GENOウイルススレ 感染3台目
at INTERNET
1:192.168.0.774
09/05/19 17:22:45 YZkv6Zhr0
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD
感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
URLリンク(anubis.iseclab.org)
★GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
★このサイトは諸事情により内容を書き換え
URLリンク(www3.atword.jp)
前スレ
GENOウイルススレ 感染2台目
スレリンク(internet板)
2:192.168.0.774
09/05/19 17:23:44 YZkv6Zhr0
感染予防対策
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
3:192.168.0.774
09/05/19 17:24:26 YZkv6Zhr0
【感染の確認方法】
@cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」と入力して「OK」ボタンを押す。
※立ち上がったことを確認したら弄らず閉じること。
3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
※立ち上がったことを確認したらAへ
Asqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
Bavast!(無料のアンチウイルスソフト)で確認
7 名前:192.168.0.774[] 投稿日:2009/05/18(月) 16:12:22 ID:wsKEiiw60
【感染の確認方法】■ Windows XP(5月18日現在)
1 C:\WINDOWS\system32\sqlsodbc.chmを開いて壊れていたら感染濃厚
2 ↑のファイルサイズを確認する
正常値 日本語版ヘルプ 50,727 bytes
英語版ヘルプ 46133
ドイツ語ヘルプ 48401
フランス語ヘルプ 49345
スペイン語ヘルプ 48475
改竄されたsqlsodbc.chmの一例
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
:
4:192.168.0.774
09/05/19 17:25:18 YZkv6Zhr0
Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。
初心者や質問がある方は
スレリンク(doujin板)
上記のスレに行くと優しく教えてくれるかもです
Adobe Flash Player バージョンテスト
URLリンク(www.adobe.com)
改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
正常な場合50,727バイト(日本語)です。
5:192.168.0.774
09/05/19 17:25:48 yKfFYkBT0
GENOウィルス・質問掲示板
URLリンク(www1.atchs.jp)
6:192.168.0.774
09/05/19 17:26:31 YZkv6Zhr0
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
URLリンク(www3.atword.jp)
7:192.168.0.774
09/05/19 17:28:02 YZkv6Zhr0
以下攻撃されたサイト
小林製薬
URLリンク(www.kobayashi.co.jp)
国内の正規サイト改ざん:攻撃サイトを変え再襲来
URLリンク(www.so-net.ne.jp)
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
8:192.168.0.774
09/05/19 17:29:04 XFldsOfqP
764 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 12:20:44 ID:BfeDPikc0
>>463の書式が統一されていなかったのでやってみた
58.65.232.0 - 58.65.239.255 58.65.232.0/21
61.139.0.0 - 61.139.127.255 61.139.0.0/17
61.219.39.0 - 61.219.39.255 61.219.39.0/24
61.235.117.0 - 61.235.117.255 61.235.117.0/24
61.237.236.0 - 61.237.236.255 61.237.236.0/24
63.146.2.0 - 63.146.2.255 63.146.2.0/24
69.46.0.0 - 69.46.31.255 69.46.0.0/19
74.220.215.0-74.220.215.255 74.220.215.0/24
78.109.16.0 - 78.109.31.255 78.109.16.0/20
78.159.112.0 - 78.159.115.255 78.159.112.0/22
82.146.48.0 - 82.146.55.255 82.146.48.0/21
83.68.16.0 - 83.68.16.255 83.68.16.0/24
85.12.43.0 - 85.12.43.255 85.12.43.0/24
85.14.6.0 - 85.14.6.255 85.14.6.0/24
85.17.0.0 - 85.17.255.255 85.17.0.0/16
85.214.90.0 - 85.214.90.255 85.214.90.0/24
91.211.64.0 - 91.211.65.255 91.211.64.0/23
91.212.41.0 - 91.212.41.255 91.212.41.0/24
91.212.65.0 - 91.212.65.255 91.212.65.0/24
91.212.41.0- 91.212.41.255 91.212.41.0/24
91.212.41.0 - 91.212.41.255 91.212.41.0/24
94.232.248.0 - 94.232.255.255 94.232.248.0/21
94.229.64.0 - 94.229.79.255 94.229.64.0/20
94.247.2.0 - 94.247.3.255 94.247.2.0/23
194.165.4.0 - 194.165.5.255 194.165.4.0/23
195.2.252.0 - 195.2.253.255 195.2.252.0/23
195.216.160.0 - 195.216.191.255 195.216.160.0/19
206.44.0.0 - 206.44.255.255 206.44.0.0/16
209.44.100.0 - 209.44.100.255 209.44.100.0/24
209.44.126.0 - 209.44.126.255 209.44.126.0/24
209.62.7.0 - 209.62.7.255 209.62.7.0/24
209.102.247.0 - 209.102.247.255 209.102.247.0/24
209.250.241.0 - 209.250.241.255 209.250.241.0/24
209.205.192.0 - 209.205.223.255 209.205.192.0/19
209.205.224.0 - 209.205.239.255 209.205.224.0/20
211.90.0.0 - 211.97.255.255 211.90.0.0/15 & 211.92.0.0/14 & 211.96.0.0/15
213.182.192.0 - 213.182.223.255 213.182.192.0/19
218.90.0.0 - 218.94.255.255 218.90.0.0/15 & 218.92.0.0/15 & 218.94.0.0/16
78.159.112.0 - 78.159.115.255 78.159.112.0/22
221.5.0.0 - 221.5.127.255 221.5.0.0/17
91.212.41.0 - 91.212.41.255 91.212.41.0/24
95.129.144.0 - 95.129.144.255 95.129.144.0/24
95.129.145.0 - 95.129.145.255 95.129.145.0/24
メモ帳でタブ等に置き換えられるように範囲とCIDRとの間は全角スペースにしてる
9:192.168.0.774
09/05/19 17:29:04 YZkv6Zhr0
俺の連投のせいでスレ埋めちまったから立てといた
テンプレ改変する余裕なくてスマン
10:192.168.0.774
09/05/19 17:30:24 HxuyJ7oC0
感染予防対策
Adobe Flash Player とAdobe Acrobat Readerを
アンインストール
以上
11:192.168.0.774
09/05/19 17:31:44 dvS6mKF80
>>10
最終手段だな
12:192.168.0.774
09/05/19 17:32:05 CrZ+DFwB0
>>1 乙。
感染サイトリンク集
URLリンク(genolists.alink.uic.to)
13:192.168.0.774
09/05/19 17:35:29 oJ5eOA/M0
スレ立てとか乙
14:192.168.0.774
09/05/19 17:38:15 9IYXIU+f0
>>1
おつ、乙
なんだけどテンプレメモ帳で整理して立てようとしたら
もうスレが立っていてメモ帳消しちまったぞw
15:192.168.0.774
09/05/19 17:38:17 XejCUy//0
>>1乙。おやすみ
627 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 06:56:33 ID:zf5ipXqL0
532 : クンシラン(アラバマ州) [sage] :2009/05/19(火) 03:04:45.34 ID:L1oEc3bK
hostsファイルに(ry
127.0.0.1 martuz.cn
127.0.0.1 zlkon.lv
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
127.0.0.1 gumblar.cn
127.0.0.1 jii.be
127.0.0.1 zief.pl
127.0.0.1 litefront.cn
533 : クンシラン(アラバマ州) [sage] :2009/05/19(火) 03:09:11.38 ID:L1oEc3bK
avastのwebシールド(URLブロック)に
*martuz.cn*
*zlkon.lv*
*findyourbigwhy.cn*
*bigtopsuper.cn*
*gumblar.cn*
*jii.be*
*zief.pl*
*litefront.cn*
過剰反応っぽいが、細かい事は気にするな
V速で拾ってきたんだが、ドメイン増えた?
あと有効ならこっちでもテンプレ化してほしい
16:192.168.0.774
09/05/19 17:41:20 G5tmYxTL0
>>1
乙ー
17:192.168.0.774
09/05/19 17:42:30 dwwg46Fb0
GENOウイルスって何?サイトを見ただけで感染するウィルス G DATAとSophosがいち早く対応
URLリンク(japan.techinsight.jp)
・G DATA Internet Security 2009
⇒Trojan.JS.PYU (エンジン A)
HTML:IFrame-EB [Trj] (エンジン B)
[3PC 1年版]
Avira AntiVir 9 Personal(フリー・英語版)
⇒HTML/Crypted.Gen [virus]
HEUR/HTML.Malware [heuristic]
他のセキュリティソフトのユーザーは、ワクチンが提供されるまで十分注意する必要があるだろう。
18:192.168.0.774
09/05/19 17:48:16 pesc8sE00
>1乙
前スレの>671をよく巡回してるけど、何も起きてないんで解析に挑んでみたんだが…
難読化コードを解体して "NT 6"<0 が見つかったら、今まで通りXPとそれ以前が対象?
ちなみにOSはVista、UACはシマンテックのツール併用してるけど
一応オンにしてるからXP以降が含まれるとしても感染してない…筈なんだが
19:192.168.0.774
09/05/19 17:52:36 nq3d9Xxs0
>>15
なんで全部hostに書いてはダメなの?
hostに書かずWEBシールドにのみ指定する理由頼む。
20:192.168.0.774
09/05/19 17:53:36 nq3d9Xxs0
ごめ。どちらも同じだったね。
hostの方が少なく見えてしまってた。すまん。
21:192.168.0.774
09/05/19 18:01:24 wu49YE+90
1000 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 17:20:41 ID:abtxHDvw0 (PC)
やっぱりやっつけで作っても使ってくれないんだな
URLリンク(end.if.land.to)
変なとこなさそうだけどな
22:192.168.0.774
09/05/19 18:11:38 K6Cta+++0
対策済み、確認では感染兆候無しで、カスペのスキャンしたら
AdobeReaderのplug_ins Annots.JPNが検知されて9.1.1にアップデートしろ(意訳)らしいのだが
これはカスペクオリティ?
23:192.168.0.774
09/05/19 18:14:36 m0FB93L50
>>22
親切じゃん
AdobeReaderアンインストールしないならカスペルスキーおじさんの言うとおりにしとけ
24:192.168.0.774
09/05/19 18:15:02 ESbU+FiT0
>>22
なんかヴァージョンをうまく取ってくれないみたい、めんどいからリーダー削除した
25:192.168.0.774
09/05/19 18:16:33 cp3tjGoR0
>>22
カスペ分かってるな
26:192.168.0.774
09/05/19 18:17:51 K6Cta+++0
>>23-25
d。9.1.1にアップしてもこうなっているから大人しく削除しておくよ
27:192.168.0.774
09/05/19 18:17:55 n9s1g+e9P
>>22
それにしてもすごいIDだ
28:192.168.0.774
09/05/19 18:23:19 m4p3L/VDO
tieba●baidu●com/f?kz=274791213
ウイルスチェッカー900%
百度というサイトみたいです
ソース確認出来る人おね
29:192.168.0.774
09/05/19 18:28:15 JNA/OZ/u0
>>28
特に怪しいところはないが
30:192.168.0.774
09/05/19 18:28:41 CrZ+DFwB0
前スレよりコピペ。
696 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 09:57:36 ID:8eXjFlyI0
セキュ板から逃げてきた('A`)
なんだよあそこ
URLリンク(www.broadband-xp.com)
難読化(escape)処理された文字列はここで複合出来る。
あとは replace 関数を適当に読めば元のJavascriptが判る。
731 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 11:35:49 ID:zf5ipXqL0
>>712
シンプルなのなら
view-source:これをURLの頭につければソース表示するぞ
762 名前:192.168.0.774[sage] 投稿日:2009/05/19(火) 12:09:39 ID:QXeKbW6W0
>>743
ViewSourceWith もしくは WebDeveloper を使えば、
好きなテキストエディタでソースを開けるぞ。
31:192.168.0.774
09/05/19 18:29:31 vSwxXbQJ0
>>28
JSが大量だからチェッカーが誤反応してるだけかと思う
GENOウイルスのコードは見あたりません
32:192.168.0.774
09/05/19 18:29:35 abtxHDvw0
>>28
何故か</head>と<body>にスクリプトが入ってるけど外部js含め関係なさそうな気がする
URLリンク(end.if.land.to)
ちなみに赤くなってるのは</head>と<body>の間、という意味であって感染してるという意味ではない
33:192.168.0.774
09/05/19 18:32:44 bnQ0XBCe0
感染サイトリストの一番下のその他項目。
アレ一体なんなんだ?
愉快犯か何か?
34:192.168.0.774
09/05/19 18:33:31 m4p3L/VDO
>>29
d
>>30
サーセン
ソースみても何がどうなってるのかわからなくてさ。
もっと勉強してくる
35:28
09/05/19 18:36:39 m4p3L/VDO
やっぱり誤判定だったんだな
みんなd
36:192.168.0.774
09/05/19 18:38:47 vSwxXbQJ0
>>34
おぉ…責めてるつもりはなかったんだ、こちらこそごめんなさい
かくいう自分もしろうとなのでぱっと見でコードわかっても解読とかは全然出来ないんだ
>>33
自分も気になった
てか管理人さんはまだここ見てらっしゃるのかな?そろそろリスト整理して欲しいな
対応済みサイトとかリストから消去しちゃっても良いと思うんだけど
37:192.168.0.774
09/05/19 18:40:18 wu49YE+90
388 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/19(火) 17:52:34
Virus Block txt
PG2 葱 CIDR n無し
URLリンク(uproda.2ch-library.com)
置いとくね、使いたい香具師だけ使ってくれ
PG2 葱の質問はここでは禁止だ、それぞれのスレ行け
38:192.168.0.774
09/05/19 18:45:55 vie6d+fo0
>>28
別な意味あいで怪しいな
39:192.168.0.774
09/05/19 18:47:19 5syfiu9o0
ノートンはもうGENOに対応したと思ってよい?
40:192.168.0.774
09/05/19 18:48:45 rj7hKtd+0
感染サイトリンク集の
HAIR SALON Revue
ですが、難読化されたjavascriptが不自然に挿入されてます。
難読化を復号できないへたれですが、たぶん黒です。
41:192.168.0.774
09/05/19 18:51:14 Z6WAXkTX0
URLリンク(lineage2.plaync.jp)
リネ2の公式をチェッカーで見てみたら、危険度2643%なんてベラボウな数字が出て来たんだが、ソース見てわかる方居られるだろうか・・・
42:192.168.0.774
09/05/19 18:53:21 xNz70xs60
どうせすぐ新型に入れ替わるだろうから備考程度に。
martuzのドロッパ(exe)
URLリンク(www.virustotal.com)
aux等に突っ込まれるドライバ(dll)
URLリンク(www.virustotal.com)
>>40
いや…その…感染してるから感染サイトリンク集の確定サイトに突っ込まれてるんでしょ。
43:192.168.0.774
09/05/19 18:54:07 6ZMZMB/r0
>>41
全くもって問題なし
44:192.168.0.774
09/05/19 18:54:18 abtxHDvw0
>>41
evalがたくさん入ってるの見て誤検出したと思われ
URLリンク(end.if.land.to)
45:192.168.0.774
09/05/19 18:54:40 9rdeJzCL0
>>37
DLしたいけどパスわかんねぇorz
46:28
09/05/19 18:56:57 m4p3L/VDO
>>38
別な意味合い・・とは・・・?
47:192.168.0.774
09/05/19 18:58:32 JNA/OZ/u0
>>46
無許可で作品乗せてるってことだろ
48:192.168.0.774
09/05/19 18:58:40 QXeKbW6W0
前スレ902
Adblock Plusでは、怪しいURIなりを追加していく。
例外の頭には@@をつける。
URLリンク(www.sample.com)とすれば、sample.com以下のスクリプトのみを弾く。
ここでは省くがワイルドカードや正規表現もどきも使える。
49:192.168.0.774
09/05/19 18:59:01 XdU3JuKs0
ヴァイブ
50:192.168.0.774
09/05/19 18:59:13 Z6WAXkTX0
>>43>>44
thx
助かった
51:192.168.0.774
09/05/19 18:59:28 YPsJVP/N0
>>41 どうでもいいが、アイコンファイルのでかさに驚愕したw
52:192.168.0.774
09/05/19 19:00:07 wA8EwCsv0
百度っつったらつべとかニコ動と同じ動画サイトだな
違法動画がわんさとありそうだ
53:192.168.0.774
09/05/19 19:00:16 XFldsOfqP
>>45
ドアに「引く」って書いてあっても顔真っ赤にして押して開けようとするタイプでしょ
54:192.168.0.774
09/05/19 19:01:21 XdU3JuKs0
そういうことか。オレをNG登録してくれ
55:192.168.0.774
09/05/19 19:02:42 cTF9aljw0
>52
百度は中華の Yahoo と言うべきだ
その中の動画セクションだよ、おまえさんが言ってるのは
56:192.168.0.774
09/05/19 19:04:05 vSwxXbQJ0
>>41
1000%超えてるやつ初めて見たww
>>44
前スレでスルーしててごめんね
今更ながら結構使いやすいわこのツール
57:192.168.0.774
09/05/19 19:05:33 vElGKTyLP
アップデートして最新にしておけって言うから
XPSP2からSP3にしてIE6からIE8にしたら
全体に重くなった…orz
IE8軽くないじゃん
58:192.168.0.774
09/05/19 19:06:42 Ni9zQrjI0
>>41
確認してきた。うん怪しそうなのは無いね
つかソース見て「うわ、このHPメンテしたくねぇw」と思ったw
59:192.168.0.774
09/05/19 19:07:53 ssAlkIqW0
逆にこれ感染したら分からなくなりそうだ
60:192.168.0.774
09/05/19 19:07:57 rj7hKtd+0
感染サイトリンク集の
Hair Make Berrys
ですが、難読化されたjavascriptが不自然に挿入されてます。
黒判定したいのですが、変数名が haGe とかなってるのでただの愉快犯の仕業かもしれません。
61:192.168.0.774
09/05/19 19:08:02 JNA/OZ/u0
>>57
IEコンポのやつつかっとけ
それなら重くないから
それか他のブラウザか
62:192.168.0.774
09/05/19 19:08:07 kY8OD79y0
>>57
IE7よりは軽くなったんだよ
63:192.168.0.774
09/05/19 19:08:35 dwwg46Fb0
>>57
Prefetchクリアしてデフラグでもしろ
64:192.168.0.774
09/05/19 19:10:28 vElGKTyLP
ググったらSP3とIE8は相性が悪いそうだ。
IE6に戻します
まんどくせ… ( ノД`)シクシク
他のブラウザは怖いから
慣れたIE6にします
65:192.168.0.774
09/05/19 19:11:56 JNA/OZ/u0
>>64
SP3にしてからIE8入れたらIE8はアンインストールできなかったような…
66:192.168.0.774
09/05/19 19:12:43 m4p3L/VDO
感染リストに忍者ツールあったから自分で調べてみたけど
あれ誤判定だよな?
67:192.168.0.774
09/05/19 19:13:43 dwwg46Fb0
>>64
もうIEやめてOperaか火狐にしようぜ
68:192.168.0.774
09/05/19 19:18:39 nxHnlbKs0
これも貼ろうよ
◆感染対象
今のところWindows 2000,XP で感染確認
◆感染してるっぽい場合
OSクリーンインストール一択
◆対策 ※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を
1.Windows Updateをやる
2.使用しているブラウザのJavaScriptをオフにする。※これ重要
(FirefoxならNoscript導入が便利)
3.Adobe Flash Player の最新版にアップデート → URLリンク(get.adobe.com)
JSオフだと更新できないので、その場合は↓のリンクからインストーラーを落として入れる
IE版 URLリンク(www.macromedia.com)
その他版 URLリンク(www.macromedia.com)
4.Adobe Acrobat Reader の最新版にアップデート → URLリンク(get.adobe.com)
うまく更新できない場合↓のインストーラーをダウンロードして入れる
URLリンク(ardownload.adobe.com)
インストールが終わったらAdobe Readerを起動し
メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
終わったらバージョンチェックして下記の数字になっていればok
5.Adobe Acrobat Readerの JavaScript 機能OFFにする
6.セキュリティ対策ソフトもパターンを最新に更新
2009/05/18時点での最新版
Adobe Flash Player 10.0.22.87
Adobe Reader 9.1.1
Flash Playerのバージョンチェックはここで(JS、AXをオンにする必要あり)
URLリンク(www.adobe.com)
69:192.168.0.774
09/05/19 19:20:17 brw6v9+T0
すみません、前スレ995は書き込み終了画面で 再読み込み押してしまいました。
あと、気になってるのですが、前スレ905ってことは、前スレ360も拾ってのものですよね。
まったくチンプンカンプンなんですが、恥かきついでに。
お仕事の邪魔して、ごめんなさい。
70:192.168.0.774
09/05/19 19:20:43 MmxOqtet0
>>48
それはなんとか知ってるんで、現時点で有効だと思われる
フィルタリストを作って上げてもらえると助かるんですが・・・
71:192.168.0.774
09/05/19 19:21:10 rj7hKtd+0
>>66
誤判定ですね。
72:192.168.0.774
09/05/19 19:23:47 fwZtLZs+0
>>65
あれ、逆じゃなかったっけ?
IE7と8は入れたあとでSP3にすると、アンインストール不可になるとか聞いた記憶が…
73:192.168.0.774
09/05/19 19:25:24 YPsJVP/N0
>>60
せっかくなので踏んでみた
URLリンク(www1.axfc.net)
74:192.168.0.774
09/05/19 19:26:09 ajaicXbL0
自分はSP3だけどIE8から6に戻せたぞ?システムの復元で
75:192.168.0.774
09/05/19 19:27:51 JNA/OZ/u0
>>72
逆だったか
でもIE6ってまだパッチ出してるっけ?
戻さないほうがいい気がするが
76:192.168.0.774
09/05/19 19:28:00 c4h/9VTEO
>>64
Spybotの免疫使ってない?
使ってたらIE8入れると糞重くなるよ
77:192.168.0.774
09/05/19 19:34:46 rj7hKtd+0
感染サイトリンク集の
kisikaisei
ですが、難読化されたjavascriptが不自然に挿入されてます。
たぶん黒ですが、個人サイトだし腐系なのでほっとけ!って感じです。
78:オレの登録ミスだと思うけど、一応。
09/05/19 19:36:08 xQPA+wnP0
うわー27時間くらいこなかっただけで、もうスレ3になってるの?
さっき、PC立ち上げて某セキュリティーニュースサイトを閲覧しようと思ったら、
ブロック登録したIPアドレスに引っかかった。
多少見られなくなるサイトが増えようが、ブロック優先というポリシーの為、
ホスティング先だけでなく、感染報告があった国内正規サイトも含める形で、
報告があったところを片っ端から広範囲登録していたんだ。 だから、間違いかもしれんが・・・
今、時間なくて過去ログ調べられないんだけど、注意しすぎて困ることはないだろうってことで、
アドレス貼っておくから、誰か検証してください。 ちなみに>>8 の中にはありませんでした。
hXXp://WWW.security-next.com/
ブロック登録しているアドレス範囲は 202.172.28.0-202.172.31.255 今調べたら日本国内のIPです。
だから>>17のリンク先もブロックされる始末。
>>22 うちはカスペ7だけど「PCを再起動」しないとパケットフィルタリングルールとかは適用されないみたい。
79:192.168.0.774
09/05/19 19:41:20 rj7hKtd+0
>>78
ざっとソース見たけど問題なさそう
断定はできないけど
80:192.168.0.774
09/05/19 19:47:06 mR+2qhjt0
URLリンク(end.if.land.to)
これの後に感染サイトのURLくっつけて開いても、自分は感染せずにソース見ることが出来るの?
81:192.168.0.774
09/05/19 19:47:31 JNA/OZ/u0
>>80
できる
82:192.168.0.774
09/05/19 19:51:11 hSQTdtur0
>>78
問題なし
で、とりあえず202.172.28.0-202.172.31.255のブロック外しておけよ
逆引きしたらこれさーばみたい
83:192.168.0.774
09/05/19 20:02:12 GNfCS6iF0
ちょっと質問させて
ノートン先生が対応したって聞いたけど、亜種も大丈夫なんかな?
あと検出されるだけで、ワクチンとかはまだなんだよね?
84:192.168.0.774
09/05/19 20:04:05 nxHnlbKs0
これに限らず対応は基本的に1対1と考える
本家に対応してるから亜種にも対応してるなどと甘い事は考えない
85:192.168.0.774
09/05/19 20:06:03 77bzJ5s+0
不安になって、何度も何度も sqlsodbc.chm のサイズ確認をしているうちに、
なんだかいつの間にか、感染を待ちわびている事に、ふと気付いた。
「まだか、まだ感染してないのか?」って感じ。
そろそろ心の方がヤバクなってきてるのかもしれん。
86:192.168.0.774
09/05/19 20:06:15 XdU3JuKs0
てかid=10から落ちてくるexeって最初のgumblerのときから数種類あったじゃんね
87:192.168.0.774
09/05/19 20:12:06 xod3EvsV0
今日はVBの更新が多いけど、頑張ってんの?
88:192.168.0.774
09/05/19 20:12:13 xNz70xs60
いくつもあるよ。俺が持ってるのはgumblarで7世代、martuzで2世代。
89:192.168.0.774
09/05/19 20:16:44 mR+2qhjt0
>>81
そうなのか。
これ使って感染サイトのソースを見てみたんだが、赤くなってる所が感染してる証拠なの?
逆に赤い所がないサイトは、感染している可能性が低いって事になるの?
90:192.168.0.774
09/05/19 20:19:49 JNA/OZ/u0
>>89
お前はもう上のサイト使うな
お前のようなやつのためのサイトじゃない
91:192.168.0.774
09/05/19 20:19:56 wu49YE+90
ソースちぇき(β版) - ひまぐらま[別館]
URLリンク(hpg2.me.land.to)
あなたのホームページを 「ソースちぇき(β版)」 で 見てみよう
このページでは、アナタが指定したアドレス(ページ)を
あなたのパソコンに代わって取得し、ココに表示します。
ページの内容を、ただのHTMLソース(文字列)として表示しますので、
もしもJavascriptによるいたづらが仕組まれていても安心です。
あとオマケですが、表示するソースの中から、
『見ただけで感染する?ウイルス(Zlkon/Gumblar/Martuzなど)』 を
自動的に探して太字にする機能も付いてるので、
もし覚えの無いJavascriptが在れば、
そのページのソースファイルを、自分で直してみると良いかもしれません。
※この「ソースちぇき」では発見のお手伝いだけで、
実際にソースを手直しなどするのは管理者であるあなた自身です。
「ソースちぇき」は単に客観的にあなたのホームページを見て、
ソースを表示するだけの「簡易ソースチェッカー」です。
トロイ診断機能は、hpgの憶測によるカンタンな正規表現による検索に過ぎません
のであしからず(゚Д゚)スマンネ
あなたの回線環境やサーバの混み具合によっては1分以上かかることがありますので
リロードしないでね(´・ω・)オネガイ
92:192.168.0.774
09/05/19 20:25:08 wu49YE+90
■GENOウィルスのチェックプログラム(簡易版)を書いてみた
URLリンク(d.hatena.ne.jp)
Vista使いでUAC厨の私には全く関係の無い話のような気がするが、
いつUACを突破する亜種が出るかは分からない。
sqlsodbc.chmのファイルサイズで判定できるようなので、
そんなときのためにこんなバッチファイルを書いてみた。
以下のプログラムをテキストファイルにコピペして、
拡張子をbatにしてダブルクリックで実行すれば、
コマンドを勝手に実行し、最後にレポート書いて停止するものだ。
有効利用してください。
あと、バッチに関しては素人なので改造してくれるとうれしいなぁ。
93:192.168.0.774
09/05/19 20:25:58 +Nv0TkV90
今何気なく感染サイトのGoogleのキャッシュをのぞいたら
感染したままキャッシュされてる所があるな・・
94:192.168.0.774
09/05/19 20:26:59 wu49YE+90
6.zlkon-gumblarお役立ち情報 高機能サロン管理システム★さまれぼ!★開発日記
URLリンク(excomp.cocolog-nifty.com)
猛威を振るっているzlkon.lv/gumblar.cnに関する記事の中で、
お役立ち情報を集めました。
他のサイトの引用やパクリではない、独自のノウハウを紹介しています
95:192.168.0.774
09/05/19 20:29:17 xNz70xs60
独自のノウハウ()笑
96:192.168.0.774
09/05/19 20:31:11 qmbjopifP
URLリンク(pc.nikkeibp.co.jp)
URLリンク(www.computerworld.jp)
今回報告されたのは、「JSRedir-R(ジェイエス・リダイレクト・アール)」あるいは「Gumblar(ガンブラー)」などと呼ばれるウイルス。
感染数が急増しているとして、セキュリティ企業の英ソフォスなども警告。
今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
攻撃者は何らかの方法で正規サイトに不正侵入し、このウイルスをWebページに埋め込む。
不正侵入の方法については明らかになっていないものの、US-CERTでは、
(1)パスワードを盗まれて侵入されるケース、
(2)サーバーの設定不備を突かれて侵入されるケース、
(3)Webアプリケーションの脆弱性を突いて侵入されるケースなどが考えられるとしている。
「正規のサイトでさえ、たびたび被害を受けている今
ユーザーには目を覚ましてほしい。Webが感染拡大に有効な手段であることが実証されている以上
クラッカーは今後もWebを標的にし続ける。
これと闘うには、Webサイトにアクセスする前に、そのつどスキャンして悪意あるコードがないか
確認することが大切だ」(クルーリー氏)
97:192.168.0.774
09/05/19 20:32:10 GNfCS6iF0
>>94の感染サイト一覧見てきたんだけど、
なんか以上なくらい再感染が多いな…なんでだろう?
98:192.168.0.774
09/05/19 20:32:50 GNfCS6iF0
以上じゃねぇ、異常だ
99:192.168.0.774
09/05/19 20:33:14 XdU3JuKs0
>>96
これはいい記事
100:192.168.0.774
09/05/19 20:34:52 XdU3JuKs0
>>97
geno同様、根本的に進入経路を塞いで無い・わかってないんだろうね
101:192.168.0.774
09/05/19 20:35:30 nxHnlbKs0
>>96
後者はFlashやAcrobatの脆弱性について触れてないから役に立たんな
前者は金賞もの、何故かどこのニュースサイトもこの事を隠してるからな
102:192.168.0.774
09/05/19 20:38:54 XdU3JuKs0
>>101
鯖側もGENOのせいにしてるフシがあるよね
103:192.168.0.774
09/05/19 20:41:36 GNfCS6iF0
>>84
ありがとう
ってことはノートン使っててもまだ安心できないのか…
早くワクチンできてくれないかな
104:192.168.0.774
09/05/19 20:46:45 EdwNxb4kP
現状深刻な害はないが感染性は高い
新型インフルの模倣かな
105:192.168.0.774
09/05/19 20:47:08 Ew19VtK60
>>96
どっちも海外ソースで日本国内の惨状については何も報じてないけど
gumblarの名前が出たのは大きいな
本当はScanSafeのブログでも翻訳して載せてくれるといいんだがな…
しかし今になって海外の方でも報道が増えてるってことは
危険性を認識できてなかったのは日本だけじゃなかったってことか
106:192.168.0.774
09/05/19 20:47:14 rj7hKtd+0
>>96
良い記事だと思うが、
> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
これはミスリードを招かないなぁ。
javascriptで書かれたコードはウィルスを取り込むための、いわば呼び水だし、
一旦感染したら、クリーンインストールしかないというたちが悪いものという点
に触れられてないのが残念。
107:192.168.0.774
09/05/19 20:48:21 agLWBNyMO
>>97
感染PCブッ壊してもftpパス変更しないと
サイトはすぐ再感染するよ
108:192.168.0.774
09/05/19 20:53:20 GNfCS6iF0
どうでもいいが「クリーンインストール」って最初に言い出したのは誰なんだろう
今までのウイルスとかだと、普通に初期化って書かれてた気がするし、そっちのがわかりやすいのに
あちこちで反応見てると、クリーンインストールの意味わかってない人が結構いるな
109:192.168.0.774
09/05/19 20:54:22 dkHdrlAM0
OS再インストールの方が分かりやすいと思うよ
110:192.168.0.774
09/05/19 20:55:19 P4uMKHul0
この手のPC専門ニュースサイトに投書したどうだろ?
111:192.168.0.774
09/05/19 20:56:24 vmna4rQ80
>>110
ここまでの騒ぎになって触れてないって事は「今のところあえて触れる気は無い」って事なんじゃないかと
112:192.168.0.774
09/05/19 20:58:10 ebHg3CWR0
>>3
>Bavast!(無料のアンチウイルスソフト)で確認
だから、これは間違ってるから消せと…
113:192.168.0.774
09/05/19 21:02:02 vdYB2lEcO
リカバリをする際、Cドライブだけで良いのか
買った状態に戻した方が良いのかどっちかね。
114:192.168.0.774
09/05/19 21:02:41 ZziJ4ifo0
avastは検出されないの?
115:192.168.0.774
09/05/19 21:03:25 ITr8Wn8j0
2ちゃんだとクリーンインストールのAAあるから
常駐者はつい使っちゃうのでは
初期化のほうが危機感はあって伝わる気はするね
116:192.168.0.774
09/05/19 21:03:55 ebHg3CWR0
>>106
>> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
>これはミスリードを招かないなぁ。
だねぇ。JavaScriptはあくまでもダウンローダであって、マルウェア本体じゃないから。
本体がころころ変わるので、このダウンローダの段階で(スクリプト停止かIPブロックで)
防がないと、防ぎきれないという所なんだけど。
落ちてくる本体の正式名称早く決まらないもんかねぇ。
117:192.168.0.774
09/05/19 21:03:57 agLWBNyMO
しっかり検証してないから不確実だけど
改ざんクローラーはサイトのルートから入ってきてリンクやphpの読み込み先へ行って改ざんしてる感じ
同じフォルダでも改ざんされてないのもあるし、全部改ざんされてるフォルダもある
例えばftpソフトでバーっとファイル一覧を見て改ざんする感じではないと言うこと
それにしてもクリーンインスコめんどくせー
118:192.168.0.774
09/05/19 21:05:59 YqeDyNNm0
Vistaで超勝ち組の俺様が来ましたよ
119:192.168.0.774
09/05/19 21:07:46 YqeDyNNm0
Vistaで超勝ち組の俺様から質問があるんだけど、今からオナニーするんだがオカズは何が良い?
120:192.168.0.774
09/05/19 21:08:11 ebHg3CWR0
>>114
スクリプトの殆どは検知するが、すり抜けがある程度発生している。
本体が落ちてきた後の検出には対応できていない(Avast以外のセキュリティベンダーの殆ども)
ようやくAviraがある程度(動作中の新規作成して自己消滅していく本体を)検出できるように
なりはじめたようだけれど、ほぼ日替わりで、変わった直後にはほとんどのベンダーをすり抜ける
ものを出してくるので、「○月○日に感染してしまったとわかっており、なおかつ、その時に落ちてくる
検体を誰かが入手して検体提出されていて、検出可能になっていることがはっきりしている」ケースしか
○○でチェックしてください というのは使えません。
だから、感染が疑われているかどうかを確認する為に、Avastでチェックするというのは間違い。
121:192.168.0.774
09/05/19 21:08:26 t7sB47/O0
>>118
素敵ー抱いてー(棒読み)
122:192.168.0.774
09/05/19 21:09:32 Ew19VtK60
それにしてもmartuz.ch重いな
どっかから砲撃されてるんだろうか
123:192.168.0.774
09/05/19 21:10:49 TsHDU7xb0
>>119
豚インフル
124:192.168.0.774
09/05/19 21:13:35 Ni9zQrjI0
>>120
>17
定義名的にAviraもAvastと同じでJSのダウンローダだけじゃね?
いや、Aviraの公式は見に行ってないからそう書いてあるのかも知れんが
125:192.168.0.774
09/05/19 21:15:30 VTkqYj1BO
vipにsqlsodbcのサイズ正常で更新日16日ってやつがいるんだが……
感染してたとしてこれでさらに更新日偽造されたらもう判定できなくなるよな……
126:192.168.0.774
09/05/19 21:16:31 ZziJ4ifo0
>>120
そうなのか。分かりやすい説明ありがとう。
127:192.168.0.774
09/05/19 21:17:01 wu49YE+90
>>113
買った時にCドライブしかついていなければ
Cドライブをクリーンインストール。
買ったPCにリカバリーの方法がマニュアルに
あるから、それにしたがって。
128:192.168.0.774
09/05/19 21:17:50 WD8wWEbn0
>>122
それだけ本体のダウンロードが増えてるとか。世界中から…
129:192.168.0.774
09/05/19 21:17:56 GNfCS6iF0
検体提出っていうが、ダウンロードされる本体って結局どれなんだ
普通のウイルスだと「○○っていうのが増えてたらアウト」だからわかりやすいけど
これってそういうのはないよな
130:192.168.0.774
09/05/19 21:19:07 c4h/9VTEO
またまた携帯からでスマンが
>>124
14 名無しさん@お腹いっぱい。 sage 2009/05/19(火) 18:47:44
699さんの代理で投稿します
前スレ>>991
>ここは、ちょっとAVIRAに期待しておこう。
URLリンク(tane.sakuratan.com)
DL avira/解凍 avira
ちょっと朗報です。avira データベース 7.01.03.222で、感染後のファイルを検出するようになりました。
上記はその画像です。(ロダをお借りしました。)
上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。
URLリンク(www.virustotal.com) -1
2個ファイルを検出しているのは、バックアップした方の mwgpedu.tya も検出したためです。
ちなみに、>963の muvl.nug も、同じく TR/Drop.Agent.qna.2 で検出するようになっています。(実機確認済み)
URLリンク(www.virustotal.com) -2
VTの上記 1と2のMD5を見ればわかるように、ファイル自体は中身が微妙に変わっている(MD5が違う)のですが、
見事に同じ検出名で発見します。
完璧に発見できるかどうかは今後の検証が必要だと思いますが、流石aviraと言うところですか...
上手くmartuz.cn汎用検出のシグネチャを作ることができたのかもしれません。
追記)全鯖巻き添え規制を喰ったので、しばらく書き込みできません。
131:192.168.0.774
09/05/19 21:21:08 zOpNlL6H0
>>119
サバの味噌煮
132:192.168.0.774
09/05/19 21:22:13 jrPSkKu+0
>>125
notepad やバイナリエディタにぶち込むとか
CRCチェックするとかでいくらでも判定できるだろう。
FTPのパスとかを記録してるファイルなので、1バイトでも
改変されてたらCRCが変化する
133:192.168.0.774
09/05/19 21:23:04 iKQOPNjg0
aviraはじまったのか?
134:192.168.0.774
09/05/19 21:24:24 ECi0figV0
>>122
>>128
martuz.ch
~
135:192.168.0.774
09/05/19 21:25:04 vdYB2lEcO
>>127
調べてたら、Cだけで事足りるみたいだけど
安全面から見てどっちが最善策なのか
気になるとこだ。
136:192.168.0.774
09/05/19 21:25:09 Ni9zQrjI0
>>130
おおう検体スレか。目通すの忘れてた
手数かけてすまぬ。ありがと
137:192.168.0.774
09/05/19 21:28:09 oJ5eOA/M0
Aviraの怒涛のアップデートはやる気を感じさせたからな。
で、結果を残したとなると人におすすめしやすくなった。
138:192.168.0.774
09/05/19 21:31:05 KhcpxX4r0
>>122
GENOウイルスがmartuz.cnから他へ衣替え中の可能性あり
139:192.168.0.774
09/05/19 21:31:31 wu49YE+90
>>135
うちのPCは、リカバリーCDとHDDにCドライブとリカバリーするための
領域があって、もし感染したら、CDでリカバリーすれば
いいのだろうけど、HDDのリカバリー領域はどうしたらいいのだろう?
140:192.168.0.774
09/05/19 21:39:47 2apSfkB60
>>138
怖い事言うなやめろ
141:192.168.0.774
09/05/19 21:44:30 qmbjopifP
JPCERT/CCでは情報提供を呼び掛けている
URLリンク(www.jpcert.or.jp)
JPCERT/CC、JavaScriptが埋め込まれるWebサイト改ざんに注意喚起
URLリンク(internet.watch.impress.co.jp)
142:192.168.0.774
09/05/19 21:45:36 J50xBu9C0
>>130
検体スレの「前スレ>>991」ってのが、これまた興味深いね。
991 :699:2009/05/18(月) 22:10:31
>>963
KasperskyとAVIRA両方返答来ました。muvl.exeの方です。
Kaspersky - 白
AVIRA - TR/NoUpdate.C,黒
うーん、明暗くっきり。
感染後に作成されるファイルに白判定が出るようだと、これはKasperskyのオンラインスキャンでmartuz.cnの感染検出無理か?
ここは、ちょっとAVIRAに期待しておこう。 んで、>990さんの所でRisingでも黒判定出てるので、そっちも少し期待。
あと、今日はmartuz.cnが私のこと無視する。前回から24時間以上経過してるのに...後でもう一度試します。
143:192.168.0.774
09/05/19 21:48:31 KhcpxX4r0
>>140
前のGumblarの衣もすぐに秋て着替えたし。
144:192.168.0.774
09/05/19 21:50:06 AJgnBYNW0
イギリスに移動したのも早かったから
他の国に移動も念頭に置いてあいたほうがいいんじゃないか?
145:192.168.0.774
09/05/19 21:53:22 hITb4yl00
少し騒ぎすぎだよな
146:192.168.0.774
09/05/19 21:53:59 zOpNlL6H0
凄いねしかし。
よくここまでやる気になるね。
犯人はどんな人なんだか。
色々考えてウイルス作る事は出来たとしても、ここまで大事にしてしまうと、リスクもかなりなものだと思うんだけど。
絶対に捕まらない自信があるのかな。
147:192.168.0.774
09/05/19 21:55:45 4Ypx2w3K0
>>129
スレよく読めカス
148:192.168.0.774
09/05/19 21:56:16 XdU3JuKs0
パツパツの軍服きたキチだと予想
いや、ごめん
149:192.168.0.774
09/05/19 21:58:51 0E4/DSzP0
>>145
騒ぎすぎたほうがいいような気もするな特に最近は・・・機械技術のほうが足が速すぎる
学校のパソコン授業ではワードとかんなのどうでもいいから
ネチケとウイルスソフトのこととか教えたほうがいいんじゃないかなぁ
150:192.168.0.774
09/05/19 22:00:21 Hijrc51m0
>>149
確かになぁ ワードは取り返しつくけど
ウィルスは取り返しつかんこともあるからなぁ
151:192.168.0.774
09/05/19 22:01:29 sH5pilYL0
いいぞ、もっと騒げと思う
152:192.168.0.774
09/05/19 22:04:38 wu49YE+90
816 名前:名無しさん@九周年[] 投稿日:2009/05/19(火) 21:35:18 ID:1MLUOU/80 (PC)
このサイトもAvastが激怒するんだがやばいのか?
jwy.jpshi■mobile■?jb=freepage-view&freelink=16
153:192.168.0.774
09/05/19 22:06:01 rj7hKtd+0
>>146
複数人だろうね
154:192.168.0.774
09/05/19 22:06:45 Ew19VtK60
感染サイトリストの感染確定を確認してみた
整理の参考にしてください>中の人
ヘアーサロンジョイ 復旧?告知なし
聖帝 サイト休止、告知あり
鉄道110号 サイト消滅
問屋街 復旧?告知なし
北川大介 復旧?告知なし
livmail 復旧?告知なし
主上支局 何か対策したように見えるが、一部おかしなコードが残っている
ペットの姓名判断のサイト 復旧?告知なし
帰ってき○三日天下 サイト休止、告知あり
loca.zombie 復旧?サイト休止?告知なし
155:192.168.0.774
09/05/19 22:06:51 dvS6mKF80
>>146
て言うか失敗だろ
これだけ有名になったら対策されるし意味がない
156:192.168.0.774
09/05/19 22:13:45 AXqA/M1h0
>>155
むしろ、存在ばれた上に解析まで進められたせいで、作者が自棄になって短期決戦型の何かを仕掛けてきそうで怖い
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5262日前に更新/303 KB
担当:undef