GENOウイルススレ　感染3台目

・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/

前スレ
GENOウイルススレ　感染2台目
http://pc11.2ch.net/test/read.cgi/internet/1242630563/

感染予防対策

１．Adobe Flash Player の最新版にアップデート
２．Adobe Acrobat Reader の最新版にアップデート
３．NoScriptの導入（Firefoxの導入）
４．Adobe Acrobat Readerの JavaScript 機能OFF
５．危険IPのブロック


諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例

１．Adobe Readerを起動し「編集」メニューの「環境設定」
　　「Acrobat JavaScriptを使用」のチェックボックスをオフ（チェックを外す）
　　OKを押して設定確定後、Adobe Readerを終了。
↓
２．必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
　　設定は SpeedUp - Fast がおすすめ。
　　　注意すべきは
　　　Acroform（拡張子なし）
　　　Annotations（拡張子なし）
　　　これら2つのチェックボックスをオン（チェックが入っている）状態にしておく必要がある。
　　　そうしないと Adobe Reader が起動しなかったりする。

　　　このとき追加作業として
　　　EScript.apiとEScript.JPNのチェックボックスをオフ（チェックを外す）状態にしておくと
　　　より安心かもしれない。

以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Readeｒ以外の環境設定をどうするかも各自考える必要があります。

【感染の確認方法】
�@cmd.exe（コマンドプロント）、regedit.exe（レジストリエディタ）が起動するか確認する
　※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
　■確認方法
　１．スタートから「ファイル名を指定して実行」
　２．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　　「regedit.exe」と入力して「OK」ボタンを押す。
　　　※立ち上がったことを確認したら弄らず閉じること。
　３．同様に、「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す
　　　※立ち上がったことを確認したら�Aへ

�Asqlsodbc.chmのファイルサイズの確認を確認する
　■Windows XP:
　　改ざんされていなければ
　　C:\WINDOWS\system32\sqlsodbc.chm　50,727 bytes
　■Windows 2000:
　　そもそも存在しないはずなので、
　　C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
　■確認方法
　　１．スタートから「ファイル名を指定して実行」
　　２．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す
　　　→背景が黒いウィンドウが開いた場合３へ
　　　→起動しない場合：感染疑い濃厚
　　３．背景が黒いウィンドウを選択。
　　　小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー

�Bavast!（無料のアンチウイルスソフト）で確認


7 名前：192.168.0.774[] 投稿日：2009/05/18(月) 16:12:22 ID:wsKEiiw60
【感染の確認方法】■ Windows XP（５月１８日現在）
　１　C:\WINDOWS\system32\sqlsodbc.chmを開いて壊れていたら感染濃厚　
　２　↑のファイルサイズを確認する
　　正常値　　日本語版ヘルプ　 50,727 bytes
　　　　　　　　英語版ヘルプ 　　　46133
　　　　　　　　ドイツ語ヘルプ 48401
　　　　　　　　フランス語ヘルプ 49345
　　　　　　　　スペイン語ヘルプ 48475

　改竄されたsqlsodbc.chmの一例
　 サイズが1.29 KB (1,323 バイト)
　更新日は2009年3月21日


　:
　　

Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。

初心者や質問がある方は
http://changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです

Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
正常な場合50，727バイト(日本語)です。

GENOウィルス・質問掲示板
http://www1.atchs.jp/test/read.cgi/gegegeno/1/

現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。

インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
　※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している（このため、セキュ各社の自動検出が難しくなっている）
感染しない環境には何も返さない（更に検証が難しい）
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
　※検出率が上がる頃には次の種類になっている

感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

以下攻撃されたサイト
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html

国内の正規サイト改ざん：攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884


★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】

764 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 12:20:44 ID:BfeDPikc0
>>463の書式が統一されていなかったのでやってみた

58.65.232.0 - 58.65.239.255　58.65.232.0/21
61.139.0.0 - 61.139.127.255　61.139.0.0/17
61.219.39.0 - 61.219.39.255　61.219.39.0/24
61.235.117.0 - 61.235.117.255　61.235.117.0/24
61.237.236.0 - 61.237.236.255　61.237.236.0/24
63.146.2.0 - 63.146.2.255　63.146.2.0/24
69.46.0.0 - 69.46.31.255　69.46.0.0/19
74.220.215.0-74.220.215.255　74.220.215.0/24
78.109.16.0 - 78.109.31.255　78.109.16.0/20
78.159.112.0 - 78.159.115.255　78.159.112.0/22
82.146.48.0 - 82.146.55.255　82.146.48.0/21
83.68.16.0 - 83.68.16.255　83.68.16.0/24
85.12.43.0 - 85.12.43.255　85.12.43.0/24
85.14.6.0 - 85.14.6.255　　85.14.6.0/24
85.17.0.0 - 85.17.255.255　85.17.0.0/16
85.214.90.0 - 85.214.90.255　85.214.90.0/24
91.211.64.0 - 91.211.65.255　91.211.64.0/23
91.212.41.0 - 91.212.41.255　91.212.41.0/24
91.212.65.0 - 91.212.65.255　91.212.65.0/24
91.212.41.0- 91.212.41.255　91.212.41.0/24
91.212.41.0 - 91.212.41.255　91.212.41.0/24
94.232.248.0 - 94.232.255.255　94.232.248.0/21
94.229.64.0 - 94.229.79.255　94.229.64.0/20
94.247.2.0 - 94.247.3.255　94.247.2.0/23
194.165.4.0 - 194.165.5.255　194.165.4.0/23
195.2.252.0 - 195.2.253.255　195.2.252.0/23
195.216.160.0 - 195.216.191.255　195.216.160.0/19
206.44.0.0 - 206.44.255.255　206.44.0.0/16
209.44.100.0 - 209.44.100.255　209.44.100.0/24
209.44.126.0 - 209.44.126.255　209.44.126.0/24
209.62.7.0 - 209.62.7.255　209.62.7.0/24
209.102.247.0 - 209.102.247.255　209.102.247.0/24
209.250.241.0 - 209.250.241.255　209.250.241.0/24
209.205.192.0 - 209.205.223.255　209.205.192.0/19
209.205.224.0 - 209.205.239.255　209.205.224.0/20
211.90.0.0 - 211.97.255.255　211.90.0.0/15 & 211.92.0.0/14 & 211.96.0.0/15
213.182.192.0 - 213.182.223.255　213.182.192.0/19
218.90.0.0 - 218.94.255.255　218.90.0.0/15 & 218.92.0.0/15 & 218.94.0.0/16
78.159.112.0 - 78.159.115.255　78.159.112.0/22
221.5.0.0 - 221.5.127.255　221.5.0.0/17
91.212.41.0 - 91.212.41.255　91.212.41.0/24
95.129.144.0 - 95.129.144.255　95.129.144.0/24
95.129.145.0 - 95.129.145.255　95.129.145.0/24

メモ帳でタブ等に置き換えられるように範囲とCIDRとの間は全角スペースにしてる

俺の連投のせいでスレ埋めちまったから立てといた
テンプレ改変する余裕なくてスマン

感染予防対策

Adobe Flash Player とAdobe Acrobat Readerを
アンインストール

以上

>>10
最終手段だな

>>1 乙。

感染サイトリンク集
http://genolists.alink.uic.to/

スレ立てとか乙

>>1
おつ、乙
なんだけどテンプレメモ帳で整理して立てようとしたら
もうスレが立っていてメモ帳消しちまったぞｗ

>>1乙。おやすみ

627 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 06:56:33 ID:zf5ipXqL0
532 ： クンシラン(アラバマ州) [sage] ：2009/05/19(火) 03:04:45.34 ID:L1oEc3bK
hostsファイルに(ry
127.0.0.1 martuz.cn
127.0.0.1 zlkon.lv
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
127.0.0.1 gumblar.cn
127.0.0.1 jii.be
127.0.0.1 zief.pl
127.0.0.1 litefront.cn


533 ： クンシラン(アラバマ州) [sage] ：2009/05/19(火) 03:09:11.38 ID:L1oEc3bK
avastのwebシールド(URLブロック)に
*martuz.cn*
*zlkon.lv*
*findyourbigwhy.cn*
*bigtopsuper.cn*
*gumblar.cn*
*jii.be*
*zief.pl*
*litefront.cn*
過剰反応っぽいが、細かい事は気にするな

V速で拾ってきたんだが、ドメイン増えた？
あと有効ならこっちでもテンプレ化してほしい

>>1
乙ー

GENOウイルスって何？サイトを見ただけで感染するウィルス　G DATAとSophosがいち早く対応
ttp://japan.techinsight.jp/2009/05/sanada200905191636.html

・G DATA Internet Security 2009
⇒Trojan.JS.PYU (エンジン A)
　HTML:IFrame-EB [Trj] (エンジン B)
[3PC 1年版]

Avira AntiVir 9 Personal(フリー・英語版)
⇒HTML/Crypted.Gen [virus]
　HEUR/HTML.Malware [heuristic]

他のセキュリティソフトのユーザーは、ワクチンが提供されるまで十分注意する必要があるだろう。

>1乙

前スレの>671をよく巡回してるけど、何も起きてないんで解析に挑んでみたんだが…
難読化コードを解体して "NT 6"<0 が見つかったら、今まで通りXPとそれ以前が対象？

ちなみにOSはVista、UACはシマンテックのツール併用してるけど
一応オンにしてるからXP以降が含まれるとしても感染してない…筈なんだが

>>15

なんで全部hostに書いてはダメなの？
hostに書かずWEBシールドにのみ指定する理由頼む。

ごめ。どちらも同じだったね。
hostの方が少なく見えてしまってた。すまん。

1000 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 17:20:41 ID:abtxHDvw0 (PC)
やっぱりやっつけで作っても使ってくれないんだな
http://end.if.land.to/geno.php?url=http://hpg2.me.land.to/srcchk1.html

変なとこなさそうだけどな

対策済み、確認では感染兆候無しで、カスペのスキャンしたら
AdobeReaderのplug_ins Annots.JPNが検知されて9.1.1にアップデートしろ（意訳）らしいのだが
これはカスペクオリティ？

>>22
親切じゃん
AdobeReaderアンインストールしないならカスペルスキーおじさんの言うとおりにしとけ

>>22
なんかヴァージョンをうまく取ってくれないみたい、めんどいからリーダー削除した

>>22
カスペ分かってるな

>>23-25
�d。9.1.1にアップしてもこうなっているから大人しく削除しておくよ

>>22
それにしてもすごいIDだ

tieba●baidu●com／f?kz=274791213


ウイルスチェッカー900％
百度というサイトみたいです

ソース確認出来る人おね

>>28
特に怪しいところはないが

前スレよりコピペ。

696 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 09:57:36 ID:8eXjFlyI0
セキュ板から逃げてきた('A`)
なんだよあそこ

http://www.broadband-xp.com/hidesource/escape.html
難読化（escape）処理された文字列はここで複合出来る。

あとは replace 関数を適当に読めば元のJavascriptが判る。


731 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 11:35:49 ID:zf5ipXqL0
>>712
シンプルなのなら
view-source:これをURLの頭につければソース表示するぞ


762 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 12:09:39 ID:QXeKbW6W0
>>743
ViewSourceWith もしくは WebDeveloper を使えば、
好きなテキストエディタでソースを開けるぞ。

>>28
JSが大量だからチェッカーが誤反応してるだけかと思う
GENOウイルスのコードは見あたりません

>>28
何故か</head>と<body>にスクリプトが入ってるけど外部js含め関係なさそうな気がする

http://end.if.land.to/geno.php?url=http://tieba.baidu.com/f?kz=274791213
ちなみに赤くなってるのは</head>と<body>の間、という意味であって感染してるという意味ではない

感染サイトリストの一番下のその他項目。
アレ一体なんなんだ？
愉快犯か何か？

>>29
�d

>>30
サーセン
ソースみても何がどうなってるのかわからなくてさ。
もっと勉強してくる

やっぱり誤判定だったんだな

みんな�d

>>34
おぉ…責めてるつもりはなかったんだ、こちらこそごめんなさい
かくいう自分もしろうとなのでぱっと見でコードわかっても解読とかは全然出来ないんだ

>>33
自分も気になった
てか管理人さんはまだここ見てらっしゃるのかな？そろそろリスト整理して欲しいな
対応済みサイトとかリストから消去しちゃっても良いと思うんだけど

388 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/05/19(火) 17:52:34
Virus Block txt
PG2 葱　CIDR n無し
http://uproda.2ch-library.com/lib130292.txt.shtml

置いとくね、使いたい香具師だけ使ってくれ

PG2 葱の質問はここでは禁止だ、それぞれのスレ行け

>>28
別な意味あいで怪しいな

ノートンはもうGENOに対応したと思ってよい？

感染サイトリンク集の
HAIR SALON Revue
ですが、難読化されたjavascriptが不自然に挿入されてます。

難読化を復号できないへたれですが、たぶん黒です。

ttp://lineage2.plaync.jp/
リネ２の公式をチェッカーで見てみたら、危険度2643%なんてベラボウな数字が出て来たんだが、ソース見てわかる方居られるだろうか・・・

どうせすぐ新型に入れ替わるだろうから備考程度に。

martuzのドロッパ(exe)
ttp://www.virustotal.com/analisis/9566a4431a27972e5abce07c5a1163b4
aux等に突っ込まれるドライバ(dll)
ttp://www.virustotal.com/analisis/0ca4e1498cfd8ae2945fac6f42f3d9eb

>>40
いや…その…感染してるから感染サイトリンク集の確定サイトに突っ込まれてるんでしょ。

>>41
全くもって問題なし

>>41
evalがたくさん入ってるの見て誤検出したと思われ
http://end.if.land.to/geno.php?url=http://lineage2.plaync.jp/

>>37
DLしたいけどパスわかんねぇorz

>>38
別な意味合い・・とは・・・？

>>46
無許可で作品乗せてるってことだろ

前スレ902
Adblock Plusでは、怪しいURIなりを追加していく。
例外の頭には@@をつける。
ttp://www.sample.com/$scriptとすれば、sample.com以下のスクリプトのみを弾く。
ここでは省くがワイルドカードや正規表現もどきも使える。

ヴァイブ

>>43>>44
thx
助かった

>>41 どうでもいいが、アイコンファイルのでかさに驚愕したｗ

百度っつったらつべとかニコ動と同じ動画サイトだな
違法動画がわんさとありそうだ

>>45
ドアに「引く」って書いてあっても顔真っ赤にして押して開けようとするタイプでしょ

そういうことか。オレをNG登録してくれ

>52
百度は中華の Yahoo と言うべきだ
その中の動画セクションだよ、おまえさんが言ってるのは

>>41
1000％超えてるやつ初めて見たｗｗ

>>44
前スレでスルーしててごめんね
今更ながら結構使いやすいわこのツール

アップデートして最新にしておけって言うから
XPSP2からSP3にしてIE6からIE8にしたら
全体に重くなった…orz
IE8軽くないじゃん

>>41
確認してきた。うん怪しそうなのは無いね

つかソース見て「うわ、このHPメンテしたくねぇｗ」と思ったｗ

逆にこれ感染したら分からなくなりそうだ

感染サイトリンク集の
Hair Make Berrys
ですが、難読化されたjavascriptが不自然に挿入されてます。

黒判定したいのですが、変数名が haGe とかなってるのでただの愉快犯の仕業かもしれません。

>>57
IEコンポのやつつかっとけ
それなら重くないから
それか他のブラウザか

>>57
IE7よりは軽くなったんだよ

>>57
Prefetchクリアしてデフラグでもしろ

ググったらSP3とIE8は相性が悪いそうだ。
IE6に戻します
まんどくせ…　( ﾉД`)ｼｸｼｸ

他のブラウザは怖いから
慣れたIE6にします

>>64
SP3にしてからIE8入れたらIE8はアンインストールできなかったような…

感染リストに忍者ツールあったから自分で調べてみたけど
あれ誤判定だよな？

>>64
もうIEやめてOperaか火狐にしようぜ

これも貼ろうよ

◆感染対象
今のところWindows 2000,XP で感染確認

◆感染してるっぽい場合
ＯＳクリーンインストール一択

◆対策　※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

１．Windows Updateをやる

２．使用しているブラウザのJavaScriptをオフにする。※これ重要
　（FirefoxならNoscript導入が便利）

３．Adobe Flash Player の最新版にアップデート　→　ttp://get.adobe.com/jp/flashplayer/
　JSオフだと更新できないので、その場合は↓のリンクからインストーラーを落として入れる
　IE版　　　　 　ttp://www.macromedia.com/go/full_flashplayer_win_ie
　その他版　　ttp://www.macromedia.com/go/full_flashplayer_win

４．Adobe Acrobat Reader の最新版にアップデート　→　ttp://get.adobe.com/jp/reader/
　うまく更新できない場合↓のインストーラーをダウンロードして入れる
　ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
　インストールが終わったらAdobe Readerを起動し
　メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
　終わったらバージョンチェックして下記の数字になっていればok

５．Adobe Acrobat Readerの JavaScript 機能OFFにする

６．セキュリティ対策ソフトもパターンを最新に更新

2009/05/18時点での最新版
Adobe Flash Player　10.0.22.87
Adobe Reader　9.1.1

Flash Playerのバージョンチェックはここで（JS、AXをオンにする必要あり）
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

すみません、前スレ995は書き込み終了画面で 再読み込み押してしまいました。
あと、気になってるのですが、前スレ905ってことは、前スレ360も拾ってのものですよね。
まったくチンプンカンプンなんですが、恥かきついでに。
お仕事の邪魔して、ごめんなさい。

>>48
それはなんとか知ってるんで、現時点で有効だと思われる
フィルタリストを作って上げてもらえると助かるんですが･･･

>>66
誤判定ですね。

>>65
あれ、逆じゃなかったっけ？
IE7と8は入れたあとでSP3にすると、アンインストール不可になるとか聞いた記憶が…

>>60
せっかくなので踏んでみた
http://www1.axfc.net/uploader/He/so/226645.png

自分はSP3だけどIE8から6に戻せたぞ？システムの復元で

>>72
逆だったか
でもIE6ってまだパッチ出してるっけ？
戻さないほうがいい気がするが

>>64
Spybotの免疫使ってない？
使ってたらIE8入れると糞重くなるよ

感染サイトリンク集の
kisikaisei
ですが、難読化されたjavascriptが不自然に挿入されてます。

たぶん黒ですが、個人サイトだし腐系なのでほっとけ！って感じです。

うわー27時間くらいこなかっただけで、もうスレ3になってるの？
さっき、PC立ち上げて某セキュリティーニュースサイトを閲覧しようと思ったら、
ブロック登録したIPアドレスに引っかかった。

多少見られなくなるサイトが増えようが、ブロック優先というポリシーの為、
ホスティング先だけでなく、感染報告があった国内正規サイトも含める形で、
報告があったところを片っ端から広範囲登録していたんだ。　だから、間違いかもしれんが・・・

今、時間なくて過去ログ調べられないんだけど、注意しすぎて困ることはないだろうってことで、
アドレス貼っておくから、誰か検証してください。　ちなみに>>8　の中にはありませんでした。
hXXp://WWW.security-next.com/

ブロック登録しているアドレス範囲は　202.172.28.0-202.172.31.255　今調べたら日本国内のIPです。
だから>>17のリンク先もブロックされる始末。

>>22　うちはカスペ7だけど「PCを再起動」しないとパケットフィルタリングルールとかは適用されないみたい。

>>78
ざっとソース見たけど問題なさそう
断定はできないけど

http://end.if.land.to/geno.php?url=
これの後に感染サイトのURLくっつけて開いても、自分は感染せずにソース見ることが出来るの？

>>80
できる

>>78
問題なし
で、とりあえず202.172.28.0-202.172.31.255のブロック外しておけよ
逆引きしたらこれさーばみたい

ちょっと質問させて
ノートン先生が対応したって聞いたけど、亜種も大丈夫なんかな？
あと検出されるだけで、ワクチンとかはまだなんだよね？

これに限らず対応は基本的に1対1と考える
本家に対応してるから亜種にも対応してるなどと甘い事は考えない

不安になって、何度も何度も sqlsodbc.chm のサイズ確認をしているうちに、
なんだかいつの間にか、感染を待ちわびている事に、ふと気付いた。

「まだか、まだ感染してないのか？」って感じ。

そろそろ心の方がヤバクなってきてるのかもしれん。

てかid=10から落ちてくるexeって最初のgumblerのときから数種類あったじゃんね

今日はVBの更新が多いけど、頑張ってんの？

いくつもあるよ。俺が持ってるのはgumblarで7世代、martuzで2世代。

>>81
そうなのか。
これ使って感染サイトのソースを見てみたんだが、赤くなってる所が感染してる証拠なの？
逆に赤い所がないサイトは、感染している可能性が低いって事になるの？

>>89
お前はもう上のサイト使うな
お前のようなやつのためのサイトじゃない

ソースちぇき(β版) - ひまぐらま[別館]
ttp://hpg2.me.land.to/srcchk1.html

あなたのホームページを 「ソースちぇき(β版)」 で 見てみよう
このページでは、アナタが指定したアドレス(ページ)を
あなたのパソコンに代わって取得し、ココに表示します。
ページの内容を、ただのHTMLソース(文字列)として表示しますので、
もしもJavascriptによるいたづらが仕組まれていても安心です。

あとオマケですが、表示するソースの中から、
『見ただけで感染する？ウイルス(Zlkon/Gumblar/Martuzなど)』 を
自動的に探して太字にする機能も付いてるので、
もし覚えの無いJavascriptが在れば、
そのページのソースファイルを、自分で直してみると良いかもしれません。

※この「ソースちぇき」では発見のお手伝いだけで、
実際にソースを手直しなどするのは管理者であるあなた自身です。

「ソースちぇき」は単に客観的にあなたのホームページを見て、
ソースを表示するだけの「簡易ソースチェッカー」です。

トロイ診断機能は、hpgの憶測によるカンタンな正規表現による検索に過ぎません
のであしからず(ﾟДﾟ)ｽﾏﾝﾈ

あなたの回線環境やサーバの混み具合によっては1分以上かかることがありますので
リロードしないでね(´・ω・)ｵﾈｶﾞｲ

■GENOウィルスのチェックプログラム(簡易版)を書いてみた
ttp://d.hatena.ne.jp/kz_shikabane/20090517/1242495023

Vista使いでUAC厨の私には全く関係の無い話のような気がするが、
いつUACを突破する亜種が出るかは分からない。
sqlsodbc.chmのファイルサイズで判定できるようなので、
そんなときのためにこんなバッチファイルを書いてみた。

以下のプログラムをテキストファイルにコピペして、
拡張子をbatにしてダブルクリックで実行すれば、
コマンドを勝手に実行し、最後にレポート書いて停止するものだ。
有効利用してください。

あと、バッチに関しては素人なので改造してくれるとうれしいなぁ。

今何気なく感染サイトのGoogleのキャッシュをのぞいたら
感染したままキャッシュされてる所があるな・・

6．zlkon-gumblarお役立ち情報 高機能サロン管理システム★さまれぼ！★開発日記
ttp://excomp.cocolog-nifty.com/blog/gumblar.html

猛威を振るっているzlkon.lv/gumblar.cnに関する記事の中で、
お役立ち情報を集めました。
他のサイトの引用やパクリではない、独自のノウハウを紹介しています

独自のノウハウ（）笑

ttp://pc.nikkeibp.co.jp/article/news/20090519/1015259/
ttp://www.computerworld.jp/topics/vs/146109.html
今回報告されたのは、「JSRedir-R（ジェイエス・リダイレクト・アール）」あるいは「Gumblar（ガンブラー）」などと呼ばれるウイルス。
感染数が急増しているとして、セキュリティ企業の英ソフォスなども警告。

今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
攻撃者は何らかの方法で正規サイトに不正侵入し、このウイルスをWebページに埋め込む。
不正侵入の方法については明らかになっていないものの、US-CERTでは、
（1）パスワードを盗まれて侵入されるケース、
（2）サーバーの設定不備を突かれて侵入されるケース、
（3）Webアプリケーションの脆弱性を突いて侵入されるケースなどが考えられるとしている。

「正規のサイトでさえ、たびたび被害を受けている今
ユーザーには目を覚ましてほしい。Webが感染拡大に有効な手段であることが実証されている以上
クラッカーは今後もWebを標的にし続ける。
これと闘うには、Webサイトにアクセスする前に、そのつどスキャンして悪意あるコードがないか
確認することが大切だ」（クルーリー氏）

>>94の感染サイト一覧見てきたんだけど、
なんか以上なくらい再感染が多いな…なんでだろう？

以上じゃねぇ、異常だ

>>96
これはいい記事

>>97
geno同様、根本的に進入経路を塞いで無い・わかってないんだろうね

>>96
後者はFlashやAcrobatの脆弱性について触れてないから役に立たんな
前者は金賞もの、何故かどこのニュースサイトもこの事を隠してるからな

>>101
鯖側もGENOのせいにしてるフシがあるよね

>>84
ありがとう
ってことはノートン使っててもまだ安心できないのか…
早くワクチンできてくれないかな

現状深刻な害はないが感染性は高い
新型インフルの模倣かな

>>96
どっちも海外ソースで日本国内の惨状については何も報じてないけど
gumblarの名前が出たのは大きいな
本当はScanSafeのブログでも翻訳して載せてくれるといいんだがな…

しかし今になって海外の方でも報道が増えてるってことは
危険性を認識できてなかったのは日本だけじゃなかったってことか

>>96
良い記事だと思うが、

> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
これはミスリードを招かないなぁ。

javascriptで書かれたコードはウィルスを取り込むための、いわば呼び水だし、
一旦感染したら、クリーンインストールしかないというたちが悪いものという点
に触れられてないのが残念。

>>97
感染PCﾌﾞｯ壊してもftpパス変更しないと
サイトはすぐ再感染するよ

どうでもいいが「クリーンインストール」って最初に言い出したのは誰なんだろう
今までのウイルスとかだと、普通に初期化って書かれてた気がするし、そっちのがわかりやすいのに
あちこちで反応見てると、クリーンインストールの意味わかってない人が結構いるな

ＯＳ再インストールの方が分かりやすいと思うよ

この手のPC専門ニュースサイトに投書したどうだろ？

>>110
ここまでの騒ぎになって触れてないって事は「今のところあえて触れる気は無い」って事なんじゃないかと

>>3
>�Bavast!（無料のアンチウイルスソフト）で確認

だから、これは間違ってるから消せと…

リカバリをする際、Cドライブだけで良いのか
買った状態に戻した方が良いのかどっちかね。

avastは検出されないの？

2ちゃんだとクリーンインストールのAAあるから
常駐者はつい使っちゃうのでは
初期化のほうが危機感はあって伝わる気はするね

>>106
>> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
>これはミスリードを招かないなぁ。

だねぇ。JavaScriptはあくまでもダウンローダであって、マルウェア本体じゃないから。
本体がころころ変わるので、このダウンローダの段階で（スクリプト停止かIPブロックで）
防がないと、防ぎきれないという所なんだけど。

落ちてくる本体の正式名称早く決まらないもんかねぇ。

しっかり検証してないから不確実だけど
改ざんクローラーはサイトのルートから入ってきてリンクやphpの読み込み先へ行って改ざんしてる感じ

同じフォルダでも改ざんされてないのもあるし、全部改ざんされてるフォルダもある

例えばftpソフトでバーっとファイル一覧を見て改ざんする感じではないと言うこと

それにしてもクリーンインスコめんどくせー

Vistaで超勝ち組の俺様が来ましたよ

Vistaで超勝ち組の俺様から質問があるんだけど、今からオナニーするんだがオカズは何が良い？

>>114
スクリプトの殆どは検知するが、すり抜けがある程度発生している。

本体が落ちてきた後の検出には対応できていない（Avast以外のセキュリティベンダーの殆ども）
ようやくAviraがある程度（動作中の新規作成して自己消滅していく本体を）検出できるように
なりはじめたようだけれど、ほぼ日替わりで、変わった直後にはほとんどのベンダーをすり抜ける
ものを出してくるので、「○月○日に感染してしまったとわかっており、なおかつ、その時に落ちてくる
検体を誰かが入手して検体提出されていて、検出可能になっていることがはっきりしている」ケースしか
○○でチェックしてください というのは使えません。

だから、感染が疑われているかどうかを確認する為に、Avastでチェックするというのは間違い。

>>118
素敵ー抱いてー（棒読み）

それにしてもmartuz.ch重いな
どっかから砲撃されてるんだろうか

>>119
豚インフル

>>120
>17
定義名的にAviraもAvastと同じでJSのダウンローダだけじゃね？
いや、Aviraの公式は見に行ってないからそう書いてあるのかも知れんが

vipにsqlsodbcのサイズ正常で更新日16日ってやつがいるんだが……
感染してたとしてこれでさらに更新日偽造されたらもう判定できなくなるよな……

>>120
そうなのか。分かりやすい説明ありがとう。

>>113
買った時にCドライブしかついていなければ
Cドライブをクリーンインストール。
買ったPCにリカバリーの方法がマニュアルに
あるから、それにしたがって。

>>122
それだけ本体のダウンロードが増えてるとか。世界中から…

検体提出っていうが、ダウンロードされる本体って結局どれなんだ
普通のウイルスだと「○○っていうのが増えてたらアウト」だからわかりやすいけど
これってそういうのはないよな

またまた携帯からでスマンが

>>124
14 名無しさん＠お腹いっぱい。 sage 2009/05/19(火) 18:47:44
699さんの代理で投稿します

前スレ>>991
>ここは、ちょっとAVIRAに期待しておこう。

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=330
　DL avira／解凍 avira

ちょっと朗報です。avira データベース 7.01.03.222で、感染後のファイルを検出するようになりました。
上記はその画像です。（ロダをお借りしました。）

上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
再度感染させて検査しています。　この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。

http://www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1

2個ファイルを検出しているのは、バックアップした方の mwgpedu.tya も検出したためです。
ちなみに、>963の muvl.nug も、同じく TR/Drop.Agent.qna.2 で検出するようになっています。（実機確認済み）

http://www.virustotal.com/jp/analisis/92a0cea2519ff2c901f9ac82f9453928 -2

VTの上記 1と2のMD5を見ればわかるように、ファイル自体は中身が微妙に変わっている（MD5が違う）のですが、
見事に同じ検出名で発見します。

完璧に発見できるかどうかは今後の検証が必要だと思いますが、流石aviraと言うところですか．．．
上手くmartuz.cn汎用検出のシグネチャを作ることができたのかもしれません。

追記）全鯖巻き添え規制を喰ったので、しばらく書き込みできません。

>>119
サバの味噌煮

>>125
notepad やバイナリエディタにぶち込むとか
CRCチェックするとかでいくらでも判定できるだろう。
FTPのパスとかを記録してるファイルなので、1バイトでも
改変されてたらCRCが変化する

aviraはじまったのか？

>>122
>>128
martuz.ch
　　　　 　~

>>127
調べてたら、Cだけで事足りるみたいだけど
安全面から見てどっちが最善策なのか
気になるとこだ。

>>130
おおう検体スレか。目通すの忘れてた
手数かけてすまぬ。ありがと

Aviraの怒涛のアップデートはやる気を感じさせたからな。
で、結果を残したとなると人におすすめしやすくなった。

>>122
GENOウイルスがmartuz.cnから他へ衣替え中の可能性あり

>>135
うちのPCは、リカバリーCDとHDDにCドライブとリカバリーするための
領域があって、もし感染したら、CDでリカバリーすれば
いいのだろうけど、HDDのリカバリー領域はどうしたらいいのだろう？

>>138
怖い事言うなやめろ

JPCERT/CCでは情報提供を呼び掛けている
ttp://www.jpcert.or.jp/at/2009/at090010.txt
JPCERT/CC、JavaScriptが埋め込まれるWebサイト改ざんに注意喚起
ttp://internet.watch.impress.co.jp/cda/news/2009/05/19/23488.html

>>130
検体スレの「前スレ>>991」ってのが、これまた興味深いね。

991 ：699：2009/05/18(月) 22:10:31
>>963
KasperskyとAVIRA両方返答来ました。muvl.exeの方です。

　Kaspersky - 白
　AVIRA - TR/NoUpdate.C，黒

うーん、明暗くっきり。
感染後に作成されるファイルに白判定が出るようだと、これはKasperskyのオンラインスキャンでmartuz.cnの感染検出無理か？

ここは、ちょっとAVIRAに期待しておこう。　んで、>990さんの所でRisingでも黒判定出てるので、そっちも少し期待。


あと、今日はmartuz.cnが私のこと無視する。前回から24時間以上経過してるのに...後でもう一度試します。

>>140
前のGumblarの衣もすぐに秋て着替えたし。

イギリスに移動したのも早かったから
他の国に移動も念頭に置いてあいたほうがいいんじゃないか？

少し騒ぎすぎだよな

凄いねしかし。
よくここまでやる気になるね。
犯人はどんな人なんだか。

色々考えてウイルス作る事は出来たとしても、ここまで大事にしてしまうと、リスクもかなりなものだと思うんだけど。
絶対に捕まらない自信があるのかな。

>>129
スレよく読めカス

パツパツの軍服きたキチだと予想
いや、ごめん

>>145
騒ぎすぎたほうがいいような気もするな特に最近は・・・機械技術のほうが足が速すぎる
学校のパソコン授業ではワードとかんなのどうでもいいから
ネチケとウイルスソフトのこととか教えたほうがいいんじゃないかなぁ

>>149
確かになぁ　ワードは取り返しつくけど
ウィルスは取り返しつかんこともあるからなぁ

いいぞ、もっと騒げと思う

816 名前：名無しさん＠九周年[] 投稿日：2009/05/19(火) 21:35:18 ID:1MLUOU/80 (PC)
このサイトもAvastが激怒するんだがやばいのか？
jwy.jpshi■mobile■?jb=freepage-view&freelink=16

>>146
複数人だろうね

感染サイトリストの感染確定を確認してみた
整理の参考にしてください＞中の人

ヘアーサロンジョイ　復旧？告知なし
聖帝　サイト休止、告知あり
鉄道110号　サイト消滅
問屋街　復旧？告知なし
北川大介　復旧？告知なし
livmail　復旧？告知なし
主上支局　何か対策したように見えるが、一部おかしなコードが残っている
ペットの姓名判断のサイト　復旧？告知なし
帰ってき○三日天下　サイト休止、告知あり
loca.zombie　復旧？サイト休止？告知なし

>>146
て言うか失敗だろ
これだけ有名になったら対策されるし意味がない

>>155
むしろ、存在ばれた上に解析まで進められたせいで、作者が自棄になって短期決戦型の何かを仕掛けてきそうで怖い

Avira AntiVir、今日８回目の更新きた〜ドイツ人頑張るなあ。

>>156
作者が日本人なら方針転換もありうるが、やっぱり外国人なんじゃないか？

>>155
いや、一概に失敗とは言えないんじゃない？
目的が分からないし。

対策とられないPCは絶対に残るから、それらを集めてゾンビPCのネットワークを作成するつもりなのかな。
それとも、ゲームとして楽しんでるのかな。

感染後のファイルはNortonも検出できるようになってきた。
昨日から今日にかけて落とした4種は全部検出したけど、全種対応できるかどうかは
不明。
一方で、Avast!は感染後のファイルはまったく検出しない。スクリプトをすり抜けた
ものについてはAvast!は無力。
Nortonはダウンロードそのものは行われてしまうが、発動前に検出してくれる。

で、感染してる状態だとトレンドマイクロ以外の主要なセキュリティベンダー、
Adobe、Windows Updateへの接続はブロックされる。
ある意味、ウィルスの挙動としては完成に近づいている感じ。

IISに未パッチの脆弱性か、エクスプロイトも出回る
ttp://www.itmedia.co.jp/enterprise/articles/0905/19/news019.html
ttp://www.microsoft.com/japan/technet/security/advisory/971492.mspx
こんなのも来てるし

>>157
凄いな、どこぞのバスターとはえらい違いだ

ただし土日には働かない

明日ノートンかAviraに乗り換える

>>157
素晴らしい、10円あげたい。

WB

Aｖast！休日出勤で今日はお休みか？

政府や企業に一気に広めて一斉に恐ろしいパッチをDLさせあぼーん
とか？Botnetの方が現実味あるなｗ

ドイツで感染広がってるからね
日本人のほうが勤勉ぽいけどバスターがクソなのは何でだろう

仕事はきっちり
でも休みもまじできっちり休む

それがAviraの中の人達

>>169
上が日本人じゃないからじゃね？

917 フクジュソウ(茨城県) [sage] 2009/05/19(火) 22:25:55.72 ID:/+9riV/Y
　さて、話を戻そう。
　で、XPを制限ユーザーで使用してた場合でも感染するのかな？

918 プリムラ・フロンドーサ(茨城県) [sage] 2009/05/19(火) 22:27:52.98 ID:7cFT+H9Z
　>>917
　XPを制限ユーザーで使ってる人間ってどれだけいるのかな？
　セキュリティ上はもっとも望ましいんだけど実用に耐えないから
　ほとんどの人が管理者モードで使ってるしね

　誰か仮想PC上のXPで制限ユーザーモードの感染の有無を
　試してもらいたい

この機会にバスターからavastに乗り換えたんだけど
なぜか急に軽くなったわ。
一応wikiとかに書いてあるウィルス感染確認方法全部試したけど
おかしいところはなかった・・・

>>172
理論的には、UsersはDrivers32への書き込み権限がないから(いまみてきた)、
現行バージョンに限っていえば、感染には失敗するとおもわれ

制限ユーザで常用してる俺大勝利

fc2関係のサイトに繋がらないのは俺だけか？

>>176
行ってみたが繋がらんなぁ・・・

FC2はいま落ちてるだけ
FC2にはよくあること
と、思う

この際だからバスターからAviraかAvastに乗り換えようと思うんだけどどっちがいいかな

よ く あ る の かwww
こんなときに紛らわしいな

Avira超オヌヌメ

とAvast使ってる俺が言ってみる

FC2復帰したっぽい
いつもの現象みたいでした

カカクの時NODに乗り換えた奴いたなあ。。。

結局よくあることだったのかｗ

AvastとAvira一緒に入れちゃ駄目っぽいかな。
AvastとAVG入れてるからこの際記念にAviraも入れてA三つ揃えたいんだけど。

>>176
繋がらんね
ウィルスチェッカーで、URLリストをチェック中に落ちられ('A`)
個人サイトって結構FC2のシェア高いのね

常駐型のAVを複数入れるのはやめとけ

>>159
ボットネットは高額で売れる

>>183
お前のレスはキチコテを連想させようとしてるｗ

>>174さん、昨日の前スレ360でも逆汗さんが、そんなようなことをおっしゃってました。
本来のスレの住人の方がいない時間帯みたいですし、ちゃんと伝わっているのか心配です。

私もavastたんとAviraたんを一緒に入れたいと思ってたが、やはり駄目か・・

帰ってきたら、キャッシュクリアがテンプレから抜けてるね
どういう経緯で消えたの？

>>189
キチコテkwsk

FISな人今帰宅。

攻撃コードの埋め込まれたソースコードを検体として提供してきます....

5月に入り2回にわたり改ざん被害が発生 - レンタルサーバ事業者
htp://www.security-next.com/010480.html
その後の調査により、4日に発生した改ざんについては、管理者のパソコンからウェブサイトを
改ざんするウイルスが見つかったという。
パスワードなど7日の時点で変更しており、以降の同様の原因による改ざんは発生していないとしている。
同社では14日に発生した改ざんについても調査を進めている。

また、心当たりがある利用者に対して、対策をウイルスのチェックなど
パソコンの安全確認を呼びかけている。

BIG-server.com
http://www.maido3.com/

相変わらずマカフィーの名前はあがらないが、
実際動いてくれてんのかかなり不安だ

【初心者のための感染チェック】個人情報をインターネットに漏らしまくるウイルスGENO！
http://www.excite.co.jp/News/column/20090519/Getnews_14196.html
http://news.livedoor.com/article/detail/4160331/
http://getnews.jp/archives/14196

感染してなかったけど
XPをSP3にしたりIE8にしたら重くなって
SP2に戻してIE6戻し
今度は今までの設定がリセットされたようで
全て再設定してやっと元の環境に戻った
ウィルス作った奴はマジで呪われろ

>>198
別にFirefox入れたからって、規定のブラウザにする必要はないんだから、試してみたら？

毎回思うんだけどさ
作った本人が感染して対処しようがなかった場合、相当間抜けだよな

>>197
何このクソニュース
GENOウィルス・何をすれば良いか分からない人のまとめによると
て2ちゃんねるによると
って言ってるのと等価じゃん

そんな間抜けが作れる訳ないでしょう

>>200
人造人間17、18号に殺されるドクターゲロみたいだな

禁止ＩＰ入れまくったせいかコナミが繋がらなくなったｗ

>>169
ウイルスバスターのトレンドマイクロは台湾企業

>>196
Smart Security使ってるんだけど全く名前が出てこなくて不安
とりあえず出来る限りの対策して大人しくしてる
IE8のJavaScriptも切ったんだけど、これ効果ある？

>>206
分からないならネット繋がない方が安心

>>203
そんな感じ
>>202
ウイルス作成者はどうかしらんが自分で作ったプログラムを解析出来ないぐらい汚いソースで書く奴いるよ
そういう奴のはバグ取り大変みたいだね

下手すると最初から作り直す方が早いという＜汚いソース

なんで話題にならないのか不思議
ＨＰ見ただけで感染は怖すぎだろ

関係ないサイトでIEがビジーになるとビビる。

>>208 >>202 俺のことを晒すんじゃないｗ

>>211
悲しいことにデスラーの俺にとってはいつものこと

>>207
さすがに繋がないわけにはいかないので…

ウィキにアクセスすると
殆どフリーズするよ

>>206
現状のGENOなら、IE含めてブラウザのJavaScript切りは必須対策ではない。
まあ、亜種がどう進化するかわからないから予防として推奨されてるってこと。

ていうかIE６使ってるやつがいる事に驚き
職場ならまだ理解できるが
頼むから乗り換えてくれ
セキュリティ面からもWEB制作者への為にも

ベクターグッジョブ！
http://shop.vector.co.jp/service/special/security/

ちょｗｗｗ vectorはGENO(店舗)をしらんのかｗｗｗ

まるまる2chのコピペのようｎ

ベクさんぱねぇな

>>218
ﾂｰﾁｬﾝﾈﾙからのﾊﾟｸﾘだな。

>217
IE8評判悪いじゃん
重いだのメモリ食うだの

>>216
どうもありがとう
情報収集に行くのも怖いから助かりました
ホント迷惑なウイルスですね

平気でウィルスばら撒くような会社だからな

>>218
声出してワロタ

>>218
ベクターｗｗｗ

>>218
これはひどいｗｗｗｗ

このスレの誰かがベクターの関係者ということもある

>>1のテンプレそっくりｗ

ベクターのおかげでGENOウイルスの名称が一気に広まりました

>>217
WEB制作者としてはIE6の方が都合がいい

7も8もどうせモジラと解釈違うんだろ？

もうGENOは社名変えたほうがいいな……

>通称GENOウイルス
>通称GENOウイルス
>通称GENOウイルス
>通称GENOウイルス
>通称GENOウイルス

いやもうまじで、GENO(系)ウイルスっていう名前の由来をテンプレにいれといたほうが
俺なんかは、知り合いがGENOで通販してたりとか、普通にGENOの名は知ってるけど

>>232
8は一緒だと思うが

>>233
GEROだな

>>218
クソワロタ

ベクターさん見てるーー？　AAｒｙ

>>1はベクターの人だったのかー

ベクターの中の人じゃないが、もうGENOウィルスでいいだろ
GENOウィルスでググったほうが情報入手しやすいし

ベクターさんなにやってはるんですか

vectorやっちまったな

GIGAZINEの今日(5/19)のヘッドラインのトップ…
>■GENOウイルスチェッカー　Ver.1.1(ネット、URLを入力するとそのサイトが感染しているかどうかが判定できる)

……こんなところにも複線が

便所の落書きを鵜呑みにするベクター

今回と違って何か害のない話題の時には２ｃｈでベクター釣ろうぜｗ

>>241
２ちゃん的には、それでいい アンチもユーザも一定数いるし ２ちゃん用語的には、確定に近づいてる
ただ、語源は定義されてるほうがいいと思う(jaで大きな話題になった大手サイトの一つ。ってこと)

2chだってgnomeさんのパクリ

リンク張って、gnomeさんへのリスペクトはある みんなじゃないけど…。

グノームさんってなんであんなに偉大なの？
まるでマリカー界のマンダー様みたいにすばらしいね

>>216
ｋｗｓｋ
JavaScriptによってウイルスがロードされて感染されるのだから、未感染PCの場合、
感染の原因であるJavaScriptが「動作しない」ようにしてしまえば、
少なくとも現時点では感染のしようがないんじゃないのか？

>>250
今回「必須」なのはAdobeReaderとFlashPlayerの脆弱性を埋めてしまうことであって
両者が最新or削除されてればそこで感染を阻止できるって話なんじゃないの？

各人で判断すればいいだけ。
くだらない事で言い争うなよ

>>251
先週末だったと思うんだが、そのAdobeReaderかFlashPlayerのアップデートを誘って
ウイルスを感染させるサイトが出た、という情報があったんだよ。
ドメインもadobe.comにそっくりで、サイトのデザインも全く一緒で、DLされるファイルの
アイコンも全く一緒のやつがね。
GENOスレじゃそのこと全く触れてないからさ・・・

削除が一番安全なのは確かだけど・・・

>>253
少なくともAcrobatReaderに関しては、メニューに更新があるから、それを使えば誤誘導されることはなくなると思うが

>>253
結局何がいいたいんだ？

アクロバットって入ってればプログラム一覧に表示されるよね？
俺のPC入ってないっぽいんだけどこれってマズイのかな

さあね

>>255
>>250山椒。

履歴よりソース
tp://pc.nikkeibp.co.jp/article/news/20090514/1015081/
まあ今はもう、アンチウイルスソフトの方が検出するだろうけどね
今の騒ぎの伏線にも見えてきたがｗ

アップデートした方がいいのは理論上当然だが、今のホットな状態で
安易にオススメすると正しくないサイトを踏んづけるのが出てきそう
↓
ほとぼりがさめるまではウイルス自体が動作しないようにした方が安全じゃねーの？
ってこと。

>>217
IE7もIE8も重すぎて勘弁願いたい
Core2-2.5GHzでも重いって、どんなスペック要求してんだよと

>>250
普通にHREFで埋め込まれても感染する気がするんだが。
要は、細工したpdfを表示させようとすればいいわけで。


アンチウイルスソフトで実体検出できるようになったらしいけど、
日々変わる新型に勝てるんだろうか・・・・・

1月に実証コード→3月fix
3月に実証コード→5月fix
今月また出て来なければいいけどなー

>>253
adobeus の奴ね。確かにサイトはそっくりだった。

IE8だと、ダウンロード時に危険だけど、それでも落とすのかって聞かれた。
そして、ファイル名削ってドメインのトップページにしたら、勝手に、Adobeの正規サイトに
飛ばしてくれた。フィッシング対策が働いたようだ。

>>172
それ試せる人が今アクキンになっているから
結果だせても当分書き込めないぞ
奴がトリップ持ってたらそれ経由でモリタポ渡せるのにな

>>256
ワードを使わないからワードが入ってないのに、ワードが入ってないとマズイのか？

ブラウザからPDFへのリンクをクリックすると１００％凍るから嫌いだ・・・中身も
印刷しない限り見にくいし。

>>256
Adobe Readerもない？

>>259
んーと、つまり
通販サイトなりなんなり乗っ取ってTOPページに罠PDFのリンク貼り付けて
　「お客様感謝企画！
　こちらのファイルをDLしてプリントアウトした物を郵送していただくと　粗品をプレゼント。」
なんて文句で落とさせて開かせりゃウィルス本体落としちゃう（ユーザーのAdobe Readerが古かったら)
って事だよね？
まぁ、JSでHP開いただけで罠発動ってのより確率は非常に低くなるけどさｗ

>>262
そうじゃなくて、acrobat最新版にしとかなきゃいけないのに
そもそも入ってないからどうなんだろと思って

>>263
プログラムの追加と削除から見ても入ってないみたいだった

>>259
XPSP3のCD1.66GHｚのメモリ２GBで別におもくないけど？
逆にどんだけサクサクしたいの？
メモリエラーかなんかじゃねーの？
もしくは環境

>>265
メーカー製PCにはプリインストールされてることが多いけど
入ってないならそのままでおｋ
無理していれる必要はない

>>265
使わないソフトは入れない。使ってないソフトはアンインストール
セキュリティー的にはこれで良い

>>259
Pentium4m3Ghz メモリ１GB＠XPSP3で特に支障ないですよ。
メモリの増設を計ってみた方がいいのでは。

>>259＆>>264
・・・理解した。
リンククリックしてDLする前に対象物を確認汁！！って何回行っても「わかんなあい☆」な人
いるもんな・・・orz

未だにOperaを導入せずfirefoxやらieやら言ってるヤツらが居るのか

O p e r a 最 強 伝 説

>>270
巣から出て来んなｳﾞｫｹ

>>267-268
考えてみればソフト入ってなければそのソフトのセキュリティの穴もないって事か
acrobatとか今後使う予定もないだろうしこのままで良いか、ありがとう

>>272
あ?
お前何様?

めっきりネトサの範囲が狭まりましたｗ

カスペおじちゃん頑張ってくれよ…

そういやノートン先生更新したら前スレの悪戯スクリプトに反応してくれるようになった

・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能

niftyで主要部分をオンラインチェックしたけど以上なし
なんかロックかかってる領域が表示されていたけど

今のとこ不調はない
リカバリー面倒だな

278だけど
regedit.exeは正常だった
試したのは昨日なんで　またチェックしてるとこ

niftyでオンラインチェックｗｗｗ
馬鹿丸出しだな。

下のページ（まとめブログ）を開いたらavast!で「JS:Redirector-H」反応
なんとか感染は免れたようだったが念のため報告しておく

ttp://revchannel.blog64.fc2.com/blog-entry-447.html
ttp://kuromacyo.livedoor.biz/archives/823342.html

タイミング的に怪しいのは後者っぽい

adobe reader 8.1.5からadobe reader9に乗り換えようと思って公式に行っけど今ダウンロードできないみたいね

このウイルスって感染しているかは
cmd、regedit、sqlsodbc.chmをとかチェックと言ってるけど
もしかしてタスクマネージャにはウイルスらしきプロセスは表示されないの？

>>283
プロセスをのっとって活動するらしいからわからないと思う。

こんだけやってって挙動が不透明なのは
なんでなんだろ
飼ってる人もたいした情報出してこないよね

>>281

<dt><a name="R24">24</a> 名前：<a href="mailto:(){evl(unespe(('Scpt(t,'%')))})(/./g);]"><b>名無しさん＠九周年</b></a>：2009/05/18(月)

こういうのを貼った馬鹿がいる
のをそのままコピペする馬鹿がいたから反応しただけ
安心汁

>264
そんなまどろっこしいことしなくても
サイト乗っ取ってトップページに
「重要なお知らせ：こちらのＰＤＦファイルを必ずご確認ください」ってあれば
ほとんどの奴が見るぞ

>>281
下の奴はソース見たらコメント欄にダミーコード入れてるのがいた

今なら「新型インフルエンザ」とかでホイホイ釣れそうだな

>>285
プログラム板の人達がまだ本気になってない

>>286
そしてそれを丸ごとここに貼り付けたお前さんも馬鹿って事になるぞｗ

>>285
ボットっつーのは基本的に司令塔の命令待ちになるから
何も命令もらわない状態だとただ口開けてるだけで
これと言った挙動を示さないんすよ。

>>291
avastがどうたらこうたら言うバカがすぐに分かって便利じゃないか

XPでもReduced Permissionsつかってりゃ感染しないだろｊｋ

>>286
>>288
>>293
ああ、無知って怖ろしい／(^o^)＼
とにかく誤爆だったようで安心したよ
サンクス

ダミーコードってなんだ？
ググってもノートントラップのことが出てこないよ？

>>291
丸ごとかどうか判断できないお前が大馬鹿って返せばおｋ?

>>284
な・・・なんだと・・・
俺には何もできないからこのスレの勇者達を応援するわ

>>292
逆汗とかやらないものなの？

pandoraTVってどうなの？　チェッカーでは900％とか出てるけどｗ

ttp://www3.atword.jp/gnome/2009/05/19/finally-several-security-venders-detect-gumblaroid-completely/
全撃墜してるのは
AhnLab-V3
AntiVir
AVG
Kaspersky
McAfee-GW-Edition
Microsoft
NOD
Rising
Symantec
の９ベンダー

>>299
やってもしょうがないべ。口開けて餌待ってるだけなんだから。
https://www.ccc.go.jp/bot/

ようするにPCを遠隔操作するソフトだから
なんでも出来ちゃうってこと？

てか口あけてるなら
常駐してるわけでしょ
その情報もないし
どのポートで待ってるとかもないんだけど
なんで出てこないの

Martuz .cn - New Incarnation of the Gumblar Exploit. So What’s New?
ttp://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

>>302
リンク置いといたのにオウム返しするなよ…。

>>299
逆汗スキル持ってると分るけど、正体不明バイナリの挙動全解析はクソ面倒。

軽く触る程度の解析だと、たいしたことは分らない。
デバッガでアタッチして動かすならAPI側の処理だけ辿れば大まかに挙動は観察できるけど、それだけ。
確率付きで動いたりすると分らなくなるし、ネットワークから指示を待つ場合だとネットワークにつないでることしか調べられない。

その以上の挙動まで調べだすとヘタしなくとも数日掛りの仕事になる可能性は十分あるし、
調べたところで仕込まれてる機能にオーバフロー脆弱性や仮想コンソール並の自由度があれば「感染後は何でも実行されかねません、以上」で終わる。
BOT的なものが仕掛けられてるって話がチラホラしてることを考えると、感染後の挙動の可能性は無限大って考えるべきだろう。
BOT化されたのなら、後は仕掛け人の思いつきでデータ流出・フォーマット・物理破壊・踏み台化、思いのままだと思うべき。

>>303
GENOウイルススレ　感染2台目
http://pc11.2ch.net/test/read.cgi/internet/1242630563/854
854 ：192.168.0.774 [sage]：2009/05/19(火) 14:24:21 ID:9nVAwa4a0
>>829
昨日から試してるんだけど。
感染VMにFWやら各種のsniffingツールやら入れて監視しようとすると
動作を止めたり自分自身を消したりするんだよね。

とりあえず
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
に書き込まれるファイルが起点となって動作しているのは確実で、
こいつさえ殺してやれば少なくとも主要な機能は止まる。
殺し方としては、gnome氏の書かれている方法でOK。
要はSafe Modeで起動して、レジストリに書かれているファイルを適当に書き換えて
壊す。で、再起動後にレジストリを正常値に書き直す。

本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい

>>303
ボットネットをIRCで構築とかの話を聞いたりしないかい？
ボットが自発的に外に出て行く仕様だとそこは特定できない。

そういう仕様だとNATを超えられないし、弱いPCを山ほど確保するのが原則のBOTネットでわざわざグローバルIPを要求するとは思えない。
感染させたところで、感染者のIPを調べる手間があるし。

感染者に自発的に報告させるって手はあるけど、ポートを開け放つよりランダムに外に出て行かれるほうが攪乱にもなるし、メジャーな手段ではないだろう。

自分から仲間を探しにいくわけね
でも常時起動してるってのは正解？

>>303
馬鹿は回線切って寝てろ。

馬鹿にもどんな動きしてるかわかりやすくてこういったやりとりもたまにはいいじゃん

>>269
よくわからない人向けに、テンプレで最新版へのアップデートだけでなく
JS切ることを必須に近く推奨しようとしてるのは、
JSにより「自動」で罠へのリダイレクトされてしまうことを予防するためで
アンチウイルスを予防で入れてるのと同じような意味
何回も脆弱性を塞ぐアップデートが出てる以上、最新版にしていても
いつまた穴がある状態になるか分からないからね

そりゃ通常リンクで誘導するだけで発動するだろうが、
自前でリンクを踏むステップを経る以上
その辺に関しては「怪しいリンクはクリックするな」としか言いようがないから

一番効率よく塞ぐことだけを考えるなら、現行仕様で一番楽なテンプレは
「OSをVistaに変えて、UACはONにしておけ」になってしまうぜ

>>310
プログラミングに関して詳しくないのだけど前スレの>>854に、

> 本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい

と書いてあるがこれだといわゆる「常駐」とちょっと違うと思うんだよね。
ドライバを使うタイミングで動くって事なんだと。

>>312
で？

>>313
要するにバカには理解できないってことだ

>>307
今気づいたけどウイルス対策が間に合わなくても
FWあるから実害ないんじゃないの？なんで被害でてるの？

ウイルスに感染しました→ウイルスが動き出しました→情報を外に出そうとしています→
Nortonが許可拒否リストにないプログラムが通信しようとしているのを確認。→FW警告を出す

こういう流れじゃなかったの？

書く板間違えた・・・
「GENOウイルススレ　★18に」書き直して平気かな？

>>315
ウィルスがブラウザに寄生してたらどうする？
ＦＷなんて意味ないよ
これくらい分かるよな

高度なFWはちゃんとハッシュも調べてくれるよ
アドオン型の寄生は関係ない話だけど

色々無効にするとアマゾンでDVDの感想さえ見れないんだな…
まぁ見れないほうがニコ動見たくならなくて良いのかもしれないけど。

とりあえず数日トラフィック全部ログに記録してれば
あやしい通信があるかどうか解るよな

あ、見れた。
ｽﾏｿ

レス付いてるのでこっちで。

add-onやプラグインはインストール時に警告出るでしょ？
今回はIEの脆弱性関係ないみたいだけど。
許可してるシステム関連の通信もファイルが変更されるとNortonまた聞いてくるけど・・・？

今回、なにが外部に送信してるの？

そのノートン自身が改変された場合は考えなかったのか？

ウイルスソフトずっとキングだったんだけどこの機会に乗り換えるなら何？
やっぱりAvira?

>>324
ZERO

>>325
とりあえずキングと比較して長所と短所を教えてくれ

>>259
こちとらIE6使いで7や8を擁護する気はないんだが
そのスペックで重いってのはメモリが少ないかハードディスクの転送が遅いんじゃねーの？
XPならメモリは最低1G以上
仮想メモリやIEキャッシュは少なめにしてCドライブとは物理的に別のドライブに移動させておくもんだぞ
それでも遅いってんならIE使うのを止めろとしか言えない

今回のって感染はブラウジングで拡散はFTPじゃなかったか？
FTPソフトは普通通信許可にしてあるだろうからFTPに乗っかってれば警告も出ないと思うんだが

>>327
ＩＥ8だがマジで重い
これIE8入れたらＩＥ6の軽さが神に見えるよ

GENO自らScriptうｐしてるわけじゃないっしょ？
別じゃね

>>329
チラ裏：IE8はspybotの免疫で激重になるって小耳に挟んだことがある

>>329
そんなに重いのか
8は何をそんなに詰め込んでいるのやら
プラグイン形式で必要可否の選択出来れば軽くなるだろうにな
タブブラウザ機能があればそれでいいのに。

>>329
俺もIE8だが軽快だよ。なんかのソフトと相性悪いんじゃない？

同じく、こないだIE6→8にしたけど普通にサクサク。
別に重くなったとは感じなかったな。

IEコンポでの快適さに慣れるとこの起動の遅さとタブ生成の遅さとかタブ移動のラグが気になる
タブ生成の遅さはavast切ったら無くなったが
でもavast切ったら意味がないし

>>174
XPでアカウントを管理者から制限ユーザーに切り替え
JS有効の状態でGENO感染サイトを踏んだ後に
アカウントを管理者に戻しても感染はしてない状態なの？

>>79 >>82
ありがとう。　安心した。　
範囲の指定がオレらしくないからどこかに張ってあったやつっぽいんだが、全然思い出せないよ。
アドバイスどおり、ブロックは解除させていただきます。

>>125
更新日はプロパティーで詳細表示ボタンクリック→何も変更しない→適用→OK
にしただけで、変更されることがあると思う。
俺自身、プロパティー詳細を開く前と後で更新日が変わったから。
今も2度更新日の変更を確認した。

だから、その人が16日にプロパティーをチェックしたのであれば、感染していない可能性が残るね。
同じ操作をしても更新日は更新されるときとされない時があるのは、インデックスとか圧縮とかが
関わっているのかもしれないけど、自分はファイルシステムにうといのでよく分かりません。

あと確率は低いけど、KasperskyやESETの最新版のようにウィルススキャン済みのファイルはスキップする機能も
影響しているかもしれない。　他に症状がなくてMD5が正常な値であれば多分大丈夫。

>>139
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1323127298
こんなんじゃ、イマイチな信憑性だけど。

>>146
闇サイトで去年6000円くらいで売られていたクラックツールだか脆弱性情報だか（うる覚え）を利用しているっぽいらしい。
さっき本屋で立ち読みしてきた。　GENOの通販を名指しで記事になっていたから、
ろくなお詫びせずに知らんぷりを決め込んだGENOの思惑は大ハズレ。

>>201
オレも同じ事を思った。　しかも、そのまとめサイトもまた誤解を生みそうな微妙な出来だ。

>>337
>>125にレスありがとう
まとめが誤解を招きそうだと思うなら 同人板のスレで>>1宛てに指摘してあげてほしい

martuz.cnが正引きできなくなってるな
感染サイトは未だにmartuz.cnに接続しようとするけど

>>337
立ち読みしてきた本って何？

>>232
IEの中では、IE8が一番WEB標準らしいよ。8では7での表示モードに出来る（サイト毎に登録も可）。

>>279
それが怖いんだよな。　>>337での自身の発言と一部矛盾してしまうけど、
cmd regedit ヘルプ改変 BSOD etc...　対策ソフトが後手後手に回ってしまった為、
感染しているかをユーザー自身が症状をたよりに判定するような風潮になってしまったことが怖い。
発症せずに潜伏中でないことを祈る。

>>283
タスクMGRで確認できたのは、数年前の話だそうです。

>>308
NO 今後は神出鬼没のゲリラだと思ったほうがいいよ。　タイマーがいつ発動するかも分からない。
ウィルス自身が発見されずに潜伏する自信があるなら、全世界で一気に発症させる方がお金になりそう。

>>319
ニコニコ動画で何かあったのですか？

>>329
うちはXPだけど、VISTAだと重くなるらしい。　理由には「XPより厳格な権限の管理」が予測されるとのこと。
IE8からプロセスがタブ毎に独立するGoogleChrome方式となったために、↑が影響だって。

>>332
アドオンの管理というウィンドウでJava Flash AdobeはもちろんMSのプラグインも含めオフに出来ます。
ですが　jsに関しては別のところで設定する必要があり面倒です。

■■よく出てくる逆汗って玄人っぽい語は何でしょうか？

>>338 いえいえ、あなたも他人の為にお疲れ様です。　そのスレがどんなところか見てきます。

ttp://mtc.sri.com/live_data/av_rankings/
久しぶりにSRI見たら軒並み減っててわらた

>>339
http://www.sbcr.jp/pcjapan/
のセキュリティー処方箋っていう連載です。
内容がマンネリ化しちゃってますが、もう3年くらい毎月買い続けています。
そういう意味でもWindows7に期待。

トレンドマイクロやノートンみたいな大手はすぐ対策してくれたけど、今でも対策打ててないアンチウイルスソフトってあるの？

>>342
thx
読んでみるわ

>>340
逆アセンブル

駆除してくれると言う意味では対策になってるソフトはまだない

>>343
あくまで水際阻止
検知するだけですり抜けられたらout

>>346が言ってるように、駆除まで含めた対策はどこもできてない。

52 名前：以下、名無しにかわりましてVIPがお送りします[] 投稿日：2009/05/20(水) 01:27:50.05 ID:X0055OE00 (PC)
＞Jane Styleを使ってる奴らへ
「怖いからスレに張られたURL全部GENOウイルスチェッカーでチェックしてる」って奴もいると思う
そんなビビり屋のためにJane Styleで使えるReplaceStr.txtを作った

ttp://sageuploader.if.land.to/cgi-bin/1upload/src/sage1_11028.zip.html

「GENOウイルスチェッカーでチェックできるリンク」
「ソースチェッカーオンラインでチェックできるリンク」
の2つを生成してくれるよ
でも滅茶苦茶汚いし不具合ありそうだから
「もっと綺麗に、かつ確実に動作するように書けるよ」って奴は調整頼む

110 名前：以下、名無しにかわりましてVIPがお送りします[] 投稿日：2009/05/20(水) 02:00:57.11 ID:X0055OE00 (PC)
修正版0.12（特殊文字でリンクが切れる不具合を修正）
ttp://sageuploader.if.land.to/cgi-bin/1upload/src/sage1_11034.zip.html

>>106
修正版出すたびに消してるんだゴメンね
つーか自分で使ってて思うが重いな

>>340
でもニコって今のところ安全だよね？見たくないのは個人的な理由じゃないかなぁ

javascript関連とかではなくて？

おそらくニコニコはつい見たくなってしまうから
色々な機能を無効にしたら見られなくて
ちょうどいいかもって事だと思う
ニコが感染してたら今頃祭りになってるよ

あ、そういうことです。
映画みたいな〜でもウイルス怖いな〜ってことです。
ｖｉｓｔａなんでたまにjavascript切ったりもするんだけど、
元に戻すの忘れそうになる。
XPの人はくれぐれも元に戻すの忘れないでね。

↑の文、ちょっとおかしい所あるけどｽﾙｰで。
ってかもう私をNGにして良いよ、情弱で何の役にもたたんし。

888 名前：882[sage] 投稿日：2009/05/02(土) 23:29:26
>>887
手動でやるのは無理なので、こういうサイトを利用するのでし。
　ttp://www.broadband-xp.com/hidesource/escape.html

今回のだと、ソースの中のunescapeの部分に注目して、あとreplase部分から@→%の置換があることに当たりを付けて、
1) unescape関数の中身('@〜'まで）をテキストエディタにコピー
2) エディタ上で@を%に置換
3) 置換後のテキストを、上記のサイトの右側の欄に貼り付け
4) unescape関数でデコード　のボタンを押す

そうすると、左側に元のスクリプトが表示されます。今回のだと、前の方でOS判定をやって、
最後の所で src=//gumblar.cn/〜　でマルウェアを落とすようになっていることがわかるのです。

Adobe立ち上げて最新にしようと思ったら
何か繋がらないんだが

GENOってサイトの改ざん以外にも感染者からのhtmlメールで広まる可能性はないのかな？

ますます巧妙化するJSRedir-Rの攻撃手法
ttp://www.itmedia.co.jp/enterprise/articles/0905/20/news021.html

>>355
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-051900-3410-99&tabid=2
It blocks access to Web sites containing the following strings:

* clamav
* mbam
* mcafee
* miekiemoes
* prevx

It also blocks access to sites whose domains start with the following strings:

* Adob
* AVG
* AVPU
* CAUp
* COMO
* Enig
* ESS
* LIVE
* Live
* McHT
* NOD3
* Nort
* Pand
* SpyS
* SUPE
* Sy
* TMUF

>>355
昨日からそう
アクセス高いせいか何かしているのか何かされているのかわからん

＝＝＝現時点で、検出可否スレに報告のあった検体の検出結果まとめ＝＝＝

ダウンロードされてくるexeやPDF、swfがメインです。
HTMLに埋めこまれているjavascriptについてもある程度入っています…が、バリエーション不足気味。

ダウンロードされたものが生成し、次を作ったら自分を消す活動中のマルウェア本体については、
殆ど含まれていませんので、あくまでも、ダウンロードした段階（発動前）に検知できるかどうかの
参考情報としてください。


BitDefender
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/27

Rising(スルー多め？）
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/29

AntiVir
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/30

カスペ
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/31

a-squared4.5(Ikarus)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/32

F-Secure
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/35
＞htmlがすべて嫌疑という結果(本体の検出率は報告なし？）

Avast!
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/54

追記：この結果に関するコメントなどは、向こうのスレに付けないようにお願いします。
　　　　検出可否報告の邪魔になってしまいますので。

早く対策見つけろよ。

今のところ最新にしとけば大丈夫でしょ

>>359
普通につながるよ

Gnomeさんによると、

>>355
昨日は一時的に繋がらない時間が５分ほどあったかも
まぁすごい確率だが・・

それにしてもまだどこも検知しかできないってのは心細いね
問題になりだした頃からあわててAdobeを最新版にしたり火狐にNoscriptいれたりしたけど
その前にはいられてないという保証もない


正直Aviraがすぐに駆除できるようになると甘くみてた

ゆうののページはとりあえず対応したみたい。
掲示板でも連絡入ってるし。

現時点で、検出可否スレに報告のあった検体の検出結果まとめ（改)

ダウンロードされてくるexeやPDF、swfがメインです。
それが生成し、次を作ったら自分を消す活動中のマルウェア本体については、
殆ど含まれていませんので、あくまでも、ダウンロードした段階（発動前）に
検知できるかどうかの参考情報としてください。

BitDefender
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/27

Rising(スルー多め？）
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/29

AntiVir
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/30

カスペ
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/31

a-squared4.5(Ikarus)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/32

Avast!
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/54

PCプロテクションプラス(F-Secure)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/55

追記：この結果に関するコメントなどは、向こうのスレに付けないようにお願いします。
　　　　検出可否報告の邪魔になってしまいますので。

>>366
つーかAviraが検知止まりな時点で他が駆除できるとは思えん。
まぁ非営利と違って法人は責任の度合いが違うから比べることはできんけど

いつになったら駆除してくれるソフトが出るやら

まだ未潜伏PCの奴は今の状態のCドライブイメージ作っとけ
復旧が楽になるぞ

やっと追いついた。
テンプレの対策のとこだが、アドベを最新版にの他に
「IEを8にする」ってのはいらないのか？
まあWindowsUpdateを最新版にしたらIEも8になるはずだけど。
GENOは偽装画像とかMIMEもあるんだろ。
で、その穴はIE8で塞いでてそれ以前のはアウアウって前スレで見た気がするんだが

俺のブクマしてるサイト、IE6じゃないとほとんど見れない。
IE8は勿論、火狐ですらろくにみれねぇよ。

Aviraでスキャン、感染なし
sqlsodbc.chm確認
レジストリも汚れてない
多分大丈夫なはず、多分。。。

>>345
うわっ。　全然思いつかなかった。　こりゃ自分で分かると結構嬉しいかもな。
数年前だけど、自作PC版で青筆って何だと気にかけながら、ある日Aopenだと分かった日にはバイト仲間と爆笑した。

>>349-352
なるほどです。
>ニコ動見たくならなくて を ニコ動のようにならなくて　 だと解釈しちゃた。


■■■これより下、　>>8にないもので、感染報告があったリストです■■■
スレ1と途中までとこのスレしか読んでいないので、スレ2あたりでクリーンになったサイトがあったらゴメン（教えてください）。
----------これ以下　前々スレにあがっていたサイト---------
■Name: ukokkei.co.jp
Address: 219.99.160.160
↑オレには何故か分からないけど、逆にIPアドレスから検索すると別のドメインがヒットしてしまいます。

■Name: seibidoshuppan.co.jp
Address: 202.212.220.47

AviraでWindows System scanをしたのかな？

----------これ以下UNDERFORGE OF LACK　さんブログ より---------
■findyourbigwhy.cn
Name: findyourbigwhy.cn
Address: 72.47.253.37

↑同一IP↓

■bigtopsuper.cn
Name: bigtopsuper.cn
Address: 72.47.253.37

■sv172.lolipop.jp
Name: sv172.lolipop.jp
Address: 202.222.31.161

■Name: sv11.chicappa.jp
Address: 219.94.144.45

■p09ns7.puretopure.jp
Name: p09ns7.puretopure.jp
Address: 124.211.27.74

■??
213.0.0.0-213.25.255.255 213.0.0.0/8
↑UNDERFORGE OF LACK　G'nome さんブログでこの範囲を
シマンテックが塞いでいそう　とあったので。

----------これ以下、>>94さんのサイトであがっていたもの------------
■hXXp://4891919.com/0766262525/
Official Name: 4891919.com
IP address: 113.34.82.44
↑こういうwwwなしのアドレスって短縮URLの一種なの？
4891919.comでnslookupしただけだから、アドレス違うかも。

■hXXp://WWW.first-hair.co.jp/
Official Name: first-hair.co.jp
IP address: 203.174.67.192

■hXXp://WWW.k-q-bury.com/
Official Name: k-q-bury.com
IP address: 208.67.219.132

以上となります。　
あと、上で書いた疑問点、分かる人がいたら教えてください。

Begin scan in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!

Aviraでのスキャンでは警告（これ）だけだわ。

>>368
各メーカーごとの呼び名のまとめってある？

>>377
865 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/05/20(水) 10:17:12
GENOが改ざんされた日に対応した企業
a-squared　　　 4.0.0.101　　Trojan.Agent!IK
AhnLab-V3　　　 5.0.0.2　　　Win-Trojan/Agent.18944.JQ
AntiVir　　　　 7.9.0.138　　TR/Agent.caaj.B
Avast　　　　　 4.8.1335.0　 Win32:Trojan-gen {Other}
AVG　　　　　　 8.5.0.285　　Delf.JTL
CAT-QuickHeal　 10.00　　　　Trojan.Agent.IRC
eTrust-Vet　　　31.6.6450　　Win32/SillyDl.HDU
Fortinet　　　　3.117.0.0　　PossibleThreat
GData　　　　　 19　　　　　 Win32:Trojan-gen {Other}
Ikarus　　　　　T3.1.1.49.0　Trojan.Agent
K7AntiVirus　　 7.10.698　　 Trojan.Win32.Malware.1
McAfee+Artemis　5580　　　　 Generic!Artemis
McAfee-GW-Edition 6.7.6　　　Trojan.PSW.Delf.AB
NOD32　　　　　 4000　　　　 a variant of Win32/Delf.OEX
Prevx1　　　　　V2　　　　　 High Risk Cloaked Malware
Kaspersky　　　 7.0.0.125　 - （←遅れて対応）

>>377
自分でやってくれ。

>>373
上は白
下は真っ黒

>>374
1番目 たぶん白
2番目　おそらく白
3番目　403
4番目　403
5番目　黒い

------から下
1番目　白だと思われる
2番目　おそらく白
3番目　ガチ黒

>>380の>>374安価は>>375宛ね

>>373
うこっけい ： 対応中との連絡あり。誠実にやってそうな返答でした。
せいびどう ： レンタルサーバー業者側から報告してもらって対策中との返答あり。

どちらも対応完了したかまでの追跡調査はしていません。（そこまで暇じゃない）

hostsはやった、>>8のIPは送信も受信も作って両方拒否にすればいいんだよな？
バスターなんだが例外ルールのプログラムのほうは何もしなくていいんだろか

>>380-382
さっそくありがとう！
お手数おかけしました。
403は対応中ってことだね多分。


>>383
バスター使ったこと無いけど、多分ダメ。
多分、どこのソフトでも一緒だと思う。

ぐぐったら、一番上がウィルスバスター2006だった。
http://esupport.trendmicro.co.jp/Pages/JP-211895.aspx
の一番下。

注意：
　　除外設定に、トロイの木馬が使用するプロトコルとポート番号を設定した
　　場合については、トロイの木馬アタックを防ぐことができません。
　　除外設定の追加に関してましては、お客様の自己責任で行ってください。

2009での[例外ルール]登録方法。
http://esupport.trendmicro.co.jp/Pages/JP-2063930.aspx

>>384
横からだが

ほんとですねえ
まとめさいとに危険IPぶちこんでおけとあったので実行しましたが、かえってまずいんだろうか

バスター側の対応がまだの場合は多少意味があるけど、
バスターが完全対応後（んなもんできるか？ですが）はかえって邪魔ということですかね

毎日こんなに必死になるならサクッと毎日リカバリーした方が気が楽だな。

HDDが死ぬぞｗ

その程度で死にゃしない。ネカフェのPCなんてそんなモンだし。

>>373
> オレには何故か分からないけど、逆にIPアドレスから検索すると別のドメインがヒットしてしまいます。
それ、バーチャルホスト
HTTPの通信は、クライアントがサーバに繋げた後、クライアントがサーバに対して「○○鯖のhtmlくれ」って指定するので、
その指定を見てディレクトリを切り替えるようにすると、一つのIPで複数のコンテンツ・企業の収容ができる。
レンタルwebでは結構一般的。

感染したかどうか簡単に判別できるウィルスと判別が難しいウィルスを同時期に配布して時間差であぼんとかあると映画っぽくて面白いよね

>>384
げ、まじか。IP入れるの地味に時間かかるのにそんな・・・
わざわざググってくれてありがとう

除外設定は拒否にしといてもアタック防げないんだろうか？
早くなんとかしてくれよバスター

例外ルール、プログラムの方にIEがあって許可になってるけど
これはIE使わなければ問題ないのかな？

>>385 >>391
自分で危険IPをブロックするのは、何も問題ないのでは？
バスター側がフィッシングサイトリストか何かで対応しても、それは変わらないでしょ。

>>384　はブロックIPアドレス　よりも　例外ルールの方が高い優先順位で動くって意味。
こっちのページの方が分かりやすかった。
http://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
単に例外ルールを作らなきゃいいんじゃないの？

それか、例外ルールにIPアドレスを指定しない選択肢があると思う。
Kaspersky だと接続先IPアドレスではなく接続先ポートを指定したり（デフォルト）できる。
不安なら、安全が確認されているサイトで　ちゃんとブロックしてくれるか確認すればいいよ。
平日だしサポートに訊くのが一番確実だと思うけど。

>>386
http://www.microsoft.com/japan/windows/products/winfamily/sharedaccess/default.mspx
なんか機能が増えているっぽい。

>>389
はぁ、そうなんだぁ。
身近なものに例えると、バーチャルホストってのが　グローバルIPを持つBBルーターで　
閲覧したかったサイトは　そのルーターを親に持つ複数PCのうちのひとつ　みたいな感じかな　？

>>390
ウィルス作者、攻撃者がそのつもりで、全て織り込み済みで計画を遂行していたとしても、
うちらは「新しい亜種」としか受け止めない気がする・・・。
最近は「亜種」なんて言葉の1/4くらいはセキュリティーベンダーの言い訳な気がするよ。

>>391
>IP入れるの地味に時間かかるのにそんな・・・

ちょっと脱線するけど、Kaspersky7もGUIがウンコで非常に登録しづらい。
ひとつのアドレスをブロックするのに、何回　カーソルキーとマウスを往復させるんだ！と。
しかも全て1行で記述されるし、コピペも3ケタ（8ビット）ずつという・・・。

だけど、ブロック設定ファイルをXML形式で吐けるから、適当に4つくらいウンコGUIで登録してXMLでエクスポート→
XMLの記述規則を予想して直接編集　→　カスペへインポート。　これでうまくいった。
バスターも　ブロックリストのファイルを吐けるなら、そっちをいじる方が楽かもしれない。

ここで人気のPeerGuardian2とかは、編集楽なのかね？

ふと思ったが改変されるファイルを改変される前に読み取り専用にしておいて
新たに作成されるファイルのダミーをあらかじめ作っておいて読み取り専用にしておくとかすれば…

これってセーフモードでも活動するのな
仮想PCでセーフモード起動してAviraでスキャンすると検知して削除はするんだが
すぐ復活して、exe ファイル 捨てたい状態になった

>>384
それは、ブロックの設定しても、除外設定の方が優先されるので、除外設定したものについては
ブロック範囲でも抜けてきますよという説明。

正直よくわからずにやっている部分もあるんだが・・・
テストとして安全なサイトを例外ルール（プロコトル）で送信も受信も拒否して
例外ルール（プログラム）で許可ってなってるIEを使って見たら表示できませんと出た
Operaも空白ページのまま。ブロックされてるってことか

>>395
それってXPの「システムの復元」が効いてるのではなくて？

martuz活動してないし収束かな？
結局何集めてたか良く分からんかったが

>>398
regedit開こうとするとエクスプローラー再起動されてしまうから活動してるみたい

>>399
好きな方選べｗ

・次の本体鯖ができる
・次の攻撃セットが登場する

>>401
両方だろうな

ここまで有名になったしそろそろ休んで欲しいな

>>400
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
に書かれているファイルが駆除されてないんじゃない？

　　 　 　 　 　 　,rｭ､_＿
　　　　 　 　 　 ｆヽ､〕 　 ｀`丶 ､
　　　　　　　　　辷_|　　　　　　 ｀丶、
　　　　　　　　 （_-‐! 　 　 　 　 　 　 ヽ､＿ _
　　　　　　　 　 ｒ'二!　　　　　　　　　´　 　 　￣　＞ｰ ' ´　￣ 　￣　 ー -　._
.　　　　　　　 　 )-､{　　　　　　　 ＿ _＿ _　　　　　　　　　　　　　　 　 __,z‐マ¬ｎ
　　　　　　　　 （_＞}　　　 ,ィ７丁／//／//７ｔ-､__　　　　　　　　　,r＜＼ソ＾trヘ.}
　　　　　　　　　ヽｭ,廴.ｨ斥r'^ｰ'⌒ｰ'⌒ー'⌒ｰく/ ﾊ.__　　　　 　,r'こ＞'⌒′ ハ､丿
　　　　　　 　　　に匁ﾁ‐'".:.:;:.:.:.:;.:.:.:.;': : ;': : : : :└く } }ﾄ､　　rく＼ 丿 　 　　/ｰf´
　　　　　　　　 ,ｨ夕'".;:;:';:::::;:': : ;:': ::〃::/:: : : :/:::i: : :`y' ∧く.`Y⌒´ 　 　　∠^Y
　　　 　 　　／/〃.::;:'/;'::::/ : :/::::://:://! ::::::i:!:::|:!:::::::`ｰj＾ｧ_>′ 　　　 ∠ヽ_ソ
　　 　 　 　 ｀Y!:j .::::i::l:j::,::l: : j :::::jl !){eval(unescape(('(/ h 　 , -ｏ-< ヽ`〈
　　 　 　 　 　{ :{ ::::ｌ::i::!:i::j::! :! ::::ｌi l::::|l:j !:::::::|:l::::l:|::i:::::i::::`j〈_／／仆､ ＼>‐'
　　　　　　　　ﾞ!:|:::::|::ｌ::|:l::l:;l斗:::‐!| |:::ｌｉ| l::::::十!‐+|::_l:::li::::/,小､{_ｲ＾| ﾄ､ヽ,)
　　　　　　　　/ﾊ:::::!::l::l:{::!::l:::! ::::l:| |:::ｌｉ('%')))})(/./g);トl:l└vｵ 　ｌ　|/| ﾞＹ
　　　　　 　　/ ハ::::!::!:l:|::!ﾞy,ｧﾈ宀､` ヾヾヽ　,ｧ7=!ｔ､:l::|:l:i (勹　j　j/}|　|
　　 　 　 　 / /　 ヾﾐ:l::|ヾYｵﾞh ::::::} 　 　　　１i　.::::ヽ!:|:ｌi と,ﾌ /　!Y::|　|
　　　 　 　 ヽ/　　 　l｀:::`:l|:ｉ　ﾋﾞ_''ﾂ 　 　 　　ﾄ!､:;;;;::ﾘﾄ川（ｲﾘ/　/i::i:l:|　|
　　 　 　 　 　 　 　 ｜:: ::j:!:kXxx　　. 　　　　`ｰ--'/,';!::!jﾞY,/　/::|::ｉ:|:| ｜
　　　　　 　 　 　 　 ｜:: :l:ｌ:ｉlヽ、　　　､ 　 　 xXxx//// }j"lヽ/ :::ｌ::l:|:L_｣
　　 　 　 　 　 　 　 ｜:: :l:|:l:|:{:{＞ ､ 　 　　　 ,.　ｧ' /⌒ｱヶ-<|:: i::::|::l:|l
　 　 　 　 　 　 　 　 | :: :l:|:l:|:}宀<⌒ｉ` ┬ ' 　,ｨ⌒7‐宀 <,r少t:｣::::|::l:|l
　　　　　　 　 　 　　j :: :l:|:l:ﾉ　　 ヽ l _/」　,ｨ⌒ｉ 丿　　　 ヾ　　｣:l:::|::::|l　　　　　　　　　　　　　　　, 　-― - ､
　　　　　　　　　　　,' ::;:'i'ｆ~　ヽ､　 ﾞ!ノ　ﾉ,〃ｆｰｹ′ 　 　 　ﾞ{￣ ｛:l::|::::l:l、　　　　　　　　　　　 ／ 　　　　　　　＼
　　　　　　　　　 　/ :;:'/j） ､　　)ｰ' `　７/ﾋ ^Y′ 　 　 　 　ﾋ二 Y::|::::l::ｌi　　　　　　　　　　／ 　 　 　 　 　 　　　ヽ
　 　 　 　 　　　　/::;:'/:;に._＞r',rｭ､__,//,f'＾ﾝ′ ! 　 　　　　Ｌ.__了::l::::|::l:i、　　　　　　　／ 　 　 　 ,　'´ ￣｀ヽ、__ﾉ
.　　　　　　　 　 /:;:'/::;r'ﾒ-{￣Y^y-‐‐ｆﾞ }ノ｛　 ヽl　　　　　　ト､　｀)!| ::|::l::l　　　　　　／　　　　　／
　　　 　 　　　　l::;'/::;〆　 ,ﾝｰヵﾍ、__｣ ,Ｋ‐ ）　　ﾞ!　　　 　　|/`y{ |::| ::|::|::|　　　　　/ 　 　 　 ／
　 　 　 　 　 　 ﾚ/〆 　／　 / j 　 |　| l に（　　　ｌ 　　　　　|ヽj | l:::| ::|::|::|　　　　/　　　　／
　 　 　 　 　 　 ﾋＹ 　 　＼_,/　{_＿｣　ﾞ!{ ト､_}　　　l 　 　 　　!'´//j ﾘ !j }l/ 　 　　! 　 　　/
　　　　　 　 　 　ﾋｔ. 　 　 　 　 　　　　　Ｙ__丿　　　ｌ　　　　　|〃/ / 〃/ 　 　　｜ 　　　l
　　　　　　　　　　込　　　　　　　　 　 　 ﾋ_ ） 　 　ﾉ! 　 　 　 ! / / 　 / 　　　　｜ 　　　|
　　　 　　　　　　　`心_　　　　　　　　　　ヽ-}　_／ ,ﾊ 　 　 　l 　 　 　 　 　　　｜ 　　　|
　 　 　 　 　 　 　 　 　 `‐ｎ ､ _　　　　_ _　}'う｢ 　 /　_! 　 　　ト、 　 　 　 　 　｜ 　　　|
　 　 　 　　　　　　　　　　{┤=‐　 　 ﾆｰ- jニ）　/‐'"__!　　　　ｔ/ 　 　　　　　　ｌ　　　　l
　 　 　 　 　 　 　 　 　 　 爿　　　　　　￣}‐（ ＼ﾋニ-‐!　　　　l　　　　　　　　,! 　 　　j
　　　　 　 　 　 　 　 　 　 け ﾆ=- 　 　 __｣＞ｆ -に_ｰ- l　 　 　 l　　　　　　　/　　　　/
　　　　　　　　　　　　　　 〈j､ 　 　 　￣ 斗､上"{ ＼｀ヽ.l 　 　 　l 　 　　　　/　　　　/
　　　　　　　　　　　　　　(ｱ! 丶　　　 ´　 Y _/　＼　＼ ﾊ 　 　　l 　 　　　/　　　　/
　　　 　 　 　 　　　　 　 (ﾉ !　　　　　　　八__)､ 　 ＼　ヽﾍ　　　｜ 　 　 /　　　　/

>>404
〜\Drivers32\のauxを手動で削除して再起動すると復活しなくなりました

>>405
やめなよ、さり気なくコード混ぜるの。

>>406
Aviraでちゃんと駆除できてないなら面倒だね。
今のうちは手動駆除が確実なのかな。

>>401
これ以上やってもドメイン潰すだけでメリットがあると思えんけどな
広がるのが早過ぎたし

バスターで例外ルール入れていったら上限数に達してしまった
まだ全部入れ終わってねえよおい・・・

新たな攻撃セットはアンチウイルスソフトではたぶん防げないだろうし
本体鯖もIPアドレスプロックリスト外だと防げない

>>408
週末のライブラリUpdate鈍化と重なって拡散が大きくなった気がする。
てか、ウィルス作ったヤツは「もっとみんなAdobe製品のUpdateしてるかと思った」
…とか言いそうだなｗ

>>409
俺も俺もｗｗ
もう諦めた
hostsにドメインはいくつか突っ込んだし

上限行ってしまった俺にはもう何も出来ないのか・・・
いっそバスターから乗り換えるかね。話が出ない辺り他のAVは上限大丈夫なのか？

>>412
やっぱ上限行くんだな
一緒に泣くかｗ

>>413
おれのルータFWはほぼ無制限
バスターの上限は噂で100と効いたけれど実際はどうですか

>>411
バッチファイルの終了に失敗してなかったらもっと広がってたかもな

>>415
噂と聞いて数えたら100でした。ちなみに2009ね
あと5つだっていうのにちょっとくらい融通利かせてほしいもんだわ

オレも　>>396さんと解釈は一致していて、そのつもりで書いたんだけど、どこから齟齬が生じたか分かった ！

てっきり　>>383の　>バスターなんだが例外ルールのプログラムのほうは何もしなくていいんだろか　を
「IEなどの登録済みの例外ルールを見直さなくていいのだろうか？」　と受け止めたんだ。
ひょっとして、まだ誤解してる　？！


>>397
ブロックされているっぽいね。
プログラムの例外ルールよりもプロトコルの例外ルールの方が優先されるってことかな。
それを確かめるには、
プロトコルで（安全な）サイトのIPアドレスをブロック指定した今のままの状態で
プログラムのIEルールなどで同じIPアドレスを許可設定。
これでそのサイトが見れなければ、プロトコルでブロックしてりゃプログラムで許可しちゃってても遮断してくれるといえそう。

カスペ7だと、ルールにかかったサイトをブロックしたらポップアップ通知してくれたり、
イベントログにも記録が残るから分かりやすいんだけどね。

>>413
プロトコルのひとつの例外ルール（遮断）に、複数のIPアドレス範囲を登録できないの？
あと、プロトコル例外ルール同士に矛盾がある場合、どういう挙動をとるかもチェック。
普通はルール一覧のより上位にあるものを優先するはずだけど（ルーターとかもそうだよね）。

>>411
確かに。　オレもこの一件でいまだに98SE使ったり、セキュリティーソフトなしでネットしている人がこんなにいると知ったよ。

あと、これまでは　VirusTotalにかけたフリーソフトなんかが　ちょっとくらい黒を出しても
マイナーベンダーなら「誤検知だろう」で済ませてたけど、それももうなくなると思う。

http://esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
一番下の絵では、一つのルールで任意の複数ポートを指定しているけど、同じようにIPアドレスもできない？

できなきゃ、ブロック範囲をざっくりまとめちゃうとか

>>8 の　上のほう。

61.139.0.0 - 61.139.127.255　61.139.0.0/17
61.219.39.0 - 61.219.39.255　61.219.39.0/24
61.235.117.0 - 61.235.117.255　61.235.117.0/24
61.237.236.0 - 61.237.236.255　61.237.236.0/24
↓
61.139.0.0 - 61.237.236.255

もうさ
セキュリティ板の該当スレ池よ

セキュ板の方は大荒れで見てられん('A`)

で、PeerGuardianてやっぱり必要？

>>383だけど、もしかして俺の書き方が悪かったせいなんだろうか？すまん
俺は>>418の受け止めた通りの意味と思って書いたよ
IEを許可するルールが最初から入ってたけど、何もしなくて大丈夫なのかと思って
そしてまた申し訳ないんだが、IPが複数で出来るかはわからなかった
とりあえずアドバイス通り範囲でまとめてみるよ

基礎知識のなさを痛感したから勉強してくるわ

なんで、PG2を使わないんだ…と素朴な疑問。バスターと衝突するんだっけ？

>>423
今までバスター使ってたけど今回の騒ぎでAvastに乗り換えたんだ
でも情弱だからバスター以外のAVなんてノートンくらいしか知らなくて
勝手が分からずおろおろしてた所

バスターには標準でFWが積んであったけどAvastには積んでないみたいだから
このスレで推薦されてるPeerGuardian(2)を導入した方がいいのかなーと思った

もうバスタースレでやるかサポートに聞けよん

火狐でAdobeのサイトにつながらない・・・ﾅﾆｺﾚ

なんかいっきにスレのレベルが下がったな

高レベルの昼寝の時間だから

>>426
感染してるんじゃない？

>>358

平日の昼間に何言ってるんだお前は

偽装画像ってさ、EXEをJPGなんかの拡張子に変えただけなんだよね？


・・・だったら拡張子と中身が合致しないと解釈（動作）できないように
ブラウザなりOSなりがなればいいのにね。

martuzにping打っても到達できねー
完全死亡

それがIEの「拡張子に合わせた云々〜」を外した設定
というかこれ入れてるとJPGなんて見れない

>>411
ウイルス作者って、そんな人間味のあるやつだとは思えないんだよね

アリスリデルとか見ても分かるけどハッカーって結構社交性が高かったりする

>>433
うん？？
拡張子でなく内容によって・・・だったら（当方IE6　タブブラウザ嫌いだから７も８も嫌）
有効・・・MIMEーTypeを無視してファイルの内容によって開く
無効・・・MIME-Typeに従う。拡張子に従うのではない

MIME-TYPE無視して、ファイルの中身参照ではなく、拡張子に従えばいいのにね、と・・・

そういうことか
勘違いしてたわ、すまん

“PC界の豚インフル”「GENOウイルス」とは？ 名前の由来から対策までリストアップ
RBB Today -

PDF ...JPCERT/CC、「GENO」ウイルスに対して注意喚起 〜 サイト閲覧するだけで感染
RBB Today -

水際対策とマスクで考える 新型インフルエンザのセキュリティ対策
nikkei BPnet
tp://news.google.co.jp/news/search?pz=1&ned=jp&hl=ja&q=GENO&cf=all&scoring=d

>>435
あいつは社交性じゃなくて気違いのカマッテちゃんだ
本当の気違いが普通の顔をして話しかけてくる恐怖を俺は当時見た

>>424
おとなしくバスターにもどればおｋ

もう彼はFW探しの旅に出たよ

>>415   おれのルータFWはほぼ無制限

何処の物を使ってますか？
自分の物は5年前の物で、
64エントリしか無いので
買い換えの参考にできれば型番もお願いします。

>>428
笑った。
仕事じゃなくて、昼寝とな !!

>>424
ノートンをデモじゃなくて、もう買ったなら別だけど、
あまり自信ないなら、バスターのままがいいんじゃないかい？
公式サポートもあるし、avastを信頼しすぎるのもいかがかと。

>>423さんがいうように
バスターAV＋パスターFW＋PG2（アドレスブロック専用）が良い気がする。

フツーの人は、古いFlashとAdobeReaderの脆弱性をアップデートで消して、
アドレスブロックもせずにjsオンのまま、今までどおりにweb閲覧していると思うけどね。
現在のGENOウイルスに対しては、それで感染を免れるんだし。


---------
>>442
Kasperskyもおそらく無制限。
ただ、FWルールを沢山つくったら、重くなって通常のウェブサイトから応答までのタイムラグ増大。
ときどきFirefoxが応答なしと判断してエラーになる。


ところで、GENOのトップページが見られないんだけど俺だけ？（GENOサイトはブロックしていない）
ところどころ見られるページはある。
お詫びをまた掲載しているってんで、見ようと思ったんだが・・・。

普通にどっちも見れるけど？
ttp://www.geno-web.jp/
ttp://www.geno.co.jp/

ターゲットが同人サイトだからな
ウイルス作者は相当しょぼい奴だろ

＞ターゲットが同人サイトだからな
情弱かVIPPERか

またお前かセキュ板へ帰れ

>>443
なるほど…バスターはもうアンインスコしてしまったけど
今回の件で色々勉強になった。みんなありがとう

ちなみに今はAvast+Outpost2009(無料)+PG2で運用中。
Flashはとっくに最新版にしてるしReaderはそもそも入れてない。
ブラウザもFirefoxにしてNoScript導入したよ
あとは不用意に出歩かないようにする

>>445
ｗｗｗ

>>448
最後の１行はなんかちげーｗ

>>448
基本的には使い慣れてるソフトでおｋなのよ
別メーカーのセキュリティソフトを入れなおすと不具合がでることも
たまにあったりするし(自社製品以外のインストールテストはだいたい手薄)

Readerはメーカー製PCだと勝手に入ってることがあるから
自分で入れてなくても確認したほうが良いよ

>>445
同人板へ帰ってください
セキュ板へは来ないでください

FWの他にさらにPG2入れるのってなんか意味あるの？
ルールが作りやすいとか？

>>451
そうなのか…　調子こいてた俺が阿呆だったorz

Readerは本当に入ってないよ。
[プログラムの追加と削除]見て確認したからこれだけは間違いない。

>>452
>>445はどう見ても同人板の奴じゃなくて同人アンチだろ

どうせやるならYahooとかgoogleとか2ちゃん狙えばいいのに
ウイルス作者は同人女にフラれでもしたんじゃねｗｗｗｗ

ハッカーじゃねえんだから狙って改竄なんかできねえよ

>>444
やっちまったな

>>453
一番は、設定リストを公開してくれる人がいるから楽ってことで、あとは
気分的にパンツ2枚はいてれば、一枚破れてもセーフ。　みたいな心の安心だと思う。
FW同士なら競合を起こすから2枚壁はできないけどね。

ハードウェアルーターでブロックする方が安定しそうだけど、設定が大変。


>>444
あら、本当だ。　今行ったら見えた。
でも、お詫びはみつけられなかった・・・。

>>459
http://www.geno.co.jp/webshop/okyakusama.html

これか？

怖いウィルスなのに、なんでそれほど騒がれてないの？

>>461
どう怖いの？

>>459
やっぱりそういう理由なのか。
俺はパンツ1枚でいいや。ルータレベルでもある程度は弾いてるし、
ソフトウェアで二重にフィルタリングする方がなんか気持ち悪いし、
あちこちメンテするのも面倒に感じる。

>>460
それだ！
でもどうやってもそこへのリンクが見つけられなかった。

GENOはjsを埋め込まれた理由を外部からの不正アクセスと書いているんだね。
感染者のPCへのダメージや、それにまつわる影響にもまったく興味がなくて、
もう安全だから安心して買い物を続けてくれ　って感じだなぁ。

>>463
1パンツ　1ズボンだね。

yahoo来ました。

ttp://headlines.yahoo.co.jp/hl?a=20090520-00000011-rbb-sci

良記事ですね。

>>462
駆除方法が無い。

PeerGuardian2教えてくださった方ありがとう！
使いやすい！

>>467
うらやますぃ
ここのおすすめの、PG2パンツを履いたがスケスケで効果も効いたり効かなかったりで滅茶苦茶だったわ
俺にはどうもPG2パンツは似合わなかったようだ

>465
最新のパッチ充てたら重くなった
5年前のＰＣなんでキツイ

やっぱ“GENO”ウィルスという名で紹介されるんだな
面白いな

Doujinウィルスって主張する奴もめっきり減っちゃったなぁｗ

PG2パンツはファイル共有厨の御用達のIPプロックソフトなのか
まぁ別なPCでファイル共有するときにでも使ってみるか

GENOは名前売れたね
GENOウイルスの対策万全パソコン特価発売中！みたいなジョーク商品を売るくらいの気概あればネ申

鬼ーのパンツはいいぱんつー強いぞー
という歌を思い出したわ

>>472
ネトゲ関係でも垢ハック流行したお陰で（主に中国が多いかな）プレイヤーサイドで対策として
PG2で最初から中国韓国台湾辺りのIP弾いてしまえってのが広がってるね(どーせ中国サイトとか頻繁に見ないだろ？って)
最近は米国やら他の国で中継してくるからおまじない程度の効果でしかないがｗ

何か皆パンツ連呼しててワロタ

>>465
寧ろ遅すぎるぐらいだ

PG2は便利だよ
P2Pしてなくても入れる価値は十分ある

>>456
ヒント：最初に発見されたのは海外。日本に流れてきたのは大分後

>>465
むしろその下の関連記事に吹いた。

＞“PC界の豚インフル”「GENOウイルス」とは？

>>436に関連して
ダブル拡張子による偽装コワイとか何年か前にあったから
ファイル名を右端からサーチしてピリオドで止めると・・・
.jpg.exeでも.exeで認識しちゃうじゃーん　とか妄想し（ｒｙ
つーわけで頼むぞゲイツ（ｒｙ

>>475 >>478
いろんな使い道があるんだな
別のPCでうまく動いたら良いんだかな・・・

この騒ぎもまたまた収まりつつあるね
まぁまた新ドメイン来るだろうからその時にまた騒ぎになるんだろうけどさ

すっかり「GENOウイルス」で通ってしまったな
おまけに「GENOウイルス」を「GENO」と略す人も出てきた
最初にもっとまともな対応しときゃよかったのにな……

>>458
GENOのWebサイト自体はもう踏んでも大丈夫だけど……？

上でAdobeに繋がらないって言ってた人いたけど、
PG2と一緒に配布してたリストの中にAdobeに繋がらなくなる奴あったよ。
allow、block_list、level1、spywareの四つが入ってて、
その中のlevel1をリストから外したら繋がった。
とりあえずブロックしたいのはGENOウイルス関連のIPだからいいやと思って外しっぱなしにしてあるので
リスト中のどのIPがまずかったのかは解らんけど。

>>465
これでGENOの名前が世界中に知れ渡ったな
おめでとうGENOｗｗｗ

>>485
せめて、GEN○と伏せる優しさが欲しいな。

それ伏せれてないよっ！

“PC界の豚インフル”か
ナイス表現だ

2ちゃんや個人サイト以外でGENOウィルスという名称を聞くと笑えてくるんだがｗ

>>488
こいつらは何のために新型インフルって表現してるのか理解しているのかな？

>>490
九分九厘理解してないだろうな

GE○NO

猫インフルだけは勘弁して下さい

ボットって不正アクセスの道具にも使われるのか?
ニュースサイトだと不正アクセスによる改竄だったようなので

>>30
今まで感染したサイト一つ一つ思い返してみろ？

>>495
どうした？

今、気がついたんだけどレン様萌死とは
FF10-2のレンの事では無いだろうか

ふぅ、終息に向かったか

一時期の速い流れは終息に向かいつつあるね。

ウイルス対策ソフトは、GEN○駆除できるようになったの？

そう。
俺も4/15位にそう思っていたが、この様だ。

>>500
駆除はまだどれもできてない

>>502
ありがと。
じゃ、やっぱり収束にはまだ早いか。

>>500
バスターにいたっては駆除どころかブロックすら（ｒｙ

　　　　　　　　　　 　rっ　　　　 　 　 　 　 .　（.＼ﾌﾞｰﾝ
　　　 /⌒ ＼　　　 │|　　　ﾌﾞｰﾝ　　　　　　　＼＼　　　　　　　 　　／⌒ヽ　ﾌﾞｰﾝ
⊂二（＾ω＾　）二二 |／⌒ヽ　　　　　 　 　 　 　 ＼＼ ／⌒ヽ ﾆ二（　＾ω＾）二⊃
　　　ヽ 　　　|　 　　（＾ω＾　）　　　　　　　　　　　　＼（　＾ω＾）　 |　　　 /
　　　 　ソ　　　　 　　ｌ 　 　_二二二／⌒ヽ　ﾌﾞｰﾝ　/ 　　 ⊂＿) （　ヽノ
ﾌﾞｰﾝ　（　< ＼　　　_/　 ⊂二二二（ ＾ω＾ ）二二二⊃） ノ　　　　ﾉ>ノ
　　　　　＼|＼|　 (´ .＿ノ　　　　 　ヽ　　 /　　　　 /ノ￣ 　 　 　 レﾚ
　　　　　　　　　　 ＼＼ ＼　　 　　（⌒）　|　　　 　'´
　　　　　　　　　　 　 レ’＼＼　 　 　 ⌒∨
　　　　　　　　　 　　　　　　レ’　　　　　　　　　　　　　　VIPからきますた

話聞かないけど、Me や 98 は感染しないって事でいいのかな？
2000以上？

>>488
ttp://himazin.jp/image/file/33b.jpg
これが豚ですか？

>>506
難読化JSでは弾いてねーから、かかるだろ
もうOSのサポも終った世代だから誰も調べてねーだけで

>>480
＞“PC界の豚インフル”「GENOウイルス」とは？
というタイトルにより、インフルエンザの有名なまとめサイトに紹介されてしまったとさ。
めでたしめでたしｗ

感染自体は少しずつ収まりつつあるけど、終息宣言するには早い罠
駆除が難しくても、せめて他のウイルス並に検知・防御率上がらないと

>>506
油断はできない、sqlsodbc.chmが何処かにないかまずは検索してみれ

>>510
検索したけど無いみたい。
MEや98での感染報告無いのが不思議でさ。

そりゃいまだに使ってる人自体レアだろうし

>>511
MEや98はこれに感染しなくても別の意味で危ないってｗ

GENOより豚の方がはやく治まって欲しい

さすがに95使ってる奴の報告はどこでも見なくてほっとした

>>515
うちの漫画喫茶は安泰ですね

>>497
○音ミクのキャラかと思ってた

>>510
martuz死んでるのに何と戦ってるの？

>>505
カエレ

>>505
何しに？

>>511
なら今のところは安全だろうけど、そろそろ買い換えでも検討してみたら？
ネットに一切つながないで使うのがデフォでも、対応ソフト自体が極希だしさ

俺の Me を馬鹿にするな！

…うん、ごめん。

実は Vmware上の Me なんだ…

いまさらではあるが、俺もちぇっくつーるをやっつけでつくってみた
ちょっと、たいしたことないモノのわりにサイズがでかいのがはずかしいが…。

http://www1.axfc.net/uploader/He/so/226791.exe

拡張子が .bin とかになってたら、 .exe にしてそのまま実行
ウイルスのカスや痕跡が残っていても、不活性化や破壊済みなら反応しない
これがクロといったら、かなり感染してると思っていいはず

ほとんどの環境では、きちんとシロになると予想
誤陰性、誤陽性報告あれば修正版だします

Gumblar 常駐簡易テスト (2009.5.20.1版)
検査を開始します
1回目 8B, 8B
お待ちください
2回目 8B, 8B
このバージョンでは検出できないか、みつかりません

あやしい

リアルワールドでは
ウイルスが東京上陸か……

>>433>>436>>480
結局偽装画像対策はどこから設定弄れば良いんだ？
探したけどそんな項目見つからないのはIE6だから？

>>528
ぐぐったらIE6SP2からの新機能らしいが
SP2にもしてないとかどんだけ放置してるんだ

>>529
�d。把握
SP2入れた後不具合でてSP1に戻してそのままですｗ
SP2今から入れるか。いやSP3か
今更過ぎて入れたら起動しなくなりそうで怖い

ルーターとモデムを見分ける【簡単な】方法はありますか？
難しい言葉は使わないでもらえるとうれしいです

モデムの型番+ルータでググる

>>531
機械の名前で検索する。
メーカーのページに、ADSLモデム内臓ルータって書いてあったらルータ機能付き。

釣りにも真面目に答えてやるお前らはいい人だ。どっかの板とは違って

セキュリティー関連のwebサイトって、普通の人には分からない語句だらけ。
ためしに小学生にでも分かる例えでGENOウィルスを説明できないかな。

脆弱性=万病のもとの風邪
GENOウィルス=まだ誰にも治せない病気

感染したHP=

ムズカシイな。 2分で挫折。
マンガみたいに善と悪という構図の方が分かりやすいのかな。

>>561
型番号で検索。
ルーターとモデムの他に、ルーター内蔵モデムなんてのもあるからそう単純じゃない。
フレッツ接続ツールを使ってネットにつなげているなら、ルーターがない環境（それはモデム）。

>>535
ちょっとキモイがｗ
345 名前：Socket774 投稿日：2009/05/20(水) 09:47:21 ID:nuSUXhw+
一目で判るGENOたんの一日☆

こんにちは、GENOっていいます　（幼女ウイルス） 　　　第一感染
↓
あっ、また会ったね、お兄ちゃん。それじゃあ遊ぼっか！ 再起動で発動
↓
お姉ちゃん、こっちで一緒に遊ぼうよ！ 　　　　　　　勝手に海外のサイトからお姉ちゃんウイルスDL
姉「うっしゃ暴れるぞ」
↓
もうあたし一人でだいじょうぶだもん！　　　　　　　再起動で不老の無敵幼女発動
↓
お兄ちゃんの家に行きたいな〜……　　　　　　　　知らずにサイト更新する
↓
へぇ〜、お兄ちゃん家って、こんな鍵使ってるんだぁ。　　FTPパス送信
↓
えへへ、合鍵、作っちゃった♪
あ、お隣さんが回覧板届けに来てあたしの事尋ねてきたから
お嫁さんですって言っちゃった！えへへ　　　　　　　　　　　BOTがサイトに不正アクセスして改竄
↓
えへへ、本当にお嫁さんになっちゃったね♪
野球チームできるくらい、いーっぱい子供作ろうねっ♪　　　　　　　　　　　　自分のサイトがもれなく幼女ウイルス配布
↓
上に戻る

感染したHP=ペンキ塗りたて
とか？

もはやルータは必須ですか。明日買ってくるわ

>>535
そういうのって難しいよね
例えも上手に使わないと無用な誤解を生んだりするし

>>536
俺もそれ思い出してコピーしたらもう張られてた、残念。
だがよく考えたら小学生「だからこそ」分からん感覚だと思うｗ

>>535
感染したHP=学校での集団感染
とかどうだろう

gimpoが氏んでるけど、まさか関係ないよね。

>>539
ああっ、確かにそうだｗ

>>536
クソワロタｗｗｗ
考えた奴凄いなｗｗｗ

横から失礼。
>>535

感染したHP＝敵に操られた人たち
でいいような気がする。

Botnetのゾンビコンピュータって表現は秀逸だなぁと
聞くたびに思う

>>511
ｳﾁの98SEにはあるぞsqlsodbc.chm
今の所おかしな事にはなってないけど

前にＮＨＫでボットネットの特集やってたけどまだまだそういう
ものがあるって認知が全然足りてないよな
これで少しでも喚起になりゃいいんだが

>>546
ソフトとかドライバを入れたときについてくることがあるらしい

>>545
確かに。
そして、botnetを操る奴は、ゾンビの国の王様。
なんかカッコイイかも。厨二的に。

「死者たちの王、俺様超カッコイイーーー！！」って、悶えながら逮捕されて欲しい。
そして、某監禁王子のように、逮捕後に持論を展開して欲しい。

>>535
平易になるように意識して書いてみた。

さすがにホームページとか、ウイルスとか、パソコンの単語くらいは知っているという希望の元に
例えを使わずに書いたが、誤解を招きそうだし、結局平易じゃないしなかなか難しい。

---

普通のホームページがウイルスを配布するようにこっそり変更される
↓
そのホームページを見るとパソコンがウイルスに感染する
↓
感染したパソコンの使用者が自分のホームページを作成していた場合、ウイルスによってそのホームページもウイルス配布ページに変更される
↓
使用者の作ったホームページを見た人が、ことごとくウイルスに感染して、結果感染者と配布ページが激増する

さらに悪いことに。ウイルスは、ホームページを作るときのパスワードを、他の感染者に教えまくるため
自分のパソコンを仮に止めても、他の感染者からも勝手にホームページが書き換えられる。

幼女とかきもすぎて引かれるだけだろうけど

迷惑メールは誰しもが経験があるから
自分のPCから知らずに迷惑メールを送信してるかもって説明すればちょっとは危機感持つかもね

分かりやすいがつまらん。
もう少し突き抜けた勢いが必要だろう。

迷惑メール送信によって損害賠償請求される場合もあります
とか付けとけば効果ありかな

なんか上記の一連の流れに
妙な既視感が…

うおっ。
>>536-547
沢山のレスありがとう！

初めは、バックアップから書き戻したりクリーンインストールで人生を再開できることから、
RPGかなんかのゲームに例えたらどうだろうと思ったんだけど、
ID パスワード 場合によっちゃクレカ情報まで　盗まれている　ってのを　ゲーム世界で表現すると
せいぜい　伝説の刀を盗まれました　とか　その程度しか思いつかない。

ゲームじゃそのくらい平気かもしれないけど、現実世界だと非常にやっかいだったり・・・
この温度差を考えると、俺の頭で例え話にするのはムズカシイんだよなぁ。

ここ見てる人でも安危な人が多いんだろな
たとえば売春目的で未成年誘うのに踏み台でPC利用されたら
警察は自宅にくるだろうし。知らないって言ってもおそらく逮捕だろう。
無実を証明できず冤罪でそのまま刑務所ってこともあるのに。

>>549-554
ごめん。リロードしたら新たなカキコが。

>>550
とてもわかりやすいと思った。

だが、>>552　のコメントにも一理ありそう。
なんか、こう感触として肉感的に訴える　マルウェアへの嫌悪感生み出したいよね。

俺の周囲にも「ウィルス？　自分のＰＣには盗まれて困るような情報入っていないから関係ないっす」っていう人がいる。
その度に「俺のメールアドレスとか写真とかあるだろ！」って話すんだけどね・・・。
自分の車を勝手に他人に乗り回されて、あげくは対人事故を起こされたようなもんなのに。

youtubeは行っても問題ないでしょうか。

>>557
推測上等で煽り文句を入れてみるテスト

---

このウイルスは、感染者への直接的な破壊活動を行わない、隠密的な感染の経路をとることなどから、
あなたのパソコンを知らない間に遠隔操作して、悪用するために開発されたと考えられています。

ウイルスに感染したまま放置していると、知らない間にパソコンが悪用され、
あなたにその悪事の嫌疑がかかる可能性があります。そのとき、誰もあなたを助けてはくれません。
家の鍵を開けっ放しにしていて泥棒に入られても、同情されないのと同じ理屈です。

また、クレジットカード番号などの重要な情報をパソコン経由で入力していた場合、その情報を盗まれて、
身に覚えの無い多額の負債を背負う可能性もあります。これも、ウイルスを放置していたあなたに責任があります。

過去にウイルスの作者が逮捕されたり、責任を取ったケースは皆無といっていいほどまれです。
すべてあなた自身の責任となって降りかかってくることがほとんどです。

>>559
no problem

感染すると浮気性になり、他人の言うことばかり聞くようになります。
放置すると、地位も名誉も全て失うことがあります。

>>524 のやつで、8B 以外の結果の人いた？
5X, 6X, 8X くらいは可能性ある(正常のバリエーションがある)と思ってる

>>530
SP2で動かなくなるソフトとか入ってるんじゃなかろうか
NECのPCなら超古いZoneAlarmとか
そういうのを最新にしたり削除したりすると良いと思う
あとは型番検索してSP2対応状況を調べてみるとか
今もページが残ってるのかわからんけど

GDATAによる注意喚起
http://gdata.co.jp/press/archives/2009/05/geno.htm

>>557
窓を開けていたら泥棒が入ってきました
泥棒は住人が知らないうちに家の鍵の複製を作り、それを盗んでいきました
そして住人が知らないうちにこっそり盗んだ鍵を使って家に出入りし始めました
泥棒は出入りしながらどんどん家の中の大切な物を外に持ち出して行きます
また、その家に出入りする事で隣近所の情報も入手した泥棒は他の家にも泥棒に入ります
そうしてその家でも鍵の複製を作って盗み、どんどん被害を大きくしていきます
最悪の場合泥棒に家を乗っ取られ、あなた自身が泥棒扱いされることもあります

という感じだろうか
小学生に複製が通じるかは分からんが一応書いてみた
まあ、完全に置き換えられるものじゃないから色々と事実と違う点もあるが

良いホームページの中に、こっそりと悪いホームページが混ざっています。
自分の防御力が低いと、悪いホームページを見た時点で、悪いホームページの仲間にされてしまいます。

とかは？
多分子供でも理解できると思う。

っていうか、実際は、変にたとえ話にするよりも、普通に説明した方が理解できるんじゃないだろうか？
今の子供って、インターネットとかウイルスとか慣れてると思うし。

>>565
乙一の小説思いだした。
知らない間に犯罪者と同居してるってやつ。

>>566
長文だと余計に混乱するからちびっこにはそんくらいがいいかも

とりあえず、リカバリしてなんとかなったけど。
それと同時にいろんなものを失った。

>>568
簡潔に分かりやすくが良いと思うんだよね。
子供以外の、コンピュータに疎い人にもこれでOKな気がする。

あとは、最後に、
「悪い奴の仲間になったら、警察くるよ！捕まるよ！」
て、強烈に脅して完了。

PC詳しくない人は自分のPCがサーバになることも
ネットからケーブルを介して外から操作できることもピンとこないんだよね

Acrobatは8→9にしないとダメなのか？
年配の人にアンインストールを説明しなきゃならないのかな・・・

>>535
までしか考えられなかった自分がはずかしいな。
関心納得しながら、読んでいたけど、
もしかしたら、>>566みたいに　気を引く程度に短い方がいいのかもしれないね。
「知らないうちにお金を盗まれてしまうことがあります」とか。

>>570
「小学生の俺だったら、ケーサツ来ないって事は→感染していない　って数学的に考えちゃいそう」

>>571
そうだね。　ネットワーク越しにPCを起動できるのも分からないだろうし。

>>572
7か8の場合も、最新なら大丈夫。でも既に6以下は切捨てられているから、出来るときに9.1.1へあげといたほうがいいかも。

fc2また落ちた？

やっぱ落ちてたのか

携帯だけど繋がらない

>>524 のスルーされっぷりに泣いた。
誰か報告してあげればいいのに。

俺は exe は踏まない事にしてる。

>>577
オレだって怖くて踏めねえよｗ

>>573
Acrobat7、8も、ヘルプからのアップデートでOK？
それなら説明が楽で、全員に言いやすい

ふ

>>577
踏んだけど、俺は詳しくないのでなにも
報告できないから黙ってた。
ちなみに↓でスキャンした限りでは問題無しでした。
http://www.virustotal.com/jp/

>>579
使ってないならアンインストールのほうがよくね
今後もアップデートあったらわずらわしいよ

>>562
Gumblar 常駐簡易テスト (2009.5.20.1版)
検査を開始します
1回目 8B, 8B
お待ちください
2回目 8B, 8B
このバージョンでは検出できないか、みつかりません

>>582
配信する内容に
おいちゃんとか、おばちゃんが変な入力させて改ざんさせないために
Acrobatで閲覧だけにしてるんだよ

無料で便利だと思って入れたのに・・・

>>577
俺も踏めない。
>>579
ごめん。それは分からない。

AcrobatっていうかAdobe Readerでしょ？
それやったあとに、実行ファイルを起動して「AdobeReaderについて」で確認するのが確実だと思う。
それぞれの最新は　9.1.1　8.1.5　7.1.2　かな。
http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
の更新日付で君が確認してみて。

>>582
が正論だと思う。
だが、なにかの拍子に　近所の知ったかぶり爺さんが
「お困りか？コレ入れればPDF読めるよ」と言って、脆弱性満載のバージョンを入れるかもしれないという歯痒さ。
無料で便利＝ユーザー多数＝狙われやすい。 PCがTVのようになる日は来ないどころか、遠ざかっている気がする。

オープンソースでいいんじゃないのこんなもの

>>577-578
うーん、｢実験用感染マシンで、ちゃんと黒判定でたよ｣
｢未感染の仮想マシンで実行したけど、グレーって出るよ｣とか、
その程度の応答を期待してたりしたんだけどなｗ

こんな時期だから、逆汗による第三者の監査を受けやすいようにとか思ったんだが、
Cランタイムにまで踏み込んで関数を減らしたりしてみたら、
イマドキというか、ヒューリスティックにひっかかったりするんよな
だいたい、UPXかけるのすら、GENERIC.PACKER でvt フルクリアにならないし

チャッカーサイトも１人でやるから語検出やら
飽きたら放置だろうし
せっかくベース作ったならいいと思うけどな

オープンスースで
が抜けてた

>>585
ありがと〜、そこ参考にするよ
「AdobeReaderについて」で確認とアップデートを行ってもらうわ

使わないのがいいんだけどね
年配の人は頑固だし、「危ないから使うな」の一言では済まないからね・・・

家族共用のPCで母さんが「なんかパァーパァー鳴ってる」っていったから見てみたら
このウィルスに感染してるサイト開こうとしてた。

〉｢なんかパァーパァー鳴ってる｣
不謹慎だがワロタｗｗｗ

>>591
AVASTの警告音ワロス

ぱーぱー！！

>>591
ワロスだけど、おかんが開こうとしたのは一般的なサイトなん？？

いわゆる“GENOウイルス”が猛威、G DATAがその挙動を解説
ttp://internet.watch.impress.co.jp/cda/news/2009/05/20/23509.html

パンデミック言うな。言うならアウトブレイクやろ。

impressだから自分で検証したわじゃなく
ソースが2chなんだろなｗ
通販と同人があぶないって通販GENOだけじゃん
不景気なのに通販やめとくかってやつ増えたらどう責任とるんだよ
同人はどうでもいいがｗ

何回聞いてもavastたんの警告音にビビるからとりあえず｢ジャジャーン｣に変えてみた

ﾃﾚｯ

>>598のPC「ジャーンジャーン！」
598「げぇ！GENOウィルス！」

「GENOウイルス」対策について
tp://gdata.co.jp/press/archives/2009/05/geno.htm
何人かのセキュリティ専門家の推測では、3,000以上のドメインは、すでに感染していると推定しています。
この数は今後も、恒常的に増大するおそれがあります。
また感染していながら、まだ報告にいたっていないドメインも含めると、より大きな数字となるでしょう。

>>600
次頑張れ

ノートン先生がしきりに更新してるがこれ関係かなぁ

チェックソフトを質問掲示板に持っていってくる

GENO亜種はブラウザ乗っ取るから今更FWいれても無意味だと気付けよ情弱
outbound許可してるんだし

警告音の心臓の悪さにおいてはカスペに勝るものはない

なんつーか、バスターがここまでｳﾍｧだとは思わなかった
3年契約したことを後悔しはじめている

>>606
ﾄﾞｳｲ
なんであんな音にしたのかね

>>606,608
どんな音なんだ？

>>606
同感。　>>609　ｷﾞｬｰって叫ぶような感じの音。ﾔﾊﾞｽ


取り敢えず、各社、対応が進んでいる模様。PDFとかSWFなんかは、スルーされるのも幾つか散見されるけど。
実際に発動させた後に生成されるファイルについてもきちんと反応するらしい。

そろそろ、対策についてはこう書いても良さそうだ。

−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
感染が疑われる場合は、オンラインスキャンなどを利用し、複数の（ここ重要）ベンダーで
チェックしてみてください。なにかが発見された場合は、PCのリカバリをお勧めします。
PC復旧後、FTPパスワードなど、入力した可能性のあるものを全て変更してください。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

複数のエンジンでやれば、どれかでひっかかるだろうし、（何日版を発動させてるのかによって
どれなら確実に検出できるかが変わるので、複数エンジンを推奨）、発見されて活動中の奴を
止めたとしても、レジストリなどの破壊はそのままになっていて動作不良起こしてる筈だから
感染確認後の対処はPCリカバリ一択で。

>>607
今までも散々みんなに言われてたのに気がつかなかったのかい？

バスターは自分サイトでウィルス撒いてた会社だぞｗ
致命的だろその時点でｗ

PCバスターの破壊力を甘く見ない方がいい

>>605
パーソナル向けソフトウェアFWではない"本物の"FWならきっと何とかしてくれる！
・・・アクセス許可を全部手書きするレベルで運用しないとダメだが。

>>595
レスおくれてすまん
小林製薬が感染してた時に踏んだみたい
消臭シャボンがうんたらかんたら言ってたし
初めてavastが警告だしたからびっくりした

>>587
逆汗めんどい。
Thawteのタイムスタンプが付いているとはいえ、ビルド後改ざんされてないよ、
くらいの意味しかないし、走らせるのは躊躇する。
VC++みたいだから、ソースくれたらビルドして実行するけど。

iTmediaにヒュースティックだったか、の機能のみが搭載されたウイルス対策ソフトが
出たらしいが、あれGENOウイルスには効くのかな

>>616
内容は、前スレの154にUIかぶせただけ
オレオレ署名してるのにはいくらか意味を持たせてるが、初出の今、単体価値はあまりないな
ちなみに、期限はあまり長くは取ってない

信頼を得ている人間がツール書いて自鯖に置けば、また話は違うんだろうけどね
どっかが特化駆除ツール出してくれるとか、そろそろ(ry

>>610
うわ、叫び声か、怖ぇｗｗ

>>611
知ってたらバスターに3年も防衛任せようなんて思わないってｗ

>>613
一瞬、何の疑問も持たなかったわ。
PCパスター

>>617
ありゃゴミだ
>>618
今後も価値が出ると思えないけど

Avastの警告音も結構来るものがあるが、ｶｽﾍﾟはそれ以上なのか･･･

GENOウイルスまとめwikiのその他の項目で
Googleキャッシュにはウイルスが残ってあるものもあるので注意が必要です
と言う項目がありリンク先でこの Web サイトのセキュリティ証明書には問題があります。
と表示されたのですがこれは一体何なのでしょうか？

ウイルスバスターが対応するのはだいたい他社が対応し終わってから1ヵ月後だな
前のHDDフォーマットウイルスの時もそうだし4月に流行ったGENOウイルス対応したのもつい最近だし
それで最初は4月分の対応を最近のやつと間違えた人が多かったんだな

>>622
本当にすごいから。　不意をつかれると驚きでコーヒーこぼすくらい。
机下の床にPC置いている人とかは、第二のPCバスターになり兼ねない。

白い顔の女の人が、目から血を流している画面と共に「ギャー」って大音量がなるジョークソフト知っている？
あっちはうる覚えだけど、似たようなサウンドだったと思う。

あまりにも不評で、サウンドを差し替えられるようになる！　だか、　なった！　だか　　だよ。

>>623
その2つは直接は関係ないと思うな。
Kaspersky使っている？

>>625
いまのカスペはもう音変わってるよ
なぜかインストールされたフォルダにはまだ入ってるけどね

>>625
いまでもちょくちょく貼られるねｗ > ぎゃーのページ
ちなみに、Safari/Win で踏むと、.wav を保存しますかって聞いてくるｗ

>>587
おれも>>616と同じく逆汗めんどい。

というか、クリーンなことを証明したかったらコンパイル言語を使わないことをオススメする。
wscriptベースでVBとかJavaScriptで書くと、多分回りも検証しやすいし、拡張もしやすい。

問題はなぜかセキュリティソフトが一番危険なネイティブ実効ファイルよりwscript系スクリプトをウィルス並みに警告してくることだがな・・・
なんだよ、ファイルI/Oで緊急停止ダイアログとか。

間を取って逆コンパイラが充実した中間言語インタプリタ系が検証者には優しいってところか。

.NET→VC++でコンパイルできるソースならc++/cliでコンパイルする事で互換性を維持できる。逆汗にはリフレクタを使う。
Java→説明不要。
HSP→暗号化なしモードorディレクトリ配布。資料豊富。
吉里吉里→暗号化なしパッケージ。言語はTJSで、資料が少なめ。
ひまわり→ソースつきで配ることで、公式使ってコンパイルした結果と一致することで検証できる。実行ファイルがクソ重い。

>>625
自分は今ノートンを使用しております
特に問題がないのでしょうか？

保存してどうすんだよって感じだなｗｗ

警告画面集をニコニコにアップしてくれよ
GENOウイルス踏んで

>>625
ああ･･･それはひどいｗ
ｶｽﾍﾟの中の人のセンスはよくわからんぜ

NET裏技専門店も感染してるよ
さっきアクセスしたらおかしかったから調べたらビンゴだったわ
しかも管理人知ってて公開してたらしいし管理人マジ死ねよ

カスペの音ってこれ？33秒あたり
http://www.youtube.com/watch?v=wVbRNCqN5Xc

>>628
*(BYTE*)send ← これをどうやってWSHから取得するかなのだが…。
LoadLibrary("winmm.dll")は、音をひとつ鳴らせばかわりになるから大丈夫

>>633
なんていうか、定型文リストがすごいなｗ

>>622
Avastはパトカーのサイレンみたいな奴だっけ。それと比べるなら、やっぱりカスペの方が心臓に悪いと思うな。
AntiVirなんか初期設定でM/BからBEEP音がするから、なにかと思うんだよね。カスペ程じゃないけど
あれも、やっぱり心臓に悪い。

>>635
とりあえず前スレ154を実行してみた。

クリーンな環境: 8B 8B/8B 8B
一昨日感染させたVM: 8B 8B/8B 8B
上記をNortonで駆除してみたもの: 8B 8B/8B 8B

winmm.dllを読み込んでも値が変わらんぞ。
音が鳴ると発動するのを利用するってことだろうけど、winlogonの
時点で発動しちゃわない？

感染させたはずなのに値が変わらぬとは…。ウイルスコア(DLL)みてみたいです

発動は各プロセス毎ってのがみそで、また、仮に、すでに発動していたとしても、
各値は、E9 E9 / E9 E9 になるはず

そのプログラムをデバッガ下で起動して、ウイルスコアがどの時点でmodloadされるか見れば、
ゆってることは(ぐだぐだいうより)一発でわかります

>>635
ごめん、前スレの154をたった今確認した。
WSHでやるならEXCELを踏み台にしてHTAからWin32API呼び出すサンプルがVectorに有ったと思うからその辺参考できないか？

というか、これだとコンパイル環境によって、スタブ取りに行くかIAT取りに行くか揺れると思うんだが、その変どうなんだろう。
APIフックで差し替えるって事ならGetProcAddressも上書きしてる可能性が高いと思うのだが、GetProcAddressが通るかどうかで判別できるかな？

感染環境持ってないので憶測で話すが、フックされた偽sendがWinsockのDLLの外側にあるのなら、
LoadLibraryの返り値とGetProcAddressの帰り値の差が正常範囲内かどうかで判別するほうが安全確実ではなかろうか。

単純に、C++/CLIかフルアセンブリで作るほうが検証しやすい物になるかな？

>>625
とりあえず…

×うる覚え
○うろ覚え

>>629
>問題がないのでしょうか？
あるかないか、それだけで判断できません。

そのリンクを
hXXp.WWW.の形でここに貼れば、Ｇｅｎｏかどうかはここの人が判定してくれるに違いない。

この Web サイトのセキュリティ証明書には問題があります。　
↑これはウィルスの有無に関して何の情報にもならない。

おそらくブラウザが暗号化通信しようとしているんだけど、
相手の素性（暗号化通信のライセンスを持っているのか　いないのか）がわからないので
そういう警告を出しているんだと思う。

で、素性が分からないのは
本当に相手サイトの素性が（免許登録がなくて）分からない場合と、
ノートンが暗号化通信をスキャンしようとするから分からない場合の
2通りあるわけ（暗号化通信はノートンにもスキャンできないから、ノートンが代理認証するが結局失敗）。
gmailなんかのログイン画面でも同じ警告が出るならノートンの設定が原因だろうね。

うちではRadeonのドライバーをダウンロードしようとすると、毎回警告出るから、コレもためしてみて。
http://game.amd.com/us-en/drivers_catalyst.aspx?p=xp/radeonx-xp
でドライバーをダウンロードしようとすると、その警告。
ただし、暗号化通信をスキャンしない設定にすると警告なし。
　
つまり、サイトではなく、自分のセキュリティーソフトの設定が問題。

以上、俺の妄想。

>>640
勉強させていただきました！
他で恥じかかなくてよかったわ。

>>639
Excelもってなすｗｗｗ

…だが、(やっぱり)そんなことができちゃうのか…。ま、VBAも載ってることですし、不可能はないかｗ

あれって、常駐すると、ws2_32::send を直接書き換えちゃうんですよ
チェッカEXEも、スタティックリンクして、WinMainのしょっぱなで値取りに行ってます
(DWORD)send じゃないんです。*(BYTE*)send なんです IAT/EDTは不変のはず(いまんとこ)

>>638
申し訳ない。
VMのスナップショット取っておいたつもりだったのに、2番目と3番目は
NortonとAviraで駆除してみたものだ。
Aviraの方は、ご丁寧に手動削除とレジストリ修正までしちゃってる。
また感染させればいいや、と軽く扱ってたからなぁ。
ホント、すまん。感染状態のVMがないっす。

検出可否報告スレの検体を落としてきて試そうか？

>>644
んじゃ、再度感染実験するとき、そのついでにお願いいたします、でｗ (pending.)

WSHの範囲で、活動を証明する方法を、寝ながら考え中

vbscriptに、PEEK/POKEがあればよかったのにｗｗ

>>645
本当に申し訳ないです。大失態。
で、現状のソースでも無償のVS Express Editionでビルド可能なんじゃない？
ATLとMFCは付属しないから、C++/CLIかコンソールアプリにしちゃうのが
楽だと思う。
ソース同梱なら試すのに抵抗がないし、VMに感染させている人はVS所有率も
高そうな気がする。

小汚いソースをPK(MMOでいう)アリの２ちゃんに晒すのがどうかという大問題と、
「どうせ、正しいソースに、腐ったバイナリが同梱してあるんだろ？」とか言われるとｗ

コンソールソースだと、ほんとに前スレのあれに、includeつけるだけｗ

GUIにしてもMessageBoxA使って表示すれば、前スレのアレに3行追加するだけだが。

おはよう
何日後にこのウィルスは再度活性化するかな？
しなきゃいいんだけど

そんなんこっちが教えて欲しいわ

>>634
カイリキーの鳴き声に似てると一瞬思ってしまった

それにしても趣味の悪い音だな

>>651
どうでもいい事だけどワンリキーの間違いだったｗｗｗ

初めてavast警告画面遭遇。
ソースチェックしたら赤文字の羅列ありですがこれは感染確定？

ttp://c-sc■jp/SHOP/jinbei1■html

>>653
クロ、しかも古い(gumblar.cn) あとになって出てきた感じで。さっと直してもらいましょうｗ

>>648
唯一弱点があって、内容をコピペするのが面倒なのだ
VBでいう、InputBox()みたいなのがwin32にあれば便利かな

感染サイトにgumblarとかラトビアのIPしかないケースは
感染に気づいてftpのパス変えてPCもクリーンインスコしたけど
サーバのファイル改竄を修正しきれてないってケースなのかな

>>653
とりあえずお問い合わせから通報しておきました。

日本国またはアメリカ合衆国、もしくはその両方の著作権法に触れる内容であると疑われることから表示できません。

>>656
すいません、ありがとうございました。どういう文面にしたらいいのか迷ってたもので…
PC関連のサイトでなくても分かってもらえそうなテンプレってないでしょうか？

どうでもいいんだけど、逆汗って書いてるやつ、もしかして若干（じゃっかん）の間違い？
3回くらい書いてるから気になった。

逆アセンブラ

>>659
逆アセンブラにかけてウィルスのバイナリデータを読むこと。
逆アセ→逆汗と省略した表記。
ヲタ用語なので分からなくても恥じる必要はない。
元々シェアウェアなどを解析してシリアル出したりする人たちが検索にかかりにくくするために略すようになっただけ。
個人的にはこんな略する方が恥じるべき。

あ、そういう用語なのか！
勘違い申し訳ない。ごめんなさい。
>659、>660はありがとう。一つ賢くなった気がするよ。

http://genolists.alink.uic.to/

ここのリストに感染サイトが直リンされたまま放置されてるんだが
何とかならないの？

ウイルース製作側のテームGEN○（外国人ら）が、ここの対応状況を分りづらくする木的もある
いわゆる二本人（ねらー）なら分る文障に安号化しているということです

外国人からみた文小（翻択サイト）

ここの手紙状況と生産側が役立つUiラスのティムGEN○（外国人）を理解するのは難しい木マークは、
ヤスシがいわゆる長い剣を理解している文障とそこにある背が低い剣人（ねらー）のそれになるということです

ヤスシwww

二本陣なら>>664を理解できるが、
二本陣でも>>665は理解できない
ともに同じ内容の文障である

害国人から見たここは「基地外」の集まりということになります

ひらがなじゃだめなの？
もしくはカタカナ

ひらながでもいいよ

だせーんさせてスマソ

ひらがなやカタカナだと>>665のヤスシみたいなことが起こらないからなｗ

ヤスシがいわゆる長い剣を理解している文障とそこにある
背が低い剣人（ねらー）のそれになるということです

意味不明ｗｗｗ

ちなみに使用した翻訳サイト（日本語→英語、英語→日本語）
ttp://honyaku.yahoo.co.jp/

>>672
ヤスシがわかる所で、そこの文障である背が低い剣人（ねらー）と
そこの、いわゆる長い剣は曲がることができることです

>>673をもう一度変換したものですｗｗｗ
ダッセンスマソ

後部bunsawaであり、そこでは、ヤスシのいわゆる、
そして、長い刀の理解が低いのが(使います)、tsurugininのものになります。

ツボったｗｗ

gnomeさんが出張したらしいね

>>610
あの顔面蒼白ぎゃーという恐怖系GIFを参考にしたんじゃないかな。

>>625
＞白い顔の女の人が、目から血を流している画面と共に「ギャー」って大音量がなるジョークソフト知っている？
これまんまと踏んでしまっていつも思うんだけど、
誰が何のために作ったの？obon03.htmlだから、お盆の肝試しのためのもの？

亀だが。逆汗って知り合いがよく使ってたから使ってたんだけどね

>>657
そっちがんばってくれｗ
質問板は、exeとか貼るんじゃねーよ出て行けってことだったので

ってまて、そっちもexeかー。

そのアイデアそのままに、WSHに移植できないかな
WScript.Shell オブジェクトで、enumは難しいかもしれんが、readはできるらしい
aux ＋ 数字 の形になってるキーに、わけのわからないフルパス、しかも拡張子が.sys じゃない代物って
通常のインストレーションではありえない 発見次第、ういーんういーんしてみては

リカバリしたんだけど何からはじめたら良い？
ウィンドウズのアップデートかな？

>>682
あさごはんたべる

>>682
まずルータをFW代わりにWindows Update以外の通信をはじくことから開始
それしないと

>603
何の気なしに確認してみたら定義の更新が○秒前とか出てﾜﾗﾀｗ

シマンテック行ったら、どのページも軒並み見られなくなってるんだが

>>683
いまからたびる

>>684
ありがとう。とりあえずアップデートはほぼ完了。
アドビのフラッシュプレイヤーは入ってなかったんだけどそのままでも良い？
あとアクロバットリーダーが6.0.2アップデートてのと　
アクロバットアンドリーダー6.0.3アップデートてのか入ってるほかに
アドビリーダー6.0.1が入ってた

どれを最新にすればいいの？

>>685
いつ見ても10分以内に更新してるｗ
もしかしてありとあらゆる現存する亜種を
解析が済んだ順にぶち込んでる最中なのではないだろうかとふと思った。

>>687
1から読んでろバカ

>>686
おぬし、ウイルスやマルウェアのなかには、感染したPCを
セキュリティ系サイトに接続できなくするものがあるという言い伝えを知らんのか
GENOウイルスもまた、そうしたものの1つだと言われておるぞ

というか俺は普通に見える

>>687
そういうのはバージョンが低い順にこなしていくのが定石だ。
アップデートの類には、全てのパッケージを含むものと、変更箇所だけのものがあるが、
この方法だとどちらでも問題が起こりにくい。

>>690
GENOに感染してなくて安心してたら…マジかよ

>>692
うちは問題なく市万テックのサイトが見れるからGENOかどうかは知らないがウイルスだろうね
ブラウザ変えたり、他のベンダーのサイトも見れるかどうか、Windowsアップデートが出来るかどうか確認してみ
それで見れなきゃウイルスの可能性が高い

>>655
説1　感染ＰＣを1週間ぶりに起動した。

>>690
サポート終わっている6は全部削除して入れなおしが楽。
>>692
js切っているからじゃなくて？

>>
みんなまずはWindowsUpdateなのか。
XPSP2以降の標準FWでも外からの接続は弾いてくれるらしいし、
クリーンインストール直後にアウトバウンドなんか監視する必要ないんだけど、
自分は気分的に市販の統合セキュリティーソフトを入れてからWindowsUpdateで更新チェックしている。

たまーにWinUpdateとウィルスの定義ファイルを同時にダウンロードし始めて困ることもあるけど・・・。


■24時間前に　>>375を貼ったんだけど訂正。
213.0.0.0-213.25.255.255 213.0.0.0/8　というブロック範囲を万が一登録している人がいたら、
そして、その人がOpera使いなら　　213.236.208.0 - 213.236.208.255　をブロックの対象から除外してください。

これはOperaが使っているサーバーのようです。
ブロックすると「最新版のリリースをチェックする」などの機能が使えなくなります。
クッキーなどの個人情報を削除したタイミングでも通信するようで、これはこれで気持ち悪いですが・・・

あと、>>375では　213.0.0.0-213.25■5.255.255 213.0.0.0/8
5がひとつ抜けてました。　すいません。

我が家でも今朝、ブロックリスト警報が立て続けになって冷や汗ものでしたが、Operaの通信と分かり安堵した次第です。

>>693
ウイルスだこりゃ
ウイルスバスターアンインストールしてから、うっかり忘れてた1時間の間に感染したらしい
ネット社会やべえ

>>681 の件、てきとーに書いてみた >>657 に寄稿するので、鍛えてくれ

---
function die(m){
　　WScript.Echo(m);
　　WScript.Quit(-1);
}

var WshShell;
try{
　　WshShell= WScript.CreateObject("WScript.Shell");
} catch(e){
　　die("wshom.ocx がインストールされていません");
}

var Signer;
try{
　　Signer = WScript.CreateObject("Scripting.Signer");
} catch(e){
　　die("wshext.dll がインストールされていません");
}

function try_verify(fn){
　　try{
　　　　return Signer.VerifyFile(drv32, false)? 1:0;
　　}catch(e){
　　　　return -1;
　　}
}

function get_drv32(i){
　　var drv32=undefined;
　　try{
　　　　drv32=WshShell.RegRead("HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32\\aux"+(i?i:''));
　　}catch(e){
　　　　drv32=undefined;
　　}
　　return drv32;
}

function get_score(drv32){
　　var score=0;
　　if(drv32){
　　　　if(drv32.indexOf(":\\")>=0) score+=50;　　　// std installation have no fullpath
　　　　if(drv32.indexOf("\\..\\")>=0) score+=200;　// not occur if envelope runs in root dir
　　　　if(!drv32.match(/.(drv|dll|acm|ax)$/)) score+=100;　　　// almost
　　　　if(!try_verify(drv32)) score+=500;　　　　　// fullpath, and not signed
　　}
　　return score;
}

var log="";
for(var i=0;i<100;i++){
　　var drv32=get_drv32(i);
　　var score=get_score(drv32);
　　if(drv32) log+=i+":"+drv32+(score? " ←うひょー("+score+"てん)":"")+"\n";
}

WScript.Echo(log);

>>695
今すぐ回船切ってクリーンインスコ
アンチウイルスソフトをアンインストールする場合は、先に別のベンダーからソフトをダウンロードして、
回線切ってからアンインスコ→別のアンチウイルスソフトインスコ
しなきゃ駄目だよ。ちょっと遅かったが

>>375は結局ブロックする方向でいいのかな？

感染確認サイトを個別にブロックする意味はなさそうだけど。

汚物はしょうｋ(ry 主義なら好きにすればいいさ。

別にアンチウィルスてコンスタントに何かを防ぎ続けるもんじゃないから
よっぽど高度な挙動をするウイルスでない限り切ったからってすぐ感染するもんじゃないしｗｗ

FW機能があるなら話は変わるけど

全然使わないから、今何気にAcrobat Readerのver見てみたら
6.0だったｗｗ たま〜にPDF見るくらいだけど最新版（9.1?）にした方が
いいの？

>>699
そうだよね
確認サイトであって怪しい動きのIPじゃないもんね
新しいドメインとIPが出ない事を祈りたいわｗ

むしろadobeはアンインスコしてpdfはsusieプラグインで見るべき

エロゲーしかやらない連中は、susieでいいんだろうなｗ

>>698

単独IPに関しては
>>380に見に行ってくれた人がいるので、参考にしてください。

213.0.0.0 - 213.255.255.255 213.0.0.0/8 に関してはあまりに範囲が広いので、
ご自分のモットーに基づいて決めるのがよろしいかと。

ただOpera使いなら ブロック範囲を分割とかして
213.236.208.0 - 213.236.208.255　の範囲を遮断しない方がいいかもってことです。

213.0.0.0 - 213.236.207.255
213.236.209.0 - 213.255.255.255

自分の場合は、今後の為にもマルウェア作者御用達の海外ISPは遮断しておこう　という考えです。
どうしても行きたいサイトがあったら、例外許可ルールを作って行けばいいかなと。

あと、サイトだけはクリーンにしても、それを編集するPCはまだ感染中という状況も考えられる為、
国内の過去感染サイトへのブロックもしばらくは解かずにおこうと思っています。
gumblar.cnのような親玉をピンポイントで追跡できれば、本当はいいんですけどね。

最新バージョンを使っていない人がこんなにも沢山いると知った最近。
次に狙われるのがQuickTimeのような気がしてならない・・・。　ど素人の浅知恵ですが・・・こわい。

>>703-704
susieか、ありが�d。ほとんど使わないなら消しちゃっても
いいんだよな・・用途としてはマニュアルとか落として見るぐらいという。
6.0消して9.1にしとくか

>>696
drv32auxlist_wsh_js.lzh
ttp://www1.axfc.net/uploader/Sc/so/3060
testD32auxLST

WSHとかJScriptとか普段触らんものでアレだが、
とりあえず少しだけいぢってみた。
batはdebug用。コマンドプロンプトから実行のこと。
通常(?)用はエクスプローラから js を直接ダブルクリック。

触ってみた上で思うにやっぱ俺はこの辺のスクリプトは好みじゃないわ。
ってことで、このスクリプト触るのはここまで。
ってことで >>696 に返却してみる（ぉ


>>661
Web時代の遥か前、POKEしてDEFUSERしてUSR(0)してた時代から逆汗って表記はあったわい。

つい最近、このウィルスを知った
エロサイトばかり見てたんで感染してると思い
オンラインスキャンしたけど感染してなかった

>>708
板違い　
夢・独り言　
http://life7.2ch.net/yume/

これぐらい良いだろ
潔癖厨ってどの板にも居るのな

潔癖症

　　　　　　　　　　　　 ／）
　　　　　　　　　　　／／／）
　　　　　　　　　 ／,.=ﾞ''"／
　　　／　　　　 i f　,.r='"-‐'つ＿＿＿_　　　こまけぇこたぁいいんだよ！！
　　/　　　　　 /　　　_,.-‐'~／⌒　　⌒＼
　　　　／　 　,i　　　,二ﾆ⊃（ ●）.　（●）＼
　　　/　 　　ﾉ　　　 ilﾞフ::::::⌒（__人__）⌒::::: ＼
　　　　　　,ｲ｢ﾄ､　　,!,!|　　　　　|r┬-|　　　　　|
　　　　　/　iﾄヾヽ_/ｨ"＼ 　　 　 `ー'´ 　 　 ／

loca.zombie.jp/

This page seems to be <clean>

>>708
オンラインスキャンじゃ、まだ検出できないし駆除も

>>705
>次に狙われるのがQuickTimeのような気がしてならない・・・。
今回の件で慌ててadobeを最新にしたんだが、他にも定期的に更新した方がいいものがあるの？
プログラムの追加と削除から今入ってるプログラムを確認してはみたが、
数が多くてもうさっぱり・・・orz
ちょっと真剣にパソコンのこと勉強するわ

そもそも定期的に最新ヴァージョンを確認するのは基本だろ

>>715
バージョンアップして支障が出るとかじゃない限り、全部最新版にしましょう。

>>716-717
ありがと　ちょっといろいろ更新してくる

でも古いPCを使ってると
新しいの新しいのと入れてくと支障が出るんだよ…重くてたまらん
買い替え時期かねえ

なぜ同人サイトへの感染が多いか判明した

同人サイトのロボ避けアク解について 4
http://changi.2ch.net/test/read.cgi/doujin/1241579161/

これのせいでベンダーがアクセスできず検体が集まらない

>>714
自動的に駆除されます
http://www.kobayashi.co.jp/info/090512.html

>>715
使ってないものはアンインストールでおｋ
>>720
そういう自意識過剰なのは向こうでやってくれ

>>721
GENOウイルスは亜種が多く、感染したのが未対応の亜種だった場合は検出されない
検体スレなどを見る限りではバスターは元のウイルスがどうかはしらないが亜種への対応は
遅れている様子。また、製品で検知可能でもオンラインスキャンの場合はまだ
未対応な場合がある。よってオンラインスキャンを過信しすぎるのは危険
nortonですらオンラインスキャンはまだ未対応との情報があったりするくらい
なお、対応状況はそれこそ分刻みで更新されたりするため明言はできない

>>723
小林製薬なめんなよ

GENOウイルスに同人サイト連鎖感染　拡大防止へ協力の輪広がる - ITmedia News
http://www.itmedia.co.jp/news/articles/0905/21/news077.html

セキュ板はもっと評価されてもいいitmedia氏ね

>>725
> まとめサイト、イラスト……同人者も協力
「同人者」と呼ぶのはまさに同人者くらいなような気がしてたけど、まさか記者・・・ｗ

同人者なんて言葉初めて聞いたわ

同人者なんてそれこそ同人板位でしか聞かないぞ
itmediaの記者って

モデムけとばしたのでIDかわった ID替えじゃないよ

>>707
グレー判定しきい値１００てんかーｗ
※さっそく見たよっていう意味ですｗ

こういったスクリーニングテストツールの意味は、
｢ええっとチェックページいったら、(ocx導入)がどうたらってこれどうすんですか？｣
っていう人にも使えるといいなと思ってる

>>725
itmediaは贔屓にしているんだが、ここってGENO(店舗)とタイアップ記事が出たりするとこ
しかし、GENO(店舗)の名が出ていることに簡潔ながらきちんと触れているのは、おっと思った

>>726
荒れてたからかな itmediaも、news4vipも射程に入ってるし、CGM上等のとこだよ
ちなみに、岡田記者がモテない設定は、信じてませんｗ

GENOに関してはセキュ板の評価はできんだろ

いや、セキュ板はスレ1で既に感染経路も対策も挙動も押さえて解決済の流れだったろ

>>730

終わりと言っておきながらちょっとだけ追加で触ってみたｗ

drv32auxlist_wsh_js_with_logfile.lzh
ttp://www1.axfc.net/uploader/Sc/so/3110
testD32auxLST

結果をコピペで利用し易いように、結果をログファイルにも書き出すようにしてみた。

# start.
-1:wdmaud.drv
1:wdmaud.drv
# end.


なんかよくワカラン
とりあえず乙

wdmaud.drv は、通常は正規ファイルなので、名前が出てくるだけです
win32(EXE)なら、署名がMSのものであるか確認。とか簡単なのですけど、まあそれはともかく。

さっそくの試用ありです

ん…?
これはｼﾞｴﾝ乙ということでいいのかなｗｗ?

今北　ブッチャケたいした事無いウイルスだったな　あとは亜種の出現さえ気をつけてればおｋ？

初心者なんだけどこの一件があってからPC触れない・・・

ホームをニフティにしてるし、どのサイトを見なければ大丈夫なのか分からない(;ω;)同人は興味がないから見ないんだけど

感染サイトリストにのってる感染サイトも今日でかなり減った
martuz.cnは死んでるし後継のサーバに切り替わってもいないので、現状感染の危険は低い

ただ、感染サイトリストの主上支局だけは未だに危険
たぶんGENO系ではないと思うが、条件を満たすとbasesrv3.netからpdfがダウンロードされて攻撃を受ける
http://www.virustotal.com/jp/analisis/0369bad2d92a0842b86ba99142d6d06f

ごめん、>>707, >>733 にはアホにして致命的なミスが……。
drv32auxlist_wsh_js_with_logfile_fix100.lzh
ttp://www1.axfc.net/uploader/Sc/so/3129
testD32auxLST

スコアが100点丁度の場合に表示されるべき文字列が表示されていなかったのを修正。



>>736
よくわからんけど推測するに、俺としては、
「さっそくの試用ありです」はWSH化プロジェクト主任として、だと思うよ、思うよ！
と言っておけば良さげ？

>>738
同人は関係ないよ
勉強する気があるのならこのスレの上のほうをよんで対策をすればおｋ
ないのならそのままPCを使わなければおｋ

>>738
今はどれが駄目だと言えないので、まとめサイトを見て対策をしっかりやって下さい

>>741>>742
はい。wikiの初心者説明を見て対策はしておきました。
ちょっとワォなサイト散歩をしたいのでチェックを忘れないようにしたいと思います。ありがとうございました

ちなみにニフティはもう平気ですかね？ホームなんですが・・

ニフティ全部黒ってのはデマなんじゃなかったっけ？

デマです
なんで平気です

>>743
メールやウェブ見るくらいなら制限ユーザーでログインするというのも１つの手だよ。

>>723
支援ありがと。しかし７２１はGENOスレいるわりには、学んでないなー、

>>746
なるほどその手があったか　じゃあ管理者の親父が踏まない限り安心だな　っていうか親父にGENOウイルスについて聞いてみたが「そんなウイルス何処で流行ってるの？」と流された　まぁ親父は三次にしか興味ないしねｗ

aviraがうｐデートできないの俺だけ？

三次ってw
ウィルスは感染サイトのジャンルなぞ選ばないぜ

多少収まってきたか…
しかし何仕込まれて何されるかわからんから油断できない状況だな

>>745
ホッとしました！ありがとうございます。これからエンジョイしてきます

>>746
制限なんとかっていうのはどういったことなんですか？すいません、無知なもんで

被害が多発する「Gumblarウイルス」への対策を実施しよう
http://internet.watch.impress.co.jp/cda/special/2009/05/21/23523.html

>>752
人に聞く前に自分で調べたりしないの？

>748
ぶっちゃけ「駄目だこいつ、早く何とかしないと……」状態なんで自分で取れる対策
（Flash PlayeやAcrobat Readerのアップデート、重要なファイルのバックアップ等）はやっとけ。

>>748
親父さんも制限ユーザーで使ってもらったほうがいいかもね。
>>752
とりあえず、「windows xp アカウント 管理」のキーワードでググってみてちょうだい。

>>752
エロサイトにいく際には基本的な対策を怠らないようにな

つぎの質問予想
デスクトップに変な広告が出てきて消えません＞＜

>>754
申し訳ありません。もっと勉強します

>>756
ありがとうございます

>>654
実は、メッセージボックスはCtrl+Cで内容コピーできる。これ豆知識な。

xpを制限ユーザーで使ってる人って少ないのか?
そんなに不便じゃないと思うんだけどなー
時刻の変更だけは出来るように設定変えたけど・・・

>>721>>721>>721>>721>>721うそ

>>747　コレぐらいアンカしとけばいい？

>>761
小林製薬なめんなよ

>>740
やすみやすみ手を動かす意向

>>759
７０へぇ

>>749
俺はできたよ。
昨日はすげーー重かった。

そろそろjavaオンにしても平気かい？
面倒でしょうがないんだが。

>>760
GENOウイルススレ見てても、少なそうだよ。
俺もほとんど制限ユーザー上で作業してるけど、使えないソフトもあるし、ある程度、敷居は高いと思う。

スレの流れが穏やかになったな。

>>765
Javaはいいんじゃないか。今回の件には一応無関係
JSは自己責任で

>>172
WinXPの仮想環境無いのでWin2Kの方の結果だけど、userグループ（XPの制限ユーザー）で実行した場合はこんな感じ。

・ウイルスのexeファイル実行　→　可能（実行される）
・レジストリの改変　→　行われない
・ウイルス本体ファイルの作成（レジストリに登録される方のファイル）　→　行われない
・sqlsodbc.chm　→　作製されない。（最初に存在しないWin2Kの場合）
・元のexeファイルの自己消去　→　行われる
・実行後に再起動した後、AntiVirでウイルスチェック　→　何も検出されない

なんで、やった感じでは実行失敗してbatファイルだけ起動，証拠隠滅して逃げたように見えますね。（苦笑
userでも消去用のbatファイルが実行されて証拠が消える所は、結構気を使っているのかな、と思いました。

ということで、絶対の自信はないけど、制限ユーザーで使っていれば一応安全じゃないかと思います。

あと、おまけでpdf，exe，本体の現状の検出状況（先程再解析），5/17に配布されていたものに対して
　pdf - http://www.virustotal.com/jp/analisis/c24bba8da597bb169cb1330506fb80b9 (19/39)
　exe - http://www.virustotal.com/jp/analisis/7d27befbc1b7539f89db0928e467dade (28/40)
　本体 - http://www.virustotal.com/jp/analisis/125fc6c8da09a089429ddb55bf465652 (22/40)

本体検出できるベンダー、かなり増えました。　昨日の時点から、BitDefenderが検出できるようになったのは大きいかも。

※ VTで検出できなくても実際には検出できるベンダーもある（データベース更新のタイムラグや、
　　エンジンのバージョンの違いで起きる）ので、VTは参考程度にお願いします。（VTを絶対視しない）

追記）　個人的には、次の攻撃サイトができるとしたら今回も週末じゃないかと思いますので、一応まだ注意は必要かと。

>>769
検証乙です！大丈夫だろうなぁと思っていても、実際に確認してもらえると、安心です。（絶対ではないですけどね）

ウイルス元のサイトが止まってるから今は平気だとかなんとか聞いたけど、だから流れ穏やかなのかな？
でもまだ怖いことには変わりないよなぁ…
アンチウイルスソフトが全体的に駆除まで対応してくれるようになったら安心できるかな

>>769
すみません検体もらえますか?

>>772
アホか。ウイルスの再配布要求してどうするよ。

例外を除いて、不正指令電磁的記録 の作成・所持・配布が罪になる法律ってGOサイン出たんだっけ？
取り敢えず、アウトー。

>>773
研究と過失は対象外

　例えばウイルス除去ソフトやウイルス対策ソフト用ウイルスパターンを作成する研究のために、
自分のコンピュータでウイルスを実行させるケース、そのために保管するケースなどは、改正案で処罰の対象になるか。

　刑法の用語として、「人の」と記載されている場合、これを「他人の」と読み替えることが一般的である。
そのため、「人の電子計算機における実行の用に供する目的」とは、
いわば「他人のコンピュータでウイルスを実行させる目的」という意味になる。

　それなら、はっきりと「他人の」と、あらかじめ法律に明記しておけばいいのだが、こうした法律の世界の悪習は、
残念ながら捨て去られることなく、今回の法案でも放置されたままである。困ったものだ。


　その点はともかくとして、こうした目的がない場合には処罰の対象とならない。このため、前述のような研究のための行為は、
この目的がないことになり、処罰の対象から除外される。

　また、対象はすべて故意犯であり、過失は処罰されない。感染したサーバーの管理者が、
不注意で他のコンピュータに感染を拡大させてしまった場合でも、処罰の対象にならない。

ttp://itpro.nikkeibp.co.jp/article/Watcher/20060306/231817/

お前らなんでも知ってるんだな

>>765
Javaはまあ今回のとは関係ないけどJavaScriptだとしたら
Genoだけの問題じゃないから日ごろからFirefox+NoScriptのが安全だよ

>>774
> 　また、対象はすべて故意犯であり、過失は処罰されない。感染したサーバーの管理者が、
> 不注意で他のコンピュータに感染を拡大させてしまった場合でも、処罰の対象にならない。

GENOさん、大勝利！

>>777
その結果ウイルス名になったんだけどなｗ
さすがだぜGENOさん

さすがGENO！　おれたちにできない事を平然とやってのけるッ　
そこにシビれる！　あこがれるゥ！（AA略）

>>765
平気もなにもブラウザのJavaScriptならもともと切る必要はなかったよ。
切っておく必要があったのはAdobe ReaderのJavaScriptの方。

検体出せ／よこせとか言ってる奴は無条件でNG対象だからな

>>772
検体は、セキュ板の検出スレに行けば入手できます。私が提出している分もそっちに書き込んでます。
とは言ってもdat落ちしてますので必要なところだけ（行数削減のためです）転載しておくと、

【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/954
> 954 名前：699[sage] 投稿日：2009/05/17(日) 14:21:54
>
> martuz.cn新種（2009/05/17版） 相変わらずVTの判断ではほとんどスルー。
> ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=328
> 　DL virus／解凍 virus
>
> martuz_cn_id2_20090517.pdf
> 　http://www.virustotal.com/jp/analisis/d0f152cbbb8243f084d05485a3d7c3a6 (2/40)
> martuz_cn_id10_20090517.exe
> 　http://www.virustotal.com/jp/analisis/7e25c8d2c3766206c20482234449894d (3/40)

http://pc11.2ch.net/test/read.cgi/sec/1235459712/963
> 963 名前：699[sage] 投稿日：2009/05/17(日) 21:47:56
>
> >>954
> ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=329
> 　DL martuz／解凍 infected　　※ 注意喚起のため、いつもと違います。
>
> え〜、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
> 作成されるファイルを仮想PCで確保してみました。
> ベンダーに提出するかどうかの判断は各自にお任せします。（一応、KasperskyとAVIRAには送ってあります。）
>
> muvl.exe　(元の名前 muvl.nug) - ランダム作成らしい。
> 　http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1a (2/40)
>
> sqlsodbc.chm - ただのダミーファイルです。（中身は無意味なテキストと空白）
> 　http://www.virustotal.com/jp/analisis/395c9f2d6d6d38525fb24b3722664bfa (0/40)

mubl.exeの方は中身が微妙に違いますが、mwgpedu.tya同様 5/17のexeを実行した時にできたファイルなので
検出結果は同じになります。（逆に、同じになることがわかっているので、検出スレには提出していません）


それで、検出スレの方々はみんな承知で扱っているので誰も取り扱いに注意喚起していませんが、念のためここでは書いておきます。

検出スレに出てくるマルウェアは新種が多いので、セキュリティソフトをスルーする（検出できない）ものが多く入っています。
一発間違うと簡単に逝きますので、取り扱いには十分な注意をお願いします。（今回のgumblar関係もそうですが
仮想環境で試しても、セキュリティソフトを簡単にすり抜けて感染するものが結構あります。　検出可否スレは、そういうものを
分担して各ベンダーに提出し、各ソフトの検出力アップに少しでも役立とう、という趣旨のスレです。）

また、自分が持っているファイルがウイルス（マルウェア）かどうか知りたいだけなら、検出スレに出さず、
Virustotalに投げてください。→ http://www.virustotal.com/jp/

>>781
純粋に来たるべき第四のGENOウイルスの発生に備えて解析して対策をサイトにのせたいだけですけど
他の人が間違って落とさないように送信先メールも出してるじゃん！

>>782
Thanks a lot!!!!

先生とAvast二つ入れちゃ駄目ですかね？

>>780
いや、htmlのJavaScriptが動かないならその先のadobeも動かないんだから無意味ってワケでもないんじゃね？

>>765
どーしても心配ならJavaScriptのeval関数だけ止めればいいよ

>>780
マジで！？
Adobeとブラウザ両方じゃなかったっけ？
ブラウザのほうは念のため、だったっけか

>>770
プロが解析している訳じゃなくて、あくまで仮想環境で一個人が検証しただけだから、それだけで安心されても
困るけど、誰も検証してないよりはマシってことで。（苦笑

>>773
や、それを理由に検出スレが潰れたら、結構面倒なことになるな。(苦笑

検出スレで出てくる検体をベンダーに提出した場合、結構な割合でベンダーが確保していない
検体であることが多いらしい。　『 新種のマルウェアでした。協力感謝(英語意訳) 』っていうメール良く来るし。

マメに検体を提出してる人って少ないみたいなんで、意外とベンダーの役には立っているっぽい。

>>786
もちろん無意味ではないけど、ブラウザのJavaScriptは本当に必須でない限りは
なるべく切らないで済む方向で対策するのが正しいと思ってる。

今更だけど、ウェブページがGENOウィルスに感染しているか確認するユーザスクリプト
パスはgeno
http://www1.axfc.net/uploader/He/so/226944.js

特徴
・avastなどのセキュリティソフトをインストールせずにサイトがGENOウィルスに感染しているか確認できる
・JavaScriptオフでも検知できる
・踏んでからチェックするのでセキュリティソフトやGENOウィルスチェッカーの代わりにはならないが、JavaScriptオフならそれなりに安全に確認できる
・ウェブを巡回するついでにサイトが感染してるか確認、という用途を想定

使い方
・FirefoxにアドオンGreasemonkeyをインストール
・上のリンクからユーザスクリプトをダウンロードして保存
・保存したユーザスクリプトをFirefoxのウィンドウにドラッグ
・Greasemonkeyのダイアログが出るのでインストール
・適当にウェブを巡回してると怪しいサイトで「GENO virus detected」とアラートが出る

仕様
・ウェブページを開いたとき、head要素内にeval、unescape、replaceを全て含むscript要素があった場合アラートを出す
・楽天の広告で一部誤爆するので除外

>>790
外部jsファイルはスルー？

</head>と<body>の間はhead要素じゃないような

>>791
スルーです
確かzlkon時代はラトビアのサーバから外部jsを読み込んでいたような気がしますが
あらかたgumblar、martuzに書き換えられていると思われるので除外しました

>>788
だから検体提出とかの目的での保持は例外に該当。

◆XcxlmnqGqU みたいな信用のできない個人の要求に応えるために検体提出スレに上げてるんじゃ
ないんだから、そこは突っぱねて欲しかった。少なくとも>>734を見る限りでは、渡していい手合いじゃないと
私は判断した。

>>783
ここはそういうスレじゃないんだ。チラシの裏でも使って一人で解析しててくれ。

>>792
すみません、こちらで感染サイトを確認したところ
head要素の末尾にscript要素を追加している例しか把握できなかったのですが…
head要素とbody要素の間にscript要素が挿入された例があれば教えてもらえますでしょうか

バスターさんパネェっす！
メールで「バスターはJSRedir-R（GENOウイルス）に対応してるか？未対応か？ 」
と質問した方より結果報告。とりあえず誰か日本語に訳して下さい

299 ：トレンド ◆NXK3myBI0w ：2009/05/21(木) 22:03:16 ID:c9Tb1G8Z0
回答に関係する部分だけそのまま転載します。
URLは一応h抜きます。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
トレンドマイクロ・ウイルスバスタークラブセンターです。
弊社製品をご愛用いただき、誠にありがとうございます。

お問い合わせいただいております現象につきまして、現在お客さまにより
ウイルスが検出されないとのことで、このままでご利用になっていただいて
よろしいです。

また、以下手順にて「URLフィルタ」機能を有効にしてください。

-----------------------------------------------------------
　　　　■　URLフィルタ設定を変更するには　■　
-----------------------------------------------------------

(1) タスクトレイのウイルスバスターアイコンをダブルクリックし、
　　メイン画面を起動します。

(2) [フィッシング詐欺/迷惑メール対策] カテゴリをクリックします。

(3) [URLフィルタ（Webアクセス規制）]項目→「有効」→[設定] をクリックします。

(4) [URLフィルタを有効にする] チェックを入れてください。

詳細な操作手順は以下内容をご参考お願い申し上げます。

【「URLフィルタ」機能を有効/無効にするには】
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2062508&id=JP-2062508

まだバスター半年残ってるお・・・

>>794
うーん、信用できんかなぁ。

◆XcxlmnqGqUさんは、今回のgumblar/geno関係のスレで他板も含め結構活発に活動されてますよ？
記憶違いでなければ、いずこかのまとめサイトの管理人さんだったはずです。(どのサイトまでかは確認してませんが)

それに、googleで検索すれば検出スレは結構簡単に出てきますし、検出スレが見つかればロダも簡単に
見つかるので、隠す必要もない気がします。（そこには過去の検体まで全部残っているわけですし）

>>796
・・・回答者（バスターの中の人）は日本人か？

本気で自分もバスターから別のに乗り換えようかな…

◆XcxlmnqGqUさんってGENOウイルスチェッカーの方だったような気が。

>>797
お前はまだいいよ
俺なんかあと3年（12.5.31期限）だぜ？

orz

>>795
</head>の後ろではなく、<body の直前に挿入しているように見える。

</head>の後に改行等が入っていても、<body>の方にスクリプトひっついてるし。

>>798
◆XcxlmnqGqUが個人でググって検出スレ漁るのはどうでもいいが
何も知らない初心者がいるようなスレにリンク貼るなよ

俺もバスター半年残ってるけどもういい
セキュリティソフトなんてどれも同じだと適当に決めた自分への授業料だと思うことにする

hostsと同じ回避方法として、ウイルスバスター2009のフィッシング詐欺対策
を有効にして「禁止するWebサイト」に登録する方法もある
登録例
httｐ：//zlkon.lv/*
httｐ：//gumblar.cn/*
httｐ：//martuz.cn/*
全ての.cnや.lvを禁止するには
httｐ：//*.cn/*
httｐ：//*.lv/*

感染サイトのJSが、ドメインで飛ばす物ではなく
IPで飛ばすJSの時はそのIPアドレスを登録する
例 httｐ：//95.129.145.58/*

これだけでも効果的だが
更に、FWで広範囲のIPアドレスを塞げば防御率も高まる

同人のまとめサイトのウイルスバスター2009のFW設定で、
”3.「プロファイルの詳細設定」ウィンドウの「例外ルール（プロトコル）」タブをクリック”と、

プロトコルの設定が記載されているが、例外ルール（プログラム）側にIEがデフォルトで登録されているので
IEを使う場合は例外ルール（プログラム）側に入れないとIPブロックが機能しない

FW設定で
「方向」→受信（送信でも同じ設定を作る）

とあるが、今回のGENOは「方向」→送信
だけでも機能すると思われる

>>795
追記：>>792さんは、>>790の「head要素内に」という表現に突っ込んでるだけかと。
　　　　「head要素の後ろに」とか「body要素の直前に」と書けば解決する。

なお、手元のサンプルを適当に漁ってみたら、下記のようなサンプルを確認した。
この場合、「head要素の直後」という表現にしたらちょっとおかしいですね。
きっと、作成時にコピペしてゴミ残しちゃったんだろうな（苦笑）

<head>
本物のhead要素
</head>

<head>
</head>

スクリプト<body 〜>

>>798
>うーん、信用できんかなぁ。
その辺は、個人の判断かもしれませんので、信用に足る人物だと思われるのなら否定はしませんが、
本体の解析ができるようなスキルの人には思えません。

そんなことはさておいて、>803の意見は全面的に同意。検体の扱いは、もうちょっと慎重にね。

>>803
やれやれ、とんだお邪魔をしたようだ。　気を悪くしたのなら申し訳ない。

情報交換するのにも苦情が出るようでは、このスレに書き込む意味も無さそうなので、引っ込むことにします。

>>807
>806にも書いたけど、このスレですら配慮しろと言われるのでは、情報交換の場として使い辛い。

セキュ板が機能しなくて住人が多く来ていると予想していたが、どうもそういう感じでもないので引っ込みます。（苦笑

>>792>>802
なるほど、ソースを確認したところ確かにそうですね…

ですが、実用上は問題ないと思われます
どうもFirefoxはhead要素とbody要素の間にあるscript要素については
head要素の子要素としてパースされるようです(Firebug調べ)
実際に試してみましたが、head要素とbody要素の間に挿入されたscript要素については現在のコードで問題なく検出できます

>>807
よろしければURLかコードを教えてもらえますでしょうか？

ごちゃごちゃと取り巻きが五月蠅いですね
多くは語りませんが2ちゃんねるってこういう何がしたいんか分からない人がよく沸きますね
まあ何か文句があるならメールでお願いします

>>808,809
私のせいでこんなことになってしまって
ホントすみません

>>810
p://www■kma-japan■com/MAILFORM/order■html

サーバー管理者経由で、HP管理者宛に連絡済みです。

ここは妙なことに、全てのページではなく、感染コードが入ってるのが一部のページだけでした。
他の感染サイトは、外部からバッチで書き換えられているのか、全てのファイルにスクリプトが
挿入されてたんですけどね。

>>811
あなたの事疑ってる人は同人スレ住人だと思います
検体という言葉の意味をよく知らないくせに過剰反応して某スレでも揉めていました

>>809さんも気になさらないでここにいてください

同人スレの奴らは本当酷いよな。
怪しい情報でも何でもかんでも流しまくって煽りまくってる。

>>811
チェッカーでいつもお世話になってます。
一言お礼を。ありがとうございます！

ID変えても口調変わってないからバレバレだぞ

情報交換とかIRCでやってりゃいいだろ
なんでバスターの質問で埋まってるスレでやるんだよ馬鹿か

>>811
どんなツール使って解析してるんですか？

>>812
どうも既にそのページは修正されているみたいですね…
ローカルで>>807の状況を作ってみたんですが検出は問題なく行えました
とりあえず現状のコードで対応できると思います

不具合もあると思うんで、また何かあったらツッコミお願いします

>>803の「何も〜」にも、>>808-809の「情報交換〜」「セキュ板が〜」にも、
どちらにも肯ける半端者の俺。
そろそろいーかげん、再移動が必要なのかもね。

もう見てない気もするけど。
>>808-809
こっちも一本目の頃はまだしも、もう大分アレな状況ですやね。
理想的にはおっしゃるように情報交換ができるようにあれかし、だったわけですが、
実際にどうかを、流し読み程度ででも確認してからなら、
ブツの性質上もうちょっと慎重になられたのではないかと。

◆XcxlmnqGqUの
検体くれ、送信先メールも出してるじゃん！
にイラッとした。

769が煽る事になるタイミングで　（苦笑　をつけてるところにイラッとした

お前らカルシウム足りてねーよ。

>>822
そこはムカッとした。

どうでもいいけどウィバスの対応メールどう読み返しても理解できない。

ウィバスなんて略し方してる奴初めて見た

ウィバスって何ぞ？

ウィバスは初めて聞いた
斬新だな

ウィイレみたいな

うぃー感じに冷めたバス入ってくるﾉｼ

セキュ板が話になんない状態の中，ここはありがたかった．
しかし，ここももうダメみたいだな('A`)

>>599
目に見えない何かと戦ってる人おはようございます
アトランティスの戦士とは出会えましたか？

あのメールのダメっぷりからするとどう考えても
ウィンドウズバスターの略だろう

そろそろ、実質的に、｢次の攻撃待ち｣になってるか (皮肉な。来るに決まってるんだから。)

踏みたい奴とか、覗きたい奴とか、検体クレクレは、こっち移動しとくか？
内輪もめもほどほどにしとかんと、攻撃側に笑われるわ

あやしいファイルを実行するスレ 2層目
http://pc11.2ch.net/test/read.cgi/sec/1227543474/

※検体クレクレは、希望が通るとかはぎらないが、真剣なら発言は可能ってくらい

この騒ぎも収束に向かいつつあるようですが、
jsについて詳しい人がいるようなので、今後の為にちょっと質問させてください。
朝から長文すいません↓

GENOウイルス関連のスレッドには、テンプレの一部に
「（新手のウィルス対策の為に）NoScriptを導入してください。」と書いてあります。
ブラウザのスクリプトを切る方法は他にもあるのに、わざわざNoScriptを導入するってことは、
そのページ内のスクリプトの一部を発動させたいというニーズもあるようです　・・・でも、そこでギモンです。
■そのサイト内に悪意のあるスクリプトがあれば、NoScriptでそれが分かるのでしょうか？

----以下、うまく説明できないので具体例です-----

これがNoScriptでスクリプトを許可する操作ウィンドウの画像なのですが・・・
https://addons.mozilla.org/en-US/firefox/images/p/846/943948800
いま自分が"悪意のGENOスクリプトが仕込まれてしまった"正規のサイト（この画像の）secunia.comにいるとします。

↓A↓
画像を見る限り怪しげなスクリプトには見えないので、
いつも通りにsecunia.com や http://secunia.com　を許可したら最後！
悪意のGENOスクリプトが発動してgumblar.cnとの通信が始まってしまう！

それとも、

↓B↓
gumblar.cnへのスクリプトが仕込まれていた場合には、
この2つの選択肢の他に、ちゃ〜んとgumblar,cn　を許可
（もしくはやけに長い名前で難読化されたgumblar.cn）を許可
という選択肢をNoScriptが与えられるから、それを許可しなきゃ大丈夫！（だとしたら感染サイトの判定に使える？）


Bであれば安心なのですが、jsのことが全く分からないので不安です。
このウイルスを報じるIT系のニュースサイトでも、感染防止策としてNoScriptの導入を薦めているところがありました。
多少のリスク低減はあっても、実質運任せの方法をお勧めはしないだろう・・・と思ったのですが、

もともとサイトにあった既存のjsにgumblar.cnへの直行コードが仕込まれている！　といったやりとりを
どこかのスレで読んだような気がしました。
そして、だったらNoScriptでは判定できなさそう！！　という素人の予測を拭いきれず、混乱している状態です。

そのあたり、お分かりの方がおりましたらコメントをください。
Mozilla NoScriptアドオンのページ↓
https://addons.mozilla.org/ja/firefox/addon/722