Kerio Personal Firewall Rule18
システムセキュリティはデスクトップに置いたexeにはなんの効力も無いね。 起動禁止にしてるのに普通に起動出来る。 たぶん 「デスクトップ」 が全角だからだね。 バージョンは4.1.3、XP SP2 あと、山田ウイルスの一部にkerioの許可・不許可を尋ねるダイアログを勝手に 許可にする動作があるらしいので注意しる。 ASKは危険。 まぁkerioそのものを終了させられたらひとたまりも無いけど。。
俺はMario使ってるから問題ない。
強そうだな。
>>830 > システムセキュリティはデスクトップに置いたexeにはなんの効力も無いね。
> 起動禁止にしてるのに普通に起動出来る。
ちゃんと、起動を禁止できてるよ(Kerio v4.1.3, WindowsXP Pro SP2)
> あと、山田ウイルスの一部にkerioの許可・不許可を尋ねるダイアログを勝手に
> 許可にする動作があるらしいので注意しる。 ASKは危険。
リストに登録されていないプログラムの起動をDenyにする事は
出来なかったと思うんだが、どうだろう?
これがny厨クオリティ
>>833 >>830 じゃないが、
俺の環境だとシステムセキュリティに登録しても無視される。
PermitにしようがDenyにしようが、Askedのダイアログが出る。
ただ、ダイアログでPermitすれば起動するし、Denyすれば起動しない。
Kerio4.1.3 WindowsXP Home SP2
誰かMeiryoクレクレ
>山田ウイルスの一部にkerioの許可・不許可を尋ねるダイアログを勝手に許可にする動作がある らしい それは、許可するかしないか尋ねられたとき、許可するを選ぶとそんな動作をさせることは可能だ ろうが、1発目のウィルスが起動するときに尋ねるから大丈夫だろう。 デフォのままだと起動はすべて許可されるから、以降は他のタスクを勝手に動作させられるおそれ があって危険だけど、デフォのままで使ってるのは○心者かな。
838 :
837 :2005/06/21(火) 19:57:36
忘れてたが、
WinXP Pro SP2
kerio 4.1.3 (日本語化パッチあり)
で試したが
>>830 みたいな症状は出ず。
ちゃんと拒否してくれる。
もしかして、システムセキュリティの設定タブで、アプリケーションが実行される時が
自動的に実行を許可する(デフォ)
になってない?
ログイン時のガラガラを無効にする設定きぼんぬ。
ガラガラ?
俺用語発見
チョットワロタ
843 :
830 :2005/06/22(水) 01:58:01
>>833 >ちゃんと、起動を禁止できてるよ
それはあらかじめ起動の許可、不許可を登録しておいた状態で?
登録してない状態だとこちらでも正常に働く。 でも登録すると登録した通りにはならない。
これは
>>835 氏と同じ現象だね。
>リストに登録されていないプログラムの起動をDenyにする事は
これはどういう意味?? 話が見えない。
漏れが言いたいのは、山田が外部にアクセスしようとしたときに出る「permit」「Deny」の
選択ダイアログが山田によって勝手に「permit」を押され、それがkerioに登録されてしまう。
・・ということ。 kerioのコンフィグ見て青ざめたwwww
844 :
830 :2005/06/22(水) 02:05:41
>>837 感染する前に山田本体を初めて実行するときには許可、不許可が出るから大丈夫な
はずなんだよね。 漏れもそう思ってた。 アイコン偽装に騙されて他のアプリだと思って
うっかり許可したのかもorz WinRARにでも偽装してたのかな..
>デフォのままだと起動はすべて許可
もちろんデフォじゃない。 シスセキュのセッティングタブの3項目は全部「use〜」になってた。
・・て、俺が感染した本人だってバラしてんじゃんorz
高度な山田亜種が誕生してるってことか。
846 :
830 :2005/06/22(水) 03:16:37
あ・・ もしかしたら勝手に許可したのは山田じゃなくてkerio自身かも・・・
山田実行後に作成されたexeのパスが
C:\Documents and Settings\ユーザー名\デスクトッペ\yamada001.exe
だったから全角文字の穴を突かれた可能性が・・・
山田が2chかどっかに投稿しようとアクセスしようとしたときにkerioが勝手に
許可登録しちゃったのかも知れない。 そういえばyamada001.exeの起動を
許可するかどうかのダイアログも出なかった。
※ 「デスクトッペ」ってのは「デスクトップ」そっくりの異なる文字列。
正確にどうだったかは覚えてない。
※ yamada001.exeの許可、不許可を尋ねるダイアログが出なかったのは
>>830 の現象とは
違うな、やっぱ山田が許可させてるのかな?
この山田は [仁義なきキンタマ] 桶のデスクトップ に入ってた。
※ 「桶」 だったかどうかは自信が無い。 これに似た一文字。
847 :
830 :2005/06/22(水) 03:17:56
すまん、 [仁義なきキンタマ] 桶のドキュメント.zip ね。
× あ・・ もしかしたら勝手に許可したのは山田じゃなくてkerio自身かも・・・ ○ あ・・ もしかしたら勝手に許可したのは山田じゃなくて俺自身かも・・・
849 :
830 :2005/06/22(水) 05:03:13
さすがにそれはない。
Ny(w
851 :
830 :2005/06/22(水) 05:55:12
ちなみに俺はキンタマの感染者を発掘するためだけにnyやってる。 俺が見つけた被害者を2chに晒したらニュースになった。 2回も。 でもミイラ取りがミイラになった。 「君子危うきに近寄らず」だなやっぱ。
砂箱入れてないの?dllインジェクションでプロセスに介入されてるよきっと
言い訳見苦しいよな┐(´ー`)┌
855 :
830 :2005/06/22(水) 12:15:46
いや、正直動画なんか見ても面白くもなんともないから。 キンタマのほうがリアルで何倍も楽しいよ、自分のカキコがニュー速に コピペされまくったりするしね。 某ヤマイモサイトは漏れのカキコのコピペだらけw
856 :
830 :2005/06/22(水) 12:28:47
>>852 砂箱? 入れてない。 DLLの改ざんならされてたかも知れない。
もうPC初期化しちゃったから確かめる手段が無いけど。。
とりあえずOS改ざん対策としてnyは制限付きユーザーのDocumentフォルダに置いた。
こうすれば改ざんされる心配無かったんだよなorz
今、踏んじゃったキンタマをnyで探してるんだけどなかなかヒットしない。
ほとんど拡散してないキンタマだったらしい。 その日の日付の入ったSSが
あったし、桶(?)氏が感染したのは6月に入ってからだったし。
スキルのない馬鹿は放置
┐(´∇`)┌
2kやXPでこれ系のウイルスに引っかかる人って、普段から管理者権限で使ってるんだろうか。 必要な時以外、管理者権限でログインしないっていうのも立派なセキュリティだと思うんだけどな。
860 :
830 :2005/06/22(水) 12:57:30
デスクトップ上にある実行ファイルの制御がアレなのか他の奴も確認してくれ。 実行ファイルはJaneでも何でも良い。 1、登録済みアプリの起動 (シスセキュの動作確認) 2、ネットへ接続する際にpermit、denyのダイアログが出るかどうか。 勝手にルール作成されてないかどうか。 もしkerioがちゃんと動作してなかったとすればすごいセキュ穴だぞコレは。
俺普段からAdminで使ってる。 糞TVキャプソフトたったひとつのせいで…
862 :
830 :2005/06/22(水) 13:00:35
>>859 だね、今回のことで思い知ったよ。。。
今までは実行ファイルなんか踏むわけないと思ってたから全く気にしてなかった。
864 :
830 :2005/06/22(水) 13:02:40
>>860 やってみた。
Windows2000SP4日本語版。
サンプルはCPU-Z。
デスクトップに実行ファイルを移動させてダブルクリック。
ダイアログが出るところまではいつも通り。とりあえず起動を拒否するルールを作成。
そしてもう一度ダブルクリックすると、再度システムセキュリティの起動確認のダイアログが。
やっぱりマルチバイトパスは駄目っぽい。
>>865 サンクス。 やっぱルール通りにはいかないみたいだね。
こちらもwin98SEで試してみたらInternetへの接続をDeny登録してるアプリが
ASK扱いになってしまった。 しかもpermitを選んだら通信出来てしまった。
しかし未登録のアプリが勝手に登録されることは無かった。
867 :
830 :2005/06/22(水) 13:21:18
常時Adminなんて危険すぎるだろ。自分はUsersに所属させとけ。
869 :
名無しさん@お腹いっぱい。 :2005/06/22(水) 15:42:30
個人使用で普段は制限ユーザーにするなんて煩わしくない?
やらないよ。だからアフォななこともしない。
そもそもデスクトップやユーザドキュメントディレクトリをデフォの日本語名、 スペース入りで使ってる事自体がもはや異常。(゚∀゚)
デスクトッペ
>>872 半角カタカナだらけの文章を書いていること自体が異常。(゚∀゚)
デスクトップとかのディレクトリ変えてる人って多いの?
俺のチラシ 6月10日から久々に取得した 名前欄に数字が入っている奴がうざかった
aborn() if /\d/
ダウソ板の馬鹿どもよりも
>>830 のほうがよっぽどマトモなことを言ってる気がするんだが・・
>>875 OSの入ってるHDDと別のドライブに、デスクトップやドキュメントディレクトリを変更しておくと、
システムドライブがハードウェア不具合などで動作しなくなったときにデータの回収率は上がるよね。
もちろんその別のドライブ自身が壊れる可能性はアリエールけど。あと断片化しにくくなるかなぁ…とか。
変更してるユーザが多いかと問われると、たぶん自分も含む設定厨みたいな一部だと思うよm9(^Д^)プギャーーーッ
てにをはがおかしい奴ばっか
つよきす
俺用語ワロタ
883 :
名無しさん@お腹いっぱい。 :2005/06/22(水) 21:36:53
バッカユーばっかだなw
884 :
名無しさん@お腹いっぱい。 :2005/06/22(水) 21:52:32
最近、
>>876 みたいにチラシに書けと言われる前に
予防線張るのがたまに居るのはなんでだろう 臆病なのかな
>>872 それ以前にユーザードキュメントとやらを使うこと自体が無いだろう
>>885 1ユーザ/1PC なら確かにそのとおり、アプリケーション類が勝手に保存するもの以外、ユーザが
わざわざあそこに保存する必要もないかも。でも、複数人で扱う場合など、他ユーザファイルの可視・
不可視、権限云々が問題になるとか、ちょっと事情が変わってきたりすると、OSのデコで用意される
\Documents and Settings 配下のユーザディレクトリが便利といえば便利(新規ユーザ追加等)かな?と。
かなりスレ違いになってるし変更の手法とか気になるヤシはこのへん↓を参照してください(゚Д゚)
■ITmedia エンタープライズ:Windows Tips「Documents and Settingsフォルダの場所を変更する」
ttp://www.itmedia.co.jp/help/tips/windows/w0587.html
デスクトップのってshell32.dllが起動させるんだよな。 そのせいじゃね? 同じくshell32.dll使うまめfile4もkerioのシステムなんとかは効かなかった。 SSM使うからどうでもいいけど。
>>887 ただ単に2バイト文字にKerio4が対応してないだけ。
>>2 のテンプレにもちゃんと書いてある。
デスクトップは"デスクトップ"フォルダで管理してるから当然ダメ。
登録済みアプリケーションをフルパス表示にして、
一部でも文字化けしてたら、それはKerioには認識せず無視されるって事。
まめFile4は「まめFile4」ってディレクトリから実行されてないか?
kerioは2バイト文字に対応してると 思 う のだが。 デスクトップにexeファイルコピーして実行したら確認画面が出たから、拒否でルールを作ってみた。 そしてルールを見たら、 ・・・\デスハトップ\・・・ となってた。 直接設定ファイルをいじって デスハトップ を デスクトップ に直せばOKだと思う。 ただ、毎回毎回設定ファイルをいじるのがめんどい。
ファイラー使ってるならデスクトップに何かダウンロードして置いたりしないと思うんだが。
そんな時は、いじくるつくーるでデスクトップのパスを変えてしまう
これってウイルスが二バイト文字のフォルダ作ってそこにexe置かれたらkerioを 回避出来ちゃうってことだよな。。。。 kerioを使うこと自体がセキュリティ意識が低いということになってしまう。。。
なんでそうなるわけ? denyルール作っても毎回ダイアログが出るだけで、 実行許可を出さなければいいだけじゃん
そのダイアログを勝手にPermitにするウイルスが存在してるらしいのだが
winnyやってる人っていつもビクビクしてるねw だったらやらなきゃいいのにw
つーかデスクトップにファイルなんて置きませんから。
山田ウイルスだからWinnyは関係無いよ
精神構造は一緒だと思う
カカク.comの改竄事件みたいな方法で山田をインストさせられる可能性はあるから俺ら庶民も気をつけないとな。
三菱電機のパソコンから情報流出。原因はWinny。
>>893 マジかよ!! sygateに戻ろうかな.
なんかシステムセキュリティの起動許可の話題と ネットワークセキュリティの通信許可の話題がゴッチャになってるな。 Kerioのシステムセキュリティって、 起動前のウィルスに起動許可ダイアログを操作されちゃうほど貧弱なの?
そんなことありえない。
ただし、exeでないウイルスの場合は回避されてしまうかも知れないな。
>>903 俺の環境だと
DENYにしておくと、explore毎落ちてしまうか
すり抜けて起動してしまう
ルールが変更してしまう
直らない。
それと、spool32.exeはすり抜けて起動してしまうよ
kerioで補足さえできないよ
790 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:2005/06/23(木) 10:10:39 ID:+B1amAwz0
おまえら、nyやるなら専用機用意しないとヤバイぞ。
じゃなきゃny専用の制限付きユーザーを作ってこれのマイドキュメントにny置け。
でないといつか人生終わるよ。 「自分は大丈夫」と思ってるやつは特にね。
↑これ
>>830 ?
nyやってる時点で終わってる事に気づいてないようだな
バカヤロウ!矛と盾は競い合わすもんじゃねえ! あわせて両方使ってこそのもんだろが!! と、某島本の漫画でそんなことおっしゃっていましたよ
荒らすな
2byte文字だとネットワークセキュリティも通っちゃうの? 勝手に日本語パスに自身をコピーしてそこから実行しちゃうようなトロイとかに勝てる?
_ ∩ ( ゚∀゚)彡 RC3! RC3!!! ⊂彡
>>912 kerioが2のときはばぐっていたなぁ
メルコの無線LANかなんかのやつのexeが日本語で、引っかかった
まぁ、なんかどうでもいい通信するexeファイルを試しに日本語にリネームして動かしてみれ
Ftpクライアントとか
JaneDoeView (050622)で実験 System Security 〜\デスクトップ\DoeView050622\Jane2ch.exe deny、permitどっちに設定しても動作はask状態、JaneView実行の度にどうするかきいてくる C:\DoeView050622\ビュー.exe deny→〜アクセスは拒否されました C:\自衛ん\ビュー.exe deny→〜アクセスは拒否されました C:\自衛ん\\Jane2ch.exe deny→〜アクセスは拒否されました Network Security C:\自衛ん\ビュー.exe TCP/Remote:HTTP/outgoing/deny → JaneViewは通信中からエラー、遮断されてる模様
こんな身近なところに脆弱性が
デスクトップ の中には %4E が含まれてるんだけどそのせい??
山田にPermit押す機能があるのは確定的っぽいな。
チャットで他のkerioユーザーも同じこと言ってたよ。
>>830 とは別人のな。
いまいち信用できない
だからさ、その「山田のPermitを押す機能」ってのは ネットワークセキュリティの通信許可ダイアログなのか、 システムセキュリティの起動許可ダイアログなのか、その両方なのかハッキリしてくれ。
気にすんな。
922 :
本名山田 :2005/06/24(金) 14:18:37
うっせーんだよ!厨房は勝手に素通りされて恥かいて死ね!
924 :
923 :2005/06/24(金) 14:22:22
すまん、915は山田と関係なかった ∧||∧ ( ⌒ ヽ ∪ ノ ∪∪
>>922 やーいウイルスウイルス
にげろー やまだウイルスが うつるぞー
両方・・・起動する前にどうやってPermit押してるんだろう
起動してからの話でしょ?
Kerioのaskには2種類あって、 A アプリ立ち上げの許可/不許可 B アプリの通信の許可/不許可 Aのほうで不許可にするとアプリ起動しないんだけど、 そもそもそのウィルス起動するときにaskしてきてるのに、 もしそのダイアログも勝手に許可押されるなら、それはどうやってるんだろうって話でつか?
アイコン偽装に惑わされてaskでpermit押しちゃうんじゃない?
Kerio使いには馬鹿が多すぎるな
>>929 そう、それ。
ウィルス起動前なのにpermit押せるわけがない。
押せるとしたら、既に別のウィルスが起動しててそいつが押してるか、
Kerioのアプリ起動制御システムに穴がある。
ああ、そういえばOS起動時はスルーすることがあるらしいね、シスセキュ。
アプリ立ち上げ許可を押してしまった場合 アプリの通信ルールが書いてるファイルに 自分の通信許可のルールを追加すれば通信はできるんじゃない?
解凍ソフトの脆弱性+スタートアップ+kerioのOS起動時スルー + 山田のpermit名古屋打ち | | (´・ω・) カワイソス
というか、kerioってかなり最初のうちに起動してない? ログインの画面でアラートが出てきたことあるけど。
XPでサービス起動を待たずに自動ログオンする設定にしてると 結構危険かも。
cnetの記事で445番のポートスキャンが増えてるってさおきおつけあそばせ
普通に起動してると気付かなかったが、ログオフしてからログオンすると、起動しようとしている プログラムを検出することがある。 ∴kerioが一番最初に動いてるようで動いてない。(起動に時間がかかるが、ログオフしてからログ オンすると、核の部分の読込みがない分、早い) ちなみに、俺は自動ログオンユーザー
2の時色々あったんでSystemSecurityなど使わんがな FWとしてちゃんと動いてくれればええよ
>>940 > 起動しようとしているプログラムを検出することがある。
って、kerioがそのプログラムを検出するってことか?
それを理由に
> kerioが一番最初に動いてるようで動いてない
にはならないんじゃ?
943 :
940 :2005/06/24(金) 21:15:00
>>942 既にルールを作ってしまったため、ソフト名は忘れた。
今試してみた。
そしたら、1か月ほど前に入れたMOのイジェクトツール(常駐ソフト)
Logitec イジェクトコントローラ
を検知して確認画面がでてきた。
そのツールを入れてから、毎日最低1回はPCの電源をONにしてるけど、一度も検知したこ
とはなかった。
ログオフしてログオンすると、タスクトレイには、既に
Kerio Personal Firewall - Runnning
となっていて、動作していた。
たまには、ログオフ→ログオンをする必要があるかな?
944 :
940 :2005/06/24(金) 21:18:07
つまり、マルチタスクの弊害というかなんというか。 kerioが完全に動作するまでに時間がかかるから、その間に小さいソフトは動いてしまう。
945 :
940 :2005/06/24(金) 21:20:43
>>938 ということは、ログオン画面で処理が終わるまでしばらく待った方が良さげ?
947 :
940 :2005/06/24(金) 21:28:33
俺は
>>938 ではないが、そんなに神経質になる必要もないと思う。
時々でいいんじゃないかな?
ま、簡単に言うと穴はあるってことだ。 Kerioさん。頑張れ。
そういや、4.2からはbehavior blockingに名前変えたんだっけ?
>>950 そう。
一発で開けなくなって、操作性悪化。
タブにしてくれるといいのだが
>>949 のリンク先を見たけど、4.1.3で直ってると書かれてるが、俺の英語力が足りねーのか、
それとも俺には読めない文字が書かれてるのか
KERIOは、やめたほうが、良い。
Kerioは穴だらけ〜
やっぱOutpost2.7だよな。
FWのAny other applicationのInternet IN、OUT は両方ともバツにしておいたほうがいいね。
あとパケットフィルタでInternet IN TCPport80 Remote=ANY もバツにしておいたほうがいい。 これはポート変えられたら意味無いけどやっておくにこしたことはない。
959 :
名無しさん@お腹いっぱい。 :2005/06/25(土) 09:32:58
>>958 Port80のINはルーターで排除してる。
>>949 Secuniaが参照した元ネタ(Original Advisory)をみると
In order to exploit this vulnerability, an attacker must first convince the user to execute
a malicious program as Administrator.
This vulnerability affects only the execution protection feature of KPF4,
the firewall feature of KPF4 remains intact.
だってさ。
ttp://www.security.org.sg/vuln/kerio4016.html
英語わかんね
攻撃者は、この脆弱性を利用するために、最初に、 Administratorとして不正プログラムを実行するんだとさ
その最初に実行させるプログラムについては警告出るんじゃ…?
スタートアップに放り込まれたら出ないよ
967 :
830 :2005/06/25(土) 14:38:54
山田相手だとkerioは暖簾みたいなものだよ。
KERIOから、何へ乗り換える?
969 :
名無しさん@お腹いっぱい。 :2005/06/25(土) 14:44:59
自分で実行しておいて何が暖簾だ笑わせるな
970 :
名無しさん@お腹いっぱい。 :2005/06/25(土) 15:18:50
ま、山田踏まなけりゃ無問題 2000だからフォルダ偽装も無いし
ごめんさげ
まだいたのかw >830
973 :
830 :2005/06/25(土) 16:03:51
え、俺は去年の始めからここにいるけど。。。?
974 :
名無しさん@お腹いっぱい。 :2005/06/25(土) 17:01:06
まだいたのかw >山田
976 :
830 :2005/06/25(土) 17:58:57
え、俺は鈴木だけど。。。?
すげーつまんねー流れだな
978 :
830 :2005/06/25(土) 18:18:42
いやぁ、照れるな。。。
山田君、830のざぶとん、全部もってけ!!
このスレにも荒らしが増えたな ほとんど同じやつの自演だろうけど・・・
エッ、そなの 気づかんうちに、すまん事した
830がコテハンの荒らしだってことを知らない奴はモグリ。 前スレ見てみろ。
前スレ 464 681
粘着基地外か
986 :
名無しさん@お腹いっぱい。 :2005/06/25(土) 21:13:43
KERIO4をテンプレのをいれました。ウインドウズサービスパック2の アンチウイルスのところをみるとファイヤーウォールのところにはKERIO が機能していると書かれているのに、アンチウイルスのところには 何も書かれていませんでした。 これでKERIOのアンチウイルスソフトは作動しているんですか?作動しているか みるためにはどこをみるとわかりますか?
987 :
名無しさん@お腹いっぱい。 :2005/06/25(土) 21:24:49
988 :
名無しさん@お腹いっぱい。 :2005/06/26(日) 00:12:21
ぱーそなるふぁいあーうぉーる
ふぁいなるあぷろーち
次スレは?
楳
アチュイ
アチュイヨウ
_ ∩ ( ゚∀゚)彡 Kerio!! Kerio!!! ⊂彡
_ , ― 、 ,−' `  ̄ヽ_ ,' ____ ヽ ( /_二__\ ) _ ( ノ_`ー'ー_'ヽ ̄ ) ( \ , '( ノ_l レ , _( ) ヽ・ 。) )人 ( 〉 / ( ) ー \( ( ) ,`ー'l ( _ ) ( ノ \ \ )ノ 、 ''ニ` 、 イー' <つ ヽノ⌒ヽ 、二ノ / <∋ | ー― <
┏┓┏━━┓┏━━┓┏━━┓ ``). ..┃┃┃┏┓┃┃┏┓┃┃┏┓┃ モルアァァァァァッツ!!! ドケドケドケェェー!!! ;;`)⌒ ..┃┃┃┗┛┃┃┗┛┃┃┗┛┃ ( `Д)モウイッチョダー!!! ;;;⌒`)... ┗┛┗━━┛┗━━┛┗━━┛─□( ヽ┐U ギュゴコゴコココ ;;⌒`)⌒`).◎ ◎ ◎ ◎ ◎ ◎ ◎ ◎−ミ┘◎
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。