【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
at SEC
1:名無しさん@お腹いっぱい。
10/01/10 01:37:53
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
【関連スレ】
GENOウイルススレ ★23
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
10/01/10 01:38:27
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLリンク(get.adobe.com)
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
URLリンク(get.adobe.com)
URLリンク(www.adobe.com)
・Flash Playerのバージョン確認
URLリンク(www.adobe.com)
URLリンク(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLリンク(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLリンク(www.java.com)
・Javaのバージョン確認
URLリンク(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLリンク(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLリンク(jp.real.com)
3:名無しさん@お腹いっぱい。
10/01/10 01:39:04
>>1もつ
4:名無しさん@お腹いっぱい。
10/01/10 01:39:19
【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
URLリンク(jvndb.jvn.jp)
・Secunia Personal Software Inspector (PSI)
URLリンク(secunia.com)
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
URLリンク(www.forest.impress.co.jp)
URLリンク(hide9999.web.fc2.com)
5:名無しさん@お腹いっぱい。
10/01/10 01:40:00
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
URLリンク(blogs.technet.com)
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
URLリンク(itpro.nikkeibp.co.jp)
レジストリの修復 Windowsを使わずに修復してみる
URLリンク(pctrouble.lessismore.cc)
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
URLリンク(www.ahnlab.co.jp)
マカフィー(stinger.exe)
URLリンク(www.mcafee.com)
Kaspersky(KatesKiller.exe)
URLリンク(support.kaspersky.com)
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
URLリンク(anubis.iseclab.org)
■ GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
6:名無しさん@お腹いっぱい。
10/01/10 01:40:43
【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
URLリンク(www.so-net.ne.jp)
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください
セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済
上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール&サイト持ちは
安全なPCからのパスワードの変更を推奨します
7:名無しさん@お腹いっぱい。
10/01/10 01:41:37
*** テンプレ終了 ***
抜け、間違いがあれば指摘よろ
8:名無しさん@お腹いっぱい。
10/01/10 01:49:13
JREも(使っていないならアンインストール)を推奨した方がいいかも
9:名無しさん@お腹いっぱい。
10/01/10 01:54:41
GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
10:名無しさん@お腹いっぱい。
10/01/10 01:59:51
危険ポートを閉じることでセキュリティを強化する。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
ポート135 445
URLリンク(www.google.com)
11:名無しさん@お腹いっぱい。
10/01/10 02:00:50
捕まえてきたGumblarたんの本体を仮想マシンで実行してみるてst
→豪快にavast!とClamAVをスルーしたぞこいつ・・・
→Anti VM・・・だと!?
解析する前にunpack+Anti Anti Debugする必要が・・・
もう少し時間がかかる。
12:名無しさん@お腹いっぱい。
10/01/10 02:03:43
【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)
削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除
13:名無しさん@お腹いっぱい。
10/01/10 02:04:06
packされていなかった
デバッガを通す"だけ"でAnti VMを回避できた件・・・何このウイルスどうなってるの・・・
14:名無しさん@お腹いっぱい。
10/01/10 02:04:45
【緊急】ガンブラー復旧パッチ使用手順。
URLリンク(sirmaximus.com)
URLリンク(www14.atpages.jp)
手順1
上記をダウンロードする。
手順2
ダウンロードしたファイルを任意のソフトで解凍する。
手順3
解凍したファイル内にある復旧パッチを実行すると、
「windowを復旧しますか?」とメッセージが出るので「yes」を選択します。
手順4
実行後、PCをセーフモードで再起動してください。
15:名無しさん@お腹いっぱい。
10/01/10 02:05:20
旦 旦 旦 旦 旦
旦 旦 旦 旦 旦
旦 旦 旦 旦 旦
旦 旦 旦 旦 旦
旦 旦 旦 旦 旦
旦 旦 旦 旦 旦
旦 旦 旦 旦 旦
. ∧__,,∧ 旦 旦 旦 旦 旦
( ´・ω・ ). 旦 旦 旦 旦 旦
. /ヽ○==○ 旦 旦 旦 旦 旦
/ ||_ |_ 旦 旦 旦 旦 旦
し' ̄(_))  ̄(_))  ̄(_))  ̄(_))
>>1乙
これはただのお茶なんだから。レスポップアップして見ないでね。
16:名無しさん@お腹いっぱい。
10/01/10 02:07:13
>>14
ウイルス注意
17:名無しさん@お腹いっぱい。
10/01/10 02:09:40
Anti VMかと思えばカーネルを強引にクラッシュさせていただけ
特に怪しげな動きを見せない(本体をコピーしようとするが失敗に終わっている)
18:名無しさん@お腹いっぱい。
10/01/10 02:20:09
>>14
genoや8080じゃないけどウイルス警告
Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません
URL:
URLリンク(sirmaximus)<)●atpages●jp/saba02site/files/
fukkyuu0●zip
このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan.BAT.KillFiles.mb
情報:
2:15:33
Kaspersky Internet Security 2010
19:名無しさん@お腹いっぱい。
10/01/10 02:24:45
>>14のzip注意
ファイルを削除されるお・・・
20:名無しさん@お腹いっぱい。
10/01/10 02:26:00
>>14
ファイル削除ウイルスってモペキチだろww
URLリンク(www28.atwiki.jp)
21:名無しさん@お腹いっぱい。
10/01/10 02:33:26
URLリンク(www.dotup.org)
Pass:virus
jad乙
22:名無しさん@お腹いっぱい。
10/01/10 02:48:03
993 :名無しさん@お腹いっぱい。:2010/01/10(日) 02:20:34
URLリンク(www)<)●mag-x●com/ ←302だけどボディに/*LGPL*/
↓
URLリンク(www)<)●mag-x●com/blog/index●html
センセイはスルー中
URLリンク(www.google.com)
23:名無しさん@お腹いっぱい。
10/01/10 02:49:54
*転載*
320 : 錐(関東・甲信越):2010/01/09(土) 13:26:32.65 ID:B+8hBSVN
・avast!用
webシールド→URLブロック
*:8080/*
・Adblock Plus用
|URLリンク(*:8080*)<)だと機能しない(後ろ側の / ←に注意)
上記は「http://〜〜:8080/〜」
というURLを使ってくる限りずっと有効。
24:名無しさん@お腹いっぱい。
10/01/10 02:50:41
>>22
URLリンク(www.aguse.jp) なら見事だお
25:名無しさん@お腹いっぱい。
10/01/10 02:52:55
URLリンク(genochk.crz.jp)
Gumblar(GENO)に感染させる悪質コードを検出するプログラム書いた
寝たい・・
26:名無しさん@お腹いっぱい。
10/01/10 02:53:56
>>21
乙
avast!に提出しておいた
27:名無しさん@お腹いっぱい。
10/01/10 02:54:35
URLリンク(2sen.dip.jp)
これって、ほんとにテスト用のウイルス?
28:名無しさん@お腹いっぱい。
10/01/10 02:56:10
>>25
>>22は検出できたGJ
29:名無しさん@お腹いっぱい。
10/01/10 02:57:24
>>27
stringsコマンドでざっくりみたらJavaScriptは埋め込まれてるね。
どういう動作するんかは試してないけども。
30:名無しさん@お腹いっぱい。
10/01/10 03:02:18
>>25
XSS対策できてないみたいです
31:名無しさん@お腹いっぱい。
10/01/10 03:03:35
>>25
乙
Operaでも動く模様
avast!には怒られたがw
32:25
10/01/10 03:07:21
>>30
ありがとうございます。見つけたところを直しておきました
PHPソースを見る機能をつけたのでおかしなところがあれば何でも言ってやってください
33:名無しさん@お腹いっぱい。
10/01/10 03:08:00
>>25ってスクリプトは実行してないよな?
アバストに引っかかるんだけど。
34:名無しさん@お腹いっぱい。
10/01/10 03:09:01
>>33
ウイルスコードそのまま表示してるからじゃね?
35:25
10/01/10 03:10:00
>>33
エスケープはしてますがソースを表示しているのでそれで怒られていると思います
36:25
10/01/10 03:19:22 BE:226317233-PLT(12031)
検出した場合はその部分を表示しない オプションをつけました
37:名無しさん@お腹いっぱい。
10/01/10 03:23:23
>>36
乙!avastに怒られなくなったわ
38:人種差別問題
10/01/10 03:32:39
298 名前:名無しさん@十周年 []: 2010/01/09(土) 11:38:56 ID:WtIo91R60
URLリンク(www.youtube.com)
これの1:18にボーガンの矢が打ち込まれてるぞ
これは殺人未遂事件だ。
いいですか、
ボーガンというのは狩猟道具なんです。
狩猟と言うのは動物を対象としているわけです。
放水はあくまで人間相手だから放水なんです。
しかし、ボーガンと言うのは人間相手の攻撃ではなくて、
「動物」相手の攻撃なんだ。
要するに日本人を動物とみなしているからこそ、
ボーガンで「狩り」をしてくるわけだ。
これは捕鯨問題ではなくて、
人種差別問題なんだ。
だから日本人は怒らなければいけないんだ。
日本人は差別されている!!
39:名無しさん@お腹いっぱい。
10/01/10 04:00:42
>>23
それでも漏れるでしょ
40:名無しさん@お腹いっぱい。
10/01/10 04:08:27
URLリンク(.*)
でおk
41:名無しさん@お腹いっぱい。
10/01/10 04:12:31
ガンブラー騒動の時から、windowsXPの終了時に、
プログラムの終了中です。 n
というメッセージが出るようになりました。
n というのはプログラム名だと思うんですけど、特に心当たりはありません
avastを使っていて、正直該当サイト踏んだ記憶あるので
これってもしかして感染していますか?
一応完全スキャンと、オンライン検査はしています。
42:名無しさん@お腹いっぱい。
10/01/10 04:17:10
>>27
CVE-2009-4324かと思ったらCVE-2009-0927だけかよ
これか URLリンク(www.corruptcode.org)
payloadは本当にMessageBox出すだけみたいだな
しかしpayloadのDLLでかすぎだろ
こんなのもっと小さく作れよ
43:名無しさん@お腹いっぱい。
10/01/10 04:24:34
>>42
どうやって解析したの?
44:名無しさん@お腹いっぱい。
10/01/10 04:52:38
>>43
dll_payload = unescape("%u5a4d%u0090
ここのunescapeに渡されてる文字列がpayload(DLL)だから
これを取り出してバイナリにすれば古いAdobe Reader用意してなくても解析できる
shellcodeは>>42のURLのやつと同じだからpayloadだけmalwareじゃないと分かればいい
解析は仮想マシンで実行したり逆アセして読んだり
45:名無しさん@お腹いっぱい。
10/01/10 05:12:09
>>44
thxです。
こういうこと仕事でやってる方ですか?
46:名無しさん@お腹いっぱい。
10/01/10 05:12:29
>>41
8080系だと仮定してレスするが
>>21 のうpしてくれた今のウイルス本体は
結果: 3/41 (F-Secure,Panda,Prevx)
URLリンク(www.virustotal.com)
だから検出しないんだろう
とりあえず >>6 の感染確認で見てみればどうだ?
47:名無しさん@お腹いっぱい。
10/01/10 05:29:36
>>45
ただのニートだよ
仕事でやってる方ほどの知識はないよ
>>21のうpしてくれたウイルス本体をanubisに投げてみた
URLリンク(anubis.iseclab.org)
>>6の感染確認方法はまだ使えるな
48:名無しさん@お腹いっぱい。
10/01/10 05:43:43
>>47
セキュリティ企業で働きなさい。もったいない。
49:名無しさん@お腹いっぱい。
10/01/10 05:57:53
サイト登録日
2009-11-11 18:52:09
サイトのタイトル
なし
実際に表示されるサイトのURL
URLリンク(www14)●atpages.jp/saba0●site/files/fukkyuu0.zip
IPアドレス
203.152.213.250
逆引きホスト名
203.152.213.250.static.zoot.jp
画像取得日時
2010-01-10 05:39:48
検出されたウイルス(ワーム、スパイウエア)
★Trojan.BAT.KillFiles.mb
サーチ
1 60.42.255.33
2 118.21.192.131
3 118.21.197.41
4 218.43.251.37
5 210.190.162.5
6 118.23.168.15
7 122.1.246.94
8 221.184.27.254
9 163.139.130.150
10 163.139.124.135
11 203.152.213.250
www14.atpages.jp
50:名無しさん@お腹いっぱい。
10/01/10 05:59:31
転記
スレリンク(sec板)
2010/01/10 02:04:45 書き込み時間
>>14 は軽犯罪法に抵触され
実害も発生したため警察へ通報を検討中
謝罪投稿で良心的態度を示してください
51:名無しさん@お腹いっぱい。
10/01/10 06:01:08
>>47 サンクス
Anubisのレポートのおかげで >>6 のミスに気付いた
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
× C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
52:名無しさん@お腹いっぱい。
10/01/10 06:04:49
>>44
"%u5a4d%u0090
MZヘッダーなのは判るけど、これ一発でバイナリ化するツールとかあるん?
53:名無しさん@お腹いっぱい。
10/01/10 06:16:49
検出スレより転載
●セキュリティ板専用アプロダ推奨↓
URLリンク(tane.sakuratan.com)
・ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"推奨
圧縮はzipがのぞましい
54:名無しさん@お腹いっぱい。
10/01/10 06:18:10
*******************************************
>>6 >>12 の「感染確認」は一部正確ではありません
そのまま実行してもスタートアップのsiszyd32.exeが残ったままなので
起動時に再感染すると思われます
ご注意ください
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
× C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
*******************************************
やっぱり検証しないとダメだなorz
55:名無しさん@お腹いっぱい。
10/01/10 06:24:12
微だろ
URLリンク(aomori.cool.ne.jp)
56:名無しさん@お腹いっぱい。
10/01/10 06:27:59
>>55
グロ注意
57:名無しさん@お腹いっぱい。
10/01/10 06:36:19
URLリンク(www.110kz.com)
58:名無しさん@お腹いっぱい。
10/01/10 06:43:58
>>57
全て破壊されたよ、過去に戻りたい… シニタイ
59:名無しさん@お腹いっぱい。
10/01/10 06:48:20
>>41
騒がれるだいぶ前からたまに出る。ネトゲやってない?
X虎とかそういう系かなぁと思ってたんだが
60:名無しさん@お腹いっぱい。
10/01/10 06:57:14
>>41 プレゼント♪
URLリンク(detail.chiebukuro.yahoo.co.jp)
61:名無しさん@お腹いっぱい。
10/01/10 07:02:14
>>57
踏んだら死ぬよ、最後フォーマット完遂
62:名無しさん@お腹いっぱい。
10/01/10 07:49:17
ファイル名 A.bin 受理 2010.01.09 20:33:17 (UTC) 2010.01.10 5:33:17 (JST)
現在の状態: 完了
結果: 4/41 (9.76%)
F-Secure Suspicious:W32/Riskware!Online
Kaspersky Backdoor.Win32.Bredolab.bsr
Panda Suspicious file
Prevx Medium Risk Malware
追加情報
File size: 23040 bytes
MD5 : 35d23f69b7af292c2dcea9a1b58b6ef3
URLリンク(www.virustotal.com)
Name of malicious program Detection time Update released
10 January 2010
Backdoor.Win32.Bredolab.bsr 00:24 10 Jan 2010, 04:37 (JST)
URLリンク(www.kaspersky.com)
* ワ━━━ + *
+ パチパチ パチパチ パチパチ *
* ゛ ∧_∧ ゛∧_∧ ∧_∧〃 +
+ ヾ( )ノ ヾ( )/ヾ\( )/″
/ / .| |. \ \
ノ ̄ゝ ノ ̄.\ / ̄.\
63:名無しさん@お腹いっぱい。
10/01/10 08:01:44
Detection タイムが
>>21に、うpられる前あたりとか、あーでもない、こーでもない、含めて ザ・現実。やな
64:名無しさん@お腹いっぱい。
10/01/10 08:04:01
意味不明な文だな
こどもか
65:名無しさん@お腹いっぱい。
10/01/10 08:06:05
こどもでもいみのとおったぶんしょうくらいかけるだろー
66:名無しさん@お腹いっぱい。
10/01/10 08:10:35
池沼の関西人です
67:名無しさん@お腹いっぱい。
10/01/10 08:13:05
>>50
ν速にもあったよそれ
68:名無しさん@お腹いっぱい。
10/01/10 08:39:07
昔の2chらしくていいなw
69:名無しさん@お腹いっぱい。
10/01/10 08:47:00
20世紀も21世紀も油断なりませんな!
70:名無しさん@お腹いっぱい。
10/01/10 09:32:30
ちょっと練習
URLリンク(www.virustotal.com)
71:名無しさん@お腹いっぱい。
10/01/10 11:45:13
>>44
そのPDFファイルうp
72:名無しさん@お腹いっぱい。
10/01/10 11:56:29
pdfupd.exeも変わったのかな
アイコンが以前と違うな
URLリンク(www.virustotal.com)
73:名無しさん@お腹いっぱい。
10/01/10 12:04:43
自分でAnubisに上げといて>>51に気付かなかったorz
>>52 Perl使った
open my $fr, 'up36170.pdf' or die;
binmode $fr;
my $pdf = do {local $/; <$fr>};
close $fr;
my $n = 0;
while ($pdf =~ s/unescape\("([^"]+)//) {
$_ = $1;
s/%u([0-9A-Fa-f]{4})/pack("v", hex($1))/eg; # unescape
open my $fw, '>', $n++ or die;
binmode $fw;
print $fw $_;
close $fw;
}
>>71 >>27
74:名無しさん@お腹いっぱい。
10/01/10 12:15:57
ひとつ見つけた。ここはまだGNU GPLですな
www●candyfruit●com/brand_policy/
75:名無しさん@お腹いっぱい。
10/01/10 12:24:48
>>73
あららららw
76:名無しさん@お腹いっぱい。
10/01/10 12:26:37
>>72
●セキュリティ板専用アプロダ推奨↓
URLリンク(tane.sakuratan.com)
・ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"推奨
upしてー
77:sage ◆sage/xLnlI
10/01/10 12:40:35
URLリンク(www16)<)p/filedl/dnserror.html
コード入り注意
78:名無しさん@お腹いっぱい。
10/01/10 13:05:00
p://kowai●sub●jp/
昔オカ板のどっかの倉庫だったのがなんか宣伝サイトになってるけどここも。
こんなサイトは報告することもないか
79:名無しさん@お腹いっぱい。
10/01/10 13:10:17
俺の環境だと何故か感染しない・・・死ね
80:名無しさん@お腹いっぱい。
10/01/10 13:14:36
pdfにスクリプトって何に使うんだろ
81:名無しさん@お腹いっぱい。
10/01/10 13:30:10
これは鯖のスクリプトを除去するツールだろうか?
最新バージョン1.1では/*LGPL*/に対応しているみたいだ
URLリンク(justcoded.com)
82:名無しさん@お腹いっぱい。
10/01/10 13:34:44
>>80
お目にかかったことはないけど、Flashとかを埋め込んだ文書の作成や閲覧ができるらしいよ。
83:名無しさん@お腹いっぱい。
10/01/10 13:45:20
Malware Archive (8080) Rev2
URLリンク(www.dotup.org)
PASS:virus
84:名無しさん@お腹いっぱい。
10/01/10 13:48:08
制限ユーザで常用していても感染しますか?
ソフトウェア制限のポリシーで実行可能パスをデフォルトの最小限枠に絞っていても感染しますか?
と訊かれたのですが何の事ですか?
85:名無しさん@お腹いっぱい。
10/01/10 13:51:26
わからないならわからないって答えればいいだけじゃないの
86:名無しさん@お腹いっぱい。
10/01/10 14:05:21
>>83 乙
もう亜種が出るのか・・・
avast!に提出しておいた
87:86
10/01/10 14:40:07
向こうのスレと提出が重複してるな
次から自分は控えとくか
88:名無しさん@お腹いっぱい。
10/01/10 14:45:14
提出が重複してても無問題。
検体を沢山送って早く対応してくれれば。
89:名無しさん@お腹いっぱい。
10/01/10 14:52:52
>>88
いや、向こうのスレのテンプレで
多重送付を避けるとなっているからな
実際ベンダーの迷惑になりかねないだろ
90:名無しさん@お腹いっぱい。
10/01/10 14:58:01
多重送付といってもガンブラーに限っていえば10人もいないだろw
91:名無しさん@お腹いっぱい。
10/01/10 15:01:00
>>89
被ってすまぬ〜。
俺、平日は 2ch 監視してる時間無いから引っ込むわ。
あとよろ。
92:名無しさん@お腹いっぱい。
10/01/10 15:03:07
>>89
被っても問題ないだろ
数をこなさないと対応してくれないだろ
93:名無しさん@お腹いっぱい。
10/01/10 15:05:35
>>91
向こうに報告しないで勝手にやってた自分が悪い
提出したら向こうに報告するよ
94:名無しさん@お腹いっぱい。
10/01/10 15:12:37
>>88
1つの検体を多数送っても無意味だろ
多数の検体を送るならまだしも
95:名無しさん@お腹いっぱい。
10/01/10 15:33:55
Gumblar撒いてる危険なドメイン
URLリンク(*.thechocolateweb.ru*)<)
URLリンク(*.suesite.ru*)<)
URLリンク(*.theatticsale.ru*)<)
URLリンク(*.lagworld.ru*)<)
URLリンク(*.ampsguide.ru*)<)
URLリンク(*.webnetenglish.ru*)<)
URLリンク(*.thelaceweb.ru*)
まだまだありそう
96:名無しさん@お腹いっぱい。
10/01/10 15:35:42
つーか、ロシアのサイトなんか普通見に行かないんだから、
.ru:8080/か.ru/を丸ごとブロックで十分じゃね
97:名無しさん@お腹いっぱい。
10/01/10 15:36:04
*.ruでおkだろ・・・
98:名無しさん@お腹いっぱい。
10/01/10 15:38:07
それがウイルス撒いてる狙いかもしれない
99:名無しさん@お腹いっぱい。
10/01/10 15:39:21
>>98
botnetの構築
100:名無しさん@お腹いっぱい。
10/01/10 16:10:04
>>99
なるほどー
深いな
101:名無しさん@お腹いっぱい。
10/01/10 16:14:45
愛機がボットに使われるのは嫌だな
暇だから目についたURL片っ端から踏んでるけど
102:名無しさん@お腹いっぱい。
10/01/10 16:39:52
兎に角鎖国は損だから
103:名無しさん@お腹いっぱい。
10/01/10 16:50:15
README死ぬほどワロス
104:名無しさん@お腹いっぱい。
10/01/10 16:53:10
>>103
何のREADME?
105:名無しさん@お腹いっぱい。
10/01/10 17:02:08
ミーコ先生の学級新聞じゃね
106:名無しさん@お腹いっぱい。
10/01/10 17:10:42
>>99
irc@2chでもbot作ろうとした人が鯖管に警告受けてたなあ・・・。
107:名無しさん@お腹いっぱい。
10/01/10 17:11:37
×bot作ろうとした ○botnet作ろうとした
間違えた・・・。
108:名無しさん@お腹いっぱい。
10/01/10 17:14:35
>>106
irc@2chをBotnetの拠点にしたのかww
109:名無しさん@お腹いっぱい。
10/01/10 17:17:50
>>106
何の鯖管?
110:名無しさん@お腹いっぱい。
10/01/10 17:24:31
ここのサイトも???
URLリンク(www.goodroom.co.jp)
111:名無しさん@お腹いっぱい。
10/01/10 17:36:10
>>110
感染してない
112:名無しさん@お腹いっぱい。
10/01/10 17:39:13
嘘だっ!
113:名無しさん@お腹いっぱい。
10/01/10 17:39:42
宣伝おつ
114:名無しさん@お腹いっぱい。
10/01/10 17:41:06
URLリンク(labaulebeach)<)・com/
115:名無しさん@お腹いっぱい。
10/01/10 17:48:27
>>114
/*LGPL*/
116:名無しさん@お腹いっぱい。
10/01/10 17:49:40
>>114
URLリンク(www.virustotal.com)
結果: 7/41 (17.08%)
リンク先はgoogleセーフブラウジングで攻撃サイト判定
117:名無しさん@お腹いっぱい。
10/01/10 18:16:27
質問です。
古いWinXPを再インスコするとFlashの6が入っています。(WinXPSP1→SP3にした)
AdobeReaderなしのとき、これでもやられちゃいますか?
118:名無しさん@お腹いっぱい。
10/01/10 18:28:08
AdobeReader,Java
どちらかが欠けていれば何もならない
119:名無しさん@お腹いっぱい。
10/01/10 18:28:42
>>117
危険なところ行く前に、アドビに行って最新版入れればいいだけでしょ。
120:名無しさん@お腹いっぱい。
10/01/10 18:30:37
ワロタw
121:名無しさん@お腹いっぱい。
10/01/10 18:35:53
>>117
安全なPCからあらかじめ最新のインストーラをDLして
メディアに焼けばおkじゃね
122:名無しさん@お腹いっぱい。
10/01/10 18:37:16
>>118
残念ながら片方だけで感染する
今回狙われている脆弱性を持つプログラム
・Adobe Reader(未修正)
・Sun Java(脆弱性、いいえ仕様です)
・Microsoft InternetExplorer(最新版は影響無し)
123:名無しさん@お腹いっぱい。
10/01/10 18:37:37
ガンプラXがおかしくなってきてるような希ガス
URLリンク(www)<)●hdd1●ru/index●php></script>
URLをエn(ry
124:名無しさん@お腹いっぱい。
10/01/10 18:37:39
おまえらいい加減なこと言い過ぎ
125:117
10/01/10 18:38:46
利用者に渡すとき、管理者権限がないので最新版をインスコできないようにしてるんです。
「Adobeもflashいれてないからいいや」って思ってたら、WinXPに入っていたこと思い出して・・
126:名無しさん@お腹いっぱい。
10/01/10 18:40:34
>>123
それはちょっと別のタイプだな
127:名無しさん@お腹いっぱい。
10/01/10 18:44:34
>>122
kwsk
128:名無しさん@お腹いっぱい。
10/01/10 18:45:57
LaBauleBeach
表示サイト
URLリンク(ala*aule*com*)
IPアドレス
82.165.98.36
逆引きホスト
kundenserver.de
検出体
Trojan-Downloader.JS.Agent.ewo
alabaule.com サーバの位置
国名 地域名 都市名
GERMANY Karlsruhe Karlsruhe
129:名無しさん@お腹いっぱい。
10/01/10 18:47:21
AdobeのReaderじゃなくてAcrobatの方は問題ない?
130:名無しさん@お腹いっぱい。
10/01/10 18:48:44
>>125
渡す前にできないの?
131:名無しさん@お腹いっぱい。
10/01/10 18:49:48
>>129
あるよ
>>127
セットで動いてるわけじゃないからね
132:117
10/01/10 18:49:58
>>125
>Adobeもflash
どっちもadobeだよねorz
正しくは「Adobe RedaerもAdobe Flash」
だな
133:名無しさん@お腹いっぱい。
10/01/10 18:51:29
>>131
駄目なのか
javaもreaderも入れてないからセーフかななんて期待してしまった
134:名無しさん@お腹いっぱい。
10/01/10 18:52:08 BE:1609363788-PLT(12031)
URLリンク(genochk.crz.jp) (安全)
更新するたびに毎回コードが変わるね
135:117
10/01/10 18:53:13
>>130
あさってくらいリリースのやつ入れて渡したとしても次のヤツを入れられない。
いっそ削除できればいいな。
Webサイト見せたくないけど見るのに使われてもらっちまうよりはいい。
「このパソで見るもんじゃない。だから絵は動かないんだ」で通る。
136:名無しさん@お腹いっぱい。
10/01/10 18:53:59
Foxit Readerは危険性ないのかしら。
137:名無しさん@お腹いっぱい。
10/01/10 18:54:23
>136
FoxitにもJavaScriptが搭載されてる件
138:名無しさん@お腹いっぱい。
10/01/10 18:56:36
>>137
それは知ってるけど、脆弱性は無いのかな?ってことなんだけど。
139:117
10/01/10 19:01:38
>>137
のあさってリリースってReaderだけですね。
だめだ、社内のReaderとFlash他の更新作業でマジつかれてる・・(泣
140:名無しさん@お腹いっぱい。
10/01/10 19:03:47
>>139
flashのアンインストーラーで消せなかったっけ?
141:名無しさん@お腹いっぱい。
10/01/10 19:09:12
>>138
Foxitにもかなり以前から放置されている脆弱性があるよ。
adobeと同じかどうかは知らないが。
142:名無しさん@お腹いっぱい。
10/01/10 19:13:59 BE:377195235-PLT(12031)
GoogleDocsに上げて画像で見るのが一番安全
143:117
10/01/10 19:14:35
>>140
>flashのアンインストーラーで消せなかったっけ?
ありがとう!
削除できました!!
144:名無しさん@お腹いっぱい。
10/01/10 19:23:07
>>117に管理を任せている企業は頭がおかしい
145:名無しさん@お腹いっぱい。
10/01/10 19:30:30
たしかにw
146:名無しさん@お腹いっぱい。
10/01/10 19:35:03
そして動画サイトが見れなくなった社員がFlashをいれたりするんですね
147:名無しさん@お腹いっぱい。
10/01/10 19:36:08
>>144
正論過ぎてワロタw
148:117
10/01/10 19:52:22
業務システム用PCだお。
普通のPCには、Flashいれてるお。
なぜか、「IEのWebインタフェースのシステム=インターネット使うもの」思い込んでるのがいて、
わざわざ「(IEの)ホームページをYahooにする」とか「自分のPCを使わないでWebサイト見ようとする」のがいる。
149:名無しさん@お腹いっぱい。
10/01/10 19:55:54
なにいってるかわからねー、ゆとりなもんでw
150:名無しさん@お腹いっぱい。
10/01/10 19:58:04
>>148
ここでする話じゃないから
URLリンク(pc11.2ch.net)
こっちの適当なスレで聞けよw
151:名無しさん@お腹いっぱい。
10/01/10 19:58:14
>>148
Vipperカエレ
152:名無しさん@お腹いっぱい。
10/01/10 20:04:26
>>117の人気に嫉妬
153:117
10/01/10 20:05:01
すんませんでした・・・。
154:名無しさん@お腹いっぱい。
10/01/10 20:05:11
>>135
システム管理者レベルでパソはないだろ・・・
古いのはよくわからんけど6はアンインストールできないの?
155:名無しさん@お腹いっぱい。
10/01/10 20:05:52
>>154
ごめんリロードしてなかった
156:名無しさん@お腹いっぱい。
10/01/10 20:07:26
>>148はVIP関連のまとめブログ読んでるだけだろ
157:名無しさん@お腹いっぱい。
10/01/10 20:11:00
フルボッコ(´・ω・) カワイソス
158:117
10/01/10 20:19:54
>>153はオイラじゃないといっておく。
>>154
人手がたりないから何でもやります。
>>140の教えてくれたとおおり、adobeのサイトからアンインストーラ落としてきて
削除できました。
159:名無しさん@お腹いっぱい。
10/01/10 20:24:35
マジな話だが、語尾の"お"って痛い奴の典型なので止めた方がいいよ
160:117
10/01/10 20:26:18
マジな話だが、語尾の"お"って痛い奴の典型なので止めた方がいいよ(キリッ
だっておwwwww
161:名無しさん@お腹いっぱい。
10/01/10 20:26:22
わかったお
162:名無しさん@お腹いっぱい。
10/01/10 20:28:02
何このスレ酷い
163:117
10/01/10 20:29:15
>>159
ありがと。
Readerだけ更新する手間(新版がでたらもう一回入れなおす)とFlashも一緒に更新する手間も大して変わらないので
一緒に更新してます。
164:名無しさん@お腹いっぱい。
10/01/10 20:29:18
いつものことだお
165:名無しさん@お腹いっぱい。
10/01/10 20:33:17
だぬ
166:117
10/01/10 20:46:26
お前ら、よくぞ釣られてくれた
褒美に感染する権利をやろう
167:117
10/01/10 20:55:37
今回の改竄騒ぎで、被害会社・マスコミ各社が「Gumblar亜種」とかいてくれたんで
社内にウイルス対策ソフトだけじゃダメ。Adobe ReaderとFlashの更新が必要ということが認知された。
「やばそうなソフトもいっしょに更新または削除しろ」という判断になった。
ソフト自動配布ソフト買う話ができるようになった。
168:117
10/01/10 20:57:50
>>166はオイラじゃないよ。
169:名無しさん@お腹いっぱい。
10/01/10 20:58:35
もうどうでもいいよ
170:名無しさん@お腹いっぱい。
10/01/10 21:05:44
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
スレリンク(sec板)
ESETがJS/TrojanDownloader.Agent.NRL トロイの木馬 検出して
前スレ開くと接続が遮断されるんだけどなんですかねこれ
171:名無しさん@お腹いっぱい。
10/01/10 21:07:44
コード貼られてるとか?かな
172:名無しさん@お腹いっぱい。
10/01/10 21:07:55
>>168
不安ならオンラインスキャンも追加しとけよ。
URLリンク(lhsp.s206.xrea.com)
URLリンク(mangakakouze.com)
173:名無しさん@お腹いっぱい。
10/01/10 21:11:03
>>172
感染サイトなので注意
174:名無しさん@お腹いっぱい。
10/01/10 21:40:00
もう誰も信じられない
175:名無しさん@お腹いっぱい。
10/01/10 21:45:31
GENOウイルススレ ★23
スレリンク(sec板:675番)
これわかる方おられます?
176:名無しさん@お腹いっぱい。
10/01/10 22:17:55
>>170
うちのESETは何も言わないけど・・・
177:117
10/01/10 22:23:46
>>175
URLを具体的に
178:名無しさん@お腹いっぱい。
10/01/10 22:59:10
ノートンでC:\Documents and Settings\[ユーザー名]\Local Settings\Temp\plugtmp-1
にplugin-changelog.pdfがbloodhound.pdf.5に感染してるとヒューリスティック検出。
言われてる更新は全部最新なんだけど、どこでもらったのかまったく記憶がない。
ダウンロードはされたけど、発動しなかったってことなんだろうか?
しかも友達にガンブラー流行ってるよって言われて、
ノートン以外でスキャンしてみようと、トレンドマイクロのオンラインスキャンをやってる最中に
ノートンのAuto-Protectが働いて上のパスから検出したというのがわからない。
一応感染してるかどうかのレジストリ等の確認では感染はしてないみたいなんだけど…。
再インストールしたほうがいいのかなぁ
179:名無しさん@お腹いっぱい。
10/01/10 23:04:27
\ ヽ | / /
\ ヽ / /
‐、、 殺 伐 と し た ス レ に 鳥 取 県 が ! ! _,,−''
`−、、 __/\ _,,−''
`−、、 _| `〜┐ _,,−''
_ノ ∫
_,.〜’ /
────‐ ,「~ ノ ────‐
,/ ` ̄7
| 島 根 県 /
_,,−' ~`⌒^7 / `−、、
_,,−'' 丿 \, `−、、
,'´\ / _7 /`⌒ーへ_,._⊃ /`i
! \ _,,-┐ \ _,.,ノ r‐-、、 / !
゙、 `ー--<´ / L. ,〜’ ゙、 >−一'′ ,'
y' U `ヽ/ / ヽ ヽ '´ U イ
____
/ __ | \____\
___/__ / ̄ ____|____ \ \____\
//ヽ /___ /|\ \ \____\
/ / ヽ / /__ / | \ \_______
/ / / / / / | \ | \
/ / / / _/ __/ | \__ | \  ̄―_
180:名無しさん@お腹いっぱい。
10/01/10 23:08:32
ルートキットスキャンが、あまりにも重いので
カスペ2010をアンスコしていたが
今回の騒動でまたインスコしました
ルートキットは修正されたのか
ずいぶんとキビキビ軽くなった
ホモとかメタボとか、おやじを馬鹿にしていたが
カスペがやはり一番信用できるにゃ
181:名無しさん@お腹いっぱい。
10/01/10 23:24:40
>>178
トレンドマイクロのオンラインスキャンがそのファイルにアクセス→
ノートンがファイルアクセスに反応してリアルタイムスキャン→
ウイルス検出という流れかな
PDFをDLしたときの定義ファイルでは検出できなかったんだろう
ウイルス感染したかはわからん
心配ならOS入れなおしが安全安心楽ちん
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5186日前に更新/222 KB
担当:undef