質問・雑談スレ290＠運用情報板

**動け動けウゴウゴ２ちゃんねる** · NG

　あなたの疑問はこのスレのFAQ（>>2 >>3 >>4 あたり）や、少し上の方にあるかもしれません。
　書込みする際は一度スレを見渡して、場をわきまえた雑談をお願いします。

◆前スレ：質問・雑談スレ289＠運用情報板
　　　http://qb5.2ch.net/test/read.cgi/operate/1240475894/

◇サーバの異常報告等は第一報以外あまり必要ありません。

　規制に関しては「あらし報告・規制議論(仮)＠2ch掲示板」へ。
　　 http://qb5.2ch.net/sec2chd/
　 2ちゃんねるの基本的な質問は「初心者の質問＠2ch掲示板」へ。
　　 http://gimpo.2ch.net/qa/
　 VIP関係は「VIP運用情報」へ。
　　 http://find.2ch.net/?STR=VIP%2B%B1%BF%CD%D1%BE%F0%CA%F3&COUNT=ALL&TYPE=TITLE
　運用のキャップの人たちをしばきたいときは「最悪板＠2ch掲示板」へ。
　　 http://mamono.2ch.net/tubo/
　馴れ合いは「運営系・質雑スレの人が馴れ合うスレ」へ。
　　御用の場合はスレッド検索へ
　運用情報板が不調になったらここに避難しましょう。
　　 http://qb6.2ch.net/test/read.cgi/operate2/1090025164/

◆関連リンク
　情報のまとめ＆プロジェクトのご案内「2ちゃんねるwiki」、読むべし読むべし。
　　 http://info.2ch.net/wiki/
　 2chの動作報告はここで - FAQ -
　　 http://www6.ocn.ne.jp/~boyakkie/faq.html
　運用情報板の心得
　　 http://info.2ch.net/wiki/index.php?%B1%BF%CD%D1%BE%F0%CA%F3%C8%C4%A4%CE%BF%B4%C6%C0
　２ちゃんねるボランティアさんのためのページ
　　 http://volch2.sakura.ne.jp/vol/

◆2ちゃんねるで判らない用語が出てきたら
　 2典Plus
　　（PC）　http://www.media-k.co.jp/jiten/
　　（携帯）http://www.media-k.co.jp/jiten/i/index.html

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 12:48:42

　さくじょちえブクロを、見てきた。　、板めい　。

　あそこを見ると　おんなの人が、こうどな、
はなししとる。

　おれ　このけいじ盤、クルノ、場ちがい　、だったかな。

　しまったな　。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 13:02:21

JCN熊本も直りました。ご指南ありがとうございました

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 13:18:38

　はあ、よかったね。　いささか　、ざんねんである。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 14:12:05

05/14 12:43 障害報告：maido3.com ホームページについてご報告いたします

maido3.com ホームページの表示を停止した件につきましてご報告いたします。

2009年5月14日午後12時9分、レンタルサーバー BIG-server.com にある
【ぷろじぇくとぞうさん】～E-Bananaサーバ構築日記～において、
一部のHTMLファイルに改ざんがあり、HEADとBODYの間に難読化された
JavaScriptが埋め込まれているとの報告をいただきました。

改ざんを受けたページ（現在閉鎖中）
http://www.maido3.com/server/zousan/index.html

現在、復旧作業を行うと共に上記ページが改ざんを受けた経緯を確認しております。
詳しい情報が分かり次第、改めてご報告させていただきます。

-----------------------------
またですよ('A`)

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 14:28:20

そんなところに仕込んでなにがやりたいんだか・・・＞犯人

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 14:55:59

ぞうさんのページを狙うのはやめて欲しいわあ
ショックでコーヒーの中にカップ麺の粉末スープ入れちゃったじゃない

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 15:36:59

　だいたい、上流の接続会社のことは、わかった。
あとは、お付き合いを、するっ、

　ＮＴＴがあってよかったね。
まあ、がいこくは、ＮＴＴに　にほんを　分掌、させとけばいいんだけど。
　得だから。　安くすむから　。
　おっきいとこ同士で、おつきあいする。
　笑顔で。　えがおで　ピアツーピア。
　こんな、ことも上品なくらししてるから　わかるんや。

　にほんに外国のかいしゃは　入ってこなくていい。
　ＮＴＴは、あじあとか、がいこくに、せめて　、
はいっていって、エエンヤデェ　。

　それにしても　、リベートの、禁止法よ　。

　アッアッアッアッ、あほかあ　。

　セーフは、しにました。

　残念。

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 16:08:29

　　//www.maido3.cc/server/
　ウィルス情報。

　ふつうに、ううぃるすだ。
　sqlsodbc.chm　このファイルが、象さんのページ、見た人は、
　かきかえられたんだって。
　
　

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 16:09:00

GWが終わって経路障害もひと段落したと思ったら、まだこれがあったか
ここまでピンポントで徹底的なのも珍しい気が

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 16:39:46

結局なんだったの? cogentcoのルータ死亡か、日本側のキャッシュとりすぎかなんか?

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 17:18:20

>>396
　いろいろジャネ。　なんで、２ちゃんみたいな、有名なとこの
名前の、サーバーの、近いとこ、が、わからなくなるんだ。
　
　最初から、まったくの、うそか。　
　でもこれは、めんどくせえし。
　トレースルートは、こっちでも　しらべれるしな。

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 17:33:57

　　このしくみは、イタい、しくみだなあ。
　おれが、こんなところで、せえじろんまで、ぶって、
　キャラだししねえと、にんげん見えてこねえんだな。
　　もちろん、こんなこと、最初からわかってなかった、。
　　２ヵ月半して、わかった。
　　いま、わかったんだけどね。
　　
　　どうせ、おまえら、ほとんどこのスレ、でないんだろ。
　おれは、４スレのページしか　　はあくしてない。
　　

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 17:35:32

　いいきせつに、なった。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 17:45:45

いくら質雑とはいえ、こうも無意味なレスを連投されては…

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 17:52:41

見なきゃ良いんですよ(;´Д`)

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 17:55:21

NGしとけ、と書いといてNGレスに反応すんな

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 18:13:03

ふつーはそんな簡単に改ざんなんて出来ないんでないの？
何で改ざんされてるの？

♪ ◆QS1LouL6pU · 2009/05/14(木) 18:32:54

外からは難しいけど、中からは簡単。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 18:34:50

難読化されてるjavascriptどんな内容だったんだろ？

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 18:37:19

>>404
　
　ええっ。

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 18:39:13

>>405
　中辛、中辛。　んんーん、。
　中国人かっ。

　

　失礼した。

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 18:40:57

　中国語？

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 18:42:33

住み着いた奴としては過去最高かもしれん
5年以上前は知らんけど

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 18:57:06

ちょっと昔にドリアンってネカマがいてな。家ゲ出身の変な人もいたような
qa,qb時代はよく知らん

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 19:16:55

そういや、いましたね
ビチビチ姫、でしたっけ

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 19:31:58

>>405
そうそう、前のもどんな悪さするのか話出てないんだよな。
仕込まれてから対処されるまでにそのページを見に行った奴にどんな影響が出るのか、
影響が出たらどんな対処をすればいいなんて情報を出してくんないかねぇ。

**なまえ（男）** ◆s75v8Hmv1I · 2009/05/14(木) 19:41:37

>>412

　　　　はいはい、つぎ太郎、これだよ。

つ//www.maido3.cc/server/

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 19:42:00

このJavaスクリプトは、本来のサイトとは違うサイトから
ウィルスやスパイウェアなどをダウンロードするものです。

● 感染した場合の症状：
・sqlsodbc.chm が改ざんされる
・コマンドプロンプトやレジストリエディタが起動しなくなる
・ブラウザの動作が不安定になる
・HTMLファイルの改ざん
・コマンドプロンプトが自動的に実行される

http://www.maido3.cc/server/release/2009/200905082023.html

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 20:09:21

maido3.com/server/zousan/index.htmlに変なjsが組み込まれてるけど、
http://so.7walker.net/index.php?site=http%3A%2F%2Fwww.maido3.com%2Fserver%2Fzousan%2F&hua=
これって感染してる？

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 20:13:20

>>403
セキュ板のGENOスレに
感染してFTPのIDとPassを盗まれたらしい人のレスがあったよ
maido3のも全く同じタイプかどうかは知らないけど

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 20:23:09

（１）感染してるサイトを閲覧する
（２）自分のパソコンが感染する
（３）その状態でFTPで自分のサイトを更新する
（４）その時にFTPのIDとパスを抜かれる
（５）ウイルスが勝手にHTML、ｐｈｐファイル等に
不正なジャバスクリプトを埋め込む
（６）サイトが感染状態になる。
（７）そのサイトを見た人が感染する

このようなアニサキス状態になっております

**働け働けニトニト●ちゃんねる** · 2009/05/14(木) 20:33:01

アニキサスに見えた

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 20:44:24

アニキサスは危険
あなたの体にアニキが感染します

**あひるちゃん** ◆z0WvbsWRgg · 2009/05/14(木) 20:59:40

烏賊の塩辛にアニーがうごめいてた恐怖

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 20:59:53

>>414-415
なるへそ、解析してみたらgumblarだった。
色々と考えるもんだねぇ

**root▲▲ ★** · 2009/05/14(木) 21:19:56

>>417
成程。

マルウェアを仕込まれるわけですから、
仮にうｐ手段が ftp じゃなくて ssh とか使っていても、
少なくとも＊原理的には＊だめっぽいですね。
マルウェアが key logger だったりするのかもしれないし。

で、、、。
もし仮に今回の maido3.com もこのパターンでやられたんであれば、
中身をうｐしている人＊全員＊のPCをウイルス駆除するのは当然として、
maido3.com の中の人がいじった可能性のあるサイトの、
あらゆるパスワードを変更しないと危険なような。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:24:33

他のはしらんけどmaidoの方はVISTA避けてあるみたいですねぇ
おきつねさんVISTAだっけ？しかしどうやって仕込むんだろうなぁー

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:26:23

ああー
＞（５）ウイルスが勝手にHTML、ｐｈｐファイル等に不正なジャバスクリプトを埋め込む
これかー、なるほどなー考えてるなぁ

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:33:16

ジャバスクリプト切って見てたらセーフ？

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:34:06

こういうクラッキングって被害サイトからセキュリティ企業に報告とかいくの？
情報共有みたいなのするよね？

**root▲▲ ★** · 2009/05/14(木) 21:35:52

>>423-424
>>417 のとおりで、概ねこんなかんじのシナリオかと。

1) どっかの感染している index.html やら index.php やらを持ったサイトを、
自分のサイトのコンテンツを FTP で更新する担当の人がアクセスする

2) 担当の人の PC にトロイが侵入する

3) 2) で侵入したトロイは、担当の人が FTP で
自分のサイトにアクセスするのを待ち続ける

4) 担当の人が感染した PC から FTP で自分のサイトを更新すると、
トロイがその様子をチェックしていて、そのサイトにアクセスした
ログイン名とパスワードを盗み取る

5) トロイはしばらくすると自動的に、4) で盗んだパスワードを使って
そのサイトにアクセスし、index.html やら index.php やらをこっそり書き換えて、
そのサイトに感染コードを仕込む

5') もしうまく作ってあるトロイなら、ローカルの PC にある
自分のサイトに上げるためのファイルのローカルコピーにも、
同じ感染コードを仕込むだろう。

6) 1) に戻る

**root▲▲ ★** · 2009/05/14(木) 21:36:59

で、これだとつまり、
>>404 が正解、ってことなのかなと。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:39:13

脅威レポート
見つかった脅威の合計: 123

ウイルス (説明の表示)
見つかった脅威: 123
サンプル:

脅威名: VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/749-n

脅威名: Bloodhound.Exploit.6
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-14n

脅威名: VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-768n

脅威名: VBS.LoveLetter.Var
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/16-n

直接リンク先: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-749n
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/750-n

直接リンク先: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/13-n
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/3-n

脅威名: 直接リンク先は VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/769-n

脅威名: 直接リンク先は VBS.LoveLetter.Var
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-15n

脅威名: 直接リンク先は VBS.Freelink.B
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/-748n

脅威名: 直接リンク先は Bloodhound.Exploit.6
場所: http://banana710.maido3.com/~domo2/ri/r.cgi/pcqa/1109609938/15-n

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:39:47

難読化されてるのを解読したら中身を見る限りではVISTAなら今の所だいじょぶみたい
userAgentを(u.indexOf("Win") > 0) && (u.indexOf("NT 6") < 0)で避けてる様子。
亜種が出てきたら分からんけど、maidoの奴はこれだった。

>>425
切ってたら動作しないのでだいじょぶなんじゃね？

>>427
のようですね、サイト管理者が感染すると芋ずる式と・・・おそロシヤ

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:40:47

ということはweb担当者が見ることが多いようなサイトが感染されたら
もっと感染拡大するのか
まあ、adobeの方の対策は入ったみたいだから自衛できるんだろうけど

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:45:38

これはWindows7が発売される前に在庫のVISTAを少しでも売ってしまいたい業者の陰謀だったんだよ！！！

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:47:46

>>431
そですね、発信先になりかねないので注意が必要だろうと

例えば2chを直接触れる人が感染したら恐ろしいんでしょうな；
でも2chのものだとツール使って変更してるのかな？直接うｐだったら変更人さんは注意した方がいいかもですねぇ

**root▲▲ ★** · 2009/05/14(木) 21:48:01

>>431
「管理者」って書きましたが、当然、それとは限らないですね。

最近は自分のブログとかを持ってて、
せっせと FTP で更新している人がかなりの人数いるわけで、
それを非常にうまく悪用した、まさに典型的なトロイの木馬かと。

**root▲▲ ★** · 2009/05/14(木) 21:51:49

>>433
FTP で自分の PC に 2ch のファイルのマスターを持っていたり、
あるいは 2ch から持ってきて、ローカルに更新してからうｐしている人は、
気をつける必要があるですね。

ちなみに私の場合は、そういう機会はないです。
bbs.cgi や read.cgi を更新する場合、
必ずサーバにログインして、サーバのマスターを直接、
更新するようにしているです。

例えば自分の PC に bbs.cgi のソースを持ってくるのとかって、
怖いというか、ありえないです。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:53:56

>>435
なるへそ、流石ですなぁ

私が気になったのはメニュー関係ですね、変更人さんはhtmlを直接弄ってるのかしら？
だとしたらちょっと注意していただきたいなぁと

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 21:55:33

お？
Google Safe Browsing diagnostic page for gumblar.cn
http://google.com/safebrowsing/diagnostic?site=gumblar.cn/&hl=en
Gumblar hitting Googlers hard
http://www.daniweb.com/blogs/entry4339.html#
Large amount of cross-site scripting attacks see websites compromised - SC Magazine UK
http://www.scmagazineuk.com/Large-amount-of-cross-site-scripting-attacks-see-websites-compromised/article/136763/

桶屋 · 2009/05/14(木) 21:57:21

menuやtableを更新されている方は、FTPでアップしている方法だと思いますよ。

**root▲▲ ★** · 2009/05/14(木) 21:57:26

まほらさんは、ここを読んでおられると思いますので、
ご注意いただけると思います。

maido3.cc の Web にあった注意内容:

【目視で確認する方法】
※Windows XP をご利用の方のみ
・sqlsodbc.chm の確認
　ウィルスに感染した場合、C:\WINDOWS\system32\sqlsodbc.chm が上書きされます。
　ご利用のパソコンの sqlsodbc.chm を確認してください。

今 Google さんに聞いてみて出てきたリンク:

sqlsodbc.chmの改変を継続的にチェックする方法: 高機能サロン管理システム★さまれぼ！★開発日記
http://excomp.cocolog-nifty.com/blog/2009/05/sqlsodbcchm-724.html

**root▲▲ ★** · 2009/05/14(木) 21:57:50

>>438
かぶりますたね。

桶屋 · 2009/05/14(木) 21:59:54

>>440
いえいえ。

あとは、RD774LC さんか……。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:01:14

>>438-439
どもです、気になったものでー

しかしこりゃVISTA感染の亜種が出たら恐ろしいなぁ
管理者は無駄なとこ踏むなって感じですな・・・

**root▲▲ ★** · 2009/05/14(木) 22:01:41

2chにある「呪文」で作業されている方は、基本的には問題ないと思われ、です。
注意するに越したことはありませんが。

直接 FTP で作業されている方は、>>439 ということで。

**root▲▲ ★** · 2009/05/14(木) 22:04:38

>>442
> 駄なとこ踏むな

は、どだい無理な話なので、
本来的には「中身うｐ作業専用のPC」を準備し、
「そのPCでは中身うｐ作業＊しか＊絶対しない
(ブラウザでの内容確認など飛んでも8分歩いて15分)」
ということにすべきかと。

# 上記は「本来的には」であって、もちろんそうは簡単にいかないことは、
# 承知の上でゆってます。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:05:54

なんかp2pの時も同じことを言ってましたなｗ

世知辛い世の中になったもんです。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:07:37

ネット怖い
これはもう外に出るしかないのか・・・

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:11:50

外に出てもウイルス。
家に居てもウイルス。
やだやだ。

◆MUMUMUhnYI · 2009/05/14(木) 22:12:16

>>447
誰がうまいことを（りゃ。

**ょぅιﾞょの見物人** ◆YoJo69//rM · 2009/05/14(木) 22:13:37

こりゃどうすりゃいいわけ？

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:16:44

ひとまず携帯でアクセスする、とか

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:16:54

> 飛んでも8分歩いて15分

見かけなくなった類の exploit が

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:17:39

>>447
あははｗぱんでみっくってかんじですなぁ

被害が拡大しないよう神に祈るしかないです。・・・・誤爆の

◆NAO/2MXDEk · 2009/05/14(木) 22:22:45

ぱんでみっくにしてやんよ(？)
(`・ω・)つ≡つ

◆NAO/2MXDEk · 2009/05/14(木) 22:24:02

ネタ被ってるし orz

◆MUMUMUhnYI · 2009/05/14(木) 22:24:13

>>449
まずは自分のPCで、今回悪用された脆弱性を埋める(Adobe Readerだったっけ)、
んじゃないかしら。

あとは、、、。

**RD774LC ★** · 2009/05/14(木) 22:29:57

>>441
FFFTP使ってます。

>>439
セーフでした。

こちらの環境ではgumblarからは蹴られているようです。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:31:39

改ざんされたのってBIG-Serverだけ？　昨日binbo-serverのページは覗いていたから不安になってきた

**root▲▲ ★** · 2009/05/14(木) 22:31:57

>>456
おつですおつです。

そういえば、RD774LCさんって初めてお話させていただくかも。
はじめましてです。

◆SUAMA.PJ12 · 2009/05/14(木) 22:33:13

>>456
FFFTPを使って更新しているのならば、>>438に該当しますのでご注意を

# おいらも地雷処理用をもう1台用意すべきか

**root▲▲ ★** · 2009/05/14(木) 22:33:17

>>457
「少なくともmaido3.comは二度にわたって改ざんされていた」
ということだけが、確実な事実かと。

こういう場合は「少なくとも」な思考に倒して考えるほうがよいかと。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:33:20

おっと>>439で確認したけど日付は問題なさそうだった
rootﾀﾝありがとうです

**RD774LC ★** · 2009/05/14(木) 22:35:58

>>458
こちらこそよろしくです。

＃gumblarでググルとソースも読んでヒットするのでスクリプトに気をつけてください。。。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:37:18

まあはっきりいってmaidoだけの問題ではないですよねこれ
どのサイトが発信先になるか予想が付かないです。

まじめにXPを撲滅させるために作ったんじゃないかと思うほど

>>462
ぐぐったら結構解読されてるんですね・・・自力で解読したのに；ｸｽﾝ

**RD774LC ★** · 2009/05/14(木) 22:40:10

>>459
( ・ω・)∩

>>430
他のとこではその記述が抜けているところも多いのでwinのバージョンやブラウザで選別してるのかわかんないです。。。

**root▲▲ ★** · 2009/05/14(木) 22:40:24

>>463
> どのサイトが発信先になるか予想が付かないです。

例えば「しょこたん」とかのように、
人気のあるブログを持っている人のPCがやられていたりすると、
ものすごいことになるわけですね。

# しょこたんが実際にやられた、と言っているわけではありませんので念のため。

◆SUAMA.PJ12 · 2009/05/14(木) 22:40:55

>>463
このあたりとか >解読
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=zlkon.lv+%A4%AB%A4%E9+gumblar.cn+%A4%D8

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:42:02

セキュリティソフトを入れてるだけでは
駄目って事？

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:42:28

>>464
maidoのは解読したら上記のコードが入ってました。
難読化っていっても#を%に痴漢してURLエンコードかけてあるだけでしたが。

**RD774LC ★** · 2009/05/14(木) 22:42:44

>>463
自分もこの騒ぎに気が付いたのはGW明けでしたので出遅れてました。。。

**RD774LC ★** · 2009/05/14(木) 22:44:55

>>468
こんなのもありました。
http://changi.2ch.net/test/read.cgi/be/1241802079/21

**root▲▲ ★** · 2009/05/14(木) 22:45:21

>>467
Exactly.

今回のものは、
ダウンロードされるトロイ(マルウェア)の形(型)が簡単に変えられるようなので、
パターンマッチング型で動くようなアンチウイルスソフトでは、
原理的にかなりつらいと思われ。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:46:09

>>465
そうなりゃぱんでみっくみっく状態でしょうねぇ>>453

>>466
おお、どもども。無駄な時間を過ごしてしまった＿|￣|○

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:49:00

一般的なブログサービスってそれこそcgiから更新する形だから大丈夫じゃなのでは？
html直打ちするアイドル、是非見てみたい（嫌味に非ず）

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:50:40

>>471
ビヘイビアベースの検出とかプロセスのサンドボックスとかRoleベース権限付与とか…
夢物語だなぁ

**RD774LC ★** · 2009/05/14(木) 22:53:20

>>474
こんなのどうなんでしょうか。
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23427.html
併用で9,000円はちと手が出ない。。。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:54:04

>>473
「今日はこんなこーどを書いてみました～えへっ☆」
新しいアイドルの誕生ですね、ちょっと見てみたいかも・・・

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 22:54:05

GENOウイルスはまったく衰える気配を見せずか
有名になっちまったなGENOよｗ

**root▲▲ ★** · 2009/05/14(木) 22:54:12

>>474
いずれも研究段階の域を出ていないですね、、、。

**ょぅιﾞょの見物人** ◆YoJo69//rM · 2009/05/14(木) 22:54:15

sqlsodbc.chmが2006/03/02 21:00ってことは大丈夫なのかね。

● ◆SUAMA.PJ12 · 2009/05/14(木) 22:55:53

タイムスタンプなんて簡単に書きかえられちゃうんですよね･･･

◆MUMUMUhnYI · 2009/05/14(木) 22:56:02

>>475
鵜飼裕司さんか。（流石だなのAA

桶屋 · 2009/05/14(木) 22:56:56

ESET Smart Security（NOD32）も定義ファイルだけでなくヒューリスティック機能を搭載していることで有名ですね。

今回のマルウェアにも有効なんだろうか。

>>456
お疲れ様ですー

● ◆SUAMA.PJ12 · 2009/05/14(木) 22:57:53

とりあえずmaido3の中の人に、ドライブ燃やしてクリーンインストールした方がいい人がいるってことは事実ですね

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 23:00:51

真っ先にマァブを疑ったが、マァブなら許せる。

**動け動けウゴウゴ２ちゃんねる** · 2009/05/14(木) 23:04:12

GENOウイルススレ　★3
http://pc11.2ch.net/test/read.html/sec/1240853183/

いまだに被害拡大中

● ◆SUAMA.PJ12 · 2009/05/14(木) 23:04:52

検体をベンダに送ってますね
http://pc11.2ch.net/test/read.cgi/sec/1235459712/