GENOウイルススレ　★2

>>300
フラッシュのサイトの右側のFAQをクリック。
webプレイヤーの動作検証サイト、をクリックする。
aboutにカーソルを持って行く。

これでわかるよ。

>>299
スパムメールでウイルスサイトへ誘導→スパイウェアを仕込む→FTP操作で改竄JSを置く

>>301
すごく丁寧にｱﾘｶﾞﾄｺﾞｻﾞﾏｽ

Version 10.0.12.36 でした

これだけやっかいなウイルスなのにニュースサイトではほとんど騒がれていないな
やっぱり大手サイトが感染しないと話題にならないのかね

自動増殖するタイプじゃないと、どこもまともに対処しないのな。
悪質性はかなりのものだと思うんだが。

会社のPCなんて未だに古いAcrobatReader使ってやがるし、いつ感染してもおかしくない状態。
バージョンアップしろってつっついても、Windowsもウイルス対策ソフトも最新だからと知らん顔。
業務用バスターがそんなに信用できるとは知らなかった。

>>303
Reader、Flashとも最新版でないようなので不安なところだ。
>>96 のウイルス入りPDFならF-Secureが対応済みなので大丈夫だろう。
u2.exeはスルーなのでFlashから感染してるかもだ。
↓とりあえず最新版リンク。

Adobe Reader 9.1
ttp://get.adobe.com/jp/reader/
Adobe Reader 7.1.1 Update - Multiple Languages
ttp://www.adobe.com/support/downloads/detail.jsp?ftpID=4363
Adobe Flash Player 10.0.22.87
ttp://get.adobe.com/jp/flashplayer/

>>305
無知な人に説明してもラチがあかないんだよな

524 名前：名無しさん[sage] 投稿日：2009/04/13(月) 11:07:30 0 (PC)
ウェンディーツアーって旅行会社のHPにマルウェアサイトへリダイレクトさせるやつが仕込まれてる模様
GENOと関係あるのかな

526 名前：名無しさん[sage] 投稿日：2009/04/13(月) 11:08:57 0 (PC)
>>524
見てみた
ネットワークシールド： マルウェアサイト online2163.com/def1/index.phpへの接続を遮断しました
Google先生でもonline〜ってサイトは損害〜になってる

527 名前：名無しさん[sage] 投稿日：2009/04/13(月) 11:11:55 0 (PC)
>>524
そのサイトの全ページがなってるっぽい

現地のツアー会社みたいだな
日本人スタッフはいるみたいだけど

commandがOKでcmdがダメなPCがあったから、何かと思ったら、これか…。

ウイルスなんてチェルノブイリ以来だからｗｋｔｋしてたのに…。
a-squaredでチェックしたら普通に削除できてしまった。

まだ潜伏もあるかもしれんから、再インスココースだったけど、1台はしばらく保留にしてみる。

そんなものですむわけがありません

このウイルス不発してんじゃね？

感染したあとに何をしでかすのか結局よく分からん
ラトビアだかロシアだかにどんなデータを送信してるのかもわからんし
解析って時間がかかるもんだな

どっかのウイルス対策ソフトベンダーは発見から15分以内に解析が終わるとか言ってた気ガス

アクセスする度に違う物がロードされて来るのに解析出来る訳がない

対策ソフトが役に立たないとなればどうすればいいのだろう
お手上げではないか

どこで感染するかわからない
感染したら何をされるかもわからない

XP豚涙拭けよ？

Vistaでも設定しだいでは感染できるだろこれ
変に高速化とかしてるとやばそう

>>317
既知の問題を利用した感染とされているから
Adobe ReaderとAdobe Flash Player
を最新にしておけばいいのではないだろうか

とりあえずPGでラトビアとロシアを
弾いてみるのはどうだろう

まだ治んないの？
なんというザルショップｗ

ラトビアからロードされるコードは「現状では」pdfとswfの脆弱性をついているが、
中の人が気まぐれで別の攻撃コードに変えてくる可能性もある。
万全を期すなら、使用しているブラウザと、ブラウザに入っているプラグインを全て最新にしておいた方がいいかもしれない。

Flash10は重いからFlash9の「9r159」を使ってる
お前らはどうしてる？

感染してるし・・・最悪ー

>>325
同じだ、10だとブラウザ固まる

AMD64交互CPU+WindowsXPsp2/sp3の組み合わせはロードしてもコード実行しないね
vistaも

IntelのCPUはチップセット次第なのでハードウェアレベルでの対応は怪しげ
i7系は多分大丈夫

VISTAのYESマン仕様は危険。

もう下火だね

ねぇ…相談なんだけど、修理に5万かかるって言われたらどうする？5年程前に買ったpcだからもういっそミニノート型でXPにしようかなと思うんだけどもみんなならどうする？

先日別スレでBart'sPE修復したものですが。。。
サイトの感染経路が判明しました。

どうやらこのウイルス、感染すると自分のアクセスしたFTPに
勝手にログインして、ファイルを改ざんする模様です。
うちのサイトもいくつかやられました。。。

サイト公開してるみなさんも十分注意してください。

>>332
修理内容が分からなきゃ答えようがない

>>333
それが事実ならGENOの鯖は阿部が感染してFTP経由？
犯人は阿部かｗ

>>335
おそらくその通りだとおもわれます。
うちの鯖はローカル以外アクセスできない設定なんですが、
それでも改ざんされてたので、感染したPCから書き換えたようです。

左下から秒針のような音がし出してさｱﾊﾊブルースクリーンになったら5万コースだよ気をつけて。ここの人は色々詳しいからここまで被害受ける人はいないだろうけど。携帯から文字打つって大変だねｱﾊﾊ

どうりでくそ対応なわけだ
阿部も社長に言えないってか？ｗｗｗ
誰か社長に教えてやれよ

http://torrent-finder.com/

このトレントサーチで検索かけたとたん、AVASTがJSにトロイ！
とか言って警告きたんですが、
これもそういう類ですか？

最近、WEBが怖いです(´・ω・｀)

>335の証言は決定的だな
阿部、自首しろよ
店は残れるかもよ

あっ、ごめんなさいできないピーターパン症候群阿部に自首は�_かｗ

あ、レスきてる。人って優しいねｱﾊﾊハードが壊されちゃったみたい。みんななら何買う？ｱﾊﾊ色々調べたいけど携帯だからさ。見にくいわ表示されないわでさｱﾊﾊﾊﾊ

>>341
左下がどこかわからないし、あなたにはだれもレスしていませんでした
携帯だって改行くらいできるよ
たぶんデータ飛んでるだろうし新しいPC買ったほうがマシだよ

あげ

>>341
まずは飯喰って風呂入って寝ろ
話は翌朝だ

携帯から2chなんて初めてなんで
ごめんね。
ネカフェ行きます…

ウザっ

修理依頼なんて頼むレベルじゃ自力で直せないのは明白
つか修理頼んでもリカバリされてクリーンインスコ状態だ
諦めて新しいPC買え

まあ5万円あれば5年前のパソコンより高性能なPCは買えるわな

345がPCからよりJK携帯のが上な予感ｗ

>>333
ローカルLAN内PCヤバイ予感

最初に適当な（もしくは自分で用意した？）サイトに罠を仕掛けて
スパムメールなどで誘導、そこにアクセスさせて感染させる
感染するとそのPCがFTPへ接続するのを監視し、パスを盗んで勝手にログイン、
そこのファイルも改ざんして、アクセスしてくる新たな獲物を待つ…って感じ？

5万出すならそこそこ良いのが代えるだろ。
3Dゲームやるならちと足りないが。
持ち運ばないならミニノートじゃなくてHPの4万の奴当たりがいいんじゃね?
デスクトップならHPでもDELLでも3万から有るしな。

ミイラ取りがミイラにってやつですねわかりました

何件か改ざんされたサイトあったけど
研音とか微妙なんだよね、スパムで釣ったなら
ただ、サイト管理者が興味持ちそうな系のなのかな
あくまでも仮定の検証

もう話すことないから書きこまないで落とそうか

流れ切ってスマンが質問(´Д｀;)
噂だとsystem volume information内にもウイルスが入り込むようだけど
HDDをフォーマットあるいはパーティションの削除すればsystem volume informationフォルダもクリアされる？

このウイルスに感染したようなので、クリーンインスコする前に増設したHDD3台の処理に対する質問です

>>355
社員乙

>>355
安心しろニュー速スレ立ったからｗ

GENOウイルス　鯖管理者のPCがウイルス感染の可能性　お詫びは削除
http://tsushima.2ch.net/test/read.cgi/news/1239626557/l50

社員ここ見てるんでしょ？
それでこの対応とかってｱﾘｴﾅｲ
こういう店使ってる人は並行してｗｅｂ見てるだろうし
売り上げの事や今後の事を考えないんだろうか
ｱﾎでもひっかからない火消しばっかで効果あると思ってんの？

そうかそうか、阿部ちゃん自身が引っかかっちゃったのか
そりゃ火消しに必死になる罠
上司（経営者？）には上手いこと誤魔化して説明したんだろうな

>>356
スルーされててｶﾜｲｿｽｗ
その認識でおｋ

>>361
レスありがとう！
普通にスルーされてて悲しかった(´Д｀;)
この認識で良いのですね
これで安心してクリーンインスコできます。

なんか予想通りの展開になってきたなｗ

げげげー、GENOから宣伝メールが来た
もうウイルスは取れたのか？

怖くて踏めねえ・・・・・

ウイルスはメールに添付されてます

不正アクセスじゃなくて自分から貰いにいって
それが悪さしたってことなのね

（メルマガより抜粋）

＞ジェノラーの皆様――お久しぶりです。
＞いろいろな意味を込め、今回だけは、ぜひやらせて下さい!!


…だそうです、マジ怖くて踏めない
つーか、このメールも受信して大丈夫なんかいな？

>>368
マジこえーよ
もう受信しちまったよ・・・
迷惑メール判定させておくか・・・

ジェノラー(笑)

退会不可ってほんと？ｗ

メール開封確認ってIPアドレス送るのかな

もうインターネットは信用できねえ

迷惑メール判定しました。

>>367
恐らくそーいう事。

阿部とやらに自白させて
どこのサイトを踏んで食らったのかを聞き出すのが
一番の近道かもしれないな。

さもなければ、今回感染したサイトの各管理担当者なんかにも。
それがこれ以上の感染被害を食い止める最善の道。

殆どエイズみたいな感じだな。こうなったら。

GENOと阿部はエイズで感染者はHIVカワイソス

GENO　阿部と検索しまくって候補に入れちゃえYO

>>375
ということは感染源さえ特定できて、近づかないように警告されれば
無差別にバラ撒かれまくるってことにはならないんだね
結局、セキュリティ管理の甘さが招いた失態ってことか

ν速にスレ立った模様。
http://tsushima.2ch.net/test/read.cgi/news/1239626557/l50

>>379
>>358

>>378
それは感染したサイトの管理者が感染サイトを逐一適切に修正した上で、
自らのPCもちゃんとクリンインスコかリカバリを適切に行って
完全にウィルスフリーな体になってくれればって事が大前提だけどね。

いずれにしても、このウィルスは結局目に見える部分はAcrobatRasderとFlashの脆弱性を突いて、
それとは別に、恐らくログイン成功したFTPアカウントとバスワードを送出するキーロガーが仕込まれるのかと。
で、もしかすると、このキーロガーにJavascript書き換え機能が埋め込まれているのかも知れないけど、
そこまでは現段階では何とも言えないな。
人力でクラッカーが入ってきている可能性も十分ある。
イントラのFTP鯖でも感染したケースが発生すれば、キーロガーにJavascript書き換え機能内蔵だと思うけど。

いずれにしてもそれなら感染してまた増殖する部分の流れが一致して、すんなりと腑に落ちるよね。

とにかく、この種の商用サイト管理者以外でも、ブログや無料Web鯖、レン鯖等、
FTPでもログイン出来ちゃう鯖に日頃からログインしまくってる人は本当に注意しないと。

でもお詫びには
外部からアクセスされた形跡ありっていわれてたよな。

イントラのＦＴＰ鯖感染での、Javasctipr書き換えだと
嘘のお詫び発表したのか。

>>381
>>336

>>383
見落としてたわｗ

となると、Javascript書き換え機能内蔵キーロガーか。
これ、マジで凶悪杉だろｗ

なんかこれの改変が流行りそうな悪寒がする。

＞4月4日、4月7日に当社のwebサイトに外部より不正アクセスが有り、
＞一部のプログラムに不具合が生じ、当社のHP以外のページへリンクされる状態が
＞発生しました。ご迷惑をおかけしまことに申し訳ございません。
＞現在は外部からのアクセスができないように対処いたしました。
＞現在すべてのプログラムは正常となっております。

4日、7日に不正アクセス
プログラムに不具合が生じ

このプログラムがJavascriptの事なのか、
それとも、GENO鯖ウイルス感染の事なのか　わからないから怖いな。

てか、ヘッダ部分でインクルードしてた
書き換えたJavascriptのファイル名とかも
感染サイトによってまちまちで一致していないんじゃなかったっけ？

凶悪過ぎるｗ

スパムメールか　エロサイト巡りか　出会い系の宣伝か
違法コピー・クラック系のファイルに紛れ込んでいたか
本人しか知らないけど、とにかく業務用サーバ、もしくはそれに繋いでいるPCで
業務に関係ない行為をしてしまったのが原因というわけだ
セキュリティの基本っつーか、非常にありがちな感染経路だったんだな

83 ： マーガレット(中部地方)：2009/04/13(月) 23:25:49.13 ID:hizGX0Z7
63 ヒマラヤユキノシタ(コネチカット州)[] 2009/04/06(月) 00:38:17.10 ID:8fz7e8f5
短縮貼った奴も同罪な
ああマジどうすんだよ

995 ヒマラヤユキノシタ(コネチカット州)[] 2009/04/06(月) 09:53:37.05 ID:8fz7e8f5
会社のPCでZIP落としてるのばれた。
本当に死にたい。

10 ヒマラヤユキノシタ(コネチカット州)[] 2009/04/06(月) 10:04:30.21 ID:8fz7e8f5
GENOよりも短縮貼った奴が許せない

144 ケンタウレア・モンタナ(コネチカット州)[] 2009/04/06(月) 10:55:46.05 ID:8fz7e8f5
自宅謹慎になったわ


88 ： トリアシスミレ(catv?)：2009/04/13(月) 23:31:48.63 ID:fKROZ1lj
自宅謹慎が阿部なら社長も知ってるな

＞とにかく業務用サーバ、もしくはそれに繋いでいるPCで
＞業務に関係ない行為をしてしまったのが原因というわけだ

P2Pの流出騒ぎも全部これだよな
なんで仕事PCなんぞでそんな危険なことするんだろうか
まぁなにしてたのかは知らないけど
私用と分けることがそんなに困難なのか？

>>385
不正アクセスじゃないじゃん

嘘吐き過ぎる

>>387
恐らくこれはどこかのサイトで食らったのが原因だと思うよ。これ。

結局、誰もアクセスしないレベルの個人サイトでも本当は結構感染してて見過ごされているだけって事で、
以前においらがあてずっぽで言った添付ファイル付きスパムメールからの感染じゃなくて、
どこか感染源のサイトを踏んで別883氏と同じ感じで自分の管理する鯖を感染させたってだけかと。

基本中の基本も知らない素人が
ECサイトの管理を行ってた事に起因する悲劇だわな。

原因を作った担当者は半年間の50%減俸処分相当って感じだな。これ。
懲戒解雇されても文句言えないレベル。

>>388
社長も知ってるなってどういう意味?

懲戒免職されないのは恩赦だな
他に管理者居ないのかよ

>>390
不正アクセス　も　あったのかもしれない

>>392
誰が処分するのか考えよう

>>395　なるｗ　現場だけで対処したわけじゃないといいたいのか。ありり
知らないとは言わせないねｗ

ネットショップのサーバに外から入って来るデータって注文情報だけでしょ？
それとカード会社からの情報や…メールサーバも兼ねている所も多いのかな
どちらにせよ、そのPCでネットサーフィンしちゃダメなんじゃね？

>>333
自分のPCがどこで感染したのか、心当たりはあるの？

>>397
うん。
とっととクリーンインストールかちゃんとリカバリしないと駄目。

てか、今のところ、この無駄に高機能なキーロガーがしでかすとほぼ判明した事が
FTPログイン & Javascript書き換えってだけで、
他にもなにか悪さする可能性も十分に有りうるよ。

鯖側の顧客情報流出だけじゃなくて、
キーロガーが潜んだままでPCを使い続けると、
どこかのサイトで入力したIDパスワードが入力した都度流出したり、
カード情報等も流出する可能性も現段階では十分有りうると思うよ。

エリート権限って響きに勘違いしちゃったんだろｗ