっぱい。
09/12/28 22:52:00
遠慮しとく
113:名無しさん@お腹いっぱい。
09/12/28 22:58:43
>>110
参考になった。情報サンクス。
114:名無しさん@お腹いっぱい。
09/12/29 08:46:20
感染確認に
適当なフリーページ登録してFTPでアップロードしてみりゃいいのかな?
115:名無しさん@お腹いっぱい。
09/12/29 14:51:00
某ブログで見たが8080系はWinampの脆弱性も突くのか?
116:名無しさん@お腹いっぱい。
09/12/29 15:40:07
Winampの脆弱性ってのもよくわからないんだよな。
俺は必要十分余計な機能は欲しくないという理由でいまだに2.81を使っているんだが、現行とは
系統が違うこのあたりの古いバージョンにも同様の危険性があるのかねえ?
117:名無しさん@お腹いっぱい。
09/12/29 16:02:10
Winampは何度か脆弱性が話題になってるよな
出来れば最新を使うか使わない方が良い
118:116
09/12/29 18:08:06
WAN接続はCDDBからの情報取得だけでファイルを直接再生することは皆無なんだけどね。
最新版への更新も検討してみるかな。
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4138日前に更新/238 KB
担当:undef