GENOウイルススレ ★3
at SEC
1:名無しさん@お腹いっぱい。
09/04/28 02:26:23
感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
URLリンク(anubis.iseclab.org)
★過去スレ
GENOウイルススレ ★2
スレリンク(sec板)
GENOウイルススレ
スレリンク(sec板)
以下、おまいらテキトーに調査結果、感染サイト情報、テンプレ等をコピペしてくださいです。。。
2:名無しさん@お腹いっぱい。
09/04/28 02:34:58
重複
3:名無しさん@お腹いっぱい。
09/04/28 02:42:34
>>1
乙
4:名無しさん@お腹いっぱい。
09/04/28 02:45:33
>>1乙
>>2
重複してねーよ。GENO社員乙
5:名無しさん@お腹いっぱい。
09/04/28 11:01:22
このサイトをブックマーク推奨
URLリンク(www3.atword.jp)
6:名無しさん@お腹いっぱい。
09/04/28 12:41:19
テーマ曲
URLリンク(www.youtube.com)
7:名無しさん@お腹いっぱい。
09/04/28 12:55:24
>>1
乙でした
8:名無しさん@お腹いっぱい。
09/04/28 13:06:12
解決したね
次スレいらね
とか
もうネタもないし
次スレいらね
は、もはや様式美なのでスルーしてください。
9:名無しさん@お腹いっぱい。
09/04/28 13:53:01
>>5
これよく出てくるけど、何のサイトだろう
10:名無しさん@お腹いっぱい。
09/04/28 16:47:29
>>6
Judas Priest - Genocide (w
11:名無しさん@お腹いっぱい。
09/04/28 19:12:56
重複
12:名無しさん@お腹いっぱい。
09/04/29 01:34:00
>>9
GENO含めたセキュリティ対策情報のブログちゃん
13:名無しさん@お腹いっぱい。
09/04/29 01:45:06
>>5
ν速でftp使うなっていってた人より情報速かったな
14:名無しさん@お腹いっぱい。
09/04/29 07:22:48
Genoウィルス祭り再び? Adobe Readerの新たなゼロデイ脆弱性に対する攻撃コードが公開
スレリンク(news板)l50
15:名無しさん@お腹いっぱい。
09/04/29 10:03:55
キャッシュ削除したらお金が降ってきました!
美女がくっついて離れません!
全てがうまくいきました!
16:名無しさん@お腹いっぱい。
09/04/29 17:39:18
むかし、注文個数0.001とかして遊んでたことあったろ?
アレの反撃だよたぶん
17:名無しさん@お腹いっぱい。
09/04/29 19:20:10
このGENOウィルスも豚インフルの大流行を見越しての仕込み
だったとしたならば作った奴はかなりの強者
18:名無しさん@お腹いっぱい。
09/04/29 19:21:31
強者
↑これって読みは”きょうじゃ”じゃなくて”きょうしゃ”だったのか
知らんかった
19:某所からコピペ
09/04/29 19:47:35
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reade以外の環境設定をどうするかも各自考える必要があります。
20:名無しさん@お腹いっぱい。
09/04/29 20:02:10
>>19
ShellExView などで Adobe PDF Link Helper を無効にしておくと、よりいいかも。
無効にしても「PDFファイルが全然開けなくなる」訳ではなさそう。
蛇足だが
×>Adobe Reade
○>Adobe Reader
21:名無しさん@お腹いっぱい。
09/04/29 21:18:47
>>19-20
Adobe Reader Speed Launcher をスタートアップから外す
こともやったほうがいいですよ。
レジストリの書き換えが必要ですけど
「いじくるつくーる」などのソフトを使えばレジストリを意識せずに楽勝です。
22:名無しさん@お腹いっぱい。
09/04/29 22:55:43
>>19-21
これは本当のことですか?
それとも釣りですか?
なんかもう何を信じていいのかわからない…
23:名無しさん@お腹いっぱい。
09/04/29 22:56:13
>>18
釣られてやろう
いまどきの中国産のIMEは
コワモテは変換できてもツワモノは変換されない
24:名無しさん@お腹いっぱい。
09/04/29 23:15:34
>>22
自分を信じろ
25:名無しさん@お腹いっぱい。
09/04/29 23:24:05
強面
兵
26:名無しさん@お腹いっぱい。
09/04/29 23:56:55
漢字二通りあるからなあ
27:名無しさん@お腹いっぱい。
09/04/30 00:39:01
GENOは対応が糞レベルだったんで晒しておいても問題ないが、
zlkonでも検索できるようにした方が良かったんじゃないかな?
28:名無しさん@お腹いっぱい。
09/04/30 01:19:17
これはGeno?
yaplogjp.com/blog/
29:名無しさん@お腹いっぱい。
09/04/30 01:44:25
>>28
違うけどヤプログの偽者
MMO界隈で有名な中華のドメイン
アカウントを盗む目的でキーロガーを仕込む
30:名無しさん@お腹いっぱい。
09/04/30 05:52:50
MMO界隈で有名なドメイン名の例(GENOウイルスではないが危険)
アカウントハック(アカウントを盗む)目的で、キーロガーを仕込む
踏むな危険→yaplogjp.com←踏むな危険
踏むな危険→atewikijp.com←踏むな危険
踏むな危険→gomenifty.com←踏むな危険
踏むな危険→aimeblog.com←踏むな危険
踏むな危険→cavle-online.com←踏むな危険
31:名無しさん@お腹いっぱい。
09/04/30 13:51:15
次スレいらないね
32:名無しさん@お腹いっぱい。
09/04/30 13:59:39
GENO社員乙
33:名無しさん@お腹いっぱい。
09/04/30 14:02:00
ラトビア特急、路線拡大中
2009/04/09(木) 7560 個
2009/04/17(金) 8567 個
2009/04/19(日) 11795 個
2009/04/27(月) 15096 個
2009/04/30(木) 13456 個のドメインを感染させています。
少し落ち着いてきたかな?
34:名無しさん@お腹いっぱい。
09/04/30 14:07:10
>>31
はええよw
35:名無しさん@お腹いっぱい。
09/04/30 14:32:19
プ
36:名無しさん@お腹いっぱい。
09/04/30 14:51:35
>>31
早漏乙
37:名無しさん@お腹いっぱい。
09/04/30 14:52:37
>>28
踏んでしまったとしたらOS入れなおし推奨だよ
38:名無しさん@お腹いっぱい。
09/04/30 16:14:55
このウイルスってPdfが読めないと感染しないのでしょうか?
もしそうだとしたら例えば普段 Foxit ReaderをUSBメモリに入れて置いて、読むときだけ繋げたりしたら…。
面倒くさいですけど。
39:名無しさん@お腹いっぱい。
09/04/30 17:27:57
感染して自分のサイトにスクリプト埋め込まれた。
サイト直して、OSクリーンインスコしたが、また自サイトがやられてたので、
FTPログ調べたら、海外から勝手に書き換えられてた模様。
感染中に接続したFTPのIDとPASSがどっかに送られてたんだろうな...
FTPのパス変えないと他の感染マシンからやられる感じだ。
.htmlファイル は bodyタグの前に、
.jsファイルは最終行にそれぞれ埋め込まれてたお。
40:名無しさん@お腹いっぱい。
09/04/30 17:49:09
>>39
二次被害出さないようにしろよ
41:名無しさん@お腹いっぱい。
09/04/30 18:04:57
>>40
誠にお恥ずかしい。
パス変えて、こまめにログチェックするお
42:名無しさん@お腹いっぱい。
09/04/30 18:13:08
>>39
その海外の接続先は特定出来ないの?
43:名無しさん@お腹いっぱい。
09/04/30 18:19:58
2箇所からアクセスがあって、どっちもIPの割当国はアメリカだった。
多分、どっかで感染したクライアントPCじゃないかな。
44:名無しさん@お腹いっぱい。
09/04/30 18:20:23
>>39
FTP以外も監視してるかもしれないらしいからWebのフリーメール
なんかを使ってたらそのへんもパスワード変更推奨
参考サイト
URLリンク(www3.atword.jp)
URLリンク(www.so-net.ne.jp)
あと被害サイトを訪問しちゃった人のためにちゃんと告知してあげてね
45:名無しさん@お腹いっぱい。
09/04/30 18:22:19
アクセス元はきっとゾンビだと思うよ
46:名無しさん@お腹いっぱい。
09/04/30 18:22:43
>>44
うん、その辺も全部変えた。
FTPログ見たら、書き換えられてから直すまでの訪問者ゼロwww
Orz
47:名無しさん@お腹いっぱい。
09/04/30 18:24:00
間違い。FTPログじゃなくてWebの方のアクセスログね...Orz
48:名無しさん@お腹いっぱい。
09/04/30 19:52:29
ゴールデンウィークはOSのクリーンインストールをしましょう!
49:名無しさん@お腹いっぱい。
09/04/30 21:13:35
カスペオンラインスキャン壊れた!
何度もページ再読み込みして止まらない…
トレンドマイクロみたく乗っ取られたかな?
URLリンク(www.kaspersky.com)
50:名無しさん@お腹いっぱい。
09/04/30 21:14:14
>>46
普段それなりに閲覧者がいるサイトだったとしたらそれは不自然かもしれない
元から自分のオナニー用サイトなら問題ないかも
ログファイルを書き込みロックしたり上書きしたりなんてことも
ありえるのかなーとおもったけど、どうなんだろうね
51:名無しさん@お腹いっぱい。
09/04/30 21:17:08
>>49
異常あるようには見えない
なんでもかんでも壊れたっていうんじゃなくて
自分の環境を疑ったほうが良いと思うよ
52:名無しさん@お腹いっぱい。
09/04/30 21:30:11
Adobe Reader/Acrobatに新たな脆弱性、回避策はJavaScript無効化
URLリンク(internet.watch.impress.co.jp)
53:名無しさん@お腹いっぱい。
09/04/30 21:44:16
Adobe Readerなんてほんとインストールするもんじゃないな
54:名無しさん@お腹いっぱい。
09/04/30 21:51:18
>>52
URLリンク(internet.watch.impress.co.jp)
>また、現時点でこの脆弱性の悪用が一般に出回っていることは確認されていないとして、
おい、ちょっと待てw
55:名無しさん@お腹いっぱい。
09/04/30 22:56:15
PDF表示だけにしときゃいいものをゴテゴテ機能付けるからこうなるんだよな・・・
56:名無しさん@お腹いっぱい。
09/05/01 00:32:25
アドビは重くて穴だらけだな
57:名無しさん@お腹いっぱい。
09/05/01 00:47:52
>>54
つまり他にも山ほど脆弱性があるんですよ
58:名無しさん@お腹いっぱい。
09/05/01 00:54:27
( ´・ω・) みんな〜メキシコ土産だよ〜
( っ¶¶と
(ニ二二二ニ)
)=========(
() .() |
/ヽ======/、
(( レ |ヽ_/、| ))
|/ | |/
/ハ
ヘ⌒ヽフ
( ・ω・)
{ U Ul
ヾ.,____,ノ
59:名無しさん@お腹いっぱい。
09/05/01 01:19:21
>>56
>>19-21を適切に行えば、軽くなるし穴も減らせる。
60:名無しさん@お腹いっぱい。
09/05/01 03:34:27
___ハ__
チャ 、____丿
チャ ゙゙( ゚━゚) アミーゴ
チャ /゙゙゙c○c○)) アミーゴ
チャ __ハ__
チャ 、____丿
チャ (゚━゚ )´´ ハバネロ
((( ○。○。゙゙゙\ ハバネロ
61:名無しさん@お腹いっぱい。
09/05/01 09:15:30
>>51
よく居るんだ・・・
手元のPCがおかしいのに
「サーバーにつながらない!なんか設定変えた!?(怒」
「ネットワークできないんだけど!バグってんの!?(怒」
とか電話してくるやつがさ。
まずは隣の人に聞けっての('A`)
Adobe Readerはadmとかで設定を集中管理出来ないもんかね。
62:名無しさん@お腹いっぱい。
09/05/01 12:59:58
URLリンク(www.nht-osaka.com)
こんな感じでいっぱいあるんだろうな
スレは鎮火しぎみだけど
早く駆除ツールとか出てほしいけど放置なんかな
63:名無しさん@お腹いっぱい。
09/05/01 13:20:23
次スレいらないなぁ
64:名無しさん@お腹いっぱい。
09/05/01 14:07:40
ファイル書き換えしちゃうから駆除はできても元に戻るわけじゃないのよね
駆除自体もファイルがころころかわるから難しいみたいだし
65:名無しさん@お腹いっぱい。
09/05/01 14:34:02
きりがないからネット用のPCは別にした
ダウンロードしたファイル置き場も別にした
これはこれできりがないかも。。。
66:名無しさん@お腹いっぱい。
09/05/01 15:25:38
Adobe Readerもういらない。
アンインストールしようとしたら
なかなかしぶとかった。
で、PDFは何でみようかな。。
67:名無しさん@お腹いっぱい。
09/05/01 16:46:05
>>66
PDFを見れるマンガビューワーで良くない?
AdobeFlashの代用ってあるんだろうか?
68:名無しさん@お腹いっぱい。
09/05/01 17:09:08
全てsandboxie上で実行すれば
69:名無しさん@お腹いっぱい。
09/05/02 03:33:24
>>67-68
ありがとう。
70:名無しさん@お腹いっぱい。
09/05/02 03:59:44
これってFTP接続時にハックされるの?
それともFFFTPなんかのソフトにあるリストをハックするの?
71:名無しさん@お腹いっぱい。
09/05/02 04:23:20
このウイルスに感染すると
winnyとかshareに異常がきたすって有るかな?
両方とも今までに無いエラーでおちた
72:名無しさん@お腹いっぱい。
09/05/02 12:13:14
>>71
は?死ねよ
73:>>71
09/05/02 12:18:13
/ ̄ ̄ ̄ / /''7 ./''7 / ̄/ /''7
./ ./ ̄/ / /__/ / / ____  ̄ / /
'ー' _/ / ___ノ / /____/ ___ノ /
/___ノ /____,./ /____,./
_ノ ̄/ / ̄/ /''7 / ̄ ̄ ̄/ / ̄/ /'''7'''7
/ ̄ /  ̄ / /  ̄ フ ./ / ゙ー-; ____ / / /._
 ̄/ / ___ノ / __/ (___ / /ー--'゙ /____/ _ノ /i i/ ./
/__/ /____,./ /___,.ノゝ_/ /_/ /__,/ ゝ、__/
74:名無しさん@お腹いっぱい。
09/05/02 14:18:32
>>70
接続時に見ています
75:名無しさん@お腹いっぱい。
09/05/02 17:05:08
>>71
ダウソ板から出てくるなよ
76:名無しさん@お腹いっぱい。
09/05/02 18:28:18
>>71
いろいろ感染してそう
77:名無しさん@お腹いっぱい。
09/05/02 19:03:58
71が叩かれるのはなぜ?
78:名無しさん@お腹いっぱい。
09/05/02 19:33:51
蹴飛ばし推奨ドメイン
gumblar.cn
79:名無しさん@お腹いっぱい。
09/05/02 20:29:26
>>78
thx! 早速対応した。
80:名無しさん@お腹いっぱい。
09/05/02 23:23:54
忌野清志郎、死去 ★2
スレリンク(news板)
URLリンク(up2.viploader.net)
81:名無しさん@お腹いっぱい。
09/05/03 04:23:27
>>61
サーバがおかしいのに自分の使用しているPCに原因があると思って
いろんな設定いじったり、アンインストールしたりした事無いだろお前は
82:名無しさん@お腹いっぱい。
09/05/03 08:18:26
次スレいる?
83:名無しさん@お腹いっぱい。
09/05/03 11:55:19
******* 危険 *******
照英 オフィシャル・サイト
hxxp://www。s-progress。com/talent/show-a/
Analysis report for hxxp://www_s-progress_com/talent/show-a/
現在感染中(6日目に突入)
一応メール送ってるけど反応なし
2009.05.03 AM08 JST 継続
ソース↓
URLリンク(www3.atword.jp)
84:名無しさん@お腹いっぱい。
09/05/03 12:17:37
>>83
乙w鎮火するどころか新型インフルみたいにヌルヌル進行してるな
85:名無しさん@お腹いっぱい。
09/05/03 12:20:01
照英のも同型?
86:名無しさん@お腹いっぱい。
09/05/03 12:21:40
GENOウイルスは進化してマッチョウイルスになった?
87:名無しさん@お腹いっぱい。
09/05/03 12:56:56
GWで鯖缶もいないって状態なんだろうか
88:名無しさん@お腹いっぱい。
09/05/03 13:28:43
【鑑定目的禁止】検出可否報告スレ10
スレリンク(sec板:690-番)n
【ウィルス情報質問 総合スレッド★Part46】
スレリンク(sec板:876-番)n
89:名無しさん@お腹いっぱい。
09/05/03 16:10:44
>>81
ユーザがおかしいのに自分の管理しているサーバに原因があると思って
いろんな設定いじったり、アンインストールしたりする事あるのかお前は
90:名無しさん@お腹いっぱい。
09/05/03 17:09:43
URLリンク(www.pen-house.net)
ここのペン先一覧に飛んだらavastがお怒りになられたんだが
もしかしてGENOウイルス罹ってる?
91:名無しさん@お腹いっぱい。
09/05/03 17:21:15
大手が感染したらやばいな
92:名無しさん@お腹いっぱい。
09/05/03 19:17:04
今回のウイルスってアクロバットリーダーのバージョン5
とか古すぎるやつにも対応してるの?
もし対応しててアウトならfoxitかな。最新版は重すぎるし。
でもfoxitはたまに読めないやつがあるんだよな。
93:名無しさん@お腹いっぱい。
09/05/03 19:20:12
んな古いのはもう論外だろ
94:名無しさん@お腹いっぱい。
09/05/03 23:55:56
でも余計な機能が付いていないから踏んでも何も起きないんじゃないかと思うが
95:名無しさん@お腹いっぱい。
09/05/04 00:08:38
>>94
ただ、もし脆弱性があったとしても、放置される可能性があるけどな。
96:名無しさん@お腹いっぱい。
09/05/04 01:50:41
>>94
とっくに塞がれた他の穴が山ほど空いてるだろ…
97:名無しさん@お腹いっぱい。
09/05/04 01:54:41
放置される可能性があるなんてレベルじゃなく、ほぼ確実に放置なんじゃねーの?
>余計な機能が付いていない
表現能力が低い素のHTMLであってもそのブラウザに致命的なバグがどれだけあったか思い出せば、ね
そもそもPDF自体がPostScriptに色々機能をくっ付けた形式なわけで
98:名無しさん@お腹いっぱい。
09/05/04 01:56:04
>>94
javascriptの機能がないバージョンなら問題ないだろ
99:名無しさん@お腹いっぱい。
09/05/04 09:44:33
mosaicが懐かしい・・・
100:名無しさん@お腹いっぱい。
09/05/04 10:10:45
>>99
Mosaicを実際に使っていた日本人ってかなり少なくないか?
翌年にはNetscape Navigatorが出てたし。
101:名無しさん@お腹いっぱい。
09/05/04 10:28:52
PC98にFreeBSD(98)にX-WindowでMosaic
楽しかったな・・・
102:名無しさん@お腹いっぱい。
09/05/04 13:22:40
URLリンク(www.s-progress.com)
URLリンク(www.wellness.co.jp)
URLリンク(p-frying.com)
URLリンク(sound.jp)
103:名無しさん@お腹いっぱい。
09/05/04 13:59:41
URLリンク(www.nenrei-hayami.net)
104:名無しさん@お腹いっぱい。
09/05/04 14:22:10
>>102
踏んじまったじゃないか・・・
105:名無しさん@お腹いっぱい。
09/05/04 14:54:48
>>102-103 のリンク先URL 踏むな危険!絶惨感染中
>>102-103
URLだけ黙って張るなんて……
踏んじゃったじゃないか……
さようなら……orz
106:名無しさん@お腹いっぱい。
09/05/04 14:58:05
>83にあるURLをわざわざ踏むなんて……
107:名無しさん@お腹いっぱい。
09/05/04 15:01:21
>>102は罪に問われるんじゃないのかこれ
108:名無しさん@お腹いっぱい。
09/05/04 15:08:45
>>102-103
てFLASHとreader最新にしとけば大丈夫とか関係なし?
踏んでないんだが、URLだけだと不意打ち食らうとキツイね。
firefox&NoScriptだったら、だいじょぶなのかな
109:名無しさん@お腹いっぱい。
09/05/04 15:11:46
>>108
>てFLASHとreader最新にしとけば大丈夫とか関係なし?
Yes
>firefox&NoScriptだったら、だいじょぶなのかな
なおさら何の問題無い。(ただし、Noscriptの設定が全サイト許可になっていない場合)
110:108
09/05/04 15:14:25
>>109
d
>>104-105
が踏んで…になってるから不安になっちまいました。
ここにいてもまだ対策してなかった or ギャグ なのかな?
111:名無しさん@お腹いっぱい。
09/05/04 15:16:10
適当な記事にウソリンクでこれ貼られたら無防備に踏んでしまいそう。。
112:名無しさん@お腹いっぱい。
09/05/04 15:23:24
>>107
最も罪に問われるべきは改竄した奴、
次いで(ゴールデンウィークとは言え)放置してる鯖管だろw
113:名無しさん@お腹いっぱい。
09/05/04 15:35:45
102踏んでしまった・・・MACでも感染するのでしょうか?
114:名無しさん@お腹いっぱい。
09/05/04 15:56:04
心配するぐらいなら、クリーンインストールしとけ。
パスワードやデータが流出してからでは遅いぜ。
115:名無しさん@お腹いっぱい。
09/05/04 16:33:17
URLリンク(www.java.com)
Sunのページなんだけどここって感染してる?
なんか表示がおかしいし、ソースもおかしいんだけど。
116:名無しさん@お腹いっぱい。
09/05/04 16:45:08
鑑定スレじゃねーんだ失せろ
117:名無しさん@お腹いっぱい。
09/05/04 17:03:33
>>115
実際にソース見てみると良いよ
最初の1000行以上が空白
Oracleって言うウィルスに感染してる
118:名無しさん@お腹いっぱい。
09/05/04 17:55:46
それはたいへんだ やばいんじゃないか
119:名無しさん@お腹いっぱい。
09/05/04 17:59:45
>>117
mjd?
オレこないだjavaダウンロードしちゃった!
それにもウイルス入ってんのかな!?
120:名無しさん@お腹いっぱい。
09/05/04 18:40:38
>>117 の「最初の1000行以上が空白」について
参考までにWindows上のテキストエディターにて改行を数えてみたところ、
最初の空行(改行だけの行 および タブ+改行だけの行)は224行でした。
121:名無しさん@お腹いっぱい。
09/05/04 19:37:53
103 名前:名無しさん@お腹いっぱい。 投稿日:2009/05/04(月) 19:33:04
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
122:名無しさん@お腹いっぱい。
09/05/04 19:40:47
結局GENOウィルスとはなんだったのか
123:名無しさん@お腹いっぱい。
09/05/04 20:01:24
人生
124:名無しさん@お腹いっぱい。
09/05/04 20:09:11
>>120
結局このウイルスはGENOとは違うみたいだがたいていのアンチウイルスソフト入れてれば防御&検知可能なの?
125:名無しさん@お腹いっぱい。
09/05/04 20:16:38
もうあれから行ってないなあ・・・お気に入りから速攻削除したし、行く気もしないな。
126:名無しさん@お腹いっぱい。
09/05/04 20:24:54
さすがの情弱ももうそろそろあすこは危ないって気づいてるだろ
127:名無しさん@お腹いっぱい。
09/05/04 20:45:11
GENOウイルスについてのまとめサイトのURLってどこだったっけ?
128:名無しさん@お腹いっぱい。
09/05/04 20:48:17
忘れたが全然更新してなかった希ガス何故か誰も利用しない
129:名無しさん@お腹いっぱい。
09/05/04 21:09:42
GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
130:名無しさん@お腹いっぱい。
09/05/04 21:40:13
ありがとう
131:名無しさん@お腹いっぱい。
09/05/04 22:43:47
>>129 もよいですが >>5,>>9,>>12-13 も参考にすることを強くおすすめします
132:名無しさん@お腹いっぱい。
09/05/04 23:26:10
>>117
カスペで何もデナカッタヨ.
誤検知じゃないの?
133:名無しさん@お腹いっぱい。
09/05/04 23:30:29
>>117
ただの冗談じゃなかったの?
URLリンク(www.oracle.com)
134:名無しさん@お腹いっぱい。
09/05/04 23:31:48
>>132
あんたは、Oracleについてぐぐってこい。Sunを買収したとこだよ。
皮肉で言われていることだって気付くのが普通。
135:名無しさん@お腹いっぱい。
09/05/05 00:49:53
GENOウイルスでオタオタする人がオラクルについていちいち知ってるわけないだろ
本気で困るやつもいるんだから、ここだけは親切にいこうぜ
136:名無しさん@お腹いっぱい。
09/05/05 01:00:10
>>134
当方
情弱に於いて並ぶ者無し
137:名無しさん@お腹いっぱい。
09/05/05 01:04:57
>>136
気にすんなw
知らないことなんて誰にでもあるさ
138:名無しさん@お腹いっぱい。
09/05/05 20:20:38
ver.5は大丈夫なのか。
139:名無しさん@お腹いっぱい。
09/05/06 12:20:43
>>19(亀レスですが)
1.がAdobe公式ページに載りました
Adobe - Security Advisories : APSA09-02 -
Buffer overflow issues in Adobe Reader and Acrobat
URLリンク(www.adobe.com)
140:名無しさん@お腹いっぱい。
09/05/06 12:23:35
インスコしてるアンチウイルスソフトのテストしたいんだけど
どっかにウイルス置いてるとこないですかね
141:名無しさん@お腹いっぱい。
09/05/06 12:45:34
>>140
eicar でもやっとけ。
142:名無しさん@お腹いっぱい。
09/05/06 13:22:30
>>141
ありがとうございます
どうやら無事仕事してくれていることを確認しますた
143:名無しさん@お腹いっぱい。
09/05/06 13:38:29
2ちゃんってほんと色んな事に詳しい人がいるんだなぁ…
>>19さん、疑ってごめん。
144:19
09/05/06 15:28:44
許さねぇ・・・
もう誰も信じねぇ・・・
145:名無しさん@お腹いっぱい。
09/05/06 15:35:00
>>144
?どうした?
146:名無しさん@お腹いっぱい。
09/05/06 15:37:31
>>145
>>144は ここの>>19と無関係の偽物。誤爆風愉快犯の暇人。
147:名無しさん@お腹いっぱい。
09/05/06 17:01:55
GENOって店、いまはもう大丈夫なの?
148:名無しさん@お腹いっぱい。
09/05/06 17:05:39
>>147
それはあなた次第です!
149:名無しさん@お腹いっぱい。
09/05/06 17:50:46
【社会】アドビ(Adobe)製品のセキュリティ問題に苦しめられる企業
スレリンク(newsplus板)
150:名無しさん@お腹いっぱい。
09/05/06 20:45:13
Adobe滅ぶべし
スレリンク(news板)
151:名無しさん@お腹いっぱい。
09/05/06 20:51:44
やっとOS再インスコしてきたよ
もうGENOは開かない
キャッシュ削除で証拠隠滅しようとしたことは絶対に忘れない
152:名無しさん@お腹いっぱい。
09/05/06 23:44:45
>>150
>>149と違いあるのかと思ったらモット低俗かよ
ν即民雑魚すぎ、だから(ry
153:名無しさん@お腹いっぱい。
09/05/07 00:17:51
>>148
あそこは元からアウトだろwww
154:名無しさん@お腹いっぱい。
09/05/07 06:33:14
>>151
オレもろくな対応をしなく誠実さの欠片もないホビコンのサイトは二度と覗かない
昨日開催のイベントで謝罪広告が一切無しなのは許せない
忙しくてOS再インスコするまで2週間もパソコン使えず迷惑した
155:名無しさん@お腹いっぱい。
09/05/07 08:09:17
>>154
ホビコンでも2回くらい同じような書き込みしてただろw
今あそこは疥癬があれこれかえてウレチーって言ってるだけのアホスレになってるから
書き込むだけアホらしいよ。
運営がどうしようもないのはディーラーならよく分かってるからWFとトレフェスで頑張れ。
156:名無しさん@お腹いっぱい。
09/05/07 15:45:38
Firefox用アドオンのLinkExtendってよいな。
Dr.Webプラグインはほとんどのサイトでクリーンって言われてしまうけど、
Google、Norton、McAfee等の評価を利用できる。
カスペあたりを入れておいて、ヤバ気なサイトはLinkExtendでチェックすれば
かなり安全な気がする。
URLリンク(addons.mozilla.org)
URLリンク(www.linkextend.com)
157:名無しさん@お腹いっぱい。
09/05/07 17:44:37
>>156
AVGとの組み合わせだと、どうでしょうか?
158:名無しさん@お腹いっぱい。
09/05/07 17:57:55
>>157
知らね。
入れてみればいいんじゃない?
機能も細かく個別に切ったりもできるし。
万が一他のプラグインとの食い合わせが悪かったら捨てちゃえばいいだけでしょ。
159:名無しさん@お腹いっぱい。
09/05/07 19:43:58
www.beauty-wed.co.jp
なぜかここはgumblarがalertになってる。注入失敗?
160:名無しさん@お腹いっぱい。
09/05/07 20:45:01
【重要】掲載広告における遷移先ページのウイルス感染について [2009/05/07]
URLリンク(www.heso-click.com)
>□対象の広告
> 競馬情報会社 ホースマンクラブ
>ホースマンクラブ様のサイトを閲覧されますと、「gumblar.cn」という
>ドメインからスクリプトがダウンロードされ、その後別のファイルをダウンロードして
>不正な処理が実行されるようです。
161:名無しさん@お腹いっぱい。
09/05/07 21:12:09
>>160
その広告が掲載されてるポイントサイトにメールした。
今日になって広告が消されていたのが3サイト。
(へそクリック そんなバナナ preco)
そのままなのが2サイト。
(つぼマイル おこづかい生活)
162:名無しさん@お腹いっぱい。
09/05/07 23:40:40
ホースマンクラブっての自体は今でもヤバいの?
aguseで調べても問題が検出されないんだよな。
生で踏む勇気はないw
163:名無しさん@お腹いっぱい。
09/05/07 23:47:53
1時間くらい前に見に行ったら直ってたっぽい。
ちなみにその前はAVASTがガンガン反応してた。
サイト管理者のPCが直ってるかは不明w
164:名無しさん@お腹いっぱい。
09/05/07 23:53:58
>>163
さんきゅ。
>>156のプラグインが役に立つのかどうか未だにわからん。
165:名無しさん@お腹いっぱい。
09/05/08 04:25:03
156入れたら技術系サイトが表示されなくなった
無理やりjavascriptで書き換えてバグるっぽ
166:名無しさん@お腹いっぱい。
09/05/08 04:57:43
>>165
例えばどこあたり?
@ITなんかは普通に表示できてるけど。
167:名無しさん@お腹いっぱい。
09/05/08 18:47:45
ビッグ3破綻とインフルエンザですっかり影をひそめちまったな
もっと頑張らないと忘れられちまうな
168:名無しさん@お腹いっぱい。
09/05/08 19:03:37
おーい
今さっきGENOからメールきたんだけど
もうwebサイトの方はういるしゅ抜きに戻ったの?
店舗に行くか・・・というかそこで買うのもなんか嫌だから
似たような店教えてくれ←感染しないとこおねがいw
169:名無しさん@お腹いっぱい。
09/05/08 19:28:34
>>168
> もうwebサイトの方はういるしゅ抜きに戻ったの?
今のところは大丈夫なのかもね。
どんな対策を取ったのかまったくわからないから、パワーアップした
新種のGenoウィルスを食らう覚悟が必要だなw
170:名無しさん@お腹いっぱい。
09/05/08 20:10:00
数日おきに入れ代わってるからな、GENOウイルス本体は。
171:名無しさん@お腹いっぱい。
09/05/08 21:40:11
2chのサーバー会社にウイルス
スレリンク(news板)
172:名無しさん@お腹いっぱい。
09/05/08 21:56:20
じわじわ感染が広がってるな
GENOの最初の対処がまずかったのも一因か
173:名無しさん@お腹いっぱい。
09/05/08 22:51:30
maidなんとかってのは踏んだことはないが、2ch見てたら自動的に踏んでるってこと?
もう勘弁してくれよ・・そういうのわかんないんだよ・・・
174:名無しさん@お腹いっぱい。
09/05/08 23:06:36
>>173
専ブラ使ってないの?
175:名無しさん@お腹いっぱい。
09/05/08 23:08:44
ヌーブラ愛用してます
176:名無しさん@お腹いっぱい。
09/05/08 23:29:32
>>169,170
ほんとかよ・・・何が原因かわかってないのね
177:名無しさん@お腹いっぱい。
09/05/08 23:30:10
専ブラ使ってる。
使ってたら大丈夫?
178:名無しさん@お腹いっぱい。
09/05/09 00:11:55
>>173
2chのトップ(URLリンク(www.)2ch.net)とちがくね?
179:名無しさん@お腹いっぱい。
09/05/09 01:03:11
>>177
問題ないと思う
180:名無しさん@お腹いっぱい。
09/05/09 01:08:59
>>178
>>179
ありがとう。
181:名無しさん@お腹いっぱい。
09/05/09 01:57:30
汚染米とラジコン
スレリンク(radiocontrol板:337-番)
スレリンク(bouhan板:20-番)
カビ毒米って便利いいよね。
普通に食べて肝臓癌にして殺すことできるもんね。
気づかれずに何度も侵入、そのたびに米びつのお米をカビ毒米と交換、
後マヨネーズや醤油、ソース、ケチャップ、みりんなどなど毎日少しずつ使うものに弱毒性の毒物を入れておく。
ターゲットは一年以内にアポーン。
気づかれそうになったら若年性統合失調症とか何とかいえば誤魔化せます。
URLリンク(www.tk-telefilm.co.jp)
夜になると不思議と暗くなる部屋のガス灯…それに気づくのは私だけ…。
精神的に追詰められる心理サスペンスの傑作!
昔々から精神病ってエロエロと利用し甲斐があるようで、、、、
ガスライティング----で検索 ガス燈の映画の影響か欧州ではよく知られた方法
メラミンやシュウ酸の粉末を砂糖や塩、牛乳に混入。確実に結石(総胆管結石、尿管結石)になる。
あかちゃんなら異物混入が疑われるが40代50代なら本人の病気ですんでしまう。
あと降圧剤や昇圧剤、利尿剤などなどいろいろあるみたいだね。
これらは砒素のように明らかな毒物でもないから発見されても犯罪の立証がむずい。
薬物毒物と鍵屋の組み合わせは非常に厄介だ。
プロの鍵屋にかかれば開かない鍵はないといわれている。
皆さま、家族全員が留守にする時はお気をつけあそばせ。
あと、尿酸とある種の(現在不明)ある種の薬物を加えると膝痛や腰痛を起こすことが出来るようだ。
重いものを持っていないのに急に腰が痛くなったなどというとき、
ひょっとすると、ひょっとするかもしれませんよ。
旅先での見も知らない人からのドリンクサービスや席を外したあとの飲み物なども危険がいっぱいですよ。
泊りがけの飛行会の後体調異変はありませんか。
---------------------------------------------
みんな気をつけようね。
どんな一流の鍵屋でも無傷で開けられない鍵作らないと、、
現状では一流の鍵屋ならどんな鍵も開けてしまう。
暴力団が借金漬けの鍵屋を支配下に置いたらやりたい放題だよ。
182:名無しさん@お腹いっぱい。
09/05/09 08:05:36
ここ反応するんだけどどう?
URLリンク(www.freaksstore.com)
183:名無しさん@お腹いっぱい。
09/05/09 08:35:12
EXQAUTOのウェブサイトもやられたね。
連休中は死亡状態だったが、今は復旧している模様。
但し、感染にかんするコメントは出されていない。
(闇に葬った可能性大!)
5月6日までにアクセスした人はクリーンインストールよろ。
184:名無しさん@お腹いっぱい。
09/05/09 08:51:08
マジで被害広がってるじゃん。
世間じゃ全く話題にならないけど…
185:名無しさん@お腹いっぱい。
09/05/09 09:16:49
>>182
www.freaksstore.com のウェブサイトに含まれている gumblar.cn のサイトの要素に、
コンピュータに損害を与えたり無断で動作する不正なソフトウェアが含まれている可能性が
あります。不正なソフトウェアを含むサイトにアクセスするだけでコンピュータに感染する
場合があります。
186:名無しさん@お腹いっぱい。
09/05/09 09:33:15
>>184
まぁいいんじゃね?
そのうち職場のやつらが騒ぎ出したら笑いこらえるのがタイヘン
187:名無しさん@お腹いっぱい。
09/05/09 09:40:24
>>182
難読化されたJSコードが挿入されている。
UAを調べてVista未満のWindowsだとgumblar.cnに飛ばす。
188:名無しさん@お腹いっぱい。
09/05/09 09:46:38
Genoウィルス怖いねー
189:名無しさん@お腹いっぱい。
09/05/09 09:54:42
>>182
何で反応したの?
190:名無しさん@お腹いっぱい。
09/05/09 10:18:36
AVG
191:名無しさん@お腹いっぱい。
09/05/09 10:18:46
>>189
スレリンク(sec板)
(>>189はもしかして↓の ID:kiwZ4rzt だったりして?)
(スレリンク(news板:50-52番))
192:189
09/05/09 10:24:19
>>191
そのIDの人とは、別人です。GENOも最初見つかったときは、対応しているセキュリティ
ソフト少なかったから未知のウィルスの対応ってどうすれば、いいのかな?って思って質問
したのです。さっきのリンク先は、URLチェッカーだと安全って表示されてたしね
193:189
09/05/09 10:26:13
リンク先飛んだんだが、javaきってるからAVGが反応してくれるのか分かんないよ・・・
194:名無しさん@お腹いっぱい。
09/05/09 10:35:15
gumblar.cnはgeno以上に活動してるな
195:名無しさん@お腹いっぱい。
09/05/09 10:41:21
>>187
アドレス変わったのか
zlkonは途中で経路切られて終了かと思ったのに
196:名無しさん@お腹いっぱい。
09/05/09 10:43:03
>>182,>>193
Avast以外はスルー。
URLリンク(www.virustotal.com) (2/40)
197:名無しさん@お腹いっぱい。
09/05/09 10:49:30
ここも参考になります
URLリンク(ilion.blog47.fc2.com)
198:名無しさん@お腹いっぱい。
09/05/09 10:50:36
>>194
どうしてもガンダムに見えるんだよなぁ
199:名無しさん@お腹いっぱい。
09/05/09 11:05:39
なぁなぁ、感染してるっぽいサイトをGoogleで検索しただけでavast先生が警告するんだが
これってどうなってるの?
ひょっとして対策してなかったらググっただけで即感染するのか?
例)「村民」で検索したら一番最初に出てくる村民バスのうんたら〜ってサイトが感染してる
らしくavast先生が反応する。
※当然だけど試すなら対策してからやってくれ
200:名無しさん@お腹いっぱい。
09/05/09 11:30:38
>>199
これも>>182と同じだな。難読化のやり方は違うけど処理はまったく同じ。
avastがどう判断してるのかわからないけど、
ググっただけで感染するのはGoogleが改竄されたときだけ。
201:名無しさん@お腹いっぱい。
09/05/09 12:10:18
>>199やっかいだな
対応していないアンチウイルスソフトが多すぎる
202:名無しさん@お腹いっぱい。
09/05/09 12:16:02
Adobe ReaderとFlash Playerを最新版にして、Javascriptを無効にしてても
感染しちゃうのでしょうか?
203:名無しさん@お腹いっぱい。
09/05/09 13:12:50
散布元がこれだけファイルをコロコロ変えてくるとシグネチャ定義では対応できません。
204:名無しさん@お腹いっぱい。
09/05/09 14:23:41
>>202
感染します。
感染後の、AdobeReaderを利用した動作部分のみ行なえないだけで、他の動作はするでしょうね。
常駐してftpサイト更新を検知したら〜とか。コマンドプロンプト出そうとしたら起動できないとか。
ほぼ日替わりで本体が入れ代わってるので、その日に、どんなものが落ちてきて実行されるかなんて
わかりません。業者の方が撤退しない限りは、PG2などで、gumblar.cn の範囲をブロックするのが有効です。
205:名無しさん@お腹いっぱい。
09/05/09 14:44:46
Javascript無効なら感染しないんじゃないの?
206:名無しさん@お腹いっぱい。
09/05/09 15:23:05
>>202の条件なら、しねぇだろ
207:名無しさん@お腹いっぱい。
09/05/09 15:36:15
お気に入りの通販サイトなんかあったらjavascript有効にするだろうから
普通のサイトが突如ウイルス拡散することになるのは恐怖だな。
208:名無しさん@お腹いっぱい。
09/05/09 16:25:44
さっきPDF開くようなサイトじゃないのにAdobe ReaderがJavaScriptがONじゃないと表示されないよと
警告してきた。Adobe Reader9のJavaScriptは切ってる。これはもしや引掛ったか?
209:名無しさん@お腹いっぱい。
09/05/09 16:27:43
>>199
感染するかは分からないけど、先読み無効に出来るみたい。
URLリンク(www.google.com)
リンク先読み機能 - プリフェッチ
一部の Google 検索については、ユーザーがクリックする前に最上位の検索結果のダウンロードを開始しています。
そのため、最上位の結果をクリックすると、リンク先ページが高速で読み込まれます。
この特殊なプリフェッチ機能は Firefox および Mozilla ウェブ ブラウザだけで、Internet Explorer などの他のブラウザではご利用いただけません。
Mozilla のプリフェッチ FAQ に記載されているとおり、プリフェッチ機能はウェブ ブラウザの設定で無効にできます。
Firefox でプリフェッチを無効ににする方法:
アドレス バーに「about:config」と入力します。
「network.prefetch-next」の設定まで下にスクロールし、値を「False」に設定します。
210:名無しさん@お腹いっぱい。
09/05/09 16:34:11
>>208
リンクされない程度に削ってURLうpおね
211:名無しさん@お腹いっぱい。
09/05/09 16:39:21
>>210
h++p://cmd-pro.com/m_com.html
212:名無しさん@お腹いっぱい。
09/05/09 16:48:59
>>209
先読みが静的データとしてバックグラウンドで読んでるならいいのだが、違ったら感染するな
213:名無しさん@お腹いっぱい。
09/05/09 17:44:21
>>211
gumblar.cnだな。
あと、そこと同じようなレイアウトのサイトが他にもいくつかあるんだが、
もし管理者が同じ人物なんだとするとftp経由で軒並み改竄されるかもしれない。
ちょっと確認したところでは
www■wa-purokentei■com
は改竄済み。
214:名無しさん@お腹いっぱい。
09/05/09 17:50:49
>>208
Adobe側のScriptをオフにしといたんだろ?
メッセージを鵜呑みにしてオンにしなきゃセーフ
215:名無しさん@お腹いっぱい。
09/05/09 17:51:38
>>213
了解した。サイト管理者に通告すべきだな。
あと、acroreadのJavaScript切ってたら大丈夫だろうか…
今a-squaredでスキャン中なのだが。
216:名無しさん@お腹いっぱい。
09/05/09 17:53:50
>>214
ONにはしなかった。一応だけど調査継続しておく。
217:名無しさん@お腹いっぱい。
09/05/09 20:00:26
>>216
切ったままでオンにしなきゃ大丈夫。
その状態でわざと踏んで検体拾って送ったりしてるんで。
218:名無しさん@お腹いっぱい。
09/05/09 20:33:41
>>217
だが結局はAdobeだ。死ぬなよ。
219:名無しさん@お腹いっぱい。
09/05/09 20:52:47
>>218
今のところ平気。
ちなみにFoxit用のコードも実戦投入されているので
FoxitもScript切らないとだめくさ(設定箇所は同じ)。
220:名無しさん@お腹いっぱい。
09/05/09 21:09:28
>>212
それはまずい
けど、そんなに問題ならもっと以前から騒がれてる気がするけど
結構昔からついてる機能みたいだし
221:名無しさん@お腹いっぱい。
09/05/09 21:28:47
これに感染したっぽくてバックアップデータを取って
OSを再インストールしたいんだけど
インスコし直したPCにバックアップデータを入れても
ウイルスってついてこないのかな?
こういった感染例ってありますか?
新OSでスキャンして反応なかったら大丈夫なのかな
222:名無しさん@お腹いっぱい。
09/05/09 22:14:10
管理してるサイトに置いてあったPHPに例の一行目と、HTMLにjsが追加されてるのを発見
クライアントPCは感染していないのを確認
実は数日前、レンタルサーバー屋さんに速度がらみでのなにかしらの処理をしてもらった
のだが、これが原因ということはありますかね?
サーバー屋さんが感染してるとか…
223:名無しさん@お腹いっぱい。
09/05/09 22:23:19
>>199
>>209
コワーイ
224:名無しさん@お腹いっぱい。
09/05/09 22:28:35
>>221
単純にそれだけ聞く分にはまだダメじゃないか?
・FTP他のパスワードを新環境側から変更する
・手持ちのHTML系データは手作業で感染チェックする
・バックアップソフトで一括バックアップはしない
・アンチウィルスが全て対策してるわけではないので、信用しすぎない
HTMLの手動チェックは辛いところだが、他は最低限気にすべきかと思う
225:名無しさん@お腹いっぱい。
09/05/09 22:40:49
>>189
URLリンク(www.virustotal.com)
これだろ
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5384日前に更新/219 KB
担当:undef