GENOウイルススレ 感染3台目

このエントリーをはてなブックマークに追加
1192.168.0.774
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/

前スレ
GENOウイルススレ 感染2台目
http://pc11.2ch.net/test/read.cgi/internet/1242630563/
2192.168.0.774:2009/05/19(火) 17:23:44 ID:YZkv6Zhr0
感染予防対策

1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック


諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例

1.Adobe Readerを起動し「編集」メニューの「環境設定」
  「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
  OKを押して設定確定後、Adobe Readerを終了。

2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
  設定は SpeedUp - Fast がおすすめ。
   注意すべきは
   Acroform(拡張子なし)
   Annotations(拡張子なし)
   これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
   そうしないと Adobe Reader が起動しなかったりする。

   このとき追加作業として
   EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
   より安心かもしれない。

以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
3192.168.0.774:2009/05/19(火) 17:24:26 ID:YZkv6Zhr0
【感染の確認方法】
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
 ※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
 ■確認方法
 1.スタートから「ファイル名を指定して実行」
 2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
   「regedit.exe」と入力して「OK」ボタンを押す。
   ※立ち上がったことを確認したら弄らず閉じること。
 3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
   ※立ち上がったことを確認したらAへ

Asqlsodbc.chmのファイルサイズの確認を確認する
 ■Windows XP:
  改ざんされていなければ
  C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
 ■Windows 2000:
  そもそも存在しないはずなので、
  C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
 ■確認方法
  1.スタートから「ファイル名を指定して実行」
  2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
  「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
   →背景が黒いウィンドウが開いた場合3へ
   →起動しない場合:感染疑い濃厚
  3.背景が黒いウィンドウを選択。
   小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー

Bavast!(無料のアンチウイルスソフト)で確認


7 名前:192.168.0.774[] 投稿日:2009/05/18(月) 16:12:22 ID:wsKEiiw60
【感染の確認方法】■ Windows XP(5月18日現在)
 1 C:\WINDOWS\system32\sqlsodbc.chmを開いて壊れていたら感染濃厚 
 2 ↑のファイルサイズを確認する
  正常値  日本語版ヘルプ  50,727 bytes
        英語版ヘルプ    46133
        ドイツ語ヘルプ 48401
        フランス語ヘルプ 49345
        スペイン語ヘルプ 48475

 改竄されたsqlsodbc.chmの一例
  サイズが1.29 KB (1,323 バイト)
 更新日は2009年3月21日


 :
  
4192.168.0.774:2009/05/19(火) 17:25:18 ID:YZkv6Zhr0
Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。

初心者や質問がある方は
http://changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです

Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
正常な場合50,727バイト(日本語)です。
5192.168.0.774:2009/05/19(火) 17:25:48 ID:yKfFYkBT0
GENOウィルス・質問掲示板
http://www1.atchs.jp/test/read.cgi/gegegeno/1/
6192.168.0.774:2009/05/19(火) 17:26:31 ID:YZkv6Zhr0
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。

インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
 ※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
 ※検出率が上がる頃には次の種類になっている

感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
7192.168.0.774:2009/05/19(火) 17:28:02 ID:YZkv6Zhr0
以下攻撃されたサイト
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html

国内の正規サイト改ざん:攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884


★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
8192.168.0.774:2009/05/19(火) 17:29:04 ID:XFldsOfqP
764 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 12:20:44 ID:BfeDPikc0
>>463の書式が統一されていなかったのでやってみた

58.65.232.0 - 58.65.239.255 58.65.232.0/21
61.139.0.0 - 61.139.127.255 61.139.0.0/17
61.219.39.0 - 61.219.39.255 61.219.39.0/24
61.235.117.0 - 61.235.117.255 61.235.117.0/24
61.237.236.0 - 61.237.236.255 61.237.236.0/24
63.146.2.0 - 63.146.2.255 63.146.2.0/24
69.46.0.0 - 69.46.31.255 69.46.0.0/19
74.220.215.0-74.220.215.255 74.220.215.0/24
78.109.16.0 - 78.109.31.255 78.109.16.0/20
78.159.112.0 - 78.159.115.255 78.159.112.0/22
82.146.48.0 - 82.146.55.255 82.146.48.0/21
83.68.16.0 - 83.68.16.255 83.68.16.0/24
85.12.43.0 - 85.12.43.255 85.12.43.0/24
85.14.6.0 - 85.14.6.255  85.14.6.0/24
85.17.0.0 - 85.17.255.255 85.17.0.0/16
85.214.90.0 - 85.214.90.255 85.214.90.0/24
91.211.64.0 - 91.211.65.255 91.211.64.0/23
91.212.41.0 - 91.212.41.255 91.212.41.0/24
91.212.65.0 - 91.212.65.255 91.212.65.0/24
91.212.41.0- 91.212.41.255 91.212.41.0/24
91.212.41.0 - 91.212.41.255 91.212.41.0/24
94.232.248.0 - 94.232.255.255 94.232.248.0/21
94.229.64.0 - 94.229.79.255 94.229.64.0/20
94.247.2.0 - 94.247.3.255 94.247.2.0/23
194.165.4.0 - 194.165.5.255 194.165.4.0/23
195.2.252.0 - 195.2.253.255 195.2.252.0/23
195.216.160.0 - 195.216.191.255 195.216.160.0/19
206.44.0.0 - 206.44.255.255 206.44.0.0/16
209.44.100.0 - 209.44.100.255 209.44.100.0/24
209.44.126.0 - 209.44.126.255 209.44.126.0/24
209.62.7.0 - 209.62.7.255 209.62.7.0/24
209.102.247.0 - 209.102.247.255 209.102.247.0/24
209.250.241.0 - 209.250.241.255 209.250.241.0/24
209.205.192.0 - 209.205.223.255 209.205.192.0/19
209.205.224.0 - 209.205.239.255 209.205.224.0/20
211.90.0.0 - 211.97.255.255 211.90.0.0/15 & 211.92.0.0/14 & 211.96.0.0/15
213.182.192.0 - 213.182.223.255 213.182.192.0/19
218.90.0.0 - 218.94.255.255 218.90.0.0/15 & 218.92.0.0/15 & 218.94.0.0/16
78.159.112.0 - 78.159.115.255 78.159.112.0/22
221.5.0.0 - 221.5.127.255 221.5.0.0/17
91.212.41.0 - 91.212.41.255 91.212.41.0/24
95.129.144.0 - 95.129.144.255 95.129.144.0/24
95.129.145.0 - 95.129.145.255 95.129.145.0/24

メモ帳でタブ等に置き換えられるように範囲とCIDRとの間は全角スペースにしてる
9192.168.0.774:2009/05/19(火) 17:29:04 ID:YZkv6Zhr0
俺の連投のせいでスレ埋めちまったから立てといた
テンプレ改変する余裕なくてスマン
10192.168.0.774:2009/05/19(火) 17:30:24 ID:HxuyJ7oC0
感染予防対策

Adobe Flash Player とAdobe Acrobat Readerを
アンインストール

以上
11192.168.0.774:2009/05/19(火) 17:31:44 ID:dvS6mKF80
>>10
最終手段だな
12192.168.0.774:2009/05/19(火) 17:32:05 ID:CrZ+DFwB0
>>1 乙。

感染サイトリンク集
http://genolists.alink.uic.to/
13192.168.0.774:2009/05/19(火) 17:35:29 ID:oJ5eOA/M0
スレ立てとか乙
14192.168.0.774:2009/05/19(火) 17:38:15 ID:9IYXIU+f0
>>1
おつ、乙
なんだけどテンプレメモ帳で整理して立てようとしたら
もうスレが立っていてメモ帳消しちまったぞw
15192.168.0.774:2009/05/19(火) 17:38:17 ID:XejCUy//0
>>1乙。おやすみ

627 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 06:56:33 ID:zf5ipXqL0
532 : クンシラン(アラバマ州) [sage] :2009/05/19(火) 03:04:45.34 ID:L1oEc3bK
hostsファイルに(ry
127.0.0.1 martuz.cn
127.0.0.1 zlkon.lv
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
127.0.0.1 gumblar.cn
127.0.0.1 jii.be
127.0.0.1 zief.pl
127.0.0.1 litefront.cn


533 : クンシラン(アラバマ州) [sage] :2009/05/19(火) 03:09:11.38 ID:L1oEc3bK
avastのwebシールド(URLブロック)に
*martuz.cn*
*zlkon.lv*
*findyourbigwhy.cn*
*bigtopsuper.cn*
*gumblar.cn*
*jii.be*
*zief.pl*
*litefront.cn*
過剰反応っぽいが、細かい事は気にするな

V速で拾ってきたんだが、ドメイン増えた?
あと有効ならこっちでもテンプレ化してほしい

16192.168.0.774:2009/05/19(火) 17:41:20 ID:G5tmYxTL0
>>1
乙ー
17192.168.0.774:2009/05/19(火) 17:42:30 ID:dwwg46Fb0
GENOウイルスって何?サイトを見ただけで感染するウィルス G DATAとSophosがいち早く対応
ttp://japan.techinsight.jp/2009/05/sanada200905191636.html

・G DATA Internet Security 2009
⇒Trojan.JS.PYU (エンジン A)
 HTML:IFrame-EB [Trj] (エンジン B)
[3PC 1年版]

Avira AntiVir 9 Personal(フリー・英語版)
⇒HTML/Crypted.Gen [virus]
 HEUR/HTML.Malware [heuristic]

他のセキュリティソフトのユーザーは、ワクチンが提供されるまで十分注意する必要があるだろう。
18192.168.0.774:2009/05/19(火) 17:48:16 ID:pesc8sE00
>1乙

前スレの>671をよく巡回してるけど、何も起きてないんで解析に挑んでみたんだが…
難読化コードを解体して "NT 6"<0 が見つかったら、今まで通りXPとそれ以前が対象?

ちなみにOSはVista、UACはシマンテックのツール併用してるけど
一応オンにしてるからXP以降が含まれるとしても感染してない…筈なんだが
19192.168.0.774:2009/05/19(火) 17:52:36 ID:nq3d9Xxs0
>>15

なんで全部hostに書いてはダメなの?
hostに書かずWEBシールドにのみ指定する理由頼む。
20192.168.0.774:2009/05/19(火) 17:53:36 ID:nq3d9Xxs0
ごめ。どちらも同じだったね。
hostの方が少なく見えてしまってた。すまん。
21192.168.0.774:2009/05/19(火) 18:01:24 ID:wu49YE+90
1000 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 17:20:41 ID:abtxHDvw0 (PC)
やっぱりやっつけで作っても使ってくれないんだな
http://end.if.land.to/geno.php?url=http://hpg2.me.land.to/srcchk1.html

変なとこなさそうだけどな
22192.168.0.774:2009/05/19(火) 18:11:38 ID:K6Cta+++0
対策済み、確認では感染兆候無しで、カスペのスキャンしたら
AdobeReaderのplug_ins Annots.JPNが検知されて9.1.1にアップデートしろ(意訳)らしいのだが
これはカスペクオリティ?
23192.168.0.774:2009/05/19(火) 18:14:36 ID:m0FB93L50
>>22
親切じゃん
AdobeReaderアンインストールしないならカスペルスキーおじさんの言うとおりにしとけ
24192.168.0.774:2009/05/19(火) 18:15:02 ID:ESbU+FiT0
>>22
なんかヴァージョンをうまく取ってくれないみたい、めんどいからリーダー削除した
25192.168.0.774:2009/05/19(火) 18:16:33 ID:cp3tjGoR0
>>22
カスペ分かってるな
26192.168.0.774:2009/05/19(火) 18:17:51 ID:K6Cta+++0
>>23-25
d。9.1.1にアップしてもこうなっているから大人しく削除しておくよ
27192.168.0.774:2009/05/19(火) 18:17:55 ID:n9s1g+e9P
>>22
それにしてもすごいIDだ
28192.168.0.774:2009/05/19(火) 18:23:19 ID:m4p3L/VDO
tieba●baidu●com/f?kz=274791213


ウイルスチェッカー900%
百度というサイトみたいです

ソース確認出来る人おね
29192.168.0.774:2009/05/19(火) 18:28:15 ID:JNA/OZ/u0
>>28
特に怪しいところはないが
30192.168.0.774:2009/05/19(火) 18:28:41 ID:CrZ+DFwB0
前スレよりコピペ。

696 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 09:57:36 ID:8eXjFlyI0
セキュ板から逃げてきた('A`)
なんだよあそこ

http://www.broadband-xp.com/hidesource/escape.html
難読化(escape)処理された文字列はここで複合出来る。

あとは replace 関数を適当に読めば元のJavascriptが判る。


731 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 11:35:49 ID:zf5ipXqL0
>>712
シンプルなのなら
view-source:これをURLの頭につければソース表示するぞ


762 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 12:09:39 ID:QXeKbW6W0
>>743
ViewSourceWith もしくは WebDeveloper を使えば、
好きなテキストエディタでソースを開けるぞ。
31192.168.0.774:2009/05/19(火) 18:29:31 ID:vSwxXbQJ0
>>28
JSが大量だからチェッカーが誤反応してるだけかと思う
GENOウイルスのコードは見あたりません
32192.168.0.774:2009/05/19(火) 18:29:35 ID:abtxHDvw0
>>28
何故か</head>と<body>にスクリプトが入ってるけど外部js含め関係なさそうな気がする

http://end.if.land.to/geno.php?url=http://tieba.baidu.com/f?kz=274791213
ちなみに赤くなってるのは</head>と<body>の間、という意味であって感染してるという意味ではない
33192.168.0.774:2009/05/19(火) 18:32:44 ID:bnQ0XBCe0
感染サイトリストの一番下のその他項目。
アレ一体なんなんだ?
愉快犯か何か?
34192.168.0.774:2009/05/19(火) 18:33:31 ID:m4p3L/VDO
>>29
d

>>30
サーセン
ソースみても何がどうなってるのかわからなくてさ。
もっと勉強してくる
3528:2009/05/19(火) 18:36:39 ID:m4p3L/VDO
やっぱり誤判定だったんだな

みんなd
36192.168.0.774:2009/05/19(火) 18:38:47 ID:vSwxXbQJ0
>>34
おぉ…責めてるつもりはなかったんだ、こちらこそごめんなさい
かくいう自分もしろうとなのでぱっと見でコードわかっても解読とかは全然出来ないんだ

>>33
自分も気になった
てか管理人さんはまだここ見てらっしゃるのかな?そろそろリスト整理して欲しいな
対応済みサイトとかリストから消去しちゃっても良いと思うんだけど
37192.168.0.774:2009/05/19(火) 18:40:18 ID:wu49YE+90
388 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/19(火) 17:52:34
Virus Block txt
PG2 葱 CIDR n無し
http://uproda.2ch-library.com/lib130292.txt.shtml

置いとくね、使いたい香具師だけ使ってくれ

PG2 葱の質問はここでは禁止だ、それぞれのスレ行け
38192.168.0.774:2009/05/19(火) 18:45:55 ID:vie6d+fo0
>>28
別な意味あいで怪しいな
39192.168.0.774:2009/05/19(火) 18:47:19 ID:5syfiu9o0
ノートンはもうGENOに対応したと思ってよい?
40192.168.0.774:2009/05/19(火) 18:48:45 ID:rj7hKtd+0
感染サイトリンク集の
HAIR SALON Revue
ですが、難読化されたjavascriptが不自然に挿入されてます。

難読化を復号できないへたれですが、たぶん黒です。
41192.168.0.774:2009/05/19(火) 18:51:14 ID:Z6WAXkTX0
ttp://lineage2.plaync.jp/
リネ2の公式をチェッカーで見てみたら、危険度2643%なんてベラボウな数字が出て来たんだが、ソース見てわかる方居られるだろうか・・・
42192.168.0.774:2009/05/19(火) 18:53:21 ID:xNz70xs60
どうせすぐ新型に入れ替わるだろうから備考程度に。

martuzのドロッパ(exe)
ttp://www.virustotal.com/analisis/9566a4431a27972e5abce07c5a1163b4
aux等に突っ込まれるドライバ(dll)
ttp://www.virustotal.com/analisis/0ca4e1498cfd8ae2945fac6f42f3d9eb

>>40
いや…その…感染してるから感染サイトリンク集の確定サイトに突っ込まれてるんでしょ。
43192.168.0.774:2009/05/19(火) 18:54:07 ID:6ZMZMB/r0
>>41
全くもって問題なし
44192.168.0.774:2009/05/19(火) 18:54:18 ID:abtxHDvw0
>>41
evalがたくさん入ってるの見て誤検出したと思われ
http://end.if.land.to/geno.php?url=http://lineage2.plaync.jp/
45192.168.0.774:2009/05/19(火) 18:54:40 ID:9rdeJzCL0
>>37
DLしたいけどパスわかんねぇorz
4628:2009/05/19(火) 18:56:57 ID:m4p3L/VDO
>>38
別な意味合い・・とは・・・?
47192.168.0.774:2009/05/19(火) 18:58:32 ID:JNA/OZ/u0
>>46
無許可で作品乗せてるってことだろ
48192.168.0.774:2009/05/19(火) 18:58:40 ID:QXeKbW6W0
前スレ902
Adblock Plusでは、怪しいURIなりを追加していく。
例外の頭には@@をつける。
ttp://www.sample.com/$scriptとすれば、sample.com以下のスクリプトのみを弾く。
ここでは省くがワイルドカードや正規表現もどきも使える。
49192.168.0.774:2009/05/19(火) 18:59:01 ID:XdU3JuKs0
ヴァイブ
50192.168.0.774:2009/05/19(火) 18:59:13 ID:Z6WAXkTX0
>>43>>44
thx
助かった
51192.168.0.774:2009/05/19(火) 18:59:28 ID:YPsJVP/N0
>>41 どうでもいいが、アイコンファイルのでかさに驚愕したw
52192.168.0.774:2009/05/19(火) 19:00:07 ID:wA8EwCsv0
百度っつったらつべとかニコ動と同じ動画サイトだな
違法動画がわんさとありそうだ
53192.168.0.774:2009/05/19(火) 19:00:16 ID:XFldsOfqP
>>45
ドアに「引く」って書いてあっても顔真っ赤にして押して開けようとするタイプでしょ
54192.168.0.774:2009/05/19(火) 19:01:21 ID:XdU3JuKs0
そういうことか。オレをNG登録してくれ
55192.168.0.774:2009/05/19(火) 19:02:42 ID:cTF9aljw0
>52
百度は中華の Yahoo と言うべきだ
その中の動画セクションだよ、おまえさんが言ってるのは
56192.168.0.774:2009/05/19(火) 19:04:05 ID:vSwxXbQJ0
>>41
1000%超えてるやつ初めて見たww

>>44
前スレでスルーしててごめんね
今更ながら結構使いやすいわこのツール
57192.168.0.774:2009/05/19(火) 19:05:33 ID:vElGKTyLP
アップデートして最新にしておけって言うから
XPSP2からSP3にしてIE6からIE8にしたら
全体に重くなった…orz
IE8軽くないじゃん
58192.168.0.774:2009/05/19(火) 19:06:42 ID:Ni9zQrjI0
>>41
確認してきた。うん怪しそうなのは無いね

つかソース見て「うわ、このHPメンテしたくねぇw」と思ったw
59192.168.0.774:2009/05/19(火) 19:07:53 ID:ssAlkIqW0
逆にこれ感染したら分からなくなりそうだ
60192.168.0.774:2009/05/19(火) 19:07:57 ID:rj7hKtd+0
感染サイトリンク集の
Hair Make Berrys
ですが、難読化されたjavascriptが不自然に挿入されてます。

黒判定したいのですが、変数名が haGe とかなってるのでただの愉快犯の仕業かもしれません。
61192.168.0.774:2009/05/19(火) 19:08:02 ID:JNA/OZ/u0
>>57
IEコンポのやつつかっとけ
それなら重くないから
それか他のブラウザか
62192.168.0.774:2009/05/19(火) 19:08:07 ID:kY8OD79y0
>>57
IE7よりは軽くなったんだよ

63192.168.0.774:2009/05/19(火) 19:08:35 ID:dwwg46Fb0
>>57
Prefetchクリアしてデフラグでもしろ
64192.168.0.774:2009/05/19(火) 19:10:28 ID:vElGKTyLP
ググったらSP3とIE8は相性が悪いそうだ。
IE6に戻します
まんどくせ… ( ノД`)シクシク

他のブラウザは怖いから
慣れたIE6にします
65192.168.0.774:2009/05/19(火) 19:11:56 ID:JNA/OZ/u0
>>64
SP3にしてからIE8入れたらIE8はアンインストールできなかったような…
66192.168.0.774:2009/05/19(火) 19:12:43 ID:m4p3L/VDO
感染リストに忍者ツールあったから自分で調べてみたけど
あれ誤判定だよな?
67192.168.0.774:2009/05/19(火) 19:13:43 ID:dwwg46Fb0
>>64
もうIEやめてOperaか火狐にしようぜ
68192.168.0.774:2009/05/19(火) 19:18:39 ID:nxHnlbKs0
これも貼ろうよ

◆感染対象
今のところWindows 2000,XP で感染確認

◆感染してるっぽい場合
OSクリーンインストール一択

◆対策 ※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

1.Windows Updateをやる

2.使用しているブラウザのJavaScriptをオフにする。※これ重要
 (FirefoxならNoscript導入が便利)

3.Adobe Flash Player の最新版にアップデート → ttp://get.adobe.com/jp/flashplayer/
 JSオフだと更新できないので、その場合は↓のリンクからインストーラーを落として入れる
 IE版      ttp://www.macromedia.com/go/full_flashplayer_win_ie
 その他版  ttp://www.macromedia.com/go/full_flashplayer_win

4.Adobe Acrobat Reader の最新版にアップデート → ttp://get.adobe.com/jp/reader/
 うまく更新できない場合↓のインストーラーをダウンロードして入れる
 ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
 インストールが終わったらAdobe Readerを起動し
 メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
 終わったらバージョンチェックして下記の数字になっていればok

5.Adobe Acrobat Readerの JavaScript 機能OFFにする

6.セキュリティ対策ソフトもパターンを最新に更新

2009/05/18時点での最新版
Adobe Flash Player 10.0.22.87
Adobe Reader 9.1.1

Flash Playerのバージョンチェックはここで(JS、AXをオンにする必要あり)
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
69192.168.0.774:2009/05/19(火) 19:20:17 ID:brw6v9+T0
すみません、前スレ995は書き込み終了画面で 再読み込み押してしまいました。
あと、気になってるのですが、前スレ905ってことは、前スレ360も拾ってのものですよね。
まったくチンプンカンプンなんですが、恥かきついでに。
お仕事の邪魔して、ごめんなさい。
70192.168.0.774:2009/05/19(火) 19:20:43 ID:MmxOqtet0
>>48
それはなんとか知ってるんで、現時点で有効だと思われる
フィルタリストを作って上げてもらえると助かるんですが・・・
71192.168.0.774:2009/05/19(火) 19:21:10 ID:rj7hKtd+0
>>66
誤判定ですね。
72192.168.0.774:2009/05/19(火) 19:23:47 ID:fwZtLZs+0
>>65
あれ、逆じゃなかったっけ?
IE7と8は入れたあとでSP3にすると、アンインストール不可になるとか聞いた記憶が…
73192.168.0.774:2009/05/19(火) 19:25:24 ID:YPsJVP/N0
>>60
せっかくなので踏んでみた
http://www1.axfc.net/uploader/He/so/226645.png
74192.168.0.774:2009/05/19(火) 19:26:09 ID:ajaicXbL0
自分はSP3だけどIE8から6に戻せたぞ?システムの復元で
75192.168.0.774:2009/05/19(火) 19:27:51 ID:JNA/OZ/u0
>>72
逆だったか
でもIE6ってまだパッチ出してるっけ?
戻さないほうがいい気がするが
76192.168.0.774:2009/05/19(火) 19:28:00 ID:c4h/9VTEO
>>64
Spybotの免疫使ってない?
使ってたらIE8入れると糞重くなるよ
77192.168.0.774:2009/05/19(火) 19:34:46 ID:rj7hKtd+0
感染サイトリンク集の
kisikaisei
ですが、難読化されたjavascriptが不自然に挿入されてます。

たぶん黒ですが、個人サイトだし腐系なのでほっとけ!って感じです。
78オレの登録ミスだと思うけど、一応。:2009/05/19(火) 19:36:08 ID:xQPA+wnP0
うわー27時間くらいこなかっただけで、もうスレ3になってるの?
さっき、PC立ち上げて某セキュリティーニュースサイトを閲覧しようと思ったら、
ブロック登録したIPアドレスに引っかかった。

多少見られなくなるサイトが増えようが、ブロック優先というポリシーの為、
ホスティング先だけでなく、感染報告があった国内正規サイトも含める形で、
報告があったところを片っ端から広範囲登録していたんだ。 だから、間違いかもしれんが・・・

今、時間なくて過去ログ調べられないんだけど、注意しすぎて困ることはないだろうってことで、
アドレス貼っておくから、誰か検証してください。 ちなみに>>8 の中にはありませんでした。
hXXp://WWW.security-next.com/

ブロック登録しているアドレス範囲は 202.172.28.0-202.172.31.255 今調べたら日本国内のIPです。
だから>>17のリンク先もブロックされる始末。

>>22 うちはカスペ7だけど「PCを再起動」しないとパケットフィルタリングルールとかは適用されないみたい。
79192.168.0.774:2009/05/19(火) 19:41:20 ID:rj7hKtd+0
>>78
ざっとソース見たけど問題なさそう
断定はできないけど
80192.168.0.774:2009/05/19(火) 19:47:06 ID:mR+2qhjt0
http://end.if.land.to/geno.php?url=
これの後に感染サイトのURLくっつけて開いても、自分は感染せずにソース見ることが出来るの?
81192.168.0.774:2009/05/19(火) 19:47:31 ID:JNA/OZ/u0
>>80
できる
82192.168.0.774:2009/05/19(火) 19:51:11 ID:hSQTdtur0
>>78
問題なし
で、とりあえず202.172.28.0-202.172.31.255のブロック外しておけよ
逆引きしたらこれさーばみたい
83192.168.0.774:2009/05/19(火) 20:02:12 ID:GNfCS6iF0
ちょっと質問させて
ノートン先生が対応したって聞いたけど、亜種も大丈夫なんかな?
あと検出されるだけで、ワクチンとかはまだなんだよね?
84192.168.0.774:2009/05/19(火) 20:04:05 ID:nxHnlbKs0
これに限らず対応は基本的に1対1と考える
本家に対応してるから亜種にも対応してるなどと甘い事は考えない
85192.168.0.774:2009/05/19(火) 20:06:03 ID:77bzJ5s+0
不安になって、何度も何度も sqlsodbc.chm のサイズ確認をしているうちに、
なんだかいつの間にか、感染を待ちわびている事に、ふと気付いた。

「まだか、まだ感染してないのか?」って感じ。

そろそろ心の方がヤバクなってきてるのかもしれん。
86192.168.0.774:2009/05/19(火) 20:06:15 ID:XdU3JuKs0
てかid=10から落ちてくるexeって最初のgumblerのときから数種類あったじゃんね
87192.168.0.774:2009/05/19(火) 20:12:06 ID:xod3EvsV0
今日はVBの更新が多いけど、頑張ってんの?
88192.168.0.774:2009/05/19(火) 20:12:13 ID:xNz70xs60
いくつもあるよ。俺が持ってるのはgumblarで7世代、martuzで2世代。
89192.168.0.774:2009/05/19(火) 20:16:44 ID:mR+2qhjt0
>>81
そうなのか。
これ使って感染サイトのソースを見てみたんだが、赤くなってる所が感染してる証拠なの?
逆に赤い所がないサイトは、感染している可能性が低いって事になるの?
90192.168.0.774:2009/05/19(火) 20:19:49 ID:JNA/OZ/u0
>>89
お前はもう上のサイト使うな
お前のようなやつのためのサイトじゃない
91192.168.0.774:2009/05/19(火) 20:19:56 ID:wu49YE+90
ソースちぇき(β版) - ひまぐらま[別館]
ttp://hpg2.me.land.to/srcchk1.html

あなたのホームページを 「ソースちぇき(β版)」 で 見てみよう
このページでは、アナタが指定したアドレス(ページ)を
あなたのパソコンに代わって取得し、ココに表示します。
ページの内容を、ただのHTMLソース(文字列)として表示しますので、
もしもJavascriptによるいたづらが仕組まれていても安心です。

あとオマケですが、表示するソースの中から、
『見ただけで感染する?ウイルス(Zlkon/Gumblar/Martuzなど)』 を
自動的に探して太字にする機能も付いてるので、
もし覚えの無いJavascriptが在れば、
そのページのソースファイルを、自分で直してみると良いかもしれません。

※この「ソースちぇき」では発見のお手伝いだけで、
実際にソースを手直しなどするのは管理者であるあなた自身です。

「ソースちぇき」は単に客観的にあなたのホームページを見て、
ソースを表示するだけの「簡易ソースチェッカー」です。

トロイ診断機能は、hpgの憶測によるカンタンな正規表現による検索に過ぎません
のであしからず(゚Д゚)スマンネ

あなたの回線環境やサーバの混み具合によっては1分以上かかることがありますので
リロードしないでね(´・ω・)オネガイ
92192.168.0.774:2009/05/19(火) 20:25:08 ID:wu49YE+90
■GENOウィルスのチェックプログラム(簡易版)を書いてみた
ttp://d.hatena.ne.jp/kz_shikabane/20090517/1242495023

Vista使いでUAC厨の私には全く関係の無い話のような気がするが、
いつUACを突破する亜種が出るかは分からない。
sqlsodbc.chmのファイルサイズで判定できるようなので、
そんなときのためにこんなバッチファイルを書いてみた。

以下のプログラムをテキストファイルにコピペして、
拡張子をbatにしてダブルクリックで実行すれば、
コマンドを勝手に実行し、最後にレポート書いて停止するものだ。
有効利用してください。

あと、バッチに関しては素人なので改造してくれるとうれしいなぁ。
93192.168.0.774:2009/05/19(火) 20:25:58 ID:+Nv0TkV90
今何気なく感染サイトのGoogleのキャッシュをのぞいたら
感染したままキャッシュされてる所があるな・・
94192.168.0.774:2009/05/19(火) 20:26:59 ID:wu49YE+90
6.zlkon-gumblarお役立ち情報 高機能サロン管理システム★さまれぼ!★開発日記
ttp://excomp.cocolog-nifty.com/blog/gumblar.html

猛威を振るっているzlkon.lv/gumblar.cnに関する記事の中で、
お役立ち情報を集めました。
他のサイトの引用やパクリではない、独自のノウハウを紹介しています
95192.168.0.774:2009/05/19(火) 20:29:17 ID:xNz70xs60
独自のノウハウ()笑
96192.168.0.774:2009/05/19(火) 20:31:11 ID:qmbjopifP
ttp://pc.nikkeibp.co.jp/article/news/20090519/1015259/
ttp://www.computerworld.jp/topics/vs/146109.html
今回報告されたのは、「JSRedir-R(ジェイエス・リダイレクト・アール)」あるいは「Gumblar(ガンブラー)」などと呼ばれるウイルス。
感染数が急増しているとして、セキュリティ企業の英ソフォスなども警告。

今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
攻撃者は何らかの方法で正規サイトに不正侵入し、このウイルスをWebページに埋め込む。
不正侵入の方法については明らかになっていないものの、US-CERTでは、
(1)パスワードを盗まれて侵入されるケース、
(2)サーバーの設定不備を突かれて侵入されるケース、
(3)Webアプリケーションの脆弱性を突いて侵入されるケースなどが考えられるとしている。

「正規のサイトでさえ、たびたび被害を受けている今
ユーザーには目を覚ましてほしい。Webが感染拡大に有効な手段であることが実証されている以上
クラッカーは今後もWebを標的にし続ける。
これと闘うには、Webサイトにアクセスする前に、そのつどスキャンして悪意あるコードがないか
確認することが大切だ」(クルーリー氏)
97192.168.0.774:2009/05/19(火) 20:32:10 ID:GNfCS6iF0
>>94の感染サイト一覧見てきたんだけど、
なんか以上なくらい再感染が多いな…なんでだろう?
98192.168.0.774:2009/05/19(火) 20:32:50 ID:GNfCS6iF0
以上じゃねぇ、異常だ
99192.168.0.774:2009/05/19(火) 20:33:14 ID:XdU3JuKs0
>>96
これはいい記事
100192.168.0.774:2009/05/19(火) 20:34:52 ID:XdU3JuKs0
>>97
geno同様、根本的に進入経路を塞いで無い・わかってないんだろうね
101192.168.0.774:2009/05/19(火) 20:35:30 ID:nxHnlbKs0
>>96
後者はFlashやAcrobatの脆弱性について触れてないから役に立たんな
前者は金賞もの、何故かどこのニュースサイトもこの事を隠してるからな
102192.168.0.774:2009/05/19(火) 20:38:54 ID:XdU3JuKs0
>>101
鯖側もGENOのせいにしてるフシがあるよね
103192.168.0.774:2009/05/19(火) 20:41:36 ID:GNfCS6iF0
>>84
ありがとう
ってことはノートン使っててもまだ安心できないのか…
早くワクチンできてくれないかな
104192.168.0.774:2009/05/19(火) 20:46:45 ID:EdwNxb4kP
現状深刻な害はないが感染性は高い
新型インフルの模倣かな
105192.168.0.774:2009/05/19(火) 20:47:08 ID:Ew19VtK60
>>96
どっちも海外ソースで日本国内の惨状については何も報じてないけど
gumblarの名前が出たのは大きいな
本当はScanSafeのブログでも翻訳して載せてくれるといいんだがな…

しかし今になって海外の方でも報道が増えてるってことは
危険性を認識できてなかったのは日本だけじゃなかったってことか
106192.168.0.774:2009/05/19(火) 20:47:14 ID:rj7hKtd+0
>>96
良い記事だと思うが、

> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
これはミスリードを招かないなぁ。

javascriptで書かれたコードはウィルスを取り込むための、いわば呼び水だし、
一旦感染したら、クリーンインストールしかないというたちが悪いものという点
に触れられてないのが残念。
107192.168.0.774:2009/05/19(火) 20:48:21 ID:agLWBNyMO
>>97
感染PCブッ壊してもftpパス変更しないと
サイトはすぐ再感染するよ
108192.168.0.774:2009/05/19(火) 20:53:20 ID:GNfCS6iF0
どうでもいいが「クリーンインストール」って最初に言い出したのは誰なんだろう
今までのウイルスとかだと、普通に初期化って書かれてた気がするし、そっちのがわかりやすいのに
あちこちで反応見てると、クリーンインストールの意味わかってない人が結構いるな
109192.168.0.774:2009/05/19(火) 20:54:22 ID:dkHdrlAM0
OS再インストールの方が分かりやすいと思うよ
110192.168.0.774:2009/05/19(火) 20:55:19 ID:P4uMKHul0
この手のPC専門ニュースサイトに投書したどうだろ?
111192.168.0.774:2009/05/19(火) 20:56:24 ID:vmna4rQ80
>>110
ここまでの騒ぎになって触れてないって事は「今のところあえて触れる気は無い」って事なんじゃないかと
112192.168.0.774:2009/05/19(火) 20:58:10 ID:ebHg3CWR0
>>3
>Bavast!(無料のアンチウイルスソフト)で確認

だから、これは間違ってるから消せと…
113192.168.0.774:2009/05/19(火) 21:02:02 ID:vdYB2lEcO
リカバリをする際、Cドライブだけで良いのか
買った状態に戻した方が良いのかどっちかね。
114192.168.0.774:2009/05/19(火) 21:02:41 ID:ZziJ4ifo0
avastは検出されないの?
115192.168.0.774:2009/05/19(火) 21:03:25 ID:ITr8Wn8j0
2ちゃんだとクリーンインストールのAAあるから
常駐者はつい使っちゃうのでは
初期化のほうが危機感はあって伝わる気はするね
116192.168.0.774:2009/05/19(火) 21:03:55 ID:ebHg3CWR0
>>106
>> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
>これはミスリードを招かないなぁ。

だねぇ。JavaScriptはあくまでもダウンローダであって、マルウェア本体じゃないから。
本体がころころ変わるので、このダウンローダの段階で(スクリプト停止かIPブロックで)
防がないと、防ぎきれないという所なんだけど。

落ちてくる本体の正式名称早く決まらないもんかねぇ。
117192.168.0.774:2009/05/19(火) 21:03:57 ID:agLWBNyMO
しっかり検証してないから不確実だけど
改ざんクローラーはサイトのルートから入ってきてリンクやphpの読み込み先へ行って改ざんしてる感じ

同じフォルダでも改ざんされてないのもあるし、全部改ざんされてるフォルダもある

例えばftpソフトでバーっとファイル一覧を見て改ざんする感じではないと言うこと

それにしてもクリーンインスコめんどくせー
118192.168.0.774:2009/05/19(火) 21:05:59 ID:YqeDyNNm0
Vistaで超勝ち組の俺様が来ましたよ


119192.168.0.774:2009/05/19(火) 21:07:46 ID:YqeDyNNm0
Vistaで超勝ち組の俺様から質問があるんだけど、今からオナニーするんだがオカズは何が良い?
120192.168.0.774:2009/05/19(火) 21:08:11 ID:ebHg3CWR0
>>114
スクリプトの殆どは検知するが、すり抜けがある程度発生している。

本体が落ちてきた後の検出には対応できていない(Avast以外のセキュリティベンダーの殆ども)
ようやくAviraがある程度(動作中の新規作成して自己消滅していく本体を)検出できるように
なりはじめたようだけれど、ほぼ日替わりで、変わった直後にはほとんどのベンダーをすり抜ける
ものを出してくるので、「○月○日に感染してしまったとわかっており、なおかつ、その時に落ちてくる
検体を誰かが入手して検体提出されていて、検出可能になっていることがはっきりしている」ケースしか
○○でチェックしてください というのは使えません。

だから、感染が疑われているかどうかを確認する為に、Avastでチェックするというのは間違い。
121192.168.0.774:2009/05/19(火) 21:08:26 ID:t7sB47/O0
>>118
素敵ー抱いてー(棒読み)
122192.168.0.774:2009/05/19(火) 21:09:32 ID:Ew19VtK60
それにしてもmartuz.ch重いな
どっかから砲撃されてるんだろうか
123192.168.0.774:2009/05/19(火) 21:10:49 ID:TsHDU7xb0
>>119
豚インフル
124192.168.0.774:2009/05/19(火) 21:13:35 ID:Ni9zQrjI0
>>120
>17
定義名的にAviraもAvastと同じでJSのダウンローダだけじゃね?
いや、Aviraの公式は見に行ってないからそう書いてあるのかも知れんが
125192.168.0.774:2009/05/19(火) 21:15:30 ID:VTkqYj1BO
vipにsqlsodbcのサイズ正常で更新日16日ってやつがいるんだが……
感染してたとしてこれでさらに更新日偽造されたらもう判定できなくなるよな……
126192.168.0.774:2009/05/19(火) 21:16:31 ID:ZziJ4ifo0
>>120
そうなのか。分かりやすい説明ありがとう。
127192.168.0.774:2009/05/19(火) 21:17:01 ID:wu49YE+90
>>113
買った時にCドライブしかついていなければ
Cドライブをクリーンインストール。
買ったPCにリカバリーの方法がマニュアルに
あるから、それにしたがって。
128192.168.0.774:2009/05/19(火) 21:17:50 ID:WD8wWEbn0
>>122
それだけ本体のダウンロードが増えてるとか。世界中から…
129192.168.0.774:2009/05/19(火) 21:17:56 ID:GNfCS6iF0
検体提出っていうが、ダウンロードされる本体って結局どれなんだ
普通のウイルスだと「○○っていうのが増えてたらアウト」だからわかりやすいけど
これってそういうのはないよな
130192.168.0.774:2009/05/19(火) 21:19:07 ID:c4h/9VTEO
またまた携帯からでスマンが

>>124
14 名無しさん@お腹いっぱい。 sage 2009/05/19(火) 18:47:44
699さんの代理で投稿します

前スレ>>991
>ここは、ちょっとAVIRAに期待しておこう。

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=330
 DL avira/解凍 avira

ちょっと朗報です。avira データベース 7.01.03.222で、感染後のファイルを検出するようになりました。
上記はその画像です。(ロダをお借りしました。)

上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。

http://www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1

2個ファイルを検出しているのは、バックアップした方の mwgpedu.tya も検出したためです。
ちなみに、>963の muvl.nug も、同じく TR/Drop.Agent.qna.2 で検出するようになっています。(実機確認済み)

http://www.virustotal.com/jp/analisis/92a0cea2519ff2c901f9ac82f9453928 -2

VTの上記 1と2のMD5を見ればわかるように、ファイル自体は中身が微妙に変わっている(MD5が違う)のですが、
見事に同じ検出名で発見します。

完璧に発見できるかどうかは今後の検証が必要だと思いますが、流石aviraと言うところですか...
上手くmartuz.cn汎用検出のシグネチャを作ることができたのかもしれません。

追記)全鯖巻き添え規制を喰ったので、しばらく書き込みできません。
131192.168.0.774:2009/05/19(火) 21:21:08 ID:zOpNlL6H0
>>119
サバの味噌煮
132192.168.0.774:2009/05/19(火) 21:22:13 ID:jrPSkKu+0
>>125
notepad やバイナリエディタにぶち込むとか
CRCチェックするとかでいくらでも判定できるだろう。
FTPのパスとかを記録してるファイルなので、1バイトでも
改変されてたらCRCが変化する
133192.168.0.774:2009/05/19(火) 21:23:04 ID:iKQOPNjg0
aviraはじまったのか?
134192.168.0.774:2009/05/19(火) 21:24:24 ID:ECi0figV0
>>122
>>128
martuz.ch
      ~
135192.168.0.774:2009/05/19(火) 21:25:04 ID:vdYB2lEcO
>>127
調べてたら、Cだけで事足りるみたいだけど
安全面から見てどっちが最善策なのか
気になるとこだ。
136192.168.0.774:2009/05/19(火) 21:25:09 ID:Ni9zQrjI0
>>130
おおう検体スレか。目通すの忘れてた
手数かけてすまぬ。ありがと
137192.168.0.774:2009/05/19(火) 21:28:09 ID:oJ5eOA/M0
Aviraの怒涛のアップデートはやる気を感じさせたからな。
で、結果を残したとなると人におすすめしやすくなった。
138192.168.0.774:2009/05/19(火) 21:31:05 ID:KhcpxX4r0
>>122
GENOウイルスがmartuz.cnから他へ衣替え中の可能性あり
139192.168.0.774:2009/05/19(火) 21:31:31 ID:wu49YE+90
>>135
うちのPCは、リカバリーCDとHDDにCドライブとリカバリーするための
領域があって、もし感染したら、CDでリカバリーすれば
いいのだろうけど、HDDのリカバリー領域はどうしたらいいのだろう?
140192.168.0.774:2009/05/19(火) 21:39:47 ID:2apSfkB60
>>138
怖い事言うなやめろ
141192.168.0.774:2009/05/19(火) 21:44:30 ID:qmbjopifP
JPCERT/CCでは情報提供を呼び掛けている
ttp://www.jpcert.or.jp/at/2009/at090010.txt
JPCERT/CC、JavaScriptが埋め込まれるWebサイト改ざんに注意喚起
ttp://internet.watch.impress.co.jp/cda/news/2009/05/19/23488.html
142192.168.0.774:2009/05/19(火) 21:45:36 ID:J50xBu9C0
>>130
検体スレの「前スレ>>991」ってのが、これまた興味深いね。

991 :699:2009/05/18(月) 22:10:31
>>963
KasperskyとAVIRA両方返答来ました。muvl.exeの方です。

 Kaspersky - 白
 AVIRA - TR/NoUpdate.C,黒

うーん、明暗くっきり。
感染後に作成されるファイルに白判定が出るようだと、これはKasperskyのオンラインスキャンでmartuz.cnの感染検出無理か?

ここは、ちょっとAVIRAに期待しておこう。 んで、>990さんの所でRisingでも黒判定出てるので、そっちも少し期待。


あと、今日はmartuz.cnが私のこと無視する。前回から24時間以上経過してるのに...後でもう一度試します。
143192.168.0.774:2009/05/19(火) 21:48:31 ID:KhcpxX4r0
>>140
前のGumblarの衣もすぐに秋て着替えたし。
144192.168.0.774:2009/05/19(火) 21:50:06 ID:AJgnBYNW0
イギリスに移動したのも早かったから
他の国に移動も念頭に置いてあいたほうがいいんじゃないか?
145192.168.0.774:2009/05/19(火) 21:53:22 ID:hITb4yl00
少し騒ぎすぎだよな
146192.168.0.774:2009/05/19(火) 21:53:59 ID:zOpNlL6H0
凄いねしかし。
よくここまでやる気になるね。
犯人はどんな人なんだか。

色々考えてウイルス作る事は出来たとしても、ここまで大事にしてしまうと、リスクもかなりなものだと思うんだけど。
絶対に捕まらない自信があるのかな。
147192.168.0.774:2009/05/19(火) 21:55:45 ID:4Ypx2w3K0
>>129
スレよく読めカス
148192.168.0.774:2009/05/19(火) 21:56:16 ID:XdU3JuKs0
パツパツの軍服きたキチだと予想
いや、ごめん
149192.168.0.774:2009/05/19(火) 21:58:51 ID:0E4/DSzP0
>>145
騒ぎすぎたほうがいいような気もするな特に最近は・・・機械技術のほうが足が速すぎる
学校のパソコン授業ではワードとかんなのどうでもいいから
ネチケとウイルスソフトのこととか教えたほうがいいんじゃないかなぁ
150192.168.0.774:2009/05/19(火) 22:00:21 ID:Hijrc51m0
>>149
確かになぁ ワードは取り返しつくけど
ウィルスは取り返しつかんこともあるからなぁ
151192.168.0.774:2009/05/19(火) 22:01:29 ID:sH5pilYL0
いいぞ、もっと騒げと思う
152192.168.0.774:2009/05/19(火) 22:04:38 ID:wu49YE+90

816 名前:名無しさん@九周年[] 投稿日:2009/05/19(火) 21:35:18 ID:1MLUOU/80 (PC)
このサイトもAvastが激怒するんだがやばいのか?
jwy.jpshi■mobile■?jb=freepage-view&freelink=16
153192.168.0.774:2009/05/19(火) 22:06:01 ID:rj7hKtd+0
>>146
複数人だろうね
154192.168.0.774:2009/05/19(火) 22:06:45 ID:Ew19VtK60
感染サイトリストの感染確定を確認してみた
整理の参考にしてください>中の人

ヘアーサロンジョイ 復旧?告知なし
聖帝 サイト休止、告知あり
鉄道110号 サイト消滅
問屋街 復旧?告知なし
北川大介 復旧?告知なし
livmail 復旧?告知なし
主上支局 何か対策したように見えるが、一部おかしなコードが残っている
ペットの姓名判断のサイト 復旧?告知なし
帰ってき○三日天下 サイト休止、告知あり
loca.zombie 復旧?サイト休止?告知なし
155192.168.0.774:2009/05/19(火) 22:06:51 ID:dvS6mKF80
>>146
て言うか失敗だろ
これだけ有名になったら対策されるし意味がない
156192.168.0.774:2009/05/19(火) 22:13:45 ID:AXqA/M1h0
>>155
むしろ、存在ばれた上に解析まで進められたせいで、作者が自棄になって短期決戦型の何かを仕掛けてきそうで怖い
157192.168.0.774:2009/05/19(火) 22:16:21 ID:AXLZ1DVZ0
Avira AntiVir、今日8回目の更新きた〜ドイツ人頑張るなあ。
158192.168.0.774:2009/05/19(火) 22:18:43 ID:aMecPxb70
>>156
作者が日本人なら方針転換もありうるが、やっぱり外国人なんじゃないか?
159192.168.0.774:2009/05/19(火) 22:18:46 ID:mdzlqeGv0
>>155
いや、一概に失敗とは言えないんじゃない?
目的が分からないし。

対策とられないPCは絶対に残るから、それらを集めてゾンビPCのネットワークを作成するつもりなのかな。
それとも、ゲームとして楽しんでるのかな。
160192.168.0.774:2009/05/19(火) 22:19:12 ID:9nVAwa4a0
感染後のファイルはNortonも検出できるようになってきた。
昨日から今日にかけて落とした4種は全部検出したけど、全種対応できるかどうかは
不明。
一方で、Avast!は感染後のファイルはまったく検出しない。スクリプトをすり抜けた
ものについてはAvast!は無力。
Nortonはダウンロードそのものは行われてしまうが、発動前に検出してくれる。

で、感染してる状態だとトレンドマイクロ以外の主要なセキュリティベンダー、
Adobe、Windows Updateへの接続はブロックされる。
ある意味、ウィルスの挙動としては完成に近づいている感じ。
161192.168.0.774:2009/05/19(火) 22:19:51 ID:qmbjopifP
IISに未パッチの脆弱性か、エクスプロイトも出回る
ttp://www.itmedia.co.jp/enterprise/articles/0905/19/news019.html
ttp://www.microsoft.com/japan/technet/security/advisory/971492.mspx
こんなのも来てるし
162192.168.0.774:2009/05/19(火) 22:20:42 ID:wA8EwCsv0
>>157
凄いな、どこぞのバスターとはえらい違いだ
163192.168.0.774:2009/05/19(火) 22:21:28 ID:iKQOPNjg0
ただし土日には働かない
164192.168.0.774:2009/05/19(火) 22:22:05 ID:ZziJ4ifo0
明日ノートンかAviraに乗り換える
165192.168.0.774:2009/05/19(火) 22:22:45 ID:hITb4yl00
>>157
素晴らしい、10円あげたい。
166192.168.0.774:2009/05/19(火) 22:23:08 ID:WSyhd7W40
WB
167192.168.0.774:2009/05/19(火) 22:23:21 ID:6njUfv0b0
Avast!休日出勤で今日はお休みか?
168192.168.0.774:2009/05/19(火) 22:24:38 ID:jrPSkKu+0
政府や企業に一気に広めて一斉に恐ろしいパッチをDLさせあぼーん
とか?Botnetの方が現実味あるなw
169192.168.0.774:2009/05/19(火) 22:25:22 ID:nMhXw8IP0
ドイツで感染広がってるからね
日本人のほうが勤勉ぽいけどバスターがクソなのは何でだろう
170192.168.0.774:2009/05/19(火) 22:27:01 ID:vBCuvc4qO
仕事はきっちり
でも休みもまじできっちり休む

それがAviraの中の人達
171192.168.0.774:2009/05/19(火) 22:27:40 ID:cTiekbSj0
>>169
上が日本人じゃないからじゃね?
172192.168.0.774:2009/05/19(火) 22:29:14 ID:aMecPxb70
917 フクジュソウ(茨城県) [sage] 2009/05/19(火) 22:25:55.72 ID:/+9riV/Y
 さて、話を戻そう。
 で、XPを制限ユーザーで使用してた場合でも感染するのかな?

918 プリムラ・フロンドーサ(茨城県) [sage] 2009/05/19(火) 22:27:52.98 ID:7cFT+H9Z
 >>917
 XPを制限ユーザーで使ってる人間ってどれだけいるのかな?
 セキュリティ上はもっとも望ましいんだけど実用に耐えないから
 ほとんどの人が管理者モードで使ってるしね

 誰か仮想PC上のXPで制限ユーザーモードの感染の有無を
 試してもらいたい
173192.168.0.774:2009/05/19(火) 22:31:08 ID:2EBHryIk0
この機会にバスターからavastに乗り換えたんだけど
なぜか急に軽くなったわ。
一応wikiとかに書いてあるウィルス感染確認方法全部試したけど
おかしいところはなかった・・・
174192.168.0.774:2009/05/19(火) 22:32:43 ID:YPsJVP/N0
>>172
理論的には、UsersはDrivers32への書き込み権限がないから(いまみてきた)、
現行バージョンに限っていえば、感染には失敗するとおもわれ
175192.168.0.774:2009/05/19(火) 22:35:22 ID:jUUDie160
制限ユーザで常用してる俺大勝利
176192.168.0.774:2009/05/19(火) 22:35:29 ID:8A9XnPVTO
fc2関係のサイトに繋がらないのは俺だけか?
177192.168.0.774:2009/05/19(火) 22:37:48 ID:EYOlKSak0
>>176
行ってみたが繋がらんなぁ・・・
178192.168.0.774:2009/05/19(火) 22:39:05 ID:ITr8Wn8j0
FC2はいま落ちてるだけ
FC2にはよくあること
と、思う
179192.168.0.774:2009/05/19(火) 22:40:31 ID:doG2fF+v0
この際だからバスターからAviraかAvastに乗り換えようと思うんだけどどっちがいいかな
180192.168.0.774:2009/05/19(火) 22:40:34 ID:8A9XnPVTO
よ く あ る の かwww
こんなときに紛らわしいな
181192.168.0.774:2009/05/19(火) 22:42:22 ID:iKQOPNjg0
Avira超オヌヌメ

とAvast使ってる俺が言ってみる
182192.168.0.774:2009/05/19(火) 22:43:14 ID:59BL1o0P0
FC2復帰したっぽい
いつもの現象みたいでした
183192.168.0.774:2009/05/19(火) 22:43:48 ID:WSyhd7W40
カカクの時NODに乗り換えた奴いたなあ。。。
184192.168.0.774:2009/05/19(火) 22:44:21 ID:EYOlKSak0
結局よくあることだったのかw
185192.168.0.774:2009/05/19(火) 22:44:22 ID:/0fifCqf0
AvastとAvira一緒に入れちゃ駄目っぽいかな。
AvastとAVG入れてるからこの際記念にAviraも入れてA三つ揃えたいんだけど。
186192.168.0.774:2009/05/19(火) 22:45:18 ID:sjuhI8SBO
>>176
繋がらんね
ウィルスチェッカーで、URLリストをチェック中に落ちられ('A`)
個人サイトって結構FC2のシェア高いのね
187192.168.0.774:2009/05/19(火) 22:45:44 ID:F7SxoUJn0
常駐型のAVを複数入れるのはやめとけ
188192.168.0.774:2009/05/19(火) 22:45:47 ID:gGfhO5lq0
>>159
ボットネットは高額で売れる
189192.168.0.774:2009/05/19(火) 22:48:44 ID:4uDHXmo90
>>183
お前のレスはキチコテを連想させようとしてるw
190192.168.0.774:2009/05/19(火) 22:53:18 ID:brw6v9+T0
>>174さん、昨日の前スレ360でも逆汗さんが、そんなようなことをおっしゃってました。
本来のスレの住人の方がいない時間帯みたいですし、ちゃんと伝わっているのか心配です。
191192.168.0.774:2009/05/19(火) 22:53:32 ID:m4p3L/VDO
私もavastたんとAviraたんを一緒に入れたいと思ってたが、やはり駄目か・・
192192.168.0.774:2009/05/19(火) 22:53:54 ID:gpNxvsTM0
帰ってきたら、キャッシュクリアがテンプレから抜けてるね
どういう経緯で消えたの?
193192.168.0.774:2009/05/19(火) 22:55:50 ID:UTYTP2/z0
>>189
キチコテkwsk
194192.168.0.774:2009/05/19(火) 22:58:00 ID:m7z+mheg0
FISな人今帰宅。

攻撃コードの埋め込まれたソースコードを検体として提供してきます....
195192.168.0.774:2009/05/19(火) 22:59:29 ID:qmbjopifP
5月に入り2回にわたり改ざん被害が発生 - レンタルサーバ事業者
htp://www.security-next.com/010480.html
その後の調査により、4日に発生した改ざんについては、管理者のパソコンからウェブサイトを
改ざんするウイルスが見つかったという。
パスワードなど7日の時点で変更しており、以降の同様の原因による改ざんは発生していないとしている。
同社では14日に発生した改ざんについても調査を進めている。

また、心当たりがある利用者に対して、対策をウイルスのチェックなど
パソコンの安全確認を呼びかけている。

BIG-server.com
http://www.maido3.com/
196192.168.0.774:2009/05/19(火) 23:07:48 ID:sEC3Hm0WO
相変わらずマカフィーの名前はあがらないが、
実際動いてくれてんのかかなり不安だ
197192.168.0.774:2009/05/19(火) 23:08:53 ID:Ew19VtK60
【初心者のための感染チェック】個人情報をインターネットに漏らしまくるウイルスGENO!
http://www.excite.co.jp/News/column/20090519/Getnews_14196.html
http://news.livedoor.com/article/detail/4160331/
http://getnews.jp/archives/14196
198192.168.0.774:2009/05/19(火) 23:09:16 ID:vElGKTyLP
感染してなかったけど
XPをSP3にしたりIE8にしたら重くなって
SP2に戻してIE6戻し
今度は今までの設定がリセットされたようで
全て再設定してやっと元の環境に戻った
ウィルス作った奴はマジで呪われろ
199192.168.0.774:2009/05/19(火) 23:19:31 ID:rwJwaeR60
>>198
別にFirefox入れたからって、規定のブラウザにする必要はないんだから、試してみたら?
200192.168.0.774:2009/05/19(火) 23:19:53 ID:Vr9KJUtOO
毎回思うんだけどさ
作った本人が感染して対処しようがなかった場合、相当間抜けだよな
201192.168.0.774:2009/05/19(火) 23:20:57 ID:cDkOY/oD0
>>197
何このクソニュース
GENOウィルス・何をすれば良いか分からない人のまとめによると
て2ちゃんねるによると
って言ってるのと等価じゃん
202192.168.0.774:2009/05/19(火) 23:21:05 ID:dvS6mKF80
そんな間抜けが作れる訳ないでしょう
203192.168.0.774:2009/05/19(火) 23:21:42 ID:lUGZrCzK0
>>200
人造人間17、18号に殺されるドクターゲロみたいだな
204192.168.0.774:2009/05/19(火) 23:22:15 ID:zNDjj7AG0
禁止IP入れまくったせいかコナミが繋がらなくなったw
205192.168.0.774:2009/05/19(火) 23:22:23 ID:Z9QwYz9Z0
>>169
ウイルスバスターのトレンドマイクロは台湾企業
206192.168.0.774:2009/05/19(火) 23:22:48 ID:6PTQk0N50
>>196
Smart Security使ってるんだけど全く名前が出てこなくて不安
とりあえず出来る限りの対策して大人しくしてる
IE8のJavaScriptも切ったんだけど、これ効果ある?
207192.168.0.774:2009/05/19(火) 23:28:04 ID:nxHnlbKs0
>>206
分からないならネット繋がない方が安心
208192.168.0.774:2009/05/19(火) 23:28:38 ID:Vr9KJUtOO
>>203
そんな感じ
>>202
ウイルス作成者はどうかしらんが自分で作ったプログラムを解析出来ないぐらい汚いソースで書く奴いるよ
そういう奴のはバグ取り大変みたいだね
209192.168.0.774:2009/05/19(火) 23:29:29 ID:nxHnlbKs0
下手すると最初から作り直す方が早いという<汚いソース
210192.168.0.774:2009/05/19(火) 23:31:47 ID:vElGKTyLP
なんで話題にならないのか不思議
HP見ただけで感染は怖すぎだろ
211192.168.0.774:2009/05/19(火) 23:34:17 ID:xod3EvsV0
関係ないサイトでIEがビジーになるとビビる。
212192.168.0.774:2009/05/19(火) 23:35:45 ID:YPsJVP/N0
>>208 >>202 俺のことを晒すんじゃないw
213192.168.0.774:2009/05/19(火) 23:36:28 ID:4uDHXmo90
>>211
悲しいことにデスラーの俺にとってはいつものこと
214192.168.0.774:2009/05/19(火) 23:38:02 ID:6PTQk0N50
>>207
さすがに繋がないわけにはいかないので…
215192.168.0.774:2009/05/19(火) 23:39:38 ID:vElGKTyLP
ウィキにアクセスすると
殆どフリーズするよ
216192.168.0.774:2009/05/19(火) 23:42:06 ID:pU6aA3Ls0
>>206
現状のGENOなら、IE含めてブラウザのJavaScript切りは必須対策ではない。
まあ、亜種がどう進化するかわからないから予防として推奨されてるってこと。
217192.168.0.774:2009/05/19(火) 23:42:20 ID:L8/2Pzyy0
ていうかIE6使ってるやつがいる事に驚き
職場ならまだ理解できるが
頼むから乗り換えてくれ
セキュリティ面からもWEB制作者への為にも
218192.168.0.774:2009/05/19(火) 23:44:22 ID:0vthBrIC0
219192.168.0.774:2009/05/19(火) 23:46:07 ID:YPsJVP/N0
ちょwww vectorはGENO(店舗)をしらんのかwww
220192.168.0.774:2009/05/19(火) 23:47:17 ID:ZB+ARj6q0
まるまる2chのコピペのようn
221192.168.0.774:2009/05/19(火) 23:47:21 ID:GzGOmo9i0
ベクさんぱねぇな
222192.168.0.774:2009/05/19(火) 23:47:50 ID:wla2GMks0
>>218
ツーチャンネルからのパクリだな。
223192.168.0.774:2009/05/19(火) 23:48:04 ID:vElGKTyLP
>217
IE8評判悪いじゃん
重いだのメモリ食うだの
224192.168.0.774:2009/05/19(火) 23:48:53 ID:6PTQk0N50
>>216
どうもありがとう
情報収集に行くのも怖いから助かりました
ホント迷惑なウイルスですね
225192.168.0.774:2009/05/19(火) 23:49:58 ID:nMhXw8IP0
平気でウィルスばら撒くような会社だからな
226192.168.0.774:2009/05/19(火) 23:53:44 ID:VEZxxBvS0
>>218
声出してワロタ
227192.168.0.774:2009/05/19(火) 23:54:38 ID:tVLA0dSpO
>>218
ベクターwww
228192.168.0.774:2009/05/19(火) 23:56:11 ID:giCKSG8w0
>>218
これはひどいwwww
229192.168.0.774:2009/05/19(火) 23:56:23 ID:oJ5eOA/M0
このスレの誰かがベクターの関係者ということもある
230192.168.0.774:2009/05/19(火) 23:56:43 ID:dwwg46Fb0
>>1のテンプレそっくりw
231192.168.0.774:2009/05/19(火) 23:57:26 ID:iKQOPNjg0
ベクターのおかげでGENOウイルスの名称が一気に広まりました
232192.168.0.774:2009/05/19(火) 23:58:10 ID:Vr9KJUtOO
>>217
WEB制作者としてはIE6の方が都合がいい

7も8もどうせモジラと解釈違うんだろ?
233192.168.0.774:2009/05/19(火) 23:58:21 ID:NH/hp2qd0
もうGENOは社名変えたほうがいいな……
234192.168.0.774:2009/05/19(火) 23:59:29 ID:2BpOoyhZ0
>通称GENOウイルス
>通称GENOウイルス
>通称GENOウイルス
>通称GENOウイルス
>通称GENOウイルス
235192.168.0.774:2009/05/19(火) 23:59:58 ID:YPsJVP/N0
いやもうまじで、GENO(系)ウイルスっていう名前の由来をテンプレにいれといたほうが
俺なんかは、知り合いがGENOで通販してたりとか、普通にGENOの名は知ってるけど
236192.168.0.774:2009/05/20(水) 00:00:08 ID:0fAsrIWE0
>>232
8は一緒だと思うが
237192.168.0.774:2009/05/20(水) 00:00:12 ID:3z9ax0xo0
>>233
GEROだな
238192.168.0.774:2009/05/20(水) 00:04:13 ID:YBK678T50
>>218
クソワロタ
239192.168.0.774:2009/05/20(水) 00:05:16 ID:0YV1388Q0
ベクターさん見てるーー? AAry
240192.168.0.774:2009/05/20(水) 00:07:19 ID:G6hFrAbm0
>>1はベクターの人だったのかー
241192.168.0.774:2009/05/20(水) 00:13:28 ID:vUv2HuHmO
ベクターの中の人じゃないが、もうGENOウィルスでいいだろ
GENOウィルスでググったほうが情報入手しやすいし
242192.168.0.774:2009/05/20(水) 00:13:45 ID:un5+l7200
ベクターさんなにやってはるんですか
243192.168.0.774:2009/05/20(水) 00:14:33 ID:jRrP/UYV0
vectorやっちまったな
244192.168.0.774:2009/05/20(水) 00:17:58 ID:T8SYwRQS0
GIGAZINEの今日(5/19)のヘッドラインのトップ…
>■GENOウイルスチェッカー Ver.1.1(ネット、URLを入力するとそのサイトが感染しているかどうかが判定できる)

……こんなところにも複線が
245192.168.0.774:2009/05/20(水) 00:18:40 ID:39R1qBbv0
便所の落書きを鵜呑みにするベクター

今回と違って何か害のない話題の時には2chでベクター釣ろうぜw
246192.168.0.774:2009/05/20(水) 00:18:41 ID:Gfino0nB0
>>241
2ちゃん的には、それでいい アンチもユーザも一定数いるし 2ちゃん用語的には、確定に近づいてる
ただ、語源は定義されてるほうがいいと思う(jaで大きな話題になった大手サイトの一つ。ってこと)
247192.168.0.774:2009/05/20(水) 00:23:39 ID:lh8l6l9g0
2chだってgnomeさんのパクリ
248192.168.0.774:2009/05/20(水) 00:30:05 ID:Gfino0nB0
リンク張って、gnomeさんへのリスペクトはある みんなじゃないけど…。
249192.168.0.774:2009/05/20(水) 00:36:55 ID:oikiBFOj0
グノームさんってなんであんなに偉大なの?
まるでマリカー界のマンダー様みたいにすばらしいね
250192.168.0.774:2009/05/20(水) 00:39:40 ID:Tu9ykz6p0
>>216
kwsk
JavaScriptによってウイルスがロードされて感染されるのだから、未感染PCの場合、
感染の原因であるJavaScriptが「動作しない」ようにしてしまえば、
少なくとも現時点では感染のしようがないんじゃないのか?
251192.168.0.774:2009/05/20(水) 00:43:32 ID:lE7IGu/S0
>>250
今回「必須」なのはAdobeReaderとFlashPlayerの脆弱性を埋めてしまうことであって
両者が最新or削除されてればそこで感染を阻止できるって話なんじゃないの?
252192.168.0.774:2009/05/20(水) 00:46:22 ID:e7Jn+OfD0
各人で判断すればいいだけ。
くだらない事で言い争うなよ
253192.168.0.774:2009/05/20(水) 00:48:37 ID:Tu9ykz6p0
>>251
先週末だったと思うんだが、そのAdobeReaderかFlashPlayerのアップデートを誘って
ウイルスを感染させるサイトが出た、という情報があったんだよ。
ドメインもadobe.comにそっくりで、サイトのデザインも全く一緒で、DLされるファイルの
アイコンも全く一緒のやつがね。
GENOスレじゃそのこと全く触れてないからさ・・・

削除が一番安全なのは確かだけど・・・
254192.168.0.774:2009/05/20(水) 00:51:06 ID:KZmgp/E20
>>253
少なくともAcrobatReaderに関しては、メニューに更新があるから、それを使えば誤誘導されることはなくなると思うが
255192.168.0.774:2009/05/20(水) 00:51:39 ID:IOd6lTvT0
>>253
結局何がいいたいんだ?
256192.168.0.774:2009/05/20(水) 00:54:16 ID:LcGpLNBl0
アクロバットって入ってればプログラム一覧に表示されるよね?
俺のPC入ってないっぽいんだけどこれってマズイのかな
257192.168.0.774:2009/05/20(水) 00:55:11 ID:p8q7ZAzV0
さあね
258192.168.0.774:2009/05/20(水) 00:56:11 ID:Tu9ykz6p0
>>255
>>250山椒。

履歴よりソース
tp://pc.nikkeibp.co.jp/article/news/20090514/1015081/
まあ今はもう、アンチウイルスソフトの方が検出するだろうけどね
今の騒ぎの伏線にも見えてきたがw

アップデートした方がいいのは理論上当然だが、今のホットな状態で
安易にオススメすると正しくないサイトを踏んづけるのが出てきそう

ほとぼりがさめるまではウイルス自体が動作しないようにした方が安全じゃねーの?
ってこと。
259192.168.0.774:2009/05/20(水) 00:57:41 ID:W27vRGG90
>>217
IE7もIE8も重すぎて勘弁願いたい
Core2-2.5GHzでも重いって、どんなスペック要求してんだよと

>>250
普通にHREFで埋め込まれても感染する気がするんだが。
要は、細工したpdfを表示させようとすればいいわけで。


アンチウイルスソフトで実体検出できるようになったらしいけど、
日々変わる新型に勝てるんだろうか・・・・・

1月に実証コード→3月fix
3月に実証コード→5月fix
今月また出て来なければいいけどなー
260192.168.0.774:2009/05/20(水) 00:57:42 ID:jR3tNl680
>>253
adobeus の奴ね。確かにサイトはそっくりだった。

IE8だと、ダウンロード時に危険だけど、それでも落とすのかって聞かれた。
そして、ファイル名削ってドメインのトップページにしたら、勝手に、Adobeの正規サイトに
飛ばしてくれた。フィッシング対策が働いたようだ。
261192.168.0.774:2009/05/20(水) 00:58:44 ID:IOd6lTvT0
>>172
それ試せる人が今アクキンになっているから
結果だせても当分書き込めないぞ
奴がトリップ持ってたらそれ経由でモリタポ渡せるのにな
262192.168.0.774:2009/05/20(水) 01:00:04 ID:Tu9ykz6p0
>>256
ワードを使わないからワードが入ってないのに、ワードが入ってないとマズイのか?

ブラウザからPDFへのリンクをクリックすると100%凍るから嫌いだ・・・中身も
印刷しない限り見にくいし。
263192.168.0.774:2009/05/20(水) 01:02:55 ID:KqzS4H+30
>>256
Adobe Readerもない?
264192.168.0.774:2009/05/20(水) 01:04:48 ID:4klbI3cU0
>>259
んーと、つまり
通販サイトなりなんなり乗っ取ってTOPページに罠PDFのリンク貼り付けて
 「お客様感謝企画!
 こちらのファイルをDLしてプリントアウトした物を郵送していただくと 粗品をプレゼント。」
なんて文句で落とさせて開かせりゃウィルス本体落としちゃう(ユーザーのAdobe Readerが古かったら)
って事だよね?
まぁ、JSでHP開いただけで罠発動ってのより確率は非常に低くなるけどさw
265192.168.0.774:2009/05/20(水) 01:05:39 ID:LcGpLNBl0
>>262
そうじゃなくて、acrobat最新版にしとかなきゃいけないのに
そもそも入ってないからどうなんだろと思って

>>263
プログラムの追加と削除から見ても入ってないみたいだった
266192.168.0.774:2009/05/20(水) 01:05:50 ID:BfaTg9hnP
>>259
XPSP3のCD1.66GHzのメモリ2GBで別におもくないけど?
逆にどんだけサクサクしたいの?
メモリエラーかなんかじゃねーの?
もしくは環境
267192.168.0.774:2009/05/20(水) 01:10:56 ID:KqzS4H+30
>>265
メーカー製PCにはプリインストールされてることが多いけど
入ってないならそのままでおk
無理していれる必要はない
268192.168.0.774:2009/05/20(水) 01:13:22 ID:4klbI3cU0
>>265
使わないソフトは入れない。使ってないソフトはアンインストール
セキュリティー的にはこれで良い
269192.168.0.774:2009/05/20(水) 01:13:53 ID:Tu9ykz6p0
>>259
Pentium4m3Ghz メモリ1GB@XPSP3で特に支障ないですよ。
メモリの増設を計ってみた方がいいのでは。

>>259>>264
・・・理解した。
リンククリックしてDLする前に対象物を確認汁!!って何回行っても「わかんなあい☆」な人
いるもんな・・・orz
270192.168.0.774:2009/05/20(水) 01:14:58 ID:nOb2go+Z0
未だにOperaを導入せずfirefoxやらieやら言ってるヤツらが居るのか
271192.168.0.774:2009/05/20(水) 01:15:24 ID:0fAsrIWE0
O p e r a 最 強 伝 説
272192.168.0.774:2009/05/20(水) 01:15:46 ID:hbgorwsy0
>>270
巣から出て来んなヴォケ
273192.168.0.774:2009/05/20(水) 01:17:04 ID:LcGpLNBl0
>>267-268
考えてみればソフト入ってなければそのソフトのセキュリティの穴もないって事か
acrobatとか今後使う予定もないだろうしこのままで良いか、ありがとう
274192.168.0.774:2009/05/20(水) 01:23:20 ID:nOb2go+Z0
>>272
あ?
お前何様?
275192.168.0.774:2009/05/20(水) 01:26:22 ID:TjjMRvNP0
めっきりネトサの範囲が狭まりましたw
276192.168.0.774:2009/05/20(水) 01:28:59 ID:myl4XTYM0
カスペおじちゃん頑張ってくれよ…
277192.168.0.774:2009/05/20(水) 01:30:22 ID:n3ZQVbFU0
そういやノートン先生更新したら前スレの悪戯スクリプトに反応してくれるようになった
278192.168.0.774:2009/05/20(水) 01:31:20 ID:naqvDBVQ0
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能

niftyで主要部分をオンラインチェックしたけど以上なし
なんかロックかかってる領域が表示されていたけど

今のとこ不調はない
リカバリー面倒だな
279192.168.0.774:2009/05/20(水) 01:32:34 ID:naqvDBVQ0
278だけど
regedit.exeは正常だった
試したのは昨日なんで またチェックしてるとこ
280192.168.0.774:2009/05/20(水) 01:32:40 ID:6AAoxbTi0
niftyでオンラインチェックwww
馬鹿丸出しだな。
281192.168.0.774:2009/05/20(水) 01:33:35 ID:MkFeI8vj0
下のページ(まとめブログ)を開いたらavast!で「JS:Redirector-H」反応
なんとか感染は免れたようだったが念のため報告しておく

ttp://revchannel.blog64.fc2.com/blog-entry-447.html
ttp://kuromacyo.livedoor.biz/archives/823342.html

タイミング的に怪しいのは後者っぽい
282192.168.0.774:2009/05/20(水) 01:35:36 ID:Is5LiSLp0
adobe reader 8.1.5からadobe reader9に乗り換えようと思って公式に行っけど今ダウンロードできないみたいね
283192.168.0.774:2009/05/20(水) 01:38:37 ID:KgM3e6Rg0
このウイルスって感染しているかは
cmd、regedit、sqlsodbc.chmをとかチェックと言ってるけど
もしかしてタスクマネージャにはウイルスらしきプロセスは表示されないの?
284192.168.0.774:2009/05/20(水) 01:42:15 ID:oikiBFOj0
>>283
プロセスをのっとって活動するらしいからわからないと思う。
285192.168.0.774:2009/05/20(水) 01:45:35 ID:e7Jn+OfD0
こんだけやってって挙動が不透明なのは
なんでなんだろ
飼ってる人もたいした情報出してこないよね
286192.168.0.774:2009/05/20(水) 01:47:28 ID:nOb2go+Z0
>>281

<dt><a name="R24">24</a> 名前:<a href="mailto:(){evl(unespe(('Scpt(t,'%')))})(/./g);]"><b>名無しさん@九周年</b></a>:2009/05/18(月)

こういうのを貼った馬鹿がいる
のをそのままコピペする馬鹿がいたから反応しただけ
安心汁
287192.168.0.774:2009/05/20(水) 01:50:02 ID:Fgb8udvwP
>264
そんなまどろっこしいことしなくても
サイト乗っ取ってトップページに
「重要なお知らせ:こちらのPDFファイルを必ずご確認ください」ってあれば
ほとんどの奴が見るぞ
288192.168.0.774:2009/05/20(水) 01:51:29 ID:lE7IGu/S0
>>281
下の奴はソース見たらコメント欄にダミーコード入れてるのがいた
289192.168.0.774:2009/05/20(水) 01:51:40 ID:myl4XTYM0
今なら「新型インフルエンザ」とかでホイホイ釣れそうだな
290192.168.0.774:2009/05/20(水) 01:51:48 ID:YBK678T50
>>285
プログラム板の人達がまだ本気になってない
291192.168.0.774:2009/05/20(水) 01:51:50 ID:4klbI3cU0
>>286
そしてそれを丸ごとここに貼り付けたお前さんも馬鹿って事になるぞw
292192.168.0.774:2009/05/20(水) 01:52:29 ID:P3URvmP30
>>285
ボットっつーのは基本的に司令塔の命令待ちになるから
何も命令もらわない状態だとただ口開けてるだけで
これと言った挙動を示さないんすよ。
293192.168.0.774:2009/05/20(水) 01:52:58 ID:0fAsrIWE0
>>291
avastがどうたらこうたら言うバカがすぐに分かって便利じゃないか
294192.168.0.774:2009/05/20(水) 01:53:47 ID:y5i0dmLL0
XPでもReduced Permissionsつかってりゃ感染しないだろjk
295192.168.0.774:2009/05/20(水) 01:57:12 ID:MkFeI8vj0
>>286
>>288
>>293
ああ、無知って怖ろしい/(^o^)\
とにかく誤爆だったようで安心したよ
サンクス
296192.168.0.774:2009/05/20(水) 02:00:05 ID:0QQFjLPO0
ダミーコードってなんだ?
ググってもノートントラップのことが出てこないよ?
297192.168.0.774:2009/05/20(水) 02:00:43 ID:nOb2go+Z0
>>291
丸ごとかどうか判断できないお前が大馬鹿って返せばおk?
298192.168.0.774:2009/05/20(水) 02:03:39 ID:KgM3e6Rg0
>>284
な・・・なんだと・・・
俺には何もできないからこのスレの勇者達を応援するわ
299192.168.0.774:2009/05/20(水) 02:08:07 ID:e7Jn+OfD0
>>292
逆汗とかやらないものなの?
300192.168.0.774:2009/05/20(水) 02:09:42 ID:EuTYOc1w0
pandoraTVってどうなの? チェッカーでは900%とか出てるけどw
301192.168.0.774:2009/05/20(水) 02:12:49 ID:P3URvmP30
ttp://www3.atword.jp/gnome/2009/05/19/finally-several-security-venders-detect-gumblaroid-completely/
全撃墜してるのは
AhnLab-V3
AntiVir
AVG
Kaspersky
McAfee-GW-Edition
Microsoft
NOD
Rising
Symantec
の9ベンダー

>>299
やってもしょうがないべ。口開けて餌待ってるだけなんだから。
https://www.ccc.go.jp/bot/
302192.168.0.774:2009/05/20(水) 02:18:28 ID:e7Jn+OfD0
ようするにPCを遠隔操作するソフトだから
なんでも出来ちゃうってこと?
303192.168.0.774:2009/05/20(水) 02:24:35 ID:e7Jn+OfD0
てか口あけてるなら
常駐してるわけでしょ
その情報もないし
どのポートで待ってるとかもないんだけど
なんで出てこないの
304192.168.0.774:2009/05/20(水) 02:26:01 ID:P3URvmP30
Martuz .cn - New Incarnation of the Gumblar Exploit. So What’s New?
ttp://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

>>302
リンク置いといたのにオウム返しするなよ…。
305192.168.0.774:2009/05/20(水) 02:28:55 ID:1CWUlUhK0
>>299
逆汗スキル持ってると分るけど、正体不明バイナリの挙動全解析はクソ面倒。

軽く触る程度の解析だと、たいしたことは分らない。
デバッガでアタッチして動かすならAPI側の処理だけ辿れば大まかに挙動は観察できるけど、それだけ。
確率付きで動いたりすると分らなくなるし、ネットワークから指示を待つ場合だとネットワークにつないでることしか調べられない。

その以上の挙動まで調べだすとヘタしなくとも数日掛りの仕事になる可能性は十分あるし、
調べたところで仕込まれてる機能にオーバフロー脆弱性や仮想コンソール並の自由度があれば「感染後は何でも実行されかねません、以上」で終わる。
BOT的なものが仕掛けられてるって話がチラホラしてることを考えると、感染後の挙動の可能性は無限大って考えるべきだろう。
BOT化されたのなら、後は仕掛け人の思いつきでデータ流出・フォーマット・物理破壊・踏み台化、思いのままだと思うべき。
306192.168.0.774:2009/05/20(水) 02:31:10 ID:/W16w99o0
>>303
GENOウイルススレ 感染2台目
http://pc11.2ch.net/test/read.cgi/internet/1242630563/854
854 :192.168.0.774 [sage]:2009/05/19(火) 14:24:21 ID:9nVAwa4a0
>>829
昨日から試してるんだけど。
感染VMにFWやら各種のsniffingツールやら入れて監視しようとすると
動作を止めたり自分自身を消したりするんだよね。

とりあえず
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
に書き込まれるファイルが起点となって動作しているのは確実で、
こいつさえ殺してやれば少なくとも主要な機能は止まる。
殺し方としては、gnome氏の書かれている方法でOK。
要はSafe Modeで起動して、レジストリに書かれているファイルを適当に書き換えて
壊す。で、再起動後にレジストリを正常値に書き直す。

本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい
307192.168.0.774:2009/05/20(水) 02:35:07 ID:1CWUlUhK0
>>303
ボットネットをIRCで構築とかの話を聞いたりしないかい?
ボットが自発的に外に出て行く仕様だとそこは特定できない。

そういう仕様だとNATを超えられないし、弱いPCを山ほど確保するのが原則のBOTネットでわざわざグローバルIPを要求するとは思えない。
感染させたところで、感染者のIPを調べる手間があるし。

感染者に自発的に報告させるって手はあるけど、ポートを開け放つよりランダムに外に出て行かれるほうが攪乱にもなるし、メジャーな手段ではないだろう。
308192.168.0.774:2009/05/20(水) 02:44:12 ID:e7Jn+OfD0
自分から仲間を探しにいくわけね
でも常時起動してるってのは正解?
309192.168.0.774:2009/05/20(水) 02:44:22 ID:DBvDjVNt0
>>303
馬鹿は回線切って寝てろ。
310192.168.0.774:2009/05/20(水) 02:51:17 ID:e7Jn+OfD0
馬鹿にもどんな動きしてるかわかりやすくてこういったやりとりもたまにはいいじゃん
311192.168.0.774:2009/05/20(水) 02:58:42 ID:gi+oYkW80
>>269
よくわからない人向けに、テンプレで最新版へのアップデートだけでなく
JS切ることを必須に近く推奨しようとしてるのは、
JSにより「自動」で罠へのリダイレクトされてしまうことを予防するためで
アンチウイルスを予防で入れてるのと同じような意味
何回も脆弱性を塞ぐアップデートが出てる以上、最新版にしていても
いつまた穴がある状態になるか分からないからね

そりゃ通常リンクで誘導するだけで発動するだろうが、
自前でリンクを踏むステップを経る以上
その辺に関しては「怪しいリンクはクリックするな」としか言いようがないから

一番効率よく塞ぐことだけを考えるなら、現行仕様で一番楽なテンプレは
「OSをVistaに変えて、UACはONにしておけ」になってしまうぜ
312192.168.0.774:2009/05/20(水) 03:10:35 ID:yieABIr80
>>310
プログラミングに関して詳しくないのだけど前スレの>>854に、

> 本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい

と書いてあるがこれだといわゆる「常駐」とちょっと違うと思うんだよね。
ドライバを使うタイミングで動くって事なんだと。
313192.168.0.774:2009/05/20(水) 03:15:19 ID:KMPDkF1G0
>>312
で?
314192.168.0.774:2009/05/20(水) 03:20:24 ID:0fAsrIWE0
>>313
要するにバカには理解できないってことだ
315192.168.0.774:2009/05/20(水) 03:22:31 ID:dLXUy78D0
>>307
今気づいたけどウイルス対策が間に合わなくても
FWあるから実害ないんじゃないの?なんで被害でてるの?

ウイルスに感染しました→ウイルスが動き出しました→情報を外に出そうとしています→
Nortonが許可拒否リストにないプログラムが通信しようとしているのを確認。→FW警告を出す

こういう流れじゃなかったの?
316192.168.0.774:2009/05/20(水) 03:23:59 ID:dLXUy78D0
書く板間違えた・・・
「GENOウイルススレ ★18に」書き直して平気かな?
317192.168.0.774:2009/05/20(水) 03:24:58 ID:qM7AXACP0
>>315
ウィルスがブラウザに寄生してたらどうする?
FWなんて意味ないよ
これくらい分かるよな
318192.168.0.774:2009/05/20(水) 03:26:37 ID:nOb2go+Z0
高度なFWはちゃんとハッシュも調べてくれるよ
アドオン型の寄生は関係ない話だけど
319192.168.0.774:2009/05/20(水) 03:28:35 ID:WEhQE81R0
色々無効にするとアマゾンでDVDの感想さえ見れないんだな…
まぁ見れないほうがニコ動見たくならなくて良いのかもしれないけど。
320192.168.0.774:2009/05/20(水) 03:29:12 ID:e7Jn+OfD0
とりあえず数日トラフィック全部ログに記録してれば
あやしい通信があるかどうか解るよな
321192.168.0.774:2009/05/20(水) 03:29:24 ID:WEhQE81R0
あ、見れた。
スマソ
322192.168.0.774:2009/05/20(水) 03:30:51 ID:dLXUy78D0
レス付いてるのでこっちで。

add-onやプラグインはインストール時に警告出るでしょ?
今回はIEの脆弱性関係ないみたいだけど。
許可してるシステム関連の通信もファイルが変更されるとNortonまた聞いてくるけど・・・?

今回、なにが外部に送信してるの?
323192.168.0.774:2009/05/20(水) 03:41:55 ID:0fAsrIWE0
そのノートン自身が改変された場合は考えなかったのか?
324192.168.0.774:2009/05/20(水) 03:43:29 ID:sJ0UKunq0
ウイルスソフトずっとキングだったんだけどこの機会に乗り換えるなら何?
やっぱりAvira?
325192.168.0.774:2009/05/20(水) 03:54:40 ID:KMPDkF1G0
>>324
ZERO
326192.168.0.774:2009/05/20(水) 04:02:53 ID:sJ0UKunq0
>>325
とりあえずキングと比較して長所と短所を教えてくれ
327192.168.0.774:2009/05/20(水) 04:19:49 ID:+Ra1+FtUO
>>259
こちとらIE6使いで7や8を擁護する気はないんだが
そのスペックで重いってのはメモリが少ないかハードディスクの転送が遅いんじゃねーの?
XPならメモリは最低1G以上
仮想メモリやIEキャッシュは少なめにしてCドライブとは物理的に別のドライブに移動させておくもんだぞ
それでも遅いってんならIE使うのを止めろとしか言えない
328192.168.0.774:2009/05/20(水) 04:21:21 ID:7R6k3W6x0
今回のって感染はブラウジングで拡散はFTPじゃなかったか?
FTPソフトは普通通信許可にしてあるだろうからFTPに乗っかってれば警告も出ないと思うんだが
329192.168.0.774:2009/05/20(水) 04:22:58 ID:qM7AXACP0
>>327
IE8だがマジで重い
これIE8入れたらIE6の軽さが神に見えるよ
330192.168.0.774:2009/05/20(水) 04:25:08 ID:YBK678T50
GENO自らScriptうpしてるわけじゃないっしょ?
別じゃね
331192.168.0.774:2009/05/20(水) 04:26:25 ID:YBK678T50
>>329
チラ裏:IE8はspybotの免疫で激重になるって小耳に挟んだことがある
332192.168.0.774:2009/05/20(水) 05:14:54 ID:+Ra1+FtUO
>>329
そんなに重いのか
8は何をそんなに詰め込んでいるのやら
プラグイン形式で必要可否の選択出来れば軽くなるだろうにな
タブブラウザ機能があればそれでいいのに。
333192.168.0.774:2009/05/20(水) 05:41:24 ID:TjjMRvNP0
>>329
俺もIE8だが軽快だよ。なんかのソフトと相性悪いんじゃない?
334192.168.0.774:2009/05/20(水) 05:43:31 ID:2qotQAnb0
同じく、こないだIE6→8にしたけど普通にサクサク。
別に重くなったとは感じなかったな。
335192.168.0.774:2009/05/20(水) 05:51:35 ID:0fAsrIWE0
IEコンポでの快適さに慣れるとこの起動の遅さとタブ生成の遅さとかタブ移動のラグが気になる
タブ生成の遅さはavast切ったら無くなったが
でもavast切ったら意味がないし
336192.168.0.774:2009/05/20(水) 05:54:17 ID:2rhsuN1h0
>>174
XPでアカウントを管理者から制限ユーザーに切り替え
JS有効の状態でGENO感染サイトを踏んだ後に
アカウントを管理者に戻しても感染はしてない状態なの?
33778:2009/05/20(水) 06:23:37 ID:c+qIXrE10
>>79 >>82
ありがとう。 安心した。 
範囲の指定がオレらしくないからどこかに張ってあったやつっぽいんだが、全然思い出せないよ。
アドバイスどおり、ブロックは解除させていただきます。

>>125
更新日はプロパティーで詳細表示ボタンクリック→何も変更しない→適用→OK
にしただけで、変更されることがあると思う。
俺自身、プロパティー詳細を開く前と後で更新日が変わったから。
今も2度更新日の変更を確認した。

だから、その人が16日にプロパティーをチェックしたのであれば、感染していない可能性が残るね。
同じ操作をしても更新日は更新されるときとされない時があるのは、インデックスとか圧縮とかが
関わっているのかもしれないけど、自分はファイルシステムにうといのでよく分かりません。

あと確率は低いけど、KasperskyやESETの最新版のようにウィルススキャン済みのファイルはスキップする機能も
影響しているかもしれない。 他に症状がなくてMD5が正常な値であれば多分大丈夫。

>>139
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1323127298
こんなんじゃ、イマイチな信憑性だけど。

>>146
闇サイトで去年6000円くらいで売られていたクラックツールだか脆弱性情報だか(うる覚え)を利用しているっぽいらしい。
さっき本屋で立ち読みしてきた。 GENOの通販を名指しで記事になっていたから、
ろくなお詫びせずに知らんぷりを決め込んだGENOの思惑は大ハズレ。

>>201
オレも同じ事を思った。 しかも、そのまとめサイトもまた誤解を生みそうな微妙な出来だ。
338192.168.0.774:2009/05/20(水) 06:43:17 ID:0Ae11A0JO
>>337
>>125にレスありがとう
まとめが誤解を招きそうだと思うなら 同人板のスレで>>1宛てに指摘してあげてほしい
339192.168.0.774:2009/05/20(水) 07:09:27 ID:mC4Yyioo0
martuz.cnが正引きできなくなってるな
感染サイトは未だにmartuz.cnに接続しようとするけど

>>337
立ち読みしてきた本って何?
340192.168.0.774:2009/05/20(水) 07:17:34 ID:c+qIXrE10
>>232
IEの中では、IE8が一番WEB標準らしいよ。8では7での表示モードに出来る(サイト毎に登録も可)。

>>279
それが怖いんだよな。 >>337での自身の発言と一部矛盾してしまうけど、
cmd regedit ヘルプ改変 BSOD etc... 対策ソフトが後手後手に回ってしまった為、
感染しているかをユーザー自身が症状をたよりに判定するような風潮になってしまったことが怖い。
発症せずに潜伏中でないことを祈る。

>>283
タスクMGRで確認できたのは、数年前の話だそうです。

>>308
NO 今後は神出鬼没のゲリラだと思ったほうがいいよ。 タイマーがいつ発動するかも分からない。
ウィルス自身が発見されずに潜伏する自信があるなら、全世界で一気に発症させる方がお金になりそう。

>>319
ニコニコ動画で何かあったのですか?

>>329
うちはXPだけど、VISTAだと重くなるらしい。 理由には「XPより厳格な権限の管理」が予測されるとのこと。
IE8からプロセスがタブ毎に独立するGoogleChrome方式となったために、↑が影響だって。

>>332
アドオンの管理というウィンドウでJava Flash AdobeはもちろんMSのプラグインも含めオフに出来ます。
ですが jsに関しては別のところで設定する必要があり面倒です。

■■よく出てくる逆汗って玄人っぽい語は何でしょうか?

>>338 いえいえ、あなたも他人の為にお疲れ様です。 そのスレがどんなところか見てきます。
341192.168.0.774:2009/05/20(水) 07:24:26 ID:KRIzz06M0
ttp://mtc.sri.com/live_data/av_rankings/
久しぶりにSRI見たら軒並み減っててわらた
342192.168.0.774:2009/05/20(水) 07:25:35 ID:c+qIXrE10
>>339
http://www.sbcr.jp/pcjapan/
のセキュリティー処方箋っていう連載です。
内容がマンネリ化しちゃってますが、もう3年くらい毎月買い続けています。
そういう意味でもWindows7に期待。
343192.168.0.774:2009/05/20(水) 07:27:55 ID:G44IUd0h0
トレンドマイクロやノートンみたいな大手はすぐ対策してくれたけど、今でも対策打ててないアンチウイルスソフトってあるの?
344192.168.0.774:2009/05/20(水) 07:28:45 ID:mC4Yyioo0
>>342
thx
読んでみるわ
345192.168.0.774:2009/05/20(水) 07:41:22 ID:P3URvmP30
>>340
逆アセンブル
346192.168.0.774:2009/05/20(水) 07:43:15 ID:WaT4EVmv0
駆除してくれると言う意味では対策になってるソフトはまだない
347192.168.0.774:2009/05/20(水) 08:13:27 ID:n5eYdEeW0
>>343
あくまで水際阻止
検知するだけですり抜けられたらout

>>346が言ってるように、駆除まで含めた対策はどこもできてない。
348192.168.0.774:2009/05/20(水) 08:29:29 ID:4tpidt6L0
52 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/05/20(水) 01:27:50.05 ID:X0055OE00 (PC)
>Jane Styleを使ってる奴らへ
「怖いからスレに張られたURL全部GENOウイルスチェッカーでチェックしてる」って奴もいると思う
そんなビビり屋のためにJane Styleで使えるReplaceStr.txtを作った

ttp://sageuploader.if.land.to/cgi-bin/1upload/src/sage1_11028.zip.html

「GENOウイルスチェッカーでチェックできるリンク」
「ソースチェッカーオンラインでチェックできるリンク」
の2つを生成してくれるよ
でも滅茶苦茶汚いし不具合ありそうだから
「もっと綺麗に、かつ確実に動作するように書けるよ」って奴は調整頼む

110 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/05/20(水) 02:00:57.11 ID:X0055OE00 (PC)
修正版0.12(特殊文字でリンクが切れる不具合を修正)
ttp://sageuploader.if.land.to/cgi-bin/1upload/src/sage1_11034.zip.html

>>106
修正版出すたびに消してるんだゴメンね
つーか自分で使ってて思うが重いな
349192.168.0.774:2009/05/20(水) 08:33:43 ID:sZhH7nL9O
>>340
でもニコって今のところ安全だよね?見たくないのは個人的な理由じゃないかなぁ
350192.168.0.774:2009/05/20(水) 08:35:23 ID:LcGpLNBl0
javascript関連とかではなくて?
351192.168.0.774:2009/05/20(水) 08:41:28 ID:+jKg3rEY0
おそらくニコニコはつい見たくなってしまうから
色々な機能を無効にしたら見られなくて
ちょうどいいかもって事だと思う
ニコが感染してたら今頃祭りになってるよ
352192.168.0.774:2009/05/20(水) 09:00:34 ID:WEhQE81R0
あ、そういうことです。
映画みたいな〜でもウイルス怖いな〜ってことです。
vistaなんでたまにjavascript切ったりもするんだけど、
元に戻すの忘れそうになる。
XPの人はくれぐれも元に戻すの忘れないでね。
353192.168.0.774:2009/05/20(水) 09:11:00 ID:WEhQE81R0
↑の文、ちょっとおかしい所あるけどスルーで。
ってかもう私をNGにして良いよ、情弱で何の役にもたたんし。
354192.168.0.774:2009/05/20(水) 09:15:17 ID:4tpidt6L0
888 名前:882[sage] 投稿日:2009/05/02(土) 23:29:26
>>887
手動でやるのは無理なので、こういうサイトを利用するのでし。
 ttp://www.broadband-xp.com/hidesource/escape.html

今回のだと、ソースの中のunescapeの部分に注目して、あとreplase部分から@→%の置換があることに当たりを付けて、
1) unescape関数の中身('@〜'まで)をテキストエディタにコピー
2) エディタ上で@を%に置換
3) 置換後のテキストを、上記のサイトの右側の欄に貼り付け
4) unescape関数でデコード のボタンを押す

そうすると、左側に元のスクリプトが表示されます。今回のだと、前の方でOS判定をやって、
最後の所で src=//gumblar.cn/〜 でマルウェアを落とすようになっていることがわかるのです。
355192.168.0.774:2009/05/20(水) 09:25:34 ID:3AyqX3JgO
Adobe立ち上げて最新にしようと思ったら
何か繋がらないんだが
356192.168.0.774:2009/05/20(水) 09:26:30 ID:CAKwEAQW0
GENOってサイトの改ざん以外にも感染者からのhtmlメールで広まる可能性はないのかな?
357192.168.0.774:2009/05/20(水) 09:30:34 ID:JHakHpmS0
ますます巧妙化するJSRedir-Rの攻撃手法
ttp://www.itmedia.co.jp/enterprise/articles/0905/20/news021.html
358192.168.0.774:2009/05/20(水) 09:43:35 ID:Y85m4WPX0
>>355
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-051900-3410-99&tabid=2
It blocks access to Web sites containing the following strings:

* clamav
* mbam
* mcafee
* miekiemoes
* prevx

It also blocks access to sites whose domains start with the following strings:

* Adob
* AVG
* AVPU
* CAUp
* COMO
* Enig
* ESS
* LIVE
* Live
* McHT
* NOD3
* Nort
* Pand
* SpyS
* SUPE
* Sy
* TMUF
359192.168.0.774:2009/05/20(水) 09:48:48 ID:NRgvuWml0
>>355
昨日からそう
アクセス高いせいか何かしているのか何かされているのかわからん
360192.168.0.774:2009/05/20(水) 09:52:20 ID:jR3tNl680
===現時点で、検出可否スレに報告のあった検体の検出結果まとめ===

ダウンロードされてくるexeやPDF、swfがメインです。
HTMLに埋めこまれているjavascriptについてもある程度入っています…が、バリエーション不足気味。

ダウンロードされたものが生成し、次を作ったら自分を消す活動中のマルウェア本体については、
殆ど含まれていませんので、あくまでも、ダウンロードした段階(発動前)に検知できるかどうかの
参考情報としてください。


BitDefender
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/27

Rising(スルー多め?)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/29

AntiVir
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/30

カスペ
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/31

a-squared4.5(Ikarus)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/32

F-Secure
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/35
>htmlがすべて嫌疑という結果(本体の検出率は報告なし?)

Avast!
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/54
361192.168.0.774:2009/05/20(水) 09:53:15 ID:jR3tNl680
追記:この結果に関するコメントなどは、向こうのスレに付けないようにお願いします。
    検出可否報告の邪魔になってしまいますので。
362192.168.0.774:2009/05/20(水) 09:54:29 ID:Rzp+oa8l0
早く対策見つけろよ。
363192.168.0.774:2009/05/20(水) 09:57:35 ID:itRwK9Cw0
今のところ最新にしとけば大丈夫でしょ
364192.168.0.774:2009/05/20(水) 10:01:11 ID:JHakHpmS0
>>359
普通につながるよ
365192.168.0.774:2009/05/20(水) 10:10:15 ID:oikiBFOj0
Gnomeさんによると、
366192.168.0.774:2009/05/20(水) 10:13:01 ID:d9q6yzsk0
>>355
昨日は一時的に繋がらない時間が5分ほどあったかも
まぁすごい確率だが・・

それにしてもまだどこも検知しかできないってのは心細いね
問題になりだした頃からあわててAdobeを最新版にしたり火狐にNoscriptいれたりしたけど
その前にはいられてないという保証もない


正直Aviraがすぐに駆除できるようになると甘くみてた
367192.168.0.774:2009/05/20(水) 10:22:40 ID:rFolQdYM0
ゆうののページはとりあえず対応したみたい。
掲示板でも連絡入ってるし。
368192.168.0.774:2009/05/20(水) 10:35:17 ID:jR3tNl680
現時点で、検出可否スレに報告のあった検体の検出結果まとめ(改)

ダウンロードされてくるexeやPDF、swfがメインです。
それが生成し、次を作ったら自分を消す活動中のマルウェア本体については、
殆ど含まれていませんので、あくまでも、ダウンロードした段階(発動前)に
検知できるかどうかの参考情報としてください。

BitDefender
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/27

Rising(スルー多め?)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/29

AntiVir
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/30

カスペ
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/31

a-squared4.5(Ikarus)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/32

Avast!
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/54

PCプロテクションプラス(F-Secure)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/55

追記:この結果に関するコメントなどは、向こうのスレに付けないようにお願いします。
    検出可否報告の邪魔になってしまいますので。
369192.168.0.774:2009/05/20(水) 10:40:05 ID:PDwZRmDu0
>>366
つーかAviraが検知止まりな時点で他が駆除できるとは思えん。
まぁ非営利と違って法人は責任の度合いが違うから比べることはできんけど

いつになったら駆除してくれるソフトが出るやら
370192.168.0.774:2009/05/20(水) 10:43:25 ID:09M//FmE0
まだ未潜伏PCの奴は今の状態のCドライブイメージ作っとけ
復旧が楽になるぞ
371192.168.0.774:2009/05/20(水) 11:01:40 ID:U/ib10jF0
やっと追いついた。
テンプレの対策のとこだが、アドベを最新版にの他に
「IEを8にする」ってのはいらないのか?
まあWindowsUpdateを最新版にしたらIEも8になるはずだけど。
GENOは偽装画像とかMIMEもあるんだろ。
で、その穴はIE8で塞いでてそれ以前のはアウアウって前スレで見た気がするんだが

俺のブクマしてるサイト、IE6じゃないとほとんど見れない。
IE8は勿論、火狐ですらろくにみれねぇよ。
372192.168.0.774:2009/05/20(水) 11:02:46 ID:AJ3aG7Rj0
Aviraでスキャン、感染なし
sqlsodbc.chm確認
レジストリも汚れてない
多分大丈夫なはず、多分。。。
373192.168.0.774:2009/05/20(水) 11:04:29 ID:c+qIXrE10
>>345
うわっ。 全然思いつかなかった。 こりゃ自分で分かると結構嬉しいかもな。
数年前だけど、自作PC版で青筆って何だと気にかけながら、ある日Aopenだと分かった日にはバイト仲間と爆笑した。

>>349-352
なるほどです。
>ニコ動見たくならなくて を ニコ動のようにならなくて  だと解釈しちゃた。


■■■これより下、 >>8にないもので、感染報告があったリストです■■■
スレ1と途中までとこのスレしか読んでいないので、スレ2あたりでクリーンになったサイトがあったらゴメン(教えてください)。
----------これ以下 前々スレにあがっていたサイト---------
■Name: ukokkei.co.jp
Address: 219.99.160.160
↑オレには何故か分からないけど、逆にIPアドレスから検索すると別のドメインがヒットしてしまいます。

■Name: seibidoshuppan.co.jp
Address: 202.212.220.47

374192.168.0.774:2009/05/20(水) 11:04:38 ID:oikiBFOj0
AviraでWindows System scanをしたのかな?
375192.168.0.774:2009/05/20(水) 11:05:58 ID:c+qIXrE10
----------これ以下UNDERFORGE OF LACK さんブログ より---------
■findyourbigwhy.cn
Name: findyourbigwhy.cn
Address: 72.47.253.37

↑同一IP↓

■bigtopsuper.cn
Name: bigtopsuper.cn
Address: 72.47.253.37

■sv172.lolipop.jp
Name: sv172.lolipop.jp
Address: 202.222.31.161

■Name: sv11.chicappa.jp
Address: 219.94.144.45

■p09ns7.puretopure.jp
Name: p09ns7.puretopure.jp
Address: 124.211.27.74

■??
213.0.0.0-213.25.255.255 213.0.0.0/8
↑UNDERFORGE OF LACK G'nome さんブログでこの範囲を
シマンテックが塞いでいそう とあったので。

----------これ以下、>>94さんのサイトであがっていたもの------------
■hXXp://4891919.com/0766262525/
Official Name: 4891919.com
IP address: 113.34.82.44
↑こういうwwwなしのアドレスって短縮URLの一種なの?
4891919.comでnslookupしただけだから、アドレス違うかも。

■hXXp://WWW.first-hair.co.jp/
Official Name: first-hair.co.jp
IP address: 203.174.67.192

■hXXp://WWW.k-q-bury.com/
Official Name: k-q-bury.com
IP address: 208.67.219.132

以上となります。 
あと、上で書いた疑問点、分かる人がいたら教えてください。
376192.168.0.774:2009/05/20(水) 11:09:03 ID:oikiBFOj0
Begin scan in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!

Aviraでのスキャンでは警告(これ)だけだわ。
377192.168.0.774:2009/05/20(水) 11:10:22 ID:WTV4CtCT0
>>368
各メーカーごとの呼び名のまとめってある?
378192.168.0.774:2009/05/20(水) 11:12:48 ID:4tpidt6L0
>>377
865 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/20(水) 10:17:12
GENOが改ざんされた日に対応した企業
a-squared    4.0.0.101  Trojan.Agent!IK
AhnLab-V3    5.0.0.2   Win-Trojan/Agent.18944.JQ
AntiVir     7.9.0.138  TR/Agent.caaj.B
Avast      4.8.1335.0  Win32:Trojan-gen {Other}
AVG       8.5.0.285  Delf.JTL
CAT-QuickHeal  10.00    Trojan.Agent.IRC
eTrust-Vet   31.6.6450  Win32/SillyDl.HDU
Fortinet    3.117.0.0  PossibleThreat
GData      19      Win32:Trojan-gen {Other}
Ikarus     T3.1.1.49.0 Trojan.Agent
K7AntiVirus   7.10.698   Trojan.Win32.Malware.1
McAfee+Artemis 5580     Generic!Artemis
McAfee-GW-Edition 6.7.6   Trojan.PSW.Delf.AB
NOD32      4000     a variant of Win32/Delf.OEX
Prevx1     V2      High Risk Cloaked Malware
Kaspersky    7.0.0.125  - (←遅れて対応)
379192.168.0.774:2009/05/20(水) 11:15:33 ID:jR3tNl680
>>377
自分でやってくれ。
380192.168.0.774:2009/05/20(水) 11:17:56 ID:QmrdTa+h0
>>373
上は白
下は真っ黒

>>374
1番目 たぶん白
2番目 おそらく白
3番目 403
4番目 403
5番目 黒い

------から下
1番目 白だと思われる
2番目 おそらく白
3番目 ガチ黒
381192.168.0.774:2009/05/20(水) 11:18:42 ID:QmrdTa+h0
>>380>>374安価は>>375宛ね
382192.168.0.774:2009/05/20(水) 11:18:51 ID:jR3tNl680
>>373
うこっけい : 対応中との連絡あり。誠実にやってそうな返答でした。
せいびどう : レンタルサーバー業者側から報告してもらって対策中との返答あり。

どちらも対応完了したかまでの追跡調査はしていません。(そこまで暇じゃない)
383192.168.0.774:2009/05/20(水) 11:26:21 ID:JGj8k92f0
hostsはやった、>>8のIPは送信も受信も作って両方拒否にすればいいんだよな?
バスターなんだが例外ルールのプログラムのほうは何もしなくていいんだろか
384192.168.0.774:2009/05/20(水) 11:35:35 ID:c+qIXrE10
>>380-382
さっそくありがとう!
お手数おかけしました。
403は対応中ってことだね多分。


>>383
バスター使ったこと無いけど、多分ダメ。
多分、どこのソフトでも一緒だと思う。

ぐぐったら、一番上がウィルスバスター2006だった。
http://esupport.trendmicro.co.jp/Pages/JP-211895.aspx
の一番下。

注意:
  除外設定に、トロイの木馬が使用するプロトコルとポート番号を設定した
  場合については、トロイの木馬アタックを防ぐことができません。
  除外設定の追加に関してましては、お客様の自己責任で行ってください。

2009での[例外ルール]登録方法。
http://esupport.trendmicro.co.jp/Pages/JP-2063930.aspx
385192.168.0.774:2009/05/20(水) 11:40:09 ID:B9jl3C350
>>384
横からだが

ほんとですねえ
まとめさいとに危険IPぶちこんでおけとあったので実行しましたが、かえってまずいんだろうか

バスター側の対応がまだの場合は多少意味があるけど、
バスターが完全対応後(んなもんできるか?ですが)はかえって邪魔ということですかね
386192.168.0.774:2009/05/20(水) 11:43:30 ID:KP1HG3r+P
毎日こんなに必死になるならサクッと毎日リカバリーした方が気が楽だな。
387192.168.0.774:2009/05/20(水) 11:48:40 ID:XBpnZe2H0
HDDが死ぬぞw
388192.168.0.774:2009/05/20(水) 11:50:31 ID:09M//FmE0
その程度で死にゃしない。ネカフェのPCなんてそんなモンだし。
389192.168.0.774:2009/05/20(水) 11:51:01 ID:W27vRGG90
>>373
> オレには何故か分からないけど、逆にIPアドレスから検索すると別のドメインがヒットしてしまいます。
それ、バーチャルホスト
HTTPの通信は、クライアントがサーバに繋げた後、クライアントがサーバに対して「○○鯖のhtmlくれ」って指定するので、
その指定を見てディレクトリを切り替えるようにすると、一つのIPで複数のコンテンツ・企業の収容ができる。
レンタルwebでは結構一般的。
390192.168.0.774:2009/05/20(水) 11:55:17 ID:pZWqCaMCP
感染したかどうか簡単に判別できるウィルスと判別が難しいウィルスを同時期に配布して時間差であぼんとかあると映画っぽくて面白いよね
391192.168.0.774:2009/05/20(水) 11:58:50 ID:JGj8k92f0
>>384
げ、まじか。IP入れるの地味に時間かかるのにそんな・・・
わざわざググってくれてありがとう

除外設定は拒否にしといてもアタック防げないんだろうか?
早くなんとかしてくれよバスター

例外ルール、プログラムの方にIEがあって許可になってるけど
これはIE使わなければ問題ないのかな?
392192.168.0.774:2009/05/20(水) 12:10:56 ID:c+qIXrE10
>>385 >>391
自分で危険IPをブロックするのは、何も問題ないのでは?
バスター側がフィッシングサイトリストか何かで対応しても、それは変わらないでしょ。

>>384 はブロックIPアドレス よりも 例外ルールの方が高い優先順位で動くって意味。
こっちのページの方が分かりやすかった。
http://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
単に例外ルールを作らなきゃいいんじゃないの?

それか、例外ルールにIPアドレスを指定しない選択肢があると思う。
Kaspersky だと接続先IPアドレスではなく接続先ポートを指定したり(デフォルト)できる。
不安なら、安全が確認されているサイトで ちゃんとブロックしてくれるか確認すればいいよ。
平日だしサポートに訊くのが一番確実だと思うけど。

>>386
http://www.microsoft.com/japan/windows/products/winfamily/sharedaccess/default.mspx
なんか機能が増えているっぽい。

>>389
はぁ、そうなんだぁ。
身近なものに例えると、バーチャルホストってのが グローバルIPを持つBBルーターで 
閲覧したかったサイトは そのルーターを親に持つ複数PCのうちのひとつ みたいな感じかな ?

>>390
ウィルス作者、攻撃者がそのつもりで、全て織り込み済みで計画を遂行していたとしても、
うちらは「新しい亜種」としか受け止めない気がする・・・。
最近は「亜種」なんて言葉の1/4くらいはセキュリティーベンダーの言い訳な気がするよ。
393192.168.0.774:2009/05/20(水) 12:23:25 ID:c+qIXrE10
>>391
>IP入れるの地味に時間かかるのにそんな・・・

ちょっと脱線するけど、Kaspersky7もGUIがウンコで非常に登録しづらい。
ひとつのアドレスをブロックするのに、何回 カーソルキーとマウスを往復させるんだ!と。
しかも全て1行で記述されるし、コピペも3ケタ(8ビット)ずつという・・・。

だけど、ブロック設定ファイルをXML形式で吐けるから、適当に4つくらいウンコGUIで登録してXMLでエクスポート→
XMLの記述規則を予想して直接編集 → カスペへインポート。 これでうまくいった。
バスターも ブロックリストのファイルを吐けるなら、そっちをいじる方が楽かもしれない。

ここで人気のPeerGuardian2とかは、編集楽なのかね?
394192.168.0.774:2009/05/20(水) 12:36:30 ID:K0IkMjEk0
ふと思ったが改変されるファイルを改変される前に読み取り専用にしておいて
新たに作成されるファイルのダミーをあらかじめ作っておいて読み取り専用にしておくとかすれば…
395192.168.0.774:2009/05/20(水) 12:38:17 ID:az+LoDj80
これってセーフモードでも活動するのな
仮想PCでセーフモード起動してAviraでスキャンすると検知して削除はするんだが
すぐ復活して、exe ファイル 捨てたい状態になった
396192.168.0.774:2009/05/20(水) 12:41:56 ID:jR3tNl680
>>384
それは、ブロックの設定しても、除外設定の方が優先されるので、除外設定したものについては
ブロック範囲でも抜けてきますよという説明。
397192.168.0.774:2009/05/20(水) 12:43:17 ID:JGj8k92f0
正直よくわからずにやっている部分もあるんだが・・・
テストとして安全なサイトを例外ルール(プロコトル)で送信も受信も拒否して
例外ルール(プログラム)で許可ってなってるIEを使って見たら表示できませんと出た
Operaも空白ページのまま。ブロックされてるってことか
398192.168.0.774:2009/05/20(水) 12:46:41 ID:yieABIr80
>>395
それってXPの「システムの復元」が効いてるのではなくて?
399192.168.0.774:2009/05/20(水) 12:49:12 ID:2SrakoEj0
martuz活動してないし収束かな?
結局何集めてたか良く分からんかったが
400192.168.0.774:2009/05/20(水) 12:52:05 ID:az+LoDj80
>>398
regedit開こうとするとエクスプローラー再起動されてしまうから活動してるみたい
401192.168.0.774:2009/05/20(水) 12:53:27 ID:Gfino0nB0
>>399
好きな方選べw

・次の本体鯖ができる
・次の攻撃セットが登場する
402192.168.0.774:2009/05/20(水) 12:54:51 ID:PONxI9jf0
>>401
両方だろうな

403192.168.0.774:2009/05/20(水) 12:56:17 ID:itRwK9Cw0
ここまで有名になったしそろそろ休んで欲しいな
404192.168.0.774:2009/05/20(水) 12:56:24 ID:Y85m4WPX0
>>400
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
に書かれているファイルが駆除されてないんじゃない?
405192.168.0.774:2009/05/20(水) 12:58:53 ID:4oKtEBgc0
            ,rュ、__
           fヽ、〕   ``丶 、
         辷_|       `丶、
         (_-‐!             ヽ、_ _
          r'二!         ´      ̄ >ー ' ´  ̄   ̄  ー - ._
.          )-、{        _ __ _                 __,z‐マ¬n
         (_>}    ,ィ7丁//////7t-、__         ,r<\ソ^trヘ.}
         ヽュ,廴.ィ斥r'^ー'⌒ー'⌒ー'⌒ーく/ ハ.__      ,r'こ>'⌒′ ハ、丿
          に匁チ‐'".:.:;:.:.:.:;.:.:.:.;': : ;': : : : :└く } }ト、  rく\ 丿     /ーf´
         ,ィ夕'".;:;:';:::::;:': : ;:': ::〃::/:: : : :/:::i: : :`y' ∧く.`Y⌒´     ∠^Y
        //〃.::;:'/;'::::/ : :/::::://:://! ::::::i:!:::|:!:::::::`ーj^ァ_>′     ∠ヽ_ソ
         `Y!:j .::::i::l:j::,::l: : j :::::jl !){eval(unescape(('(/ h   , -o-< ヽ`〈
          { :{ ::::l::i::!:i::j::! :! ::::li l::::|l:j !:::::::|:l::::l:|::i:::::i::::`j〈_//仆、 \>‐'
        ゙!:|:::::|::l::|:l::l:;l斗:::‐!| |:::li| l::::::十!‐+|::_l:::li::::/,小、{_イ^| ト、ヽ,)
        /ハ:::::!::l::l:{::!::l:::! ::::l:| |:::li('%')))})(/./g);トl:l└vオ  l |/| ゙Y
        / ハ::::!::!:l:|::!゙y,ァネ宀、` ヾヾヽ ,ァ7=!t、:l::|:l:i (勹 j j/}| |
         / /  ヾミ:l::|ヾYオ゙h ::::::}      1i .::::ヽ!:|:li と,フ / !Y::| |
        ヽ/    l`:::`:l|:i ビ_''ツ       ト!、:;;;;::リト川(イリ/ /i::i:l:| |
               |:: ::j:!:kXxx  .     `ー--'/,';!::!j゙Y,/ /::|::i:|:| |
              |:: :l:l:ilヽ、   、     xXxx//// }j"lヽ/ :::l::l:|:L_」
               |:: :l:|:l:|:{:{> 、       ,. ァ' /⌒アヶ-<|:: i::::|::l:|l
                | :: :l:|:l:|:}宀<⌒i` ┬ '  ,ィ⌒7‐宀 <,r少t:」::::|::l:|l
             j :: :l:|:l:ノ   ヽ l _/」 ,ィ⌒i 丿    ヾ  」:l:::|::::|l               ,  -― - 、
           ,' ::;:'i'f~ ヽ、  ゙!ノ ノ,〃fーケ′      ゙{ ̄ {:l::|::::l:l、            /        \
           / :;:'/j) 、  )ー' ` 7/ヒ ^Y′        ヒ二 Y::|::::l::li          /              ヽ
            /::;:'/:;に._>r',rュ、__,//,f'^ン′ !       L.__了::l::::|::l:i、       /       , '´  ̄`ヽ、__ノ
.          /:;:'/::;r'メ-{ ̄Y^y-‐‐f゙ }ノ{  ヽl      ト、 `)!| ::|::l::l      /     /
          l::;'/::;〆  ,ンーヵヘ、__」 ,K‐ )  ゙!      |/`y{ |::| ::|::|::|     /       /
            レ/〆  /  / j   | | l に(   l      |ヽj | l:::| ::|::|::|    /    /
            ヒY    \_,/ {__」 ゙!{ ト、_}   l       !'´//j リ !j }l/     !     /
           ヒt.              Y__丿   l     |〃/ / 〃/     |    l
          込             ヒ_ )    ノ!       ! / /   /     |    |
           `心_          ヽ-} _/ ,ハ      l            |    |
                  `‐n 、 _    _ _ }'う「   / _!     ト、          |    |
                {┤=‐    ニー- jニ) /‐'"__!    t/         l    l
                    爿       ̄}‐( \ヒニ-‐!    l        ,!     j
                   け ニ=-     __」>f -に_ー- l      l       /    /
               〈j、       ̄ 斗、上"{ \`ヽ.l      l       /    /
              (ア! 丶    ´  Y _/ \ \ ハ     l      /    /
                 (ノ !       八__)、   \ ヽヘ   |     /    /
406192.168.0.774:2009/05/20(水) 13:02:00 ID:az+LoDj80
>>404
〜\Drivers32\のauxを手動で削除して再起動すると復活しなくなりました
407192.168.0.774:2009/05/20(水) 13:03:41 ID:yieABIr80
>>405
やめなよ、さり気なくコード混ぜるの。

>>406
Aviraでちゃんと駆除できてないなら面倒だね。
今のうちは手動駆除が確実なのかな。
408192.168.0.774:2009/05/20(水) 13:04:20 ID:2SrakoEj0
>>401
これ以上やってもドメイン潰すだけでメリットがあると思えんけどな
広がるのが早過ぎたし
409192.168.0.774:2009/05/20(水) 13:06:37 ID:JGj8k92f0
バスターで例外ルール入れていったら上限数に達してしまった
まだ全部入れ終わってねえよおい・・・
410192.168.0.774:2009/05/20(水) 13:08:29 ID:PONxI9jf0
新たな攻撃セットはアンチウイルスソフトではたぶん防げないだろうし
本体鯖もIPアドレスプロックリスト外だと防げない
411192.168.0.774:2009/05/20(水) 13:10:38 ID:g3NLPSp20
>>408
週末のライブラリUpdate鈍化と重なって拡散が大きくなった気がする。
てか、ウィルス作ったヤツは「もっとみんなAdobe製品のUpdateしてるかと思った」
…とか言いそうだなw
412192.168.0.774:2009/05/20(水) 13:11:41 ID:B9jl3C350
>>409
俺も俺もww
もう諦めた
hostsにドメインはいくつか突っ込んだし
413192.168.0.774:2009/05/20(水) 13:12:35 ID:JGj8k92f0
上限行ってしまった俺にはもう何も出来ないのか・・・
いっそバスターから乗り換えるかね。話が出ない辺り他のAVは上限大丈夫なのか?
414192.168.0.774:2009/05/20(水) 13:16:51 ID:JGj8k92f0
>>412
やっぱ上限行くんだな
一緒に泣くかw
415192.168.0.774:2009/05/20(水) 13:17:08 ID:PONxI9jf0
>>413
おれのルータFWはほぼ無制限
バスターの上限は噂で100と効いたけれど実際はどうですか
416192.168.0.774:2009/05/20(水) 13:17:17 ID:2SrakoEj0
>>411
バッチファイルの終了に失敗してなかったらもっと広がってたかもな
417192.168.0.774:2009/05/20(水) 13:25:21 ID:JGj8k92f0
>>415
噂と聞いて数えたら100でした。ちなみに2009ね
あと5つだっていうのにちょっとくらい融通利かせてほしいもんだわ
418192.168.0.774:2009/05/20(水) 13:28:25 ID:c+qIXrE10
オレも >>396さんと解釈は一致していて、そのつもりで書いたんだけど、どこから齟齬が生じたか分かった !

てっきり >>383の >バスターなんだが例外ルールのプログラムのほうは何もしなくていいんだろか を
「IEなどの登録済みの例外ルールを見直さなくていいのだろうか?」 と受け止めたんだ。
ひょっとして、まだ誤解してる ?!


>>397
ブロックされているっぽいね。
プログラムの例外ルールよりもプロトコルの例外ルールの方が優先されるってことかな。
それを確かめるには、
プロトコルで(安全な)サイトのIPアドレスをブロック指定した今のままの状態で
プログラムのIEルールなどで同じIPアドレスを許可設定。
これでそのサイトが見れなければ、プロトコルでブロックしてりゃプログラムで許可しちゃってても遮断してくれるといえそう。

カスペ7だと、ルールにかかったサイトをブロックしたらポップアップ通知してくれたり、
イベントログにも記録が残るから分かりやすいんだけどね。

>>413
プロトコルのひとつの例外ルール(遮断)に、複数のIPアドレス範囲を登録できないの?
あと、プロトコル例外ルール同士に矛盾がある場合、どういう挙動をとるかもチェック。
普通はルール一覧のより上位にあるものを優先するはずだけど(ルーターとかもそうだよね)。

>>411
確かに。 オレもこの一件でいまだに98SE使ったり、セキュリティーソフトなしでネットしている人がこんなにいると知ったよ。

あと、これまでは VirusTotalにかけたフリーソフトなんかが ちょっとくらい黒を出しても
マイナーベンダーなら「誤検知だろう」で済ませてたけど、それももうなくなると思う。
419192.168.0.774:2009/05/20(水) 13:35:05 ID:c+qIXrE10
http://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
一番下の絵では、一つのルールで任意の複数ポートを指定しているけど、同じようにIPアドレスもできない?

できなきゃ、ブロック範囲をざっくりまとめちゃうとか

>>8 の 上のほう。

61.139.0.0 - 61.139.127.255 61.139.0.0/17
61.219.39.0 - 61.219.39.255 61.219.39.0/24
61.235.117.0 - 61.235.117.255 61.235.117.0/24
61.237.236.0 - 61.237.236.255 61.237.236.0/24

61.139.0.0 - 61.237.236.255
420192.168.0.774:2009/05/20(水) 13:38:06 ID:EE0bhUpL0
もうさ
セキュリティ板の該当スレ池よ
421192.168.0.774:2009/05/20(水) 13:41:20 ID:8zYIOUdW0
セキュ板の方は大荒れで見てられん('A`)

で、PeerGuardianてやっぱり必要?
422192.168.0.774:2009/05/20(水) 13:42:25 ID:JGj8k92f0
>>383だけど、もしかして俺の書き方が悪かったせいなんだろうか?すまん
俺は>>418の受け止めた通りの意味と思って書いたよ
IEを許可するルールが最初から入ってたけど、何もしなくて大丈夫なのかと思って
そしてまた申し訳ないんだが、IPが複数で出来るかはわからなかった
とりあえずアドバイス通り範囲でまとめてみるよ

基礎知識のなさを痛感したから勉強してくるわ
423192.168.0.774:2009/05/20(水) 13:44:25 ID:jR3tNl680
なんで、PG2を使わないんだ…と素朴な疑問。バスターと衝突するんだっけ?
424192.168.0.774:2009/05/20(水) 13:52:57 ID:8zYIOUdW0
>>423
今までバスター使ってたけど今回の騒ぎでAvastに乗り換えたんだ
でも情弱だからバスター以外のAVなんてノートンくらいしか知らなくて
勝手が分からずおろおろしてた所

バスターには標準でFWが積んであったけどAvastには積んでないみたいだから
このスレで推薦されてるPeerGuardian(2)を導入した方がいいのかなーと思った
425192.168.0.774:2009/05/20(水) 13:54:06 ID:/NTCsm6E0
もうバスタースレでやるかサポートに聞けよん
426192.168.0.774:2009/05/20(水) 13:58:10 ID:8CXmPFPB0
火狐でAdobeのサイトにつながらない・・・ナニコレ
427192.168.0.774:2009/05/20(水) 13:58:17 ID:R2c9m6Og0
なんかいっきにスレのレベルが下がったな
428192.168.0.774:2009/05/20(水) 13:59:58 ID:ApI0cRafP
高レベルの昼寝の時間だから
429192.168.0.774:2009/05/20(水) 14:00:22 ID:Y85m4WPX0
>>426
感染してるんじゃない?

>>358
430192.168.0.774:2009/05/20(水) 14:00:39 ID:FgjBeHIpO
平日の昼間に何言ってるんだお前は
431192.168.0.774:2009/05/20(水) 14:09:43 ID:Tu9ykz6p0
偽装画像ってさ、EXEをJPGなんかの拡張子に変えただけなんだよね?


・・・だったら拡張子と中身が合致しないと解釈(動作)できないように
ブラウザなりOSなりがなればいいのにね。
432192.168.0.774:2009/05/20(水) 14:10:48 ID:2SrakoEj0
martuzにping打っても到達できねー
完全死亡
433192.168.0.774:2009/05/20(水) 14:11:31 ID:QmrdTa+h0
それがIEの「拡張子に合わせた云々〜」を外した設定
というかこれ入れてるとJPGなんて見れない
434192.168.0.774:2009/05/20(水) 14:14:23 ID:oikiBFOj0
>>411
ウイルス作者って、そんな人間味のあるやつだとは思えないんだよね
435192.168.0.774:2009/05/20(水) 14:20:02 ID:TufnB3430
アリスリデルとか見ても分かるけどハッカーって結構社交性が高かったりする
436192.168.0.774:2009/05/20(水) 14:24:00 ID:Tu9ykz6p0
>>433
うん??
拡張子でなく内容によって・・・だったら(当方IE6 タブブラウザ嫌いだから7も8も嫌)
有効・・・MIMEーTypeを無視してファイルの内容によって開く
無効・・・MIME-Typeに従う。拡張子に従うのではない

MIME-TYPE無視して、ファイルの中身参照ではなく、拡張子に従えばいいのにね、と・・・
437192.168.0.774:2009/05/20(水) 14:27:22 ID:QmrdTa+h0
そういうことか
勘違いしてたわ、すまん
438192.168.0.774:2009/05/20(水) 14:32:38 ID:ApI0cRafP
“PC界の豚インフル”「GENOウイルス」とは? 名前の由来から対策までリストアップ
RBB Today -

PDF ...JPCERT/CC、「GENO」ウイルスに対して注意喚起 〜 サイト閲覧するだけで感染
RBB Today -

水際対策とマスクで考える 新型インフルエンザのセキュリティ対策
nikkei BPnet
tp://news.google.co.jp/news/search?pz=1&ned=jp&hl=ja&q=GENO&cf=all&scoring=d
439192.168.0.774:2009/05/20(水) 14:40:22 ID:mJYdbJ/C0
>>435
あいつは社交性じゃなくて気違いのカマッテちゃんだ
本当の気違いが普通の顔をして話しかけてくる恐怖を俺は当時見た
440192.168.0.774:2009/05/20(水) 14:42:22 ID:KqzS4H+30
>>424
おとなしくバスターにもどればおk
441192.168.0.774:2009/05/20(水) 14:45:01 ID:L8BQuqXW0
もう彼はFW探しの旅に出たよ
442192.168.0.774:2009/05/20(水) 14:45:15 ID:9JR+TAUd0
>>415   おれのルータFWはほぼ無制限

何処の物を使ってますか?
自分の物は5年前の物で、
64エントリしか無いので
買い換えの参考にできれば型番もお願いします。
443192.168.0.774:2009/05/20(水) 15:00:15 ID:c+qIXrE10
>>428
笑った。
仕事じゃなくて、昼寝とな !!

>>424
ノートンをデモじゃなくて、もう買ったなら別だけど、
あまり自信ないなら、バスターのままがいいんじゃないかい?
公式サポートもあるし、avastを信頼しすぎるのもいかがかと。

>>423さんがいうように
バスターAV+パスターFW+PG2(アドレスブロック専用)が良い気がする。

フツーの人は、古いFlashとAdobeReaderの脆弱性をアップデートで消して、
アドレスブロックもせずにjsオンのまま、今までどおりにweb閲覧していると思うけどね。
現在のGENOウイルスに対しては、それで感染を免れるんだし。


---------
>>442
Kasperskyもおそらく無制限。
ただ、FWルールを沢山つくったら、重くなって通常のウェブサイトから応答までのタイムラグ増大。
ときどきFirefoxが応答なしと判断してエラーになる。


ところで、GENOのトップページが見られないんだけど俺だけ?(GENOサイトはブロックしていない)
ところどころ見られるページはある。
お詫びをまた掲載しているってんで、見ようと思ったんだが・・・。
444192.168.0.774:2009/05/20(水) 15:03:44 ID:jRrP/UYV0
普通にどっちも見れるけど?
ttp://www.geno-web.jp/
ttp://www.geno.co.jp/
445192.168.0.774:2009/05/20(水) 15:04:10 ID:FGZmMFRi0
ターゲットが同人サイトだからな
ウイルス作者は相当しょぼい奴だろ
446192.168.0.774:2009/05/20(水) 15:05:18 ID:RbmuMclk0
>ターゲットが同人サイトだからな
情弱かVIPPERか
447192.168.0.774:2009/05/20(水) 15:05:32 ID:Ih4xbAJR0
またお前かセキュ板へ帰れ
448192.168.0.774:2009/05/20(水) 15:06:14 ID:8zYIOUdW0
>>443
なるほど…バスターはもうアンインスコしてしまったけど
今回の件で色々勉強になった。みんなありがとう

ちなみに今はAvast+Outpost2009(無料)+PG2で運用中。
Flashはとっくに最新版にしてるしReaderはそもそも入れてない。
ブラウザもFirefoxにしてNoScript導入したよ
あとは不用意に出歩かないようにする
449192.168.0.774:2009/05/20(水) 15:06:24 ID:XHayZzcoP
>>445
www
450192.168.0.774:2009/05/20(水) 15:11:28 ID:jR3tNl680
>>448
最後の1行はなんかちげーw
451192.168.0.774:2009/05/20(水) 15:12:00 ID:KqzS4H+30
>>448
基本的には使い慣れてるソフトでおkなのよ
別メーカーのセキュリティソフトを入れなおすと不具合がでることも
たまにあったりするし(自社製品以外のインストールテストはだいたい手薄)

Readerはメーカー製PCだと勝手に入ってることがあるから
自分で入れてなくても確認したほうが良いよ
452192.168.0.774:2009/05/20(水) 15:12:43 ID:KqzS4H+30
>>445
同人板へ帰ってください
セキュ板へは来ないでください
453192.168.0.774:2009/05/20(水) 15:16:39 ID:Y85m4WPX0
FWの他にさらにPG2入れるのってなんか意味あるの?
ルールが作りやすいとか?
454192.168.0.774:2009/05/20(水) 15:17:54 ID:8zYIOUdW0
>>451
そうなのか… 調子こいてた俺が阿呆だったorz

Readerは本当に入ってないよ。
[プログラムの追加と削除]見て確認したからこれだけは間違いない。
455192.168.0.774:2009/05/20(水) 15:19:27 ID:WaT4EVmv0
>>452
>>445はどう見ても同人板の奴じゃなくて同人アンチだろ
456192.168.0.774:2009/05/20(水) 15:21:48 ID:FGZmMFRi0
どうせやるならYahooとかgoogleとか2ちゃん狙えばいいのに
ウイルス作者は同人女にフラれでもしたんじゃねwwww
457192.168.0.774:2009/05/20(水) 15:24:38 ID:ZowZrM9d0
ハッカーじゃねえんだから狙って改竄なんかできねえよ
458192.168.0.774:2009/05/20(水) 15:25:09 ID:KP1HG3r+P
>>444
やっちまったな
459192.168.0.774:2009/05/20(水) 15:33:35 ID:c+qIXrE10
>>453
一番は、設定リストを公開してくれる人がいるから楽ってことで、あとは
気分的にパンツ2枚はいてれば、一枚破れてもセーフ。 みたいな心の安心だと思う。
FW同士なら競合を起こすから2枚壁はできないけどね。

ハードウェアルーターでブロックする方が安定しそうだけど、設定が大変。


>>444
あら、本当だ。 今行ったら見えた。
でも、お詫びはみつけられなかった・・・。
460192.168.0.774:2009/05/20(水) 15:51:18 ID:Wg+5MCsI0
461192.168.0.774:2009/05/20(水) 15:53:15 ID:+TVLL6uwP
怖いウィルスなのに、なんでそれほど騒がれてないの?
462192.168.0.774:2009/05/20(水) 15:57:17 ID:Kc/2yP9tP
>>461
どう怖いの?
463192.168.0.774:2009/05/20(水) 16:02:45 ID:Y85m4WPX0
>>459
やっぱりそういう理由なのか。
俺はパンツ1枚でいいや。ルータレベルでもある程度は弾いてるし、
ソフトウェアで二重にフィルタリングする方がなんか気持ち悪いし、
あちこちメンテするのも面倒に感じる。
464192.168.0.774:2009/05/20(水) 16:12:46 ID:c+qIXrE10
>>460
それだ!
でもどうやってもそこへのリンクが見つけられなかった。

GENOはjsを埋め込まれた理由を外部からの不正アクセスと書いているんだね。
感染者のPCへのダメージや、それにまつわる影響にもまったく興味がなくて、
もう安全だから安心して買い物を続けてくれ って感じだなぁ。

>>463
1パンツ 1ズボンだね。
465192.168.0.774:2009/05/20(水) 16:26:25 ID:n5eYdEeW0
yahoo来ました。

ttp://headlines.yahoo.co.jp/hl?a=20090520-00000011-rbb-sci

良記事ですね。
466192.168.0.774:2009/05/20(水) 16:28:07 ID:n5eYdEeW0
>>462
駆除方法が無い。
467192.168.0.774:2009/05/20(水) 16:28:15 ID:QFDBP7u30
PeerGuardian2教えてくださった方ありがとう!
使いやすい!
468192.168.0.774:2009/05/20(水) 16:30:34 ID:JGasHTdG0
>>467
うらやますぃ
ここのおすすめの、PG2パンツを履いたがスケスケで効果も効いたり効かなかったりで滅茶苦茶だったわ
俺にはどうもPG2パンツは似合わなかったようだ
469192.168.0.774:2009/05/20(水) 16:31:21 ID:+TVLL6uwP
>465
最新のパッチ充てたら重くなった
5年前のPCなんでキツイ
470192.168.0.774:2009/05/20(水) 16:36:41 ID:vUv2HuHmO
やっぱ“GENO”ウィルスという名で紹介されるんだな
面白いな
471192.168.0.774:2009/05/20(水) 16:37:57 ID:n3ZQVbFU0
Doujinウィルスって主張する奴もめっきり減っちゃったなぁw
472192.168.0.774:2009/05/20(水) 16:38:17 ID:JGasHTdG0
PG2パンツはファイル共有厨の御用達のIPプロックソフトなのか
まぁ別なPCでファイル共有するときにでも使ってみるか
473192.168.0.774:2009/05/20(水) 16:41:42 ID:TAg8+1pLO
GENOは名前売れたね
GENOウイルスの対策万全パソコン特価発売中!みたいなジョーク商品を売るくらいの気概あればネ申
474192.168.0.774:2009/05/20(水) 16:42:34 ID:Hi1pg5U/0
鬼ーのパンツはいいぱんつー強いぞー
という歌を思い出したわ
475192.168.0.774:2009/05/20(水) 16:43:06 ID:/W16w99o0
>>472
ネトゲ関係でも垢ハック流行したお陰で(主に中国が多いかな)プレイヤーサイドで対策として
PG2で最初から中国韓国台湾辺りのIP弾いてしまえってのが広がってるね(どーせ中国サイトとか頻繁に見ないだろ?って)
最近は米国やら他の国で中継してくるからおまじない程度の効果でしかないがw
476192.168.0.774:2009/05/20(水) 16:44:17 ID:nD8shvy10
何か皆パンツ連呼しててワロタ
477192.168.0.774:2009/05/20(水) 16:44:38 ID:E0I8CPNa0
>>465
寧ろ遅すぎるぐらいだ
478192.168.0.774:2009/05/20(水) 16:45:13 ID:u9/R+SOA0
PG2は便利だよ
P2Pしてなくても入れる価値は十分ある
479192.168.0.774:2009/05/20(水) 16:45:57 ID:E0I8CPNa0
>>456
ヒント:最初に発見されたのは海外。日本に流れてきたのは大分後
480192.168.0.774:2009/05/20(水) 16:47:22 ID:Tu9ykz6p0
>>465
むしろその下の関連記事に吹いた。

>“PC界の豚インフル”「GENOウイルス」とは?

>>436に関連して
ダブル拡張子による偽装コワイとか何年か前にあったから
ファイル名を右端からサーチしてピリオドで止めると・・・
.jpg.exeでも.exeで認識しちゃうじゃーん とか妄想し(ry
つーわけで頼むぞゲイツ(ry
481192.168.0.774:2009/05/20(水) 16:52:03 ID:JGasHTdG0
>>475 >>478
いろんな使い道があるんだな
別のPCでうまく動いたら良いんだかな・・・
482192.168.0.774:2009/05/20(水) 17:02:34 ID:vUv2HuHmO
この騒ぎもまたまた収まりつつあるね
まぁまた新ドメイン来るだろうからその時にまた騒ぎになるんだろうけどさ
483192.168.0.774:2009/05/20(水) 17:02:50 ID:jRrP/UYV0
すっかり「GENOウイルス」で通ってしまったな
おまけに「GENOウイルス」を「GENO」と略す人も出てきた
最初にもっとまともな対応しときゃよかったのにな……

>>458
GENOのWebサイト自体はもう踏んでも大丈夫だけど……?
484192.168.0.774:2009/05/20(水) 17:05:43 ID:ExDUv3IS0
上でAdobeに繋がらないって言ってた人いたけど、
PG2と一緒に配布してたリストの中にAdobeに繋がらなくなる奴あったよ。
allow、block_list、level1、spywareの四つが入ってて、
その中のlevel1をリストから外したら繋がった。
とりあえずブロックしたいのはGENOウイルス関連のIPだからいいやと思って外しっぱなしにしてあるので
リスト中のどのIPがまずかったのかは解らんけど。
485192.168.0.774:2009/05/20(水) 17:13:38 ID:AXJIltj20
>>465
これでGENOの名前が世界中に知れ渡ったな
おめでとうGENOwww
486192.168.0.774:2009/05/20(水) 17:15:43 ID:jvN9UZmG0
>>485
せめて、GEN○と伏せる優しさが欲しいな。
487192.168.0.774:2009/05/20(水) 17:16:10 ID:QmrdTa+h0
それ伏せれてないよっ!
488192.168.0.774:2009/05/20(水) 17:19:27 ID:AXJIltj20
“PC界の豚インフル”か
ナイス表現だ
489192.168.0.774:2009/05/20(水) 17:25:57 ID:sNGVzUl80
2ちゃんや個人サイト以外でGENOウィルスという名称を聞くと笑えてくるんだがw
490192.168.0.774:2009/05/20(水) 17:27:18 ID:E0I8CPNa0
>>488
こいつらは何のために新型インフルって表現してるのか理解しているのかな?
491192.168.0.774:2009/05/20(水) 17:29:56 ID:AXJIltj20
>>490
九分九厘理解してないだろうな
492192.168.0.774:2009/05/20(水) 17:31:14 ID:+jKg3rEY0
GE○NO
493192.168.0.774:2009/05/20(水) 17:43:23 ID:Tyn+QjHN0
猫インフルだけは勘弁して下さい
494192.168.0.774:2009/05/20(水) 17:49:50 ID:6zA+QUg2O
ボットって不正アクセスの道具にも使われるのか?
ニュースサイトだと不正アクセスによる改竄だったようなので
495192.168.0.774:2009/05/20(水) 17:52:51 ID:E0I8CPNa0
>>30
今まで感染したサイト一つ一つ思い返してみろ?
496192.168.0.774:2009/05/20(水) 18:28:30 ID:emtxr5MX0
>>495
どうした?
497192.168.0.774:2009/05/20(水) 18:34:18 ID:84C2Q9sRO
今、気がついたんだけどレン様萌死とは
FF10-2のレンの事では無いだろうか
498192.168.0.774:2009/05/20(水) 18:59:56 ID:moTV/wYz0
ふぅ、終息に向かったか
499192.168.0.774:2009/05/20(水) 19:03:23 ID:oikiBFOj0
一時期の速い流れは終息に向かいつつあるね。
500192.168.0.774:2009/05/20(水) 19:09:25 ID:5E3Ll2M90
ウイルス対策ソフトは、GEN○駆除できるようになったの?
501192.168.0.774:2009/05/20(水) 19:10:26 ID:u97C8jaci
そう。
俺も4/15位にそう思っていたが、この様だ。
502192.168.0.774:2009/05/20(水) 19:14:21 ID:+LPKnt1X0
>>500
駆除はまだどれもできてない
503192.168.0.774:2009/05/20(水) 19:15:15 ID:5E3Ll2M90
>>502
ありがと。
じゃ、やっぱり収束にはまだ早いか。
504192.168.0.774:2009/05/20(水) 19:33:31 ID:AXJIltj20
>>500
バスターにいたっては駆除どころかブロックすら(ry
505192.168.0.774:2009/05/20(水) 19:34:00 ID:fXTfEgWc0
            rっ             . (.\ブーン
    /⌒ \    │|   ブーン       \\          /⌒ヽ ブーン
⊂二(^ω^ )二二 |/⌒ヽ              \\ /⌒ヽ ニ二( ^ω^)二⊃
   ヽ    |    (^ω^ )            \( ^ω^)  |    /
     ソ       l    _二二二/⌒ヽ ブーン /    ⊂_) ( ヽノ
ブーン ( < \   _/  ⊂二二二( ^ω^ )二二二⊃) ノ    ノ>ノ
     \|\|  (´ ._ノ      ヽ   /     /ノ ̄       レレ
           \\ \     (⌒) |     '´
             レ’\\      ⌒∨
                レ’              VIPからきますた
506192.168.0.774:2009/05/20(水) 19:35:56 ID:5E3Ll2M90
話聞かないけど、Me や 98 は感染しないって事でいいのかな?
2000以上?
507192.168.0.774:2009/05/20(水) 19:40:00 ID:7NqBqHvn0
>>488
ttp://himazin.jp/image/file/33b.jpg
これが豚ですか?
508192.168.0.774:2009/05/20(水) 19:40:52 ID:/W16w99o0
>>506
難読化JSでは弾いてねーから、かかるだろ
もうOSのサポも終った世代だから誰も調べてねーだけで
509192.168.0.774:2009/05/20(水) 19:45:25 ID:4tpidt6L0
>>480
>“PC界の豚インフル”「GENOウイルス」とは?
というタイトルにより、インフルエンザの有名なまとめサイトに紹介されてしまったとさ。
めでたしめでたしw
510192.168.0.774:2009/05/20(水) 19:50:58 ID:AeiKCIrv0
感染自体は少しずつ収まりつつあるけど、終息宣言するには早い罠
駆除が難しくても、せめて他のウイルス並に検知・防御率上がらないと

>>506
油断はできない、sqlsodbc.chmが何処かにないかまずは検索してみれ
511192.168.0.774:2009/05/20(水) 20:18:04 ID:/k5jtqTt0
>>510
検索したけど無いみたい。
MEや98での感染報告無いのが不思議でさ。
512192.168.0.774:2009/05/20(水) 20:18:44 ID:HIe6hYjZ0
そりゃいまだに使ってる人自体レアだろうし
513192.168.0.774:2009/05/20(水) 20:21:35 ID:pcsD/CZZ0
>>511
MEや98はこれに感染しなくても別の意味で危ないってw
514192.168.0.774:2009/05/20(水) 20:23:08 ID:o0OQNmWX0
GENOより豚の方がはやく治まって欲しい
515192.168.0.774:2009/05/20(水) 20:23:36 ID:G58P/+x+0
さすがに95使ってる奴の報告はどこでも見なくてほっとした
516192.168.0.774:2009/05/20(水) 20:28:51 ID:4Gzk1uuaP
>>515
うちの漫画喫茶は安泰ですね
517192.168.0.774:2009/05/20(水) 20:30:49 ID:ih9nSeASO
>>497
○音ミクのキャラかと思ってた
518192.168.0.774:2009/05/20(水) 20:41:30 ID:2SrakoEj0
>>510
martuz死んでるのに何と戦ってるの?
519192.168.0.774:2009/05/20(水) 20:41:41 ID:29Pi3X6+0
>>505
カエレ
520192.168.0.774:2009/05/20(水) 20:42:42 ID:ih4ztDIU0
>>505
何しに?
521192.168.0.774:2009/05/20(水) 20:46:27 ID:AeiKCIrv0
>>511
なら今のところは安全だろうけど、そろそろ買い換えでも検討してみたら?
ネットに一切つながないで使うのがデフォでも、対応ソフト自体が極希だしさ
522192.168.0.774:2009/05/20(水) 21:01:11 ID:/k5jtqTt0
俺の Me を馬鹿にするな!
523192.168.0.774:2009/05/20(水) 21:03:00 ID:/k5jtqTt0
…うん、ごめん。

実は Vmware上の Me なんだ…
524◇oKLssLV2YM ◆HyDDaacBtI :2009/05/20(水) 21:07:33 ID:Gfino0nB0 BE:331335252-2BP(0)
いまさらではあるが、俺もちぇっくつーるをやっつけでつくってみた
ちょっと、たいしたことないモノのわりにサイズがでかいのがはずかしいが…。

http://www1.axfc.net/uploader/He/so/226791.exe

拡張子が .bin とかになってたら、 .exe にしてそのまま実行
ウイルスのカスや痕跡が残っていても、不活性化や破壊済みなら反応しない
これがクロといったら、かなり感染してると思っていいはず

ほとんどの環境では、きちんとシロになると予想
誤陰性、誤陽性報告あれば修正版だします
525 ◆XcxlmnqGqU :2009/05/20(水) 21:09:40 ID:S3Ouh9ScP BE:754853928-2BP(32)
Gumblar 常駐簡易テスト (2009.5.20.1版)
検査を開始します
1回目 8B, 8B
お待ちください
2回目 8B, 8B
このバージョンでは検出できないか、みつかりません
526192.168.0.774:2009/05/20(水) 21:11:03 ID:KP1HG3r+P
あやしい
527192.168.0.774:2009/05/20(水) 21:17:17 ID:EE0bhUpL0
リアルワールドでは
ウイルスが東京上陸か……
528192.168.0.774:2009/05/20(水) 21:22:06 ID:nAXxmGBr0
>>433>>436>>480
結局偽装画像対策はどこから設定弄れば良いんだ?
探したけどそんな項目見つからないのはIE6だから?
529192.168.0.774:2009/05/20(水) 21:29:45 ID:HIe6hYjZ0
>>528
ぐぐったらIE6SP2からの新機能らしいが
SP2にもしてないとかどんだけ放置してるんだ
530192.168.0.774:2009/05/20(水) 21:35:31 ID:nAXxmGBr0
>>529
d。把握
SP2入れた後不具合でてSP1に戻してそのままですw
SP2今から入れるか。いやSP3か
今更過ぎて入れたら起動しなくなりそうで怖い
531初心者@レン様萌死:2009/05/20(水) 21:36:32 ID:mJYdbJ/C0
ルーターとモデムを見分ける【簡単な】方法はありますか?
難しい言葉は使わないでもらえるとうれしいです
532192.168.0.774:2009/05/20(水) 21:37:35 ID:nAXxmGBr0
モデムの型番+ルータでググる
533192.168.0.774:2009/05/20(水) 21:37:57 ID:/k5jtqTt0
>>531
機械の名前で検索する。
メーカーのページに、ADSLモデム内臓ルータって書いてあったらルータ機能付き。
534192.168.0.774:2009/05/20(水) 21:41:14 ID:llJY2vRm0
釣りにも真面目に答えてやるお前らはいい人だ。どっかの板とは違って
535192.168.0.774:2009/05/20(水) 21:42:41 ID:P79rVKJP0
セキュリティー関連のwebサイトって、普通の人には分からない語句だらけ。
ためしに小学生にでも分かる例えでGENOウィルスを説明できないかな。

脆弱性=万病のもとの風邪
GENOウィルス=まだ誰にも治せない病気

感染したHP=

ムズカシイな。 2分で挫折。
マンガみたいに善と悪という構図の方が分かりやすいのかな。

>>561
型番号で検索。
ルーターとモデムの他に、ルーター内蔵モデムなんてのもあるからそう単純じゃない。
フレッツ接続ツールを使ってネットにつなげているなら、ルーターがない環境(それはモデム)。
536192.168.0.774:2009/05/20(水) 21:45:49 ID:CFbtOila0
>>535
ちょっとキモイがw
345 名前:Socket774 投稿日:2009/05/20(水) 09:47:21 ID:nuSUXhw+
一目で判るGENOたんの一日☆

こんにちは、GENOっていいます (幼女ウイルス)    第一感染

あっ、また会ったね、お兄ちゃん。それじゃあ遊ぼっか! 再起動で発動

お姉ちゃん、こっちで一緒に遊ぼうよ!        勝手に海外のサイトからお姉ちゃんウイルスDL
姉「うっしゃ暴れるぞ」

もうあたし一人でだいじょうぶだもん!       再起動で不老の無敵幼女発動

お兄ちゃんの家に行きたいな〜……        知らずにサイト更新する

へぇ〜、お兄ちゃん家って、こんな鍵使ってるんだぁ。  FTPパス送信

えへへ、合鍵、作っちゃった♪
あ、お隣さんが回覧板届けに来てあたしの事尋ねてきたから
お嫁さんですって言っちゃった!えへへ           BOTがサイトに不正アクセスして改竄

えへへ、本当にお嫁さんになっちゃったね♪
野球チームできるくらい、いーっぱい子供作ろうねっ♪            自分のサイトがもれなく幼女ウイルス配布

上に戻る
537192.168.0.774:2009/05/20(水) 21:47:09 ID:6iRtoH3V0
感染したHP=ペンキ塗りたて
とか?

もはやルータは必須ですか。明日買ってくるわ
538192.168.0.774:2009/05/20(水) 21:47:44 ID:ikeehuvTP
>>535
そういうのって難しいよね
例えも上手に使わないと無用な誤解を生んだりするし
539192.168.0.774:2009/05/20(水) 21:48:47 ID:G58P/+x+0
>>536
俺もそれ思い出してコピーしたらもう張られてた、残念。
だがよく考えたら小学生「だからこそ」分からん感覚だと思うw
540192.168.0.774:2009/05/20(水) 21:48:49 ID:bjsWWNrG0
>>535
感染したHP=学校での集団感染
とかどうだろう
541192.168.0.774:2009/05/20(水) 21:49:34 ID:MmeeVnah0
gimpoが氏んでるけど、まさか関係ないよね。
542192.168.0.774:2009/05/20(水) 21:51:29 ID:CFbtOila0
>>539
ああっ、確かにそうだw
543192.168.0.774:2009/05/20(水) 21:52:59 ID:/k5jtqTt0
>>536
クソワロタwww
考えた奴凄いなwww
544192.168.0.774:2009/05/20(水) 21:56:14 ID:V5wP4Zsr0
横から失礼。
>>535

感染したHP=敵に操られた人たち
でいいような気がする。
545192.168.0.774:2009/05/20(水) 22:00:00 ID:QmrdTa+h0
Botnetのゾンビコンピュータって表現は秀逸だなぁと
聞くたびに思う
546192.168.0.774:2009/05/20(水) 22:00:17 ID:zK4EqkPq0
>>511
ウチの98SEにはあるぞsqlsodbc.chm
今の所おかしな事にはなってないけど
547192.168.0.774:2009/05/20(水) 22:01:34 ID:13U5h2Cw0
前にNHKでボットネットの特集やってたけどまだまだそういう
ものがあるって認知が全然足りてないよな
これで少しでも喚起になりゃいいんだが
548192.168.0.774:2009/05/20(水) 22:01:47 ID:bjsWWNrG0
>>546
ソフトとかドライバを入れたときについてくることがあるらしい
549192.168.0.774:2009/05/20(水) 22:10:49 ID:/k5jtqTt0
>>545
確かに。
そして、botnetを操る奴は、ゾンビの国の王様。
なんかカッコイイかも。厨二的に。

「死者たちの王、俺様超カッコイイーーー!!」って、悶えながら逮捕されて欲しい。
そして、某監禁王子のように、逮捕後に持論を展開して欲しい。
550192.168.0.774:2009/05/20(水) 22:12:53 ID:KZmgp/E20
>>535
平易になるように意識して書いてみた。

さすがにホームページとか、ウイルスとか、パソコンの単語くらいは知っているという希望の元に
例えを使わずに書いたが、誤解を招きそうだし、結局平易じゃないしなかなか難しい。

---

普通のホームページがウイルスを配布するようにこっそり変更される

そのホームページを見るとパソコンがウイルスに感染する

感染したパソコンの使用者が自分のホームページを作成していた場合、ウイルスによってそのホームページもウイルス配布ページに変更される

使用者の作ったホームページを見た人が、ことごとくウイルスに感染して、結果感染者と配布ページが激増する

さらに悪いことに。ウイルスは、ホームページを作るときのパスワードを、他の感染者に教えまくるため
自分のパソコンを仮に止めても、他の感染者からも勝手にホームページが書き換えられる。
551192.168.0.774:2009/05/20(水) 22:14:24 ID:e7Jn+OfD0
幼女とかきもすぎて引かれるだけだろうけど

迷惑メールは誰しもが経験があるから
自分のPCから知らずに迷惑メールを送信してるかもって説明すればちょっとは危機感持つかもね
552192.168.0.774:2009/05/20(水) 22:14:41 ID:/k5jtqTt0
分かりやすいがつまらん。
もう少し突き抜けた勢いが必要だろう。
553192.168.0.774:2009/05/20(水) 22:17:41 ID:e7Jn+OfD0
迷惑メール送信によって損害賠償請求される場合もあります
とか付けとけば効果ありかな
554192.168.0.774:2009/05/20(水) 22:18:21 ID:jnN592qz0
なんか上記の一連の流れに
妙な既視感が…
555192.168.0.774:2009/05/20(水) 22:19:54 ID:P79rVKJP0
うおっ。
>>536-547
沢山のレスありがとう!

初めは、バックアップから書き戻したりクリーンインストールで人生を再開できることから、
RPGかなんかのゲームに例えたらどうだろうと思ったんだけど、
ID パスワード 場合によっちゃクレカ情報まで 盗まれている ってのを ゲーム世界で表現すると
せいぜい 伝説の刀を盗まれました とか その程度しか思いつかない。

ゲームじゃそのくらい平気かもしれないけど、現実世界だと非常にやっかいだったり・・・
この温度差を考えると、俺の頭で例え話にするのはムズカシイんだよなぁ。
556192.168.0.774:2009/05/20(水) 22:28:15 ID:e7Jn+OfD0
ここ見てる人でも安危な人が多いんだろな
たとえば売春目的で未成年誘うのに踏み台でPC利用されたら
警察は自宅にくるだろうし。知らないって言ってもおそらく逮捕だろう。
無実を証明できず冤罪でそのまま刑務所ってこともあるのに。
557192.168.0.774:2009/05/20(水) 22:28:20 ID:P79rVKJP0
>>549-554
ごめん。リロードしたら新たなカキコが。

>>550
とてもわかりやすいと思った。

だが、>>552 のコメントにも一理ありそう。
なんか、こう感触として肉感的に訴える マルウェアへの嫌悪感生み出したいよね。

俺の周囲にも「ウィルス? 自分のPCには盗まれて困るような情報入っていないから関係ないっす」っていう人がいる。
その度に「俺のメールアドレスとか写真とかあるだろ!」って話すんだけどね・・・。
自分の車を勝手に他人に乗り回されて、あげくは対人事故を起こされたようなもんなのに。
558192.168.0.774:2009/05/20(水) 22:36:23 ID:dNo4htxl0
youtubeは行っても問題ないでしょうか。
559192.168.0.774:2009/05/20(水) 22:38:00 ID:KZmgp/E20
>>557
推測上等で煽り文句を入れてみるテスト

---

このウイルスは、感染者への直接的な破壊活動を行わない、隠密的な感染の経路をとることなどから、
あなたのパソコンを知らない間に遠隔操作して、悪用するために開発されたと考えられています。

ウイルスに感染したまま放置していると、知らない間にパソコンが悪用され、
あなたにその悪事の嫌疑がかかる可能性があります。そのとき、誰もあなたを助けてはくれません。
家の鍵を開けっ放しにしていて泥棒に入られても、同情されないのと同じ理屈です。

また、クレジットカード番号などの重要な情報をパソコン経由で入力していた場合、その情報を盗まれて、
身に覚えの無い多額の負債を背負う可能性もあります。これも、ウイルスを放置していたあなたに責任があります。

過去にウイルスの作者が逮捕されたり、責任を取ったケースは皆無といっていいほどまれです。
すべてあなた自身の責任となって降りかかってくることがほとんどです。
560192.168.0.774:2009/05/20(水) 22:38:31 ID:nOb2go+Z0
>>559
no problem
561192.168.0.774:2009/05/20(水) 22:39:03 ID:yblXnZ5s0
感染すると浮気性になり、他人の言うことばかり聞くようになります。
放置すると、地位も名誉も全て失うことがあります。
562192.168.0.774:2009/05/20(水) 22:39:31 ID:Gfino0nB0
>>524 のやつで、8B 以外の結果の人いた?
5X, 6X, 8X くらいは可能性ある(正常のバリエーションがある)と思ってる
563192.168.0.774:2009/05/20(水) 22:40:56 ID:KqzS4H+30
>>530
SP2で動かなくなるソフトとか入ってるんじゃなかろうか
NECのPCなら超古いZoneAlarmとか
そういうのを最新にしたり削除したりすると良いと思う
あとは型番検索してSP2対応状況を調べてみるとか
今もページが残ってるのかわからんけど
564192.168.0.774:2009/05/20(水) 22:46:17 ID:KqzS4H+30
565192.168.0.774:2009/05/20(水) 22:46:37 ID:FuN47AtW0
>>557
窓を開けていたら泥棒が入ってきました
泥棒は住人が知らないうちに家の鍵の複製を作り、それを盗んでいきました
そして住人が知らないうちにこっそり盗んだ鍵を使って家に出入りし始めました
泥棒は出入りしながらどんどん家の中の大切な物を外に持ち出して行きます
また、その家に出入りする事で隣近所の情報も入手した泥棒は他の家にも泥棒に入ります
そうしてその家でも鍵の複製を作って盗み、どんどん被害を大きくしていきます
最悪の場合泥棒に家を乗っ取られ、あなた自身が泥棒扱いされることもあります

という感じだろうか
小学生に複製が通じるかは分からんが一応書いてみた
まあ、完全に置き換えられるものじゃないから色々と事実と違う点もあるが
566192.168.0.774:2009/05/20(水) 22:47:33 ID:/k5jtqTt0
良いホームページの中に、こっそりと悪いホームページが混ざっています。
自分の防御力が低いと、悪いホームページを見た時点で、悪いホームページの仲間にされてしまいます。

とかは?
多分子供でも理解できると思う。

っていうか、実際は、変にたとえ話にするよりも、普通に説明した方が理解できるんじゃないだろうか?
今の子供って、インターネットとかウイルスとか慣れてると思うし。
567192.168.0.774:2009/05/20(水) 22:48:05 ID:OJCAt15u0
>>565
乙一の小説思いだした。
知らない間に犯罪者と同居してるってやつ。
568192.168.0.774:2009/05/20(水) 22:48:09 ID:KqzS4H+30
>>566
長文だと余計に混乱するからちびっこにはそんくらいがいいかも
569192.168.0.774:2009/05/20(水) 22:48:42 ID:QjREmTnq0
とりあえず、リカバリしてなんとかなったけど。
それと同時にいろんなものを失った。
570192.168.0.774:2009/05/20(水) 22:52:22 ID:/k5jtqTt0
>>568
簡潔に分かりやすくが良いと思うんだよね。
子供以外の、コンピュータに疎い人にもこれでOKな気がする。

あとは、最後に、
「悪い奴の仲間になったら、警察くるよ!捕まるよ!」
て、強烈に脅して完了。
571192.168.0.774:2009/05/20(水) 22:52:27 ID:gka6g1hm0
PC詳しくない人は自分のPCがサーバになることも
ネットからケーブルを介して外から操作できることもピンとこないんだよね
572192.168.0.774:2009/05/20(水) 22:55:27 ID:d9bsP3Wh0
Acrobatは8→9にしないとダメなのか?
年配の人にアンインストールを説明しなきゃならないのかな・・・
573192.168.0.774:2009/05/20(水) 23:02:58 ID:P79rVKJP0
>>535
までしか考えられなかった自分がはずかしいな。
関心納得しながら、読んでいたけど、
もしかしたら、>>566みたいに 気を引く程度に短い方がいいのかもしれないね。
「知らないうちにお金を盗まれてしまうことがあります」とか。

>>570
「小学生の俺だったら、ケーサツ来ないって事は→感染していない って数学的に考えちゃいそう」

>>571
そうだね。 ネットワーク越しにPCを起動できるのも分からないだろうし。

>>572
7か8の場合も、最新なら大丈夫。でも既に6以下は切捨てられているから、出来るときに9.1.1へあげといたほうがいいかも。
574192.168.0.774:2009/05/20(水) 23:04:53 ID:36yMUdxY0
fc2また落ちた?
575192.168.0.774:2009/05/20(水) 23:08:23 ID:x2NYKiQ90
やっぱ落ちてたのか
576192.168.0.774:2009/05/20(水) 23:09:29 ID:0Ae11A0JO
携帯だけど繋がらない
577192.168.0.774:2009/05/20(水) 23:14:40 ID:/k5jtqTt0
>>524 のスルーされっぷりに泣いた。
誰か報告してあげればいいのに。

俺は exe は踏まない事にしてる。
578192.168.0.774:2009/05/20(水) 23:17:06 ID:CFbtOila0
>>577
オレだって怖くて踏めねえよw
579192.168.0.774:2009/05/20(水) 23:17:27 ID:d9bsP3Wh0
>>573
Acrobat7、8も、ヘルプからのアップデートでOK?
それなら説明が楽で、全員に言いやすい
580192.168.0.774:2009/05/20(水) 23:18:43 ID:o+t2Uv0V0

581192.168.0.774:2009/05/20(水) 23:22:56 ID:ojnFBpF70
>>577
踏んだけど、俺は詳しくないのでなにも
報告できないから黙ってた。
ちなみに↓でスキャンした限りでは問題無しでした。
http://www.virustotal.com/jp/
582192.168.0.774:2009/05/20(水) 23:23:24 ID:KqzS4H+30
>>579
使ってないならアンインストールのほうがよくね
今後もアップデートあったらわずらわしいよ
583192.168.0.774:2009/05/20(水) 23:29:05 ID:s2Sd7Gpb0 BE:5031348-2BP(1236)
>>562
Gumblar 常駐簡易テスト (2009.5.20.1版)
検査を開始します
1回目 8B, 8B
お待ちください
2回目 8B, 8B
このバージョンでは検出できないか、みつかりません
584192.168.0.774:2009/05/20(水) 23:29:12 ID:d9bsP3Wh0
>>582
配信する内容に
おいちゃんとか、おばちゃんが変な入力させて改ざんさせないために
Acrobatで閲覧だけにしてるんだよ

無料で便利だと思って入れたのに・・・
585192.168.0.774:2009/05/20(水) 23:33:57 ID:P79rVKJP0
>>577
俺も踏めない。
>>579
ごめん。それは分からない。

AcrobatっていうかAdobe Readerでしょ?
それやったあとに、実行ファイルを起動して「AdobeReaderについて」で確認するのが確実だと思う。
それぞれの最新は 9.1.1 8.1.5 7.1.2 かな。
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
の更新日付で君が確認してみて。

>>582
が正論だと思う。
だが、なにかの拍子に 近所の知ったかぶり爺さんが
「お困りか?コレ入れればPDF読めるよ」と言って、脆弱性満載のバージョンを入れるかもしれないという歯痒さ。
無料で便利=ユーザー多数=狙われやすい。 PCがTVのようになる日は来ないどころか、遠ざかっている気がする。
586192.168.0.774:2009/05/20(水) 23:34:03 ID:e7Jn+OfD0
オープンソースでいいんじゃないのこんなもの
587192.168.0.774:2009/05/20(水) 23:36:06 ID:Gfino0nB0
>>577-578
うーん、「実験用感染マシンで、ちゃんと黒判定でたよ」
「未感染の仮想マシンで実行したけど、グレーって出るよ」とか、
その程度の応答を期待してたりしたんだけどなw

こんな時期だから、逆汗による第三者の監査を受けやすいようにとか思ったんだが、
Cランタイムにまで踏み込んで関数を減らしたりしてみたら、
イマドキというか、ヒューリスティックにひっかかったりするんよな
だいたい、UPXかけるのすら、GENERIC.PACKER でvt フルクリアにならないし
588192.168.0.774:2009/05/20(水) 23:36:41 ID:e7Jn+OfD0
チャッカーサイトも1人でやるから語検出やら
飽きたら放置だろうし
せっかくベース作ったならいいと思うけどな
589192.168.0.774:2009/05/20(水) 23:38:03 ID:e7Jn+OfD0
オープンスースで
が抜けてた
590192.168.0.774:2009/05/20(水) 23:39:04 ID:d9bsP3Wh0
>>585
ありがと〜、そこ参考にするよ
「AdobeReaderについて」で確認とアップデートを行ってもらうわ

使わないのがいいんだけどね
年配の人は頑固だし、「危ないから使うな」の一言では済まないからね・・・
591192.168.0.774:2009/05/20(水) 23:45:15 ID:MLaodLc80
家族共用のPCで母さんが「なんかパァーパァー鳴ってる」っていったから見てみたら
このウィルスに感染してるサイト開こうとしてた。
592192.168.0.774:2009/05/21(木) 00:02:58 ID:VwSJ2gNNO
〉「なんかパァーパァー鳴ってる」
不謹慎だがワロタwww
593192.168.0.774:2009/05/21(木) 00:10:00 ID:J3ZHp0dK0
>>591
AVASTの警告音ワロス
594192.168.0.774:2009/05/21(木) 00:12:08 ID:5pSWNVp50
ぱーぱー!!
595192.168.0.774:2009/05/21(木) 00:12:15 ID:8l99UW2P0
>>591
ワロスだけど、おかんが開こうとしたのは一般的なサイトなん??
596192.168.0.774:2009/05/21(木) 00:13:23 ID:39xkO1PS0
いわゆる“GENOウイルス”が猛威、G DATAがその挙動を解説
ttp://internet.watch.impress.co.jp/cda/news/2009/05/20/23509.html

パンデミック言うな。言うならアウトブレイクやろ。
597192.168.0.774:2009/05/21(木) 00:21:46 ID:lAfr10wV0
impressだから自分で検証したわじゃなく
ソースが2chなんだろなw
通販と同人があぶないって通販GENOだけじゃん
不景気なのに通販やめとくかってやつ増えたらどう責任とるんだよ
同人はどうでもいいがw
598192.168.0.774:2009/05/21(木) 00:27:41 ID:VwSJ2gNNO
何回聞いてもavastたんの警告音にビビるからとりあえず「ジャジャーン」に変えてみた
599192.168.0.774:2009/05/21(木) 00:28:39 ID:J3MoscUO0
テレッ
600192.168.0.774:2009/05/21(木) 00:29:08 ID:KGjKBhlR0
>>598のPC「ジャーンジャーン!」
598「げぇ!GENOウィルス!」
601192.168.0.774:2009/05/21(木) 00:32:31 ID:A+4SjHWWP
「GENOウイルス」対策について
tp://gdata.co.jp/press/archives/2009/05/geno.htm
何人かのセキュリティ専門家の推測では、3,000以上のドメインは、すでに感染していると推定しています。
この数は今後も、恒常的に増大するおそれがあります。
また感染していながら、まだ報告にいたっていないドメインも含めると、より大きな数字となるでしょう。
602192.168.0.774:2009/05/21(木) 00:32:45 ID:/E2gYMqT0
>>600
次頑張れ
603192.168.0.774:2009/05/21(木) 00:34:58 ID:UZwqASLK0
ノートン先生がしきりに更新してるがこれ関係かなぁ
604192.168.0.774:2009/05/21(木) 00:45:40 ID:TWdCvddB0 BE:662670454-2BP(0)
チェックソフトを質問掲示板に持っていってくる
605192.168.0.774:2009/05/21(木) 00:50:17 ID:5pSWNVp50
GENO亜種はブラウザ乗っ取るから今更FWいれても無意味だと気付けよ情弱
outbound許可してるんだし
606192.168.0.774:2009/05/21(木) 00:54:50 ID:4eDYUR3t0
警告音の心臓の悪さにおいてはカスペに勝るものはない
607192.168.0.774:2009/05/21(木) 00:56:40 ID:LgsqPpgL0
なんつーか、バスターがここまでウヘァだとは思わなかった
3年契約したことを後悔しはじめている
608192.168.0.774:2009/05/21(木) 01:04:03 ID:W67jeYjF0
>>606
ドウイ
なんであんな音にしたのかね
609192.168.0.774:2009/05/21(木) 01:08:37 ID:LgsqPpgL0
>>606,608
どんな音なんだ?
610192.168.0.774:2009/05/21(木) 01:16:21 ID:DqsQKmEA0
>>606
同感。 >>609 ギャーって叫ぶような感じの音。ヤバス


取り敢えず、各社、対応が進んでいる模様。PDFとかSWFなんかは、スルーされるのも幾つか散見されるけど。
実際に発動させた後に生成されるファイルについてもきちんと反応するらしい。

そろそろ、対策についてはこう書いても良さそうだ。

−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
感染が疑われる場合は、オンラインスキャンなどを利用し、複数の(ここ重要)ベンダーで
チェックしてみてください。なにかが発見された場合は、PCのリカバリをお勧めします。
PC復旧後、FTPパスワードなど、入力した可能性のあるものを全て変更してください。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

複数のエンジンでやれば、どれかでひっかかるだろうし、(何日版を発動させてるのかによって
どれなら確実に検出できるかが変わるので、複数エンジンを推奨)、発見されて活動中の奴を
止めたとしても、レジストリなどの破壊はそのままになっていて動作不良起こしてる筈だから
感染確認後の対処はPCリカバリ一択で。
611192.168.0.774:2009/05/21(木) 01:18:23 ID:0JzZ4kDb0
>>607
今までも散々みんなに言われてたのに気がつかなかったのかい?
612192.168.0.774:2009/05/21(木) 01:22:32 ID:lAfr10wV0
バスターは自分サイトでウィルス撒いてた会社だぞw
致命的だろその時点でw
613192.168.0.774:2009/05/21(木) 01:25:31 ID:FCZZMPxa0
PCバスターの破壊力を甘く見ない方がいい
614192.168.0.774:2009/05/21(木) 01:28:31 ID:6T3iMyEp0
>>605
パーソナル向けソフトウェアFWではない"本物の"FWならきっと何とかしてくれる!
・・・アクセス許可を全部手書きするレベルで運用しないとダメだが。
615192.168.0.774:2009/05/21(木) 01:36:42 ID:j9Yd+uq1O
>>595
レスおくれてすまん
小林製薬が感染してた時に踏んだみたい
消臭シャボンがうんたらかんたら言ってたし
初めてavastが警告だしたからびっくりした
616192.168.0.774:2009/05/21(木) 01:43:29 ID:pVqQ7XBe0
>>587
逆汗めんどい。
Thawteのタイムスタンプが付いているとはいえ、ビルド後改ざんされてないよ、
くらいの意味しかないし、走らせるのは躊躇する。
VC++みたいだから、ソースくれたらビルドして実行するけど。
617192.168.0.774:2009/05/21(木) 01:46:27 ID:4VZCVxU8O
iTmediaにヒュースティックだったか、の機能のみが搭載されたウイルス対策ソフトが
出たらしいが、あれGENOウイルスには効くのかな
618192.168.0.774:2009/05/21(木) 01:59:00 ID:TWdCvddB0
>>616
内容は、前スレの154にUIかぶせただけ
オレオレ署名してるのにはいくらか意味を持たせてるが、初出の今、単体価値はあまりないな
ちなみに、期限はあまり長くは取ってない

信頼を得ている人間がツール書いて自鯖に置けば、また話は違うんだろうけどね
どっかが特化駆除ツール出してくれるとか、そろそろ(ry
619192.168.0.774:2009/05/21(木) 02:04:23 ID:LgsqPpgL0
>>610
うわ、叫び声か、怖ぇww

>>611
知ってたらバスターに3年も防衛任せようなんて思わないってw
620192.168.0.774:2009/05/21(木) 02:08:24 ID:G7gTsjG60
>>613
一瞬、何の疑問も持たなかったわ。
PCパスター
621192.168.0.774:2009/05/21(木) 02:13:14 ID:/E2gYMqT0
>>617
ありゃゴミだ
>>618
今後も価値が出ると思えないけど
622192.168.0.774:2009/05/21(木) 02:13:36 ID:au9VFC6b0
Avastの警告音も結構来るものがあるが、カスペはそれ以上なのか・・・
623192.168.0.774:2009/05/21(木) 02:18:05 ID:lpTPovOI0
GENOウイルスまとめwikiのその他の項目で
Googleキャッシュにはウイルスが残ってあるものもあるので注意が必要です
と言う項目がありリンク先でこの Web サイトのセキュリティ証明書には問題があります。
と表示されたのですがこれは一体何なのでしょうか?
624192.168.0.774:2009/05/21(木) 02:27:20 ID:kBD9WUl80
ウイルスバスターが対応するのはだいたい他社が対応し終わってから1ヵ月後だな
前のHDDフォーマットウイルスの時もそうだし4月に流行ったGENOウイルス対応したのもつい最近だし
それで最初は4月分の対応を最近のやつと間違えた人が多かったんだな
625192.168.0.774:2009/05/21(木) 02:28:28 ID:G7gTsjG60
>>622
本当にすごいから。 不意をつかれると驚きでコーヒーこぼすくらい。
机下の床にPC置いている人とかは、第二のPCバスターになり兼ねない。

白い顔の女の人が、目から血を流している画面と共に「ギャー」って大音量がなるジョークソフト知っている?
あっちはうる覚えだけど、似たようなサウンドだったと思う。

あまりにも不評で、サウンドを差し替えられるようになる! だか、 なった! だか  だよ。

>>623
その2つは直接は関係ないと思うな。
Kaspersky使っている?
626192.168.0.774:2009/05/21(木) 02:30:17 ID:kBD9WUl80
>>625
いまのカスペはもう音変わってるよ
なぜかインストールされたフォルダにはまだ入ってるけどね
627192.168.0.774:2009/05/21(木) 02:33:09 ID:TWdCvddB0
>>625
いまでもちょくちょく貼られるねw > ぎゃーのページ
ちなみに、Safari/Win で踏むと、.wav を保存しますかって聞いてくるw
628192.168.0.774:2009/05/21(木) 02:34:20 ID:6T3iMyEp0
>>587
おれも>>616と同じく逆汗めんどい。

というか、クリーンなことを証明したかったらコンパイル言語を使わないことをオススメする。
wscriptベースでVBとかJavaScriptで書くと、多分回りも検証しやすいし、拡張もしやすい。

問題はなぜかセキュリティソフトが一番危険なネイティブ実効ファイルよりwscript系スクリプトをウィルス並みに警告してくることだがな・・・
なんだよ、ファイルI/Oで緊急停止ダイアログとか。

間を取って逆コンパイラが充実した中間言語インタプリタ系が検証者には優しいってところか。

.NET→VC++でコンパイルできるソースならc++/cliでコンパイルする事で互換性を維持できる。逆汗にはリフレクタを使う。
Java→説明不要。
HSP→暗号化なしモードorディレクトリ配布。資料豊富。
吉里吉里→暗号化なしパッケージ。言語はTJSで、資料が少なめ。
ひまわり→ソースつきで配ることで、公式使ってコンパイルした結果と一致することで検証できる。実行ファイルがクソ重い。
629192.168.0.774:2009/05/21(木) 02:35:25 ID:lpTPovOI0
>>625
自分は今ノートンを使用しております
特に問題がないのでしょうか?
630192.168.0.774:2009/05/21(木) 02:35:32 ID:LgsqPpgL0
保存してどうすんだよって感じだなww
631192.168.0.774:2009/05/21(木) 02:37:32 ID:pBb7+109O
警告画面集をニコニコにアップしてくれよ
GENOウイルス踏んで
632192.168.0.774:2009/05/21(木) 02:39:19 ID:au9VFC6b0
>>625
ああ・・・それはひどいw
カスペの中の人のセンスはよくわからんぜ
633NET裏技専門店 GENOで検索してみ:2009/05/21(木) 02:39:41 ID:+SymExhe0
NET裏技専門店も感染してるよ
さっきアクセスしたらおかしかったから調べたらビンゴだったわ
しかも管理人知ってて公開してたらしいし管理人マジ死ねよ
634192.168.0.774:2009/05/21(木) 02:45:06 ID:39xkO1PS0
カスペの音ってこれ?33秒あたり
http://www.youtube.com/watch?v=wVbRNCqN5Xc
635192.168.0.774:2009/05/21(木) 02:45:42 ID:TWdCvddB0
>>628
*(BYTE*)send ← これをどうやってWSHから取得するかなのだが…。
LoadLibrary("winmm.dll")は、音をひとつ鳴らせばかわりになるから大丈夫

>>633
なんていうか、定型文リストがすごいなw
636192.168.0.774:2009/05/21(木) 02:55:30 ID:DqsQKmEA0
>>622
Avastはパトカーのサイレンみたいな奴だっけ。それと比べるなら、やっぱりカスペの方が心臓に悪いと思うな。
AntiVirなんか初期設定でM/BからBEEP音がするから、なにかと思うんだよね。カスペ程じゃないけど
あれも、やっぱり心臓に悪い。
637192.168.0.774:2009/05/21(木) 02:57:32 ID:pVqQ7XBe0
>>635
とりあえず前スレ154を実行してみた。

クリーンな環境: 8B 8B/8B 8B
一昨日感染させたVM: 8B 8B/8B 8B
上記をNortonで駆除してみたもの: 8B 8B/8B 8B

winmm.dllを読み込んでも値が変わらんぞ。
音が鳴ると発動するのを利用するってことだろうけど、winlogonの
時点で発動しちゃわない?
638192.168.0.774:2009/05/21(木) 03:07:50 ID:TWdCvddB0
感染させたはずなのに値が変わらぬとは…。ウイルスコア(DLL)みてみたいです

発動は各プロセス毎ってのがみそで、また、仮に、すでに発動していたとしても、
各値は、E9 E9 / E9 E9 になるはず

そのプログラムをデバッガ下で起動して、ウイルスコアがどの時点でmodloadされるか見れば、
ゆってることは(ぐだぐだいうより)一発でわかります
639192.168.0.774:2009/05/21(木) 03:12:55 ID:6T3iMyEp0
>>635
ごめん、前スレの154をたった今確認した。
WSHでやるならEXCELを踏み台にしてHTAからWin32API呼び出すサンプルがVectorに有ったと思うからその辺参考できないか?

というか、これだとコンパイル環境によって、スタブ取りに行くかIAT取りに行くか揺れると思うんだが、その変どうなんだろう。
APIフックで差し替えるって事ならGetProcAddressも上書きしてる可能性が高いと思うのだが、GetProcAddressが通るかどうかで判別できるかな?

感染環境持ってないので憶測で話すが、フックされた偽sendがWinsockのDLLの外側にあるのなら、
LoadLibraryの返り値とGetProcAddressの帰り値の差が正常範囲内かどうかで判別するほうが安全確実ではなかろうか。

単純に、C++/CLIかフルアセンブリで作るほうが検証しやすい物になるかな?
640192.168.0.774:2009/05/21(木) 03:13:07 ID:p1J05MUF0
>>625
とりあえず…

×うる覚え
○うろ覚え
641192.168.0.774:2009/05/21(木) 03:13:35 ID:G7gTsjG60
>>629
>問題がないのでしょうか?
あるかないか、それだけで判断できません。

そのリンクを
hXXp.WWW.の形でここに貼れば、Genoかどうかはここの人が判定してくれるに違いない。

この Web サイトのセキュリティ証明書には問題があります。 
↑これはウィルスの有無に関して何の情報にもならない。

おそらくブラウザが暗号化通信しようとしているんだけど、
相手の素性(暗号化通信のライセンスを持っているのか いないのか)がわからないので
そういう警告を出しているんだと思う。

で、素性が分からないのは
本当に相手サイトの素性が(免許登録がなくて)分からない場合と、
ノートンが暗号化通信をスキャンしようとするから分からない場合の
2通りあるわけ(暗号化通信はノートンにもスキャンできないから、ノートンが代理認証するが結局失敗)。
gmailなんかのログイン画面でも同じ警告が出るならノートンの設定が原因だろうね。

うちではRadeonのドライバーをダウンロードしようとすると、毎回警告出るから、コレもためしてみて。
http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp/radeonx-xp
でドライバーをダウンロードしようとすると、その警告。
ただし、暗号化通信をスキャンしない設定にすると警告なし。
 
つまり、サイトではなく、自分のセキュリティーソフトの設定が問題。

以上、俺の妄想。
642192.168.0.774:2009/05/21(木) 03:14:37 ID:G7gTsjG60
>>640
勉強させていただきました!
他で恥じかかなくてよかったわ。
643192.168.0.774:2009/05/21(木) 03:23:27 ID:TWdCvddB0
>>639
Excelもってなすwww

…だが、(やっぱり)そんなことができちゃうのか…。ま、VBAも載ってることですし、不可能はないかw

あれって、常駐すると、ws2_32::send を直接書き換えちゃうんですよ
チェッカEXEも、スタティックリンクして、WinMainのしょっぱなで値取りに行ってます
(DWORD)send じゃないんです。*(BYTE*)send なんです IAT/EDTは不変のはず(いまんとこ)
644192.168.0.774:2009/05/21(木) 03:23:53 ID:pVqQ7XBe0
>>638
申し訳ない。
VMのスナップショット取っておいたつもりだったのに、2番目と3番目は
NortonとAviraで駆除してみたものだ。
Aviraの方は、ご丁寧に手動削除とレジストリ修正までしちゃってる。
また感染させればいいや、と軽く扱ってたからなぁ。
ホント、すまん。感染状態のVMがないっす。

検出可否報告スレの検体を落としてきて試そうか?
645192.168.0.774:2009/05/21(木) 03:39:42 ID:TWdCvddB0
>>644
んじゃ、再度感染実験するとき、そのついでにお願いいたします、でw (pending.)

WSHの範囲で、活動を証明する方法を、寝ながら考え中

vbscriptに、PEEK/POKEがあればよかったのにww
646192.168.0.774:2009/05/21(木) 03:52:58 ID:pVqQ7XBe0
>>645
本当に申し訳ないです。大失態。
で、現状のソースでも無償のVS Express Editionでビルド可能なんじゃない?
ATLとMFCは付属しないから、C++/CLIかコンソールアプリにしちゃうのが
楽だと思う。
ソース同梱なら試すのに抵抗がないし、VMに感染させている人はVS所有率も
高そうな気がする。
647192.168.0.774:2009/05/21(木) 04:05:23 ID:TWdCvddB0
小汚いソースをPK(MMOでいう)アリの2ちゃんに晒すのがどうかという大問題と、
「どうせ、正しいソースに、腐ったバイナリが同梱してあるんだろ?」とか言われるとw

コンソールソースだと、ほんとに前スレのあれに、includeつけるだけw
648192.168.0.774:2009/05/21(木) 04:24:34 ID:6T3iMyEp0
GUIにしてもMessageBoxA使って表示すれば、前スレのアレに3行追加するだけだが。
649192.168.0.774:2009/05/21(木) 06:07:51 ID:fL5cPWvfO
おはよう
何日後にこのウィルスは再度活性化するかな?
しなきゃいいんだけど
650192.168.0.774:2009/05/21(木) 06:17:22 ID:UfbkrZtm0
そんなんこっちが教えて欲しいわ
651192.168.0.774:2009/05/21(木) 06:56:53 ID:VwSJ2gNNO
>>634
カイリキーの鳴き声に似てると一瞬思ってしまった

それにしても趣味の悪い音だな
652192.168.0.774:2009/05/21(木) 07:15:28 ID:VwSJ2gNNO
>>651
どうでもいい事だけどワンリキーの間違いだったwww
653192.168.0.774:2009/05/21(木) 07:18:52 ID:klY/YuLb0
初めてavast警告画面遭遇。
ソースチェックしたら赤文字の羅列ありですがこれは感染確定?

ttp://c-sc■jp/SHOP/jinbei1■html
654192.168.0.774:2009/05/21(木) 07:31:46 ID:TWdCvddB0
>>653
クロ、しかも古い(gumblar.cn) あとになって出てきた感じで。さっと直してもらいましょうw

>>648
唯一弱点があって、内容をコピペするのが面倒なのだ
VBでいう、InputBox()みたいなのがwin32にあれば便利かな
655192.168.0.774:2009/05/21(木) 07:43:06 ID:T6KZ1kJS0
感染サイトにgumblarとかラトビアのIPしかないケースは
感染に気づいてftpのパス変えてPCもクリーンインスコしたけど
サーバのファイル改竄を修正しきれてないってケースなのかな
656192.168.0.774:2009/05/21(木) 07:58:49 ID:mEVIDcRO0
>>653
とりあえずお問い合わせから通報しておきました。
657ひみつの文字列さん:2024/12/31(火) 05:29:52 ID:MarkedRes
日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。
658192.168.0.774:2009/05/21(木) 08:04:02 ID:klY/YuLb0
>>656
すいません、ありがとうございました。どういう文面にしたらいいのか迷ってたもので…
PC関連のサイトでなくても分かってもらえそうなテンプレってないでしょうか?

659192.168.0.774:2009/05/21(木) 08:04:40 ID:RfkvGoklO
どうでもいいんだけど、逆汗って書いてるやつ、もしかして若干(じゃっかん)の間違い?
3回くらい書いてるから気になった。
660192.168.0.774:2009/05/21(木) 08:06:36 ID:Z6URyA3I0
逆アセンブラ
661192.168.0.774:2009/05/21(木) 08:17:26 ID:mEVIDcRO0
>>659
逆アセンブラにかけてウィルスのバイナリデータを読むこと。
逆アセ→逆汗と省略した表記。
ヲタ用語なので分からなくても恥じる必要はない。
元々シェアウェアなどを解析してシリアル出したりする人たちが検索にかかりにくくするために略すようになっただけ。
個人的にはこんな略する方が恥じるべき。
662192.168.0.774:2009/05/21(木) 08:39:48 ID:RfkvGoklO
あ、そういう用語なのか!
勘違い申し訳ない。ごめんなさい。
>659、>660はありがとう。一つ賢くなった気がするよ。
663192.168.0.774:2009/05/21(木) 08:41:14 ID:gCzmc2nU0
http://genolists.alink.uic.to/

ここのリストに感染サイトが直リンされたまま放置されてるんだが
何とかならないの?
664192.168.0.774:2009/05/21(木) 08:42:13 ID:U6qEMEIx0
ウイルース製作側のテームGEN○(外国人ら)が、ここの対応状況を分りづらくする木的もある
いわゆる二本人(ねらー)なら分る文障に安号化しているということです
665192.168.0.774:2009/05/21(木) 08:45:29 ID:U6qEMEIx0
外国人からみた文小(翻択サイト)

ここの手紙状況と生産側が役立つUiラスのティムGEN○(外国人)を理解するのは難しい木マークは、
ヤスシがいわゆる長い剣を理解している文障とそこにある背が低い剣人(ねらー)のそれになるということです
666192.168.0.774:2009/05/21(木) 08:48:56 ID:t0+/Xwe70
ヤスシwww
667192.168.0.774:2009/05/21(木) 08:53:30 ID:U6qEMEIx0
二本陣なら>>664を理解できるが、
二本陣でも>>665は理解できない
ともに同じ内容の文障である
668192.168.0.774:2009/05/21(木) 08:54:58 ID:U6qEMEIx0
害国人から見たここは「基地外」の集まりということになります
669192.168.0.774:2009/05/21(木) 08:55:24 ID:MBPINqUy0
ひらがなじゃだめなの?
もしくはカタカナ
670192.168.0.774:2009/05/21(木) 08:56:33 ID:U6qEMEIx0
ひらながでもいいよ
671192.168.0.774:2009/05/21(木) 08:57:58 ID:U6qEMEIx0
だせーんさせてスマソ
672192.168.0.774:2009/05/21(木) 08:58:04 ID:nbH6G5hp0
ひらがなやカタカナだと>>665のヤスシみたいなことが起こらないからなw
673192.168.0.774:2009/05/21(木) 09:03:21 ID:U6qEMEIx0
ヤスシがいわゆる長い剣を理解している文障とそこにある
背が低い剣人(ねらー)のそれになるということです

意味不明www

ちなみに使用した翻訳サイト(日本語→英語、英語→日本語)
ttp://honyaku.yahoo.co.jp/
674192.168.0.774:2009/05/21(木) 09:07:23 ID:U6qEMEIx0
>>672
ヤスシがわかる所で、そこの文障である背が低い剣人(ねらー)と
そこの、いわゆる長い剣は曲がることができることです

>>673をもう一度変換したものですwww
ダッセンスマソ
675192.168.0.774:2009/05/21(木) 09:08:30 ID:wC5KlqJk0
後部bunsawaであり、そこでは、ヤスシのいわゆる、
そして、長い刀の理解が低いのが(使います)、tsurugininのものになります。
676192.168.0.774:2009/05/21(木) 09:08:39 ID:9OX9KUHs0
ツボったww
677192.168.0.774:2009/05/21(木) 09:15:11 ID:5pSWNVp50
gnomeさんが出張したらしいね
678192.168.0.774:2009/05/21(木) 09:15:54 ID:5pSWNVp50
>>610
あの顔面蒼白ぎゃーという恐怖系GIFを参考にしたんじゃないかな。
679192.168.0.774:2009/05/21(木) 09:18:13 ID:5pSWNVp50
>>625
>白い顔の女の人が、目から血を流している画面と共に「ギャー」って大音量がなるジョークソフト知っている?
これまんまと踏んでしまっていつも思うんだけど、
誰が何のために作ったの?obon03.htmlだから、お盆の肝試しのためのもの?
680192.168.0.774:2009/05/21(木) 09:46:30 ID:TWdCvddB0
亀だが。逆汗って知り合いがよく使ってたから使ってたんだけどね

>>657
そっちがんばってくれw
質問板は、exeとか貼るんじゃねーよ出て行けってことだったので
681192.168.0.774:2009/05/21(木) 09:53:34 ID:TWdCvddB0
ってまて、そっちもexeかー。

そのアイデアそのままに、WSHに移植できないかな
WScript.Shell オブジェクトで、enumは難しいかもしれんが、readはできるらしい
aux + 数字 の形になってるキーに、わけのわからないフルパス、しかも拡張子が.sys じゃない代物って
通常のインストレーションではありえない 発見次第、ういーんういーんしてみては
682192.168.0.774:2009/05/21(木) 09:56:19 ID:PspCF9gEO
リカバリしたんだけど何からはじめたら良い?
ウィンドウズのアップデートかな?
683192.168.0.774:2009/05/21(木) 09:58:02 ID:TWdCvddB0
>>682
あさごはんたべる
684192.168.0.774:2009/05/21(木) 10:20:46 ID:5pSWNVp50
>>682
まずルータをFW代わりにWindows Update以外の通信をはじくことから開始
それしないと
685192.168.0.774:2009/05/21(木) 10:39:20 ID:5ZXWqiM40
>603
何の気なしに確認してみたら定義の更新が○秒前とか出てワラタw
686192.168.0.774:2009/05/21(木) 10:52:26 ID:WI3iOJhg0
シマンテック行ったら、どのページも軒並み見られなくなってるんだが
687192.168.0.774:2009/05/21(木) 11:09:51 ID:PspCF9gEO
>>683
いまからたびる

>>684
ありがとう。とりあえずアップデートはほぼ完了。
アドビのフラッシュプレイヤーは入ってなかったんだけどそのままでも良い?
あとアクロバットリーダーが6.0.2アップデートてのと 
アクロバットアンドリーダー6.0.3アップデートてのか入ってるほかに
アドビリーダー6.0.1が入ってた

どれを最新にすればいいの?
688192.168.0.774:2009/05/21(木) 11:26:25 ID:gCzmc2nU0
>>685
いつ見ても10分以内に更新してるw
もしかしてありとあらゆる現存する亜種を
解析が済んだ順にぶち込んでる最中なのではないだろうかとふと思った。
689192.168.0.774:2009/05/21(木) 11:27:37 ID:qc4/laWs0
>>687
1から読んでろバカ
690192.168.0.774:2009/05/21(木) 11:28:14 ID:Q988+a0d0
>>686
おぬし、ウイルスやマルウェアのなかには、感染したPCを
セキュリティ系サイトに接続できなくするものがあるという言い伝えを知らんのか
GENOウイルスもまた、そうしたものの1つだと言われておるぞ

というか俺は普通に見える
691192.168.0.774:2009/05/21(木) 11:36:15 ID:v7Y5CZ5R0
>>687
そういうのはバージョンが低い順にこなしていくのが定石だ。
アップデートの類には、全てのパッケージを含むものと、変更箇所だけのものがあるが、
この方法だとどちらでも問題が起こりにくい。
692192.168.0.774:2009/05/21(木) 11:38:06 ID:WI3iOJhg0
>>690
GENOに感染してなくて安心してたら…マジかよ
693192.168.0.774:2009/05/21(木) 11:49:33 ID:CGLPpXXj0
>>692
うちは問題なく市万テックのサイトが見れるからGENOかどうかは知らないがウイルスだろうね
ブラウザ変えたり、他のベンダーのサイトも見れるかどうか、Windowsアップデートが出来るかどうか確認してみ
それで見れなきゃウイルスの可能性が高い
694192.168.0.774:2009/05/21(木) 11:50:07 ID:hhURH/R10
>>655
説1 感染PCを1週間ぶりに起動した。

>>690
サポート終わっている6は全部削除して入れなおしが楽。
>>692
js切っているからじゃなくて?

>>
みんなまずはWindowsUpdateなのか。
XPSP2以降の標準FWでも外からの接続は弾いてくれるらしいし、
クリーンインストール直後にアウトバウンドなんか監視する必要ないんだけど、
自分は気分的に市販の統合セキュリティーソフトを入れてからWindowsUpdateで更新チェックしている。

たまーにWinUpdateとウィルスの定義ファイルを同時にダウンロードし始めて困ることもあるけど・・・。


■24時間前に >>375を貼ったんだけど訂正。
213.0.0.0-213.25.255.255 213.0.0.0/8 というブロック範囲を万が一登録している人がいたら、
そして、その人がOpera使いなら  213.236.208.0 - 213.236.208.255 をブロックの対象から除外してください。

これはOperaが使っているサーバーのようです。
ブロックすると「最新版のリリースをチェックする」などの機能が使えなくなります。
クッキーなどの個人情報を削除したタイミングでも通信するようで、これはこれで気持ち悪いですが・・・

あと、>>375では 213.0.0.0-213.25■5.255.255 213.0.0.0/8
5がひとつ抜けてました。 すいません。

我が家でも今朝、ブロックリスト警報が立て続けになって冷や汗ものでしたが、Operaの通信と分かり安堵した次第です。
695192.168.0.774:2009/05/21(木) 12:00:29 ID:WI3iOJhg0
>>693
ウイルスだこりゃ
ウイルスバスターアンインストールしてから、うっかり忘れてた1時間の間に感染したらしい
ネット社会やべえ
696192.168.0.774:2009/05/21(木) 12:13:18 ID:TWdCvddB0
>>681 の件、てきとーに書いてみた >>657 に寄稿するので、鍛えてくれ

---
function die(m){
  WScript.Echo(m);
  WScript.Quit(-1);
}

var WshShell;
try{
  WshShell= WScript.CreateObject("WScript.Shell");
} catch(e){
  die("wshom.ocx がインストールされていません");
}

var Signer;
try{
  Signer = WScript.CreateObject("Scripting.Signer");
} catch(e){
  die("wshext.dll がインストールされていません");
}

function try_verify(fn){
  try{
    return Signer.VerifyFile(drv32, false)? 1:0;
  }catch(e){
    return -1;
  }
}

function get_drv32(i){
  var drv32=undefined;
  try{
    drv32=WshShell.RegRead("HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32\\aux"+(i?i:''));
  }catch(e){
    drv32=undefined;
  }
  return drv32;
}

function get_score(drv32){
  var score=0;
  if(drv32){
    if(drv32.indexOf(":\\")>=0) score+=50;   // std installation have no fullpath
    if(drv32.indexOf("\\..\\")>=0) score+=200; // not occur if envelope runs in root dir
    if(!drv32.match(/.(drv|dll|acm|ax)$/)) score+=100;   // almost
    if(!try_verify(drv32)) score+=500;     // fullpath, and not signed
  }
  return score;
}

var log="";
for(var i=0;i<100;i++){
  var drv32=get_drv32(i);
  var score=get_score(drv32);
  if(drv32) log+=i+":"+drv32+(score? " ←うひょー("+score+"てん)":"")+"\n";
}

WScript.Echo(log);
697192.168.0.774:2009/05/21(木) 12:15:10 ID:uWfdv9Yt0
>>695
今すぐ回船切ってクリーンインスコ
アンチウイルスソフトをアンインストールする場合は、先に別のベンダーからソフトをダウンロードして、
回線切ってからアンインスコ→別のアンチウイルスソフトインスコ
しなきゃ駄目だよ。ちょっと遅かったが
698192.168.0.774:2009/05/21(木) 13:07:39 ID:u9uYKMw90
>>375は結局ブロックする方向でいいのかな?
699192.168.0.774:2009/05/21(木) 13:11:42 ID:DqsQKmEA0
感染確認サイトを個別にブロックする意味はなさそうだけど。

汚物はしょうk(ry 主義なら好きにすればいいさ。
700192.168.0.774:2009/05/21(木) 14:08:00 ID:mug1+zSgP
別にアンチウィルスてコンスタントに何かを防ぎ続けるもんじゃないから
よっぽど高度な挙動をするウイルスでない限り切ったからってすぐ感染するもんじゃないしww

FW機能があるなら話は変わるけど
701192.168.0.774:2009/05/21(木) 14:09:24 ID:/j9DsikN0
全然使わないから、今何気にAcrobat Readerのver見てみたら
6.0だったww たま〜にPDF見るくらいだけど最新版(9.1?)にした方が
いいの?
702192.168.0.774:2009/05/21(木) 14:11:25 ID:u9uYKMw90
>>699
そうだよね
確認サイトであって怪しい動きのIPじゃないもんね
新しいドメインとIPが出ない事を祈りたいわw
703192.168.0.774:2009/05/21(木) 14:14:29 ID:gqXw+5g20
むしろadobeはアンインスコしてpdfはsusieプラグインで見るべき
704192.168.0.774:2009/05/21(木) 14:17:42 ID:tyoPo/8k0
エロゲーしかやらない連中は、susieでいいんだろうなw
705192.168.0.774:2009/05/21(木) 14:20:16 ID:lxL0b+ov0
>>698

単独IPに関しては
>>380に見に行ってくれた人がいるので、参考にしてください。

213.0.0.0 - 213.255.255.255 213.0.0.0/8 に関してはあまりに範囲が広いので、
ご自分のモットーに基づいて決めるのがよろしいかと。

ただOpera使いなら ブロック範囲を分割とかして
213.236.208.0 - 213.236.208.255 の範囲を遮断しない方がいいかもってことです。

213.0.0.0 - 213.236.207.255
213.236.209.0 - 213.255.255.255

自分の場合は、今後の為にもマルウェア作者御用達の海外ISPは遮断しておこう という考えです。
どうしても行きたいサイトがあったら、例外許可ルールを作って行けばいいかなと。

あと、サイトだけはクリーンにしても、それを編集するPCはまだ感染中という状況も考えられる為、
国内の過去感染サイトへのブロックもしばらくは解かずにおこうと思っています。
gumblar.cnのような親玉をピンポイントで追跡できれば、本当はいいんですけどね。

最新バージョンを使っていない人がこんなにも沢山いると知った最近。
次に狙われるのがQuickTimeのような気がしてならない・・・。 ど素人の浅知恵ですが・・・こわい。
706192.168.0.774:2009/05/21(木) 14:23:31 ID:/j9DsikN0
>>703-704
susieか、ありがd。ほとんど使わないなら消しちゃっても
いいんだよな・・用途としてはマニュアルとか落として見るぐらいという。
6.0消して9.1にしとくか
707 ◆f/iQdjPxCM :2009/05/21(木) 14:23:57 ID:d89Bw+Uf0
>>696
drv32auxlist_wsh_js.lzh
ttp://www1.axfc.net/uploader/Sc/so/3060
testD32auxLST

WSHとかJScriptとか普段触らんものでアレだが、
とりあえず少しだけいぢってみた。
batはdebug用。コマンドプロンプトから実行のこと。
通常(?)用はエクスプローラから js を直接ダブルクリック。

触ってみた上で思うにやっぱ俺はこの辺のスクリプトは好みじゃないわ。
ってことで、このスクリプト触るのはここまで。
ってことで >>696 に返却してみる(ぉ


>>661
Web時代の遥か前、POKEしてDEFUSERしてUSR(0)してた時代から逆汗って表記はあったわい。
708192.168.0.774:2009/05/21(木) 14:40:51 ID:8wVk5E5IP
つい最近、このウィルスを知った
エロサイトばかり見てたんで感染してると思い
オンラインスキャンしたけど感染してなかった
709192.168.0.774:2009/05/21(木) 14:45:35 ID:tyoPo/8k0
>>708
板違い 
夢・独り言 
http://life7.2ch.net/yume/
710192.168.0.774:2009/05/21(木) 14:57:26 ID:8wVk5E5IP
これぐらい良いだろ
潔癖厨ってどの板にも居るのな
711192.168.0.774:2009/05/21(木) 15:01:39 ID:5pSWNVp50
潔癖症
712192.168.0.774:2009/05/21(木) 15:10:04 ID:NLTAaeBv0
             /)
           ///)
          /,.=゙''"/
   /     i f ,.r='"-‐'つ____   こまけぇこたぁいいんだよ!!
  /      /   _,.-‐'~/⌒  ⌒\
    /   ,i   ,二ニ⊃( ●). (●)\
   /    ノ    il゙フ::::::⌒(__人__)⌒::::: \
      ,イ「ト、  ,!,!|     |r┬-|     |
     / iトヾヽ_/ィ"\      `ー'´     /
713192.168.0.774:2009/05/21(木) 16:01:41 ID:+uyw5bbX0
loca.zombie.jp/

This page seems to be <clean>
714192.168.0.774:2009/05/21(木) 16:08:52 ID:J3ZHp0dK0
>>708
オンラインスキャンじゃ、まだ検出できないし駆除も
715192.168.0.774:2009/05/21(木) 16:19:10 ID:mMLuWcQ+0
>>705
>次に狙われるのがQuickTimeのような気がしてならない・・・。
今回の件で慌ててadobeを最新にしたんだが、他にも定期的に更新した方がいいものがあるの?
プログラムの追加と削除から今入ってるプログラムを確認してはみたが、
数が多くてもうさっぱり・・・orz
ちょっと真剣にパソコンのこと勉強するわ
716192.168.0.774:2009/05/21(木) 16:22:07 ID:vZHtKx2p0
そもそも定期的に最新ヴァージョンを確認するのは基本だろ
717192.168.0.774:2009/05/21(木) 16:23:27 ID:ouaWrZvh0
>>715
バージョンアップして支障が出るとかじゃない限り、全部最新版にしましょう。
718192.168.0.774:2009/05/21(木) 16:26:12 ID:mMLuWcQ+0
>>716-717
ありがと ちょっといろいろ更新してくる
719192.168.0.774:2009/05/21(木) 16:26:33 ID:WMbKvcUD0
でも古いPCを使ってると
新しいの新しいのと入れてくと支障が出るんだよ…重くてたまらん
買い替え時期かねえ
720192.168.0.774:2009/05/21(木) 16:36:20 ID:dz/70cvK0
なぜ同人サイトへの感染が多いか判明した

同人サイトのロボ避けアク解について 4
http://changi.2ch.net/test/read.cgi/doujin/1241579161/

これのせいでベンダーがアクセスできず検体が集まらない
721192.168.0.774:2009/05/21(木) 16:47:34 ID:ct/HoqyG0
>>714
自動的に駆除されます
http://www.kobayashi.co.jp/info/090512.html
722192.168.0.774:2009/05/21(木) 17:56:05 ID:vpHBGRcY0
>>715
使ってないものはアンインストールでおk
>>720
そういう自意識過剰なのは向こうでやってくれ
723192.168.0.774:2009/05/21(木) 17:57:50 ID:cYoQlSUL0
>>721
GENOウイルスは亜種が多く、感染したのが未対応の亜種だった場合は検出されない
検体スレなどを見る限りではバスターは元のウイルスがどうかはしらないが亜種への対応は
遅れている様子。また、製品で検知可能でもオンラインスキャンの場合はまだ
未対応な場合がある。よってオンラインスキャンを過信しすぎるのは危険
nortonですらオンラインスキャンはまだ未対応との情報があったりするくらい
なお、対応状況はそれこそ分刻みで更新されたりするため明言はできない
724192.168.0.774:2009/05/21(木) 18:09:16 ID:xUGMQnkL0
>>723
小林製薬なめんなよ
725192.168.0.774:2009/05/21(木) 18:10:05 ID:s9gx2Yxu0
GENOウイルスに同人サイト連鎖感染 拡大防止へ協力の輪広がる - ITmedia News
http://www.itmedia.co.jp/news/articles/0905/21/news077.html
726192.168.0.774:2009/05/21(木) 18:13:26 ID:z8aZ4AU+0
セキュ板はもっと評価されてもいいitmedia氏ね
727192.168.0.774:2009/05/21(木) 18:23:08 ID:QO4XJuQg0
>>725
> まとめサイト、イラスト……同人者も協力
「同人者」と呼ぶのはまさに同人者くらいなような気がしてたけど、まさか記者・・・w
728192.168.0.774:2009/05/21(木) 18:23:52 ID:vx67O38O0
同人者なんて言葉初めて聞いたわ
729192.168.0.774:2009/05/21(木) 18:26:23 ID:Q+U7Qc4s0
同人者なんてそれこそ同人板位でしか聞かないぞ
itmediaの記者って
730192.168.0.774:2009/05/21(木) 18:28:30 ID:4nCTTxjQ0 BE:1491008459-2BP(0)
モデムけとばしたのでIDかわった ID替えじゃないよ

>>707
グレー判定しきい値100てんかーw
※さっそく見たよっていう意味ですw

こういったスクリーニングテストツールの意味は、
「ええっとチェックページいったら、(ocx導入)がどうたらってこれどうすんですか?」
っていう人にも使えるといいなと思ってる

>>725
itmediaは贔屓にしているんだが、ここってGENO(店舗)とタイアップ記事が出たりするとこ
しかし、GENO(店舗)の名が出ていることに簡潔ながらきちんと触れているのは、おっと思った

>>726
荒れてたからかな itmediaも、news4vipも射程に入ってるし、CGM上等のとこだよ
ちなみに、岡田記者がモテない設定は、信じてませんw
731192.168.0.774:2009/05/21(木) 18:29:58 ID:x5rPgJAM0
GENOに関してはセキュ板の評価はできんだろ
732192.168.0.774:2009/05/21(木) 18:32:59 ID:Z6URyA3I0
いや、セキュ板はスレ1で既に感染経路も対策も挙動も押さえて解決済の流れだったろ
733 ◆f/iQdjPxCM :2009/05/21(木) 18:38:23 ID:tjxUUAI30
>>730

終わりと言っておきながらちょっとだけ追加で触ってみたw

drv32auxlist_wsh_js_with_logfile.lzh
ttp://www1.axfc.net/uploader/Sc/so/3110
testD32auxLST

結果をコピペで利用し易いように、結果をログファイルにも書き出すようにしてみた。
734 ◆XcxlmnqGqU :2009/05/21(木) 18:43:07 ID:d4fMVs60P BE:283070232-2BP(44)
# start.
-1:wdmaud.drv
1:wdmaud.drv
# end.


なんかよくワカラン
とりあえず乙
735192.168.0.774:2009/05/21(木) 18:50:10 ID:4nCTTxjQ0
wdmaud.drv は、通常は正規ファイルなので、名前が出てくるだけです
win32(EXE)なら、署名がMSのものであるか確認。とか簡単なのですけど、まあそれはともかく。

さっそくの試用ありです
736 ◆XcxlmnqGqU :2009/05/21(木) 18:53:29 ID:d4fMVs60P BE:1651240875-2BP(44)
ん…?
これはジエン乙ということでいいのかなww?
737192.168.0.774:2009/05/21(木) 19:17:17 ID:KAE/RXQk0
今北 ブッチャケたいした事無いウイルスだったな あとは亜種の出現さえ気をつけてればおk?
738192.168.0.774:2009/05/21(木) 19:18:56 ID:tAeZmN4DO
初心者なんだけどこの一件があってからPC触れない・・・

ホームをニフティにしてるし、どのサイトを見なければ大丈夫なのか分からない(;ω;)同人は興味がないから見ないんだけど
739192.168.0.774:2009/05/21(木) 19:43:07 ID:z/TP2PNi0
感染サイトリストにのってる感染サイトも今日でかなり減った
martuz.cnは死んでるし後継のサーバに切り替わってもいないので、現状感染の危険は低い

ただ、感染サイトリストの主上支局だけは未だに危険
たぶんGENO系ではないと思うが、条件を満たすとbasesrv3.netからpdfがダウンロードされて攻撃を受ける
http://www.virustotal.com/jp/analisis/0369bad2d92a0842b86ba99142d6d06f
740 ◆f/iQdjPxCM :2009/05/21(木) 19:48:54 ID:ojZk/IpX0
ごめん、>>707, >>733 にはアホにして致命的なミスが……。
drv32auxlist_wsh_js_with_logfile_fix100.lzh
ttp://www1.axfc.net/uploader/Sc/so/3129
testD32auxLST

スコアが100点丁度の場合に表示されるべき文字列が表示されていなかったのを修正。



>>736
よくわからんけど推測するに、俺としては、
「さっそくの試用ありです」はWSH化プロジェクト主任として、だと思うよ、思うよ!
と言っておけば良さげ?
741192.168.0.774:2009/05/21(木) 20:09:40 ID:vpHBGRcY0
>>738
同人は関係ないよ
勉強する気があるのならこのスレの上のほうをよんで対策をすればおk
ないのならそのままPCを使わなければおk
742192.168.0.774:2009/05/21(木) 20:10:09 ID:EM4pupf50
>>738
今はどれが駄目だと言えないので、まとめサイトを見て対策をしっかりやって下さい
743192.168.0.774:2009/05/21(木) 20:18:27 ID:tAeZmN4DO
>>741>>742
はい。wikiの初心者説明を見て対策はしておきました。
ちょっとワォなサイト散歩をしたいのでチェックを忘れないようにしたいと思います。ありがとうございました

ちなみにニフティはもう平気ですかね?ホームなんですが・・
744192.168.0.774:2009/05/21(木) 20:23:19 ID:/AL99V5x0
ニフティ全部黒ってのはデマなんじゃなかったっけ?
745192.168.0.774:2009/05/21(木) 20:26:10 ID:LOJujChK0
デマです
なんで平気です
746192.168.0.774:2009/05/21(木) 20:35:52 ID:DI5tBcbu0
>>743
メールやウェブ見るくらいなら制限ユーザーでログインするというのも1つの手だよ。
747714:2009/05/21(木) 20:47:09 ID:tw/tpoPX0
>>723
支援ありがと。しかし721はGENOスレいるわりには、学んでないなー、
748192.168.0.774:2009/05/21(木) 20:47:45 ID:KAE/RXQk0
>>746
なるほどその手があったか じゃあ管理者の親父が踏まない限り安心だな っていうか親父にGENOウイルスについて聞いてみたが「そんなウイルス何処で流行ってるの?」と流された まぁ親父は三次にしか興味ないしねw
749192.168.0.774:2009/05/21(木) 20:50:40 ID:YvOVChDX0
aviraがうpデートできないの俺だけ?
750192.168.0.774:2009/05/21(木) 20:50:42 ID:MuvpYCOm0
三次ってw
ウィルスは感染サイトのジャンルなぞ選ばないぜ
751192.168.0.774:2009/05/21(木) 20:51:10 ID:6NtuQ2nm0
多少収まってきたか…
しかし何仕込まれて何されるかわからんから油断できない状況だな
752192.168.0.774:2009/05/21(木) 20:56:31 ID:tAeZmN4DO
>>745
ホッとしました!ありがとうございます。これからエンジョイしてきます

>>746
制限なんとかっていうのはどういったことなんですか?すいません、無知なもんで
753192.168.0.774:2009/05/21(木) 21:01:11 ID:z/TP2PNi0
被害が多発する「Gumblarウイルス」への対策を実施しよう
http://internet.watch.impress.co.jp/cda/special/2009/05/21/23523.html
754192.168.0.774:2009/05/21(木) 21:02:19 ID:UH9xILLB0
>>752
人に聞く前に自分で調べたりしないの?
755192.168.0.774:2009/05/21(木) 21:02:44 ID:5ZXWqiM40
>748
ぶっちゃけ「駄目だこいつ、早く何とかしないと……」状態なんで自分で取れる対策
(Flash PlayeやAcrobat Readerのアップデート、重要なファイルのバックアップ等)はやっとけ。
756192.168.0.774:2009/05/21(木) 21:05:42 ID:DI5tBcbu0
>>748
親父さんも制限ユーザーで使ってもらったほうがいいかもね。
>>752
とりあえず、「windows xp アカウント 管理」のキーワードでググってみてちょうだい。
757192.168.0.774:2009/05/21(木) 21:12:41 ID:vpHBGRcY0
>>752
エロサイトにいく際には基本的な対策を怠らないようにな

つぎの質問予想
デスクトップに変な広告が出てきて消えません><
758192.168.0.774:2009/05/21(木) 21:14:53 ID:tAeZmN4DO
>>754
申し訳ありません。もっと勉強します

>>756
ありがとうございます
759192.168.0.774:2009/05/21(木) 21:18:46 ID:6T3iMyEp0
>>654
実は、メッセージボックスはCtrl+Cで内容コピーできる。これ豆知識な。
760192.168.0.774:2009/05/21(木) 21:21:07 ID:lZlKzZVJ0
xpを制限ユーザーで使ってる人って少ないのか?
そんなに不便じゃないと思うんだけどなー
時刻の変更だけは出来るように設定変えたけど・・・
761192.168.0.774:2009/05/21(木) 21:23:10 ID:+QdHPnsI0
>>721>>721>>721>>721>>721うそ

>>747 コレぐらいアンカしとけばいい?
762192.168.0.774:2009/05/21(木) 21:28:05 ID:isIFtn8E0
>>761
小林製薬なめんなよ
763192.168.0.774:2009/05/21(木) 21:32:14 ID:4nCTTxjQ0
>>740
やすみやすみ手を動かす意向

>>759
70へぇ
764192.168.0.774:2009/05/21(木) 21:53:51 ID:FlSfirp40
>>749
俺はできたよ。
昨日はすげーー重かった。
765192.168.0.774:2009/05/21(木) 21:57:36 ID:YvOVChDX0
そろそろjavaオンにしても平気かい?
面倒でしょうがないんだが。
766192.168.0.774:2009/05/21(木) 22:00:38 ID:DI5tBcbu0
>>760
GENOウイルススレ見てても、少なそうだよ。
俺もほとんど制限ユーザー上で作業してるけど、使えないソフトもあるし、ある程度、敷居は高いと思う。
767192.168.0.774:2009/05/21(木) 22:02:51 ID:43Ar21pW0
スレの流れが穏やかになったな。
768192.168.0.774:2009/05/21(木) 22:04:44 ID:Yrwr0eOI0
>>765
Javaはいいんじゃないか。今回の件には一応無関係
JSは自己責任で
769192.168.0.774:2009/05/21(木) 22:05:13 ID:oS1FR0qI0
>>172
WinXPの仮想環境無いのでWin2Kの方の結果だけど、userグループ(XPの制限ユーザー)で実行した場合はこんな感じ。

・ウイルスのexeファイル実行 → 可能(実行される)
・レジストリの改変 → 行われない
・ウイルス本体ファイルの作成(レジストリに登録される方のファイル) → 行われない
・sqlsodbc.chm → 作製されない。(最初に存在しないWin2Kの場合)
・元のexeファイルの自己消去 → 行われる
・実行後に再起動した後、AntiVirでウイルスチェック → 何も検出されない

なんで、やった感じでは実行失敗してbatファイルだけ起動,証拠隠滅して逃げたように見えますね。(苦笑
userでも消去用のbatファイルが実行されて証拠が消える所は、結構気を使っているのかな、と思いました。

ということで、絶対の自信はないけど、制限ユーザーで使っていれば一応安全じゃないかと思います。

あと、おまけでpdf,exe,本体の現状の検出状況(先程再解析),5/17に配布されていたものに対して
 pdf - http://www.virustotal.com/jp/analisis/c24bba8da597bb169cb1330506fb80b9 (19/39)
 exe - http://www.virustotal.com/jp/analisis/7d27befbc1b7539f89db0928e467dade (28/40)
 本体 - http://www.virustotal.com/jp/analisis/125fc6c8da09a089429ddb55bf465652 (22/40)

本体検出できるベンダー、かなり増えました。 昨日の時点から、BitDefenderが検出できるようになったのは大きいかも。

※ VTで検出できなくても実際には検出できるベンダーもある(データベース更新のタイムラグや、
  エンジンのバージョンの違いで起きる)ので、VTは参考程度にお願いします。(VTを絶対視しない)

追記) 個人的には、次の攻撃サイトができるとしたら今回も週末じゃないかと思いますので、一応まだ注意は必要かと。
770192.168.0.774:2009/05/21(木) 22:21:17 ID:DI5tBcbu0
>>769
検証乙です!大丈夫だろうなぁと思っていても、実際に確認してもらえると、安心です。(絶対ではないですけどね)
771192.168.0.774:2009/05/21(木) 22:27:55 ID:RmyUSDtkO
ウイルス元のサイトが止まってるから今は平気だとかなんとか聞いたけど、だから流れ穏やかなのかな?
でもまだ怖いことには変わりないよなぁ…
アンチウイルスソフトが全体的に駆除まで対応してくれるようになったら安心できるかな
772 ◆XcxlmnqGqU :2009/05/21(木) 22:30:10 ID:d4fMVs60P BE:471783825-2BP(44)
>>769
すみません検体もらえますか?

773192.168.0.774:2009/05/21(木) 22:46:53 ID:DqsQKmEA0
>>772
アホか。ウイルスの再配布要求してどうするよ。

例外を除いて、不正指令電磁的記録 の作成・所持・配布が罪になる法律ってGOサイン出たんだっけ?
取り敢えず、アウトー。
774 ◆XcxlmnqGqU :2009/05/21(木) 22:50:56 ID:d4fMVs60P BE:1415349656-2BP(44)
>>773
研究と過失は対象外

 例えばウイルス除去ソフトやウイルス対策ソフト用ウイルスパターンを作成する研究のために、
自分のコンピュータでウイルスを実行させるケース、そのために保管するケースなどは、改正案で処罰の対象になるか。

 刑法の用語として、「人の」と記載されている場合、これを「他人の」と読み替えることが一般的である。
そのため、「人の電子計算機における実行の用に供する目的」とは、
いわば「他人のコンピュータでウイルスを実行させる目的」という意味になる。

 それなら、はっきりと「他人の」と、あらかじめ法律に明記しておけばいいのだが、こうした法律の世界の悪習は、
残念ながら捨て去られることなく、今回の法案でも放置されたままである。困ったものだ。


 その点はともかくとして、こうした目的がない場合には処罰の対象とならない。このため、前述のような研究のための行為は、
この目的がないことになり、処罰の対象から除外される。

 また、対象はすべて故意犯であり、過失は処罰されない。感染したサーバーの管理者が、
不注意で他のコンピュータに感染を拡大させてしまった場合でも、処罰の対象にならない。

ttp://itpro.nikkeibp.co.jp/article/Watcher/20060306/231817/
775192.168.0.774:2009/05/21(木) 22:51:23 ID:CxKNZtih0
お前らなんでも知ってるんだな
776192.168.0.774:2009/05/21(木) 22:53:38 ID:vpHBGRcY0
>>765
Javaはまあ今回のとは関係ないけどJavaScriptだとしたら
Genoだけの問題じゃないから日ごろからFirefox+NoScriptのが安全だよ
777192.168.0.774:2009/05/21(木) 22:55:31 ID:lZlKzZVJ0
>>774
>  また、対象はすべて故意犯であり、過失は処罰されない。感染したサーバーの管理者が、
> 不注意で他のコンピュータに感染を拡大させてしまった場合でも、処罰の対象にならない。

GENOさん、大勝利!
778192.168.0.774:2009/05/21(木) 23:00:51 ID:LXDySYKX0
>>777
その結果ウイルス名になったんだけどなw
さすがだぜGENOさん
779192.168.0.774:2009/05/21(木) 23:04:31 ID:4b52MDP40
さすがGENO! おれたちにできない事を平然とやってのけるッ 
そこにシビれる! あこがれるゥ!(AA略)
780192.168.0.774:2009/05/21(木) 23:05:49 ID:gJ6yueXV0
>>765
平気もなにもブラウザのJavaScriptならもともと切る必要はなかったよ。
切っておく必要があったのはAdobe ReaderのJavaScriptの方。
781192.168.0.774:2009/05/21(木) 23:11:48 ID:2O8F+czw0
検体出せ/よこせとか言ってる奴は無条件でNG対象だからな
782769:2009/05/21(木) 23:17:35 ID:oS1FR0qI0
>>772
検体は、セキュ板の検出スレに行けば入手できます。私が提出している分もそっちに書き込んでます。
とは言ってもdat落ちしてますので必要なところだけ(行数削減のためです)転載しておくと、

【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/954
> 954 名前:699[sage] 投稿日:2009/05/17(日) 14:21:54
>
> martuz.cn新種(2009/05/17版) 相変わらずVTの判断ではほとんどスルー。
> ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=328
>  DL virus/解凍 virus
>
> martuz_cn_id2_20090517.pdf
>  http://www.virustotal.com/jp/analisis/d0f152cbbb8243f084d05485a3d7c3a6 (2/40)
> martuz_cn_id10_20090517.exe
>  http://www.virustotal.com/jp/analisis/7e25c8d2c3766206c20482234449894d (3/40)

http://pc11.2ch.net/test/read.cgi/sec/1235459712/963
> 963 名前:699[sage] 投稿日:2009/05/17(日) 21:47:56
>
> >>954
> ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=329
>  DL martuz/解凍 infected  ※ 注意喚起のため、いつもと違います。
>
> え〜、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
> 作成されるファイルを仮想PCで確保してみました。
> ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)
>
> muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。
>  http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1a (2/40)
>
> sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白)
>  http://www.virustotal.com/jp/analisis/395c9f2d6d6d38525fb24b3722664bfa (0/40)

mubl.exeの方は中身が微妙に違いますが、mwgpedu.tya同様 5/17のexeを実行した時にできたファイルなので
検出結果は同じになります。(逆に、同じになることがわかっているので、検出スレには提出していません)


それで、検出スレの方々はみんな承知で扱っているので誰も取り扱いに注意喚起していませんが、念のためここでは書いておきます。

検出スレに出てくるマルウェアは新種が多いので、セキュリティソフトをスルーする(検出できない)ものが多く入っています。
一発間違うと簡単に逝きますので、取り扱いには十分な注意をお願いします。(今回のgumblar関係もそうですが
仮想環境で試しても、セキュリティソフトを簡単にすり抜けて感染するものが結構あります。 検出可否スレは、そういうものを
分担して各ベンダーに提出し、各ソフトの検出力アップに少しでも役立とう、という趣旨のスレです。)

また、自分が持っているファイルがウイルス(マルウェア)かどうか知りたいだけなら、検出スレに出さず、
Virustotalに投げてください。→ http://www.virustotal.com/jp/
783 ◆XcxlmnqGqU :2009/05/21(木) 23:17:57 ID:d4fMVs60P BE:754852782-2BP(44)
>>781
純粋に来たるべき第四のGENOウイルスの発生に備えて解析して対策をサイトにのせたいだけですけど
他の人が間違って落とさないように送信先メールも出してるじゃん!
784 ◆XcxlmnqGqU :2009/05/21(木) 23:19:52 ID:d4fMVs60P BE:943566645-2BP(44)
>>782
Thanks a lot!!!!
785192.168.0.774:2009/05/21(木) 23:24:17 ID:aRc7vVf8O
先生とAvast二つ入れちゃ駄目ですかね?
786192.168.0.774:2009/05/21(木) 23:24:22 ID:FHML1wdv0
>>780
いや、htmlのJavaScriptが動かないならその先のadobeも動かないんだから無意味ってワケでもないんじゃね?

>>765
どーしても心配ならJavaScriptのeval関数だけ止めればいいよ
787192.168.0.774:2009/05/21(木) 23:25:04 ID:2JyyvMnb0
>>780
マジで!?
Adobeとブラウザ両方じゃなかったっけ?
ブラウザのほうは念のため、だったっけか
788769:2009/05/21(木) 23:31:01 ID:oS1FR0qI0
>>770
プロが解析している訳じゃなくて、あくまで仮想環境で一個人が検証しただけだから、それだけで安心されても
困るけど、誰も検証してないよりはマシってことで。(苦笑

>>773
や、それを理由に検出スレが潰れたら、結構面倒なことになるな。(苦笑

検出スレで出てくる検体をベンダーに提出した場合、結構な割合でベンダーが確保していない
検体であることが多いらしい。 『 新種のマルウェアでした。協力感謝(英語意訳) 』っていうメール良く来るし。

マメに検体を提出してる人って少ないみたいなんで、意外とベンダーの役には立っているっぽい。
789192.168.0.774:2009/05/21(木) 23:42:32 ID:gJ6yueXV0
>>786
もちろん無意味ではないけど、ブラウザのJavaScriptは本当に必須でない限りは
なるべく切らないで済む方向で対策するのが正しいと思ってる。
790192.168.0.774:2009/05/21(木) 23:50:49 ID:zyfMix0n0
今更だけど、ウェブページがGENOウィルスに感染しているか確認するユーザスクリプト
パスはgeno
http://www1.axfc.net/uploader/He/so/226944.js

特徴
・avastなどのセキュリティソフトをインストールせずにサイトがGENOウィルスに感染しているか確認できる
・JavaScriptオフでも検知できる
・踏んでからチェックするのでセキュリティソフトやGENOウィルスチェッカーの代わりにはならないが、JavaScriptオフならそれなりに安全に確認できる
・ウェブを巡回するついでにサイトが感染してるか確認、という用途を想定

使い方
・FirefoxにアドオンGreasemonkeyをインストール
・上のリンクからユーザスクリプトをダウンロードして保存
・保存したユーザスクリプトをFirefoxのウィンドウにドラッグ
・Greasemonkeyのダイアログが出るのでインストール
・適当にウェブを巡回してると怪しいサイトで「GENO virus detected」とアラートが出る

仕様
・ウェブページを開いたとき、head要素内にeval、unescape、replaceを全て含むscript要素があった場合アラートを出す
・楽天の広告で一部誤爆するので除外
791192.168.0.774:2009/05/21(木) 23:53:04 ID:5aSS03DC0
>>790
外部jsファイルはスルー?
792192.168.0.774:2009/05/21(木) 23:56:50 ID:f7cbstCp0
</head>と<body>の間はhead要素じゃないような
793192.168.0.774:2009/05/21(木) 23:59:22 ID:zyfMix0n0
>>791
スルーです
確かzlkon時代はラトビアのサーバから外部jsを読み込んでいたような気がしますが
あらかたgumblar、martuzに書き換えられていると思われるので除外しました
794192.168.0.774:2009/05/22(金) 00:00:15 ID:W9MI/teu0
>>788
だから検体提出とかの目的での保持は例外に該当。

◆XcxlmnqGqU みたいな信用のできない個人の要求に応えるために検体提出スレに上げてるんじゃ
ないんだから、そこは突っぱねて欲しかった。少なくとも>>734を見る限りでは、渡していい手合いじゃないと
私は判断した。

>>783
ここはそういうスレじゃないんだ。チラシの裏でも使って一人で解析しててくれ。
795192.168.0.774:2009/05/22(金) 00:04:48 ID:xGONDtTO0
>>792
すみません、こちらで感染サイトを確認したところ
head要素の末尾にscript要素を追加している例しか把握できなかったのですが…
head要素とbody要素の間にscript要素が挿入された例があれば教えてもらえますでしょうか
796192.168.0.774:2009/05/22(金) 00:05:52 ID:JhAtEZrx0
バスターさんパネェっす!
メールで「バスターはJSRedir-R(GENOウイルス)に対応してるか?未対応か? 」
と質問した方より結果報告。とりあえず誰か日本語に訳して下さい

299 :トレンド ◆NXK3myBI0w :2009/05/21(木) 22:03:16 ID:c9Tb1G8Z0
回答に関係する部分だけそのまま転載します。
URLは一応h抜きます。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
トレンドマイクロ・ウイルスバスタークラブセンターです。
弊社製品をご愛用いただき、誠にありがとうございます。

お問い合わせいただいております現象につきまして、現在お客さまにより
ウイルスが検出されないとのことで、このままでご利用になっていただいて
よろしいです。

また、以下手順にて「URLフィルタ」機能を有効にしてください。

-----------------------------------------------------------
    ■ URLフィルタ設定を変更するには ■ 
-----------------------------------------------------------

(1) タスクトレイのウイルスバスターアイコンをダブルクリックし、
  メイン画面を起動します。

(2) [フィッシング詐欺/迷惑メール対策] カテゴリをクリックします。

(3) [URLフィルタ(Webアクセス規制)]項目→「有効」→[設定] をクリックします。

(4) [URLフィルタを有効にする] チェックを入れてください。

詳細な操作手順は以下内容をご参考お願い申し上げます。

【「URLフィルタ」機能を有効/無効にするには】
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2062508&id=JP-2062508
797192.168.0.774:2009/05/22(金) 00:09:13 ID:iYO7AVxG0
まだバスター半年残ってるお・・・
798769:2009/05/22(金) 00:10:43 ID:JuszYnfT0
>>794
うーん、信用できんかなぁ。

◆XcxlmnqGqUさんは、今回のgumblar/geno関係のスレで他板も含め結構活発に活動されてますよ?
記憶違いでなければ、いずこかのまとめサイトの管理人さんだったはずです。(どのサイトまでかは確認してませんが)

それに、googleで検索すれば検出スレは結構簡単に出てきますし、検出スレが見つかればロダも簡単に
見つかるので、隠す必要もない気がします。(そこには過去の検体まで全部残っているわけですし)
799192.168.0.774:2009/05/22(金) 00:12:23 ID:mT4uGI520
>>796
・・・回答者(バスターの中の人)は日本人か?
800192.168.0.774:2009/05/22(金) 00:12:41 ID:HKjFbV920
本気で自分もバスターから別のに乗り換えようかな…

◆XcxlmnqGqUさんってGENOウイルスチェッカーの方だったような気が。
801192.168.0.774:2009/05/22(金) 00:14:12 ID:mT4uGI520
>>797
お前はまだいいよ
俺なんかあと3年(12.5.31期限)だぜ?

orz
802192.168.0.774:2009/05/22(金) 00:16:35 ID:W9MI/teu0
>>795
</head>の後ろではなく、<body の直前に挿入しているように見える。

</head>の後に改行等が入っていても、<body>の方にスクリプトひっついてるし。

803192.168.0.774:2009/05/22(金) 00:18:27 ID:9z1F8D4z0
>>798
◆XcxlmnqGqUが個人でググって検出スレ漁るのはどうでもいいが
何も知らない初心者がいるようなスレにリンク貼るなよ
804192.168.0.774:2009/05/22(金) 00:24:18 ID:+vezWg2O0
俺もバスター半年残ってるけどもういい
セキュリティソフトなんてどれも同じだと適当に決めた自分への授業料だと思うことにする
805192.168.0.774:2009/05/22(金) 00:29:39 ID:PPw6s2HN0
hostsと同じ回避方法として、ウイルスバスター2009のフィッシング詐欺対策
を有効にして「禁止するWebサイト」に登録する方法もある
登録例
http://zlkon.lv/*
http://gumblar.cn/*
http://martuz.cn/*
全ての.cnや.lvを禁止するには
http://*.cn/*
http://*.lv/*

感染サイトのJSが、ドメインで飛ばす物ではなく
IPで飛ばすJSの時はそのIPアドレスを登録する
例 http://95.129.145.58/*

これだけでも効果的だが
更に、FWで広範囲のIPアドレスを塞げば防御率も高まる
806192.168.0.774:2009/05/22(金) 00:31:15 ID:PPw6s2HN0
同人のまとめサイトのウイルスバスター2009のFW設定で、
”3.「プロファイルの詳細設定」ウィンドウの「例外ルール(プロトコル)」タブをクリック”と、

プロトコルの設定が記載されているが、例外ルール(プログラム)側にIEがデフォルトで登録されているので
IEを使う場合は例外ルール(プログラム)側に入れないとIPブロックが機能しない

FW設定で
「方向」→受信(送信でも同じ設定を作る)

とあるが、今回のGENOは「方向」→送信
だけでも機能すると思われる
807192.168.0.774:2009/05/22(金) 00:31:18 ID:W9MI/teu0
>>795
追記:>>792さんは、>>790の「head要素内に」という表現に突っ込んでるだけかと。
    「head要素の後ろに」とか「body要素の直前に」と書けば解決する。

なお、手元のサンプルを適当に漁ってみたら、下記のようなサンプルを確認した。
この場合、「head要素の直後」という表現にしたらちょっとおかしいですね。
きっと、作成時にコピペしてゴミ残しちゃったんだろうな(苦笑)

<head>
本物のhead要素
</head>

<head>
</head>

スクリプト<body 〜>

>>798
>うーん、信用できんかなぁ。
その辺は、個人の判断かもしれませんので、信用に足る人物だと思われるのなら否定はしませんが、
本体の解析ができるようなスキルの人には思えません。

そんなことはさておいて、>803の意見は全面的に同意。検体の扱いは、もうちょっと慎重にね。
808769:2009/05/22(金) 00:32:52 ID:JuszYnfT0
>>803
やれやれ、とんだお邪魔をしたようだ。 気を悪くしたのなら申し訳ない。

情報交換するのにも苦情が出るようでは、このスレに書き込む意味も無さそうなので、引っ込むことにします。
809769:2009/05/22(金) 00:36:18 ID:JuszYnfT0
>>807
>806にも書いたけど、このスレですら配慮しろと言われるのでは、情報交換の場として使い辛い。

セキュ板が機能しなくて住人が多く来ていると予想していたが、どうもそういう感じでもないので引っ込みます。(苦笑
810192.168.0.774:2009/05/22(金) 00:39:08 ID:xGONDtTO0
>>792>>802
なるほど、ソースを確認したところ確かにそうですね…

ですが、実用上は問題ないと思われます
どうもFirefoxはhead要素とbody要素の間にあるscript要素については
head要素の子要素としてパースされるようです(Firebug調べ)
実際に試してみましたが、head要素とbody要素の間に挿入されたscript要素については現在のコードで問題なく検出できます

>>807
よろしければURLかコードを教えてもらえますでしょうか?
811 ◆XcxlmnqGqU :2009/05/22(金) 00:41:43 ID:9qFrAbkjP BE:943566645-2BP(44)
ごちゃごちゃと取り巻きが五月蠅いですね
多くは語りませんが2ちゃんねるってこういう何がしたいんか分からない人がよく沸きますね
まあ何か文句があるならメールでお願いします

>>808,809
私のせいでこんなことになってしまって
ホントすみません
812192.168.0.774:2009/05/22(金) 00:44:19 ID:W9MI/teu0
>>810
p://www■kma-japan■com/MAILFORM/order■html

サーバー管理者経由で、HP管理者宛に連絡済みです。

ここは妙なことに、全てのページではなく、感染コードが入ってるのが一部のページだけでした。
他の感染サイトは、外部からバッチで書き換えられているのか、全てのファイルにスクリプトが
挿入されてたんですけどね。
813192.168.0.774:2009/05/22(金) 00:45:35 ID:gitsayf+0
>>811
あなたの事疑ってる人は同人スレ住人だと思います
検体という言葉の意味をよく知らないくせに過剰反応して某スレでも揉めていました

>>809さんも気になさらないでここにいてください
814192.168.0.774:2009/05/22(金) 00:49:15 ID:aVh0AvYN0
同人スレの奴らは本当酷いよな。
怪しい情報でも何でもかんでも流しまくって煽りまくってる。
815192.168.0.774:2009/05/22(金) 00:50:02 ID:2m/hk/s40
>>811
チェッカーでいつもお世話になってます。
一言お礼を。ありがとうございます!
816192.168.0.774:2009/05/22(金) 00:52:21 ID:vCSyuUek0
ID変えても口調変わってないからバレバレだぞ
817192.168.0.774:2009/05/22(金) 00:57:23 ID:9z1F8D4z0
情報交換とかIRCでやってりゃいいだろ
なんでバスターの質問で埋まってるスレでやるんだよ馬鹿か
818192.168.0.774:2009/05/22(金) 01:01:47 ID:zCBZxqV40
>>811
どんなツール使って解析してるんですか?
819192.168.0.774:2009/05/22(金) 01:02:26 ID:xGONDtTO0
>>812
どうも既にそのページは修正されているみたいですね…
ローカルで>>807の状況を作ってみたんですが検出は問題なく行えました
とりあえず現状のコードで対応できると思います

不具合もあると思うんで、また何かあったらツッコミお願いします
820 ◆f/iQdjPxCM :2009/05/22(金) 01:04:38 ID:p4PtKNk+0
>>803の「何も〜」にも、>>808-809の「情報交換〜」「セキュ板が〜」にも、
どちらにも肯ける半端者の俺。
そろそろいーかげん、再移動が必要なのかもね。

もう見てない気もするけど。
>>808-809
こっちも一本目の頃はまだしも、もう大分アレな状況ですやね。
理想的にはおっしゃるように情報交換ができるようにあれかし、だったわけですが、
実際にどうかを、流し読み程度ででも確認してからなら、
ブツの性質上もうちょっと慎重になられたのではないかと。
821192.168.0.774:2009/05/22(金) 01:09:47 ID:pwpKS6Xg0
◆XcxlmnqGqUの
検体くれ、送信先メールも出してるじゃん!
にイラッとした。
822192.168.0.774:2009/05/22(金) 01:13:45 ID:nqrraO7J0
769が煽る事になるタイミングで (苦笑 をつけてるところにイラッとした
823192.168.0.774:2009/05/22(金) 01:16:33 ID:aVh0AvYN0
お前らカルシウム足りてねーよ。
824192.168.0.774:2009/05/22(金) 01:21:14 ID:pwpKS6Xg0
>>822
そこはムカッとした。
825192.168.0.774:2009/05/22(金) 02:07:52 ID:tKaWvzvh0
どうでもいいけどウィバスの対応メールどう読み返しても理解できない。
826192.168.0.774:2009/05/22(金) 02:37:56 ID:mT4uGI520
ウィバスなんて略し方してる奴初めて見た
827192.168.0.774:2009/05/22(金) 02:46:55 ID:2m/hk/s40
ウィバスって何ぞ?
828192.168.0.774:2009/05/22(金) 02:49:35 ID:bGlTQ5mK0
ウィバスは初めて聞いた
斬新だな
829192.168.0.774:2009/05/22(金) 02:54:50 ID:lAyMQw7IP
ウィイレみたいな
830192.168.0.774:2009/05/22(金) 02:56:32 ID:fM81HjIp0
うぃー感じに冷めたバス入ってくるノシ
831192.168.0.774:2009/05/22(金) 04:16:38 ID:d3HnUz6J0
セキュ板が話になんない状態の中,ここはありがたかった.
しかし,ここももうダメみたいだな('A`)
832192.168.0.774:2009/05/22(金) 05:54:56 ID:/YuUAf8N0
>>599
目に見えない何かと戦ってる人おはようございます
アトランティスの戦士とは出会えましたか?
833192.168.0.774:2009/05/22(金) 06:18:47 ID:/uHRKq+M0
あのメールのダメっぷりからするとどう考えても
ウィンドウズバスターの略だろう
834192.168.0.774:2009/05/22(金) 06:45:52 ID:rsFCcgRF0 BE:662670645-2BP(0)
そろそろ、実質的に、「次の攻撃待ち」になってるか (皮肉な。来るに決まってるんだから。)

踏みたい奴とか、覗きたい奴とか、検体クレクレは、こっち移動しとくか?
内輪もめもほどほどにしとかんと、攻撃側に笑われるわ

あやしいファイルを実行するスレ 2層目
http://pc11.2ch.net/test/read.cgi/sec/1227543474/

※検体クレクレは、希望が通るとかはぎらないが、真剣なら発言は可能ってくらい
835192.168.0.774:2009/05/22(金) 09:30:56 ID:IMFk77240
この騒ぎも収束に向かいつつあるようですが、
jsについて詳しい人がいるようなので、今後の為にちょっと質問させてください。
朝から長文すいません↓

GENOウイルス関連のスレッドには、テンプレの一部に
「(新手のウィルス対策の為に)NoScriptを導入してください。」と書いてあります。
ブラウザのスクリプトを切る方法は他にもあるのに、わざわざNoScriptを導入するってことは、
そのページ内のスクリプトの一部を発動させたいというニーズもあるようです ・・・でも、そこでギモンです。
■そのサイト内に悪意のあるスクリプトがあれば、NoScriptでそれが分かるのでしょうか?

----以下、うまく説明できないので具体例です-----

これがNoScriptでスクリプトを許可する操作ウィンドウの画像なのですが・・・
https://addons.mozilla.org/en-US/firefox/images/p/846/943948800
いま自分が"悪意のGENOスクリプトが仕込まれてしまった"正規のサイト(この画像の)secunia.comにいるとします。

↓A↓
画像を見る限り怪しげなスクリプトには見えないので、
いつも通りにsecunia.com や http://secunia.com を許可したら最後!
悪意のGENOスクリプトが発動してgumblar.cnとの通信が始まってしまう!

それとも、

↓B↓
gumblar.cnへのスクリプトが仕込まれていた場合には、
この2つの選択肢の他に、ちゃ〜んとgumblar,cn を許可
(もしくはやけに長い名前で難読化されたgumblar.cn)を許可
という選択肢をNoScriptが与えられるから、それを許可しなきゃ大丈夫!(だとしたら感染サイトの判定に使える?)


Bであれば安心なのですが、jsのことが全く分からないので不安です。
このウイルスを報じるIT系のニュースサイトでも、感染防止策としてNoScriptの導入を薦めているところがありました。
多少のリスク低減はあっても、実質運任せの方法をお勧めはしないだろう・・・と思ったのですが、

もともとサイトにあった既存のjsにgumblar.cnへの直行コードが仕込まれている! といったやりとりを
どこかのスレで読んだような気がしました。
そして、だったらNoScriptでは判定できなさそう!! という素人の予測を拭いきれず、混乱している状態です。

そのあたり、お分かりの方がおりましたらコメントをください。
Mozilla NoScriptアドオンのページ↓
https://addons.mozilla.org/ja/firefox/addon/722
836192.168.0.774:2009/05/22(金) 09:32:45 ID:YGxiZT9U0
(苦笑←これ使うやつって性格が悪いやつが多いんだよな、俺の経験上だが。
837192.168.0.774:2009/05/22(金) 09:38:44 ID:sMo6AOvx0
>>835
ニュースサイトってほとんど2ちゃんソースのゴミばっかだから普通のまとめとか、チェッカとか見るだけでおk


zlkonに関しては回答はAですが、martuzは俺が見た限りではB。解析対策としてクッキーを発行させてる感じ…

NoScriptとかマジ糞不便極まりないから

  (Operaでflashオフにするのも有効です([F12]を押す→[プラグインを有効にする]のチェックを外す。
  Javaも切っとくともっと安全([F12]を押す→[Javaを有効にする]のチェックを外す)
  そのアタリが比較的楽に設定できる上にJavaScriptを犠牲にする必要がないOperaはお勧め

これでおk。てかこれが最強
JavaScriptだけではちなみに何もできない。せいぜいブラクラ

>>836
苦笑とかリアルで使っちゃう友達がいることに同情するわ
てか誰にレスしてんだよボケ
838835:2009/05/22(金) 09:38:51 ID:IMFk77240
>>835
の最後から3行目

>そのあたり、お分かりの方がおりましたらコメントをください。
は、
NoScriptアドオンのページではなく、このスレッドにお願いします。 という意味ですスイマセン。
839192.168.0.774:2009/05/22(金) 09:55:29 ID:rsFCcgRF0
俺はFxは食わず嫌いしてる(アンチではない)から、正確な意味がわからんのだが、
なにかにつけ、NoScriptはweb経由の攻撃の対策にあがってるのをみかけるし、
今回に限らず、こういうのなんかいれとけって意味に取ってるんだが、浅い理解としてはこれでいい?
840192.168.0.774:2009/05/22(金) 09:57:35 ID:sMo6AOvx0
841835:2009/05/22(金) 10:06:08 ID:IMFk77240
>>837
さっそくの回答ありがとうございます。

・・・ということは、
zlkonの場合、NoScriptで一見安全に見えるスクリプトだけを選別して発動許可しても、
その行為そのものが2度手間となるだけで、問題のスクリプトはしっかり発動。
穴だらけの風邪予防マスクをしているのと同じくらい無駄ってことですね・・・。

嫌な結果でしたが、本当のところが分かったので質問して良かったです。
ありがとうございました!!

あとは、新たなウイルスへの感染予防策として「NoScriptの導入」を薦めているIT系ニュースサイトの記事が
偽の安心を得るだけのミスリードにならなければ良いのですが・・・。
842192.168.0.774:2009/05/22(金) 10:06:34 ID:Y9O1O2d80
837=769
843192.168.0.774:2009/05/22(金) 10:08:12 ID:DsrUeRsBP
火狐使いじゃないけど、俺ならNoScriptよりPrefBar使うな
分かる人ならProxomitron辺りが安全なんじゃないのかな
844192.168.0.774:2009/05/22(金) 10:17:15 ID:NIebWXQX0
全タブ一括制御のPrefBarはセキュリティ的には役立たず
NoScript+Tab Permissionsが最強
845192.168.0.774:2009/05/22(金) 10:18:52 ID:hW3CCK/J0
フィルターをつくろか思った人がいたけど
説明するのがめんどくさいといってやめた人がいた。
846192.168.0.774:2009/05/22(金) 10:20:04 ID:hW3CCK/J0
845は、日本語がおかしい。
フィルターをつくろうと思ったんだけど
説明するのがめんどくさいといってやめた人がいた。
847192.168.0.774:2009/05/22(金) 10:23:40 ID:rsFCcgRF0
>>840
んーあーいやちょっとまった、対策したいんじゃなくてだな、
なぜNoScriptの名が挙がってるのかというかだな

なにしても、うっかりすると侵入されちゃうもんだ
砂箱系を、どれでもなんかいれとくと便利
俺の使ってる奴も、設定ひとつで箱内感染が防げたし
砂箱は併用で最強。

※いっぺん、設定画面でできるの忘れてて、レジストリいじらないといけないってウソつきました ゴメソw
848192.168.0.774:2009/05/22(金) 10:34:35 ID:DsrUeRsBP
>>846
そうか、惜しいな
作るのはともかく使うのは簡単な気もするが、質問多くなりそうだもんな
849192.168.0.774:2009/05/22(金) 10:45:52 ID:xgbQbsd90
そのへんのあれで>>68

2.使用しているブラウザのJavaScriptをオフにする。※これ重要
 (FirefoxならNoscript導入が便利)

に変えようという話だったんだよね(前スレで)
Noscriptの名前まだ入ってるけど
850192.168.0.774:2009/05/22(金) 10:49:21 ID:OMOPP9BQ0
BlockSiteというアドオンで*martuz.cn/*登録してた
851192.168.0.774:2009/05/22(金) 10:58:15 ID:DsrUeRsBP
ドメイン弾きとかって、なるべくブラウザ依存にさせない方がいいと思うんだ
852192.168.0.774:2009/05/22(金) 11:03:05 ID:xgbQbsd90
>>796
ウイルスバスターのチャットサポートで聞いた人がバスタースレにいたよ

162 名前:192.168.0.774 [sage] 投稿日:2009/05/22(金) 10:37:07 ID:icH3Cgbg0
>>147
>Q:「バスターはJSRedir-R(GENOウイルス)に対応してるか?未対応か? 」

GENOウイルス(通称)に御社は対応済みか?
チャットで訊ねたら、「GENOウイルス(通称)について詳しく教えて下さい」だって。
色々やり取りした結果、全く把握していなかった・・・。

俺:そうですか、もういいです。有難う。
オペレーターが悪かったのかどうかは知らんが、一週間前に問い合わせた結果がコレ。

自分で出来る自己防衛はしたつもりだが、来年2月一杯で更新だが、PC買い替えの予定。
Win7になっているだろうから、さすがにオサラバしようかなぁ。。。

8年バスター使って来たけどこれはないよな・・・。
853192.168.0.774:2009/05/22(金) 11:18:19 ID:cx0d78o90
>>790
楽天誤爆するんかいな。 replace、unescape、evalのコンボで表示する広告を出してるってことかw
854192.168.0.774:2009/05/22(金) 11:25:38 ID:cx0d78o90
>>786
JavaScriptのeval関数だけ止めるってどう設定するん?firefoxのアドオン?

よーわからんが、こんなページをみつけた
http://sound.jp/antilink_testpage/cut_jscript_includingEval.html
855192.168.0.774:2009/05/22(金) 12:05:01 ID:YGxiZT9U0
Firefoxの拡張機能なら、
NoScriptよりもAdblockや Flashblockの方が使い勝手が良かったな。
地味だがLink Alertも便利だと思う。
リダイレクトで跳ばすページならRedirect Removerかな。
httpsに弱いけれども、ブラウザに依存せず、自分でフィルターが書けるなら、
>>843の通りProxomitronがいいな。
汎用性も高いし。
856192.168.0.774:2009/05/22(金) 12:08:49 ID:W9MI/teu0
UnderForge of Lack に紹介されていた、アナライザーの記事。

Inside the Massive Gumblar Attack
ttp://www.martinsecurity.net/2009/05/20/inside-the-massive-gumblar-attacka-dentro-del-enorme-ataque-gumblar/

名称:Gumblar / Martuz / Geno attack(GENOはいってますw)
動作:
 Steals FTP credentials(FTPパス抜き)
 Sends SPAM(SPAM送信)
 Installs fake anti virus(偽アンチウイルスソフトインストール) “System Security 2009″らしいです。
 Highjacks Google search queries(Google検索結果乗っ取り)
 Disables security software(セキュリティソフト無効化)
857192.168.0.774:2009/05/22(金) 12:09:10 ID:9Vc0W58m0
admファイルを作ろうとしてるんだが、↓こんな記述でいいのかね?

CLASS USER

CATEGORY !!L_AdobeReader
CATEGORY !!L_Version9

POLICY !!L_Javascript

KEYNAME "Software\Adobe\Acrobat Reader\9.0\JSPrefs"

PART !!L_Setvalue DROPDOWNLIST
VALUENAME bEnableJS
ITEMLIST
NAME !!L_DisableJavascript VALUE NUMERIC 0 DEFAULT
NAME !!L_EnableJavascript VALUE NUMERIC 1
END ITEMLIST
END PART
EXPLAIN !!L_EnableOrDisableJavascriptExplain
END POLICY

END CATEGORY
END CATEGORY


;;
;; Policies も記述しないとコンソール右ペインに表示されない?よくわからん。
;;
CATEGORY !!L_AdobeReader
CATEGORY !!L_Version9

POLICY !!L_Javascript

KEYNAME "Software\Policies\Adobe\Acrobat Reader\9.0\JSPrefs"

PART !!L_Setvalue DROPDOWNLIST
VALUENAME bEnableJS
ITEMLIST
NAME !!L_DisableJavascript VALUE NUMERIC 0 DEFAULT
NAME !!L_EnableJavascript VALUE NUMERIC 1
END ITEMLIST
END PART
EXPLAIN !!L_EnableOrDisableJavascriptExplain
END POLICY

END CATEGORY
END CATEGORY

*** 分割 ***
858192.168.0.774:2009/05/22(金) 12:09:39 ID:9Vc0W58m0
*** 分割続き ***

[Strings]
L_AdobeReader="Adobe Reader"
L_Version7="Adobe Acrobat Reader 7.x"
L_Version8="Adobe Reader 8.x"
L_Version9="Adobe Reader 9.x"
L_Javascript="Acrobat Javascriptの使用"
L_Setvalue="設定値"
L_EnableOrDisableJavascript="Acrobat Javascript: "
L_EnableJavascript="Javascriptを使用する"
L_DisableJavascript="Javascriptを使用しない(推奨)"
L_EnableOrDisableJavascriptExplain="Adobe ReaderのJavascriptを有効にするか無効にするかを設定します。Adobe Readerの脆弱性を狙った攻撃が増えていることから、AdobeはJavascriptを無効にすることを推奨しています。だったら最初から機能搭載すんなっつー話だよな。"


「おメーこの記述はねーよwww」とか突っ込みくれるとうれしい
859192.168.0.774:2009/05/22(金) 12:23:04 ID:DsrUeRsBP
>>857-858
おメーこの記述はねーよwww
よく分からんけど、KEYNAMEってそれだけでいいのか?
つーか、admファイルって何だよ!知らないよ、バカ!
860192.168.0.774:2009/05/22(金) 12:25:41 ID:xiOU0repO
ちょっと馬鹿馬鹿しい質問なんだけど

ケーブルを抜いていてネット繋がらない状態
PC「XP service packを更新しますか?」
僕「えっ」
PC「自動更新するよ!インストール中だよ!」
僕「なにそれこわい」

これ物理的におかしくね?
861192.168.0.774:2009/05/22(金) 12:34:54 ID:3Fv1d3b50
PC「えっ」
僕「えっ」

回線切る前にバックグラウンドでDL済みだったとかじゃないの?
862192.168.0.774:2009/05/22(金) 12:38:42 ID:8XuVXcMN0
ほんと馬鹿馬鹿
863192.168.0.774:2009/05/22(金) 12:52:32 ID:xiOU0repO
>>861
ありがとう そういうこともあるのか
びっくりした

進行状況動かないw
sqlsodbcも再起動も問題なさげ
馬鹿馬鹿しい上にスレチでごめん
864192.168.0.774:2009/05/22(金) 13:12:36 ID:9Vc0W58m0
>>859
グループポリシーでAdobe ReaderのJavascriptのOn/Offを制御しようと思ってるんだ。
admファイルってのはグループポリシー用の設定定義ファイル。

会社組織とかでActive Directory使ってればグループポリシー使って
全コンピュータに設定を反映させるんことができる。
ログオンスクリプトでレジストリ書き換えてもいいんだけどね。
865192.168.0.774:2009/05/22(金) 13:16:59 ID:hW3CCK/J0
453 名前:名無しさん@九周年[sage] 投稿日:2009/05/22(金) 01:59:13 ID:p0aStcNr0 (PC)
GENOウイルス感染からの復帰方法
(当方、この対処法について全く確認していません。自己責任でお願いします。)

1.C:\WINDOWS\Prefetch 内を全部削除
2.[Windowsキー] + [R] を押してファイル名を指定して実行で msconfig
3.スタートアップに何も書かれていない行があったのでチェックをOFF
4.regeditを起動して(起動できない場合は command を実行してその中から regedit を実行)
\\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの一番上が (規定) REG_SZ (値の設定無し) になっていることを確認
5.再起動
6.C:\WINDOWS\System32\sqlsodbc.chm を削除 → 復活しないことを確認
7.正常なsqlsodbc.chmに差し替え

4番が起動しませんでした それでPCを感染前の4月の状態に戻し該当ソフトを消してからやり直しました。
866192.168.0.774:2009/05/22(金) 13:21:44 ID:9z1F8D4z0
bleepingcomputerで見つけた
ttp://www.confickerworkinggroup.org/infection_test/cfeyechart.html
発想が面白い
>>864
右ペインで右クリック>表示>フィルタ>完全に管理されているポリシー設定のみ表示します
のチェック外せば真のポリシー以外も表示してくれるだろ
867192.168.0.774:2009/05/22(金) 13:25:01 ID:9Vc0W58m0
>>866
フィルタはずせばいいってのは知ってるんだが、
前述したようにあまり練度の高くない管理者もいるから
あまりイレギュラーな操作させたくないんだw

フツーの手順でフツーに設定出来るようにしておかんとな('A`;)
868192.168.0.774:2009/05/22(金) 13:58:16 ID:4jz+m+ym0
ウィルスバスターからアンケート協力要請メールが来た。
いつもは無視するんだけど、今回はどんなことをきいてくるのかと思って
アンケートページに行ってみた。

そしたら入る前の注意事項のところに

>※送信ボタンを押しても反応がない場合JavaScriptが有効でありません。
>  JavaScriptを有効にしてください。

嫌になって帰ってきた。
869192.168.0.774:2009/05/22(金) 14:02:51 ID:HaGrTEWL0
さすがバスターさんだな
870192.168.0.774:2009/05/22(金) 14:17:27 ID:YL7VqX2V0
バスターさんパねぇっす
871192.168.0.774:2009/05/22(金) 14:30:52 ID:sDhC+LB20
全てにおいて斜め上、それがバスターさん
872192.168.0.774:2009/05/22(金) 14:40:07 ID:qg8sHTPX0
>>856
げ、FTPパス抜きだけかと思ってたら、SPAM送信や検索結果乗っ取りもありなのか。

検索結果のっとりって、どの程度やらかしてくれるんだろう?
873192.168.0.774:2009/05/22(金) 15:07:12 ID:+nPS/UPx0
3年契約済みだけど、本気でバスターやめたくなってきた
マジでここまでクソだとは思わなかった。契約料返せばかやろおおおお
874192.168.0.774:2009/05/22(金) 15:16:38 ID:xiOU0repO
既出かもしれんけど同人板GENOスレの>253が興味深い
875192.168.0.774:2009/05/22(金) 15:31:51 ID:wh9vsRqV0
一昨日の夜、感染サイト見つけたからIPAに通報しといたんだけどいまだに修正されてない orz

旅館ふくぜん
//www.fukuzen.com/
876192.168.0.774:2009/05/22(金) 15:37:03 ID:pwpKS6Xg0
>>874
Adobeそっくりなサイトについての情報はだいぶ前からある。
テンプレにあるサイトさんが注意喚起していた。
877192.168.0.774:2009/05/22(金) 15:39:51 ID:MJhjqUWcO
>>860
>僕「なにそれこわい」
可愛すぎてふいたww

しかし今週末に第二波がくるのかね…
878192.168.0.774:2009/05/22(金) 15:41:01 ID:8XuVXcMN0
>>856
System Security 2009入れてみた。かなりやっかい。
ペコリッとかいって主要なツール類は実行できなくなってる。
879192.168.0.774:2009/05/22(金) 15:47:47 ID:+nPS/UPx0
>>875
リンクされちゃってますぜ
880192.168.0.774:2009/05/22(金) 15:52:11 ID:fKx99qZCP
>875
こえー

危険度1000%
超絶危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
881192.168.0.774:2009/05/22(金) 15:53:42 ID:fKx99qZCP
ところでサイトに行く前に
先回りして感染を判断する方法はどうやるの?

http://geno.2ch.tc/

一旦、HPに行かないとチェックできないよね?
882192.168.0.774:2009/05/22(金) 16:02:37 ID:wh9vsRqV0
>>879 
ごめん、ミスった。
>>880
martuz.cn
はもうpingもう通らなくなってるし実質的には、今のところどうもないっぽいんだけど・・・

気づいてたらファイル差し替えてFTPのパス変えるはずだから、これは気づいてないよね。
ちょっと電話してみる。
883192.168.0.774:2009/05/22(金) 16:06:40 ID:wh9vsRqV0
>>881
文法チェッカー使った
http://www.esitenet.com/htmllint/htmllint.html
884192.168.0.774:2009/05/22(金) 16:12:16 ID:hW3CCK/J0
>>881
http://end.if.land.to/geno.php?url=
これの後に感染サイトのURLくっつけて開いても、自分は感染せずにソース見ることが出来る

ソースちぇき(β版) - ひまぐらま[別館]
ttp://hpg2.me.land.to/srcchk1.html

aguse.jp
http://www.aguse.jp/

この3つのサイトで感染しているかどうか確かめることが出来る。
885192.168.0.774:2009/05/22(金) 16:15:02 ID:o75K42vj0
ブラウザでレンダリングさせずにダウンロードだけすりゃあいいだけだ
886192.168.0.774:2009/05/22(金) 16:17:55 ID:9Vc0W58m0
firefox で

view-source:www.yahoo.co.jp

とかでもよくね?
887192.168.0.774:2009/05/22(金) 16:27:31 ID:NcF4e/jH0
SCOもありだが最近、負荷がかかってるみたいだからなあ
888192.168.0.774:2009/05/22(金) 16:29:44 ID:9z1F8D4z0
今のところ一番簡単な感染回復法はHijackthisか
>>881
ガチムチな結果が欲しいなら
ttp://wepawet.iseclab.org/
889192.168.0.774:2009/05/22(金) 16:31:35 ID:tvCqGaKg0
>>856
こんなにきれいに感染させられなかったな。
spamも送信されなかったし、インチキセキュリティアプリも入らなかった。
Windowsのプライマリ言語が0409かどうかをチェックしてたりするのかな?
いきなり英語でセキュリティ警告されたら怪しすぎるもんな。
890192.168.0.774:2009/05/22(金) 16:45:48 ID:DCWhD8kF0
ウイルス作者としては
もっとサイレントキラーの如くこっそりじわじわ広げたかったのかも。
gnomeの人も書いてたけど、成果が上がらなかったというよりは
予想をはるかに上回る範囲と速さで広まって、配布元がパンクしたのかもな。
891192.168.0.774:2009/05/22(金) 16:59:32 ID:YGxiZT9U0
>>875
うわ〜思いっきりsrcがビンゴだね。
892192.168.0.774:2009/05/22(金) 17:08:49 ID:BuXSUjSW0
>>856
ん〜他で踏んだのが混じってる気がするなぁ。
よくあるインチキセキュリティソフトの押し売りが出るなら
とっくに話題になっている気がするし。
893192.168.0.774:2009/05/22(金) 18:02:49 ID:COgfOOJ00
>>888
Hijackthisでは無理だった
感染前と感染後のログ変わらなかった
894192.168.0.774:2009/05/22(金) 18:09:51 ID:g/xTw+ON0
>>875
初めて感染してるサイトのソース見たけど見ただけで不安になったw
895192.168.0.774:2009/05/22(金) 18:18:46 ID:DsrUeRsBP
ふと文法チェックかけたらW3C的にも怒られてて吹いたw
896192.168.0.774:2009/05/22(金) 18:22:02 ID:9z1F8D4z0
>>893
レジストリからマルウェア見つけてHijackthisでdelete file on reboot
そのあとレジストリの登録削除
書き方がわるかったな
897192.168.0.774:2009/05/22(金) 18:39:59 ID:2URuOAt40
XPのIE8だったが感染した。
もう駆除したけど
898192.168.0.774:2009/05/22(金) 18:45:27 ID:6XjXrIgp0
>>897
(・∀・)ニヤニヤ
899192.168.0.774:2009/05/22(金) 18:48:26 ID:2URuOAt40
感染してadobe消したけど
新しいのDLしても大丈夫?
900192.168.0.774:2009/05/22(金) 18:55:18 ID:WFzdRYDP0
18日以来の訪問です。
最新の焼きリストをお願いします。>PG2
901192.168.0.774:2009/05/22(金) 18:57:15 ID:tvCqGaKg0
>>899
どうやって駆除した?
VMに感染させてノートンで駆除してみたけど、かなりひどい有様だったぞ。
人様に害は与えない状態にはなったけど、痕跡残りまくり。
当然書き換えられたchmファイルなんかもそのまんま。
902192.168.0.774:2009/05/22(金) 19:03:27 ID:2URuOAt40
GENOウイルス感染からの復帰方法
(当方、この対処法について全く確認していません。自己責任でお願いします。)

1.C:\WINDOWS\Prefetch 内を全部削除
2.[Windowsキー] + [R] を押してファイル名を指定して実行で msconfig
3.スタートアップに何も書かれていない行があったのでチェックをOFF
4.regeditを起動して(起動できない場合は command を実行してその中から regedit を実行)
\\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの一番上が (規定) REG_SZ (値の設定無し) になっていることを確認
5.再起動
6.C:\WINDOWS\System32\sqlsodbc.chm を削除 → 復活しないことを確認
7.正常なsqlsodbc.chmに差し替え

4番が起動しませんでした それでPCを感染前の4月の状態に戻し該当ソフトを消してからやり直しました。
903192.168.0.774:2009/05/22(金) 19:05:31 ID:2URuOAt40
>>901
http://geno.2ch.tc/
下から3行目に正常なsqlsodbc.chmがある
904192.168.0.774:2009/05/22(金) 19:08:31 ID:2URuOAt40
>>901
[Windowsキー] + [R] を押してファイル名を指定して実行で msconfig システムの復元

感染前の状態に戻してから駆除したんです
905192.168.0.774:2009/05/22(金) 19:09:15 ID:yk0ui3ZS0
アフィ必死だなー
906192.168.0.774:2009/05/22(金) 19:13:17 ID:HsQRy0sq0
GENOウイルスチェッカーと感染サイトリストって同じ人がやってんの?
907192.168.0.774:2009/05/22(金) 19:20:05 ID:tvCqGaKg0
>>903
いや、俺はどれくらいまともに駆除できるのか試しただけだから。

>>904
なんかいらんものが残ってそうな気がするけど、レジストリとシステムファイルが
戻ってれば悪さはしないだろうからいいのかな。
908192.168.0.774:2009/05/22(金) 19:39:21 ID:2URuOAt40
しかし・・・adobeだけは許さん
これ電話して駆除しに来いって言いたいわ・・・マジで
909192.168.0.774:2009/05/22(金) 19:46:38 ID:bGlTQ5mK0
Adobeが悪くないとは言わないけど
自分が更新しなかったことを棚にあげて他人のせいにする男の人って・・・
910192.168.0.774:2009/05/22(金) 19:47:25 ID:83wyJvSD0
アマゾン感染てマジ?
911192.168.0.774:2009/05/22(金) 19:48:46 ID:z0eCuvWV0
adobeは「Macユーザーには関係ないもんねー♪」と鼻糞ほじってそう
今やWindowsユーザーの方が多いにも関わらず
自分ところの面倒見切れないならFLASH PlayerもReaderも買収すんな
M$以上に糞だな
912192.168.0.774:2009/05/22(金) 19:51:28 ID:+nPS/UPx0
>>910
どこソースだ?
913192.168.0.774:2009/05/22(金) 19:52:43 ID:tfiYqEYR0
どこどこが感染してると聞いたら、噂として流す前に
ソース見ろよ。情報源じゃなくてね
914192.168.0.774:2009/05/22(金) 19:52:52 ID:wqJPx+Xy0
>>878
Win Antivirus系統か?
面倒なマルウェアらしいが初めて知ったときには笑ったな
律儀に毎年最新版出してるってのがすごいw
915192.168.0.774:2009/05/22(金) 19:55:26 ID:tfiYqEYR0
amazon.co.jpトップページは問題なし
916192.168.0.774:2009/05/22(金) 19:59:51 ID:YGxiZT9U0
>>914
だな。
その熱意があるなら本物のセキュリティソフトを作れとw
917192.168.0.774:2009/05/22(金) 20:16:38 ID:BuXSUjSW0
Fakeなアンチウイルスはサイバー犯罪集団の主力商品ですよ。
バイアグラだのシアリスだのちんぽがでかくなるだののSPAMや
オンラインゲームのアカウントハック(→RMT)より儲かるし、
本気で警察に追われる銀行やクレカのフィッシングよりは安全だしね。
918192.168.0.774:2009/05/22(金) 20:28:30 ID:OPO++wJ+O
>>884
現段階では、aguseやgredあたりは「safe」判定出しちゃうからあてにできないね。

ところでGoogle先生の力を借りて、改竄サイトを1ダースほど見つけたんだが、
通報するとしたらどこ? プロバイダ? IPA?

いくら現状でgumblarとmartuzが落ちてて、改竄サイトからの感染が広がらないと
言っても、FTPのアクセス権が取られているんだから、
再び改竄されて新手の攻撃手段にされちゃう可能性はあるよね?

感染サイトリンク集は放置状態だから、URL晒すのがためらわれる・・・
919192.168.0.774:2009/05/22(金) 20:35:31 ID:rSelSxuhO
純粋に質問。
詳しい知識は皆無なので物凄くズレてたら指摘して欲しい。
要するにブラウザとadobe readerのjava script切っときゃ平気、って事じゃないの?
920192.168.0.774:2009/05/22(金) 20:39:50 ID:yk0ui3ZS0
Q1 誰でも感染するの?
A1 いいえ、readerが最新バージョンなら平気です

Q2 感染確認方法は?
Q2

Q3 感染してた。どうすればいい?
Q3 クリーンインストール
921192.168.0.774:2009/05/22(金) 20:42:34 ID:a89mYcYN0
>>919
フラッシュとアドビリーダーの脆弱性も使っているからアップデートしないとだめ
922192.168.0.774:2009/05/22(金) 20:46:02 ID:sqha3bx50
readerが最新バージョンなら感染しないの?
923192.168.0.774:2009/05/22(金) 20:47:32 ID:ouAw4jE50
最新版にするかアンインストールする
924919:2009/05/22(金) 20:52:29 ID:rSelSxuhO
>>921
つまりreaderとflashplayerアップデート+java script切っとけばOKってことだよね?

確認厨ですまない…
925192.168.0.774:2009/05/22(金) 20:55:02 ID:WEjjFkCg0
>>904
system volume informationに潜むウイルスもいるから
俺なら再インストールする
926192.168.0.774:2009/05/22(金) 20:57:01 ID:WEjjFkCg0
>>920
質問に対して質問で返すのかw
927192.168.0.774:2009/05/22(金) 20:57:40 ID:OWgTkTvQ0
>>926
めんどくさくなったんだろw
928192.168.0.774:2009/05/22(金) 21:01:05 ID:bGlTQ5mK0
>>918
IPAは自分が被害うけてない場合の通報はイマイチだった
JPCERT/CCとサーバ管理者が良いんじゃないかな
JPCERT/CC
http://www.jpcert.or.jp/
JPCERT/CCのGENO注意喚起(情報募集中だそうです)
http://www.jpcert.or.jp/at/2009/at090010.txt

サーバ管理者はサイト運営してる人じゃなくてレンタルサーバや
各種プロバイダ管理者のほうね
JPCERTは一応報告テンプレあるけど沿ってなくても大丈夫らしい
わかりやすく簡潔に報告してあげてください
929192.168.0.774:2009/05/22(金) 21:03:08 ID:bGlTQ5mK0
>>924
ついでにOSの更新とセキュリティソフトの更新もしてね
アドビ以外の製品も更新したほうがいいよ
MS Officeなんかは結構更新が出てるだろうからMSUpdateしてね
930192.168.0.774:2009/05/22(金) 21:05:03 ID:hW3CCK/J0
>>918
改竄サイトを1ダース発見ご苦労様です。
面倒ですがプロバイダ、IPA両方するしかないでしょうかねえ。
aguseは、zlkonの時は、発見したのですが、gumblarになったら
発見できず。
感染サイトリンク集の中の人は、どこにいったのやら。
931192.168.0.774:2009/05/22(金) 21:11:48 ID:IJ1/1L+l0
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1895
正規サイト改ざん:ここまで広がった国内でのサイト汚染、訪問歴確認を

So-netのセキュリティ情報
感染企業サイトのリストが載ってる
932924:2009/05/22(金) 21:23:19 ID:rSelSxuhO
>>929
丁寧にありがとう。
windowsupdateはこまめにしてるよ。
IEだけは6から更新してないけど。(普段使わないから)
officeは入れてないから大丈夫。
あとセキュリティソフトもいれてないんだよね…
とりあえずできる事だけやっておきますノシ
933192.168.0.774:2009/05/22(金) 21:28:33 ID:+nPS/UPx0
>>932
>セキュリティソフトもいれてないんだよね

( д )                   ゚ ゚
934192.168.0.774:2009/05/22(金) 21:29:45 ID:S3aXblbT0
>>932
無料ので十分なんだから
入れとこうよ
935192.168.0.774:2009/05/22(金) 21:31:41 ID:Sn5v7cycO
>>931
くそ!
俺が感染したとみられるサイトがありやがった!!
936192.168.0.774:2009/05/22(金) 21:49:08 ID:PUdCDqKgO
【OS】WindowsXPHomeEditionSP3
【使用セキュリティソフト】ウィルスバスター2008
【疑った理由】起動しようとすると青画面が出て再起動するから
【症状】起動しようとすると青画面が出て再起動、以下こんな画面が出て無限ループ
http://imepita.jp/20090522/784030
【確認手段】そもそも起動しないから無理っぽい
【結果】


忍者ツールが感染してたってマジかよ…
937192.168.0.774:2009/05/22(金) 21:56:48 ID:QVOqFTap0
>>936
ソースは?
938192.168.0.774:2009/05/22(金) 22:04:49 ID:OWgTkTvQ0
>>936
対策とってた?忍者どこ情報?
939192.168.0.774:2009/05/22(金) 22:29:13 ID:W9MI/teu0
>>936
ガセです。他のどこかで踏んだんでしょう。
おとなしくリカバリしましょう。
940192.168.0.774:2009/05/22(金) 22:33:53 ID:/4m2TIIp0
とりあえず忍者ツールの解析スレとレンタル鯖スレにはそれらしき書き込み無し。
あそこのサポート頼りにならないから、普段トラブルおきるとみんな真っ先に2ちゃん見に来てにぎわうし
なにかあったら一番に書き込まれて祭りになってるはず。
自分も借りてて、素人に出来る最低限の対策取ってるのみで管理画面出入りしてるけど何も異常なし。
941192.168.0.774:2009/05/22(金) 22:35:09 ID:j7e8l4kz0
忍者ツールは感染サイトリストの「対策済みor誤報告」に載っちゃってるから
勘違いしてんじゃね?
危険度800% とか書いてあるし
942936@PC:2009/05/22(金) 22:56:26 ID:N40Lkjkr0
>>938
AdobeReaderがなぜか壊れたからFoxitReaderをつかってたけど、それだけ
対策とかここに来るまで見てなかったぜorz

>>941
たぶんそれ
ケータイから見たから危険度800%なんて出てかなり焦ってた


リカバリとか再インスコとかしようにも
XPのディスクなんて持ってないからVistaにするしかないのかorz
943192.168.0.774:2009/05/22(金) 23:07:45 ID:JhAtEZrx0
>>936
セーフモードで起動できるかどうかは試してみた?
あと忍者だったらチェッカーで誤検出されてたって話は聞いたよ。
他にもMMORPG公式サイトがチェッカーで高めの数値が出たからって(感染してないのに)
感染感染騒がれてた話とか。チェッカーは正確じゃないから半端な%が出たら
自分の目できちんと確かめるまで確定できないってことを分かってない人がいるらしい
944192.168.0.774:2009/05/22(金) 23:23:06 ID:FL5JTgjo0
だからもうチェッカー使うなと何度言ったら(ry
Adobe ReaderとFlash Player更新しとけばもう十分だから
「怖いけどよくわからない」ならそのまま回線切って死ね
945192.168.0.774:2009/05/22(金) 23:26:02 ID:6wV8c86E0
しかしAdobeReaderを使わないってのは以外に有効な対策ではあるな
Adobeのプラグインなんて他にも脆弱性てんこもりだろうしな。

しかしFLASHの方は困ったことにAdobe以外の代替手段がないんだよな
946192.168.0.774:2009/05/22(金) 23:27:47 ID:drzbrmvhO
忍者ツールの誤検出は既出のはず。
GENOウイルスチェッカーはJSが複雑だったりすると%高くなりやすいから今のところシロ判定ぐらいにしか使えないよ
ってこれ何回目だよ>>944にドーイ

ソース見てチェックしろ、ソースの見方もわからないなら回線切って死んでくれ
ソース全部コピってメモ帳にでも貼りつけて特定の文字列で検索すりゃ大して手間ないだろ…
947192.168.0.774:2009/05/22(金) 23:38:45 ID:chHowp9fi
Lynx使いの俺最強
948192.168.0.774:2009/05/22(金) 23:38:50 ID:X2d5mBQP0
すまない
さっきチェッカーで危険度115%の海外サイトを
jsがオンの状態のIEで踏んだんだが大丈夫だろうか…
Xivd.orgってところ何だが
今のところ何ともないんだが心配で…
949192.168.0.774:2009/05/22(金) 23:40:40 ID:X2d5mBQP0
ああ動揺して上げてしまった…
950192.168.0.774:2009/05/22(金) 23:43:45 ID:FL5JTgjo0
4〜5レス前ぐらい読めと

evalがたくさんあるからそれみて勘違いしたんでしょ
951192.168.0.774:2009/05/22(金) 23:43:54 ID:1m9p/ifT0
>>948
そこ危険だよ
スパイウェア入れる可能性がある
俺の先輩が自作した某有名国産スパイウェア・ブロッカーも
そこのツール対策で四苦八苦してたくらいだからな
952192.168.0.774:2009/05/22(金) 23:48:23 ID:YGxiZT9U0
avast!優秀だな。
Googleの検索結果に感染サイトが含まれていたら、その時点で警告してくれた。
953192.168.0.774:2009/05/22(金) 23:51:35 ID:N40Lkjkr0
>>943
起動できない

忍者がガセなら一体俺はどこで感染したんだorz
954192.168.0.774:2009/05/22(金) 23:53:39 ID:2URuOAt40
>>953
どっかキーボード押しっぱなしじゃねえ?
955192.168.0.774:2009/05/22(金) 23:56:53 ID:pwpKS6Xg0
GENOウイルスチェッカーは当てにしない方がいいと思う。
あのチェッカー、帰って混乱招いているような気がする。

対策とる、かかってたらクリーンインスコだな…
>>942
リカバリディスクがない…ってあれか、HDDのリカバリ領域からリカバリするPC?
俺のUMPCはそれだよ…無理やりリカバリディスクを作る方法もあるみたいだけど…

ちなみにacerAOA150。どうしたもんかね…
956192.168.0.774:2009/05/22(金) 23:58:04 ID:2URuOAt40
リカバリディスクって買った時に一緒に付いてるでしょ・・・
957192.168.0.774:2009/05/23(土) 00:02:47 ID:QVnRFjsW0
>>955
あ?
万引きしてこい
958192.168.0.774:2009/05/23(土) 00:03:45 ID:ccaAlbY/0
うちのノーパソS○NYの正規品だけど取説に
>自分でリカバリディスク作ってねvって書いてあるぞ?
959192.168.0.774:2009/05/23(土) 00:05:35 ID:OXCPucdf0
>>955
よくわからんがこれじゃダメなの?
http://www2.acer.co.jp/support/?cat=one&dir=faq&src=one-faq-080904-04
960192.168.0.774:2009/05/23(土) 00:13:09 ID:FQnBqUEn0
Adobe ReadeとAdobe Flash Playerを最新にして、
Readerのスクリプトはオフ、ブラウザのスクリプトはオン、
アンチウィルスを外して該当コードがあるページを踏んでみた。
感染しないみたいだな。
961192.168.0.774:2009/05/23(土) 00:13:12 ID:eaqTljTH0
>>958あぁ、ウチのS○NYさんも買った直後にリカバリCDを作れと言ってきた。
それは作ってあるよ。
>>959
それでリカバリするよ。リカバリ領域がつぶれたりしたらどうなるかはわからん。
CD作る裏ワザはあるみたいだけどね。
>>942はどういったものを使ってるのかわからないけど。


962192.168.0.774:2009/05/23(土) 00:35:11 ID:HU5BgRr50
感染してしまったら初期化するしかないの?
アンチウイルスソフトで何故駆除出来ないの?

963192.168.0.774:2009/05/23(土) 00:45:47 ID:ta6edS2L0
Q1 誰でも感染するの?
A1 いいえ、readerが最新バージョンなら本気です

Q2 感染確認方法は?
A2 いいえ、readerが最新バージョンなら平気です

A3 いいえ、いいえ、いいえ、いいえ、
Q3 感染してた。どうsu
964192.168.0.774:2009/05/23(土) 00:52:42 ID:/FJLWmO90
>>962
証拠隠滅して隠れるから
965192.168.0.774:2009/05/23(土) 01:00:28 ID:z3rUla8oO
966192.168.0.774:2009/05/23(土) 01:05:09 ID:FvRh9KA20
>>962
感染した時点でシステムの制御が横取りされるからアンチウイルスソフトも満足に動作しなくなる
検知だけでもできれば合格点だ
967192.168.0.774:2009/05/23(土) 01:07:03 ID:QmKa5e/o0
>>956
最近の主流はHDDにリカバリ領域って方式だが3000円くらいでディスク送ってもらえるサービスも有るはず
NECあたりは標準でディスク付いてるのもあるんじゃなかったかな
>>961
出荷状態でリカバリディスク焼くためのアプリが入ってることも有る
マニュアル読んでみればわかる
俺が買った機種のVAIOはアプリ付いてたな
968192.168.0.774:2009/05/23(土) 01:21:28 ID:W/e+i6kR0
>>965
なんか違わない?

危険度: 低
レジストリの改変: なし
セキュリティホールの利用: なし
969192.168.0.774:2009/05/23(土) 01:24:10 ID:W/e+i6kR0
対応方法:

 検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。
感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。

 製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できません。 隔離しました。」などと
表示されますが正常な表示です。

・手動削除手順:

1. 全ブラウザのウインドウを閉じてください。

2. 最新のバージョン(エンジン、パターンファイル)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。
この不正プログラムは「HTML_JSREDIR.AE」と検出されます。検出したファイルはすべて削除してください。

3. 全ドライブ検索を行い何も検出されなければ、処理は完了です。
970192.168.0.774:2009/05/23(土) 02:07:46 ID:d89odzUY0
キャッシュを消せば無問題。
気になるやつはオンラインスキャンすればウィルスは削除されるよ。
971192.168.0.774:2009/05/23(土) 02:36:03 ID:aDljQavy0
>>970
( ゚д゚)!??
972192.168.0.774:2009/05/23(土) 02:50:33 ID:ud8DwQdE0
>>970
GENO社員キタコレ
973192.168.0.774:2009/05/23(土) 02:52:22 ID:0Xu3vLQ/0
>>969
検体スレのほうにトレンドマイクロのGENO呼び出しスクリプトの定義名書いてあったような…
確かJS_AGENT.AS○○みたいな奴だったかと思った
974192.168.0.774:2009/05/23(土) 03:00:49 ID:+p0PFaQu0
これか
100 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/22(金) 11:54:00
>5/9提出分のGENO呼び出しスクリプト
トレンドマイクロ返答…えーと、名前付けすぎじゃありませんか?

JS_AGENT.ASWE   JS_AGENT.ASXB   JS_AGENT.ASYC
JS_AGENT.ASWF   JS_AGENT.ASXC   JS_AGENT.ASYD
JS_AGENT.ASWG   JS_AGENT.ASXD   JS_AGENT.ASYE
JS_AGENT.ASWH   JS_AGENT.ASXE   JS_AGENT.ASYG
JS_AGENT.ASWI   JS_AGENT.ASXF   JS_AGENT.ASYH
JS_AGENT.ASWO   JS_AGENT.ASXG   JS_AGENT.ASYL
JS_AGENT.ASWP   JS_AGENT.ASXI   JS_AGENT.ASYM
JS_AGENT.ASWQ   JS_AGENT.ASXK   JS_AGENT.ASYN
JS_AGENT.ASWR   JS_AGENT.ASXL   JS_AGENT.ASYO
JS_AGENT.ASWS   JS_AGENT.ASXN   JS_AGENT.ASYP
JS_AGENT.ASWT   JS_AGENT.ASXR   JS_AGENT.ASYQ
JS_AGENT.ASWV   JS_AGENT.ASXS   JS_AGENT.ASYR
JS_AGENT.ASWX   JS_AGENT.ASXT   JS_AGENT.ASYS
JS_AGENT.ASWY   JS_AGENT.ASXU
JS_AGENT.ASXA   JS_AGENT.ASXX



975192.168.0.774:2009/05/23(土) 03:06:07 ID:HU5BgRr50
>>974
個体が違うんだから当然だろ

全部一つに纏めたらそれこそ糞。
976192.168.0.774:2009/05/23(土) 03:25:11 ID:F81SI+Tt0
お前らトレンドマイクロのHPぐらいみてやれよ
977192.168.0.774:2009/05/23(土) 03:32:55 ID:dwVhzcG9O
トレンドマイクロのヒットポイントですか?
978192.168.0.774:2009/05/23(土) 05:25:00 ID:kR9G4T450
>>886でソースを開き、>>946の最後1行で検索、
Un,Re,Evのコンボが発見できたら、要警戒のレベルとか
目視で、なにか目安になるような判別法があるなら、テンプレに入れといてほしい。

chromeだとブラウザのページ内検索が使えるから、これでいいなら楽。
自分みたいに、あまりソースの見方とか分からない素人だけど、チェッカーとか
ツールに頼らず、自分の目で確認したいって人もいるだろうから。

>>348>>354>>790 >>884のツールも、用途ごとに、纏めてほしい。
「ソース」でページ内検索しただけだから、抜けてるのもあるかもしれない。
979192.168.0.774:2009/05/23(土) 05:52:15 ID:2F5vRu6C0
>>976
またウイルスでも配ってるの?
980192.168.0.774:2009/05/23(土) 05:53:43 ID:FMuei+100
>>968
これは本体じゃなくてJavaScriptのシグネチャ
981192.168.0.774:2009/05/23(土) 08:52:19 ID:PIes/MGy0
>>978
737 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/05/22(金) 12:08:23
>>731
ありがとうございます。

ちなみに自分もいろいろ調べてみて作ってみた。
ttp://www1.axfc.net/uploader/Sc/so/3279
需要があるかどうかじゃない。ただの満足感で(ry

GENOウイルスに関するよくわからないツール。

GENOウィルスのチェックプログラム(簡易版)を書いてみた - about:blank
ttp://d.hatena.ne.jp/kz_shikabane/20090517/1242495023

6.zlkon/gumblarお役立ち情報: 高機能サロン管理システム★さまれぼ!★開発日記
ttp://excomp.cocolog-nifty.com/blog/gumblar.html
982192.168.0.774:2009/05/23(土) 08:56:50 ID:eaqTljTH0
>>967
俺のacerはないよ。
ディスク送ってくれるサービスもないはず。
壊れてもいいかってくらいの安いヤツだからいいけどね。
983192.168.0.774:2009/05/23(土) 09:24:12 ID:Ci5k0h8A0
>>960
スクリプト読んで飛ばされるウイルス配布サイトがつぶれているから、今は感染しない。
それに最新で感染したら、ゼロデイになってもっと大騒ぎ。
984192.168.0.774:2009/05/23(土) 09:31:48 ID:Ci5k0h8A0
あと、6時間前に立った セキュリティー板のテンプレに

■ポート135を閉じる
■ポート445を閉じる

ってあるんだが、止めさせて方がいいと思うんだが、どうだろう?

Remote Procedure Callを止めたら、その子サービスで止まるものがいっぱいある。
BITSも止まるからWindowsUpdateがうまく行かない可能性もある。

ポート445を止めたら、ルーターのDHCPでプライベートアドレスを割り振ってもらっているPCが困ったことになる。

大量の初心者が混ざっていると思われるあっちのスレのテンプレとしてまずいんじゃないかと・・・
俺もあまり詳しくないから断言はできないんだけど、ご意見ちょうだい。
985192.168.0.774:2009/05/23(土) 09:45:05 ID:FMuei+100
>>984
サービスを落とすんじゃなくて、ルータかFWで弾くべきだよな。
445は止めても家庭内LANなら名前解決が遅くなるだけのような気がするが、
RPCは止めると弊害が大きすぎる。

つか、135,137-139,445あたりってルータの初期設定で外部に出ていかない
ようになってないか?
あとは追加でSSDPやteredoあたりを塞いでおけばいいような気が。
986192.168.0.774:2009/05/23(土) 09:56:18 ID:imZ1efiC0
いらない設定だな。こっちの次(いるのかな?)を立てるなら消していい。
987192.168.0.774:2009/05/23(土) 11:20:18 ID:h8voSB2Y0
どっちかに騒ぐ人が来るね 雑談も含め、スレが動いてるうちは、相互に避難スレになる
いまは、GENO系ウイルス関係者の待機室かな
988192.168.0.774:2009/05/23(土) 12:02:16 ID:Ammo448jO
>>984自分みたいな何もわかってない初心者が問題にぶつかる可能性があるから、止めた方がいいと思う…
989192.168.0.774:2009/05/23(土) 12:20:02 ID:kR9G4T450
>>981さん、ありがとうございます。まだ落としただけで
中身 見てないんですけど、使わせてもらいます。

>>978で抜けてたソース関係>>30>>80。チェッカー関係>>881>>883>>888
スクリプト関係>>837>>843>>844>>854>>855>>864
>>48、IPブロックandスクリプト弾き? >>294、制限ユーザー。
ブラウザは結局、個人の好みだろうし、FWのIPブロック、HOST弾きは前スレで
テンプレに有ったような気がしたから拾わなかった。
まあ、運営の人たちが、もう すでにやってるだろうけど、
対策として 精度の低いのは削って、早くテンプレに固めていってほしい。

990192.168.0.774:2009/05/23(土) 12:28:58 ID:oHG73gbi0
ここにくるやつがウイルスだな。
991192.168.0.774:2009/05/23(土) 12:31:37 ID:Sz6n7xWm0
次スレいる?
992192.168.0.774:2009/05/23(土) 12:52:49 ID:soK/x83h0
次スレいらないけど、ここを再利用すれば?
誰が立てたか知らないけど、使われてないんで

zlkonウイルス擦れ
http://pc11.2ch.net/test/read.cgi/sec/1242623934/
993192.168.0.774:2009/05/23(土) 12:53:46 ID:35E4Y1Jt0
ID出る板の方がいいんじゃないの?
994192.168.0.774:2009/05/23(土) 13:12:00 ID:U4WWOLOD0
>>992
そのスレが一番レベルが高そうだ
995192.168.0.774:2009/05/23(土) 13:15:03 ID:/C5CpA5i0
もう新しいスレ立ってる。
996192.168.0.774:2009/05/23(土) 13:21:11 ID:kR9G4T450
>>989で、なにかトンチンカンなことを言っている気がするのは、ブラウザアドレス
boxへのコピペミスで、違うページにいって、なにか別のものを拾ってきたから。
自分の言葉足らずで、もしかしたら、>>981さんにも勘違いをさせてしまったのかもしれない。
>>978>>989>>92>>981を拾わなかったのは、対策的なものに絞って、感染後の
処置的なものを除外していたからで、けっして>>92を軽視していたわけではありません。

そのあたりは実際にテンプレを作る方たちが宜しく判断してくれるものと思われます。
お気を使わせまして、本当に申し訳ないです。
結局、自分のやってることって、運営の邪魔ばかりのような気がしますが、
どうか ご勘弁ください。

997192.168.0.774:2009/05/23(土) 13:26:47 ID:oHG73gbi0
>>996
お前に2ちゃんねるは無理
998192.168.0.774:2009/05/23(土) 13:27:59 ID:Hx9+/5Qd0
>>996
お前に2ちゃんねるは無理

※ただしVIPを除く
999192.168.0.774:2009/05/23(土) 13:28:18 ID:zog5ycM/0
誘導
次スレ
GENOウィルススレ 感染4台目
http://pc11.2ch.net/test/read.cgi/internet/1243050166/
1000192.168.0.774:2009/05/23(土) 13:29:09 ID:Hx9+/5Qd0
>>1000なら>>996 2チャンネルできる!!!
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。