2010年02月27日

FireFox3.6に脆弱性

 WatchGuard WIREより。
http://www.watchguard.co.jp/secnews/secwire/firefox362010225.html
FireFox3.6でセキュリティの脆弱性が見つかったとのこと。
ver.upまでゼロデイでびくびく。
なんだかウィルス関連記事でメモが埋まっていく・・・。
posted by tricross at 00:02| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする

2010年02月26日

8080系の脅威

 so-netのセキュリティニュースより。
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2166

 いわゆる8080系ウィルスは最強最悪のタイプのようですね。
FTPパスワードの監視、FTPクライアントの設定情報収集、
パスワードやメールアドレスの収集、スパムメールの送信、
ボット、隠ぺい用のルートキット、偽セキュリティソフト等の
インストール。
ありとあらゆることが可能になってしまいます。

ともかく予防と、感染した場合はOS再インストール、これが大切です。
アンチウィルスソフトを入れているから大丈夫、なんて甘い考えは捨てましょう。
posted by tricross at 22:28| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする

2010年02月11日

ガンブラーチェッカー

 ガンブラーチェッカーで検索してくる人が多いので、書いておく。
Gumblar Checker 3
8080系をチェックする。
http://gumblar.s1.dynamitelife.net/ver3/

Gumblar.X Checker
Gumblar.Xをチェックする。
http://gumblar.s1.dynamitelife.net/gumx/

言うまでもないことだが過信は禁物。
新しいコードが見つかる->作者がそれに対応する
なので、後手後手に回っているし、何よりもボランティアでやっていること。
アンタイヴァイラスソフトもそう。検体が提出されないと対応できない。
一番いいのは新しいサイトに行ってみるときにはソースを確認することだが。

面倒だねい。
posted by tricross at 22:46| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする

2010年01月31日

ガンブラーチェッカー

 以前紹介したガンブラーチェッカーが都合により停止したようです。
代替サイトがこちらにあります。
http://gumblar.s1.dynamitelife.net/
ただ、もう新しい8080系には無力かもしれません。
それから、aguseというサービスもあります。8080系を調べてくれる
ようですが、javascriptをonにしなければなりません。
http://www.aguse.jp/

 FFFTPは有志により新しいバージョンが出たそうです。俺はすでに
もとのソフトに戻してしまったので見てないですが、FFFTPを使いたい
人は、配布元を見てみるといいかもしれません。

 なんかウィルスの話題ばかりですね。雪風早くこないかな。
posted by tricross at 23:49| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする

2010年01月30日

FFFTP

 8080系のコードがFFFTPのパスを盗むということを、FM77.43経由で
知りました。2ちゃんねるのセキュリティ板のスレ
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】
でも話題になってます。(注意! このスレに貼られているアドレスは
ほとんど全て感染したアドレスだったり、悪意あるサイトへの誘導
だったりするので踏まないように! また、書かれている対処法も危険
なものだったりするので(>>9など)よく前後の文脈を読んで下さい)

今まで某FTPソフトを使い、毎回手打ちでパスを入れていて、最近とうとう
面倒になってFFFTPを導入した後だったので、これは衝撃でした。
うわさにはなっていましたけど。
残念ですけどレジストリのsota以下を削除してアンインストールしました。
パスをレジストリではなく、iniに記録するようにしていたのですが、
パスを毎回入力するように設定しても、iniファイルのhistryの項目に、
PASSWORDという項目があるのでどうにも安心できなかったのです。

 8080系はReaderやflashの穴を塞ぐことも重要ですが、JAVAの
バージョンをあげること、必要な時以外は切っておくことが対策の
ポイントのようですね(出典前記スレ)。

 この一ヶ月でも悪意あるJavascriptコードが次々変わっていってるので
当分の間(もしかするとずっと?)はアンチウィルスとのいたちごっこに
なりそうです。
posted by tricross at 22:06| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする

2010年01月22日

8080系ウィルス

 今まで8080系は
GNU GPL
CODE1
LGPL
といった特徴的なコメントを埋め込んでいたので1/20に紹介した
ガンブラーチェッカーでもそれを検知していたのですが、
とうとう
/*handle exception*/
という普通のコメントを埋め込む型が出たようです。
まだ、というか当然ガンブラーチェッカーは検知しません。
ガンブラーチェッカーにかけた後、scriptに".ru:8080"という文字が
埋め込まれていないかブラウザの検索機能で検索するしかありません。
(ガンブラーチェッカー自体はもちろんスクリプトを実行しません)

これで難読化されたら・・・。

am2:00追記。
作者さんが対応して下さったようです。頭がさがります。
posted by tricross at 01:03| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする

2010年01月20日

ウィルス

 どこもかしこもガンブラーにやられてますね。しかも亜種が現れる
速度が半端じゃない。企業サイトも個人サイトもおちおち覗いてられません。
心配な時はガンブラーチェッカー
http://gumblarchecker.crz.jp/
で自サイトや、行くサイトをチェックしてみて下さい。
Acrobat ReaderのアップデートとJava Scriptのチェックはずしなどの
種々の対策をとっていれば、今のところは安全だと思いますが・・・。
posted by tricross at 22:30| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする

2009年11月18日

Gumblar(GENOウィルス)その2

 インプレスでも記事が出てました。
http://internet.watch.impress.co.jp/docs/news/20091117_329507.html
いろんなサイトが感染してますね(具体名はないけど)。
posted by tricross at 02:52| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする

2009年11月17日

Gumblar(GENOウィルス)

 またGENOウィルスが猛威を奮っているようです。例えばinterQは
404のページがやられてjavascriptが埋め込まれているようですが、
これがあるからjavascriptはonにしたくないのに、sitemixはonに
しないとまともにサイトが見れません。
 皆さんもadobe reader、flashのアップデートとそれぞれのjavascript
切断、windows updateは怠らないようにして下さい。
posted by tricross at 04:28| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする

2009年05月18日

ヴァイラス

090518_mask.jpg
心配な人は2chインターネット板のGENOウィルススレを
追うのがよいかも。
セキュリティ板はもうぐだぐだ。
posted by tricross at 20:55| Comment(0) | ウィルス | このブログの読者になる | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。