GENOウイルススレ　★2

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 05/09 19:29 / Filesize : 236 KB / Number-of Response : 986
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

GENOウイルススレ　★2

1 名前： ◆W07s5cWHb. [2009/04/10(金) 20:47:46 ]: 感染が疑わしい人は迷わずクリーンインストール推奨です。

★Anubisレポート
anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

★前スレ
GENOウイルススレ
pc11.2ch.net/test/read.cgi/sec/1239152979/

以下、おまいらテキトーに調査結果、感染サイト情報、テンプレ等をコピペしてくださいです。。。
2 名前： ◆W07s5cWHb. mailto:sage [2009/04/10(金) 20:50:33 ]: 　　　　　　　　　　　　／）
　　　　　　　　　　　／／／）
　　　　　　　　　／,.=ﾞ''"／
　　　／　　　　 i f　,.r='"-‐'つ＿＿＿_　　　キャッシュをクリアしただけじゃ駄目なんだよ！！
　　/　　　　　 /　　　_,.-‐'~／⌒　　⌒＼
　　　　／　　,i　　　,二ﾆ⊃（ ●）.　（●）＼
　　　/　　　ﾉ　　　 ilﾞフ::::::⌒（__人__）⌒::::: ＼
　　　　　　,ｲ｢ﾄ､　　,!,!|　　　　　|r┬-|　　　　　|
　　　　　/　iﾄヾヽ_/ｨ"＼　　　 `ー'´ 　　／
3 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 20:50:55 ]: (1)感染したWebページをひらく
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
(3)IP/UAで振り分け処理(Vistaは大丈夫そう？)
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
(5)bufferOverrunでウィルス本体の起動を試行

以下が問題のURL、
"id=2"はpdfの脆弱性を利用し、
buffer overflowを引き起こさせ感染を試みる。(Adobe Collab overflow)
"id=3"はswf(Flash)の脆弱性を利用しoverflowを引き起こさせ、感染を試みる。
いずれも最新のFlash Playerの導入とPDF Readerを入れていれば問題なし（？）
hxxp://94.247.2.195/jquery.js
hxxp://94.247.2.195/news/?id=100
hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3

リンクは切れており現在無害（当環境では）

以下のリンクは生きており感染実験希望の方はﾄﾞｿﾞ
★危険ですので注意
hxxp://94.247.2.195/news/index.php

少しわかってること：
WINDOWSの正規ファイルを上書き（？）する可能性大

>>1乙
4 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 20:53:35 ]: 関連スレ

【0.1】ﾈｯﾄｼｮｯﾌﾟ｢GENO｣等でウイルス感染　業務再開するもGENOｻｲﾄﾞは｢ｷｬｯｼｭ消せ｣とふざけた対応★11
tsushima.2ch.net/test/read.cgi/news/1239241638/l50

【客の返品】GENOを語るスレ29【オク出品】
pc11.2ch.net/test/read.cgi/pc/1237696091/l50

【ｳｲﾙｽ感染】GENOを語るスレ30【ｱｸｾｽ注意】
pc11.2ch.net/test/read.cgi/pc/1239004304/l50

【新種ｳｲﾙｽ】GENOを語るスレ31【無料配布中】
pc11.2ch.net/test/read.cgi/pc/1239197673/l50

【ｳｲﾙｽ】GENOを語るスレ31【完治】
pc11.2ch.net/test/read.cgi/pc/1239199378/l50

【顧客相手に】GENOを語るスレ24【ｻｲﾊﾞｰｼﾞｪﾉｻｲﾄﾞ】
pc11.2ch.net/test/read.cgi/jisaku/1239183817/l50

★090406 複数板｢ウイルスGeno短縮URL｣誘導マルチポスト荒らし報告
qb5.2ch.net/test/read.cgi/sec2chd/1238968073/l50

【ウィルス情報質問　総合スレッド★Part46】
pc11.2ch.net/test/read.cgi/sec/1224511070/690-
5 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 20:53:50 ]: ・sqlsodbc.chmが改変されていないか確かめてみる

(MD5 f639afde02547603a3d3930ee4bf8c12)

ベクターに調べるソフトがあるよ
右クリで検査できるやつが便利
6 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 20:54:14 ]: 　　　　　　　　　　　　　　　　 _..　-――-　._
　　　　　　　　　　　　　　.／　 ,―――‐-　._` .
　　　　　　　　　　　　／）　 ./　／　　／　　｀`＼
　　　　　　　　　　　／／／）ィ7T.ﾌ厂￣｀ﾌｉ ‐-_　|〉.　＿人人人人人人人人人人人人人人人人＿
　　　　　　　　　／,.=ﾞ''"／　ﾌl/_×／/　|ﾊハl　.ﾄ、＞　ｷｬｯｼｭ削除して証拠隠滅なんだよ！　　＜
　　　／　　　　 i f　,.r='"-‐'つｲ._T_i`　　.r≦lハ!|｀`　^^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^Ｙ^￣
　　/　　　　　 /　　　_,.-‐'~|　|'弋..!ﾉ　　 i'＋!ｌ　|
　　　　／　　,i　　　,二ﾆ⊃l　|' ' '　 ,‐- ..__ﾞｰ' .!l .|
　　　/　　　ﾉ　　　 i　lﾞフ..,!l .ﾄ､　　ｌ　　｀,! 　 .ハ.!
　　　　　　,ｲ｢ﾄ､　　,!　,!|.../_| |l: ＞ .ヽ.. ィ＜l 　 l|
　　　　　/　iﾄヾヽ_/　ｨ"＼. | | ＼＼ｰ'/ ./ ,,;:`:;'ﾞ
7 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 20:57:24 ]: フラッシュとPDFリーダーを最新版にするか
窓から投げ捨てましょう

ここではウィルスに関する話題に集中し
お店への文句はGENOを語るスレでやって下さい
8 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 20:57:49 ]: 関連スレ

IIIII　　NAXOS　その6　　IIIII
jfk.2ch.net/test/read.cgi/classical/1190386402/748-

**** 価格比較のECナビ Part43 ****
gimpo.2ch.net/test/read.cgi/point/1238752206/84-
9 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 21:03:11 ]: 39 名前：名無しさん[sage] 投稿日：2009/04/09(木) 00:14:21 0

前スレの958です。

combofixで検疫したファイルをVirustotalでスキャンしてみた。

ファイル名 _ycmmf_.cjq.zip 受理 2009.04.08 17:04:29 (CET)
現在の状態：読込み中 ... 順番待ち待機中スキャン中完了発見せず停止
結果: 7/40 (17.5%)

検知できたのは以下の7つのウィルス対策ソフトだけでした。

AntiVir TR/Agent.caaj.B
Avast Win32:Trojan-gen {Other}
eTrust-Vet Win32/SillyDl.HDU
GData Win32:Trojan-gen {Other}
McAfee-GW-Edition Trojan.Agent.caaj.B
NOD32 variant of Win32/Delf.OEX
Prevx1 High Risk Cloaked Malware

AVGもカスペルスキーもダメでした。
10 名前：名無しさん＠お腹いっぱい。 [2009/04/10(金) 21:04:57 ]: うんこ
11 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 21:08:44 ]: 今までに感染が確認されたサイト

w●ww.geno-web.jp
w●ww.geno.co.jp
w●ww.rakuten.ne.jp/gold/i-na/
w●ww.juicyrock.co.jp
w●ww.naxos.co.jp
w●ww.crestronjapan.com
m●ag-puppine.com/about/
12 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 21:08:58 ]: アクセスしたときメモリが増えたのはウィルスとは直接関係ないってことでいいの？
readerとflashを最新にしていた人で、メモリが急増した人は見たけど
実際にファイルを改竄されたりしている人は見ていないので
13 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 21:10:04 ]: >>9
AVGはLa.exeを消せた。
カスペルスキーはそのオンラインスキャンで検査しろと薦められているくらいだから検知できるだろう？
14 名前：名無しさん＠お腹いっぱい。 [2009/04/10(金) 21:13:26 ]: PC通販サイト「GENO」のサイトに改ざんの疑い
ttp://internet.watch.impress.co.jp/cda/news/2009/04/07/23057.html

PC通販ショップGENOのサイトにマルウェアが仕込まれる
ttp://www.excite.co.jp/News/column/20090407/Slashdot_09_04_07_042220.html

PC通販ショップGENOのサイトにマルウェアが仕込まれる
ttp://slashdot.jp/security/09/04/07/042220.shtml

中古PC通販サイト「GENO」が不正アクセスで改ざん
ttp://www.security-next.com/010247.html

通販サイト「GENO」の改ざん、広告掲載サイトにも影響
ttp://www.security-next.com/010250.html

PC通販ショップGENOのサイトにマルウェアが仕込まれた疑い
ttp://japan.cnet.com/blog/sec_newbie/2009/04/07/entry_27021630/

当社サイトにて掲載した広告のリンク先ページにおけるウイルス感染について　ご報告と対処のお願い
ttp://corp.itmedia.co.jp/corp/notice/20090407.html

【重要】掲載のリンク先ページのウイルス感染について
ttp://ecnavi.jp/help/information/info/221/
15 名前： ◆W07s5cWHb. mailto:sage [2009/04/10(金) 21:13:47 ]: 現状までのざっくりとした問題点等の取り纏め。

・各セキュリティソフトは大方このウィルスへの対応が済んでおり、
　適切にセキュリティソフトを導入しているPCでは新たに感染する恐れはほぼ無いが、
　依然として改ざんされたまま、適切な対処が行われていないサイトも見受けられる。

・サイト側が改ざんされる際の進入経路はまだ特定されていないが、
　既に改ざんが判明しているサイトで用いられているサーバーのOS httpd CMSに共通性や規則性が無く、
　単純にこれらのセキュリティホールを突いた外部アタックによる改ざんとは考えにくい。

・同様のサイト側の改ざんが行われているケースに関して、海外の掲示板等での書き込み内容等を元に推察すると、
　事前に何らかの方法でFTPパスワード等が盗み出され、FTPログインにより改ざんされている可能性も考えられる。

・改ざんされている状態のサイトを閲覧した際には、適切なセキュリティソフトを導入している場合でも、
　感染する恐れこそないものの、セキュリティソフトが即時検知及び駆除を行う為に
　当該サイトに関してはまともに閲覧出来ない状況になる。
16 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 21:43:59 ]: 47: 2009/04/08 18:27:01 [sage]
このウイルスに感染すると、
・特定のサイトに接続できなくなる
・特定の駆除ソフト、ログ取得ソフトがブロックされる（DDS、SDFix類がブロックされる）
・レジストリエディタが起動しない（リネームすることにより回避可能）
・ネットブラウジングが困難になる。（問題発生しまくり）
・sqlsodbc.chmにWindowsの正規プログラム（？）がやたらとアクセスしてる
・Windowsの正規プログラムがsqlsodbc.chmを作成したりする。

おれの環境では不正なサイトにアクセスは確認できなかった
sqlsodbc.chm←これヘルプファイルだし特に危険じゃないと思うんだけど
何なんだ
17 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 21:44:21 ]: sqlsodbc.chmのMD5が違った・・・
cmd.exeを起動するとアプリが全て落ちる・・・
再インスコ決定
18 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 21:44:49 ]: 191: 2009/04/09 00:33:51
******まとめ*******
感染確認方法
・sqlsodbc.chmのハッシュを調べて
F639AFDE02547603A3D3930EE4BF8C12
と異なる値が出た場合感染してる可能性あり

・以下のサイト（有名な駆除ツール）にアクセスできなければ危険
（鯖落ちじゃない限り、ほぼ感染してると見て問題ないと思う）
ttp://download.bleepingcomputer.com/sUBs/ComboFix.exe

・パソコン再起動後、regedit.exeを起動しようとすると
explorerが落ちる場合、確実に感染してます。

・ブラウジングがまともにできない

駆除方法
完全な駆除方法は今のところない。（断定するのは現段階では危険）
セーフモードで、ComboFixを実行すればある程度よくなるかもしれない程度。
以上の問題が解決していればある程度よくなってるかも。
19 名前：名無しさん＠お腹いっぱい。 [2009/04/10(金) 21:45:05 ]: スタッフA
「Webサイトの改ざんによるウイルス感染など普通にパソコンを使用しているだけでも、
ウイルスに感染してしまうという事例が増えています」

スタッフB
「ウイルスの感染を未然に防ぐためにも、最新のセキュリティソフトを使用し、
ウイルス定義データベースを常に最新に保つことが、安全なPC使用の第一歩です」

スタッフC
「ただいま、通販ショップGENOでは、総合セキュリティソフト各種を好評取り扱い中！
PCパーツご購入の際にご一緒にいかがですか？」

www.geno.co.jp/recruit/job_01.jpg
20 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 21:48:10 ]: 261: 2009/04/09 01:36:41 [sage]
---まとめ２---
感染経路は>>1

感染確認方法は>>191で
「sqlsodbc.chm」はsystem32にある。
MD5の確認方法は>>249
ComboFixのダウンロードリンクは場合によってはアンチウイルスに引っかかるが
これは問題なし。危険な人は"取り消されたアクション"になるか、"ページが真っ白"

駆除方法は現状なしと思ったほうが安全、つまりリカバリー
ただ>>162のようなケースも

とにかく
・感染したらリカバリー
・感染確認は>>191でMD5のとり方は>>249のソフトで右クリックから

-----

249: 2009/04/09 01:24:11 [sage]>>247
MD5はこのソフトで確認すると楽
www.vector.co.jp/soft/win95/util/se368065.html

installくりっくすれば右クリックから調べられる
21 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 21:56:27 ]: comodo入りだとla.exe実行後まともに再起動しなかったがノーガード戦法で普通に再起動した
とりあえずregeditを起動しようとしたがタスクバーが再起動するような感じで不可
コピー&リネームしたregeditで
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
を削除後再起動したら普通にregeditが実行できた

それだけ
22 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 22:01:32 ]: ttp://ecnavi.jp/help/information/info/221/
09/04/10[障害・サポート情報]　【重要】掲載のリンク先ページのウイルス感染について

お知らせ
【重要】ECナビの掲載広告にて発生したリンク先ページのウイルス感染について

この度、ECナビサイトにて掲載を行っておりました広告にてリンク先ページが
改ざんされた可能性があり、広告をクリックして遷移先ページを閲覧した
ご利用者様がウイルスに感染した可能性があるという事態が発生しました。

なお、対象となる広告は下記となります。

■対象広告
puppine（株式会社ブランジスタ）

■掲載期間、箇所
【4/2～4/9 　ポイントチャンス！】
://ecnavi.jp/frame/?url=http%3A%2F%2Fkensho.ecnavi.jp%2Fsearch%2F&KID=&search=&order=new
愛犬と一緒に楽しめる最新ライフスタイル情報が満載「puppine」

【4/9～4/10　宝くじ　ガラガラでポン！】
://point.ecnavi.jp/campaign/lottery/game/
ペットとわたしの新感覚ウェブマガジン「puppine」

※ECナビでは上記の危険認識により、4月10日 15時に広告掲載を停止いたしました。

今回のウィルスに関しましては、Flash/Adobe Readerの既知の脆弱性を悪用するもので、
最新版をお使いならば感染の危険がないという情報もございます。
しかしながら、被害状況等の詳細に関しましては現在掲載サイトにて確認を行っております。
状況が分かり次第再度ご報告させていただきますので、
今しばらくお待ちくださいますようお願いいたします。
23 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 22:25:30 ]: ・特定のサイトに接続できなくなる

どこのサイトにつなげなくなりますか?
24 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 22:45:48 ]: >>23
WindowsUpdate試みて、普通に更新できたら望みはある。
もしもIEがフリーズしたら感染の恐れ大。

感染すると、アンチウィルスソフトの自動更新が出来なくなったり、
GYAOやネットラジオが視聴出来なくなったりする。
あと、regedit.exeが起動出来なくなる。
25 名前：名無しさん＠お腹いっぱい。 [2009/04/10(金) 23:40:15 ]: .
26 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 23:52:07 ]: >>24
正に、私のことですねｗ
全て当てはまる

クリーンインスコって結構楽しいっすよ。
27 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/10(金) 23:56:38 ]: 感染した人は出来れば何をやってくるウィルスなのか
人柱になって解析してもらえれば幸いである
28 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 00:08:08 ]: www.btfree.info/file.php?action-get.html
Code by:c418478c216f027

www.btfree.info/file.php?action-get.html
Code by: d5ddf2d3204c8f4
29 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 00:12:06 ]: >>27
>>16
30 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 00:14:36 ]: しかし発症すると露骨にわかるんだけど、キーロガーやボットなどが
静かに活動するようなものだったらどうなっていたんだ?
というかそういうのがすでに蔓延している可能性もあるのか?
31 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 00:16:33 ]: ボットンPCなんて腐る程あるだろ
たまにボット攻撃がなんたらかんたらてニュースになったりしてんじゃん
32 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 00:16:57 ]: XP SP3
Adobe Reader9.1
Flash 10は最新版の一つか二つ手前だったはず

4月4日の13:15にIE7でGENO訪問
メモリ馬鹿食いしてブラウザ強制終了
あれ、おかしい
再びIE7でGENO訪問
同じようにメモリ馬鹿食いしてブラウザ強制終了
どうやら食らったのはpdfの方

初期のころ言われていたレジストリの改変や
あやしいバッチファイルなどは見つからず

とりあえずシステムの復元で4月3日の状態を復元
その後VB2008とa-squaredで何度か検索を行ったが
今回の犯人に関係しそうな検出はいまのところ無し

まぁさっさとリカバリした方がいいに決まっているのだが
33 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 00:24:30 ]: 久々に悪質なウイルス
34 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 00:30:13 ]: >>29
それで終わりだと思ってるの？そんな甘ちゃんがなんでこんなスレにいるの？
35 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 00:34:45 ]: 個人で解析なんて不可能に近いから
怪しいものは各ベンダに検体として送る方が有効。
36 名前： ◆W07s5cWHb. mailto:sage [2009/04/11(土) 00:37:11 ]: >>32
質問です♪

Genoサイトを踏んだ時のWindowsログインユーザにはAdmin権限ありだった？
それともPowerUser権限、もしくはただのUser権限のみだった？
37 名前： ◆W07s5cWHb. mailto:sage [2009/04/11(土) 00:39:35 ]: あ、>>28のリンクは踏んだらヤバいからね。
おいらがちょっと前に踏んでしまって
マイドキュメント等が一切合財消されたウィルスだから。
38 名前：32 mailto:sage [2009/04/11(土) 00:42:36 ]: >>36
モロにAdmin権限あり
39 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 00:43:33 ]: 危険だと分かってて直リンはってる香具師は警察に突き出すべき？
40 名前：32 mailto:sage [2009/04/11(土) 00:45:45 ]: GENOにアクセスしてブラウザが落ちた時点では
正直これほど厄介なものに遭遇していたとは思ってなかった
すぐにタスクマネージャを立ち上げて変なものが動いてないか確認しとけば良かった
41 名前： ◆W07s5cWHb. mailto:sage [2009/04/11(土) 00:56:54 ]: >>38
報告どうもです。

てか、報告内容をまとめると
結局、2回共に部分的に食らったみたいな感じだけど、
もしかするとブラウザを即効で閉じた事で
恐らくEXEファイルがダウンロードされて実行される事を防げたって感じかもね。

さもなければReaderが9.1の場合はメモリ馬鹿食いで落ちても結果的に脆弱性は突かれずに
EXEのダウンロードまで行われずにExplorer.exeの乗っ取りは行われないって事かと。

ただ、Flashの方が最新版じゃない可能性があったのなら、そっちで何か食らった可能性も捨てきれないね。
で、Flash側でどんな感じの悪さをされるのかが、まだあまり解析されていない部分なんだけどね。

でも、まぁ、その状態にまでなったら、可能な限りリカバリかクリーンインストールすべきだね。

ホント、お疲れ様でした。
42 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 01:00:32 ]: Adobe Reader入れた状態で踏んでメモリ食うのは仕様、アウトでもセーフでも起こる現象
flashは9.0.115.0以下でないならおｋ
不安ならリカバリ
43 名前： ◆W07s5cWHb. mailto:sage [2009/04/11(土) 01:01:38 ]: >>39
警察以前に2ch運営の板の所定のスレに報告すれば
削除人があぼーんしてくれるし、
場合によっては一発で張った奴をアク禁にしてくれたりします。
44 名前： ◆W07s5cWHb. mailto:sage [2009/04/11(土) 01:02:53 ]: >>42
フォローどうもです。
45 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 01:42:19 ]: >>24
ありがとうございます。
試してみたら>18のサイトは表示されないけどexeが落ちてくる。MD5は正常。
j-waveのネットラジオを聞ける。GYAOは不明。
WindowsUpdateはIE7は成功したけど下のプログラムはインストールされなかった。
「Microsoft .NET Framework 3.5 Service Pack 1 および .NET Framework 3.5 ファミリ更新プログラム (KB951847) x86」
46 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 01:44:48 ]: la.exeを感染させた(実行後一度再起動させた)ドライブを別のwindowsの外部ドライブにして
aviraでスキャンかけてみたけどかかるファイルは一つだけだね(～\Drivers32\auxに登録されたやつね)
sqlsodbc.chmは無視だね

でもこの方法だとレジストリ見てくれないな
47 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 02:03:58 ]: >>28
pc11.2ch.net/test/read.cgi/sec/1235459712/
48 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 02:05:09 ]: .NET Frameworkは

Windows Installer
ASP .NET State Sevice

のサービスが停止されてるとインストール失敗する
という可能性もある

間違ってたら訂正ﾖﾛ
49 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 02:25:11 ]: ひろゆきのマネして自分のことをおいらって言うヤツは大抵が自意識過剰な勘違いクン
50 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 02:30:32 ]: おいらもそう思う
51 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 02:39:36 ]: おいらんも
52 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 02:53:44 ]: おいらも
53 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 02:57:02 ]: 中島らも
54 名前： ◆W07s5cWHb. mailto:sage [2009/04/11(土) 03:12:09 ]: おまいら
55 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 03:12:34 ]: 植木等
56 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 03:13:54 ]: Linux勝ち組？
57 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 03:41:19 ]: 分かち合える仲間がいないから負け組みじゃね？
58 名前： ◆W07s5cWHb. mailto:sage [2009/04/11(土) 03:43:32 ]: ディストリ毎に信者が内紛起こしてるからねｗ
59 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 04:10:01 ]: ウブンツなら仲間もそこそこいるべ
60 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 04:26:27 ]: 感染したドライブのイメージをVPC内に復元してavastですべて高にして完全スキャンしたら
system volume information内にA0003748.exeが隠れてました。
1月時点でのバックアップには含まれてないし最後に編集した日付が09/04/04ですから
ここで引っかかったときに作られたんでしょうかね。
ファイルサイズ15360バイト
win30:Trojan-gen{Other}
61 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 07:32:59 ]: >>45
Microsoft.NETのインストールは任意なんで、自動更新されなくても正常。

あとRegedit.exeが起動出来れば、GENOウィルスに関しては大丈夫だろうな。

念の為AdobeのReaderとFlashは最新版にしておけばOK。
62 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 08:58:15 ]: >>28のはノートン先生が反応して感染させてくれないぞ
63 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 09:30:48 ]: crestronjapan鯖落ちてるな
やっとメンテかw
64 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 09:32:27 ]: >>9 に書かれているどこかのスレの958です。

再度Virustotalでスキャンしてみました。

各社対応が始まったようで検出率が上がっているようです。

ファイル名 _ycmmf_.cjq.zip 受理 2009.04.11 02:20:16 (CET)
現在の状態：読込み中 ... 順番待ち待機中スキャン中完了発見せず停止
結果: 15/40 (37.5%)

a-squared　　　 4.0.0.101　　Trojan.Agent!IK
AhnLab-V3　　　 5.0.0.2　　　Win-Trojan/Agent.18944.JQ
AntiVir　　　　 7.9.0.138　　TR/Agent.caaj.B
Avast　　　　　 4.8.1335.0　 Win32:Trojan-gen {Other}
AVG　　　　　　 8.5.0.285　　Delf.JTL
CAT-QuickHeal　 10.00　　　　Trojan.Agent.IRC
eTrust-Vet　　　31.6.6450　　Win32/SillyDl.HDU
Fortinet　　　　3.117.0.0　　PossibleThreat
GData　　　　　 19　　　　　 Win32:Trojan-gen {Other}
Ikarus　　　　　T3.1.1.49.0　Trojan.Agent
K7AntiVirus　　 7.10.698　　 Trojan.Win32.Malware.1
McAfee+Artemis　5580　　　　 Generic!Artemis
McAfee-GW-Edition 6.7.6　　　Trojan.PSW.Delf.AB
NOD32　　　　　 4000　　　　 a variant of Win32/Delf.OEX
Prevx1　　　　　V2　　　　　 High Risk Cloaked Malware

AVGは検出しましたが、またしてもカスペルスキーはダメでした。
Kaspersky　　　 7.0.0.125　 -
65 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 09:32:38 ]: puppine↓ここもやっとw

現在、緊急メンテナンス作業中です。
せっかくお越しいただいたのに申し訳ございませんが、
復旧まで今しばらくお待ち下さい。
66 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 09:43:57 ]: ええ～
昔カスペが最強とか言われてたような気が・・
セキュリティってのはとことん気が抜けねぇなぁ
67 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 09:57:50 ]: >63

謝罪文が何所にもないな４日位放置してたのに
68 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 09:58:28 ]: AVG対応して安心したけど、除去や亜種の対応は、どうなったの？
69 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 10:08:02 ]: レス28　ここも感染してるぞ！
94、100.178.211　ラトビア行きだ

おまいら迂闊に踏むなよ
70 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 10:11:43 ]: 鯖乗っ取られすぎﾜﾛﾀ
71 名前：69 [2009/04/11(土) 10:19:56 ]: 訂正

誤 : 94、100.178.211　ラトビア行きだ

正 : 94、100.178.211　ロシア行きだ
72 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 10:24:14 ]: >>64=>>66
たった一つや二つのウイルスでその反応ｗ
他社の工作はひどいもんだなあ
73 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 10:28:14 ]: セキュリティソフトメーカーとハッカーのいたちごっこですからね
74 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 10:40:35 ]: inetnum: 94.100.176.0 - 94.100.183.255
netname: MAILRU-NET08
descr: Mail.Ru
descr: NetBridge Services
country: RU
admin-c: VG659-RIPE
tech-c: VG659-RIPE
status: ASSIGNED PA
mnt-by: MNT-NETBRIDGE
person: Vladimir Gabrelyan
address: 47, Leningradsky prospect, Moscow, Russia
e-mail: gabrelyan@corp.mail.ru
fax-no: +7 495 7256357
phone: +7 495 7256357
nic-hdl: VG659-RIPE

Information related to '94.100.176.0/20AS47764'
route: 94.100.176.0/20
descr: LLC netBridge Services
origin: AS47764
mnt-by: MNT-NETBRIDGE

Information related to '94.100.178.0/24AS47764'
route: 94.100.178.0/24
descr: MAILRU-DC1
origin: AS47764
mnt-by: MNT-NETBRIDGE
75 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 10:41:36 ]: >>66
マッチポンプでなく驚いているだけなら他のセキュソフトでも同じ事は起きるぞｗ
万能のソフトなんて無い
76 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 11:22:19 ]: a-squaredとavastとAntiMalwareで検出したウィルスを全部削除して
セーフモードでComboFixとSDFix掛けてレジストリやら掃除して
Sqlsodbc.chmは削除してから正常な奴に入れ替えて
SystemVolumeInformation内ファイルも全部削除して
WindowsUpdate掛けて、Adobe ReaderとFlashも最新にアップデートしたけど

これで大丈夫かな？チョー心配だ。
77 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 11:25:45 ]: セーフモードでComboFixが動くなら、発症前だったって事だね
裏山
78 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 11:38:13 ]: >>77
いや、最初はセーフモードでも動かなかった。
アンチウィルスソフトで検出できてもどうしても削除できないファイル（GENOウィルス本体かも）
が邪魔していた。

いろいろ試した結果、BARTsPEで起動CDを作ってなんとか↑のファイルを削除成功。
その後、ComboFixが使えるようになった。

しんどかったよ。
79 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 11:50:34 ]: www.virustotal.com/jp/analisis/0b323d289f2881538ceaea3b267dea1c
がんばってみた
80 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 11:53:04 ]: >>78
乙だわ。
81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 11:55:47 ]: >>79
感染元アドレス：hxxp://
OS：
Flash：
Adobe reader：
セキュリティソフト：
82 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 12:01:35 ]: お前らがここまで手こずるウイルスなんて珍しいな、どんだけ凶悪なんだな
83 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 12:10:25 BE:626922427-2BP(0)]: 感染元アドレス：hxxp://94.247.2.195/news/?id=10&
OS：Windows XP SP3
Flash：最新さっき入れた
Adobe reader：None
セキュリティソフト：ZoneAlarm（とAvast!はきった）
でwww.virustotal.com/jp/analisis/0b323d289f2881538ceaea3b267dea1c
84 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 12:13:40 ]: いや。これは驚くだろ
ZEROが対応してる
85 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 12:14:33 ]: 新種EXE PDF SWFまとめZIP

609 名前：クモマグサ(アラバマ州)[sage] 投稿日：2009/04/11(土) 12:10:30.43 ID:gGW25rxB
>>607
すまぬ、よろしくお願いします。m(_ _)m

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=278
DL 　： geno
解凍.： virus

入手元　94.247.2.195　(geno関連)
86 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 12:43:33 ]: >>78
アンチウイルス何つかったの？
PEでブートCDは作ったけど、検出できなくて困ってるorz
87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 13:00:06 ]: ZEROが対応ってまじ？
88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 13:04:52 ]: >>86
俺の場合a-squaredでC:\Windows直下に妙な名前のファイルが検出された。
（こいつはavast!やspybotでは検出されなかった）
これが恐らく親玉ファイル。種類はTrojan-SPY.AGENT!IKだった。ちなみにファイル名はランダムになるらしい。
そいつをBARTsPE起動CDのワードパッドからファイル指定して削除。
CD抜いてHDDからXPを再起動。C:\RECYCLERに先ほど削除した
親玉ファイルがリネームされて残っているのでこいつを削除すればＯＫ。
89 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 13:10:00 ]: >>88
ありがとう
a-squared Free 4.0でいいの？
なんか嬉しくなってきた
90 名前：76=78=88 mailto:sage [2009/04/11(土) 13:17:07 ]: >>89
それで検出した。

もしダメなら、>>64の別のソフトを試せばいいと思う。
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 13:22:40 ]: >>88
そんだけじゃ、まだ残ってるぞ
92 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 13:27:01 ]: a-squared　って他のソフトと共存できましたっけ？
93 名前：88 mailto:sage [2009/04/11(土) 13:31:41 ]: >>88はとりあえず親玉ファイルの削除だけ。

あとは出来ることは>>76にあるとおり。
再意インストール以外で、他にやれる事があるなら教えて。
94 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 13:32:08 ]: >>92
Free版はできる。有償版は知らない。
95 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 13:36:40 ]: >>94
㌧
いれてくる
96 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 13:39:23 BE:1791204285-2BP(0)]: 617 名前：クモマグサ(アラバマ州)[sage] 投稿日：2009/04/11(土) 13:36:21.50 ID:gGW25rxB
>>609
602です。てか、串通してるわけでもないのに何でアラバマ州なんじゃ。(w

ええと、検出スレの方で指摘がありましたが、中に入っていたvirus.swfはJS（スクリプト）でした。申し訳ない。
こちらでもファイルをエディタで開いて確認しました。　IEのキャッシュから引きずり出したんだけど、手違いをしたらしい。

で、id=3の方なんだけど、こちらでは踏んでも何も落ちてきませんでした。向こうも一休み中かも...油断はできませんが。

id=10については、>592さんと同じ物が落ちてきました。ファイル名はランダムなんで、>592さんと同じくu2.exeに名前を変えてパス付きzipでアップしました。
　tane.sakuratan.com/upload/upload.cgi?mode=dl&file=279
　DL 　： geno
　解凍.： virus
　www.virustotal.com/jp/analisis/0b323d289f2881538ceaea3b267dea1c

余裕のある方、検出スレ（>>609）に転載お願いします。m(_ _)m
97 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 13:40:00 ]: ただしa-squared Freeは誤検出も多いぞ
98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 13:45:29 ]: >>88
すでに自動ツールがやってるかもしらんが、下記各項目を確認すれ

１、C:\WINDOWS\に作られるランダム名のファイルを削除（これは>>88で実施済み）
２、C:\WINDOWS\system32\sqlsodbc.chmを本来の正しいもので上書きする
　　正しいファイルは　MD5 (sqlsodbc.chm) = f639afde02547603a3d3930ee4bf8c12
３、regeditで下記レジストリデータの削除確認。上記１のランダムファイル名がデータ欄にある
　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux?
４、regeditで下記のキーが無いことを確認する
　　HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
99 名前：88 mailto:sage [2009/04/11(土) 13:58:28 ]: >>98
全部大丈夫だった。まとめてくれて、ありがとう。
100 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 14:05:14 ]: >>42
>flashは9.0.115.0以下でないならおｋ

踏んだ時Adobe Readerは最新の8.1.4だったけど、Adobe Flashが最新じゃない9.0.124.0だったのに
ウイルスに反応しなかったのはこの理由なのかな。
101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 14:31:15 ]: 通販サイト「GENO」の改ざん、広告掲載サイトにも影響　（Security NEXT - 2009/04/08更新）
ttp://www.security-next.com/010250.html

中古PC通販サイト「GENO」が不正アクセスで改ざん　（Security NEXT - 2009/04/08更新）
ttp://www.security-next.com/010247.html

ウェブサイトが改ざん被害、閲覧でウイルス感染のおそれ - ナクソス　（Security NEXT - 2009/04/09更新）
ttp://www.security-next.com/010267.html

広告掲載サイトで改ざん、ウイルス感染のおそれ - ECナビ　（Security NEXT - 2009/04/10更新）
ttp://www.security-next.com/010278.html
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 14:46:17 ]: 　
103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 15:03:02 ]: このウイルスは感染したPCから同一LAN内の他のPCに感染しますか？
104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 15:08:38 ]: ミスったorz

このウイルスは感染したPCから同一LAN内の他のPCに感染しますか？

家族で使用していて計３台あり、LAN内のデータ共有等はありません。
３台ともルーターからぶら下がっているだけです。
踏んだと思われる時期は6日月曜の夕方から夜にかけてで、
踏んだ疑いがあるのは１台のPCのみです。（「思われる」とか「疑い」というのは、2chブラウザで誤ってマウスカーソルを
GENOのURLのところに置いてしまい、プレビュー機能のようなもの（といっても「情報なし」とか2chのスレ名等が
ポップアップで出るだけですが。ただマウスカーソルをURLに置くと外と通信するようです。）
が機能してしまったということで、「疑い」です。）
OSはすべてXPSP3でReaderとFlashのバージョンは当時不明です。（踏んだ疑いのあるPCはリカバリ済みでReaderとFlashは最新にしました。）
以前から３台すべてのPCにノートン（2009）を入れていて、すべてウイルス定義を火曜夕方当時最新にしてスキャンしましたが、
tracking cookieのみ検出しました。（これは時々よくひっかかるので、関係は無いと思います。）
ちなみに挙動はどのPCも怪しくなく（疑いのあるPCはリカバリ前も）、regeditも起動しました。
105 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 15:14:23 ]: 久々に悪質なウイルス
GENOは潰れるのかな？
106 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 15:16:16 ]: sqlsodbc.chmの本来の正しいものってどこにあるの？
107 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 15:22:30 ]: a-squared Free 4.0 のカスタムスキャンでチェック付けまくって
試してみたけど　￥Windows直下　どころか　Cドライブ全体からも
Trojan-SPY.AGENT!IK　は見つからなかった。

ちなみに　モロに発症中
ブラウザ落ちまくり　レジストリエディタ起動不能
コマンドプロンプト起動不能　ComboFix起動不能

助けてorz
108 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 15:25:31 ]: っクリーンインストール
109 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 15:27:23 ]: >>104
> このウイルスは感染したPCから同一LAN内の他のPCに感染しますか？

感染したまま放置したら他のPCにも感染するかもね。
ちゃんと機能していたら、自分自身をアップデートするかもしれんし。

ま、専ブラでサムネ表示させただけなら大丈夫だと思うけど。
110 名前：107 [2009/04/11(土) 15:45:44 ]: C:\Windowsのなかに　パラボラアンテナのアイコンで
{00000005-00000000-00000008-00001102-00000008-10011102}.CDF
こんなのがあって、これ移動も削除も出来ないんだけど、
これって怪しいですか？
111 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 15:57:51 ]: >>107
コンピュータの復元試してみ
112 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 16:38:37 ]: Crestron復活しているけど、謝罪は一言も無い
こういうのは断じてゆるせん！！
113 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 16:54:04 ]: 別に許してくれって頼んでないし
114 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 16:55:26 ]: >>107
面倒だからOSを再インスコしろ
115 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 17:00:45 ]: IE落ちまくりじゃ、オンラインスキャンも使えないな。
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 17:09:28 ]: お客様各位
ttp://www.geno.co.jp/webshop/okyakusama.html

"不具合のあったプログラムを消去して正常なプログラムが動作するようにするため、
お客様側の対処といたしましてはwebブラウザのキャッシュをリセットして頂く事を
お願い致します。"

"尚、サーバーのウィルス感染や個人情報の流出はございません。"
117 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 17:16:43 ]: >>107
ttp://www29.atwiki.jp/geno/
GENOウイルスまとめ
このスレに
対処方らしきものがある。
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 17:17:09 ]: >>116
流失→流出　new!

gimpo.2ch.net/test/read.cgi/owabiplus/1239264401/1
流失だったみたいだよね
119 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 17:38:38 ]: 昨夜、ここのリンク踏んだらウイルス警告でた。
例のGENOウイルスかと思いキャッシュクリアしたけれど、
さっきウインドウズ再起動したら起動時スキャンでJS.Downloader.vc.3096が発見。
アドビリーダーとフラッシュもアップデートしたのに。
このレスは２月１１日だけど当時から感染してたのかな？

サイズ電源を語れヽ( ﾟДﾟ)人(ﾟДﾟ )ﾉ
pc11.2ch.net/test/read.cgi/jisaku/1227799898/219
120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 17:50:01 ]: >>107
もうどうにかしてるとは思うが一応。

エクスプローラでc:\windowsを開いて
regedit.exeを選択、編集->コピー、編集->貼り付け
できた
コピー～ regedit.exe
ってファイルをrrr.exeにリネーム
そのrrr.exeをダブルクリック（実行）
そうすればレジストリエディタが開くはずだから
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
をひらいて、その中の
aux
をダブルクリック、値のデータをコピーしてメモ帳あたりで保存しといて。

＃＃その値が他のmidiとかmixerの値と違う、c:\windows\system32\以下ではない、*.dllや*.drvではないなら以下を実行＃＃

そのauxを右クリックして削除を選択、レジストリエディタを終了。
そのままwindowsを再起動してみて

わかりやすく言うと、コピー＆リネームすればregeditが動くと思うから
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
を削除して再起動して

それでおかしくないようならそのままシステムの復元すればいいとおもうよ
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 17:51:56 ]: >>119
セキュリティソフトは何ですか？
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 17:59:25 ]: キングソフトの新しいのＳＰ１です。
キャッシュクリアだけじゃ駄目みたいだね。
123 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 18:04:58 ]: キングソフトかぁ
育ちがいいですねえ
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 18:05:43 ]: 大体対応したかな。
結局事前に食い止めたソフトはどれなのさ？
125 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 18:08:14 BE:272081164-2BP(0)]: >>119
ただのiframe埋め込みだよ

ハゲ

<iframe src="www.amazon.co.jp/gp/redirect.html?ie=UTF8&location
=http%3A%2F%2Fwww.amazon.co.jp%2Fgp%2Fslides%2Fmake-money.html%3Fpf%5F
rd%5Fm%3DAN1VRQENFRJN5%26pf%5Frd%5Fs%3Dleft-nav-3%26pf%5Frd%5Fr%3D00SV
8SBX757SKDDMXB5J%26pf%5Frd%5Ft%3D101%26pf%5Frd%5Fp%3D70095606%26pf%5Fr
d%5Fi%3D489986&tag=dmoney-22&linkCode=ur2&camp=247&creative=1211" heig
ht=0 width=0></iframe>

<iframe src="ck.jp.ap.valuecommerce.com/servlet/referral?sid=23
60859&pid=875183741&vc_url=http%3a%2f%2fshopping%2eyahoo%2eco%2ejp%2fi
nfo%2fpoints%2fshopping_points%2findex%2ehtml" height=0 width=0></ifra
me>

<iframe src="pt.afl.rakuten.co.jp/c/099f3de5.99a963c6/?url=http
%3a%2f%2fwww.rakuten.co.jp%2fdoc%2finfo%2frule%2fservice.html" height=
0 width=0></iframe>
126 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 18:23:08 BE:408121766-2BP(0)]: >>119
で悪用されたスクリプトの配布元
凄すぎｗｗ
127 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 18:33:34 ]: genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス genoウイルス
128 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 18:38:40 ]: >>126
www.usamimi.info/~geko/index.html

貼り忘れ
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 19:11:18 ]: GENOには暫くアクセスしない方がいいな
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 19:55:38 ]: >>219の4の項目(PendingFileRenameOperations)なんだけど、
うちの見たらこうなっていたんだけどなにこれ？

\??\C:\WINDOWS\system32\SET5A.tmp
!\??\C:\WINDOWS\system32\LegitCheckControl.dll
131 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 20:16:50 ]: PendingFileRenameOperations
は入れとくと再起動時にリネームするらしい
LegitCheckControl.dll
はWGA(認証プログラム)らしい
ウイルスが認証プログラムを書き換えようとしてるのか
書き換えられたプログラムをシステムが戻そうとしてるのか
認証プログラムかデータがおかしくなった(とシステムが考えた)か
132 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 20:31:20 ]: >>131
WGA書き換えられるとupdateできんって事？
133 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 20:39:28 ]: >>130
両方のファイルサイズ教えて。あとデジタル著名あるかどうか
うちのXPsp3のLegitCheckControl.dllは1480232バイト
うちもcomodoいれて感染させて再起動したらえらく起動に時間かかった後に認証が必要とか言われたから気になる
このときは復元しても直らなかった希ガス
134 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 20:48:02 ]: >>132
updateってか認証が通らなければセーフモード以外で起動できなくなる
もしくは逆にクラックされて常に認証が通るようになるとか
MSにクラック版と判断されて壁紙黒くなるかも
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 21:18:03 ]: >>130
もちろん忘れてはいけないのはこのウィルスがあなたのプロダクトキーや認証コードを盗もうとしているという可能性です。
認証が必要と言われたらあきらめてクリーンインストールしましょう
136 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 21:33:24 ]: ノートだからいくらでも盗んでってくれ。
IBMでもレッツでもＦＭＶでもHPでもどれでもいいよ。
どうせ共通キーだからｗ
137 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 21:41:07 ]: 大体対応したかな。
結局事前に食い止めたソフトはどれなのさ？
138 名前：107 [2009/04/11(土) 22:07:51 ]: >>111
復元ポイントのフォルダに潜伏してるかもと思って
復元機能をOFFにして削除しちゃいましたorz

>>120
詳しい説明ありがとう

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
この値は　他のmidiやmixerと同じ値でした。
139 名前：107 [2009/04/11(土) 22:14:46 ]: C:\WINDOWS\system32を見るとこんなのがありました
sqlsodbc.chmxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

これは一体・・・
140 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 22:17:27 ]: >>138
新種か
141 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 22:23:41 ]: グーグルあたりのクローラで改竄チェックとかしてくれればいいのに
142 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 22:23:51 ]: >>138
チェックしても何も引っかからないの？
セーフモードでチェックしてみた？
一つのソフトがダメなら>>64にある他のソフトで再度チェック。

これでもダメならSDFix。セーフモードで動けば儲けモノ。
143 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 22:24:17 ]: 亜種キタ？
144 名前：107 [2009/04/11(土) 22:24:24 ]: a-squaredのレポートうｐしてみました
www.dotup.org/uploda/www.dotup.org39054.txt.html

これだ！　っていうのあったら教えてください
145 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 22:25:04 ]: genoかどうか分からんが
セキュリティサイト全般に繋がらない
MSのサイトに繋がらない
隠しファイル表示設定しても表示されない←復元設定オフッたら表示された
デスクトップにa.exeっていう隠しファイルがネットにアクセス要求してる
外付けHDのオートランがうまく起動しない
イモバでネット接続すると凄いポートスキャン攻撃
146 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 22:35:50 ]: >>144　とりあえずこれ。

C:\Program Files\CravingExplorer\unins000.exe 検出: Trojan-Dropper.Agent!IK
147 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 22:36:50 ]: >>145
ｗｗｗｗｗ

何というノーガード戦法
中学生かよｗｗｗ
148 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 22:37:29 ]: >>145
スレの上のほうみて該当しなければ
USB経由でなにかもらっちゃったとか
149 名前：107 [2009/04/11(土) 22:48:01 ]: >>146
削除してみました
今セーフモードで改めてCドライブをスキャンしています
150 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 22:49:15 ]: >>106
俺は、ウィルス感染していない別PCから持ってきた。
XPのインスコCDから抽出できるかもしらん。
151 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 22:50:20 ]: >>144
おい、Quake3やらせろ
152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 22:59:56 ]: ｲﾝｽｺおわた
GENOめ、余計な時間をかけさせおって。
153 名前：名無しさん＠お腹いっぱい。 [2009/04/11(土) 23:25:50 ]: >132

ESETだめぽorz
OperaでJavaScriptやプラグインも切ってアクセスしたのに。
154 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 23:26:58 ]: NODがだめなのは今に始まったことじゃないしw
155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/11(土) 23:43:54 ]: 大体対応したかな。
結局事前に食い止めたソフトはどれなのさ？
156 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 00:05:34 ]: 今回の件でノーガード戦法の素晴らしさが理解できたようだな
157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 00:11:15 ]: >>156
代金払いは着払い。クレカ払いは潔く諦める。
拾ったエロファイルはすばやく外付けHDDに格納。
踏んじまったら即クリーンインストール。

結局、ノートン先生もただの効果のない御守りに過ぎなかったのだね。
158 名前：名無しさん＠お腹いっぱい。 [2009/04/12(日) 00:12:30 ]: >155
>結局事前に食い止めたソフトはどれなのさ？

AMD64または互換CPU
159 名前：153 [2009/04/12(日) 00:16:38 ]: 大幅にハードウェアが変更されたので新たにライセンス取得しろと言われたorz
160 名前：名無しさん＠お腹いっぱい。 [2009/04/12(日) 00:23:28 ]: みんな元気？
クリーンインスコしたよw
今、puppylinux、V2Cで書き込んでるっっっw
161 名前：107 [2009/04/12(日) 00:40:54 ]: C:\WINDOWS にeqqbbr.ptnというものが
Trojan-PWS.Delf!IKとして検出されました。

消しても消しても数秒で復活します（汗
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 00:50:46 ]: >>161
BARTsPEで作ったCDで起動して、ワードパッドから削除
163 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 01:11:47 ]: >>161
再インスコしよ
164 名前：76 mailto:sage [2009/04/12(日) 01:24:17 ]: 俺的GENOウィルス駆除までのまとめ

感染症状が俺の場合と似ていれば効くかもしれないが、副作用もあるかもしれないので、あまり期待はするな。
ダメなら再インスコ推奨。

■俺の感染症状■スタートアップ登録アプリが起動しない、regedit.exeやcmd.exeが起動できない、
WindowsUpdateが出来ない、ブラウザが頻繁に異常終了する、ComboFixが使用不能、
一部のアンチウィルスソフトが検査中にハング、ウィルスデータ更新が出来ないなど一部のサイトにアクセスできなくなる

（1）セーフモードにてa-squared Free（ダメなら他のソフト）で親玉ファイルを検出（C:\Windows直下でファイル名はランダム）。
これはWindowsXP上からは削除できない（Trojan-SPY.AGENT!IKと特定、他の種類の場合もありうる）
（2）BARTsPEで起動CDを作り、これで起動。ワードパッドを立ち上げ、開く→ファイル指定→削除→
再起動→CD抜いてHDDからWindowsXP起動（もし、これで感染症状が緩和されたら望みあり）
（3）C:\RECYCLER内に先ほど削除した親玉ファイルがリネームされて残ってるので、これを削除
（4）2009年4月4日以降の日付でシステムの復元ポイント作っていたため、C:\SystemVolumeInformation内
にウィルスが残留の可能性が高いので、復元機能をOFFにして再起動で上記内の復元ファイルを削除
（5）C:\Windows\system32\sqlsodbc.chmが改竄されていたので、これを削除し別PCから正常なファイルを移植（コピー）
（6）セーフモードにてComboFixとSDFixを用いてレジストリを掃除。アンチウィルスソフトで他のウィルスも徹底的に検出・削除
（7）WindowsUpdateを行い、AdobeReader及びFlashを最新版へアップデート

最期に>>98の項目3と4を確認する。
165 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 01:59:03 ]: 報告
gimpo.2ch.net/test/read.cgi/salt/1236600002/42-/
166 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 02:12:59 ]: >>164
GJ
コマンドライン教えないとわかんない子多いんじゃないかな

C:\WINDOWS\ファイル名 /delete
または
C:\WINDOWS\del ファイル名

こんなだっけ
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 02:15:45 ]: >>165
WDSCのブログ,2009年04月03日付に気になる文面があったが、杞憂？

>皆様いつもありがとうございます。
>さて、昨晩より本日19：30頃まで、WDSCのサイト（death-sauce.jp/）が
>接続障害により一切表示できない状態となっておりました。

GENOや他のサイトはそういうことはなかったんだっけ？
168 名前：153 [2009/04/12(日) 02:19:01 ]: >167
改竄されてたらしい
ttp://gimpo.2ch.net/test/read.cgi/salt/1236600002/l50
169 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 02:27:51 ]: tsushima.2ch.net/test/read.cgi/news/1239241638/736
736 名前：ペチュニア(北海道)[] 投稿日：2009/04/12(日) 02:20:29.70 ID:tDouvA5w
これ既出？

★No. 179 管理人 2009/01/25 16:51　

サイトの改竄にご注意下さい
先日、ご自分のサイトが勝手に改竄されたという相談があり、FTPのログを
調べましたところ、同様の手口で被害に逢われた方が他にもおられた事が
判明しました。

こちらで把握した方々には連絡済ですが、ログは一ヶ月分しか残していない
ため、他にも同様の手口で改竄された可能性がありますのでご注意下さい。

今のところわかっている事は次の通りです。

・FTPを使って index.html を読み出し、何らかの改竄をして上書きされる
・改竄によって、閲覧者はウイルスの仕込まれたサイトに接続させられる
（ウイルス名はTrojan-Downloader.HTML.Agent.mu　ただし違うケースもある）
・FTPの接続元は、海外（ラトビア共和国）
・パスワードアタックをされた形跡はない
・パスワードを変えてもすぐに同じで被害に逢う

以上の事から、何らかの手段でパスワードが盗まれたものと思われます。
また、パスワードを変えても再度被害に逢う事から、ウイルスやマルウエア
などによるものと考えられます。

もし、このような事に遭遇しましたら、ご自分のPCをウイルスチェック
した後にパスワードを変更して下さい。また、パスワードは誰にも知られ
ないよう管理にご注意下さい。

kemono.cc/sys/kemonobbs.cgi
170 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 05:48:50 ]: >>144
OSをクリーンインストールしなさい
vncとか自分で入れたのか？
171 名前：107 [2009/04/12(日) 07:32:26 ]: >>161に書いた消しても復活するデータですが
メモ帳を新規作成して、eqqbbr.ptnにリネームして上書きしたところ
ずっと０KBを維持しているので、とりあえずは大丈夫そうです。

しかし症状はなにもかわりません。
172 名前：107 [2009/04/12(日) 07:35:09 ]: >>170
VNCは自分でインストールして使っていました
説明が足りませんでした　すみません

再インストールするわけにいかない状況なので
（数年使いこんだOSで各種インストールCDが紛失など）
なんとしても駆除する方向で頑張ろうと思っています。

DVDライティングソフトも動作しないのでバックアップもできません＞＜
173 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 08:52:16 ]: チェックしてみました。

www.virustotal.com/jp/analisis/01ef19cbd8d453d10dc8a45f3cb62086

レジストリですが、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux

に関しては、この値だけでなく、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux4

のような、aux＊（＊は任意の値）をチェックしたほうがいいです。
当方の場合、aux4に書かれてました。

値は、c:\windows\system\..\pqcna.dge

のような感じになってました。
174 名前：107 [2009/04/12(日) 09:03:12 ]: >>173
今見てみたら　aux3の値が>>171のc:\Windows\eqqbbr.ptnになっていました
とりあえず他のauxと同じ値に書き換えておきました。
症状は変わらず。
175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 09:09:16 ]: >>174　その値は削除するんだよ。

ウィルスをいくらリネームしても症状が変わらないんじゃ同じこと。そいつを削除しないと始まらない。
BARTsPEで起動CD焼いて、コレで起動してから>>164のようにウィルスを削除するんだ。

参考サイト
www.geocities.jp/ht_deko/bartpe/
nnspaces.sakura.ne.jp/contents/win/winpe/pebuilder.html
但し、XPのインストールCDが必要だから、注意。
無くても何とかなる場合も稀にあるらしいが、あまり期待は出来ない。
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 09:21:06 ]: ここも参考に

Bart's PE Builder スレッド 6枚目
pc12.2ch.net/test/read.cgi/win/1204111092/
177 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 10:05:31 ]: >>169
・パスワードを変えてもすぐに同じで被害に逢う

これが怖いな。
ただ個々のユーザーのPCにボットが生息しているんではなく、
ハックしてサーバのFTPバスワードを盗んでいる可能性は
ないのか? さすがに暗号化もしてないなんてことはないよな?
178 名前：107 [2009/04/12(日) 10:14:12 ]: >>175
aux3を無くせって事ですか？

とりあえず、現状報告ですが、
c:\Windows\eqqbbr.ptnは完全消滅しましたが
以前症状は治まりません　aux3を丸ごと削除してみます

あ、あとsystem32のsqlsodbc.chmも削除しました。
不具合が起きたら別PCから移植します。
179 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 10:15:45 ]: >>169
とんでもねえな
180 名前：107 [2009/04/12(日) 10:16:37 ]: >>175
PEのディスクは作成済みなのですが、
a-squared Free（更新済み）をセーフモードで起動しても
親玉の検出ができないようで、行き詰っていますorz
181 名前：名無しさん＠お腹いっぱい。 [2009/04/12(日) 10:21:00 ]: クリーンインストールしてParagon Drive Backup　Expressでリカバリディスク作った
これで万が一があってもすぐに復旧できる＞＜
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 10:24:21 ]: >>177
169によれば「パスワードアタックをされた形跡はない」ってことだけど、
どうだかわからないね。
183 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 10:27:57 ]: >>180
現時点で、セーフモードでComboFixが動かないのか？
184 名前：107 [2009/04/12(日) 10:31:31 ]: >>183
動きませんorz
DOS窓もリネームしないと動かない状況です
185 名前：107 [2009/04/12(日) 10:36:05 ]: >>174の工程で正規ドライバーを指定しているのですが、
もしかしたら正規ドライバーが上書きされたかもと思い、
正規ドライバーを削除してみました
186 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 10:37:40 ]: >>180
a-spuaredは、本体は検知しても、書き換えられてしまったレジストリとかを修正してくれる訳じゃない。
ぶっちゃけ、「感染後の対処としては不十分」だよ。どこのセキュリティベンダーでもそこんとこは一緒。

感染ファイルの感染部分だけ除去ができるケースなんて稀なんだから、復元ポイントがないなら、
諦めてクリーンインストールしろよ。

>>172
>再インストールするわけにいかない状況なので
>（数年使いこんだOSで各種インストールCDが紛失など）

そーゆーもんは、まとめて焼いとくか、HDD内に置いとくもんだぜ。
ぶっちゃけ、今回のは踏んだ後は、諦めるしかない。

ドライバー類はネットで集められる。
ソフトに関しては諦めろ。ソフトは、高い勉強料かもしれんが見つからないなら買いなおせ。
長期間入れ直さないで使ってるOSがゴミだらけで重くなってるしちょうどいいんじゃね。
187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 10:44:41 ]: >>185
ComboFixだけでなくSDFixという手もあるけど、
このブログが参考にならんかな？
tp://www.interbars.co.jp/blog/archives/000066.html
188 名前：107 [2009/04/12(日) 10:46:28 ]: 現状のまとめ

スキャンソフト　a-squared Free（更新済み）

スキャンするとc:\Windows内にeqqbbr.ptnが見つかり
削除するも、1秒で復活するので、テキストをリネームして上書き。

レジストリーで
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Drivers32\aux2 の値がc:\Windows\eqqbbr.ptn　と
なっており、値を正規ドライバに変更

↑これによりc:\Windows\eqqbbr.ptnが完全削除可能になり削除した

ついでに、Windows\system32\sqlsodbc.chm と
sqlsodbc.chmxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
の、二点を削除（不具合が起きたら別PCから移植予定）

このあと、セーフモードでスキャンしてもトロイ系は見つからない

しかし、いまだDOS窓はリネームしないと起動せず、
セーフモードでComboFixも起動しない。

WEBブラウザーも落ちまくる

こんな感じですorz
189 名前：107 [2009/04/12(日) 10:52:17 ]: >>186
これを機会にSSDと言う悪魔の囁きが聞こえている状況ですが、
現状のOS環境を手放せる状況ではないのでもう少し頑張りたいです

GENOに怒鳴り込みに行きたいくらいです。数百キロあるので行けませんが。

>>187
さっそく試してみます　アドバイスありがとう
190 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:00:55 ]: >>189
geno秋葉原店舗を見ると、ああ、中古屋だなぁ・・・と改めて納得できるよ。
リースあがりのDELLのキーボードとかが１００円で大量にあったり。
殴りこむ気も失せるｗ
191 名前：物騒だなオイ ◆Sqq/BUSSOU mailto:sage [2009/04/12(日) 11:01:11 ]: auxの値についてちょっと調べてみた。アレか、Pathの通ったディレクトリから
アプリケーションを読み込む際の設定かなんかなのかな。専門じゃねェから
よく判らんけど。

[HKEY_CLASSES_ROOT\CLSID\{FAE3D380-FEA4-4623-8C75-C6B61110B681}\Schemas\{22383CF1-ED17-4E2E-AF17-D85B8F6B30D0}]
"aux"="ns.adobe.com/exif/1.0/aux"

[HKEY_CLASSES_ROOT\CLSID\{FAE3D380-FEA4-4623-8C75-C6B61110B681}\Schemas\{BB5ACC38-F216-4CEC-A6C5-5F6E739763A9}]
"aux"="ns.adobe.com/exif/1.0/aux"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FAE3D380-FEA4-4623-8C75-C6B61110B681}\Schemas\{22383CF1-ED17-4E2E-AF17-D85B8F6B30D0}]
"aux"="ns.adobe.com/exif/1.0/aux"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FAE3D380-FEA4-4623-8C75-C6B61110B681}\Schemas\{BB5ACC38-F216-4CEC-A6C5-5F6E739763A9}]
"aux"="ns.adobe.com/exif/1.0/aux"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\DOS Devices]
"AUX"="\\DosDevices\\COM1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\Session Manager\DOS Devices]
"AUX"="\\DosDevices\\COM1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Control\Session Manager\DOS Devices]
"AUX"="\\DosDevices\\COM1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\DOS Devices]
"AUX"="\\DosDevices\\COM1"
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:03:18 ]: >>189

↓このキー自体削除したほうがいいじゃねぇか？>>120でも言ってるが。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2
193 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:04:47 ]: ν速現行板落ちたな
陰謀か？
【0.1】ﾈｯﾄｼｮｯﾌﾟ｢GENO｣等でウイルス感染　業務再開するもGENOｻｲﾄﾞは｢ｷｬｯｼｭ消せ｣とふざけた対応★11
tsushima.2ch.net/test/read.cgi/news/1239241638/l50x
194 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:05:10 ]: うわコテ消してねェw ごめん。

以上、Windows XP SP2。上4つがAcrobatを呼び出す際の設定、下4つがcmdを呼び出す
際の設定と思われる。アプリケーションのバージョンやユーザ環境によって若干の差異は
あるかも知れんが、正常な値はこんなもんだろうよ。

Bart's PEを使用して駆除を試みるんなら、ウィルス本体の削除⇒レジストリのハイブから
該当の値を修正、削除⇒書き換えられたシステムファイルを正常なファイルで上書き... の
手順で何とかなりそう。

参考：レジストリ・ハイブをロードしてオフラインでレジストリを閲覧・編集する
www.atmarkit.co.jp/fwin2k/win2ktips/1117ldreghiv/ldreghiv.html
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:06:43 ]: >>192
手元のPC数台で確認したけど、レジストリ上では
｢HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux｣
って値はやっぱり通常存在しないっぽ。消して問題ない。多分。
196 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:20:31 ]: セキュ板では、コテ禁止なのか。
197 名前：107 [2009/04/12(日) 11:21:40 ]: >>190
メールの返事も来ないし、本気で腹がたちます。

秋葉じゃなくて日本橋なら近いけどGENOが無いしｗ

>>192,195
aux2と3を削除したのですが、SDFixが終わったら
一応auxも削除しておきます
ありがとうございます
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:25:32 ]: >>197
心配ならレジストリの値をバックアップしとくといい。
該当する値を選択して、ファイルメニューからエキスポートを選択、デスクトップ
かなんかに適当な名前付けて保存すれ。がばれ。
199 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:28:06 ]: >>196
嫌がる人おるからね。

せめてセキュ板なんだからID出てもいいとは思う。
200 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:30:39 ]: ☆予防について
XP使ってないから、どの程度安全性確保できるか分からないけど
基本標準ユーザーで運用し、フラッシュ、アクロともに最新で
念のためIEならば最低限アクロバットプラグイン無効にしておけばいいんでないの？
201 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:31:04 ]: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux3

こちらのPCではこれらの値はすべてwdmaud.drvになっている、
WDMオーディオドライバマッパーだと思うので消さない方がいいんじゃまいか?
202 名前：名無しさん＠お腹いっぱい。 [2009/04/12(日) 11:39:08 ]: >>201
感染PC、非感染PCで対応が分かれるんじゃねかな。
感染している場合はレジストリで指定されてる実ファイルの確認が要る。

っていうか、wdmaud.drvって本来はC:\WINDOWS\system32直下に有るんじゃ
無かったっけか？なんか変じゃね？そうでもねェのかな。
203 名前：202 mailto:sage [2009/04/12(日) 11:44:19 ]: うん、値が｢C:\WINDOWS\system32\wdmaud.drv｣になってなけりゃ疑った方が
良い気がする、やっぱ。その場合は｢C:\WINDOWS\system32\drivers｣直下に
有る"wdmaud.drv"をリネームしとくと無難かも。
204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:45:28 ]: >>201
auxって外部入力じゃなかったっけ？そもそも、そんなのが4系統も必要か？

wdmaud.drvなら

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave

でロードされてるし。「レジストリ aux」でググルとウィルス関連多いし。
205 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:45:57 ]: まァ何よ、間違えてても音が鳴らん程度の問題にしかならんからw
206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:46:05 ]: >>199
コテつけただけで、叩かれるのはどうなの？と思う。

zlkon virusは、ジルコン・ウイルス？と読むんか。
GENO ウィルスで、現在定着してるし、いまさら名前は変えられない。
GENOという店が、お客に対して無責任な態度を取ったという事実とともに
名前は広まっていくだろう。
207 名前：202 [2009/04/12(日) 11:47:50 ]: >>204
あ、Path通ってるからあの記述でも間違いじゃないんだな。悪り。
208 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:51:46 ]: >>206
な～。やっぱGENOウィルスはGENOウィルスだよな。
209 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:54:45 ]: ν速スレ落ちてしまったがな。
何やってんだYO!
潰すまでやれよ！
210 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 11:57:57 ]: >>209
3日で自動DAT落ち
211 名前：107 [2009/04/12(日) 12:01:28 ]: 駆除完了した模様です！！！！！！

タスクトレイのスタートアップも正常な数のアイコンが起動していて
普通にDOS窓もレジストリエディタも開くようになり、

落ちまくっていたWEBページでもブラウザが落ちなくなりました。

どうやら始めに落としてきたComboFixが壊れていたようで、
教えて君.netからリンクされているComboFixを落としてみると実行できました。

でも、他のPCで前者は正常に起動していたので、わけわからんとです。
しかし結果オーライと言う事で。。。お騒がせしました。

そして、沢山のアドバイスしていただいたみなさんありがとうございました
212 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:02:04 ]: >>200
Acrobatの設定から動的サービス(スクリプト)の使用を無効にすればいいと思う。
もしくはIEの｢セキュリティの設定｣から、

　・｢ActiveXコントロールとプラグインの設定｣→｢ActiveXコントロールに対して自動的にダイアログを表示｣を有効に
　・スクリプト→アクティブスクリプトの設定を｢ダイアログを表示する｣に

である程度セキュリティレベルを上げることも出来る。人的スキルに依るところが
多いし、ページ開くたびにメッセージがウザイかも知らんけどまァ、感染するより
マシかと。
213 名前：201 mailto:sage [2009/04/12(日) 12:05:36 ]: 今ここを見てるんだけど今一わからん><
p://www3.atword.jp/gnome/
214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:14:42 ]: >>213
Windowsのシステムファイルと同じ名前のエントリでウィルスがレジストリを
書き換えるので始末に困る、というお話。
215 名前：164 mailto:sage [2009/04/12(日) 12:18:42 ]: >>211　オメ

>>どうやら始めに落としてきたComboFixが壊れていたようで、
>>教えて君.netからリンクされているComboFixを落としてみると実行できました。

これは、俺もそうだったようだ。ComboFixをダブルクリックしてもDOS窓が一瞬開いただけで
何も起こらなかったが、親玉を消し去った後、再度ダウンロードした奴は使えるようになった。

念のため>>98を確認した方がいい。
216 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:27:37 ]: すみません。GENOにかかるとAVGのアイコンをクリックしてもアクティブなアイコンがありませんとかって
表示されます？
217 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:28:44 ]: >>209
なんかネタがあれば立て直すんだけどなぁ
218 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:29:16 ]: >>216
限りなく怪しいと思う
219 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:31:44 ]: >>216
regedit起動できる？
220 名前：107 [2009/04/12(日) 12:34:53 ]: >>215
色々アドバイスありがとう

やっぱりウイルスが最初に落としたComboFixを破壊していたんですね
親玉ウイルスを削除した事によって新たに落としたComboFixが動いたと。

ちなみに
auxを消したからから音が鳴らなくなりましたｗ
ドライバーを入れなおしたら一旦削除していたwdmaud.drvが復活しました。
レジストリに新たにAUXを作り、値をwdmaud.drvに指定したところで
今から再起動して確認してきます。
221 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:36:16 ]: >>219
regediｔって？再起動したらなぜかAVG使えるようになりました
でも、２・３日前にエロ動画をDLしたときにCPU負荷が８０%とかなっていたことが
あったのですごく不安・・・・
222 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:37:12 ]: pc11.2ch.net/test/read.cgi/pc/1238813738/
223 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:37:30 ]: スタート→ファイル名を指定して実行→rededit
224 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:38:37 ]: 誤爆
スタート→ファイル名を指定して実行→regedit
225 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:38:45 ]: >>221
スタートボタン→ファイル名を指定して実行→regedit→OKボタン

で、レジストリエディタが立ち上がるか？
226 名前：219 mailto:sage [2009/04/12(日) 12:39:42 ]: >>221
書き込み間違いました。すみません
regediｔって？再起動したらなぜかAVG使えるようになりました
でも、２・３日前にエロ動画をDLしたときにCPU負荷が８０%とかなっていたことが
あったのですごく不安・・・・
検索してファイル名を指定して実行したらレジストリエディタが立ち上がりました
大丈夫ですか？
227 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:43:05 ]: 言えるのはグレー
白とも黒とも言い切れない
228 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:44:26 ]: ここのレス1から見て自分で試すしかない
229 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:48:28 ]: Tempフォルダに
Perflib_Perfdata_58c.dat
ってファイルがあったけどこれ怪しい？
タイムスタンプはPCを起動した時刻になってる

あとエクスプローラーのフォルダオプションで
「登録されている拡張子は表示しない」のチェックが
外していたはずなのにチェックありになってた
230 名前：107 [2009/04/12(日) 12:49:19 ]: >>220の音が出ない件ですが、サウンドドライバを入れ替えたのが原因で
WMPの設定がウマくいってないだけのようです。
GOMプレイヤーをインストールしてみると音がでました。
また、Windowsの効果音もでています。
231 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 12:59:29 ]: マカーでfirefox使ってるけど大丈夫だよね
メモリ使用量が多い気がするぜ
232 名前：153 [2009/04/12(日) 13:07:36 ]: >229
異常終了しなかった？
233 名前：229 mailto:sage [2009/04/12(日) 13:13:18 ]: >>232
Perflib_Perfdataについては改めてググってみたけど
異常終了はしてない
Unlockerをインストールしてロック解除を試みてみたら
jqs.exeがロックしてた
234 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 13:22:36 ]: >>231
怪しいプロセスが動いてないかチェックしる
235 名前：153 [2009/04/12(日) 13:26:41 ]: >233
してるんだよ
ttp://support.microsoft.com/default.aspx?scid=kb;en-us;Q285798
236 名前：229 mailto:sage [2009/04/12(日) 13:32:29 ]: >>235
異常終了をしたときに生成されるファイルだということは理解したが、
電源ブチ切りとかそういうことは一切していない

終了オプションから電源を落として再起動してみたらやはりTEMPにPerflib_Perfdataが出来る
237 名前：229 mailto:sage [2009/04/12(日) 13:34:53 ]: とりあえずregeditもWindows Updateも特に阻害される様子は無い
上の方に書いてあるようなレジストリの値も存在しない
でも安全かどうかはまだいまいち分からない
238 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 14:07:10 ]: 調べれば調べるほどとんでもないウイルスだなこりゃ
239 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 14:08:38 ]: 俺のワキガ並にとんでもねえな
240 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 14:12:00 ]: 新種の処理現場に立ち会えて勉強になるわ
感染してないと気が楽だ
241 名前：107 [2009/04/12(日) 14:26:53 ]: 感染PCが完全復活したので、ComboFixの吐き出したｔｘｔをうｐしときます
www.dotup.org/uploda/www.dotup.org1228.txt.html

自分みてもサッパリですが、わかる方のなにか参考にでもなれば。
242 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 15:40:31 ]: どうも数日前にこれに感染したっぽいんだが、
このウイルスって他人にも広がる…？
個人でサイト運営してるんだが、今日メールで｢ウイルス対策ソフトが反応するんですが感染してませんか？｣
と言われたので。
サイトも感染してるならまるごと消したほうがいいんでしょうか？
243 名前：153 [2009/04/12(日) 15:44:44 ]: >242
メールには感染してない？

差し支えなければアドレス晒してくれ
特攻して来る
244 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 15:46:12 ]: なんにせよアクセスできないようにしといた方がいいよ
それから詳しく調べれ
245 名前：名無しさん＠お腹いっぱい。 [2009/04/12(日) 15:48:58 ]: もう下火だな
246 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 15:53:54 ]: >>242
おまいがGENOウィルス感染
→おまいのFTPアドレスとパスワードが94.247.2.195へ流出
→FTP経由でおまいのサイトに新型GENOウィルスが注入される
→>>107がそれを見て新型に感染ｗ
247 名前：242 mailto:sage [2009/04/12(日) 15:58:13 ]: 死にたくなって来た…
IE落ちまくりでサイト削除もままならないから
明日辺りネカフェでも行って全部消してくるか
ネカフェは流石に大丈夫ですよね？
248 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 15:59:01 ]: ノートン２００９はこのウィルス対応してるの？
GENNOで何度か買い物してるので心配です。
249 名前：名無しさん＠お腹いっぱい。 [2009/04/12(日) 16:00:48 ]: >>247
プロバは対応してくれないの？
250 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 16:05:07 ]: >>248
>>9
>>64
251 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 16:11:43 ]: これまでのあらすじが8日にとまってる。
252 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 16:11:59 ]: >>248
対応しているアンチウィルスも完全に設定されていれば「感染を防ぐ」事はできる。
しかし、趣味で一部の機能を止めてあったりすれば簡単に感染する。

また、感染したPCからウィルスを完全に駆除できるアンチウィルスは、残念ながら、
まだどこにも無い。
253 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 16:14:24 ]: 196 名前：名無しさん[sage] 投稿日：2009/04/09(木) 13:21:42 0
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。
被害者が多ければ集団訴訟なんかできないかと思っています。
かなり難しい戦いになると思いますが。

メールや電話でGENOに報告された方おられましたらご連絡ください。

GENOウイルス被害者の会
yy701.60.kg/genovirus/
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 16:33:27 ]: 203 名前：名無しさん[] 投稿日：2009/04/11(土) 14:44:01 0
www.geno-web.jp/Goods/GA07031000

[良品中古] Intel Pentium4 2.40GHz Socket478 (512KB/ 800MHz/ －)
　　
[商品番号] GA07031000
[販売価格] 99,999,999 円

204 名前：名無しさん[sage] 投稿日：2009/04/11(土) 16:22:01 0
>>203

avast! Web シールドの警告
アクセス拒否
avast! Web シールドは遮断したファイルまたはページを検出し、
そのオブジェクトへのアクセスを許可しません。

205 名前：名無しさん[] 投稿日：2009/04/11(土) 16:28:24 0
これって改竄されているよね。
GENOはまだ知らないようだ。近寄らないほうが賢明か。

206 名前：名無しさん[sage] 投稿日：2009/04/11(土) 16:39:27 0
>>203
ウイルス注意

219 名前：名無しさん[] 投稿日：2009/04/11(土) 21:05:24 0
Top->CPパーツ館->CPU->Pentium4 2.80GHz->右の欄のPentium4 2.40GHz　です。
255 名前：名無しさん＠お腹いっぱい。 [2009/04/12(日) 16:35:29 ]: どこで感染するかもわからん未知のウイルスか
うかつにネットサーフィンも出来ない時代が来たか
256 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 16:39:09 ]: もう携帯でいいや
257 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 16:44:14 ]: >>242
サイトのソース見てみたらどうだね。見覚えのないのが入ってたら、消した後で、対策を検討しろ。
258 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 16:51:29 ]: >>242
これ以上感染経路広げないでください。
259 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 17:07:12 ]: >>231

今のところ被害はWin系だけかな。
・アンチウイルスソフト　でチェック
・アクティビティモニタ >> すべてのプロセス　
　で変なプロセスがないかチェック

今後の亜種が心配ならJavaScript/Java は切っとくといいかも
こんな感じでどうっすか。
260 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 18:16:53 ]: まだまだ感染拡大中なのか
261 名前：名無しさん＠お腹いっぱい。 [2009/04/12(日) 18:37:05 ]: >>253
これってドメイン危険すぎるんだが地雷？
262 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 18:39:25 ]: >>253
ドメインがマズかったよな
あまりにも有名すぎる
263 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 18:42:49 ]: >>253
-- 「2009/04/12 6:18」のキャッシュをチェックしています。 --
ブラクラチェックが完了しました注意！ループタグを発見！ (1)
ブラクラチェックが終了しました。

※ フォームタグを発見しました。(7)
../test/bbs.cgi
../test/bbs.cgi
../test/bbs.cgi
../test/bbs.cgi
../test/delete.cgi
※ 隠しスクリプトを発見しました。(7)
上記アドレスのチェックもお勧めします。(そのままチェックできます。)
264 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 18:43:33 ]: yy701.kakiko.com/genovirus/
.kgドメインなんか出さずにこっちのURLで宣伝してれば良かったのだよ
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 18:53:24 ]: どうして2ch以外の掲示板に行かなければならんのか分からん。
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 18:55:24 ]: yy701.60.kg
yy701.kakiko.com

206.223.153.55
banana3123.maido3.com

ﾜﾛﾀ
267 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 19:08:42 ]: banananだと！？
268 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 19:21:29 ]: >>242
糞サイトさっさと消せ。俺も消したんだし
269 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 19:49:09 ]: その外部板じゃなくてwikiの方でまとめとけば良かったんじゃないの
270 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 19:51:25 ]: naxos,geno,rakuten.ne.jp/gold/i-na/
juicyrock
crestronjapan.com
mag-puppine.com
は、もうウイルスが無くなったでFA?
271 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 19:52:43 ]: >>254の改竄はどうなったん？
272 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 20:55:43 ]: >・sqlsodbc.chmのハッシュを調べて
>F639AFDE02547603A3D3930EE4BF8C12
>と異なる値が出た場合感染してる可能性あり

同じ値だったけど小文字でもいいの？
273 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 21:08:36 ]: >>272
おｋ。
大文字小文字は使用しているハッシュ算出ソフトで異なるだけ。
値が寸分違わず一緒ならハッシュ一致。
274 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 21:25:38 ]: >>270
いま直ってるとしても原因究明できたのかがわからないから
いつ復活してもおかしくはないとおもう
275 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 22:05:05 ]: >>274
それは、ちょっと気が遠くなるお話で。
あれらの会社が、原因究明をすることが可能なのか
可能であっても、発表する気があるのか疑問だ。

感染したサイトのリスト
naxos,geno,rakuten.ne.jp/gold/i-na/
juicyrock
crestronjapan.com
mag-puppine.com
death-sauce.jp
kemono.cc
某USのサイト（苦笑）
の9箇所か。
276 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 22:16:53 ]: パピーヌ
277 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 22:20:56 ]: >>259
firefoxを落とした時によくエラー吐いてたから心配だったんだけど
一旦アンインストールして、再インスコしたらとりあえず安定した。

ClamXavとか
.symantecのセキュリティスキャンでも何もでないから大丈夫ぽい。
ありがと

parallelsでxpを起動させてるけどそっちも大丈夫でした
278 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 22:22:28 ]: 276は誤爆スマソ

これだけではあれなので自分はハッシュも異常なく症状もなくウイルスバスター2009も検知せず
カスペのオンラインスキャンでも検知せず（でも絶対サイトは踏んでいた）
でカスペの試用版入れたら検知されたという人のレスを見てそれ入れてみたらウイルス出た
ある意味すぐに検知されたほうが楽になれたｗ
279 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 22:32:48 ]: >>275
どう見ても、氷山の一角としか思えんのだが。
280 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 22:45:00 ]: 乗っ取り可能なサイトなんて無数にありそうだしねー
281 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 22:53:58 ]: どうせなら世界が大騒ぎするようなとこ乗っ取ればいいのにw
282 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 23:00:12 ]: 捕まりたくはないんだろ
283 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 23:01:21 ]: え・・・まだ対応してないの？
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/12(日) 23:31:50 ]: 韓国でハッキング大会してるんだっけ？
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 01:39:16 ]: m●ag-puppine.com/about/は、まだ危険？
286 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 01:43:23 ]: 1週間～1日の潜伏期間も終わり、そろそろエボラに変貌する頃。
287 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 01:44:15 ]: 1週間～1日じゃなく1週間～10日だった。
288 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 01:49:10 ]: 正直気は抜けないな
初期に感染が発覚したサイトが対処したとしても
今度どこに仕掛けられるか分からない
もしかしたら、今回こちらがとった対処法を逆手にとって
ぱわーうｐ版をバラ撒くかも・・
289 名前：153 [2009/04/13(月) 01:53:16 ]: >285
現在、緊急メンテナンス作業中です。
せっかくお越しいただいたのに申し訳ございませんが、
復旧まで今しばらくお待ち下さい。

対応も遅いが復旧も遅い
290 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 01:54:47 ]: 大騒ぎするようなとこはのっとられないとおもうわけで
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 02:13:23 ]: ぼくらが大騒ぎされないサイトの常連かもしれないわけで
292 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 02:16:02 ]: 原因わからず適当に再開するよりはちゃんと突き止めるまで
閉鎖してたほうがマシというかたぶん普通
すぐ再開するほうがこわい
293 名前：153 [2009/04/13(月) 02:20:39 ]: >292
一度復旧したもののaboutだけ放置プレイだったと聞いたけど？
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 03:07:40 ]: 一般的な話のつもりでしたごめんなさい
聞いたけど？とかいわれてもわかりません＞＜
295 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 03:27:58 ]: かわいい
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 04:04:46 ]: ビビッ太ので報告

今、四式戦闘機でググって、実物かプラモの写真とか見たいと思って、

3k-hobby.deci.jp/air/select_item.php?id=waha48jt067&zone=0
(http://先頭に補えよ）

開けたら、突然何かのpdfがありませんだか、そういうメッセージが出て、
俺様の愛用しているFISが、ウィルスを削除しましたってポップアップ出した

pdfがらみみたいなので、このGENOウィルスかなとか思ったんだけど、
ホントビビッ達す

なんかさ、ググった一覧の中に、感染サイトがｳﾖｳﾖいると思ったら、
怖くてネットーサーフィンｗｗｗしづらくなってきたよｗｗｗｗｗｗ
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 04:30:44 ]: >>296
報告乙。OSは何ですか？
298 名前：名無しさん＠お腹いっぱい。 [2009/04/13(月) 04:39:46 ]: ニュー速スレ死んだのか・・
299 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 05:37:40 ]: ウィルスそのものより、乗っ取りの手段が気になる
こんな簡単に何度もサイトを乗っ取れるもんなんかね？
300 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 06:46:41 ]: >>297
XP の SP3 ｯｽ
ブラウザは firefox で、
プラグインは、Adobe Acrobat plug-In Version 7.00 for Netscape で
フラッシュのプラグインのヴァージョンの見方がわかりません
たぶん v10 だと思います（インストールした記憶があるので）

正直、感染した可能性もなきにしもあらずですが、
まだ再起動してないので、再起動するのが楽しみｯｽ
301 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 06:58:17 ]: >>300
フラッシュのサイトの右側のFAQをクリック。
webプレイヤーの動作検証サイト、をクリックする。
aboutにカーソルを持って行く。

これでわかるよ。
302 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 06:59:38 ]: >>299
スパムメールでウイルスサイトへ誘導→スパイウェアを仕込む→FTP操作で改竄JSを置く
303 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 07:07:32 ]: >>301
すごく丁寧にｱﾘｶﾞﾄｺﾞｻﾞﾏｽ

Version 10.0.12.36 でした
304 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 08:46:51 ]: これだけやっかいなウイルスなのにニュースサイトではほとんど騒がれていないな
やっぱり大手サイトが感染しないと話題にならないのかね
305 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 09:11:23 ]: 自動増殖するタイプじゃないと、どこもまともに対処しないのな。
悪質性はかなりのものだと思うんだが。

会社のPCなんて未だに古いAcrobatReader使ってやがるし、いつ感染してもおかしくない状態。
バージョンアップしろってつっついても、Windowsもウイルス対策ソフトも最新だからと知らん顔。
業務用バスターがそんなに信用できるとは知らなかった。
306 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 09:23:54 ]: >>303
Reader、Flashとも最新版でないようなので不安なところだ。
>>96 のウイルス入りPDFならF-Secureが対応済みなので大丈夫だろう。
u2.exeはスルーなのでFlashから感染してるかもだ。
↓とりあえず最新版リンク。

Adobe Reader 9.1
ttp://get.adobe.com/jp/reader/
Adobe Reader 7.1.1 Update - Multiple Languages
ttp://www.adobe.com/support/downloads/detail.jsp?ftpID=4363
Adobe Flash Player 10.0.22.87
ttp://get.adobe.com/jp/flashplayer/
307 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 10:22:02 ]: >>305
無知な人に説明してもラチがあかないんだよな
308 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 11:44:36 ]: 524 名前：名無しさん[sage] 投稿日：2009/04/13(月) 11:07:30 0 (PC)
ウェンディーツアーって旅行会社のHPにマルウェアサイトへリダイレクトさせるやつが仕込まれてる模様
GENOと関係あるのかな

526 名前：名無しさん[sage] 投稿日：2009/04/13(月) 11:08:57 0 (PC)
>>524
見てみた
ネットワークシールド：マルウェアサイト online2163.com/def1/index.phpへの接続を遮断しました
Google先生でもonline～ってサイトは損害～になってる

527 名前：名無しさん[sage] 投稿日：2009/04/13(月) 11:11:55 0 (PC)
>>524
そのサイトの全ページがなってるっぽい
309 名前：名無しさん＠お腹いっぱい。 [2009/04/13(月) 12:03:50 ]: 現地のツアー会社みたいだな
日本人スタッフはいるみたいだけど
310 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 12:34:37 ]: commandがOKでcmdがダメなPCがあったから、何かと思ったら、これか…。
311 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 14:29:21 ]: ウイルスなんてチェルノブイリ以来だからｗｋｔｋしてたのに…。
a-squaredでチェックしたら普通に削除できてしまった。

まだ潜伏もあるかもしれんから、再インスココースだったけど、1台はしばらく保留にしてみる。
312 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 15:10:11 ]: そんなものですむわけがありません
313 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 15:12:11 ]: このウイルス不発してんじゃね？
314 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 16:06:45 ]: 感染したあとに何をしでかすのか結局よく分からん
ラトビアだかロシアだかにどんなデータを送信してるのかもわからんし
解析って時間がかかるもんだな
315 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 16:17:20 ]: どっかのウイルス対策ソフトベンダーは発見から15分以内に解析が終わるとか言ってた気ガス
316 名前：153 [2009/04/13(月) 16:37:35 ]: アクセスする度に違う物がロードされて来るのに解析出来る訳がない
317 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 16:47:54 ]: 対策ソフトが役に立たないとなればどうすればいいのだろう
お手上げではないか
318 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 16:49:42 ]: どこで感染するかわからない
感染したら何をされるかもわからない
319 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 16:50:11 ]: XP豚涙拭けよ？
320 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 16:51:39 ]: Vistaでも設定しだいでは感染できるだろこれ
変に高速化とかしてるとやばそう
321 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 16:53:48 ]: >>317
既知の問題を利用した感染とされているから
Adobe ReaderとAdobe Flash Player
を最新にしておけばいいのではないだろうか
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 16:59:54 ]: とりあえずPGでラトビアとロシアを
弾いてみるのはどうだろう
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 17:04:43 ]: まだ治んないの？
なんというザルショップｗ
324 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 17:04:49 ]: ラトビアからロードされるコードは「現状では」pdfとswfの脆弱性をついているが、
中の人が気まぐれで別の攻撃コードに変えてくる可能性もある。
万全を期すなら、使用しているブラウザと、ブラウザに入っているプラグインを全て最新にしておいた方がいいかもしれない。
325 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 17:05:45 ]: Flash10は重いからFlash9の「9r159」を使ってる
お前らはどうしてる？
326 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 17:10:05 ]: 感染してるし・・・最悪ー
327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 17:14:49 ]: >>325
同じだ、10だとブラウザ固まる
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 17:23:04 ]: AMD64交互CPU+WindowsXPsp2/sp3の組み合わせはロードしてもコード実行しないね
vistaも
329 名前：153 [2009/04/13(月) 17:49:41 ]: IntelのCPUはチップセット次第なのでハードウェアレベルでの対応は怪しげ
i7系は多分大丈夫
330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 18:43:36 ]: VISTAのYESマン仕様は危険。
331 名前：名無しさん＠お腹いっぱい。 [2009/04/13(月) 19:11:26 ]: もう下火だね
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:12:14 ]: ねぇ…相談なんだけど、修理に5万かかるって言われたらどうする？5年程前に買ったpcだからもういっそミニノート型でXPにしようかなと思うんだけどもみんなならどうする？
333 名前：別883 mailto:sage [2009/04/13(月) 20:13:55 ]: 先日別スレでBart'sPE修復したものですが。。。
サイトの感染経路が判明しました。

どうやらこのウイルス、感染すると自分のアクセスしたFTPに
勝手にログインして、ファイルを改ざんする模様です。
うちのサイトもいくつかやられました。。。

サイト公開してるみなさんも十分注意してください。
334 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:15:53 ]: >>332
修理内容が分からなきゃ答えようがない
335 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:17:23 ]: >>333
それが事実ならGENOの鯖は阿部が感染してFTP経由？
犯人は阿部かｗ
336 名前：別883 mailto:sage [2009/04/13(月) 20:18:53 ]: >>335
おそらくその通りだとおもわれます。
うちの鯖はローカル以外アクセスできない設定なんですが、
それでも改ざんされてたので、感染したPCから書き換えたようです。
337 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:21:58 ]: 左下から秒針のような音がし出してさｱﾊﾊブルースクリーンになったら5万コースだよ気をつけて。ここの人は色々詳しいからここまで被害受ける人はいないだろうけど。携帯から文字打つって大変だねｱﾊﾊ
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:25:25 ]: どうりでくそ対応なわけだ
阿部も社長に言えないってか？ｗｗｗ
誰か社長に教えてやれよ
339 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:26:35 ]: torrent-finder.com/

このトレントサーチで検索かけたとたん、AVASTがJSにトロイ！
とか言って警告きたんですが、
これもそういう類ですか？

最近、WEBが怖いです(´・ω・｀)
340 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:29:47 ]: >335の証言は決定的だな
阿部、自首しろよ
店は残れるかもよ

あっ、ごめんなさいできないピーターパン症候群阿部に自首は㍉かｗ
341 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:30:46 ]: あ、レスきてる。人って優しいねｱﾊﾊハードが壊されちゃったみたい。みんななら何買う？ｱﾊﾊ色々調べたいけど携帯だからさ。見にくいわ表示されないわでさｱﾊﾊﾊﾊ
342 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:34:18 ]: >>341
左下がどこかわからないし、あなたにはだれもレスしていませんでした
携帯だって改行くらいできるよ
たぶんデータ飛んでるだろうし新しいPC買ったほうがマシだよ
343 名前：名無しさん＠お腹いっぱい。 mailto:age [2009/04/13(月) 20:34:53 ]: あげ
344 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:36:47 ]: >>341
まずは飯喰って風呂入って寝ろ
話は翌朝だ
345 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:40:37 ]: 携帯から2chなんて初めてなんで
ごめんね。
ネカフェ行きます…
346 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:46:59 ]: ウザっ
347 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:49:01 ]: 修理依頼なんて頼むレベルじゃ自力で直せないのは明白
つか修理頼んでもリカバリされてクリーンインスコ状態だ
諦めて新しいPC買え
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:55:29 ]: まあ5万円あれば5年前のパソコンより高性能なPCは買えるわな
349 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 20:57:22 ]: 345がPCからよりJK携帯のが上な予感ｗ
350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 21:01:33 ]: >>333
ローカルLAN内PCヤバイ予感
351 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 21:32:23 ]: 最初に適当な（もしくは自分で用意した？）サイトに罠を仕掛けて
スパムメールなどで誘導、そこにアクセスさせて感染させる
感染するとそのPCがFTPへ接続するのを監視し、パスを盗んで勝手にログイン、
そこのファイルも改ざんして、アクセスしてくる新たな獲物を待つ…って感じ？
352 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 21:34:09 ]: 5万出すならそこそこ良いのが代えるだろ。
3Dゲームやるならちと足りないが。
持ち運ばないならミニノートじゃなくてHPの4万の奴当たりがいいんじゃね?
デスクトップならHPでもDELLでも3万から有るしな。
353 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 21:36:25 ]: ミイラ取りがミイラにってやつですねわかりました
354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 21:40:19 ]: 何件か改ざんされたサイトあったけど
研音とか微妙なんだよね、スパムで釣ったなら
ただ、サイト管理者が興味持ちそうな系のなのかな
あくまでも仮定の検証
355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 21:58:43 ]: もう話すことないから書きこまないで落とそうか
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 21:59:49 ]: 流れ切ってスマンが質問(´Д｀;)
噂だとsystem volume information内にもウイルスが入り込むようだけど
HDDをフォーマットあるいはパーティションの削除すればsystem volume informationフォルダもクリアされる？

このウイルスに感染したようなので、クリーンインスコする前に増設したHDD3台の処理に対する質問です
357 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 22:04:49 ]: >>355
社員乙
358 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 22:09:06 ]: >>355
安心しろニュー速スレ立ったからｗ

GENOウイルス　鯖管理者のPCがウイルス感染の可能性　お詫びは削除
tsushima.2ch.net/test/read.cgi/news/1239626557/l50
359 名前：名無しさん＠お腹いっぱい。 [2009/04/13(月) 22:13:43 ]: 社員ここ見てるんでしょ？
それでこの対応とかってｱﾘｴﾅｲ
こういう店使ってる人は並行してｗｅｂ見てるだろうし
売り上げの事や今後の事を考えないんだろうか
ｱﾎでもひっかからない火消しばっかで効果あると思ってんの？
360 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 22:14:53 ]: そうかそうか、阿部ちゃん自身が引っかかっちゃったのか
そりゃ火消しに必死になる罠
上司（経営者？）には上手いこと誤魔化して説明したんだろうな
361 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 22:20:09 ]: >>356
スルーされててｶﾜｲｿｽｗ
その認識でおｋ
362 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 22:30:50 ]: >>361
レスありがとう！
普通にスルーされてて悲しかった(´Д｀;)
この認識で良いのですね
これで安心してクリーンインスコできます。
363 名前： ◆W07s5cWHb. mailto:sage [2009/04/13(月) 22:46:16 ]: なんか予想通りの展開になってきたなｗ
364 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 22:48:03 ]: げげげー、GENOから宣伝メールが来た
もうウイルスは取れたのか？
365 名前：名無しさん＠お腹いっぱい。 [2009/04/13(月) 22:49:40 ]: 怖くて踏めねえ・・・・・
366 名前：名無しさん＠お腹いっぱい。 [2009/04/13(月) 22:50:02 ]: ウイルスはメールに添付されてます
367 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:11:16 ]: 不正アクセスじゃなくて自分から貰いにいって
それが悪さしたってことなのね
368 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:17:12 ]: （メルマガより抜粋）

＞ジェノラーの皆様――お久しぶりです。
＞いろいろな意味を込め、今回だけは、ぜひやらせて下さい!!

…だそうです、マジ怖くて踏めない
つーか、このメールも受信して大丈夫なんかいな？
369 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:18:08 ]: >>368
マジこえーよ
もう受信しちまったよ・・・
迷惑メール判定させておくか・・・
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:19:51 ]: ジェノラー(笑)
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:27:26 ]: 退会不可ってほんと？ｗ
372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:28:16 ]: メール開封確認ってIPアドレス送るのかな
373 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:29:01 ]: もうインターネットは信用できねえ
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:31:23 ]: 迷惑メール判定しました。
375 名前： ◆W07s5cWHb. mailto:sage [2009/04/13(月) 23:31:52 ]: >>367
恐らくそーいう事。

阿部とやらに自白させて
どこのサイトを踏んで食らったのかを聞き出すのが
一番の近道かもしれないな。

さもなければ、今回感染したサイトの各管理担当者なんかにも。
それがこれ以上の感染被害を食い止める最善の道。

殆どエイズみたいな感じだな。こうなったら。
376 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:34:18 ]: GENOと阿部はエイズで感染者はHIVカワイソス
377 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:36:28 ]: GENO　阿部と検索しまくって候補に入れちゃえYO
378 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:37:07 ]: >>375
ということは感染源さえ特定できて、近づかないように警告されれば
無差別にバラ撒かれまくるってことにはならないんだね
結局、セキュリティ管理の甘さが招いた失態ってことか
379 名前：名無しさん＠お腹いっぱい。 [2009/04/13(月) 23:42:04 ]: ν速にスレ立った模様。
tsushima.2ch.net/test/read.cgi/news/1239626557/l50
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:48:11 ]: >>379
>>358
381 名前： ◆W07s5cWHb. mailto:sage [2009/04/13(月) 23:53:17 ]: >>378
それは感染したサイトの管理者が感染サイトを逐一適切に修正した上で、
自らのPCもちゃんとクリンインスコかリカバリを適切に行って
完全にウィルスフリーな体になってくれればって事が大前提だけどね。

いずれにしても、このウィルスは結局目に見える部分はAcrobatRasderとFlashの脆弱性を突いて、
それとは別に、恐らくログイン成功したFTPアカウントとバスワードを送出するキーロガーが仕込まれるのかと。
で、もしかすると、このキーロガーにJavascript書き換え機能が埋め込まれているのかも知れないけど、
そこまでは現段階では何とも言えないな。
人力でクラッカーが入ってきている可能性も十分ある。
イントラのFTP鯖でも感染したケースが発生すれば、キーロガーにJavascript書き換え機能内蔵だと思うけど。

いずれにしてもそれなら感染してまた増殖する部分の流れが一致して、すんなりと腑に落ちるよね。

とにかく、この種の商用サイト管理者以外でも、ブログや無料Web鯖、レン鯖等、
FTPでもログイン出来ちゃう鯖に日頃からログインしまくってる人は本当に注意しないと。
382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:56:19 ]: でもお詫びには
外部からアクセスされた形跡ありっていわれてたよな。

イントラのＦＴＰ鯖感染での、Javasctipr書き換えだと
嘘のお詫び発表したのか。
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/13(月) 23:57:29 ]: >>381
>>336
384 名前： ◆W07s5cWHb. mailto:sage [2009/04/13(月) 23:59:50 ]: >>383
見落としてたわｗ

となると、Javascript書き換え機能内蔵キーロガーか。
これ、マジで凶悪杉だろｗ

なんかこれの改変が流行りそうな悪寒がする。
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:01:14 ]: ＞4月4日、4月7日に当社のwebサイトに外部より不正アクセスが有り、
＞一部のプログラムに不具合が生じ、当社のHP以外のページへリンクされる状態が
＞発生しました。ご迷惑をおかけしまことに申し訳ございません。
＞現在は外部からのアクセスができないように対処いたしました。
＞現在すべてのプログラムは正常となっております。

4日、7日に不正アクセス
プログラムに不具合が生じ

このプログラムがJavascriptの事なのか、
それとも、GENO鯖ウイルス感染の事なのか　わからないから怖いな。
386 名前： ◆W07s5cWHb. mailto:sage [2009/04/14(火) 00:02:47 ]: てか、ヘッダ部分でインクルードしてた
書き換えたJavascriptのファイル名とかも
感染サイトによってまちまちで一致していないんじゃなかったっけ？

凶悪過ぎるｗ
387 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:02:50 ]: スパムメールか　エロサイト巡りか　出会い系の宣伝か
違法コピー・クラック系のファイルに紛れ込んでいたか
本人しか知らないけど、とにかく業務用サーバ、もしくはそれに繋いでいるPCで
業務に関係ない行為をしてしまったのが原因というわけだ
セキュリティの基本っつーか、非常にありがちな感染経路だったんだな
388 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:10:56 ]: 83 ：マーガレット(中部地方)：2009/04/13(月) 23:25:49.13 ID:hizGX0Z7
63 ヒマラヤユキノシタ(コネチカット州)[] 2009/04/06(月) 00:38:17.10 ID:8fz7e8f5
短縮貼った奴も同罪な
ああマジどうすんだよ

995 ヒマラヤユキノシタ(コネチカット州)[] 2009/04/06(月) 09:53:37.05 ID:8fz7e8f5
会社のPCでZIP落としてるのばれた。
本当に死にたい。

10 ヒマラヤユキノシタ(コネチカット州)[] 2009/04/06(月) 10:04:30.21 ID:8fz7e8f5
GENOよりも短縮貼った奴が許せない

144 ケンタウレア・モンタナ(コネチカット州)[] 2009/04/06(月) 10:55:46.05 ID:8fz7e8f5
自宅謹慎になったわ

88 ：トリアシスミレ(catv?)：2009/04/13(月) 23:31:48.63 ID:fKROZ1lj
自宅謹慎が阿部なら社長も知ってるな
389 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:11:19 ]: ＞とにかく業務用サーバ、もしくはそれに繋いでいるPCで
＞業務に関係ない行為をしてしまったのが原因というわけだ

P2Pの流出騒ぎも全部これだよな
なんで仕事PCなんぞでそんな危険なことするんだろうか
まぁなにしてたのかは知らないけど
私用と分けることがそんなに困難なのか？
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:12:09 ]: >>385
不正アクセスじゃないじゃん

嘘吐き過ぎる
391 名前： ◆W07s5cWHb. mailto:sage [2009/04/14(火) 00:12:30 ]: >>387
恐らくこれはどこかのサイトで食らったのが原因だと思うよ。これ。

結局、誰もアクセスしないレベルの個人サイトでも本当は結構感染してて見過ごされているだけって事で、
以前においらがあてずっぽで言った添付ファイル付きスパムメールからの感染じゃなくて、
どこか感染源のサイトを踏んで別883氏と同じ感じで自分の管理する鯖を感染させたってだけかと。

基本中の基本も知らない素人が
ECサイトの管理を行ってた事に起因する悲劇だわな。

原因を作った担当者は半年間の50%減俸処分相当って感じだな。これ。
懲戒解雇されても文句言えないレベル。
392 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 00:14:22 ]: >>388
社長も知ってるなってどういう意味?
393 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:16:22 ]: 懲戒免職されないのは恩赦だな
他に管理者居ないのかよ
394 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:16:50 ]: >>390
不正アクセス　も　あったのかもしれない
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:18:36 ]: >>392
誰が処分するのか考えよう
396 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 00:20:04 ]: >>395　なるｗ　現場だけで対処したわけじゃないといいたいのか。ありり
知らないとは言わせないねｗ
397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:26:50 ]: ネットショップのサーバに外から入って来るデータって注文情報だけでしょ？
それとカード会社からの情報や…メールサーバも兼ねている所も多いのかな
どちらにせよ、そのPCでネットサーフィンしちゃダメなんじゃね？
398 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:31:17 ]: >>333
自分のPCがどこで感染したのか、心当たりはあるの？
399 名前： ◆W07s5cWHb. mailto:sage [2009/04/14(火) 00:34:43 ]: >>397
うん。
とっととクリーンインストールかちゃんとリカバリしないと駄目。

てか、今のところ、この無駄に高機能なキーロガーがしでかすとほぼ判明した事が
FTPログイン & Javascript書き換えってだけで、
他にもなにか悪さする可能性も十分に有りうるよ。

鯖側の顧客情報流出だけじゃなくて、
キーロガーが潜んだままでPCを使い続けると、
どこかのサイトで入力したIDパスワードが入力した都度流出したり、
カード情報等も流出する可能性も現段階では十分有りうると思うよ。
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:40:20 ]: エリート権限って響きに勘違いしちゃったんだろｗ
401 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 00:47:00 ]: 4/3にOperaでgenoにアクセス。Acrobat起動しておかしいな思ってた。
その後しばらくしてウィルス情報を知り、ウィルススキャンした。
Operaのキャッシュにトロイがあったが感染はしていないみたい。
Athlon64がプロテクトしてくれたのかな？サンキューAMD!
402 名前： ◆W07s5cWHb. mailto:sage [2009/04/14(火) 00:49:53 ]: >>401
4/3だと金曜日だよね。
それが事実だとげの側の公式見解にまた嘘が見つかった事になるよね。
もう何人かそーいう報告をしてくれている人がいるけど。
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 00:59:47 ]: 現象を見てないからよくわからんのだけど
adobe readerが起動して接続に行くわけだよね？
感染した人はZAなりavastなりXP Firewallなりの反応はなかったの？
それとも接続を完全に許可してたってこと？
404 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 01:01:23 ]: 401です。アクセスしたのは土曜日だったから4/4でした。訂正します。すみません。
405 名前：153 [2009/04/14(火) 01:17:27 ]: >403

勝手に実行されるからセキュリティホールなんだよ
406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:22:00 ]: >>403
環境AMD64+WindowsXPsp2Flash最新adobe reader7
IE6 Sleipnir1.66でGENO閲覧
pdfはバックグラウンドロード

FWはノートンIS：無反応
5日に再起動時にpdf終了処理するぞゴラされて異変に気づく
5日の再起動まで6日連続起動毎日GENO閲覧
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:24:26 ]: 64だとpdfが開かないんだよ。まだセキュリティソフト完全無力な
時なのに、何度geno訪問しても症状はでなかった。
XPで古いverで完全該当なのにね。CPUで影響でないなんてありえるのかね。
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:27:35 ]: んなことないんじゃね？
PDFを開いててもDEPが働いてオーバーフローしない(した瞬間に強制終了)
だけじゃね？
409 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:33:19 ]: AMDが明言してるからあるんじゃないかな。

AMD64と拡張ウィルス防止機能
www.amd.com/jp-ja/Weblets/0,,7832_11104_11105,00.html

うちのはブラウザ落ちたりしなかったけどFEATHER2006が土曜日位からフリーズ
数回あった。症状はそれくらい。
メモリ2Gが効いてるってのも少しあるかも。
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:38:10 ]: www.atmarkit.co.jp/fsys/kaisetsu/045dep/dep.html
確かにAMDのCPUはDEPの保護効果あるのかも。こんな所で明暗別れるとは
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:43:43 ]: >>410
AMDのExecution Protectionと同等に作用する機能はIntel CPUも使ってるぽい
japan.cnet.com/news/ent/story/0,2000056022,20063592,00.htm

Enhanced Virus Protectionに対応するようなアンチウイルス機能はIntel入ってる？
412 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 01:51:00 ]: >>407
AMD64ですがpdfは開きました。ただこの時AcrobatReader
の起動が異常に長かったのでおかしいと思った。
バッファ・オーバーランを阻止してくれてたのかな？
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:53:13 ]: Intelの場合は Execute Disable Bit(XDbit)で
プレスコの途中から搭載で、ここ最近のはほぼ搭載してますよ。
別にAMDだけじゃないです。
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:55:56 ]: DEPは最近のIntelプロセッサでも使えますよ。
あと、あくまでもバッファオーバーフローに対して効力があるだけで、
正しくはアンチウィルス機能ではないので注意。
ウィルスなどが感染を試みる際の手段の一つに対して効果があるだけ。
ウィルスを検出したり削除したりするわけではないです。

今回のはちょうどAcrobatReaderのバッファオーバーフローを狙った
攻撃だったようだから、
DEPで救われた(感染を防げた)ケースもあるんじゃね、てこと。
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:56:36 ]: >>413
>>328-329
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:57:10 ]: AMD使いに世間知らずな無知が多いことは分かった。
417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 01:59:28 ]: DEPが効いたなら明確な表示が出てくるよ
それに気付いてないってことは別の理由で止まったってことだろう
418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 02:06:26 ]: たしかにDEPのおかげかわからんが、geno訪問で表示は出てたな。
STOPとかpdf関連で開けませんとかだったかな。
intelはチップセット次第ってi7だけ対応なのはどうよ。
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 02:19:17 ]: >>403
INSを通り抜けて感染、abobeのメーラーみたいなのが立ち上がったこと2回。
なんかやばい目だなと思って再インストール。
RealTEKの腐れオンボードチップが言うことを聞かずに音源がクリエイティブに変更されました。
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 02:19:39 ]: 329＝DEP対応CPUの認識が曖昧
416＝誰もAMDだけがDEP対応とは言ってない
421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 02:41:43 ]: 前スレの>>360や>>487では感染したという報告があるね
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 03:12:40 ]: >>421
俺AMDのマシンあるけど、検証してみる？リカバリディスクで大丈夫ならやってみるけど
423 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 03:42:34 ]: 今回のバッファーオーバーフローの件についてAdobeの説明でハードウェアの構成によっては
起こらないという記事がどこかにあったんだけど見付けられないな
424 名前：153 [2009/04/14(火) 03:55:11 ]: 一部のコンピュータでは、BIOS のハードウェアによる DEP のプロセッサのサポート無効にできます。
support.microsoft.com/kb/912923/ja
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 04:03:39 ]: Athlon64　X2　3800+だけどしっかり感染したorz
最近のCPUじゃないと駄目なのかね。
426 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 04:03:45 ]: >423
あった
ハードウエアの環境によっては、ウイルスプログラムが実行されずに、Adobe Readerが強制終了させられるだけの場合もあるという。
itpro.nikkeibp.co.jp/article/NEWS/20090220/325190/
427 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 04:57:53 ]: >トレンドマイクロやシマンテックでは、今回の脆弱性を突くPDFウイルスに対応済み。
>これらのセキュリティ製品では、検出・駆除が可能だとしている。
>加えてアドビシステムズでは、ウイルス対策ソフトメーカーと連絡を取っているという。
>このため、トレンドマイクロやシマンテック以外の製品でも、対応されることが予想される。

って対応してないじゃん
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 05:06:35 ]: 最新版が入ってた人は感染しなかったとすれば
対応してたことにはなるでしょ
429 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 05:08:08 ]: あ、AVのことか失礼
430 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 05:10:52 ]: >>428
ウイルスバスターやノートンが対応してないって事
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 05:35:25 ]: >>425
古い記事だけど[2004/09/07]、今回の場合はDEPを
すべてのプログラムで有効にしてないと効果はないみたい。
ただし1ページ目にあるような副作用もあるから、通常は
windowsのプログラムのみになっている。
itpro.nikkeibp.co.jp/free/ITPro/OPINION/20040906/149500/?P=2
432 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 06:22:02 ]: ttp://tsushima.2ch.net/test/read.cgi/news/1239626557/l50

GENOウイルス　鯖管理者のPCがウイルス感染の可能性　お詫びは削除
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 07:07:53 ]: >>432
>>358,379
434 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 07:48:20 ]: >>424
ｻﾝｸｽ。
チェックしてみたところ、ハードウェアDEPはONになってた。

ちなみに使用環境↓
【CPU】Intel Core 2 Quad Q6600 - G0 Stepping (2.4GHz→3.0GHzにOC)
【M/B】ASUSTek P5K-Pro (P35/ICH9R)
【OS】Windows XP SP3
435 名前：153 [2009/04/14(火) 08:15:50 ]: >431

インターネットに接続を試みるのはシステムな訳で
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 09:11:05 ]: >>434
こっちではどう？
効果の検証も出来そうだが。

ハードウェアDEP機能の調査
ttp://mcn.oops.jp/wiki/index.php?CodeZine%2F%A5%CF%A1%BC%A5%C9%A5%A6%A5%A7%A5%A2%20DEP%20%B5%A1%C7%BD%A4%CE%C4%B4%BA%BA
437 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 09:41:13 ]: 感染しちゃったら、リカバリーCDで工場出荷状態に戻せばいいの？
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 09:43:25 ]: Yes
439 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 09:45:48 ]: >>438
リカバリーとOS再インストールの違いがよくわからなかった
ありがとう
440 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 10:54:47 ]: >>435
>>431の記事にはIEがDEPの保護対象外とあるな
だとすれば効果の範囲はかなり限定的な悪寒
441 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 10:56:21 ]: で、今はGENOを閲覧しても大丈夫なの？
442 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 10:58:22 ]: 試せばいいと思うよ。
443 名前：441 mailto:sage [2009/04/14(火) 11:00:42 ]: >>442
怖いから嫌だ（キッパリ
人柱になるのは嫌だ（毅然と
444 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 11:09:17 ]: JAVAをOFFっときゃ感染しない
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 11:11:51 ]: JAVAって書いたら間違うだろ
446 名前：名無しさん＠お腹いっぱい。 [2009/04/14(火) 11:22:21 ]: ONなら感染って、そんな状況で営業続けてることに、
どこの機関も動かないって常識的におかしいだろ。

まじでこの世の中どうなってんの？？？？
447 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 11:27:20 ]: 個人だけのサイト持っているのですが、どのような点検と処置を
とればいいのでしょうか？
448 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 11:31:54 ]: スレ頭から読んで、各所に書いてある方法を試してみましょう
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 11:32:51 ]: GENOのアフィリバナーを貼っておく。
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 12:19:46 ]: 結局まだ何やってくるウィルスかはわかってないのかね
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 13:15:41 ]: ユーザーに感染を悟らせないため脆弱性を修正するウイルスも - Doctor Web調査
www.security-next.com/010277.html
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 13:17:57 ]: >>451
そのうち自分の意思を持って繁殖したりしそうだな
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 13:25:19 ]: このウイルスが自己進化型人工電脳の始まりだと気づいた人は当時一人もいなかった。
454 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 13:47:08 ]: 他のGENOスレを見たが週刊アスキーに広告が出たとか。
今回の件についての詫び文は無いらしい。
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 14:56:32 ]: 公式サイト接続障害に於ける状況報告につきまして
ameblo.jp/wdsc-blog/entry-10242005862.html

原因究明、修正、対策、あと今回の場合はサーバ側と元ソースのDIFFとか
そういうのがあればそれなりに時間かかるのが普通なのだよなあ
GENOのあれはどう見てもサイト修正しかしてなかったんだけど
アップロードしてたPCの対処とかいつやったんだろうな
456 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 15:20:18 ]: 普通にWEB見てて感染て…
感染しないにはどうすりゃいいの？
まだアンチウイルスソフトとかも対応してないんでしょ？
457 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 15:21:13 ]: >>456
どこで感染するか分からないから
WEBを一切見ないこと
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 15:26:27 ]: OK、GENOウイルスゲット。
　　　　　　　　　　∧＿∧
　　　 ∧＿∧ 　（´<_｀　）　流石だよな俺ら。
　　　（　´_ゝ`）　/　　 ⌒i
　　／　　　＼　　　　|　|
　　/　　　/￣￣￣￣/　|
＿_(__ﾆつ/　 FMV　 / .| .|＿＿＿＿
　　　＼/＿＿＿＿/　（u　⊃
　　　　　　ｶﾞｶﾞｶﾞｶﾞ・・・・
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 16:00:33 ]: >>456
とりあえずWindows Updateは欠かさず、
ブラウザのJava/Java Script/Active Xはデフォで切れてる設定にして
FlashとAdobe Readerは最新にしとくか、削除するか
これは基本の構えじゃないか？

俺は感染が発覚したサイトにはつながらないようにした
もっともこれは新しく感染するサイトが出ないとも限らないんでその場しのぎだけど
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 16:32:44 ]: 技術が進歩するに従い、不便になり実質的な恩恵が受けられない現代って。
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 16:38:56 ]: 技術の恩恵とそれに潜むリスクは常に比例するもの
462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 17:38:55 ]: >>455
現状できること可能な限りやってるみたいだけど、
あらためてgenoの対応がデタラメってことが良くわかるな。
感染＝リカバリしか方法がないなんてひどいウイルスだぜ。
463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 17:45:59 ]: 感染してﾘｶﾊﾞﾘしたやつらに聞きたいんだけど
リカバリしたらもう大丈夫なの？
464 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 18:04:54 ]: >>463
お前は関連スレを全て読むべき
465 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 18:27:07 ]: >>463
感染→PCリカバリ→感染サイト閲覧→再感染→PCリカバリ。

これ繰り返しとくといいよ。
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 18:31:49 ]: 男を試す方法

①このスレを閲覧します。
②Internet Explorerを起動します。
③GENOを閲覧。

イヤァァァァァアアアアアア
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 18:45:41 ]: 蹴茶からうっかり行ってしまった
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 18:53:11 ]: IEs4Linuxでも感染するん？
469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 19:01:12 ]: そんな質問する奴がLinux使って何やるの？
470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 19:12:03 ]: 今firefoxで開いちゃったけどアウトなのかな
471 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 19:50:33 ]: アウトなんでしょう
472 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 22:01:34 ]: サイバーダイン社の仕業か
473 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 22:04:25 ]: 息を潜めていたウイルスが
ゴールデンウィークに一斉に活動するのかな。
474 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 22:22:41 ]: ゴールデンウィークはたぶん日本だけなんで海外の組織には
あんまり関係ないのよね
まあでも日本の企業や官公庁を狙うようなピンポイントなやつ
ならあるかもしれない
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 23:04:16 ]: 627 名前：名無しさん[sage] 投稿日：2009/04/14(火) 22:29:03 0
セカンドPCで、GENOに行ってみた。　その後a-squared Freeでディープスキャンしたら
”Trojan-Dropper!IK”ってのが出たぜ～。

まだ、GENOウィルスは元気いっぱいみたいだなｗ

628 名前：名無しさん[] 投稿日：2009/04/14(火) 22:33:05 0
>>627
それいつの話？今？

629 名前：名無しさん[sage] 投稿日：2009/04/14(火) 22:49:50 0
今日の午後だよ。　
何気に商品みてみようと巡って、そのごチェックしたら出てきたけど。
HPの安いサーバーML115とか、無線のwebカメラとかを見た記憶があるけども・・・

ちなみにブラウザは火狐　リーダー・フラッシュは最新ね。
476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 23:11:18 ]: >>475
サイト行く前にa-squaredでスキャンして
何も検出されないことを確認してないなら意味が無い
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 23:12:04 ]: もう犯罪レベルだな。さっさとHP直せよ
まさかやり方が分からないのか
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 23:13:26 ]: そもそもa-squaredは誤検出王だから
ディープスキャンしたら数件誤検出されてもおかしくない
479 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 23:33:42 ]: u2.exeにAvast、F-Secureなど対応。
ttp://www.virustotal.com/jp/analisis/55245e60bf2ae48f3700df067d5e7a22
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/14(火) 23:35:41 ]: F-secureってムーミンの居たところか
481 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 00:08:16 ]: こっち向いて♪
482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 00:15:42 ]: 誤検出か否か
見極める力がない俺はa-squaredを使うのやめた
知識ある人はどうやって誤検出か正規検出か見極めてるんだ？
483 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 00:18:09 ]: ウェンディーツアーが再感染のようです。
あと、ウェンディーツアー・バンコクのブログ全体も。

ttp://www3.atword.jp/gnome/2009/04/14/zlkon-you-again-and-again-and-again-and/
484 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 01:13:43 ]: 大分労働局ＨＰサーバーに不正アクセス、厚労省に報告せずttp://www.yomiuri.co.jp/national/news/20090414-OYT1T00817.htm
485 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 01:27:48 ]: aviraもラトビアサーバから落ちてくるファイルにおおむね対応した
VDF 7.01.03.50で、jquery.js、pdf2種、swf、La.exeとu2.exeは検出可能
lv8.exeは現物がないので未確認
VTの結果はサーバ負荷が高いので割愛
486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 04:55:23 ]: FTPでのアクセス、こっちもやられた。

レンタルサーバ。.htmlと.phpあたりを自動的に
書き換えるっぽい。
更新のタイムスタンプを見ると、感染したＰＣは
起動していない時間帯なので、感染したＰＣが
botで書き換えたのではなく、別のＰＣから
のアクセスだろうか。

普段はFFFTPを使っていて、パスワードは保存
してあったので、そのあたりを読み取られた？

感染してから書き換えられるまでにFTPでアクセスは
していないので、HDDをスキャンされたか、ブラウザ
の履歴とパスワードを見られたか（こっちも保存
してあった）。

感染から書き換えまでに２日間ほど。リカバリした
後、書き換えに気がついた。おかげさまで再度
自分で感染するところだった…。だが、書き換えられた
日時はリカバリする前。

QuadでSSDだとガリガリアクセスしてデータ
もってかれても全然気がつかないよ…。
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 05:33:21 ]: これが今流行のrootkitという奴なん？
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 05:38:44 ]: とりあえず重くなったから再インスコした
ついでにビスタで
こんなヤバいやつだったのか
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 08:12:30 ]: >>486
改竄されたならそのページで警告を出した方がいいんじゃないか
「キャッシュを消してください」と
490 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 08:16:16 ]: ここもやられてるよね。

ttp://www.rakuten.co.jp/barbir/
491 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 08:23:36 ]: >>490
iframe部分のこいつの模様
hxxp://www.rakuten.ne.jp/gold/barbir/newly.html
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 08:38:33 ]: もう既出かもしれんけど一応。
リトビアの鯖のスクリプト調べてたら、

Microsoft Internet Explorerの場合 id=100を、
それ以外の場合はid=101を落としてくる事が分かった。

厳密に言うと、ブラウザ名の頭文字がMのブラウザがid=100なんだろうけど。
ブラウザ名は、ブラウザのurlにjavascript:alert(navigator.appName);を入れると分かる。
493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 09:22:32 ]: ウェンディのサイトいってみたけどあばすとさん全然反応してくれない
せっかく色々と対策したのになんか寂しい
494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 09:24:59 ]: >>490
9:23現在改装中になってた

ここ数日体調崩して伏せってたけど色々判ってきてるのな。
おまいら乙であります。

で、クレストロンはいつの間に修正されてんだ
495 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 09:33:35 ]: >>493
もう直してあるってさ。

ttp://www3.atword.jp/gnome/2009/04/15/wendy-solved/

しかし、ここの管理人さん更新早いな。
もう >>490 のレポがある。

ttp://www3.atword.jp/gnome/2009/04/15/zlkon-vs-rakuten-round-2/
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 09:40:21 ]: よく、ヲチしてるよね。
でも、zlkonという名前は、そのサイトしか使っていないから
GENOウイルスの警告にはならない。
497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 09:44:17 ]: ぱぴーぬ、もそうだったけど、ショップ系だと
スイーツ（笑）な人が良く訪れそうなサイトが多いのは気のせいなんかな。
単なる偶然？
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 09:46:37 ]: >>495
治してたか残念
情報さんくー
499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 10:09:52 ]: サイト更新用(サーバに接続できる)PCが感染すれば"正規の"手段でアクセス出来るのだから
大手ネットショップだろうが官公庁だろうが、サーバのセキュリティがいかに高くても関係ないわけか
おっそろしいなぁ…何より(ウイルスの怖さに対して)全く騒がれていないのが恐ろしい
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 11:02:48 ]: ウィルスの怖さっつーか

「FTPのパスワードが何らかの方法で抜かれたか、
　簡単過ぎるものが設定されてた可能性がある」

ていう事実も関係してるっぽいからね、今回のは。

良く言われてたけど、「怪しいサイトにはアクセスしない」
「正規（何をもって正規とするのか知らんが）のサイトは安心」っていう「神話」は
もうずいぶん前に崩れてるんだけど、それはあまり周知されてないってのが
問題でもあるよね。
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 11:03:00 ]: >>497
管理者もスイーツの可能性が高いからじゃないの
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 11:05:49 ]: >>501
それはあるな

楽天のCMSってどうなってるのか知ってる人居ない？
単純にFTPでのファイルアップロードのみだとして
ユーザー名はURLに出てくるようなショップ名ではなくて
ランダムなのかな？それともショップ名そのまま？

パスワードは password とかにしてたんじゃないのかねｗ
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 11:06:40 ]: FTPのパスが抜かれたわけじゃなくて
感染したPCで、FTPでつなげたときに裏で動くんだよな。

サーバから見たら、正規の方法でアクセスしてくるわけだからやっかいだよなー
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 11:09:35 ]: > 感染したPCで、FTPでつなげたときに裏で動くんだよな。

それって確認されてるの？
505 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 11:10:39 ]: >>503
>>486の報告と違ってね？
506 名前：503 mailto:sage [2009/04/15(水) 11:18:33 ]: 前スレから見てないんで、既出だったらごめん。

FFFTPで10個ぐらい設定有。
書き換えられたのは、かかってた期間中に接続したサイトのみ。(静的HTMLはなし)
感染中にFFFTPで接続してアップロードした後、もう1個FFFTPで何か操作をすると遅くなってた。
ので、たぶんその時にやっていたんだろう。

書き換えられた内容は、
index.phpとかconfig.phpとかありきたりな奴だけ、頭に
<?php
if(!function_exists('tmp_lkojfghx')){
if(isset($_POST['tmp_lkojfghx3']))
以下略

*.jsすべての後ろに、
<!-- document.write(unescape('0F%3COjAsJvcriOjApJvtJv
以下略

という現象だったので、>503で書いた動作だと思ってるんだが、どうだろ？
書き換えられたサイトのFTPパスワードは、ぐちゃぐちゃでユニークなものでした。
507 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 11:42:11 ]: >>506
サイト管理に使ってるPCがいつ、どうやって感染したか心当たりはあるの？
そのPCのウィルスっつーかキーロガー？は駆除できたの？
駆除できたとしたら、その感染ファイル名やウィルス名称はわかる？
508 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 12:39:28 ]: 多機能ウイルス「Virut」に注意、Webやプログラム経由で感染拡大 IPAが警告、
感染するとパソコン乗っ取られ駆除も困難
itpro.nikkeibp.co.jp/article/NEWS/20090303/325890/
509 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 13:10:41 ]: コンピュータウイルス・不正アクセスの届出状況[2月分]について
ttp://www.ipa.go.jp/security/txt/2009/03outline.html
510 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 13:28:06 ]: ↓これ、GENOウィルスが仕込まれてるサイトも警告してくれるんかね？

危険なリンクを踏む前に警告してくれる「McAfee SiteAdvisor」
internet.watch.impress.co.jp/cda/biz_tool/2009/04/15/23144.html
511 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 13:32:55 ]: >>510
むしろ、Genoのサイトを危険サイトと判断してアクセスブロックするのではｗ
512 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 13:44:12 ]: >>510
自動解析じゃないので未調査のサイトは報告されません。
513 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 13:57:45 ]: >>510
基本的にGoogleやYahoo!などの検索結果にしか対応しない。
２ちゃんに貼られたリンクなんかには効果なし。
GENOはオールグリーンｗ
調査要求は送れるけど、その場でチェックしてくれるわけではない。

Dr.Webプラグインの方がまだ使えるんじゃない？
右クリでチェックできるし。
514 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 13:58:52 ]: >>510
ついでにMcAfeeのアンチウィルスが対応してないもんはスルーなんで
かなりザルです

中国のマルウェアが仕込まれたサイトについて、安全マークついてるけど
安全じゃないみたいだYOって問い合わせたら
「それは安全という意味ではなく、調査済みっていう意味です。
安全を保障するものではないです。」
みたいな回答だったよ。
515 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 14:14:19 ]: >>513
ブラウザ用 Dr.Web 無償リンクチェッカー
www.freedrweb.com/browser/?lng=jp
516 名前：名無しさん＠お腹いっぱい。 [2009/04/15(水) 17:06:22 ]: >>496
海外サイトでもこのマルウェアはZlkonで呼ばれてるし
GENOウイルスなんて呼んでるのは2ちゃんだけ(笑)
アホ乙w
517 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 17:17:15 ]: 山田ウイルスなんて言ってたのもおまいらだけ
518 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 17:25:17 ]: 今日のWindowsUpdateしても感染するの？
519 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 17:45:14 ]: >>516
２ｃｈではなくて日本ではでしょう？
通じない名前で話しても、意味がない。
520 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 18:20:19 ]: 「おちんちんラクロス」は実話を元に書かれた同名の小説の映画化で、舞台になっているのは1979年の北九州。
中学の弱小女子相撲部の顧問になった男性教師と部員との交流を描いている。
部員は先生に、「試合で一勝できたらおちんちんを見せる」という約束をせがむ。
先生は、見せたくはないものの、生徒達に勝利する喜びを与えたいと悩む。
映画の公式ホームページによると、「おちんちん見たい一心で、がむしゃらに練習に打ち込む。
別人のように強くなっていく」そんな中学生の姿を描いているのだという。
521 名前：名無しさん＠お腹いっぱい。 [2009/04/15(水) 19:53:30 ]: 対処法はもう判明したの？？？
あの騒動からゲロページは開いてないし
再起動もしてないゾ
522 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 20:28:56 ]: >>521
今日のWindows Updateは当ててないのか？
当てると再起動来るぞ。
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 21:33:01 ]: >>518
Adobe製品の脆弱性なんで関係ないです
>>521
OS入れなおしてね
524 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 21:59:22 ]: 前に戻って、以上あるか確認したけど、とくに問題なかったので
リカバリしなくてもいい？
525 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 22:25:32 ]: いいよ
526 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 23:07:28 ]: Windows Updateとregeditもちゃんと動いてたら
とりあえず大丈夫ぽいかな?
527 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 23:30:38 ]: もう終息ですか。。。。
528 名前：名無しさん＠お腹いっぱい。 [2009/04/15(水) 23:31:51 ]: どこで感染するかわからないって恐ろしいな
529 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 23:31:56 ]: 何でつまんなさそうなんだよ、クズが
530 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 23:52:29 ]: 普段のブラウジング用にネットブック買おうかな。おかしいと思ったらすぐにリカバリーすればいいし。
531 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 23:55:53 ]: 仮想マシンなら安全なの？ホストにウイルス干渉したりしないの？
532 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/15(水) 23:59:25 ]: それならVirtual PC見たいの使えばいちいちリカバリーする必要もないよ
Sandboxieあたりでも良いと思うけど
533 名前：名無しさん＠お腹いっぱい。 [2009/04/16(木) 00:01:15 ]: 知識がないから必要以上に怖がり怯えるんだ。
ウィルスやスパイウェアについて十分勉強すれば、
今の現状でも、恐れることもなくネットはできる。

人生も一緒。
534 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 00:04:26 ]: 各々好きにしろ
535 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 00:04:42 ]: >>533
無理じゃね？いつも見てるとこが明日安全かわからんし
536 名前：名無しさん＠お腹いっぱい。 [2009/04/16(木) 00:05:30 ]: 検索して出るといけないので、(ダチの)1文字ずつWの字を入れます。
・・←を頼む！
v　結果は、後で、メール指定するから送ってくださいまし。
W
e
W
n
W
g
W
e
W
n
W
s
W
e
W
0
W
5
W
1
W
6
W
@ y a h o o . c o . j p
頼む！
537 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 01:18:42 ]: >>536
何をお願いされてるのかまったくわからないけど、まかせておけ！
とりあえず手元にあるGenoウィルスの検体を送っておいた。
538 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 02:16:32 ]: 【社会】すき家ゼンショー、残業代不払いを告発した女性店員（４１）を告訴　「飯５杯盗んだ」★６
tsushima.2ch.net/test/read.cgi/newsplus/1239814483/
539 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 08:13:25 ]: ＞・・←を頼む！

意味がわからない
540 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 09:39:28 ]: 絵文字なんじゃね？
541 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 09:47:49 ]: 絵文字って太字の〓みたいにならなかったっけ？
携帯だと見えたりするけどそれもないし
試しに絵文字→
542 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 10:18:19 ]: ﾜﾛﾀ

・（中黒）になってるお
543 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 11:48:58 ]: 4/16(木）
21:00～22:00 ニュースウオッチ９
あなたのパソコンから重要情報が…便利さに潜む危険は
ＮＨＫ総合
544 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 12:06:16 ]: >>536
・・が顔文字だった事を差し引いても、
＞結果は、後で、メール指定するから送ってくださいまし。
とか、マジ意味わかんね。
たかがメルアドで必死こいて変な書き方して、こっちにそれを復元する手間まで掛けるし
とりあえず、氏ね
545 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 12:08:30 ]: >>544
むしろ復元したアドレスをココに貼ってやれｗ

・・・・・・ﾊｯ！それこそがﾔﾂの狙いか！
546 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 13:06:44 ]: なぁ、
torrent-finder.com/
ここで何でもいいから検索してみて。
なんかAVASTが激怒するんだけど、やばいかな？
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 13:10:57 ]: www.siteadvisor.com/sites/torrent-finder.com
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 13:12:50 ]: >>546 普通だよ
549 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 13:15:20 ]: >>542
そうなんだ。キャリアが違うのかな

内容的にメールと爆弾の絵文字でメルボム希望とかが妥当かな
550 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 14:12:09 ]: まじで？
やっぱ検索しようとしてキーワードいれてENTER押すと、
JSがなんたらって言って、AVAST大激怒。
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 14:43:52 ]: >>550
書くなら書くで、そのなんたらを正確に書けよ
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 15:21:56 ]: >>546
家もAvastがピーピー言うわ
HTML:Iframe-inf
553 名前：153 [2009/04/16(木) 15:37:47 ]: >546

>550

>552

おめーらクッキー食べる？
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 19:54:01 ]: 「2009年はPDFとWebブラウザのプラグインが狙われる」---シマンテックが分析
itpro.nikkeibp.co.jp/article/NEWS/20090416/328575/
555 名前：名無しさん＠お腹いっぱい。 [2009/04/16(木) 20:38:48 ]: 楽天運営からメール来た
adobe関連を最新にしろとさ、URL付きで
感染したサイトについては全く触れていない
今回の騒動を知らない店舗には何のことだか全くわからないだろうな
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 20:44:08 ]: 俺騒動が起こる2週間ぐらい前にアマゾンで
5月末に届く予約商品を予約したんだよな
出荷前後にメールが届く予定なんだが大丈夫だろうか
557 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 21:35:23 ]: 【キーワード抽出】
対象スレ： GENOウイルススレ　★2
キーワード：アマゾン

抽出レス数：1
558 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 21:44:38 ]: うむ
559 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 22:01:30 ]: >>543
一部変更って言ってたけど、これの代わりにイチロー特集だったのかな
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/16(木) 22:27:43 ]: そろそろ今現在できる有用な対策を教えてくれ
561 名前：名無しさん＠お腹いっぱい。 [2009/04/16(木) 22:43:35 ]: とりあえずインストールするソフトは最新版にしとけと
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 01:31:05 ]: >>560
Flash PlayerとAdobe Readerを最新の状態にする
ウイルス駆除ソフトをプログラム、定義ファイル共に最新の状態にする
Microsoft Updateを行ったのち、再度当て漏れがないか確認しておく
javascriptを自動で実行しないようブラウザの設定をする
可変する可能性はあるし、他にも問題がありそうなところはあるけど、
最低でもzlkon.lv、94.247.2.*、94.247.3.*の3つくらいは弾くようにブラウザを設定する

とりあえずこのくらい？
563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 01:54:40 ]: ＞最低でもzlkon.lv、94.247.2.*、94.247.3.*の3つくらいは弾くようにブラウザを設定する

これはどうやるの？
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 02:10:41 ]: >>563
hostsファイルに（XPだとC:\WINDOWS\system32\drivers\etc内にある）
これをメモ帳で開き

127.0.0.1 xxxxx
0.0.0.0 xxxxx
0 xxxxx

上記3書式のうち好きな書き方で
xxxxの部分に該当するホスト名（IPアドレスではなく）
（zlkon.lv、94.247.2.*、94.247.3.*←この例で言えばzlkon.lvは有効、数字は無効）
を書き込む
すると完全に通信は遮断される
一回ブラウザを再起動すると有効になる
565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 04:51:28 ]: >>563
＞最低でもzlkon.lv、94.247.2.*、94.247.3.*の3つくらいは弾くようにブラウザを設定する

zlkon.lv ： hostsで弾く
94.247.2.*、94.247.3.* ： PG2を導入して弾くか、ルーターの設定で弾く
566 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 08:45:21 ]: 結局まだアンチウイルスソフトは対応してないのか。
ウイルスの進行を止めるにはリカバリーしかないんだね
567 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 09:19:04 ]: マタオマエカ！
と言いたくなってしまったのですが
先日のIFRAMEインジェクションの犠牲加害者になってる旅行会社、ウェンディですが

ttp://www3.atword.jp/gnome/2009/04/14/zlkon-you-again-and-again-and-again-and/
568 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 10:04:26 ]: >>567
そのサイトの人すげーよなぁ
社内で感染したPC対処の参考にさせてもらってるわ。

まあ最終的にはデータ抜いてクリンインスコなんだけどね
569 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 10:06:19 ]: 不正競争禁止法で発売が停止されているマジコンを販売する。
ttp://www.geno-web.jp/Goods/GA08435480
ttp://www.geno-web.jp/Goods/GA09072430
キャプ
x072.s10.x-beat.com/up/src/up2906.jpg
x072.s10.x-beat.com/up/src/up2907.jpg
通報先（任天堂）
https://secure.nintendo.co.jp/n10/support/index.html
570 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 10:15:10 ]: 見つけたんなら通報しとけよ
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 11:49:19 ]: ゲノ怖くて踏めない
572 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 12:16:41 ]: ラトビア感染拡大してるな
不正なソフトウェアをホストしていたかどうか
はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に
検知されています。hitzwallpaper.com/, serona.pe.kr/, firat.edu.tr/ を含む 8567 個
のドメインを感染させています。
573 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 14:37:14 ]: Trojan:Win32/Hiloti.gen!Aという奴に感染してますが危ないですか??
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 14:39:21 ]: アウトです
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 14:42:04 ]: ざまぁｗｗｗ
576 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 14:46:28 ]: >>573

Spyware Remover2009で対抗しろ!
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 16:24:15 ]: これ、なんでもっと騒がれないの？
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 16:29:00 ]: HDDを全消去されたりしたらマスゴミも取り上げると思うんだが
579 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 16:31:46 ]: >>577
GENOなんかに行く奴は世間では少数だから。

知れ渡る前に、セキュリティベンダーの対応が進んだので、感染前のブロック自体はできるようになり
特に騒がれなかったという見方もある。

大事になるのは、感染しちまった奴だけ。
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 17:59:28 ]: 正直この騒動ではじめて知った＞GENO
581 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 19:39:45 ]: 今TOPにいくと感染するんかい？
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 20:26:21 ]: 感染するかどうかを身を以て報告してくれるとありがたいｗ
583 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 21:12:13 ]: 09/04/10[障害・サポート情報] 【重要】掲載のリンク先ページのウイルス感染について
ttp://ecnavi.jp/help/information/info/221/

09/04/17[障害・サポート情報] 【続報】掲載のリンク先ページのウイルス感染について
ttp://ecnavi.jp/help/information/info/223/

[重要] お知らせとお詫び
ttp://mag-puppine.com/osirase/index.html
584 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 21:35:25 ]: これでまた感染するんでつね。わかります。
585 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 23:16:04 ]: たった今genoにとばされるらしいというリンク踏んだんですけど
avast反応したから大丈夫ですよね。
心配なんで何か確認する方法とかないですか？
586 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 23:17:09 ]: >>585
>>1から嫁
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 23:19:00 ]: >たった今genoにとばされるらしいというリンク
とうとうリンク先の名前がgenoになってしまったかｗ
588 名前：名無しさん＠お腹いっぱい。 [2009/04/17(金) 23:23:48 ]: >>587
いえ、確認する前に怪しい挙動しだしたんで切ったんですが
他のスレの中で「そのリンク前genoにとばされるんじゃなかったけ？」って
他の方がレスしたたんで・・・
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/17(金) 23:51:07 ]: GENOってDr.webじゃクリーンで表示されるな・・・・
590 名前：名無しさん＠お腹いっぱい。 [2009/04/18(土) 05:08:35 ]: >>569
ホントに禁止されてるの？
そらなら脱法企業なのか？
591 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 12:23:38 ]: 今現在の各ソフトの対応状況ってどんな感じ？
592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 16:52:22 ]: おまいら暇なんだったら、感染したPCの修復ツールでも
593 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 16:53:03 ]: 作ってやれよ
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 18:56:42 ]: >>592
暇なときでいいのでお願いします
595 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 19:59:58 ]: まだ怖くて再起動してないのですが
修復ツールはまだですか
596 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 20:02:49 ]: OS入れなおそうね
597 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 20:40:56 ]: そこをなんとか・・・
598 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 20:45:52 ]: おい、お前ら今GENOのトップから修復ツールが入手できるようになって

なわけない。
599 名前：名無しさん＠お腹いっぱい。 [2009/04/18(土) 20:59:35 ]: 感染サイト見つけた＼(＾o＾)／
ちょろめたんが警告してくれなかったら危うく踏むとこだった……
afi2000.web.fc2.com
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 21:21:24 ]: わぁい　わぁい
まだまだお祭りだね☆

・・・orz
601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 21:27:22 ]: 今現在どのサイトが感染してるかまとめとかは無い？
602 名前：名無しさん＠お腹いっぱい。 [2009/04/18(土) 21:39:57 ]: つwww29.atwiki.jp/geno

せっかく作ったのに全然更新されてなくてﾜﾛﾀ
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 21:44:48 ]: >>602
踏んだらウイル

あれ誰か来たみたいだ
604 名前：名無しさん＠お腹いっぱい。 [2009/04/18(土) 22:14:00 ]: これって感染したサイトが自動的に新たなサイトを狙ったりするの？
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 22:27:47 ]: >>602
新しい情報が特にないからか？
606 名前：名無しさん＠お腹いっぱい。 [2009/04/18(土) 22:31:30 ]: >>605
GENOに興味がないからだろ。
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 22:36:23 ]: 191: 2009/04/09 00:33:51
******まとめ*******
感染確認方法
・sqlsodbc.chmのハッシュを調べて
F639AFDE02547603A3D3930EE4BF8C12
と異なる値が出た場合感染してる可能性あり

・以下のサイト（有名な駆除ツール）にアクセスできなければ危険
（鯖落ちじゃない限り、ほぼ感染してると見て問題ないと思う）
ttp://download.bleepingcomputer.com/sUBs/ComboFix.exe

・パソコン再起動後、regedit.exeを起動しようとすると
explorerが落ちる場合、確実に感染してます。

・ブラウジングがまともにできない

駆除方法
完全な駆除方法は今のところない。（断定するのは現段階では危険）
セーフモードで、ComboFixを実行すればある程度よくなるかもしれない程度。
以上の問題が解決していればある程度よくなってるかも。

とりあえず上記を全てクリアできたから一安心・・
早く確定方法と対策頼むでほんま
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 22:58:11 ]: >>607
ハッシュは中身によって違う可能性があると聞いたけど
健康体の時点でのハッシュ値が把握出来ていなければ参考にならないとか
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 23:13:48 ]: ちゃんとMD5ってこと明記しろや
610 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 23:15:41 ]: せっかく安堵してんのにンな怖いこといわんといてーなー（；ω；）

とりあえず上記とかCPU負荷やメモリが大変なことにもなってない
特におかしな挙動はしていないが・・
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 23:26:24 ]: >>603
なんともないよな？
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 23:27:27 ]: >>611
何ともないよ
スマンテック
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 23:39:51 ]: >>612
すまん。ネタだと思いつつも神経質になってた
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 23:52:05 ]: >>599
Dr.Webもaguseもなにも言わないなぁ。実際に生で踏む勇気はないけどｗ
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/18(土) 23:55:12 ]: >>614
おれもこのスレみてドクターウェブ導入したのに
何も反応しないから導入した意味あったのかな？
って思ってるよ
616 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 00:16:50 ]: ゲノこわくて逝けない
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 02:09:52 ]: >>599
Vistaで踏んでみた。一瞬だが、94.257・・・というのが見えたけど飛ばされたのか？
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 02:19:15 ]: genoで買い物してるけど問題ないよ。
>>607のチェック項目も白でした。
619 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 03:03:28 ]: ニヤリ
620 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 03:09:47 ]: 本当に収束しつつあるのか？
ブログ検索で、GENOウイルスにサイトを改竄された人のブログを
2つ見つけたぞ。

ttp://addressclub.net/2009/04/14-212708/
ttp://addressclub.net/2009/04/17-223411/

ttp://69banana.seesaa.net/article/117703127.html
621 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 03:18:37 ]: www.gigafree.net/utility/hash/uhash.html
とりあえずここからハッシュ関数調べるソフト落して、そこからファイル開いてみた
「コンピュータ」のローカル(C)→WINDOWS→Help→mui→0411→sqlsodbc.chm
んでMD5選んで「F639AFDE02547603A3D3930EE4BF8C12」と一致・・・問題なさげか？
PCリセットしてみるわ
622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 03:25:06 ]: >>620
＞天才｡だけど死ね｡脳に大腸菌沸いて死ね｡
不謹慎ながらﾜﾛﾀｗ
623 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 03:46:28 ]: リセットしてみた。火狐もIEも問題なく動く
AMDだからか？　Flashとか更新してたから？
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 03:55:46 ]: p://kickback.cc/upload/stored/up10577.jpg

鑑定スレにあったURLなんだがこれ踏んだらアウトなのか？
625 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 05:06:04 ]: >>624
よくわからんが、ニフティからオンラインスキャンしたほうがいくね？
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 06:50:35 ]: >>624
Exploit.WinCrash
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 08:20:24 ]: >>620
クライアントのほうが感染してるのに、サーバーを修正しても無駄ｗ
ワロタっっっっっｗ
628 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 08:28:06 ]: zlkon won't be silence
ttp://www3.atword.jp/gnome/2009/04/19/zlkon-wont-be-silence/
危険：hxxp://afi2000。web。fc2。com/</HEAD><script language=javascript><!-- document.write(unes [...]
危険：
hxxp://afi2000。web。fc2。com/
629 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 08:36:08 ]: >>624
専ブラで見たなら平気じゃない?
630 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 08:51:24 ]: >>624
ttp://www.virustotal.com/analisis/9b69678885c11352b74eb1b4ef261aa5
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 08:53:14 ]: GENOのサイトはまだ何かあるみたいだ。

4月4日にウィルスの存在がはじめて報告されているようだが、
PCの動作が急に重くなったり、Acorobatが勝手に起動する
挙動は3月上旬ころから発生していた。

現在もWEBをIEで見ると急にPCが重くなる現象は時々発生する。
（IEの強制終了＋PC再起動で正常復旧できるようだ…）
632 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 09:02:21 ]: しかし、パソコン屋が一番起こしてはならない失態やってるなぁ…。
633 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 09:08:18 ]: ラトビア特急は広がってるぞ

不正なソフトウェアをホストしていたかどうか
はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。
hitzwallpaper.com/, serona.pe.kr/, firat.edu.tr/ を含む 11795 個のドメインを感染させています。
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 09:43:59 ]: 2009/04/09(木) 7560 個のドメインを感染させています。
2009/04/19(日) 11795 個のドメインを感染させています。

まだ拡大か !?
635 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 10:22:04 ]: >>624　あ、おれが踏んだやつだ
636 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 11:05:23 ]: >>614
>>617
あれ、だってソース見るとunescapeでreplaceっていう明らかに怪しい箇所があるし
ちょろめで見ると↓みたいな感じで「94.247.2.195が怪しい」って言われるんだけどなぁ
ttp://www.dotup.org/uploda/www.dotup.org19072.png
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 11:13:06 ]: このウィルス騒動のおかげでノーガード戦法をやめました！
Avast入れました！
638 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 11:52:25 ]: 負け犬乙
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 12:14:09 ]: IPアドレスのブロックってどうやってすればいいんだろ？
640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 12:17:27 ]: combofixってなにやるソフト？
641 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 12:39:24 ]: |　釣れますか？　>>639　>>640

　　　　　　　　　　　　　 ,
＼　　　　　　　　　　　　　　　　　　 ,／ヽ
　￣∨￣￣￣￣￣￣￣　　　　 ,／　　　ヽ
　　 ∧＿∧　　　　　 ∧∧　　,／　　　　ヽ
　　（　´∀｀）　　　　 (ﾟДﾟ,,),／　　　　　　　ヽ
　　（　　　　）　　　　　　(|　　つ@　　　　　　　　ヽ
　　｜｜　| 　＿＿_ ～|　　|　　　　　　　　　　　　　　ヽ
　　（_＿）＿）　|――|. 　∪∪　　　　　　　　　　　　ヽ
　　￣￣￣￣￣￣￣￣￣￣￣￣|　　　　　　　　　　　　　ヽ
　　／⌒＼／⌒＼／⌒＼／⌒＼|彡~ﾟ　゜~ ~。゜　~ ~　~ ~~　~ ~~　~ ~~　~~　~~
　　⌒＼／⌒＼／⌒＼／⌒＼／⌒＼彡　～　～～　～～　～～　～　～
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 12:41:12 ]: ゲロ怖くて踏めない
643 名前：639 mailto:sage [2009/04/19(日) 12:41:52 ]: >>641
釣っているわけでないのですが・・・・
自分の検索の仕方が悪いのか答えが見つからないもので・・・
644 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 12:43:31 ]: >>641
懐かしいAAだな
645 名前：641 mailto:sage [2009/04/19(日) 12:50:35 ]: >>643　
ルーターやファイヤーウォールソフトでIPアドレスを弾くんです。
IP範囲を指定して
646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 12:52:51 ]: >>624てgeno？
647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 12:53:58 ]: ブラクラじゃね？
648 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 12:57:13 ]: 少し前に書き込みあるじゃねぇか
630 名前：名無しさん＠お腹いっぱい。：2009/04/19(日) 08:51:24
>>624
ttp://www.virustotal.com/analisis/9b69678885c11352b74eb1b4ef261aa5
649 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 12:58:42 ]: タスクマネージャで止まったけど
650 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 13:10:33 ]: >>648
ごめん、読んだけどわからない。
ほんとごめん。

a-squared走らせたらなんとかなりますか？
それともただのブラクラですか？
651 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 13:13:16 ]: ttp://so.7walker.net/?site=kickback.cc/upload/stored/up10577.jpg
※このアドレスは危険URLのひとつです。
危険！mailtoストームを発見！ (1115)

ものすごい勢いでメール画面が開くただのブラクラじゃね
652 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 13:14:57 ]: ブラクラでしたか。
ありがとう。

でも久しぶりに凍りました。
反省。
653 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 13:16:37 ]: 脳味噌なくても、知りませんって言ったら助けてもらえるのか。いい時代だな
初心者板からやり直せ
654 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 13:23:17 ]: いい時代なんでこれでいいんじゃね？
ヤならおまえがタイムスリップすれ。
655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 13:37:09 ]: そうか
656 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 14:18:23 ]: いやまじで。combofix ググってもなんかようわからんもん。
おしえて
657 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 14:24:46 ]: >>652
俺それ踏んで今潰れてんぞ

再起動して何もなかったから安心してたら・・翌日起動したら狂ってる
もうなきたい　
658 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 14:41:14 ]: なにがどう狂っていたのか？
659 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 14:49:28 ]: >>657
>>630で検出されてる物自体は、レジストリ弄ったりする類ではないようだけど、
別のURLへのジャンプが多段で刺さってるから、どっかに良くない物があるのかね
660 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 15:06:15 ]: 652です。
おれ踏んだ時は正しくブラクラな挙動で、ｘボタンじゃ閉じなかった。
ﾀｽｸﾏﾈｼﾞｬで止めたらとまり、色々調べたけどGENOはなかったっぽい。

IE、FLASHは多分最新、
ｱｸﾛﾊﾞｯﾄはいれてなかった。

ｸﾘﾝｲﾝｽｺしてないけど不振な挙動はないので不安ちゃぁ不安なんだけど、
不振な挙動がないので、よくわかんない。
661 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 15:08:50 ]: だから単なるブラクラだって
ソースチェッカーも知らないのかよ
662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 15:10:00 ]: 652です、すんまてん。

だって657が壊れたつってたしー。
663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 15:30:35 ]: 挙動の詳細が出たらしい
www3.atword.jp/gnome/2009/04/19/scansafe-reported-the-zlkon-virus-progress/
664 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 15:33:09 ]: 英語か…
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 15:49:14 ]: >>663
>Googleの検索結果を勝手に弄って、アフィリエイトリンクを別のもので表示する

アフィ稼ぎが狙いなのか?
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 15:49:15 ]: 日本語訳にして貼り付けてくれ
667 名前：名無しさん＠お腹いっぱい。 [2009/04/19(日) 16:08:54 ]: >●本日18時～システムメンテナンスの為、GENO Webを停止します
>本日(4/19) 18時～明朝10時(4/20)の期間中、GENO Web通販
>システムメンテナンスの為、全サーバーを停止させて頂きます。
>お客様には、大変ご迷惑をお掛けしますが、何卒ご理解のうえ、
>ご了承頂ければ幸いです。メンテナンスの作業進行状況により、
>上記の期間を前後する場合が御座いますので、ご了承ください。

今頃こんなことやってんのかよw
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 17:05:43 ]: 今頃っつーか、GENOの中ではすでに終わった話なんじゃないの？
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 17:42:12 ]: YO NI GE
670 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 18:01:00 ]: GENOのせいでゴールデンウィークはOSクリーンインストールすることに決めました
671 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 18:11:04 ]: >>670
それまでオンには接続するなよ
672 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 19:11:00 ]: >>667
メンテナンス終了後、GENOウィルスが強化されてたりして
673 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 19:14:18 ]: >>670
それまでオンナには接続するなよ
674 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 19:15:58 ]: >>673
オナホは？
オナホには接続していいですか？
675 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 20:42:20 ]: >>674
ルーターを装着して接続するんだ
676 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 20:43:30 ]: ゲロ踏んでしまった
677 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/19(日) 22:37:13 ]: もんじゃ焼きだと思いこむんだw
678 名前：名無しさん＠お腹いっぱい。 [2009/04/20(月) 03:48:46 ]: ゲロゲーロ
679 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 04:53:04 ]: >>663　こういう対応にまで発展してる状況はなんなんだ

Googleは危険サイトに登録しました。
94.247.2.0 の診断ページ
※94.247.2.195でアクセスしても 94.247.2.0のブロックとされますが、94.247.2.0/24（ましてや/23）で弾いているわけではありません。

Symantecもやっと危険サイトに登録しました。
Norton 評価 -- 94.247.2.195

WOT (web of Trust)
WOT - 94.247.2.195
真っ赤っ赤（笑）

McAfee
94.247.2.195 に対する自動安全性検査の結果
不明
をぃ（笑）

Gred -- green or red
type : 94.247.2.195
結果：SAFE
orz...
680 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 07:24:20 ]: 最初のGENOウイルスはどこから持ってきたんだろうな
阿部ちゃんの不手際なのか故意に仕込んだのか
キャッシュを削除してくださいとか初心者だましをしてる時点で後者なんだろうけど
681 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 09:43:51 ]: ウイルスに感染したかどうかわからず（サイトは見てた）
特に不具合もないのでそのまま来ましたが
久しぶりにデフラグしようとしたら
移動できないファイル（緑の部分）がすべて消えてるんですが
これってまさかウイルスのせいじゃないですよね？
682 名前：名無しさん＠お腹いっぱい。 [2009/04/20(月) 10:10:12 ]: OSクリーンインスコしたのに
自サイトがまた改竄されてた('A`)
683 名前：名無しさん＠お腹いっぱい。 [2009/04/20(月) 10:21:10 ]: 何も知らずにGENO逝ってしまった。
sqlsodbc.chm見てもかわってないようだけど不安です。
どうしたら安心できるんだろう。
684 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 10:23:30 ]: >>683
リカバリ
685 名前：名無しさん＠お腹いっぱい。 [2009/04/20(月) 10:24:50 ]: カスペルスキーオンラインスキャナが
現在メンテナンス中って
ますます不安だよ。
686 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 10:43:36 ]: >>685
今回の件ではカスペの対応はかなりおそかったんじゃなかったけか？
687 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 11:25:09 ]: ゲロゲロゲロゲロ
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 12:39:19 ]: >>681
俺のも全部じゃないけど緑がちょろっとしか残ってなくてまっかっか
容量が１／４くらい残ってるはずなのにほとんと赤でうまってる
なんだこれ？？
689 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 13:00:27 ]: >>686
検出は早かったけど駆除対応が遅かった
690 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 13:16:17 ]: >>689
検出ははやかったんだ、ＴＨＸ
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 14:25:18 ]: >>682
FTPパスワード変えれ
なるべくならSFTPに変えられるといいんだけども
692 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 14:26:24 ]: >>688
攻撃をうけた残骸
PDFの領域確保しまくるのかわからんけど
そういう人が何人かいたよ
693 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 21:43:30 ]: パソコンの調子が急に悪くなったんで壊れたかと買い換えたんだが
CD起動でLinuxとかだと全然問題ない。
買い換える前にここに来ればよかったか。。。
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 21:46:47 ]: 買い換えてしまったのならしょうがない
前のパソコンはクリーンインストールして他の用途に使ってみては？
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 21:47:23 ]: なかったことにしようとしてんなこの会社
696 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 21:51:11 ]: ところでゲノ逝っても大丈夫？
697 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 21:52:44 ]: 自己責任で
俺はもう2度と行かない、2度と買わない
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 22:25:33 ]: >>691
感染PCからパス抜かれるなら、SFTPも万全じゃないような気がする
FTPソフト設定までほじくられるようだと、
公開鍵認証でもアクセスPCが感染してたらアウト
699 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 23:14:11 ]: OS入れなおしたなら大丈夫じゃないの
>>663によればWeb監視はソフトの設定うんぬんじゃなくて
通信を見ているみたいだよ
700 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/20(月) 23:36:02 ]: 俺もデフラグ起動したら真っ赤だな。しかも減らない。
リカバリーしたんだがな
701 名前：名無しさん＠お腹いっぱい。 [2009/04/20(月) 23:48:40 ]: GENOウイルスに感染したPCを
GENOは買ってくれますか？
702 名前：688 mailto:sage [2009/04/21(火) 00:07:56 ]: >>692
まいった、ほんとにまいった
結局再インストールしていままでかかった
なんかなさけなくてなさけなくて腹立つ
703 名前：682 mailto:sage [2009/04/21(火) 01:02:15 ]: >>691

FTPパス変えて様子見中です

起動してない時にに改竄されてるからリカバリしたマシンでの
活動ではないっぽいです
704 名前：682 mailto:sage [2009/04/21(火) 01:09:22 ]: 参考までに

感染（多分GENO）→ブルースクリーン
→自サイトFTP接続→4/7に１回目の改竄
→なんか調子悪いと思ってシステム復元→他のサイトにもFTP接続
→システム復元以降にFTP接続したサイトは無事→OS再インスコ
→4/19に２回目の改竄→FTPパス変更（今ココ）
705 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 01:09:59 ]: 怖いなあ
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 03:27:40 ]: カスペメンテ中みたいだけどniftyでスキャンしても発見されるかな？
707 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 06:26:58 ]: キャッシュ削除すればおｋ
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 06:31:00 ]: >>707
火消し店員乙
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 12:42:42 ]: これ訴えれば勝てるんじゃないの
710 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 12:46:08 ]: もうゲノ逝かないから
ゲノ以外のおすすめパソコンショップある？
711 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 12:46:51 ]: 勝てねーよｗ
712 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 13:25:29 ]: >>710
お勧めはQC Passかな。
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 13:28:15 ]: >>709
勝つのは難しいな。閲覧者がソフトの更新をしていれば感染しなかったし
改竄されたページをそのままにしたのもセキュリティの重要性を広めたかっただけだし
無かった事にしたらニュースサイトでもほとんど取り上げられなかったし
もし感染してもキャッシュを削除すればいいんだぜ？
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 13:31:43 ]: >>713
> 改竄されたページをそのままにしたのもセキュリティの重要性を広めたかっただけだし

これは凄いｗ

でもまぁ、賠償金を取るのは難しいだろうね。
個人情報流出で実被害が出たら別だけど。
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 13:56:23 ]: 結局何もやってこないなんちゃってウィルスだったのか？
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 14:00:07 ]: >>715
は？
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 14:00:12 ]: 感染してしまったらリカバリやクリーンインストールしないと復旧できない
んだから、十分やらかしてるだろ。
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 15:58:45 ]: やほーやニコニコなんかのIDやパスも覗かれたりするの？
719 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 15:59:28 ]: 感染するとメモリ上でアプリを改竄しまくって動作がおかしくなり
WEB管理をしているとGENOと同じ危険サイトに変貌、更に二次三次感染と広がっていく危険ウイルス
GENOの管理人はどこから仕事用PCにそんなやばいの持ってきたんだよｗ
720 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 17:45:26 ]: >>712
ゲノブループだったおｒｚ
721 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 19:03:46 ]: >>720
Geno使ってる奴はふつう知ってるだろ。
722 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 19:09:50 ]: XP、セレロンで、IEが落ちる、極端に遅くなるなどの症状が出ている。
その他の症状も感染報告とよく似ている。
CDへの書き込みが出来ない---エクスプローラーからも、B's Goldからも、フリーソフト2種からも---のだが、
こういう症状が出たかたは、いらっしゃるでしょうか?

クリーンインストール前に、データを焼こうと思ったのだが、どうしたらいいのだろう　orz....
723 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 19:31:29 ]: >>722
CDライティングもブロックされるっぽい
cmdやregeditが起動しなきゃ100%アウト

データは外付けなりHDDに移して戻す前にスキャンするよろし
724 名前：722 mailto:sage [2009/04/21(火) 19:36:29 ]: >>723
ありがとう。
CDもアウトなのか。
HDDと、USBメモリにコピーしたら、異常に時間がかかる、タイムスタンプがおかしいので、書き換えできないメディアに、と思ったのだが　orz
725 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 20:32:09 ]: >>722
GENOでHDD買って、そっちにOS入れてデュアルブート環境構築すればいいと思います。

>>725
社員乙ｗｗｗ
726 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 20:37:52 ]: >>725
自己紹介乙
727 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 21:18:24 ]: >>725
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 22:25:10 ]: DドライブにOSインストールしなおしてお茶を濁そうとしたんだけど
Cドライブに残ってるsystem32フォルダの下のmacromediaの下のfrashの中に
消せないocxファイルとhelpファイルが残って気味悪いから結局クリーンインストール
迷惑な話だ・・・
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 23:10:47 ]: >>728
ああ、それ去年再インスコした時になった。
ウイルスとは違うんじゃねーかな
730 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/21(火) 23:34:55 ]: XP、Celeronのノートがやられたっぽいんでこないだリカバリしたよ・・・
以下　○症状あり　×症状なし

○　sqlsodbc.chmの改変
○　コマンドプロンプト・レジストリエディタ起動不能
○　セキュリティソフト更新不能　（４／１の更新が最後。ちなみにMcAfee）
○　Windows Update不能
○　常駐ソフトがタスクバーに表示されなくなる
○　特定サイトへの接続不能　（ＭｃＡｆｅｅのサイトとプロバイダのセキュリティサービスページ）
△　ブラウザが重い、落ちる　→IE、FireFox、Sleipnirは問題なし。Operaのみ挙動不審
×　ＣＰＵ占有
×　再起動強制、ブルースクリーン
×　DVD・CD・USBメモリ等書き込み不能

今のところサイト改竄は無し。しばらくＦＴＰ繋いでなかったから助かったのか？
4/6の段階でカスペのオンラインスキャンもしたけど、なにも引っかからなかったな

再起動するとやばいって報告が多かったから怖かったが、
特にその辺は問題なかった。みんな結構症状違うのかね？　
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 00:02:19 ]: >>729
関連とはちがうのか、失礼
てっきり書き換えられたのかと思った
移動できないｆｌｖファイルとかいくつも出てきたし
Windowsのアップデートってあんんまりやりたくないんだけど
怖くなって自動設定にした・・・
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 00:03:23 ]: 改めて並べてみるとかなり凶悪だねぇ
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 00:13:36 ]: >>704
2回目改竄されたあとＦＴＰパス変更してその後はどう？
734 名前：名無しさん＠お腹いっぱい。 [2009/04/22(水) 00:58:43 ]: >>724
ubuntuとかでコピーしたらいいんじゃない？
735 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 01:18:28 ]: 気になっていたものがあるのですが
GENOのサイトは今は大丈夫でしょうか
安全に見る方法はありませんか
736 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 01:45:44 ]: ubuntuとか
737 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 01:55:35 ]: Javaスクリプトオフだけで問題ないんだろ
738 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 03:03:13 ]: >>735
携帯からでも見とけｗ
739 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 03:04:33 ]: >>735
aguse
740 名前：名無しさん＠お腹いっぱい。 [2009/04/22(水) 04:21:33 ]: カスペルスキーオンラインスキャナってずっとメンテナンス中なんですか？
741 名前：153 [2009/04/22(水) 07:49:06 ]: >740

製品買わないからじゃね？俺はアクセスできたよ
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 10:15:26 ]: カスペルスキーって英語版でならオンラインスキャン、昨日したよ
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 14:57:40 ]: >>730
うちもリカバリー組み
GENOなんて見た事もないし、まとめサイトに載ってた感染サイトにも行ってないから
正直どこで感染したかはわからん

>>730とほぼ同じで、違うところは
IE・オペラがしょっちゅうエラーで落ちる
CPUが常に５０％超えになるぐらいかな

再起動、USBやCD等への書き込みは可能だった
744 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 15:31:57 ]: >>718
感染中に入力してれば抜かれてる
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 15:36:44 ]: やほーもニコニコも行かないからわからんけど
ログイン時HTTPSだっけ？
直接キー入力してなくて平文送信でないなら平気なのかも
でも感染中に行ったならパスワードは変えたほうが良いとおもうけども
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 16:45:20 ]: うちも再インスコしたよ

linuxのCDで起動、データ救出、フォーマット、再インスコ、スキャンしながらデータ戻した

やっぱHDDは複数台を使っておけばよかったと反省した
747 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 17:32:31 ]: ttp://www.yakuji.co.jp/

GENOにやられた？
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 18:05:03 ]: 医療界までやられたのか、シャレにならんぞコレ
749 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 18:11:05 ]: GENOっぽいよ
750 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 18:25:33 ]: これかな

医薬系ニュースサイトが不正アクセス被害
headlines.yahoo.co.jp/hl?a=20090421-00000000-cbn-soci
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 18:35:44 ]: 感染したＰＣから大事なデータを救出したい時はどうするの？
ＤＶＤ－Ｒに焼いてから読みとるとかなら大丈夫？
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 18:57:02 ]: >751
>>746
753 名前：名無しさん＠お腹いっぱい。 [2009/04/22(水) 19:01:40 ]: 多数サイトが改ざん(1)　PC通販「GENO」など閲覧者にウイルス感染のおそれ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=1857

多数サイトが改ざん(2)　狙われた「Adobe Reader」と「Adobe Flash Player」
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=1856

薬事日報のサイトが改ざん～閲覧者にウイルス感染のおそれ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=1864
754 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 19:08:29 ]: 今アップデートしました。
GENOは普通に表示されました。今のところ、問題なし。
755 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 19:11:07 ]: linuxとか使ったことないんだけど
知っといたほうがいいの？
756 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 19:13:20 ]: 必要性がないから使ったことないんだろ
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 19:18:01 ]: あれからマジゲノみてねぇや
あんな対応したんだからもう一生見なくてもいいよね
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 19:21:26 ]: いやデータ救出とか便利じゃね？他に方法がなくね？
759 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 19:23:20 ]: BartPEとかVistaPEとかのほうが融通が利く。
760 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 19:52:05 ]: 融通が利くのは同意
ただ、PEブートのCD用意するのは割と手間なのと、
プロセス上書するGENOへの対応としては、なんとなく不安
761 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 20:18:12 ]: 今必要なのは割とすぐ用意出来て迅速に対応出来る救出ソフトだろ
linuxが簡単なのかは知らんが
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 20:35:07 ]: とりあえずJava、JavaScript、ActiveX関連を全て停止しておけば大丈夫なのか
どうしても必要なら仮想PCでアクセス
763 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 20:44:25 ]: 踏んでしまいました。
sqlsodbcはハッシュ変わっててファイルサイズも1,323バイトでした。
cmdやregeditも起動できるし不具合も特にないけど、
やっぱりクリーンインストールした方がいいんですよね？
それと自分のサイトが感染してないか確認するのはどうしたらいいでしょうか？
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 20:53:55 ]: プニルでGENOを踏んでからCPU使用率がはんぱない。
sqlsodbc変化なしcmdやregedit起動できるwindows up dateもできる。
カスペ、a-squared、avast!!では何も出ない。早く除去法が開発されてくれ…orz
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 21:10:45 ]: >>764
HPやられてないかね？
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 21:12:57 ]: 疑問なんだが、今になっても「感染しました」って報告があるのはどこで踏んだんだ？
GENOはもう復旧してると思うんだが
767 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 21:14:01 ]: www29.atwiki.jp/geno/pages/13.html
768 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 21:16:47 ]: >>765
自分のＨＰがやられてないかってどうやって確認するの？
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 21:19:43 ]: >>768
>>506
770 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 21:39:48 ]: hobbycomplex×com
という模型イベントサイトも感染、現在閉鎖中になってるけど・・・
771 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 21:40:54 ]: おそらく4/2～4/4の間に感染した。4/11にリカバリ
けど今まで一度もGENOに行ったことないし
今判明してWikiに載ってるサイトにも行ったことない。全く経路不明
相当広範囲に未発見の被改竄サイトがあるんじゃないか？
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 21:53:28 ]: 4/5には短縮URL・URL偽造のマルチポスト祭りあったけどそれじゃね？
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 22:44:11 ]: でWindows系じゃなければ大丈夫なの？
774 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 22:51:46 ]: >>9
NOD32対応してるのね。
よかった。
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 23:01:43 ]: ウイルスバスターはまだ未対応？
776 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 23:18:55 ]: ラトビアサーバのファイルは更新されてるか亜種が沢山
さっき落としたファイルをViruTotalにかけた結果

入り口の変造jquery.js
ttp://www.virustotal.com/jp/analisis/0f42264f6e7bb0bab5b7a2937c61d3e6
id=100で落ちてくるスクリプト
ttp://www.virustotal.com/jp/analisis/00e479337739db5545f3b9cccf4b431d
id=101で落ちてくるスクリプト
ttp://www.virustotal.com/jp/analisis/2ed4a931700385168689058246276f21
id=2で落ちてくる変造PDF
ttp://www.virustotal.com/jp/analisis/f49dba424ba3b08435a26fea2a750f50
id=3で落ちてくる変造SWF（Flash）
ttp://www.virustotal.com/jp/analisis/a2c9f97a0086b07443ee159fb9f97617
id=10で落ちてくるexe
ttp://www.virustotal.com/jp/analisis/684b1cc7682753810293bacd2a77a3e9

ウイルス対策ソフト過信は禁物よ
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 23:27:22 ]: >>772
あいつは逮捕されないといけないな
778 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/22(水) 23:52:36 ]: >>770
閉鎖中のサイト踏んだけど閉鎖してるから大丈夫ですか
779 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 00:01:47 ]: 検知して消せたんだけどクリーンインスコしないとダメ？
780 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 00:39:12 ]: >>779
何でどうやって検地したのかｋｗｓｋ
781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 00:47:07 ]: >>780
AVASTでたまにはウィルスチェックしてみるかと検査したら
Win32:Trojan-gen {Other}を検出
普通に削除できた
782 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 01:20:14 ]: >>780ゴメン
似たような名前の別のウィルスかもしれん
MD5チェックしたら正常だった
783 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 01:20:54 ]: >>781
俺のavast引っかからない(´・ω・｀)
確実に感染してるし最新バージョンなのになんでだ…
ちなみにそれどのフォルダにあった？
784 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 01:31:46 ]: >>783
ごめんログとってなかった
役に立たなくてすまない
785 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 01:37:49 ]: (　´∀｀)b
786 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 02:01:01 ]: >>783
ベンダーがどこまで・どのように対策してるか分からんから何ともいえんけど
類似する複数のウイルス(つまり亜種)があるみたい
マルウェアドメインリストでの94.247.*.*検索は以下。いわゆるGENOウイルスは一つではないと考えていいかも

どれに感染したのかは知らんが、対アンチウイルスや対スキャンのもあるっぽい
www.malwaredomainlist.com/mdl.php?inactive=&sort=Date&search=94.247&colsearch=All&ascordesc=DESC&quantity=50&page=0
787 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 02:13:51 ]: sqlsodbc.chmの容量もハッシュも変化なし、regeditもcmdも起動できる、
けどCPUの使用率が症状の通り50%近くまで跳ね上がってるんだけどこれ感染してんのかな・・・
788 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 02:15:38 ]: >>787
何のプロセスが占有してるの？
789 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 02:25:23 ]: >>788
全面的に俺が悪かった、スキャンかけてる最中にパフォーマンス確認してたｗ
790 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 02:32:14 ]: お、俺もavastでWin32:Trojan-gen {Other}が引っかかった
とりあえずチェストに移動しておいたけど、消すのが最良？
791 名前：682 mailto:sage [2009/04/23(木) 02:53:15 ]: >>733

今のところ無事ですが１回目から２回目まで
2週間もスパンがあるんで同じ期間かそれ以上様子見ようかと

ちなみに１回目と２回目の改竄で該当ファイルが微妙に違ってた
１回目は弄られなかったファイルが書き換えられてたり

コード仕込まれたのは主にindex.htm(l) index.php 他○○.htm
あとオリジナル404 403shtmlもやられてた
792 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 05:50:20 ]: 結局javaスクリプトだけ切ってりゃいいの？
他も全部切るとまともなブラウジングが出来にゃいからアレなんだけど・・
はやくサイト管理者に周知徹底されるといいんだが
793 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 07:40:08 ]: javaスクリプトを切ってても効果ないよ
794 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 08:06:55 ]: カスペルスキーののオンラインスキャンで調べようとしたら
私のパソコンにはjavaがインストールされてなかった！
一安心
795 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 08:14:10 ]: >>794
PDFとFlashの脆弱性だから、JAVAは関係ない。
それと、JAVAとJavaScriptは別物。
796 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 08:49:25 ]: ＨＯＢＢＹ　ＣＯＭＰＬＥＸ公式webサイトです。

大変申し訳ありません、現在　当サイトは緊急閉鎖しております。
現在、復旧作業中です。
　復旧までしばらくおまちください。

ここもか　orz
797 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 09:39:21 ]: そのサイト踏んじまったんだけど、win2kの場合感染したかどうかって
どこで判断できるんだろ？
sqlsodbc.chmファイルはないしcmdもregeditも動くんで判別できん
798 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 09:42:46 ]: >>797
>>201あたりは？
799 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 09:47:45 ]: >>747
医薬系ニュースサイトが不正アクセス被害
4月21日16時18分配信医療介護CBニュース
headlines.yahoo.co.jp/hl?a=20090421-00000000-cbn-soci
800 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 10:10:05 ]: >>798
該当のレジストリ覗いたけど、特におかしい値はなかった
今のところ挙動に不信な点もないし、大丈夫だったのかなあ
801 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 10:40:38 ]: つか、どこのサイト踏んだの。対策後かも知れんだろ？
802 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 10:51:47 ]: >>801
>796のHOBBY COMPLEX公式サイト
踏んだのが昨日昼で、サイトが閉じられたのが夜なんで
対策前だったのは100%確実
踏んだときにadobe reader起動したし
803 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 10:54:41 ]: そんなに心配ならいい機会だからバックアップ取ってOS再インスコしれ
804 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 11:04:09 ]: >>803
ご尤も

ただ、そのホビコンに出るためのフィギュア作りが追い込みまくりなんで
GW明けてからだなぁ
それまでは怪しいPC封印して予備のノートでネットしますわ
805 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 11:20:34 ]: >>776
亜種やら更新された検体持ってるなら、検出可否スレのあぷろだに上げといて貰えないかな。
そしたら、誰かが提出してくれると思う。VTに投げただけだと対応されるまでに異様に時間がかかるから。

【鑑定目的禁止】検出可否報告スレ10
pc11.2ch.net/test/read.cgi/sec/1235459712/
806 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 11:48:18 ]: これ感染してからパスワード入力しなければ大丈夫？
それとも普段覚え込ませてるパスワードまで抜かれるの？
807 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 11:54:06 ]: 大抵のパスワードは変更可能でしょ？
さっさと、未感染のPCでパスワード変更しに行くべきでは？

実害うんぬんはともかく、精神衛生上よくない
いろいろ不安になってきてストレス溜まるだけ損ですよ
808 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 12:01:57 ]: >>802と同じく、対策前に踏んでる可能性があるけど使ってるのがＭｅなんでよくわからない。
とりあえず>>18の確認方法でsqlsodbc.chmのところ以外ちゃんと作動してて、
niftyのオンラインスキャンも問題無しだったんだけど。
809 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 13:40:05 ]: >>805
あいあい
pc11.2ch.net/test/read.cgi/sec/1235459712/588
810 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 14:10:44 ]: >>808
flashとリーダー最新？なら大丈夫なんじゃない?
811 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 14:39:40 ]: Meはその辺の最新版入れられない気がする
812 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 15:30:12 ]: flashは入れてるけど
リーダーが自分のPCに入ってるかどうかわからないんだけど
プログラムの追加と削除のところにadobe readerがなかったら
おれインスコしてないって事だよな。
813 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 16:12:55 ]: Meさんの場合、Adobe ReaderがVer.6でFlashがVer.9限界
アップデートがあとちょいちょい
入れっぱだとAdobeじゃなくてAcrobat Readerのまんまな可能性もある

結局かかるかどうかは踏んでみないとわかんないけど
814 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 16:50:47 ]: 相変わらずビスタはスルーのままか？
815 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 16:55:07 ]: 俺のPCにはAdobe Readerインスコしてない
入れる気もないRealPlayer、QuickTime、Windows Media Player
Adobe Flash、Javaもいらないか
816 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 18:14:17 ]: 新たな「脅迫ウイルス」出現、パソコンをロックして使用不能に
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090417/328554/
817 名前：名無しさん＠お腹いっぱい。 [2009/04/23(木) 18:39:55 BE:306092039-2BP(0)]: >>816
itpro.nikkeibp.co.jp/article/NEWS/20090417/328554/ph1.jpg
こんなの出たらまじ発狂する
818 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 18:46:06 ]: KOEEEEEEEEEEEEEEE
819 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 19:35:05 ]: >>817
俺が一昨日夢でうなされたウイルスとやり口が同じだよ
820 名前：808 mailto:sage [2009/04/23(木) 19:41:06 ]: >>810-813
今帰宅したんでちょっと調べてみたけど、
Adobe Acrobat Readerのバージョンが5.0.1.329。FlashPlayerは9,0,124,0なんだけど
UPdate.exeでは10.0.22.87てのがある…なんだろこれ？
821 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 20:00:03 ]: 巨大ボットネット発見，190万台の感染マシンで構成
itpro.nikkeibp.co.jp/article/NEWS/20090423/329035/
822 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 20:26:46 ]: >>820
それFlashの新verじゃね？
ver9じゃなくてver10
823 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 20:46:46 ]: AVGのアップデートが来てたけどこれってGENOウイルス対策？？
824 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 20:57:23 ]: >>823
よく意味が分からないよ。GENOのウィルスに対策済みか聞いてるってこと？
825 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 21:01:27 ]: 　　　　　　　　　　／）　　.　. .-‐―‐-. .
　　　　　　　　　／／／）::´　 -‐…‐ 　　｀丶
　　　　　　　／,.=ﾞ''"／/／´￣￣￣｀ｉ　　　 :.
　／　　　　 i f　,.r='"-‐'つ.ｰｰヾ〃-一 i　　ハ　　キャッシュ削除すりゃあいいんだよ！！
/　　　　　 /　　　_,.-‐'~V: ,　　　　　　　 i　　　　｝
　　／　　,i　　　,二ﾆ⊃{　＼　　､／_　 {　　　｀丶、
　/　　　ﾉ　　　 ilﾞフ./ :{Y 心ヾ　'"んﾊ｀Ｙ　　 :　　＼
　　　　,ｲ｢ﾄ､　　,!,!|/: : ﾊ.　Vﾘ　　弋ソ人　　ｌ: :　く⌒
　　　/　iﾄヾヽ_/ｨ"/　: ( 〉 '' 　 '　　 ''' 　ｒヽ　l: :/⌒
.　　/　　　　　/｛　. :/i 人　　　Ｆヽ　　 .ｲ爪　「｀
.　　　　　　　　　ﾍ{ （　/`ト . ゝﾉ .. イ /ﾉハﾉ
826 名前：808 mailto:sage [2009/04/23(木) 21:08:36 ]: >>822
ver.10になってると思ったんだけど、バージョンテストしたらアクティブなのは９みたい。10は無理って事？

とりあえずAdobeReader６落としてみたけど、入れたほうがいいのかどうかも微妙だな。
827 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 21:08:39 ]: ゲノってマジひでーな
キャッシュ削除で証拠隠滅
828 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 21:17:45 ]: >>826
Windows MeにFlash Player 10は入れられない
↓ここから9.0.159.0をダウンロードして入れとけ
ttp://kb.adobe.com/selfservice/viewContent.do?externalId=kb406791
IEとそれ以外のブラウザを個別に更新する必要があるので注意

Adobe Reader（Acrobat Reader）のことは知らん
てか、サポート切れのWindows Meでインターネットにつなぐのは無謀
829 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 22:41:49 ]: 次ぎすれいらないな
830 名前：名無しさん＠お腹いっぱい。 [2009/04/23(木) 22:51:35 ]: 色んなアプリの設定とか再インストールして即適用したいんだけど
そういうのまとめて保存とかできないのかな
831 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 22:52:09 ]: >>828
ｻﾝｸｽ。FlashPlayer入れ直したけど、たしかにPC環境考え直さなきゃダメだね…。
832 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 23:17:46 ]: >>830
iniファイルを保存して、上書きとか？
833 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 23:19:51 ]: >>824
そうです。
834 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 23:29:15 ]: >>809
exeのみ
ttp://www.virustotal.com/analisis/b19899002981c674db8ba3be475ccef1
835 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 23:29:50 ]: 次スレいらないね
ネタもないし終了
836 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 23:50:15 ]: とりあえずsqlsodbc.chmが50727ﾊﾞｲﾄなら感染ってないのかな？
837 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/23(木) 23:50:51 ]: >>835
それ聞くと逆に燃えるｗ
838 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 00:02:26 ]: >>824
Meではないが、自分の2k環境だと、
Adobe Reader 9.1をインストールしないと
Flash Playerが10になってくれなかった
839 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 00:03:25 ]: 安価ミスった＞＜
×>>824
○>>826
840 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 00:40:28 ]: >>834
>805
841 名前：693 mailto:sage [2009/04/24(金) 01:02:22 ]: >>694
サンクス。前のパソコンは怪しいサイト専用にします。
Puppy Linux（パピーリナックス）でCDROM起動して使う予定。
842 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 01:03:55 ]: しかしなんでまだラトビアのサイト生きてんの？
大手に被害が出ないとこんなもんなのか？
843 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 05:33:43 ]: 次スレいらないね
844 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 06:15:28 ]: GENO店員乙
845 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 06:43:51 ]: ＧＥＮＯｃｉｄｅ
846 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 06:56:25 ]: ニュー速もすぐ落ちるしもいらないだろ
847 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 07:00:22 ]: GENO店員乙
848 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 07:03:12 ]: セキュリティソフトも対応してるんだろ？
これ以上何をレスすんだよ
849 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 08:04:45 ]: >>848
ファイル入れ替えられてスルー続出してるけど、最初の奴は対応されたのが多いな。
火消ししようとしてる奴全員にGENO社員乙ってコメント付けるスレでいいんじゃね？
850 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 08:08:20 ]: >>849
おｋ
851 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 09:31:00 ]: GWがあるからなぁ
久々の休みに、この話を知らずネットをウキウキウォッチングで
一般サイトに感染拡大とかにならなきゃいいんだけど
852 名前：名無しさん＠お腹いっぱい。 [2009/04/24(金) 10:58:52 ]: >>799が改竄されたサイトの中で初めて閲覧者にウイルスの存在を警告してるのかな
GENOも発覚した土曜日に即サイトを閉じて警告と謝罪を入れれば加害者じゃなく被害者だったのにねぇ
長期間の放置と隠蔽で完全な加害者になってしまった
853 名前：153 [2009/04/24(金) 11:34:46 ]: >852

NAXOS
854 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 11:45:19 ]: 次スレいらないね
ネタもないし終了
855 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 11:52:43 ]: www3.atword.jp/gnome/2009/04/24/disclosing-virus-information-due-to-compliance/

afi2000.web.fc2。com はまだ放置されてんのか('A`)
856 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 11:54:52 ]: >>854
燃えてきたぞおお
857 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 13:18:30 ]: www.lemonsquash2861.com/love/
858 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 14:45:33 ]: >>834 再スキャン
ttp://www.virustotal.com/analisis/98891b4f4cff1bd9f137506bc633b0ed
× AntiVir avast! BitDefender バスターソースネクスト
859 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 15:05:07 ]: ＨＯＢＢＹ　ＣＯＭＰＬＥＸ公式webサイト
ttp://hobbycomplex.com/

#ホビコン公式WEBサイトをご覧になっている皆様へ

このたび、当WEBサイトが2009年4月21日(火)～22日(水)にかけまして、不正なアクセスがあり、
WEBサイトページが改竄され、当サイトとは無関係の外部サイトへアクセスされてしまう
事態が発生いたしました。
当事務局は、22日(水)に事態を把握し、サイトを一時的に閉鎖いたしました。
改竄されたページのクリーニングと再発防止に向け対策を実施後、
安全を確認したページより、順次掲載させていただきます。
　　　
みなさまには多大なるご迷惑とご心配ををお掛けしました事、心よりお詫び申し上げます。
なおWEBページの改竄による不正アクセスでのホビコン個人情報の流失はございません。
ご安心下さい。

上記の期間内に当サイトにアクセスされた場合には、ウィルススキャナ等を
御使用になり、悪意のあるスクリプトの影響がないかどうかの
ご確認を今一度お願いいたします。

　　　▼オンラインウイルススキャナのサイト（一部）
　　（カスペルスキー社）
　（トレンドマイクロ社）
　　（エフセキュア社）

今回の現象は、WEBページの改竄により、あるスクリプトの記述がソースに書きこまれ
脆弱性があるパソコンで改竄されたページを閲覧すると、そのスクリプトが作用して
悪意あると思われる海外のWEBサイトに飛ばされるという現象です。
脆弱性があるパソコンをご使用の方は脆弱性を埋める為にも
アドビ社製品のAdobe Reader 9.1及びAdobe Flash Playerの最新パッチをあて
アップデートすることを強く推奨致します。
860 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 15:10:55 ]: これじゃあまだ次スレいるな
861 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 15:45:37 ]: 秋田し次スレイラネ
862 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 15:54:03 ]: >>861
あきたのなら見るな。ｼｯｼｯ
863 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 16:14:46 ]: 反抗期だから次も欲しいって意味みたいだね
864 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 16:15:55 ]: 彼らは火消し書き込みする仕事に飽きたんだよ
GENOウイルス事件の週明けから各板に散らばるGENOスレでがんばってるからな
865 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 16:22:06 ]: リカバリしたからもういい
866 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 16:46:24 ]: >>865
とか言ってると亜種に感染するフラグですねｗｗ
867 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 17:10:58 ]: これってAcrobatの5.0とかの、あんまり細かい芸当できない時代のものでも駄目なのかな？？
868 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 17:20:02 ]: >>854
GENO社員乙
869 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 18:46:40 ]: pc11.2ch.net/test/read.cgi/sec/1237692415/658,663
870 名前：名無しさん＠お腹いっぱい。 [2009/04/24(金) 21:05:07 ]: GENOウイルス？
ttp://www.itmedia.co.jp/enterprise/articles/0904/24/news096.html
871 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 21:09:00 ]: 感染URLみたいに見えて踏めねーｗ
872 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 21:09:11 ]: >>859
＞悪意のあるスクリプト
これって、ウィルスの事でしょ。
なんで、
こんな、ややこしい説明するの？
873 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 21:48:34 ]: 悪意のあるスクリプトがあっただけで、ウイルス本体はそこになかったから
874 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 22:13:09 ]: >>871
間接的にjpg画像で見れば良いぞ。以下のサイトは可成り安全だと思うけどね。
ttp://www.aguse.jp/

リンクも有る程度たどれる。
ttp://gw.aguse.jp/

>869 の記事を直に見るなら以下のURLで行ける。
ttp://gw.aguse.jp/?m=g&url=www.itmedia.co.jp/enterprise/articles/0904/24/news096.html

メールヘッダーも調べられるんで、俺はよく使っているよ。
875 名前：874 mailto:sage [2009/04/24(金) 22:17:57 ]: >>874　ごめん

×　>869 の記事を直に見るなら以下のURLで行ける。
○　>870 の記事を直に見るなら以下のURLで行ける。
876 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 23:15:32 ]: >>872
厳密なウィルスの定義外で、ワームとかロジックボムとかスパイウェアとかバックドアとかトロイの木馬に分類される。
どれかひとつだと不正確な記事になってしまうから、正確性を期すためには「悪意ある～」って表現が一番妥当になる。

そもそも、厳密な意味でのウィルスって今でも流通してるのかね？
比率的にも品種的にも恐ろしく少ないと思うんだが…
877 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/24(金) 23:17:11 ]: >>872
ここの運営とトラブったことあるけど「自分の不手際でウイルス感染して
みなさんに被害を広めました」とは絶対言わないタイプの人間だった。
878 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 00:04:34 ]: >>876
PCの普及台数考えたら実数では増えてるはずだけど
トロイが文字通り桁違いに増えすぎたので相対的に少なく見えるな
879 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 01:15:27 ]: 590 ：名無しさん＠お腹いっぱい。：2009/04/24(金) 20:41:35 ID:v/Fz6ZMC0
アドビのPDFリーダーの使用継続は危険、F-SECUREが異例の警告
ttp://www.technobahn.com/cgi-bin/news/read2?f=200904232112
880 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 01:30:51 ]: セキュリティーベンダー大手のF-SECUREは20日、カリフォルニア州サンフランシスコで開催中の
セキュリティ関連カンファレンス「RSA Conference 2009」の席上でアドビのPDFリーダーは脆弱性が高く、
使用を継続することは危険とする、異例の警告を行った。

F-SECUREの研究開発部門の責任者となるMikko Hypponen（ニコ・ハイポネン）氏が述べたもので、
最近になってからアドビのPDFリーダーやFlashプレーヤーをターゲットにした攻撃手法が急激に増えてきていることに言及。
アドビの製品は利用者も多く、ハッカーによる格好のターゲットとした上で、
PDFリーダーに関してはハッカーによる攻撃の対象となることが少ないフリーの製品を使うのが良いと薦めている。

----
ラトビアの他にも同じような攻撃が流行ってるのかね？
しかしセキュリティ絡みだとほんと海外頼りだな
881 名前：名無しさん＠お腹いっぱい。 [2009/04/25(土) 02:06:07 ]: GENOウイルスマジ厄介
882 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 02:06:48 ]: そういう「シェアが少ないから安心」論もどうかと思うよな
883 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 02:13:09 ]: どうかと思うのは同意するが、そこで思考停止しなければいいんじゃないか？
あとAdobeのソフトがヤバ目ってのはそのとおりだと思う。
今のAdobeはかつてのMicrosoft並みに危険。
884 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 02:37:25 ]: >>867

不正PDFに要注意：Adobe ReaderとAcrobatの脆弱性突くゼロデイ攻撃発生
www.itmedia.co.jp/enterprise/articles/0902/23/news011.html
>Adobeが公開した情報によると、脆弱性はAdobe Reader 9とAcrobat 9、およびAdobe ReaderとAcrobat 8.1.3までのバージョンに存在する。悪用されると、
>アプリケーションがクラッシュしたり、攻撃者にシステムを制御されたりする恐れがある。

直接にGENOとは言っていないが、
ここを読む限りでは更新されていないすべてのバージョンが危険と思える
885 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 02:37:39 ]: Adobe Readerの環境設定「Acrobat Javascriptを使用」はオフにしといたほうが良いですかね？
886 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 03:02:06 ]: このウィルスらしきものがカスペルスキーで検出されました。
他のリンクでは反応せずに、そのサイトの時だけウイルスを
検出するということは、自分のサイトやＰＣは感染してないですよね？
どなたか教えてください、お願いします。
887 名前：８８６ mailto:sage [2009/04/25(土) 03:04:49 ]: すいません、一行目抜けてました。
↓以下書き直しです。

自サイトのリンク先の一つだけ
このウィルスらしきものがカスペルスキーで検出されました。
他のリンクでは反応せずに、そのサイトの時だけウイルスを
検出するということは、自分のサイトやＰＣは感染してないですよね？
どなたか教えてください、お願いします。
888 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 03:05:45 ]: >>885
当然。OFFにすべき。

>>886
検出してブロックできたもの以外に、すり抜けたのがいるかもしれないので、安全だと保証はできない。
（１つのページに１つじゃなく、複数仕込まれている可能性は高い。）
889 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 03:41:43 ]: 廃れたね

次スレいらね
890 名前：886 mailto:sage [2009/04/25(土) 03:44:28 ]: >>888
レスありがとうございます。
すり抜ける場合もあるんですねｏｒｚ

ちなみに自サイトからそのリンク先を
踏まずにグーグルなどから踏んでもそのサイトを開いた瞬間
ウイルスが検出されます。

こういう場合でも自分も感染してる場合もあるんでしょうか？ｏｒｚ
891 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 03:47:14 ]: 感染報告はどこで感染したのかURL出してくれないか
被害が拡大するのを防ぐ意味で
892 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 06:04:38 ]: ホビコンの公式サイト踏んでしもた…
ファイヤフォックスでも感染するんだよね？
893 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 08:58:59 ]: >>889
GENO社員乙

>>890
現時点では感染していなくても、そのサイトを踏んで検出を確認しているなら、ファイルが差し替えられた後に
感染してしまう可能性がある。感染した状態でftp経由でファイルを更新すると、自分のページにも感染するかもな。
894 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 10:36:47 ]: >>892
ブラウザが問題なのではない
895 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 10:42:11 ]: flashの中だけでサンドボックスにできないもんなのかね？
プログラムとかぜんぜん知らないけど
896 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 10:50:06 ]: >>892
するよー。ざまぁｗｗｗ
897 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 11:38:06 ]: どうか>>896 のHDDのデータが全部吹っ飛びますように。
898 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 12:45:01 ]: もう次スレいらないな
>>892はＧＥＮＯ関係ない
899 名前：名無しさん＠お腹いっぱい。 [2009/04/25(土) 12:48:17 ]: ↑関係者ｷﾀｰｗｗｗｗｗ
900 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 13:10:19 ]: いちいち反応するなよ
めんどくせぇ奴だな
901 名前：名無しさん＠お腹いっぱい。 [2009/04/25(土) 13:16:59 ]: うｎ
902 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 14:36:05 ]: 廃れてネタ切れ
勢いもないし次スレいらね
903 名前：名無しさん＠お腹いっぱい。 [2009/04/25(土) 15:18:00 ]: genoｳｲﾙｽに感染した…
俺はもう長くない
ラトビア野郎を許さない
904 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 15:23:42 ]: >>898
もしもホビコンの運営がＧＥＮＯで安売りパーツ漁ってて感染したとかなら関係あるな。
905 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 16:07:56 ]: GENOウィルスに感染したが何とか駆除できた。
それ以来、毎日パソコンの電源を落とす前に
セーフモードでウィルスチェックする事を日課としている。
906 名前：名無しさん＠お腹いっぱい。 [2009/04/25(土) 16:36:05 ]: オマエおもろい。 >905
907 名前：名無しさん＠お腹いっぱい。 [2009/04/25(土) 16:56:10 ]: GENOウィルスって何ですか？
GENOのサイトに行っても置いてないみたいなんですが？
908 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 17:37:20 ]: >>907
GENOがセキュリティソフト販売の為に、Webサイトに設置してあったのを放置し、存在していたことを
隠蔽しようとしたことで、より一層叩かれるようになったものです。現在は除去されていても、
対応の悪さにより被害拡大に寄与したためか、GENOウイルスという愛称で呼ばれています。

>907はGENO社員乙。ざまぁｗｗｗ

多数サイトが改ざん(1)　PC通販「GENO」など閲覧者にウイルス感染のおそれ
ttp://www.so-net.ne.jp/security/news/view.cgi?type=2&mode=bkno&no=1857
909 名前：名無しさん＠お腹いっぱい。 [2009/04/25(土) 19:03:54 ]: 次スレいらないって言われると、是が非でも立てたくなる。
そんな天邪鬼な２ちゃんねらーが大好きです。
910 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 19:13:09 ]: 無理やり建てる必要は無いだろ
どうせ廃れるだけ
911 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 19:18:23 ]: 廃れるまで情報交換の場として残す方が良い
912 名前：名無しさん＠お腹いっぱい。 [2009/04/25(土) 19:18:57 ]: 天邪鬼なのもあるかもしれないが常識的に考えて新聞や雑誌に広告出してるような
ネット通販している会社（特に日替わり特価品や突然セールがあるようなサイト）が
ウイルス感染サイトに改竄されていた状態で何日も放置していた社会的、道義的責任は大きい
しかも親切なねらーが店舗までいってその事実を伝えたのに
その上キャッシュ削除の件や謝罪文が短期間で削除されたりと燃料投下しすぎてるから当然の結果だよ
未だにウイルス感染の危険性があったことに一切触れていないのも怒りを買ってる原因の一つだね
913 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 19:33:26 ]: どこたて
914 名前：名無しさん＠お腹いっぱい。 [2009/04/25(土) 19:34:04 ]: >>912
本当に、その通りだと思う。
915 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/25(土) 21:00:47 ]: >>912
対応が遅かったのは仕方ないにしても
情報消すの早すぎるのが…
最低1ヶ月くらいは載せとくもんじゃないのか
916 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 00:02:00 ]: >>883
下手するとそれ以上だけどな。
FlashのActiveX版で、一番最初のインストールの時点でエラー吐いて落ちるとか
バージョン別機能の境界間違えてファイル読み込めなかったりとか
更新のお知らせがIEコンポーネントなのか、文字化けしてたりとか
ActiveX版の再インストールでまたエラーはいて落ちたりとか
エラー落ちしたけどインストールされていたりとか
バグに関する公式のKBが間違ってたりとか
ActiveX版が多重インストールされたりとか

>>895
一応今でもサンドボックスというか、仮想化はされてると見なせるアーキテクチャをしてるよ。
問題は、バグが多すぎて仮想化の枠の外にダラダラ有害コードが流れ出てくること。
917 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 02:02:43 ]: まだやってんの？
飽きただろ
918 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 02:15:38 ]: GENO社員は飽きたかもな
919 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 02:17:31 ]: んだな
920 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 03:18:35 ]: タスクマネージャでは見当たらなかったけど
Slight TASKmanagerってやつで見てみたら
エクスプローラが２こ動いててレポート見たら
Name=svchost.exe ID= 1936 Prio=不明 User=不明
というのが20行ぐらい続いてた
プロセスにもsvchost.exeが10個以上大量に出てきた
俺オワタ？
921 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 03:23:21 ]: >>920
プロセスエクスプローラーのほうが見やすくない？
922 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 03:26:25 ]: ProcessWalkerっての使ってるんだけど
プロセスエクスプローラって見やすい？
923 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 03:34:52 ]: 字かちっちゃい英語読めない
で、オワタっつってるのに何その質問？
924 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 03:39:41 ]: >>922
それしか使ったことないから比較したことないけど、
たくさんあるsvchostでも、どの会社のアプリ動いてるかわかるから見やすい。
まあmicrosoft以外では見たことないけど。

会社名の偽装もあるからそれだけでは安心だとは言えないんだろうけど
925 名前：＞＞922 mailto:sage [2009/04/26(日) 03:44:04 ]: Process Explorer
ttp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
926 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 03:48:35 ]: >>920
svchost.exeのユーザー名がSYSTEMとかLOCAL SERVICEなら良いが、
ログイン名になってるのがあったらヤバイんじゃね？
927 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 03:49:05 ]: Process Explorer
ttp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
見やすいか、見づらいか、人それぞれかと
928 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 03:50:38 ]: ありがと落としてくる
929 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 04:03:04 ]: Process Explorer落としてきた
ProcessWalkerだと表示項目に会社名がなくてプロセス選択して詳細みたいとわからないけど
Process Explorerだと一覧で最初っから会社名があるのね
サンクス
930 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 04:03:22 ]: 日本語化パッチが適用されないなぜだ
931 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 04:08:01 ]: うちは解凍したフォルダをパッチの差分がなんたらってのでちゃんと指定したら適用されたよ
932 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 04:15:59 ]: 今オンラインスキャンをやってるんだけど
今時シマンテックはどうなのかね
933 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 06:41:22 ]: 落ち着いたかと思ったら時間差で個人サイトに広まってきてるな
934 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 06:53:13 ]: それ違うウイルスだろ
このウイルスはもう終わってるしスレの存在意義無し
935 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 06:55:47 ]: 火消しは逆効果なり
936 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 09:17:29 ]: >>933
だって、感染者が、ftpで自分のサイトを更新すると、ファイル書き換えてGENOウイルスのコード仕込むんだろ。
じわじわと広がって当然だな。
937 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 11:33:15 ]: >>934
GENOさん問題をちゃんと理解してくださいよ
938 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 13:03:46 ]: もうゴールデンウィークだから気をつけないと何か来そうだ。
939 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 13:50:08 ]: ゴールデンウィーク開始直前にサイトが改ざんされた場合
長期的に改ざんされたままになる可能性があるから危ないね
940 名前：あぼーん mailto:あぼーん [あぼーん]: あぼーん
941 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 17:02:03 ]: つまんねーことやってんな糞VIP
942 名前：名無しさん＠お腹いっぱい。 [2009/04/26(日) 17:18:12 ]: 千とらないでね
943 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 17:59:07 ]: ちょっと前にも同じ質問があったけど古いＡｃｒｏｂａｔの５あたりは
ＢｌｓａｔｅｒがＭｅちゃんスルーしたみたいに対象外？

だったらＲｅａｄｅｒ入れずにこのままにしときたいんだけど・・・
944 名前：名無しさん＠お腹いっぱい。 [2009/04/26(日) 19:03:58 ]: 自分のサイトのソースチェックすれば
GENOウイルスのコード仕込んであるか
チェックって出来るのかな？
945 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 21:43:45 ]: a
946 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 23:12:54 ]: んで、ＧＥＮＯのサイトは本当にもう大丈夫なのか？
947 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/26(日) 23:46:59 ]: >>946
今のところは大丈夫っぽい
んが、GENOのお詫び内容があさっての方向にぶっ飛んでるから
事態を未だ把握できず誤魔化してる可能性も考えられる
この調子だと今後また何かしらトラブルを起こすだろう
948 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 01:18:04 ]: 復旧した時の手間を思い出すと二度と行きたくないな
949 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 06:21:32 ]: 解決したね
次スレいらね
950 名前：名無しさん＠お腹いっぱい。 [2009/04/27(月) 06:27:32 ]: >>949
ソース頼む
951 名前：名無しさん＠お腹いっぱい。 [2009/04/27(月) 08:33:17 ]: ラトビア特急、路線拡大中

2009/04/09(木)　 7560 個
2009/04/17(金)　 8567 個
2009/04/19(日)　11795 個
2009/04/27(月)　15096 個のドメインを感染させています。
952 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 09:39:53 ]: 感染したらしきｐｃそのまま電源切っておいてあるんだけど
対策ソフトどっかにないの？
入れなおしめんどうなんだけど
953 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 10:54:51 ]: >>952
再ｲﾝｽｺ面倒くさがるならこのスレぐらい流して読めよ
読んでわからないなら黙って再ｲﾝｽｺしとけ
954 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 11:07:45 ]: うちの会社にも「入れ替えるの面倒だからどうにかならんの？」って
1週間くらいゴネ続けてるやつがいる。
さっさとｸﾘﾝｲﾝｽｺしたほうが早いって何度も言ってるんだけど聞きやしねぇ('A`)
955 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 11:20:58 ]: >>951
そのデータってどこで見れるの？
956 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 12:08:42 ]: >>954
仕事をサボるいい口実だもんな
連中はむしろPCが不調だと喜ぶ
957 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 12:47:31 ]: >>956
そのくせ仕事が出来てなくて怒られると
「情シスが対応してくれなくて・・・」
「サーバがおかしかったみたいで作業できなくて・・・」
「ネットが不調で・・・」
と情シスのせいにしやがるんだぜ('A`)
958 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 13:05:22 ]: >>956-957
ありすぎて困る('A`)
959 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 13:22:21 ]: >>954
そいつのPCにはお宝ファイルが眠っていると見たｗ
960 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 14:02:35 ]: >>944
たぶんできるよ
サーバのソースをDLして元のソースとDiffとれば
差分が出てくるんじゃないかな
961 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 19:13:07 ]: >>960
なるほど、Diffってのをやればいいんだね。
参考になったよありがとう。
962 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 19:48:26 ]: 解決したね
次スレいらね
963 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 19:53:31 ]: 少しは捻れよ中の人ｗ
964 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 21:45:32 ]: GENOウイルスの検索結果
Google 約101,000件
goo 約23,900件
Yahoo 約209,000件
Live Search 31,200件
965 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 23:51:41 ]: >>961
ソースコード管理ソフトで管理するのも手かな
履歴見られるし世代毎でdiff取れるし
966 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/27(月) 23:55:19 ]: 豚インフルエンザウイルスとGENOウイルスって何が違うの？
967 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 01:14:54 ]: >>966
豚インフルエンザ…対応を誤ると人が死ぬ
GENOウイルス…対応を誤ると企業が死ぬ
968 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 01:29:06 ]: 責任取る気なんてさらさらないけどなｗ
969 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 02:28:26 ]: GENOウイルススレ　★3
pc11.2ch.net/test/read.cgi/sec/1240853183/
970 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 02:40:16 ]: >>966
>>967を補足すると

共通点
・感染者に対し、破壊活動を行うなどの有害な行為を行う。
・感染者に寄生する。（最悪の場合、感染者が死ぬまで。）～豚インフルエンザは細胞内に進入。ウイルスはカーネルに侵入。
・自己複製能力を持ち、繁殖・拡散を目的であることが多い。
・自己改変能力を持つものもある。（豚インフル…突然変異、PCウイルス…ポリモーフィックもあるが、だいたいはプログラマが介在してすりぬけ改変）
・まれに、ワクチン（アンチウイルス）が間に合わず、または、開発者、管理人、ユーザーの怠慢などにより、大流行することがある。
・潜伏することもある。（ステルス型ウイルス）
・究極的には、ビットでデジタルな存在。（豚インフルエンザ：単なる拡散塩基の組み合わせ）←→PCウイルス：プログラムは0と１のビット）
・場合により、宿主の抗体を機能不全にするものもある。（AIDS（後天性免疫不完全症候群）, PCウイルスでは、KillAV、AVキラーなど）

相違点
・PCウイルス：悪意のある人間が人為的に作成。決して自然に発生しない。
・ウイルス：自然界にそもそも存在。

>>966
そもそも、スレ違い
ほかのスレでやれ
971 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 07:17:53 ]: そもそもそもそもそもそもそもそもそもそもそもそも
そもそもそもそもそもそもそもそもそもそもそもそも
そもそもそもそもそもそもそもそもそもそもそもそも
972 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 07:23:28 ]: コンピュータ専門学校生のバイト君が
「うちで競い合ってウイルス作ってますよｗ　プログラム技術の向上のためです」
って言ってたぞ。
973 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 10:46:31 ]: 海外アトラスのサイトが何者かによってハック。訪問者のPCにウィルス感染の可能性
gs.inside-games.jp/news/186/18606.html
974 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 11:12:42 ]: もう確実に次スレたてないとな
それにしても、インフルとGENO二つとも始末が悪い
975 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 12:49:05 ]: >>974
つ >>969
976 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 12:54:43 ]: >>975 >>969
ありがとう
977 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 13:06:48 ]: 埋めるかね。

じわじわ地味に広がってるところが厭らしいな。
978 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 15:03:39 ]: ume 埋め　うめ　梅
979 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 17:11:41 ]: 裁判官に任命されたらCPウイルス製作者を死刑にしようと思う。
980 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 17:14:38 ]: なんでもいいから埋めるぞ
981 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 17:21:43 ]: >>973
McAfeeの削除ログ

危険性のあるスクリプトが自動的にブロックされ、削除されました。
このスクリプトについて
検出済み: Generic Packed.js (トロイの木馬)
スクリプトは、コンピュータ上の特定のタスクを自動化する小さなプログラムです。不正なスクリプトが使用されると、重要なファイルが損害を受けたり、パフォーマンスが低下したり、レジストリが不正に変更されます。

>>973
そこ感染しとるわw

GENOウイルススレ　★2
pc11.2ch.net/test/read.cgi/sec/1239364066/
982 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 18:12:24 ]: 感染に途中で気が付いてブラウザを閉じたので中途半端に感染したが
PCを4回目に起動したらネットに繋がらなくなった…
ブラウザが落ちやすくなるだけではなくネット自体に繋がらなくなる事例なんかあったっけ？
983 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 18:20:43 ]: >>982
>18と>20参考に症状チェックしてみ
984 名前：名無しさん＠お腹いっぱい。 [2009/04/28(火) 18:46:01 ]: 次スレ

GENOウイルススレ　★3
pc11.2ch.net/test/read.cgi/sec/1240853183/
985 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/28(火) 18:46:23 ]: フラッシュとかを最新にしてれば感染はしないんじゃないの？

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef