「0系」を含む日記

■感染対策くらいかけよ！そっちの方が重要じゃねーのか？

感染された時点でなにされてもおかしくないのにFFFTPがどうのとか・・・小一時間

などと罵倒しつつ、俺は書くの面倒だから2chからコピペですます。亜種でたら対策も変わるので注意ね。

【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】 http://pc11.2ch.net/test/read.cgi/sec/1263865118/

現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNU GPL*/』『/*CODE1*/』)
JustExploitなどのインジェクションが流行しています
基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう

【脆弱性を利用されやすいソフトウェア】
下記については必ずアップデートしてください
使用していないものはアンインストール推奨です

■ Windows Update / Microsoft Updateを更新
・XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)
http://get.adobe.com/jp/reader/
・インストール後本体をアップデート
　ヘルプ → アップデートの有無をチェック
・Acrobat Javascriptをオフにする
　編集 → 環境設定 → Javascript → 「Acrobat Javascriptを使用」のチェックを外す
■ Adobe Flash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意！)
http://get.adobe.com/jp/flashplayer/
http://www.adobe.com/jp/shockwave/download/alternates/#fp
・Flash Playerのバージョン確認
http://www.adobe.com/jp/software/flash/about/
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
■ Adobe Shockwave Playerを更新 (最近は使わないはずなのでアンインストール)
http://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Runtime Environmentを更新 (Javascriptとは違うので注意)
http://www.java.com/ja/
・Javaのバージョン確認
http://www.java.com/ja/download/installed.jsp
■ QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)
http://www.apple.com/jp/quicktime/download/
■ RealPlayerを更新 (使っていないならアンインストール)
http://jp.real.com/?mode=basic

【アップデート支援ツール】
■ アプリケーションの脆弱性確認ツール
・MyJVN バージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/
・Secunia Personal Software Inspector (PSI)
http://secunia.com/vulnerability_scanning/personal/
■ Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
http://www.forest.impress.co.jp/docs/review/20091020_323014.html
http://hide9999.web.fc2.com/

【Gumblar.x / Daonol(新GENO)ウイルスについて】
■ Gumblar被害拡大中(1)(2)(3)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094
■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
http://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
http://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1
レジストリの修復 Windowsを使わずに修復してみる
http://pctrouble.lessismore.cc/boot/recover_registry.html
■ 感染確認・駆除ツール
アンラボ(v3daonol.exe)
http://www.ahnlab.co.jp/download/vdn_list.asp
マカフィー(stinger.exe)
http://www.mcafee.com/japan/mcafee/support/announcement20091127.asp
Kaspersky(KatesKiller.exe)
http://support.kaspersky.com/faq/?qid=208280701

【旧Gumblar(GENO)ウイルスのまとめなど】
＊＊＊ 【注意！】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ＊＊＊
■ Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
■ GENOウイルスまとめ
http://www29.atwiki.jp/geno/

【8080系ウイルスについて】
メディアなどでは「ガンブラー(の亜種)」と紹介されていますが
Gumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに
<script&gt;/*LGPL*/
<script&gt;/*GNU GPL*/
<script&gt;/*CODE1*/
などから始まる難読化したスクリプトが埋め込まれています
2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため
回避策としてAcrobat Javascriptのチェックを外してください
修正版の配布は2010年1月13日の予定です
他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を
利用していますがこちらはアップデートで対処できます
感染すると他のウイルスなどを呼び込むため非常に危険です
■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃～今すぐ対策を
http://www.so-net.ne.jp/security/news/view.cgi?type=2&amp;no=2106
■ 感染確認(2000,XP)
あくまで現時点での確認方法であることに注意してください

セーフモードから起動してレジストリエディタでRunエントリ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
から
"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp"
"~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"
等の登録があれば感染済

上記の登録情報を削除した上で
C:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exe
のファイルを削除すれば復旧しますが、亜種等で違うこともあるので
可能な限りクリーンインストール＆サイト持ちは
安全なPCからのパスワードの変更を推奨します

GENO（Gumblar）ウイルス対処法。

行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。

(1）Microsoft Update（Windows Update）を実行しシステムを最新の状態にする
(2）Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する

(1)～(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。

(1）Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2）「分類」の中の「JavaScript」を選択
(3）「Acrobat JavaScriptを使用」のチェックをクリア
(4）「OK」ボタンを押す


※サイトを運営されている方は、さらに次のことも実施していただきたい。

(1）管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する
(2）改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、
ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する

http://anond.hatelabo.jp/20100130202235

Permalink | 記事への反応(2) | 08:27

ツイートシェア

■「FFFTPだけが危ない」はデマ

　■乗り換えても無駄

　　　感染した場合、危ないのはFFFTPじゃなく、FTPクライアントソフト全体

　　　SmartFTP、NextFTP、Filezilla、WinSCPもFFFTPと同じ意味で危険

　　　今のところ大丈夫なクライアントはある

　　　でも、大勢の人が乗り換えたら、マルウェアがバージョンアップして対応してくるだけだよ

　　　ていうか、パスワードを保存すること自体が危険だよ

　　　INIファイルに変えたって同じだよ！

　■特定のマルウェアに感染しなければ大丈夫

　　　もちろん、「絶対感染しない｣ってのは不可能だけどね

　　　感染した場合に、FTPソフトが保存してる情報を盗み出して利用される

　　　だから危ないと騒がれてる

　　　｢特定のマルウェア｣とは、8080系とか“Gumblar”とかいわれてる奴

**　■過去にパスワードを保存していないなら平気

**　■今後もパスワードを保存しなければ平気

　　　保存して無いものは盗みようが無い

　　　この後に「でも今回の問題だけね、そもそも・・」と続くので取消します

　■FFFTPを使うとマルウェアに感染するというのもデマ

　　　FFFTPのせいで感染するわけじゃない

　　　感染した後に利用される

　　　だからセキュリティ対策をしっかりしよう

　■じゃあ結局どうすれば良いのか

　　　＜＜最重要＞＞

　　　　　OSやウィルス対策ソフトのアップデートをちゃんとやる

　　　　　あと、これもやる http://anond.hatelabo.jp/20100131082751

　　　＜＜通信盗聴の対策＞＞

　　　　　FTPを使わない。暗号化されるものを使う（FTPSとかSFTPとかが話題に上がってるね）

　　　　　　　通信部分を盗聴するのは、マルウェアに感染させるより簡単なので、そこの対策だね

　　　＜＜感染した場合に備える＞＞

　　　　　パスワードを保存しない

　　　　　これまでに保存したパスワードを消去する

　　　　　過去にインストールしたソフトが情報を残してないか確認する

　　　　　　　なんだかんだで、「感染して即盗られる」のと「使ったら盗られる」のは危険度が違うよね

以上

　■追記　

　　　でもさ、マルウェアに感染してる時点で情報は盗られるからね？

　　　例えば、FTPは通信を暗号化してないから、簡単に盗聴できるからね？

　　　今回は「パスワードが利用される」だったけど、「FTPを盗聴して内容をネットに送信する」マルウェアも作れるからね？

　　　これ、FTPクライアントがFFFTPだろうがなんだろうが関係無いからね？

　■今回の教訓

　　　・暗号化無しの通信方式（FTPとか)で大事な情報送るな

　　　・パスワードは保存するな

僕はローカルに保存せず、ポストイットに書いてディスプレイに貼り付けます（＾ｑ＾

　　追記の追記

　　タイトル変えました

　　あとポストイットの件はモチィのロンで冗談ですごめんorz

　　でもマジでどう管理するのがベストだろうね

　　追記の追記の追記

　　id:mala氏に怒られた？

　　同じ内容を書いてるつもりだけど、何か違うらしいので彼の主張を載せます

　　"「「FFFTPが危ない」はデマ」はデマ。

　　　特定のFTPクライアントにパスワードを保存している状態でマルウェアに感染すると、

　　　感染状態でFTP接続しなくてもパスワードを盗まれる危険があり、そのクライアントの中にFFFTPが含まれる。"

　　　http://twitter.com/bulkneets/status/8412642399

　　id:otsune氏からの指摘

　　"「CuteFTPやFFFTPが保存したパスワード情報が盗まれる」と「WinPcapでftpパケットを見られる」のを区別して書かないからダメなんじゃね”

　　　確かに分りにくかったかもしれない。

　　　話が繋がってるから区別して書きにくいなー。

　　　1.FTPという通信方式自体が、パケットを見られるとパスワードやアカウント、通信内容が簡単に盗られる

　　　　　なぜなら暗号化してないから

　　　　　"そもそもFTPなんか使うな" と言ってる人達が問題にしてるのはここ

　　　2.マルウェアに乗っ取られたら・・・

　　　　 i. パケットは見放題なので、FTP使って通信したらパスワードとか盗られる

　　　　 ii.キーボードで何を打ったかも分かるので、パスワードを入力した時点で盗られる

　　　　　　"マルウェアに乗っ取られた時点でFTPだろうがなんだろうがパスワード盗られるよ" と言ってる人たちが問題にしてるのがここ

　　　　iii.パソコンに保存してあるファイルもレジストリの情報も盗られまくる

　　　　　今回の騒ぎの発端はここ

　　　　　過去に使ってたID/パスワードが残ってたら、FTPで通信をしなくても盗られる

　　　　　FFFTPや他のソフトがパスワードを保存しているレジストリやファイル、それ自体が狙われた、って話だね

　　KKI氏からの指摘

　　　"FFFTPでパスワードをINIに保存すれば良いという主張にもツッコんでおいて欲しいなあ"

　　　　http://twitter.com/KKI/status/8416101308

　　　　TL検索したら「INIファイル保存でいいみたいだ、FFFTPに戻るわ」って書いてあった

　　　　上に書いてある通り、亜種が出ればそのファイルが狙い打ちされるだけだよ

　　　　そして人気のあるマルウェアはすぐ亜種が出るよ

ブコメやついったーに突込みが出たら、気付き次第拾う

Permalink | 記事への反応(6) | 20:22

ツイートシェア

■http://anond.hatelabo.jp/20090723153658

元増田だが、具体的はまったことを挙げていく。

・LAN上のNASに繋がらない

→アイオーのLANDISKってやつにログインできない。認証のダイアログは出るけど認証に失敗する。

→landisk vistaでぐぐるとわかるけどレジストリの変更が必要。なにそれ。

・アライドテレシスのルータにVPN接続できない。

→ファームウェアアップデートが必要。ばりばり運用中のものをアップデートなんでできないっすよ。

・ヤマハのルータにVPN接続できない。

→コマンドによる設定変更が必要。ばりばり（ｒｙ

・マシンを立ち上げてVMware Server 1.0系で仮想マシンを起動すると、10分ほどフリーズする。

→これはどうしようもない。あきらめて待つしかない。一度立ち上がるとそれ以降のVMの起動はすぐできる。

→Vista機はスリープを多用してシャットダウンさせないようにすることでとりあえず回避可能。

Permalink | 記事への反応(0) | 10:57

ツイートシェア

■新幹線500系って鉄オタの人にも人気あるの？

あの日曜朝の戦隊モノみたいなデザインと色使いは非鉄オタ受けはよさそうだけど真性鉄オタのみなさん的にはどうなのですか？

　東京都在住　800系好き会社員

Permalink | 記事への反応(1) | 12:17

ツイートシェア

■0系

N-700から300に乗り換えるだけでも惨めな気分になるのに、そんなに0系が良いかなぁ

Permalink | 記事への反応(1) | 15:41

ツイートシェア

■http://anond.hatelabo.jp/20081201170937

いざなくなると惜しくなるのが人情といいますか。まぁ、勝手なもんですよ、人は。

0系に限らず、新幹線には旅情を感じないし、画一的だと思いますけど、

まぁ長年活躍した選手が、寄る年波に勝てず現役引退ということですので、ご苦労さんでしたと言うことでよいのでは？

Permalink | 記事への反応(1) | 17:21

ツイートシェア