【Gumblar/GENO】Web改竄ウイルス総合スレ8【8080】
at SEC
1:名無しさん@お腹いっぱい。
10/04/21 03:14:22
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ7【8080】
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
10/04/21 03:15:14
Gumblar(.x)、8080系ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
3:名無しさん@お腹いっぱい。
10/04/21 03:17:03
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows XPは可能ならば新しいOSに
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
URLリンク(get.adobe.com)
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
URLリンク(get.adobe.com)
URLリンク(www.adobe.com)
・Flash Playerのバージョン確認
URLリンク(www.adobe.com)
URLリンク(www.adobe.com)
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
URLリンク(www.adobe.com)
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
URLリンク(www.java.com)
・Javaのバージョン確認
URLリンク(www.java.com)
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
URLリンク(www.apple.com)
■ RealPlayerを更新 (使っていないならアンインストール)
URLリンク(jp.real.com)
4:名無しさん@お腹いっぱい。
10/04/21 03:18:26
ブラウザのjavascriptを無効にする(しっかり対策してれば不要だが、念のためjavascriptはOFFを推奨)
※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります
●InternetExplorer ツール→インターネットオプション→セキュリティ→
レベルのカスタマイズ→スクリプトのとこ全部無効にチェック
※ActiveXもOFF
●Opera ツール→クイック設定→「javascriptを有効にする」のチェックを外す
●safari 編集→設定→「JavaScriptを有効にする」のチェックを外す
●Sleipnir ツール→Sleipnirのオプション→ビュー(Trident)→
デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す
●Lunascape ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す
※SP3でIE8を使うと重くなる場合、Sleipnir&IE8Sleipnirエディション
もしくはLunascape5を使うといいようです。
●Firefox ツール→オプション→コンテンツでJavaScript有効にするをはずす
5:名無しさん@お腹いっぱい。
10/04/21 03:19:19
ブラウザ個別のプラグイン・アドオン等の使い方に関しては各ブラウザのスレへ行って下さい。
【改ざんサイトの調査など】
■ チェッカーサイト
・gredでチェック
URLリンク(www.gred.jp)
・aguse
URLリンク(www.aguse.net)
・WebGetter
URLリンク(rd.or.tp)
・Dan's View Source
URLリンク(www.dan.co.uk)
・飛び先のチェック by ぴょん基地の友達
URLリンク(www.kakiko.com)
6:名無しさん@お腹いっぱい。
10/04/21 03:22:20
■ 専ブラで右クリからの検索を有効にする方法。
設定例:JaneView
設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
URLリンク(www.geocities.jp)
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
aguse.net サイト情報検索=URLリンク(www.aguse.net)
飛び先のチェック=URLリンク(www.kakiko.com)
WebGetterでソースを見る=URLリンク(rd.or.tp)
WebGetterでタグを除去してソースを見る=URLリンク(rd.or.tp)
WebGetterでリンクを抽出する=URLリンク(rd.or.tp)
Dan's View Sourcelでソースを見る=URLリンク(www.dan.co.uk)
Dr.WEB=URLリンク(online.drweb.com)
7:名無しさん@お腹いっぱい。
10/04/21 03:49:11
改竄を確認して通報する場合、サイト管理者への通報とともにJPCERT/CCに届出もお願いします。
■インシデント報告の届出(JPCERT/CC)
URLリンク(www.jpcert.or.jp)
サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。
以下、代表的なサーバー管理会社
デジロック URLリンク(www.value-domain.com)
OCN URLリンク(www.ocn.ne.jp)
さくら URLリンク(secure.sakura.ad.jp)
ロリポップ URLリンク(lolipop.jp)
GMOインターネットグループ URLリンク(secure.gmo.jp)
インフォシーク (isweb) URLリンク(portal.faq.rakuten.co.jp)
DION URLリンク(www.auone-net.jp)
NTTPCコミュニケーションズ URLリンク(www.nttpc.ne.jp)
ODN URLリンク(www.odn.ne.jp)
xserver (株式会社ベット) URLリンク(www.xserver.ne.jp)
heteml ヘテムル URLリンク(secure.heteml.jp)
ファーストサーバ URLリンク(www.firstserver.co.jp)
エキサイト URLリンク(www.excite.co.jp)
8:名無しさん@お腹いっぱい。
10/04/21 04:06:35
改竄を受けたら
ウイルス・不正アクセス届出状況について(3月分および第1四半期)
URLリンク(www.ipa.go.jp)
(3)ウェブサイト改ざんの被害発生時の対処
ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。
被害の拡大を防ぐために、次に示すような対応が求められます。
▼まず初めに行うべきこと
まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。
このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。
同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。
▼改ざん箇所の洗い出し等の調査
上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。
また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。
また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。
▼ウェブサイトを再公開する場合
上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
改ざんの事実の説明
・ 改ざんされていた箇所
・ 改ざんされていた期間
・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害(ウイルス感染など)の説明
・ ウイルスのチェック方法の説明(必要に応じてオンラインスキャンサイトの紹介など)
・ 問い合わせ用窓口の連絡先
IPAに不正アクセスの届出
URLリンク(www.ipa.go.jp)
9:名無しさん@お腹いっぱい。
10/04/21 04:10:59
関連情報
LAC セキュリティアラート
【注意喚起】Gumblar(ガンブラー)ウイルスによる新たなホームページ改ざん被害を確認
URLリンク(www.lac.co.jp)
> 株式会社ラックでは、Apacheの設定ファイルである「.htaccess」の不正アップロードを行うGumblarウイルスの活動を複数サイトにおいて確認しました。
ニュース・リリース|アンチウイルス・アンチウイルスソフトの【 カスペルスキー 】
Gumblar 亜種に続く、Pegel 対策に関する留意点
URLリンク(www.kaspersky.co.jp)
> 感染が確認された場合は、対策として OS の再インストールをお勧めします。
セキュリティ通信
サイト改ざん猛威:感染パソコンの修復は「OSの再インストール」が近道
URLリンク(www.so-net.ne.jp)
サイト改ざん(1)「告知せず」で感染拡大の恐れ〜負の連鎖を断ち切るために
URLリンク(www.so-net.ne.jp)
「ガンブラー」「サイト改ざん」めぐる基本のQ&A 〜 何が起きている? 対策は?
URLリンク(www.so-net.ne.jp)
10:名無しさん@お腹いっぱい。
10/04/21 10:03:02
┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─
┌─┌─小野寺です。〓MS Japan Security Team〓┌─┌─┌─┌─┌─┌─
URLリンク(internet.watch.impress.co.jp)
国/地域ごとのマルウェア感染率。(Microsoft Security Intelligence Reportより)
日本は最も感染率が低い(緑色)が、依然として感染率が高い地域(赤色)も多い。
URLリンク(internet.watch.impress.co.jp)
┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─
下記の図は、2009 年上半期における、8 地域での異なる種類のマルウェアと迷惑
ソフトウェアである可能のあるものの相対的な蔓延を表しています。
(それぞれの期間中に 2 種類以上の脅威が削除されるコンピューターも存在するため、
それぞれの地域における感染率の合計が 100 パーセントを超える場合があります。)
この図で使用されている項目の説明は、マイクロソフト セキュリティ インテリジェンス
レポート 第 7 版40 ページをご覧ください。
いとかしこ
URLリンク(img.microsoft.com)
┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─
┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─┌─
11:名無しさん@お腹いっぱい。
10/04/21 16:48:28
たまたま見つけた感染サイト。
Gumblarの方も元気ですね。
www●putto24●com
12:名無しさん@お腹いっぱい。
10/04/21 20:28:32
結局のところWindows使わなければ問題なし?
13:名無しさん@お腹いっぱい。
10/04/21 20:58:18
断定はできないがその可能性は高いな
14:名無しさん@お腹いっぱい。
10/04/22 00:53:07
アドレスバーに"res://ieframe.dll/"の表示のとき、 Gumblarはあなたの個人情報を狙ってる
15:名無しさん@お腹いっぱい。
10/04/22 05:18:04
よくわからんけどURLブロックに追加してみる俺
16:名無しさん@お腹いっぱい。
10/04/22 08:28:17
www.terminalstudio.com/dask-castle-3d.shtml
↑のサイトavastがトロイの木馬発見してブロックしたけど、表示しただけで感染するの?
17:名無しさん@お腹いっぱい。
10/04/22 10:32:26
>>16
>>1嫁
スクリプトではなくトロイってことはすでに何かDLしてるんじゃね
他の何かに感染してる可能性も否めない
18:名無しさん@お腹いっぱい。
10/04/22 10:45:39
VirusTotalにhtmlぶちこんだ
URLリンク(www.virustotal.com)
19:コテハン ◆8080adndqg
10/04/22 13:28:22
>>16
ソースの最後に
<script>function eIGJJlOJ(・・・・・
8080とはちょっと違うタイプのやつ
20:名無しさん@お腹いっぱい。
10/04/22 14:36:01
>>16
tapiroten■info/lin.cgi?jzo
繋がらない
21:名無しさん@お腹いっぱい。
10/04/22 18:14:16
>>16
Gumblar.Xの亜種とかだな多分
多分だけど
22:名無しさん@お腹いっぱい。
10/04/22 18:17:19
functionがちょっと多いな。珍しい。
23:コテハン ◆8080adndqg
10/04/22 19:42:12
前々スレあたりから話題になってた
URLリンク(8.pro.tok2.com)
>【最低最悪のsecurity toolに関して】は削除しました。
>連日,相当 多数の皆さんが このページの駆除方法で security toolを駆除され,
>再び 元通りにパソコンを使用出来たにも関わらず
>ほとんどの皆さんから 何の喜びのメッセージをいただけませんでした。
>よって このページは削除しました。
>security toolの駆除方法を知りたい人は メールをください。
このジジイの上から目線は何とかならんのか?
24:名無しさん@お腹いっぱい。
10/04/22 19:49:13
SecurityToolsなんざ他のサイトでも散々既出だから放っとけ
25:名無しさん@お腹いっぱい。
10/04/22 19:49:17
>>23
やれやれ…
URLリンク(okwave.jp)
で自サイトの宣伝までしてらぁw
ググりゃ削除方法ぐらいいくらでも出て来るのに、メール出すやつがいるのかねぇ?
26:名無しさん@お腹いっぱい。
10/04/22 19:58:13
2チャンネルらしくなってきたな
放っておけばいいのに
27:名無しさん@お腹いっぱい。
10/04/22 20:01:46
>>23
ググって10番目以内にいるならそのページを見て駆除したってやつもいるかもしれんが…
さすがに自意識過剰すぎてキモいな
28:名無しさん@お腹いっぱい。
10/04/22 20:12:33
そんなの全くの自由だろ
おまえらのがキモいよ
つうか気違いだろお前
29:名無しさん@お腹いっぱい。
10/04/22 20:15:48
長岡乙www
30:名無しさん@お腹いっぱい。
10/04/22 20:16:48
喜びのメッセージわろた
31:名無しさん@お腹いっぱい。
10/04/22 22:19:44
証明書のエラー 接続の傍受
32:名無しさん@お腹いっぱい。
10/04/23 00:22:52
URLリンク(www.aguse.jp)
ここにある8080って大丈夫ですか?
Adblock Plusで8080ブロックしてるフィルタに引っかかったのですが
aguseだとウイルスじゃないようです
外部と接続するオブジェクトが青く表示されているので気になります
33:コテハン ◆8080adndqg
10/04/23 01:54:31
>>32
アクセス解析
34:名無しさん@お腹いっぱい。
10/04/23 03:36:26
【陥落サイトのURL悪用厳禁】
www●idem-home●co●jp
既出だったらごめんよ
she3ah●110mb●com
<script>tmp="22111122211122112111212221…
1と2がだらだらと…こんなスクリプトあったのね
35:名無しさん@お腹いっぱい。
10/04/23 08:01:03
>>33
thx
フィルタに初めて引っかかったので
心配だったが安心したよ
36:名無しさん@お腹いっぱい。
10/04/23 08:13:59
71 :ぼるじょあ ◆yBEncckFOU :2010/04/19(月) 11:00:52
(・3・) エェー お前ら またガンプラーが流行ってるYO
URLリンク(www.asahi.com)
72 :ぼるじょあ ◆yBEncckFOU :2010/04/19(月) 15:42:03
>>71
(・3・) 〜♪
Mac OS Xに脆弱性、Appleがセキュリティアップデート公開
URLリンク(itpro.nikkeibp.co.jp)
37:コテハン ◆8080adndqg
10/04/23 13:12:04
先生のキャッシュで捕捉したが・・・新コードがきてるっぽい
【陥落サイトのURL悪用厳禁】
74●125●153●132/search?q=cache:-syKPJt7YlAJ:www●mimi-navi●net/
↓
theultimateweb●info:
以前の.substr多発型に似てるからスルーしそうになったorz
38:名無しさん@お腹いっぱい。
10/04/23 13:29:52
前スレ使い切ろうよ
39:コテハン ◆8080adndqg
10/04/23 13:30:23
"unescape;var"のヒット数が激減してると思ったら
%68%74%74%70%3a%2f%2f%66 ←このタイプも微妙に変化してるし・・・
【陥落サイトのURL悪用厳禁】
win●amyou●net ←絶賛放置中
40:名無しさん@お腹いっぱい。
10/04/23 15:24:32
どうでもいいけどpegelって既にvまであるのね
giddeon●com
>>39
質問、このスクリプトは既出?
"false;var" "function" "new Date();" "String.prototype"
・URLリンク(www.virustotal.com)
・URLリンク(www.virustotal.com)
> "unescape;var"のヒット数が激減
['unescape'];varはあちこちで見掛けるけどね
41:名無しさん@お腹いっぱい。
10/04/23 16:31:58
2週間位前からFirefoxが下記の様な怪しいサイトに時々勝手に繋がりexeをダウンロードさせようとするんだけど、
これってGumblarなのかな?
URLリンク(para-site.net)
URLリンク(para-site.net)
セキュリティ対策として使ってるのはAvira Security SuiteとMalwarebytes'とSUPERAntiSpywareで
何度かスキャンを掛けると様々なトロイが検出され、知らずに感染してる症状が一向に改善されない
手持ちのセキュソフトじゃダメかと思いF-SecureとSymantecでオンラインスキャンも試してみました
(F-Secureでトロイが2つ、Symantecは検出0)
けど、ついさっきも上記の怪しいサイトに勝手に移動された
それとWindows Updateでエラーが出て更新出来ないんだけど、これもGumblarのせいなのだろうか?[エラー番号: 0x80072EFE]
0x80072EFEでググってWindowsFWだけ有効にとか色々試してるんだけど、エラー0x80072EFEのままUpdate出来ない状態です
誰か有効な方法を教えて下さい、OSはXP SP3でIEはIE7、デフォルトブラウザはFirefox3.6.2です
42:名無しさん@お腹いっぱい。
10/04/23 16:36:16
クリーンインストールが手っ取り早い。
あと、スレチかと。
43:名無しさん@お腹いっぱい。
10/04/23 17:31:10
>>41
なんでもかんでもGumblarのせいにしないでくれ
お前のはもっといろんなもんに感染してる
そのPC1年以上調子悪いだろ
スレ違いだが説明しないとケーブル抜いてくれない気がする
ブラウザが半端に古いのも気になる
OSの更新やセキュリティ対策ソフトの動きを抑止するのはウイルスの常套手段
しかしそれ以前にそのPCはいろいろ感染しすぎてどうしようもない状態
システムファイルも書き換えられているだろうしその状態から元に戻すのは困難というかおそらく無理
諦めてOS入れなおせ
ただ、今ネットに接続していること自体が迷惑なのでケーブルを抜いてくださいおねがいします
OSを入れなおす時も新しいセキュリティ対策ソフトをインストールするまではケーブルは抜いたまま
OSの更新は自動にしとけ
無料のセキュリティ対策ソフトは自分でなんとかできる人用であって
そうじゃない人はきちんと購入した方が良い
DownadupってことはUSBメモリも感染してる可能性が高い
そのPCで使用したUSBメモリを他のPCにも使用しているならそっちもやられてるかもしれん
44:名無しさん@お腹いっぱい。
10/04/23 19:37:28
>>16
Avira
TR/Dldr.Shadraem.A.27
7.10.06.194で対応
45:名無しさん@お腹いっぱい。
10/04/23 20:26:44
>>41
もうリカバリした方いいよそれ
46:名無しさん@お腹いっぱい。
10/04/23 23:45:58
>>34
www●idem-home●co●jp
電凸完了
>>39
win●amyou●net
電凸完了
47:オルティス・ジャパン
10/04/23 23:49:42
出時ロックは氏ねばいいと思う
48:名無しさん@お腹いっぱい。
10/04/24 05:31:13
前スレ使いきってください
49:名無しさん@お腹いっぱい。
10/04/24 15:43:39
KatesKiller
URLリンク(support.kaspersky.co.jp)
50:名無しさん@お腹いっぱい。
10/04/24 22:53:19
www●sakiko●jp
電凸完了
51:コテハン ◆8080adndqg
10/04/24 23:00:12
>>40 亀レススマソ
8080発掘中に遭遇したことはあるけど、海外のやつは絶賛スルー中なのです。
【陥落サイトのURL悪用厳禁】
www●asianmotors●co●jp/ ←アクセス注意!
いつのまにかコードが整理されてて・・・
一番下の<script>function c12174138951n4bc351d711cc6〜〜
もう勘弁して...
52:名無しさん@お腹いっぱい。
10/04/25 00:42:06
>>51
こちらの環境では1371行まででその記述が見当たらないぽ。
53:名無しさん@お腹いっぱい。
10/04/25 01:22:58
>>46
>>50
乙です
>>51
レスありがと、こちらも不躾ですまない
asianmotorsのスクリプトは消えてるみたいね、上書きしたかな?
> function pde63eee4〜
> function jIxnUrxy(){if〜
そういえば最近やたらとこのタイプに引っ掛かる
【陥落サイトのURL悪用厳禁】
winbet●tonosama●jp :JS.Shadraem VT 02/41
nihon-support●jp :スクリプトが中途半端だけど念の為
54:名無しさん@お腹いっぱい。
10/04/25 02:07:03
>>53
上、醤油が化けちゃってわかんね。。。orz.....
下、Last-Modified: Wed, 21 Apr 2010 01:01:15 GMT : /index.html
55:名無しさん@お腹いっぱい。
10/04/25 02:41:44
URLリンク(www.taguchiso.com)
URLリンク(winbet.tonosama.jp)<)
URLリンク(www.shinsei-fukushi.net)
URLリンク(www.nittoka.com)
URLリンク(www.1a.ad-jeaayf.com)
URLリンク(www.tu-han4.com)
URLリンク(www.daini-survey.com)
URLリンク(www.borneomarathon.com)
URLリンク(www.niaufuku.com)
URLリンク(kumarin.biz)
URLリンク(www.amakusaturigu.com)
URLリンク(www.hdta.jp)
URLリンク(giddeon.com)
URLリンク(amyou.net)
URLリンク(yamisyoku.info)
56:名無しさん@お腹いっぱい。
10/04/25 03:58:27
スレリンク(news板)
57:コテハン ◆8080adndqg
10/04/25 04:09:00
ドメインまちがえたにゃ/(^o^)\
誤:www●asianmotors●co●jp/
正:www●asianmotors●co●in/ ←アクセス注意
58:名無しさん@お腹いっぱい。
10/04/25 04:30:44
>>57
*CODE1*
Last-Modified: Tue, 27 Oct 2009 07:47:47 GMT : Scripts/AC_RunActiveContent.js
>>51のコードは「'+x1d+'」を抜いてHEXデコードしてURLデコード
59:名無しさん@お腹いっぱい。
10/04/25 14:47:08
どなたか教えてください。
・メールのhtmlプレビュー画面でGumblar(.x)、8080系に感染する恐れってありますか?またそういった感染報告はありますか?
・ファイアーウォールでポート8080を閉じることにより感染予防の効果はありますか?
60:名無しさん@お腹いっぱい。
10/04/25 15:15:05
>>59
> メールのhtmlプレビュー画面でGumblar(.x)、8080系に感染する恐れってありますか?
可能性はある。
これに限らずテキスト表示推奨。
> またそういった感染報告はありますか?
マカフィーサイトアドバイザでのgumblar.cnは一時期こんなのが出ていた。
> Our analysis found that this site may be promoted through spammy e-mail.
> ファイアーウォールでポート8080を閉じることにより感染予防の効果はありますか?
「8080系ウイルス」だけ、
Gumblar(.x)には通用しない。
61:名無しさん@お腹いっぱい。
10/04/25 15:19:17
>>60ちょい訂正
「8080系ウイルス」以外には通用しない。
62:名無しさん@お腹いっぱい。
10/04/25 15:29:07
芸能プロのケイダッシュのサイトが軒並みやられてるらしい。
オードリーの公式サイトとか
63:名無しさん@お腹いっぱい。
10/04/25 15:30:57
>>60
ありがとうございます。
ポート8080閉じることで8080系ウイルスの対策になるんですね。
64:名無しさん@お腹いっぱい。
10/04/25 15:32:51
>>63
>>2
>>62
にゃんと…
65:名無しさん@お腹いっぱい。
10/04/25 15:33:24
>>63
ほんとだ確認しました・・・
66:名無しさん@お腹いっぱい。
10/04/25 15:35:01
>>62
確認すた。
67:名無しさん@お腹いっぱい。
10/04/25 15:40:11
>>62
冗談だと思ったけれど・・・マジだった・・・
68:名無しさん@お腹いっぱい。
10/04/25 16:15:41
>>63
そんなことよりしっかり>>2を行いましょう
69:名無しさん@お腹いっぱい。
10/04/25 16:18:56
>>62のケイダッシュについて聞きたいんだけど
ウィルスと判断できるコードはソース最後のfunctionから始まるのでいいの?
ちょっとスレたてたいもので確認できる材料が欲しい。
70:名無しさん@お腹いっぱい。
10/04/25 16:21:29
>>69
それでいいけどそういうことは余計な混乱の元になるから半端に載せない方がいいよ
71:名無しさん@お腹いっぱい。
10/04/25 16:21:53
>>70
了解です
ありがとう
72:名無しさん@お腹いっぱい。
10/04/25 16:28:17
というかハッシュっぽい目印も含めて2行か
まあいいや
VirusTotal ただしこの結果だけでavastに乗り換えるというのは早計
URLリンク(www.virustotal.com)
73:名無しさん@お腹いっぱい。
10/04/25 16:34:31
>>72
スクリプトはDrWebは最近は一番だな
74:名無しさん@お腹いっぱい。
10/04/25 16:57:34
グーグル検索結果のケイダッシュ事務所HPアドレスに
マウスポインタ合わせてただけでavastさんが怒った
どうなってんだ
75:名無しさん@お腹いっぱい。
10/04/25 17:10:42
感染サイト踏んだんだけど感染確認方法ってありますか?
>>2は3以外しています
76:62
10/04/25 17:12:45
ちゃんと確認したらケイダッシュのサイト(kdash●jp)の全ページ?がやられてるのね。
オードリーのは公式サイトと言うよりは公式のプロフィールページのことですな。
ちなみに各タレントの公式サイト(別ドメインでのサイト)は大丈夫っぽい。
まだまだ猛威ふるってますねぇ。
というか、いい加減にHP製作会社はウイルス対策しろ。
77:名無しさん@お腹いっぱい。
10/04/25 17:17:22
>>74
俺はグーグルでケイダッシュを検索しただけでavastが怒りだしたわ
78:名無しさん@お腹いっぱい。
10/04/25 17:27:30
オードリースレに確認方法を書いてきた
79:名無しさん@お腹いっぱい。
10/04/25 17:42:34
>>75
ない
80:名無しさん@お腹いっぱい。
10/04/25 17:49:27
>>75
本当に最新かもう一度確認をしたほうがいい
81:名無しさん@お腹いっぱい。
10/04/25 17:53:19
>>77
俺もだ
接続を遮断したけど大丈夫なのかな?
82:名無しさん@お腹いっぱい。
10/04/25 18:02:52
>>80
MyJVN バージョンチェッカでは最新でした
83:62
10/04/25 18:05:01
元メジャーリーガー、現オリックスの田口の公式もやられてるらしい。
気を付けましょう。
84:名無しさん@お腹いっぱい。
10/04/25 18:48:21
ケイダッシュは、Google safe browsingでもMS SmartScreenでもスルーだな
だれか報告しよけよ
85:名無しさん@お腹いっぱい。
10/04/25 18:49:23
田口は、Google Safe browsingが怒り出した
けど、MS safe browsingはスルー
86:名無しさん@お腹いっぱい。
10/04/25 19:04:19
オードリーサイトメンテ中になってる
87:名無しさん@お腹いっぱい。
10/04/25 19:05:10
>>62
Last-Modified: Sun, 25 Apr 2010 09:18:06 GMT : /alert.html
> ただいまメンテナンス中です。
> ご迷惑をおかけしますが、もうしばらくお待ちください。
88:名無しさん@お腹いっぱい。
10/04/25 19:06:19
>>62
一時期、スターダスト?系のHPがやられていたり
なんとかはいりって人のHPがやられてたって聞いたけど
改善はされてるのか?こわくて近づけない。
89:名無しさん@お腹いっぱい。
10/04/25 19:17:55
>>88
後醍醐●netもやられてたお。
90:名無しさん@お腹いっぱい。
10/04/25 19:19:03
>>89補足
今は直ってるお。
91:名無しさん@お腹いっぱい。
10/04/25 20:01:47
>>5
亀レスですまないが
Gumblar/8080 Checker
URLリンク(ec2-204-236-148-61.us-west-1.compute.amazonaws.com)
ここもいれておくべきなのでは
92:コテハン ◆8080adndqg
10/04/25 20:07:08
>>74>>77>>81
ブラウザのリンク先読み機能を切ってください・・・なのです。
93:名無しさん@お腹いっぱい。
10/04/25 20:07:25
>>91
それってJaneのコマンドに追加するときはどうやって書いたらいいの?
94:名無しさん@お腹いっぱい。
10/04/25 20:27:27
>>92
サンクス
ちなみにスレチだがavastが切断を遮断したってことは感染してないよな?
95:名無しさん@お腹いっぱい。
10/04/25 20:29:26
>>94
切断を遮断したら接続しちゃうんじゃね?
96:名無しさん@お腹いっぱい。
10/04/25 20:34:22
>>92
ありがと
そんな機能あったんか
97:名無しさん@お腹いっぱい。
10/04/25 20:40:41
>>95
すまん接続を遮断だった
バカか俺はw
98:名無しさん@お腹いっぱい。
10/04/25 21:00:25
リンク先読みはキャッシュを保存してるだけじゃなかったかな
99:名無しさん@お腹いっぱい。
10/04/25 21:02:38
URLリンク(satupa)●syuriken●jp/
もしかしてかんせんしてる?
100:名無しさん@お腹いっぱい。
10/04/25 21:03:00
元気ブックもやられてる?
101:名無しさん@お腹いっぱい。
10/04/25 21:07:47
何で感染するんだよ
馬鹿じゃねえの
102:名無しさん@お腹いっぱい。
10/04/25 21:09:22
マジでなんで感染してるのか知りたい
使用してるセキュリティソフトとか
103:名無しさん@お腹いっぱい。
10/04/25 21:14:08
元気ブック改ざん受けてない?
104:名無しさん@お腹いっぱい。
10/04/25 21:23:11
これか
news●genki-book●jp/
avast反応した
105:名無しさん@お腹いっぱい。
10/04/25 21:31:24
>>104
aguseやgredで
google-analytics.com/urchin.js
floridaorigin.at:8080/google-ch/google.com/passport.net.php
出てきた
106:名無しさん@お腹いっぱい。
10/04/25 21:52:20
元気ブック 参考程度にしかならんけど
VirusTotal
URLリンク(www.virustotal.com)
107:名無しさん@お腹いっぱい。
10/04/26 01:00:01
オードリーの公式サイトがGENOウイルスに感染中
スレリンク(news板)
avira対応してる?
108:名無しさん@お腹いっぱい。
10/04/26 01:03:17
してない
109:名無しさん@お腹いっぱい。
10/04/26 01:04:52
してる
110:名無しさん@お腹いっぱい。
10/04/26 01:05:47
してますん
111:名無しさん@お腹いっぱい。
10/04/26 01:13:32
セキュ板の各アンチウイルススレって、なんでああも荒れてるの?
ゲハ脳みたい
112:名無しさん@お腹いっぱい。
10/04/26 01:19:54
荒らしてるのは数人だろ
同じ気違いがずっと騒いでるだけ
113:名無しさん@お腹いっぱい。
10/04/26 01:19:57
ID出ない分変なの居着きやすいんでしょ
NGワードで対処出来ないスレはハナから見ない、これで解決
114:コテハン ◆8080adndqg
10/04/26 11:48:39
【陥落サイトのURL悪用厳禁】
pre21●jp/
ソースの中央付近
</SCRIPT><SCRIPT>var t;if・・・(.at:)
※定位置(最下部)には.info:のやつ
otokudou●h01●jp ←<!--<script>-->で絶賛無効化中
115:名無しさん@お腹いっぱい。
10/04/26 14:21:39
朝日オート系列は何回感染してんだ
パスワード変えてないのか?
116:名無しさん@お腹いっぱい。
10/04/26 16:45:58
バスターの公式サイトがガンブラーで改ざんされたりしたら面白そうだな
過去にも一回やらかしてるだけにもう一回やらかしたらユーザー激減しそうw
117:名無しさん@お腹いっぱい。
10/04/26 17:28:20
それをネタとして流せないあたりが何とも
118:名無しさん@お腹いっぱい。
10/04/26 17:57:26
そういう面白いことはESETとかウィルスセキュリティにやってもらいたいんだが
119:名無しさん@お腹いっぱい。
10/04/26 19:28:13
改ざんならesetもやられたじゃん
120:名無しさん@お腹いっぱい。
10/04/26 19:34:47
なた低レベルなやつが増えてきたな
121:名無しさん@お腹いっぱい。
10/04/26 19:59:46
___ ,,、
, ' ´ /;;;;ヘ`丶
/ 〈;;;;;;;;;;;;ヘ \
/_____ \;;;;;;;;;ヘ \
〈'´ ____\_.>''´ ̄\ ',
\/...:::::::::::::___:/ , -、j 〉 /\
< ̄.::::::::;:> ' { } {、;;;;;\┬' /. \
,≦::::; ' ´ , ゝ-夂i不丁::::::\;;;;;\__ /::::.. \
>'´ ,. イ/ |:/イ乙i |::::::::::::::\;;;;〈/;;;::::::::::.. \
/ , イN|i} 辷ソノ:::::::::::::::::::iヽ/;;;;;;;;;;::::::::::.... \
\ ≦:::::::::八.ヒ!、 /.:::::::::::/:::::::| \;;;;;;;;;;;;;;;::::::::::.. \
\ `<:__;ゝ―‐<::::::::::::; イl:::::::::i \;;;;;;;;;;;;;;;::::::::::... \
. \ /:::/ ヾニニニニヽ;::::::〉 \;;;;;;;;;;;;;;;;:::::::::... \
ヽ、|::::| \  ̄`丶 \;;;;;;;;;;;;;;;;;::::::::.. \
|::::| \ \;;;;;;;;;;;;;;;;;::::::::.. \
 ̄\ \ \;;;;;;;;;;;;;;;;;;;:::::::... \_____
ヽ ____ / \ \;;;;;;;;;;;;,;;;;;;:::::::... /
,.イ ヽ i \ \;;;;,;;;;;;;;;;;;;;;:::::::... /
/:::{ ト、 .......ヽ \;;;;;;;;;;;;;,;;;;;;;::::::::/
122:名無しさん@お腹いっぱい。
10/04/26 20:29:57
キモイもん貼るなっての
123:名無しさん@お腹いっぱい。
10/04/26 20:59:10
なたなら仕方がない
124:名無しさん@お腹いっぱい。
10/04/26 21:01:12
どうしてこうなた
125:名無しさん@お腹いっぱい。
10/04/26 22:38:34
なったなたにしてやんよ!
ところでケイダッシュ公式が再開してるようだが
URLリンク(www.aguse.jp)
URLリンク(www.aguse.jp)
126:名無しさん@お腹いっぱい。
10/04/26 22:52:02
なたでここ
>>125
上はまだ ぁぅぁぅぁー
スレリンク(news板:329番)
127:名無しさん@お腹いっぱい。
10/04/26 22:55:38
>>126
な(んてこっ)た
aguseGWで覗いて正解だった…危ない危ない
128:名無しさん@お腹いっぱい。
10/04/26 23:03:42
>>125
URLリンク(www.virustotal.com)
ケイダッシュとpre21●jp/に連日凸したが
奴等は電話を切りやがった
人としておかしい
流石三国人w
129:名無しさん@お腹いっぱい。
10/04/27 02:18:58
ところで
やっぱりセキュリティベンダーって信頼に関わるから自社の公式サイトとか配布するツール等は命かけて安全確保してるの?
130:名無しさん@お腹いっぱい。
10/04/27 08:39:45
最近はどこのメーカーも電子署名してるから、電子署名がないようなexeは踏まない
131:名無しさん@お腹いっぱい。
10/04/27 08:44:59
>>115
トロイが仕掛けられたクライアントで更新してるから、いくらやってもまた改変されるとかじゃないの?
>>116
さすがにセキュリティー企業なら、インターネットからだれてもコンテンツ更新とか無理じゃねーの?
Webデザイン企業には、CMSとかにしかアクセスできないようにして、
メインサーバへの更新は社員が社内からやってるんじゃね?
132:名無しさん@お腹いっぱい。
10/04/27 10:21:53
>>92
リンク先読みって火狐でググッただけで感染するのか?コードまで実行しちゃうの?ノートントラップの類じゃないのか
133:62
10/04/27 10:34:47
ケイダッシュはまだprototype.jsが感染してるわけだが、一生このままじゃね?
スカイリンクとかいう会社もケイダッシュもカス。カスが。春日。
134:名無しさん@お腹いっぱい。
10/04/27 11:58:37
誰かが投げたの
URLリンク(www.virustotal.com)
File www.kdash.jp_common_js_prototype. received on 2010.04.26 18:18:29 (UTC)
Result: 7/40 (17.50%)
Avast 4.8.1351.0 2010.04.26 JS:Illredir-AX
Avast5 5.0.332.0 2010.04.26 JS:Illredir-AX
BitDefender 7.2 2010.04.26 Trojan.JS.Agent.EAL
DrWeb 5.0.2.03300 2010.04.26 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.26 Trojan.JS.Agent.EAL
GData 21 2010.04.26 Trojan.JS.Agent.EAL
nProtect 2010-04-26.01 2010.04.26 Trojan.JS.Agent.EAL
さっき漏れが投げたの
URLリンク(www.virustotal.com)
File prototype.js received on 2010.04.27 02:50:00 (UTC)
Result: 9/41 (21.96%)
a-squared 4.5.0.50 2010.04.27 Trojan.JS.Agent!IK
Avast 4.8.1351.0 2010.04.26 JS:Illredir-AX
Avast5 5.0.332.0 2010.04.26 JS:Illredir-AX
BitDefender 7.2 2010.04.27 Trojan.JS.Agent.EAL
DrWeb 5.0.2.03300 2010.04.27 JS.Redirector.based.2
F-Secure 9.0.15370.0 2010.04.26 Trojan.JS.Agent.EAL
GData 21 2010.04.27 Trojan.JS.Agent.EAL
Ikarus T3.1.1.80.0 2010.04.27 Trojan.JS.Agent
nProtect 2010-04-26.01 2010.04.26 Trojan.JS.Agent.EAL
>>133
状況を理解してないのかも。
135:名無しさん@お腹いっぱい。
10/04/27 12:08:20
>>57
まちがえんな、カス
136:名無しさん@お腹いっぱい。
10/04/27 12:09:06
管理者に抜き打ちセキュリティテストとかやってもいいと思うんだ
137:名無しさん@お腹いっぱい。
10/04/27 13:03:47
自分でしないと...
138:名無しさん@お腹いっぱい。
10/04/27 13:46:39
>>133
Last-Modified: Tue, 27 Apr 2010 04:43:37 GMT : common/js/prototype.js
なおたよ。
139:名無しさん@お腹いっぱい。
10/04/27 15:47:23
>>133
キャッシュぐらい消せカスが
140:名無しさん@お腹いっぱい。
10/04/27 16:51:12
ケイダッシュはどうせまた再改ざんくるだろ
141:名無しさん@お腹いっぱい。
10/04/27 18:05:53
>>130
電子署名ない.exe踏まないとか
フリーソフト殆ど使えないじゃん
142:名無しさん@お腹いっぱい。
10/04/27 18:26:21
>>141
インスコ不要なソフト(zip解凍で使えるようなやつ)なら
exeとdllあたりをVirusTotalに投げればだいたいわかるだろ
143:名無しさん@お腹いっぱい。
10/04/27 18:28:39
それだと>>130と矛盾する
144:62
10/04/27 19:44:13
>>139
Google先生のチェッカー使いましたが何か?
そして相変わらず告知無し。こんだけ言われてるのに無視とか新し過ぎる。
メッセサンオー以上だぜ
145:名無しさん@お腹いっぱい。
10/04/27 20:02:32
>>142
>>143が言ってるように>>130はexe踏まない=使わないと言ってる件・・・
146:名無しさん@お腹いっぱい。
10/04/27 20:10:28
>>134
avastとBitDefender以外のフリーものは駄目だね
147:名無しさん@お腹いっぱい。
10/04/27 20:23:58
>>146
bitのフリーは常駐監視ないからGumblar/8080から守れないだろ
148:名無しさん@お腹いっぱい。
10/04/27 21:03:37
aguseとgredと>>91のチェッカーで問題なしなら
そのサイトは安全と見ていいのかな?
149:名無しさん@お腹いっぱい。
10/04/27 21:06:45
>>57
IPアドレスの鯖缶:惑星さんからお返事北。
> We appreciate you bringing this matter to our attention. This issue is currently being investigated. Due to privacy policies, we will most likely not be able to provide you with details regarding the outcome of our investigation.
なんて書いてあるのかよくわかんない。。。orz....
日本語でつーほーしたのがいかんかったのかにゃ。
150:名無しさん@お腹いっぱい。
10/04/27 21:10:38
>>148
安全と断定はできない。
目安程度で過信は禁物。
ガンブラー以外にも脅威はあるし。
151:名無しさん@お腹いっぱい。
10/04/27 21:11:49
>>149
通報ありがとうね
この件は現在調査中だよ
だけどプライバシーの問題で詳細は明かせないよ
って感じ
152:149
10/04/27 21:13:23
>>151
dd
(゚ν゚)ニホンゴムズカスィネー だったろうなぁ。
153:名無しさん@お腹いっぱい。
10/04/27 21:13:54
ありがとよ
今から調べちゃる
結果は知らせねぇけどな
154:149
10/04/27 21:17:26
>>153
これまたdd
返事がこないとこよりも いい(≧∇≦)b
ぐぐるせーふぶらうじんぐとノートン先生のせーふうぇぶつけたのがよかったのかも。
155:名無しさん@お腹いっぱい。
10/04/27 21:38:29
>>144
>>139は多分>>138見て早とちりしたんだと思う。
GMTに9時間足すと日本時間JSTになるので今日の午前11時43分で>>133の1時間後に修復したってことに。
156:名無しさん@お腹いっぱい。
10/04/27 22:12:24
>>148
aguseも最近のはスルー率高いしgredも結構スルーする
そんなもんよりとにかく>>2
157:名無しさん@お腹いっぱい。
10/04/27 23:54:49
gredってただ乗りで検体集めまくってるのにスルーがあるんじゃ意味ねーな
158:名無しさん@お腹いっぱい。
10/04/28 00:01:51
ところで
aguseのカスペもVTと同じで旧バージョンなのかね?
159:名無しさん@お腹いっぱい。
10/04/28 00:11:14
「×××●pipicotts●com」が全滅っぽい
160:名無しさん@お腹いっぱい。
10/04/28 03:24:03
マスターペニス
161:名無しさん@お腹いっぱい。
10/04/28 09:17:23
ケイダッシュは反日創価、だからこのまま放置するよ
162:コテハン ◆8080adndqg
10/04/28 11:45:13
【陥落サイトのURL悪用厳禁】
kimiyo-web●srv7●biz/index●html ←???
gex●sexona●net/
163:名無しさん@お腹いっぱい。
10/04/28 12:00:51
これって証明書がカスペルスキー本家とサーバー証明書が違うということですよね?
URLリンク(up3.viploader.net)
だとしたら、どうやって本家の証明書を取ってきたら良いのですか?
やり方が分かりません。教えてください。
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5118日前に更新/243 KB
担当:undef