2010年1月の記事一覧

追記(2010年2月 3日)

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

Cドライブのファイル増減と追加/変更されたレジストリの値など

続きを読む

追記

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

おまっとさんでした!

なぜか最近感染したくてもできない状態が続いていたいわゆるガンブラー(8080系)が、元気になってあなたの元へかえってきましたよ!

ガンブラー 感染できない - smilebanana

ガンブラー 感染できない2 - smilebanana

ガンブラー なんじゃこりゃ - smilebanana

スクリーンショットやファイル・レジストリ増減の監視結果なんかはまた明日!

FFFTPの「設定をINIファイルに保存」を有効にしている場合どうなるの?なんて質問もあったので、今回はレジストリに登録されている情報を削除して、その設定を有効にしておきました!

これで様子を見て改ざんされないようなら、今の所INIファイルの情報までは読みに行ってないっていう事かもしれないけど結局ハッキリした事は言い切れないので微妙なところだよね!

追記

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

我ながらエントリーのタイトルに統一性がなくてよくわからなくなってきたのでGumblar.8080としてまとめようかいやでもめんどくさいなぁみたいな感じ。

 

さて、改ざんコードがちょこちょこと変わってきているようですが、脆弱性たっぷりな状態でそのようなサイトへアクセスしてもなんだか最近うまく感染してくれないよう。

というのが昨日までのお話。

どうせ今日もダメなんでしょハイハイちょろっと試してさっさと寝るべ、と思っていたら今日はちょっと違う反応が・・・

続きを読む

追記

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

今日も今日とて一応改ざんされているサイトをちょこちょこ見回ってみましたが昨日と変わりない感じ。

なんか、せっせと通報している人のおかげか、改ざんされたまま放置されてるサイトがかなり少なくなってるような気がしますね。

2chに書き込まれているようなアドレスや、検索して出てくるようなサイトはほとんどが404か403か修正済み(そのうちほとんどが告知なし)

 

ところで、かつて感染したときに一度改ざんされた生贄PCのFFFTPに登録してある生贄サイトですが

改ざんを修正してから、その後も敢えてパスワードを変更せずにおいたんですよね。

ただ、結局それ以降は一度も改ざんされていないので

「サイトが改ざんされるタイミングは、ウイルスに感染してFTPクライアントの情報を外部に送信した時だけ」

なのかなーとか思いつつ、たった今GumblarCheckerで生贄サイトを確認したら

あ・・・・あれ?

確か昨日の夜確認した時には問題なかったはず・・・

うんたらかんたらsuperhighest.ru:DEBUG/

おおう、噂の/*コメント*/なしのDEBUG。

FFFTPのこの表示が正しいのならば、改ざんは1月28日(今日)の4:53に行われたらしい。

ということでやっぱり

『一度改ざんされたらその時の情報を使って再び外部から改ざんされる恐れがあるのでパスワードの変更は絶対しておきましょうね!』

という事・・・でいいんですかね。

あとはこの機会にFFFTPから卒業するとか・・・

UnderForge of Lack » Blog Archive » [Hammmer and Anvil] 夜間便
 
FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。
しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。

ちなみに、この生贄サイトにアクセスすると

ページの内容が表示された後

リダイレクト先を読み込みはじめたと思ったら・・・

真っ白な背景にリダイレクト先のURLの一部が表示された状態で読み込みはストップ(フリーズしているわけではない)

パケットログ。

 

うーんうーんzzzz

追記

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

おうちにかえったら手洗いうがい、感染実験。

とうとう、STOPエラーも出なくなりました。

javaやAcrobatReaderのプロセスも立ち上がってこないのでほぼ間違いなく感染失敗している様子

役に立つのかよくわからない、アクセス時のパケットログ

うーん?

UnderForge of Lack » Blog Archive » [WARNING] 8080 が攻撃手順を変更か?

ちなみにアクセスしたサイトはまだ/*Exception*/でしたが↑にある通り一部のサイトではコードも微妙に変わってきている様子。

うちのコメント欄にも

tsutchan (2010年1月27日 15:45)

本日友人のサイトでは・・・
/*~*/がない
<script> try{~
というものが出たそうです。

こんな情報が。

なんだかよくわかりませんが、小康状態?

ねこマッサージ店

がんぶらー関連はうまく感染するようになるまでお休み

 

ところで、型落ち(になる)Panasonicの液晶テレビVIERAと、ブルーレイレコーダーDIGAの価格が落ちるのを待っているんですが

思ったより落ちないので困ってます。

基本的に、セールを待ったり店員相手に値切ったりして安く買った時に幸せを感じるタイプではなく

多少高くても欲しくなった時にすぐ買ってウホウホ言いながら喜ぶタイプなので、じっと待つのもなかなかのストレス。

その上この連勤でのストレスも重なっているので、近いうちに我慢できずついうっかり買っちゃいそう。

しかし大きなお買い物。ここはじっくり待ってできるだけ安く買いたい。

 

ちなみに当初はレコーダー機能内蔵のテレビを買う予定だったんですが

録画した番組をDVDとかに焼きたい時あるよね。
  ↓
 テレビ+DVDレコーダー(DMR-XP200 42,000円くらい)にしよう
  ↓
ワンランク上のブルーレイ対応のやつならパソコンとか携帯から予約できるらしいよ。
  ↓
 テレビ+ブルーレイレコーダー(DMR-BR570 50,000円くらい)にしよう
  ↓
ダブルチューナーにしといたほうがあとあと後悔しなくてすむと思うよ。
  ↓
 テレビ+ダブルチューナーブルーレイレコーダー(DMR-BW570 61,000円くらい)にしよう

あらいやだ!いつの間にかテレビとブルーレイレコーダー(Wチューナー)を買う気になってる!

続きを読む

追記

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

やっとこ生贄PCをリカバリー

これでSP3を無理やり削除したようなおかしな状態とはサヨナラさ。

 

という事でWindowsXP Pro SP2のディスクから新規インストールして(脆弱性たっぷりな)環境を整え

ちょっと情報が見やすいかな、と思ったのでPacketManiaをインストールしたりして

さぁこい!!

どんとこい!!

とガンブラ子にアタックしたら

続きを読む

今ここ

1月17日

日曜

休日

18日

月曜

出勤

19日

火曜

出勤

20日

水曜

出勤

21日

木曜

出勤

22日

金曜

出勤

23日

土曜

出勤

24日

日曜

出勤

←今ここ

25日

月曜

出勤

26日

火曜

出勤

27日

水曜

出勤

28日

木曜

出勤

29日

金曜

出勤

30日

土曜

出勤

31日

日曜

出勤

2月1日

月曜

出勤

2日

火曜

出勤

3日

水曜

出勤

4日

木曜

出勤

5日

金曜

出勤

6日

土曜

未定(たぶん出勤)

7日

日曜

未定(たぶん出勤)

8日

月曜

出勤

9日

火曜

出勤

10日

水曜

出勤

11日

木曜

未定(たぶん出勤)

12日

金曜

出勤

13日

土曜

未定(たぶん出勤)

\         /_ /     ヽ /   } レ,'           / ̄ ̄ ̄ ̄\
  |`l`ヽ    /ヽ/ <´`ヽ u  ∨ u  i レ'          /
  └l> ̄    !i´-)     |\ `、 ヽ), />/        /  地  ほ  こ
   !´ヽ、   ヽ ( _ U   !、 ヽ。ヽ/,レ,。7´/-┬―┬―┬./  獄  ん  れ
  _|_/;:;:;7ヽ-ヽ、 '')  ""'''`` ‐'"='-'" /    !   !   /   だ.  と  か
   |  |;:;:;:{  U u ̄|| u u  ,..、_ -> /`i   !   !  \   :.  う  ら
   |  |;:;:;:;i\    iヽ、   i {++-`7, /|  i   !   !  <_      の  が
  __i ヽ;:;:;ヽ `、  i   ヽ、  ̄ ̄/ =、_i_  !   !   /
   ヽ ヽ;:;:;:\ `ヽ、i   /,ゝ_/|  i   ̄ヽヽ !  ! ,, -'\
    ヽ、\;:;:;:;:`ー、`ー'´ ̄/;:;ノ  ノ      ヽ| / ,、-''´ \/ ̄ ̄ ̄ ̄
                 ̄ ̄ ̄            Y´/;:;:;\

追記

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

アメブロのノートンプロモーションページが改ざんされた問題のお詫びで90日無償版が公開されているノートン インターネット セキュリティ2010

Norton Police City in Ameba キャンペーン ブログパーツ改ざんに関する対処方法のご案内

これがガンブラーに対して無力だったら笑えないよね。

という事でノートン インターネット セキュリティ2010は脆弱性がある状態でガンブラーによるウイルス感染を防ぐ事ができるのか!!

今回はデータ通信用の端末を会社に置き忘れてしまったので自宅回線から一発勝負。

ガンブラー vs Spybot-S&D - smilebanana

ガンブラー vs ウイルスバスター2010 - smilebanana

ガンブラー vs avast! - smilebanana

ガンブラー vs ウイルスセキュリティZERO - smilebanana

ガンブラー(/*Exception*/) vs avast! - smilebanana

続きを読む

追記

8080系の記事に関して時系列順にまとめました。

8080系(いわゆるガンブラー系)記事のまとめ - smilebanana

以前こんなコメントを頂いてましたが

それ以後もJRE 1.6.0_15を使い続けていたのは、違うの、無視してたんじゃないの。

ついウッカリしてただけなの。

ウッカリなの。

という事でJREのバージョンを1.6.0_10へ落とした後、前回好成績だったavast!をインストールして実験してみました。

続きを読む

このページの上部へ

このブログについて

  • bananaのブログです。
  • 連絡その他は

    まで。

サイト内検索

最近のコメント

月別アーカイブ

  1. 2017年1月 [1]
  2. 2016年11月 [1]
  3. 2016年10月 [1]
  4. 2016年6月 [1]
  5. 2016年5月 [2]
  6. 2016年4月 [1]
  7. 2016年2月 [2]
  8. 2016年1月 [4]
  9. 2015年12月 [2]
  10. 2015年11月 [1]
  11. 2015年10月 [3]
  12. 2015年9月 [4]
  13. 2015年8月 [17]
  14. 2015年7月 [13]
  15. 2015年6月 [19]
  16. 2015年5月 [22]
  17. 2015年4月 [21]
  18. 2015年3月 [23]
  19. 2015年2月 [22]
  20. 2015年1月 [28]
  21. 2014年12月 [27]
  22. 2014年11月 [24]
  23. 2014年10月 [21]
  24. 2014年9月 [19]
  25. 2014年8月 [8]
  26. 2014年7月 [24]
  27. 2014年6月 [25]
  28. 2014年5月 [24]
  29. 2014年4月 [23]
  30. 2014年3月 [27]
  31. 2014年2月 [25]
  32. 2014年1月 [28]
  33. 2013年12月 [30]
  34. 2013年11月 [24]
  35. 2013年10月 [27]
  36. 2013年9月 [25]
  37. 2013年8月 [26]
  38. 2013年7月 [29]
  39. 2013年6月 [30]
  40. 2013年5月 [25]
  41. 2013年4月 [28]
  42. 2013年3月 [30]
  43. 2013年2月 [28]
  44. 2013年1月 [30]
  45. 2012年12月 [27]
  46. 2012年11月 [22]
  47. 2012年10月 [25]
  48. 2012年9月 [30]
  49. 2012年8月 [31]
  50. 2012年7月 [30]
  51. 2012年6月 [30]
  52. 2012年5月 [28]
  53. 2012年4月 [30]
  54. 2012年3月 [31]
  55. 2012年2月 [28]
  56. 2012年1月 [31]
  57. 2011年12月 [30]
  58. 2011年11月 [30]
  59. 2011年10月 [31]
  60. 2011年9月 [30]
  61. 2011年8月 [28]
  62. 2011年7月 [30]
  63. 2011年6月 [30]
  64. 2011年5月 [31]
  65. 2011年4月 [28]
  66. 2011年3月 [31]
  67. 2011年2月 [28]
  68. 2011年1月 [29]
  69. 2010年12月 [29]
  70. 2010年11月 [30]
  71. 2010年10月 [31]
  72. 2010年9月 [30]
  73. 2010年8月 [31]
  74. 2010年7月 [29]
  75. 2010年6月 [29]
  76. 2010年5月 [30]
  77. 2010年4月 [28]
  78. 2010年3月 [31]
  79. 2010年2月 [28]
  80. 2010年1月 [35]
  81. 2009年12月 [30]
  82. 2009年11月 [29]
  83. 2009年10月 [32]
  84. 2009年9月 [29]
  85. 2009年8月 [31]
  86. 2009年7月 [31]
  87. 2009年6月 [30]
  88. 2009年5月 [30]
  89. 2009年4月 [30]
  90. 2009年3月 [30]
  91. 2009年2月 [28]
  92. 2009年1月 [31]
  93. 2008年12月 [31]
  94. 2008年11月 [31]
  95. 2008年10月 [30]
  96. 2008年9月 [31]
  97. 2008年8月 [30]
  98. 2008年7月 [32]
  99. 2008年6月 [30]
  100. 2008年5月 [31]
  101. 2008年4月 [30]
  102. 2008年3月 [31]
  103. 2008年2月 [30]
  104. 2008年1月 [27]
  105. 2007年12月 [31]
  106. 2007年11月 [28]
  107. 2007年10月 [29]
  108. 2007年9月 [29]
  109. 2007年8月 [31]
  110. 2007年7月 [30]
  111. 2007年6月 [30]
  112. 2007年5月 [31]
  113. 2007年4月 [29]
  114. 2007年3月 [31]
  115. 2007年2月 [28]
  116. 2007年1月 [33]
  117. 2006年12月 [30]
  118. 2006年11月 [30]
  119. 2006年10月 [31]
  120. 2006年9月 [30]
  121. 2006年8月 [32]
  122. 2006年7月 [33]
  123. 2006年6月 [28]
  124. 2006年5月 [32]
  125. 2006年4月 [32]
  126. 2006年3月 [33]
  127. 2006年2月 [29]
  128. 2006年1月 [32]
  129. 2005年12月 [32]
  130. 2005年11月 [35]
  131. 2005年10月 [37]
  132. 2005年9月 [36]
  133. 2005年8月 [34]
  134. 2005年7月 [38]
  135. 2005年6月 [34]
  136. 2005年5月 [40]
  137. 2005年4月 [36]
  138. 2005年3月 [33]
  139. 2005年2月 [36]
  140. 2005年1月 [33]
  141. 2004年12月 [42]
  142. 2004年11月 [41]
  143. 2004年10月 [16]