アナログ
RSS  

Web改竄のコードが変化2010/01/08 05:51

www●zenoah●co●jp
【Gumblar/GENO】Web改竄ウイルス総合スレ【8080】 - 2ch.net
541 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 01:08:28
>>523
/*LGPL*/
ちょっと変わってるぞ

>>529
あれ? こっちでは反応ない

543 名前:541[sage] 投稿日:2010/01/08(金) 01:22:17
もう一ヶ所/*LGPL*/になっている所をみつけた
新型スクリプトみたいだな
検出できるのはノートンの侵入検知くらいかも
avast!にはスクリプトの検体を提出しておこう

562 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 04:22:12
ドクター中松のサイトが/*LGPL*/になった・・・

「GNU GPL」が「LGPL」に置き換わりだした。
LGPLのコメントを埋め込む改竄
orkut-com-br.hattrick.org.wiktionary-org.webnetenglish●ru:8080/google.com/google.com/intel.com/vnet.cn/onlinedown.net/

Google Cache 2009年12月31日では「GNU GPL」だった
Google Cache 2009年12月31日ではGNU GPLだった
gumtree-com.azet.sk.csdn-net.themobilewindow●ru:8080/google.com/google.com/schuelervz.net/basecamphq.com/blogbus.com/


avast!のWebシールドでも反応しない新ガンブラーが登場 - 2ch.net

新型じゃないのに新ってつけちゃう>>1って
(何がダウンロードされるか確認してないけれど、難読化のコードが変わっただけと思うよ
ウイルスコードも変わってるそうです。m(_ _)m

avast!Anti-Virus Part120 - 2ch.net
448 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 08:02:20
どこも検出しない
ttp://www.virustotal.com/jp/analisis/9c063a80b9be621983142f51b500161003ca8e6b8ce7e3127c249fb1e34b184c-1262904786
この前に出来るpdfupd.exeは検出するところもあるがこれはしない

449 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 08:29:23
>>448
確認だけど、これは/*GNU GPL*/の話?

450 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 08:42:03
>>449
新しいやつ/*LGPL*/

452 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 08:51:26
>>450
おぉ、すごいね
で、_TM6.tmpっていうのがウイルス本体なのか
脆弱性の攻撃方法は/*GNU GPL*/と同じだった?
質問ばかりですいません

453 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2010/01/08(金) 08:55:07
>>452
>脆弱性の攻撃方法は/*GNU GPL*/と同じだった?
ActiveXの脆弱性がある状態で試したところ
今までと同じようにwin.jpgがダウンロードされて同じような攻撃をされた
攻撃の手法は同じっぽい