1read 100read
2013年17セキュリティ231: 踏むとフォーマットされるヤバイ画像対策専用スレ (792)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
【ノートン】Norton 360 Ver6. 001 【ALL-IN-ONE】 (672)
Windows Live OneCare 10thCare (682)
GENOウイルススレ ★23 (862)
ドクターアレック スアンチスパイウェア (203)
ウイルスチェイサーPart8 (412)
本家Bugtraq系MLをマターリ和訳するスレ(雑談可) (101)
踏むとフォーマットされるヤバイ画像対策専用スレ
- 1 :2007/12/31 〜 最終レス :2013/07/04
- 誰か立てろよ
- 2 :
- / ̄ ̄ ̄ ̄ ̄ ̄ \
/⌒ヽ / '''''' '''''' ヽ
| / | (●), 、(●) |
| | | ,,ノ(、_, )ヽ、,, |
| | | `-=ニ=- ' |
| | ! `ニニ´ .! 天狗じゃ、これも天狗の仕業じゃ!
| / \ _______ /
| | ////W\ヽヽヽヽ\
| | ////WWWヽヽヽヽヽヽヽ
| | ////WWWWヽヽヽヽヽヽヽ
E⊂////WWWWWヽヽヽヽヽヽヽ
E//// ヽヽヽヽヽヽヽ
| | //WWWWWWWヽヽヽヽヽヽヽ
- 3 :
- format D〜Z A B Cの順で効果的にふぉーまっと
ハードディスク全滅OTL
おれのパソコンは今、Sをフォーマット中・・・
みなさんさようなら・・・
- 4 :
- 今日まで色々とありが
- 5 :
- >>3-4
逝っちゃたの?
- 6 :
- [ν速の転載]
概要まとめ
2007/12/30(日)、gigigi(アップローダー)にてエロ画像がUPされる。
画像にはアドレス(実行ファイルのスクリプトへの)が貼られており、これをクリックするとブラクラが発動、最終的にデスクトップにbatファイルをDLさせる。
再起動した瞬間に発動し、強制的にHDDをフォーマットする。
Internet Explorer系のレンダリングエンジンを使っているブラウザ(2chブラウザ)だと発動する。これはIEが画像ファイルをテキストやhtmlとして展開しようとするからである。
ギコナビ → ポップアップ → 死亡
Jane doe系 → 生存
Jane IE系 → 死亡
スRニル&unDonut等のIE系 → 死亡
火狐&オペラ等の非IE系、またはエンジン切り替え(Gecko等) → 生存
- 7 :
- アンチウイルスソフト対応状況
AntiVir ○
BitDefender
ノートン
ウィルスバスター
マカフィー
カスペルスキー ○ 検出名:Trojan-Downloader.JS.Agent.aqr
ウイルスキラー
Windows Live
Live one care
ウイルスセキュリティーZERO
avast!
AVG ○
キングソフト
NOD ○
F-Secure ○ 検出名:BAT/FORMATC.H
- 8 :
- 俺のエロ漫画が消えたじゃないか
- 9 :
- >>6
IE系でいうとMaxthonも死亡だな。
- 10 :
- これ、いったい、何の攻撃なの??
・MS04-028を利用?
・MS04-028のような穴を新たに発見した0デイ?
・IE系ブラウザの実装の問題?
- 11 :
- 常駐スレに何回か貼り付けてるやつがいるんだけど
こういうの犯罪にならないの?
- 12 :
- >>11 なるよ。器物損壊とか威力業務妨害とか。
- 13 :
- サンクス
とりあえず通報してみる
- 14 :
- >>10
0Dayとかそんな大層なもんじゃなくて、ブラクラ詰め合わせ。
BATファイルをスタートアップへダウンロードさせて、なんか色々ダイアログ出て、再起動したらスタートアップと書き換わったAutoexecが実行されて
HDDが順番にフォーマットされるという単純なもの
- 15 :
- ついでに言っておくと今のところIE6だけだな。他のブラウザだと大丈夫。IE7でも問題なし。
JPGファイルがJavaScriptになってる古典的なやつだよ。
- 16 :
- 再起動の命令を出すのも確か勝手にDLされるbatファイルだっけ
いわゆるformat c:\のやつかな?
- 17 :
- >>16
そそ、詳しくはν即にすれ立ってるからそこで様子見してくればいいよ。ただし、問題のJpgが結構貼ってある
から注意な。
- 18 :
- 専用ブラウザとFirefoxで踏んだけど問題なかった
Operaも当然問題なかったし、やっぱりTridentエンジンが危険っぽいな
- 19 :
- まぁ要するにIE6使うなってことだな。IE6のコンポーネント使っているものでもダメだから注意な。
- 20 :
- HDDをフォーマットするブラクラ まとめwiki
ttp://www13.atwiki.jp/burakura_hdd/
- 21 :
- ■一番簡単な対策(基本中の基本)■
ツール→インターネットオプション
セイキュリティ→
インターネットゾーン・レベルのカスタマイズ
→拡張子ではなく、内容によってファイルを開く
●無効
- 22 :
- カスペ先生愛してる
- 23 :
- カスペ先生を犯るのは俺だ!>>22には渡さん!
- 24 :
- > →拡張子ではなく、内容によってファイルを開く
この設定はないよな
- 25 :
- NOD系のスレにも書き込んだけど、NODは今回のトロイ、まだ対応してない気がする。
ESET Smart Security その4
http://pc11.2ch.net/test/read.cgi/sec/1197385178/676
> それ間違い。検出名がずっと気になってたんで今体験版で試したけど、NODじゃトロイ本体は検出できない感じ。
> (Virtual PCに体験版放り込んで、テストしてみた。)
>
> ブラクラ発動後にダウンロードされるウイルスの方を検出しているだけで、トロイ本体の方は、まだ対応してない?
>
> 何でかっていうと、N速に貼ってある今回のトロイのファイル、NODが入っていても(パターンファイル最新12/30版)、
> 普通にダウンロードできてしまうので...(カスペだとダウンロード時に検出されて引っかかる)
>
> なんで、NOD系の人はまだ注意した方が良いと思う。
- 26 :
- まさに今年の世相「偽」ブラクラ
- 27 :
- >>25
気がするも何も、そのスレにあるこの画像が未対応なことを証明してるんじゃ…
http://up2.viploader.net/upphp/src/vlphp114643.jpg
他の対応済みAVとは異なり、ESET系列がブロックしたと言ってるのは
問題のjpgではなく画像のスクリプト実行後にDLされるファイル
このファイルのDLに進むということから、問題のjpgはスルーなのが分かる
だから、亜種が出たり落ちてくる物によっては危ないかもな
- 28 :
- それっぽいの踏んだんだけど、画像が出てきただけでブラクラにはならなかったんだが大丈夫だよな?
- 29 :
- >>27
ん〜、やっぱりそうだよね。 Wikiで○ついてたけど、検出名が変だったので確かめてみたんだけどね。
俺の所で実際に検出させた結果では、確実に止められるのは今の所AVG,AntiVir,カスペの3つ。
この3つは、きっちり止められる。(元の1230.jpg自体をトロイとして検出して、隔離する。)
NODは止めきれない。F-Secureは不明。(今の所、俺の方ではテストできない)
今、Norton NAV2008の仮想環境作成中。テスト終わったら報告するわ。
- 30 :
- 感染してない→対応
感染する→未対応
だろ
- 31 :
- 未対応のavastスレどこ?
- 32 :
- >>30
今回のはトロイであってウイルスじゃないから、感染するかどうかってのは問題の本質とは違う。
トロイの実行を止められなければ、未対応と考えて良い。トロイが実行された結果ダウンロードされる
ウイルスに感染しないかどうかは、別の問題。 その辺を理解してない人が結構多い。
だから、オンラインスキャンで検査なんて、的外れな話が出てくる。
トロイは、基本、常駐型のウイルス対策ソフトじゃないと防げん。 トロイの中身によっては、実行された時点で
PCからファイルや情報抜かれる場合もあるんだし。 そんなん、後からオンラインスキャンかけたって手遅れ。
- 33 :
- F-Secureはバッチリ対応してる
参考までに分けて試した結果を貼っておきます
共に http://www.virustotal.com による解析の結果です
- 34 :
- ・今回新登場のTrojan-Downloaderに反応する製品
AntiVir:TR/Dldr.Agent.aqr.20
AVG:Small.2.BJ
F-Secure:Trojan-Downloader.JS.Agent.aqr
Ikarus:Trojan-Downloader.JS.Agent.aqr
Kaspersky:Trojan-Downloader.JS.Agent.aqr
Sophos:Troj/Iframe-N
Webwasher-Gateway :Trojan.Dldr.Agent.aqr.20
- 35 :
- ・Trojan-DownloaderがDLするフォーマット用BATファイルに反応する製品
AntiVir:HEUR/Trojan.DIRKiller
Authentium:BAT/FormatC.H
ClamAV:Trojan.Bat.DeltreeY-2
Fortinet:BAT/Deltree.gen!tr
F-Prot:BAT/FormatC.H
F-Secure:BAT/FormatC.H
NOD32v2:BAT/DeltreeY.AN
Rising:Trojan.BAT.FormatAll.c
TheHacker:Bat/Generic
- 36 :
- AntiVirとF-Secureが安心かもね
- 37 :
- namidame〜ってのを踏んだ気がするけど、今のところ何ともない。
必要な時以外JAVAを入れないようにしてるから助かったのでしょうか。
- 38 :
- >>29
>今、Norton NAV2008の仮想環境作成中。テスト終わったら報告するわ。
テスト終わった。残念ながら、NAV2008 + データベース 2007/12/31 では、1230.jpgをトロイとして認識しません。
今の所、トロイのリンク先のサーバーが落ちているのでウイルスのダウンロードは無いですが、
Norton系ユーザーの方は、引き続きご注意を。
- 39 :
- 0x0のBMPファイル作って尻にコード入れてみ
すげー笑えると思うから
- 40 :
- >>33
>38の後、NAV2008をアンインストール → F-Secure評価版をインストールで確かめました。
F-Secureは、1230.jpgを Trojan-Downloader.JS.Agent.aqr として検知・隔離します。
ですので、F-Secureもきっちり止める組ですね。
防御成功時のパターンファイルは、2007-12-31_08 でした。
(多分、もっと前のパターンファイルから防御に成功していたと思われます。)
Wiki直して、寝ます。(w
- 41 :
- >>38
おつかれさまです
質問
ノートン先生はスクリプトを実行する前には反応しなかったのでしょうか?
お疲れのところスミマセン
- 42 :
- >>41
しませんでした。 と言っても、スクリプト自体が、ウイルス等のダウンロードサイトが落ちていて今はまともに動かないのですが。
なので、現状ではNortonは実際にウイルスファイルをダウンロードした時点での防御になると思われます。
とりあえず、スクリプトがダウンロードに行くサイトが復活するまでは、Nortonでも危険性は低いと思います。
まあ、早く対応はして欲しいところですけど。
- 43 :
- >>42
ありがとうございます
- 44 :
- 2.3日前dailymotionに動画をうpしてる最中に大量の警告が出た
だから途中でうpを断念した。確かIEが強制終了
ちなみに以前はうpを成功させてる
なんか関係あんのかな
再起動についてだけど電源を切らずにスタンバイがデフォになってるのでまだそれ以降電源の入切はしてない
- 45 :
- じゃあ、今度はN先生に協力してもらいましょうか。
- 46 :
- wikiの対策のところの
ブラクラを仕込む〜.comにアクセスしないようにする
その1 PFWでcunt.multiservers.comをブロックする。
その2 \windows\system32\drivers\etc\hostsに
127.0.0.1 snipr.com
127.0.0.1 cunt.multiservers.com
書く。
IEの設定変更
C:\WINDOWS\system32\drivers\etc
にあるhostsファイルを書き換え。
ってのは信じrていいんだよな?
ホストってそこに通じるように設定するんじゃいのか?と思って疑ってしまう。
それと、ブラクラを仕込むとIEの設定変更のホストって違うの?
- 47 :
- >>46にある、PFWって何のこと?
- 48 :
- >>46
URLがhttp://snipr.comのときhttp://127.0.0.1にアクセスしるって設定だよ。
127.0.0.1は自分のPC。
>>47
パーソナルファイアウォール
- 49 :
- Personal Firewall
- 50 :
- >>48
さんくす。設定してくる。
PFWもよく分かってないんだけど、avastのWebシールドのURLブロックに
cunt.multiservers.comを入れとけばいいのかな
- 51 :
- パーソナルファイアウォールってソフト名じゃなくて個人個人が使ってるファイアウォールソフトの総称でいいの?
- 52 :
- うん、多分。
http://eazyfox.homelinux.org/Firewall/Firewall3.htm
- 53 :
- 普段からセキュリティに気をつけてる奴はこんなの引っかからないんだけどね。
- 54 :
- つーかIEコンポのブラウザ使わなければ関係ないってこと?
- 55 :
- 画像の方はね
最終的に誘導される方はGeckoでも食らう気がする
- 56 :
- noscriptのアドオンいれてれば安全じゃね?
- 57 :
- FWの設定とかよく分からん人はとりあえずJavaScript切っとけばおk?
- 58 :
- カスペ&AVG最強伝説始まる
- 59 :
- そういや、おいらの職場。XP+IE6+バスターcorpしか認められてない。
4000人の社員がいるんだけどね。
1/4から営業開始です。
- 60 :
- こういうときもしっかりと対応するNOD最高!世界で一番人気あるのもわかるわ。
ノートンは糞、シマンテックはさっさと潰れろ。
- 61 :
- これって、アンチウイルス以外のソフトでも防げるんですか?
例えばwindows defenderでスタートアップの変更を監視とか。
System Safety Monitorで許可されてないプログラムは実行させないとか。
- 62 :
- ノートン バスター マカフィー
国内じゃ使用ユーザー数はこの3強だよな・・・
いい加減にしろ
- 63 :
- http://www5.uploader.jp/dl/tane/tane_uljp00206.jpg.html
亜種?
- 64 :
- >>63
これなんだろ?
IE7だとグーグルにいくし
火狐だと白いページ
- 65 :
- 今更ですが、あけおめ。
>>63
・カスペではトロイの木馬 Trojan-Downloader.HTML.Agent.ir
・AVGでは、Trojan horse Small.2.BJ
として検出されます。(他のではテストしてません) 中身は、ulip00206.jpgの後半=1230.jpgなので、亜種と考えて良いのでは。
>>64
あんまり無防備に踏まない方が良いですよ。
-----
NAVのウイルス定義ファイルの更新があったので、>38の環境をコピーし直して(※ Virtual PCですので)
再度テストしてみましたが、1/1 10:00 時点でまだ駄目です。
その後、今度はNAV2008をアンインストール → avast!4をインストールで確かめました。
こっちも、1230.jpgはスルーしますので現時点で未対応です。(データベース 071231-0)
Norton,Avast!使用者は引き続きご注意下さい。
- 66 :
- >>65
おつかれサマ
ところでスクリプトの暗号化を解読する方法ってどうやるの
- 67 :
- これを機にプニル1.66から最新版に切り替え、Geckoエンジンを導入してみた
が…使い辛ぇえええええ…キーワード検索できないし変なふうに表示されるサイトあるし
プラグインとか探さないとだめなのかねこれは。そのままお手軽に使いたいのにまんどくせ…
- 68 :
- Sleipnirは1.66が軽いし十分な機能を持っている
2xxでGecko使うならFirefoxがマシだったよ
- 69 :
- 個人的にはインスコ不要なSeaMonky勧める
- 70 :
- 一応OperaとFirefoxも試したんだよね
Operaはダメだ・・・ニコ動で停止・再生でいやに重くなる。ニコ厨の俺には向かない。
Firefoxは、なんかそのままでも使えそうな気がしたけど生のままだと機能すげー少ないのね。
UIを改造しなきゃだめみたいなことがまとめに書いてあったが、スクリプトいじるとか大変そうだったから
プニルの最新版に逃げてみた。しかしこれまた使いづらい…
もうどうにもならねー。マジで困るトロイ作ってくれたもんだよ
- 71 :
- >>70
なんというか・・・全部慣れの問題じゃね?
ブラウザ乗り換えはいつも面倒なもんだよ
- 72 :
- その面倒を乗り越えた先にあるのが
Opera最強伝説というわけだよ
- 73 :
- OperaはノートンとケンカしてWin2kごと落とされた嫌な思い出が
- 74 :
- まあ今は安定したもんよ
- 75 :
- 火狐は知らないけど、プニルはいいよ
慣れるとマウスカーソル全く動かさずにWeb閲覧やタブ飛びできるようになる
- 76 :
- そんなのOperaだって余裕
- 77 :
- Jane doe使いでほとんど2chしか見ない俺は安全だな
喜ぶべきか、悲しむべきかw
- 78 :
- 画面がえらい暗く感じるんだけど
仕様?
- 79 :
- >>78
誤爆
- 80 :
- バスターは対応した?
ウイルスパターンファイルは今日も更新されたけど。
- 81 :
- だれかチェック出来るようなコードを書いてくれないかな。電卓が立ち上がるだけとかの。
いまいち自分の環境が大丈夫なのかワカラン。
- 82 :
- まず、携帯フルブラウザで見てオケそうだったらPC閲覧するとか
- 83 :
- それは何の意味もないだろう
- 84 :
- ようはIE6、またはIEコンポーネントのブラウザで開かなければいいってことだろ
- 85 :
- それもそうだな
ところでsymantecとtrendは現時点未対応でfixなんだよね?
- 86 :
- IE6で開いても大丈夫だったけど?
- 87 :
- javaスクリプトオフで防げる
- 88 :
- そういう問題じゃないw
- 89 :
- こんなのに引っかかる馬鹿なんているの?
- 90 :
- IEなんか使ってる奴なんているの?
- 91 :
- このトロイの仕組みが分からないんだけど
>>15
が答えでしょうか?単なる以前からある拡張子偽装って事?
- 92 :
- IEそのまま使ってる人が一番多いだろ
こういう板に居ても、IEコンポーネントのタブブラウザは沢山居るし
- 93 :
- つーか、脆弱性放置のMSが馬鹿
- 94 :
- スRニールでも大丈夫だった
- 95 :
- 先月のWindowsうpだてのスレですら、IEが落ちるって騒いでたろ
プニルやDonut系は平気だっていうのに。
IE使ってるヤツはそんだけ多いんだよ
- 96 :
- 要するに、GDATA最強って事?
- 97 :
- いいえ、キングです。
- 98 :
- 今年の大晦日もまた独りぼっちだった・・・orz
俺・・・バイト後、2chでガキの使い実況
友・・・彼女と合体
親・・・高級料亭で食事
姉・・・年越し合コン
弟・・・彼氏とディズニーでお泊り
またお正月に家で一人お留守番する仕事が始まるお・・・
- 99 :
- >弟・・・彼氏とディズニーでお泊り
>弟・・・彼氏とディズニーでお泊り
- 100read 1read
- 1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
一番良いセキュリティソフトは○○だ!!Part91 (642)
究極のインターネットセキュリティーとは (471)
【データ流出】企業の顧客データもろみえ その16 (436)
不正アクセスしてくるIPを晒すスレPart13 (717)
!ninja テストスレ 【test】 inセキュリティ part20 (753)
1ch.tvのセキュリティってどうよ? (124)
--log9.info------------------
【BOINC】スタジオで難病患者を救え Track10【旧UD (289)
【混沌エフェクター】KAOSS PAD 4擦り目【KP3/KPQ/mini】 (418)
マスターキーボードを語るスレ 6台目 (485)
打ち込みで民族音楽やってる方 3人目 (646)
【入口】マイクプリ・HA・AD/DA総合スレ Part.12 (795)
BBE SONIC MAXIMIZER (119)
■RME UCX UC 400 800 Babyface スレッド 1 (183)
■RME BabyFace 専用スレ 1■ (401)
RME MADI UFX 関係スレ (241)
◆◆RME オーディオカード総合スレ18 UCX◆◆ (164)
【徹底】ソフトシンセVSハードシンセ4【比較】 (219)
音楽で食って行きたい。 (549)
音楽理論書とマウス入力だけで音楽は作れるか? (731)
【再利用】機材の売買・交換でめちゃ幸せ【26台目】 (496)
【Sony】SoundForge サウンドフォージ5【波形編集】 (246)
【PC】ハードシーケンサー【飽きた】 (429)
--log55.com------------------
【窪田正孝】犬猿【吉田恵輔】
アイ,トーニャ-史上最大のスキャンダル-〜1st Element
【ジョン・ウー監督】マンハント【福山雅治】part3
グレイテスト・ショーマン〜Part 3
去年の冬、きみと別れ【岩田剛典 山本美月 斎藤工】
トレイン・ミッション TRAIN MISSION 【リーアム・ニーソン】
ピーターラビット Peter Rabbit 【実写映画】
トランスフォーマー TRANSFORMERS ラストナイト 157
-