GENOウイルススレ　感染3台目

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 1001- 2chのread.cgiへ]
Update time : 09/14 06:18 / Filesize : 303 KB / Number-of Response : 1002
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

GENOウイルススレ　感染3台目

1 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:22:45 ID:YZkv6Zhr0]: ・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD

感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★GENOウイルスまとめ
ttp://www29.atwiki.jp/geno/
★このサイトは諸事情により内容を書き換え
ttp://www3.atword.jp/gnome/

前スレ
GENOウイルススレ　感染2台目
pc11.2ch.net/test/read.cgi/internet/1242630563/
2 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:23:44 ID:YZkv6Zhr0]: 感染予防対策

１．Adobe Flash Player の最新版にアップデート
２．Adobe Acrobat Reader の最新版にアップデート
３．NoScriptの導入（Firefoxの導入）
４．Adobe Acrobat Readerの JavaScript 機能OFF
５．危険IPのブロック

諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例

１．Adobe Readerを起動し「編集」メニューの「環境設定」
　　「Acrobat JavaScriptを使用」のチェックボックスをオフ（チェックを外す）
　　OKを押して設定確定後、Adobe Readerを終了。
↓
２．必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
　　設定は SpeedUp - Fast がおすすめ。
　　　注意すべきは
　　　Acroform（拡張子なし）
　　　Annotations（拡張子なし）
　　　これら2つのチェックボックスをオン（チェックが入っている）状態にしておく必要がある。
　　　そうしないと Adobe Reader が起動しなかったりする。

　　　このとき追加作業として
　　　EScript.apiとEScript.JPNのチェックボックスをオフ（チェックを外す）状態にしておくと
　　　より安心かもしれない。

以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Readeｒ以外の環境設定をどうするかも各自考える必要があります。
3 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:24:26 ID:YZkv6Zhr0]: 【感染の確認方法】
①cmd.exe（コマンドプロント）、regedit.exe（レジストリエディタ）が起動するか確認する
　※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
　■確認方法
　１．スタートから「ファイル名を指定して実行」
　２．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　　「regedit.exe」と入力して「OK」ボタンを押す。
　　　※立ち上がったことを確認したら弄らず閉じること。
　３．同様に、「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す
　　　※立ち上がったことを確認したら②へ

②sqlsodbc.chmのファイルサイズの確認を確認する
　■Windows XP:
　　改ざんされていなければ
　　C:\WINDOWS\system32\sqlsodbc.chm　50,727 bytes
　■Windows 2000:
　　そもそも存在しないはずなので、
　　C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
　■確認方法
　　１．スタートから「ファイル名を指定して実行」
　　２．「ファイルを指定して実行」という画面が出てくるので、入力欄に
　　「cmd.exe」（全部小文字で）と入力して「OK」ボタンを押す
　　　→背景が黒いウィンドウが開いた場合３へ
　　　→起動しない場合：感染疑い濃厚
　　３．背景が黒いウィンドウを選択。
　　　小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー

③avast!（無料のアンチウイルスソフト）で確認

7 名前：192.168.0.774[] 投稿日：2009/05/18(月) 16:12:22 ID:wsKEiiw60
【感染の確認方法】■ Windows XP（５月１８日現在）
　１　C:\WINDOWS\system32\sqlsodbc.chmを開いて壊れていたら感染濃厚　
　２　↑のファイルサイズを確認する
　　正常値　　日本語版ヘルプ　 50,727 bytes
　　　　　　　　英語版ヘルプ　　　46133
　　　　　　　　ドイツ語ヘルプ 48401
　　　　　　　　フランス語ヘルプ 49345
　　　　　　　　スペイン語ヘルプ 48475

　改竄されたsqlsodbc.chmの一例
　サイズが1.29 KB (1,323 バイト)
　更新日は2009年3月21日

　:
　　
4 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:25:18 ID:YZkv6Zhr0]: Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。

初心者や質問がある方は
changi.2ch.net/test/read.cgi/doujin/1242391122/
上記のスレに行くと優しく教えてくれるかもです

Adobe Flash Player バージョンテスト
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm

改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
正常な場合50，727バイト(日本語)です。
5 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:25:48 ID:yKfFYkBT0]: GENOウィルス・質問掲示板
www1.atchs.jp/test/read.cgi/gegegeno/1/
6 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:26:31 ID:YZkv6Zhr0]: 現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。

インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
　※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している（このため、セキュ各社の自動検出が難しくなっている）
感染しない環境には何も返さない（更に検証が難しい）
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
　※検出率が上がる頃には次の種類になっている

感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
ttp://www3.atword.jp/gnome/zlkon-gumblar-%E5%95%8F%E9%A1%8C%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/
7 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:28:02 ID:YZkv6Zhr0]: 以下攻撃されたサイト
小林製薬
ttp://www.kobayashi.co.jp/info/090512.html

国内の正規サイト改ざん：攻撃サイトを変え再襲来
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1884

★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
8 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:29:04 ID:XFldsOfqP]: 764 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 12:20:44 ID:BfeDPikc0
>>463の書式が統一されていなかったのでやってみた

58.65.232.0 - 58.65.239.255　58.65.232.0/21
61.139.0.0 - 61.139.127.255　61.139.0.0/17
61.219.39.0 - 61.219.39.255　61.219.39.0/24
61.235.117.0 - 61.235.117.255　61.235.117.0/24
61.237.236.0 - 61.237.236.255　61.237.236.0/24
63.146.2.0 - 63.146.2.255　63.146.2.0/24
69.46.0.0 - 69.46.31.255　69.46.0.0/19
74.220.215.0-74.220.215.255　74.220.215.0/24
78.109.16.0 - 78.109.31.255　78.109.16.0/20
78.159.112.0 - 78.159.115.255　78.159.112.0/22
82.146.48.0 - 82.146.55.255　82.146.48.0/21
83.68.16.0 - 83.68.16.255　83.68.16.0/24
85.12.43.0 - 85.12.43.255　85.12.43.0/24
85.14.6.0 - 85.14.6.255　　85.14.6.0/24
85.17.0.0 - 85.17.255.255　85.17.0.0/16
85.214.90.0 - 85.214.90.255　85.214.90.0/24
91.211.64.0 - 91.211.65.255　91.211.64.0/23
91.212.41.0 - 91.212.41.255　91.212.41.0/24
91.212.65.0 - 91.212.65.255　91.212.65.0/24
91.212.41.0- 91.212.41.255　91.212.41.0/24
91.212.41.0 - 91.212.41.255　91.212.41.0/24
94.232.248.0 - 94.232.255.255　94.232.248.0/21
94.229.64.0 - 94.229.79.255　94.229.64.0/20
94.247.2.0 - 94.247.3.255　94.247.2.0/23
194.165.4.0 - 194.165.5.255　194.165.4.0/23
195.2.252.0 - 195.2.253.255　195.2.252.0/23
195.216.160.0 - 195.216.191.255　195.216.160.0/19
206.44.0.0 - 206.44.255.255　206.44.0.0/16
209.44.100.0 - 209.44.100.255　209.44.100.0/24
209.44.126.0 - 209.44.126.255　209.44.126.0/24
209.62.7.0 - 209.62.7.255　209.62.7.0/24
209.102.247.0 - 209.102.247.255　209.102.247.0/24
209.250.241.0 - 209.250.241.255　209.250.241.0/24
209.205.192.0 - 209.205.223.255　209.205.192.0/19
209.205.224.0 - 209.205.239.255　209.205.224.0/20
211.90.0.0 - 211.97.255.255　211.90.0.0/15 & 211.92.0.0/14 & 211.96.0.0/15
213.182.192.0 - 213.182.223.255　213.182.192.0/19
218.90.0.0 - 218.94.255.255　218.90.0.0/15 & 218.92.0.0/15 & 218.94.0.0/16
78.159.112.0 - 78.159.115.255　78.159.112.0/22
221.5.0.0 - 221.5.127.255　221.5.0.0/17
91.212.41.0 - 91.212.41.255　91.212.41.0/24
95.129.144.0 - 95.129.144.255　95.129.144.0/24
95.129.145.0 - 95.129.145.255　95.129.145.0/24

メモ帳でタブ等に置き換えられるように範囲とCIDRとの間は全角スペースにしてる
9 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:29:04 ID:YZkv6Zhr0]: 俺の連投のせいでスレ埋めちまったから立てといた
テンプレ改変する余裕なくてスマン
10 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:30:24 ID:HxuyJ7oC0]: 感染予防対策

Adobe Flash Player とAdobe Acrobat Readerを
アンインストール

以上
11 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:31:44 ID:dvS6mKF80]: >>10
最終手段だな
12 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:32:05 ID:CrZ+DFwB0]: >>1 乙。

感染サイトリンク集
genolists.alink.uic.to/
13 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:35:29 ID:oJ5eOA/M0]: スレ立てとか乙
14 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:38:15 ID:9IYXIU+f0]: >>1
おつ、乙
なんだけどテンプレメモ帳で整理して立てようとしたら
もうスレが立っていてメモ帳消しちまったぞｗ
15 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:38:17 ID:XejCUy//0]: >>1乙。おやすみ

627 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 06:56:33 ID:zf5ipXqL0
532 ：クンシラン(アラバマ州) [sage] ：2009/05/19(火) 03:04:45.34 ID:L1oEc3bK
hostsファイルに(ry
127.0.0.1 martuz.cn
127.0.0.1 zlkon.lv
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
127.0.0.1 gumblar.cn
127.0.0.1 jii.be
127.0.0.1 zief.pl
127.0.0.1 litefront.cn

533 ：クンシラン(アラバマ州) [sage] ：2009/05/19(火) 03:09:11.38 ID:L1oEc3bK
avastのwebシールド(URLブロック)に
*martuz.cn*
*zlkon.lv*
*findyourbigwhy.cn*
*bigtopsuper.cn*
*gumblar.cn*
*jii.be*
*zief.pl*
*litefront.cn*
過剰反応っぽいが、細かい事は気にするな

V速で拾ってきたんだが、ドメイン増えた？
あと有効ならこっちでもテンプレ化してほしい
16 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:41:20 ID:G5tmYxTL0]: >>1
乙ー
17 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:42:30 ID:dwwg46Fb0]: GENOウイルスって何？サイトを見ただけで感染するウィルス　G DATAとSophosがいち早く対応
ttp://japan.techinsight.jp/2009/05/sanada200905191636.html

・G DATA Internet Security 2009
⇒Trojan.JS.PYU (エンジン A)
　HTML:IFrame-EB [Trj] (エンジン B)
[3PC 1年版]

Avira AntiVir 9 Personal(フリー・英語版)
⇒HTML/Crypted.Gen [virus]
　HEUR/HTML.Malware [heuristic]

他のセキュリティソフトのユーザーは、ワクチンが提供されるまで十分注意する必要があるだろう。
18 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:48:16 ID:pesc8sE00]: >1乙

前スレの>671をよく巡回してるけど、何も起きてないんで解析に挑んでみたんだが…
難読化コードを解体して "NT 6"<0 が見つかったら、今まで通りXPとそれ以前が対象？

ちなみにOSはVista、UACはシマンテックのツール併用してるけど
一応オンにしてるからXP以降が含まれるとしても感染してない…筈なんだが
19 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:52:36 ID:nq3d9Xxs0]: >>15

なんで全部hostに書いてはダメなの？
hostに書かずWEBシールドにのみ指定する理由頼む。
20 名前：192.168.0.774 mailto:sage [2009/05/19(火) 17:53:36 ID:nq3d9Xxs0]: ごめ。どちらも同じだったね。
hostの方が少なく見えてしまってた。すまん。
21 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:01:24 ID:wu49YE+90]: 1000 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 17:20:41 ID:abtxHDvw0 (PC)
やっぱりやっつけで作っても使ってくれないんだな
end.if.land.to/geno.php?url=http://hpg2.me.land.to/srcchk1.html

変なとこなさそうだけどな
22 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:11:38 ID:K6Cta+++0]: 対策済み、確認では感染兆候無しで、カスペのスキャンしたら
AdobeReaderのplug_ins Annots.JPNが検知されて9.1.1にアップデートしろ（意訳）らしいのだが
これはカスペクオリティ？
23 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:14:36 ID:m0FB93L50]: >>22
親切じゃん
AdobeReaderアンインストールしないならカスペルスキーおじさんの言うとおりにしとけ
24 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:15:02 ID:ESbU+FiT0]: >>22
なんかヴァージョンをうまく取ってくれないみたい、めんどいからリーダー削除した
25 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:16:33 ID:cp3tjGoR0]: >>22
カスペ分かってるな
26 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:17:51 ID:K6Cta+++0]: >>23-25
㌧。9.1.1にアップしてもこうなっているから大人しく削除しておくよ
27 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:17:55 ID:n9s1g+e9P]: >>22
それにしてもすごいIDだ
28 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:23:19 ID:m4p3L/VDO]: tieba●baidu●com／f?kz=274791213

ウイルスチェッカー900％
百度というサイトみたいです

ソース確認出来る人おね
29 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:28:15 ID:JNA/OZ/u0]: >>28
特に怪しいところはないが
30 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:28:41 ID:CrZ+DFwB0]: 前スレよりコピペ。

696 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 09:57:36 ID:8eXjFlyI0
セキュ板から逃げてきた('A`)
なんだよあそこ

www.broadband-xp.com/hidesource/escape.html
難読化（escape）処理された文字列はここで複合出来る。

あとは replace 関数を適当に読めば元のJavascriptが判る。

731 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 11:35:49 ID:zf5ipXqL0
>>712
シンプルなのなら
view-source:これをURLの頭につければソース表示するぞ

762 名前：192.168.0.774[sage] 投稿日：2009/05/19(火) 12:09:39 ID:QXeKbW6W0
>>743
ViewSourceWith もしくは WebDeveloper を使えば、
好きなテキストエディタでソースを開けるぞ。
31 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:29:31 ID:vSwxXbQJ0]: >>28
JSが大量だからチェッカーが誤反応してるだけかと思う
GENOウイルスのコードは見あたりません
32 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:29:35 ID:abtxHDvw0]: >>28
何故か</head>と<body>にスクリプトが入ってるけど外部js含め関係なさそうな気がする

end.if.land.to/geno.php?url=http://tieba.baidu.com/f?kz=274791213
ちなみに赤くなってるのは</head>と<body>の間、という意味であって感染してるという意味ではない
33 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:32:44 ID:bnQ0XBCe0]: 感染サイトリストの一番下のその他項目。
アレ一体なんなんだ？
愉快犯か何か？
34 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:33:31 ID:m4p3L/VDO]: >>29
㌧

>>30
サーセン
ソースみても何がどうなってるのかわからなくてさ。
もっと勉強してくる
35 名前：28 mailto:sage [2009/05/19(火) 18:36:39 ID:m4p3L/VDO]: やっぱり誤判定だったんだな

みんな㌧
36 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:38:47 ID:vSwxXbQJ0]: >>34
おぉ…責めてるつもりはなかったんだ、こちらこそごめんなさい
かくいう自分もしろうとなのでぱっと見でコードわかっても解読とかは全然出来ないんだ

>>33
自分も気になった
てか管理人さんはまだここ見てらっしゃるのかな？そろそろリスト整理して欲しいな
対応済みサイトとかリストから消去しちゃっても良いと思うんだけど
37 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:40:18 ID:wu49YE+90]: 388 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/05/19(火) 17:52:34
Virus Block txt
PG2 葱　CIDR n無し
uproda.2ch-library.com/lib130292.txt.shtml

置いとくね、使いたい香具師だけ使ってくれ

PG2 葱の質問はここでは禁止だ、それぞれのスレ行け
38 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:45:55 ID:vie6d+fo0]: >>28
別な意味あいで怪しいな
39 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:47:19 ID:5syfiu9o0]: ノートンはもうGENOに対応したと思ってよい？
40 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:48:45 ID:rj7hKtd+0]: 感染サイトリンク集の
HAIR SALON Revue
ですが、難読化されたjavascriptが不自然に挿入されてます。

難読化を復号できないへたれですが、たぶん黒です。
41 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:51:14 ID:Z6WAXkTX0]: ttp://lineage2.plaync.jp/
リネ２の公式をチェッカーで見てみたら、危険度2643%なんてベラボウな数字が出て来たんだが、ソース見てわかる方居られるだろうか・・・
42 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:53:21 ID:xNz70xs60]: どうせすぐ新型に入れ替わるだろうから備考程度に。

martuzのドロッパ(exe)
ttp://www.virustotal.com/analisis/9566a4431a27972e5abce07c5a1163b4
aux等に突っ込まれるドライバ(dll)
ttp://www.virustotal.com/analisis/0ca4e1498cfd8ae2945fac6f42f3d9eb

>>40
いや…その…感染してるから感染サイトリンク集の確定サイトに突っ込まれてるんでしょ。
43 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:54:07 ID:6ZMZMB/r0]: >>41
全くもって問題なし
44 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:54:18 ID:abtxHDvw0]: >>41
evalがたくさん入ってるの見て誤検出したと思われ
end.if.land.to/geno.php?url=http://lineage2.plaync.jp/
45 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:54:40 ID:9rdeJzCL0]: >>37
DLしたいけどパスわかんねぇorz
46 名前：28 mailto:sage [2009/05/19(火) 18:56:57 ID:m4p3L/VDO]: >>38
別な意味合い・・とは・・・？
47 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:58:32 ID:JNA/OZ/u0]: >>46
無許可で作品乗せてるってことだろ
48 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:58:40 ID:QXeKbW6W0]: 前スレ902
Adblock Plusでは、怪しいURIなりを追加していく。
例外の頭には@@をつける。
ttp://www.sample.com/$scriptとすれば、sample.com以下のスクリプトのみを弾く。
ここでは省くがワイルドカードや正規表現もどきも使える。
49 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:59:01 ID:XdU3JuKs0]: ヴァイブ
50 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:59:13 ID:Z6WAXkTX0]: >>43 >>44
thx
助かった
51 名前：192.168.0.774 mailto:sage [2009/05/19(火) 18:59:28 ID:YPsJVP/N0]: >>41 どうでもいいが、アイコンファイルのでかさに驚愕したｗ
52 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:00:07 ID:wA8EwCsv0]: 百度っつったらつべとかニコ動と同じ動画サイトだな
違法動画がわんさとありそうだ
53 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:00:16 ID:XFldsOfqP]: >>45
ドアに「引く」って書いてあっても顔真っ赤にして押して開けようとするタイプでしょ
54 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:01:21 ID:XdU3JuKs0]: そういうことか。オレをNG登録してくれ
55 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:02:42 ID:cTF9aljw0]: >52
百度は中華の Yahoo と言うべきだ
その中の動画セクションだよ、おまえさんが言ってるのは
56 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:04:05 ID:vSwxXbQJ0]: >>41
1000％超えてるやつ初めて見たｗｗ

>>44
前スレでスルーしててごめんね
今更ながら結構使いやすいわこのツール
57 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:05:33 ID:vElGKTyLP]: アップデートして最新にしておけって言うから
XPSP2からSP3にしてIE6からIE8にしたら
全体に重くなった…orz
IE8軽くないじゃん
58 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:06:42 ID:Ni9zQrjI0]: >>41
確認してきた。うん怪しそうなのは無いね

つかソース見て「うわ、このHPメンテしたくねぇｗ」と思ったｗ
59 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:07:53 ID:ssAlkIqW0]: 逆にこれ感染したら分からなくなりそうだ
60 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:07:57 ID:rj7hKtd+0]: 感染サイトリンク集の
Hair Make Berrys
ですが、難読化されたjavascriptが不自然に挿入されてます。

黒判定したいのですが、変数名が haGe とかなってるのでただの愉快犯の仕業かもしれません。
61 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:08:02 ID:JNA/OZ/u0]: >>57
IEコンポのやつつかっとけ
それなら重くないから
それか他のブラウザか
62 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:08:07 ID:kY8OD79y0]: >>57
IE7よりは軽くなったんだよ
63 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:08:35 ID:dwwg46Fb0]: >>57
Prefetchクリアしてデフラグでもしろ
64 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:10:28 ID:vElGKTyLP]: ググったらSP3とIE8は相性が悪いそうだ。
IE6に戻します
まんどくせ…　( ﾉД`)ｼｸｼｸ

他のブラウザは怖いから
慣れたIE6にします
65 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:11:56 ID:JNA/OZ/u0]: >>64
SP3にしてからIE8入れたらIE8はアンインストールできなかったような…
66 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:12:43 ID:m4p3L/VDO]: 感染リストに忍者ツールあったから自分で調べてみたけど
あれ誤判定だよな？
67 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:13:43 ID:dwwg46Fb0]: >>64
もうIEやめてOperaか火狐にしようぜ
68 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:18:39 ID:nxHnlbKs0]: これも貼ろうよ

◆感染対象
今のところWindows 2000,XP で感染確認

◆感染してるっぽい場合
ＯＳクリーンインストール一択

◆対策　※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を

１．Windows Updateをやる

２．使用しているブラウザのJavaScriptをオフにする。※これ重要
　（FirefoxならNoscript導入が便利）

３．Adobe Flash Player の最新版にアップデート　→　ttp://get.adobe.com/jp/flashplayer/
　JSオフだと更新できないので、その場合は↓のリンクからインストーラーを落として入れる
　IE版　　　　　ttp://www.macromedia.com/go/full_flashplayer_win_ie
　その他版　　ttp://www.macromedia.com/go/full_flashplayer_win

４．Adobe Acrobat Reader の最新版にアップデート　→　ttp://get.adobe.com/jp/reader/
　うまく更新できない場合↓のインストーラーをダウンロードして入れる
　ttp://ardownload.adobe.com/pub/adobe/reader/win/9.x/9.1/jpn/AdbeRdr910_ja_JP.exe
　インストールが終わったらAdobe Readerを起動し
　メニューの「ヘルプ(H)」にある「アップデートの有無をチェック」をクリック。更新が見つかったら入れる。
　終わったらバージョンチェックして下記の数字になっていればok

５．Adobe Acrobat Readerの JavaScript 機能OFFにする

６．セキュリティ対策ソフトもパターンを最新に更新

2009/05/18時点での最新版
Adobe Flash Player　10.0.22.87
Adobe Reader　9.1.1

Flash Playerのバージョンチェックはここで（JS、AXをオンにする必要あり）
ttp://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
69 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:20:17 ID:brw6v9+T0]: すみません、前スレ995は書き込み終了画面で再読み込み押してしまいました。
あと、気になってるのですが、前スレ905ってことは、前スレ360も拾ってのものですよね。
まったくチンプンカンプンなんですが、恥かきついでに。
お仕事の邪魔して、ごめんなさい。
70 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:20:43 ID:MmxOqtet0]: >>48
それはなんとか知ってるんで、現時点で有効だと思われる
フィルタリストを作って上げてもらえると助かるんですが･･･
71 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:21:10 ID:rj7hKtd+0]: >>66
誤判定ですね。
72 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:23:47 ID:fwZtLZs+0]: >>65
あれ、逆じゃなかったっけ？
IE7と8は入れたあとでSP3にすると、アンインストール不可になるとか聞いた記憶が…
73 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:25:24 ID:YPsJVP/N0]: >>60
せっかくなので踏んでみた
www1.axfc.net/uploader/He/so/226645.png
74 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:26:09 ID:ajaicXbL0]: 自分はSP3だけどIE8から6に戻せたぞ？システムの復元で
75 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:27:51 ID:JNA/OZ/u0]: >>72
逆だったか
でもIE6ってまだパッチ出してるっけ？
戻さないほうがいい気がするが
76 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:28:00 ID:c4h/9VTEO]: >>64
Spybotの免疫使ってない？
使ってたらIE8入れると糞重くなるよ
77 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:34:46 ID:rj7hKtd+0]: 感染サイトリンク集の
kisikaisei
ですが、難読化されたjavascriptが不自然に挿入されてます。

たぶん黒ですが、個人サイトだし腐系なのでほっとけ！って感じです。
78 名前：オレの登録ミスだと思うけど、一応。 mailto:sage [2009/05/19(火) 19:36:08 ID:xQPA+wnP0]: うわー27時間くらいこなかっただけで、もうスレ3になってるの？
さっき、PC立ち上げて某セキュリティーニュースサイトを閲覧しようと思ったら、
ブロック登録したIPアドレスに引っかかった。

多少見られなくなるサイトが増えようが、ブロック優先というポリシーの為、
ホスティング先だけでなく、感染報告があった国内正規サイトも含める形で、
報告があったところを片っ端から広範囲登録していたんだ。　だから、間違いかもしれんが・・・

今、時間なくて過去ログ調べられないんだけど、注意しすぎて困ることはないだろうってことで、
アドレス貼っておくから、誰か検証してください。　ちなみに>>8　の中にはありませんでした。
hXXp://WWW.security-next.com/

ブロック登録しているアドレス範囲は　202.172.28.0-202.172.31.255　今調べたら日本国内のIPです。
だから>>17のリンク先もブロックされる始末。

>>22　うちはカスペ7だけど「PCを再起動」しないとパケットフィルタリングルールとかは適用されないみたい。
79 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:41:20 ID:rj7hKtd+0]: >>78
ざっとソース見たけど問題なさそう
断定はできないけど
80 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:47:06 ID:mR+2qhjt0]: end.if.land.to/geno.php?url=
これの後に感染サイトのURLくっつけて開いても、自分は感染せずにソース見ることが出来るの？
81 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:47:31 ID:JNA/OZ/u0]: >>80
できる
82 名前：192.168.0.774 mailto:sage [2009/05/19(火) 19:51:11 ID:hSQTdtur0]: >>78
問題なし
で、とりあえず202.172.28.0-202.172.31.255のブロック外しておけよ
逆引きしたらこれさーばみたい
83 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:02:12 ID:GNfCS6iF0]: ちょっと質問させて
ノートン先生が対応したって聞いたけど、亜種も大丈夫なんかな？
あと検出されるだけで、ワクチンとかはまだなんだよね？
84 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:04:05 ID:nxHnlbKs0]: これに限らず対応は基本的に1対1と考える
本家に対応してるから亜種にも対応してるなどと甘い事は考えない
85 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:06:03 ID:77bzJ5s+0]: 不安になって、何度も何度も sqlsodbc.chm のサイズ確認をしているうちに、
なんだかいつの間にか、感染を待ちわびている事に、ふと気付いた。

「まだか、まだ感染してないのか？」って感じ。

そろそろ心の方がヤバクなってきてるのかもしれん。
86 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:06:15 ID:XdU3JuKs0]: てかid=10から落ちてくるexeって最初のgumblerのときから数種類あったじゃんね
87 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:12:06 ID:xod3EvsV0]: 今日はVBの更新が多いけど、頑張ってんの？
88 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:12:13 ID:xNz70xs60]: いくつもあるよ。俺が持ってるのはgumblarで7世代、martuzで2世代。
89 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:16:44 ID:mR+2qhjt0]: >>81
そうなのか。
これ使って感染サイトのソースを見てみたんだが、赤くなってる所が感染してる証拠なの？
逆に赤い所がないサイトは、感染している可能性が低いって事になるの？
90 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:19:49 ID:JNA/OZ/u0]: >>89
お前はもう上のサイト使うな
お前のようなやつのためのサイトじゃない
91 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:19:56 ID:wu49YE+90]: ソースちぇき(β版) - ひまぐらま[別館]
ttp://hpg2.me.land.to/srcchk1.html

あなたのホームページを「ソースちぇき(β版)」で見てみよう
このページでは、アナタが指定したアドレス(ページ)を
あなたのパソコンに代わって取得し、ココに表示します。
ページの内容を、ただのHTMLソース(文字列)として表示しますので、
もしもJavascriptによるいたづらが仕組まれていても安心です。

あとオマケですが、表示するソースの中から、
『見ただけで感染する？ウイルス(Zlkon/Gumblar/Martuzなど)』を
自動的に探して太字にする機能も付いてるので、
もし覚えの無いJavascriptが在れば、
そのページのソースファイルを、自分で直してみると良いかもしれません。

※この「ソースちぇき」では発見のお手伝いだけで、
実際にソースを手直しなどするのは管理者であるあなた自身です。

「ソースちぇき」は単に客観的にあなたのホームページを見て、
ソースを表示するだけの「簡易ソースチェッカー」です。

トロイ診断機能は、hpgの憶測によるカンタンな正規表現による検索に過ぎません
のであしからず(ﾟДﾟ)ｽﾏﾝﾈ

あなたの回線環境やサーバの混み具合によっては1分以上かかることがありますので
リロードしないでね(´・ω・)ｵﾈｶﾞｲ
92 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:25:08 ID:wu49YE+90]: ■GENOウィルスのチェックプログラム(簡易版)を書いてみた
ttp://d.hatena.ne.jp/kz_shikabane/20090517/1242495023

Vista使いでUAC厨の私には全く関係の無い話のような気がするが、
いつUACを突破する亜種が出るかは分からない。
sqlsodbc.chmのファイルサイズで判定できるようなので、
そんなときのためにこんなバッチファイルを書いてみた。

以下のプログラムをテキストファイルにコピペして、
拡張子をbatにしてダブルクリックで実行すれば、
コマンドを勝手に実行し、最後にレポート書いて停止するものだ。
有効利用してください。

あと、バッチに関しては素人なので改造してくれるとうれしいなぁ。
93 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:25:58 ID:+Nv0TkV90]: 今何気なく感染サイトのGoogleのキャッシュをのぞいたら
感染したままキャッシュされてる所があるな・・
94 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:26:59 ID:wu49YE+90]: 6．zlkon-gumblarお役立ち情報高機能サロン管理システム★さまれぼ！★開発日記
ttp://excomp.cocolog-nifty.com/blog/gumblar.html

猛威を振るっているzlkon.lv/gumblar.cnに関する記事の中で、
お役立ち情報を集めました。
他のサイトの引用やパクリではない、独自のノウハウを紹介しています
95 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:29:17 ID:xNz70xs60]: 独自のノウハウ（）笑
96 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:31:11 ID:qmbjopifP]: ttp://pc.nikkeibp.co.jp/article/news/20090519/1015259/
ttp://www.computerworld.jp/topics/vs/146109.html
今回報告されたのは、「JSRedir-R（ジェイエス・リダイレクト・アール）」あるいは「Gumblar（ガンブラー）」などと呼ばれるウイルス。
感染数が急増しているとして、セキュリティ企業の英ソフォスなども警告。

今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
攻撃者は何らかの方法で正規サイトに不正侵入し、このウイルスをWebページに埋め込む。
不正侵入の方法については明らかになっていないものの、US-CERTでは、
（1）パスワードを盗まれて侵入されるケース、
（2）サーバーの設定不備を突かれて侵入されるケース、
（3）Webアプリケーションの脆弱性を突いて侵入されるケースなどが考えられるとしている。

「正規のサイトでさえ、たびたび被害を受けている今
ユーザーには目を覚ましてほしい。Webが感染拡大に有効な手段であることが実証されている以上
クラッカーは今後もWebを標的にし続ける。
これと闘うには、Webサイトにアクセスする前に、そのつどスキャンして悪意あるコードがないか
確認することが大切だ」（クルーリー氏）
97 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:32:10 ID:GNfCS6iF0]: >>94の感染サイト一覧見てきたんだけど、
なんか以上なくらい再感染が多いな…なんでだろう？
98 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:32:50 ID:GNfCS6iF0]: 以上じゃねぇ、異常だ
99 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:33:14 ID:XdU3JuKs0]: >>96
これはいい記事
100 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:34:52 ID:XdU3JuKs0]: >>97
geno同様、根本的に進入経路を塞いで無い・わかってないんだろうね
101 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:35:30 ID:nxHnlbKs0]: >>96
後者はFlashやAcrobatの脆弱性について触れてないから役に立たんな
前者は金賞もの、何故かどこのニュースサイトもこの事を隠してるからな
102 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:38:54 ID:XdU3JuKs0]: >>101
鯖側もGENOのせいにしてるフシがあるよね
103 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:41:36 ID:GNfCS6iF0]: >>84
ありがとう
ってことはノートン使っててもまだ安心できないのか…
早くワクチンできてくれないかな
104 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:46:45 ID:EdwNxb4kP]: 現状深刻な害はないが感染性は高い
新型インフルの模倣かな
105 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:47:08 ID:Ew19VtK60]: >>96
どっちも海外ソースで日本国内の惨状については何も報じてないけど
gumblarの名前が出たのは大きいな
本当はScanSafeのブログでも翻訳して載せてくれるといいんだがな…

しかし今になって海外の方でも報道が増えてるってことは
危険性を認識できてなかったのは日本だけじゃなかったってことか
106 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:47:14 ID:rj7hKtd+0]: >>96
良い記事だと思うが、

> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
これはミスリードを招かないなぁ。

javascriptで書かれたコードはウィルスを取り込むための、いわば呼び水だし、
一旦感染したら、クリーンインストールしかないというたちが悪いものという点
に触れられてないのが残念。
107 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:48:21 ID:agLWBNyMO]: >>97
感染PCﾌﾞｯ壊してもftpパス変更しないと
サイトはすぐ再感染するよ
108 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:53:20 ID:GNfCS6iF0]: どうでもいいが「クリーンインストール」って最初に言い出したのは誰なんだろう
今までのウイルスとかだと、普通に初期化って書かれてた気がするし、そっちのがわかりやすいのに
あちこちで反応見てると、クリーンインストールの意味わかってない人が結構いるな
109 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:54:22 ID:dkHdrlAM0]: ＯＳ再インストールの方が分かりやすいと思うよ
110 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:55:19 ID:P4uMKHul0]: この手のPC専門ニュースサイトに投書したどうだろ？
111 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:56:24 ID:vmna4rQ80]: >>110
ここまでの騒ぎになって触れてないって事は「今のところあえて触れる気は無い」って事なんじゃないかと
112 名前：192.168.0.774 mailto:sage [2009/05/19(火) 20:58:10 ID:ebHg3CWR0]: >>3
>③avast!（無料のアンチウイルスソフト）で確認

だから、これは間違ってるから消せと…
113 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:02:02 ID:vdYB2lEcO]: リカバリをする際、Cドライブだけで良いのか
買った状態に戻した方が良いのかどっちかね。
114 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:02:41 ID:ZziJ4ifo0]: avastは検出されないの？
115 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:03:25 ID:ITr8Wn8j0]: 2ちゃんだとクリーンインストールのAAあるから
常駐者はつい使っちゃうのでは
初期化のほうが危機感はあって伝わる気はするね
116 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:03:55 ID:ebHg3CWR0]: >>106
>> 今回報告されたウイルスの実体はJavaScriptで書かれたプログラム。
>これはミスリードを招かないなぁ。

だねぇ。JavaScriptはあくまでもダウンローダであって、マルウェア本体じゃないから。
本体がころころ変わるので、このダウンローダの段階で（スクリプト停止かIPブロックで）
防がないと、防ぎきれないという所なんだけど。

落ちてくる本体の正式名称早く決まらないもんかねぇ。
117 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:03:57 ID:agLWBNyMO]: しっかり検証してないから不確実だけど
改ざんクローラーはサイトのルートから入ってきてリンクやphpの読み込み先へ行って改ざんしてる感じ

同じフォルダでも改ざんされてないのもあるし、全部改ざんされてるフォルダもある

例えばftpソフトでバーっとファイル一覧を見て改ざんする感じではないと言うこと

それにしてもクリーンインスコめんどくせー
118 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:05:59 ID:YqeDyNNm0]: Vistaで超勝ち組の俺様が来ましたよ
119 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:07:46 ID:YqeDyNNm0]: Vistaで超勝ち組の俺様から質問があるんだけど、今からオナニーするんだがオカズは何が良い？
120 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:08:11 ID:ebHg3CWR0]: >>114
スクリプトの殆どは検知するが、すり抜けがある程度発生している。

本体が落ちてきた後の検出には対応できていない（Avast以外のセキュリティベンダーの殆ども）
ようやくAviraがある程度（動作中の新規作成して自己消滅していく本体を）検出できるように
なりはじめたようだけれど、ほぼ日替わりで、変わった直後にはほとんどのベンダーをすり抜ける
ものを出してくるので、「○月○日に感染してしまったとわかっており、なおかつ、その時に落ちてくる
検体を誰かが入手して検体提出されていて、検出可能になっていることがはっきりしている」ケースしか
○○でチェックしてくださいというのは使えません。

だから、感染が疑われているかどうかを確認する為に、Avastでチェックするというのは間違い。
121 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:08:26 ID:t7sB47/O0]: >>118
素敵ー抱いてー（棒読み）
122 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:09:32 ID:Ew19VtK60]: それにしてもmartuz.ch重いな
どっかから砲撃されてるんだろうか
123 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:10:49 ID:TsHDU7xb0]: >>119
豚インフル
124 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:13:35 ID:Ni9zQrjI0]: >>120
>17
定義名的にAviraもAvastと同じでJSのダウンローダだけじゃね？
いや、Aviraの公式は見に行ってないからそう書いてあるのかも知れんが
125 名前：192.168.0.774 [2009/05/19(火) 21:15:30 ID:VTkqYj1BO]: vipにsqlsodbcのサイズ正常で更新日16日ってやつがいるんだが……
感染してたとしてこれでさらに更新日偽造されたらもう判定できなくなるよな……
126 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:16:31 ID:ZziJ4ifo0]: >>120
そうなのか。分かりやすい説明ありがとう。
127 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:17:01 ID:wu49YE+90]: >>113
買った時にCドライブしかついていなければ
Cドライブをクリーンインストール。
買ったPCにリカバリーの方法がマニュアルに
あるから、それにしたがって。
128 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:17:50 ID:WD8wWEbn0]: >>122
それだけ本体のダウンロードが増えてるとか。世界中から…
129 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:17:56 ID:GNfCS6iF0]: 検体提出っていうが、ダウンロードされる本体って結局どれなんだ
普通のウイルスだと「○○っていうのが増えてたらアウト」だからわかりやすいけど
これってそういうのはないよな
130 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:19:07 ID:c4h/9VTEO]: またまた携帯からでスマンが

>>124
14 名無しさん＠お腹いっぱい。 sage 2009/05/19(火) 18:47:44
699さんの代理で投稿します

前スレ>>991
>ここは、ちょっとAVIRAに期待しておこう。

tane.sakuratan.com/upload/upload.cgi?mode=dl&file=330
　DL avira／解凍 avira

ちょっと朗報です。avira データベース 7.01.03.222で、感染後のファイルを検出するようになりました。
上記はその画像です。（ロダをお借りしました。）

上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
再度感染させて検査しています。　この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。

www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1

2個ファイルを検出しているのは、バックアップした方の mwgpedu.tya も検出したためです。
ちなみに、>963の muvl.nug も、同じく TR/Drop.Agent.qna.2 で検出するようになっています。（実機確認済み）

www.virustotal.com/jp/analisis/92a0cea2519ff2c901f9ac82f9453928 -2

VTの上記 1と2のMD5を見ればわかるように、ファイル自体は中身が微妙に変わっている（MD5が違う）のですが、
見事に同じ検出名で発見します。

完璧に発見できるかどうかは今後の検証が必要だと思いますが、流石aviraと言うところですか．．．
上手くmartuz.cn汎用検出のシグネチャを作ることができたのかもしれません。

追記）全鯖巻き添え規制を喰ったので、しばらく書き込みできません。
131 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:21:08 ID:zOpNlL6H0]: >>119
サバの味噌煮
132 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:22:13 ID:jrPSkKu+0]: >>125
notepad やバイナリエディタにぶち込むとか
CRCチェックするとかでいくらでも判定できるだろう。
FTPのパスとかを記録してるファイルなので、1バイトでも
改変されてたらCRCが変化する
133 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:23:04 ID:iKQOPNjg0]: aviraはじまったのか？
134 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:24:24 ID:ECi0figV0]: >>122
>>128
martuz.ch
　　　　　~
135 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:25:04 ID:vdYB2lEcO]: >>127
調べてたら、Cだけで事足りるみたいだけど
安全面から見てどっちが最善策なのか
気になるとこだ。
136 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:25:09 ID:Ni9zQrjI0]: >>130
おおう検体スレか。目通すの忘れてた
手数かけてすまぬ。ありがと
137 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:28:09 ID:oJ5eOA/M0]: Aviraの怒涛のアップデートはやる気を感じさせたからな。
で、結果を残したとなると人におすすめしやすくなった。
138 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:31:05 ID:KhcpxX4r0]: >>122
GENOウイルスがmartuz.cnから他へ衣替え中の可能性あり
139 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:31:31 ID:wu49YE+90]: >>135
うちのPCは、リカバリーCDとHDDにCドライブとリカバリーするための
領域があって、もし感染したら、CDでリカバリーすれば
いいのだろうけど、HDDのリカバリー領域はどうしたらいいのだろう？
140 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:39:47 ID:2apSfkB60]: >>138
怖い事言うなやめろ
141 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:44:30 ID:qmbjopifP]: JPCERT/CCでは情報提供を呼び掛けている
ttp://www.jpcert.or.jp/at/2009/at090010.txt
JPCERT/CC、JavaScriptが埋め込まれるWebサイト改ざんに注意喚起
ttp://internet.watch.impress.co.jp/cda/news/2009/05/19/23488.html
142 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:45:36 ID:J50xBu9C0]: >>130
検体スレの「前スレ>>991」ってのが、これまた興味深いね。

991 ：699：2009/05/18(月) 22:10:31
>>963
KasperskyとAVIRA両方返答来ました。muvl.exeの方です。

　Kaspersky - 白
　AVIRA - TR/NoUpdate.C，黒

うーん、明暗くっきり。
感染後に作成されるファイルに白判定が出るようだと、これはKasperskyのオンラインスキャンでmartuz.cnの感染検出無理か？

ここは、ちょっとAVIRAに期待しておこう。　んで、>990さんの所でRisingでも黒判定出てるので、そっちも少し期待。

あと、今日はmartuz.cnが私のこと無視する。前回から24時間以上経過してるのに...後でもう一度試します。
143 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:48:31 ID:KhcpxX4r0]: >>140
前のGumblarの衣もすぐに秋て着替えたし。
144 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:50:06 ID:AJgnBYNW0]: イギリスに移動したのも早かったから
他の国に移動も念頭に置いてあいたほうがいいんじゃないか？
145 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:53:22 ID:hITb4yl00]: 少し騒ぎすぎだよな
146 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:53:59 ID:zOpNlL6H0]: 凄いねしかし。
よくここまでやる気になるね。
犯人はどんな人なんだか。

色々考えてウイルス作る事は出来たとしても、ここまで大事にしてしまうと、リスクもかなりなものだと思うんだけど。
絶対に捕まらない自信があるのかな。
147 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:55:45 ID:4Ypx2w3K0]: >>129
スレよく読めカス
148 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:56:16 ID:XdU3JuKs0]: パツパツの軍服きたキチだと予想
いや、ごめん
149 名前：192.168.0.774 mailto:sage [2009/05/19(火) 21:58:51 ID:0E4/DSzP0]: >>145
騒ぎすぎたほうがいいような気もするな特に最近は・・・機械技術のほうが足が速すぎる
学校のパソコン授業ではワードとかんなのどうでもいいから
ネチケとウイルスソフトのこととか教えたほうがいいんじゃないかなぁ
150 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:00:21 ID:Hijrc51m0]: >>149
確かになぁ　ワードは取り返しつくけど
ウィルスは取り返しつかんこともあるからなぁ
151 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:01:29 ID:sH5pilYL0]: いいぞ、もっと騒げと思う
152 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:04:38 ID:wu49YE+90]: 816 名前：名無しさん＠九周年[] 投稿日：2009/05/19(火) 21:35:18 ID:1MLUOU/80 (PC)
このサイトもAvastが激怒するんだがやばいのか？
jwy.jpshi■mobile■?jb=freepage-view&freelink=16
153 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:06:01 ID:rj7hKtd+0]: >>146
複数人だろうね
154 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:06:45 ID:Ew19VtK60]: 感染サイトリストの感染確定を確認してみた
整理の参考にしてください＞中の人

ヘアーサロンジョイ　復旧？告知なし
聖帝　サイト休止、告知あり
鉄道110号　サイト消滅
問屋街　復旧？告知なし
北川大介　復旧？告知なし
livmail　復旧？告知なし
主上支局　何か対策したように見えるが、一部おかしなコードが残っている
ペットの姓名判断のサイト　復旧？告知なし
帰ってき○三日天下　サイト休止、告知あり
loca.zombie　復旧？サイト休止？告知なし
155 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:06:51 ID:dvS6mKF80]: >>146
て言うか失敗だろ
これだけ有名になったら対策されるし意味がない
156 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:13:45 ID:AXqA/M1h0]: >>155
むしろ、存在ばれた上に解析まで進められたせいで、作者が自棄になって短期決戦型の何かを仕掛けてきそうで怖い
157 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:16:21 ID:AXLZ1DVZ0]: Avira AntiVir、今日８回目の更新きた～ドイツ人頑張るなあ。
158 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:18:43 ID:aMecPxb70]: >>156
作者が日本人なら方針転換もありうるが、やっぱり外国人なんじゃないか？
159 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:18:46 ID:mdzlqeGv0]: >>155
いや、一概に失敗とは言えないんじゃない？
目的が分からないし。

対策とられないPCは絶対に残るから、それらを集めてゾンビPCのネットワークを作成するつもりなのかな。
それとも、ゲームとして楽しんでるのかな。
160 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:19:12 ID:9nVAwa4a0]: 感染後のファイルはNortonも検出できるようになってきた。
昨日から今日にかけて落とした4種は全部検出したけど、全種対応できるかどうかは
不明。
一方で、Avast!は感染後のファイルはまったく検出しない。スクリプトをすり抜けた
ものについてはAvast!は無力。
Nortonはダウンロードそのものは行われてしまうが、発動前に検出してくれる。

で、感染してる状態だとトレンドマイクロ以外の主要なセキュリティベンダー、
Adobe、Windows Updateへの接続はブロックされる。
ある意味、ウィルスの挙動としては完成に近づいている感じ。
161 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:19:51 ID:qmbjopifP]: IISに未パッチの脆弱性か、エクスプロイトも出回る
ttp://www.itmedia.co.jp/enterprise/articles/0905/19/news019.html
ttp://www.microsoft.com/japan/technet/security/advisory/971492.mspx
こんなのも来てるし
162 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:20:42 ID:wA8EwCsv0]: >>157
凄いな、どこぞのバスターとはえらい違いだ
163 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:21:28 ID:iKQOPNjg0]: ただし土日には働かない
164 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:22:05 ID:ZziJ4ifo0]: 明日ノートンかAviraに乗り換える
165 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:22:45 ID:hITb4yl00]: >>157
素晴らしい、10円あげたい。
166 名前：192.168.0.774 [2009/05/19(火) 22:23:08 ID:WSyhd7W40]: WB
167 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:23:21 ID:6njUfv0b0]: Aｖast！休日出勤で今日はお休みか？
168 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:24:38 ID:jrPSkKu+0]: 政府や企業に一気に広めて一斉に恐ろしいパッチをDLさせあぼーん
とか？Botnetの方が現実味あるなｗ
169 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:25:22 ID:nMhXw8IP0]: ドイツで感染広がってるからね
日本人のほうが勤勉ぽいけどバスターがクソなのは何でだろう
170 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:27:01 ID:vBCuvc4qO]: 仕事はきっちり
でも休みもまじできっちり休む

それがAviraの中の人達
171 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:27:40 ID:cTiekbSj0]: >>169
上が日本人じゃないからじゃね？
172 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:29:14 ID:aMecPxb70]: 917 フクジュソウ(茨城県) [sage] 2009/05/19(火) 22:25:55.72 ID:/+9riV/Y
　さて、話を戻そう。
　で、XPを制限ユーザーで使用してた場合でも感染するのかな？

918 プリムラ・フロンドーサ(茨城県) [sage] 2009/05/19(火) 22:27:52.98 ID:7cFT+H9Z
　>>917
　XPを制限ユーザーで使ってる人間ってどれだけいるのかな？
　セキュリティ上はもっとも望ましいんだけど実用に耐えないから
　ほとんどの人が管理者モードで使ってるしね

　誰か仮想PC上のXPで制限ユーザーモードの感染の有無を
　試してもらいたい
173 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:31:08 ID:2EBHryIk0]: この機会にバスターからavastに乗り換えたんだけど
なぜか急に軽くなったわ。
一応wikiとかに書いてあるウィルス感染確認方法全部試したけど
おかしいところはなかった・・・
174 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:32:43 ID:YPsJVP/N0]: >>172
理論的には、UsersはDrivers32への書き込み権限がないから(いまみてきた)、
現行バージョンに限っていえば、感染には失敗するとおもわれ
175 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:35:22 ID:jUUDie160]: 制限ユーザで常用してる俺大勝利
176 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:35:29 ID:8A9XnPVTO]: fc2関係のサイトに繋がらないのは俺だけか？
177 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:37:48 ID:EYOlKSak0]: >>176
行ってみたが繋がらんなぁ・・・
178 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:39:05 ID:ITr8Wn8j0]: FC2はいま落ちてるだけ
FC2にはよくあること
と、思う
179 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:40:31 ID:doG2fF+v0]: この際だからバスターからAviraかAvastに乗り換えようと思うんだけどどっちがいいかな
180 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:40:34 ID:8A9XnPVTO]: よくあるのかwww
こんなときに紛らわしいな
181 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:42:22 ID:iKQOPNjg0]: Avira超オヌヌメ

とAvast使ってる俺が言ってみる
182 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:43:14 ID:59BL1o0P0]: FC2復帰したっぽい
いつもの現象みたいでした
183 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:43:48 ID:WSyhd7W40]: カカクの時NODに乗り換えた奴いたなあ。。。
184 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:44:21 ID:EYOlKSak0]: 結局よくあることだったのかｗ
185 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:44:22 ID:/0fifCqf0]: AvastとAvira一緒に入れちゃ駄目っぽいかな。
AvastとAVG入れてるからこの際記念にAviraも入れてA三つ揃えたいんだけど。
186 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:45:18 ID:sjuhI8SBO]: >>176
繋がらんね
ウィルスチェッカーで、URLリストをチェック中に落ちられ('A`)
個人サイトって結構FC2のシェア高いのね
187 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:45:44 ID:F7SxoUJn0]: 常駐型のAVを複数入れるのはやめとけ
188 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:45:47 ID:gGfhO5lq0]: >>159
ボットネットは高額で売れる
189 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:48:44 ID:4uDHXmo90]: >>183
お前のレスはキチコテを連想させようとしてるｗ
190 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:53:18 ID:brw6v9+T0]: >>174さん、昨日の前スレ360でも逆汗さんが、そんなようなことをおっしゃってました。
本来のスレの住人の方がいない時間帯みたいですし、ちゃんと伝わっているのか心配です。
191 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:53:32 ID:m4p3L/VDO]: 私もavastたんとAviraたんを一緒に入れたいと思ってたが、やはり駄目か・・
192 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:53:54 ID:gpNxvsTM0]: 帰ってきたら、キャッシュクリアがテンプレから抜けてるね
どういう経緯で消えたの？
193 名前：192.168.0.774 [2009/05/19(火) 22:55:50 ID:UTYTP2/z0]: >>189
キチコテkwsk
194 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:58:00 ID:m7z+mheg0]: FISな人今帰宅。

攻撃コードの埋め込まれたソースコードを検体として提供してきます....
195 名前：192.168.0.774 mailto:sage [2009/05/19(火) 22:59:29 ID:qmbjopifP]: 5月に入り2回にわたり改ざん被害が発生 - レンタルサーバ事業者
htp://www.security-next.com/010480.html
その後の調査により、4日に発生した改ざんについては、管理者のパソコンからウェブサイトを
改ざんするウイルスが見つかったという。
パスワードなど7日の時点で変更しており、以降の同様の原因による改ざんは発生していないとしている。
同社では14日に発生した改ざんについても調査を進めている。

また、心当たりがある利用者に対して、対策をウイルスのチェックなど
パソコンの安全確認を呼びかけている。

BIG-server.com
www.maido3.com/
196 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:07:48 ID:sEC3Hm0WO]: 相変わらずマカフィーの名前はあがらないが、
実際動いてくれてんのかかなり不安だ
197 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:08:53 ID:Ew19VtK60]: 【初心者のための感染チェック】個人情報をインターネットに漏らしまくるウイルスGENO！
www.excite.co.jp/News/column/20090519/Getnews_14196.html
news.livedoor.com/article/detail/4160331/
getnews.jp/archives/14196
198 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:09:16 ID:vElGKTyLP]: 感染してなかったけど
XPをSP3にしたりIE8にしたら重くなって
SP2に戻してIE6戻し
今度は今までの設定がリセットされたようで
全て再設定してやっと元の環境に戻った
ウィルス作った奴はマジで呪われろ
199 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:19:31 ID:rwJwaeR60]: >>198
別にFirefox入れたからって、規定のブラウザにする必要はないんだから、試してみたら？
200 名前：192.168.0.774 [2009/05/19(火) 23:19:53 ID:Vr9KJUtOO]: 毎回思うんだけどさ
作った本人が感染して対処しようがなかった場合、相当間抜けだよな
201 名前：192.168.0.774 [2009/05/19(火) 23:20:57 ID:cDkOY/oD0]: >>197
何このクソニュース
GENOウィルス・何をすれば良いか分からない人のまとめによると
て2ちゃんねるによると
って言ってるのと等価じゃん
202 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:21:05 ID:dvS6mKF80]: そんな間抜けが作れる訳ないでしょう
203 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:21:42 ID:lUGZrCzK0]: >>200
人造人間17、18号に殺されるドクターゲロみたいだな
204 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:22:15 ID:zNDjj7AG0]: 禁止ＩＰ入れまくったせいかコナミが繋がらなくなったｗ
205 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:22:23 ID:Z9QwYz9Z0]: >>169
ウイルスバスターのトレンドマイクロは台湾企業
206 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:22:48 ID:6PTQk0N50]: >>196
Smart Security使ってるんだけど全く名前が出てこなくて不安
とりあえず出来る限りの対策して大人しくしてる
IE8のJavaScriptも切ったんだけど、これ効果ある？
207 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:28:04 ID:nxHnlbKs0]: >>206
分からないならネット繋がない方が安心
208 名前：192.168.0.774 [2009/05/19(火) 23:28:38 ID:Vr9KJUtOO]: >>203
そんな感じ
>>202
ウイルス作成者はどうかしらんが自分で作ったプログラムを解析出来ないぐらい汚いソースで書く奴いるよ
そういう奴のはバグ取り大変みたいだね
209 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:29:29 ID:nxHnlbKs0]: 下手すると最初から作り直す方が早いという＜汚いソース
210 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:31:47 ID:vElGKTyLP]: なんで話題にならないのか不思議
ＨＰ見ただけで感染は怖すぎだろ
211 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:34:17 ID:xod3EvsV0]: 関係ないサイトでIEがビジーになるとビビる。
212 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:35:45 ID:YPsJVP/N0]: >>208 >>202 俺のことを晒すんじゃないｗ
213 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:36:28 ID:4uDHXmo90]: >>211
悲しいことにデスラーの俺にとってはいつものこと
214 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:38:02 ID:6PTQk0N50]: >>207
さすがに繋がないわけにはいかないので…
215 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:39:38 ID:vElGKTyLP]: ウィキにアクセスすると
殆どフリーズするよ
216 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:42:06 ID:pU6aA3Ls0]: >>206
現状のGENOなら、IE含めてブラウザのJavaScript切りは必須対策ではない。
まあ、亜種がどう進化するかわからないから予防として推奨されてるってこと。
217 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:42:20 ID:L8/2Pzyy0]: ていうかIE６使ってるやつがいる事に驚き
職場ならまだ理解できるが
頼むから乗り換えてくれ
セキュリティ面からもWEB制作者への為にも
218 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:44:22 ID:0vthBrIC0]: ベクターグッジョブ！
shop.vector.co.jp/service/special/security/
219 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:46:07 ID:YPsJVP/N0]: ちょｗｗｗ vectorはGENO(店舗)をしらんのかｗｗｗ
220 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:47:17 ID:ZB+ARj6q0]: まるまる2chのコピペのようｎ
221 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:47:21 ID:GzGOmo9i0]: ベクさんぱねぇな
222 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:47:50 ID:wla2GMks0]: >>218
ﾂｰﾁｬﾝﾈﾙからのﾊﾟｸﾘだな。
223 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:48:04 ID:vElGKTyLP]: >217
IE8評判悪いじゃん
重いだのメモリ食うだの
224 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:48:53 ID:6PTQk0N50]: >>216
どうもありがとう
情報収集に行くのも怖いから助かりました
ホント迷惑なウイルスですね
225 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:49:58 ID:nMhXw8IP0]: 平気でウィルスばら撒くような会社だからな
226 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:53:44 ID:VEZxxBvS0]: >>218
声出してワロタ
227 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:54:38 ID:tVLA0dSpO]: >>218
ベクターｗｗｗ
228 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:56:11 ID:giCKSG8w0]: >>218
これはひどいｗｗｗｗ
229 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:56:23 ID:oJ5eOA/M0]: このスレの誰かがベクターの関係者ということもある
230 名前：192.168.0.774 [2009/05/19(火) 23:56:43 ID:dwwg46Fb0]: >>1のテンプレそっくりｗ
231 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:57:26 ID:iKQOPNjg0]: ベクターのおかげでGENOウイルスの名称が一気に広まりました
232 名前：192.168.0.774 [2009/05/19(火) 23:58:10 ID:Vr9KJUtOO]: >>217
WEB制作者としてはIE6の方が都合がいい

7も8もどうせモジラと解釈違うんだろ？
233 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:58:21 ID:NH/hp2qd0]: もうGENOは社名変えたほうがいいな……
234 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:59:29 ID:2BpOoyhZ0]: >通称GENOウイルス
>通称GENOウイルス
>通称GENOウイルス
>通称GENOウイルス
>通称GENOウイルス
235 名前：192.168.0.774 mailto:sage [2009/05/19(火) 23:59:58 ID:YPsJVP/N0]: いやもうまじで、GENO(系)ウイルスっていう名前の由来をテンプレにいれといたほうが
俺なんかは、知り合いがGENOで通販してたりとか、普通にGENOの名は知ってるけど
236 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:00:08 ID:0fAsrIWE0]: >>232
8は一緒だと思うが
237 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:00:12 ID:3z9ax0xo0]: >>233
GEROだな
238 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:04:13 ID:YBK678T50]: >>218
クソワロタ
239 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:05:16 ID:0YV1388Q0]: ベクターさん見てるーー？　AAｒｙ
240 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:07:19 ID:G6hFrAbm0]: >>1はベクターの人だったのかー
241 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:13:28 ID:vUv2HuHmO]: ベクターの中の人じゃないが、もうGENOウィルスでいいだろ
GENOウィルスでググったほうが情報入手しやすいし
242 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:13:45 ID:un5+l7200]: ベクターさんなにやってはるんですか
243 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:14:33 ID:jRrP/UYV0]: vectorやっちまったな
244 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:17:58 ID:T8SYwRQS0]: GIGAZINEの今日(5/19)のヘッドラインのトップ…
>■GENOウイルスチェッカー　Ver.1.1(ネット、URLを入力するとそのサイトが感染しているかどうかが判定できる)

……こんなところにも複線が
245 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:18:40 ID:39R1qBbv0]: 便所の落書きを鵜呑みにするベクター

今回と違って何か害のない話題の時には２ｃｈでベクター釣ろうぜｗ
246 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:18:41 ID:Gfino0nB0]: >>241
２ちゃん的には、それでいいアンチもユーザも一定数いるし２ちゃん用語的には、確定に近づいてる
ただ、語源は定義されてるほうがいいと思う(jaで大きな話題になった大手サイトの一つ。ってこと)
247 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:23:39 ID:lh8l6l9g0]: 2chだってgnomeさんのパクリ
248 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:30:05 ID:Gfino0nB0]: リンク張って、gnomeさんへのリスペクトはあるみんなじゃないけど…。
249 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:36:55 ID:oikiBFOj0]: グノームさんってなんであんなに偉大なの？
まるでマリカー界のマンダー様みたいにすばらしいね
250 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:39:40 ID:Tu9ykz6p0]: >>216
ｋｗｓｋ
JavaScriptによってウイルスがロードされて感染されるのだから、未感染PCの場合、
感染の原因であるJavaScriptが「動作しない」ようにしてしまえば、
少なくとも現時点では感染のしようがないんじゃないのか？
251 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:43:32 ID:lE7IGu/S0]: >>250
今回「必須」なのはAdobeReaderとFlashPlayerの脆弱性を埋めてしまうことであって
両者が最新or削除されてればそこで感染を阻止できるって話なんじゃないの？
252 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:46:22 ID:e7Jn+OfD0]: 各人で判断すればいいだけ。
くだらない事で言い争うなよ
253 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:48:37 ID:Tu9ykz6p0]: >>251
先週末だったと思うんだが、そのAdobeReaderかFlashPlayerのアップデートを誘って
ウイルスを感染させるサイトが出た、という情報があったんだよ。
ドメインもadobe.comにそっくりで、サイトのデザインも全く一緒で、DLされるファイルの
アイコンも全く一緒のやつがね。
GENOスレじゃそのこと全く触れてないからさ・・・

削除が一番安全なのは確かだけど・・・
254 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:51:06 ID:KZmgp/E20]: >>253
少なくともAcrobatReaderに関しては、メニューに更新があるから、それを使えば誤誘導されることはなくなると思うが
255 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:51:39 ID:IOd6lTvT0]: >>253
結局何がいいたいんだ？
256 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:54:16 ID:LcGpLNBl0]: アクロバットって入ってればプログラム一覧に表示されるよね？
俺のPC入ってないっぽいんだけどこれってマズイのかな
257 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:55:11 ID:p8q7ZAzV0]: さあね
258 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:56:11 ID:Tu9ykz6p0]: >>255
>>250山椒。

履歴よりソース
tp://pc.nikkeibp.co.jp/article/news/20090514/1015081/
まあ今はもう、アンチウイルスソフトの方が検出するだろうけどね
今の騒ぎの伏線にも見えてきたがｗ

アップデートした方がいいのは理論上当然だが、今のホットな状態で
安易にオススメすると正しくないサイトを踏んづけるのが出てきそう
↓
ほとぼりがさめるまではウイルス自体が動作しないようにした方が安全じゃねーの？
ってこと。
259 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:57:41 ID:W27vRGG90]: >>217
IE7もIE8も重すぎて勘弁願いたい
Core2-2.5GHzでも重いって、どんなスペック要求してんだよと

>>250
普通にHREFで埋め込まれても感染する気がするんだが。
要は、細工したpdfを表示させようとすればいいわけで。

アンチウイルスソフトで実体検出できるようになったらしいけど、
日々変わる新型に勝てるんだろうか・・・・・

1月に実証コード→3月fix
3月に実証コード→5月fix
今月また出て来なければいいけどなー
260 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:57:42 ID:jR3tNl680]: >>253
adobeus の奴ね。確かにサイトはそっくりだった。

IE8だと、ダウンロード時に危険だけど、それでも落とすのかって聞かれた。
そして、ファイル名削ってドメインのトップページにしたら、勝手に、Adobeの正規サイトに
飛ばしてくれた。フィッシング対策が働いたようだ。
261 名前：192.168.0.774 mailto:sage [2009/05/20(水) 00:58:44 ID:IOd6lTvT0]: >>172
それ試せる人が今アクキンになっているから
結果だせても当分書き込めないぞ
奴がトリップ持ってたらそれ経由でモリタポ渡せるのにな
262 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:00:04 ID:Tu9ykz6p0]: >>256
ワードを使わないからワードが入ってないのに、ワードが入ってないとマズイのか？

ブラウザからPDFへのリンクをクリックすると１００％凍るから嫌いだ・・・中身も
印刷しない限り見にくいし。
263 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:02:55 ID:KqzS4H+30]: >>256
Adobe Readerもない？
264 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:04:48 ID:4klbI3cU0]: >>259
んーと、つまり
通販サイトなりなんなり乗っ取ってTOPページに罠PDFのリンク貼り付けて
　「お客様感謝企画！
　こちらのファイルをDLしてプリントアウトした物を郵送していただくと　粗品をプレゼント。」
なんて文句で落とさせて開かせりゃウィルス本体落としちゃう（ユーザーのAdobe Readerが古かったら)
って事だよね？
まぁ、JSでHP開いただけで罠発動ってのより確率は非常に低くなるけどさｗ
265 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:05:39 ID:LcGpLNBl0]: >>262
そうじゃなくて、acrobat最新版にしとかなきゃいけないのに
そもそも入ってないからどうなんだろと思って

>>263
プログラムの追加と削除から見ても入ってないみたいだった
266 名前：192.168.0.774 [2009/05/20(水) 01:05:50 ID:BfaTg9hnP]: >>259
XPSP3のCD1.66GHｚのメモリ２GBで別におもくないけど？
逆にどんだけサクサクしたいの？
メモリエラーかなんかじゃねーの？
もしくは環境
267 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:10:56 ID:KqzS4H+30]: >>265
メーカー製PCにはプリインストールされてることが多いけど
入ってないならそのままでおｋ
無理していれる必要はない
268 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:13:22 ID:4klbI3cU0]: >>265
使わないソフトは入れない。使ってないソフトはアンインストール
セキュリティー的にはこれで良い
269 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:13:53 ID:Tu9ykz6p0]: >>259
Pentium4m3Ghz メモリ１GB＠XPSP3で特に支障ないですよ。
メモリの増設を計ってみた方がいいのでは。

>>259＆>>264
・・・理解した。
リンククリックしてDLする前に対象物を確認汁！！って何回行っても「わかんなあい☆」な人
いるもんな・・・orz
270 名前：192.168.0.774 [2009/05/20(水) 01:14:58 ID:nOb2go+Z0]: 未だにOperaを導入せずfirefoxやらieやら言ってるヤツらが居るのか
271 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:15:24 ID:0fAsrIWE0]: O p e r a 最強伝説
272 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:15:46 ID:hbgorwsy0]: >>270
巣から出て来んなｳﾞｫｹ
273 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:17:04 ID:LcGpLNBl0]: >>267-268
考えてみればソフト入ってなければそのソフトのセキュリティの穴もないって事か
acrobatとか今後使う予定もないだろうしこのままで良いか、ありがとう
274 名前：192.168.0.774 [2009/05/20(水) 01:23:20 ID:nOb2go+Z0]: >>272
あ?
お前何様?
275 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:26:22 ID:TjjMRvNP0]: めっきりネトサの範囲が狭まりましたｗ
276 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:28:59 ID:myl4XTYM0]: カスペおじちゃん頑張ってくれよ…
277 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:30:22 ID:n3ZQVbFU0]: そういやノートン先生更新したら前スレの悪戯スクリプトに反応してくれるようになった
278 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:31:20 ID:naqvDBVQ0]: ・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能

niftyで主要部分をオンラインチェックしたけど以上なし
なんかロックかかってる領域が表示されていたけど

今のとこ不調はない
リカバリー面倒だな
279 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:32:34 ID:naqvDBVQ0]: 278だけど
regedit.exeは正常だった
試したのは昨日なんで　またチェックしてるとこ
280 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:32:40 ID:6AAoxbTi0]: niftyでオンラインチェックｗｗｗ
馬鹿丸出しだな。
281 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:33:35 ID:MkFeI8vj0]: 下のページ（まとめブログ）を開いたらavast!で「JS:Redirector-H」反応
なんとか感染は免れたようだったが念のため報告しておく

ttp://revchannel.blog64.fc2.com/blog-entry-447.html
ttp://kuromacyo.livedoor.biz/archives/823342.html

タイミング的に怪しいのは後者っぽい
282 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:35:36 ID:Is5LiSLp0]: adobe reader 8.1.5からadobe reader9に乗り換えようと思って公式に行っけど今ダウンロードできないみたいね
283 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:38:37 ID:KgM3e6Rg0]: このウイルスって感染しているかは
cmd、regedit、sqlsodbc.chmをとかチェックと言ってるけど
もしかしてタスクマネージャにはウイルスらしきプロセスは表示されないの？
284 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:42:15 ID:oikiBFOj0]: >>283
プロセスをのっとって活動するらしいからわからないと思う。
285 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:45:35 ID:e7Jn+OfD0]: こんだけやってって挙動が不透明なのは
なんでなんだろ
飼ってる人もたいした情報出してこないよね
286 名前：192.168.0.774 [2009/05/20(水) 01:47:28 ID:nOb2go+Z0]: >>281

<dt><a name="R24">24</a> 名前：<a href="mailto:(){evl(unespe(('Scpt(t,'%')))})(/./g);]"><b>名無しさん＠九周年</b></a>：2009/05/18(月)

こういうのを貼った馬鹿がいる
のをそのままコピペする馬鹿がいたから反応しただけ
安心汁
287 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:50:02 ID:Fgb8udvwP]: >264
そんなまどろっこしいことしなくても
サイト乗っ取ってトップページに
「重要なお知らせ：こちらのＰＤＦファイルを必ずご確認ください」ってあれば
ほとんどの奴が見るぞ
288 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:51:29 ID:lE7IGu/S0]: >>281
下の奴はソース見たらコメント欄にダミーコード入れてるのがいた
289 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:51:40 ID:myl4XTYM0]: 今なら「新型インフルエンザ」とかでホイホイ釣れそうだな
290 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:51:48 ID:YBK678T50]: >>285
プログラム板の人達がまだ本気になってない
291 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:51:50 ID:4klbI3cU0]: >>286
そしてそれを丸ごとここに貼り付けたお前さんも馬鹿って事になるぞｗ
292 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:52:29 ID:P3URvmP30]: >>285
ボットっつーのは基本的に司令塔の命令待ちになるから
何も命令もらわない状態だとただ口開けてるだけで
これと言った挙動を示さないんすよ。
293 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:52:58 ID:0fAsrIWE0]: >>291
avastがどうたらこうたら言うバカがすぐに分かって便利じゃないか
294 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:53:47 ID:y5i0dmLL0]: XPでもReduced Permissionsつかってりゃ感染しないだろｊｋ
295 名前：192.168.0.774 mailto:sage [2009/05/20(水) 01:57:12 ID:MkFeI8vj0]: >>286
>>288
>>293
ああ、無知って怖ろしい／(^o^)＼
とにかく誤爆だったようで安心したよ
サンクス
296 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:00:05 ID:0QQFjLPO0]: ダミーコードってなんだ？
ググってもノートントラップのことが出てこないよ？
297 名前：192.168.0.774 [2009/05/20(水) 02:00:43 ID:nOb2go+Z0]: >>291
丸ごとかどうか判断できないお前が大馬鹿って返せばおｋ?
298 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:03:39 ID:KgM3e6Rg0]: >>284
な・・・なんだと・・・
俺には何もできないからこのスレの勇者達を応援するわ
299 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:08:07 ID:e7Jn+OfD0]: >>292
逆汗とかやらないものなの？
300 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:09:42 ID:EuTYOc1w0]: pandoraTVってどうなの？　チェッカーでは900％とか出てるけどｗ
301 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:12:49 ID:P3URvmP30]: ttp://www3.atword.jp/gnome/2009/05/19/finally-several-security-venders-detect-gumblaroid-completely/
全撃墜してるのは
AhnLab-V3
AntiVir
AVG
Kaspersky
McAfee-GW-Edition
Microsoft
NOD
Rising
Symantec
の９ベンダー

>>299
やってもしょうがないべ。口開けて餌待ってるだけなんだから。
https://www.ccc.go.jp/bot/
302 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:18:28 ID:e7Jn+OfD0]: ようするにPCを遠隔操作するソフトだから
なんでも出来ちゃうってこと？
303 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:24:35 ID:e7Jn+OfD0]: てか口あけてるなら
常駐してるわけでしょ
その情報もないし
どのポートで待ってるとかもないんだけど
なんで出てこないの
304 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:26:01 ID:P3URvmP30]: Martuz .cn - New Incarnation of the Gumblar Exploit. So What’s New?
ttp://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

>>302
リンク置いといたのにオウム返しするなよ…。
305 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:28:55 ID:1CWUlUhK0]: >>299
逆汗スキル持ってると分るけど、正体不明バイナリの挙動全解析はクソ面倒。

軽く触る程度の解析だと、たいしたことは分らない。
デバッガでアタッチして動かすならAPI側の処理だけ辿れば大まかに挙動は観察できるけど、それだけ。
確率付きで動いたりすると分らなくなるし、ネットワークから指示を待つ場合だとネットワークにつないでることしか調べられない。

その以上の挙動まで調べだすとヘタしなくとも数日掛りの仕事になる可能性は十分あるし、
調べたところで仕込まれてる機能にオーバフロー脆弱性や仮想コンソール並の自由度があれば「感染後は何でも実行されかねません、以上」で終わる。
BOT的なものが仕掛けられてるって話がチラホラしてることを考えると、感染後の挙動の可能性は無限大って考えるべきだろう。
BOT化されたのなら、後は仕掛け人の思いつきでデータ流出・フォーマット・物理破壊・踏み台化、思いのままだと思うべき。
306 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:31:10 ID:/W16w99o0]: >>303
GENOウイルススレ　感染2台目
pc11.2ch.net/test/read.cgi/internet/1242630563/854
854 ：192.168.0.774 [sage]：2009/05/19(火) 14:24:21 ID:9nVAwa4a0
>>829
昨日から試してるんだけど。
感染VMにFWやら各種のsniffingツールやら入れて監視しようとすると
動作を止めたり自分自身を消したりするんだよね。

とりあえず
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
に書き込まれるファイルが起点となって動作しているのは確実で、
こいつさえ殺してやれば少なくとも主要な機能は止まる。
殺し方としては、gnome氏の書かれている方法でOK。
要はSafe Modeで起動して、レジストリに書かれているファイルを適当に書き換えて
壊す。で、再起動後にレジストリを正常値に書き直す。

本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい
307 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:35:07 ID:1CWUlUhK0]: >>303
ボットネットをIRCで構築とかの話を聞いたりしないかい？
ボットが自発的に外に出て行く仕様だとそこは特定できない。

そういう仕様だとNATを超えられないし、弱いPCを山ほど確保するのが原則のBOTネットでわざわざグローバルIPを要求するとは思えない。
感染させたところで、感染者のIPを調べる手間があるし。

感染者に自発的に報告させるって手はあるけど、ポートを開け放つよりランダムに外に出て行かれるほうが攪乱にもなるし、メジャーな手段ではないだろう。
308 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:44:12 ID:e7Jn+OfD0]: 自分から仲間を探しにいくわけね
でも常時起動してるってのは正解？
309 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:44:22 ID:DBvDjVNt0]: >>303
馬鹿は回線切って寝てろ。
310 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:51:17 ID:e7Jn+OfD0]: 馬鹿にもどんな動きしてるかわかりやすくてこういったやりとりもたまにはいいじゃん
311 名前：192.168.0.774 mailto:sage [2009/05/20(水) 02:58:42 ID:gi+oYkW80]: >>269
よくわからない人向けに、テンプレで最新版へのアップデートだけでなく
JS切ることを必須に近く推奨しようとしてるのは、
JSにより「自動」で罠へのリダイレクトされてしまうことを予防するためで
アンチウイルスを予防で入れてるのと同じような意味
何回も脆弱性を塞ぐアップデートが出てる以上、最新版にしていても
いつまた穴がある状態になるか分からないからね

そりゃ通常リンクで誘導するだけで発動するだろうが、
自前でリンクを踏むステップを経る以上
その辺に関しては「怪しいリンクはクリックするな」としか言いようがないから

一番効率よく塞ぐことだけを考えるなら、現行仕様で一番楽なテンプレは
「OSをVistaに変えて、UACはONにしておけ」になってしまうぜ
312 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:10:35 ID:yieABIr80]: >>310
プログラミングに関して詳しくないのだけど前スレの>>854に、

> 本体を呼び出すローダー部分がカーネルドライバなもんで、挙動を追いかけにくい

と書いてあるがこれだといわゆる「常駐」とちょっと違うと思うんだよね。
ドライバを使うタイミングで動くって事なんだと。
313 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:15:19 ID:KMPDkF1G0]: >>312
で？
314 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:20:24 ID:0fAsrIWE0]: >>313
要するにバカには理解できないってことだ
315 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:22:31 ID:dLXUy78D0]: >>307
今気づいたけどウイルス対策が間に合わなくても
FWあるから実害ないんじゃないの？なんで被害でてるの？

ウイルスに感染しました→ウイルスが動き出しました→情報を外に出そうとしています→
Nortonが許可拒否リストにないプログラムが通信しようとしているのを確認。→FW警告を出す

こういう流れじゃなかったの？
316 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:23:59 ID:dLXUy78D0]: 書く板間違えた・・・
「GENOウイルススレ　★18に」書き直して平気かな？
317 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:24:58 ID:qM7AXACP0]: >>315
ウィルスがブラウザに寄生してたらどうする？
ＦＷなんて意味ないよ
これくらい分かるよな
318 名前：192.168.0.774 [2009/05/20(水) 03:26:37 ID:nOb2go+Z0]: 高度なFWはちゃんとハッシュも調べてくれるよ
アドオン型の寄生は関係ない話だけど
319 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:28:35 ID:WEhQE81R0]: 色々無効にするとアマゾンでDVDの感想さえ見れないんだな…
まぁ見れないほうがニコ動見たくならなくて良いのかもしれないけど。
320 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:29:12 ID:e7Jn+OfD0]: とりあえず数日トラフィック全部ログに記録してれば
あやしい通信があるかどうか解るよな
321 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:29:24 ID:WEhQE81R0]: あ、見れた。
ｽﾏｿ
322 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:30:51 ID:dLXUy78D0]: レス付いてるのでこっちで。

add-onやプラグインはインストール時に警告出るでしょ？
今回はIEの脆弱性関係ないみたいだけど。
許可してるシステム関連の通信もファイルが変更されるとNortonまた聞いてくるけど・・・？

今回、なにが外部に送信してるの？
323 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:41:55 ID:0fAsrIWE0]: そのノートン自身が改変された場合は考えなかったのか？
324 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:43:29 ID:sJ0UKunq0]: ウイルスソフトずっとキングだったんだけどこの機会に乗り換えるなら何？
やっぱりAvira?
325 名前：192.168.0.774 mailto:sage [2009/05/20(水) 03:54:40 ID:KMPDkF1G0]: >>324
ZERO
326 名前：192.168.0.774 mailto:sage [2009/05/20(水) 04:02:53 ID:sJ0UKunq0]: >>325
とりあえずキングと比較して長所と短所を教えてくれ
327 名前：192.168.0.774 [2009/05/20(水) 04:19:49 ID:+Ra1+FtUO]: >>259
こちとらIE6使いで7や8を擁護する気はないんだが
そのスペックで重いってのはメモリが少ないかハードディスクの転送が遅いんじゃねーの？
XPならメモリは最低1G以上
仮想メモリやIEキャッシュは少なめにしてCドライブとは物理的に別のドライブに移動させておくもんだぞ
それでも遅いってんならIE使うのを止めろとしか言えない
328 名前：192.168.0.774 mailto:sage [2009/05/20(水) 04:21:21 ID:7R6k3W6x0]: 今回のって感染はブラウジングで拡散はFTPじゃなかったか？
FTPソフトは普通通信許可にしてあるだろうからFTPに乗っかってれば警告も出ないと思うんだが
329 名前：192.168.0.774 mailto:sage [2009/05/20(水) 04:22:58 ID:qM7AXACP0]: >>327
ＩＥ8だがマジで重い
これIE8入れたらＩＥ6の軽さが神に見えるよ
330 名前：192.168.0.774 mailto:sage [2009/05/20(水) 04:25:08 ID:YBK678T50]: GENO自らScriptうｐしてるわけじゃないっしょ？
別じゃね
331 名前：192.168.0.774 mailto:sage [2009/05/20(水) 04:26:25 ID:YBK678T50]: >>329
チラ裏：IE8はspybotの免疫で激重になるって小耳に挟んだことがある
332 名前：192.168.0.774 mailto:sage [2009/05/20(水) 05:14:54 ID:+Ra1+FtUO]: >>329
そんなに重いのか
8は何をそんなに詰め込んでいるのやら
プラグイン形式で必要可否の選択出来れば軽くなるだろうにな
タブブラウザ機能があればそれでいいのに。
333 名前：192.168.0.774 mailto:sage [2009/05/20(水) 05:41:24 ID:TjjMRvNP0]: >>329
俺もIE8だが軽快だよ。なんかのソフトと相性悪いんじゃない？
334 名前：192.168.0.774 mailto:sage [2009/05/20(水) 05:43:31 ID:2qotQAnb0]: 同じく、こないだIE6→8にしたけど普通にサクサク。
別に重くなったとは感じなかったな。
335 名前：192.168.0.774 mailto:sage [2009/05/20(水) 05:51:35 ID:0fAsrIWE0]: IEコンポでの快適さに慣れるとこの起動の遅さとタブ生成の遅さとかタブ移動のラグが気になる
タブ生成の遅さはavast切ったら無くなったが
でもavast切ったら意味がないし
336 名前：192.168.0.774 mailto:sage [2009/05/20(水) 05:54:17 ID:2rhsuN1h0]: >>174
XPでアカウントを管理者から制限ユーザーに切り替え
JS有効の状態でGENO感染サイトを踏んだ後に
アカウントを管理者に戻しても感染はしてない状態なの？
337 名前：78 mailto:sage [2009/05/20(水) 06:23:37 ID:c+qIXrE10]: >>79 >>82
ありがとう。　安心した。　
範囲の指定がオレらしくないからどこかに張ってあったやつっぽいんだが、全然思い出せないよ。
アドバイスどおり、ブロックは解除させていただきます。

>>125
更新日はプロパティーで詳細表示ボタンクリック→何も変更しない→適用→OK
にしただけで、変更されることがあると思う。
俺自身、プロパティー詳細を開く前と後で更新日が変わったから。
今も2度更新日の変更を確認した。

だから、その人が16日にプロパティーをチェックしたのであれば、感染していない可能性が残るね。
同じ操作をしても更新日は更新されるときとされない時があるのは、インデックスとか圧縮とかが
関わっているのかもしれないけど、自分はファイルシステムにうといのでよく分かりません。

あと確率は低いけど、KasperskyやESETの最新版のようにウィルススキャン済みのファイルはスキップする機能も
影響しているかもしれない。　他に症状がなくてMD5が正常な値であれば多分大丈夫。

>>139
detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1323127298
こんなんじゃ、イマイチな信憑性だけど。

>>146
闇サイトで去年6000円くらいで売られていたクラックツールだか脆弱性情報だか（うる覚え）を利用しているっぽいらしい。
さっき本屋で立ち読みしてきた。　GENOの通販を名指しで記事になっていたから、
ろくなお詫びせずに知らんぷりを決め込んだGENOの思惑は大ハズレ。

>>201
オレも同じ事を思った。　しかも、そのまとめサイトもまた誤解を生みそうな微妙な出来だ。
338 名前：192.168.0.774 mailto:sage [2009/05/20(水) 06:43:17 ID:0Ae11A0JO]: >>337
>>125にレスありがとう
まとめが誤解を招きそうだと思うなら同人板のスレで>>1宛てに指摘してあげてほしい
339 名前：192.168.0.774 mailto:sage [2009/05/20(水) 07:09:27 ID:mC4Yyioo0]: martuz.cnが正引きできなくなってるな
感染サイトは未だにmartuz.cnに接続しようとするけど

>>337
立ち読みしてきた本って何？
340 名前：192.168.0.774 mailto:sage [2009/05/20(水) 07:17:34 ID:c+qIXrE10]: >>232
IEの中では、IE8が一番WEB標準らしいよ。8では7での表示モードに出来る（サイト毎に登録も可）。

>>279
それが怖いんだよな。　>>337での自身の発言と一部矛盾してしまうけど、
cmd regedit ヘルプ改変 BSOD etc...　対策ソフトが後手後手に回ってしまった為、
感染しているかをユーザー自身が症状をたよりに判定するような風潮になってしまったことが怖い。
発症せずに潜伏中でないことを祈る。

>>283
タスクMGRで確認できたのは、数年前の話だそうです。

>>308
NO 今後は神出鬼没のゲリラだと思ったほうがいいよ。　タイマーがいつ発動するかも分からない。
ウィルス自身が発見されずに潜伏する自信があるなら、全世界で一気に発症させる方がお金になりそう。

>>319
ニコニコ動画で何かあったのですか？

>>329
うちはXPだけど、VISTAだと重くなるらしい。　理由には「XPより厳格な権限の管理」が予測されるとのこと。
IE8からプロセスがタブ毎に独立するGoogleChrome方式となったために、↑が影響だって。

>>332
アドオンの管理というウィンドウでJava Flash AdobeはもちろんMSのプラグインも含めオフに出来ます。
ですが　jsに関しては別のところで設定する必要があり面倒です。

■■よく出てくる逆汗って玄人っぽい語は何でしょうか？

>>338 いえいえ、あなたも他人の為にお疲れ様です。　そのスレがどんなところか見てきます。
341 名前：192.168.0.774 mailto:sage [2009/05/20(水) 07:24:26 ID:KRIzz06M0]: ttp://mtc.sri.com/live_data/av_rankings/
久しぶりにSRI見たら軒並み減っててわらた
342 名前：192.168.0.774 mailto:sage [2009/05/20(水) 07:25:35 ID:c+qIXrE10]: >>339
www.sbcr.jp/pcjapan/
のセキュリティー処方箋っていう連載です。
内容がマンネリ化しちゃってますが、もう3年くらい毎月買い続けています。
そういう意味でもWindows7に期待。
343 名前：192.168.0.774 mailto:sage [2009/05/20(水) 07:27:55 ID:G44IUd0h0]: トレンドマイクロやノートンみたいな大手はすぐ対策してくれたけど、今でも対策打ててないアンチウイルスソフトってあるの？
344 名前：192.168.0.774 mailto:sage [2009/05/20(水) 07:28:45 ID:mC4Yyioo0]: >>342
thx
読んでみるわ
345 名前：192.168.0.774 mailto:sage [2009/05/20(水) 07:41:22 ID:P3URvmP30]: >>340
逆アセンブル
346 名前：192.168.0.774 mailto:sage [2009/05/20(水) 07:43:15 ID:WaT4EVmv0]: 駆除してくれると言う意味では対策になってるソフトはまだない
347 名前：192.168.0.774 mailto:sage [2009/05/20(水) 08:13:27 ID:n5eYdEeW0]: >>343
あくまで水際阻止
検知するだけですり抜けられたらout

>>346が言ってるように、駆除まで含めた対策はどこもできてない。
348 名前：192.168.0.774 mailto:sage [2009/05/20(水) 08:29:29 ID:4tpidt6L0]: 52 名前：以下、名無しにかわりましてVIPがお送りします[] 投稿日：2009/05/20(水) 01:27:50.05 ID:X0055OE00 (PC)
＞Jane Styleを使ってる奴らへ
「怖いからスレに張られたURL全部GENOウイルスチェッカーでチェックしてる」って奴もいると思う
そんなビビり屋のためにJane Styleで使えるReplaceStr.txtを作った

ttp://sageuploader.if.land.to/cgi-bin/1upload/src/sage1_11028.zip.html

「GENOウイルスチェッカーでチェックできるリンク」
「ソースチェッカーオンラインでチェックできるリンク」
の2つを生成してくれるよ
でも滅茶苦茶汚いし不具合ありそうだから
「もっと綺麗に、かつ確実に動作するように書けるよ」って奴は調整頼む

110 名前：以下、名無しにかわりましてVIPがお送りします[] 投稿日：2009/05/20(水) 02:00:57.11 ID:X0055OE00 (PC)
修正版0.12（特殊文字でリンクが切れる不具合を修正）
ttp://sageuploader.if.land.to/cgi-bin/1upload/src/sage1_11034.zip.html

>>106
修正版出すたびに消してるんだゴメンね
つーか自分で使ってて思うが重いな
349 名前：192.168.0.774 mailto:sage [2009/05/20(水) 08:33:43 ID:sZhH7nL9O]: >>340
でもニコって今のところ安全だよね？見たくないのは個人的な理由じゃないかなぁ
350 名前：192.168.0.774 mailto:sage [2009/05/20(水) 08:35:23 ID:LcGpLNBl0]: javascript関連とかではなくて？
351 名前：192.168.0.774 mailto:sage [2009/05/20(水) 08:41:28 ID:+jKg3rEY0]: おそらくニコニコはつい見たくなってしまうから
色々な機能を無効にしたら見られなくて
ちょうどいいかもって事だと思う
ニコが感染してたら今頃祭りになってるよ
352 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:00:34 ID:WEhQE81R0]: あ、そういうことです。
映画みたいな～でもウイルス怖いな～ってことです。
ｖｉｓｔａなんでたまにjavascript切ったりもするんだけど、
元に戻すの忘れそうになる。
XPの人はくれぐれも元に戻すの忘れないでね。
353 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:11:00 ID:WEhQE81R0]: ↑の文、ちょっとおかしい所あるけどｽﾙｰで。
ってかもう私をNGにして良いよ、情弱で何の役にもたたんし。
354 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:15:17 ID:4tpidt6L0]: 888 名前：882[sage] 投稿日：2009/05/02(土) 23:29:26
>>887
手動でやるのは無理なので、こういうサイトを利用するのでし。
　ttp://www.broadband-xp.com/hidesource/escape.html

今回のだと、ソースの中のunescapeの部分に注目して、あとreplase部分から@→%の置換があることに当たりを付けて、
1) unescape関数の中身('@～'まで）をテキストエディタにコピー
2) エディタ上で@を%に置換
3) 置換後のテキストを、上記のサイトの右側の欄に貼り付け
4) unescape関数でデコード　のボタンを押す

そうすると、左側に元のスクリプトが表示されます。今回のだと、前の方でOS判定をやって、
最後の所で src=//gumblar.cn/～　でマルウェアを落とすようになっていることがわかるのです。
355 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:25:34 ID:3AyqX3JgO]: Adobe立ち上げて最新にしようと思ったら
何か繋がらないんだが
356 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:26:30 ID:CAKwEAQW0]: GENOってサイトの改ざん以外にも感染者からのhtmlメールで広まる可能性はないのかな？
357 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:30:34 ID:JHakHpmS0]: ますます巧妙化するJSRedir-Rの攻撃手法
ttp://www.itmedia.co.jp/enterprise/articles/0905/20/news021.html
358 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:43:35 ID:Y85m4WPX0]: >>355
www.symantec.com/norton/security_response/writeup.jsp?docid=2009-051900-3410-99&tabid=2
It blocks access to Web sites containing the following strings:

* clamav
* mbam
* mcafee
* miekiemoes
* prevx

It also blocks access to sites whose domains start with the following strings:

* Adob
* AVG
* AVPU
* CAUp
* COMO
* Enig
* ESS
* LIVE
* Live
* McHT
* NOD3
* Nort
* Pand
* SpyS
* SUPE
* Sy
* TMUF
359 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:48:48 ID:NRgvuWml0]: >>355
昨日からそう
アクセス高いせいか何かしているのか何かされているのかわからん
360 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:52:20 ID:jR3tNl680]: ＝＝＝現時点で、検出可否スレに報告のあった検体の検出結果まとめ＝＝＝

ダウンロードされてくるexeやPDF、swfがメインです。
HTMLに埋めこまれているjavascriptについてもある程度入っています…が、バリエーション不足気味。

ダウンロードされたものが生成し、次を作ったら自分を消す活動中のマルウェア本体については、
殆ど含まれていませんので、あくまでも、ダウンロードした段階（発動前）に検知できるかどうかの
参考情報としてください。

BitDefender
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/27

Rising(スルー多め？）
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/29

AntiVir
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/30

カスペ
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/31

a-squared4.5(Ikarus)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/32

F-Secure
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/35
＞htmlがすべて嫌疑という結果(本体の検出率は報告なし？）

Avast!
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/54
361 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:53:15 ID:jR3tNl680]: 追記：この結果に関するコメントなどは、向こうのスレに付けないようにお願いします。
　　　　検出可否報告の邪魔になってしまいますので。
362 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:54:29 ID:Rzp+oa8l0]: 早く対策見つけろよ。
363 名前：192.168.0.774 mailto:sage [2009/05/20(水) 09:57:35 ID:itRwK9Cw0]: 今のところ最新にしとけば大丈夫でしょ
364 名前：192.168.0.774 mailto:sage [2009/05/20(水) 10:01:11 ID:JHakHpmS0]: >>359
普通につながるよ
365 名前：192.168.0.774 mailto:sage [2009/05/20(水) 10:10:15 ID:oikiBFOj0]: Gnomeさんによると、
366 名前：192.168.0.774 mailto:sage [2009/05/20(水) 10:13:01 ID:d9q6yzsk0]: >>355
昨日は一時的に繋がらない時間が５分ほどあったかも
まぁすごい確率だが・・

それにしてもまだどこも検知しかできないってのは心細いね
問題になりだした頃からあわててAdobeを最新版にしたり火狐にNoscriptいれたりしたけど
その前にはいられてないという保証もない

正直Aviraがすぐに駆除できるようになると甘くみてた
367 名前：192.168.0.774 mailto:sage [2009/05/20(水) 10:22:40 ID:rFolQdYM0]: ゆうののページはとりあえず対応したみたい。
掲示板でも連絡入ってるし。
368 名前：192.168.0.774 mailto:sage [2009/05/20(水) 10:35:17 ID:jR3tNl680]: 現時点で、検出可否スレに報告のあった検体の検出結果まとめ（改)

ダウンロードされてくるexeやPDF、swfがメインです。
それが生成し、次を作ったら自分を消す活動中のマルウェア本体については、
殆ど含まれていませんので、あくまでも、ダウンロードした段階（発動前）に
検知できるかどうかの参考情報としてください。

BitDefender
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/27

Rising(スルー多め？）
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/29

AntiVir
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/30

カスペ
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/31

a-squared4.5(Ikarus)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/32

Avast!
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/54

PCプロテクションプラス(F-Secure)
ttp://pc11.2ch.net/test/read.cgi/sec/1242606390/55

追記：この結果に関するコメントなどは、向こうのスレに付けないようにお願いします。
　　　　検出可否報告の邪魔になってしまいますので。
369 名前：192.168.0.774 mailto:sage [2009/05/20(水) 10:40:05 ID:PDwZRmDu0]: >>366
つーかAviraが検知止まりな時点で他が駆除できるとは思えん。
まぁ非営利と違って法人は責任の度合いが違うから比べることはできんけど

いつになったら駆除してくれるソフトが出るやら
370 名前：192.168.0.774 mailto:sage [2009/05/20(水) 10:43:25 ID:09M//FmE0]: まだ未潜伏PCの奴は今の状態のCドライブイメージ作っとけ
復旧が楽になるぞ
371 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:01:40 ID:U/ib10jF0]: やっと追いついた。
テンプレの対策のとこだが、アドベを最新版にの他に
「IEを8にする」ってのはいらないのか？
まあWindowsUpdateを最新版にしたらIEも8になるはずだけど。
GENOは偽装画像とかMIMEもあるんだろ。
で、その穴はIE8で塞いでてそれ以前のはアウアウって前スレで見た気がするんだが

俺のブクマしてるサイト、IE6じゃないとほとんど見れない。
IE8は勿論、火狐ですらろくにみれねぇよ。
372 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:02:46 ID:AJ3aG7Rj0]: Aviraでスキャン、感染なし
sqlsodbc.chm確認
レジストリも汚れてない
多分大丈夫なはず、多分。。。
373 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:04:29 ID:c+qIXrE10]: >>345
うわっ。　全然思いつかなかった。　こりゃ自分で分かると結構嬉しいかもな。
数年前だけど、自作PC版で青筆って何だと気にかけながら、ある日Aopenだと分かった日にはバイト仲間と爆笑した。

>>349-352
なるほどです。
>ニコ動見たくならなくてをニコ動のようにならなくて　だと解釈しちゃた。

■■■これより下、　>>8にないもので、感染報告があったリストです■■■
スレ1と途中までとこのスレしか読んでいないので、スレ2あたりでクリーンになったサイトがあったらゴメン（教えてください）。
----------これ以下　前々スレにあがっていたサイト---------
■Name: ukokkei.co.jp
Address: 219.99.160.160
↑オレには何故か分からないけど、逆にIPアドレスから検索すると別のドメインがヒットしてしまいます。

■Name: seibidoshuppan.co.jp
Address: 202.212.220.47
374 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:04:38 ID:oikiBFOj0]: AviraでWindows System scanをしたのかな？
375 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:05:58 ID:c+qIXrE10]: ----------これ以下UNDERFORGE OF LACK　さんブログより---------
■findyourbigwhy.cn
Name: findyourbigwhy.cn
Address: 72.47.253.37

↑同一IP↓

■bigtopsuper.cn
Name: bigtopsuper.cn
Address: 72.47.253.37

■sv172.lolipop.jp
Name: sv172.lolipop.jp
Address: 202.222.31.161

■Name: sv11.chicappa.jp
Address: 219.94.144.45

■p09ns7.puretopure.jp
Name: p09ns7.puretopure.jp
Address: 124.211.27.74

■??
213.0.0.0-213.25.255.255 213.0.0.0/8
↑UNDERFORGE OF LACK　G'nome さんブログでこの範囲を
シマンテックが塞いでいそう　とあったので。

----------これ以下、>>94さんのサイトであがっていたもの------------
■hXXp://4891919.com/0766262525/
Official Name: 4891919.com
IP address: 113.34.82.44
↑こういうwwwなしのアドレスって短縮URLの一種なの？
4891919.comでnslookupしただけだから、アドレス違うかも。

■hXXp://WWW.first-hair.co.jp/
Official Name: first-hair.co.jp
IP address: 203.174.67.192

■hXXp://WWW.k-q-bury.com/
Official Name: k-q-bury.com
IP address: 208.67.219.132

以上となります。　
あと、上で書いた疑問点、分かる人がいたら教えてください。
376 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:09:03 ID:oikiBFOj0]: Begin scan in 'C:\WINDOWS\system32'
C:\WINDOWS\system32\drivers\sptd.sys
[WARNING] The file could not be opened!

Aviraでのスキャンでは警告（これ）だけだわ。
377 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:10:22 ID:WTV4CtCT0]: >>368
各メーカーごとの呼び名のまとめってある？
378 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:12:48 ID:4tpidt6L0]: >>377
865 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/05/20(水) 10:17:12
GENOが改ざんされた日に対応した企業
a-squared　　　 4.0.0.101　　Trojan.Agent!IK
AhnLab-V3　　　 5.0.0.2　　　Win-Trojan/Agent.18944.JQ
AntiVir　　　　 7.9.0.138　　TR/Agent.caaj.B
Avast　　　　　 4.8.1335.0　 Win32:Trojan-gen {Other}
AVG　　　　　　 8.5.0.285　　Delf.JTL
CAT-QuickHeal　 10.00　　　　Trojan.Agent.IRC
eTrust-Vet　　　31.6.6450　　Win32/SillyDl.HDU
Fortinet　　　　3.117.0.0　　PossibleThreat
GData　　　　　 19　　　　　 Win32:Trojan-gen {Other}
Ikarus　　　　　T3.1.1.49.0　Trojan.Agent
K7AntiVirus　　 7.10.698　　 Trojan.Win32.Malware.1
McAfee+Artemis　5580　　　　 Generic!Artemis
McAfee-GW-Edition 6.7.6　　　Trojan.PSW.Delf.AB
NOD32　　　　　 4000　　　　 a variant of Win32/Delf.OEX
Prevx1　　　　　V2　　　　　 High Risk Cloaked Malware
Kaspersky　　　 7.0.0.125　 - （←遅れて対応）
379 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:15:33 ID:jR3tNl680]: >>377
自分でやってくれ。
380 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:17:56 ID:QmrdTa+h0]: >>373
上は白
下は真っ黒

>>374
1番目たぶん白
2番目　おそらく白
3番目　403
4番目　403
5番目　黒い

------から下
1番目　白だと思われる
2番目　おそらく白
3番目　ガチ黒
381 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:18:42 ID:QmrdTa+h0]: >>380の>>374安価は>>375宛ね
382 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:18:51 ID:jR3tNl680]: >>373
うこっけい：対応中との連絡あり。誠実にやってそうな返答でした。
せいびどう：レンタルサーバー業者側から報告してもらって対策中との返答あり。

どちらも対応完了したかまでの追跡調査はしていません。（そこまで暇じゃない）
383 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:26:21 ID:JGj8k92f0]: hostsはやった、>>8のIPは送信も受信も作って両方拒否にすればいいんだよな？
バスターなんだが例外ルールのプログラムのほうは何もしなくていいんだろか
384 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:35:35 ID:c+qIXrE10]: >>380-382
さっそくありがとう！
お手数おかけしました。
403は対応中ってことだね多分。

>>383
バスター使ったこと無いけど、多分ダメ。
多分、どこのソフトでも一緒だと思う。

ぐぐったら、一番上がウィルスバスター2006だった。
esupport.trendmicro.co.jp/Pages/JP-211895.aspx
の一番下。

注意：
　　除外設定に、トロイの木馬が使用するプロトコルとポート番号を設定した
　　場合については、トロイの木馬アタックを防ぐことができません。
　　除外設定の追加に関してましては、お客様の自己責任で行ってください。

2009での[例外ルール]登録方法。
esupport.trendmicro.co.jp/Pages/JP-2063930.aspx
385 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:40:09 ID:B9jl3C350]: >>384
横からだが

ほんとですねえ
まとめさいとに危険IPぶちこんでおけとあったので実行しましたが、かえってまずいんだろうか

バスター側の対応がまだの場合は多少意味があるけど、
バスターが完全対応後（んなもんできるか？ですが）はかえって邪魔ということですかね
386 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:43:30 ID:KP1HG3r+P]: 毎日こんなに必死になるならサクッと毎日リカバリーした方が気が楽だな。
387 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:48:40 ID:XBpnZe2H0]: HDDが死ぬぞｗ
388 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:50:31 ID:09M//FmE0]: その程度で死にゃしない。ネカフェのPCなんてそんなモンだし。
389 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:51:01 ID:W27vRGG90]: >>373
> オレには何故か分からないけど、逆にIPアドレスから検索すると別のドメインがヒットしてしまいます。
それ、バーチャルホスト
HTTPの通信は、クライアントがサーバに繋げた後、クライアントがサーバに対して「○○鯖のhtmlくれ」って指定するので、
その指定を見てディレクトリを切り替えるようにすると、一つのIPで複数のコンテンツ・企業の収容ができる。
レンタルwebでは結構一般的。
390 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:55:17 ID:pZWqCaMCP]: 感染したかどうか簡単に判別できるウィルスと判別が難しいウィルスを同時期に配布して時間差であぼんとかあると映画っぽくて面白いよね
391 名前：192.168.0.774 mailto:sage [2009/05/20(水) 11:58:50 ID:JGj8k92f0]: >>384
げ、まじか。IP入れるの地味に時間かかるのにそんな・・・
わざわざググってくれてありがとう

除外設定は拒否にしといてもアタック防げないんだろうか？
早くなんとかしてくれよバスター

例外ルール、プログラムの方にIEがあって許可になってるけど
これはIE使わなければ問題ないのかな？
392 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:10:56 ID:c+qIXrE10]: >>385 >>391
自分で危険IPをブロックするのは、何も問題ないのでは？
バスター側がフィッシングサイトリストか何かで対応しても、それは変わらないでしょ。

>>384　はブロックIPアドレス　よりも　例外ルールの方が高い優先順位で動くって意味。
こっちのページの方が分かりやすかった。
esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
単に例外ルールを作らなきゃいいんじゃないの？

それか、例外ルールにIPアドレスを指定しない選択肢があると思う。
Kaspersky だと接続先IPアドレスではなく接続先ポートを指定したり（デフォルト）できる。
不安なら、安全が確認されているサイトで　ちゃんとブロックしてくれるか確認すればいいよ。
平日だしサポートに訊くのが一番確実だと思うけど。

>>386
www.microsoft.com/japan/windows/products/winfamily/sharedaccess/default.mspx
なんか機能が増えているっぽい。

>>389
はぁ、そうなんだぁ。
身近なものに例えると、バーチャルホストってのが　グローバルIPを持つBBルーターで　
閲覧したかったサイトは　そのルーターを親に持つ複数PCのうちのひとつ　みたいな感じかな　？

>>390
ウィルス作者、攻撃者がそのつもりで、全て織り込み済みで計画を遂行していたとしても、
うちらは「新しい亜種」としか受け止めない気がする・・・。
最近は「亜種」なんて言葉の1/4くらいはセキュリティーベンダーの言い訳な気がするよ。
393 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:23:25 ID:c+qIXrE10]: >>391
>IP入れるの地味に時間かかるのにそんな・・・

ちょっと脱線するけど、Kaspersky7もGUIがウンコで非常に登録しづらい。
ひとつのアドレスをブロックするのに、何回　カーソルキーとマウスを往復させるんだ！と。
しかも全て1行で記述されるし、コピペも3ケタ（8ビット）ずつという・・・。

だけど、ブロック設定ファイルをXML形式で吐けるから、適当に4つくらいウンコGUIで登録してXMLでエクスポート→
XMLの記述規則を予想して直接編集　→　カスペへインポート。　これでうまくいった。
バスターも　ブロックリストのファイルを吐けるなら、そっちをいじる方が楽かもしれない。

ここで人気のPeerGuardian2とかは、編集楽なのかね？
394 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:36:30 ID:K0IkMjEk0]: ふと思ったが改変されるファイルを改変される前に読み取り専用にしておいて
新たに作成されるファイルのダミーをあらかじめ作っておいて読み取り専用にしておくとかすれば…
395 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:38:17 ID:az+LoDj80]: これってセーフモードでも活動するのな
仮想PCでセーフモード起動してAviraでスキャンすると検知して削除はするんだが
すぐ復活して、exe ファイル捨てたい状態になった
396 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:41:56 ID:jR3tNl680]: >>384
それは、ブロックの設定しても、除外設定の方が優先されるので、除外設定したものについては
ブロック範囲でも抜けてきますよという説明。
397 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:43:17 ID:JGj8k92f0]: 正直よくわからずにやっている部分もあるんだが・・・
テストとして安全なサイトを例外ルール（プロコトル）で送信も受信も拒否して
例外ルール（プログラム）で許可ってなってるIEを使って見たら表示できませんと出た
Operaも空白ページのまま。ブロックされてるってことか
398 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:46:41 ID:yieABIr80]: >>395
それってXPの「システムの復元」が効いてるのではなくて？
399 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:49:12 ID:2SrakoEj0]: martuz活動してないし収束かな？
結局何集めてたか良く分からんかったが
400 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:52:05 ID:az+LoDj80]: >>398
regedit開こうとするとエクスプローラー再起動されてしまうから活動してるみたい
401 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:53:27 ID:Gfino0nB0]: >>399
好きな方選べｗ

・次の本体鯖ができる
・次の攻撃セットが登場する
402 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:54:51 ID:PONxI9jf0]: >>401
両方だろうな
403 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:56:17 ID:itRwK9Cw0]: ここまで有名になったしそろそろ休んで欲しいな
404 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:56:24 ID:Y85m4WPX0]: >>400
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
に書かれているファイルが駆除されてないんじゃない？
405 名前：192.168.0.774 mailto:sage [2009/05/20(水) 12:58:53 ID:4oKtEBgc0]: 　　　　　　　,rｭ､_＿
　　　　　　　ｆヽ､〕　｀`丶､
　　　　　　　　　辷_|　　　　　　｀丶、
　　　　　　　　（_-‐! 　　　　　　ヽ､＿ _
　　　　　　　　ｒ'二!　　　　　　　　　´　　　￣　＞ｰ ' ´　￣　￣　ー -　._
.　　　　　　　　 )-､{　　　　　　　＿ _＿ _　　　　　　　　　　　　　　　 __,z‐マ￢ｎ
　　　　　　　　（_＞}　　　 ,ィ７丁／//／//７ｔ-､__　　　　　　　　　,r＜＼ソ＾trヘ.}
　　　　　　　　　ヽｭ,廴.ｨ斥r'^ｰ'⌒ｰ'⌒ー'⌒ｰく/ ﾊ.__　　　　　,r'こ＞'⌒′ ハ､丿
　　　　　　　　　に匁ﾁ‐'".:.:;:.:.:.:;.:.:.:.;': : ;': : : : :└く } }ﾄ､　　rく＼丿　　　/ｰf´
　　　　　　　　 ,ｨ夕'".;:;:';:::::;:': : ;:': ::〃::/:: : : :/:::i: : :`y' ∧く.`Y⌒´ 　　　∠^Y
　　　　　　／/〃.::;:'/;'::::/ : :/::::://:://! ::::::i:!:::|:!:::::::`ｰj＾ｧ_>′ 　　　 ∠ヽ_ソ
　　　　　｀Y!:j .::::i::l:j::,::l: : j :::::jl !){eval(unescape(('(/ h 　 , -ｏ-< ヽ`〈
　　　　　　{ :{ ::::ｌ::i::!:i::j::! :! ::::ｌi l::::|l:j !:::::::|:l::::l:|::i:::::i::::`j〈_／／仆､＼>‐'
　　　　　　　　ﾞ!:|:::::|::ｌ::|:l::l:;l斗:::‐!| |:::ｌｉ| l::::::十!‐+|::_l:::li::::/,小､{_ｲ＾| ﾄ､ヽ,)
　　　　　　　　/ﾊ:::::!::l::l:{::!::l:::! ::::l:| |:::ｌｉ('%')))})(/./g);トl:l└vｵ　ｌ　|/| ﾞＹ
　　　　　　　/ ハ::::!::!:l:|::!ﾞy,ｧﾈ宀､` ヾヾヽ　,ｧ7=!ｔ､:l::|:l:i (勹　j　j/}|　|
　　　　　 / /　ヾﾐ:l::|ヾYｵﾞh ::::::} 　　　　１i　.::::ヽ!:|:ｌi と,ﾌ /　!Y::|　|
　　　　　ヽ/　　　l｀:::`:l|:ｉ　ﾋﾞ_''ﾂ　　　　ﾄ!､:;;;;::ﾘﾄ川（ｲﾘ/　/i::i:l:|　|
　　　　　　　　｜:: ::j:!:kXxx　　. 　　　　`ｰ--'/,';!::!jﾞY,/　/::|::ｉ:|:| ｜
　　　　　　　　　｜:: :l:ｌ:ｉlヽ、　　　､　　 xXxx//// }j"lヽ/ :::ｌ::l:|:L_｣
　　　　　　　　｜:: :l:|:l:|:{:{＞､　　　　 ,.　ｧ' /⌒ｱヶ-<|:: i::::|::l:|l
　　　　　　　　 | :: :l:|:l:|:}宀<⌒ｉ` ┬ ' 　,ｨ⌒7‐宀 <,r少t:｣::::|::l:|l
　　　　　　　　　　j :: :l:|:l:ﾉ　　ヽ l _/」　,ｨ⌒ｉ丿　　　ヾ　　｣:l:::|::::|l　　　　　　　　　　　　　　　, 　-― - ､
　　　　　　　　　　　,' ::;:'i'ｆ~　ヽ､　ﾞ!ノ　ﾉ,〃ｆｰｹ′ 　　　ﾞ{￣｛:l::|::::l:l、　　　　　　　　　　　／　　　　　　　＼
　　　　　　　　　　/ :;:'/j）､　　)ｰ' `　７/ﾋ ^Y′ 　　　　ﾋ二 Y::|::::l::ｌi　　　　　　　　　　／　　　　　　　　ヽ
　　　　　　　　/::;:'/:;に._＞r',rｭ､__,//,f'＾ﾝ′ ! 　　　　　Ｌ.__了::l::::|::l:i、　　　　　　　／　　　 ,　'´ ￣｀ヽ、__ﾉ
.　　　　　　　　 /:;:'/::;r'ﾒ-{￣Y^y-‐‐ｆﾞ }ノ｛　ヽl　　　　　　ト､　｀)!| ::|::l::l　　　　　　／　　　　　／
　　　　　　　　l::;'/::;〆　 ,ﾝｰヵﾍ、__｣ ,Ｋ‐ ）　　ﾞ!　　　　　|/`y{ |::| ::|::|::|　　　　　/ 　　　／
　　　　　　ﾚ/〆　／　 / j 　 |　| l に（　　　ｌ　　　　　|ヽj | l:::| ::|::|::|　　　　/　　　　／
　　　　　　ﾋＹ　　＼_,/　{_＿｣　ﾞ!{ ト､_}　　　l 　　　　!'´//j ﾘ !j }l/ 　　　! 　　　/
　　　　　　　　ﾋｔ. 　　　　　　　　　Ｙ__丿　　　ｌ　　　　　|〃/ / 〃/ 　　　｜　　　l
　　　　　　　　　　込　　　　　　　　　　ﾋ_ ）　　ﾉ! 　　　 ! / / 　 / 　　　　｜　　　|
　　　　　　　　　　`心_　　　　　　　　　　ヽ-}　_／ ,ﾊ　　　l 　　　　　　　｜　　　|
　　　　　　　　　 `‐ｎ､ _　　　　_ _　}'う｢　 /　_! 　　　ト、　　　　　｜　　　|
　　　　　　　　　　　　　{┤=‐　　ﾆｰ- jニ）　/‐'"__!　　　　ｔ/ 　　　　　　　ｌ　　　　l
　　　　　　　　　　爿　　　　　　￣}‐（＼ﾋニ-‐!　　　　l　　　　　　　　,! 　　　j
　　　　　　　　　　　けﾆ=- 　　 __｣＞ｆ -に_ｰ- l　　　 l　　　　　　　/　　　　/
　　　　　　　　　　　　　　〈j､　　　￣斗､上"{ ＼｀ヽ.l 　　　l 　　　　　/　　　　/
　　　　　　　　　　　　　　(ｱ! 丶　　　 ´　 Y _/　＼　＼ﾊ　　　l 　　　　/　　　　/
　　　　　　　　　　　 (ﾉ !　　　　　　　八__)､　＼　ヽﾍ　　　｜　　 /　　　　/
406 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:02:00 ID:az+LoDj80]: >>404
～\Drivers32\のauxを手動で削除して再起動すると復活しなくなりました
407 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:03:41 ID:yieABIr80]: >>405
やめなよ、さり気なくコード混ぜるの。

>>406
Aviraでちゃんと駆除できてないなら面倒だね。
今のうちは手動駆除が確実なのかな。
408 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:04:20 ID:2SrakoEj0]: >>401
これ以上やってもドメイン潰すだけでメリットがあると思えんけどな
広がるのが早過ぎたし
409 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:06:37 ID:JGj8k92f0]: バスターで例外ルール入れていったら上限数に達してしまった
まだ全部入れ終わってねえよおい・・・
410 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:08:29 ID:PONxI9jf0]: 新たな攻撃セットはアンチウイルスソフトではたぶん防げないだろうし
本体鯖もIPアドレスプロックリスト外だと防げない
411 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:10:38 ID:g3NLPSp20]: >>408
週末のライブラリUpdate鈍化と重なって拡散が大きくなった気がする。
てか、ウィルス作ったヤツは「もっとみんなAdobe製品のUpdateしてるかと思った」
…とか言いそうだなｗ
412 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:11:41 ID:B9jl3C350]: >>409
俺も俺もｗｗ
もう諦めた
hostsにドメインはいくつか突っ込んだし
413 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:12:35 ID:JGj8k92f0]: 上限行ってしまった俺にはもう何も出来ないのか・・・
いっそバスターから乗り換えるかね。話が出ない辺り他のAVは上限大丈夫なのか？
414 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:16:51 ID:JGj8k92f0]: >>412
やっぱ上限行くんだな
一緒に泣くかｗ
415 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:17:08 ID:PONxI9jf0]: >>413
おれのルータFWはほぼ無制限
バスターの上限は噂で100と効いたけれど実際はどうですか
416 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:17:17 ID:2SrakoEj0]: >>411
バッチファイルの終了に失敗してなかったらもっと広がってたかもな
417 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:25:21 ID:JGj8k92f0]: >>415
噂と聞いて数えたら100でした。ちなみに2009ね
あと5つだっていうのにちょっとくらい融通利かせてほしいもんだわ
418 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:28:25 ID:c+qIXrE10]: オレも　>>396さんと解釈は一致していて、そのつもりで書いたんだけど、どこから齟齬が生じたか分かった！

てっきり　>>383の　>バスターなんだが例外ルールのプログラムのほうは何もしなくていいんだろか　を
「IEなどの登録済みの例外ルールを見直さなくていいのだろうか？」　と受け止めたんだ。
ひょっとして、まだ誤解してる　？！

>>397
ブロックされているっぽいね。
プログラムの例外ルールよりもプロトコルの例外ルールの方が優先されるってことかな。
それを確かめるには、
プロトコルで（安全な）サイトのIPアドレスをブロック指定した今のままの状態で
プログラムのIEルールなどで同じIPアドレスを許可設定。
これでそのサイトが見れなければ、プロトコルでブロックしてりゃプログラムで許可しちゃってても遮断してくれるといえそう。

カスペ7だと、ルールにかかったサイトをブロックしたらポップアップ通知してくれたり、
イベントログにも記録が残るから分かりやすいんだけどね。

>>413
プロトコルのひとつの例外ルール（遮断）に、複数のIPアドレス範囲を登録できないの？
あと、プロトコル例外ルール同士に矛盾がある場合、どういう挙動をとるかもチェック。
普通はルール一覧のより上位にあるものを優先するはずだけど（ルーターとかもそうだよね）。

>>411
確かに。　オレもこの一件でいまだに98SE使ったり、セキュリティーソフトなしでネットしている人がこんなにいると知ったよ。

あと、これまでは　VirusTotalにかけたフリーソフトなんかが　ちょっとくらい黒を出しても
マイナーベンダーなら「誤検知だろう」で済ませてたけど、それももうなくなると思う。
419 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:35:05 ID:c+qIXrE10]: esupport.trendmicro.co.jp/Pages/JP-2063926.aspx
一番下の絵では、一つのルールで任意の複数ポートを指定しているけど、同じようにIPアドレスもできない？

できなきゃ、ブロック範囲をざっくりまとめちゃうとか

>>8 の　上のほう。

61.139.0.0 - 61.139.127.255　61.139.0.0/17
61.219.39.0 - 61.219.39.255　61.219.39.0/24
61.235.117.0 - 61.235.117.255　61.235.117.0/24
61.237.236.0 - 61.237.236.255　61.237.236.0/24
↓
61.139.0.0 - 61.237.236.255
420 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:38:06 ID:EE0bhUpL0]: もうさ
セキュリティ板の該当スレ池よ
421 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:41:20 ID:8zYIOUdW0]: セキュ板の方は大荒れで見てられん('A`)

で、PeerGuardianてやっぱり必要？
422 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:42:25 ID:JGj8k92f0]: >>383だけど、もしかして俺の書き方が悪かったせいなんだろうか？すまん
俺は>>418の受け止めた通りの意味と思って書いたよ
IEを許可するルールが最初から入ってたけど、何もしなくて大丈夫なのかと思って
そしてまた申し訳ないんだが、IPが複数で出来るかはわからなかった
とりあえずアドバイス通り範囲でまとめてみるよ

基礎知識のなさを痛感したから勉強してくるわ
423 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:44:25 ID:jR3tNl680]: なんで、PG2を使わないんだ…と素朴な疑問。バスターと衝突するんだっけ？
424 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:52:57 ID:8zYIOUdW0]: >>423
今までバスター使ってたけど今回の騒ぎでAvastに乗り換えたんだ
でも情弱だからバスター以外のAVなんてノートンくらいしか知らなくて
勝手が分からずおろおろしてた所

バスターには標準でFWが積んであったけどAvastには積んでないみたいだから
このスレで推薦されてるPeerGuardian(2)を導入した方がいいのかなーと思った
425 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:54:06 ID:/NTCsm6E0]: もうバスタースレでやるかサポートに聞けよん
426 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:58:10 ID:8CXmPFPB0]: 火狐でAdobeのサイトにつながらない・・・ﾅﾆｺﾚ
427 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:58:17 ID:R2c9m6Og0]: なんかいっきにスレのレベルが下がったな
428 名前：192.168.0.774 mailto:sage [2009/05/20(水) 13:59:58 ID:ApI0cRafP]: 高レベルの昼寝の時間だから
429 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:00:22 ID:Y85m4WPX0]: >>426
感染してるんじゃない？

>>358
430 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:00:39 ID:FgjBeHIpO]: 平日の昼間に何言ってるんだお前は
431 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:09:43 ID:Tu9ykz6p0]: 偽装画像ってさ、EXEをJPGなんかの拡張子に変えただけなんだよね？

・・・だったら拡張子と中身が合致しないと解釈（動作）できないように
ブラウザなりOSなりがなればいいのにね。
432 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:10:48 ID:2SrakoEj0]: martuzにping打っても到達できねー
完全死亡
433 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:11:31 ID:QmrdTa+h0]: それがIEの「拡張子に合わせた云々～」を外した設定
というかこれ入れてるとJPGなんて見れない
434 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:14:23 ID:oikiBFOj0]: >>411
ウイルス作者って、そんな人間味のあるやつだとは思えないんだよね
435 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:20:02 ID:TufnB3430]: アリスリデルとか見ても分かるけどハッカーって結構社交性が高かったりする
436 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:24:00 ID:Tu9ykz6p0]: >>433
うん？？
拡張子でなく内容によって・・・だったら（当方IE6　タブブラウザ嫌いだから７も８も嫌）
有効・・・MIMEーTypeを無視してファイルの内容によって開く
無効・・・MIME-Typeに従う。拡張子に従うのではない

MIME-TYPE無視して、ファイルの中身参照ではなく、拡張子に従えばいいのにね、と・・・
437 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:27:22 ID:QmrdTa+h0]: そういうことか
勘違いしてたわ、すまん
438 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:32:38 ID:ApI0cRafP]: “PC界の豚インフル”「GENOウイルス」とは？名前の由来から対策までリストアップ
RBB Today -

PDF ...JPCERT/CC、「GENO」ウイルスに対して注意喚起～サイト閲覧するだけで感染
RBB Today -

水際対策とマスクで考える新型インフルエンザのセキュリティ対策
nikkei BPnet
tp://news.google.co.jp/news/search?pz=1&ned=jp&hl=ja&q=GENO&cf=all&scoring=d
439 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:40:22 ID:mJYdbJ/C0]: >>435
あいつは社交性じゃなくて気違いのカマッテちゃんだ
本当の気違いが普通の顔をして話しかけてくる恐怖を俺は当時見た
440 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:42:22 ID:KqzS4H+30]: >>424
おとなしくバスターにもどればおｋ
441 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:45:01 ID:L8BQuqXW0]: もう彼はFW探しの旅に出たよ
442 名前：192.168.0.774 mailto:sage [2009/05/20(水) 14:45:15 ID:9JR+TAUd0]: >>415 おれのルータFWはほぼ無制限

何処の物を使ってますか？
自分の物は5年前の物で、
64エントリしか無いので
買い換えの参考にできれば型番もお願いします。
443 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:00:15 ID:c+qIXrE10]: >>428
笑った。
仕事じゃなくて、昼寝とな !!

>>424
ノートンをデモじゃなくて、もう買ったなら別だけど、
あまり自信ないなら、バスターのままがいいんじゃないかい？
公式サポートもあるし、avastを信頼しすぎるのもいかがかと。

>>423さんがいうように
バスターAV＋パスターFW＋PG2（アドレスブロック専用）が良い気がする。

フツーの人は、古いFlashとAdobeReaderの脆弱性をアップデートで消して、
アドレスブロックもせずにjsオンのまま、今までどおりにweb閲覧していると思うけどね。
現在のGENOウイルスに対しては、それで感染を免れるんだし。

---------
>>442
Kasperskyもおそらく無制限。
ただ、FWルールを沢山つくったら、重くなって通常のウェブサイトから応答までのタイムラグ増大。
ときどきFirefoxが応答なしと判断してエラーになる。

ところで、GENOのトップページが見られないんだけど俺だけ？（GENOサイトはブロックしていない）
ところどころ見られるページはある。
お詫びをまた掲載しているってんで、見ようと思ったんだが・・・。
444 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:03:44 ID:jRrP/UYV0]: 普通にどっちも見れるけど？
ttp://www.geno-web.jp/
ttp://www.geno.co.jp/
445 名前：192.168.0.774 [2009/05/20(水) 15:04:10 ID:FGZmMFRi0]: ターゲットが同人サイトだからな
ウイルス作者は相当しょぼい奴だろ
446 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:05:18 ID:RbmuMclk0]: ＞ターゲットが同人サイトだからな
情弱かVIPPERか
447 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:05:32 ID:Ih4xbAJR0]: またお前かセキュ板へ帰れ
448 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:06:14 ID:8zYIOUdW0]: >>443
なるほど…バスターはもうアンインスコしてしまったけど
今回の件で色々勉強になった。みんなありがとう

ちなみに今はAvast+Outpost2009(無料)+PG2で運用中。
Flashはとっくに最新版にしてるしReaderはそもそも入れてない。
ブラウザもFirefoxにしてNoScript導入したよ
あとは不用意に出歩かないようにする
449 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:06:24 ID:XHayZzcoP]: >>445
ｗｗｗ
450 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:11:28 ID:jR3tNl680]: >>448
最後の１行はなんかちげーｗ
451 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:12:00 ID:KqzS4H+30]: >>448
基本的には使い慣れてるソフトでおｋなのよ
別メーカーのセキュリティソフトを入れなおすと不具合がでることも
たまにあったりするし(自社製品以外のインストールテストはだいたい手薄)

Readerはメーカー製PCだと勝手に入ってることがあるから
自分で入れてなくても確認したほうが良いよ
452 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:12:43 ID:KqzS4H+30]: >>445
同人板へ帰ってください
セキュ板へは来ないでください
453 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:16:39 ID:Y85m4WPX0]: FWの他にさらにPG2入れるのってなんか意味あるの？
ルールが作りやすいとか？
454 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:17:54 ID:8zYIOUdW0]: >>451
そうなのか…　調子こいてた俺が阿呆だったorz

Readerは本当に入ってないよ。
[プログラムの追加と削除]見て確認したからこれだけは間違いない。
455 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:19:27 ID:WaT4EVmv0]: >>452
>>445はどう見ても同人板の奴じゃなくて同人アンチだろ
456 名前：192.168.0.774 [2009/05/20(水) 15:21:48 ID:FGZmMFRi0]: どうせやるならYahooとかgoogleとか2ちゃん狙えばいいのに
ウイルス作者は同人女にフラれでもしたんじゃねｗｗｗｗ
457 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:24:38 ID:ZowZrM9d0]: ハッカーじゃねえんだから狙って改竄なんかできねえよ
458 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:25:09 ID:KP1HG3r+P]: >>444
やっちまったな
459 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:33:35 ID:c+qIXrE10]: >>453
一番は、設定リストを公開してくれる人がいるから楽ってことで、あとは
気分的にパンツ2枚はいてれば、一枚破れてもセーフ。　みたいな心の安心だと思う。
FW同士なら競合を起こすから2枚壁はできないけどね。

ハードウェアルーターでブロックする方が安定しそうだけど、設定が大変。

>>444
あら、本当だ。　今行ったら見えた。
でも、お詫びはみつけられなかった・・・。
460 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:51:18 ID:Wg+5MCsI0]: >>459
www.geno.co.jp/webshop/okyakusama.html

これか？
461 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:53:15 ID:+TVLL6uwP]: 怖いウィルスなのに、なんでそれほど騒がれてないの？
462 名前：192.168.0.774 mailto:sage [2009/05/20(水) 15:57:17 ID:Kc/2yP9tP]: >>461
どう怖いの？
463 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:02:45 ID:Y85m4WPX0]: >>459
やっぱりそういう理由なのか。
俺はパンツ1枚でいいや。ルータレベルでもある程度は弾いてるし、
ソフトウェアで二重にフィルタリングする方がなんか気持ち悪いし、
あちこちメンテするのも面倒に感じる。
464 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:12:46 ID:c+qIXrE10]: >>460
それだ！
でもどうやってもそこへのリンクが見つけられなかった。

GENOはjsを埋め込まれた理由を外部からの不正アクセスと書いているんだね。
感染者のPCへのダメージや、それにまつわる影響にもまったく興味がなくて、
もう安全だから安心して買い物を続けてくれ　って感じだなぁ。

>>463
1パンツ　1ズボンだね。
465 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:26:25 ID:n5eYdEeW0]: yahoo来ました。

ttp://headlines.yahoo.co.jp/hl?a=20090520-00000011-rbb-sci

良記事ですね。
466 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:28:07 ID:n5eYdEeW0]: >>462
駆除方法が無い。
467 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:28:15 ID:QFDBP7u30]: PeerGuardian2教えてくださった方ありがとう！
使いやすい！
468 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:30:34 ID:JGasHTdG0]: >>467
うらやますぃ
ここのおすすめの、PG2パンツを履いたがスケスケで効果も効いたり効かなかったりで滅茶苦茶だったわ
俺にはどうもPG2パンツは似合わなかったようだ
469 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:31:21 ID:+TVLL6uwP]: >465
最新のパッチ充てたら重くなった
5年前のＰＣなんでキツイ
470 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:36:41 ID:vUv2HuHmO]: やっぱ“GENO”ウィルスという名で紹介されるんだな
面白いな
471 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:37:57 ID:n3ZQVbFU0]: Doujinウィルスって主張する奴もめっきり減っちゃったなぁｗ
472 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:38:17 ID:JGasHTdG0]: PG2パンツはファイル共有厨の御用達のIPプロックソフトなのか
まぁ別なPCでファイル共有するときにでも使ってみるか
473 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:41:42 ID:TAg8+1pLO]: GENOは名前売れたね
GENOウイルスの対策万全パソコン特価発売中！みたいなジョーク商品を売るくらいの気概あればネ申
474 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:42:34 ID:Hi1pg5U/0]: 鬼ーのパンツはいいぱんつー強いぞー
という歌を思い出したわ
475 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:43:06 ID:/W16w99o0]: >>472
ネトゲ関係でも垢ハック流行したお陰で（主に中国が多いかな）プレイヤーサイドで対策として
PG2で最初から中国韓国台湾辺りのIP弾いてしまえってのが広がってるね(どーせ中国サイトとか頻繁に見ないだろ？って)
最近は米国やら他の国で中継してくるからおまじない程度の効果でしかないがｗ
476 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:44:17 ID:nD8shvy10]: 何か皆パンツ連呼しててワロタ
477 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:44:38 ID:E0I8CPNa0]: >>465
寧ろ遅すぎるぐらいだ
478 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:45:13 ID:u9/R+SOA0]: PG2は便利だよ
P2Pしてなくても入れる価値は十分ある
479 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:45:57 ID:E0I8CPNa0]: >>456
ヒント：最初に発見されたのは海外。日本に流れてきたのは大分後
480 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:47:22 ID:Tu9ykz6p0]: >>465
むしろその下の関連記事に吹いた。

＞“PC界の豚インフル”「GENOウイルス」とは？

>>436に関連して
ダブル拡張子による偽装コワイとか何年か前にあったから
ファイル名を右端からサーチしてピリオドで止めると・・・
.jpg.exeでも.exeで認識しちゃうじゃーん　とか妄想し（ｒｙ
つーわけで頼むぞゲイツ（ｒｙ
481 名前：192.168.0.774 mailto:sage [2009/05/20(水) 16:52:03 ID:JGasHTdG0]: >>475 >>478
いろんな使い道があるんだな
別のPCでうまく動いたら良いんだかな・・・
482 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:02:34 ID:vUv2HuHmO]: この騒ぎもまたまた収まりつつあるね
まぁまた新ドメイン来るだろうからその時にまた騒ぎになるんだろうけどさ
483 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:02:50 ID:jRrP/UYV0]: すっかり「GENOウイルス」で通ってしまったな
おまけに「GENOウイルス」を「GENO」と略す人も出てきた
最初にもっとまともな対応しときゃよかったのにな……

>>458
GENOのWebサイト自体はもう踏んでも大丈夫だけど……？
484 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:05:43 ID:ExDUv3IS0]: 上でAdobeに繋がらないって言ってた人いたけど、
PG2と一緒に配布してたリストの中にAdobeに繋がらなくなる奴あったよ。
allow、block_list、level1、spywareの四つが入ってて、
その中のlevel1をリストから外したら繋がった。
とりあえずブロックしたいのはGENOウイルス関連のIPだからいいやと思って外しっぱなしにしてあるので
リスト中のどのIPがまずかったのかは解らんけど。
485 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:13:38 ID:AXJIltj20]: >>465
これでGENOの名前が世界中に知れ渡ったな
おめでとうGENOｗｗｗ
486 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:15:43 ID:jvN9UZmG0]: >>485
せめて、GEN○と伏せる優しさが欲しいな。
487 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:16:10 ID:QmrdTa+h0]: それ伏せれてないよっ！
488 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:19:27 ID:AXJIltj20]: “PC界の豚インフル”か
ナイス表現だ
489 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:25:57 ID:sNGVzUl80]: 2ちゃんや個人サイト以外でGENOウィルスという名称を聞くと笑えてくるんだがｗ
490 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:27:18 ID:E0I8CPNa0]: >>488
こいつらは何のために新型インフルって表現してるのか理解しているのかな？
491 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:29:56 ID:AXJIltj20]: >>490
九分九厘理解してないだろうな
492 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:31:14 ID:+jKg3rEY0]: GE○NO
493 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:43:23 ID:Tyn+QjHN0]: 猫インフルだけは勘弁して下さい
494 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:49:50 ID:6zA+QUg2O]: ボットって不正アクセスの道具にも使われるのか?
ニュースサイトだと不正アクセスによる改竄だったようなので
495 名前：192.168.0.774 mailto:sage [2009/05/20(水) 17:52:51 ID:E0I8CPNa0]: >>30
今まで感染したサイト一つ一つ思い返してみろ？
496 名前：192.168.0.774 mailto:sage [2009/05/20(水) 18:28:30 ID:emtxr5MX0]: >>495
どうした？
497 名前：192.168.0.774 mailto:sage [2009/05/20(水) 18:34:18 ID:84C2Q9sRO]: 今、気がついたんだけどレン様萌死とは
FF10-2のレンの事では無いだろうか
498 名前：192.168.0.774 mailto:sage [2009/05/20(水) 18:59:56 ID:moTV/wYz0]: ふぅ、終息に向かったか
499 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:03:23 ID:oikiBFOj0]: 一時期の速い流れは終息に向かいつつあるね。
500 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:09:25 ID:5E3Ll2M90]: ウイルス対策ソフトは、GEN○駆除できるようになったの？
501 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:10:26 ID:u97C8jaci]: そう。
俺も4/15位にそう思っていたが、この様だ。
502 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:14:21 ID:+LPKnt1X0]: >>500
駆除はまだどれもできてない
503 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:15:15 ID:5E3Ll2M90]: >>502
ありがと。
じゃ、やっぱり収束にはまだ早いか。
504 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:33:31 ID:AXJIltj20]: >>500
バスターにいたっては駆除どころかブロックすら（ｒｙ
505 名前：192.168.0.774 [2009/05/20(水) 19:34:00 ID:fXTfEgWc0]: 　　　　　　　　　　　rっ　　　　　　　　 .　（.＼ﾌﾞｰﾝ
　　　 /⌒ ＼　　　 │|　　　ﾌﾞｰﾝ　　　　　　　＼＼　　　　　　　　　／⌒ヽ　ﾌﾞｰﾝ
⊂二（＾ω＾　）二二 |／⌒ヽ　　　　　　　　　＼＼／⌒ヽﾆ二（　＾ω＾）二⊃
　　　ヽ　　　|　　　（＾ω＾　）　　　　　　　　　　　　＼（　＾ω＾）　 |　　　 /
　　　　ソ　　　　　　ｌ　　_二二二／⌒ヽ　ﾌﾞｰﾝ　/ 　　 ⊂＿) （　ヽノ
ﾌﾞｰﾝ　（　< ＼　　　_/　 ⊂二二二（＾ω＾）二二二⊃）ノ　　　　ﾉ>ノ
　　　　　＼|＼|　 (´ .＿ノ　　　　　ヽ　　 /　　　　 /ノ￣　　　レﾚ
　　　　　　　　　　＼＼＼　　　　（⌒）　|　　　　'´
　　　　　　　　　　　レ’＼＼　　　 ⌒∨
　　　　　　　　　　　　　　　レ’　　　　　　　　　　　　　　VIPからきますた
506 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:35:56 ID:5E3Ll2M90]: 話聞かないけど、Me や 98 は感染しないって事でいいのかな？
2000以上？
507 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:40:00 ID:7NqBqHvn0]: >>488
ttp://himazin.jp/image/file/33b.jpg
これが豚ですか？
508 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:40:52 ID:/W16w99o0]: >>506
難読化JSでは弾いてねーから、かかるだろ
もうOSのサポも終った世代だから誰も調べてねーだけで
509 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:45:25 ID:4tpidt6L0]: >>480
＞“PC界の豚インフル”「GENOウイルス」とは？
というタイトルにより、インフルエンザの有名なまとめサイトに紹介されてしまったとさ。
めでたしめでたしｗ
510 名前：192.168.0.774 mailto:sage [2009/05/20(水) 19:50:58 ID:AeiKCIrv0]: 感染自体は少しずつ収まりつつあるけど、終息宣言するには早い罠
駆除が難しくても、せめて他のウイルス並に検知・防御率上がらないと

>>506
油断はできない、sqlsodbc.chmが何処かにないかまずは検索してみれ
511 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:18:04 ID:/k5jtqTt0]: >>510
検索したけど無いみたい。
MEや98での感染報告無いのが不思議でさ。
512 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:18:44 ID:HIe6hYjZ0]: そりゃいまだに使ってる人自体レアだろうし
513 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:21:35 ID:pcsD/CZZ0]: >>511
MEや98はこれに感染しなくても別の意味で危ないってｗ
514 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:23:08 ID:o0OQNmWX0]: GENOより豚の方がはやく治まって欲しい
515 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:23:36 ID:G58P/+x+0]: さすがに95使ってる奴の報告はどこでも見なくてほっとした
516 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:28:51 ID:4Gzk1uuaP]: >>515
うちの漫画喫茶は安泰ですね
517 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:30:49 ID:ih9nSeASO]: >>497
○音ミクのキャラかと思ってた
518 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:41:30 ID:2SrakoEj0]: >>510
martuz死んでるのに何と戦ってるの？
519 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:41:41 ID:29Pi3X6+0]: >>505
カエレ
520 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:42:42 ID:ih4ztDIU0]: >>505
何しに？
521 名前：192.168.0.774 mailto:sage [2009/05/20(水) 20:46:27 ID:AeiKCIrv0]: >>511
なら今のところは安全だろうけど、そろそろ買い換えでも検討してみたら？
ネットに一切つながないで使うのがデフォでも、対応ソフト自体が極希だしさ
522 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:01:11 ID:/k5jtqTt0]: 俺の Me を馬鹿にするな！
523 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:03:00 ID:/k5jtqTt0]: …うん、ごめん。

実は Vmware上の Me なんだ…
524 名前：◇oKLssLV2YM ◆HyDDaacBtI mailto:sage [2009/05/20(水) 21:07:33 ID:Gfino0nB0 BE:331335252-2BP(0)]: いまさらではあるが、俺もちぇっくつーるをやっつけでつくってみた
ちょっと、たいしたことないモノのわりにサイズがでかいのがはずかしいが…。

www1.axfc.net/uploader/He/so/226791.exe

拡張子が .bin とかになってたら、 .exe にしてそのまま実行
ウイルスのカスや痕跡が残っていても、不活性化や破壊済みなら反応しない
これがクロといったら、かなり感染してると思っていいはず

ほとんどの環境では、きちんとシロになると予想
誤陰性、誤陽性報告あれば修正版だします
525 名前： ◆XcxlmnqGqU [2009/05/20(水) 21:09:40 ID:S3Ouh9ScP BE:754853928-2BP(32)]: Gumblar 常駐簡易テスト (2009.5.20.1版)
検査を開始します
1回目 8B, 8B
お待ちください
2回目 8B, 8B
このバージョンでは検出できないか、みつかりません
526 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:11:03 ID:KP1HG3r+P]: あやしい
527 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:17:17 ID:EE0bhUpL0]: リアルワールドでは
ウイルスが東京上陸か……
528 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:22:06 ID:nAXxmGBr0]: >>433 >>436 >>480
結局偽装画像対策はどこから設定弄れば良いんだ？
探したけどそんな項目見つからないのはIE6だから？
529 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:29:45 ID:HIe6hYjZ0]: >>528
ぐぐったらIE6SP2からの新機能らしいが
SP2にもしてないとかどんだけ放置してるんだ
530 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:35:31 ID:nAXxmGBr0]: >>529
㌧。把握
SP2入れた後不具合でてSP1に戻してそのままですｗ
SP2今から入れるか。いやSP3か
今更過ぎて入れたら起動しなくなりそうで怖い
531 名前：初心者＠レン様萌死 [2009/05/20(水) 21:36:32 ID:mJYdbJ/C0]: ルーターとモデムを見分ける【簡単な】方法はありますか？
難しい言葉は使わないでもらえるとうれしいです
532 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:37:35 ID:nAXxmGBr0]: モデムの型番+ルータでググる
533 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:37:57 ID:/k5jtqTt0]: >>531
機械の名前で検索する。
メーカーのページに、ADSLモデム内臓ルータって書いてあったらルータ機能付き。
534 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:41:14 ID:llJY2vRm0]: 釣りにも真面目に答えてやるお前らはいい人だ。どっかの板とは違って
535 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:42:41 ID:P79rVKJP0]: セキュリティー関連のwebサイトって、普通の人には分からない語句だらけ。
ためしに小学生にでも分かる例えでGENOウィルスを説明できないかな。

脆弱性=万病のもとの風邪
GENOウィルス=まだ誰にも治せない病気

感染したHP=

ムズカシイな。 2分で挫折。
マンガみたいに善と悪という構図の方が分かりやすいのかな。

>>561
型番号で検索。
ルーターとモデムの他に、ルーター内蔵モデムなんてのもあるからそう単純じゃない。
フレッツ接続ツールを使ってネットにつなげているなら、ルーターがない環境（それはモデム）。
536 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:45:49 ID:CFbtOila0]: >>535
ちょっとキモイがｗ
345 名前：Socket774 投稿日：2009/05/20(水) 09:47:21 ID:nuSUXhw+
一目で判るGENOたんの一日☆

こんにちは、GENOっていいます　（幼女ウイルス）　　　第一感染
↓
あっ、また会ったね、お兄ちゃん。それじゃあ遊ぼっか！再起動で発動
↓
お姉ちゃん、こっちで一緒に遊ぼうよ！　　　　　　　勝手に海外のサイトからお姉ちゃんウイルスDL
姉「うっしゃ暴れるぞ」
↓
もうあたし一人でだいじょうぶだもん！　　　　　　　再起動で不老の無敵幼女発動
↓
お兄ちゃんの家に行きたいな～……　　　　　　　　知らずにサイト更新する
↓
へぇ～、お兄ちゃん家って、こんな鍵使ってるんだぁ。　　FTPパス送信
↓
えへへ、合鍵、作っちゃった♪
あ、お隣さんが回覧板届けに来てあたしの事尋ねてきたから
お嫁さんですって言っちゃった！えへへ　　　　　　　　　　　BOTがサイトに不正アクセスして改竄
↓
えへへ、本当にお嫁さんになっちゃったね♪
野球チームできるくらい、いーっぱい子供作ろうねっ♪　　　　　　　　　　　　自分のサイトがもれなく幼女ウイルス配布
↓
上に戻る
537 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:47:09 ID:6iRtoH3V0]: 感染したHP=ペンキ塗りたて
とか？

もはやルータは必須ですか。明日買ってくるわ
538 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:47:44 ID:ikeehuvTP]: >>535
そういうのって難しいよね
例えも上手に使わないと無用な誤解を生んだりするし
539 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:48:47 ID:G58P/+x+0]: >>536
俺もそれ思い出してコピーしたらもう張られてた、残念。
だがよく考えたら小学生「だからこそ」分からん感覚だと思うｗ
540 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:48:49 ID:bjsWWNrG0]: >>535
感染したHP=学校での集団感染
とかどうだろう
541 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:49:34 ID:MmeeVnah0]: gimpoが氏んでるけど、まさか関係ないよね。
542 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:51:29 ID:CFbtOila0]: >>539
ああっ、確かにそうだｗ
543 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:52:59 ID:/k5jtqTt0]: >>536
クソワロタｗｗｗ
考えた奴凄いなｗｗｗ
544 名前：192.168.0.774 mailto:sage [2009/05/20(水) 21:56:14 ID:V5wP4Zsr0]: 横から失礼。
>>535

感染したHP＝敵に操られた人たち
でいいような気がする。
545 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:00:00 ID:QmrdTa+h0]: Botnetのゾンビコンピュータって表現は秀逸だなぁと
聞くたびに思う
546 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:00:17 ID:zK4EqkPq0]: >>511
ｳﾁの98SEにはあるぞsqlsodbc.chm
今の所おかしな事にはなってないけど
547 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:01:34 ID:13U5h2Cw0]: 前にＮＨＫでボットネットの特集やってたけどまだまだそういう
ものがあるって認知が全然足りてないよな
これで少しでも喚起になりゃいいんだが
548 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:01:47 ID:bjsWWNrG0]: >>546
ソフトとかドライバを入れたときについてくることがあるらしい
549 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:10:49 ID:/k5jtqTt0]: >>545
確かに。
そして、botnetを操る奴は、ゾンビの国の王様。
なんかカッコイイかも。厨二的に。

「死者たちの王、俺様超カッコイイーーー！！」って、悶えながら逮捕されて欲しい。
そして、某監禁王子のように、逮捕後に持論を展開して欲しい。
550 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:12:53 ID:KZmgp/E20]: >>535
平易になるように意識して書いてみた。

さすがにホームページとか、ウイルスとか、パソコンの単語くらいは知っているという希望の元に
例えを使わずに書いたが、誤解を招きそうだし、結局平易じゃないしなかなか難しい。

---

普通のホームページがウイルスを配布するようにこっそり変更される
↓
そのホームページを見るとパソコンがウイルスに感染する
↓
感染したパソコンの使用者が自分のホームページを作成していた場合、ウイルスによってそのホームページもウイルス配布ページに変更される
↓
使用者の作ったホームページを見た人が、ことごとくウイルスに感染して、結果感染者と配布ページが激増する

さらに悪いことに。ウイルスは、ホームページを作るときのパスワードを、他の感染者に教えまくるため
自分のパソコンを仮に止めても、他の感染者からも勝手にホームページが書き換えられる。
551 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:14:24 ID:e7Jn+OfD0]: 幼女とかきもすぎて引かれるだけだろうけど

迷惑メールは誰しもが経験があるから
自分のPCから知らずに迷惑メールを送信してるかもって説明すればちょっとは危機感持つかもね
552 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:14:41 ID:/k5jtqTt0]: 分かりやすいがつまらん。
もう少し突き抜けた勢いが必要だろう。
553 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:17:41 ID:e7Jn+OfD0]: 迷惑メール送信によって損害賠償請求される場合もあります
とか付けとけば効果ありかな
554 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:18:21 ID:jnN592qz0]: なんか上記の一連の流れに
妙な既視感が…
555 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:19:54 ID:P79rVKJP0]: うおっ。
>>536-547
沢山のレスありがとう！

初めは、バックアップから書き戻したりクリーンインストールで人生を再開できることから、
RPGかなんかのゲームに例えたらどうだろうと思ったんだけど、
ID パスワード場合によっちゃクレカ情報まで　盗まれている　ってのを　ゲーム世界で表現すると
せいぜい　伝説の刀を盗まれました　とか　その程度しか思いつかない。

ゲームじゃそのくらい平気かもしれないけど、現実世界だと非常にやっかいだったり・・・
この温度差を考えると、俺の頭で例え話にするのはムズカシイんだよなぁ。
556 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:28:15 ID:e7Jn+OfD0]: ここ見てる人でも安危な人が多いんだろな
たとえば売春目的で未成年誘うのに踏み台でPC利用されたら
警察は自宅にくるだろうし。知らないって言ってもおそらく逮捕だろう。
無実を証明できず冤罪でそのまま刑務所ってこともあるのに。
557 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:28:20 ID:P79rVKJP0]: >>549-554
ごめん。リロードしたら新たなカキコが。

>>550
とてもわかりやすいと思った。

だが、>>552　のコメントにも一理ありそう。
なんか、こう感触として肉感的に訴える　マルウェアへの嫌悪感生み出したいよね。

俺の周囲にも「ウィルス？　自分のＰＣには盗まれて困るような情報入っていないから関係ないっす」っていう人がいる。
その度に「俺のメールアドレスとか写真とかあるだろ！」って話すんだけどね・・・。
自分の車を勝手に他人に乗り回されて、あげくは対人事故を起こされたようなもんなのに。
558 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:36:23 ID:dNo4htxl0]: youtubeは行っても問題ないでしょうか。
559 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:38:00 ID:KZmgp/E20]: >>557
推測上等で煽り文句を入れてみるテスト

---

このウイルスは、感染者への直接的な破壊活動を行わない、隠密的な感染の経路をとることなどから、
あなたのパソコンを知らない間に遠隔操作して、悪用するために開発されたと考えられています。

ウイルスに感染したまま放置していると、知らない間にパソコンが悪用され、
あなたにその悪事の嫌疑がかかる可能性があります。そのとき、誰もあなたを助けてはくれません。
家の鍵を開けっ放しにしていて泥棒に入られても、同情されないのと同じ理屈です。

また、クレジットカード番号などの重要な情報をパソコン経由で入力していた場合、その情報を盗まれて、
身に覚えの無い多額の負債を背負う可能性もあります。これも、ウイルスを放置していたあなたに責任があります。

過去にウイルスの作者が逮捕されたり、責任を取ったケースは皆無といっていいほどまれです。
すべてあなた自身の責任となって降りかかってくることがほとんどです。
560 名前：192.168.0.774 [2009/05/20(水) 22:38:31 ID:nOb2go+Z0]: >>559
no problem
561 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:39:03 ID:yblXnZ5s0]: 感染すると浮気性になり、他人の言うことばかり聞くようになります。
放置すると、地位も名誉も全て失うことがあります。
562 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:39:31 ID:Gfino0nB0]: >>524 のやつで、8B 以外の結果の人いた？
5X, 6X, 8X くらいは可能性ある(正常のバリエーションがある)と思ってる
563 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:40:56 ID:KqzS4H+30]: >>530
SP2で動かなくなるソフトとか入ってるんじゃなかろうか
NECのPCなら超古いZoneAlarmとか
そういうのを最新にしたり削除したりすると良いと思う
あとは型番検索してSP2対応状況を調べてみるとか
今もページが残ってるのかわからんけど
564 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:46:17 ID:KqzS4H+30]: GDATAによる注意喚起
gdata.co.jp/press/archives/2009/05/geno.htm
565 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:46:37 ID:FuN47AtW0]: >>557
窓を開けていたら泥棒が入ってきました
泥棒は住人が知らないうちに家の鍵の複製を作り、それを盗んでいきました
そして住人が知らないうちにこっそり盗んだ鍵を使って家に出入りし始めました
泥棒は出入りしながらどんどん家の中の大切な物を外に持ち出して行きます
また、その家に出入りする事で隣近所の情報も入手した泥棒は他の家にも泥棒に入ります
そうしてその家でも鍵の複製を作って盗み、どんどん被害を大きくしていきます
最悪の場合泥棒に家を乗っ取られ、あなた自身が泥棒扱いされることもあります

という感じだろうか
小学生に複製が通じるかは分からんが一応書いてみた
まあ、完全に置き換えられるものじゃないから色々と事実と違う点もあるが
566 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:47:33 ID:/k5jtqTt0]: 良いホームページの中に、こっそりと悪いホームページが混ざっています。
自分の防御力が低いと、悪いホームページを見た時点で、悪いホームページの仲間にされてしまいます。

とかは？
多分子供でも理解できると思う。

っていうか、実際は、変にたとえ話にするよりも、普通に説明した方が理解できるんじゃないだろうか？
今の子供って、インターネットとかウイルスとか慣れてると思うし。
567 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:48:05 ID:OJCAt15u0]: >>565
乙一の小説思いだした。
知らない間に犯罪者と同居してるってやつ。
568 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:48:09 ID:KqzS4H+30]: >>566
長文だと余計に混乱するからちびっこにはそんくらいがいいかも
569 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:48:42 ID:QjREmTnq0]: とりあえず、リカバリしてなんとかなったけど。
それと同時にいろんなものを失った。
570 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:52:22 ID:/k5jtqTt0]: >>568
簡潔に分かりやすくが良いと思うんだよね。
子供以外の、コンピュータに疎い人にもこれでOKな気がする。

あとは、最後に、
「悪い奴の仲間になったら、警察くるよ！捕まるよ！」
て、強烈に脅して完了。
571 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:52:27 ID:gka6g1hm0]: PC詳しくない人は自分のPCがサーバになることも
ネットからケーブルを介して外から操作できることもピンとこないんだよね
572 名前：192.168.0.774 mailto:sage [2009/05/20(水) 22:55:27 ID:d9bsP3Wh0]: Acrobatは8→9にしないとダメなのか？
年配の人にアンインストールを説明しなきゃならないのかな・・・
573 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:02:58 ID:P79rVKJP0]: >>535
までしか考えられなかった自分がはずかしいな。
関心納得しながら、読んでいたけど、
もしかしたら、>>566みたいに　気を引く程度に短い方がいいのかもしれないね。
「知らないうちにお金を盗まれてしまうことがあります」とか。

>>570
「小学生の俺だったら、ケーサツ来ないって事は→感染していない　って数学的に考えちゃいそう」

>>571
そうだね。　ネットワーク越しにPCを起動できるのも分からないだろうし。

>>572
7か8の場合も、最新なら大丈夫。でも既に6以下は切捨てられているから、出来るときに9.1.1へあげといたほうがいいかも。
574 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:04:53 ID:36yMUdxY0]: fc2また落ちた？
575 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:08:23 ID:x2NYKiQ90]: やっぱ落ちてたのか
576 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:09:29 ID:0Ae11A0JO]: 携帯だけど繋がらない
577 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:14:40 ID:/k5jtqTt0]: >>524 のスルーされっぷりに泣いた。
誰か報告してあげればいいのに。

俺は exe は踏まない事にしてる。
578 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:17:06 ID:CFbtOila0]: >>577
オレだって怖くて踏めねえよｗ
579 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:17:27 ID:d9bsP3Wh0]: >>573
Acrobat7、8も、ヘルプからのアップデートでOK？
それなら説明が楽で、全員に言いやすい
580 名前：192.168.0.774 [2009/05/20(水) 23:18:43 ID:o+t2Uv0V0]: ふ
581 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:22:56 ID:ojnFBpF70]: >>577
踏んだけど、俺は詳しくないのでなにも
報告できないから黙ってた。
ちなみに↓でスキャンした限りでは問題無しでした。
www.virustotal.com/jp/
582 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:23:24 ID:KqzS4H+30]: >>579
使ってないならアンインストールのほうがよくね
今後もアップデートあったらわずらわしいよ
583 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:29:05 ID:s2Sd7Gpb0 BE:5031348-2BP(1236)]: >>562
Gumblar 常駐簡易テスト (2009.5.20.1版)
検査を開始します
1回目 8B, 8B
お待ちください
2回目 8B, 8B
このバージョンでは検出できないか、みつかりません
584 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:29:12 ID:d9bsP3Wh0]: >>582
配信する内容に
おいちゃんとか、おばちゃんが変な入力させて改ざんさせないために
Acrobatで閲覧だけにしてるんだよ

無料で便利だと思って入れたのに・・・
585 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:33:57 ID:P79rVKJP0]: >>577
俺も踏めない。
>>579
ごめん。それは分からない。

AcrobatっていうかAdobe Readerでしょ？
それやったあとに、実行ファイルを起動して「AdobeReaderについて」で確認するのが確実だと思う。
それぞれの最新は　9.1.1　8.1.5　7.1.2　かな。
www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows
の更新日付で君が確認してみて。

>>582
が正論だと思う。
だが、なにかの拍子に　近所の知ったかぶり爺さんが
「お困りか？コレ入れればPDF読めるよ」と言って、脆弱性満載のバージョンを入れるかもしれないという歯痒さ。
無料で便利＝ユーザー多数＝狙われやすい。 PCがTVのようになる日は来ないどころか、遠ざかっている気がする。
586 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:34:03 ID:e7Jn+OfD0]: オープンソースでいいんじゃないのこんなもの
587 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:36:06 ID:Gfino0nB0]: >>577-578
うーん、｢実験用感染マシンで、ちゃんと黒判定でたよ｣
｢未感染の仮想マシンで実行したけど、グレーって出るよ｣とか、
その程度の応答を期待してたりしたんだけどなｗ

こんな時期だから、逆汗による第三者の監査を受けやすいようにとか思ったんだが、
Cランタイムにまで踏み込んで関数を減らしたりしてみたら、
イマドキというか、ヒューリスティックにひっかかったりするんよな
だいたい、UPXかけるのすら、GENERIC.PACKER でvt フルクリアにならないし
588 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:36:41 ID:e7Jn+OfD0]: チャッカーサイトも１人でやるから語検出やら
飽きたら放置だろうし
せっかくベース作ったならいいと思うけどな
589 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:38:03 ID:e7Jn+OfD0]: オープンスースで
が抜けてた
590 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:39:04 ID:d9bsP3Wh0]: >>585
ありがと～、そこ参考にするよ
「AdobeReaderについて」で確認とアップデートを行ってもらうわ

使わないのがいいんだけどね
年配の人は頑固だし、「危ないから使うな」の一言では済まないからね・・・
591 名前：192.168.0.774 mailto:sage [2009/05/20(水) 23:45:15 ID:MLaodLc80]: 家族共用のPCで母さんが「なんかパァーパァー鳴ってる」っていったから見てみたら
このウィルスに感染してるサイト開こうとしてた。
592 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:02:58 ID:VwSJ2gNNO]: 〉｢なんかパァーパァー鳴ってる｣
不謹慎だがワロタｗｗｗ
593 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:10:00 ID:J3ZHp0dK0]: >>591
AVASTの警告音ワロス
594 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:12:08 ID:5pSWNVp50]: ぱーぱー！！
595 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:12:15 ID:8l99UW2P0]: >>591
ワロスだけど、おかんが開こうとしたのは一般的なサイトなん？？
596 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:13:23 ID:39xkO1PS0]: いわゆる“GENOウイルス”が猛威、G DATAがその挙動を解説
ttp://internet.watch.impress.co.jp/cda/news/2009/05/20/23509.html

パンデミック言うな。言うならアウトブレイクやろ。
597 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:21:46 ID:lAfr10wV0]: impressだから自分で検証したわじゃなく
ソースが2chなんだろなｗ
通販と同人があぶないって通販GENOだけじゃん
不景気なのに通販やめとくかってやつ増えたらどう責任とるんだよ
同人はどうでもいいがｗ
598 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:27:41 ID:VwSJ2gNNO]: 何回聞いてもavastたんの警告音にビビるからとりあえず｢ジャジャーン｣に変えてみた
599 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:28:39 ID:J3MoscUO0]: ﾃﾚｯ
600 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:29:08 ID:KGjKBhlR0]: >>598のPC「ジャーンジャーン！」
598「げぇ！GENOウィルス！」
601 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:32:31 ID:A+4SjHWWP]: 「GENOウイルス」対策について
tp://gdata.co.jp/press/archives/2009/05/geno.htm
何人かのセキュリティ専門家の推測では、3,000以上のドメインは、すでに感染していると推定しています。
この数は今後も、恒常的に増大するおそれがあります。
また感染していながら、まだ報告にいたっていないドメインも含めると、より大きな数字となるでしょう。
602 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:32:45 ID:/E2gYMqT0]: >>600
次頑張れ
603 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:34:58 ID:UZwqASLK0]: ノートン先生がしきりに更新してるがこれ関係かなぁ
604 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:45:40 ID:TWdCvddB0 BE:662670454-2BP(0)]: チェックソフトを質問掲示板に持っていってくる
605 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:50:17 ID:5pSWNVp50]: GENO亜種はブラウザ乗っ取るから今更FWいれても無意味だと気付けよ情弱
outbound許可してるんだし
606 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:54:50 ID:4eDYUR3t0]: 警告音の心臓の悪さにおいてはカスペに勝るものはない
607 名前：192.168.0.774 mailto:sage [2009/05/21(木) 00:56:40 ID:LgsqPpgL0]: なんつーか、バスターがここまでｳﾍｧだとは思わなかった
3年契約したことを後悔しはじめている
608 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:04:03 ID:W67jeYjF0]: >>606
ﾄﾞｳｲ
なんであんな音にしたのかね
609 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:08:37 ID:LgsqPpgL0]: >>606,608
どんな音なんだ？
610 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:16:21 ID:DqsQKmEA0]: >>606
同感。　>>609　ｷﾞｬｰって叫ぶような感じの音。ﾔﾊﾞｽ

取り敢えず、各社、対応が進んでいる模様。PDFとかSWFなんかは、スルーされるのも幾つか散見されるけど。
実際に発動させた後に生成されるファイルについてもきちんと反応するらしい。

そろそろ、対策についてはこう書いても良さそうだ。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
感染が疑われる場合は、オンラインスキャンなどを利用し、複数の（ここ重要）ベンダーで
チェックしてみてください。なにかが発見された場合は、PCのリカバリをお勧めします。
PC復旧後、FTPパスワードなど、入力した可能性のあるものを全て変更してください。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

複数のエンジンでやれば、どれかでひっかかるだろうし、（何日版を発動させてるのかによって
どれなら確実に検出できるかが変わるので、複数エンジンを推奨）、発見されて活動中の奴を
止めたとしても、レジストリなどの破壊はそのままになっていて動作不良起こしてる筈だから
感染確認後の対処はPCリカバリ一択で。
611 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:18:23 ID:0JzZ4kDb0]: >>607
今までも散々みんなに言われてたのに気がつかなかったのかい？
612 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:22:32 ID:lAfr10wV0]: バスターは自分サイトでウィルス撒いてた会社だぞｗ
致命的だろその時点でｗ
613 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:25:31 ID:FCZZMPxa0]: PCバスターの破壊力を甘く見ない方がいい
614 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:28:31 ID:6T3iMyEp0]: >>605
パーソナル向けソフトウェアFWではない"本物の"FWならきっと何とかしてくれる！
・・・アクセス許可を全部手書きするレベルで運用しないとダメだが。
615 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:36:42 ID:j9Yd+uq1O]: >>595
レスおくれてすまん
小林製薬が感染してた時に踏んだみたい
消臭シャボンがうんたらかんたら言ってたし
初めてavastが警告だしたからびっくりした
616 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:43:29 ID:pVqQ7XBe0]: >>587
逆汗めんどい。
Thawteのタイムスタンプが付いているとはいえ、ビルド後改ざんされてないよ、
くらいの意味しかないし、走らせるのは躊躇する。
VC++みたいだから、ソースくれたらビルドして実行するけど。
617 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:46:27 ID:4VZCVxU8O]: iTmediaにヒュースティックだったか、の機能のみが搭載されたウイルス対策ソフトが
出たらしいが、あれGENOウイルスには効くのかな
618 名前：192.168.0.774 mailto:sage [2009/05/21(木) 01:59:00 ID:TWdCvddB0]: >>616
内容は、前スレの154にUIかぶせただけ
オレオレ署名してるのにはいくらか意味を持たせてるが、初出の今、単体価値はあまりないな
ちなみに、期限はあまり長くは取ってない

信頼を得ている人間がツール書いて自鯖に置けば、また話は違うんだろうけどね
どっかが特化駆除ツール出してくれるとか、そろそろ(ry
619 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:04:23 ID:LgsqPpgL0]: >>610
うわ、叫び声か、怖ぇｗｗ

>>611
知ってたらバスターに3年も防衛任せようなんて思わないってｗ
620 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:08:24 ID:G7gTsjG60]: >>613
一瞬、何の疑問も持たなかったわ。
PCパスター
621 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:13:14 ID:/E2gYMqT0]: >>617
ありゃゴミだ
>>618
今後も価値が出ると思えないけど
622 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:13:36 ID:au9VFC6b0]: Avastの警告音も結構来るものがあるが、ｶｽﾍﾟはそれ以上なのか･･･
623 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:18:05 ID:lpTPovOI0]: GENOウイルスまとめwikiのその他の項目で
Googleキャッシュにはウイルスが残ってあるものもあるので注意が必要です
と言う項目がありリンク先でこの Web サイトのセキュリティ証明書には問題があります。
と表示されたのですがこれは一体何なのでしょうか？
624 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:27:20 ID:kBD9WUl80]: ウイルスバスターが対応するのはだいたい他社が対応し終わってから1ヵ月後だな
前のHDDフォーマットウイルスの時もそうだし4月に流行ったGENOウイルス対応したのもつい最近だし
それで最初は4月分の対応を最近のやつと間違えた人が多かったんだな
625 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:28:28 ID:G7gTsjG60]: >>622
本当にすごいから。　不意をつかれると驚きでコーヒーこぼすくらい。
机下の床にPC置いている人とかは、第二のPCバスターになり兼ねない。

白い顔の女の人が、目から血を流している画面と共に「ギャー」って大音量がなるジョークソフト知っている？
あっちはうる覚えだけど、似たようなサウンドだったと思う。

あまりにも不評で、サウンドを差し替えられるようになる！　だか、　なった！　だか　　だよ。

>>623
その2つは直接は関係ないと思うな。
Kaspersky使っている？
626 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:30:17 ID:kBD9WUl80]: >>625
いまのカスペはもう音変わってるよ
なぜかインストールされたフォルダにはまだ入ってるけどね
627 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:33:09 ID:TWdCvddB0]: >>625
いまでもちょくちょく貼られるねｗ > ぎゃーのページ
ちなみに、Safari/Win で踏むと、.wav を保存しますかって聞いてくるｗ
628 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:34:20 ID:6T3iMyEp0]: >>587
おれも>>616と同じく逆汗めんどい。

というか、クリーンなことを証明したかったらコンパイル言語を使わないことをオススメする。
wscriptベースでVBとかJavaScriptで書くと、多分回りも検証しやすいし、拡張もしやすい。

問題はなぜかセキュリティソフトが一番危険なネイティブ実効ファイルよりwscript系スクリプトをウィルス並みに警告してくることだがな・・・
なんだよ、ファイルI/Oで緊急停止ダイアログとか。

間を取って逆コンパイラが充実した中間言語インタプリタ系が検証者には優しいってところか。

.NET→VC++でコンパイルできるソースならc++/cliでコンパイルする事で互換性を維持できる。逆汗にはリフレクタを使う。
Java→説明不要。
HSP→暗号化なしモードorディレクトリ配布。資料豊富。
吉里吉里→暗号化なしパッケージ。言語はTJSで、資料が少なめ。
ひまわり→ソースつきで配ることで、公式使ってコンパイルした結果と一致することで検証できる。実行ファイルがクソ重い。
629 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:35:25 ID:lpTPovOI0]: >>625
自分は今ノートンを使用しております
特に問題がないのでしょうか？
630 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:35:32 ID:LgsqPpgL0]: 保存してどうすんだよって感じだなｗｗ
631 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:37:32 ID:pBb7+109O]: 警告画面集をニコニコにアップしてくれよ
GENOウイルス踏んで
632 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:39:19 ID:au9VFC6b0]: >>625
ああ･･･それはひどいｗ
ｶｽﾍﾟの中の人のセンスはよくわからんぜ
633 名前：NET裏技専門店 GENOで検索してみ [2009/05/21(木) 02:39:41 ID:+SymExhe0]: NET裏技専門店も感染してるよ
さっきアクセスしたらおかしかったから調べたらビンゴだったわ
しかも管理人知ってて公開してたらしいし管理人マジ死ねよ
634 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:45:06 ID:39xkO1PS0]: カスペの音ってこれ？33秒あたり
www.youtube.com/watch?v=wVbRNCqN5Xc
635 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:45:42 ID:TWdCvddB0]: >>628
*(BYTE*)send ← これをどうやってWSHから取得するかなのだが…。
LoadLibrary("winmm.dll")は、音をひとつ鳴らせばかわりになるから大丈夫

>>633
なんていうか、定型文リストがすごいなｗ
636 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:55:30 ID:DqsQKmEA0]: >>622
Avastはパトカーのサイレンみたいな奴だっけ。それと比べるなら、やっぱりカスペの方が心臓に悪いと思うな。
AntiVirなんか初期設定でM/BからBEEP音がするから、なにかと思うんだよね。カスペ程じゃないけど
あれも、やっぱり心臓に悪い。
637 名前：192.168.0.774 mailto:sage [2009/05/21(木) 02:57:32 ID:pVqQ7XBe0]: >>635
とりあえず前スレ154を実行してみた。

クリーンな環境: 8B 8B/8B 8B
一昨日感染させたVM: 8B 8B/8B 8B
上記をNortonで駆除してみたもの: 8B 8B/8B 8B

winmm.dllを読み込んでも値が変わらんぞ。
音が鳴ると発動するのを利用するってことだろうけど、winlogonの
時点で発動しちゃわない？
638 名前：192.168.0.774 mailto:sage [2009/05/21(木) 03:07:50 ID:TWdCvddB0]: 感染させたはずなのに値が変わらぬとは…。ウイルスコア(DLL)みてみたいです

発動は各プロセス毎ってのがみそで、また、仮に、すでに発動していたとしても、
各値は、E9 E9 / E9 E9 になるはず

そのプログラムをデバッガ下で起動して、ウイルスコアがどの時点でmodloadされるか見れば、
ゆってることは(ぐだぐだいうより)一発でわかります
639 名前：192.168.0.774 mailto:sage [2009/05/21(木) 03:12:55 ID:6T3iMyEp0]: >>635
ごめん、前スレの154をたった今確認した。
WSHでやるならEXCELを踏み台にしてHTAからWin32API呼び出すサンプルがVectorに有ったと思うからその辺参考できないか？

というか、これだとコンパイル環境によって、スタブ取りに行くかIAT取りに行くか揺れると思うんだが、その変どうなんだろう。
APIフックで差し替えるって事ならGetProcAddressも上書きしてる可能性が高いと思うのだが、GetProcAddressが通るかどうかで判別できるかな？

感染環境持ってないので憶測で話すが、フックされた偽sendがWinsockのDLLの外側にあるのなら、
LoadLibraryの返り値とGetProcAddressの帰り値の差が正常範囲内かどうかで判別するほうが安全確実ではなかろうか。

単純に、C++/CLIかフルアセンブリで作るほうが検証しやすい物になるかな？
640 名前：192.168.0.774 mailto:sage [2009/05/21(木) 03:13:07 ID:p1J05MUF0]: >>625
とりあえず…

×うる覚え
○うろ覚え
641 名前：192.168.0.774 mailto:sage [2009/05/21(木) 03:13:35 ID:G7gTsjG60]: >>629
>問題がないのでしょうか？
あるかないか、それだけで判断できません。

そのリンクを
hXXp.WWW.の形でここに貼れば、Ｇｅｎｏかどうかはここの人が判定してくれるに違いない。

この Web サイトのセキュリティ証明書には問題があります。　
↑これはウィルスの有無に関して何の情報にもならない。

おそらくブラウザが暗号化通信しようとしているんだけど、
相手の素性（暗号化通信のライセンスを持っているのか　いないのか）がわからないので
そういう警告を出しているんだと思う。

で、素性が分からないのは
本当に相手サイトの素性が（免許登録がなくて）分からない場合と、
ノートンが暗号化通信をスキャンしようとするから分からない場合の
2通りあるわけ（暗号化通信はノートンにもスキャンできないから、ノートンが代理認証するが結局失敗）。
gmailなんかのログイン画面でも同じ警告が出るならノートンの設定が原因だろうね。

うちではRadeonのドライバーをダウンロードしようとすると、毎回警告出るから、コレもためしてみて。
game.amd.com/us-en/drivers_catalyst.aspx?p=xp/radeonx-xp
でドライバーをダウンロードしようとすると、その警告。
ただし、暗号化通信をスキャンしない設定にすると警告なし。
　
つまり、サイトではなく、自分のセキュリティーソフトの設定が問題。

以上、俺の妄想。
642 名前：192.168.0.774 mailto:sage [2009/05/21(木) 03:14:37 ID:G7gTsjG60]: >>640
勉強させていただきました！
他で恥じかかなくてよかったわ。
643 名前：192.168.0.774 mailto:sage [2009/05/21(木) 03:23:27 ID:TWdCvddB0]: >>639
Excelもってなすｗｗｗ

…だが、(やっぱり)そんなことができちゃうのか…。ま、VBAも載ってることですし、不可能はないかｗ

あれって、常駐すると、ws2_32::send を直接書き換えちゃうんですよ
チェッカEXEも、スタティックリンクして、WinMainのしょっぱなで値取りに行ってます
(DWORD)send じゃないんです。*(BYTE*)send なんです IAT/EDTは不変のはず(いまんとこ)
644 名前：192.168.0.774 mailto:sage [2009/05/21(木) 03:23:53 ID:pVqQ7XBe0]: >>638
申し訳ない。
VMのスナップショット取っておいたつもりだったのに、2番目と3番目は
NortonとAviraで駆除してみたものだ。
Aviraの方は、ご丁寧に手動削除とレジストリ修正までしちゃってる。
また感染させればいいや、と軽く扱ってたからなぁ。
ホント、すまん。感染状態のVMがないっす。

検出可否報告スレの検体を落としてきて試そうか？
645 名前：192.168.0.774 mailto:sage [2009/05/21(木) 03:39:42 ID:TWdCvddB0]: >>644
んじゃ、再度感染実験するとき、そのついでにお願いいたします、でｗ (pending.)

WSHの範囲で、活動を証明する方法を、寝ながら考え中

vbscriptに、PEEK/POKEがあればよかったのにｗｗ
646 名前：192.168.0.774 mailto:sage [2009/05/21(木) 03:52:58 ID:pVqQ7XBe0]: >>645
本当に申し訳ないです。大失態。
で、現状のソースでも無償のVS Express Editionでビルド可能なんじゃない？
ATLとMFCは付属しないから、C++/CLIかコンソールアプリにしちゃうのが
楽だと思う。
ソース同梱なら試すのに抵抗がないし、VMに感染させている人はVS所有率も
高そうな気がする。
647 名前：192.168.0.774 mailto:sage [2009/05/21(木) 04:05:23 ID:TWdCvddB0]: 小汚いソースをPK(MMOでいう)アリの２ちゃんに晒すのがどうかという大問題と、
「どうせ、正しいソースに、腐ったバイナリが同梱してあるんだろ？」とか言われるとｗ

コンソールソースだと、ほんとに前スレのあれに、includeつけるだけｗ
648 名前：192.168.0.774 mailto:sage [2009/05/21(木) 04:24:34 ID:6T3iMyEp0]: GUIにしてもMessageBoxA使って表示すれば、前スレのアレに3行追加するだけだが。
649 名前：192.168.0.774 mailto:sage [2009/05/21(木) 06:07:51 ID:fL5cPWvfO]: おはよう
何日後にこのウィルスは再度活性化するかな？
しなきゃいいんだけど
650 名前：192.168.0.774 mailto:sage [2009/05/21(木) 06:17:22 ID:UfbkrZtm0]: そんなんこっちが教えて欲しいわ
651 名前：192.168.0.774 mailto:sage [2009/05/21(木) 06:56:53 ID:VwSJ2gNNO]: >>634
カイリキーの鳴き声に似てると一瞬思ってしまった

それにしても趣味の悪い音だな
652 名前：192.168.0.774 mailto:sage [2009/05/21(木) 07:15:28 ID:VwSJ2gNNO]: >>651
どうでもいい事だけどワンリキーの間違いだったｗｗｗ
653 名前：192.168.0.774 mailto:sage [2009/05/21(木) 07:18:52 ID:klY/YuLb0]: 初めてavast警告画面遭遇。
ソースチェックしたら赤文字の羅列ありですがこれは感染確定？

ttp://c-sc■jp/SHOP/jinbei1■html
654 名前：192.168.0.774 mailto:sage [2009/05/21(木) 07:31:46 ID:TWdCvddB0]: >>653
クロ、しかも古い(gumblar.cn) あとになって出てきた感じで。さっと直してもらいましょうｗ

>>648
唯一弱点があって、内容をコピペするのが面倒なのだ
VBでいう、InputBox()みたいなのがwin32にあれば便利かな
655 名前：192.168.0.774 mailto:sage [2009/05/21(木) 07:43:06 ID:T6KZ1kJS0]: 感染サイトにgumblarとかラトビアのIPしかないケースは
感染に気づいてftpのパス変えてPCもクリーンインスコしたけど
サーバのファイル改竄を修正しきれてないってケースなのかな
656 名前：192.168.0.774 mailto:sage [2009/05/21(木) 07:58:49 ID:mEVIDcRO0]: >>653
とりあえずお問い合わせから通報しておきました。
657 名前： ◆f/iQdjPxCM mailto:sage [2009/05/21(木) 08:03:58 ID:U5RBowts0]: 各ベンダが追いついたようでもあるし、
コアな方向は始動した◆HyDDaacBtI氏にお任せして、私は裾野方向へ。

週末合わせとかで亜種の再攻勢があったりした時に
初心者からも情報を引き出し易くしておくための基礎的な道具の準備。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
の値(auxとかmidiとか)の列挙をファイルに保存。
drv32list_v001.LZH
ttp://www1.axfc.net/uploader/Sc/so/3023
testDRV32LST

SIZE (drv32list.exe) = 4608
MD5 (drv32list.exe) = c5796a5dcff9504e369cbcdbcecac6bb
SHA1 (drv32list.exe) = 17072a84147dcbbf61fd3e304663a5cef454a577
SHA256 (drv32list.exe) = 291a08bc66600c689e169b21da1b75391cf7e9f93e976675dbadf06f61ef4669
SHA512 (drv32list.exe) = 93b587d1a46644cf43a762dd83092e92ce866ed2f01b4c271bd0d698d8fe345828b10521bf00e7866a481e67474276d2fadc34def1919a1dad1340fda39db3ac

おまけで上記から REG_SZ(だけでいいと思うが一応REG_EXPAND_SZも) かつ \..\ を含む
もののみを対象とするという動作にしたもの。
drv32listdotdot_v001.LZH
ttp://www1.axfc.net/uploader/Sc/so/3024
testDRV32LST

SIZE (drv32listdotdot.exe) = 4096
MD5 (drv32listdotdot.exe) = 53fe3ca5aaac3d990cea603788e6c63d
SHA1 (drv32listdotdot.exe) = afdded8a86802a757e2fb3df45daea359e10d8d5
SHA256 (drv32listdotdot.exe) = d0ad8105c496b87321d097838321104e06b23855ca195a2cfb9eb3ac874a169f
SHA512 (drv32listdotdot.exe) = 2303d7c639afb270d5bd1f867f017aeaa58aa9fcc88a8dd1018259717cda9c307141b1e640618a44d4e59dc061428828af7af968514a06ebe432c748a96b7580

もちろん、使ってるAPIを妨害されればそれまでっちゃあそれまでだが、
それなりに隠密を指向してる限りはここまでは来ないんじゃないかと期待。

まぁ、JPCERT辺りが出してくれればともかく、
俺が出しても信用性がないのでほとんど無意味なんだが。
スパゲティなソースを出せば少しはましなのかなぁ。
658 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:04:02 ID:klY/YuLb0]: >>656
すいません、ありがとうございました。どういう文面にしたらいいのか迷ってたもので…
PC関連のサイトでなくても分かってもらえそうなテンプレってないでしょうか？
659 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:04:40 ID:RfkvGoklO]: どうでもいいんだけど、逆汗って書いてるやつ、もしかして若干（じゃっかん）の間違い？
3回くらい書いてるから気になった。
660 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:06:36 ID:Z6URyA3I0]: 逆アセンブラ
661 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:17:26 ID:mEVIDcRO0]: >>659
逆アセンブラにかけてウィルスのバイナリデータを読むこと。
逆アセ→逆汗と省略した表記。
ヲタ用語なので分からなくても恥じる必要はない。
元々シェアウェアなどを解析してシリアル出したりする人たちが検索にかかりにくくするために略すようになっただけ。
個人的にはこんな略する方が恥じるべき。
662 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:39:48 ID:RfkvGoklO]: あ、そういう用語なのか！
勘違い申し訳ない。ごめんなさい。
>659、>660はありがとう。一つ賢くなった気がするよ。
663 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:41:14 ID:gCzmc2nU0]: genolists.alink.uic.to/

ここのリストに感染サイトが直リンされたまま放置されてるんだが
何とかならないの？
664 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:42:13 ID:U6qEMEIx0]: ウイルース製作側のテームGEN○（外国人ら）が、ここの対応状況を分りづらくする木的もある
いわゆる二本人（ねらー）なら分る文障に安号化しているということです
665 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:45:29 ID:U6qEMEIx0]: 外国人からみた文小（翻択サイト）

ここの手紙状況と生産側が役立つUiラスのティムGEN○（外国人）を理解するのは難しい木マークは、
ヤスシがいわゆる長い剣を理解している文障とそこにある背が低い剣人（ねらー）のそれになるということです
666 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:48:56 ID:t0+/Xwe70]: ヤスシwww
667 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:53:30 ID:U6qEMEIx0]: 二本陣なら>>664を理解できるが、
二本陣でも>>665は理解できない
ともに同じ内容の文障である
668 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:54:58 ID:U6qEMEIx0]: 害国人から見たここは「基地外」の集まりということになります
669 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:55:24 ID:MBPINqUy0]: ひらがなじゃだめなの？
もしくはカタカナ
670 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:56:33 ID:U6qEMEIx0]: ひらながでもいいよ
671 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:57:58 ID:U6qEMEIx0]: だせーんさせてスマソ
672 名前：192.168.0.774 mailto:sage [2009/05/21(木) 08:58:04 ID:nbH6G5hp0]: ひらがなやカタカナだと>>665のヤスシみたいなことが起こらないからなｗ
673 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:03:21 ID:U6qEMEIx0]: ヤスシがいわゆる長い剣を理解している文障とそこにある
背が低い剣人（ねらー）のそれになるということです

意味不明ｗｗｗ

ちなみに使用した翻訳サイト（日本語→英語、英語→日本語）
ttp://honyaku.yahoo.co.jp/
674 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:07:23 ID:U6qEMEIx0]: >>672
ヤスシがわかる所で、そこの文障である背が低い剣人（ねらー）と
そこの、いわゆる長い剣は曲がることができることです

>>673をもう一度変換したものですｗｗｗ
ダッセンスマソ
675 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:08:30 ID:wC5KlqJk0]: 後部bunsawaであり、そこでは、ヤスシのいわゆる、
そして、長い刀の理解が低いのが(使います)、tsurugininのものになります。
676 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:08:39 ID:9OX9KUHs0]: ツボったｗｗ
677 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:15:11 ID:5pSWNVp50]: gnomeさんが出張したらしいね
678 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:15:54 ID:5pSWNVp50]: >>610
あの顔面蒼白ぎゃーという恐怖系GIFを参考にしたんじゃないかな。
679 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:18:13 ID:5pSWNVp50]: >>625
＞白い顔の女の人が、目から血を流している画面と共に「ギャー」って大音量がなるジョークソフト知っている？
これまんまと踏んでしまっていつも思うんだけど、
誰が何のために作ったの？obon03.htmlだから、お盆の肝試しのためのもの？
680 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:46:30 ID:TWdCvddB0]: 亀だが。逆汗って知り合いがよく使ってたから使ってたんだけどね

>>657
そっちがんばってくれｗ
質問板は、exeとか貼るんじゃねーよ出て行けってことだったので
681 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:53:34 ID:TWdCvddB0]: ってまて、そっちもexeかー。

そのアイデアそのままに、WSHに移植できないかな
WScript.Shell オブジェクトで、enumは難しいかもしれんが、readはできるらしい
aux ＋数字の形になってるキーに、わけのわからないフルパス、しかも拡張子が.sys じゃない代物って
通常のインストレーションではありえない発見次第、ういーんういーんしてみては
682 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:56:19 ID:PspCF9gEO]: リカバリしたんだけど何からはじめたら良い？
ウィンドウズのアップデートかな？
683 名前：192.168.0.774 mailto:sage [2009/05/21(木) 09:58:02 ID:TWdCvddB0]: >>682
あさごはんたべる
684 名前：192.168.0.774 mailto:sage [2009/05/21(木) 10:20:46 ID:5pSWNVp50]: >>682
まずルータをFW代わりにWindows Update以外の通信をはじくことから開始
それしないと
685 名前：192.168.0.774 mailto:sage [2009/05/21(木) 10:39:20 ID:5ZXWqiM40]: >603
何の気なしに確認してみたら定義の更新が○秒前とか出てﾜﾗﾀｗ
686 名前：192.168.0.774 mailto:sage [2009/05/21(木) 10:52:26 ID:WI3iOJhg0]: シマンテック行ったら、どのページも軒並み見られなくなってるんだが
687 名前：192.168.0.774 mailto:sage [2009/05/21(木) 11:09:51 ID:PspCF9gEO]: >>683
いまからたびる

>>684
ありがとう。とりあえずアップデートはほぼ完了。
アドビのフラッシュプレイヤーは入ってなかったんだけどそのままでも良い？
あとアクロバットリーダーが6.0.2アップデートてのと　
アクロバットアンドリーダー6.0.3アップデートてのか入ってるほかに
アドビリーダー6.0.1が入ってた

どれを最新にすればいいの？
688 名前：192.168.0.774 mailto:sage [2009/05/21(木) 11:26:25 ID:gCzmc2nU0]: >>685
いつ見ても10分以内に更新してるｗ
もしかしてありとあらゆる現存する亜種を
解析が済んだ順にぶち込んでる最中なのではないだろうかとふと思った。
689 名前：192.168.0.774 mailto:sage [2009/05/21(木) 11:27:37 ID:qc4/laWs0]: >>687
1から読んでろバカ
690 名前：192.168.0.774 mailto:sage [2009/05/21(木) 11:28:14 ID:Q988+a0d0]: >>686
おぬし、ウイルスやマルウェアのなかには、感染したPCを
セキュリティ系サイトに接続できなくするものがあるという言い伝えを知らんのか
GENOウイルスもまた、そうしたものの1つだと言われておるぞ

というか俺は普通に見える
691 名前：192.168.0.774 mailto:sage [2009/05/21(木) 11:36:15 ID:v7Y5CZ5R0]: >>687
そういうのはバージョンが低い順にこなしていくのが定石だ。
アップデートの類には、全てのパッケージを含むものと、変更箇所だけのものがあるが、
この方法だとどちらでも問題が起こりにくい。
692 名前：192.168.0.774 mailto:sage [2009/05/21(木) 11:38:06 ID:WI3iOJhg0]: >>690
GENOに感染してなくて安心してたら…マジかよ
693 名前：192.168.0.774 mailto:sage [2009/05/21(木) 11:49:33 ID:CGLPpXXj0]: >>692
うちは問題なく市万テックのサイトが見れるからGENOかどうかは知らないがウイルスだろうね
ブラウザ変えたり、他のベンダーのサイトも見れるかどうか、Windowsアップデートが出来るかどうか確認してみ
それで見れなきゃウイルスの可能性が高い
694 名前：192.168.0.774 mailto:sage [2009/05/21(木) 11:50:07 ID:hhURH/R10]: >>655
説1　感染ＰＣを1週間ぶりに起動した。

>>690
サポート終わっている6は全部削除して入れなおしが楽。
>>692
js切っているからじゃなくて？

>>
みんなまずはWindowsUpdateなのか。
XPSP2以降の標準FWでも外からの接続は弾いてくれるらしいし、
クリーンインストール直後にアウトバウンドなんか監視する必要ないんだけど、
自分は気分的に市販の統合セキュリティーソフトを入れてからWindowsUpdateで更新チェックしている。

たまーにWinUpdateとウィルスの定義ファイルを同時にダウンロードし始めて困ることもあるけど・・・。

■24時間前に　>>375を貼ったんだけど訂正。
213.0.0.0-213.25.255.255 213.0.0.0/8　というブロック範囲を万が一登録している人がいたら、
そして、その人がOpera使いなら　　213.236.208.0 - 213.236.208.255　をブロックの対象から除外してください。

これはOperaが使っているサーバーのようです。
ブロックすると「最新版のリリースをチェックする」などの機能が使えなくなります。
クッキーなどの個人情報を削除したタイミングでも通信するようで、これはこれで気持ち悪いですが・・・

あと、>>375では　213.0.0.0-213.25■5.255.255 213.0.0.0/8
5がひとつ抜けてました。　すいません。

我が家でも今朝、ブロックリスト警報が立て続けになって冷や汗ものでしたが、Operaの通信と分かり安堵した次第です。
695 名前：192.168.0.774 mailto:sage [2009/05/21(木) 12:00:29 ID:WI3iOJhg0]: >>693
ウイルスだこりゃ
ウイルスバスターアンインストールしてから、うっかり忘れてた1時間の間に感染したらしい
ネット社会やべえ
696 名前：192.168.0.774 mailto:sage [2009/05/21(木) 12:13:18 ID:TWdCvddB0]: >>681 の件、てきとーに書いてみた >>657 に寄稿するので、鍛えてくれ

---
function die(m){
　　WScript.Echo(m);
　　WScript.Quit(-1);
}

var WshShell;
try{
　　WshShell= WScript.CreateObject("WScript.Shell");
} catch(e){
　　die("wshom.ocx がインストールされていません");
}

var Signer;
try{
　　Signer = WScript.CreateObject("Scripting.Signer");
} catch(e){
　　die("wshext.dll がインストールされていません");
}

function try_verify(fn){
　　try{
　　　　return Signer.VerifyFile(drv32, false)? 1:0;
　　}catch(e){
　　　　return -1;
　　}
}

function get_drv32(i){
　　var drv32=undefined;
　　try{
　　　　drv32=WshShell.RegRead("HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32\\aux"+(i?i:''));
　　}catch(e){
　　　　drv32=undefined;
　　}
　　return drv32;
}

function get_score(drv32){
　　var score=0;
　　if(drv32){
　　　　if(drv32.indexOf(":\\")>=0) score+=50;　　　// std installation have no fullpath
　　　　if(drv32.indexOf("\\..\\")>=0) score+=200;　// not occur if envelope runs in root dir
　　　　if(!drv32.match(/.(drv|dll|acm|ax)$/)) score+=100;　　　// almost
　　　　if(!try_verify(drv32)) score+=500;　　　　　// fullpath, and not signed
　　}
　　return score;
}

var log="";
for(var i=0;i<100;i++){
　　var drv32=get_drv32(i);
　　var score=get_score(drv32);
　　if(drv32) log+=i+":"+drv32+(score? " ←うひょー("+score+"てん)":"")+"\n";
}

WScript.Echo(log);
697 名前：192.168.0.774 mailto:sage [2009/05/21(木) 12:15:10 ID:uWfdv9Yt0]: >>695
今すぐ回船切ってクリーンインスコ
アンチウイルスソフトをアンインストールする場合は、先に別のベンダーからソフトをダウンロードして、
回線切ってからアンインスコ→別のアンチウイルスソフトインスコ
しなきゃ駄目だよ。ちょっと遅かったが
698 名前：192.168.0.774 mailto:sage [2009/05/21(木) 13:07:39 ID:u9uYKMw90]: >>375は結局ブロックする方向でいいのかな？
699 名前：192.168.0.774 mailto:sage [2009/05/21(木) 13:11:42 ID:DqsQKmEA0]: 感染確認サイトを個別にブロックする意味はなさそうだけど。

汚物はしょうｋ(ry 主義なら好きにすればいいさ。
700 名前：192.168.0.774 mailto:sage [2009/05/21(木) 14:08:00 ID:mug1+zSgP]: 別にアンチウィルスてコンスタントに何かを防ぎ続けるもんじゃないから
よっぽど高度な挙動をするウイルスでない限り切ったからってすぐ感染するもんじゃないしｗｗ

FW機能があるなら話は変わるけど
701 名前：192.168.0.774 mailto:sage [2009/05/21(木) 14:09:24 ID:/j9DsikN0]: 全然使わないから、今何気にAcrobat Readerのver見てみたら
6.0だったｗｗたま～にPDF見るくらいだけど最新版（9.1?）にした方が
いいの？
702 名前：192.168.0.774 mailto:sage [2009/05/21(木) 14:11:25 ID:u9uYKMw90]: >>699
そうだよね
確認サイトであって怪しい動きのIPじゃないもんね
新しいドメインとIPが出ない事を祈りたいわｗ
703 名前：192.168.0.774 [2009/05/21(木) 14:14:29 ID:gqXw+5g20]: むしろadobeはアンインスコしてpdfはsusieプラグインで見るべき
704 名前：192.168.0.774 mailto:sage [2009/05/21(木) 14:17:42 ID:tyoPo/8k0]: エロゲーしかやらない連中は、susieでいいんだろうなｗ
705 名前：192.168.0.774 mailto:sage [2009/05/21(木) 14:20:16 ID:lxL0b+ov0]: >>698

単独IPに関しては
>>380に見に行ってくれた人がいるので、参考にしてください。

213.0.0.0 - 213.255.255.255 213.0.0.0/8 に関してはあまりに範囲が広いので、
ご自分のモットーに基づいて決めるのがよろしいかと。

ただOpera使いならブロック範囲を分割とかして
213.236.208.0 - 213.236.208.255　の範囲を遮断しない方がいいかもってことです。

213.0.0.0 - 213.236.207.255
213.236.209.0 - 213.255.255.255

自分の場合は、今後の為にもマルウェア作者御用達の海外ISPは遮断しておこう　という考えです。
どうしても行きたいサイトがあったら、例外許可ルールを作って行けばいいかなと。

あと、サイトだけはクリーンにしても、それを編集するPCはまだ感染中という状況も考えられる為、
国内の過去感染サイトへのブロックもしばらくは解かずにおこうと思っています。
gumblar.cnのような親玉をピンポイントで追跡できれば、本当はいいんですけどね。

最新バージョンを使っていない人がこんなにも沢山いると知った最近。
次に狙われるのがQuickTimeのような気がしてならない・・・。　ど素人の浅知恵ですが・・・こわい。
706 名前：192.168.0.774 mailto:sage [2009/05/21(木) 14:23:31 ID:/j9DsikN0]: >>703-704
susieか、ありが㌧。ほとんど使わないなら消しちゃっても
いいんだよな・・用途としてはマニュアルとか落として見るぐらいという。
6.0消して9.1にしとくか
707 名前： ◆f/iQdjPxCM mailto:sage [2009/05/21(木) 14:23:57 ID:d89Bw+Uf0]: >>696
drv32auxlist_wsh_js.lzh
ttp://www1.axfc.net/uploader/Sc/so/3060
testD32auxLST

WSHとかJScriptとか普段触らんものでアレだが、
とりあえず少しだけいぢってみた。
batはdebug用。コマンドプロンプトから実行のこと。
通常(?)用はエクスプローラから js を直接ダブルクリック。

触ってみた上で思うにやっぱ俺はこの辺のスクリプトは好みじゃないわ。
ってことで、このスクリプト触るのはここまで。
ってことで >>696 に返却してみる（ぉ

>>661
Web時代の遥か前、POKEしてDEFUSERしてUSR(0)してた時代から逆汗って表記はあったわい。
708 名前：192.168.0.774 [2009/05/21(木) 14:40:51 ID:8wVk5E5IP]: つい最近、このウィルスを知った
エロサイトばかり見てたんで感染してると思い
オンラインスキャンしたけど感染してなかった
709 名前：192.168.0.774 mailto:sage [2009/05/21(木) 14:45:35 ID:tyoPo/8k0]: >>708
板違い　
夢・独り言　
life7.2ch.net/yume/
710 名前：192.168.0.774 [2009/05/21(木) 14:57:26 ID:8wVk5E5IP]: これぐらい良いだろ
潔癖厨ってどの板にも居るのな
711 名前：192.168.0.774 mailto:sage [2009/05/21(木) 15:01:39 ID:5pSWNVp50]: 潔癖症
712 名前：192.168.0.774 mailto:sage [2009/05/21(木) 15:10:04 ID:NLTAaeBv0]: 　　　　　　　　　　　　／）
　　　　　　　　　　　／／／）
　　　　　　　　　／,.=ﾞ''"／
　　　／　　　　 i f　,.r='"-‐'つ＿＿＿_　　　こまけぇこたぁいいんだよ！！
　　/　　　　　 /　　　_,.-‐'~／⌒　　⌒＼
　　　　／　　,i　　　,二ﾆ⊃（ ●）.　（●）＼
　　　/　　　ﾉ　　　 ilﾞフ::::::⌒（__人__）⌒::::: ＼
　　　　　　,ｲ｢ﾄ､　　,!,!|　　　　　|r┬-|　　　　　|
　　　　　/　iﾄヾヽ_/ｨ"＼　　　 `ー'´ 　　／
713 名前：192.168.0.774 mailto:sage [2009/05/21(木) 16:01:41 ID:+uyw5bbX0]: loca.zombie.jp/

This page seems to be <clean>
714 名前：192.168.0.774 mailto:sage [2009/05/21(木) 16:08:52 ID:J3ZHp0dK0]: >>708
オンラインスキャンじゃ、まだ検出できないし駆除も
715 名前：192.168.0.774 mailto:sage [2009/05/21(木) 16:19:10 ID:mMLuWcQ+0]: >>705
>次に狙われるのがQuickTimeのような気がしてならない・・・。
今回の件で慌ててadobeを最新にしたんだが、他にも定期的に更新した方がいいものがあるの？
プログラムの追加と削除から今入ってるプログラムを確認してはみたが、
数が多くてもうさっぱり・・・orz
ちょっと真剣にパソコンのこと勉強するわ
716 名前：192.168.0.774 mailto:sage [2009/05/21(木) 16:22:07 ID:vZHtKx2p0]: そもそも定期的に最新ヴァージョンを確認するのは基本だろ
717 名前：192.168.0.774 mailto:sage [2009/05/21(木) 16:23:27 ID:ouaWrZvh0]: >>715
バージョンアップして支障が出るとかじゃない限り、全部最新版にしましょう。
718 名前：192.168.0.774 mailto:sage [2009/05/21(木) 16:26:12 ID:mMLuWcQ+0]: >>716-717
ありがと　ちょっといろいろ更新してくる
719 名前：192.168.0.774 mailto:sage [2009/05/21(木) 16:26:33 ID:WMbKvcUD0]: でも古いPCを使ってると
新しいの新しいのと入れてくと支障が出るんだよ…重くてたまらん
買い替え時期かねえ
720 名前：192.168.0.774 mailto:sage [2009/05/21(木) 16:36:20 ID:dz/70cvK0]: なぜ同人サイトへの感染が多いか判明した

同人サイトのロボ避けアク解について 4
changi.2ch.net/test/read.cgi/doujin/1241579161/

これのせいでベンダーがアクセスできず検体が集まらない
721 名前：192.168.0.774 mailto:sage [2009/05/21(木) 16:47:34 ID:ct/HoqyG0]: >>714
自動的に駆除されます
www.kobayashi.co.jp/info/090512.html
722 名前：192.168.0.774 mailto:sage [2009/05/21(木) 17:56:05 ID:vpHBGRcY0]: >>715
使ってないものはアンインストールでおｋ
>>720
そういう自意識過剰なのは向こうでやってくれ
723 名前：192.168.0.774 mailto:sage [2009/05/21(木) 17:57:50 ID:cYoQlSUL0]: >>721
GENOウイルスは亜種が多く、感染したのが未対応の亜種だった場合は検出されない
検体スレなどを見る限りではバスターは元のウイルスがどうかはしらないが亜種への対応は
遅れている様子。また、製品で検知可能でもオンラインスキャンの場合はまだ
未対応な場合がある。よってオンラインスキャンを過信しすぎるのは危険
nortonですらオンラインスキャンはまだ未対応との情報があったりするくらい
なお、対応状況はそれこそ分刻みで更新されたりするため明言はできない
724 名前：192.168.0.774 mailto:sage [2009/05/21(木) 18:09:16 ID:xUGMQnkL0]: >>723
小林製薬なめんなよ
725 名前：192.168.0.774 mailto:sage [2009/05/21(木) 18:10:05 ID:s9gx2Yxu0]: GENOウイルスに同人サイト連鎖感染　拡大防止へ協力の輪広がる - ITmedia News
www.itmedia.co.jp/news/articles/0905/21/news077.html
726 名前：192.168.0.774 mailto:sage [2009/05/21(木) 18:13:26 ID:z8aZ4AU+0]: セキュ板はもっと評価されてもいいitmedia氏ね
727 名前：192.168.0.774 mailto:sage [2009/05/21(木) 18:23:08 ID:QO4XJuQg0]: >>725
> まとめサイト、イラスト……同人者も協力
「同人者」と呼ぶのはまさに同人者くらいなような気がしてたけど、まさか記者・・・ｗ
728 名前：192.168.0.774 mailto:sage [2009/05/21(木) 18:23:52 ID:vx67O38O0]: 同人者なんて言葉初めて聞いたわ
729 名前：192.168.0.774 mailto:sage [2009/05/21(木) 18:26:23 ID:Q+U7Qc4s0]: 同人者なんてそれこそ同人板位でしか聞かないぞ
itmediaの記者って
730 名前：192.168.0.774 mailto:sage [2009/05/21(木) 18:28:30 ID:4nCTTxjQ0 BE:1491008459-2BP(0)]: モデムけとばしたのでIDかわった ID替えじゃないよ

>>707
グレー判定しきい値１００てんかーｗ
※さっそく見たよっていう意味ですｗ

こういったスクリーニングテストツールの意味は、
｢ええっとチェックページいったら、(ocx導入)がどうたらってこれどうすんですか？｣
っていう人にも使えるといいなと思ってる

>>725
itmediaは贔屓にしているんだが、ここってGENO(店舗)とタイアップ記事が出たりするとこ
しかし、GENO(店舗)の名が出ていることに簡潔ながらきちんと触れているのは、おっと思った

>>726
荒れてたからかな itmediaも、news4vipも射程に入ってるし、CGM上等のとこだよ
ちなみに、岡田記者がモテない設定は、信じてませんｗ
731 名前：192.168.0.774 mailto:sage [2009/05/21(木) 18:29:58 ID:x5rPgJAM0]: GENOに関してはセキュ板の評価はできんだろ
732 名前：192.168.0.774 mailto:sage [2009/05/21(木) 18:32:59 ID:Z6URyA3I0]: いや、セキュ板はスレ1で既に感染経路も対策も挙動も押さえて解決済の流れだったろ
733 名前： ◆f/iQdjPxCM mailto:sage [2009/05/21(木) 18:38:23 ID:tjxUUAI30]: >>730

終わりと言っておきながらちょっとだけ追加で触ってみたｗ

drv32auxlist_wsh_js_with_logfile.lzh
ttp://www1.axfc.net/uploader/Sc/so/3110
testD32auxLST

結果をコピペで利用し易いように、結果をログファイルにも書き出すようにしてみた。
734 名前： ◆XcxlmnqGqU [2009/05/21(木) 18:43:07 ID:d4fMVs60P BE:283070232-2BP(44)]: # start.
-1:wdmaud.drv
1:wdmaud.drv
# end.

なんかよくワカラン
とりあえず乙
735 名前：192.168.0.774 mailto:sage;コンビニいってくる [2009/05/21(木) 18:50:10 ID:4nCTTxjQ0]: wdmaud.drv は、通常は正規ファイルなので、名前が出てくるだけです
win32(EXE)なら、署名がMSのものであるか確認。とか簡単なのですけど、まあそれはともかく。

さっそくの試用ありです
736 名前： ◆XcxlmnqGqU [2009/05/21(木) 18:53:29 ID:d4fMVs60P BE:1651240875-2BP(44)]: ん…?
これはｼﾞｴﾝ乙ということでいいのかなｗｗ?
737 名前：192.168.0.774 mailto:sage [2009/05/21(木) 19:17:17 ID:KAE/RXQk0]: 今北　ブッチャケたいした事無いウイルスだったな　あとは亜種の出現さえ気をつけてればおｋ？
738 名前：192.168.0.774 mailto:sage [2009/05/21(木) 19:18:56 ID:tAeZmN4DO]: 初心者なんだけどこの一件があってからPC触れない・・・

ホームをニフティにしてるし、どのサイトを見なければ大丈夫なのか分からない(;ω;)同人は興味がないから見ないんだけど
739 名前：192.168.0.774 mailto:sage [2009/05/21(木) 19:43:07 ID:z/TP2PNi0]: 感染サイトリストにのってる感染サイトも今日でかなり減った
martuz.cnは死んでるし後継のサーバに切り替わってもいないので、現状感染の危険は低い

ただ、感染サイトリストの主上支局だけは未だに危険
たぶんGENO系ではないと思うが、条件を満たすとbasesrv3.netからpdfがダウンロードされて攻撃を受ける
www.virustotal.com/jp/analisis/0369bad2d92a0842b86ba99142d6d06f
740 名前： ◆f/iQdjPxCM mailto:sage [2009/05/21(木) 19:48:54 ID:ojZk/IpX0]: ごめん、>>707, >>733 にはアホにして致命的なミスが……。
drv32auxlist_wsh_js_with_logfile_fix100.lzh
ttp://www1.axfc.net/uploader/Sc/so/3129
testD32auxLST

スコアが100点丁度の場合に表示されるべき文字列が表示されていなかったのを修正。

>>736
よくわからんけど推測するに、俺としては、
「さっそくの試用ありです」はWSH化プロジェクト主任として、だと思うよ、思うよ！
と言っておけば良さげ？
741 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:09:40 ID:vpHBGRcY0]: >>738
同人は関係ないよ
勉強する気があるのならこのスレの上のほうをよんで対策をすればおｋ
ないのならそのままPCを使わなければおｋ
742 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:10:09 ID:EM4pupf50]: >>738
今はどれが駄目だと言えないので、まとめサイトを見て対策をしっかりやって下さい
743 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:18:27 ID:tAeZmN4DO]: >>741 >>742
はい。wikiの初心者説明を見て対策はしておきました。
ちょっとワォなサイト散歩をしたいのでチェックを忘れないようにしたいと思います。ありがとうございました

ちなみにニフティはもう平気ですかね？ホームなんですが・・
744 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:23:19 ID:/AL99V5x0]: ニフティ全部黒ってのはデマなんじゃなかったっけ？
745 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:26:10 ID:LOJujChK0]: デマです
なんで平気です
746 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:35:52 ID:DI5tBcbu0]: >>743
メールやウェブ見るくらいなら制限ユーザーでログインするというのも１つの手だよ。
747 名前：714 mailto:sage [2009/05/21(木) 20:47:09 ID:tw/tpoPX0]: >>723
支援ありがと。しかし７２１はGENOスレいるわりには、学んでないなー、
748 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:47:45 ID:KAE/RXQk0]: >>746
なるほどその手があったか　じゃあ管理者の親父が踏まない限り安心だな　っていうか親父にGENOウイルスについて聞いてみたが「そんなウイルス何処で流行ってるの？」と流された　まぁ親父は三次にしか興味ないしねｗ
749 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:50:40 ID:YvOVChDX0]: aviraがうｐデートできないの俺だけ？
750 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:50:42 ID:MuvpYCOm0]: 三次ってw
ウィルスは感染サイトのジャンルなぞ選ばないぜ
751 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:51:10 ID:6NtuQ2nm0]: 多少収まってきたか…
しかし何仕込まれて何されるかわからんから油断できない状況だな
752 名前：192.168.0.774 mailto:sage [2009/05/21(木) 20:56:31 ID:tAeZmN4DO]: >>745
ホッとしました！ありがとうございます。これからエンジョイしてきます

>>746
制限なんとかっていうのはどういったことなんですか？すいません、無知なもんで
753 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:01:11 ID:z/TP2PNi0]: 被害が多発する「Gumblarウイルス」への対策を実施しよう
internet.watch.impress.co.jp/cda/special/2009/05/21/23523.html
754 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:02:19 ID:UH9xILLB0]: >>752
人に聞く前に自分で調べたりしないの？
755 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:02:44 ID:5ZXWqiM40]: >748
ぶっちゃけ「駄目だこいつ、早く何とかしないと……」状態なんで自分で取れる対策
（Flash PlayeやAcrobat Readerのアップデート、重要なファイルのバックアップ等）はやっとけ。
756 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:05:42 ID:DI5tBcbu0]: >>748
親父さんも制限ユーザーで使ってもらったほうがいいかもね。
>>752
とりあえず、「windows xp アカウント管理」のキーワードでググってみてちょうだい。
757 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:12:41 ID:vpHBGRcY0]: >>752
エロサイトにいく際には基本的な対策を怠らないようにな

つぎの質問予想
デスクトップに変な広告が出てきて消えません＞＜
758 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:14:53 ID:tAeZmN4DO]: >>754
申し訳ありません。もっと勉強します

>>756
ありがとうございます
759 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:18:46 ID:6T3iMyEp0]: >>654
実は、メッセージボックスはCtrl+Cで内容コピーできる。これ豆知識な。
760 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:21:07 ID:lZlKzZVJ0]: xpを制限ユーザーで使ってる人って少ないのか?
そんなに不便じゃないと思うんだけどなー
時刻の変更だけは出来るように設定変えたけど・・・
761 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:23:10 ID:+QdHPnsI0]: >>721 >>721 >>721 >>721 >>721うそ

>>747　コレぐらいアンカしとけばいい？
762 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:28:05 ID:isIFtn8E0]: >>761
小林製薬なめんなよ
763 名前：192.168.0.774 mailto:sage;ねみーぞリアルで [2009/05/21(木) 21:32:14 ID:4nCTTxjQ0]: >>740
やすみやすみ手を動かす意向

>>759
７０へぇ
764 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:53:51 ID:FlSfirp40]: >>749
俺はできたよ。
昨日はすげーー重かった。
765 名前：192.168.0.774 mailto:sage [2009/05/21(木) 21:57:36 ID:YvOVChDX0]: そろそろjavaオンにしても平気かい？
面倒でしょうがないんだが。
766 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:00:38 ID:DI5tBcbu0]: >>760
GENOウイルススレ見てても、少なそうだよ。
俺もほとんど制限ユーザー上で作業してるけど、使えないソフトもあるし、ある程度、敷居は高いと思う。
767 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:02:51 ID:43Ar21pW0]: スレの流れが穏やかになったな。
768 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:04:44 ID:Yrwr0eOI0]: >>765
Javaはいいんじゃないか。今回の件には一応無関係
JSは自己責任で
769 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:05:13 ID:oS1FR0qI0]: >>172
WinXPの仮想環境無いのでWin2Kの方の結果だけど、userグループ（XPの制限ユーザー）で実行した場合はこんな感じ。

・ウイルスのexeファイル実行　→　可能（実行される）
・レジストリの改変　→　行われない
・ウイルス本体ファイルの作成（レジストリに登録される方のファイル）　→　行われない
・sqlsodbc.chm　→　作製されない。（最初に存在しないWin2Kの場合）
・元のexeファイルの自己消去　→　行われる
・実行後に再起動した後、AntiVirでウイルスチェック　→　何も検出されない

なんで、やった感じでは実行失敗してbatファイルだけ起動，証拠隠滅して逃げたように見えますね。（苦笑
userでも消去用のbatファイルが実行されて証拠が消える所は、結構気を使っているのかな、と思いました。

ということで、絶対の自信はないけど、制限ユーザーで使っていれば一応安全じゃないかと思います。

あと、おまけでpdf，exe，本体の現状の検出状況（先程再解析），5/17に配布されていたものに対して
　pdf - www.virustotal.com/jp/analisis/c24bba8da597bb169cb1330506fb80b9 (19/39)
　exe - www.virustotal.com/jp/analisis/7d27befbc1b7539f89db0928e467dade (28/40)
　本体 - www.virustotal.com/jp/analisis/125fc6c8da09a089429ddb55bf465652 (22/40)

本体検出できるベンダー、かなり増えました。　昨日の時点から、BitDefenderが検出できるようになったのは大きいかも。

※ VTで検出できなくても実際には検出できるベンダーもある（データベース更新のタイムラグや、
　　エンジンのバージョンの違いで起きる）ので、VTは参考程度にお願いします。（VTを絶対視しない）

追記）　個人的には、次の攻撃サイトができるとしたら今回も週末じゃないかと思いますので、一応まだ注意は必要かと。
770 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:21:17 ID:DI5tBcbu0]: >>769
検証乙です！大丈夫だろうなぁと思っていても、実際に確認してもらえると、安心です。（絶対ではないですけどね）
771 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:27:55 ID:RmyUSDtkO]: ウイルス元のサイトが止まってるから今は平気だとかなんとか聞いたけど、だから流れ穏やかなのかな？
でもまだ怖いことには変わりないよなぁ…
アンチウイルスソフトが全体的に駆除まで対応してくれるようになったら安心できるかな
772 名前： ◆XcxlmnqGqU [2009/05/21(木) 22:30:10 ID:d4fMVs60P BE:471783825-2BP(44)]: >>769
すみません検体もらえますか?
773 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:46:53 ID:DqsQKmEA0]: >>772
アホか。ウイルスの再配布要求してどうするよ。

例外を除いて、不正指令電磁的記録の作成・所持・配布が罪になる法律ってGOサイン出たんだっけ？
取り敢えず、アウトー。
774 名前： ◆XcxlmnqGqU [2009/05/21(木) 22:50:56 ID:d4fMVs60P BE:1415349656-2BP(44)]: >>773
研究と過失は対象外

　例えばウイルス除去ソフトやウイルス対策ソフト用ウイルスパターンを作成する研究のために、
自分のコンピュータでウイルスを実行させるケース、そのために保管するケースなどは、改正案で処罰の対象になるか。

　刑法の用語として、「人の」と記載されている場合、これを「他人の」と読み替えることが一般的である。
そのため、「人の電子計算機における実行の用に供する目的」とは、
いわば「他人のコンピュータでウイルスを実行させる目的」という意味になる。

　それなら、はっきりと「他人の」と、あらかじめ法律に明記しておけばいいのだが、こうした法律の世界の悪習は、
残念ながら捨て去られることなく、今回の法案でも放置されたままである。困ったものだ。

　その点はともかくとして、こうした目的がない場合には処罰の対象とならない。このため、前述のような研究のための行為は、
この目的がないことになり、処罰の対象から除外される。

　また、対象はすべて故意犯であり、過失は処罰されない。感染したサーバーの管理者が、
不注意で他のコンピュータに感染を拡大させてしまった場合でも、処罰の対象にならない。

ttp://itpro.nikkeibp.co.jp/article/Watcher/20060306/231817/
775 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:51:23 ID:CxKNZtih0]: お前らなんでも知ってるんだな
776 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:53:38 ID:vpHBGRcY0]: >>765
Javaはまあ今回のとは関係ないけどJavaScriptだとしたら
Genoだけの問題じゃないから日ごろからFirefox+NoScriptのが安全だよ
777 名前：192.168.0.774 mailto:sage [2009/05/21(木) 22:55:31 ID:lZlKzZVJ0]: >>774
> 　また、対象はすべて故意犯であり、過失は処罰されない。感染したサーバーの管理者が、
> 不注意で他のコンピュータに感染を拡大させてしまった場合でも、処罰の対象にならない。

GENOさん、大勝利！
778 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:00:51 ID:LXDySYKX0]: >>777
その結果ウイルス名になったんだけどなｗ
さすがだぜGENOさん
779 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:04:31 ID:4b52MDP40]: さすがGENO！　おれたちにできない事を平然とやってのけるッ　
そこにシビれる！　あこがれるゥ！（AA略）
780 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:05:49 ID:gJ6yueXV0]: >>765
平気もなにもブラウザのJavaScriptならもともと切る必要はなかったよ。
切っておく必要があったのはAdobe ReaderのJavaScriptの方。
781 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:11:48 ID:2O8F+czw0]: 検体出せ／よこせとか言ってる奴は無条件でNG対象だからな
782 名前：769 mailto:sage [2009/05/21(木) 23:17:35 ID:oS1FR0qI0]: >>772
検体は、セキュ板の検出スレに行けば入手できます。私が提出している分もそっちに書き込んでます。
とは言ってもdat落ちしてますので必要なところだけ（行数削減のためです）転載しておくと、

【鑑定目的禁止】検出可否報告スレ10
pc11.2ch.net/test/read.cgi/sec/1235459712/954
> 954 名前：699[sage] 投稿日：2009/05/17(日) 14:21:54
>
> martuz.cn新種（2009/05/17版）相変わらずVTの判断ではほとんどスルー。
> ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=328
> 　DL virus／解凍 virus
>
> martuz_cn_id2_20090517.pdf
> 　www.virustotal.com/jp/analisis/d0f152cbbb8243f084d05485a3d7c3a6 (2/40)
> martuz_cn_id10_20090517.exe
> 　www.virustotal.com/jp/analisis/7e25c8d2c3766206c20482234449894d (3/40)

pc11.2ch.net/test/read.cgi/sec/1235459712/963
> 963 名前：699[sage] 投稿日：2009/05/17(日) 21:47:56
>
> >>954
> ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=329
> 　DL martuz／解凍 infected　　※ 注意喚起のため、いつもと違います。
>
> え～、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
> 作成されるファイルを仮想PCで確保してみました。
> ベンダーに提出するかどうかの判断は各自にお任せします。（一応、KasperskyとAVIRAには送ってあります。）
>
> muvl.exe　(元の名前 muvl.nug) - ランダム作成らしい。
> 　www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1a (2/40)
>
> sqlsodbc.chm - ただのダミーファイルです。（中身は無意味なテキストと空白）
> 　www.virustotal.com/jp/analisis/395c9f2d6d6d38525fb24b3722664bfa (0/40)

mubl.exeの方は中身が微妙に違いますが、mwgpedu.tya同様 5/17のexeを実行した時にできたファイルなので
検出結果は同じになります。（逆に、同じになることがわかっているので、検出スレには提出していません）

それで、検出スレの方々はみんな承知で扱っているので誰も取り扱いに注意喚起していませんが、念のためここでは書いておきます。

検出スレに出てくるマルウェアは新種が多いので、セキュリティソフトをスルーする（検出できない）ものが多く入っています。
一発間違うと簡単に逝きますので、取り扱いには十分な注意をお願いします。（今回のgumblar関係もそうですが
仮想環境で試しても、セキュリティソフトを簡単にすり抜けて感染するものが結構あります。　検出可否スレは、そういうものを
分担して各ベンダーに提出し、各ソフトの検出力アップに少しでも役立とう、という趣旨のスレです。）

また、自分が持っているファイルがウイルス（マルウェア）かどうか知りたいだけなら、検出スレに出さず、
Virustotalに投げてください。→ www.virustotal.com/jp/
783 名前： ◆XcxlmnqGqU [2009/05/21(木) 23:17:57 ID:d4fMVs60P BE:754852782-2BP(44)]: >>781
純粋に来たるべき第四のGENOウイルスの発生に備えて解析して対策をサイトにのせたいだけですけど
他の人が間違って落とさないように送信先メールも出してるじゃん！
784 名前： ◆XcxlmnqGqU [2009/05/21(木) 23:19:52 ID:d4fMVs60P BE:943566645-2BP(44)]: >>782
Thanks a lot!!!!
785 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:24:17 ID:aRc7vVf8O]: 先生とAvast二つ入れちゃ駄目ですかね？
786 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:24:22 ID:FHML1wdv0]: >>780
いや、htmlのJavaScriptが動かないならその先のadobeも動かないんだから無意味ってワケでもないんじゃね？

>>765
どーしても心配ならJavaScriptのeval関数だけ止めればいいよ
787 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:25:04 ID:2JyyvMnb0]: >>780
マジで！？
Adobeとブラウザ両方じゃなかったっけ？
ブラウザのほうは念のため、だったっけか
788 名前：769 mailto:sage [2009/05/21(木) 23:31:01 ID:oS1FR0qI0]: >>770
プロが解析している訳じゃなくて、あくまで仮想環境で一個人が検証しただけだから、それだけで安心されても
困るけど、誰も検証してないよりはマシってことで。（苦笑

>>773
や、それを理由に検出スレが潰れたら、結構面倒なことになるな。(苦笑

検出スレで出てくる検体をベンダーに提出した場合、結構な割合でベンダーが確保していない
検体であることが多いらしい。　『新種のマルウェアでした。協力感謝(英語意訳) 』っていうメール良く来るし。

マメに検体を提出してる人って少ないみたいなんで、意外とベンダーの役には立っているっぽい。
789 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:42:32 ID:gJ6yueXV0]: >>786
もちろん無意味ではないけど、ブラウザのJavaScriptは本当に必須でない限りは
なるべく切らないで済む方向で対策するのが正しいと思ってる。
790 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:50:49 ID:zyfMix0n0]: 今更だけど、ウェブページがGENOウィルスに感染しているか確認するユーザスクリプト
パスはgeno
www1.axfc.net/uploader/He/so/226944.js

特徴
・avastなどのセキュリティソフトをインストールせずにサイトがGENOウィルスに感染しているか確認できる
・JavaScriptオフでも検知できる
・踏んでからチェックするのでセキュリティソフトやGENOウィルスチェッカーの代わりにはならないが、JavaScriptオフならそれなりに安全に確認できる
・ウェブを巡回するついでにサイトが感染してるか確認、という用途を想定

使い方
・FirefoxにアドオンGreasemonkeyをインストール
・上のリンクからユーザスクリプトをダウンロードして保存
・保存したユーザスクリプトをFirefoxのウィンドウにドラッグ
・Greasemonkeyのダイアログが出るのでインストール
・適当にウェブを巡回してると怪しいサイトで「GENO virus detected」とアラートが出る

仕様
・ウェブページを開いたとき、head要素内にeval、unescape、replaceを全て含むscript要素があった場合アラートを出す
・楽天の広告で一部誤爆するので除外
791 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:53:04 ID:5aSS03DC0]: >>790
外部jsファイルはスルー？
792 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:56:50 ID:f7cbstCp0]: </head>と<body>の間はhead要素じゃないような
793 名前：192.168.0.774 mailto:sage [2009/05/21(木) 23:59:22 ID:zyfMix0n0]: >>791
スルーです
確かzlkon時代はラトビアのサーバから外部jsを読み込んでいたような気がしますが
あらかたgumblar、martuzに書き換えられていると思われるので除外しました
794 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:00:15 ID:W9MI/teu0]: >>788
だから検体提出とかの目的での保持は例外に該当。

◆XcxlmnqGqU みたいな信用のできない個人の要求に応えるために検体提出スレに上げてるんじゃ
ないんだから、そこは突っぱねて欲しかった。少なくとも>>734を見る限りでは、渡していい手合いじゃないと
私は判断した。

>>783
ここはそういうスレじゃないんだ。チラシの裏でも使って一人で解析しててくれ。
795 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:04:48 ID:xGONDtTO0]: >>792
すみません、こちらで感染サイトを確認したところ
head要素の末尾にscript要素を追加している例しか把握できなかったのですが…
head要素とbody要素の間にscript要素が挿入された例があれば教えてもらえますでしょうか
796 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:05:52 ID:JhAtEZrx0]: バスターさんパネェっす！
メールで「バスターはJSRedir-R（GENOウイルス）に対応してるか？未対応か？」
と質問した方より結果報告。とりあえず誰か日本語に訳して下さい

299 ：トレンド ◆NXK3myBI0w ：2009/05/21(木) 22:03:16 ID:c9Tb1G8Z0
回答に関係する部分だけそのまま転載します。
URLは一応h抜きます。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
トレンドマイクロ・ウイルスバスタークラブセンターです。
弊社製品をご愛用いただき、誠にありがとうございます。

お問い合わせいただいております現象につきまして、現在お客さまにより
ウイルスが検出されないとのことで、このままでご利用になっていただいて
よろしいです。

また、以下手順にて「URLフィルタ」機能を有効にしてください。

-----------------------------------------------------------
　　　　■　URLフィルタ設定を変更するには　■　
-----------------------------------------------------------

(1) タスクトレイのウイルスバスターアイコンをダブルクリックし、
　　メイン画面を起動します。

(2) [フィッシング詐欺/迷惑メール対策] カテゴリをクリックします。

(3) [URLフィルタ（Webアクセス規制）]項目→「有効」→[設定] をクリックします。

(4) [URLフィルタを有効にする] チェックを入れてください。

詳細な操作手順は以下内容をご参考お願い申し上げます。

【「URLフィルタ」機能を有効/無効にするには】
ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2062508&id=JP-2062508
797 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:09:13 ID:iYO7AVxG0]: まだバスター半年残ってるお・・・
798 名前：769 mailto:sage [2009/05/22(金) 00:10:43 ID:JuszYnfT0]: >>794
うーん、信用できんかなぁ。

◆XcxlmnqGqUさんは、今回のgumblar/geno関係のスレで他板も含め結構活発に活動されてますよ？
記憶違いでなければ、いずこかのまとめサイトの管理人さんだったはずです。(どのサイトまでかは確認してませんが)

それに、googleで検索すれば検出スレは結構簡単に出てきますし、検出スレが見つかればロダも簡単に
見つかるので、隠す必要もない気がします。（そこには過去の検体まで全部残っているわけですし）
799 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:12:23 ID:mT4uGI520]: >>796
・・・回答者（バスターの中の人）は日本人か？
800 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:12:41 ID:HKjFbV920]: 本気で自分もバスターから別のに乗り換えようかな…

◆XcxlmnqGqUさんってGENOウイルスチェッカーの方だったような気が。
801 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:14:12 ID:mT4uGI520]: >>797
お前はまだいいよ
俺なんかあと3年（12.5.31期限）だぜ？

orz
802 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:16:35 ID:W9MI/teu0]: >>795
</head>の後ろではなく、<body の直前に挿入しているように見える。

</head>の後に改行等が入っていても、<body>の方にスクリプトひっついてるし。
803 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:18:27 ID:9z1F8D4z0]: >>798
◆XcxlmnqGqUが個人でググって検出スレ漁るのはどうでもいいが
何も知らない初心者がいるようなスレにリンク貼るなよ
804 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:24:18 ID:+vezWg2O0]: 俺もバスター半年残ってるけどもういい
セキュリティソフトなんてどれも同じだと適当に決めた自分への授業料だと思うことにする
805 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:29:39 ID:PPw6s2HN0]: hostsと同じ回避方法として、ウイルスバスター2009のフィッシング詐欺対策
を有効にして「禁止するWebサイト」に登録する方法もある
登録例
httｐ：//zlkon.lv/*
httｐ：//gumblar.cn/*
httｐ：//martuz.cn/*
全ての.cnや.lvを禁止するには
httｐ：//*.cn/*
httｐ：//*.lv/*

感染サイトのJSが、ドメインで飛ばす物ではなく
IPで飛ばすJSの時はそのIPアドレスを登録する
例 httｐ：//95.129.145.58/*

これだけでも効果的だが
更に、FWで広範囲のIPアドレスを塞げば防御率も高まる
806 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:31:15 ID:PPw6s2HN0]: 同人のまとめサイトのウイルスバスター2009のFW設定で、
”3.「プロファイルの詳細設定」ウィンドウの「例外ルール（プロトコル）」タブをクリック”と、

プロトコルの設定が記載されているが、例外ルール（プログラム）側にIEがデフォルトで登録されているので
IEを使う場合は例外ルール（プログラム）側に入れないとIPブロックが機能しない

FW設定で
「方向」→受信（送信でも同じ設定を作る）

とあるが、今回のGENOは「方向」→送信
だけでも機能すると思われる
807 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:31:18 ID:W9MI/teu0]: >>795
追記：>>792さんは、>>790の「head要素内に」という表現に突っ込んでるだけかと。
　　　　「head要素の後ろに」とか「body要素の直前に」と書けば解決する。

なお、手元のサンプルを適当に漁ってみたら、下記のようなサンプルを確認した。
この場合、「head要素の直後」という表現にしたらちょっとおかしいですね。
きっと、作成時にコピペしてゴミ残しちゃったんだろうな（苦笑）

<head>
本物のhead要素
</head>

<head>
</head>

スクリプト<body ～>

>>798
>うーん、信用できんかなぁ。
その辺は、個人の判断かもしれませんので、信用に足る人物だと思われるのなら否定はしませんが、
本体の解析ができるようなスキルの人には思えません。

そんなことはさておいて、>803の意見は全面的に同意。検体の扱いは、もうちょっと慎重にね。
808 名前：769 mailto:sage [2009/05/22(金) 00:32:52 ID:JuszYnfT0]: >>803
やれやれ、とんだお邪魔をしたようだ。　気を悪くしたのなら申し訳ない。

情報交換するのにも苦情が出るようでは、このスレに書き込む意味も無さそうなので、引っ込むことにします。
809 名前：769 mailto:sage [2009/05/22(金) 00:36:18 ID:JuszYnfT0]: >>807
>806にも書いたけど、このスレですら配慮しろと言われるのでは、情報交換の場として使い辛い。

セキュ板が機能しなくて住人が多く来ていると予想していたが、どうもそういう感じでもないので引っ込みます。（苦笑
810 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:39:08 ID:xGONDtTO0]: >>792 >>802
なるほど、ソースを確認したところ確かにそうですね…

ですが、実用上は問題ないと思われます
どうもFirefoxはhead要素とbody要素の間にあるscript要素については
head要素の子要素としてパースされるようです(Firebug調べ)
実際に試してみましたが、head要素とbody要素の間に挿入されたscript要素については現在のコードで問題なく検出できます

>>807
よろしければURLかコードを教えてもらえますでしょうか？
811 名前： ◆XcxlmnqGqU [2009/05/22(金) 00:41:43 ID:9qFrAbkjP BE:943566645-2BP(44)]: ごちゃごちゃと取り巻きが五月蠅いですね
多くは語りませんが2ちゃんねるってこういう何がしたいんか分からない人がよく沸きますね
まあ何か文句があるならメールでお願いします

>>808,809
私のせいでこんなことになってしまって
ホントすみません
812 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:44:19 ID:W9MI/teu0]: >>810
p://www■kma-japan■com/MAILFORM/order■html

サーバー管理者経由で、HP管理者宛に連絡済みです。

ここは妙なことに、全てのページではなく、感染コードが入ってるのが一部のページだけでした。
他の感染サイトは、外部からバッチで書き換えられているのか、全てのファイルにスクリプトが
挿入されてたんですけどね。
813 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:45:35 ID:gitsayf+0]: >>811
あなたの事疑ってる人は同人スレ住人だと思います
検体という言葉の意味をよく知らないくせに過剰反応して某スレでも揉めていました

>>809さんも気になさらないでここにいてください
814 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:49:15 ID:aVh0AvYN0]: 同人スレの奴らは本当酷いよな。
怪しい情報でも何でもかんでも流しまくって煽りまくってる。
815 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:50:02 ID:2m/hk/s40]: >>811
チェッカーでいつもお世話になってます。
一言お礼を。ありがとうございます！
816 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:52:21 ID:vCSyuUek0]: ID変えても口調変わってないからバレバレだぞ
817 名前：192.168.0.774 mailto:sage [2009/05/22(金) 00:57:23 ID:9z1F8D4z0]: 情報交換とかIRCでやってりゃいいだろ
なんでバスターの質問で埋まってるスレでやるんだよ馬鹿か
818 名前：192.168.0.774 mailto:sage [2009/05/22(金) 01:01:47 ID:zCBZxqV40]: >>811
どんなツール使って解析してるんですか？
819 名前：192.168.0.774 mailto:sage [2009/05/22(金) 01:02:26 ID:xGONDtTO0]: >>812
どうも既にそのページは修正されているみたいですね…
ローカルで>>807の状況を作ってみたんですが検出は問題なく行えました
とりあえず現状のコードで対応できると思います

不具合もあると思うんで、また何かあったらツッコミお願いします
820 名前： ◆f/iQdjPxCM mailto:sage [2009/05/22(金) 01:04:38 ID:p4PtKNk+0]: >>803の「何も～」にも、>>808-809の「情報交換～」「セキュ板が～」にも、
どちらにも肯ける半端者の俺。
そろそろいーかげん、再移動が必要なのかもね。

もう見てない気もするけど。
>>808-809
こっちも一本目の頃はまだしも、もう大分アレな状況ですやね。
理想的にはおっしゃるように情報交換ができるようにあれかし、だったわけですが、
実際にどうかを、流し読み程度ででも確認してからなら、
ブツの性質上もうちょっと慎重になられたのではないかと。
821 名前：192.168.0.774 mailto:sage [2009/05/22(金) 01:09:47 ID:pwpKS6Xg0]: ◆XcxlmnqGqUの
検体くれ、送信先メールも出してるじゃん！
にイラッとした。
822 名前：192.168.0.774 mailto:sage [2009/05/22(金) 01:13:45 ID:nqrraO7J0]: 769が煽る事になるタイミングで　（苦笑　をつけてるところにイラッとした
823 名前：192.168.0.774 mailto:sage [2009/05/22(金) 01:16:33 ID:aVh0AvYN0]: お前らカルシウム足りてねーよ。
824 名前：192.168.0.774 mailto:sage [2009/05/22(金) 01:21:14 ID:pwpKS6Xg0]: >>822
そこはムカッとした。
825 名前：192.168.0.774 mailto:sage [2009/05/22(金) 02:07:52 ID:tKaWvzvh0]: どうでもいいけどウィバスの対応メールどう読み返しても理解できない。
826 名前：192.168.0.774 mailto:sage [2009/05/22(金) 02:37:56 ID:mT4uGI520]: ウィバスなんて略し方してる奴初めて見た
827 名前：192.168.0.774 mailto:sage [2009/05/22(金) 02:46:55 ID:2m/hk/s40]: ウィバスって何ぞ？
828 名前：192.168.0.774 mailto:sage [2009/05/22(金) 02:49:35 ID:bGlTQ5mK0]: ウィバスは初めて聞いた
斬新だな
829 名前：192.168.0.774 mailto:sage [2009/05/22(金) 02:54:50 ID:lAyMQw7IP]: ウィイレみたいな
830 名前：192.168.0.774 mailto:sage [2009/05/22(金) 02:56:32 ID:fM81HjIp0]: うぃー感じに冷めたバス入ってくるﾉｼ
831 名前：192.168.0.774 mailto:sage [2009/05/22(金) 04:16:38 ID:d3HnUz6J0]: セキュ板が話になんない状態の中，ここはありがたかった．
しかし，ここももうダメみたいだな('A`)
832 名前：192.168.0.774 mailto:sage [2009/05/22(金) 05:54:56 ID:/YuUAf8N0]: >>599
目に見えない何かと戦ってる人おはようございます
アトランティスの戦士とは出会えましたか？
833 名前：192.168.0.774 mailto:sage [2009/05/22(金) 06:18:47 ID:/uHRKq+M0]: あのメールのダメっぷりからするとどう考えても
ウィンドウズバスターの略だろう
834 名前：192.168.0.774 mailto:sage [2009/05/22(金) 06:45:52 ID:rsFCcgRF0 BE:662670645-2BP(0)]: そろそろ、実質的に、｢次の攻撃待ち｣になってるか (皮肉な。来るに決まってるんだから。)

踏みたい奴とか、覗きたい奴とか、検体クレクレは、こっち移動しとくか？
内輪もめもほどほどにしとかんと、攻撃側に笑われるわ

あやしいファイルを実行するスレ 2層目
pc11.2ch.net/test/read.cgi/sec/1227543474/

※検体クレクレは、希望が通るとかはぎらないが、真剣なら発言は可能ってくらい
835 名前：192.168.0.774 mailto:sage [2009/05/22(金) 09:30:56 ID:IMFk77240]: この騒ぎも収束に向かいつつあるようですが、
jsについて詳しい人がいるようなので、今後の為にちょっと質問させてください。
朝から長文すいません↓

GENOウイルス関連のスレッドには、テンプレの一部に
「（新手のウィルス対策の為に）NoScriptを導入してください。」と書いてあります。
ブラウザのスクリプトを切る方法は他にもあるのに、わざわざNoScriptを導入するってことは、
そのページ内のスクリプトの一部を発動させたいというニーズもあるようです　・・・でも、そこでギモンです。
■そのサイト内に悪意のあるスクリプトがあれば、NoScriptでそれが分かるのでしょうか？

----以下、うまく説明できないので具体例です-----

これがNoScriptでスクリプトを許可する操作ウィンドウの画像なのですが・・・
https://addons.mozilla.org/en-US/firefox/images/p/846/943948800
いま自分が"悪意のGENOスクリプトが仕込まれてしまった"正規のサイト（この画像の）secunia.comにいるとします。

↓A↓
画像を見る限り怪しげなスクリプトには見えないので、
いつも通りにsecunia.com や secunia.com　を許可したら最後！
悪意のGENOスクリプトが発動してgumblar.cnとの通信が始まってしまう！

それとも、

↓B↓
gumblar.cnへのスクリプトが仕込まれていた場合には、
この2つの選択肢の他に、ちゃ～んとgumblar,cn　を許可
（もしくはやけに長い名前で難読化されたgumblar.cn）を許可
という選択肢をNoScriptが与えられるから、それを許可しなきゃ大丈夫！（だとしたら感染サイトの判定に使える？）

Bであれば安心なのですが、jsのことが全く分からないので不安です。
このウイルスを報じるIT系のニュースサイトでも、感染防止策としてNoScriptの導入を薦めているところがありました。
多少のリスク低減はあっても、実質運任せの方法をお勧めはしないだろう・・・と思ったのですが、

もともとサイトにあった既存のjsにgumblar.cnへの直行コードが仕込まれている！　といったやりとりを
どこかのスレで読んだような気がしました。
そして、だったらNoScriptでは判定できなさそう！！　という素人の予測を拭いきれず、混乱している状態です。

そのあたり、お分かりの方がおりましたらコメントをください。
Mozilla NoScriptアドオンのページ↓
https://addons.mozilla.org/ja/firefox/addon/722
836 名前：192.168.0.774 mailto:sage [2009/05/22(金) 09:32:45 ID:YGxiZT9U0]: （苦笑←これ使うやつって性格が悪いやつが多いんだよな、俺の経験上だが。
837 名前：192.168.0.774 [2009/05/22(金) 09:38:44 ID:sMo6AOvx0]: >>835
ニュースサイトってほとんど2ちゃんソースのゴミばっかだから普通のまとめとか、チェッカとか見るだけでおｋ

zlkonに関しては回答はAですが、martuzは俺が見た限りではB。解析対策としてクッキーを発行させてる感じ…

NoScriptとかマジ糞不便極まりないから

　 (Operaでflashオフにするのも有効です([F12]を押す→[プラグインを有効にする]のチェックを外す。
　 Javaも切っとくともっと安全([F12]を押す→[Javaを有効にする]のチェックを外す)
　そのアタリが比較的楽に設定できる上にJavaScriptを犠牲にする必要がないOperaはお勧め

これでおｋ。てかこれが最強
JavaScriptだけではちなみに何もできない。せいぜいブラクラ

>>836
苦笑とかリアルで使っちゃう友達がいることに同情するわ
てか誰にレスしてんだよボケ
838 名前：835 mailto:sage [2009/05/22(金) 09:38:51 ID:IMFk77240]: >>835
の最後から3行目

>そのあたり、お分かりの方がおりましたらコメントをください。
は、
NoScriptアドオンのページではなく、このスレッドにお願いします。　という意味ですスイマセン。
839 名前：192.168.0.774 mailto:sage [2009/05/22(金) 09:55:29 ID:rsFCcgRF0]: 俺はFxは食わず嫌いしてる(アンチではない)から、正確な意味がわからんのだが、
なにかにつけ、NoScriptはweb経由の攻撃の対策にあがってるのをみかけるし、
今回に限らず、こういうのなんかいれとけって意味に取ってるんだが、浅い理解としてはこれでいい？
840 名前：192.168.0.774 [2009/05/22(金) 09:57:35 ID:sMo6AOvx0]: >>839
>>837
841 名前：835 mailto:sage [2009/05/22(金) 10:06:08 ID:IMFk77240]: >>837
さっそくの回答ありがとうございます。

・・・ということは、
zlkonの場合、NoScriptで一見安全に見えるスクリプトだけを選別して発動許可しても、
その行為そのものが2度手間となるだけで、問題のスクリプトはしっかり発動。
穴だらけの風邪予防マスクをしているのと同じくらい無駄ってことですね・・・。

嫌な結果でしたが、本当のところが分かったので質問して良かったです。
ありがとうございました！！

あとは、新たなウイルスへの感染予防策として「NoScriptの導入」を薦めているIT系ニュースサイトの記事が
偽の安心を得るだけのミスリードにならなければ良いのですが・・・。
842 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:06:34 ID:Y9O1O2d80]: 837=769
843 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:08:12 ID:DsrUeRsBP]: 火狐使いじゃないけど、俺ならNoScriptよりPrefBar使うな
分かる人ならProxomitron辺りが安全なんじゃないのかな
844 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:17:15 ID:NIebWXQX0]: 全タブ一括制御のPrefBarはセキュリティ的には役立たず
NoScript+Tab Permissionsが最強
845 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:18:52 ID:hW3CCK/J0]: フィルターをつくろか思った人がいたけど
説明するのがめんどくさいといってやめた人がいた。
846 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:20:04 ID:hW3CCK/J0]: 845は、日本語がおかしい。
フィルターをつくろうと思ったんだけど
説明するのがめんどくさいといってやめた人がいた。
847 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:23:40 ID:rsFCcgRF0]: >>840
んーあーいやちょっとまった、対策したいんじゃなくてだな、
なぜNoScriptの名が挙がってるのかというかだな

なにしても、うっかりすると侵入されちゃうもんだ
砂箱系を、どれでもなんかいれとくと便利
俺の使ってる奴も、設定ひとつで箱内感染が防げたし
砂箱は併用で最強。

※いっぺん、設定画面でできるの忘れてて、レジストリいじらないといけないってウソつきましたｺﾞﾒｿｗ
848 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:34:35 ID:DsrUeRsBP]: >>846
そうか、惜しいな
作るのはともかく使うのは簡単な気もするが、質問多くなりそうだもんな
849 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:45:52 ID:xgbQbsd90]: そのへんのあれで>>68の

２．使用しているブラウザのJavaScriptをオフにする。※これ重要
　（FirefoxならNoscript導入が便利）

に変えようという話だったんだよね（前スレで）
Noscriptの名前まだ入ってるけど
850 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:49:21 ID:OMOPP9BQ0]: BlockSiteというアドオンで*martuz.cn/*登録してた
851 名前：192.168.0.774 mailto:sage [2009/05/22(金) 10:58:15 ID:DsrUeRsBP]: ドメイン弾きとかって、なるべくブラウザ依存にさせない方がいいと思うんだ
852 名前：192.168.0.774 mailto:sage [2009/05/22(金) 11:03:05 ID:xgbQbsd90]: >>796
ウイルスバスターのチャットサポートで聞いた人がバスタースレにいたよ

162 名前：192.168.0.774　[sage]　投稿日：2009/05/22(金) 10:37:07 ID:icH3Cgbg0
>>147
>Ｑ：「バスターはJSRedir-R（GENOウイルス）に対応してるか？未対応か？」

GENOウイルス（通称）に御社は対応済みか？
チャットで訊ねたら、「GENOウイルス（通称）について詳しく教えて下さい」だって。
色々やり取りした結果、全く把握していなかった・・・。

俺：そうですか、もういいです。有難う。
オペレーターが悪かったのかどうかは知らんが、一週間前に問い合わせた結果がコレ。

自分で出来る自己防衛はしたつもりだが、来年2月一杯で更新だが、PC買い替えの予定。
Win7になっているだろうから、さすがにオサラバしようかなぁ。。。

8年バスター使って来たけどこれはないよな・・・。
853 名前：192.168.0.774 mailto:sage [2009/05/22(金) 11:18:19 ID:cx0d78o90]: >>790
楽天誤爆するんかいな。　replace、unescape、evalのコンボで表示する広告を出してるってことかｗ
854 名前：192.168.0.774 [2009/05/22(金) 11:25:38 ID:cx0d78o90]: >>786
JavaScriptのeval関数だけ止めるってどう設定するん？firefoxのアドオン？

よーわからんが、こんなページをみつけた
sound.jp/antilink_testpage/cut_jscript_includingEval.html
855 名前：192.168.0.774 mailto:sage [2009/05/22(金) 12:05:01 ID:YGxiZT9U0]: Firefoxの拡張機能なら、
NoScriptよりもAdblockや Flashblockの方が使い勝手が良かったな。
地味だがLink Alertも便利だと思う。
リダイレクトで跳ばすページならRedirect Removerかな。
httpsに弱いけれども、ブラウザに依存せず、自分でフィルターが書けるなら、
>>843の通りProxomitronがいいな。
汎用性も高いし。
856 名前：192.168.0.774 mailto:sage [2009/05/22(金) 12:08:49 ID:W9MI/teu0]: UnderForge of Lack に紹介されていた、アナライザーの記事。

Inside the Massive Gumblar Attack
ttp://www.martinsecurity.net/2009/05/20/inside-the-massive-gumblar-attacka-dentro-del-enorme-ataque-gumblar/

名称：Gumblar / Martuz / Geno attack（GENOはいってますｗ）
動作：
　Steals FTP credentials（FTPパス抜き）
　Sends SPAM（SPAM送信）
　Installs fake anti virus（偽アンチウイルスソフトインストール） “System Security 2009″らしいです。
　Highjacks Google search queries（Google検索結果乗っ取り）
　Disables security software（セキュリティソフト無効化）
857 名前：192.168.0.774 mailto:sage [2009/05/22(金) 12:09:10 ID:9Vc0W58m0]: admファイルを作ろうとしてるんだが、↓こんな記述でいいのかね？

CLASS USER

CATEGORY !!L_AdobeReader
CATEGORY !!L_Version9

POLICY !!L_Javascript

KEYNAME "Software\Adobe\Acrobat Reader\9.0\JSPrefs"

PART !!L_Setvalue DROPDOWNLIST
VALUENAME bEnableJS
ITEMLIST
NAME !!L_DisableJavascript VALUE NUMERIC 0 DEFAULT
NAME !!L_EnableJavascript VALUE NUMERIC 1
END ITEMLIST
END PART
EXPLAIN !!L_EnableOrDisableJavascriptExplain
END POLICY

END CATEGORY
END CATEGORY

;;
;; Policies も記述しないとコンソール右ペインに表示されない？よくわからん。
;;
CATEGORY !!L_AdobeReader
CATEGORY !!L_Version9

POLICY !!L_Javascript

KEYNAME "Software\Policies\Adobe\Acrobat Reader\9.0\JSPrefs"

PART !!L_Setvalue DROPDOWNLIST
VALUENAME bEnableJS
ITEMLIST
NAME !!L_DisableJavascript VALUE NUMERIC 0 DEFAULT
NAME !!L_EnableJavascript VALUE NUMERIC 1
END ITEMLIST
END PART
EXPLAIN !!L_EnableOrDisableJavascriptExplain
END POLICY

END CATEGORY
END CATEGORY

*** 分割 ***
858 名前：192.168.0.774 mailto:sage [2009/05/22(金) 12:09:39 ID:9Vc0W58m0]: *** 分割続き ***

[Strings]
L_AdobeReader="Adobe Reader"
L_Version7="Adobe Acrobat Reader 7.x"
L_Version8="Adobe Reader 8.x"
L_Version9="Adobe Reader 9.x"
L_Javascript="Acrobat Javascriptの使用"
L_Setvalue="設定値"
L_EnableOrDisableJavascript="Acrobat Javascript: "
L_EnableJavascript="Javascriptを使用する"
L_DisableJavascript="Javascriptを使用しない（推奨）"
L_EnableOrDisableJavascriptExplain="Adobe ReaderのJavascriptを有効にするか無効にするかを設定します。Adobe Readerの脆弱性を狙った攻撃が増えていることから、AdobeはJavascriptを無効にすることを推奨しています。だったら最初から機能搭載すんなっつー話だよな。"

「おメーこの記述はねーよｗｗｗ」とか突っ込みくれるとうれしい
859 名前：192.168.0.774 mailto:sage [2009/05/22(金) 12:23:04 ID:DsrUeRsBP]: >>857-858
おメーこの記述はねーよｗｗｗ
よく分からんけど、KEYNAMEってそれだけでいいのか？
つーか、admファイルって何だよ！知らないよ、バカ！
860 名前：192.168.0.774 mailto:sage [2009/05/22(金) 12:25:41 ID:xiOU0repO]: ちょっと馬鹿馬鹿しい質問なんだけど

ケーブルを抜いていてネット繋がらない状態
PC｢XP service packを更新しますか？｣
僕｢えっ｣
PC｢自動更新するよ！インストール中だよ！｣
僕｢なにそれこわい｣

これ物理的におかしくね？
861 名前：192.168.0.774 mailto:sage [2009/05/22(金) 12:34:54 ID:3Fv1d3b50]: PC「えっ」
僕「えっ」

回線切る前にバックグラウンドでDL済みだったとかじゃないの？
862 名前：192.168.0.774 mailto:sage [2009/05/22(金) 12:38:42 ID:8XuVXcMN0]: ほんと馬鹿馬鹿
863 名前：192.168.0.774 mailto:sage [2009/05/22(金) 12:52:32 ID:xiOU0repO]: >>861
ありがとうそういうこともあるのか
びっくりした

進行状況動かないｗ
sqlsodbcも再起動も問題なさげ
馬鹿馬鹿しい上にスレチでごめん
864 名前：192.168.0.774 mailto:sage [2009/05/22(金) 13:12:36 ID:9Vc0W58m0]: >>859
グループポリシーでAdobe ReaderのJavascriptのOn/Offを制御しようと思ってるんだ。
admファイルってのはグループポリシー用の設定定義ファイル。

会社組織とかでActive Directory使ってればグループポリシー使って
全コンピュータに設定を反映させるんことができる。
ログオンスクリプトでレジストリ書き換えてもいいんだけどね。
865 名前：192.168.0.774 mailto:sage [2009/05/22(金) 13:16:59 ID:hW3CCK/J0]: 453 名前：名無しさん＠九周年[sage] 投稿日：2009/05/22(金) 01:59:13 ID:p0aStcNr0 (PC)
GENOウイルス感染からの復帰方法
(当方、この対処法について全く確認していません。自己責任でお願いします。)

1.C:\WINDOWS\Prefetch 内を全部削除
2.[Windowsキー] + [R] を押してファイル名を指定して実行で msconfig
3.スタートアップに何も書かれていない行があったのでチェックをOFF
4.regeditを起動して(起動できない場合は command を実行してその中から regedit を実行)
\\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの一番上が (規定) REG_SZ (値の設定無し) になっていることを確認
5.再起動
6.C:\WINDOWS\System32\sqlsodbc.chm を削除　→　復活しないことを確認
7.正常なsqlsodbc.chmに差し替え

4番が起動しませんでした　それでＰＣを感染前の4月の状態に戻し該当ソフトを消してからやり直しました。
866 名前：192.168.0.774 mailto:sage [2009/05/22(金) 13:21:44 ID:9z1F8D4z0]: bleepingcomputerで見つけた
ttp://www.confickerworkinggroup.org/infection_test/cfeyechart.html
発想が面白い
>>864
右ペインで右クリック>表示>フィルタ>完全に管理されているポリシー設定のみ表示します
のチェック外せば真のポリシー以外も表示してくれるだろ
867 名前：192.168.0.774 mailto:sage [2009/05/22(金) 13:25:01 ID:9Vc0W58m0]: >>866
フィルタはずせばいいってのは知ってるんだが、
前述したようにあまり練度の高くない管理者もいるから
あまりイレギュラーな操作させたくないんだｗ

フツーの手順でフツーに設定出来るようにしておかんとな('A`;)
868 名前：192.168.0.774 mailto:sage [2009/05/22(金) 13:58:16 ID:4jz+m+ym0]: ウィルスバスターからアンケート協力要請メールが来た。
いつもは無視するんだけど、今回はどんなことをきいてくるのかと思って
アンケートページに行ってみた。

そしたら入る前の注意事項のところに

＞※送信ボタンを押しても反応がない場合ＪａｖａＳｃｒｉｐｔが有効でありません。
＞　ＪａｖａＳｃｒｉｐｔを有効にしてください。

嫌になって帰ってきた。
869 名前：192.168.0.774 mailto:sage [2009/05/22(金) 14:02:51 ID:HaGrTEWL0]: さすがバスターさんだな
870 名前：192.168.0.774 mailto:sage [2009/05/22(金) 14:17:27 ID:YL7VqX2V0]: バスターさんパねぇっす
871 名前：192.168.0.774 mailto:sage [2009/05/22(金) 14:30:52 ID:sDhC+LB20]: 全てにおいて斜め上、それがバスターさん
872 名前：192.168.0.774 mailto:sage [2009/05/22(金) 14:40:07 ID:qg8sHTPX0]: >>856
げ、FTPパス抜きだけかと思ってたら、SPAM送信や検索結果乗っ取りもありなのか。

検索結果のっとりって、どの程度やらかしてくれるんだろう？
873 名前：192.168.0.774 mailto:sage [2009/05/22(金) 15:07:12 ID:+nPS/UPx0]: 3年契約済みだけど、本気でバスターやめたくなってきた
マジでここまでクソだとは思わなかった。契約料返せばかやろおおおお
874 名前：192.168.0.774 mailto:sage [2009/05/22(金) 15:16:38 ID:xiOU0repO]: 既出かもしれんけど同人板GENOスレの>253が興味深い
875 名前：192.168.0.774 mailto:sage [2009/05/22(金) 15:31:51 ID:wh9vsRqV0]: 一昨日の夜、感染サイト見つけたからIPAに通報しといたんだけどいまだに修正されてない　orz

旅館ふくぜん
//www.fukuzen.com/
876 名前：192.168.0.774 mailto:sage [2009/05/22(金) 15:37:03 ID:pwpKS6Xg0]: >>874
Adobeそっくりなサイトについての情報はだいぶ前からある。
テンプレにあるサイトさんが注意喚起していた。
877 名前：192.168.0.774 mailto:sage [2009/05/22(金) 15:39:51 ID:MJhjqUWcO]: >>860
>僕｢なにそれこわい｣
可愛すぎてふいたww

しかし今週末に第二波がくるのかね…
878 名前：192.168.0.774 mailto:sage [2009/05/22(金) 15:41:01 ID:8XuVXcMN0]: >>856
System Security 2009入れてみた。かなりやっかい。
ペコリッとかいって主要なツール類は実行できなくなってる。
879 名前：192.168.0.774 mailto:sage [2009/05/22(金) 15:47:47 ID:+nPS/UPx0]: >>875
リンクされちゃってますぜ
880 名前：192.168.0.774 mailto:sage [2009/05/22(金) 15:52:11 ID:fKx99qZCP]: >875
こえー

危険度1000%
超絶危険なURLです。友人のPCを壊すのに利用しましょう！
絶対に踏んではいけません。
881 名前：192.168.0.774 mailto:sage [2009/05/22(金) 15:53:42 ID:fKx99qZCP]: ところでサイトに行く前に
先回りして感染を判断する方法はどうやるの？

geno.2ch.tc/

一旦、ＨＰに行かないとチェックできないよね？
882 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:02:37 ID:wh9vsRqV0]: >>879　
ごめん、ミスった。
>>880
ｍａｒｔｕｚ．ｃｎ
はもうpingもう通らなくなってるし実質的には、今のところどうもないっぽいんだけど・・・

気づいてたらファイル差し替えてFTPのパス変えるはずだから、これは気づいてないよね。
ちょっと電話してみる。
883 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:06:40 ID:wh9vsRqV0]: >>881
文法チェッカー使った
www.esitenet.com/htmllint/htmllint.html
884 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:12:16 ID:hW3CCK/J0]: >>881
end.if.land.to/geno.php?url=
これの後に感染サイトのURLくっつけて開いても、自分は感染せずにソース見ることが出来る

ソースちぇき(β版) - ひまぐらま[別館]
ttp://hpg2.me.land.to/srcchk1.html

aguse.jp
www.aguse.jp/

この3つのサイトで感染しているかどうか確かめることが出来る。
885 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:15:02 ID:o75K42vj0]: ブラウザでレンダリングさせずにダウンロードだけすりゃあいいだけだ
886 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:17:55 ID:9Vc0W58m0]: firefox で

view-source:www.yahoo.co.jp

とかでもよくね？
887 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:27:31 ID:NcF4e/jH0]: SCOもありだが最近、負荷がかかってるみたいだからなあ
888 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:29:44 ID:9z1F8D4z0]: 今のところ一番簡単な感染回復法はHijackthisか
>>881
ガチムチな結果が欲しいなら
ttp://wepawet.iseclab.org/
889 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:31:35 ID:tvCqGaKg0]: >>856
こんなにきれいに感染させられなかったな。
spamも送信されなかったし、インチキセキュリティアプリも入らなかった。
Windowsのプライマリ言語が0409かどうかをチェックしてたりするのかな？
いきなり英語でセキュリティ警告されたら怪しすぎるもんな。
890 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:45:48 ID:DCWhD8kF0]: ウイルス作者としては
もっとサイレントキラーの如くこっそりじわじわ広げたかったのかも。
gnomeの人も書いてたけど、成果が上がらなかったというよりは
予想をはるかに上回る範囲と速さで広まって、配布元がパンクしたのかもな。
891 名前：192.168.0.774 mailto:sage [2009/05/22(金) 16:59:32 ID:YGxiZT9U0]: >>875
うわ～思いっきりsrcがビンゴだね。
892 名前：192.168.0.774 mailto:sage [2009/05/22(金) 17:08:49 ID:BuXSUjSW0]: >>856
ん～他で踏んだのが混じってる気がするなぁ。
よくあるインチキセキュリティソフトの押し売りが出るなら
とっくに話題になっている気がするし。
893 名前：192.168.0.774 mailto:sage [2009/05/22(金) 18:02:49 ID:COgfOOJ00]: >>888
Hijackthisでは無理だった
感染前と感染後のログ変わらなかった
894 名前：192.168.0.774 mailto:sage [2009/05/22(金) 18:09:51 ID:g/xTw+ON0]: >>875
初めて感染してるサイトのソース見たけど見ただけで不安になったｗ
895 名前：192.168.0.774 mailto:sage [2009/05/22(金) 18:18:46 ID:DsrUeRsBP]: ふと文法チェックかけたらW3C的にも怒られてて吹いたw
896 名前：192.168.0.774 mailto:sage [2009/05/22(金) 18:22:02 ID:9z1F8D4z0]: >>893
レジストリからマルウェア見つけてHijackthisでdelete file on reboot
そのあとレジストリの登録削除
書き方がわるかったな
897 名前：192.168.0.774 mailto:sage [2009/05/22(金) 18:39:59 ID:2URuOAt40]: ＸＰのIE8だったが感染した。
もう駆除したけど
898 名前：192.168.0.774 mailto:sage [2009/05/22(金) 18:45:27 ID:6XjXrIgp0]: >>897
(・∀・)ﾆﾔﾆﾔ
899 名前：192.168.0.774 mailto:sage [2009/05/22(金) 18:48:26 ID:2URuOAt40]: 感染してadobe消したけど
新しいのDLしても大丈夫？
900 名前：192.168.0.774 mailto:sage [2009/05/22(金) 18:55:18 ID:WFzdRYDP0]: 18日以来の訪問です。
最新の焼きリストをお願いします。＞PG2
901 名前：192.168.0.774 mailto:sage [2009/05/22(金) 18:57:15 ID:tvCqGaKg0]: >>899
どうやって駆除した？
VMに感染させてノートンで駆除してみたけど、かなりひどい有様だったぞ。
人様に害は与えない状態にはなったけど、痕跡残りまくり。
当然書き換えられたchmファイルなんかもそのまんま。
902 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:03:27 ID:2URuOAt40]: GENOウイルス感染からの復帰方法
(当方、この対処法について全く確認していません。自己責任でお願いします。)

1.C:\WINDOWS\Prefetch 内を全部削除
2.[Windowsキー] + [R] を押してファイル名を指定して実行で msconfig
3.スタートアップに何も書かれていない行があったのでチェックをOFF
4.regeditを起動して(起動できない場合は command を実行してその中から regedit を実行)
\\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runの一番上が (規定) REG_SZ (値の設定無し) になっていることを確認
5.再起動
6.C:\WINDOWS\System32\sqlsodbc.chm を削除　→　復活しないことを確認
7.正常なsqlsodbc.chmに差し替え

4番が起動しませんでした　それでＰＣを感染前の4月の状態に戻し該当ソフトを消してからやり直しました。
903 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:05:31 ID:2URuOAt40]: >>901
geno.2ch.tc/
下から３行目に正常なsqlsodbc.chmがある
904 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:08:31 ID:2URuOAt40]: >>901
[Windowsキー] + [R] を押してファイル名を指定して実行で msconfig　システムの復元

感染前の状態に戻してから駆除したんです
905 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:09:15 ID:yk0ui3ZS0]: アフィ必死だなー
906 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:13:17 ID:HsQRy0sq0]: GENOウイルスチェッカーと感染サイトリストって同じ人がやってんの？
907 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:20:05 ID:tvCqGaKg0]: >>903
いや、俺はどれくらいまともに駆除できるのか試しただけだから。

>>904
なんかいらんものが残ってそうな気がするけど、レジストリとシステムファイルが
戻ってれば悪さはしないだろうからいいのかな。
908 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:39:21 ID:2URuOAt40]: しかし・・・adobeだけは許さん
これ電話して駆除しに来いって言いたいわ・・・マジで
909 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:46:38 ID:bGlTQ5mK0]: Adobeが悪くないとは言わないけど
自分が更新しなかったことを棚にあげて他人のせいにする男の人って・・・
910 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:47:25 ID:83wyJvSD0]: アマゾン感染てマジ？
911 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:48:46 ID:z0eCuvWV0]: adobeは「Macユーザーには関係ないもんねー♪」と鼻糞ほじってそう
今やWindowsユーザーの方が多いにも関わらず
自分ところの面倒見切れないならFLASH PlayerもReaderも買収すんな
M$以上に糞だな
912 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:51:28 ID:+nPS/UPx0]: >>910
どこソースだ？
913 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:52:43 ID:tfiYqEYR0]: どこどこが感染してると聞いたら、噂として流す前に
ソース見ろよ。情報源じゃなくてね
914 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:52:52 ID:wqJPx+Xy0]: >>878
Win Antivirus系統か？
面倒なマルウェアらしいが初めて知ったときには笑ったな
律儀に毎年最新版出してるってのがすごいｗ
915 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:55:26 ID:tfiYqEYR0]: amazon.co.jpトップページは問題なし
916 名前：192.168.0.774 mailto:sage [2009/05/22(金) 19:59:51 ID:YGxiZT9U0]: >>914
だな。
その熱意があるなら本物のセキュリティソフトを作れとｗ
917 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:16:38 ID:BuXSUjSW0]: Fakeなアンチウイルスはサイバー犯罪集団の主力商品ですよ。
バイアグラだのシアリスだのちんぽがでかくなるだののSPAMや
オンラインゲームのアカウントハック(→RMT)より儲かるし、
本気で警察に追われる銀行やクレカのフィッシングよりは安全だしね。
918 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:28:30 ID:OPO++wJ+O]: >>884
現段階では、aguseやgredあたりは「safe」判定出しちゃうからあてにできないね。

ところでGoogle先生の力を借りて、改竄サイトを1ダースほど見つけたんだが、
通報するとしたらどこ？プロバイダ？ IPA？

いくら現状でgumblarとmartuzが落ちてて、改竄サイトからの感染が広がらないと
言っても、FTPのアクセス権が取られているんだから、
再び改竄されて新手の攻撃手段にされちゃう可能性はあるよね？

感染サイトリンク集は放置状態だから、URL晒すのがためらわれる・・・
919 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:35:31 ID:rSelSxuhO]: 純粋に質問。
詳しい知識は皆無なので物凄くズレてたら指摘して欲しい。
要するにブラウザとadobe readerのjava script切っときゃ平気、って事じゃないの？
920 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:39:50 ID:yk0ui3ZS0]: Q1 誰でも感染するの？
A1 いいえ、readerが最新バージョンなら平気です

Q2 感染確認方法は？
Q2

Q3 感染してた。どうすればいい？
Q3 クリーンインストール
921 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:42:34 ID:a89mYcYN0]: >>919
フラッシュとアドビリーダーの脆弱性も使っているからアップデートしないとだめ
922 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:46:02 ID:sqha3bx50]: readerが最新バージョンなら感染しないの？
923 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:47:32 ID:ouAw4jE50]: 最新版にするかアンインストールする
924 名前：919 mailto:sage [2009/05/22(金) 20:52:29 ID:rSelSxuhO]: >>921
つまりreaderとflashplayerアップデート＋java script切っとけばOKってことだよね？

確認厨ですまない…
925 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:55:02 ID:WEjjFkCg0]: >>904
system volume informationに潜むウイルスもいるから
俺なら再インストールする
926 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:57:01 ID:WEjjFkCg0]: >>920
質問に対して質問で返すのかｗ
927 名前：192.168.0.774 mailto:sage [2009/05/22(金) 20:57:40 ID:OWgTkTvQ0]: >>926
めんどくさくなったんだろｗ
928 名前：192.168.0.774 mailto:sage [2009/05/22(金) 21:01:05 ID:bGlTQ5mK0]: >>918
IPAは自分が被害うけてない場合の通報はイマイチだった
JPCERT/CCとサーバ管理者が良いんじゃないかな
JPCERT/CC
www.jpcert.or.jp/
JPCERT/CCのGENO注意喚起(情報募集中だそうです)
www.jpcert.or.jp/at/2009/at090010.txt

サーバ管理者はサイト運営してる人じゃなくてレンタルサーバや
各種プロバイダ管理者のほうね
JPCERTは一応報告テンプレあるけど沿ってなくても大丈夫らしい
わかりやすく簡潔に報告してあげてください
929 名前：192.168.0.774 mailto:sage [2009/05/22(金) 21:03:08 ID:bGlTQ5mK0]: >>924
ついでにOSの更新とセキュリティソフトの更新もしてね
アドビ以外の製品も更新したほうがいいよ
MS Officeなんかは結構更新が出てるだろうからMSUpdateしてね
930 名前：192.168.0.774 mailto:sage [2009/05/22(金) 21:05:03 ID:hW3CCK/J0]: >>918
改竄サイトを1ダース発見ご苦労様です。
面倒ですがプロバイダ、IPA両方するしかないでしょうかねえ。
aguseは、zlkonの時は、発見したのですが、gumblarになったら
発見できず。
感染サイトリンク集の中の人は、どこにいったのやら。
931 名前：192.168.0.774 mailto:sage [2009/05/22(金) 21:11:48 ID:IJ1/1L+l0]: www.so-net.ne.jp/security/news/view.cgi?type=2&no=1895
正規サイト改ざん：ここまで広がった国内でのサイト汚染、訪問歴確認を

So-netのセキュリティ情報
感染企業サイトのリストが載ってる
932 名前：924 mailto:sage [2009/05/22(金) 21:23:19 ID:rSelSxuhO]: >>929
丁寧にありがとう。
windowsupdateはこまめにしてるよ。
IEだけは6から更新してないけど。（普段使わないから）
officeは入れてないから大丈夫。
あとセキュリティソフトもいれてないんだよね…
とりあえずできる事だけやっておきますノシ
933 名前：192.168.0.774 mailto:sage [2009/05/22(金) 21:28:33 ID:+nPS/UPx0]: >>932
＞セキュリティソフトもいれてないんだよね

(　д )　　　　　　　　　　　　　　　　　　　ﾟ　ﾟ
934 名前：192.168.0.774 mailto:sage [2009/05/22(金) 21:29:45 ID:S3aXblbT0]: >>932
無料ので十分なんだから
入れとこうよ
935 名前：192.168.0.774 mailto:sage [2009/05/22(金) 21:31:41 ID:Sn5v7cycO]: >>931
くそ！
俺が感染したとみられるサイトがありやがった!!
936 名前：192.168.0.774 mailto:sage [2009/05/22(金) 21:49:08 ID:PUdCDqKgO]: 【OS】WindowsXPHomeEditionSP3
【使用セキュリティソフト】ウィルスバスター2008
【疑った理由】起動しようとすると青画面が出て再起動するから
【症状】起動しようとすると青画面が出て再起動、以下こんな画面が出て無限ループ
imepita.jp/20090522/784030
【確認手段】そもそも起動しないから無理っぽい
【結果】

忍者ツールが感染してたってマジかよ…
937 名前：192.168.0.774 mailto:sage [2009/05/22(金) 21:56:48 ID:QVOqFTap0]: >>936
ソースは？
938 名前：192.168.0.774 mailto:sage [2009/05/22(金) 22:04:49 ID:OWgTkTvQ0]: >>936
対策とってた？忍者どこ情報？
939 名前：192.168.0.774 mailto:sage [2009/05/22(金) 22:29:13 ID:W9MI/teu0]: >>936
ガセです。他のどこかで踏んだんでしょう。
おとなしくリカバリしましょう。
940 名前：192.168.0.774 mailto:sage [2009/05/22(金) 22:33:53 ID:/4m2TIIp0]: とりあえず忍者ツールの解析スレとレンタル鯖スレにはそれらしき書き込み無し。
あそこのサポート頼りにならないから、普段トラブルおきるとみんな真っ先に２ちゃん見に来てにぎわうし
なにかあったら一番に書き込まれて祭りになってるはず。
自分も借りてて、素人に出来る最低限の対策取ってるのみで管理画面出入りしてるけど何も異常なし。
941 名前：192.168.0.774 mailto:sage [2009/05/22(金) 22:35:09 ID:j7e8l4kz0]: 忍者ツールは感染サイトリストの「対策済みor誤報告」に載っちゃってるから
勘違いしてんじゃね？
危険度800% とか書いてあるし
942 名前：936@PC mailto:sage [2009/05/22(金) 22:56:26 ID:N40Lkjkr0]: >>938
AdobeReaderがなぜか壊れたからFoxitReaderをつかってたけど、それだけ
対策とかここに来るまで見てなかったぜorz

>>941
たぶんそれ
ケータイから見たから危険度800%なんて出てかなり焦ってた

リカバリとか再インスコとかしようにも
ＸＰのディスクなんて持ってないからVistaにするしかないのかorz
943 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:07:45 ID:JhAtEZrx0]: >>936
セーフモードで起動できるかどうかは試してみた？
あと忍者だったらチェッカーで誤検出されてたって話は聞いたよ。
他にもMMORPG公式サイトがチェッカーで高めの数値が出たからって（感染してないのに）
感染感染騒がれてた話とか。チェッカーは正確じゃないから半端な％が出たら
自分の目できちんと確かめるまで確定できないってことを分かってない人がいるらしい
944 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:23:06 ID:FL5JTgjo0]: だからもうチェッカー使うなと何度言ったら(ry
Adobe ReaderとFlash Player更新しとけばもう十分だから
「怖いけどよくわからない」ならそのまま回線切って死ね
945 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:26:02 ID:6wV8c86E0]: しかしAdobeReaderを使わないってのは以外に有効な対策ではあるな
Adobeのプラグインなんて他にも脆弱性てんこもりだろうしな。

しかしFLASHの方は困ったことにAdobe以外の代替手段がないんだよな
946 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:27:47 ID:drzbrmvhO]: 忍者ツールの誤検出は既出のはず。
GENOウイルスチェッカーはJSが複雑だったりすると％高くなりやすいから今のところシロ判定ぐらいにしか使えないよ
ってこれ何回目だよ>>944にﾄﾞｰｲ

ソース見てチェックしろ、ソースの見方もわからないなら回線切って死んでくれ
ソース全部コピってメモ帳にでも貼りつけて特定の文字列で検索すりゃ大して手間ないだろ…
947 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:38:45 ID:chHowp9fi]: Lynx使いの俺最強
948 名前：192.168.0.774 [2009/05/22(金) 23:38:50 ID:X2d5mBQP0]: すまない
さっきチェッカーで危険度115％の海外サイトを
jsがオンの状態のIEで踏んだんだが大丈夫だろうか…
Xivd.orgってところ何だが
今のところ何ともないんだが心配で…
949 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:40:40 ID:X2d5mBQP0]: ああ動揺して上げてしまった…
950 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:43:45 ID:FL5JTgjo0]: 4～5レス前ぐらい読めと

evalがたくさんあるからそれみて勘違いしたんでしょ
951 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:43:54 ID:1m9p/ifT0]: >>948
そこ危険だよ
スパイウェア入れる可能性がある
俺の先輩が自作した某有名国産スパイウェア・ブロッカーも
そこのツール対策で四苦八苦してたくらいだからな
952 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:48:23 ID:YGxiZT9U0]: avast!優秀だな。
Googleの検索結果に感染サイトが含まれていたら、その時点で警告してくれた。
953 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:51:35 ID:N40Lkjkr0]: >>943
起動できない

忍者がガセなら一体俺はどこで感染したんだorz
954 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:53:39 ID:2URuOAt40]: >>953
どっかキーボード押しっぱなしじゃねえ？
955 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:56:53 ID:pwpKS6Xg0]: GENOウイルスチェッカーは当てにしない方がいいと思う。
あのチェッカー、帰って混乱招いているような気がする。

対策とる、かかってたらクリーンインスコだな…
>>942
リカバリディスクがない…ってあれか、HDDのリカバリ領域からリカバリするPC？
俺のUMPCはそれだよ…無理やりリカバリディスクを作る方法もあるみたいだけど…

ちなみにacerAOA150。どうしたもんかね…
956 名前：192.168.0.774 mailto:sage [2009/05/22(金) 23:58:04 ID:2URuOAt40]: リカバリディスクって買った時に一緒に付いてるでしょ・・・
957 名前：192.168.0.774 mailto:sage [2009/05/23(土) 00:02:47 ID:QVnRFjsW0]: >>955
あ？
万引きしてこい
958 名前：192.168.0.774 mailto:sage [2009/05/23(土) 00:03:45 ID:ccaAlbY/0]: うちのノーパソS○NYの正規品だけど取説に
＞自分でリカバリディスク作ってねｖって書いてあるぞ？
959 名前：192.168.0.774 mailto:sage [2009/05/23(土) 00:05:35 ID:OXCPucdf0]: >>955
よくわからんがこれじゃダメなの？
www2.acer.co.jp/support/?cat=one&dir=faq&src=one-faq-080904-04
960 名前：192.168.0.774 mailto:sage [2009/05/23(土) 00:13:09 ID:FQnBqUEn0]: Adobe ReadeとAdobe Flash Playerを最新にして、
Readerのスクリプトはオフ、ブラウザのスクリプトはオン、
アンチウィルスを外して該当コードがあるページを踏んでみた。
感染しないみたいだな。
961 名前：192.168.0.774 mailto:sage [2009/05/23(土) 00:13:12 ID:eaqTljTH0]: >>958あぁ、ウチのS○NYさんも買った直後にリカバリCDを作れと言ってきた。
それは作ってあるよ。
>>959
それでリカバリするよ。リカバリ領域がつぶれたりしたらどうなるかはわからん。
CD作る裏ワザはあるみたいだけどね。
>>942はどういったものを使ってるのかわからないけど。
962 名前：192.168.0.774 mailto:sage [2009/05/23(土) 00:35:11 ID:HU5BgRr50]: 感染してしまったら初期化するしかないの？
アンチウイルスソフトで何故駆除出来ないの？
963 名前：192.168.0.774 mailto:sage [2009/05/23(土) 00:45:47 ID:ta6edS2L0]: Q1 誰でも感染するの？
A1 いいえ、readerが最新バージョンなら本気です

Q2 感染確認方法は？
A2 いいえ、readerが最新バージョンなら平気です

A3 いいえ、いいえ、いいえ、いいえ、
Q3 感染してた。どうsu
964 名前：192.168.0.774 mailto:sage [2009/05/23(土) 00:52:42 ID:/FJLWmO90]: >>962
証拠隠滅して隠れるから
965 名前：192.168.0.774 mailto:sage [2009/05/23(土) 01:00:28 ID:z3rUla8oO]: 対応した？・・・・・・

HTML_JSREDIR.AE
www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML%5FJSREDIR%2EAE
966 名前：192.168.0.774 mailto:sage [2009/05/23(土) 01:05:09 ID:FvRh9KA20]: >>962
感染した時点でシステムの制御が横取りされるからアンチウイルスソフトも満足に動作しなくなる
検知だけでもできれば合格点だ
967 名前：192.168.0.774 mailto:sage [2009/05/23(土) 01:07:03 ID:QmKa5e/o0]: >>956
最近の主流はHDDにリカバリ領域って方式だが3000円くらいでディスク送ってもらえるサービスも有るはず
NECあたりは標準でディスク付いてるのもあるんじゃなかったかな
>>961
出荷状態でリカバリディスク焼くためのアプリが入ってることも有る
マニュアル読んでみればわかる
俺が買った機種のVAIOはアプリ付いてたな
968 名前：192.168.0.774 mailto:sage [2009/05/23(土) 01:21:28 ID:W/e+i6kR0]: >>965
なんか違わない？

危険度: 低
レジストリの改変：　なし
セキュリティホールの利用：　なし
969 名前：192.168.0.774 mailto:sage [2009/05/23(土) 01:24:10 ID:W/e+i6kR0]: 対応方法:

　検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。
感染活動を行わない不正プログラムですのでウイルスバスターなどウイルス対策製品の機能で「駆除」処理は行えません。

　製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除できません。隔離しました。」などと
表示されますが正常な表示です。

・手動削除手順：

1. 全ブラウザのウインドウを閉じてください。

2. 最新のバージョン（エンジン、パターンファイル）を導入したウイルス対策製品を用い、ウイルス検索を実行してください。
この不正プログラムは「HTML_JSREDIR.AE」と検出されます。検出したファイルはすべて削除してください。

3. 全ドライブ検索を行い何も検出されなければ、処理は完了です。
970 名前：192.168.0.774 mailto:sage [2009/05/23(土) 02:07:46 ID:d89odzUY0]: キャッシュを消せば無問題。
気になるやつはオンラインスキャンすればウィルスは削除されるよ。
971 名前：192.168.0.774 mailto:sage [2009/05/23(土) 02:36:03 ID:aDljQavy0]: >>970
(　ﾟдﾟ)！？？
972 名前：192.168.0.774 mailto:sage [2009/05/23(土) 02:50:33 ID:ud8DwQdE0]: >>970
GENO社員ｷﾀｺﾚ
973 名前：192.168.0.774 mailto:sage [2009/05/23(土) 02:52:22 ID:0Xu3vLQ/0]: >>969
検体スレのほうにトレンドマイクロのGENO呼び出しスクリプトの定義名書いてあったような…
確かJS_AGENT.AS○○みたいな奴だったかと思った
974 名前：192.168.0.774 mailto:sage [2009/05/23(土) 03:00:49 ID:+p0PFaQu0]: これか
100 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/05/22(金) 11:54:00
＞5/9提出分のGENO呼び出しスクリプト
トレンドマイクロ返答…えーと、名前付けすぎじゃありませんか？

JS_AGENT.ASWE　　　JS_AGENT.ASXB　　　JS_AGENT.ASYC
JS_AGENT.ASWF　　　JS_AGENT.ASXC　　　JS_AGENT.ASYD
JS_AGENT.ASWG　　　JS_AGENT.ASXD　　　JS_AGENT.ASYE
JS_AGENT.ASWH　　　JS_AGENT.ASXE　　　JS_AGENT.ASYG
JS_AGENT.ASWI　　　JS_AGENT.ASXF　　　JS_AGENT.ASYH
JS_AGENT.ASWO　　　JS_AGENT.ASXG　　　JS_AGENT.ASYL
JS_AGENT.ASWP　　　JS_AGENT.ASXI　　　JS_AGENT.ASYM
JS_AGENT.ASWQ　　　JS_AGENT.ASXK　　　JS_AGENT.ASYN
JS_AGENT.ASWR　　　JS_AGENT.ASXL　　　JS_AGENT.ASYO
JS_AGENT.ASWS　　　JS_AGENT.ASXN　　　JS_AGENT.ASYP
JS_AGENT.ASWT　　　JS_AGENT.ASXR　　　JS_AGENT.ASYQ
JS_AGENT.ASWV　　　JS_AGENT.ASXS　　　JS_AGENT.ASYR
JS_AGENT.ASWX　　　JS_AGENT.ASXT　　　JS_AGENT.ASYS
JS_AGENT.ASWY　　　JS_AGENT.ASXU
JS_AGENT.ASXA　　　JS_AGENT.ASXX
975 名前：192.168.0.774 mailto:sage [2009/05/23(土) 03:06:07 ID:HU5BgRr50]: >>974
個体が違うんだから当然だろ

全部一つに纏めたらそれこそ糞。
976 名前：192.168.0.774 mailto:sage [2009/05/23(土) 03:25:11 ID:F81SI+Tt0]: お前らトレンドマイクロのHPぐらいみてやれよ
977 名前：192.168.0.774 mailto:sega [2009/05/23(土) 03:32:55 ID:dwVhzcG9O]: トレンドマイクロのヒットポイントですか？
978 名前：192.168.0.774 mailto:sage [2009/05/23(土) 05:25:00 ID:kR9G4T450]: >>886でソースを開き、>>946の最後１行で検索、
Un,Re,Evのコンボが発見できたら、要警戒のレベルとか
目視で、なにか目安になるような判別法があるなら、テンプレに入れといてほしい。

chromeだとブラウザのページ内検索が使えるから、これでいいなら楽。
自分みたいに、あまりソースの見方とか分からない素人だけど、チェッカーとか
ツールに頼らず、自分の目で確認したいって人もいるだろうから。

>>348、>>354、>>790　>>884のツールも、用途ごとに、纏めてほしい。
「ソース」でページ内検索しただけだから、抜けてるのもあるかもしれない。
979 名前：192.168.0.774 mailto:sage [2009/05/23(土) 05:52:15 ID:2F5vRu6C0]: >>976
またウイルスでも配ってるの？
980 名前：192.168.0.774 mailto:sage [2009/05/23(土) 05:53:43 ID:FMuei+100]: >>968
これは本体じゃなくてJavaScriptのシグネチャ
981 名前：192.168.0.774 mailto:sage [2009/05/23(土) 08:52:19 ID:PIes/MGy0]: >>978
737 名前：名無しさん＠お腹いっぱい。[] 投稿日：2009/05/22(金) 12:08:23
>>731
ありがとうございます。

ちなみに自分もいろいろ調べてみて作ってみた。
つttp://www1.axfc.net/uploader/Sc/so/3279
需要があるかどうかじゃない。ただの満足感で（ｒｙ

GENOウイルスに関するよくわからないツール。

GENOウィルスのチェックプログラム(簡易版)を書いてみた - about:blank
ttp://d.hatena.ne.jp/kz_shikabane/20090517/1242495023

6．zlkon/gumblarお役立ち情報: 高機能サロン管理システム★さまれぼ！★開発日記
ttp://excomp.cocolog-nifty.com/blog/gumblar.html
982 名前：192.168.0.774 mailto:sage [2009/05/23(土) 08:56:50 ID:eaqTljTH0]: >>967
俺のacerはないよ。
ディスク送ってくれるサービスもないはず。
壊れてもいいかってくらいの安いヤツだからいいけどね。
983 名前：192.168.0.774 mailto:sage [2009/05/23(土) 09:24:12 ID:Ci5k0h8A0]: >>960
スクリプト読んで飛ばされるウイルス配布サイトがつぶれているから、今は感染しない。
それに最新で感染したら、ゼロデイになってもっと大騒ぎ。
984 名前：192.168.0.774 mailto:sage [2009/05/23(土) 09:31:48 ID:Ci5k0h8A0]: あと、6時間前に立った　セキュリティー板のテンプレに

■ポート135を閉じる
■ポート445を閉じる

ってあるんだが、止めさせて方がいいと思うんだが、どうだろう？

Remote Procedure Callを止めたら、その子サービスで止まるものがいっぱいある。
BITSも止まるからWindowsUpdateがうまく行かない可能性もある。

ポート445を止めたら、ルーターのDHCPでプライベートアドレスを割り振ってもらっているPCが困ったことになる。

大量の初心者が混ざっていると思われるあっちのスレのテンプレとしてまずいんじゃないかと・・・
俺もあまり詳しくないから断言はできないんだけど、ご意見ちょうだい。
985 名前：192.168.0.774 mailto:sage [2009/05/23(土) 09:45:05 ID:FMuei+100]: >>984
サービスを落とすんじゃなくて、ルータかFWで弾くべきだよな。
445は止めても家庭内LANなら名前解決が遅くなるだけのような気がするが、
RPCは止めると弊害が大きすぎる。

つか、135,137-139,445あたりってルータの初期設定で外部に出ていかない
ようになってないか？
あとは追加でSSDPやteredoあたりを塞いでおけばいいような気が。
986 名前：192.168.0.774 mailto:sage [2009/05/23(土) 09:56:18 ID:imZ1efiC0]: いらない設定だな。こっちの次（いるのかな？）を立てるなら消していい。
987 名前：192.168.0.774 mailto:sage [2009/05/23(土) 11:20:18 ID:h8voSB2Y0]: どっちかに騒ぐ人が来るね雑談も含め、スレが動いてるうちは、相互に避難スレになる
いまは、GENO系ウイルス関係者の待機室かな
988 名前：192.168.0.774 mailto:sage [2009/05/23(土) 12:02:16 ID:Ammo448jO]: >>984自分みたいな何もわかってない初心者が問題にぶつかる可能性があるから、止めた方がいいと思う…
989 名前：192.168.0.774 mailto:sage [2009/05/23(土) 12:20:02 ID:kR9G4T450]: >>981さん、ありがとうございます。まだ落としただけで
中身見てないんですけど、使わせてもらいます。

>>978で抜けてたソース関係>>30、>>80。チェッカー関係>>881、>>883、>>888。
スクリプト関係>>837、>>843、>>844、>>854、>>855、>>864。
>>48、IPブロックandスクリプト弾き？　>>294、制限ユーザー。
ブラウザは結局、個人の好みだろうし、FWのIPブロック、HOST弾きは前スレで
テンプレに有ったような気がしたから拾わなかった。
まあ、運営の人たちが、もうすでにやってるだろうけど、
対策として精度の低いのは削って、早くテンプレに固めていってほしい。
990 名前：192.168.0.774 mailto:sage [2009/05/23(土) 12:28:58 ID:oHG73gbi0]: ここにくるやつがｳｲﾙｽだな。
991 名前：192.168.0.774 mailto:sage [2009/05/23(土) 12:31:37 ID:Sz6n7xWm0]: 次スレいる？
992 名前：192.168.0.774 mailto:sage [2009/05/23(土) 12:52:49 ID:soK/x83h0]: 次スレいらないけど、ここを再利用すれば？
誰が立てたか知らないけど、使われてないんで

zlkonウイルス擦れ
pc11.2ch.net/test/read.cgi/sec/1242623934/
993 名前：192.168.0.774 mailto:sage [2009/05/23(土) 12:53:46 ID:35E4Y1Jt0]: ID出る板の方がいいんじゃないの？
994 名前：192.168.0.774 mailto:sage [2009/05/23(土) 13:12:00 ID:U4WWOLOD0]: >>992
そのスレが一番レベルが高そうだ
995 名前：192.168.0.774 mailto:sage [2009/05/23(土) 13:15:03 ID:/C5CpA5i0]: もう新しいスレ立ってる。
996 名前：192.168.0.774 mailto:sage [2009/05/23(土) 13:21:11 ID:kR9G4T450]: >>989で、なにかトンチンカンなことを言っている気がするのは、ブラウザアドレス
boxへのコピペミスで、違うページにいって、なにか別のものを拾ってきたから。
自分の言葉足らずで、もしかしたら、>>981さんにも勘違いをさせてしまったのかもしれない。
>>978、>>989で >>92＝>>981を拾わなかったのは、対策的なものに絞って、感染後の
処置的なものを除外していたからで、けっして>>92を軽視していたわけではありません。

そのあたりは実際にテンプレを作る方たちが宜しく判断してくれるものと思われます。
お気を使わせまして、本当に申し訳ないです。
結局、自分のやってることって、運営の邪魔ばかりのような気がしますが、
どうかご勘弁ください。
997 名前：192.168.0.774 mailto:sage [2009/05/23(土) 13:26:47 ID:oHG73gbi0]: >>996
お前に２ちゃんねるは無理
998 名前：192.168.0.774 [2009/05/23(土) 13:27:59 ID:Hx9+/5Qd0]: >>996
お前に２ちゃんねるは無理

※ただしVIPを除く
999 名前：192.168.0.774 mailto:sage [2009/05/23(土) 13:28:18 ID:zog5ycM/0]: 誘導
次スレ
GENOウィルススレ　感染4台目
pc11.2ch.net/test/read.cgi/internet/1243050166/
1000 名前：192.168.0.774 [2009/05/23(土) 13:29:09 ID:Hx9+/5Qd0]: >>1000なら>>996　2チャンネルできる！！！
1001 名前：１００１ [Over 1000 Thread]: このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef