ノートンがvbsウィルスのソースに誤反応2

このエントリーをはてなブックマークに追加
1ひよこ名無しさん
只今2chでvbsのウィルスのソースを貼り
ノートンなどのセキュリティツールを誤反応させるのが流行っています。
あまりにも質問スレなどで既出の(このvbsの)質問が多すぎるので
このスレへURLを貼って誘導してください。
また新たなパターンのvbsが見つかったら一応
このスレで報告願えると幸いです。

基本(この問題について) >>2
既知の2chで話題になってるvbsソース >>3 その他関連リンク>>2-10

セキュリティ板よりもこの板が適当なので2はこちらに立てました。
前スレhttp://pc.2ch.net/test/read.cgi/sec/1025872269/
2ひよこ名無しさん:02/10/07 08:50 ID:???
■この問題について■

2chのスレにvbsウィルスのソースを書き込むことによって
ブラウザがそのスレのhtmlファイルをダウンロードする際に
ウィルスのパターンと一致するので、ウィルスが検出されたと
ノートン先生などが騒ぎます。(設定によっては反応しないことも
ありますが、全く問題ありません)
ご存知の通り、htmlを読んでもこのvbsのソースは実行されること
は無いので、全く問題ありません。
また、デフォルトだとIEはInternet Temporary Filesフォルダに
htmlをダウンロードしますので、感染ファイルはここのhtmlファイルにになります。
なので、まだ2chで話題に上がって無くても、Internet〜フォルダの
htmlファイルが感染したと警告が出た場合、同じ問題だと言えます。
(もちろん、全く問題無い)
これらのファイルは削除しても全く問題ありませんが、
該当スレを読み直すとまたvbsのソース付きhtmlがダウンロードされて
しまうので、警告が出ます。
3ひよこ名無しさん:02/10/07 08:50 ID:???
■既知のvbsウィルスのソース■

・VBS.Internal
出元はhttp://tmp.2ch.net/test/read.cgi/download/1025717301/
の197だと思われる。
ダウソ板からいろんな板へ飛び火した模様。

・VBS.LoveLetter.A
c.Copy(dirsystem&”LOVE−LETTER−FOR−YOU.TXT.vbs
(反応しないように全角で書いてあります)
出元不明。ニュー速から?
4ひよこ名無しさん:02/10/07 08:51 ID:???
.srcの拡張子でもVBSと同様です。
5ひよこ名無しさん:02/10/07 09:32 ID:???
誤反応がウザイと思う人は以下の対処法があります。
・A Bone では、ログ保存フォルダを「除外」に設定すればよい。
・Nortonの設定でAutoProtectのスキャンの対象からhtmを外す。
・IE使ってる人は除外するディレクトリにTemporary Internet Files選ぶ。
・反応しないブラウザ(ネスケ・Operaなど)を使う。
6ひみつの検疫さん:2024/12/30(月) 04:27:41 ID:MarkedRes
汚染を除去しました。
7ひよこ名無しさん:02/10/07 10:08 ID:JV6V55Ex
てst
8ひよこ名無しさん:02/10/07 10:08 ID:???
>>1
乙〜
9ひよこ名無しさん:02/10/07 10:30 ID:???
ノートンを使っている人は >>6 に誤反応します。
かちゅ〜しゃ等の2ちゃんブラウザを使っている人は
6 を左クリックして「透明あぼ〜ん」でレスを消しちゃいましょう。
10ひよこ名無しさん:02/10/07 10:32 ID:???
他のスレッドでも「透明あぼ〜ん」を使えば語反応をしなくなります。
11ひよこ名無しさん:02/10/07 10:33 ID:???
×語反応
○誤反応
12ひよこ名無しさん:02/10/07 10:35 ID:???
>>3
過去スレで今まで報告されたのはそれだけ?
13ひよこ名無しさん:02/10/07 10:46 ID:Qk/PDlhB
tesuto
14ひよこ名無しさん:02/10/07 10:48 ID:???
>>12 面倒なので探してください(w
15ひよこ名無しさん:02/10/07 10:49 ID:???
誤反応がウザイと思う人は以下の対処法があります。
・A Bone では、ログ保存フォルダを「除外」に設定すればよい。
・Nortonの設定でAutoProtectのスキャンの対象からhtmを外す。
・IE使ってる人は除外するディレクトリにTemporary Internet Files選ぶ。
・反応しないブラウザ(ネスケ・Operaなど)を使う。
16ひよこ名無しさん:02/10/07 10:50 ID:???
test
17ひよこ名無しさん:02/10/07 11:26 ID:lL9QFIag
てすと
18ひよこ名無しさん:02/10/07 11:47 ID:vl0dGLSK
c.Copy(dirsystem&"記 念 カ キ コ.vbs")
19あぼーん:あぼーん
あぼーん
20ひよこ名無しさん:02/10/07 14:04 ID:???
htmlを読んでもこのvbsのソースは実行されることは無いので、全く問題ありません。
誤反応がウザイと思う人は以下の対処法があります。
・A Bone では、ログ保存フォルダを「除外」に設定すればよい。
・Nortonの設定でAutoProtectのスキャンの対象からhtmを外す。
・IE使ってる人は除外するディレクトリにTemporary Internet Files選ぶ。
・反応しないブラウザ(ネスケ・Operaなど)を使う。
21ひよこ名無しさん:02/10/08 12:53 ID:???
安心しました。
22ひよこ名無しさん:02/10/08 23:48 ID:/BHIxjUU
あげ
23ひよこ名無しさん:02/10/09 12:38 ID:???
めんどくせーな、新手の誤反応を貼るヤシがいる。MSKernel32.vbs
24ひよこ名無しさん:02/10/09 18:58 ID:???
ヽ(`Д´)ノ ウワァァァァーーーーーーン!!!
25ひよこ名無しさん:02/10/09 18:59 ID:???
26ひよこ名無しさん:02/10/09 18:59 ID:???
27ひよこ名無しさん:02/10/09 18:59 ID:???
28ひよこ名無しさん:02/10/09 19:00 ID:???
29ひよこ名無しさん:02/10/09 19:00 ID:???
30ひよこ名無しさん:02/10/09 19:28 ID:???
VBS.Haptime.A@mm
http://www.symantec.com/region/jp/sarcj/data/v/[email protected]

こういった類のウィルスが、
アンチウィルスを使用していない個人ユーザが持つHPなどを媒体として
再拡散しつつあるようなので(そのHPを閲覧したユーザのマシンは、感染すると、
今度は自分のHPに感染ファイルをup、.htm拡張子の添付ファイル付メールも送信する)、
>>5 の、『・Nortonの設定でAutoProtectのスキャンの対象からhtmを外す。』
は、あまり賢くない選択と思われ。
『警告が出たら「その都度確認」、誤認であれば、「無視」。』 が賢明。

.htm を拡張子に持つウィルスの素は、他にもいろいろある。
要は、放っておけばよいだけのこと。
誤認がウザイと思うレベルの人ほど、実は、この手のウィルスにマシンが感染すると、
システムの修復に苦慮するのではないかと思われる。
31ひよこ名無しさん:02/10/10 11:42 ID:???
htmlを読んでもこのvbsのソースは実行されることは無いので、全く問題ありません。
誤反応がウザイと思う人は以下の対処法があります。
・A Bone では、ログ保存フォルダを「除外」に設定すればよい。
・IE使ってる人は除外するディレクトリにTemporary Internet Files選ぶ。
・反応しないブラウザ(ネスケ・Operaなど)を使う。
32ひよこ名無しさん:02/10/10 19:30 ID:???
・IE使用で、除外するディレクトリに「\Temporary Internet Files\*.*」を
 追加した場合は、本物の感染ページを踏んだ時の脅威を常に念頭において
 ブラウズしましょう。例えば、エクスプローラのサムネイル表示に注意。
 ファイルを削除しようとポインタを当てただけで感染する場合があり得ます。
 http://www.ipa.go.jp/security/topics/newvirus/nimda_01.html
33ひよこ名無しさん:02/10/11 11:42 ID:R9izmqbC
age
34ひよこ名無しさん:02/10/12 06:28 ID:???
 
35ひよこ名無しさん:02/10/12 12:09 ID:+LkFWSZN
っつーか>>5の最後のはちょっと違うんじゃない?
NetscapeだろうがMozillaだろうが反応するよ
36ひよこ名無しさん:02/10/13 11:56 ID:UUF+HD4R
ここ見ようとしたらノートンが反応するんですけど誤反応でしょうか?
ソースが見当たらないんですけど
http://www.google.co.jp/search?q=%E7%A5%9E%E3%83%84%E3%83%BC%E3%83%AB&ie=UTF-8&oe=UTF-8&hl=ja&lr=
37メルトダウン:02/10/13 13:33 ID:???
>>36 チート交換所(Ragnarok) その3の紹介文にFreelink.bの文字列があるせいだな。
ソースはノートンが消してるんだろ。
38ひよこ名無しさん:02/10/13 18:12 ID:???
>>37
なるほどサンクス
39ひよこ名無しさん:02/10/14 03:35 ID:???
初心者板だから言いますけど、
初めてノートン先生がVBS.Network.Eに反応して、
もう一時間以上も焦ってパニック、
騒ぎまくって疲労困憊、
検索してもnetwork.vbsファイルが見つからない、
削除してないのに2回目のスキャンでは何故か感染が見つからず、
またもやパニック
ここにたどり着いたらまた反応したので、
誤反応という事で良いのでしょうか?
疲れた(泣)
もう寝ます。
40ひよこ名無しさん:02/10/15 16:13 ID:???
>>35 うちのはIE6SP1だが、何にも設定いじってないが反応しないなぁ。NAV2002
そういえばSP1にする前から反応しなくなってた。IE6のパッチはその都度当ててた。
41ひよこ名無しさん:02/10/15 16:14 ID:???
>>40
 (´ι _`  )アッソ
42ひよこ名無しさん:02/10/15 20:44 ID:???
マジ勘弁・・・。
お気に入りのスレにVBS.Network.Eのコピペされて、Norton先生が誤検出。
検出した場所がよりによって学校だったから、イタヅラで無害というのは分かってるんだけど、
報告しなきゃしないで、ファイルサーバーにログが残るもんだから、後でメンドウな事になるし・・・。
一応管理人の先生に報告することに・・・。(*´д`;)ハァ…。
まぁ、学校で2ちゃん見るなYOって言われればそれまでなんだけどね(´・ω・`)ショボーン
今度から2ちゃんを見る際はNortonさん切っておくことにします。
43ひよこ名無しさん:02/10/15 20:48 ID:???
age2ch
44ひよこ名無しさん:02/10/16 16:59 ID:???
ヽ(`Д´)ノ ウワァァァァーーーーーーン!!!
45ひよこ名無しさん:02/10/17 15:24 ID:???
ふう。
46ひよこ名無しさん:02/10/17 16:24 ID:???
ヽ(`Д´)ノ 退ガクゥー!!!
47ひよこ名無しさん:02/10/17 21:35 ID:???
>>46 誰のメアド?
48ひよこ名無しさん:02/10/18 11:51 ID:???
2003でも反応しますた。。。
49今日始めてひっかかった人:02/10/20 14:31 ID:???
感染が報告されたファイルでTemporary Internet Files\Content.IE5
に入ってしまってる奴って圧縮されてるよね?

このファイルの中身を展開して、どのスレが原因だったか探る方法ってないの?
50ひよこ名無しさん:02/10/20 15:47 ID:???
>>49 展開しなくてもわかるでしょ。