GENOウイルススレ　★4 at SEC

---

[2ch|▼Menu]

1:名無しさん＠お腹いっぱい。
09/05/15 13:54:01
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染が疑わしい人は迷わずクリーンインストール推奨です。

★Anubisレポート
URLﾘﾝｸ(anubis.iseclab.org)

★このサイトをブックマーク推奨
URLﾘﾝｸ(www3.atword.jp)

★過去スレ
GENOウイルススレ　★3
ｽﾚﾘﾝｸ(sec板)
GENOウイルススレ　★2
ｽﾚﾘﾝｸ(sec板)
GENOウイルススレ
ｽﾚﾘﾝｸ(sec板)


2:名無しさん＠お腹いっぱい。
09/05/15 13:54:10
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】

3:名無しさん＠お腹いっぱい。
09/05/15 13:59:10
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例

１．Adobe Readerを起動し「編集」メニューの「環境設定」
　　「Acrobat JavaScriptを使用」のチェックボックスをオフ（チェックを外す）
　　OKを押して設定確定後、Adobe Readerを終了。
↓
２．必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
　　設定は SpeedUp - Fast がおすすめ。
　　　注意すべきは
　　　Acroform（拡張子なし）
　　　Annotations（拡張子なし）
　　　これら2つのチェックボックスをオン（チェックが入っている）状態にしておく必要がある。
　　　そうしないと Adobe Reader が起動しなかったりする。

　　　このとき追加作業として
　　　EScript.apiとEScript.JPNのチェックボックスをオフ（チェックを外す）状態にしておくと
　　　より安心かもしれない。

以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Readeｒ以外の環境設定をどうするかも各自考える必要があります。


4:名無しさん＠お腹いっぱい。
09/05/15 14:01:06
【OS】 Windows Me
【使用セキュリティソフト】 avast! 4.8 Home Edition
【疑った理由】　106hotline.com/guidance/kiso_syougou.html にアクセスしようとしたら、avastが反応したため
【症状】 avastが反応し、警告音と共に「JS:Redirector-H2（トロイの木馬）を検出した」と表示されたので、
　　　　驚いてすぐにIEを閉じたが、「ウイルスチェスト」への移動が「エラー」となり、感染したか未然防止できたか不明
【確認手段】 「TemporaryInternetFiles」の中身を全部削除した後、avastで全ドライブをチェック
【結果】 ウイルスの検出無し

5:テンプレ続き
09/05/15 14:04:47
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。

インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
　※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している（このため、セキュ各社の自動検出が難しくなっている）
感染しない環境には何も返さない（更に検証が難しい）
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
　※検出率が上がる頃には次の種類になっている

感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
URLﾘﾝｸ(www3.atword.jp)


6:名無しさん＠お腹いっぱい。
09/05/15 14:04:47
次スレいらないね

7:名無しさん＠お腹いっぱい。
09/05/15 14:07:48
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

8:名無しさん＠お腹いっぱい。
09/05/15 14:07:52
　１．Adobe Flash Player のアップデート
　２．Adobe Acrobat Reader のアップデート
　３．NoScriptの導入（Firefoxの導入）
　４．Adobe Acrobat Readerの JavaScript OFF( >>3 )
　５．危険IPのブロック

9:テンプレ続き
09/05/15 14:09:13
感染予防対策

１．Adobe Flash Player の最新版にアップデート
２．Adobe Acrobat Reader の最新版にアップデート
３．NoScriptの導入（Firefoxの導入）
４．Adobe Acrobat Readerの JavaScript 機能OFF
５．危険IPのブロック

随時追加

10:テンプレ続き
09/05/15 14:09:38
>>8
すまん被った

11:名無しさん＠お腹いっぱい。
09/05/15 14:14:17
どっか踏ませてくれえええええええええ

12:テンプレ続き
09/05/15 14:15:05
以下攻撃されたサイト
小林製薬
URLﾘﾝｸ(www.kobayashi.co.jp)

国内の正規サイト改ざん：攻撃サイトを変え再襲来
URLﾘﾝｸ(www.so-net.ne.jp)

13:テンプレ続き
09/05/15 14:16:54
GENOウイルスまとめ
URLﾘﾝｸ(www29.atwiki.jp)


14:名無しさん＠お腹いっぱい。
09/05/15 14:17:11
106hotline.com/guidance/kiso_syougou.html

↑
ウイルスに感染しているサイト

15:名無しさん＠お腹いっぱい。
09/05/15 14:23:40
新スレ乙。

規制中なんで携帯からスマソ。さっき俺のバスター先生2009のセキュリティレポの中の｢フィッシング詐欺対策｣てのを見てたら｢h※※p://gumblar.cn〜｣てのが沢山あった。

これって感染サイトにアクセスしたけど一応は先生が守ってくれたって事でいいよな？
カスペとか以外は対策されてないかと思ってた。

まあ初期型のみだろうが…。それにしても知らずにこれだけの数踏んでるなんて。

16:名無しさん＠お腹いっぱい。
09/05/15 14:24:54
avast、GDATAの導入

17:名無しさん＠お腹いっぱい。
09/05/15 14:25:29
>>14
反応なかた・・・

18:名無しさん＠お腹いっぱい。
09/05/15 14:29:05
>>16
GDATAって何？

19:名無しさん＠お腹いっぱい。
09/05/15 14:30:46
>>17
106hotline.com/guidance/kiso_syougou.html スクリプト削除済
asagaya-drum.com/ 修復中

20:名無しさん＠お腹いっぱい。
09/05/15 14:34:04
>>6
GENO社員乙

21:テンプレ続き
09/05/15 14:36:01
現時点で確認出来る対策ソフト　
・Avast!
・Kaspersky

以下随時確認取れ次第追加
但し亜種の発生に追いついていない現状に注意


22:名無しさん＠お腹いっぱい。
09/05/15 14:37:40
アンラボも対応済みってきいたけど　

23:名無しさん＠お腹いっぱい。
09/05/15 14:39:38
感染の有無の判定方法で、

sqlsodbc.chmのファイルサイズとMD5をチェック

ってのがあるらしいけど、「sqlsodbc.chm」と「MD5」って何？

24:名無しさん＠お腹いっぱい。
09/05/15 14:40:55
>>21（前スレ995-1000）
その情報は間違い。

カスペはすり抜けするぜ。（htmlに入ったスクリプト）。バスターもだめ。

カスペに送ったうちの一部は、検出名ついてきたけど、一部は白判定で返答来てるから。
せいぜいがとこ、スクリプトをまともに防げるのは、Avastとソフォスだけだな。

で、落ちてきた実体部分については…ほぼ日替わりだから、対策困難。
検知可能と報告した時点の最新版がスルーすることも多いので、○○なら大丈夫という情報は
嘘情報になりかねないので乗せないほうがいい。

25:名無しさん＠お腹いっぱい。
09/05/15 14:42:05
今回のウイルスはパターンファイルじゃ追いつかないんだよなぁ
URLﾘﾝｸ(www.fourteenforty.jp)

これなんか良いと思うけど、まだ発売されてないし

26:名無しさん＠お腹いっぱい。
09/05/15 14:42:11
前スレ959のリスト
MADET-NET RU :95.2.252.0-195.2.253.255
↑これ範囲が広すぎてほとんどの接続が不能になるぞ。

MADET-NET RU :195.2.252.0-195.2.253.255
の間違いだよな。

27:名無しさん＠お腹いっぱい。
09/05/15 14:42:15
>>21
>>24

注意を引きやすいように赤くしておこう

28:名無しさん＠お腹いっぱい。
09/05/15 14:43:16
>>24

カスペはスクリプト防げたってみたけど？

うちも踏んでもブロックしてくれたけど

29:テンプレ続き
09/05/15 14:44:52
>>21
では、この対策ソフト関係は無しでということで

30:名無しさん＠お腹いっぱい。
09/05/15 14:45:29
ネットで生きていくためには俺たちも戦士にならなければならない

31:名無しさん＠お腹いっぱい。
09/05/15 14:45:36
んじゃ、逆に旧種に対策されてないソフトをあげたらどうかな？

使っているやついたら乗り換えすすめられる

32:名無しさん＠お腹いっぱい。
09/05/15 14:46:03
>>21,24
赤くしとくか

33:名無しさん＠お腹いっぱい。
09/05/15 14:46:23
>>15
「フィッシング詐欺対策」って無効にしてるんだけど、設定したほうがいいのかな･･･
レベルは中ですか？それと「URLフィルタ」も有効にしてる？

34:名無しさん＠お腹いっぱい。
09/05/15 14:46:30
>>23
マジレス 「sqlsodbc.chm」と「MD5」でググルと一発ｗ

35:名無しさん＠お腹いっぱい。
09/05/15 14:46:53
>>26
すまん　195.2.252.0-195.2.253.255の間違い　orz
ファイルを訂正しときます。

36:テンプレ続き
09/05/15 14:47:14
ただ、カスペのサポセンに電話して聞いた時は
チェックする際は設定は高にして一度だけではなくスキャンを何度かしてくれと言われた。

37:名無しさん＠お腹いっぱい。
09/05/15 14:48:28
対策されてないのなんてあるんか？

安物はやばそうな悪寒はするが

38:名無しさん＠お腹いっぱい。
09/05/15 14:50:31
>>37
ノートン先生
URLﾘﾝｸ(www3.atword.jp)

39:名無しさん＠お腹いっぱい。
09/05/15 14:50:46
>>33
「フィッシング詐欺対策」オンにしる

40:名無しさん＠お腹いっぱい。
09/05/15 14:51:03
>>24

工ｴｴｪ工ｴｴｪヽ(`Д´)ﾉｪｴｴ工ｪｴｴ工

41:名無しさん＠お腹いっぱい。
09/05/15 14:51:38
ノートン先生ww

Avast!とカスペはスクリプト(html)は検出してくれたよ。
本体は感染してないから知らんけど。

42:名無しさん＠お腹いっぱい。
09/05/15 14:52:46
前936の人横から頂きました�d
でも一部間違えてるみたい

43:前スレ959
09/05/15 14:53:56
訂正しました
URLﾘﾝｸ(www.rupan.net)

44:名無しさん＠お腹いっぱい。
09/05/15 14:56:22
>>39
今、中で設定した

45:15
09/05/15 15:00:57
>>33
俺は中にしてる。

12日に発生したsaymoveの件でこのウイルスについて調べ始めたが、その>>15のレポートには9日や10日にもブロックの形跡があった…。
恐すぎだろコイツ

46:名無しさん＠お腹いっぱい。
09/05/15 15:01:45
AcrobatやFlashをアップデートしても感染することってありえる？

47:名無しさん＠お腹いっぱい。
09/05/15 15:01:47
>>28
スクリプトは複数種類存在する。バリエーションの多さについては、このサイトの解説が詳しい。
URLﾘﾝｸ(ilion.blog.shinobi.jp)


カスペは一部はブロックするが、白判定ですり抜けるスクリプトがあることが判明しています。
（検体提出の返事で、白判定の返答だったから、一部は、確実にスルーすることが確定）
「防げる場合もあるが、防げないケースもある」ものを、「防げる」と言い切っちゃいけないだろ。

>28さんのブロックできたというのは、一部のブロックできるものに遭遇したケースだったってこと。
手持ちのサンプルをVirusTotalにかけた結果を見てくれ。

カスペが確実にスルーするスクリプトが入ってるもの（あさがやドラム）
URLﾘﾝｸ(www.virustotal.com)

カスペが黒判定出してきたのでブロックできるもの
URLﾘﾝｸ(www.virustotal.com)
URLﾘﾝｸ(www.virustotal.com)

48:名無しさん＠お腹いっぱい。
09/05/15 15:02:31
>>43
パスは？

49:名無しさん＠お腹いっぱい。
09/05/15 15:04:27
>>47

ほー

カスペや先生でもこの調子じゃ
弱小ベンダーのはもっとやべえんじゃねえ？

50:名無しさん＠お腹いっぱい。
09/05/15 15:05:33
あ、カスペのブラックリストに gumblar.cn 入れてるから、スクリプトの判定では無く、
フィルタリングによってブロックできる・・・・・・・・という意味なら、ブロックできることになるね。

ただ、それも、「設定次第ではブロックできる」ということなので。

gumblar.cn については、こいつならブロック/駆除できると言い切れるものはないでしょ。

51:名無しさん＠お腹いっぱい。
09/05/15 15:05:34
javaじゃなくてjavascriptを禁止すればいいんですよね？

52:名無しさん＠お腹いっぱい。
09/05/15 15:06:49
完全な防御は不可能か。常に感染していないか気を配って置いて
何らかのバックアップソフトを使っていつでも復元出来るようにしておくのが一番の対策か。


53:名無しさん＠お腹いっぱい。
09/05/15 15:07:00
>>51

acrobatとflashをアップデートしれ

javascriptだけだとすり抜けるかもしれん

54:名無しさん＠お腹いっぱい。
09/05/15 15:08:35
>>53
どうも、やってみます

55:名無しさん＠お腹いっぱい。
09/05/15 15:09:19
IEやFxのフィッシングサイトリストには入ってないのか

56:名無しさん＠お腹いっぱい。
09/05/15 15:09:51
>>55

Firefoxのフィッシングリストには入ってるみたい

57:名無しさん＠お腹いっぱい。
09/05/15 15:11:07
>>48
こっちね　URLﾘﾝｸ(www.rupan.net)

58:名無しさん＠お腹いっぱい。
09/05/15 15:13:55
亀でごめん。

前スレの↓とレス（>>879）もらった者ですが、

＞888 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/05/15(金) 12:11:34
＞>>859
＞それだけじゃセーフとはいえない
＞>>879
＞横柄とかそんなアホな問題じゃなくて
＞中身が変わりすぎて対応しきれないだけ

「対応しきれない」ってのは、かなり凶悪だよね？
それこそｲﾝﾌﾙｴﾝｻﾞ（強毒）クラスじゃん。

収束すんのだろーか・・・。

59:名無しさん＠お腹いっぱい。
09/05/15 15:14:03
>>48
ｽﾚﾘﾝｸ(sec板:239-240番)

60:名無しさん＠お腹いっぱい。
09/05/15 15:16:15
>>57
91.211.64.0/23
91.212.65.0/24

は入れないでいいのかな？

61:名無しさん＠お腹いっぱい。
09/05/15 15:16:24
>>58

凶悪すぎてうかうかネットできん

知り合いに教えてあげて

62:名無しさん＠お腹いっぱい。
09/05/15 15:17:03
>56
Fxで攻撃サイトと偽装サイトの警告を有効にすると重くなるから使ってなかったわ。見直しちゃうぞ。

63:名無しさん＠お腹いっぱい。
09/05/15 15:18:48
>>38
404

64:名無しさん＠お腹いっぱい。
09/05/15 15:23:32
情弱だが危険IPのブロックってどこでやるんだ？
あと>>57って数字のみ入れるのか？

65:名無しさん＠お腹いっぱい。
09/05/15 15:25:20
まだ記入漏れあったか＞＜

ご指摘ありがとです。>>60　入れときます


66:名無しさん＠お腹いっぱい。
09/05/15 15:25:55
>>64
ｽﾚﾘﾝｸ(sec板)
URLﾘﾝｸ(www.nicovideo.jp)

67:名無しさん＠お腹いっぱい。
09/05/15 15:27:05
>>62
それ俺も切ってるけど、入れると重くなるだけじゃなく、HDガリガリ凄いんだよな･･･

68:名無しさん＠お腹いっぱい。
09/05/15 15:27:09
>>66
誘導さんくす

69:名無しさん＠お腹いっぱい。
09/05/15 15:28:36
>>62
それでもIEより全然軽いし

70:名無しさん＠お腹いっぱい。
09/05/15 15:30:21
感染サイト

beauty-wed.co.じぇいぴー

71:名無しさん＠お腹いっぱい。
09/05/15 15:35:32
Acrobat Reader 5.1 のままなんだけど
ヤバイの？

72:名無しさん＠お腹いっぱい。
09/05/15 15:36:42
どこに地雷が仕掛けられているか分からない感じだな。


73:名無しさん＠お腹いっぱい。
09/05/15 15:37:22
>>71
LANケーブル引っこ抜いて永遠にネットにつないでくれれば大丈夫。

74:名無しさん＠お腹いっぱい。
09/05/15 15:37:34
>>71
むしろ、余計な機能が付いてなくて安全と言えよう。
使わないならアンインストールしちゃいな。

75:名無しさん＠お腹いっぱい。
09/05/15 15:39:30
>>71
んな古いのはとっくにディスコンだろ。
「仮に」今回のに引っかからないとしても
他の大穴がいくつも開いていると思われる。

76:名無しさん＠お腹いっぱい。
09/05/15 15:39:46
PG2って
バスターとかと競合したりしない？

77:Block txt
09/05/15 15:40:38
もう大丈夫だと思われ
URLﾘﾝｸ(www.rupan.net)

ご迷惑おかけしました

78:名無しさん＠お腹いっぱい。
09/05/15 15:41:45
>>74-75
使ってるけどアップデートしてない
やっぱヤバイのか

79:名無しさん＠お腹いっぱい。
09/05/15 15:44:40
感染サイトを随時報告するスレを立てた方がよくない？

80:名無しさん＠お腹いっぱい。
09/05/15 15:45:54
前スレでバスターが対応してるってあったけど、ほんと？
もちろん100％ブロックしてくれるとは思わないけど、
一応問題意識は持ってるって事？

81:名無しさん＠お腹いっぱい。
09/05/15 15:46:01
>>78
気にスンナ。
そんなことよりもバックアップを取る方を重視しな。
HDD丸ごとバックアップ。
これで安心だよ。
万能な安全策なんてないんだしさ。

82:名無しさん＠お腹いっぱい。
09/05/15 15:47:42
>>80
先生よりマシ

今は何を信用していいのかわからん

83:名無しさん＠お腹いっぱい。
09/05/15 15:49:21
discontinued＝生産中止
円盤=ディスクを操る=コントロールするところから、ディスク・コントロール、略してディスコン

84:名無しさん＠お腹いっぱい。
09/05/15 15:51:10
>>82
レスありがとう

85:名無しさん＠お腹いっぱい。
09/05/15 15:55:56
>>67
C:\Documents and Settings\[ユーザ]\Local Settings\Application Data\Mozilla\Firefox\Profiles\[xxxxxxxx].default\urlclassifier3.sqlite
を SQLite Manager とかで Vacuum して Reindex して Defrag したらましになるかも。

86:名無しさん＠お腹いっぱい。
09/05/15 15:59:52
PeerGuardian2 日本語版導入しようとしたが出来んわ
リンクページがないといわれる

87:名無しさん＠お腹いっぱい。
09/05/15 16:01:38
英語版でいいよ
難しい事なんてないから

88:名無しさん＠お腹いっぱい。
09/05/15 16:01:39
いらんやろ

89:名無しさん＠お腹いっぱい。
09/05/15 16:01:50
Adobe Reader/Acrobatの脆弱性対策を考える
URLﾘﾝｸ(internet.watch.impress.co.jp)

正規サイトに感染広がる：新手のWebベースマルウェアが急拡大
URLﾘﾝｸ(www.itmedia.co.jp)
(Sophos)

あとAdobeReaderのJavaScriptを切るというのは何度も言われているけど
「俺FoxitReaderだから関係ないや」という人もとりあえず切っておきましょう。

PDFビューアーの脆弱性を狙う攻撃 (IBM ISKK)
URLﾘﾝｸ(www.isskk.co.jp)
「Foxit Reader」の脆弱性を狙う攻撃が、Webサイト経由で行われていることを確認しています。
不正な PDFファイルを表示させようとする Webサイトでは、
「Adobe Reader / Acrobat」「Foxit Reader」両方を攻撃するための PDF が準備されているため、
どちらのアプリケーションを利用している場合も注意が必要です。

90:名無しさん＠お腹いっぱい。
09/05/15 16:02:00
>>79
それ個人サイトも対象？

91:名無しさん＠お腹いっぱい。
09/05/15 16:05:05
>>79
頼むよ。
手っ取り早く情報を得られていいね。


92:名無しさん＠お腹いっぱい。
09/05/15 16:08:06
立てた方がいいかもね
テンプレで専ブラも直リンできない形式を推奨して

93:名無しさん＠お腹いっぱい。
09/05/15 16:11:53
>>77
頂きました。
thanks!

94:名無しさん＠お腹いっぱい。
09/05/15 16:13:12
>>77おつ〜

95:名無しさん＠お腹いっぱい。
09/05/15 16:25:50
>>79
感染を完璧に把握する方法はまだないわけで

セキュリティソフトが警告を出したサイトを随時報告するスレ
あたりにしとくのがいいんじゃね？


96:名無しさん＠お腹いっぱい。
09/05/15 16:27:38
確かに焦って無実なサイトを晒すのは非常にまずい。

97:名無しさん＠お腹いっぱい。
09/05/15 16:28:47
ここでやればいいよ

98:名無しさん＠お腹いっぱい。
09/05/15 16:29:32
GENOウイルスとやらに感染していたらしい
URLﾘﾝｸ(magnet.at.webry.info)

こりゃウイルスかもしれんとレジストリエディタ起動しようとしたら起動しない。
regedit.exeをリネームすると起動できる(苦笑)。

99:名無しさん＠お腹いっぱい。
09/05/15 16:35:44
このウイルスってWebサイトが感染しているというより
Web制作に関わっている企業が感染してんだよな
小林製薬のケースだと広告代理店経由で別の商業サイトも請負って
それを下請けや孫請けという流れで不特定多数が関わっているだろうから
何度直しても気づかないうちにまた再感染して拡大して
ビッチグループに獲り付いた悪質な性病みたいだな

100:名無しさん＠お腹いっぱい。
09/05/15 16:38:14
Web制作会社に損害賠償請求てあんの？

101:名無しさん＠お腹いっぱい。
09/05/15 16:38:45
前スレにも出てたね制作会社の話
いくら不況とは言えサイト作りまくってるだろうからやばすぎ

102:名無しさん＠お腹いっぱい。
09/05/15 16:38:53
これって、感染者がアクセスしただけではサイトには感染しないの？
サイトの管理者がどっかで踏んできて、ソースが書き換えられない限りはＯＫなの？

103:名無しさん＠お腹いっぱい。
09/05/15 16:40:22
・・・。

104:名無しさん＠お腹いっぱい。
09/05/15 16:40:23
>>102

おそらく
パスとか盗まれるからそれでもやばい

105:名無しさん＠お腹いっぱい。
09/05/15 16:42:18
>>102
そうなったら大混乱だお。

106:名無しさん＠お腹いっぱい。
09/05/15 16:43:57
すでに大混乱になってもおかしくないはず
一説によるきんたまみたいなこともやらかすらしいぞ

キーロガー＋キャプチャー

107:名無しさん＠お腹いっぱい。
09/05/15 16:51:53
>>77
これウイルスバスターで設定したいんだけど
URLﾘﾝｸ(esupport.trendmicro.co.jp)
ここ見てもどう設定していいか分かんない･･･orz

方向　○受信　○送信

処理　○許可　○拒否　○警告

プロトコル　○TCP　○UDP　○TCP/UDP　○ICMP(IPv4)　○すべて　○カスタム

タイプ　○すべての種類　○指定の種類

タイプ
○すべてのIPアドレス
○IPアドレス(IPv4)
○指定範囲のIPアドレス(IPv4)
○サブネットマスク(IPv4)
○ブロードキャスト
○マルチキャスト(IPv4)
○ローカルネットワーク

サポートに聞いたほうがいいかなｗ？

それと注意書きに
例外ルール設定に、トロイの木馬が使用するプロトコルとポート番号を設定した場合については
トロイの木馬アタックを防ぐことができません。
例外ルール設定の追加に関しましては、お客様の自己責任でおこなっていただきますよう
お願いいたします。

ってあるのはどういう意味だろ･･･？

108:名無しさん＠お腹いっぱい。
09/05/15 16:53:34
久しぶりに覗いたらトンチンカンな奴ばっかでﾜﾛﾀ

109:名無しさん＠お腹いっぱい。
09/05/15 16:57:46
どうトンチンカン

110:名無しさん＠お腹いっぱい。
09/05/15 16:57:47
>>107
せっかく買ったソフトなんだからサポートを活用すれば良いよ

111:名無しさん＠お腹いっぱい。
09/05/15 16:58:40
前スレにでてたニフティは大丈夫なんでしょうか？
昨日ニフティのセキュリティ通信を見ていたのですが。。。


112:名無しさん＠お腹いっぱい。
09/05/15 16:59:26
上のほうでソフォスおｋって出てたけど、ガチ？
入れてるやつ防げた？

113:名無しさん＠お腹いっぱい。
09/05/15 17:01:49
たしかにトンチンカンだ

>>111

レンサバのほうだよ

114:名無しさん＠お腹いっぱい。
09/05/15 17:04:42
>>1のサイトの人
記事削除しちゃった？

115:名無しさん＠お腹いっぱい。
09/05/15 17:06:28
>>111
多分あれは貸し出してる鯖で感染者出てるって警告送っても
該当サイトを削除しないってことじゃないか？
ニフティの全鯖が犯されていたら阿鼻叫喚になるぞｗ

116:名無しさん＠お腹いっぱい。
09/05/15 17:07:09
どっかの圧力？？？
URLﾘﾝｸ(www3.atword.jp)

117:名無しさん＠お腹いっぱい。
09/05/15 17:10:57
>>116
気になるなｗｗｗ

118:名無しさん＠お腹いっぱい。
09/05/15 17:13:20
個人鯖かな

119:名無しさん＠お腹いっぱい。
09/05/15 17:13:49
かなり有用な情報だったのに残念だ
セキュリティに疎い人にはあれぐらいハッキリ書かないとわからないだろうに


120:名無しさん＠お腹いっぱい。
09/05/15 17:18:40
>>81
アクロニスで定期的にバックアップはしてるよ
頻度上げよっかな

121:名無しさん＠お腹いっぱい。
09/05/15 17:22:16
>>116
大手企業もやられてるし
ニムダ以上に悪質で感染者も多い筈なのに全然報道されずにいる。
やっぱりやられた大手企業が・・って疑うよね。

122:名無しさん＠お腹いっぱい。
09/05/15 17:23:51
まぁアレげな会社が1社混じってるい、そこだろうな。


123:名無しさん＠お腹いっぱい。
09/05/15 17:29:36
みかかウゼェ

124:名無しさん＠お腹いっぱい。
09/05/15 17:32:54
本当に報道されなさ過ぎだよね

不自然にｗ

125:名無しさん＠お腹いっぱい。
09/05/15 17:33:16
>>116
SAKURAインターネット
株式会社 PURENIC JAPAN
NTTコミュニケーションズ
ニフティサーブ ネットワーク

脅したのは誰だ？許さんぞ

126:名無しさん＠お腹いっぱい。
09/05/15 17:38:00
macの報告ないね・・・
気付いてないのかな

127:名無しさん＠お腹いっぱい。
09/05/15 17:38:05
このスレで補完したいけど難しいかなぁ

128:名無しさん＠お腹いっぱい。
09/05/15 17:38:37
さくら悪くないモン！

129:名無しさん＠お腹いっぱい。
09/05/15 17:40:40
cmd.exe、regedit.exeを両方とも起動できる場合は感染してないと見ていいの？

130:名無しさん＠お腹いっぱい。
09/05/15 17:44:28
ここも参考になる
URLﾘﾝｸ(jvnrss.ise.chuo-u.ac.jp)

131:名無しさん＠お腹いっぱい。
09/05/15 17:44:45
いいえ

132:名無しさん＠お腹いっぱい。
09/05/15 17:48:51
>>126
OSXでWindows用のexeが動くわけないっつーか
そもそもNT6(Vistaとか7とか)を除くWindows、と
スクリプトで選別してるんだが

133:名無しさん＠お腹いっぱい。
09/05/15 17:50:57
勢いトップだなここｗ

134:名無しさん＠お腹いっぱい。
09/05/15 17:52:59
2Kなんですけど、sqlsodbc.chmが検索してもでてこないんです
（sqlsodbc.hlpならありました）
これって感染してるんでしょうか？すみませんが教えてください

135:名無しさん＠お腹いっぱい。
09/05/15 17:53:30
無いならいいんじゃね?

136:名無しさん＠お腹いっぱい。
09/05/15 17:55:45
ありがとうございます　てか無くてもいいんですか？

137:名無しさん＠お腹いっぱい。
09/05/15 17:56:18
>>134
2Kは出てきたらアウトだよ

138:名無しさん＠お腹いっぱい。
09/05/15 17:56:47
オウム返ししてんじゃねーよ

139:名無しさん＠お腹いっぱい。
09/05/15 17:58:26
誰か消されたデータの魚拓取ってない？

あそこに貼ってたサイト全部NGにぶち込みたいわ

140:名無しさん＠お腹いっぱい。
09/05/15 17:58:45
>>137
ありがとうございます！助かりました
>>138
ごめんなさい、心配だったのでつい、、これにて退散します　お邪魔しました

141:名無しさん＠お腹いっぱい。
09/05/15 18:06:48
>>139
>>125は？

142:名無しさん＠お腹いっぱい。
09/05/15 18:11:17

前スレからのコピペ
※各社レンタルサーバーを使ってるサイトが感染してるだけで
その大元が感染してるわけじゃないので注意

SAKURAインターネットさん
　www1722.sakura.ne.jp
　sv172.lolipop.jp
　sv11.chicappa.jp

株式会社 PURENIC JAPAN さん
　p09ns7.puretopure.jp
　
NTTコミュニケーションズさん
　120.29.185.234(VPS-TOKYO2)

ニフティサーブ ネットワーク(ニフティ株式会社さん
　61.121.100.119

の該当データの停止を行ってください。
何度Mail送っても反応無いので・・・・・

143:名無しさん＠お腹いっぱい。
09/05/15 18:14:11
直接じゃなくてatwordに脅しかけてきたんでねーの?
んでatwordから記述消さないとBANするよ、みたいな。
たいていどこから脅されたかは明かさない。

144:名無しさん＠お腹いっぱい。
09/05/15 18:19:07
アクセスが減ると一番困るのはポータルや通販もやっているところだな

145:名無しさん＠お腹いっぱい。
09/05/15 18:19:45
つーか早晩大問題になるのに火消ししようなんて脅し掛けた担当者頭イカれてんじゃないの？

146:名無しさん＠お腹いっぱい。
09/05/15 18:21:59
>>116
うわあｷﾀﾅｲwさすが隠ぺい体質だな
たぶんあそこだろwｷﾀﾅｲﾅ

147:名無しさん＠お腹いっぱい。
09/05/15 18:22:55
「その後放置、無告知で再開」といえば・・・

148:名無しさん＠お腹いっぱい。
09/05/15 18:23:12
感染してるけど管理人が無視だからアクセスするなよと
各サイトを表示してるのに、そういう有益情報を削除させるとか・・・
中の人には頑張ってほしい・・・

149:前スレ891
09/05/15 18:24:54
>>前スレ894,896
ありがとう
亀レスでスマン、プロトコルとかそういうのに自信ないんで聞いてしまった
前スレ896>　某メーカーのルータはフィルタリングしても効いてないやつあるから注意な
そんなルータあるんですかｗ　一応確認済みなんで大丈夫です
---
>>77（乙です）にCIDR表記を追加したのをうｐしておきます
CIDR設定用に作っただけなんでPG2の人は>>77のを使ってください
URLﾘﾝｸ(www1.axfc.net)
なお、1,2行目のAltaVistaはIPが被ってるので簡単にコメント追加しておきました

150:名無しさん＠お腹いっぱい。
09/05/15 18:27:41
>>142
それを見て大元の鯖が感染してると思い込んでるようなレスもあったからね
貴重な情報くれてる管理人さんにはめげずに頑張って欲しいわ

151:名無しさん＠お腹いっぱい。
09/05/15 18:42:04
なぜニュースにならない

152:名無しさん＠お腹いっぱい。
09/05/15 18:43:41

　　★GENOウイルス無料パンデミックキャンペーン中★

　　　　　　　　　☆対策はお早めに☆

153:名無しさん＠お腹いっぱい。
09/05/15 18:44:38
>>130のとこ、「続き」になってるからその前の記事開いたら
そこでavast!が反応した…スパイボットもレジストリ変更する？って聞いてきたから
びびって慌ててavast!検知画面で削除して、スパイボットも変更遮断したけど
ただ単に過剰反応しただけなのかどうかﾜｶﾝﾈ

とりあえずavast!で全部ファイルチェックしてくるわ…

154:名無しさん＠お腹いっぱい。
09/05/15 18:47:26
>>151
このスレでさえsage進行だからなｗ

155:名無しさん＠お腹いっぱい。
09/05/15 18:49:42
>151
Yahooニュースにも載ってるんだが

156:名無しさん＠お腹いっぱい。
09/05/15 18:51:06
Yahooニュースさえ見えるのが怖い

157:名無しさん＠お腹いっぱい。
09/05/15 18:52:34
>>139　
コレはあきらめモード・・・・

あと、

ケンタッキーフライドチキンの関係者の方はパキスタンのサイトを何とかしてください

Canonの方は Canon Texus のガバメントオフィスのサイトを何とかしてください

以上のサイトは私が確認してから、優に１週間以上経過しているものがあります。

何卒、よろしくお願いいたします。

--------------
あと、センセイ・・
そろそろナントカしてくれませんか？



てか、○ー△□先生が怒ったのだろうｗ

158:名無しさん＠お腹いっぱい。
09/05/15 18:54:38
9行目を消してください　って言って対応してる企業云々
ってやつもあったよね？

159:名無しさん＠お腹いっぱい。
09/05/15 18:55:05
[gumblar] お願いします
Posted in Announce on 5 月 14th, 2009 by gnome

今日とうとう、4000/day PVを超えました
つまりそれだけの人が関心を持っているということです

それで、お願いです

SAKURAインターネットさん
　www1722.sakura.ne.jp
　sv172.lolipop.jp
　sv11.chicappa.jp

株式会社 PURENIC JAPAN さん
　p09ns7.puretopure.jp
　
NTTコミュニケーションズさん
　120.29.185.234(VPS-TOKYO2)

ニフティサーブ ネットワーク(ニフティ株式会社さん
　61.121.100.119

の該当データの停止を行ってください。
何度Mail送っても反応無いので・・・・・

160:名無しさん＠お腹いっぱい。
09/05/15 18:55:46
あー
　s247.xrea.com
　s309.xrea.com
コレはあきらめモード・・・・

あと、

ケンタッキーフライドチキンの関係者の方はパキスタンのサイトを何とかしてください

Canonの方は Canon Texus のガバメントオフィスのサイトを何とかしてください


以上のサイトは私が確認してから、優に１週間以上経過しているものがあります。

何卒、よろしくお願いいたします。

161:名無しさん＠お腹いっぱい。
09/05/15 18:56:30
>>158
行じゃなくて9割ってやつ？

162:名無しさん＠お腹いっぱい。
09/05/15 18:56:32
>>157
そういや>>38が消えてるわｗ

163:名無しさん＠お腹いっぱい。
09/05/15 18:57:13
>>161
ごめんそうだと思う。
読み流して、後でちゃんと読もうと思ってたら消えたｗ

164:名無しさん＠お腹いっぱい。
09/05/15 18:57:24
魚拓ツールで復活ｗ

165:名無しさん＠お腹いっぱい。
09/05/15 18:59:52
ヤフニュースどこにある？
Adobe脆弱ニュースしかみつけられんかった

166:名無しさん＠お腹いっぱい。
09/05/15 19:00:09
ノートン先生が侮辱を受けたと聞いて飛んできました！

167:名無しさん＠お腹いっぱい。
09/05/15 19:00:13
>>153
ソースチェッカー通して覗いたらavast!さんが大騒ぎした

168:名無しさん＠お腹いっぱい。
09/05/15 19:00:37
>>163
リンクされてたのはここ
URLﾘﾝｸ(www.imagic.co.jp)

169:名無しさん＠お腹いっぱい。
09/05/15 19:02:18
>>165
これのことかも？
URLﾘﾝｸ(headlines.yahoo.co.jp)

>>168
�d

170:名無しさん＠お腹いっぱい。
09/05/15 19:10:39
前スレ907 名前：名無しさん＠お腹いっぱい。　[sage]　投稿日：2009/05/15(金) 12:59:00 　　　New!!
ちょっとまてよ…
firefoxにieのレタリングをアドオンをすれば
限りなくieの脆弱性をもつfirefoxになるのか？どうだろ
　　　　　　　　　　　　　　　　　　↑
このウイルスの話ではないけど
IEのスクリプトによる貼り付けの設定で
IEデフォルトの「ダイアログを表示」のままだとダイアログ出ないでクリップボードの中身
見られ放題になるよ

Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
URLﾘﾝｸ(java-house.jp)

undonut+modのスレで話題になってたのでIE TABで試したらなってた
他にもこういうの有るのかはわからないけど

171:名無しさん＠お腹いっぱい。
09/05/15 19:18:58
うぉい！ニフティでオンラインウイルスチェックすると感染するってマジかよ！

172:名無しさん＠お腹いっぱい。
09/05/15 19:19:37
このサイトも感染してるみたいだ検証よろ
URLﾘﾝｸ(expss.main.jp)

173:名無しさん＠お腹いっぱい。
09/05/15 19:20:06
わざと祭りにしようとしてるだろ

174:名無しさん＠お腹いっぱい。
09/05/15 19:20:52
>>167
該当サイトはｱｳｱｳってことか

ああでも>>153は無事なのか？いまいち153がわからん
スパイボットて関係あるか？

175:名無しさん＠お腹いっぱい。
09/05/15 19:21:53
わざと祭りにしないようにしてるだろ

176:名無しさん＠お腹いっぱい。
09/05/15 19:22:14
>>171
ソースはなんだ？

177:名無しさん＠お腹いっぱい。
09/05/15 19:22:47
>>171

ニフティっていうのは
ホスティングサーバーの話だっつーの

178:名無しさん＠お腹いっぱい。
09/05/15 19:22:49
>>173
GENO社員乙

179:名無しさん＠お腹いっぱい。
09/05/15 19:25:31
このスレに貼られたサイトはとりあえずaguseで見るようにしよう

180:名無しさん＠お腹いっぱい。
09/05/15 19:30:00
ソースは２ちゃんねる！ﾌﾟｷﾞｬｰ!!

ｽﾚﾘﾝｸ(poverty板:1-100番)

181:名無しさん＠お腹いっぱい。
09/05/15 19:37:52
ミカカか薬事ヤクザにきまってんだろ

182:名無しさん＠お腹いっぱい。
09/05/15 19:39:51
>>170
レタリングｗｗｗｗ
レンダリングだろｊｋ

183:名無しさん＠お腹いっぱい。
09/05/15 19:47:03
>>172
トロイの木馬を発見しました！
トロイの木馬を発見しました！
トロイの木馬を発見しました！
トロイの木馬を発見しました！
トロイの木馬を発見しました！
トロイの木馬を発見しました！
トロイの木馬を発見しました！
トロイの木馬を発見しました！
トロイの木馬を発見しました！
トロイの木馬を発見しました！


ブラクラレベルだ！

184:名無しさん＠お腹いっぱい。
09/05/15 19:50:15
>>47
疑わしいサイトをどうやってVTに掛けてるの？
mhtでローカルに保存して、VTへアップロードとかじゃダメだよね？

185:名無しさん＠お腹いっぱい。
09/05/15 19:50:18
ﾌﾞﾗｼﾞｬｰｸﾗｯｼｬｰ!!

186:名無しさん＠お腹いっぱい。
09/05/15 19:51:38
>>50
カスペのブラックリストってどこで参照できる？
KIS7を使用中なので・・・

187:名無しさん＠お腹いっぱい。
09/05/15 19:52:46
>>183
今のところ最凶。。。

188:名無しさん＠お腹いっぱい。
09/05/15 19:53:10
>>57
3回ほどアップしてくれているみたいだけど、うちの環境ではIDが不正です。
となって、DLできません。

189:名無しさん＠お腹いっぱい。
09/05/15 19:54:54
他に感染したURLは見つかっていないのか？

190:名無しさん＠お腹いっぱい。
09/05/15 19:56:34
不安なのでニフティでオンラインチェックしてきた
とりあえず検出されなかった

しかし怖いなー
IP焼きもとか不慣れだからあってるかどうか不安になってくるよ

191:名無しさん＠お腹いっぱい。
09/05/15 19:56:45
Firefoxのフィッシング警告を出すサイトのリスト更新（パターンファイルの更新）って、どのタイミングでやってるんだろう？
3.0.10とかのバージョンアップの時？
もうだいぶ、時間たってるんだけど・・・

192:名無しさん＠お腹いっぱい。
09/05/15 19:56:51
やっとセキュmemoに出たな。
URLﾘﾝｸ(www.st.ryukoku.ac.jp)
もう感染したサイト管理者は知らん振りできないだろうなｗ

193:名無しさん＠お腹いっぱい。
09/05/15 20:10:01
>>182
それは前スレのコピペだからね

194:名無しさん＠お腹いっぱい。
09/05/15 20:10:27
>>189
ある事はあるが
個人サイトだからなぁ

195:名無しさん＠お腹いっぱい。
09/05/15 20:11:10
削除を要求したのは、GENOか。

196:名無しさん＠お腹いっぱい。
09/05/15 20:12:29
>>182
一々タイピングミスにそんなレスするなよ

197:名無しさん＠お腹いっぱい。
09/05/15 20:14:14
>>194
ないしょか？！

198:名無しさん＠お腹いっぱい。
09/05/15 20:28:01
>>107
ウィルスバスター使ってないけど、おそらくこうすればよい。

方向　受信送信　の両方
処理　拒否
プロトコル　○TCP/UDPでいいはずだけど、一応○すべて（うちのカスペではTCPとUDPのそれぞれでルール作らなきゃダメみたい）
タイプ　○すべての種類
タイプ　○指定範囲のIPアドレス(IPv4)

>サポートに聞いたほうがいいかなｗ？
サポートが再開したら、すぐに問い合わせて、結果をここに貼ると、みんなが助かる。
時間的に、今日はサポートにつながらないと思うから、「多分これであってる」ってのを俺は書いているだけ。

>例外ルール設定に、トロイの木馬が使用するプロトコルとポート番号を設定した場合については
>トロイの木馬アタックを防ぐことができません。
例外ルールで危険アドレスを登録すると、そっちの優先順位の方が高い為、せっかくここで拒否したアドレスにもつながる。

199:名無しさん＠お腹いっぱい。
09/05/15 20:32:58
これってこういう状態か？

感染サイトにアクセス
　　　　↓
ｼﾞｬﾊﾞｽｸで勝手にウィルお持ち帰り（中国ドメインのところからダウンロード？）


それとも

感染サイトにアクセス
　　　　↓
ｼﾞｬﾊﾞｽｸでhtmlに埋め込まれたウィルスコードがキャッシュでPC内に潜入
プログラム言語の状態から根性で感染


どういうふうに感染するんだろう？

200:名無しさん＠お腹いっぱい。
09/05/15 20:34:44
>>197
個人サイトだからここに書く事は出来ないって事でしょう

201:名無しさん＠お腹いっぱい。
09/05/15 20:37:26
個人サイトであっても、ここに書けば被害拡大が防げると思うんだが。

202:名無しさん＠お腹いっぱい。
09/05/15 20:40:47
>>77
これって
適当なファイル名で保存して
PG2のリスト管理で追加すればいいの？

203:名無しさん＠お腹いっぱい。
09/05/15 20:42:06
>>194はまずその管理者に連絡だな
正確なアドレスがまずいなら最上位のドメインだけでいいからここに書いてくれ
駆除したとわかった時もここに

204:名無しさん＠お腹いっぱい。
09/05/15 20:42:14
>>191
そんな古かったら意味ないよね
URLﾘﾝｸ(d.hatena.ne.jp)

205:名無しさん＠お腹いっぱい。
09/05/15 20:43:56
>>203
そんな書き方したらニフティみたいに混乱を招くだけでしょ

206:名無しさん＠お腹いっぱい。
09/05/15 20:45:05
>>199
略称っぽいのがすごく気持ち悪いんだけど
どっちかというと上です

207:名無しさん＠お腹いっぱい。
09/05/15 20:49:47
>>205
本人が明かせないって言ってるんだから仕方ない
知らずにアクセスするよりいい

208:名無しさん＠お腹いっぱい。
09/05/15 20:50:20
GENO見に行ったけど
avast!ぴくりとも反応しないぞ？

他のサイト教えれ

209:名無しさん＠お腹いっぱい。
09/05/15 20:51:05
>>208
今は対処済みらしい





らしい

210:名無しさん＠お腹いっぱい。
09/05/15 20:51:23
>>208
万が一があるから面白がるのやめときｗ

211:名無しさん＠お腹いっぱい。
09/05/15 20:52:32
>>208

>>172

212:名無しさん＠お腹いっぱい。
09/05/15 20:53:51
>>77
これ一つ一つ全部入力するの？入れた人どれぐらいかかった？

213:名無しさん＠お腹いっぱい。
09/05/15 20:59:54
>>202のやり方じゃダメなの？

214:名無しさん＠お腹いっぱい。
09/05/15 21:01:11
急にスレの流れが速くなってたんだけど
なにかあったんですか？

215:名無しさん＠お腹いっぱい。
09/05/15 21:02:31
やべ 俺のサイト感染してるわ

216:名無しさん＠お腹いっぱい。
09/05/15 21:05:07
>>203
AVASTで誤検出かもしれないけどウィルスを発見しましたって連絡いれたら
自分のところのアンチウィルスでは検出しませんでしたから大丈夫と
思いますって返信がきた
その返信を見に行ったらウィルス警告がパワーアップしてたから
それ以来怖くて近寄っていない

217:名無しさん＠お腹いっぱい。
09/05/15 21:05:15
>>214
ここ数日で個人サイトなどに感染拡大

218:名無しさん＠お腹いっぱい。
09/05/15 21:07:03
自分のサイトが感染して改変された場合
自分でソース見たらわかりますか？

219:名無しさん＠お腹いっぱい。
09/05/15 21:09:55
>>218
HP制作ソフトに完全に頼りきっていたらパッと見わからないと思う
htmlソースに普段から自分で手を加えていたりすれば判る

---

次ページ

最新レス表示

スレッドの検索

類似スレ一覧

話題のニュース

おまかせリスト

▼オプションを表示

レスジャンプ

mixiチェック！

Twitterに投稿

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch

---

4939日前に更新/217 KB
担当:undef