GENOウイルススレ

>>947
確かにそうだなｗ
そのDNSがやられたら一蓮托生だし。

>>951
良いテンプレGJ

>>948
加えてバッファ オーバーフロー対策にどうですか
XPSP2以上用の解説ですがVistaも同様です
ttp://support.microsoft.com/kb/889741/ja
（通常で不安定なPCにはおすすめでないですが）

皆さんに質問。テンプレセキュリティサイトの焼却炉の数字をPG2に登録したんですけど
焼却炉の数字を数字を登録するでGENO対策になってますよね？

p://park17■wakwak■com/~kitagawadaisuke/

感染を確認。HP管理者の連絡先不明のため、サーバー管理者に連絡済み。

85.214.90.254　これどうするかなぁ・・独り言
めんどくさいから全焼きしとくか
85.214.16.0 - 85.214.139.255
85.214.0.0/16　

>>955
リストとしてきちんと登録されていれば現状は対策になっていると思うよ

XP SP3遣いっす。
不安なんで教えてください。

C:\WINDOWS\system32\drivers\etcにあるhostファイルの最後に

#090518 zlkon, GENO malware
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn

を追加しときました。
これでhostsファイルはおっけーですか？

>>951
ありがとう！

昨日半年ぶりくらいにログインしたmixiにGENOの事書いたら
腐の方達からすごい質問攻め
「自分もよく解らないのでまとめwiki見たほうがいいですよ」と返信したら
二人程から
「なら書くな！」
と

泣いていい？

>>454
それ英語版ファイルだから無問題ってことで俺の中では脳内変換されてる。

>>469
俺のVista機だと
日本語50727バイト
英語46133バイト

>>960
なんかよくわからんが、存分に泣くがいい。

>>960
ｗｗｗ

>>960
怖いのう怖いのう

>>960の人気に嫉妬

>>960
一緒に泣いてやるよ

>>954
普段は一般ユーザーで利用、DEPは全アプリでオン、IE8は保護モード動作、と一通りやってますよ

>>963-967
みんな　ありがとう
本当に優しいな


俺、検証も人柱もできないけど、これだけは言いたい


mixiに書いちゃだめ

　　　　　　　○
　　　　　　　ノ|）
　　＿|￣|○ <し
　　　　↑
　　　>>960

おー ウイルスリンク集続々と集まってるね
俺も帰ったらサブPCで怪しいとこ特攻するわ
同人は東方とボーカロイドが特に危ないんだよな？

今までセキュリティはソフトにおまかせだけだったので、先人の皆さんに感謝です。
>>2の1.から4.までは比較的楽にできました。
「５．危険IPのブロック」はレスを参考に以下のようにやってみました。

hostsに３つのドメインを127.0.0.1で入れ、さらにIPでもはじくようにと思い、
ググってリンクたどって一番分かりやすかったのが・・・
「Kaspersky Internet Security 2009 通信を遮断するアドレスを範囲指定する方法」
自分がカスペ最近使い始めたのもあるんですが、これを見ながら
94.229.64.0/20(zlkon.lvに割り当てられていた範囲)と
95.129.144.0/23(martuz.cnとgumblar.cnに割り当てられていた範囲)を
カスペにFW設定してみました。
findyourbigwhy.cnとbigtopsuper.cnはカスペでドメイン名のFW遮断設定だけしましたが、
IP範囲ではどういう設定すべきか、>>957さん同様考え中です。

>>969
誰だったらそういう奴らに広めてやるわ
やらないけど

>>969
謎の文字列はまだかね？

>>968
あぁDNSサーバー使いの人だったのですか
レスを読み返すと対策はかなり完璧じゃないですか

同人サイトって、同人誌出してるような絵描きのサイトのことなのか？

>>957
allow 85.214.0.0/20
deny 85.214.0.0/16

ってポリシーでどう？

>>5
カスペでも検知できるって聞いたんだけどavastの方がいいの？

デルのPC XPで感染してしまったようです。
再インストールしたかったのですが、セットアップ途中で反応無し
デルのサポートセンターの答えは、HD故障の疑いで現在検査中
1時間くらい掛かるということでしたが、5時間半経過でまだ56％
感染＆HD故障がたまたま重なったと言うことなのでしょうか？

通称「GENOウイルス」・同人サイト向け対策まとめ
ttp://www31.atwiki.jp/doujin_vinfo/pages/24.html

にある
ウイルスバスター2009（ver.17.1.1251）のファイアウォール設定

ですが

ttp://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
の注意書きにある

注意：
例外ルール設定に、トロイの木馬が使用するプロトコルとポート番号を設定した場合については
トロイの木馬アタックを防ぐことができません。
例外ルール設定の追加に関しましては、お客様の自己責任でおこなっていただきますよう
お願いいたします。

のとおりトロイの木馬は防げませんってサポートが言ってました

>>977 の訂正
allow 85.214.0.0/20
allow 85.214.240.0/20
deny 85.214.0.0/16

さっきから最新？のGenoを飼ってるんだけど、>>401あたりからの情報通り、
普通にオペレーションできてしまう。
qlsodbc.chm以外にわかりやすい判定方法がないぞ、これ。

しばらく動かしたままにしてるんだけど、サイズは1,323バイトのまま変化せず。
中身はASCIIテキストで謎の文字列。
サイズが変わったとかハッシュがどうこうではなく、chmファイルをダブルクリック
して開けなければ感染してる。

別のVMで他のサイトから感染させてみて、文字列が変わるかどうか調べてみるか。

FTPしないとサイズ変わらないのかな。
どこかの anonymous サーバにテストFTPしてみるとかどうだろう？

>>980
トロイの木馬が使用するプロトコルとポート番号を（例外ルールで通信の許可）設定した場合は防げないってことでは？
ファイル共有などで誤って、トロイの木馬ポートを許可設定した場合だと思うけれどどうだろう

ちょｗｗｗｗｗｗｗ手ぶろ感染ってまじ？ｗｗｗｗｗｗｗ

p://pmpk■dojin■com　感染報告のメールに対し、対応完了の返答あり。完了してるかの確認まではやってない。

genoに感染、再起動後にregeditを起動しようとしてもエクスプローラー再起動みたくなって
起動できないけど
regedit.exeをa.exeのような適当な名前に変えて実行すると正常に起動できる
その後、ファイル名を元のregedit.exeに戻しても普通に起動できるようになった

>>983
それはやってる。別のVMのftpサーバにアクセスしたけど、変わらない。
sniffingツール等の有無を確認して動作を停止してしまうのかもしれない。
あるいはデバイスを見てVMで実行していることを検知して動作を停止して
いるのかも。
妙に軽く動くのは、このウィルス本来の動作を行っていないからという
可能性がある。

とりあえずすっぴんのVMで試してみて、駄目ならネットブックでも
使ってみようかと。

>>969
mixiこわい

>>986
パンプキン日記内のgenoスクリプト消し忘れているようだ

>>987
それは実機？

>>984
俺も処理を「許可」にした場合はってことだと思うんだけど
サポートの不慣れな姉さんはトロイの木馬は防げませんの一点張りｗ

じゃあなんのための設定なのかとｗｗｗ

>>991
仮想

>>988
>デバイスを見てVMで実行していることを検知して
さらりと怖いこと言うね

>>993
そっか。ってことは別種なのかな。こっちはregeditもExplorerもcmd.exeも
普通に動く。

>>994
実際、ラボでの検証をすり抜けるために、VM特有のデバドラをチェックする
ウィルスがあるらしいからねぇ。

手ブロが感染とは、どこのスレがソースですか

この件で何の役にも立たない俺だけど、次スレ立ててくるわ

>>996
情弱の同人板では問題ないと判断されてた

>>992
萌え萌えなお姉さんだ・・・

>>996
VIP

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。