【Gumblar/GENO】Web� ..

---

[2ch|▼Menu]

2:名無しさん＠お腹いっぱい。
10/01/10 01:38:27
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLﾘﾝｸ(get.adobe.com)
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
URLﾘﾝｸ(get.adobe.com)
URLﾘﾝｸ(www.adobe.com)
・Flash Playerのバージョン確認
URLﾘﾝｸ(www.adobe.com)
URLﾘﾝｸ(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLﾘﾝｸ(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLﾘﾝｸ(www.java.com)
・Javaのバージョン確認
URLﾘﾝｸ(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLﾘﾝｸ(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLﾘﾝｸ(jp.real.com)

3:名無しさん＠お腹いっぱい。
10/01/10 01:39:04
>>1もつ

4:名無しさん＠お腹いっぱい。
10/01/10 01:39:19
【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
URLﾘﾝｸ(jvndb.jvn.jp)
・Secunia Personal Software Inspector (PSI)
URLﾘﾝｸ(secunia.com)
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
URLﾘﾝｸ(www.forest.impress.co.jp)
URLﾘﾝｸ(hide9999.web.fc2.com)

5:名無しさん＠お腹いっぱい。
10/01/10 01:40:00
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
URLﾘﾝｸ(www.so-net.ne.jp)
URLﾘﾝｸ(www.so-net.ne.jp)
URLﾘﾝｸ(www.so-net.ne.jp)
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
URLﾘﾝｸ(blogs.technet.com)
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
URLﾘﾝｸ(itpro.nikkeibp.co.jp)
レジストリの修復 Windowsを使わずに修復してみる
URLﾘﾝｸ(pctrouble.lessismore.cc)
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
URLﾘﾝｸ(www.ahnlab.co.jp)
マカフィー(stinger.exe)
URLﾘﾝｸ(www.mcafee.com)
Kaspersky(KatesKiller.exe)
URLﾘﾝｸ(support.kaspersky.com)

【旧Gumblar(GENO)ウイルスのまとめなど】
＊＊＊ 【注意！】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ＊＊＊
■ Anubisレポート
URLﾘﾝｸ(anubis.iseclab.org)
■ GENOウイルスまとめ
URLﾘﾝｸ(www29.atwiki.jp)

6:名無しさん＠お腹いっぱい。
10/01/10 01:40:43
【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
URLﾘﾝｸ(www.so-net.ne.jp)
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください

セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済

上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール＆サイト持ちは
安全なPCからのパスワードの変更を推奨します

7:名無しさん＠お腹いっぱい。
10/01/10 01:41:37
＊＊＊ テンプレ終了 ＊＊＊

抜け、間違いがあれば指摘よろ

8:名無しさん＠お腹いっぱい。
10/01/10 01:49:13
JREも(使っていないならアンインストール)を推奨した方がいいかも

9:名無しさん＠お腹いっぱい。
10/01/10 01:54:41
GENO（Gumblar）ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す


※サイトを運営されている方は、さらに次のことも実施していただきたい。

(1）管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2）改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する

10:名無しさん＠お腹いっぱい。
10/01/10 01:59:51
危険ポートを閉じることでセキュリティを強化する。

【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下：DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。

ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。

ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。

ポート135 445
URLﾘﾝｸ(www.google.com)

11:名無しさん＠お腹いっぱい。
10/01/10 02:00:50
捕まえてきたGumblarたんの本体を仮想マシンで実行してみるてｓｔ
→豪快にavast!とClamAVをスルーしたぞこいつ・・・
→Anti VM・・・だと！？
解析する前にunpack＋Anti Anti Debugする必要が・・・
もう少し時間がかかる。

12:名無しさん＠お腹いっぱい。
10/01/10 02:03:43
【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除

13:名無しさん＠お腹いっぱい。
10/01/10 02:04:06
packされていなかった
デバッガを通す"だけ"でAnti VMを回避できた件・・・何このウイルスどうなってるの・・・

14:名無しさん＠お腹いっぱい。
10/01/10 02:04:45
【緊急】ガンブラー復旧パッチ使用手順。
URLﾘﾝｸ(sirmaximus.com)
URLﾘﾝｸ(www14.atpages.jp)

手順1
上記をダウンロードする。
手順2
ダウンロードしたファイルを任意のソフトで解凍する。
手順3
解凍したファイル内にある復旧パッチを実行すると、
｢windowを復旧しますか？｣とメッセージが出るので｢yes｣を選択します。
手順4
実行後、PCをセーフモードで再起動してください。

15:名無しさん＠お腹いっぱい。
10/01/10 02:05:20
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
　　　　　　　　　 旦 旦 旦 旦 旦
.　　 ∧__,,∧　　 旦 旦 旦 旦 旦
　　 ( ´･ω･ ).　 旦 旦 旦 旦 旦
.　　 /ヽ○==○ 旦 旦 旦 旦 旦
　　/　　||＿　|_ 旦 旦 旦 旦 旦
　　し'￣(_)） ￣(_)） ￣(_)） ￣(_)）

>>1乙
これはただのお茶なんだから。レスポップアップして見ないでね。

16:名無しさん＠お腹いっぱい。
10/01/10 02:07:13
>>14
ウイルス注意

17:名無しさん＠お腹いっぱい。
10/01/10 02:09:40
Anti VMかと思えばカーネルを強引にクラッシュさせていただけ
特に怪しげな動きを見せない（本体をコピーしようとするが失敗に終わっている）

18:名無しさん＠お腹いっぱい。
10/01/10 02:20:09
>>14
genoや8080じゃないけどウイルス警告

Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

URLﾘﾝｸ(sirmaximus)<)●atpages●jp/saba02site/files/
fukkyuu0●zip

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan.BAT.KillFiles.mb
情報:
2:15:33
Kaspersky Internet Security 2010

19:名無しさん＠お腹いっぱい。
10/01/10 02:24:45
>>14のzip注意
ファイルを削除されるお・・・

20:名無しさん＠お腹いっぱい。
10/01/10 02:26:00
>>14
ファイル削除ウイルスってモペキチだろｗｗ
URLﾘﾝｸ(www28.atwiki.jp)

21:名無しさん＠お腹いっぱい。
10/01/10 02:33:26
URLﾘﾝｸ(www.dotup.org)
Pass:virus

jad乙

22:名無しさん＠お腹いっぱい。
10/01/10 02:48:03
993 ：名無しさん＠お腹いっぱい。：2010/01/10(日) 02:20:34
URLﾘﾝｸ(www)<)●mag-x●com/　←302だけどボディに/*LGPL*/
↓
URLﾘﾝｸ(www)<)●mag-x●com/blog/index●html

センセイはスルー中
URLﾘﾝｸ(www.google.com)

23:名無しさん＠お腹いっぱい。
10/01/10 02:49:54
＊転載＊

320 ： 錐(関東・甲信越)：2010/01/09(土) 13:26:32.65 ID:B+8hBSVN
・avast!用
webシールド→URLブロック
*:8080/*

・Adblock Plus用
|URLﾘﾝｸ(*:8080*)<)だと機能しない（後ろ側の / ←に注意）

上記は「http://〜〜:8080/〜」
というURLを使ってくる限りずっと有効。

24:名無しさん＠お腹いっぱい。
10/01/10 02:50:41
>>22
URLﾘﾝｸ(www.aguse.jp)　なら見事だお

25:名無しさん＠お腹いっぱい。
10/01/10 02:52:55
URLﾘﾝｸ(genochk.crz.jp)
Gumblar(GENO)に感染させる悪質コードを検出するプログラム書いた
寝たい・・

26:名無しさん＠お腹いっぱい。
10/01/10 02:53:56
>>21
乙
avast!に提出しておいた

27:名無しさん＠お腹いっぱい。
10/01/10 02:54:35
URLﾘﾝｸ(2sen.dip.jp)
これって、ほんとにテスト用のウイルス？

28:名無しさん＠お腹いっぱい。
10/01/10 02:56:10
>>25
>>22は検出できたGJ

29:名無しさん＠お腹いっぱい。
10/01/10 02:57:24
>>27
stringsコマンドでざっくりみたらJavaScriptは埋め込まれてるね。
どういう動作するんかは試してないけども。

30:名無しさん＠お腹いっぱい。
10/01/10 03:02:18
>>25
XSS対策できてないみたいです

31:名無しさん＠お腹いっぱい。
10/01/10 03:03:35
>>25
乙
Operaでも動く模様
avast!には怒られたがw

32:25
10/01/10 03:07:21
>>30
ありがとうございます。見つけたところを直しておきました
PHPソースを見る機能をつけたのでおかしなところがあれば何でも言ってやってください

33:名無しさん＠お腹いっぱい。
10/01/10 03:08:00
>>25ってスクリプトは実行してないよな？
アバストに引っかかるんだけど。

34:名無しさん＠お腹いっぱい。
10/01/10 03:09:01
>>33
ウイルスコードそのまま表示してるからじゃね？

35:25
10/01/10 03:10:00
>>33
エスケープはしてますがソースを表示しているのでそれで怒られていると思います

36:25
10/01/10 03:19:22 BE:226317233-PLT(12031)
検出した場合はその部分を表示しない オプションをつけました


37:名無しさん＠お腹いっぱい。
10/01/10 03:23:23
>>36
乙！avastに怒られなくなったわ

38:人種差別問題
10/01/10 03:32:39
298 名前：名無しさん＠十周年 []： 2010/01/09(土) 11:38:56 ID:WtIo91R60
URLﾘﾝｸ(www.youtube.com)
これの１：１８にボーガンの矢が打ち込まれてるぞ
これは殺人未遂事件だ。


いいですか、
ボーガンというのは狩猟道具なんです。
狩猟と言うのは動物を対象としているわけです。
放水はあくまで人間相手だから放水なんです。
しかし、ボーガンと言うのは人間相手の攻撃ではなくて、
「動物」相手の攻撃なんだ。


要するに日本人を動物とみなしているからこそ、
ボーガンで「狩り」をしてくるわけだ。


これは捕鯨問題ではなくて、
人種差別問題なんだ。
だから日本人は怒らなければいけないんだ。
日本人は差別されている！！

39:名無しさん＠お腹いっぱい。
10/01/10 04:00:42
>>23
それでも漏れるでしょ

40:名無しさん＠お腹いっぱい。
10/01/10 04:08:27
URLﾘﾝｸ(.*)
でおｋ

41:名無しさん＠お腹いっぱい。
10/01/10 04:12:31
ガンブラー騒動の時から、windowsXPの終了時に、
プログラムの終了中です。　n
というメッセージが出るようになりました。
n というのはプログラム名だと思うんですけど、特に心当たりはありません

avastを使っていて、正直該当サイト踏んだ記憶あるので
これってもしかして感染していますか？
一応完全スキャンと、オンライン検査はしています。

42:名無しさん＠お腹いっぱい。
10/01/10 04:17:10
>>27
CVE-2009-4324かと思ったらCVE-2009-0927だけかよ
これか URLﾘﾝｸ(www.corruptcode.org)

payloadは本当にMessageBox出すだけみたいだな
しかしpayloadのDLLでかすぎだろ
こんなのもっと小さく作れよ

43:名無しさん＠お腹いっぱい。
10/01/10 04:24:34
>>42
どうやって解析したの？

44:名無しさん＠お腹いっぱい。
10/01/10 04:52:38
>>43
dll_payload = unescape("%u5a4d%u0090
ここのunescapeに渡されてる文字列がpayload(DLL)だから
これを取り出してバイナリにすれば古いAdobe Reader用意してなくても解析できる
shellcodeは>>42のURLのやつと同じだからpayloadだけmalwareじゃないと分かればいい
解析は仮想マシンで実行したり逆アセして読んだり


45:名無しさん＠お腹いっぱい。
10/01/10 05:12:09
>>44
thxです。
こういうこと仕事でやってる方ですか？

46:名無しさん＠お腹いっぱい。
10/01/10 05:12:29
>>41
8080系だと仮定してレスするが
>>21 のうｐしてくれた今のウイルス本体は
結果: 3/41 (F-Secure,Panda,Prevx)
URLﾘﾝｸ(www.virustotal.com)
だから検出しないんだろう

とりあえず >>6 の感染確認で見てみればどうだ？

47:名無しさん＠お腹いっぱい。
10/01/10 05:29:36
>>45
ただのニートだよ
仕事でやってる方ほどの知識はないよ

>>21のうｐしてくれたウイルス本体をanubisに投げてみた
URLﾘﾝｸ(anubis.iseclab.org)
>>6の感染確認方法はまだ使えるな

48:名無しさん＠お腹いっぱい。
10/01/10 05:43:43
>>47
セキュリティ企業で働きなさい。もったいない。

49:名無しさん＠お腹いっぱい。
10/01/10 05:57:53
サイト登録日
2009-11-11 18:52:09
サイトのタイトル
なし
実際に表示されるサイトのURL
URLﾘﾝｸ(www14)●atpages.jp/saba0●site/files/fukkyuu0.zip
IPアドレス
203.152.213.250
逆引きホスト名
203.152.213.250.static.zoot.jp
画像取得日時
2010-01-10 05:39:48
検出されたウイルス（ワーム、スパイウエア）
★Trojan.BAT.KillFiles.mb
　サーチ
1 60.42.255.33
2 118.21.192.131
3 118.21.197.41
4 218.43.251.37
5 210.190.162.5
6 118.23.168.15
7 122.1.246.94
8 221.184.27.254
9 163.139.130.150
10 163.139.124.135
11 203.152.213.250
www14.atpages.jp




50:名無しさん＠お腹いっぱい。
10/01/10 05:59:31
転記
ｽﾚﾘﾝｸ(sec板)
2010/01/10　02:04:45 書き込み時間

>>14 は軽犯罪法に抵触され
実害も発生したため警察へ通報を検討中
謝罪投稿で良心的態度を示してください


51:名無しさん＠お腹いっぱい。
10/01/10 06:01:08
>>47 サンクス
Anubisのレポートのおかげで >>6 のミスに気付いた

○　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
×　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

52:名無しさん＠お腹いっぱい。
10/01/10 06:04:49
>>44
"%u5a4d%u0090
MZヘッダーなのは判るけど、これ一発でバイナリ化するツールとかあるん？

53:名無しさん＠お腹いっぱい。
10/01/10 06:16:49
検出スレより転載

●セキュリティ板専用アプロダ推奨↓
URLﾘﾝｸ(tane.sakuratan.com)
・ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"推奨

圧縮はzipがのぞましい

54:名無しさん＠お腹いっぱい。
10/01/10 06:18:10
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
>>6 >>12 の「感染確認」は一部正確ではありません
そのまま実行してもスタートアップのsiszyd32.exeが残ったままなので
起動時に再感染すると思われます
ご注意ください

○　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
×　C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

やっぱり検証しないとダメだなorz

55:名無しさん＠お腹いっぱい。
10/01/10 06:24:12
微だろ
URLﾘﾝｸ(aomori.cool.ne.jp)


56:名無しさん＠お腹いっぱい。
10/01/10 06:27:59
>>55
グロ注意

57:名無しさん＠お腹いっぱい。
10/01/10 06:36:19


URLﾘﾝｸ(www.110kz.com)



58:名無しさん＠お腹いっぱい。
10/01/10 06:43:58
>>57
全て破壊されたよ、過去に戻りたい… シニタイ




59:名無しさん＠お腹いっぱい。
10/01/10 06:48:20
>>41
騒がれるだいぶ前からたまに出る。ネトゲやってない？
X虎とかそういう系かなぁと思ってたんだが

60:名無しさん＠お腹いっぱい。
10/01/10 06:57:14
>>41 プレゼント♪
URLﾘﾝｸ(detail.chiebukuro.yahoo.co.jp)

61:名無しさん＠お腹いっぱい。
10/01/10 07:02:14
>>57
踏んだら死ぬよ、最後フォーマット完遂

62:名無しさん＠お腹いっぱい。
10/01/10 07:49:17
ファイル名 A.bin 受理 2010.01.09 20:33:17 (UTC)　　2010.01.10 5:33:17 (JST)
現在の状態： 完了
結果: 4/41 (9.76%)

F-Secure　　Suspicious:W32/Riskware!Online
Kaspersky　　Backdoor.Win32.Bredolab.bsr
Panda　　Suspicious file
Prevx　　Medium Risk Malware

追加情報
File size: 23040 bytes
MD5 : 35d23f69b7af292c2dcea9a1b58b6ef3

URLﾘﾝｸ(www.virustotal.com)



Name of malicious program　　 Detection time　　Update released
10 January 2010
Backdoor.Win32.Bredolab.bsr　　00:24　　　　　　　10 Jan 2010, 04:37 (JST)

URLﾘﾝｸ(www.kaspersky.com)



　　　*　　ワ━━━　　+　　　*
　+　ﾊﾟﾁﾊﾟﾁ　　ﾊﾟﾁﾊﾟﾁ　ﾊﾟﾁﾊﾟﾁ　　　　*
*　 ゛ ∧_∧　 ゛∧_∧　　　∧_∧〃　+
　+ ヾ(　　 )ﾉ ヾ(　　 )/ヾ＼(　　 )/″
　　　/　 /　　　.|　　|.　　　 ＼　＼
　　ノ￣ゝ 　　 ノ￣.＼ 　　　 /￣.＼

63:名無しさん＠お腹いっぱい。
10/01/10 08:01:44
Detection タイムが
>>21に、うｐられる前あたりとか、あーでもない、こーでもない、含めて ザ・現実。やな

64:名無しさん＠お腹いっぱい。
10/01/10 08:04:01
意味不明な文だな
こどもか

65:名無しさん＠お腹いっぱい。
10/01/10 08:06:05
こどもでもいみのとおったぶんしょうくらいかけるだろー

66:名無しさん＠お腹いっぱい。
10/01/10 08:10:35
池沼の関西人です

67:名無しさん＠お腹いっぱい。
10/01/10 08:13:05
>>50
ν速にもあったよそれ

68:名無しさん＠お腹いっぱい。
10/01/10 08:39:07
昔の2ｃｈらしくていいなｗ

69:名無しさん＠お腹いっぱい。
10/01/10 08:47:00
20世紀も21世紀も油断なりませんな！

70:名無しさん＠お腹いっぱい。
10/01/10 09:32:30
ちょっと練習
URLﾘﾝｸ(www.virustotal.com)

71:名無しさん＠お腹いっぱい。
10/01/10 11:45:13
>>44
そのPDFファイルうｐ

72:名無しさん＠お腹いっぱい。
10/01/10 11:56:29
pdfupd.exeも変わったのかな
アイコンが以前と違うな
URLﾘﾝｸ(www.virustotal.com)

73:名無しさん＠お腹いっぱい。
10/01/10 12:04:43
自分でAnubisに上げといて>>51に気付かなかったorz

>>52 Perl使った
open my $fr, 'up36170.pdf' or die;
binmode $fr;
my $pdf = do {local $/; <$fr>};
close $fr;
my $n = 0;
while ($pdf =~ s/unescape\("([^"]+)//) {
$_ = $1;
s/%u([0-9A-Fa-f]{4})/pack("v", hex($1))/eg; # unescape
open my $fw, '>', $n++ or die;
binmode $fw;
print $fw $_;
close $fw;
}

>>71 >>27

74:名無しさん＠お腹いっぱい。
10/01/10 12:15:57
ひとつ見つけた。ここはまだGNU GPLですな
www●candyfruit●com/brand_policy/


75:名無しさん＠お腹いっぱい。
10/01/10 12:24:48
>>73
あららららw

76:名無しさん＠お腹いっぱい。
10/01/10 12:26:37
>>72
●セキュリティ板専用アプロダ推奨↓
URLﾘﾝｸ(tane.sakuratan.com)
・ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"推奨

upしてー

77:sage ◆sage/xLnlI
10/01/10 12:40:35
URLﾘﾝｸ(www16)<)ｐ/filedl/dnserror.html

コード入り注意

78:名無しさん＠お腹いっぱい。
10/01/10 13:05:00
p://kowai●sub●jp/
昔オカ板のどっかの倉庫だったのがなんか宣伝サイトになってるけどここも。
こんなサイトは報告することもないか

79:名無しさん＠お腹いっぱい。
10/01/10 13:10:17
俺の環境だと何故か感染しない・・・死ね

80:名無しさん＠お腹いっぱい。
10/01/10 13:14:36
pdfにスクリプトって何に使うんだろ

81:名無しさん＠お腹いっぱい。
10/01/10 13:30:10
これは鯖のスクリプトを除去するツールだろうか？
最新バージョン1.1では/*LGPL*/に対応しているみたいだ
URLﾘﾝｸ(justcoded.com)

82:名無しさん＠お腹いっぱい。
10/01/10 13:34:44
>>80
お目にかかったことはないけど、Flashとかを埋め込んだ文書の作成や閲覧ができるらしいよ。

83:名無しさん＠お腹いっぱい。
10/01/10 13:45:20
Malware Archive (8080) Rev2
URLﾘﾝｸ(www.dotup.org)
PASS:virus

84:名無しさん＠お腹いっぱい。
10/01/10 13:48:08
制限ユーザで常用していても感染しますか？
ソフトウェア制限のポリシーで実行可能パスをデフォルトの最小限枠に絞っていても感染しますか？

と訊かれたのですが何の事ですか？

85:名無しさん＠お腹いっぱい。
10/01/10 13:51:26
わからないならわからないって答えればいいだけじゃないの

86:名無しさん＠お腹いっぱい。
10/01/10 14:05:21
>>83　乙
もう亜種が出るのか・・・
avast!に提出しておいた

87:86
10/01/10 14:40:07
向こうのスレと提出が重複してるな
次から自分は控えとくか

88:名無しさん＠お腹いっぱい。
10/01/10 14:45:14
提出が重複してても無問題。
検体を沢山送って早く対応してくれれば。

89:名無しさん＠お腹いっぱい。
10/01/10 14:52:52
>>88
いや、向こうのスレのテンプレで
多重送付を避けるとなっているからな
実際ベンダーの迷惑になりかねないだろ

90:名無しさん＠お腹いっぱい。
10/01/10 14:58:01
多重送付といってもガンブラーに限っていえば10人もいないだろｗ

91:名無しさん＠お腹いっぱい。
10/01/10 15:01:00
>>89
被ってすまぬ〜。
俺、平日は 2ch 監視してる時間無いから引っ込むわ。
あとよろ。

92:名無しさん＠お腹いっぱい。
10/01/10 15:03:07
>>89
被っても問題ないだろ
数をこなさないと対応してくれないだろ

93:名無しさん＠お腹いっぱい。
10/01/10 15:05:35
>>91
向こうに報告しないで勝手にやってた自分が悪い
提出したら向こうに報告するよ

94:名無しさん＠お腹いっぱい。
10/01/10 15:12:37
>>88
1つの検体を多数送っても無意味だろ
多数の検体を送るならまだしも

95:名無しさん＠お腹いっぱい。
10/01/10 15:33:55
Gumblar撒いてる危険なドメイン
URLﾘﾝｸ(*.thechocolateweb.ru*)<)
URLﾘﾝｸ(*.suesite.ru*)<)
URLﾘﾝｸ(*.theatticsale.ru*)<)
URLﾘﾝｸ(*.lagworld.ru*)<)
URLﾘﾝｸ(*.ampsguide.ru*)<)
URLﾘﾝｸ(*.webnetenglish.ru*)<)
URLﾘﾝｸ(*.thelaceweb.ru*)
まだまだありそう

96:名無しさん＠お腹いっぱい。
10/01/10 15:35:42
つーか、ロシアのサイトなんか普通見に行かないんだから、
.ru:8080/か.ru/を丸ごとブロックで十分じゃね

97:名無しさん＠お腹いっぱい。
10/01/10 15:36:04
*.ruでおkだろ・・・

98:名無しさん＠お腹いっぱい。
10/01/10 15:38:07
それがウイルス撒いてる狙いかもしれない


99:名無しさん＠お腹いっぱい。
10/01/10 15:39:21
>>98
botnetの構築

100:名無しさん＠お腹いっぱい。
10/01/10 16:10:04
>>99
なるほどー
深いな

101:名無しさん＠お腹いっぱい。
10/01/10 16:14:45
愛機がボットに使われるのは嫌だな
暇だから目についたURL片っ端から踏んでるけど

102:名無しさん＠お腹いっぱい。
10/01/10 16:39:52
兎に角鎖国は損だから

103:名無しさん＠お腹いっぱい。
10/01/10 16:50:15
README死ぬほどワロス

104:名無しさん＠お腹いっぱい。
10/01/10 16:53:10
>>103
何のREADME？

105:名無しさん＠お腹いっぱい。
10/01/10 17:02:08
ミーコ先生の学級新聞じゃね

106:名無しさん＠お腹いっぱい。
10/01/10 17:10:42
>>99
irc@2chでもbot作ろうとした人が鯖管に警告受けてたなあ･･･。

107:名無しさん＠お腹いっぱい。
10/01/10 17:11:37
×bot作ろうとした　○botnet作ろうとした
間違えた･･･。

108:名無しさん＠お腹いっぱい。
10/01/10 17:14:35
>>106
irc@2chをBotnetの拠点にしたのかｗｗ

109:名無しさん＠お腹いっぱい。
10/01/10 17:17:50
>>106
何の鯖管？

110:名無しさん＠お腹いっぱい。
10/01/10 17:24:31
ここのサイトも？？？

URLﾘﾝｸ(www.goodroom.co.jp)

111:名無しさん＠お腹いっぱい。
10/01/10 17:36:10
>>110
感染してない

112:名無しさん＠お腹いっぱい。
10/01/10 17:39:13
嘘だっ！

113:名無しさん＠お腹いっぱい。
10/01/10 17:39:42
宣伝おつ


114:名無しさん＠お腹いっぱい。
10/01/10 17:41:06
URLﾘﾝｸ(labaulebeach)<)・com/


115:名無しさん＠お腹いっぱい。
10/01/10 17:48:27
>>114
/*LGPL*/

116:名無しさん＠お腹いっぱい。
10/01/10 17:49:40
>>114
URLﾘﾝｸ(www.virustotal.com)
結果: 7/41 (17.08%)

リンク先はgoogleセーフブラウジングで攻撃サイト判定

117:名無しさん＠お腹いっぱい。
10/01/10 18:16:27
質問です。
古いWinXPを再インスコするとFlashの6が入っています。(WinXPSP1→SP3にした)
AdobeReaderなしのとき、これでもやられちゃいますか?



118:名無しさん＠お腹いっぱい。
10/01/10 18:28:08
AdobeReader,Java
どちらかが欠けていれば何もならない

119:名無しさん＠お腹いっぱい。
10/01/10 18:28:42
>>117
危険なところ行く前に、アドビに行って最新版入れればいいだけでしょ。

120:名無しさん＠お腹いっぱい。
10/01/10 18:30:37
ワロタｗ

121:名無しさん＠お腹いっぱい。
10/01/10 18:35:53
>>117
安全なPCからあらかじめ最新のインストーラをDLして
メディアに焼けばおｋじゃね

122:名無しさん＠お腹いっぱい。
10/01/10 18:37:16
>>118
残念ながら片方だけで感染する

今回狙われている脆弱性を持つプログラム
・Adobe Reader(未修正)
・Sun Java(脆弱性、いいえ仕様です)
・Microsoft InternetExplorer(最新版は影響無し)

123:名無しさん＠お腹いっぱい。
10/01/10 18:37:37
ガンプラXがおかしくなってきてるような希ガス

URLﾘﾝｸ(www)<)●hdd1●ru/index●php＞＜/script＞

URLをエｎ(ry

124:名無しさん＠お腹いっぱい。
10/01/10 18:37:39
おまえらいい加減なこと言い過ぎ

125:117
10/01/10 18:38:46
利用者に渡すとき、管理者権限がないので最新版をインスコできないようにしてるんです。
「Adobeもflashいれてないからいいや」って思ってたら、WinXPに入っていたこと思い出して・・


126:名無しさん＠お腹いっぱい。
10/01/10 18:40:34
>>123
それはちょっと別のタイプだな

127:名無しさん＠お腹いっぱい。
10/01/10 18:44:34
>>122
kwsk

128:名無しさん＠お腹いっぱい。
10/01/10 18:45:57
LaBauleBeach　　　　　　　　　　　　
表示サイト
URLﾘﾝｸ(ala*aule*com*)
IPアドレス
82.165.98.36
逆引きホスト
kundenserver.de
検出体
Trojan-Downloader.JS.Agent.ewo

alabaule.com サーバの位置
国名 地域名 　都市名
GERMANY　Karlsruhe　Karlsruhe

129:名無しさん＠お腹いっぱい。
10/01/10 18:47:21
AdobeのReaderじゃなくてAcrobatの方は問題ない？

130:名無しさん＠お腹いっぱい。
10/01/10 18:48:44
>>125
渡す前にできないの？

131:名無しさん＠お腹いっぱい。
10/01/10 18:49:48
>>129
あるよ

>>127
セットで動いてるわけじゃないからね

132:117
10/01/10 18:49:58
>>125
>Adobeもflash
どっちもadobeだよねorz
正しくは「Adobe RedaerもAdobe Flash」
だな


133:名無しさん＠お腹いっぱい。
10/01/10 18:51:29
>>131
駄目なのか
javaもreaderも入れてないからセーフかななんて期待してしまった

134:名無しさん＠お腹いっぱい。
10/01/10 18:52:08 BE:1609363788-PLT(12031)
URLﾘﾝｸ(genochk.crz.jp)　（安全）
更新するたびに毎回コードが変わるね


135:117
10/01/10 18:53:13
>>130
あさってくらいリリースのやつ入れて渡したとしても次のヤツを入れられない。
いっそ削除できればいいな。
Webサイト見せたくないけど見るのに使われてもらっちまうよりはいい。
「このパソで見るもんじゃない。だから絵は動かないんだ」で通る。


136:名無しさん＠お腹いっぱい。
10/01/10 18:53:59
Foxit Readerは危険性ないのかしら。

137:名無しさん＠お腹いっぱい。
10/01/10 18:54:23
>136
FoxitにもJavaScriptが搭載されてる件

138:名無しさん＠お腹いっぱい。
10/01/10 18:56:36
>>137
それは知ってるけど、脆弱性は無いのかな？ってことなんだけど。

139:117
10/01/10 19:01:38
>>137
のあさってリリースってReaderだけですね。
だめだ、社内のReaderとFlash他の更新作業でマジつかれてる・・(泣


140:名無しさん＠お腹いっぱい。
10/01/10 19:03:47
>>139
flashのアンインストーラーで消せなかったっけ？

141:名無しさん＠お腹いっぱい。
10/01/10 19:09:12
>>138
Foxitにもかなり以前から放置されている脆弱性があるよ。
adobeと同じかどうかは知らないが。

142:名無しさん＠お腹いっぱい。
10/01/10 19:13:59 BE:377195235-PLT(12031)
GoogleDocsに上げて画像で見るのが一番安全

143:117
10/01/10 19:14:35
>>140
>flashのアンインストーラーで消せなかったっけ？

ありがとう!
削除できました!!




144:名無しさん＠お腹いっぱい。
10/01/10 19:23:07
>>117に管理を任せている企業は頭がおかしい

145:名無しさん＠お腹いっぱい。
10/01/10 19:30:30
たしかにw

146:名無しさん＠お腹いっぱい。
10/01/10 19:35:03
そして動画サイトが見れなくなった社員がFlashをいれたりするんですね

147:名無しさん＠お腹いっぱい。
10/01/10 19:36:08
>>144
正論過ぎてワロタw

148:117
10/01/10 19:52:22
業務システム用PCだお。
普通のPCには、Flashいれてるお。

なぜか、「IEのWebインタフェースのシステム=インターネット使うもの」思い込んでるのがいて、
わざわざ「(IEの)ホームページをYahooにする」とか「自分のPCを使わないでWebサイト見ようとする」のがいる。


149:名無しさん＠お腹いっぱい。
10/01/10 19:55:54
なにいってるかわからねー、ゆとりなもんでｗ

150:名無しさん＠お腹いっぱい。
10/01/10 19:58:04
>>148
ここでする話じゃないから
URLﾘﾝｸ(pc11.2ch.net)
こっちの適当なスレで聞けよw

151:名無しさん＠お腹いっぱい。
10/01/10 19:58:14
>>148
Vipperカエレ

152:名無しさん＠お腹いっぱい。
10/01/10 20:04:26
>>117の人気に嫉妬

153:117
10/01/10 20:05:01
すんませんでした・・・。

154:名無しさん＠お腹いっぱい。
10/01/10 20:05:11
>>135
システム管理者レベルでパソはないだろ・・・
古いのはよくわからんけど6はアンインストールできないの？

155:名無しさん＠お腹いっぱい。
10/01/10 20:05:52
>>154
ごめんリロードしてなかった

156:名無しさん＠お腹いっぱい。
10/01/10 20:07:26
>>148はVIP関連のまとめブログ読んでるだけだろ

157:名無しさん＠お腹いっぱい。
10/01/10 20:11:00
フルボッコ（´・ω・） ｶﾜｲｿｽ

158:117
10/01/10 20:19:54
>>153はオイラじゃないといっておく。
>>154
人手がたりないから何でもやります。
>>140の教えてくれたとおおり、adobeのサイトからアンインストーラ落としてきて
削除できました。

159:名無しさん＠お腹いっぱい。
10/01/10 20:24:35
マジな話だが、語尾の"お"って痛い奴の典型なので止めた方がいいよ

160:117
10/01/10 20:26:18
マジな話だが､語尾の"お"って痛い奴の典型なので止めた方がいいよ（キリッ

だっておwwwww

161:名無しさん＠お腹いっぱい。
10/01/10 20:26:22
わかったお

162:名無しさん＠お腹いっぱい。
10/01/10 20:28:02
何このスレ酷い

163:117
10/01/10 20:29:15
>>159
ありがと。

Readerだけ更新する手間(新版がでたらもう一回入れなおす)とFlashも一緒に更新する手間も大して変わらないので
一緒に更新してます。


164:名無しさん＠お腹いっぱい。
10/01/10 20:29:18
いつものことだお

165:名無しさん＠お腹いっぱい。
10/01/10 20:33:17
だぬ

166:117
10/01/10 20:46:26
お前ら、よくぞ釣られてくれた
褒美に感染する権利をやろう

167:117
10/01/10 20:55:37
今回の改竄騒ぎで、被害会社・マスコミ各社が「Gumblar亜種」とかいてくれたんで
社内にウイルス対策ソフトだけじゃダメ。Adobe ReaderとFlashの更新が必要ということが認知された。
「やばそうなソフトもいっしょに更新または削除しろ」という判断になった。
ソフト自動配布ソフト買う話ができるようになった。


168:117
10/01/10 20:57:50
>>166はオイラじゃないよ。


169:名無しさん＠お腹いっぱい。
10/01/10 20:58:35
もうどうでもいいよ

170:名無しさん＠お腹いっぱい。
10/01/10 21:05:44
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
ｽﾚﾘﾝｸ(sec板)

ESETがJS/TrojanDownloader.Agent.NRL トロイの木馬　検出して
前スレ開くと接続が遮断されるんだけどなんですかねこれ

171:名無しさん＠お腹いっぱい。
10/01/10 21:07:44
コード貼られてるとか？かな

172:名無しさん＠お腹いっぱい。
10/01/10 21:07:55
>>168
不安ならオンラインスキャンも追加しとけよ。
URLﾘﾝｸ(lhsp.s206.xrea.com)
URLﾘﾝｸ(mangakakouze.com)

173:名無しさん＠お腹いっぱい。
10/01/10 21:11:03
>>172
感染サイトなので注意

174:名無しさん＠お腹いっぱい。
10/01/10 21:40:00
もう誰も信じられない

175:名無しさん＠お腹いっぱい。
10/01/10 21:45:31
GENOウイルススレ　★23
ｽﾚﾘﾝｸ(sec板:675番)

これわかる方おられます？

176:名無しさん＠お腹いっぱい。
10/01/10 22:17:55
>>170
うちのESETは何も言わないけど・・・

177:117
10/01/10 22:23:46
>>175
URLを具体的に

178:名無しさん＠お腹いっぱい。
10/01/10 22:59:10
ノートンでC:\Documents and Settings\[ユーザー名]\Local Settings\Temp\plugtmp-1
にplugin-changelog.pdfがbloodhound.pdf.5に感染してるとヒューリスティック検出。
言われてる更新は全部最新なんだけど、どこでもらったのかまったく記憶がない。
ダウンロードはされたけど、発動しなかったってことなんだろうか？

しかも友達にガンブラー流行ってるよって言われて、
ノートン以外でスキャンしてみようと、トレンドマイクロのオンラインスキャンをやってる最中に
ノートンのAuto-Protectが働いて上のパスから検出したというのがわからない。
一応感染してるかどうかのレジストリ等の確認では感染はしてないみたいなんだけど…。
再インストールしたほうがいいのかなぁ

179:名無しさん＠お腹いっぱい。
10/01/10 23:04:27
　　　　　　＼　　　　　　　ヽ 　 　 　 　 　 |　　　　　　 　/　　　　　　　　／
　　　　　　　　　 ＼　　 　 　ヽ　　　　　　　 　 　 　 　/　　　　　　／
‐､、　 　 　 　 　殺　伐　と　し　た　ス　レ　に　鳥　取　県　が　！　！　 　 　 _,,−''
　　｀−､、　　　　　　　　　　　　　　　　　　__／＼ 　　 　 　 　 　 _,,−''
　 　　　　｀−､、　　　　　　　　　　　　　 _|　　　 `〜┐ 　 　 　 　 _,,−''
　　　　　　　　 　　　　　　　　　　　　　_ノ　　　　　　 ∫
　　　　　　　　　　　　　　　　　　＿,.〜’　　　　　　　　/
────‐　　　　　,「~　　　　　　　　　　 　 ﾉ　 　 ────‐
　　　　　　　　　　　　　　　,/　　　　　　　　　　　　　 ｀￣7
　　　　　　　　　　 　 　 　｜　　　　　島　根　県　　　 　/
　　　　　　 　 　 _,,−'　　　~`⌒^7　　　　　　　　　　　 /　　 　｀−､、
　 　 　 　 _,,−'' 　 　 　 　 　　 丿　　　　　　　　　　　 ＼, 　 　 　｀−､、
　,'´＼　　　　　　 　 　 ／　　_７　　　　　　 ／`⌒ーへ＿,._⊃　　　　　　　　　／｀i
　!　 　＼　　　　 　 _,,-┐ 　　 ＼　　　 ＿,.,ﾉ　 　 　　　　　 ｒ‐-､、　　　 　 ／　 　!
　ﾞ、　　　｀ー--＜´ 　 / 　　　　 Ｌ. ,〜’ 　 　 　　　　　　　 ﾞ、　　＞−一'′ 　　,'
　　y'　　U 　 　 　｀ヽ/ 　 　 / 　　　　　　　　　　　ヽ 　　　 　ヽ '´　　　　　U　 　ｲ
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　＿＿＿＿
　　　　　　　　 /　　　　　 ＿＿　　　　　 　 |　　　　　　 ＼＿＿＿＿＼
　　　 ＿＿＿/＿＿　/￣　　　　＿＿＿＿|＿＿＿＿ ＼ ＼＿＿＿＿＼
　　　 　　 ／/ヽ　　 /＿＿＿ 　 　 　 　 ／|＼　　　　　　 ＼ ＼＿＿＿＿＼
　　　　 ／　/　ヽ　 /　/＿＿　　　　　／　 |　 ＼　　　　　　 ＼＿＿＿＿＿＿＿
　　　／　　/　　 ／ ／　　　/ 　 　 ／ 　　 | 　　 ＼　　　　　 　 　 |　 　 ＼
　 ／　　　/　 ／ ／　 ＿／ 　 __／　 　 　 |　 　 　 ＼__　　　　　　|　　　　 ＼　￣―＿

180:名無しさん＠お腹いっぱい。
10/01/10 23:08:32
ルートキットスキャンが、あまりにも重いので
カスペ2010をアンスコしていたが

今回の騒動でまたインスコしました
ルートキットは修正されたのか
ずいぶんとキビキビ軽くなった

ホモとかメタボとか、おやじを馬鹿にしていたが
カスペがやはり一番信用できるにゃ


181:名無しさん＠お腹いっぱい。
10/01/10 23:24:40
>>178
トレンドマイクロのオンラインスキャンがそのファイルにアクセス→
ノートンがファイルアクセスに反応してリアルタイムスキャン→
ウイルス検出という流れかな
PDFをDLしたときの定義ファイルでは検出できなかったんだろう

ウイルス感染したかはわからん
心配ならOS入れなおしが安全安心楽ちん

182:腰抜け
10/01/10 23:34:06
【Geno.Checker2 rev80】
URLﾘﾝｸ(genochk.crz.jp)
管理人殿＞
<script>function･･のやつも検知できるようにして欲しいのです。
ソースは↓でググれば大量ヒットするはず
"<script>function" "return String.fromCharCode(c);" "getElementById("


183:名無しさん＠お腹いっぱい。
10/01/10 23:43:02 BE:1005852285-PLT(12031)
>>182
なるほど、やってみます

---

次ページ

最新レス表示

スレッドの検索

類似スレ一覧

話題のニュース

おまかせリスト

▼オプションを表示

レスジャンプ

mixiチェック！

Twitterに投稿

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch

---

5191日前に更新/222 KB
担当:undef