09/05/16 23:16:51 n4RlFrPrO
なんか感染してもIDとパス抜かれて改竄されたりするだけって流れだが
普通にPCあぼんするだろ
907:geno
09/05/16 23:17:09 5qGyw+II0
※324は感染サイト一覧が載ったレス※
351 名無しさん@お腹いっぱい。 [sage] 2009/05/16(土) 22:37:57
>>324
Firefoxでアクセスしてみたけど全部
martuz■cn/vid/?id=
からファイルを取ろうとするね。それでそこに直接行っても
// No news...
と表示されるだけ。。IEじゃないとだめか・・
403 名無しさん@お腹いっぱい。 [sage] 2009/05/16(土) 22:55:47
>>351
ほんとだ…
以前チェックした時はgumblar.cnを読み込んでるサイトがほとんどだったんだが
恐らくリモートから攻撃コードを更新されたんだと思う
ちなみに直接ロケーションバーにmartuz■cn~を打ち込んでも
攻撃コードはダウンロードされないよ。
攻撃サーバはUA、IPアドレス、cookie、リファラを駆使して解析から逃れようと試みる。
攻撃コードをダウンロードするには
・ロケーションバーにURLを打ち込んでアクセスするのではなく、感染サイトからアクセスする。またはリファラを偽装する
・cookieを拒否する
・XP以下のWindowsでアクセスする。またはUAを偽装する
・もし以前に攻撃サイトにアクセスしたことがあり、その際「XP以下のWindows以外」でアクセスしていた場合はIPアドレスを変える
以上の条件を満たすことが必要
908:GENO
09/05/16 23:17:47 0pWlmmmFO
今北
携帯には感染しないとの事だが、WindowsMobileの感染例はある?
アドエス使ってるのでちと不安
909:GENO
09/05/16 23:17:59 NoC9xktr0
>901
一応ソースチェッカ通した
トップページは問題なかったと思われる
910:geno
09/05/16 23:18:03 W4KsuI0i0
>>879
ありがと。
さくらブログ(sblo.jp)は今ドメイン丸ごとノートンセーフウェブで警告出ちゃう状態だから
それじゃないかな、とは思うんだけど…怖いね。
911:GENO
09/05/16 23:18:49 8GH5m4eg0
>>898
できないんじゃない?
切って、なんか別の、フリーのファイアウォールソフト落としたほうがいいのでは。
912:GENO
09/05/16 23:19:44 +osFnU5G0
>>868,885
ありがとう
出来る限りの事やってみるわ
913:GENO
09/05/16 23:19:52 7iQsJukd0
本物そっくりの「Flash Player」偽サイト出現、目的はウイルス配布
URLリンク(itpro.nikkeibp.co.jp)
どう考えても今回の騒動に便乗したFlash Player 10偽装ウイルスです
914:GENO
09/05/16 23:20:14 2fUnOYk6O
これ関連のスレだいぶ読んだが、レス見逃してたらごめん
感染サイト探ししてる人たちはどういう環境でやってんの?
自分も管理してるサーチの、登録サイトの感染有無を調べたいんだが対策wikiに書かれてる一連の対策(更新やJS切り)しとけば、XPで感染してるサイトにアクセスしても平気なのか?
それともMacやLinuxで探してるの?
915:geno
09/05/16 23:20:48 qU7y8KVc0
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険
916:.
09/05/16 23:20:49 RB3rnXLV0
>>853
FTPいじってくるからパーミッションを判断してそういうのを設置してきてもおかしくないね(´・ω・`)
917:GENO
09/05/16 23:20:52 RS4CmXKuO
なんかこのウイルス、エイズみたいだな
918:GENO
09/05/16 23:21:38 0gFFuB+40
>>839
ありがとうございました。
919:GENO
09/05/16 23:21:54 fksVrn0p0
>>914
感染してそうなサイトのURLをソースチェッカーに突っ込んで
ソースを確認してる
920:GENO
09/05/16 23:22:12 ObwjbkKd0
すいません質問です
自分が感染したかどうかって自分のHPのソースみたらわかりますか?
921:GENO
09/05/16 23:22:16 1VA2CzOXO
UACって標準ユーザーだと、管理者のパスを入力しないとOKできないよね?
922:GENO
09/05/16 23:22:17 dlLg7KH80
>>871
ルナはどうなんだろと思ってたからありがとう
923:じぇの
09/05/16 23:22:59 LKk/UlVQO
これさ
感染してないの確認したらとりあえず電源切って
しばらく触らないようにしとけば安全てこと?
924:GENO
09/05/16 23:23:08 +osFnU5G0
>>897もありがとう
ちょっと落ち着いた
925:ういるす
09/05/16 23:23:17 cCBR+zr7O
>>722
感染後いじったら抜かれる
926:GENO
09/05/16 23:23:20 rdW8H0F70
>>190
素人目に見ても怪しさ全開きな臭さぷんぷんだから多分大丈夫
今後の進化で省略化されty……うわあああああああああああああああああああああああ
927:geno
09/05/16 23:24:38 JMWvRLu6P
>>920
>>1
928:GENO
09/05/16 23:24:51 eache2fz0
>>923
そこまでする必要はない
不安ならネット閲覧中に開くページのソースを片っ端から確認すればよい
929:GENO
09/05/16 23:25:18 6EGlCpXn0
>>906
Javascriptで飛ばされた先から落ちてくるファイルが
環境によって違ったり、頻繁に変更されるので
感染時の挙動が同一とは限らないのがこいつの面倒なところ
じゃないのか?
930:geno
09/05/16 23:25:28 EplbuiLY0
何かもう面倒になったから疑いのあるPCはクリーンインスコした
しかしこのウイルスって感染サイト閲覧したら確実に感染するもの?
931:GENO
09/05/16 23:25:37 2fUnOYk6O
>>919
なるほど!ありがとう!
うへ…膨大wちょっとやってくる
932:役立たずがっ
09/05/16 23:25:50 CIzTYPD6O
とりあえずノートンがお休み中なのはわかった。
933:GENO
09/05/16 23:26:04 IgRMmjVnO
>>909
ありがとう
とりあえず感染してなさそうで良かった
934:geno
09/05/16 23:26:15 NG0XsJSj0
>>915
えらい作者が暇なウイルスなんだなw
935:geno
09/05/16 23:26:53 pgHnItAv0
この騒動で火狐に乗り換えようと思ったんだけど、ダウンロードしようとしても
「このインターネットのサイトを開くことができませんでした~」
ってなって出来ない
公式以外からでも同じ 何で…?
936:GENO
09/05/16 23:27:07 FLyPY/O00
まとめサイトのElleFileInfoのところ
正常なsqlsodbc.chmは
ファイルサイズ:50,727バイト
CRC32:B61C7A80
MD5:F639AFDE02547603A3D3930EE4BF8C12
SHA-1:FBDD32ED13D27E4102621E1067FDF3634F33B2C3
って書いてあるけど、ファイルサイズはKBで出てくるよ
49.5KBって書き直したほうが分かりやすいんじゃないかな?
937:GENO
09/05/16 23:27:29 Nbczmf4uP
>>934
まてよもしかするとこれって壮大な就活なんじゃね?
おれはこれだけのものを作る技術を持っているという
938:GENO
09/05/16 23:27:51 lqJkBEFe0
JAVAScriptの切り方がどうしてもわかりません
JAVAとScriptってたくさんあるけど、片っ端から無効にしたら大丈夫ですか?
939:geno
09/05/16 23:27:58 Yj4M5Gzw0
>>931
でもいつ改変されるかわかんないから
一度チェックしたからずっと平気ってわけじゃないよ
940:geno 報告
09/05/16 23:28:00 IW0lvs3T0
>>3
Sound Horizonの同人サイトで感染を確認しました。
ジャンルはなんだろう、芸能とかになるのかな
941:GENO
09/05/16 23:28:48 n+WlS5TX0
>>3
一応ファイアーウォールの設定の説明文を書いてみた
■Norton Internet Security(ver.16.5.0.135)のファイアーウォール設定
1.メインウィンドウ開く
2.「インターネット」の「設定」を開く
3.「コンピュータの設定」内、「スマートファイアウォール」をオンにする
4.「スマートファイアウォール」の「拡張設定」の「設定」を開く
5.「一般ルール」の「設定」を開く
6.「追加」をクリック
7.「遮断」をクリック
8.「他のコンピュータに対する接続と他のコンピュータからの接続」を選択して「次へ>」をクリック
9.「下のリストにあるコンピュータとサイトのみ」を選択して「追加」をクリック
10.適切な記述で入力し(詳細は記述方法は下記)、「OK」をクリック
11.すべて設定したら「完了」をクリック
12.「一般ルール」ウィンドウに戻るので、追加されていることを確認
13.任意で順序を変えるなどする(普通はそのままでOK)
■ブロックするIPの記述方法(上記のうち「9」の項目でやること)
例1)【94.247.2.0 - 94.247.3.255】の場合
a.「範囲を使う」を選択
b.開始アドレスに「94.247.2.0」を入力
c.終了アドレスに「94.247.3.255」を入力
d.「OK」をクリック
e.「ルールの追加」ウィンドウの「種類」に追加されていることを確認
f.他に追加するIPがあれば繰り返す、なければ「完了」をクリック
例2)【78.109.29.112】の場合
a.「個別」を選択
b.入力フォームに「78.109.29.112」を入力
c.「OK」をクリック
d.「ルールの追加」ウィンドウの「種類」に追加されていることを確認
e.他に追加するIPがあれば繰り返す、なければ「完了」をクリック
942:名前欄にスレ名入力推奨@自治スレ
09/05/16 23:28:49 SNgDVri50
528 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/16(土) 23:25:54
同人板のやつ等がウイルスの挙動研究しててソレがまったくの的外れでワロタ
943:GENO
09/05/16 23:28:55 JLSn9lA+0
>>937
まあ反社会的な活動したら普通の企業はそこでアウトかけるだろ
……普通でない企業は別かもしれんが
944:GENO
09/05/16 23:29:24 6SikDLsa0
>>937
対策ソフト売り込んでたりして
945:GENO
09/05/16 23:29:32 RwVE/EfH0
いま自分のさくらブログの生成ソース確認してきたんだが
画面下部にもれなく入る、さくらのブログ公式へのリンクはjavascript利用なので
そのへんが引っかかってる可能性も大だと思うんだが、どうだろう
うちはノートン先生じゃないからこれ以上は確認でけんのだが
946:GENO
09/05/16 23:29:42 w4bZzvn00
>>937
まあ確かに作者の頑張りは認めざるを得ないが…
947:GENO
09/05/16 23:29:44 gHKu351l0
おい 次スレは どうなった
948:geno
09/05/16 23:29:52 3LSlDpk70
>>936
丸めた数字にしてどうすんの
併記すりゃいいだろ
949:GENO
09/05/16 23:30:11 VY+JwH9i0
>>947
たてた
950:GENO
09/05/16 23:30:14 58PrCe2G0
ソースチェッカーしようとしたら
「攻撃受けてるのでアクセス規制中」と出た
チェックしてる人多いのか
951:ウイルス
09/05/16 23:30:42 +10WbMtBO
>>944自分はマカーだからソース勝手に見てる
発見したらソース勝手に見たことお詫びしつつ管理人さんに報告
952:GENO
09/05/16 23:31:01 w5977lh60
>>934
次から次へとアクセスがあるから、拍手連打されてる感じで
舞い上がって 物 凄 い 勢 い で更新してるんじゃないのか
953:GENO
09/05/16 23:31:11 2AROtDNA0
>>936
現状のままで問題なし
プロパティで確認するでいいよ。
954:新参
09/05/16 23:31:39 litZAZwgP
もしpixivやニコニコ動画が感染したら俺死亡
955:GENO
09/05/16 23:32:05 TH9k4NJxO
>>936
自分のPCは50Kbだった
プロパティで表示したら50,727bだったよ
人によって若干違うと思われるから今のままでいいとオモ
956:ウイルス
09/05/16 23:32:06 +10WbMtBO
間違えた>>951は>>914です
957:GENO
09/05/16 23:32:17 7dnbfNTZ0
JavaScript切ってるとフラッシュプレーヤーの更新すらままならんなAdobeファック
958:名前欄にスレ名入力推奨@自治スレ
09/05/16 23:32:23 1R6XGnxy0
誰かが立ててくれた次スレ
【管理も】同人サイト・GENOウィルス注意4【閲覧も】
スレリンク(doujin板)
959:次スレ
09/05/16 23:32:37 tRYHiqa3O
【管理も】同人サイト・GENOウィルス注意4【閲覧も】
スレリンク(doujin板)
960:GENO
09/05/16 23:32:37 MDEwFTbl0
avastで特定IP遮断する方法教えてください
961:GENO
09/05/16 23:32:39 d5PZucJe0
>>947 これか?
スレリンク(doujin板)l50
962:GENO
09/05/16 23:32:54 sD9c7etV0
>>877
バックドア系ウイルスを放置しててもいいか~なんていう考えはあぶねっつってんのに
じゃあ今回のはボットネット化しないとしてもだ
なにかの機会にPCを再起動したらそのとき確実にあぼんするらしいから
遅かれ早かれリカバリすることにはなるね
963:GENO
09/05/16 23:33:18 tKtS4mj00
たてた
スレリンク(doujin板)
Ubuntuなら踏んでも平気かね?
964:GENO
09/05/16 23:33:46 mT3cvEnF0
>>914
一連の対策全部やっても亜種さんが猛威をふるってるようだから
XPでいろいろ回るのは危険かも
自分はLinuxから確認してる
965:GENO
09/05/16 23:33:55 VY+JwH9i0
>>961
それ。
p2で書いてたらいつの間にか連投規制に掛かったorz
966:げの
09/05/16 23:34:21 9Y494maDO
最近忙しくて2chもmixiもニコ動も全部携帯からしか見てない俺が勝ち組とは…
もうしばらくPC触らないでおくわ
967:GENO
09/05/16 23:34:22 7iQsJukd0
>935
便乗馬鹿が最新Flash Playerダウンロードサイトになりすましたトロイの木馬をばらまいてる。
フィンランドのセキュリティ開発会社が発表
あわてて落とすな。雑誌付録DVDにFireFox3.0.xのインストーラが入っているならそれを入れて
(当たり前だが即JavaScriptは切っておけ)、10.0.10アップデータのみDLして更新汁
968:GENO
09/05/16 23:35:22 Nbczmf4uP
亜種ちゃんのこと考えず今さっき通販つかっちまったよやべぇな
代金引換だけど
969:GENO
09/05/16 23:35:38 gHKu351l0
>>963
トントン
今のところサイトに来てる人は少ないしJSどうしてるかは分からない解析
ジャンルサイトの動向知りたいけど感染してないか不安で見に行けない…
まとめサイトの管理人さんお疲れ様です。
970:geno
09/05/16 23:36:28 pgHnItAv0
>>967
そうなのか!
ありがとう、ホイホイ釣られるところだった
971:Geno
09/05/16 23:38:01 CALZwdcAP
はー、ひでぇ目に遭ったヅラ。
感染してたのでクリーンインストールしてきた。
一日かかったよ。
972:GENO
09/05/16 23:38:34 65U4bH5Z0
macでの確認はチェッカーサイト使うしかないのかな
973:GENO
09/05/16 23:38:45 NVhyXMHZO
>>964
そのうちLINUXにも亜種作られそうだなあ
MACなんて使ってられない
974:geno
09/05/16 23:39:07 ddCOtrCB0
ん?
FlashとFirefoxて関連あんの?>967
それとも火狐も罠の可能性あるからもちつけってことか
975:
09/05/16 23:39:17 8aiojYSy0
>>962
いずれにしろ今回のウイルスに関しては>>864の指摘は的外れです
一般化する必要がどこにある?
976:GENO
09/05/16 23:39:19 wULRE1Ku0
>972
ClamXavをどうぞ
977:GENO
09/05/16 23:39:57 MgxF5koh0
>>894
とりあえずトップは平気っぽい
978:GENO
09/05/16 23:40:07 2fUnOYk6O
>>939
うん…(・ω・`)
とりあえず現時点で見つけたら、
サーチからのリンク停止して、管理人さんに直接連絡とって対策してもらう用にしてみる
いたちごっこなんだけど、少しでも
979:geno
09/05/16 23:40:14 akbMG4t50
>>833
さっきカスペでスキャンして出た
Trojan-PSW.Win32.Kates.c
URLリンク(dec.2chan.net:81)
980:名前欄にスレ名入力推奨@自治スレ
09/05/16 23:40:19 yatpacPs0
>>973
MacもLinuxもVistaも普段は管理者権限じゃないから
亜種が出てきても感染することはない。
981:geno
09/05/16 23:40:32 tKF2OfOw0
ヤフオクとかってまだ大丈夫なのかな?
入札中の商品あるんだよね…
982:GENO
09/05/16 23:40:46 Hd92Ml+u0
>>971
おつ
サイトは大丈夫かい
983:GENO
09/05/16 23:42:10 rAXcQTqc0
>>974
Firefox用FlashPlayerはインストール用のexeを落としてそれを実行する形式
ブラウザから直接インストールするようにはなってないからそこを狙われたのでは
984:geno
09/05/16 23:42:25 zlsW0HIw0
FTP以外のID、パスワードやクレカの番号抜かれたってソースあんの?
今のところ不明というのはいいけど、ソースがないものについて必要以上に煽るのはよくない
985:GENO
09/05/16 23:42:26 7zJzRehYO
>>968
よう俺
自分はこの騒動知らずについさっきやっちまったorz(同じく代引きだけど)
986:GENO
09/05/16 23:42:27 n+WlS5TX0
>>3
略語はやめて正式名称にして欲しい
自サイトからリンク辿った人が「W2Kって何?NISって何?」状態に陥ってる場合がある
987:geno
09/05/16 23:42:28 vVXPQivl0
>>941
設定に不安を覚えていたのでこれ見て安心した
ありがとう
988:GENO
09/05/16 23:42:38 65U4bH5Z0
>976
まとめにmacの自己チェック方法載ってないんだけどそれググればいいのかな質問ばかりですまん
989:名前欄にスレ名入力推奨@自治スレ
09/05/16 23:42:40 klaLNdLw0
該当ジャンルのサイト持ちの姉にウイルスの話してwikiのURL送ったら
読んでも意味わからんからいじってくれと言われ、
触ってみたら感染以前に酷かった。
SP一度も更新してねーわマカフィー期限切れのままの放置やら昔懐かしイルカが漂っているわ。
いまwindowsアップデートしてるけど、なんかもうGENOウイルス以前にヤバい気がする。
その上、感染した上のデメリットを話しても理解できなくて
よくわからんけど面倒くさいことが増えるならこのままでもいいやとのたまいやがっta
フォトショとかは上手に使うくせに、興味ないことにはとことんないらしい
こういう奴が感染を広めるんですねわかります。
990:Geno
09/05/16 23:42:43 CALZwdcAP
>>982
ありがと。気づいた時点で全消ししてパス変えて
クリーンインストールしてまたパス変えたから多分大丈夫。
なくなったプログラムの復帰が大変だ
991:GENO
09/05/16 23:42:43 WfBTDqXZ0
>>981
こっちは出品者だから余計に怖い
落札者が感染してても問題ないとは思うけどね
992:GENO
09/05/16 23:43:00 yglYJEG80
>>934
ソースコードが公開されてて300人ほどが開発してるほか自己変異もします
993:GENO
09/05/16 23:43:00 n4RlFrPrO
>>929
確かに症状はPCによって違うけど
感染後もFTPアクセスしなければ大丈夫とかいう話になっていたからさ
2次感染は防げると思うが
ふと再起動した日には帰ってこれないんじゃないか?
994:GENO
09/05/16 23:43:10 NVhyXMHZO
>>980
トン
管理者権限じゃないと不具合制限出まくりなプログラム作る奴が悪い
なんて責任転嫁してみる
995:GENO
09/05/16 23:43:18 PINN+4Rr0
新スレお疲れ様です
とりあえずオカ板行ってみたが呪うスレの方は本格的すぎて自分には無理だったw
祈願スレで被害が少なくて済むようにお祈りしてきた
996:GENO
09/05/16 23:43:26 rAXcQTqc0
>>984
可能性がゼロでは無いのだから無警戒にする価値も無い
997:GENO
09/05/16 23:44:18 2AROtDNA0
>>974
Flashの脆弱性を悪用してるから、IEだろうが火狐だろうが
最新にバージョンアップする対応が必要。
あとFlashはブラウザごとに更新がひつようだからな。
IEでFlashを最新にしても火狐のFlashは最新にならない。
別におこなうのが必要。
998:GENO
09/05/16 23:44:21 wULRE1Ku0
>988
同人ノウハウ板のMacユーザースレ逝ってこい
999:g
09/05/16 23:44:53 t+UZlBwU0
>>979
アリガトウ、これが今回のGENOウイルス?
1000:GENO
09/05/16 23:45:34 zlsW0HIw0
>>996
無警戒にしろなんて誰も言ってない
正確にしろと言ってるだけ
1001:1001
Over 1000 Thread
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
| 最 後 尾 。 | このスレッドは1000を超えました。
|________|
∧∧ ||
(. ゚д゚)|| 同人@2ch掲示板
/ づΦ URLリンク(changi.2ch.net)