☆☆トロイの木馬☆☆

>>659
ESSってキンタマ・トロイ検出出来るねぇ。
ちょっとびっくりしたあるよ。

Trojan.Winnyな。しかしこの類はスキャンしなくても防げるだろ。
亜種には全く通用しないし

まぁ、いいじゃん。キンタマ・トロイを定義ファイルに加えたところで、
ファイルスキャンの速度に0.1秒も影響を与えることもないだろうし。
亜種も定義ファイルに加えて欲しいときには是非こちらに。
submitアットewido.net（アットを@に変えて）

キンタマは
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
上記のセキュリティーソフトのもっともマークの厳しい部分も書き換えるから、
TrojanCheck,SSM,RegistryProtなんかを使っている人にはたとえダブルクリックしても
大丈夫でしょう。

キンタマは結構悪意のあるプログラムの中でも技術的に面白いと思われ。
>>560のトリックや。
>>327の.folderのトリックを利用してるし。
htmlでexeを実行するのは
ttp://www.securityfocus.com/archive/1/354447/2004-02-19/2004-02-25/0
私が恐れていた上記が利用されているのではないかと思うし。
キンタマの作者は少なくともよく勉強していると思う。ちょっと関心しました。

言うまでもなく>>661さんの意見が一番正しいけど。

>>677
まぬけな上に運の無い人なら充分ありえる。

>>686
確かに
ネトカフェに仕込まれたキーロガーでネットバンクの・・・
なんて「まぬけな上に運の無い人」も実際いた訳だし

ところでESSって、Calendar of UpdatesにはUp情報載らないのかな？

トロイ

トロイ(troj)を見つけたんだけどウイルス名ちゃんと確認しないで感染してる不正ファイルをさっさと削除しちまった…
とりあえずレジストリエディタやwin.iniやsystem.iniを見ても特に改竄されてる場所も見つからなかった。

Eドライブで起動したからかな？ドライブとか関係ないのだろうか
ハッキング型ならファイヤーウォールが多分外部に出ようとするファイルを見つけてくれるだろうけど
まだ特に変わった事もないし。

まだとりあえず見とけって場所があったら教えて下さい

LANケーブルに異状はないかハサミで切って覗いてください

>>689
TROJ_APHER.Hだったらどうでもいいんじゃない？
だったらの話よ
あんたがもし他のファイルに手を付けてなけりゃトロイ増やしたってだけだから

>>689
ＦＷはdllとかもチェックしてくれるたいぷ？

>>692
zone alarm使ってるけど調べてくれるんだろうか

とりあえずウイルススキャンをいろんな大手サイトで試したけどどこもかしこもOK牧場状態だった
つまりウイルス無いですよって言ってた

知らない間にルートフォルダ内に

ServUDaemon.exe

なるものがあるのを発見したのですが、
これは誰かに不正侵入されたのでしょうか。

俺なんて1年半くらい前からトロイ感染してそのまんまだしね。
スパイウェアなんて無視しときゃいいんだよ。

>>694
ぐぐったらFTPバックドアって出てきたぞ。

>>693
そこまでやってりゃ普通平気だと思うが

>>695
俺もネット専用のノートのほうはトロイとかウイルスまみれでそのまんまだｗ

アンチトロイだとどれが一番良いのだろうか…
a2かな？(´･ω･｀)

>>699
a2と>>633紹介のEwido Security Suite（>>638,639に詳しいことが書いてある）を
併用してみるのはどうでしょうか。
ただ、フリー版ですと常駐保護機能がないので

TrojanCheck Version 5.0.4.1 Final
ttp://web.archive.org/web/20030201085731/http://www.wilders.org/downloads.htm

Regprot2.0
ttp://www.diamondcs.com.au/index.php?page=regprot

この二つのうちのどちらかでレジストリの改変を監視させれば良いと思います。

>>698
それって大丈夫なの？いくらネット専用とはいえ・・

いくら自分は気にしなくても、
ウイルス撒き散らされるのは迷惑なのだが。

a2 Personal レジしてインスコしたんだけどコード入力要求してこない・・
Free版でアクチしてあると、Free版をアンインスコ後にPersonal入れないと
アクチ画面でない・・・

クレカで決済したんだけどお知らせメール来るの半日位掛かった。
最悪２４時間って書いてあったから早い方なのかな・・・・

a2 freeを入れて、a2 UpdaterにUserIDとCode入れても
固まったまんまなんですが、もしかしてサーバー落ちてる？

>>704
再インスコしてみる

>>705
ﾚｽｻﾝｸｽ　

やってみましたが、やっぱり同じところで止まってしまいます。
UserIDとCode入れて、Activate a2を押すんですよね？

>>706
入力は間違いないよね？
FWが邪魔してるとか

関係ないけど
最新うp
20040325

Worm.Win32.Darby.g
Worm.Win32.NetSky.l
Worm.Win32.NetSky.q

>>707
確認しましたがﾀﾞﾒﾎﾟです… orz
とりあえずはSwat Itの方も試してみます。

ありがとうございました。

>>704
私もこれ入れた時そうなったけど、相手方には
送信はされていました。
メール見てみましたか？

ewido security suiteで検索したら、Worm Gaybarに感染してますと出た。
感染ファイルは、Notepad。取りあえず、Removeした。

C:\WINNT\NOTEPAD.EXE -> Worm.Gaybar -> Removed
C:\WINNT\system32\dllcache\notepad.exe -> Worm.Gaybar -> Removed
C:\WINNT\system32\notepad.exe -> Worm.Gaybar -> Removed

で、どんなwormなのかググったが、どこにも詳細がない。で、別名を探したら
W32-Bar1236らしい。対処法は・・・「当社の製品で消せ」

この会社にしか詳細情報がない。誤検出か？
http://www.sophos.com/virusinfo/analyses/w32bar1236.html

>>709
ﾚｽありがとう。

IDとCodeはすでにメールで送られてきています。

ただ、一度目のデータのアップデートの際にそのIDとCode
をCopy&Pasteしてもそのまま固まってしまっている状態です。

とりあえずSwat Itの方は問題なくインストールできたので
当分はこちらを使用していきます。

BKDR_IRCFLOOD.X
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_IRCFLOOD.X
こんなん検出しました。
・mIRC起動するたびに感染、再インストールや他のフォルダに
作ってもやっぱり起動すると感染
・上のページにある様なレジストリの変更はなかった
・IEExec.exeはあったけど消しても変わらず
・a2 swatit ノートンで検出せず

ん〜どうしよう

一年くらい使ってなかったパソコンでも検出した。
トロイの発見日時とかから考えてもこりゃ誤検出だわ。
びっくりさすなよトレンドマイクロ

>>710
C:\WINNT\system32\dllcache\notepad.exe -> Worm.Gaybar -> Removed
C:\WINNT\system32\notepad.exe -> Worm.Gaybar -> Removed

notepad.exeのある場所からして誤検出はありえない。
何かしらの悪意のあるプログラム。
Worm.Gaybarはgoogleを探しても情報が少ないね。
一番いいのは
ttp://www.wilderssecurity.com/index.php?board=25
上記に書き込んで聞いてみるのがいいのだろうが。
Ewidoの開発者の一人Peter Klapprodt氏もいつも掲示板をチェックしてくれているので。

英語・独語が苦手なEwidoユーザーで、Ewidoが検出しない悪意のあるプログラムを
提出したい人は下記のページがとても便利。

Trojan Submission Engine
ttp://anti-trojan-security.com/main.php?type=main&page=trojansubmission
英語が苦手でもEwidoのところのボタンを押して提出したいサンプルを選んでsubmitを
押すだけ。

上記のサイトのホーム
ttp://anti-trojan-security.com/index2.php

>>714
そうですね。感染ファイルを取っておけば良かったのですが、
セーフモードで検出してRemoveしたので、抹殺されました。
何の目的で作られたのか、どんな影響があるのか全く不明なので、かなり不安です。

>>711
a2いれてみたけど漏れは大丈夫だったぞ
入力はメールアドレス全部入れてるかもう一回確かめてみるかａ2サイトいってログインして見てみれば？

今、GateCrasher の警告をノートン先生が大量に出しているのだが、
わしのところだけか？

trojanCheck6で

Zugriffsverletzung bei adress 8B4052C4.
Lesen von adresse 8B4052C4.

ていう警告が出ましたがこれはどういう意味ですか。
参照できないアドレスのメモリを参照しました･･･みたいなやつですか。
ふつうそういうのが出るとアプリは死ぬと思うのですが
trojanCheck6はその後も普通に動いてるのですけど。

>>711
オミトロン使ってない？
俺の場合はFWはOKだったんだが、オミトロンがNGだったよ

>>720
それでした…　＿|￣|○

オミトロンをバイパスしたらあっさりと…。
教えて君＆ｽﾚ汚しすみませんでした。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio4　http://www.kerio.com/kpf_appintegrity.html　なら

・キンタマウイルス　http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.antinny.g.html
　による被害を防げる
　（玄人向けで有料だがTiny5でも防げる。
　　Sygate・Zone Alarmには似たような機能があるが防げない。
　　Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない）
http://pc3.2ch.net/test/read.cgi/sec/1079605894/481

・現時点では日本語化できない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
　kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある（広告ブロックは有償版のみ）
・ルールに無い通信のログを出すためには、
　ﾙｰﾙの最後にunknownはﾌﾞﾛｯｸしてかつﾛｸﾞに載せるようなのを書けばいい
・Outpostなみに軽い
http://pc3.2ch.net/test/read.cgi/sec/1074563750/156

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
http://www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Downloading Signature database 03/28/2004
Detection for Worm.Win32.Sober.E

トロイやウィルスなんて絶対ひっかからん！！
おくれるならやってみろ！！

>>724
タイ━━━━||Φ|(|´|Д|`|)|Φ||━━━━ホ ！！

age

A2でTrojanSpy.Win32.Srdl.14とDialerを発見しますた。
いつの間に入ったんだろ？

>>728
この前割れやったとき

toroi

toroi

test

>>728
なんのファイルをそれだと検出したわけ？

>>729
まぁね･･･ 否定はしないよ…

>>733
セカンダリに繋いであり、普段は起動させないWindows98のHDDのWINDOWS\SYSTEMの中
internat.win → TrojanSpy.Win32.Srdl.14

こっちは拾い物ｗ
cdcopy_setup.exe → Dialer
ちなみに実行させた事はありません

ESS、UP来てるね

このスレッド見てESSの英語バージョンを導入してみたんだけど、
ところどころ自分の環境WinXPではtranslation errorになっちゃう。(´･ω･`)
これは日本語OSに導入した場合の仕様でしょうか？

>>736
無問題･･･らしい

今日もewido　うｐかよ　マメだな

TROJ_MUSS.A　と　TROJ_MUSS.C　に感染してしまいました・・・。
IE立ち上げると勝手に　file:///C:/WINNT/secure.html　という場所に
飛ばされてしまいます。
すぐにオンラインスキャンして、感染されていた２つのファイルと
secure.html　を消し、再度スキャンして感染ファイル０になったのですが、
まだIE立ち上げようとすると「secure.htmlが見つかりません」などの文章が
出てきます。
まだ直ってないのでしょうか・・・やはりHD全部綺麗に消さないと、
いけないのでしょうか・・・？

また、対応の仕方を調べていて
　不正プログラムによるシステムの改変を修復します。
　Windowsのレジストリエディタ(regedit.exe)などを使用してレジストリ
　キーを削除してください。
という文章を目にしたのですが、これも絶対にやる必要があるのでしょうか？
やり方が分からなくて、出来ずにいます・・・。

良い対応法をご存知の方居ましたら、ご指導お願いします・・・。

>>738
ttp://higaitaisaku.web.infoseek.co.jp/index.html
ここへ行ってHijackThisというツールを使って
掲示板にLogを貼り付ければ誰かが教えてくれるので多分解決します。

>>739
早いご返答、ありがとうございます！
スパイボットというソフトを落として使ってみても直らなかったので、
HijackThisを使って、ログを掲示板に貼らせてもらいました。

一部、上に自分で書いた文章を使ってしまっています・・・マルチポスト
みたいになってしまって、すみません・・・。
教えてくださって、本当にありがとうございました〜。

↓が参考になるかも・・・

【アダルトサイト被害対策の部屋】
http://higaitaisaku.web.infoseek.co.jp/

あれ、だぶたな(^_^)

>>739 様
>>741 様

教えてくださって、ありがとうございました。
早速行ってみて、早い対応と指示、今後の対策など教えていただき、
解決する事が出来たみたいです！
お騒がせしました〜＆ありがとうございました！

>>734
遅ﾚｽですが、>>409あたりからinternat.exeの話がされているが。誤検出では？

20040404

ａ2　うＰ
Worm.Win32.Sober.F

>>745
乙

あげ

ａ2ってスキャン開始までが異常に時間かかるな

>>748 メモリスキャンしてるんでは？

Loading　Signatures…でしょ
漏れも長い

>>750
別に長いのはいいんだけど、最前面に居座られるのが鬱陶しいよな

確かに長いし、最前面表示を解除できないのは正直ウザイ。

Trojan horse Downloader.VB.ECってどうやったら削除できるのですか？
メディアプレーヤーを開こうとするとAVG6.0が警告します。
削除しても復活するので困っています。
アドバイスお願いします。
OSはw2kです。

解決しました。
ご迷惑おかけいたしました。

なんでこう自己解決した香具師は
その方法を書かないんだろ・・・。
書けば誰かの参考になるかもしれないから無駄レスにならずにすむのに。

ちなみに私自身はどうなったか全く興味もないし
知りたくもないが。

マルチの可能性大

>>754
といわれてますがどう思います？

久しぶりのｶｷｺがあったかと期待したのに･･･とか言ってみる

a2、ESS以降進展が無いなぁ

メディアプレーヤーをアンインストールして、pup.exeを削除して
再起動して、メディアプレーヤーを再インストールしたら直りました。
自己中ですみませんでした。何かの参考にしてください。

オンラインスキャンしたらTrojan.Win32.Harnig.bっていうのがでてきました。
でもそのページでは駆除も削除できませんでした。
ということでアドバイスお願いします。

やーだよ

>>760
a2とかをインストールして削除

ネタにきま8ryくぁwsdtyふじこl

downloader.winshow.V というのに感染したんですけど、何度消してもまた感染するのですが
対処法を教えてください。お願いします。

>>764
Kasperskyが今日対応したみたい。
http://www.avp.ch/E/daily.stm
【Anti Virus】Kaspersky Lab【Firewall】
http://pc3.2ch.net/test/read.cgi/sec/1062797137/

>>765
ありがとうございます。さっそく導入してみます

>>766
とりあえず、トライアル版を使えばいい

やられた…ネット暦6年目にして初感染
ＯＳ起動時に変なダイアログ出たんで調べてみたらTROJ_DAEMOZ.Aとかいうのが居た。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_DAEMOZ.A
で調べてみたんですけど
レジストリの
Xpsystem ="%System%\SERVICES\SERVICES.EXE"
の項目がウチの環境には無いんです
件のダイアログでは「scchostの初期化に失敗」とか出てるんで
これは感染自体が中途半端で終わってるってことなんでしょうか。

レジストリ修正と該当ファイル削除でとりあえず解決した模様。
ただ若干トレンドマイクロの情報との違いがあって
・R3.EXEではなくてR4.EXE
・SERVICES\SERVICES.EXE が生成されてない（scchost初期化に失敗が関係？）
もしかすると出来の悪い変種かも知れない。

いい加減ウィルス対策ソフト買っとかないとダメかなー

フリーのアンチウイルスソフト使えばいいじゃん。

いかにセキュリティを気にしない方がいるという指針ですな。
サポート業務もうんざりするわけよ。

e-accessADSLから、マンション内VDSLのUSEN光にして半年、外部からの攻撃がひどく、こまっています。
ひどい時は終日30秒おきにトロイの木馬のアタックがあり、発信源はカナダだったりドイツだったり。
最新型のウイルスもいち早くやってきます。
e-accessも併用してますが、24h繋ぎっぱなしでも外部からの攻撃は年に1〜2回程度です。

これって、同じマンション内にウイルスかかりまくりの、エロサイト巡り大好きな住人がいるってことでしょうか？

>>772
スレ違い。
ごく普通な環境

a2でTrojan.Win32.KillFilesとTrojanSpy.Win32.Srdl.14を発見しました。
まずTrojan.Win32.KillFilesをa2で消去した後に元のファイルを消去したんですが
マシンを立ち上げる時に変な文字が出て止まるようになってしまいました。
１０行ぐらいのバグのような文字の羅列が続いた後にvsdata.95で終っています。
Enterを押せば一応は使えるんですが、レジストリがおかしくなっているみたいです。
このトロイは２年前にDLした、rmを繋ぎ合わせるソフトに付いていました。
でも何でこのファイルに付いていたのかがわかりません。
XPのノートから98seのデスクトップに移したファイルだったと思います。
当時は普通に使えてたし、そのソフトは今でも配布されてるようなので
DLした後に別の経路から植え付けられたみたいです。
別の経路として考えられるのはINTERNAT.EXEから発見されたTrojanSpy.Win32.Srdl.14です。

しかし、誤検出だという意見もあるので、こちらのトロイは今のところ放置しています。

まずはTrojan.Win32.KillFilesを消去しておかしくなったレジストリを治そうと思います。
これはレジストリの最適化をすれば元に戻るのでしょうか？
それともレジストリエディタを使って自分で治した方がいいのでしょうか？
アドバイスを下さい。
よろしくお願いします。

>>774

emsoft.comのMaleware-Database

a2 Malware-Info: TrojanSpy.Win32.Srdl.14
We are sorry, but we don't have a description available now for the Malware item you are
searching for.

直訳
私たちは残念です。しかし、私たちは今記述を利用可能にしておきません。 悪製品のために探索しているアイテム。

これを見ると、a2によるこのトロイの検出はあまりあてにならないかと思うのですが、どうでしょうか？
Trojan.Win32.KillFilesは、いっぱい種類があってわかりません。

こちらも削除する前に他のアンチトロイソフトを使ってみればよかったのでは？

>>775
怖くなってすぐに削除してしまった事を後悔しています。
データを消すトロイだからexeをクリックしなければそんなに危険では無かったんですね。
削除した後にウイルスバスターの体験版を入れたんですが
TrojanSpy.Win32.Srdl.14は検出されませんでした。

>>776
バスターとかではアラートなしというのは>>419や>>431で既出でしたね。

Trojan.Win32.KillFilesはアンチウィルスソフトやPestPatrolでも検出するみたいだけど、
トレンドマイクロの「TROJ_KILLFILES.X」では検出されたファイルを削除しろとしか書いてないですね。

責任はもちませんが、トロイがそのソフトについてたのかどうかわかりませんが、
同じソフトをもう一回インスコしてから、いろんなソフトでスキャンかけて検出されるか試してから
普通にアンインスコしてみれば？

レジストリが元に戻るかわかりませんがね。a2の誤検出だったかもしれんし。
もうやったかもしれませんが、レジストリ最適化しても元には戻らないと思いますよ。

あくまで自己責任でおながいしますよ。

Ad-aware6.0、Spybot1.2で調べてみたんですが
TrojanSpy.Win32.Srdl.14は発見されませんでした。
こちらは誤検出の可能性が高いみたいです。

もう一度、ソフトをＤＬしてa2で調べてみたんですが
Trojan.Win32.KillFilesが見つかりました。
でも、このソフトは解凍するだけで使えてレジストリも使ってないです。
それなのに消去してレジストリが壊れるのはおかしいですね。
他の検索ソフトでも発見されるかどうか試してみます

インスコーラーを使わなくても、レジストリを使用するソフトはあるのでは？

他のソフトっていうと、フリーではSwatiIt、Ewidoくらい？
Win98だと、Ewido使えないんだよね？
後はPestPatrolのオンラインスキャンくらいかな？

誤検出の確認するだけだったら別にフリーのものにこだわらなくても
Tauscan,Trojan Remover,The Cleaner,TrojanHunter辺りの体験版を
落として使えばいいだろう。

>>779>>780
テキストにレジストリは使用していないと書いてあるので大丈夫だと思います。
これって確実に誤検出ですよね。
a2で削除したんですが肝心のexeは消去されずに残ってました。
その時にトロイではなくて何か別の大事な部分が消えてしまったみたいです。
慌てて消去せずに、先にここで質問するべきだった・・・・

Trojan.Win32.KillFilesを削除した後にウイルスバスターを入れたんですが
重いので、その時にアンインストールしたzone alarmを入れ直したら不調が直りました。
ウイルスバスターを入れたのが原因かzone alarmを外した事が原因か、
どちらかはわかりませんが解決しました。
ありがとうございました。

それはたぶんゾネが原因だな。
漏れも昔、NTにゾネ入れててアンインスコしたらなんかメッセージが出てきた記憶がある。
ゾネ関係のレジストリ消したら直ったような・・・気がする。あまりに昔なんで忘れたが。

いまやスッカリ忘れ去られた感のあるESSですが

久しぶりに、うｐ来てるぞ

だからCalendar Of Updates Calendarにも取り上げてくれよ･･･

>>784
乙。
＞だからCalendar Of Updates Calendarにも取り上げてくれよ･･･
激しく同意。

/////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のように
　HTMLからのexe起動を含め、キンタマウイルス　http://internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
　などの(ルールが)未決定のアクションを防げる（PFWではない）

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/aarules.html

/////////////////////////////////////////////////////////////////

ここにもきんたま被害者の会が、、、

EwidoもCalendar Of Updates に載るようになったね
さっそくUPきてるし

CodeRed.Dに感染していて駆除できないってどゆこと？削除したけど･･･
ダイジョブ？

>>789
今更CodeRedに感染するなんてダメダメですな。
続きはくだ質か日記スレあたりでどぞ

>>790
情報系の大学行ってる身として恥ずかしいわ・・・

情報系の大学とComputer Securityってあんまり関係ないような。
code redなら素直にアンチ・ウイルスソフトをセーフモードを使ってスキャン
してみればどうだろう。たいがいはきちんとdisinfect（駆除）出来るはず。

restoreに染み込んでいたウイルスをやっと殲滅できました(;´Д｀)

>>793
どうやったの？

>>794

システムの復元ポイントを全て消しました(^-^;
最初はﾄﾞｷﾄﾞｷしたけどやってみたら、
restoreに染み込んだウイルスを殲滅できたばかりでなく
ハードの容量を9Gから6Gに減らせて良かったです　ｸﾞｯ!!( ^―゜）b
↓のような要領でやるとできます。

http://www.ahnlab.co.jp/faq/faq_virus.asp#q1

1

失礼します。
今日、コマンドプロンプトからnetstat -a
をかけてportを調べたら。
TCP mypc:5000 mypc:0 LISTENING
というportが見つかりました。
ネットで調べてみた所。
port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Sockets des Troie
という物に該当しているのが判明しまして、今大変困っています。
削除方法、このTROYに関する情報、何でもいいので
どなたかご教示願えれば幸いに存じます。
よろしくおながいしますm(--)m

>>797
トロイの種類は下記参照して下さい。
http://www.simovits.com/trojans/trojans.html
それと、>>229で紹介されてるa2っていうアンチトロイソフト（フリー版）をインストールして
チェックしてみて。

>>798
返信ありがとう！！
まじでありがたいです。
インストールしてやってみます！

>>797
OSは何を使っているの？
WinXPやWinMEならTCP 5000はUPnP関係でデフォルトではサービスが動作して
いるからLISTENINGしているのは普通。トロイとは何も関係ない。
ttp://homepage3.nifty.com/tef-room/trouble/upnp1.html

>>202で
クリーンインストールした直後のWinXPのnetstat -anoをしたのも見てごらん。

自分のシステムにトロイが仕込まれているのかを確認するのにWindows付属のnetstat.exeを
使うのはあまり賢明ではないと思うよ。

Process to Port mapperで一番いいのはCLI (command line interface)が苦にならないなら
DiamondCS のOpenPorts v1.0が一番いい。
ttp://www.diamondcs.com.au/openports/

GUIでなければどうしても嫌だという人はCurrPorts v1.00 がとても使いやすいと思う。
日本語化パッチもあるので。
ttp://nirsoft.mirrorz.com/

ちなみにトロイのデフォルトポートは現実にトロイが使われる場面ではほとんど役に立たないよ。
実際のトロイのMain screen of the "Beast 2.05 Edit server:"を見れば分かるけど。
ttp://www.nsclean.com/psc-bst.html
悪意のある人物は自分の好きなポートを使うようにトロイのサーバーをカスタマイズ出来るので。

もちろんせっかくa2をダウンロードしたのならそのまま使えばいいと思うけど。＾＾

トロイ駆除できなかったから検疫に出して隔離すれば悪さしない？

すみませんが教えて下さい。
一度トロイに入り込まれてしまったら、
ウィルススキャンしても無駄なのでしょうか？
仕掛けた側がこちらのスキャンが無効になるように
何か細工を仕掛ける事などあるのでしょうか？

>>802
トロイというか、メジャーなウイルスの多くは感染するとメジャーな
アンチウイルスソフトやファイヤーウォールソフトのプロセスを勝手に
停止したりプログラムを消去したりします。
また、hostを書き換えてシマンテックやトレンドなどメジャーなサイトのDNS参照を
失敗させてWebページが見れない＆最新の定義ファイルがダウンロード
できない状態を作ります。

というわけで細工されまくりな可能性もあります。

a2で隔離したﾌｧｲﾙってどうやって元に戻すんでしょうか？
a2のﾌｫﾙﾀﾞにも隔離ﾌｧｲﾙはみあたりませんが…
いざという時の為に知っておきたいのです

>>803
教えて下さって有難うございます。
アンチウイルスソフト等は問題なく動いているようです。
オンラインスキャンで調べても被害は受けていなかったようで安心しました。

ａ2は4/4からうｐしないな
と言ってもほかに良いソフトもないし…(´･ω･｀)ｼｮﾎﾞｰﾝ

なんか調子悪い気がしたんでウイルスチェックしたら
Backdoor.Powerspiderと、PWSteal.Lemir.E　の２つがある、って出たんだけど
これ、どうやって処理すればいいの？
なんか、解説よんでも難しくてよくわからんのやけども…

>>800
あの自分は797氏ではないのですが、素朴な疑問として
紹介されているProcess to Port mapperを使えばDLL Injection機能のある
トロイなどもきちんと表示することが出来るのでしょうか？
リンク先のBeastとかいうトロイのレビューを読んでいたら気になったもので。
もしよろしければご教示ください。

>>800 丁寧かつ貴重なご意見ありがとうございます！お察しの通り私のosはxpです。a2使ってもno hit だったのでおかしいなと思ったのですがそういう事でしたか。ところで800氏はネットワーク関連のお仕事をされてる方ですか？

>>804
a2って隔離なんてできるんだっけ？削除するだけだと思ってたけど。
>>806
Ewidoとかはどうなんですかね？使ったときないけど。

>>806
折角だからEwidoも併用してみれば。
まだ一ヶ月くらいしか使っていないけど、Ewidoは毎日のようにアップデートがあるぞ。
今日もアップデートがあった。

SecuritySuiteのtranslation errorの表示はリソースいじったりして直せますか？

a2久しぶりにうｐｷﾀｰ!!　嬉しいw

>>806-811
というか、ココでの紹介時は
a2とewidoの併用を勧めてたよね
真っ正直に併用してるけど実際問題うｐ作業してるだけでトロイ感染した事無い

ところでa2のbackground-gurdって機能使ってる人いる？

Trojan horse Downloader.VB.ECってどうやったら削除できるのですか？
前にも同じような症状の人がいたみたいだけど、対処法が書いてなかったんで、教えてください。

ほんとだ4/30
対応ウィルス

TrojanDownloader.Win32.Small.gy
Worm.Win32.Bagle.p
Worm.Win32.Bagle.q
Worm.Win32.Bagle.r
Worm.Win32.Bagle.s
Worm.Win32.Bagle.z
Worm.Win32.Lentin.n
Worm.Win32.Mimail.q
Worm.Win32.NetSky.aa
Worm.Win32.NetSky.j
Worm.Win32.NetSky.k
Worm.Win32.NetSky.m
Worm.Win32.NetSky.o
Worm.Win32.NetSky.p
Worm.Win32.NetSky.r
Worm.Win32.NetSky.s
Worm.Win32.NetSky.t
Worm.Win32.NetSky.v
Worm.Win32.NetSky.w
Worm.Win32.NetSky.x
Worm.Win32.NetSky.y
Worm.Win32.NetSky.z

Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定（OEと相性が悪い？）
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
ｗｅｂごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
　（XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる）
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

a2 up

24385Signaturesでおｋ？

ESS　アップデート　マメだな

フリーで日本語化できるのでお勧めは何ですか？

＞フリーで日本語化できる
のは無いんじゃないか。

トロイの詳細
http://www2.troy.jp/

ブラピage

ESSはかなりの部分がtranslation errになっちゃうな。
日本語化パッチホシィ(´･ω･`)

IDSがsubsevenというトロイの侵入を検知したのですが
これはもう感染したという事なんでしょうか？実行した覚えはないのですが

a2　物凄い勢いだ

１度に１５００以上ってすごいな

今回のうｐで　vp3　vp6 aaw が掛かったぞ（；´Д｀）

http://www.a-2.org/en/

つながらない

あ、繋がった
すげぇ更新

うｐしたらa2の起動がスゲー重くなった・・・

a2がNortonAntiVirusのLusetup.exeからBackdoor.Botcmdを誤検出するみたいだ。

a2をいれて,user,codeもちゃんと入力したのに、

　Can not connect to the account sarver. Please check your internet connection setting.

と出て一向に先にすすみません。
インターネットには繋がってるのですが…
一体何が悪いのでしょうか。

FWじゃないの

Trojan.Adclicker に感染したのでSystem Volume Informationを
開こうと思ったらアクセス禁止になってます。じぶんのＰＣなのに…

ああ、そういえば検疫してたんだった＿|￣|○　

ドイツ語文字化けさせないためにはドイツ語フォント入れればいいの？
MSドイツゴシックとかないかな？

猿の惑星の監督か

誤爆スマン

BITDEFENDERでｽｷｬｿしたらMPXやSYSTEM VOLUME INFOMATION\_RESTOREのA0039273.exeがTrojan.killAV.Cに...
OTZ

a2また1500だ。
これで25915になった。

いまやってみたら前回誤検出したのがしなくなったから、それの修正だけだったのかもだな。

ssm1.9.4 b1.zipを解凍するとformat.helpってファイルがあるんだけど
これって何かに使うの？

誤爆したｗ

a2シグネーチャー読み込みが速くなればなぁ

もう何回もOSの再インストールしてるのに何度もチェックに引っかかる・・・
再インストールしてもPC内に残ってるファイルとかあるんですか？

>>845
HDDをフォーマットしてからインストールしてるの？
それとも上書き？？

>>846
フォーマットしようとしてもできないので、システムフォルダ以外のファイルは
手動で消して、一回セーフモードで起動してからOSをいれてます。

フォーマットできないわけがない

>847
それは上書きインストールしてるだけだ。
CDから起動して、HDDをフォーマットするんだよ。

たぶんbabyronという英和和英英英の無料辞書をインストールした際、
TEXTWAREというフォルダができ、なかにILLVEIWER.EXE
というのとQFSERVER.EXEというソフトがインストールされました。
両方とも表立って動いているようには見えないのですが、
消すことができず、手作業で消しました。ですが、IEHelp.DLL
というファイルだけがWINDOWSが利用しているようで消せませんでした。
そのため、SPCpyというフリーソフトをDLして消去しました。
以上の操作で問題ないでしょうか。お教えください。
ちなみにこれです。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_BLKSTONE.A
危険度などもあわせて教えていただけるとありがたいのですが。

誘導されてきたのですが前スレでは新しいソフトを購入するように言われました。
できればフリーのソフトがよいのですが。
当方、ZA,spybot,ad-aware、AVGの4本だてで毎日アップロードをやってきていたのですが、
これでは不足でしょうか。

>>850
SPCpyでググッてもよくわからないんけど、取りあえずリンク先のトレンドマイクロの
指示通りやって何もなければ問題ないと思う。
識者の見解を待ってね。
あと、このスレはセキュリティ板１の良スレだと思うので最初から読むことを勧めるよ。

↓全部フリーだよ。
・IEコンポーネント以外のブラウザ（Opera、Firefox等）を通常は使う
・レジストリ改変を監視するソフト（SystemSafetyMonitor、RegistryProt等）の導入
・アンチトロイソフト（a2、ewido等）の導入
・スパイウェア予防にSpywareBlasterとIE-SPYADの導入

>>851
丁寧なレス、ありがとうございます。
トレンドマイクロの指示通りやったのですが、レジストリに書き込まれていないみたいでした。
この点もよくわかりません。
このスレに関しては今日じっくり最初から読ませていただきます。
SPCpyはSRCpyの間違いでした。

DDI16とIlluminator 2とQFServerというのがその中身みたいです。
検索しても1,2件しかヒットしません。
このソフトからリンクが張られているのですがうまくつながりません。
http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=%22%2Bwww.textware.dk%2F&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

フリーのソフトは、早速導入させていただきたいと思います。
ありがとうございました。

>>852
Babylon Translator2.2か4.xならSpybotで検出されるみたいね。
spywareみたいなんでそのプログラム自体削除したほうがいいのでは？
あとは、先ほど紹介したa2とewidoでスキャンするとか。
レジストリに残骸がないか心配ならレジクリーナーで掃除するとか。

>>853
どうもです。
バビロンはすでに削除しました。http://www.faireal.net/articles/6/13/
ここで紹介されていたものなのですが。SpywareBlasterとIE-SPYADは導入しました。
http://www.textware.dk/この会社は何なんでしょうか。
IEHelp.DLLは、SRCpyでIEHelp.OLDに書き換えられたのですがゴミ箱に捨ててもいいでしょうか。
このDLLはなにと連携していたのでしょうか。
これからa2とewidoとレジクリーナーはやってみようと思います。

被害対策の部屋でIEHelperについて
http://higaitaisaku.web.infoseek.co.jp/cgi-bin/cbbs.cgi?mode=all&namber=20096&type=0&space=0&no=0
のツリーの中の21544で
>PC のお掃除
>http://higaitaisaku.web.infoseek.co.jp/menu1.html
>
>［プログラムの追加と削除］に
>・TEXTware\QUICKF~1\PlugIns
>・Movietrading？
>と云ったものがあったら、ネットに繋いだ状態でそこから削除してください。
>
>
>で、ネットから切断します。
>HijackThis 以外のウィンドウをすべて閉じて下記エントリにチェックを入れて削除し、その後 PC を再起動して下さい。
>
>R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
>O2 - BHO: (no name) - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
>
>再起動後、
>・C:\PROGRA~1\TEXTware
>と云うフォルダがあれば削除して下さい。

と指示されてるから、多分普通はいらないんでしょうね。

http://www.textware.dk/については、『ネットワークに問題があります。』とでるんで、アンチスパイウェアの免疫がきいてるのかな。

×被害対策の部屋でIEHelperについて
○被害対策の部屋でIEHelp.dllについて

新しいFree の Anti Trojan ｢Troyan Explore｣

ttp://www.troyan.tk/
ttp://gratis.unohost.com/troyan/Install.htm

わずか290kbのダウンロードサイズ、しかし spanish。
これについてコメントされているサイトは以下の処。

ttp://www.wilderssecurity.com/showthread.php?t=31509

>>855
すべて削除しました。
つながらないのは、ウィルスが利いているからだったのですね。納得しました。
いろいろ導入したのはいいのですがテレビの予約録画ができなくなりました。
いろいろ調整してみようと思っています。ありがとうございました。

テスト用の無害なウィルスは持ってるんだけど、無害なトロイってないですか。

リークテストがやりたいならそれ用のがたくさんある

Ewidoでスキャンするとjpgまで調べてしまいます
jpgやtxtスキャンしないようにするのはどうしたら
いいですか？

>>861
どうしようも出来ない。
私もほとんど同じ質問をしたことがあるけど、Ewidoは拡張子に関係無く
全てのファイルを検査の対象にしている。

テキストにウイルスのソースファイルが書いてあるような安全なファイルも
検出してしまいます。これは仕様ですか？

それに対するEwidoの開発者チームの一人　Peter Klapprodt氏の答え。

This is a little problem because we scan EVERY file and don't rely on
it's extension, so there's almost no secure way to determine what file
type it really is. I don't think this will change/improve soon.

近い将来、特定のファイルの除外(exclude)機能が付くことに期待しましょう。

失礼します。
当方普段はAVGというアンチウイルスソフトを使用しています。
最近自分のPCの調子が少しおかしいと思ってトレンドマイクロの
オンラインスキャンも試してみたら、
C:\Windows\system32\winsvc.exeというファイルから
BKDR_SDBOT.GENというファイルが見つかりました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_SDBOT.GEN

「SDBOT」はハッキングツールシリーズということで、これはまずいと思って
上記のサイトの通り削除しようと思ったのですが、winsvc.exeというレジストリ項目が
見つかりません。ファイルを削除して再起動してオンラインスキャンするとまた
見つかってしまいます。

OSはWinXPを使っています。
どなたか解決法をご存知ないでしょうか？よろしくお願いします。m(_ _)m

>>863
このスレッドは人がとても少ないね。w
sdbotは今現在agobotなどと並んでとても人気のあるbackdoorだけど。
接尾辞のGENというのはgeneric detectionという意味。
以下はSymantecの命名規則だけど、命名規則は基本的な部分では同じものだから。
ttp://www.symantec.co.jp/region/jp/sarcj/vnameinfo.html

もっと分かりやすい言葉でいうとgenというのはヒューリスティックの部分でsdbotを
見つけたということ。つまりトレンドのオンラインスキャンは定義ファイルには
完全にマッチしなかったけれど、sdbotの亜種ではないかと判断した訳だから、
リンク先のインストラクションに完全にマッチするとは限らない。

sdbotが悪意のあるプログラムの中で大きな特徴としてあるのは、
オープンソースの優秀なbackdoorであるということ。私も随分以前いろいろ弄ってみたけど、
だからオートマチックにdisinfectするのはとても難しい。

一番安全に処理するのなら、OSをリカバリーして、ハードディスクにあるパスワードと
名前の付くものはすべて変更すること。

もしどうしてもdisinfectしたいのなら、件名を「トロイスレの863です。」として
以下にメールください。色々ログを見なければどうにもなりませぬ。
submitmalwareアットhotmail.com（アットを@に変えて）

なんで人気のある、とか優秀なbackdoorとかの言い回し使うの？

人気のある＝たくさんの人のdisinfectするのを手伝っているから。

優秀な＝ソースコードを見て。作者氏とも何度も議論させてもらっているし。

おやすみなさい。^^

先日JS/Lamedon.Aと言うウィルスに感染しました
トロイと判定され、幾つかのファイルは駆除、
削除出来たのですが、system32内に[MSLib.dll]と言うファイルだけが
駆除できません、使用中とかで・・・
何とか駆除削除出来ないでしょうか？

使用環境は　XP　ソフトはMcAfeeです

セーフモードで起動すれば削除できるかもしれない

全然関係ないかもしれませんが悔しかったので書き込まさせてください。
『ノートン インターネットセキュリティー2004』を購入しインストールしましたが
何かパソコンの待機時間（マウスポインターが砂時計状態）が長くなってしまい
全然仕事にならなくなってしまいました。
そこで『シマンテック』のサポートセンターに問い合わせましたが直らなかったため
アドバイス通り仕方なくアンインストールし またインストールし直しました。
ところが この作業をしましたら当方のパソコンのＯＳの一部が破損されてしまい
結局初期化せざるを得ない状況となってしまいました。
大変な時間と手間の浪費に腹が立って仕方がありません。
今では『ウイルスセキュリティ2004』という違う会社のソフトを
インストールしていますがこちらは非常に快適です。
『シマンテック インターネットセキュリティー2004』によって
私のパソコンは破壊されてしまい商品を返品したく返金を要求しましても返事すら来ませんでした。
シマンテックサポートセンターに対して何度も同じ請求の問い合わせをしましたが全くの無視です。
私は今も怒りと悔しさで いっぱいです。
皆さんも同じような経験はありませんか？

>>869
マルチ( ・Д・)いってよち

(´ε｀*)

＞皆さんも同じような経験はありませんか？
スレ違いなカキコをマルチポストした経験はありませんし、今後もそのつもりはありません。

>>869
ソースネクスト様、お仕事お疲れ様です。
ところで、御社の「ウイルスセキュリティ2004」を購入しインストールしたことによって、
私のPCが再インストールせざるを終えなくなってしまったことへの、
賠償の件はどうなりましたでしょうか。

JS.Downloader.Trojanというのに感染したようです
治し方教えてください

ファイル消せばなおせるよ

最大の問題は窓のパッチ…>>869

>>875
それはどのようにやればいいのでしょうか？
すいません、初心者なもので

>>877
感染してるよ〜 って言われたファイルを削除。
できなきゃ、「ｾｰﾌﾓｰﾄ」ﾞでﾛｸﾞｲﾝしてから削除。
ﾊﾟｿｺﾝ起動したらF8連打でｾｰﾌﾓｰﾄﾞになるらしい。
どのファイルが感染してるのかわからないけど。

JS.Downloader.Trojan を検索すると対処方法が書かれたサイトが
一つや二つは検索されるから、それらを参考にするとよいぞ。

>>867
>>190

>>879
JS.Downloader.Trojan でググったらそれらしいサイトは出てきたんですが
英語表記なのでよく分からないんですよ
この手のウィルスを自力で治した経験のある方がいたら方法を教えてほしいです
ウィルスの症状としてはＩＥのスタートページと検索ページが強制的に書き換えられるのと
タスクバーに妙なアイコンが出るといった具合です

>>881
http://higaitaisaku.web.infoseek.co.jp/index.html

>>881
www.sex-true.com/mau/new.html
　【ウィルス名:JAVA_BYTVERIFY.A-1 or JS.Downloader.Trojan
　　IPアドレスが表示され、ActiveXをDLさせようとする

そもそもウィルスソフト入れてないんだろ？話にならない。
>>882のサイトすごく参考になると思うからよく読んで
メモでも取って再インストールしようよ。
真っ新から始めた方が気持ちもスッキリする。

訂正 アンチウィルスソフト

http://www.troy.jp/

loadnew.exeというファイルを削除したら攻撃がなくなった
giko navi にいくつか感染したファイルがあった

>>883
ノートンを入れてます
けどウィルススキャンしてもウィルスが発見されないのです
何かいい方法はないでしょうか？

>>887
ほかのソフトでウィルスだって言われたファイル手動で消せば良い

>>887
だから>>882のサイトを見ろよ

ttp://www.kaspersky.com/news.html?id=148515536

Kaspersky Labsは、マスメーリング機能（@mm)を持つAgentという名前のトロイの木馬を
定義ファイルに加えました。このAgentトロイは、ユーザーが画像フォーマットの一種、
BMPファイルを開くことで感染します。

Agentトロイは、MS Internet Explorer 5.0と5.5のバージョンに存在する脆弱性を利用して、
犠牲者が悪意を持って加工されたBMPファイルを開くことで、犠牲者のPC上で悪意のある
コードを実行することが出来ます。このIEの脆弱性は2004年２月16日に最初に発覚した
Windows2000のソースコードが漏洩したことに直接起因しています。

Agentトロイはロシア語バージョンのWin2000をターゲットにしており、他の言語のWindows2000
では動作しない。ただ近い将来この脆弱性を利用する多くのMalwareが登場するのは容易に
想像することができます。（全言語・バージョンのWindows,IEをターゲットにして）

今現在、Microsoftはこの脆弱性に対応するパッチをリリース出来ていない。
今現在、この問題からシステムを守る方法は、この悪意を持って加工されたBMPファイルを
検出することが出来るアンチウイルスソフトを常駐させておくことがとても重要である。
（Symantec,Kaspersky,McAfee,etc...)

・・・いろんなSecurity Forumで話合われていますね。

なるほど

それSSMで防げそうだな。

a2 up

Downloading Signature database 05/20/2004 ...
Several thousand new signatures

Downloading Signature database 05/21/2004 ...
4 new signatures

28755signatures

a2 up

Downloading Signature database 05/22/2004 ...
Few internal changes of the base database and some urgent updates

a2入れてみた。

Userのところって、もしかしてアドレス入れるのですか？

あと文字化けでaｲって表示される・・・。

>>895
languageファイル開いてaｲをa2に置換

>>896
私は>>895じゃないけどありがとう。
それにしてもaｲがいっぱいあるのにはびっくりした。
>>895
＞Userのところって、もしかしてアドレス入れるのですか？
はい。

ちなみにレジストリ内のaｲを含むキー名を変更することはNGです。
プログラムが起動しなくなります（やってみた俺は馬鹿？ｗ

>>898
GJ!!!

900

>>890
情報ありがと。
しかし、Windows2000のソースコードが盗まれたのが脆弱性が発見された原因て、
相変わらずマイクロソフトはひどい話やなぁ。
これでJPGウイルスなんて出てきたら本当に
(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙやね。

>>901
jpgでトロイ仕込まれるなんてIE使用者には既出じゃん

某セキュリティソフト再インストしてたら急にトロイ警告が増えた。

気になったんでラットラッカーで調べるとWingate、HttpProxyのところでログが出た。
でも最近エラーがくるのはShockRaveとNetBusなんだけど・・・。

とにかく引っかかった以上、Norton先生のスキャンかけたけどトロイは発見できず。
一応昔使ってた「ToRoI　Baster」いま常駐させてるけど。


こういうのってやっぱ専用ツール入れないと駆除できないですよね？

>>902
>jpgでトロイ仕込まれるなんてIE使用者には既出じゃん

私は901氏ではないけど、これはIEは拡張子が*.jpgであっても、中身がhtmlファイルで
あれば、htmlとして解釈する奇妙な癖があるということでしょうか？
（この場合*.jpgに限らず*.rmであろうと*.txtであろうと関係ないけど。）
私は今までに*.jpgで感染するトロイというのは見たことがないので。

最近でもIEの脆弱性を利用した、通称jpgトロイというのが話題になっていたけど。
ttp://addict3d.org/index.php?page=viewarticle&type=security&ID=885

このスレッドでも>>710さんがかなり早い段階で犠牲者になっているようですが。
この脆弱性の方が2chなどではずっと現実的に使えるのでしょうか。対策として考えるなら

1.そもそもIEを使わない。
2.IEを使うなら最低でもjava scriptやactive xの設定は切る。
3.「訪れただけで悪意のあるコードを実行するホームページの作り方。」なんてチュートリアルを
　いろいろ読めば、IEの脆弱性を利用するにせよ、Windowsの脆弱性を利用するにせよ、最後の
　悪意のあるコードを実行する段階でVBSスクリプトを使う場合がとても多いです。
　フリーでも沢山の優秀なAnti Malicious Script系のソフトがあるから導入すると、安全性は
　高まるのではないでしょうか。

>>903
それはきっとあなたのPCにトロイが仕込まれているとは関係ないと思う。

>>892
沢山のSSMユーザーが指摘してたけど
ttp://www.securitytracker.com/alerts/2004/Jan/1008843.html

上記からdemo exploitをダウンロードして
SSMでIEとWindows Explorerをブロックするルールを作って実験してみるときっと面白い。
世の中絶対大丈夫だということは無いかのかな。

>>904
ええと、それはつまりあくまで外からの攻撃ってことですか？

時々ToRoI　Basterが反応するんで心配です。

>>904
特定の実行ファイルがjpgを読み込みってことなので単独で動作する先のBMPのとは異なる。
ttp://www.sophos.co.jp/virusinfo/articles/perrun.html

>>906
>ええと、それはつまりあくまで外からの攻撃ってことですか？
普通に考えればそういうことではないですか。

>某セキュリティソフト再インストしてたら急にトロイ警告が増えた。
某セキュリティソフトが割れ物でもなければ通常それによってトロイが仕込まれる
ことはないでしょう？

それでも心配なら>>882さんなどが素晴らしいサイトを紹介してくれていますよ。

>>907
話がまったく噛み合わないけど、2002年6月14日 の話とはまったく別のものです。

>>904

<フリーでも沢山の優秀なAnti Malicious Script系のソフトがあるから導入すると、安全性は
<高まるのではないでしょうか。

たとえばどういうソフトがあるのですか？

>>909
Anti Malicious Script系のソフトはフリーで優秀なソフトはたくさんあるけど、私が使って
いるソフトなら。

【 　ｿﾌﾄ名 ..】Script Sentry
【 　機能 　 】Anti　Malicious Script
【 　 ﾘﾝｸ 　..】http://www.jasons-toolbox.com/scriptsentry.asp
【ｲﾝｽﾄｰﾗｰ 】あり
【　ﾚｼﾞｽﾄﾘ ..】ソフトの仕様上使う

Norton Anti VirusでいうところのScript Blockの機能に相当するソフト。
AVG Anti VirusやKaspersky Anti Virus LiteなどのようにScript Blockの
機能の搭載されていないAnti Virus　Softを使っている人にはAdd onと
して使うのはいいかも。標準で以下の拡張子を持つファイルで
（VBS, VBE, JS, JSE, WSH, WSF ,HTA, SHS, SHB, REG, DOC, XLS）
registryにアクセスしたりファイルを消去したりするような、悪意のある
プログラムに特徴的な動作を見せると、いったん動作を止めてユーザーに知らせてくれるソフト。

Script Sentryは常駐するといってもregistryにフックするという形をとるので、
リソース消費量がほとんど0%なので、Win9xの人も安心して導入することができる。
マクロウイルス対策にもなるし。評価の定まった素晴らしいソフトだと思うけど。
おやすみ。

http://e-words.jp/p/s-ranking.html
映画効果？で1位です

Ewido今日もアップデートがあってついに定義ファイルが４万(40158)を
超えたね。

Trojan.Win32.StartPage.ho
ってのに感染したんだけど、他にも感染した人居る？

Antidoteで
C:\WINDOWS\system.exe
C:\WINDOWS\System32\system32.dll
に感染、検出。Spybot 1.3 とAd-aware 6.0では
検出されず。

オンライントロイスキャンのサイト、最近やってないの？

フリーソフトを公開しているんだが
中国の人からwin32.troj.natali.a.214333発見という指摘をされました。
ノートンでは無反応ですし、検索しても中国サイトしかヒットしないのだが
詳細わかる方いらっしゃいますか？

ドウモ〜〜〜ッ！！お〜ｏ(⌒0⌒)ｏは〜♪ハジメマシテ〜〜〜ッ☆☆（*⌒ヮ⌒*）
私は２7歳のOLしてるのぉ〜〜〜っ♪（#⌒〇⌒#）キャハ
うーんとー、私メル友がすっごくすっごく欲しくってー、＼(⌒∇⌒)／
探してたら(◎_◎)なんσ(^_^)とっ！☆彡(ノ^^)ノ☆彡ヘ(^^ヘ)☆彡(ノ^^)ノ☆彡
素敵��(ﾟ□ﾟ；ハウッ！な掲示板♪を発見！！！！(^o^)//""" パチパチパチ
あやしい所��(ﾟ□ﾟ；ハウッ！とか…{{ (>_<;) }} ブルブルすごい数の掲示板がありますけど、
これ全部１人の方が管理して ＼(^o^)／ いるんですか？（＠＠；）すごすぎ …
てなわけで、ついついσ(^_^)書いちゃったＣ= Ｃ= Ｃ= Ｃ=┌（^ .^）┘ のらー(o^v^o) エヘヘφ(｀∇´)φカキコカキコ♪
メル友に、なってσ(^_^)くれるよねっ。(*^-^*)　お・ね・が・い♪(*￣・￣)ちゅ♪ッ
え？くれないのぉ〜？(;¬_¬)そんなのいやい♪（#⌒〇⌒#）キャハ や〜〜、ｶﾞ━━━(ﾟﾛﾟ)━━━ﾝ
なってくれなかったら、( ｀_)乂(_´ ) 勝負！ ＼(^o^)／
☆○（゜ο゜)ｏ ぱ〜んち、☆（゜o(○=（゜ο゜)ｏ バコ〜ン!!♪（#⌒〇⌒#）キャハ ( ﾟ▽ﾟ)=◯)`νﾟ)･;'パーンチ
（＞＿＜） いてっ！ダメ!! ゛o(≧◇≦*)oo(*≧◇≦)o″ダメ!!
素敵��(ﾟ□ﾟ；ハウッ！な掲示板♪ｶﾞ━━━(ﾟﾛﾟ)━━━ﾝ を発見！！！！(^o^)//""" パチパチパチ
(☆o☆)きゃ〜〜(@_@;)やられた〜〜(o_ _)o ドテッ　ガ━━（ﾟДﾟ;）━━ン！
(+_+) 気絶中。。。｡･ﾟﾟ･o(ｉДｉ)o･ﾟﾟ･｡うぇぇん <(゜ロ゜;)>ノォオオオオオ!!　��(ﾟ□ﾟ；ハウッ！
なあんて（#⌒▽⌒#）こんな♪（#⌒〇⌒#）キャハ 私っ！σ(^_^)だけど、（／／／▽／／／）
お友達σ(^_^)になってm(_ _)mくださいませませ♪('-'*)フフ　ﾄﾞｶﾞ━━━Σ(ll◎д◎ll)━━━━━ﾝ
ということで。(^-^)vじゃあね〜〜〜♪(⌒0⌒)／~~ ほんじゃo(゜▽゜ヽ)(/゜▽゜)o レッツゴー♪
それでは、今から他の掲示��(ﾟ□ﾟ；ハウッ！板も色々見てきまーすＣ= Ｃ= Ｃ= Ｃ=┌（^ .^）┘
（*＾-＾*）ﾉ~~ﾏﾀﾈｰ☆'.･*.･:★'.･*.･:☆'.･*.･:★

メルトモになってやるからアドレスさらしなさい。


以降、ネタにマジレスコピペはうざいので錦糸玉子

>>915
どのセキュリティーソフトを使ってwin32.troj.natali.a.214333が検出されたのか
分からないと答えようがないっしょ。

どのセキュリティーソフトを使っても誤検出は付き物だから、その中国の人が
使っているセキュリティーソフトに、誤検出だと言ってファイルを提出して貰えばいいじゃない。