【ネットでも】GENOウィルス亜種が爆発的に増殖か 小林製薬や同人サイト他中心に感染も★6【新型ウィルス拡散中】

このエントリーをはてなブックマークに追加
571 西洋オキナグサ(アラバマ州)
>>564 ほれよ 昨日散々出てたけど

401 192.168.0.774 [sage] 2009/05/17(日) 22:38:51 ID:N9SKEU4J0
 え〜、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
 作成されるファイルを仮想PCで確保してみました。
 ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)

 gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
 対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
 qlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
 感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
 ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。

 あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
 バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
 このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
 するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。


433 名前:401[sage] 投稿日:2009/05/17(日) 23:26:41 ID:N9SKEU4J0
>>416
嫌なことに、特に異変がない。 
cmd.exeも普通に実行できるし、レジストリエディタも問題なく実行できる。
少なくとも、現在配布されているバージョンのウイルスについては、cmd.exe,レジストリエディタによる確認は不可能。
確認は、sqlsodbc.exeだけが頼りですね。

あと、動作が重くなったり、おかしくなった感じも特にない。仮想PCで重さの変化を感じないのだから、
実機ならまず気が付かんでしょう。
これ、今出回っているヤツだと、確実に感染したことに気がつかんと思う。 
同人板その他、パンデミック状態になったの理解できるわ。
572 ハナカイドウ(埼玉県):2009/05/18(月) 14:34:54.29 ID:yZkyBgLE
>>562
すまんよくわからない

>>568
>>お使いのコンピュータの更新を表示してダウンロードするには、
Internet Explorer の信頼済みサイトの一覧に Windows Update が表示されている必要があります

こんなん出てきてできないんだけど?javaは関係ない?
573 ボロニア・ピンナタ(コネチカット州):2009/05/18(月) 14:36:08.20 ID:lbYnBo5H
>>551>>568>>569
ありがたい
マジでありがとう
574 スズメノヤリ(東京都):2009/05/18(月) 14:36:47.60 ID:CHREFzqW
>>572
おまいさんはとりあえず専ブラで
事が落ち着くまでIE立ち上げるな
それが一番の対策
575 マーガレット(コネチカット州):2009/05/18(月) 14:37:24.63 ID:ao0OUcf2
>571
ネットワークアナライザで該当IPアドレスへのトラフィック有無を見れば検出可能でしょうか( ´・ω・)
576 イモガタバミ(宮城県):2009/05/18(月) 14:38:42.80 ID:zfz0avEw
アドビ、深刻度「最高」の脆弱性を修正するReader/Acrobatのアップデートを公開 5/14
> アップデートの対象は、無償で提供されている「Adobe Reader」および有償製品「Adobe Acrobat」の9.1およびそれ以前の全バージョン。
>Adobeのセキュリティ・アドバイザリ(英文)では、今回のアップデートで修正される脆弱性の深刻度は
>「最高レベル(critical)」とされているが、その具体的な内容は明らかにされていない。
>ただし、以前、同社のセキュリティ・チームが JavaScriptを無効にするよう呼びかけていたことから、
>JavaScriptの実装部分にバグがあったのではないかと見られている。

これを狙ったのか。