感染予防対策 1.Adobe Flash Player の最新版にアップデート 2.Adobe Acrobat Reader の最新版にアップデート 3.NoScriptの導入(Firefoxの導入) 4.Adobe Acrobat Readerの JavaScript 機能OFF 5.危険IPのブロック 諸事情でAdobe Reader 最新版を使わざるを得ない場合 2009年4月29日現在の最新版バージョン9.1設定例 1.Adobe Readerを起動し「編集」メニューの「環境設定」 「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す) OKを押して設定確定後、Adobe Readerを終了。 ↓ 2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理 設定は SpeedUp - Fast がおすすめ。 注意すべきは Acroform(拡張子なし) Annotations(拡張子なし) これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。 そうしないと Adobe Reader が起動しなかったりする。 このとき追加作業として EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと より安心かもしれない。 以下はお約束 上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。 またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
【感染の確認方法】 @cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する ※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。 ■確認方法 1.スタートから「ファイル名を指定して実行」 2.「ファイルを指定して実行」という画面が出てくるので、入力欄に 「regedit.exe」と入力して「OK」ボタンを押す。 ※立ち上がったことを確認したら弄らず閉じること。 3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す ※立ち上がったことを確認したらAへ Asqlsodbc.chmのファイルサイズの確認を確認する ■Windows XP: 改ざんされていなければ C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes ■Windows 2000: そもそも存在しないはずなので、 C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。 ■確認方法 1.スタートから「ファイル名を指定して実行」 2.「ファイルを指定して実行」という画面が出てくるので、入力欄に 「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す →背景が黒いウィンドウが開いた場合3へ →起動しない場合:感染疑い濃厚 3.背景が黒いウィンドウを選択。 小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー Bavast!(無料のアンチウイルスソフト)で確認 7 名前:192.168.0.774[] 投稿日:2009/05/18(月) 16:12:22 ID:wsKEiiw60 【感染の確認方法】■ Windows XP(5月18日現在) 1 C:\WINDOWS\system32\sqlsodbc.chmを開いて壊れていたら感染濃厚 2 ↑のファイルサイズを確認する 正常値 日本語版ヘルプ 50,727 bytes 英語版ヘルプ 46133 ドイツ語ヘルプ 48401 フランス語ヘルプ 49345 スペイン語ヘルプ 48475 改竄されたsqlsodbc.chmの一例 サイズが1.29 KB (1,323 バイト) 更新日は2009年3月21日 :
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
764 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 12:20:44 ID:BfeDPikc0
>>463 の書式が統一されていなかったのでやってみた
58.65.232.0 - 58.65.239.255 58.65.232.0/21
61.139.0.0 - 61.139.127.255 61.139.0.0/17
61.219.39.0 - 61.219.39.255 61.219.39.0/24
61.235.117.0 - 61.235.117.255 61.235.117.0/24
61.237.236.0 - 61.237.236.255 61.237.236.0/24
63.146.2.0 - 63.146.2.255 63.146.2.0/24
69.46.0.0 - 69.46.31.255 69.46.0.0/19
74.220.215.0-74.220.215.255 74.220.215.0/24
78.109.16.0 - 78.109.31.255 78.109.16.0/20
78.159.112.0 - 78.159.115.255 78.159.112.0/22
82.146.48.0 - 82.146.55.255 82.146.48.0/21
83.68.16.0 - 83.68.16.255 83.68.16.0/24
85.12.43.0 - 85.12.43.255 85.12.43.0/24
85.14.6.0 - 85.14.6.255 85.14.6.0/24
85.17.0.0 - 85.17.255.255 85.17.0.0/16
85.214.90.0 - 85.214.90.255 85.214.90.0/24
91.211.64.0 - 91.211.65.255 91.211.64.0/23
91.212.41.0 - 91.212.41.255 91.212.41.0/24
91.212.65.0 - 91.212.65.255 91.212.65.0/24
91.212.41.0- 91.212.41.255 91.212.41.0/24
91.212.41.0 - 91.212.41.255 91.212.41.0/24
94.232.248.0 - 94.232.255.255 94.232.248.0/21
94.229.64.0 - 94.229.79.255 94.229.64.0/20
94.247.2.0 - 94.247.3.255 94.247.2.0/23
194.165.4.0 - 194.165.5.255 194.165.4.0/23
195.2.252.0 - 195.2.253.255 195.2.252.0/23
195.216.160.0 - 195.216.191.255 195.216.160.0/19
206.44.0.0 - 206.44.255.255 206.44.0.0/16
209.44.100.0 - 209.44.100.255 209.44.100.0/24
209.44.126.0 - 209.44.126.255 209.44.126.0/24
209.62.7.0 - 209.62.7.255 209.62.7.0/24
209.102.247.0 - 209.102.247.255 209.102.247.0/24
209.250.241.0 - 209.250.241.255 209.250.241.0/24
209.205.192.0 - 209.205.223.255 209.205.192.0/19
209.205.224.0 - 209.205.239.255 209.205.224.0/20
211.90.0.0 - 211.97.255.255 211.90.0.0/15 & 211.92.0.0/14 & 211.96.0.0/15
213.182.192.0 - 213.182.223.255 213.182.192.0/19
218.90.0.0 - 218.94.255.255 218.90.0.0/15 & 218.92.0.0/15 & 218.94.0.0/16
78.159.112.0 - 78.159.115.255 78.159.112.0/22
221.5.0.0 - 221.5.127.255 221.5.0.0/17
91.212.41.0 - 91.212.41.255 91.212.41.0/24
95.129.144.0 - 95.129.144.255 95.129.144.0/24
95.129.145.0 - 95.129.145.255 95.129.145.0/24
メモ帳でタブ等に置き換えられるように範囲とCIDRとの間は全角スペースにしてる
俺の連投のせいでスレ埋めちまったから立てといた テンプレ改変する余裕なくてスマン
感染予防対策 Adobe Flash Player とAdobe Acrobat Readerを アンインストール 以上
スレ立てとか乙
>>1 おつ、乙
なんだけどテンプレメモ帳で整理して立てようとしたら
もうスレが立っていてメモ帳消しちまったぞw
>>1 乙。おやすみ
627 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 06:56:33 ID:zf5ipXqL0
532 : クンシラン(アラバマ州) [sage] :2009/05/19(火) 03:04:45.34 ID:L1oEc3bK
hostsファイルに(ry
127.0.0.1 martuz.cn
127.0.0.1 zlkon.lv
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
127.0.0.1 gumblar.cn
127.0.0.1 jii.be
127.0.0.1 zief.pl
127.0.0.1 litefront.cn
533 : クンシラン(アラバマ州) [sage] :2009/05/19(火) 03:09:11.38 ID:L1oEc3bK
avastのwebシールド(URLブロック)に
*martuz.cn*
*zlkon.lv*
*findyourbigwhy.cn*
*bigtopsuper.cn*
*gumblar.cn*
*jii.be*
*zief.pl*
*litefront.cn*
過剰反応っぽいが、細かい事は気にするな
V速で拾ってきたんだが、ドメイン増えた?
あと有効ならこっちでもテンプレ化してほしい
GENOウイルスって何?サイトを見ただけで感染するウィルス G DATAとSophosがいち早く対応
ttp://japan.techinsight.jp/2009/05/sanada200905191636.html ・G DATA Internet Security 2009
⇒Trojan.JS.PYU (エンジン A)
HTML:IFrame-EB [Trj] (エンジン B)
[3PC 1年版]
Avira AntiVir 9 Personal(フリー・英語版)
⇒HTML/Crypted.Gen [virus]
HEUR/HTML.Malware [heuristic]
他のセキュリティソフトのユーザーは、ワクチンが提供されるまで十分注意する必要があるだろう。
>1乙 前スレの>671をよく巡回してるけど、何も起きてないんで解析に挑んでみたんだが… 難読化コードを解体して "NT 6"<0 が見つかったら、今まで通りXPとそれ以前が対象? ちなみにOSはVista、UACはシマンテックのツール併用してるけど 一応オンにしてるからXP以降が含まれるとしても感染してない…筈なんだが
>>15 なんで全部hostに書いてはダメなの?
hostに書かずWEBシールドにのみ指定する理由頼む。
ごめ。どちらも同じだったね。 hostの方が少なく見えてしまってた。すまん。
対策済み、確認では感染兆候無しで、カスペのスキャンしたら AdobeReaderのplug_ins Annots.JPNが検知されて9.1.1にアップデートしろ(意訳)らしいのだが これはカスペクオリティ?
>>22 親切じゃん
AdobeReaderアンインストールしないならカスペルスキーおじさんの言うとおりにしとけ
>>22 なんかヴァージョンをうまく取ってくれないみたい、めんどいからリーダー削除した
>>23-25 d。9.1.1にアップしてもこうなっているから大人しく削除しておくよ
tieba●baidu●com/f?kz=274791213 ウイルスチェッカー900% 百度というサイトみたいです ソース確認出来る人おね
前スレよりコピペ。
696 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 09:57:36 ID:8eXjFlyI0
セキュ板から逃げてきた('A`)
なんだよあそこ
http://www.broadband-xp.com/hidesource/escape.html 難読化(escape)処理された文字列はここで複合出来る。
あとは replace 関数を適当に読めば元のJavascriptが判る。
731 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 11:35:49 ID:zf5ipXqL0
>>712 シンプルなのなら
view-source:これをURLの頭につければソース表示するぞ
762 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 12:09:39 ID:QXeKbW6W0
>>743 ViewSourceWith もしくは WebDeveloper を使えば、
好きなテキストエディタでソースを開けるぞ。
>>28 JSが大量だからチェッカーが誤反応してるだけかと思う
GENOウイルスのコードは見あたりません
感染サイトリストの一番下のその他項目。 アレ一体なんなんだ? 愉快犯か何か?
>>29 d
>>30 サーセン
ソースみても何がどうなってるのかわからなくてさ。
もっと勉強してくる
35 :
28 :2009/05/19(火) 18:36:39 ID:m4p3L/VDO
やっぱり誤判定だったんだな みんなd
>>34 おぉ…責めてるつもりはなかったんだ、こちらこそごめんなさい
かくいう自分もしろうとなのでぱっと見でコードわかっても解読とかは全然出来ないんだ
>>33 自分も気になった
てか管理人さんはまだここ見てらっしゃるのかな?そろそろリスト整理して欲しいな
対応済みサイトとかリストから消去しちゃっても良いと思うんだけど
ノートンはもうGENOに対応したと思ってよい?
感染サイトリンク集の HAIR SALON Revue ですが、難読化されたjavascriptが不自然に挿入されてます。 難読化を復号できないへたれですが、たぶん黒です。
46 :
28 :2009/05/19(火) 18:56:57 ID:m4p3L/VDO
ヴァイブ
>>41 どうでもいいが、アイコンファイルのでかさに驚愕したw
百度っつったらつべとかニコ動と同じ動画サイトだな 違法動画がわんさとありそうだ
>>45 ドアに「引く」って書いてあっても顔真っ赤にして押して開けようとするタイプでしょ
そういうことか。オレをNG登録してくれ
>52 百度は中華の Yahoo と言うべきだ その中の動画セクションだよ、おまえさんが言ってるのは
>>41 1000%超えてるやつ初めて見たww
>>44 前スレでスルーしててごめんね
今更ながら結構使いやすいわこのツール
アップデートして最新にしておけって言うから XPSP2からSP3にしてIE6からIE8にしたら 全体に重くなった…orz IE8軽くないじゃん
>>41 確認してきた。うん怪しそうなのは無いね
つかソース見て「うわ、このHPメンテしたくねぇw」と思ったw
逆にこれ感染したら分からなくなりそうだ
感染サイトリンク集の Hair Make Berrys ですが、難読化されたjavascriptが不自然に挿入されてます。 黒判定したいのですが、変数名が haGe とかなってるのでただの愉快犯の仕業かもしれません。
>>57 IEコンポのやつつかっとけ
それなら重くないから
それか他のブラウザか
>>57 Prefetchクリアしてデフラグでもしろ
ググったらSP3とIE8は相性が悪いそうだ。 IE6に戻します まんどくせ… ( ノД`)シクシク 他のブラウザは怖いから 慣れたIE6にします
>>64 SP3にしてからIE8入れたらIE8はアンインストールできなかったような…
感染リストに忍者ツールあったから自分で調べてみたけど あれ誤判定だよな?
>>64 もうIEやめてOperaか火狐にしようぜ
すみません、前スレ995は書き込み終了画面で 再読み込み押してしまいました。 あと、気になってるのですが、前スレ905ってことは、前スレ360も拾ってのものですよね。 まったくチンプンカンプンなんですが、恥かきついでに。 お仕事の邪魔して、ごめんなさい。
>>48 それはなんとか知ってるんで、現時点で有効だと思われる
フィルタリストを作って上げてもらえると助かるんですが・・・
>>65 あれ、逆じゃなかったっけ?
IE7と8は入れたあとでSP3にすると、アンインストール不可になるとか聞いた記憶が…
自分はSP3だけどIE8から6に戻せたぞ?システムの復元で
>>72 逆だったか
でもIE6ってまだパッチ出してるっけ?
戻さないほうがいい気がするが
>>64 Spybotの免疫使ってない?
使ってたらIE8入れると糞重くなるよ
感染サイトリンク集の kisikaisei ですが、難読化されたjavascriptが不自然に挿入されてます。 たぶん黒ですが、個人サイトだし腐系なのでほっとけ!って感じです。
うわー27時間くらいこなかっただけで、もうスレ3になってるの?
さっき、PC立ち上げて某セキュリティーニュースサイトを閲覧しようと思ったら、
ブロック登録したIPアドレスに引っかかった。
多少見られなくなるサイトが増えようが、ブロック優先というポリシーの為、
ホスティング先だけでなく、感染報告があった国内正規サイトも含める形で、
報告があったところを片っ端から広範囲登録していたんだ。 だから、間違いかもしれんが・・・
今、時間なくて過去ログ調べられないんだけど、注意しすぎて困ることはないだろうってことで、
アドレス貼っておくから、誰か検証してください。 ちなみに
>>8 の中にはありませんでした。
hXXp://WWW.security-next.com/
ブロック登録しているアドレス範囲は 202.172.28.0-202.172.31.255 今調べたら日本国内のIPです。
だから
>>17 のリンク先もブロックされる始末。
>>22 うちはカスペ7だけど「PCを再起動」しないとパケットフィルタリングルールとかは適用されないみたい。
>>78 ざっとソース見たけど問題なさそう
断定はできないけど
>>78 問題なし
で、とりあえず202.172.28.0-202.172.31.255のブロック外しておけよ
逆引きしたらこれさーばみたい
ちょっと質問させて ノートン先生が対応したって聞いたけど、亜種も大丈夫なんかな? あと検出されるだけで、ワクチンとかはまだなんだよね?
これに限らず対応は基本的に1対1と考える 本家に対応してるから亜種にも対応してるなどと甘い事は考えない
不安になって、何度も何度も sqlsodbc.chm のサイズ確認をしているうちに、 なんだかいつの間にか、感染を待ちわびている事に、ふと気付いた。 「まだか、まだ感染してないのか?」って感じ。 そろそろ心の方がヤバクなってきてるのかもしれん。
てかid=10から落ちてくるexeって最初のgumblerのときから数種類あったじゃんね
今日はVBの更新が多いけど、頑張ってんの?
いくつもあるよ。俺が持ってるのはgumblarで7世代、martuzで2世代。
>>81 そうなのか。
これ使って感染サイトのソースを見てみたんだが、赤くなってる所が感染してる証拠なの?
逆に赤い所がないサイトは、感染している可能性が低いって事になるの?
>>89 お前はもう上のサイト使うな
お前のようなやつのためのサイトじゃない
ソースちぇき(β版) - ひまぐらま[別館]
ttp://hpg2.me.land.to/srcchk1.html あなたのホームページを 「ソースちぇき(β版)」 で 見てみよう
このページでは、アナタが指定したアドレス(ページ)を
あなたのパソコンに代わって取得し、ココに表示します。
ページの内容を、ただのHTMLソース(文字列)として表示しますので、
もしもJavascriptによるいたづらが仕組まれていても安心です。
あとオマケですが、表示するソースの中から、
『見ただけで感染する?ウイルス(Zlkon/Gumblar/Martuzなど)』 を
自動的に探して太字にする機能も付いてるので、
もし覚えの無いJavascriptが在れば、
そのページのソースファイルを、自分で直してみると良いかもしれません。
※この「ソースちぇき」では発見のお手伝いだけで、
実際にソースを手直しなどするのは管理者であるあなた自身です。
「ソースちぇき」は単に客観的にあなたのホームページを見て、
ソースを表示するだけの「簡易ソースチェッカー」です。
トロイ診断機能は、hpgの憶測によるカンタンな正規表現による検索に過ぎません
のであしからず(゚Д゚)スマンネ
あなたの回線環境やサーバの混み具合によっては1分以上かかることがありますので
リロードしないでね(´・ω・)オネガイ
■GENOウィルスのチェックプログラム(簡易版)を書いてみた
ttp://d.hatena.ne.jp/kz_shikabane/20090517/1242495023 Vista使いでUAC厨の私には全く関係の無い話のような気がするが、
いつUACを突破する亜種が出るかは分からない。
sqlsodbc.chmのファイルサイズで判定できるようなので、
そんなときのためにこんなバッチファイルを書いてみた。
以下のプログラムをテキストファイルにコピペして、
拡張子をbatにしてダブルクリックで実行すれば、
コマンドを勝手に実行し、最後にレポート書いて停止するものだ。
有効利用してください。
あと、バッチに関しては素人なので改造してくれるとうれしいなぁ。
今何気なく感染サイトのGoogleのキャッシュをのぞいたら 感染したままキャッシュされてる所があるな・・
独自のノウハウ()笑
ttp://pc.nikkeibp.co.jp/article/news/20090519/1015259/ ttp://www.computerworld.jp/topics/vs/146109.html 今回報告されたのは、「JSRedir-R(ジェイエス・リダイレクト・アール)」あるいは「Gumblar(ガンブラー)」などと呼ばれるウイルス。
感染数が急増しているとして、セキュリティ企業の英ソフォスなども警告。
今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
攻撃者は何らかの方法で正規サイトに不正侵入し、このウイルスをWebページに埋め込む。
不正侵入の方法については明らかになっていないものの、US-CERTでは、
(1)パスワードを盗まれて侵入されるケース、
(2)サーバーの設定不備を突かれて侵入されるケース、
(3)Webアプリケーションの脆弱性を突いて侵入されるケースなどが考えられるとしている。
「正規のサイトでさえ、たびたび被害を受けている今
ユーザーには目を覚ましてほしい。Webが感染拡大に有効な手段であることが実証されている以上
クラッカーは今後もWebを標的にし続ける。
これと闘うには、Webサイトにアクセスする前に、そのつどスキャンして悪意あるコードがないか
確認することが大切だ」(クルーリー氏)
>>94 の感染サイト一覧見てきたんだけど、
なんか以上なくらい再感染が多いな…なんでだろう?
以上じゃねぇ、異常だ
>>97 geno同様、根本的に進入経路を塞いで無い・わかってないんだろうね
>>96 後者はFlashやAcrobatの脆弱性について触れてないから役に立たんな
前者は金賞もの、何故かどこのニュースサイトもこの事を隠してるからな
>>101 鯖側もGENOのせいにしてるフシがあるよね
>>84 ありがとう
ってことはノートン使っててもまだ安心できないのか…
早くワクチンできてくれないかな
現状深刻な害はないが感染性は高い 新型インフルの模倣かな
>>96 どっちも海外ソースで日本国内の惨状については何も報じてないけど
gumblarの名前が出たのは大きいな
本当はScanSafeのブログでも翻訳して載せてくれるといいんだがな…
しかし今になって海外の方でも報道が増えてるってことは
危険性を認識できてなかったのは日本だけじゃなかったってことか
>>96 良い記事だと思うが、
> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
これはミスリードを招かないなぁ。
javascriptで書かれたコードはウィルスを取り込むための、いわば呼び水だし、
一旦感染したら、クリーンインストールしかないというたちが悪いものという点
に触れられてないのが残念。
>>97 感染PCブッ壊してもftpパス変更しないと
サイトはすぐ再感染するよ
どうでもいいが「クリーンインストール」って最初に言い出したのは誰なんだろう 今までのウイルスとかだと、普通に初期化って書かれてた気がするし、そっちのがわかりやすいのに あちこちで反応見てると、クリーンインストールの意味わかってない人が結構いるな
OS再インストールの方が分かりやすいと思うよ
この手のPC専門ニュースサイトに投書したどうだろ?
>>110 ここまでの騒ぎになって触れてないって事は「今のところあえて触れる気は無い」って事なんじゃないかと
>>3 >Bavast!(無料のアンチウイルスソフト)で確認
だから、これは間違ってるから消せと…
リカバリをする際、Cドライブだけで良いのか 買った状態に戻した方が良いのかどっちかね。
avastは検出されないの?
2ちゃんだとクリーンインストールのAAあるから 常駐者はつい使っちゃうのでは 初期化のほうが危機感はあって伝わる気はするね
>>106 >> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
>これはミスリードを招かないなぁ。
だねぇ。JavaScriptはあくまでもダウンローダであって、マルウェア本体じゃないから。
本体がころころ変わるので、このダウンローダの段階で(スクリプト停止かIPブロックで)
防がないと、防ぎきれないという所なんだけど。
落ちてくる本体の正式名称早く決まらないもんかねぇ。
しっかり検証してないから不確実だけど 改ざんクローラーはサイトのルートから入ってきてリンクやphpの読み込み先へ行って改ざんしてる感じ 同じフォルダでも改ざんされてないのもあるし、全部改ざんされてるフォルダもある 例えばftpソフトでバーっとファイル一覧を見て改ざんする感じではないと言うこと それにしてもクリーンインスコめんどくせー
Vistaで超勝ち組の俺様が来ましたよ
Vistaで超勝ち組の俺様から質問があるんだけど、今からオナニーするんだがオカズは何が良い?
>>114 スクリプトの殆どは検知するが、すり抜けがある程度発生している。
本体が落ちてきた後の検出には対応できていない(Avast以外のセキュリティベンダーの殆ども)
ようやくAviraがある程度(動作中の新規作成して自己消滅していく本体を)検出できるように
なりはじめたようだけれど、ほぼ日替わりで、変わった直後にはほとんどのベンダーをすり抜ける
ものを出してくるので、「○月○日に感染してしまったとわかっており、なおかつ、その時に落ちてくる
検体を誰かが入手して検体提出されていて、検出可能になっていることがはっきりしている」ケースしか
○○でチェックしてください というのは使えません。
だから、感染が疑われているかどうかを確認する為に、Avastでチェックするというのは間違い。
それにしてもmartuz.ch重いな どっかから砲撃されてるんだろうか
>>120 >17
定義名的にAviraもAvastと同じでJSのダウンローダだけじゃね?
いや、Aviraの公式は見に行ってないからそう書いてあるのかも知れんが
125 :
192.168.0.774 :2009/05/19(火) 21:15:30 ID:VTkqYj1BO
vipにsqlsodbcのサイズ正常で更新日16日ってやつがいるんだが…… 感染してたとしてこれでさらに更新日偽造されたらもう判定できなくなるよな……
>>120 そうなのか。分かりやすい説明ありがとう。
>>113 買った時にCドライブしかついていなければ
Cドライブをクリーンインストール。
買ったPCにリカバリーの方法がマニュアルに
あるから、それにしたがって。
>>122 それだけ本体のダウンロードが増えてるとか。世界中から…
検体提出っていうが、ダウンロードされる本体って結局どれなんだ 普通のウイルスだと「○○っていうのが増えてたらアウト」だからわかりやすいけど これってそういうのはないよな
>>125 notepad やバイナリエディタにぶち込むとか
CRCチェックするとかでいくらでも判定できるだろう。
FTPのパスとかを記録してるファイルなので、1バイトでも
改変されてたらCRCが変化する
aviraはじまったのか?
>>127 調べてたら、Cだけで事足りるみたいだけど
安全面から見てどっちが最善策なのか
気になるとこだ。
>>130 おおう検体スレか。目通すの忘れてた
手数かけてすまぬ。ありがと
Aviraの怒涛のアップデートはやる気を感じさせたからな。 で、結果を残したとなると人におすすめしやすくなった。
>>122 GENOウイルスがmartuz.cnから他へ衣替え中の可能性あり
>>135 うちのPCは、リカバリーCDとHDDにCドライブとリカバリーするための
領域があって、もし感染したら、CDでリカバリーすれば
いいのだろうけど、HDDのリカバリー領域はどうしたらいいのだろう?
>>130 検体スレの「前スレ
>>991 」ってのが、これまた興味深いね。
991 :699:2009/05/18(月) 22:10:31
>>963 KasperskyとAVIRA両方返答来ました。muvl.exeの方です。
Kaspersky - 白
AVIRA - TR/NoUpdate.C,黒
うーん、明暗くっきり。
感染後に作成されるファイルに白判定が出るようだと、これはKasperskyのオンラインスキャンでmartuz.cnの感染検出無理か?
ここは、ちょっとAVIRAに期待しておこう。 んで、>990さんの所でRisingでも黒判定出てるので、そっちも少し期待。
あと、今日はmartuz.cnが私のこと無視する。前回から24時間以上経過してるのに...後でもう一度試します。
>>140 前のGumblarの衣もすぐに秋て着替えたし。
イギリスに移動したのも早かったから 他の国に移動も念頭に置いてあいたほうがいいんじゃないか?
少し騒ぎすぎだよな
凄いねしかし。 よくここまでやる気になるね。 犯人はどんな人なんだか。 色々考えてウイルス作る事は出来たとしても、ここまで大事にしてしまうと、リスクもかなりなものだと思うんだけど。 絶対に捕まらない自信があるのかな。
パツパツの軍服きたキチだと予想 いや、ごめん
>>145 騒ぎすぎたほうがいいような気もするな特に最近は・・・機械技術のほうが足が速すぎる
学校のパソコン授業ではワードとかんなのどうでもいいから
ネチケとウイルスソフトのこととか教えたほうがいいんじゃないかなぁ
>>149 確かになぁ ワードは取り返しつくけど
ウィルスは取り返しつかんこともあるからなぁ
いいぞ、もっと騒げと思う
816 名前:名無しさん@九周年[] 投稿日:2009/05/19(火) 21:35:18 ID:1MLUOU/80 (PC) このサイトもAvastが激怒するんだがやばいのか? jwy.jpshi■mobile■?jb=freepage-view&freelink=16
感染サイトリストの感染確定を確認してみた 整理の参考にしてください>中の人 ヘアーサロンジョイ 復旧?告知なし 聖帝 サイト休止、告知あり 鉄道110号 サイト消滅 問屋街 復旧?告知なし 北川大介 復旧?告知なし livmail 復旧?告知なし 主上支局 何か対策したように見えるが、一部おかしなコードが残っている ペットの姓名判断のサイト 復旧?告知なし 帰ってき○三日天下 サイト休止、告知あり loca.zombie 復旧?サイト休止?告知なし
>>146 て言うか失敗だろ
これだけ有名になったら対策されるし意味がない
>>155 むしろ、存在ばれた上に解析まで進められたせいで、作者が自棄になって短期決戦型の何かを仕掛けてきそうで怖い
Avira AntiVir、今日8回目の更新きた〜ドイツ人頑張るなあ。
>>156 作者が日本人なら方針転換もありうるが、やっぱり外国人なんじゃないか?
>>155 いや、一概に失敗とは言えないんじゃない?
目的が分からないし。
対策とられないPCは絶対に残るから、それらを集めてゾンビPCのネットワークを作成するつもりなのかな。
それとも、ゲームとして楽しんでるのかな。
感染後のファイルはNortonも検出できるようになってきた。 昨日から今日にかけて落とした4種は全部検出したけど、全種対応できるかどうかは 不明。 一方で、Avast!は感染後のファイルはまったく検出しない。スクリプトをすり抜けた ものについてはAvast!は無力。 Nortonはダウンロードそのものは行われてしまうが、発動前に検出してくれる。 で、感染してる状態だとトレンドマイクロ以外の主要なセキュリティベンダー、 Adobe、Windows Updateへの接続はブロックされる。 ある意味、ウィルスの挙動としては完成に近づいている感じ。
>>157 凄いな、どこぞのバスターとはえらい違いだ
ただし土日には働かない
明日ノートンかAviraに乗り換える
166 :
192.168.0.774 :2009/05/19(火) 22:23:08 ID:WSyhd7W40
WB
Avast!休日出勤で今日はお休みか?
政府や企業に一気に広めて一斉に恐ろしいパッチをDLさせあぼーん とか?Botnetの方が現実味あるなw
ドイツで感染広がってるからね 日本人のほうが勤勉ぽいけどバスターがクソなのは何でだろう
仕事はきっちり でも休みもまじできっちり休む それがAviraの中の人達
917 フクジュソウ(茨城県) [sage] 2009/05/19(火) 22:25:55.72 ID:/+9riV/Y
さて、話を戻そう。
で、XPを制限ユーザーで使用してた場合でも感染するのかな?
918 プリムラ・フロンドーサ(茨城県) [sage] 2009/05/19(火) 22:27:52.98 ID:7cFT+H9Z
>>917 XPを制限ユーザーで使ってる人間ってどれだけいるのかな?
セキュリティ上はもっとも望ましいんだけど実用に耐えないから
ほとんどの人が管理者モードで使ってるしね
誰か仮想PC上のXPで制限ユーザーモードの感染の有無を
試してもらいたい
この機会にバスターからavastに乗り換えたんだけど なぜか急に軽くなったわ。 一応wikiとかに書いてあるウィルス感染確認方法全部試したけど おかしいところはなかった・・・
>>172 理論的には、UsersはDrivers32への書き込み権限がないから(いまみてきた)、
現行バージョンに限っていえば、感染には失敗するとおもわれ
制限ユーザで常用してる俺大勝利
fc2関係のサイトに繋がらないのは俺だけか?
FC2はいま落ちてるだけ FC2にはよくあること と、思う
この際だからバスターからAviraかAvastに乗り換えようと思うんだけどどっちがいいかな
よ く あ る の かwww こんなときに紛らわしいな
Avira超オヌヌメ とAvast使ってる俺が言ってみる
FC2復帰したっぽい いつもの現象みたいでした
カカクの時NODに乗り換えた奴いたなあ。。。
結局よくあることだったのかw
AvastとAvira一緒に入れちゃ駄目っぽいかな。 AvastとAVG入れてるからこの際記念にAviraも入れてA三つ揃えたいんだけど。
>>176 繋がらんね
ウィルスチェッカーで、URLリストをチェック中に落ちられ('A`)
個人サイトって結構FC2のシェア高いのね
常駐型のAVを複数入れるのはやめとけ
>>183 お前のレスはキチコテを連想させようとしてるw
>>174 さん、昨日の前スレ360でも逆汗さんが、そんなようなことをおっしゃってました。
本来のスレの住人の方がいない時間帯みたいですし、ちゃんと伝わっているのか心配です。
私もavastたんとAviraたんを一緒に入れたいと思ってたが、やはり駄目か・・
帰ってきたら、キャッシュクリアがテンプレから抜けてるね どういう経緯で消えたの?
193 :
192.168.0.774 :2009/05/19(火) 22:55:50 ID:UTYTP2/z0
FISな人今帰宅。 攻撃コードの埋め込まれたソースコードを検体として提供してきます....
5月に入り2回にわたり改ざん被害が発生 - レンタルサーバ事業者
htp://www.security-next.com/010480.html
その後の調査により、4日に発生した改ざんについては、管理者のパソコンからウェブサイトを
改ざんするウイルスが見つかったという。
パスワードなど7日の時点で変更しており、以降の同様の原因による改ざんは発生していないとしている。
同社では14日に発生した改ざんについても調査を進めている。
また、心当たりがある利用者に対して、対策をウイルスのチェックなど
パソコンの安全確認を呼びかけている。
BIG-server.com
http://www.maido3.com/
相変わらずマカフィーの名前はあがらないが、 実際動いてくれてんのかかなり不安だ
感染してなかったけど XPをSP3にしたりIE8にしたら重くなって SP2に戻してIE6戻し 今度は今までの設定がリセットされたようで 全て再設定してやっと元の環境に戻った ウィルス作った奴はマジで呪われろ
>>198 別にFirefox入れたからって、規定のブラウザにする必要はないんだから、試してみたら?
200 :
192.168.0.774 :2009/05/19(火) 23:19:53 ID:Vr9KJUtOO
毎回思うんだけどさ 作った本人が感染して対処しようがなかった場合、相当間抜けだよな
201 :
192.168.0.774 :2009/05/19(火) 23:20:57 ID:cDkOY/oD0
>>197 何このクソニュース
GENOウィルス・何をすれば良いか分からない人のまとめによると
て2ちゃんねるによると
って言ってるのと等価じゃん
そんな間抜けが作れる訳ないでしょう
>>200 人造人間17、18号に殺されるドクターゲロみたいだな
禁止IP入れまくったせいかコナミが繋がらなくなったw
>>169 ウイルスバスターのトレンドマイクロは台湾企業
>>196 Smart Security使ってるんだけど全く名前が出てこなくて不安
とりあえず出来る限りの対策して大人しくしてる
IE8のJavaScriptも切ったんだけど、これ効果ある?
208 :
192.168.0.774 :2009/05/19(火) 23:28:38 ID:Vr9KJUtOO
>>203 そんな感じ
>>202 ウイルス作成者はどうかしらんが自分で作ったプログラムを解析出来ないぐらい汚いソースで書く奴いるよ
そういう奴のはバグ取り大変みたいだね
下手すると最初から作り直す方が早いという<汚いソース
なんで話題にならないのか不思議 HP見ただけで感染は怖すぎだろ
関係ないサイトでIEがビジーになるとビビる。
>>211 悲しいことにデスラーの俺にとってはいつものこと
>>207 さすがに繋がないわけにはいかないので…
ウィキにアクセスすると 殆どフリーズするよ
>>206 現状のGENOなら、IE含めてブラウザのJavaScript切りは必須対策ではない。
まあ、亜種がどう進化するかわからないから予防として推奨されてるってこと。
ていうかIE6使ってるやつがいる事に驚き 職場ならまだ理解できるが 頼むから乗り換えてくれ セキュリティ面からもWEB制作者への為にも
ちょwww vectorはGENO(店舗)をしらんのかwww
まるまる2chのコピペのようn
ベクさんぱねぇな
>217 IE8評判悪いじゃん 重いだのメモリ食うだの
>>216 どうもありがとう
情報収集に行くのも怖いから助かりました
ホント迷惑なウイルスですね
平気でウィルスばら撒くような会社だからな
このスレの誰かがベクターの関係者ということもある
230 :
192.168.0.774 :2009/05/19(火) 23:56:43 ID:dwwg46Fb0
ベクターのおかげでGENOウイルスの名称が一気に広まりました
232 :
192.168.0.774 :2009/05/19(火) 23:58:10 ID:Vr9KJUtOO
>>217 WEB制作者としてはIE6の方が都合がいい
7も8もどうせモジラと解釈違うんだろ?
もうGENOは社名変えたほうがいいな……
>通称GENOウイルス >通称GENOウイルス >通称GENOウイルス >通称GENOウイルス >通称GENOウイルス
いやもうまじで、GENO(系)ウイルスっていう名前の由来をテンプレにいれといたほうが 俺なんかは、知り合いがGENOで通販してたりとか、普通にGENOの名は知ってるけど
ベクターさん見てるーー? AAry
ベクターの中の人じゃないが、もうGENOウィルスでいいだろ GENOウィルスでググったほうが情報入手しやすいし
ベクターさんなにやってはるんですか
vectorやっちまったな
GIGAZINEの今日(5/19)のヘッドラインのトップ… >■GENOウイルスチェッカー Ver.1.1(ネット、URLを入力するとそのサイトが感染しているかどうかが判定できる) ……こんなところにも複線が
便所の落書きを鵜呑みにするベクター 今回と違って何か害のない話題の時には2chでベクター釣ろうぜw
>>241 2ちゃん的には、それでいい アンチもユーザも一定数いるし 2ちゃん用語的には、確定に近づいてる
ただ、語源は定義されてるほうがいいと思う(jaで大きな話題になった大手サイトの一つ。ってこと)
2chだってgnomeさんのパクリ
リンク張って、gnomeさんへのリスペクトはある みんなじゃないけど…。
グノームさんってなんであんなに偉大なの? まるでマリカー界のマンダー様みたいにすばらしいね
>>216 kwsk
JavaScriptによってウイルスがロードされて感染されるのだから、未感染PCの場合、
感染の原因であるJavaScriptが「動作しない」ようにしてしまえば、
少なくとも現時点では感染のしようがないんじゃないのか?
>>250 今回「必須」なのはAdobeReaderとFlashPlayerの脆弱性を埋めてしまうことであって
両者が最新or削除されてればそこで感染を阻止できるって話なんじゃないの?
各人で判断すればいいだけ。 くだらない事で言い争うなよ
>>251 先週末だったと思うんだが、そのAdobeReaderかFlashPlayerのアップデートを誘って
ウイルスを感染させるサイトが出た、という情報があったんだよ。
ドメインもadobe.comにそっくりで、サイトのデザインも全く一緒で、DLされるファイルの
アイコンも全く一緒のやつがね。
GENOスレじゃそのこと全く触れてないからさ・・・
削除が一番安全なのは確かだけど・・・
>>253 少なくともAcrobatReaderに関しては、メニューに更新があるから、それを使えば誤誘導されることはなくなると思うが
アクロバットって入ってればプログラム一覧に表示されるよね? 俺のPC入ってないっぽいんだけどこれってマズイのかな
さあね
>>255 >>250 山椒。
履歴よりソース
tp://pc.nikkeibp.co.jp/article/news/20090514/1015081/
まあ今はもう、アンチウイルスソフトの方が検出するだろうけどね
今の騒ぎの伏線にも見えてきたがw
アップデートした方がいいのは理論上当然だが、今のホットな状態で
安易にオススメすると正しくないサイトを踏んづけるのが出てきそう
↓
ほとぼりがさめるまではウイルス自体が動作しないようにした方が安全じゃねーの?
ってこと。
>>217 IE7もIE8も重すぎて勘弁願いたい
Core2-2.5GHzでも重いって、どんなスペック要求してんだよと
>>250 普通にHREFで埋め込まれても感染する気がするんだが。
要は、細工したpdfを表示させようとすればいいわけで。
アンチウイルスソフトで実体検出できるようになったらしいけど、
日々変わる新型に勝てるんだろうか・・・・・
1月に実証コード→3月fix
3月に実証コード→5月fix
今月また出て来なければいいけどなー
>>253 adobeus の奴ね。確かにサイトはそっくりだった。
IE8だと、ダウンロード時に危険だけど、それでも落とすのかって聞かれた。
そして、ファイル名削ってドメインのトップページにしたら、勝手に、Adobeの正規サイトに
飛ばしてくれた。フィッシング対策が働いたようだ。
>>172 それ試せる人が今アクキンになっているから
結果だせても当分書き込めないぞ
奴がトリップ持ってたらそれ経由でモリタポ渡せるのにな
>>256 ワードを使わないからワードが入ってないのに、ワードが入ってないとマズイのか?
ブラウザからPDFへのリンクをクリックすると100%凍るから嫌いだ・・・中身も
印刷しない限り見にくいし。
>>259 んーと、つまり
通販サイトなりなんなり乗っ取ってTOPページに罠PDFのリンク貼り付けて
「お客様感謝企画!
こちらのファイルをDLしてプリントアウトした物を郵送していただくと 粗品をプレゼント。」
なんて文句で落とさせて開かせりゃウィルス本体落としちゃう(ユーザーのAdobe Readerが古かったら)
って事だよね?
まぁ、JSでHP開いただけで罠発動ってのより確率は非常に低くなるけどさw
>>262 そうじゃなくて、acrobat最新版にしとかなきゃいけないのに
そもそも入ってないからどうなんだろと思って
>>263 プログラムの追加と削除から見ても入ってないみたいだった
266 :
192.168.0.774 :2009/05/20(水) 01:05:50 ID:BfaTg9hnP
>>259 XPSP3のCD1.66GHzのメモリ2GBで別におもくないけど?
逆にどんだけサクサクしたいの?
メモリエラーかなんかじゃねーの?
もしくは環境
>>265 メーカー製PCにはプリインストールされてることが多いけど
入ってないならそのままでおk
無理していれる必要はない
>>265 使わないソフトは入れない。使ってないソフトはアンインストール
セキュリティー的にはこれで良い
>>259 Pentium4m3Ghz メモリ1GB@XPSP3で特に支障ないですよ。
メモリの増設を計ってみた方がいいのでは。
>>259 &
>>264 ・・・理解した。
リンククリックしてDLする前に対象物を確認汁!!って何回行っても「わかんなあい☆」な人
いるもんな・・・orz
270 :
192.168.0.774 :2009/05/20(水) 01:14:58 ID:nOb2go+Z0
未だにOperaを導入せずfirefoxやらieやら言ってるヤツらが居るのか
O p e r a 最 強 伝 説
>>267-268 考えてみればソフト入ってなければそのソフトのセキュリティの穴もないって事か
acrobatとか今後使う予定もないだろうしこのままで良いか、ありがとう
274 :
192.168.0.774 :2009/05/20(水) 01:23:20 ID:nOb2go+Z0
めっきりネトサの範囲が狭まりましたw
カスペおじちゃん頑張ってくれよ…
そういやノートン先生更新したら前スレの悪戯スクリプトに反応してくれるようになった
・sqlsodbc.chmを改変 ・cmd.exe、regedit.exeが起動不能 niftyで主要部分をオンラインチェックしたけど以上なし なんかロックかかってる領域が表示されていたけど 今のとこ不調はない リカバリー面倒だな
278だけど regedit.exeは正常だった 試したのは昨日なんで またチェックしてるとこ
niftyでオンラインチェックwww 馬鹿丸出しだな。
adobe reader 8.1.5からadobe reader9に乗り換えようと思って公式に行っけど今ダウンロードできないみたいね
このウイルスって感染しているかは cmd、regedit、sqlsodbc.chmをとかチェックと言ってるけど もしかしてタスクマネージャにはウイルスらしきプロセスは表示されないの?
>>283 プロセスをのっとって活動するらしいからわからないと思う。
こんだけやってって挙動が不透明なのは なんでなんだろ 飼ってる人もたいした情報出してこないよね
286 :
192.168.0.774 :2009/05/20(水) 01:47:28 ID:nOb2go+Z0
>>281 <dt><a name="R24">24</a> 名前:<a href="mailto:(){evl(unespe(('Scpt(t,'%')))})(/./g);]"><b>名無しさん@九周年</b></a>:2009/05/18(月)
こういうのを貼った馬鹿がいる
のをそのままコピペする馬鹿がいたから反応しただけ
安心汁
>264 そんなまどろっこしいことしなくても サイト乗っ取ってトップページに 「重要なお知らせ:こちらのPDFファイルを必ずご確認ください」ってあれば ほとんどの奴が見るぞ
>>281 下の奴はソース見たらコメント欄にダミーコード入れてるのがいた
今なら「新型インフルエンザ」とかでホイホイ釣れそうだな
>>285 プログラム板の人達がまだ本気になってない
>>286 そしてそれを丸ごとここに貼り付けたお前さんも馬鹿って事になるぞw
>>285 ボットっつーのは基本的に司令塔の命令待ちになるから
何も命令もらわない状態だとただ口開けてるだけで
これと言った挙動を示さないんすよ。
>>291 avastがどうたらこうたら言うバカがすぐに分かって便利じゃないか
XPでもReduced Permissionsつかってりゃ感染しないだろjk
ダミーコードってなんだ? ググってもノートントラップのことが出てこないよ?
297 :
192.168.0.774 :2009/05/20(水) 02:00:43 ID:nOb2go+Z0
>>291 丸ごとかどうか判断できないお前が大馬鹿って返せばおk?
>>284 な・・・なんだと・・・
俺には何もできないからこのスレの勇者達を応援するわ
pandoraTVってどうなの? チェッカーでは900%とか出てるけどw
ようするにPCを遠隔操作するソフトだから なんでも出来ちゃうってこと?
てか口あけてるなら 常駐してるわけでしょ その情報もないし どのポートで待ってるとかもないんだけど なんで出てこないの
>>299 逆汗スキル持ってると分るけど、正体不明バイナリの挙動全解析はクソ面倒。
軽く触る程度の解析だと、たいしたことは分らない。
デバッガでアタッチして動かすならAPI側の処理だけ辿れば大まかに挙動は観察できるけど、それだけ。
確率付きで動いたりすると分らなくなるし、ネットワークから指示を待つ場合だとネットワークにつないでることしか調べられない。
その以上の挙動まで調べだすとヘタしなくとも数日掛りの仕事になる可能性は十分あるし、
調べたところで仕込まれてる機能にオーバフロー脆弱性や仮想コンソール並の自由度があれば「感染後は何でも実行されかねません、以上」で終わる。
BOT的なものが仕掛けられてるって話がチラホラしてることを考えると、感染後の挙動の可能性は無限大って考えるべきだろう。
BOT化されたのなら、後は仕掛け人の思いつきでデータ流出・フォーマット・物理破壊・踏み台化、思いのままだと思うべき。
>>303 GENOウイルススレ 感染2台目
http://pc11.2ch.net/test/read.cgi/internet/1242630563/854 854 :192.168.0.774 [sage]:2009/05/19(火) 14:24:21 ID:9nVAwa4a0
>>829 昨日から試してるんだけど。
感染VMにFWやら各種のsniffingツールやら入れて監視しようとすると
動作を止めたり自分自身を消したりするんだよね。
とりあえず
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
に書き込まれるファイルが起点となって動作しているのは確実で、
こいつさえ殺してやれば少なくとも主要な機能は止まる。
殺し方としては、gnome氏の書かれている方法でOK。
要はSafe Modeで起動して、レジストリに書かれているファイルを適当に書き換えて
壊す。で、再起動後にレジストリを正常値に書き直す。
本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい
>>303 ボットネットをIRCで構築とかの話を聞いたりしないかい?
ボットが自発的に外に出て行く仕様だとそこは特定できない。
そういう仕様だとNATを超えられないし、弱いPCを山ほど確保するのが原則のBOTネットでわざわざグローバルIPを要求するとは思えない。
感染させたところで、感染者のIPを調べる手間があるし。
感染者に自発的に報告させるって手はあるけど、ポートを開け放つよりランダムに外に出て行かれるほうが攪乱にもなるし、メジャーな手段ではないだろう。
自分から仲間を探しにいくわけね でも常時起動してるってのは正解?
馬鹿にもどんな動きしてるかわかりやすくてこういったやりとりもたまにはいいじゃん
>>269 よくわからない人向けに、テンプレで最新版へのアップデートだけでなく
JS切ることを必須に近く推奨しようとしてるのは、
JSにより「自動」で罠へのリダイレクトされてしまうことを予防するためで
アンチウイルスを予防で入れてるのと同じような意味
何回も脆弱性を塞ぐアップデートが出てる以上、最新版にしていても
いつまた穴がある状態になるか分からないからね
そりゃ通常リンクで誘導するだけで発動するだろうが、
自前でリンクを踏むステップを経る以上
その辺に関しては「怪しいリンクはクリックするな」としか言いようがないから
一番効率よく塞ぐことだけを考えるなら、現行仕様で一番楽なテンプレは
「OSをVistaに変えて、UACはONにしておけ」になってしまうぜ
>>310 プログラミングに関して詳しくないのだけど前スレの
>>854 に、
> 本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい
と書いてあるがこれだといわゆる「常駐」とちょっと違うと思うんだよね。
ドライバを使うタイミングで動くって事なんだと。
>>313 要するにバカには理解できないってことだ
>>307 今気づいたけどウイルス対策が間に合わなくても
FWあるから実害ないんじゃないの?なんで被害でてるの?
ウイルスに感染しました→ウイルスが動き出しました→情報を外に出そうとしています→
Nortonが許可拒否リストにないプログラムが通信しようとしているのを確認。→FW警告を出す
こういう流れじゃなかったの?
書く板間違えた・・・ 「GENOウイルススレ ★18に」書き直して平気かな?
>>315 ウィルスがブラウザに寄生してたらどうする?
FWなんて意味ないよ
これくらい分かるよな
318 :
192.168.0.774 :2009/05/20(水) 03:26:37 ID:nOb2go+Z0
高度なFWはちゃんとハッシュも調べてくれるよ アドオン型の寄生は関係ない話だけど
色々無効にするとアマゾンでDVDの感想さえ見れないんだな… まぁ見れないほうがニコ動見たくならなくて良いのかもしれないけど。
とりあえず数日トラフィック全部ログに記録してれば あやしい通信があるかどうか解るよな
あ、見れた。 スマソ
レス付いてるのでこっちで。 add-onやプラグインはインストール時に警告出るでしょ? 今回はIEの脆弱性関係ないみたいだけど。 許可してるシステム関連の通信もファイルが変更されるとNortonまた聞いてくるけど・・・? 今回、なにが外部に送信してるの?
そのノートン自身が改変された場合は考えなかったのか?
ウイルスソフトずっとキングだったんだけどこの機会に乗り換えるなら何? やっぱりAvira?
>>325 とりあえずキングと比較して長所と短所を教えてくれ
327 :
192.168.0.774 :2009/05/20(水) 04:19:49 ID:+Ra1+FtUO
>>259 こちとらIE6使いで7や8を擁護する気はないんだが
そのスペックで重いってのはメモリが少ないかハードディスクの転送が遅いんじゃねーの?
XPならメモリは最低1G以上
仮想メモリやIEキャッシュは少なめにしてCドライブとは物理的に別のドライブに移動させておくもんだぞ
それでも遅いってんならIE使うのを止めろとしか言えない
今回のって感染はブラウジングで拡散はFTPじゃなかったか? FTPソフトは普通通信許可にしてあるだろうからFTPに乗っかってれば警告も出ないと思うんだが
>>327 IE8だがマジで重い
これIE8入れたらIE6の軽さが神に見えるよ
GENO自らScriptうpしてるわけじゃないっしょ? 別じゃね
>>329 チラ裏:IE8はspybotの免疫で激重になるって小耳に挟んだことがある
>>329 そんなに重いのか
8は何をそんなに詰め込んでいるのやら
プラグイン形式で必要可否の選択出来れば軽くなるだろうにな
タブブラウザ機能があればそれでいいのに。
>>329 俺もIE8だが軽快だよ。なんかのソフトと相性悪いんじゃない?
同じく、こないだIE6→8にしたけど普通にサクサク。 別に重くなったとは感じなかったな。
IEコンポでの快適さに慣れるとこの起動の遅さとタブ生成の遅さとかタブ移動のラグが気になる タブ生成の遅さはavast切ったら無くなったが でもavast切ったら意味がないし
>>174 XPでアカウントを管理者から制限ユーザーに切り替え
JS有効の状態でGENO感染サイトを踏んだ後に
アカウントを管理者に戻しても感染はしてない状態なの?
337 :
78 :2009/05/20(水) 06:23:37 ID:c+qIXrE10
>>79 >>82 ありがとう。 安心した。
範囲の指定がオレらしくないからどこかに張ってあったやつっぽいんだが、全然思い出せないよ。
アドバイスどおり、ブロックは解除させていただきます。
>>125 更新日はプロパティーで詳細表示ボタンクリック→何も変更しない→適用→OK
にしただけで、変更されることがあると思う。
俺自身、プロパティー詳細を開く前と後で更新日が変わったから。
今も2度更新日の変更を確認した。
だから、その人が16日にプロパティーをチェックしたのであれば、感染していない可能性が残るね。
同じ操作をしても更新日は更新されるときとされない時があるのは、インデックスとか圧縮とかが
関わっているのかもしれないけど、自分はファイルシステムにうといのでよく分かりません。
あと確率は低いけど、KasperskyやESETの最新版のようにウィルススキャン済みのファイルはスキップする機能も
影響しているかもしれない。 他に症状がなくてMD5が正常な値であれば多分大丈夫。
>>139 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1323127298 こんなんじゃ、イマイチな信憑性だけど。
>>146 闇サイトで去年6000円くらいで売られていたクラックツールだか脆弱性情報だか(うる覚え)を利用しているっぽいらしい。
さっき本屋で立ち読みしてきた。 GENOの通販を名指しで記事になっていたから、
ろくなお詫びせずに知らんぷりを決め込んだGENOの思惑は大ハズレ。
>>201 オレも同じ事を思った。 しかも、そのまとめサイトもまた誤解を生みそうな微妙な出来だ。
martuz.cnが正引きできなくなってるな
感染サイトは未だにmartuz.cnに接続しようとするけど
>>337 立ち読みしてきた本って何?
>>232 IEの中では、IE8が一番WEB標準らしいよ。8では7での表示モードに出来る(サイト毎に登録も可)。
>>279 それが怖いんだよな。
>>337 での自身の発言と一部矛盾してしまうけど、
cmd regedit ヘルプ改変 BSOD etc... 対策ソフトが後手後手に回ってしまった為、
感染しているかをユーザー自身が症状をたよりに判定するような風潮になってしまったことが怖い。
発症せずに潜伏中でないことを祈る。
>>283 タスクMGRで確認できたのは、数年前の話だそうです。
>>308 NO 今後は神出鬼没のゲリラだと思ったほうがいいよ。 タイマーがいつ発動するかも分からない。
ウィルス自身が発見されずに潜伏する自信があるなら、全世界で一気に発症させる方がお金になりそう。
>>319 ニコニコ動画で何かあったのですか?
>>329 うちはXPだけど、VISTAだと重くなるらしい。 理由には「XPより厳格な権限の管理」が予測されるとのこと。
IE8からプロセスがタブ毎に独立するGoogleChrome方式となったために、↑が影響だって。
>>332 アドオンの管理というウィンドウでJava Flash AdobeはもちろんMSのプラグインも含めオフに出来ます。
ですが jsに関しては別のところで設定する必要があり面倒です。
■■よく出てくる逆汗って玄人っぽい語は何でしょうか?
>>338 いえいえ、あなたも他人の為にお疲れ様です。 そのスレがどんなところか見てきます。
トレンドマイクロやノートンみたいな大手はすぐ対策してくれたけど、今でも対策打ててないアンチウイルスソフトってあるの?
駆除してくれると言う意味では対策になってるソフトはまだない
>>343 あくまで水際阻止
検知するだけですり抜けられたらout
>>346 が言ってるように、駆除まで含めた対策はどこもできてない。
>>340 でもニコって今のところ安全だよね?見たくないのは個人的な理由じゃないかなぁ
javascript関連とかではなくて?
おそらくニコニコはつい見たくなってしまうから 色々な機能を無効にしたら見られなくて ちょうどいいかもって事だと思う ニコが感染してたら今頃祭りになってるよ
あ、そういうことです。 映画みたいな〜でもウイルス怖いな〜ってことです。 vistaなんでたまにjavascript切ったりもするんだけど、 元に戻すの忘れそうになる。 XPの人はくれぐれも元に戻すの忘れないでね。
↑の文、ちょっとおかしい所あるけどスルーで。 ってかもう私をNGにして良いよ、情弱で何の役にもたたんし。
888 名前:882[sage] 投稿日:2009/05/02(土) 23:29:26
>>887 手動でやるのは無理なので、こういうサイトを利用するのでし。
ttp://www.broadband-xp.com/hidesource/escape.html 今回のだと、ソースの中のunescapeの部分に注目して、あとreplase部分から@→%の置換があることに当たりを付けて、
1) unescape関数の中身('@〜'まで)をテキストエディタにコピー
2) エディタ上で@を%に置換
3) 置換後のテキストを、上記のサイトの右側の欄に貼り付け
4) unescape関数でデコード のボタンを押す
そうすると、左側に元のスクリプトが表示されます。今回のだと、前の方でOS判定をやって、
最後の所で src=//gumblar.cn/〜 でマルウェアを落とすようになっていることがわかるのです。
Adobe立ち上げて最新にしようと思ったら 何か繋がらないんだが
GENOってサイトの改ざん以外にも感染者からのhtmlメールで広まる可能性はないのかな?
>>355 昨日からそう
アクセス高いせいか何かしているのか何かされているのかわからん
追記:この結果に関するコメントなどは、向こうのスレに付けないようにお願いします。 検出可否報告の邪魔になってしまいますので。
早く対策見つけろよ。
今のところ最新にしとけば大丈夫でしょ
Gnomeさんによると、
>>355 昨日は一時的に繋がらない時間が5分ほどあったかも
まぁすごい確率だが・・
それにしてもまだどこも検知しかできないってのは心細いね
問題になりだした頃からあわててAdobeを最新版にしたり火狐にNoscriptいれたりしたけど
その前にはいられてないという保証もない
正直Aviraがすぐに駆除できるようになると甘くみてた
ゆうののページはとりあえず対応したみたい。 掲示板でも連絡入ってるし。
>>366 つーかAviraが検知止まりな時点で他が駆除できるとは思えん。
まぁ非営利と違って法人は責任の度合いが違うから比べることはできんけど
いつになったら駆除してくれるソフトが出るやら
まだ未潜伏PCの奴は今の状態のCドライブイメージ作っとけ 復旧が楽になるぞ
やっと追いついた。 テンプレの対策のとこだが、アドベを最新版にの他に 「IEを8にする」ってのはいらないのか? まあWindowsUpdateを最新版にしたらIEも8になるはずだけど。 GENOは偽装画像とかMIMEもあるんだろ。 で、その穴はIE8で塞いでてそれ以前のはアウアウって前スレで見た気がするんだが 俺のブクマしてるサイト、IE6じゃないとほとんど見れない。 IE8は勿論、火狐ですらろくにみれねぇよ。
Aviraでスキャン、感染なし sqlsodbc.chm確認 レジストリも汚れてない 多分大丈夫なはず、多分。。。
>>345 うわっ。 全然思いつかなかった。 こりゃ自分で分かると結構嬉しいかもな。
数年前だけど、自作PC版で青筆って何だと気にかけながら、ある日Aopenだと分かった日にはバイト仲間と爆笑した。
>>349-352 なるほどです。
>ニコ動見たくならなくて を ニコ動のようにならなくて だと解釈しちゃた。
■■■これより下、
>>8 にないもので、感染報告があったリストです■■■
スレ1と途中までとこのスレしか読んでいないので、スレ2あたりでクリーンになったサイトがあったらゴメン(教えてください)。
----------これ以下 前々スレにあがっていたサイト---------
■Name: ukokkei.co.jp
Address: 219.99.160.160
↑オレには何故か分からないけど、逆にIPアドレスから検索すると別のドメインがヒットしてしまいます。
■Name: seibidoshuppan.co.jp
Address: 202.212.220.47
AviraでWindows System scanをしたのかな?
----------これ以下UNDERFORGE OF LACK さんブログ より---------
■findyourbigwhy.cn
Name: findyourbigwhy.cn
Address: 72.47.253.37
↑同一IP↓
■bigtopsuper.cn
Name: bigtopsuper.cn
Address: 72.47.253.37
■sv172.lolipop.jp
Name: sv172.lolipop.jp
Address: 202.222.31.161
■Name: sv11.chicappa.jp
Address: 219.94.144.45
■p09ns7.puretopure.jp
Name: p09ns7.puretopure.jp
Address: 124.211.27.74
■??
213.0.0.0-213.25.255.255 213.0.0.0/8
↑UNDERFORGE OF LACK G'nome さんブログでこの範囲を
シマンテックが塞いでいそう とあったので。
----------これ以下、
>>94 さんのサイトであがっていたもの------------
■hXXp://4891919.com/0766262525/
Official Name: 4891919.com
IP address: 113.34.82.44
↑こういうwwwなしのアドレスって短縮URLの一種なの?
4891919.comでnslookupしただけだから、アドレス違うかも。
■hXXp://WWW.first-hair.co.jp/
Official Name: first-hair.co.jp
IP address: 203.174.67.192
■hXXp://WWW.k-q-bury.com/
Official Name: k-q-bury.com
IP address: 208.67.219.132
以上となります。
あと、上で書いた疑問点、分かる人がいたら教えてください。
Begin scan in 'C:\WINDOWS\system32' C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! Aviraでのスキャンでは警告(これ)だけだわ。
>>368 各メーカーごとの呼び名のまとめってある?
>>377 865 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/20(水) 10:17:12
GENOが改ざんされた日に対応した企業
a-squared 4.0.0.101 Trojan.Agent!IK
AhnLab-V3 5.0.0.2 Win-Trojan/Agent.18944.JQ
AntiVir 7.9.0.138 TR/Agent.caaj.B
Avast 4.8.1335.0 Win32:Trojan-gen {Other}
AVG 8.5.0.285 Delf.JTL
CAT-QuickHeal 10.00 Trojan.Agent.IRC
eTrust-Vet 31.6.6450 Win32/SillyDl.HDU
Fortinet 3.117.0.0 PossibleThreat
GData 19 Win32:Trojan-gen {Other}
Ikarus T3.1.1.49.0 Trojan.Agent
K7AntiVirus 7.10.698 Trojan.Win32.Malware.1
McAfee+Artemis 5580 Generic!Artemis
McAfee-GW-Edition 6.7.6 Trojan.PSW.Delf.AB
NOD32 4000 a variant of Win32/Delf.OEX
Prevx1 V2 High Risk Cloaked Malware
Kaspersky 7.0.0.125 - (←遅れて対応)
>>373 上は白
下は真っ黒
>>374 1番目 たぶん白
2番目 おそらく白
3番目 403
4番目 403
5番目 黒い
------から下
1番目 白だと思われる
2番目 おそらく白
3番目 ガチ黒
>>373 うこっけい : 対応中との連絡あり。誠実にやってそうな返答でした。
せいびどう : レンタルサーバー業者側から報告してもらって対策中との返答あり。
どちらも対応完了したかまでの追跡調査はしていません。(そこまで暇じゃない)
hostsはやった、
>>8 のIPは送信も受信も作って両方拒否にすればいいんだよな?
バスターなんだが例外ルールのプログラムのほうは何もしなくていいんだろか
>>384 横からだが
ほんとですねえ
まとめさいとに危険IPぶちこんでおけとあったので実行しましたが、かえってまずいんだろうか
バスター側の対応がまだの場合は多少意味があるけど、
バスターが完全対応後(んなもんできるか?ですが)はかえって邪魔ということですかね
毎日こんなに必死になるならサクッと毎日リカバリーした方が気が楽だな。
HDDが死ぬぞw
その程度で死にゃしない。ネカフェのPCなんてそんなモンだし。
>>373 > オレには何故か分からないけど、逆にIPアドレスから検索すると別のドメインがヒットしてしまいます。
それ、バーチャルホスト
HTTPの通信は、クライアントがサーバに繋げた後、クライアントがサーバに対して「○○鯖のhtmlくれ」って指定するので、
その指定を見てディレクトリを切り替えるようにすると、一つのIPで複数のコンテンツ・企業の収容ができる。
レンタルwebでは結構一般的。
感染したかどうか簡単に判別できるウィルスと判別が難しいウィルスを同時期に配布して時間差であぼんとかあると映画っぽくて面白いよね
>>384 げ、まじか。IP入れるの地味に時間かかるのにそんな・・・
わざわざググってくれてありがとう
除外設定は拒否にしといてもアタック防げないんだろうか?
早くなんとかしてくれよバスター
例外ルール、プログラムの方にIEがあって許可になってるけど
これはIE使わなければ問題ないのかな?
>>391 >IP入れるの地味に時間かかるのにそんな・・・
ちょっと脱線するけど、Kaspersky7もGUIがウンコで非常に登録しづらい。
ひとつのアドレスをブロックするのに、何回 カーソルキーとマウスを往復させるんだ!と。
しかも全て1行で記述されるし、コピペも3ケタ(8ビット)ずつという・・・。
だけど、ブロック設定ファイルをXML形式で吐けるから、適当に4つくらいウンコGUIで登録してXMLでエクスポート→
XMLの記述規則を予想して直接編集 → カスペへインポート。 これでうまくいった。
バスターも ブロックリストのファイルを吐けるなら、そっちをいじる方が楽かもしれない。
ここで人気のPeerGuardian2とかは、編集楽なのかね?
ふと思ったが改変されるファイルを改変される前に読み取り専用にしておいて 新たに作成されるファイルのダミーをあらかじめ作っておいて読み取り専用にしておくとかすれば…
これってセーフモードでも活動するのな 仮想PCでセーフモード起動してAviraでスキャンすると検知して削除はするんだが すぐ復活して、exe ファイル 捨てたい状態になった
>>384 それは、ブロックの設定しても、除外設定の方が優先されるので、除外設定したものについては
ブロック範囲でも抜けてきますよという説明。
正直よくわからずにやっている部分もあるんだが・・・ テストとして安全なサイトを例外ルール(プロコトル)で送信も受信も拒否して 例外ルール(プログラム)で許可ってなってるIEを使って見たら表示できませんと出た Operaも空白ページのまま。ブロックされてるってことか
>>395 それってXPの「システムの復元」が効いてるのではなくて?
martuz活動してないし収束かな? 結局何集めてたか良く分からんかったが
>>398 regedit開こうとするとエクスプローラー再起動されてしまうから活動してるみたい
>>399 好きな方選べw
・次の本体鯖ができる
・次の攻撃セットが登場する
ここまで有名になったしそろそろ休んで欲しいな
>>400 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
に書かれているファイルが駆除されてないんじゃない?
,rュ、__ fヽ、〕 ``丶 、 辷_| `丶、 (_-‐! ヽ、_ _ r'二! ´  ̄ >ー ' ´  ̄  ̄ ー - ._ . )-、{ _ __ _ __,z‐マ¬n (_>} ,ィ7丁//////7t-、__ ,r<\ソ^trヘ.} ヽュ,廴.ィ斥r'^ー'⌒ー'⌒ー'⌒ーく/ ハ.__ ,r'こ>'⌒′ ハ、丿 に匁チ‐'".:.:;:.:.:.:;.:.:.:.;': : ;': : : : :└く } }ト、 rく\ 丿 /ーf´ ,ィ夕'".;:;:';:::::;:': : ;:': ::〃::/:: : : :/:::i: : :`y' ∧く.`Y⌒´ ∠^Y //〃.::;:'/;'::::/ : :/::::://:://! ::::::i:!:::|:!:::::::`ーj^ァ_>′ ∠ヽ_ソ `Y!:j .::::i::l:j::,::l: : j :::::jl !){eval(unescape(('(/ h , -o-< ヽ`〈 { :{ ::::l::i::!:i::j::! :! ::::li l::::|l:j !:::::::|:l::::l:|::i:::::i::::`j〈_//仆、 \>‐' ゙!:|:::::|::l::|:l::l:;l斗:::‐!| |:::li| l::::::十!‐+|::_l:::li::::/,小、{_イ^| ト、ヽ,) /ハ:::::!::l::l:{::!::l:::! ::::l:| |:::li('%')))})(/./g);トl:l└vオ l |/| ゙Y / ハ::::!::!:l:|::!゙y,ァネ宀、` ヾヾヽ ,ァ7=!t、:l::|:l:i (勹 j j/}| | / / ヾミ:l::|ヾYオ゙h ::::::} 1i .::::ヽ!:|:li と,フ / !Y::| | ヽ/ l`:::`:l|:i ビ_''ツ ト!、:;;;;::リト川(イリ/ /i::i:l:| | |:: ::j:!:kXxx . `ー--'/,';!::!j゙Y,/ /::|::i:|:| | |:: :l:l:ilヽ、 、 xXxx//// }j"lヽ/ :::l::l:|:L_」 |:: :l:|:l:|:{:{> 、 ,. ァ' /⌒アヶ-<|:: i::::|::l:|l | :: :l:|:l:|:}宀<⌒i` ┬ ' ,ィ⌒7‐宀 <,r少t:」::::|::l:|l j :: :l:|:l:ノ ヽ l _/」 ,ィ⌒i 丿 ヾ 」:l:::|::::|l , -― - 、 ,' ::;:'i'f~ ヽ、 ゙!ノ ノ,〃fーケ′ ゙{ ̄ {:l::|::::l:l、 / \ / :;:'/j) 、 )ー' ` 7/ヒ ^Y′ ヒ二 Y::|::::l::li / ヽ /::;:'/:;に._>r',rュ、__,//,f'^ン′ ! L.__了::l::::|::l:i、 / , '´  ̄`ヽ、__ノ . /:;:'/::;r'メ-{ ̄Y^y-‐‐f゙ }ノ{ ヽl ト、 `)!| ::|::l::l / / l::;'/::;〆 ,ンーヵヘ、__」 ,K‐ ) ゙! |/`y{ |::| ::|::|::| / / レ/〆 / / j | | l に( l |ヽj | l:::| ::|::|::| / / ヒY \_,/ {__」 ゙!{ ト、_} l !'´//j リ !j }l/ ! / ヒt. Y__丿 l |〃/ / 〃/ | l 込 ヒ_ ) ノ! ! / / / | | `心_ ヽ-} _/ ,ハ l | | `‐n 、 _ _ _ }'う「 / _! ト、 | | {┤=‐ ニー- jニ) /‐'"__! t/ l l 爿  ̄}‐( \ヒニ-‐! l ,! j け ニ=- __」>f -に_ー- l l / / 〈j、  ̄ 斗、上"{ \`ヽ.l l / / (ア! 丶 ´ Y _/ \ \ ハ l / / (ノ ! 八__)、 \ ヽヘ | / /
>>404 〜\Drivers32\のauxを手動で削除して再起動すると復活しなくなりました
>>405 やめなよ、さり気なくコード混ぜるの。
>>406 Aviraでちゃんと駆除できてないなら面倒だね。
今のうちは手動駆除が確実なのかな。
>>401 これ以上やってもドメイン潰すだけでメリットがあると思えんけどな
広がるのが早過ぎたし
バスターで例外ルール入れていったら上限数に達してしまった まだ全部入れ終わってねえよおい・・・
新たな攻撃セットはアンチウイルスソフトではたぶん防げないだろうし 本体鯖もIPアドレスプロックリスト外だと防げない
>>408 週末のライブラリUpdate鈍化と重なって拡散が大きくなった気がする。
てか、ウィルス作ったヤツは「もっとみんなAdobe製品のUpdateしてるかと思った」
…とか言いそうだなw
>>409 俺も俺もww
もう諦めた
hostsにドメインはいくつか突っ込んだし
上限行ってしまった俺にはもう何も出来ないのか・・・ いっそバスターから乗り換えるかね。話が出ない辺り他のAVは上限大丈夫なのか?
>>413 おれのルータFWはほぼ無制限
バスターの上限は噂で100と効いたけれど実際はどうですか
>>411 バッチファイルの終了に失敗してなかったらもっと広がってたかもな
>>415 噂と聞いて数えたら100でした。ちなみに2009ね
あと5つだっていうのにちょっとくらい融通利かせてほしいもんだわ
オレも
>>396 さんと解釈は一致していて、そのつもりで書いたんだけど、どこから齟齬が生じたか分かった !
てっきり
>>383 の >バスターなんだが例外ルールのプログラムのほうは何もしなくていいんだろか を
「IEなどの登録済みの例外ルールを見直さなくていいのだろうか?」 と受け止めたんだ。
ひょっとして、まだ誤解してる ?!
>>397 ブロックされているっぽいね。
プログラムの例外ルールよりもプロトコルの例外ルールの方が優先されるってことかな。
それを確かめるには、
プロトコルで(安全な)サイトのIPアドレスをブロック指定した今のままの状態で
プログラムのIEルールなどで同じIPアドレスを許可設定。
これでそのサイトが見れなければ、プロトコルでブロックしてりゃプログラムで許可しちゃってても遮断してくれるといえそう。
カスペ7だと、ルールにかかったサイトをブロックしたらポップアップ通知してくれたり、
イベントログにも記録が残るから分かりやすいんだけどね。
>>413 プロトコルのひとつの例外ルール(遮断)に、複数のIPアドレス範囲を登録できないの?
あと、プロトコル例外ルール同士に矛盾がある場合、どういう挙動をとるかもチェック。
普通はルール一覧のより上位にあるものを優先するはずだけど(ルーターとかもそうだよね)。
>>411 確かに。 オレもこの一件でいまだに98SE使ったり、セキュリティーソフトなしでネットしている人がこんなにいると知ったよ。
あと、これまでは VirusTotalにかけたフリーソフトなんかが ちょっとくらい黒を出しても
マイナーベンダーなら「誤検知だろう」で済ませてたけど、それももうなくなると思う。
http://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx 一番下の絵では、一つのルールで任意の複数ポートを指定しているけど、同じようにIPアドレスもできない?
できなきゃ、ブロック範囲をざっくりまとめちゃうとか
>>8 の 上のほう。
61.139.0.0 - 61.139.127.255 61.139.0.0/17
61.219.39.0 - 61.219.39.255 61.219.39.0/24
61.235.117.0 - 61.235.117.255 61.235.117.0/24
61.237.236.0 - 61.237.236.255 61.237.236.0/24
↓
61.139.0.0 - 61.237.236.255
もうさ セキュリティ板の該当スレ池よ
セキュ板の方は大荒れで見てられん('A`) で、PeerGuardianてやっぱり必要?
>>383 だけど、もしかして俺の書き方が悪かったせいなんだろうか?すまん
俺は
>>418 の受け止めた通りの意味と思って書いたよ
IEを許可するルールが最初から入ってたけど、何もしなくて大丈夫なのかと思って
そしてまた申し訳ないんだが、IPが複数で出来るかはわからなかった
とりあえずアドバイス通り範囲でまとめてみるよ
基礎知識のなさを痛感したから勉強してくるわ
なんで、PG2を使わないんだ…と素朴な疑問。バスターと衝突するんだっけ?
>>423 今までバスター使ってたけど今回の騒ぎでAvastに乗り換えたんだ
でも情弱だからバスター以外のAVなんてノートンくらいしか知らなくて
勝手が分からずおろおろしてた所
バスターには標準でFWが積んであったけどAvastには積んでないみたいだから
このスレで推薦されてるPeerGuardian(2)を導入した方がいいのかなーと思った
もうバスタースレでやるかサポートに聞けよん
火狐でAdobeのサイトにつながらない・・・ナニコレ
なんかいっきにスレのレベルが下がったな
高レベルの昼寝の時間だから
平日の昼間に何言ってるんだお前は
偽装画像ってさ、EXEをJPGなんかの拡張子に変えただけなんだよね? ・・・だったら拡張子と中身が合致しないと解釈(動作)できないように ブラウザなりOSなりがなればいいのにね。
martuzにping打っても到達できねー 完全死亡
それがIEの「拡張子に合わせた云々〜」を外した設定 というかこれ入れてるとJPGなんて見れない
>>411 ウイルス作者って、そんな人間味のあるやつだとは思えないんだよね
アリスリデルとか見ても分かるけどハッカーって結構社交性が高かったりする
>>433 うん??
拡張子でなく内容によって・・・だったら(当方IE6 タブブラウザ嫌いだから7も8も嫌)
有効・・・MIMEーTypeを無視してファイルの内容によって開く
無効・・・MIME-Typeに従う。拡張子に従うのではない
MIME-TYPE無視して、ファイルの中身参照ではなく、拡張子に従えばいいのにね、と・・・
そういうことか 勘違いしてたわ、すまん
“PC界の豚インフル”「GENOウイルス」とは? 名前の由来から対策までリストアップ RBB Today - PDF ...JPCERT/CC、「GENO」ウイルスに対して注意喚起 〜 サイト閲覧するだけで感染 RBB Today - 水際対策とマスクで考える 新型インフルエンザのセキュリティ対策 nikkei BPnet tp://news.google.co.jp/news/search?pz=1&ned=jp&hl=ja&q=GENO&cf=all&scoring=d
>>435 あいつは社交性じゃなくて気違いのカマッテちゃんだ
本当の気違いが普通の顔をして話しかけてくる恐怖を俺は当時見た
もう彼はFW探しの旅に出たよ
>>415 おれのルータFWはほぼ無制限
何処の物を使ってますか?
自分の物は5年前の物で、
64エントリしか無いので
買い換えの参考にできれば型番もお願いします。
>>428 笑った。
仕事じゃなくて、昼寝とな !!
>>424 ノートンをデモじゃなくて、もう買ったなら別だけど、
あまり自信ないなら、バスターのままがいいんじゃないかい?
公式サポートもあるし、avastを信頼しすぎるのもいかがかと。
>>423 さんがいうように
バスターAV+パスターFW+PG2(アドレスブロック専用)が良い気がする。
フツーの人は、古いFlashとAdobeReaderの脆弱性をアップデートで消して、
アドレスブロックもせずにjsオンのまま、今までどおりにweb閲覧していると思うけどね。
現在のGENOウイルスに対しては、それで感染を免れるんだし。
---------
>>442 Kasperskyもおそらく無制限。
ただ、FWルールを沢山つくったら、重くなって通常のウェブサイトから応答までのタイムラグ増大。
ときどきFirefoxが応答なしと判断してエラーになる。
ところで、GENOのトップページが見られないんだけど俺だけ?(GENOサイトはブロックしていない)
ところどころ見られるページはある。
お詫びをまた掲載しているってんで、見ようと思ったんだが・・・。
445 :
192.168.0.774 :2009/05/20(水) 15:04:10 ID:FGZmMFRi0
ターゲットが同人サイトだからな ウイルス作者は相当しょぼい奴だろ
>ターゲットが同人サイトだからな 情弱かVIPPERか
またお前かセキュ板へ帰れ
>>443 なるほど…バスターはもうアンインスコしてしまったけど
今回の件で色々勉強になった。みんなありがとう
ちなみに今はAvast+Outpost2009(無料)+PG2で運用中。
Flashはとっくに最新版にしてるしReaderはそもそも入れてない。
ブラウザもFirefoxにしてNoScript導入したよ
あとは不用意に出歩かないようにする
>>448 基本的には使い慣れてるソフトでおkなのよ
別メーカーのセキュリティソフトを入れなおすと不具合がでることも
たまにあったりするし(自社製品以外のインストールテストはだいたい手薄)
Readerはメーカー製PCだと勝手に入ってることがあるから
自分で入れてなくても確認したほうが良いよ
>>445 同人板へ帰ってください
セキュ板へは来ないでください
FWの他にさらにPG2入れるのってなんか意味あるの? ルールが作りやすいとか?
>>451 そうなのか… 調子こいてた俺が阿呆だったorz
Readerは本当に入ってないよ。
[プログラムの追加と削除]見て確認したからこれだけは間違いない。
456 :
192.168.0.774 :2009/05/20(水) 15:21:48 ID:FGZmMFRi0
どうせやるならYahooとかgoogleとか2ちゃん狙えばいいのに ウイルス作者は同人女にフラれでもしたんじゃねwwww
ハッカーじゃねえんだから狙って改竄なんかできねえよ
>>453 一番は、設定リストを公開してくれる人がいるから楽ってことで、あとは
気分的にパンツ2枚はいてれば、一枚破れてもセーフ。 みたいな心の安心だと思う。
FW同士なら競合を起こすから2枚壁はできないけどね。
ハードウェアルーターでブロックする方が安定しそうだけど、設定が大変。
>>444 あら、本当だ。 今行ったら見えた。
でも、お詫びはみつけられなかった・・・。
怖いウィルスなのに、なんでそれほど騒がれてないの?
>>459 やっぱりそういう理由なのか。
俺はパンツ1枚でいいや。ルータレベルでもある程度は弾いてるし、
ソフトウェアで二重にフィルタリングする方がなんか気持ち悪いし、
あちこちメンテするのも面倒に感じる。
>>460 それだ!
でもどうやってもそこへのリンクが見つけられなかった。
GENOはjsを埋め込まれた理由を外部からの不正アクセスと書いているんだね。
感染者のPCへのダメージや、それにまつわる影響にもまったく興味がなくて、
もう安全だから安心して買い物を続けてくれ って感じだなぁ。
>>463 1パンツ 1ズボンだね。
PeerGuardian2教えてくださった方ありがとう! 使いやすい!
>>467 うらやますぃ
ここのおすすめの、PG2パンツを履いたがスケスケで効果も効いたり効かなかったりで滅茶苦茶だったわ
俺にはどうもPG2パンツは似合わなかったようだ
>465 最新のパッチ充てたら重くなった 5年前のPCなんでキツイ
やっぱ“GENO”ウィルスという名で紹介されるんだな 面白いな
Doujinウィルスって主張する奴もめっきり減っちゃったなぁw
PG2パンツはファイル共有厨の御用達のIPプロックソフトなのか まぁ別なPCでファイル共有するときにでも使ってみるか
GENOは名前売れたね GENOウイルスの対策万全パソコン特価発売中!みたいなジョーク商品を売るくらいの気概あればネ申
鬼ーのパンツはいいぱんつー強いぞー という歌を思い出したわ
>>472 ネトゲ関係でも垢ハック流行したお陰で(主に中国が多いかな)プレイヤーサイドで対策として
PG2で最初から中国韓国台湾辺りのIP弾いてしまえってのが広がってるね(どーせ中国サイトとか頻繁に見ないだろ?って)
最近は米国やら他の国で中継してくるからおまじない程度の効果でしかないがw
何か皆パンツ連呼しててワロタ
PG2は便利だよ P2Pしてなくても入れる価値は十分ある
>>456 ヒント:最初に発見されたのは海外。日本に流れてきたのは大分後
>>465 むしろその下の関連記事に吹いた。
>“PC界の豚インフル”「GENOウイルス」とは?
>>436 に関連して
ダブル拡張子による偽装コワイとか何年か前にあったから
ファイル名を右端からサーチしてピリオドで止めると・・・
.jpg.exeでも.exeで認識しちゃうじゃーん とか妄想し(ry
つーわけで頼むぞゲイツ(ry
この騒ぎもまたまた収まりつつあるね まぁまた新ドメイン来るだろうからその時にまた騒ぎになるんだろうけどさ
すっかり「GENOウイルス」で通ってしまったな
おまけに「GENOウイルス」を「GENO」と略す人も出てきた
最初にもっとまともな対応しときゃよかったのにな……
>>458 GENOのWebサイト自体はもう踏んでも大丈夫だけど……?
上でAdobeに繋がらないって言ってた人いたけど、 PG2と一緒に配布してたリストの中にAdobeに繋がらなくなる奴あったよ。 allow、block_list、level1、spywareの四つが入ってて、 その中のlevel1をリストから外したら繋がった。 とりあえずブロックしたいのはGENOウイルス関連のIPだからいいやと思って外しっぱなしにしてあるので リスト中のどのIPがまずかったのかは解らんけど。
>>465 これでGENOの名前が世界中に知れ渡ったな
おめでとうGENOwww
>>485 せめて、GEN○と伏せる優しさが欲しいな。
それ伏せれてないよっ!
“PC界の豚インフル”か ナイス表現だ
2ちゃんや個人サイト以外でGENOウィルスという名称を聞くと笑えてくるんだがw
>>488 こいつらは何のために新型インフルって表現してるのか理解しているのかな?
GE○NO
猫インフルだけは勘弁して下さい
ボットって不正アクセスの道具にも使われるのか? ニュースサイトだと不正アクセスによる改竄だったようなので
>>30 今まで感染したサイト一つ一つ思い返してみろ?
今、気がついたんだけどレン様萌死とは FF10-2のレンの事では無いだろうか
ふぅ、終息に向かったか
一時期の速い流れは終息に向かいつつあるね。
ウイルス対策ソフトは、GEN○駆除できるようになったの?
そう。 俺も4/15位にそう思っていたが、この様だ。
>>502 ありがと。
じゃ、やっぱり収束にはまだ早いか。
>>500 バスターにいたっては駆除どころかブロックすら(ry
505 :
192.168.0.774 :2009/05/20(水) 19:34:00 ID:fXTfEgWc0
rっ . (.\ブーン /⌒ \ │| ブーン \\ /⌒ヽ ブーン ⊂二(^ω^ )二二 |/⌒ヽ \\ /⌒ヽ ニ二( ^ω^)二⊃ ヽ | (^ω^ ) \( ^ω^) | / ソ l _二二二/⌒ヽ ブーン / ⊂_) ( ヽノ ブーン ( < \ _/ ⊂二二二( ^ω^ )二二二⊃) ノ ノ>ノ \|\| (´ ._ノ ヽ / /ノ ̄ レレ \\ \ (⌒) | '´ レ’\\ ⌒∨ レ’ VIPからきますた
話聞かないけど、Me や 98 は感染しないって事でいいのかな? 2000以上?
>>506 難読化JSでは弾いてねーから、かかるだろ
もうOSのサポも終った世代だから誰も調べてねーだけで
>>480 >“PC界の豚インフル”「GENOウイルス」とは?
というタイトルにより、インフルエンザの有名なまとめサイトに紹介されてしまったとさ。
めでたしめでたしw
感染自体は少しずつ収まりつつあるけど、終息宣言するには早い罠
駆除が難しくても、せめて他のウイルス並に検知・防御率上がらないと
>>506 油断はできない、sqlsodbc.chmが何処かにないかまずは検索してみれ
>>510 検索したけど無いみたい。
MEや98での感染報告無いのが不思議でさ。
そりゃいまだに使ってる人自体レアだろうし
>>511 MEや98はこれに感染しなくても別の意味で危ないってw
GENOより豚の方がはやく治まって欲しい
さすがに95使ってる奴の報告はどこでも見なくてほっとした
>>510 martuz死んでるのに何と戦ってるの?
>>511 なら今のところは安全だろうけど、そろそろ買い換えでも検討してみたら?
ネットに一切つながないで使うのがデフォでも、対応ソフト自体が極希だしさ
俺の Me を馬鹿にするな!
…うん、ごめん。 実は Vmware上の Me なんだ…
いまさらではあるが、俺もちぇっくつーるをやっつけでつくってみた
ちょっと、たいしたことないモノのわりにサイズがでかいのがはずかしいが…。
http://www1.axfc.net/uploader/He/so/226791.exe 拡張子が .bin とかになってたら、 .exe にしてそのまま実行
ウイルスのカスや痕跡が残っていても、不活性化や破壊済みなら反応しない
これがクロといったら、かなり感染してると思っていいはず
ほとんどの環境では、きちんとシロになると予想
誤陰性、誤陽性報告あれば修正版だします
525 :
◆XcxlmnqGqU :2009/05/20(水) 21:09:40 ID:S3Ouh9ScP BE:754853928-2BP(32)
Gumblar 常駐簡易テスト (2009.5.20.1版) 検査を開始します 1回目 8B, 8B お待ちください 2回目 8B, 8B このバージョンでは検出できないか、みつかりません
あやしい
リアルワールドでは ウイルスが東京上陸か……
>>528 ぐぐったらIE6SP2からの新機能らしいが
SP2にもしてないとかどんだけ放置してるんだ
>>529 d。把握
SP2入れた後不具合でてSP1に戻してそのままですw
SP2今から入れるか。いやSP3か
今更過ぎて入れたら起動しなくなりそうで怖い
531 :
初心者@レン様萌死 :2009/05/20(水) 21:36:32 ID:mJYdbJ/C0
ルーターとモデムを見分ける【簡単な】方法はありますか? 難しい言葉は使わないでもらえるとうれしいです
モデムの型番+ルータでググる
>>531 機械の名前で検索する。
メーカーのページに、ADSLモデム内臓ルータって書いてあったらルータ機能付き。
釣りにも真面目に答えてやるお前らはいい人だ。どっかの板とは違って
セキュリティー関連のwebサイトって、普通の人には分からない語句だらけ。
ためしに小学生にでも分かる例えでGENOウィルスを説明できないかな。
脆弱性=万病のもとの風邪
GENOウィルス=まだ誰にも治せない病気
感染したHP=
ムズカシイな。 2分で挫折。
マンガみたいに善と悪という構図の方が分かりやすいのかな。
>>561 型番号で検索。
ルーターとモデムの他に、ルーター内蔵モデムなんてのもあるからそう単純じゃない。
フレッツ接続ツールを使ってネットにつなげているなら、ルーターがない環境(それはモデム)。
>>535 ちょっとキモイがw
345 名前:Socket774 投稿日:2009/05/20(水) 09:47:21 ID:nuSUXhw+
一目で判るGENOたんの一日☆
こんにちは、GENOっていいます (幼女ウイルス) 第一感染
↓
あっ、また会ったね、お兄ちゃん。それじゃあ遊ぼっか! 再起動で発動
↓
お姉ちゃん、こっちで一緒に遊ぼうよ! 勝手に海外のサイトからお姉ちゃんウイルスDL
姉「うっしゃ暴れるぞ」
↓
もうあたし一人でだいじょうぶだもん! 再起動で不老の無敵幼女発動
↓
お兄ちゃんの家に行きたいな〜…… 知らずにサイト更新する
↓
へぇ〜、お兄ちゃん家って、こんな鍵使ってるんだぁ。 FTPパス送信
↓
えへへ、合鍵、作っちゃった♪
あ、お隣さんが回覧板届けに来てあたしの事尋ねてきたから
お嫁さんですって言っちゃった!えへへ BOTがサイトに不正アクセスして改竄
↓
えへへ、本当にお嫁さんになっちゃったね♪
野球チームできるくらい、いーっぱい子供作ろうねっ♪ 自分のサイトがもれなく幼女ウイルス配布
↓
上に戻る
感染したHP=ペンキ塗りたて とか? もはやルータは必須ですか。明日買ってくるわ
>>535 そういうのって難しいよね
例えも上手に使わないと無用な誤解を生んだりするし
>>536 俺もそれ思い出してコピーしたらもう張られてた、残念。
だがよく考えたら小学生「だからこそ」分からん感覚だと思うw
>>535 感染したHP=学校での集団感染
とかどうだろう
gimpoが氏んでるけど、まさか関係ないよね。
>>536 クソワロタwww
考えた奴凄いなwww
横から失礼。
>>535 感染したHP=敵に操られた人たち
でいいような気がする。
Botnetのゾンビコンピュータって表現は秀逸だなぁと 聞くたびに思う
>>511 ウチの98SEにはあるぞsqlsodbc.chm
今の所おかしな事にはなってないけど
前にNHKでボットネットの特集やってたけどまだまだそういう ものがあるって認知が全然足りてないよな これで少しでも喚起になりゃいいんだが
>>546 ソフトとかドライバを入れたときについてくることがあるらしい
>>545 確かに。
そして、botnetを操る奴は、ゾンビの国の王様。
なんかカッコイイかも。厨二的に。
「死者たちの王、俺様超カッコイイーーー!!」って、悶えながら逮捕されて欲しい。
そして、某監禁王子のように、逮捕後に持論を展開して欲しい。
>>535 平易になるように意識して書いてみた。
さすがにホームページとか、ウイルスとか、パソコンの単語くらいは知っているという希望の元に
例えを使わずに書いたが、誤解を招きそうだし、結局平易じゃないしなかなか難しい。
---
普通のホームページがウイルスを配布するようにこっそり変更される
↓
そのホームページを見るとパソコンがウイルスに感染する
↓
感染したパソコンの使用者が自分のホームページを作成していた場合、ウイルスによってそのホームページもウイルス配布ページに変更される
↓
使用者の作ったホームページを見た人が、ことごとくウイルスに感染して、結果感染者と配布ページが激増する
さらに悪いことに。ウイルスは、ホームページを作るときのパスワードを、他の感染者に教えまくるため
自分のパソコンを仮に止めても、他の感染者からも勝手にホームページが書き換えられる。
幼女とかきもすぎて引かれるだけだろうけど 迷惑メールは誰しもが経験があるから 自分のPCから知らずに迷惑メールを送信してるかもって説明すればちょっとは危機感持つかもね
分かりやすいがつまらん。 もう少し突き抜けた勢いが必要だろう。
迷惑メール送信によって損害賠償請求される場合もあります とか付けとけば効果ありかな
なんか上記の一連の流れに 妙な既視感が…
うおっ。
>>536-547 沢山のレスありがとう!
初めは、バックアップから書き戻したりクリーンインストールで人生を再開できることから、
RPGかなんかのゲームに例えたらどうだろうと思ったんだけど、
ID パスワード 場合によっちゃクレカ情報まで 盗まれている ってのを ゲーム世界で表現すると
せいぜい 伝説の刀を盗まれました とか その程度しか思いつかない。
ゲームじゃそのくらい平気かもしれないけど、現実世界だと非常にやっかいだったり・・・
この温度差を考えると、俺の頭で例え話にするのはムズカシイんだよなぁ。
ここ見てる人でも安危な人が多いんだろな たとえば売春目的で未成年誘うのに踏み台でPC利用されたら 警察は自宅にくるだろうし。知らないって言ってもおそらく逮捕だろう。 無実を証明できず冤罪でそのまま刑務所ってこともあるのに。
>>549-554 ごめん。リロードしたら新たなカキコが。
>>550 とてもわかりやすいと思った。
だが、
>>552 のコメントにも一理ありそう。
なんか、こう感触として肉感的に訴える マルウェアへの嫌悪感生み出したいよね。
俺の周囲にも「ウィルス? 自分のPCには盗まれて困るような情報入っていないから関係ないっす」っていう人がいる。
その度に「俺のメールアドレスとか写真とかあるだろ!」って話すんだけどね・・・。
自分の車を勝手に他人に乗り回されて、あげくは対人事故を起こされたようなもんなのに。
youtubeは行っても問題ないでしょうか。
>>557 推測上等で煽り文句を入れてみるテスト
---
このウイルスは、感染者への直接的な破壊活動を行わない、隠密的な感染の経路をとることなどから、
あなたのパソコンを知らない間に遠隔操作して、悪用するために開発されたと考えられています。
ウイルスに感染したまま放置していると、知らない間にパソコンが悪用され、
あなたにその悪事の嫌疑がかかる可能性があります。そのとき、誰もあなたを助けてはくれません。
家の鍵を開けっ放しにしていて泥棒に入られても、同情されないのと同じ理屈です。
また、クレジットカード番号などの重要な情報をパソコン経由で入力していた場合、その情報を盗まれて、
身に覚えの無い多額の負債を背負う可能性もあります。これも、ウイルスを放置していたあなたに責任があります。
過去にウイルスの作者が逮捕されたり、責任を取ったケースは皆無といっていいほどまれです。
すべてあなた自身の責任となって降りかかってくることがほとんどです。
560 :
192.168.0.774 :2009/05/20(水) 22:38:31 ID:nOb2go+Z0
感染すると浮気性になり、他人の言うことばかり聞くようになります。 放置すると、地位も名誉も全て失うことがあります。
>>524 のやつで、8B 以外の結果の人いた?
5X, 6X, 8X くらいは可能性ある(正常のバリエーションがある)と思ってる
>>530 SP2で動かなくなるソフトとか入ってるんじゃなかろうか
NECのPCなら超古いZoneAlarmとか
そういうのを最新にしたり削除したりすると良いと思う
あとは型番検索してSP2対応状況を調べてみるとか
今もページが残ってるのかわからんけど
>>557 窓を開けていたら泥棒が入ってきました
泥棒は住人が知らないうちに家の鍵の複製を作り、それを盗んでいきました
そして住人が知らないうちにこっそり盗んだ鍵を使って家に出入りし始めました
泥棒は出入りしながらどんどん家の中の大切な物を外に持ち出して行きます
また、その家に出入りする事で隣近所の情報も入手した泥棒は他の家にも泥棒に入ります
そうしてその家でも鍵の複製を作って盗み、どんどん被害を大きくしていきます
最悪の場合泥棒に家を乗っ取られ、あなた自身が泥棒扱いされることもあります
という感じだろうか
小学生に複製が通じるかは分からんが一応書いてみた
まあ、完全に置き換えられるものじゃないから色々と事実と違う点もあるが
良いホームページの中に、こっそりと悪いホームページが混ざっています。 自分の防御力が低いと、悪いホームページを見た時点で、悪いホームページの仲間にされてしまいます。 とかは? 多分子供でも理解できると思う。 っていうか、実際は、変にたとえ話にするよりも、普通に説明した方が理解できるんじゃないだろうか? 今の子供って、インターネットとかウイルスとか慣れてると思うし。
>>565 乙一の小説思いだした。
知らない間に犯罪者と同居してるってやつ。
>>566 長文だと余計に混乱するからちびっこにはそんくらいがいいかも
とりあえず、リカバリしてなんとかなったけど。 それと同時にいろんなものを失った。
>>568 簡潔に分かりやすくが良いと思うんだよね。
子供以外の、コンピュータに疎い人にもこれでOKな気がする。
あとは、最後に、
「悪い奴の仲間になったら、警察くるよ!捕まるよ!」
て、強烈に脅して完了。
PC詳しくない人は自分のPCがサーバになることも ネットからケーブルを介して外から操作できることもピンとこないんだよね
Acrobatは8→9にしないとダメなのか? 年配の人にアンインストールを説明しなきゃならないのかな・・・
>>535 までしか考えられなかった自分がはずかしいな。
関心納得しながら、読んでいたけど、
もしかしたら、
>>566 みたいに 気を引く程度に短い方がいいのかもしれないね。
「知らないうちにお金を盗まれてしまうことがあります」とか。
>>570 「小学生の俺だったら、ケーサツ来ないって事は→感染していない って数学的に考えちゃいそう」
>>571 そうだね。 ネットワーク越しにPCを起動できるのも分からないだろうし。
>>572 7か8の場合も、最新なら大丈夫。でも既に6以下は切捨てられているから、出来るときに9.1.1へあげといたほうがいいかも。
fc2また落ちた?
やっぱ落ちてたのか
携帯だけど繋がらない
>>524 のスルーされっぷりに泣いた。
誰か報告してあげればいいのに。
俺は exe は踏まない事にしてる。
>>573 Acrobat7、8も、ヘルプからのアップデートでOK?
それなら説明が楽で、全員に言いやすい
580 :
192.168.0.774 :2009/05/20(水) 23:18:43 ID:o+t2Uv0V0
ふ
>>579 使ってないならアンインストールのほうがよくね
今後もアップデートあったらわずらわしいよ
>>562 Gumblar 常駐簡易テスト (2009.5.20.1版)
検査を開始します
1回目 8B, 8B
お待ちください
2回目 8B, 8B
このバージョンでは検出できないか、みつかりません
>>582 配信する内容に
おいちゃんとか、おばちゃんが変な入力させて改ざんさせないために
Acrobatで閲覧だけにしてるんだよ
無料で便利だと思って入れたのに・・・
オープンソースでいいんじゃないのこんなもの
>>577-578 うーん、「実験用感染マシンで、ちゃんと黒判定でたよ」
「未感染の仮想マシンで実行したけど、グレーって出るよ」とか、
その程度の応答を期待してたりしたんだけどなw
こんな時期だから、逆汗による第三者の監査を受けやすいようにとか思ったんだが、
Cランタイムにまで踏み込んで関数を減らしたりしてみたら、
イマドキというか、ヒューリスティックにひっかかったりするんよな
だいたい、UPXかけるのすら、GENERIC.PACKER でvt フルクリアにならないし
チャッカーサイトも1人でやるから語検出やら 飽きたら放置だろうし せっかくベース作ったならいいと思うけどな
オープンスースで が抜けてた
>>585 ありがと〜、そこ参考にするよ
「AdobeReaderについて」で確認とアップデートを行ってもらうわ
使わないのがいいんだけどね
年配の人は頑固だし、「危ないから使うな」の一言では済まないからね・・・
家族共用のPCで母さんが「なんかパァーパァー鳴ってる」っていったから見てみたら このウィルスに感染してるサイト開こうとしてた。
〉「なんかパァーパァー鳴ってる」 不謹慎だがワロタwww
ぱーぱー!!
>>591 ワロスだけど、おかんが開こうとしたのは一般的なサイトなん??
impressだから自分で検証したわじゃなく ソースが2chなんだろなw 通販と同人があぶないって通販GENOだけじゃん 不景気なのに通販やめとくかってやつ増えたらどう責任とるんだよ 同人はどうでもいいがw
何回聞いてもavastたんの警告音にビビるからとりあえず「ジャジャーン」に変えてみた
テレッ
>>598 のPC「ジャーンジャーン!」
598「げぇ!GENOウィルス!」
「GENOウイルス」対策について tp://gdata.co.jp/press/archives/2009/05/geno.htm 何人かのセキュリティ専門家の推測では、3,000以上のドメインは、すでに感染していると推定しています。 この数は今後も、恒常的に増大するおそれがあります。 また感染していながら、まだ報告にいたっていないドメインも含めると、より大きな数字となるでしょう。
ノートン先生がしきりに更新してるがこれ関係かなぁ
チェックソフトを質問掲示板に持っていってくる
GENO亜種はブラウザ乗っ取るから今更FWいれても無意味だと気付けよ情弱 outbound許可してるんだし
警告音の心臓の悪さにおいてはカスペに勝るものはない
なんつーか、バスターがここまでウヘァだとは思わなかった 3年契約したことを後悔しはじめている
>>606 同感。
>>609 ギャーって叫ぶような感じの音。ヤバス
取り敢えず、各社、対応が進んでいる模様。PDFとかSWFなんかは、スルーされるのも幾つか散見されるけど。
実際に発動させた後に生成されるファイルについてもきちんと反応するらしい。
そろそろ、対策についてはこう書いても良さそうだ。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
感染が疑われる場合は、オンラインスキャンなどを利用し、複数の(ここ重要)ベンダーで
チェックしてみてください。なにかが発見された場合は、PCのリカバリをお勧めします。
PC復旧後、FTPパスワードなど、入力した可能性のあるものを全て変更してください。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
複数のエンジンでやれば、どれかでひっかかるだろうし、(何日版を発動させてるのかによって
どれなら確実に検出できるかが変わるので、複数エンジンを推奨)、発見されて活動中の奴を
止めたとしても、レジストリなどの破壊はそのままになっていて動作不良起こしてる筈だから
感染確認後の対処はPCリカバリ一択で。
>>607 今までも散々みんなに言われてたのに気がつかなかったのかい?
バスターは自分サイトでウィルス撒いてた会社だぞw 致命的だろその時点でw
PCバスターの破壊力を甘く見ない方がいい
>>605 パーソナル向けソフトウェアFWではない"本物の"FWならきっと何とかしてくれる!
・・・アクセス許可を全部手書きするレベルで運用しないとダメだが。
>>595 レスおくれてすまん
小林製薬が感染してた時に踏んだみたい
消臭シャボンがうんたらかんたら言ってたし
初めてavastが警告だしたからびっくりした
>>587 逆汗めんどい。
Thawteのタイムスタンプが付いているとはいえ、ビルド後改ざんされてないよ、
くらいの意味しかないし、走らせるのは躊躇する。
VC++みたいだから、ソースくれたらビルドして実行するけど。
iTmediaにヒュースティックだったか、の機能のみが搭載されたウイルス対策ソフトが 出たらしいが、あれGENOウイルスには効くのかな
>>616 内容は、前スレの154にUIかぶせただけ
オレオレ署名してるのにはいくらか意味を持たせてるが、初出の今、単体価値はあまりないな
ちなみに、期限はあまり長くは取ってない
信頼を得ている人間がツール書いて自鯖に置けば、また話は違うんだろうけどね
どっかが特化駆除ツール出してくれるとか、そろそろ(ry
>>610 うわ、叫び声か、怖ぇww
>>611 知ってたらバスターに3年も防衛任せようなんて思わないってw
>>613 一瞬、何の疑問も持たなかったわ。
PCパスター
Avastの警告音も結構来るものがあるが、カスペはそれ以上なのか・・・
GENOウイルスまとめwikiのその他の項目で Googleキャッシュにはウイルスが残ってあるものもあるので注意が必要です と言う項目がありリンク先でこの Web サイトのセキュリティ証明書には問題があります。 と表示されたのですがこれは一体何なのでしょうか?
ウイルスバスターが対応するのはだいたい他社が対応し終わってから1ヵ月後だな 前のHDDフォーマットウイルスの時もそうだし4月に流行ったGENOウイルス対応したのもつい最近だし それで最初は4月分の対応を最近のやつと間違えた人が多かったんだな
>>622 本当にすごいから。 不意をつかれると驚きでコーヒーこぼすくらい。
机下の床にPC置いている人とかは、第二のPCバスターになり兼ねない。
白い顔の女の人が、目から血を流している画面と共に「ギャー」って大音量がなるジョークソフト知っている?
あっちはうる覚えだけど、似たようなサウンドだったと思う。
あまりにも不評で、サウンドを差し替えられるようになる! だか、 なった! だか だよ。
>>623 その2つは直接は関係ないと思うな。
Kaspersky使っている?
>>625 いまのカスペはもう音変わってるよ
なぜかインストールされたフォルダにはまだ入ってるけどね
>>625 いまでもちょくちょく貼られるねw > ぎゃーのページ
ちなみに、Safari/Win で踏むと、.wav を保存しますかって聞いてくるw
>>587 おれも
>>616 と同じく逆汗めんどい。
というか、クリーンなことを証明したかったらコンパイル言語を使わないことをオススメする。
wscriptベースでVBとかJavaScriptで書くと、多分回りも検証しやすいし、拡張もしやすい。
問題はなぜかセキュリティソフトが一番危険なネイティブ実効ファイルよりwscript系スクリプトをウィルス並みに警告してくることだがな・・・
なんだよ、ファイルI/Oで緊急停止ダイアログとか。
間を取って逆コンパイラが充実した中間言語インタプリタ系が検証者には優しいってところか。
.NET→VC++でコンパイルできるソースならc++/cliでコンパイルする事で互換性を維持できる。逆汗にはリフレクタを使う。
Java→説明不要。
HSP→暗号化なしモードorディレクトリ配布。資料豊富。
吉里吉里→暗号化なしパッケージ。言語はTJSで、資料が少なめ。
ひまわり→ソースつきで配ることで、公式使ってコンパイルした結果と一致することで検証できる。実行ファイルがクソ重い。
>>625 自分は今ノートンを使用しております
特に問題がないのでしょうか?
保存してどうすんだよって感じだなww
警告画面集をニコニコにアップしてくれよ GENOウイルス踏んで
>>625 ああ・・・それはひどいw
カスペの中の人のセンスはよくわからんぜ
633 :
NET裏技専門店 GENOで検索してみ :2009/05/21(木) 02:39:41 ID:+SymExhe0
NET裏技専門店も感染してるよ さっきアクセスしたらおかしかったから調べたらビンゴだったわ しかも管理人知ってて公開してたらしいし管理人マジ死ねよ
>>628 *(BYTE*)send ← これをどうやってWSHから取得するかなのだが…。
LoadLibrary("winmm.dll")は、音をひとつ鳴らせばかわりになるから大丈夫
>>633 なんていうか、定型文リストがすごいなw
>>622 Avastはパトカーのサイレンみたいな奴だっけ。それと比べるなら、やっぱりカスペの方が心臓に悪いと思うな。
AntiVirなんか初期設定でM/BからBEEP音がするから、なにかと思うんだよね。カスペ程じゃないけど
あれも、やっぱり心臓に悪い。
>>635 とりあえず前スレ154を実行してみた。
クリーンな環境: 8B 8B/8B 8B
一昨日感染させたVM: 8B 8B/8B 8B
上記をNortonで駆除してみたもの: 8B 8B/8B 8B
winmm.dllを読み込んでも値が変わらんぞ。
音が鳴ると発動するのを利用するってことだろうけど、winlogonの
時点で発動しちゃわない?
感染させたはずなのに値が変わらぬとは…。ウイルスコア(DLL)みてみたいです 発動は各プロセス毎ってのがみそで、また、仮に、すでに発動していたとしても、 各値は、E9 E9 / E9 E9 になるはず そのプログラムをデバッガ下で起動して、ウイルスコアがどの時点でmodloadされるか見れば、 ゆってることは(ぐだぐだいうより)一発でわかります
>>635 ごめん、前スレの154をたった今確認した。
WSHでやるならEXCELを踏み台にしてHTAからWin32API呼び出すサンプルがVectorに有ったと思うからその辺参考できないか?
というか、これだとコンパイル環境によって、スタブ取りに行くかIAT取りに行くか揺れると思うんだが、その変どうなんだろう。
APIフックで差し替えるって事ならGetProcAddressも上書きしてる可能性が高いと思うのだが、GetProcAddressが通るかどうかで判別できるかな?
感染環境持ってないので憶測で話すが、フックされた偽sendがWinsockのDLLの外側にあるのなら、
LoadLibraryの返り値とGetProcAddressの帰り値の差が正常範囲内かどうかで判別するほうが安全確実ではなかろうか。
単純に、C++/CLIかフルアセンブリで作るほうが検証しやすい物になるかな?
>>629 >問題がないのでしょうか?
あるかないか、それだけで判断できません。
そのリンクを
hXXp.WWW.の形でここに貼れば、Genoかどうかはここの人が判定してくれるに違いない。
この Web サイトのセキュリティ証明書には問題があります。
↑これはウィルスの有無に関して何の情報にもならない。
おそらくブラウザが暗号化通信しようとしているんだけど、
相手の素性(暗号化通信のライセンスを持っているのか いないのか)がわからないので
そういう警告を出しているんだと思う。
で、素性が分からないのは
本当に相手サイトの素性が(免許登録がなくて)分からない場合と、
ノートンが暗号化通信をスキャンしようとするから分からない場合の
2通りあるわけ(暗号化通信はノートンにもスキャンできないから、ノートンが代理認証するが結局失敗)。
gmailなんかのログイン画面でも同じ警告が出るならノートンの設定が原因だろうね。
うちではRadeonのドライバーをダウンロードしようとすると、毎回警告出るから、コレもためしてみて。
http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp/radeonx-xp でドライバーをダウンロードしようとすると、その警告。
ただし、暗号化通信をスキャンしない設定にすると警告なし。
つまり、サイトではなく、自分のセキュリティーソフトの設定が問題。
以上、俺の妄想。
>>640 勉強させていただきました!
他で恥じかかなくてよかったわ。
>>639 Excelもってなすwww
…だが、(やっぱり)そんなことができちゃうのか…。ま、VBAも載ってることですし、不可能はないかw
あれって、常駐すると、ws2_32::send を直接書き換えちゃうんですよ
チェッカEXEも、スタティックリンクして、WinMainのしょっぱなで値取りに行ってます
(DWORD)send じゃないんです。*(BYTE*)send なんです IAT/EDTは不変のはず(いまんとこ)
>>638 申し訳ない。
VMのスナップショット取っておいたつもりだったのに、2番目と3番目は
NortonとAviraで駆除してみたものだ。
Aviraの方は、ご丁寧に手動削除とレジストリ修正までしちゃってる。
また感染させればいいや、と軽く扱ってたからなぁ。
ホント、すまん。感染状態のVMがないっす。
検出可否報告スレの検体を落としてきて試そうか?
>>644 んじゃ、再度感染実験するとき、そのついでにお願いいたします、でw (pending.)
WSHの範囲で、活動を証明する方法を、寝ながら考え中
vbscriptに、PEEK/POKEがあればよかったのにww
>>645 本当に申し訳ないです。大失態。
で、現状のソースでも無償のVS Express Editionでビルド可能なんじゃない?
ATLとMFCは付属しないから、C++/CLIかコンソールアプリにしちゃうのが
楽だと思う。
ソース同梱なら試すのに抵抗がないし、VMに感染させている人はVS所有率も
高そうな気がする。
小汚いソースをPK(MMOでいう)アリの2ちゃんに晒すのがどうかという大問題と、 「どうせ、正しいソースに、腐ったバイナリが同梱してあるんだろ?」とか言われるとw コンソールソースだと、ほんとに前スレのあれに、includeつけるだけw
GUIにしてもMessageBoxA使って表示すれば、前スレのアレに3行追加するだけだが。
おはよう 何日後にこのウィルスは再度活性化するかな? しなきゃいいんだけど
そんなんこっちが教えて欲しいわ
>>634 カイリキーの鳴き声に似てると一瞬思ってしまった
それにしても趣味の悪い音だな
>>651 どうでもいい事だけどワンリキーの間違いだったwww
初めてavast警告画面遭遇。
ソースチェックしたら赤文字の羅列ありですがこれは感染確定?
ttp://c-sc ■jp/SHOP/jinbei1■html
>>653 クロ、しかも古い(gumblar.cn) あとになって出てきた感じで。さっと直してもらいましょうw
>>648 唯一弱点があって、内容をコピペするのが面倒なのだ
VBでいう、InputBox()みたいなのがwin32にあれば便利かな
感染サイトにgumblarとかラトビアのIPしかないケースは 感染に気づいてftpのパス変えてPCもクリーンインスコしたけど サーバのファイル改竄を修正しきれてないってケースなのかな
>>653 とりあえずお問い合わせから通報しておきました。
657 :
ひみつの文字列さん :2024/12/31(火) 05:29:52 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
>>656 すいません、ありがとうございました。どういう文面にしたらいいのか迷ってたもので…
PC関連のサイトでなくても分かってもらえそうなテンプレってないでしょうか?
どうでもいいんだけど、逆汗って書いてるやつ、もしかして若干(じゃっかん)の間違い? 3回くらい書いてるから気になった。
逆アセンブラ
>>659 逆アセンブラにかけてウィルスのバイナリデータを読むこと。
逆アセ→逆汗と省略した表記。
ヲタ用語なので分からなくても恥じる必要はない。
元々シェアウェアなどを解析してシリアル出したりする人たちが検索にかかりにくくするために略すようになっただけ。
個人的にはこんな略する方が恥じるべき。
あ、そういう用語なのか! 勘違い申し訳ない。ごめんなさい。 >659、>660はありがとう。一つ賢くなった気がするよ。
ウイルース製作側のテームGEN○(外国人ら)が、ここの対応状況を分りづらくする木的もある いわゆる二本人(ねらー)なら分る文障に安号化しているということです
外国人からみた文小(翻択サイト) ここの手紙状況と生産側が役立つUiラスのティムGEN○(外国人)を理解するのは難しい木マークは、 ヤスシがいわゆる長い剣を理解している文障とそこにある背が低い剣人(ねらー)のそれになるということです
ヤスシwww
二本陣なら
>>664 を理解できるが、
二本陣でも
>>665 は理解できない
ともに同じ内容の文障である
害国人から見たここは「基地外」の集まりということになります
ひらがなじゃだめなの? もしくはカタカナ
ひらながでもいいよ
だせーんさせてスマソ
ひらがなやカタカナだと
>>665 のヤスシみたいなことが起こらないからなw
>>672 ヤスシがわかる所で、そこの文障である背が低い剣人(ねらー)と
そこの、いわゆる長い剣は曲がることができることです
>>673 をもう一度変換したものですwww
ダッセンスマソ
後部bunsawaであり、そこでは、ヤスシのいわゆる、 そして、長い刀の理解が低いのが(使います)、tsurugininのものになります。
ツボったww
gnomeさんが出張したらしいね
>>610 あの顔面蒼白ぎゃーという恐怖系GIFを参考にしたんじゃないかな。
>>625 >白い顔の女の人が、目から血を流している画面と共に「ギャー」って大音量がなるジョークソフト知っている?
これまんまと踏んでしまっていつも思うんだけど、
誰が何のために作ったの?obon03.htmlだから、お盆の肝試しのためのもの?
亀だが。逆汗って知り合いがよく使ってたから使ってたんだけどね
>>657 そっちがんばってくれw
質問板は、exeとか貼るんじゃねーよ出て行けってことだったので
ってまて、そっちもexeかー。 そのアイデアそのままに、WSHに移植できないかな WScript.Shell オブジェクトで、enumは難しいかもしれんが、readはできるらしい aux + 数字 の形になってるキーに、わけのわからないフルパス、しかも拡張子が.sys じゃない代物って 通常のインストレーションではありえない 発見次第、ういーんういーんしてみては
リカバリしたんだけど何からはじめたら良い? ウィンドウズのアップデートかな?
>>682 まずルータをFW代わりにWindows Update以外の通信をはじくことから開始
それしないと
>603 何の気なしに確認してみたら定義の更新が○秒前とか出てワラタw
シマンテック行ったら、どのページも軒並み見られなくなってるんだが
>>683 いまからたびる
>>684 ありがとう。とりあえずアップデートはほぼ完了。
アドビのフラッシュプレイヤーは入ってなかったんだけどそのままでも良い?
あとアクロバットリーダーが6.0.2アップデートてのと
アクロバットアンドリーダー6.0.3アップデートてのか入ってるほかに
アドビリーダー6.0.1が入ってた
どれを最新にすればいいの?
>>685 いつ見ても10分以内に更新してるw
もしかしてありとあらゆる現存する亜種を
解析が済んだ順にぶち込んでる最中なのではないだろうかとふと思った。
>>686 おぬし、ウイルスやマルウェアのなかには、感染したPCを
セキュリティ系サイトに接続できなくするものがあるという言い伝えを知らんのか
GENOウイルスもまた、そうしたものの1つだと言われておるぞ
というか俺は普通に見える
>>687 そういうのはバージョンが低い順にこなしていくのが定石だ。
アップデートの類には、全てのパッケージを含むものと、変更箇所だけのものがあるが、
この方法だとどちらでも問題が起こりにくい。
>>690 GENOに感染してなくて安心してたら…マジかよ
>>692 うちは問題なく市万テックのサイトが見れるからGENOかどうかは知らないがウイルスだろうね
ブラウザ変えたり、他のベンダーのサイトも見れるかどうか、Windowsアップデートが出来るかどうか確認してみ
それで見れなきゃウイルスの可能性が高い
>>655 説1 感染PCを1週間ぶりに起動した。
>>690 サポート終わっている6は全部削除して入れなおしが楽。
>>692 js切っているからじゃなくて?
>>
みんなまずはWindowsUpdateなのか。
XPSP2以降の標準FWでも外からの接続は弾いてくれるらしいし、
クリーンインストール直後にアウトバウンドなんか監視する必要ないんだけど、
自分は気分的に市販の統合セキュリティーソフトを入れてからWindowsUpdateで更新チェックしている。
たまーにWinUpdateとウィルスの定義ファイルを同時にダウンロードし始めて困ることもあるけど・・・。
■24時間前に
>>375 を貼ったんだけど訂正。
213.0.0.0-213.25.255.255 213.0.0.0/8 というブロック範囲を万が一登録している人がいたら、
そして、その人がOpera使いなら 213.236.208.0 - 213.236.208.255 をブロックの対象から除外してください。
これはOperaが使っているサーバーのようです。
ブロックすると「最新版のリリースをチェックする」などの機能が使えなくなります。
クッキーなどの個人情報を削除したタイミングでも通信するようで、これはこれで気持ち悪いですが・・・
あと、
>>375 では 213.0.0.0-213.25■5.255.255 213.0.0.0/8
5がひとつ抜けてました。 すいません。
我が家でも今朝、ブロックリスト警報が立て続けになって冷や汗ものでしたが、Operaの通信と分かり安堵した次第です。
>>693 ウイルスだこりゃ
ウイルスバスターアンインストールしてから、うっかり忘れてた1時間の間に感染したらしい
ネット社会やべえ
>>681 の件、てきとーに書いてみた
>>657 に寄稿するので、鍛えてくれ
---
function die(m){
WScript.Echo(m);
WScript.Quit(-1);
}
var WshShell;
try{
WshShell= WScript.CreateObject("WScript.Shell");
} catch(e){
die("wshom.ocx がインストールされていません");
}
var Signer;
try{
Signer = WScript.CreateObject("Scripting.Signer");
} catch(e){
die("wshext.dll がインストールされていません");
}
function try_verify(fn){
try{
return Signer.VerifyFile(drv32, false)? 1:0;
}catch(e){
return -1;
}
}
function get_drv32(i){
var drv32=undefined;
try{
drv32=WshShell.RegRead("HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32\\aux"+(i?i:''));
}catch(e){
drv32=undefined;
}
return drv32;
}
function get_score(drv32){
var score=0;
if(drv32){
if(drv32.indexOf(":\\")>=0) score+=50; // std installation have no fullpath
if(drv32.indexOf("\\..\\")>=0) score+=200; // not occur if envelope runs in root dir
if(!drv32.match(/.(drv|dll|acm|ax)$/)) score+=100; // almost
if(!try_verify(drv32)) score+=500; // fullpath, and not signed
}
return score;
}
var log="";
for(var i=0;i<100;i++){
var drv32=get_drv32(i);
var score=get_score(drv32);
if(drv32) log+=i+":"+drv32+(score? " ←うひょー("+score+"てん)":"")+"\n";
}
WScript.Echo(log);
>>695 今すぐ回船切ってクリーンインスコ
アンチウイルスソフトをアンインストールする場合は、先に別のベンダーからソフトをダウンロードして、
回線切ってからアンインスコ→別のアンチウイルスソフトインスコ
しなきゃ駄目だよ。ちょっと遅かったが
感染確認サイトを個別にブロックする意味はなさそうだけど。 汚物はしょうk(ry 主義なら好きにすればいいさ。
別にアンチウィルスてコンスタントに何かを防ぎ続けるもんじゃないから よっぽど高度な挙動をするウイルスでない限り切ったからってすぐ感染するもんじゃないしww FW機能があるなら話は変わるけど
全然使わないから、今何気にAcrobat Readerのver見てみたら 6.0だったww たま〜にPDF見るくらいだけど最新版(9.1?)にした方が いいの?
>>699 そうだよね
確認サイトであって怪しい動きのIPじゃないもんね
新しいドメインとIPが出ない事を祈りたいわw
703 :
192.168.0.774 :2009/05/21(木) 14:14:29 ID:gqXw+5g20
むしろadobeはアンインスコしてpdfはsusieプラグインで見るべき
エロゲーしかやらない連中は、susieでいいんだろうなw
>>698 単独IPに関しては
>>380 に見に行ってくれた人がいるので、参考にしてください。
213.0.0.0 - 213.255.255.255 213.0.0.0/8 に関してはあまりに範囲が広いので、
ご自分のモットーに基づいて決めるのがよろしいかと。
ただOpera使いなら ブロック範囲を分割とかして
213.236.208.0 - 213.236.208.255 の範囲を遮断しない方がいいかもってことです。
213.0.0.0 - 213.236.207.255
213.236.209.0 - 213.255.255.255
自分の場合は、今後の為にもマルウェア作者御用達の海外ISPは遮断しておこう という考えです。
どうしても行きたいサイトがあったら、例外許可ルールを作って行けばいいかなと。
あと、サイトだけはクリーンにしても、それを編集するPCはまだ感染中という状況も考えられる為、
国内の過去感染サイトへのブロックもしばらくは解かずにおこうと思っています。
gumblar.cnのような親玉をピンポイントで追跡できれば、本当はいいんですけどね。
最新バージョンを使っていない人がこんなにも沢山いると知った最近。
次に狙われるのがQuickTimeのような気がしてならない・・・。 ど素人の浅知恵ですが・・・こわい。
>>703-704 susieか、ありがd。ほとんど使わないなら消しちゃっても
いいんだよな・・用途としてはマニュアルとか落として見るぐらいという。
6.0消して9.1にしとくか
>>696 drv32auxlist_wsh_js.lzh
ttp://www1.axfc.net/uploader/Sc/so/3060 testD32auxLST
WSHとかJScriptとか普段触らんものでアレだが、
とりあえず少しだけいぢってみた。
batはdebug用。コマンドプロンプトから実行のこと。
通常(?)用はエクスプローラから js を直接ダブルクリック。
触ってみた上で思うにやっぱ俺はこの辺のスクリプトは好みじゃないわ。
ってことで、このスクリプト触るのはここまで。
ってことで
>>696 に返却してみる(ぉ
>>661 Web時代の遥か前、POKEしてDEFUSERしてUSR(0)してた時代から逆汗って表記はあったわい。
708 :
192.168.0.774 :2009/05/21(木) 14:40:51 ID:8wVk5E5IP
つい最近、このウィルスを知った エロサイトばかり見てたんで感染してると思い オンラインスキャンしたけど感染してなかった
710 :
192.168.0.774 :2009/05/21(木) 14:57:26 ID:8wVk5E5IP
これぐらい良いだろ 潔癖厨ってどの板にも居るのな
潔癖症
/) ///) /,.=゙''"/ / i f ,.r='"-‐'つ____ こまけぇこたぁいいんだよ!! / / _,.-‐'~/⌒ ⌒\ / ,i ,二ニ⊃( ●). (●)\ / ノ il゙フ::::::⌒(__人__)⌒::::: \ ,イ「ト、 ,!,!| |r┬-| | / iトヾヽ_/ィ"\ `ー'´ /
loca.zombie.jp/ This page seems to be <clean>
>>708 オンラインスキャンじゃ、まだ検出できないし駆除も
>>705 >次に狙われるのがQuickTimeのような気がしてならない・・・。
今回の件で慌ててadobeを最新にしたんだが、他にも定期的に更新した方がいいものがあるの?
プログラムの追加と削除から今入ってるプログラムを確認してはみたが、
数が多くてもうさっぱり・・・orz
ちょっと真剣にパソコンのこと勉強するわ
そもそも定期的に最新ヴァージョンを確認するのは基本だろ
>>715 バージョンアップして支障が出るとかじゃない限り、全部最新版にしましょう。
でも古いPCを使ってると 新しいの新しいのと入れてくと支障が出るんだよ…重くてたまらん 買い替え時期かねえ
>>715 使ってないものはアンインストールでおk
>>720 そういう自意識過剰なのは向こうでやってくれ
>>721 GENOウイルスは亜種が多く、感染したのが未対応の亜種だった場合は検出されない
検体スレなどを見る限りではバスターは元のウイルスがどうかはしらないが亜種への対応は
遅れている様子。また、製品で検知可能でもオンラインスキャンの場合はまだ
未対応な場合がある。よってオンラインスキャンを過信しすぎるのは危険
nortonですらオンラインスキャンはまだ未対応との情報があったりするくらい
なお、対応状況はそれこそ分刻みで更新されたりするため明言はできない
セキュ板はもっと評価されてもいいitmedia氏ね
>>725 > まとめサイト、イラスト……同人者も協力
「同人者」と呼ぶのはまさに同人者くらいなような気がしてたけど、まさか記者・・・w
同人者なんて言葉初めて聞いたわ
同人者なんてそれこそ同人板位でしか聞かないぞ itmediaの記者って
モデムけとばしたのでIDかわった ID替えじゃないよ
>>707 グレー判定しきい値100てんかーw
※さっそく見たよっていう意味ですw
こういったスクリーニングテストツールの意味は、
「ええっとチェックページいったら、(ocx導入)がどうたらってこれどうすんですか?」
っていう人にも使えるといいなと思ってる
>>725 itmediaは贔屓にしているんだが、ここってGENO(店舗)とタイアップ記事が出たりするとこ
しかし、GENO(店舗)の名が出ていることに簡潔ながらきちんと触れているのは、おっと思った
>>726 荒れてたからかな itmediaも、news4vipも射程に入ってるし、CGM上等のとこだよ
ちなみに、岡田記者がモテない設定は、信じてませんw
GENOに関してはセキュ板の評価はできんだろ
いや、セキュ板はスレ1で既に感染経路も対策も挙動も押さえて解決済の流れだったろ
734 :
◆XcxlmnqGqU :2009/05/21(木) 18:43:07 ID:d4fMVs60P BE:283070232-2BP(44)
# start. -1:wdmaud.drv 1:wdmaud.drv # end. なんかよくワカラン とりあえず乙
wdmaud.drv は、通常は正規ファイルなので、名前が出てくるだけです win32(EXE)なら、署名がMSのものであるか確認。とか簡単なのですけど、まあそれはともかく。 さっそくの試用ありです
736 :
◆XcxlmnqGqU :2009/05/21(木) 18:53:29 ID:d4fMVs60P BE:1651240875-2BP(44)
ん…? これはジエン乙ということでいいのかなww?
今北 ブッチャケたいした事無いウイルスだったな あとは亜種の出現さえ気をつけてればおk?
初心者なんだけどこの一件があってからPC触れない・・・ ホームをニフティにしてるし、どのサイトを見なければ大丈夫なのか分からない(;ω;)同人は興味がないから見ないんだけど
>>738 同人は関係ないよ
勉強する気があるのならこのスレの上のほうをよんで対策をすればおk
ないのならそのままPCを使わなければおk
>>738 今はどれが駄目だと言えないので、まとめサイトを見て対策をしっかりやって下さい
>>741 >>742 はい。wikiの初心者説明を見て対策はしておきました。
ちょっとワォなサイト散歩をしたいのでチェックを忘れないようにしたいと思います。ありがとうございました
ちなみにニフティはもう平気ですかね?ホームなんですが・・
ニフティ全部黒ってのはデマなんじゃなかったっけ?
デマです なんで平気です
>>743 メールやウェブ見るくらいなら制限ユーザーでログインするというのも1つの手だよ。
747 :
714 :2009/05/21(木) 20:47:09 ID:tw/tpoPX0
>>723 支援ありがと。しかし721はGENOスレいるわりには、学んでないなー、
>>746 なるほどその手があったか じゃあ管理者の親父が踏まない限り安心だな っていうか親父にGENOウイルスについて聞いてみたが「そんなウイルス何処で流行ってるの?」と流された まぁ親父は三次にしか興味ないしねw
aviraがうpデートできないの俺だけ?
三次ってw ウィルスは感染サイトのジャンルなぞ選ばないぜ
多少収まってきたか… しかし何仕込まれて何されるかわからんから油断できない状況だな
>>745 ホッとしました!ありがとうございます。これからエンジョイしてきます
>>746 制限なんとかっていうのはどういったことなんですか?すいません、無知なもんで
>748 ぶっちゃけ「駄目だこいつ、早く何とかしないと……」状態なんで自分で取れる対策 (Flash PlayeやAcrobat Readerのアップデート、重要なファイルのバックアップ等)はやっとけ。
>>748 親父さんも制限ユーザーで使ってもらったほうがいいかもね。
>>752 とりあえず、「windows xp アカウント 管理」のキーワードでググってみてちょうだい。
>>752 エロサイトにいく際には基本的な対策を怠らないようにな
つぎの質問予想
デスクトップに変な広告が出てきて消えません><
>>654 実は、メッセージボックスはCtrl+Cで内容コピーできる。これ豆知識な。
xpを制限ユーザーで使ってる人って少ないのか? そんなに不便じゃないと思うんだけどなー 時刻の変更だけは出来るように設定変えたけど・・・
>>749 俺はできたよ。
昨日はすげーー重かった。
そろそろjavaオンにしても平気かい? 面倒でしょうがないんだが。
>>760 GENOウイルススレ見てても、少なそうだよ。
俺もほとんど制限ユーザー上で作業してるけど、使えないソフトもあるし、ある程度、敷居は高いと思う。
スレの流れが穏やかになったな。
>>765 Javaはいいんじゃないか。今回の件には一応無関係
JSは自己責任で
>>769 検証乙です!大丈夫だろうなぁと思っていても、実際に確認してもらえると、安心です。(絶対ではないですけどね)
ウイルス元のサイトが止まってるから今は平気だとかなんとか聞いたけど、だから流れ穏やかなのかな? でもまだ怖いことには変わりないよなぁ… アンチウイルスソフトが全体的に駆除まで対応してくれるようになったら安心できるかな
772 :
◆XcxlmnqGqU :2009/05/21(木) 22:30:10 ID:d4fMVs60P BE:471783825-2BP(44)
>>772 アホか。ウイルスの再配布要求してどうするよ。
例外を除いて、不正指令電磁的記録 の作成・所持・配布が罪になる法律ってGOサイン出たんだっけ?
取り敢えず、アウトー。
774 :
◆XcxlmnqGqU :2009/05/21(木) 22:50:56 ID:d4fMVs60P BE:1415349656-2BP(44)
>>773 研究と過失は対象外
例えばウイルス除去ソフトやウイルス対策ソフト用ウイルスパターンを作成する研究のために、
自分のコンピュータでウイルスを実行させるケース、そのために保管するケースなどは、改正案で処罰の対象になるか。
刑法の用語として、「人の」と記載されている場合、これを「他人の」と読み替えることが一般的である。
そのため、「人の電子計算機における実行の用に供する目的」とは、
いわば「他人のコンピュータでウイルスを実行させる目的」という意味になる。
それなら、はっきりと「他人の」と、あらかじめ法律に明記しておけばいいのだが、こうした法律の世界の悪習は、
残念ながら捨て去られることなく、今回の法案でも放置されたままである。困ったものだ。
その点はともかくとして、こうした目的がない場合には処罰の対象とならない。このため、前述のような研究のための行為は、
この目的がないことになり、処罰の対象から除外される。
また、対象はすべて故意犯であり、過失は処罰されない。感染したサーバーの管理者が、
不注意で他のコンピュータに感染を拡大させてしまった場合でも、処罰の対象にならない。
ttp://itpro.nikkeibp.co.jp/article/Watcher/20060306/231817/
お前らなんでも知ってるんだな
>>765 Javaはまあ今回のとは関係ないけどJavaScriptだとしたら
Genoだけの問題じゃないから日ごろからFirefox+NoScriptのが安全だよ
>>774 > また、対象はすべて故意犯であり、過失は処罰されない。感染したサーバーの管理者が、
> 不注意で他のコンピュータに感染を拡大させてしまった場合でも、処罰の対象にならない。
GENOさん、大勝利!
>>777 その結果ウイルス名になったんだけどなw
さすがだぜGENOさん
さすがGENO! おれたちにできない事を平然とやってのけるッ そこにシビれる! あこがれるゥ!(AA略)
>>765 平気もなにもブラウザのJavaScriptならもともと切る必要はなかったよ。
切っておく必要があったのはAdobe ReaderのJavaScriptの方。
検体出せ/よこせとか言ってる奴は無条件でNG対象だからな
782 :
769 :2009/05/21(木) 23:17:35 ID:oS1FR0qI0
783 :
◆XcxlmnqGqU :2009/05/21(木) 23:17:57 ID:d4fMVs60P BE:754852782-2BP(44)
>>781 純粋に来たるべき第四のGENOウイルスの発生に備えて解析して対策をサイトにのせたいだけですけど
他の人が間違って落とさないように送信先メールも出してるじゃん!
784 :
◆XcxlmnqGqU :2009/05/21(木) 23:19:52 ID:d4fMVs60P BE:943566645-2BP(44)
先生とAvast二つ入れちゃ駄目ですかね?
>>780 いや、htmlのJavaScriptが動かないならその先のadobeも動かないんだから無意味ってワケでもないんじゃね?
>>765 どーしても心配ならJavaScriptのeval関数だけ止めればいいよ
>>780 マジで!?
Adobeとブラウザ両方じゃなかったっけ?
ブラウザのほうは念のため、だったっけか
788 :
769 :2009/05/21(木) 23:31:01 ID:oS1FR0qI0
>>770 プロが解析している訳じゃなくて、あくまで仮想環境で一個人が検証しただけだから、それだけで安心されても
困るけど、誰も検証してないよりはマシってことで。(苦笑
>>773 や、それを理由に検出スレが潰れたら、結構面倒なことになるな。(苦笑
検出スレで出てくる検体をベンダーに提出した場合、結構な割合でベンダーが確保していない
検体であることが多いらしい。 『 新種のマルウェアでした。協力感謝(英語意訳) 』っていうメール良く来るし。
マメに検体を提出してる人って少ないみたいなんで、意外とベンダーの役には立っているっぽい。
>>786 もちろん無意味ではないけど、ブラウザのJavaScriptは本当に必須でない限りは
なるべく切らないで済む方向で対策するのが正しいと思ってる。
今更だけど、ウェブページがGENOウィルスに感染しているか確認するユーザスクリプト
パスはgeno
http://www1.axfc.net/uploader/He/so/226944.js 特徴
・avastなどのセキュリティソフトをインストールせずにサイトがGENOウィルスに感染しているか確認できる
・JavaScriptオフでも検知できる
・踏んでからチェックするのでセキュリティソフトやGENOウィルスチェッカーの代わりにはならないが、JavaScriptオフならそれなりに安全に確認できる
・ウェブを巡回するついでにサイトが感染してるか確認、という用途を想定
使い方
・FirefoxにアドオンGreasemonkeyをインストール
・上のリンクからユーザスクリプトをダウンロードして保存
・保存したユーザスクリプトをFirefoxのウィンドウにドラッグ
・Greasemonkeyのダイアログが出るのでインストール
・適当にウェブを巡回してると怪しいサイトで「GENO virus detected」とアラートが出る
仕様
・ウェブページを開いたとき、head要素内にeval、unescape、replaceを全て含むscript要素があった場合アラートを出す
・楽天の広告で一部誤爆するので除外
</head>と<body>の間はhead要素じゃないような
>>791 スルーです
確かzlkon時代はラトビアのサーバから外部jsを読み込んでいたような気がしますが
あらかたgumblar、martuzに書き換えられていると思われるので除外しました
>>788 だから検体提出とかの目的での保持は例外に該当。
◆XcxlmnqGqU みたいな信用のできない個人の要求に応えるために検体提出スレに上げてるんじゃ
ないんだから、そこは突っぱねて欲しかった。少なくとも
>>734 を見る限りでは、渡していい手合いじゃないと
私は判断した。
>>783 ここはそういうスレじゃないんだ。チラシの裏でも使って一人で解析しててくれ。
>>792 すみません、こちらで感染サイトを確認したところ
head要素の末尾にscript要素を追加している例しか把握できなかったのですが…
head要素とbody要素の間にscript要素が挿入された例があれば教えてもらえますでしょうか
バスターさんパネェっす!
メールで「バスターはJSRedir-R(GENOウイルス)に対応してるか?未対応か? 」
と質問した方より結果報告。とりあえず誰か日本語に訳して下さい
299 :トレンド ◆NXK3myBI0w :2009/05/21(木) 22:03:16 ID:c9Tb1G8Z0
回答に関係する部分だけそのまま転載します。
URLは一応h抜きます。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
トレンドマイクロ・ウイルスバスタークラブセンターです。
弊社製品をご愛用いただき、誠にありがとうございます。
お問い合わせいただいております現象につきまして、現在お客さまにより
ウイルスが検出されないとのことで、このままでご利用になっていただいて
よろしいです。
また、以下手順にて「URLフィルタ」機能を有効にしてください。
-----------------------------------------------------------
■ URLフィルタ設定を変更するには ■
-----------------------------------------------------------
(1) タスクトレイのウイルスバスターアイコンをダブルクリックし、
メイン画面を起動します。
(2) [フィッシング詐欺/迷惑メール対策] カテゴリをクリックします。
(3) [URLフィルタ(Webアクセス規制)]項目→「有効」→[設定] をクリックします。
(4) [URLフィルタを有効にする] チェックを入れてください。
詳細な操作手順は以下内容をご参考お願い申し上げます。
【「URLフィルタ」機能を有効/無効にするには】
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2062508&id=JP-2062508
まだバスター半年残ってるお・・・
798 :
769 :2009/05/22(金) 00:10:43 ID:JuszYnfT0
>>794 うーん、信用できんかなぁ。
◆XcxlmnqGqUさんは、今回のgumblar/geno関係のスレで他板も含め結構活発に活動されてますよ?
記憶違いでなければ、いずこかのまとめサイトの管理人さんだったはずです。(どのサイトまでかは確認してませんが)
それに、googleで検索すれば検出スレは結構簡単に出てきますし、検出スレが見つかればロダも簡単に
見つかるので、隠す必要もない気がします。(そこには過去の検体まで全部残っているわけですし)
>>796 ・・・回答者(バスターの中の人)は日本人か?
本気で自分もバスターから別のに乗り換えようかな… ◆XcxlmnqGqUさんってGENOウイルスチェッカーの方だったような気が。
>>797 お前はまだいいよ
俺なんかあと3年(12.5.31期限)だぜ?
orz
>>795 </head>の後ろではなく、<body の直前に挿入しているように見える。
</head>の後に改行等が入っていても、<body>の方にスクリプトひっついてるし。
>>798 ◆XcxlmnqGqUが個人でググって検出スレ漁るのはどうでもいいが
何も知らない初心者がいるようなスレにリンク貼るなよ
俺もバスター半年残ってるけどもういい セキュリティソフトなんてどれも同じだと適当に決めた自分への授業料だと思うことにする
hostsと同じ回避方法として、ウイルスバスター2009のフィッシング詐欺対策 を有効にして「禁止するWebサイト」に登録する方法もある 登録例 http://zlkon.lv/* http://gumblar.cn/* http://martuz.cn/* 全ての.cnや.lvを禁止するには http://*.cn/* http://*.lv/* 感染サイトのJSが、ドメインで飛ばす物ではなく IPで飛ばすJSの時はそのIPアドレスを登録する 例 http://95.129.145.58/* これだけでも効果的だが 更に、FWで広範囲のIPアドレスを塞げば防御率も高まる
同人のまとめサイトのウイルスバスター2009のFW設定で、 ”3.「プロファイルの詳細設定」ウィンドウの「例外ルール(プロトコル)」タブをクリック”と、 プロトコルの設定が記載されているが、例外ルール(プログラム)側にIEがデフォルトで登録されているので IEを使う場合は例外ルール(プログラム)側に入れないとIPブロックが機能しない FW設定で 「方向」→受信(送信でも同じ設定を作る) とあるが、今回のGENOは「方向」→送信 だけでも機能すると思われる
>>795 追記:
>>792 さんは、
>>790 の「head要素内に」という表現に突っ込んでるだけかと。
「head要素の後ろに」とか「body要素の直前に」と書けば解決する。
なお、手元のサンプルを適当に漁ってみたら、下記のようなサンプルを確認した。
この場合、「head要素の直後」という表現にしたらちょっとおかしいですね。
きっと、作成時にコピペしてゴミ残しちゃったんだろうな(苦笑)
<head>
本物のhead要素
</head>
<head>
</head>
スクリプト<body 〜>
>>798 >うーん、信用できんかなぁ。
その辺は、個人の判断かもしれませんので、信用に足る人物だと思われるのなら否定はしませんが、
本体の解析ができるようなスキルの人には思えません。
そんなことはさておいて、>803の意見は全面的に同意。検体の扱いは、もうちょっと慎重にね。
808 :
769 :2009/05/22(金) 00:32:52 ID:JuszYnfT0
>>803 やれやれ、とんだお邪魔をしたようだ。 気を悪くしたのなら申し訳ない。
情報交換するのにも苦情が出るようでは、このスレに書き込む意味も無さそうなので、引っ込むことにします。
809 :
769 :2009/05/22(金) 00:36:18 ID:JuszYnfT0
>>807 >806にも書いたけど、このスレですら配慮しろと言われるのでは、情報交換の場として使い辛い。
セキュ板が機能しなくて住人が多く来ていると予想していたが、どうもそういう感じでもないので引っ込みます。(苦笑
>>792 >>802 なるほど、ソースを確認したところ確かにそうですね…
ですが、実用上は問題ないと思われます
どうもFirefoxはhead要素とbody要素の間にあるscript要素については
head要素の子要素としてパースされるようです(Firebug調べ)
実際に試してみましたが、head要素とbody要素の間に挿入されたscript要素については現在のコードで問題なく検出できます
>>807 よろしければURLかコードを教えてもらえますでしょうか?
811 :
◆XcxlmnqGqU :2009/05/22(金) 00:41:43 ID:9qFrAbkjP BE:943566645-2BP(44)
ごちゃごちゃと取り巻きが五月蠅いですね
多くは語りませんが2ちゃんねるってこういう何がしたいんか分からない人がよく沸きますね
まあ何か文句があるならメールでお願いします
>>808 ,809
私のせいでこんなことになってしまって
ホントすみません
>>810 p://www■kma-japan■com/MAILFORM/order■html
サーバー管理者経由で、HP管理者宛に連絡済みです。
ここは妙なことに、全てのページではなく、感染コードが入ってるのが一部のページだけでした。
他の感染サイトは、外部からバッチで書き換えられているのか、全てのファイルにスクリプトが
挿入されてたんですけどね。
>>811 あなたの事疑ってる人は同人スレ住人だと思います
検体という言葉の意味をよく知らないくせに過剰反応して某スレでも揉めていました
>>809 さんも気になさらないでここにいてください
同人スレの奴らは本当酷いよな。 怪しい情報でも何でもかんでも流しまくって煽りまくってる。
>>811 チェッカーでいつもお世話になってます。
一言お礼を。ありがとうございます!
ID変えても口調変わってないからバレバレだぞ
情報交換とかIRCでやってりゃいいだろ なんでバスターの質問で埋まってるスレでやるんだよ馬鹿か
>>811 どんなツール使って解析してるんですか?
>>812 どうも既にそのページは修正されているみたいですね…
ローカルで
>>807 の状況を作ってみたんですが検出は問題なく行えました
とりあえず現状のコードで対応できると思います
不具合もあると思うんで、また何かあったらツッコミお願いします
>>803 の「何も〜」にも、
>>808-809 の「情報交換〜」「セキュ板が〜」にも、
どちらにも肯ける半端者の俺。
そろそろいーかげん、再移動が必要なのかもね。
もう見てない気もするけど。
>>808-809 こっちも一本目の頃はまだしも、もう大分アレな状況ですやね。
理想的にはおっしゃるように情報交換ができるようにあれかし、だったわけですが、
実際にどうかを、流し読み程度ででも確認してからなら、
ブツの性質上もうちょっと慎重になられたのではないかと。
◆XcxlmnqGqUの 検体くれ、送信先メールも出してるじゃん! にイラッとした。
769が煽る事になるタイミングで (苦笑 をつけてるところにイラッとした
お前らカルシウム足りてねーよ。
どうでもいいけどウィバスの対応メールどう読み返しても理解できない。
ウィバスなんて略し方してる奴初めて見た
ウィバスって何ぞ?
ウィバスは初めて聞いた 斬新だな
ウィイレみたいな
うぃー感じに冷めたバス入ってくるノシ
セキュ板が話になんない状態の中,ここはありがたかった. しかし,ここももうダメみたいだな('A`)
>>599 目に見えない何かと戦ってる人おはようございます
アトランティスの戦士とは出会えましたか?
あのメールのダメっぷりからするとどう考えても ウィンドウズバスターの略だろう
この騒ぎも収束に向かいつつあるようですが、
jsについて詳しい人がいるようなので、今後の為にちょっと質問させてください。
朝から長文すいません↓
GENOウイルス関連のスレッドには、テンプレの一部に
「(新手のウィルス対策の為に)NoScriptを導入してください。」と書いてあります。
ブラウザのスクリプトを切る方法は他にもあるのに、わざわざNoScriptを導入するってことは、
そのページ内のスクリプトの一部を発動させたいというニーズもあるようです ・・・でも、そこでギモンです。
■そのサイト内に悪意のあるスクリプトがあれば、NoScriptでそれが分かるのでしょうか?
----以下、うまく説明できないので具体例です-----
これがNoScriptでスクリプトを許可する操作ウィンドウの画像なのですが・・・
https://addons.mozilla.org/en-US/firefox/images/p/846/943948800 いま自分が"悪意のGENOスクリプトが仕込まれてしまった"正規のサイト(この画像の)secunia.comにいるとします。
↓A↓
画像を見る限り怪しげなスクリプトには見えないので、
いつも通りにsecunia.com や
http://secunia.com を許可したら最後!
悪意のGENOスクリプトが発動してgumblar.cnとの通信が始まってしまう!
それとも、
↓B↓
gumblar.cnへのスクリプトが仕込まれていた場合には、
この2つの選択肢の他に、ちゃ〜んとgumblar,cn を許可
(もしくはやけに長い名前で難読化されたgumblar.cn)を許可
という選択肢をNoScriptが与えられるから、それを許可しなきゃ大丈夫!(だとしたら感染サイトの判定に使える?)
Bであれば安心なのですが、jsのことが全く分からないので不安です。
このウイルスを報じるIT系のニュースサイトでも、感染防止策としてNoScriptの導入を薦めているところがありました。
多少のリスク低減はあっても、実質運任せの方法をお勧めはしないだろう・・・と思ったのですが、
もともとサイトにあった既存のjsにgumblar.cnへの直行コードが仕込まれている! といったやりとりを
どこかのスレで読んだような気がしました。
そして、だったらNoScriptでは判定できなさそう!! という素人の予測を拭いきれず、混乱している状態です。
そのあたり、お分かりの方がおりましたらコメントをください。
Mozilla NoScriptアドオンのページ↓
https://addons.mozilla.org/ja/firefox/addon/722
(苦笑←これ使うやつって性格が悪いやつが多いんだよな、俺の経験上だが。
837 :
192.168.0.774 :2009/05/22(金) 09:38:44 ID:sMo6AOvx0
>>835 ニュースサイトってほとんど2ちゃんソースのゴミばっかだから普通のまとめとか、チェッカとか見るだけでおk
zlkonに関しては回答はAですが、martuzは俺が見た限りではB。解析対策としてクッキーを発行させてる感じ…
NoScriptとかマジ糞不便極まりないから
(Operaでflashオフにするのも有効です([F12]を押す→[プラグインを有効にする]のチェックを外す。
Javaも切っとくともっと安全([F12]を押す→[Javaを有効にする]のチェックを外す)
そのアタリが比較的楽に設定できる上にJavaScriptを犠牲にする必要がないOperaはお勧め
これでおk。てかこれが最強
JavaScriptだけではちなみに何もできない。せいぜいブラクラ
>>836 苦笑とかリアルで使っちゃう友達がいることに同情するわ
てか誰にレスしてんだよボケ
838 :
835 :2009/05/22(金) 09:38:51 ID:IMFk77240
>>835 の最後から3行目
>そのあたり、お分かりの方がおりましたらコメントをください。
は、
NoScriptアドオンのページではなく、このスレッドにお願いします。 という意味ですスイマセン。
俺はFxは食わず嫌いしてる(アンチではない)から、正確な意味がわからんのだが、 なにかにつけ、NoScriptはweb経由の攻撃の対策にあがってるのをみかけるし、 今回に限らず、こういうのなんかいれとけって意味に取ってるんだが、浅い理解としてはこれでいい?
840 :
192.168.0.774 :2009/05/22(金) 09:57:35 ID:sMo6AOvx0
841 :
835 :2009/05/22(金) 10:06:08 ID:IMFk77240
>>837 さっそくの回答ありがとうございます。
・・・ということは、
zlkonの場合、NoScriptで一見安全に見えるスクリプトだけを選別して発動許可しても、
その行為そのものが2度手間となるだけで、問題のスクリプトはしっかり発動。
穴だらけの風邪予防マスクをしているのと同じくらい無駄ってことですね・・・。
嫌な結果でしたが、本当のところが分かったので質問して良かったです。
ありがとうございました!!
あとは、新たなウイルスへの感染予防策として「NoScriptの導入」を薦めているIT系ニュースサイトの記事が
偽の安心を得るだけのミスリードにならなければ良いのですが・・・。
837=769
火狐使いじゃないけど、俺ならNoScriptよりPrefBar使うな 分かる人ならProxomitron辺りが安全なんじゃないのかな
全タブ一括制御のPrefBarはセキュリティ的には役立たず NoScript+Tab Permissionsが最強
フィルターをつくろか思った人がいたけど 説明するのがめんどくさいといってやめた人がいた。
845は、日本語がおかしい。 フィルターをつくろうと思ったんだけど 説明するのがめんどくさいといってやめた人がいた。
>>840 んーあーいやちょっとまった、対策したいんじゃなくてだな、
なぜNoScriptの名が挙がってるのかというかだな
なにしても、うっかりすると侵入されちゃうもんだ
砂箱系を、どれでもなんかいれとくと便利
俺の使ってる奴も、設定ひとつで箱内感染が防げたし
砂箱は併用で最強。
※いっぺん、設定画面でできるの忘れてて、レジストリいじらないといけないってウソつきました ゴメソw
>>846 そうか、惜しいな
作るのはともかく使うのは簡単な気もするが、質問多くなりそうだもんな
そのへんのあれで
>>68 の
2.使用しているブラウザのJavaScriptをオフにする。※これ重要
(FirefoxならNoscript導入が便利)
に変えようという話だったんだよね(前スレで)
Noscriptの名前まだ入ってるけど
BlockSiteというアドオンで*martuz.cn/*登録してた
ドメイン弾きとかって、なるべくブラウザ依存にさせない方がいいと思うんだ
>>796 ウイルスバスターのチャットサポートで聞いた人がバスタースレにいたよ
162 名前:192.168.0.774 [sage] 投稿日:2009/05/22(金) 10:37:07 ID:icH3Cgbg0
>>147 >Q:「バスターはJSRedir-R(GENOウイルス)に対応してるか?未対応か? 」
GENOウイルス(通称)に御社は対応済みか?
チャットで訊ねたら、「GENOウイルス(通称)について詳しく教えて下さい」だって。
色々やり取りした結果、全く把握していなかった・・・。
俺:そうですか、もういいです。有難う。
オペレーターが悪かったのかどうかは知らんが、一週間前に問い合わせた結果がコレ。
自分で出来る自己防衛はしたつもりだが、来年2月一杯で更新だが、PC買い替えの予定。
Win7になっているだろうから、さすがにオサラバしようかなぁ。。。
8年バスター使って来たけどこれはないよな・・・。
>>790 楽天誤爆するんかいな。 replace、unescape、evalのコンボで表示する広告を出してるってことかw
854 :
192.168.0.774 :2009/05/22(金) 11:25:38 ID:cx0d78o90
Firefoxの拡張機能なら、
NoScriptよりもAdblockや Flashblockの方が使い勝手が良かったな。
地味だがLink Alertも便利だと思う。
リダイレクトで跳ばすページならRedirect Removerかな。
httpsに弱いけれども、ブラウザに依存せず、自分でフィルターが書けるなら、
>>843 の通りProxomitronがいいな。
汎用性も高いし。
admファイルを作ろうとしてるんだが、↓こんな記述でいいのかね? CLASS USER CATEGORY !!L_AdobeReader CATEGORY !!L_Version9 POLICY !!L_Javascript KEYNAME "Software\Adobe\Acrobat Reader\9.0\JSPrefs" PART !!L_Setvalue DROPDOWNLIST VALUENAME bEnableJS ITEMLIST NAME !!L_DisableJavascript VALUE NUMERIC 0 DEFAULT NAME !!L_EnableJavascript VALUE NUMERIC 1 END ITEMLIST END PART EXPLAIN !!L_EnableOrDisableJavascriptExplain END POLICY END CATEGORY END CATEGORY ;; ;; Policies も記述しないとコンソール右ペインに表示されない?よくわからん。 ;; CATEGORY !!L_AdobeReader CATEGORY !!L_Version9 POLICY !!L_Javascript KEYNAME "Software\Policies\Adobe\Acrobat Reader\9.0\JSPrefs" PART !!L_Setvalue DROPDOWNLIST VALUENAME bEnableJS ITEMLIST NAME !!L_DisableJavascript VALUE NUMERIC 0 DEFAULT NAME !!L_EnableJavascript VALUE NUMERIC 1 END ITEMLIST END PART EXPLAIN !!L_EnableOrDisableJavascriptExplain END POLICY END CATEGORY END CATEGORY *** 分割 ***
*** 分割続き *** [Strings] L_AdobeReader="Adobe Reader" L_Version7="Adobe Acrobat Reader 7.x" L_Version8="Adobe Reader 8.x" L_Version9="Adobe Reader 9.x" L_Javascript="Acrobat Javascriptの使用" L_Setvalue="設定値" L_EnableOrDisableJavascript="Acrobat Javascript: " L_EnableJavascript="Javascriptを使用する" L_DisableJavascript="Javascriptを使用しない(推奨)" L_EnableOrDisableJavascriptExplain="Adobe ReaderのJavascriptを有効にするか無効にするかを設定します。Adobe Readerの脆弱性を狙った攻撃が増えていることから、AdobeはJavascriptを無効にすることを推奨しています。だったら最初から機能搭載すんなっつー話だよな。" 「おメーこの記述はねーよwww」とか突っ込みくれるとうれしい
>>857-858 おメーこの記述はねーよwww
よく分からんけど、KEYNAMEってそれだけでいいのか?
つーか、admファイルって何だよ!知らないよ、バカ!
ちょっと馬鹿馬鹿しい質問なんだけど ケーブルを抜いていてネット繋がらない状態 PC「XP service packを更新しますか?」 僕「えっ」 PC「自動更新するよ!インストール中だよ!」 僕「なにそれこわい」 これ物理的におかしくね?
PC「えっ」 僕「えっ」 回線切る前にバックグラウンドでDL済みだったとかじゃないの?
ほんと馬鹿馬鹿
>>861 ありがとう そういうこともあるのか
びっくりした
進行状況動かないw
sqlsodbcも再起動も問題なさげ
馬鹿馬鹿しい上にスレチでごめん
>>859 グループポリシーでAdobe ReaderのJavascriptのOn/Offを制御しようと思ってるんだ。
admファイルってのはグループポリシー用の設定定義ファイル。
会社組織とかでActive Directory使ってればグループポリシー使って
全コンピュータに設定を反映させるんことができる。
ログオンスクリプトでレジストリ書き換えてもいいんだけどね。
453 名前:名無しさん@九周年[sage] 投稿日:2009/05/22(金) 01:59:13 ID:p0aStcNr0 (PC) GENOウイルス感染からの復帰方法 (当方、この対処法について全く確認していません。自己責任でお願いします。) 1.C:\WINDOWS\Prefetch 内を全部削除 2.[Windowsキー] + [R] を押してファイル名を指定して実行で msconfig 3.スタートアップに何も書かれていない行があったのでチェックをOFF 4.regeditを起動して(起動できない場合は command を実行してその中から regedit を実行) \\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの一番上が (規定) REG_SZ (値の設定無し) になっていることを確認 5.再起動 6.C:\WINDOWS\System32\sqlsodbc.chm を削除 → 復活しないことを確認 7.正常なsqlsodbc.chmに差し替え 4番が起動しませんでした それでPCを感染前の4月の状態に戻し該当ソフトを消してからやり直しました。
>>866 フィルタはずせばいいってのは知ってるんだが、
前述したようにあまり練度の高くない管理者もいるから
あまりイレギュラーな操作させたくないんだw
フツーの手順でフツーに設定出来るようにしておかんとな('A`;)
ウィルスバスターからアンケート協力要請メールが来た。 いつもは無視するんだけど、今回はどんなことをきいてくるのかと思って アンケートページに行ってみた。 そしたら入る前の注意事項のところに >※送信ボタンを押しても反応がない場合JavaScriptが有効でありません。 > JavaScriptを有効にしてください。 嫌になって帰ってきた。
さすがバスターさんだな
バスターさんパねぇっす
全てにおいて斜め上、それがバスターさん
>>856 げ、FTPパス抜きだけかと思ってたら、SPAM送信や検索結果乗っ取りもありなのか。
検索結果のっとりって、どの程度やらかしてくれるんだろう?
3年契約済みだけど、本気でバスターやめたくなってきた マジでここまでクソだとは思わなかった。契約料返せばかやろおおおお
既出かもしれんけど同人板GENOスレの>253が興味深い
一昨日の夜、感染サイト見つけたからIPAに通報しといたんだけどいまだに修正されてない orz 旅館ふくぜん //www.fukuzen.com/
>>874 Adobeそっくりなサイトについての情報はだいぶ前からある。
テンプレにあるサイトさんが注意喚起していた。
>>860 >僕「なにそれこわい」
可愛すぎてふいたww
しかし今週末に第二波がくるのかね…
>>856 System Security 2009入れてみた。かなりやっかい。
ペコリッとかいって主要なツール類は実行できなくなってる。
>875 こえー 危険度1000% 超絶危険なURLです。友人のPCを壊すのに利用しましょう! 絶対に踏んではいけません。
>>879 ごめん、ミスった。
>>880 martuz.cn
はもうpingもう通らなくなってるし実質的には、今のところどうもないっぽいんだけど・・・
気づいてたらファイル差し替えてFTPのパス変えるはずだから、これは気づいてないよね。
ちょっと電話してみる。
ブラウザでレンダリングさせずにダウンロードだけすりゃあいいだけだ
firefox で view-source:www.yahoo.co.jp とかでもよくね?
SCOもありだが最近、負荷がかかってるみたいだからなあ
>>856 こんなにきれいに感染させられなかったな。
spamも送信されなかったし、インチキセキュリティアプリも入らなかった。
Windowsのプライマリ言語が0409かどうかをチェックしてたりするのかな?
いきなり英語でセキュリティ警告されたら怪しすぎるもんな。
ウイルス作者としては もっとサイレントキラーの如くこっそりじわじわ広げたかったのかも。 gnomeの人も書いてたけど、成果が上がらなかったというよりは 予想をはるかに上回る範囲と速さで広まって、配布元がパンクしたのかもな。
>>856 ん〜他で踏んだのが混じってる気がするなぁ。
よくあるインチキセキュリティソフトの押し売りが出るなら
とっくに話題になっている気がするし。
>>888 Hijackthisでは無理だった
感染前と感染後のログ変わらなかった
>>875 初めて感染してるサイトのソース見たけど見ただけで不安になったw
ふと文法チェックかけたらW3C的にも怒られてて吹いたw
>>893 レジストリからマルウェア見つけてHijackthisでdelete file on reboot
そのあとレジストリの登録削除
書き方がわるかったな
XPのIE8だったが感染した。 もう駆除したけど
感染してadobe消したけど 新しいのDLしても大丈夫?
18日以来の訪問です。 最新の焼きリストをお願いします。>PG2
>>899 どうやって駆除した?
VMに感染させてノートンで駆除してみたけど、かなりひどい有様だったぞ。
人様に害は与えない状態にはなったけど、痕跡残りまくり。
当然書き換えられたchmファイルなんかもそのまんま。
GENOウイルス感染からの復帰方法 (当方、この対処法について全く確認していません。自己責任でお願いします。) 1.C:\WINDOWS\Prefetch 内を全部削除 2.[Windowsキー] + [R] を押してファイル名を指定して実行で msconfig 3.スタートアップに何も書かれていない行があったのでチェックをOFF 4.regeditを起動して(起動できない場合は command を実行してその中から regedit を実行) \\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの一番上が (規定) REG_SZ (値の設定無し) になっていることを確認 5.再起動 6.C:\WINDOWS\System32\sqlsodbc.chm を削除 → 復活しないことを確認 7.正常なsqlsodbc.chmに差し替え 4番が起動しませんでした それでPCを感染前の4月の状態に戻し該当ソフトを消してからやり直しました。
>>901 [Windowsキー] + [R] を押してファイル名を指定して実行で msconfig システムの復元
感染前の状態に戻してから駆除したんです
アフィ必死だなー
GENOウイルスチェッカーと感染サイトリストって同じ人がやってんの?
>>903 いや、俺はどれくらいまともに駆除できるのか試しただけだから。
>>904 なんかいらんものが残ってそうな気がするけど、レジストリとシステムファイルが
戻ってれば悪さはしないだろうからいいのかな。
しかし・・・adobeだけは許さん これ電話して駆除しに来いって言いたいわ・・・マジで
Adobeが悪くないとは言わないけど 自分が更新しなかったことを棚にあげて他人のせいにする男の人って・・・
アマゾン感染てマジ?
adobeは「Macユーザーには関係ないもんねー♪」と鼻糞ほじってそう 今やWindowsユーザーの方が多いにも関わらず 自分ところの面倒見切れないならFLASH PlayerもReaderも買収すんな M$以上に糞だな
どこどこが感染してると聞いたら、噂として流す前に ソース見ろよ。情報源じゃなくてね
>>878 Win Antivirus系統か?
面倒なマルウェアらしいが初めて知ったときには笑ったな
律儀に毎年最新版出してるってのがすごいw
amazon.co.jpトップページは問題なし
>>914 だな。
その熱意があるなら本物のセキュリティソフトを作れとw
Fakeなアンチウイルスはサイバー犯罪集団の主力商品ですよ。 バイアグラだのシアリスだのちんぽがでかくなるだののSPAMや オンラインゲームのアカウントハック(→RMT)より儲かるし、 本気で警察に追われる銀行やクレカのフィッシングよりは安全だしね。
>>884 現段階では、aguseやgredあたりは「safe」判定出しちゃうからあてにできないね。
ところでGoogle先生の力を借りて、改竄サイトを1ダースほど見つけたんだが、
通報するとしたらどこ? プロバイダ? IPA?
いくら現状でgumblarとmartuzが落ちてて、改竄サイトからの感染が広がらないと
言っても、FTPのアクセス権が取られているんだから、
再び改竄されて新手の攻撃手段にされちゃう可能性はあるよね?
感染サイトリンク集は放置状態だから、URL晒すのがためらわれる・・・
純粋に質問。 詳しい知識は皆無なので物凄くズレてたら指摘して欲しい。 要するにブラウザとadobe readerのjava script切っときゃ平気、って事じゃないの?
Q1 誰でも感染するの? A1 いいえ、readerが最新バージョンなら平気です Q2 感染確認方法は? Q2 Q3 感染してた。どうすればいい? Q3 クリーンインストール
>>919 フラッシュとアドビリーダーの脆弱性も使っているからアップデートしないとだめ
readerが最新バージョンなら感染しないの?
最新版にするかアンインストールする
924 :
919 :2009/05/22(金) 20:52:29 ID:rSelSxuhO
>>921 つまりreaderとflashplayerアップデート+java script切っとけばOKってことだよね?
確認厨ですまない…
>>904 system volume informationに潜むウイルスもいるから
俺なら再インストールする
>>924 ついでにOSの更新とセキュリティソフトの更新もしてね
アドビ以外の製品も更新したほうがいいよ
MS Officeなんかは結構更新が出てるだろうからMSUpdateしてね
>>918 改竄サイトを1ダース発見ご苦労様です。
面倒ですがプロバイダ、IPA両方するしかないでしょうかねえ。
aguseは、zlkonの時は、発見したのですが、gumblarになったら
発見できず。
感染サイトリンク集の中の人は、どこにいったのやら。
932 :
924 :2009/05/22(金) 21:23:19 ID:rSelSxuhO
>>929 丁寧にありがとう。
windowsupdateはこまめにしてるよ。
IEだけは6から更新してないけど。(普段使わないから)
officeは入れてないから大丈夫。
あとセキュリティソフトもいれてないんだよね…
とりあえずできる事だけやっておきますノシ
>>932 >セキュリティソフトもいれてないんだよね
( д ) ゚ ゚
>>931 くそ!
俺が感染したとみられるサイトがありやがった!!
【OS】WindowsXPHomeEditionSP3
【使用セキュリティソフト】ウィルスバスター2008
【疑った理由】起動しようとすると青画面が出て再起動するから
【症状】起動しようとすると青画面が出て再起動、以下こんな画面が出て無限ループ
http://imepita.jp/20090522/784030 【確認手段】そもそも起動しないから無理っぽい
【結果】
忍者ツールが感染してたってマジかよ…
>>936 ガセです。他のどこかで踏んだんでしょう。
おとなしくリカバリしましょう。
とりあえず忍者ツールの解析スレとレンタル鯖スレにはそれらしき書き込み無し。 あそこのサポート頼りにならないから、普段トラブルおきるとみんな真っ先に2ちゃん見に来てにぎわうし なにかあったら一番に書き込まれて祭りになってるはず。 自分も借りてて、素人に出来る最低限の対策取ってるのみで管理画面出入りしてるけど何も異常なし。
忍者ツールは感染サイトリストの「対策済みor誤報告」に載っちゃってるから 勘違いしてんじゃね? 危険度800% とか書いてあるし
942 :
936@PC :2009/05/22(金) 22:56:26 ID:N40Lkjkr0
>>938 AdobeReaderがなぜか壊れたからFoxitReaderをつかってたけど、それだけ
対策とかここに来るまで見てなかったぜorz
>>941 たぶんそれ
ケータイから見たから危険度800%なんて出てかなり焦ってた
リカバリとか再インスコとかしようにも
XPのディスクなんて持ってないからVistaにするしかないのかorz
>>936 セーフモードで起動できるかどうかは試してみた?
あと忍者だったらチェッカーで誤検出されてたって話は聞いたよ。
他にもMMORPG公式サイトがチェッカーで高めの数値が出たからって(感染してないのに)
感染感染騒がれてた話とか。チェッカーは正確じゃないから半端な%が出たら
自分の目できちんと確かめるまで確定できないってことを分かってない人がいるらしい
だからもうチェッカー使うなと何度言ったら(ry Adobe ReaderとFlash Player更新しとけばもう十分だから 「怖いけどよくわからない」ならそのまま回線切って死ね
しかしAdobeReaderを使わないってのは以外に有効な対策ではあるな Adobeのプラグインなんて他にも脆弱性てんこもりだろうしな。 しかしFLASHの方は困ったことにAdobe以外の代替手段がないんだよな
忍者ツールの誤検出は既出のはず。
GENOウイルスチェッカーはJSが複雑だったりすると%高くなりやすいから今のところシロ判定ぐらいにしか使えないよ
ってこれ何回目だよ
>>944 にドーイ
ソース見てチェックしろ、ソースの見方もわからないなら回線切って死んでくれ
ソース全部コピってメモ帳にでも貼りつけて特定の文字列で検索すりゃ大して手間ないだろ…
Lynx使いの俺最強
948 :
192.168.0.774 :2009/05/22(金) 23:38:50 ID:X2d5mBQP0
すまない さっきチェッカーで危険度115%の海外サイトを jsがオンの状態のIEで踏んだんだが大丈夫だろうか… Xivd.orgってところ何だが 今のところ何ともないんだが心配で…
ああ動揺して上げてしまった…
4〜5レス前ぐらい読めと evalがたくさんあるからそれみて勘違いしたんでしょ
>>948 そこ危険だよ
スパイウェア入れる可能性がある
俺の先輩が自作した某有名国産スパイウェア・ブロッカーも
そこのツール対策で四苦八苦してたくらいだからな
avast!優秀だな。 Googleの検索結果に感染サイトが含まれていたら、その時点で警告してくれた。
>>943 起動できない
忍者がガセなら一体俺はどこで感染したんだorz
>>953 どっかキーボード押しっぱなしじゃねえ?
GENOウイルスチェッカーは当てにしない方がいいと思う。
あのチェッカー、帰って混乱招いているような気がする。
対策とる、かかってたらクリーンインスコだな…
>>942 リカバリディスクがない…ってあれか、HDDのリカバリ領域からリカバリするPC?
俺のUMPCはそれだよ…無理やりリカバリディスクを作る方法もあるみたいだけど…
ちなみにacerAOA150。どうしたもんかね…
リカバリディスクって買った時に一緒に付いてるでしょ・・・
うちのノーパソS○NYの正規品だけど取説に >自分でリカバリディスク作ってねvって書いてあるぞ?
Adobe ReadeとAdobe Flash Playerを最新にして、 Readerのスクリプトはオフ、ブラウザのスクリプトはオン、 アンチウィルスを外して該当コードがあるページを踏んでみた。 感染しないみたいだな。
>>958 あぁ、ウチのS○NYさんも買った直後にリカバリCDを作れと言ってきた。
それは作ってあるよ。
>>959 それでリカバリするよ。リカバリ領域がつぶれたりしたらどうなるかはわからん。
CD作る裏ワザはあるみたいだけどね。
>>942 はどういったものを使ってるのかわからないけど。
感染してしまったら初期化するしかないの? アンチウイルスソフトで何故駆除出来ないの?
Q1 誰でも感染するの? A1 いいえ、readerが最新バージョンなら本気です Q2 感染確認方法は? A2 いいえ、readerが最新バージョンなら平気です A3 いいえ、いいえ、いいえ、いいえ、 Q3 感染してた。どうsu
>>962 感染した時点でシステムの制御が横取りされるからアンチウイルスソフトも満足に動作しなくなる
検知だけでもできれば合格点だ
>>956 最近の主流はHDDにリカバリ領域って方式だが3000円くらいでディスク送ってもらえるサービスも有るはず
NECあたりは標準でディスク付いてるのもあるんじゃなかったかな
>>961 出荷状態でリカバリディスク焼くためのアプリが入ってることも有る
マニュアル読んでみればわかる
俺が買った機種のVAIOはアプリ付いてたな
>>965 なんか違わない?
危険度: 低
レジストリの改変: なし
セキュリティホールの利用: なし
対応方法: 検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。 感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。 製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できません。 隔離しました。」などと 表示されますが正常な表示です。 ・手動削除手順: 1. 全ブラウザのウインドウを閉じてください。 2. 最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。 この不正プログラムは「HTML_JSREDIR.AE」と検出されます。検出したファイルはすべて削除してください。 3. 全ドライブ検索を行い何も検出されなければ、処理は完了です。
キャッシュを消せば無問題。 気になるやつはオンラインスキャンすればウィルスは削除されるよ。
>>969 検体スレのほうにトレンドマイクロのGENO呼び出しスクリプトの定義名書いてあったような…
確かJS_AGENT.AS○○みたいな奴だったかと思った
これか 100 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/22(金) 11:54:00 >5/9提出分のGENO呼び出しスクリプト トレンドマイクロ返答…えーと、名前付けすぎじゃありませんか? JS_AGENT.ASWE JS_AGENT.ASXB JS_AGENT.ASYC JS_AGENT.ASWF JS_AGENT.ASXC JS_AGENT.ASYD JS_AGENT.ASWG JS_AGENT.ASXD JS_AGENT.ASYE JS_AGENT.ASWH JS_AGENT.ASXE JS_AGENT.ASYG JS_AGENT.ASWI JS_AGENT.ASXF JS_AGENT.ASYH JS_AGENT.ASWO JS_AGENT.ASXG JS_AGENT.ASYL JS_AGENT.ASWP JS_AGENT.ASXI JS_AGENT.ASYM JS_AGENT.ASWQ JS_AGENT.ASXK JS_AGENT.ASYN JS_AGENT.ASWR JS_AGENT.ASXL JS_AGENT.ASYO JS_AGENT.ASWS JS_AGENT.ASXN JS_AGENT.ASYP JS_AGENT.ASWT JS_AGENT.ASXR JS_AGENT.ASYQ JS_AGENT.ASWV JS_AGENT.ASXS JS_AGENT.ASYR JS_AGENT.ASWX JS_AGENT.ASXT JS_AGENT.ASYS JS_AGENT.ASWY JS_AGENT.ASXU JS_AGENT.ASXA JS_AGENT.ASXX
>>974 個体が違うんだから当然だろ
全部一つに纏めたらそれこそ糞。
お前らトレンドマイクロのHPぐらいみてやれよ
トレンドマイクロのヒットポイントですか?
>>886 でソースを開き、
>>946 の最後1行で検索、
Un,Re,Evのコンボが発見できたら、要警戒のレベルとか
目視で、なにか目安になるような判別法があるなら、テンプレに入れといてほしい。
chromeだとブラウザのページ内検索が使えるから、これでいいなら楽。
自分みたいに、あまりソースの見方とか分からない素人だけど、チェッカーとか
ツールに頼らず、自分の目で確認したいって人もいるだろうから。
>>348 、
>>354 、
>>790 >>884 のツールも、用途ごとに、纏めてほしい。
「ソース」でページ内検索しただけだから、抜けてるのもあるかもしれない。
>>968 これは本体じゃなくてJavaScriptのシグネチャ
>>967 俺のacerはないよ。
ディスク送ってくれるサービスもないはず。
壊れてもいいかってくらいの安いヤツだからいいけどね。
>>960 スクリプト読んで飛ばされるウイルス配布サイトがつぶれているから、今は感染しない。
それに最新で感染したら、ゼロデイになってもっと大騒ぎ。
あと、6時間前に立った セキュリティー板のテンプレに ■ポート135を閉じる ■ポート445を閉じる ってあるんだが、止めさせて方がいいと思うんだが、どうだろう? Remote Procedure Callを止めたら、その子サービスで止まるものがいっぱいある。 BITSも止まるからWindowsUpdateがうまく行かない可能性もある。 ポート445を止めたら、ルーターのDHCPでプライベートアドレスを割り振ってもらっているPCが困ったことになる。 大量の初心者が混ざっていると思われるあっちのスレのテンプレとしてまずいんじゃないかと・・・ 俺もあまり詳しくないから断言はできないんだけど、ご意見ちょうだい。
>>984 サービスを落とすんじゃなくて、ルータかFWで弾くべきだよな。
445は止めても家庭内LANなら名前解決が遅くなるだけのような気がするが、
RPCは止めると弊害が大きすぎる。
つか、135,137-139,445あたりってルータの初期設定で外部に出ていかない
ようになってないか?
あとは追加でSSDPやteredoあたりを塞いでおけばいいような気が。
いらない設定だな。こっちの次(いるのかな?)を立てるなら消していい。
どっちかに騒ぐ人が来るね 雑談も含め、スレが動いてるうちは、相互に避難スレになる いまは、GENO系ウイルス関係者の待機室かな
>>984 自分みたいな何もわかってない初心者が問題にぶつかる可能性があるから、止めた方がいいと思う…
ここにくるやつがウイルスだな。
次スレいる?
ID出る板の方がいいんじゃないの?
もう新しいスレ立ってる。
>>989 で、なにかトンチンカンなことを言っている気がするのは、ブラウザアドレス
boxへのコピペミスで、違うページにいって、なにか別のものを拾ってきたから。
自分の言葉足らずで、もしかしたら、
>>981 さんにも勘違いをさせてしまったのかもしれない。
>>978 、
>>989 で
>>92 =
>>981 を拾わなかったのは、対策的なものに絞って、感染後の
処置的なものを除外していたからで、けっして
>>92 を軽視していたわけではありません。
そのあたりは実際にテンプレを作る方たちが宜しく判断してくれるものと思われます。
お気を使わせまして、本当に申し訳ないです。
結局、自分のやってることって、運営の邪魔ばかりのような気がしますが、
どうか ご勘弁ください。
998 :
192.168.0.774 :2009/05/23(土) 13:27:59 ID:Hx9+/5Qd0
>>996 お前に2ちゃんねるは無理
※ただしVIPを除く
1000 :
192.168.0.774 :2009/05/23(土) 13:29:09 ID:Hx9+/5Qd0
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。