09/05/18 08:19:46 4oFiJRbxO
このウイルスって携帯はセーフだそうだが、360とか、PSP、PS3は?アウト?セーフ?
716:192.168.0.774
09/05/18 08:21:20 iven4hyc0
【備えよ】 新型インフルエンザを語る part4
スレリンク(hosp板:208番),216
病院・医者板にあるURLにgenoウイルスに感染したサイトがある。
208 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:12:10 ID:MtaDxdjC0 (PC)
なんかこの板にあったリンク先を見てから、PCの調子が悪いんだが。
DOSプロンプトが開かないとか、windowsアップデートが正常終了しないとか。
216 名前:卵の名無しさん[] 投稿日:2009/05/18(月) 01:40:12 ID:p8ujOdZK0 (PC)
>>208
もしかして小林製薬とか薬事日報社のページ見ませんでした?
それページ閲覧しただけで感染する"強毒性の新型ウィルス"ですよ。
かかったら今のところWin再インストールしかない恐ろしいウィルス。
ウィルス検査ソフトでも検出できないものが多いようです。
717:192.168.0.774
09/05/18 08:25:19 wWb/jJWH0
____
/_ノ ヽ、_\
ミ ミ ミ o゚((●)) ((●))゚o ミ ミ ミ
/⌒)⌒)⌒. ::::::⌒(__人__)⌒:::\ /⌒)⌒)⌒)
| / / / |r┬-| | (⌒)/ / / // 360とか、PSP、PS3だっておwwwwwwwwwwwwwwwwwww
| :::::::::::(⌒) | | | / ゝ :::::::::::/
| ノ | | | \ / ) /
ヽ / `ー'´ ヽ / / バ
| | l||l 从人 l||l l||l 从人 l||l バ ン
ヽ -一''''''"~~``'ー--、 -一'''''''ー-、 ン
ヽ ____(⌒)(⌒)⌒) ) (⌒_(⌒)⌒)⌒))
718:192.168.0.774
09/05/18 08:26:20 KPrwLMxK0
>>713
したらばなどで感染サイトを記する案もでたんですが、
どうにこうにも同人板は基本晒し厳禁なので協力者がいません。
同人独自のルールが根深くありまして、特に女性サイトは
以上に検索避けを行う風習があるくらいですから。
同人板のスレに検体を求める書き込みが多数ありましたが、
結局住人は荒らしだと決め付けてスルーに入りました。
感染が広がる同人ジャンルなのに、住人では何もしようとしません。
719:192.168.0.774
09/05/18 08:26:59 L4YY5vy4O
>>713
何か絶対晒したくないらしい
同人板で勝利宣言ぽいことまでしてて、かなりひいた
自サイトに来て、感染被害者出そうが
自分達の幸せの方が大事なようだ
720:192.168.0.774
09/05/18 08:29:32 /4TBD5OI0
>>718
そういやあそこ
何人かが変に仕切ってたな
正直ノリがかなりキモかった
721:192.168.0.774
09/05/18 08:30:18 tFgIi2z+0
URLリンク(genolists.alink.uic.to)
一応やってみたよ
722:192.168.0.774
09/05/18 08:32:10 xKJ07MeN0
>>718
進めてる事言っとけば協力する人は進んで協力してくれるのでは?
同人板でやるのが嫌ってだけでしょうし
723:192.168.0.774
09/05/18 08:32:57 yKeLT0rF0
>>720
むしろ全員が仕切り屋状態
でもって自意識過剰だからGENO以外にも使われるとか色んな心配してるのよ
今はオチスレの方に1件だけみたいだね
724:192.168.0.774
09/05/18 08:33:36 c4TnzPSv0
誤爆でバレたかもしれないけどw
同人板住人です。
ジャンルの性質上、晒しに敏感なのはわかってたけど
あそこまで狭い範囲でしか考えられない人が揃ってるとは
正直思わなかった。
ご迷惑をおかけして申し訳ないです。
725:192.168.0.774
09/05/18 08:34:25 r4h+PdSAO
勝利宣言してる人は単発の荒らしでつよ!とかなんたら言い出しそうですね
ごもっともですが、いちいち書かずとも解るし
VIPにまとめスレ立てようとしましたが無理でしたので、
どなたかお願いします。
726:192.168.0.774
09/05/18 08:35:02 yKeLT0rF0
>>722
協力したいけど他人のアドレス晒すなんて可哀相
本人から許可をとか言い出すと思う。本気で協力したいと思っててで
あと、なんだかんだいってたいして感染サイト知らないんだと思う
しかしいざ探そうとするとなかなか見つからん。
wikiのヒントだけが頼りだからなぁ
727:192.168.0.774
09/05/18 08:41:45 ua7Ctj4Z0
感染してみたい人は、ここよりも、SEC板のGENOスレの方がいいんじゃないかなぁ。
見ててちょっとうざくなってきた。
728:192.168.0.774
09/05/18 08:42:04 Uvd5wKih0
>>725
ここじゃだめ?
スレリンク(news4vip板)l50
729:192.168.0.774
09/05/18 08:45:48 BfwGP9yG0
>>721
おお、やってくれたんだ
リボンマジックって書くだけじゃなく解説文のところにURL載せといた方が手間が少ない
730:192.168.0.774
09/05/18 08:47:27 yKeLT0rF0
>>721に感染サイト突っ込んでけば良いのかな?
既出分も入れるの?
731:192.168.0.774
09/05/18 08:47:55 zpCoVVcL0
>>721
乙です
これ、ウイルスの配布元がからっぽだから無害って話が出てたところも
登録していいの?
>>723
自意識過剰というよりは
実際に私怨晒しに使う馬鹿が同人板の中にいるからだな…
あと同人板は最近まで私怨ほかの晒しで揉めてたから
いつも以上にアレルギーが出てる
732:192.168.0.774
09/05/18 08:48:22 tFgIi2z+0
>>731
ジャンル分けておくわ
733:192.168.0.774
09/05/18 08:51:24 yKeLT0rF0
>>731
それを人は自意識過剰とか
被害妄想とか加害妄想とかって言うんですよ
同人板はおわっとるが他の板なら協力してくれるとこあるかな?
734:192.168.0.774
09/05/18 08:53:24 7mu1Axnz0
4月の時点から参加してて、できるかぎり協力もしてるんだけど
この週末席を外してて、スレ乱立激しくてどれが主スレかわからんくなってきた。
今まではセキュ板だったんだけど、見てみて見限った。
現状はここが主スレと考えておk?
735:192.168.0.774
09/05/18 08:54:31 NjPoBYuDO
同人板で聞いても誰も説明してくれなかったから敢えて聞くけど。
感染疑惑サイト集めて一覧にしてどうするんだ?
まとめにでも貼るのか?
2ch内だけであの辺感染してるから踏むなよって警告だけに使って意味あるのかとか
何がしたいか分からないのだが
736:192.168.0.774
09/05/18 08:55:31 GfBjvcuO0
というか私怨はすぐ外されるから大丈夫じゃないの?
大体ウィルス感染自体は悪事でもなんでもないでしょう、その後の対応をきちっとやれば良いだけで
むしろしっかりしてるなとすら思われるんじゃないの?こういう感覚はおかしいの?同人的に
737:192.168.0.774
09/05/18 08:56:01 zpCoVVcL0
>>733
うんまあそうだね
ただあそこは凝り固まってるけど
セキュのほうの住人を疑ってるって感じじゃない気がする
とだけ言っておきたかった
>>734
たぶん
738:192.168.0.774
09/05/18 08:57:37 /yFIekht0
IE系のブラウザはJavaScript切ってるだけじゃ駄目なん?
739:192.168.0.774
09/05/18 08:57:40 liJyExVc0
限られた集団の中の警告だけでも十分意味はあると思う。
そもそもアンチウイルスソフトだって
購入者だけ守っているような物だもん。
740: ◆f/iQdjPxCM
09/05/18 09:03:48 76hdi/6T0
>>700
>>698までで捕らえられなかったのを>>700で頂いた情報に基づき拾う試み。
detect の前に、envinfo の方で。
URLリンク(www1.axfc.net)
DLkey: testGENOdetect
SIZE (GENOenvinfo.exe) = 8192
MD5 (GENOenvinfo.exe) = 778ab6fe82332e902f915c9b0bd243ad
SHA1 (GENOenvinfo.exe) = 8083f3121b503b555e10a4e107c13aa3d8733432
SHA256 (GENOenvinfo.exe) = 26d7da2a22296843cd4974787a641e66fda1dae999519d35a8c317d1ca27a498
SHA512 (GENOenvinfo.exe) = 6414588f6221934d510e3d53e7fe29faf4dda9ea873b6983c2029991faf46597a64ea8f4b39771273f6d0922fa5bd3cab39dcf9d872ed6ec1149d8df7177230a
改行コードがLFのみになってたのをCR+LFにしたので今度はメモ帳でも確認できるはず。
ユーザ(ログオン)名が入る(可能性がある)ようなので、そこは手動で伏せて下さい(汗
これで拾えるようなら detect の方へフィードバックの予定。
741:192.168.0.774
09/05/18 09:04:57 3Wf1BgQ0O
>>736
感染を悪事と感じてる奴がいるんだなこれが
既に他所でウイルスばら蒔きやがってって騒いでるのがいた
742:192.168.0.774
09/05/18 09:05:49 KP5/wRB70
検体探すのなら闇雲に同人サイト探すより名前変換サイト(夢/ドリーム)探すといいと思う。
性質上名前を変換するのにJS必須だから感染確立の高さは異常。
cluster■x0.to/search/(サーチエンジンのリンク集■= . )
辺りからカテゴリ→傾向→ドリームでいくつかサーチ出てくる。
743:192.168.0.774
09/05/18 09:06:10 bBtWfmBn0
>>736
同人界に生息するDQNや厨をなめちゃいけません
ウィルス流行ってるから気をつけてとサイトで告知→恐がらせるなんて、ひどい!
感染してないし、対策バッチリだから特に告知なし→何も対策してないなんてひどい!
感染していたが、ちゃんと対応した→危機管理がなってない、ひどい!
と突撃を受けるような場所だよ
とにかく同人板及び同人界は特殊な場所だと頭に叩き込んで、
あっちに僅かにいるまともな人かこっちにまできてるまともな人から情報を貰った方がいい
744:192.168.0.774
09/05/18 09:06:16 vNF2317C0
>>734
セキュ板は見ての通りの状態だからIDの出る板へ引っ越しだね
745:192.168.0.774
09/05/18 09:06:24 EUa+NIiOO
URLを何のために晒すか、そのあとどうするのか
という説明一切なくただ晒せ晒せ言っても、同人板じゃなくても晒す奴いないと思うんだが……
ボーカロイドの大手、サーチ、歌ってみた系の同盟?
東方の大手(ひらがな4文字だか漢字2文字だか)
というのはどっかで見た
ジャンル者じゃないから詳細はわからないけど
746:192.168.0.774
09/05/18 09:07:19 ImVScTUk0
>>645
この手のベアドライブをUSB接続するキットの場合,IDEのは電源不足でほとんど使い物にならないから
気をつけてね.
IDEを接続するなら電源アダプタが別についてるHDDケースのがいいよ.
747:192.168.0.774
09/05/18 09:07:19 k2CI1leb0
>>735
俺個人に関しては、個別に踏みに行って検体拾ってきて、ViruslTotalに上げてみて
検出されなければ検体を↓にアップ。
【鑑定目的禁止】検出可否報告スレ10
スレリンク(sec板)
と同時にできる範囲でセキュリティベンダーに検体を提出する。
また、踏みに行くことでスクリプトの変化状況もつかめるから、例えばVistaや
Chromeをターゲットにしてるのを見つけたらここに報告する。
748:192.168.0.774
09/05/18 09:07:36 iven4hyc0
ニコニコにGENOウィルスについて
動画があって、内容か不正確だからうpした人間が
消してしまった。結構マイりスト再生数数あったな。
749:192.168.0.774
09/05/18 09:07:56 PjOToSNF0
はっはっはっ
同人者だけどもう耐えられないw 何この馬鹿
280 名前:GENO 本日のレス 投稿日:2009/05/18(月) 09:03:57 Osjp9Dvs0
>>274
評判最悪もなにも……
自分達の実験動物になってくれなかったから愚痴ってるだけじゃんw
恥を知れよ。お前も。
750:192.168.0.774
09/05/18 09:09:02 c4TnzPSv0
>>745
この状況下でそんなこと言うの多分同人板だけだよ。
今は一つでも具体的な情報が必要とされてるのに。
751:192.168.0.774
09/05/18 09:09:21 SsnH/5OJP
ヲチでやれ
752:192.168.0.774
09/05/18 09:09:23 4ySopLDi0
>「キャッシュ消せばいいんだよ!」
って言うAAありますけど、消して良いのでしょうか
753:192.168.0.774
09/05/18 09:10:10 7mu1Axnz0
>>737
>>744
了解。
今日はこれから出なければいけないけど、
協力できることはできるだけします。
754:192.168.0.774
09/05/18 09:10:18 kqUxb44l0
毎日消せばいいんだよ
755:192.168.0.774
09/05/18 09:10:54 r4h+PdSAO
>>749さん、同人板からの出張乙でした。もうお前に用は無い
756:192.168.0.774
09/05/18 09:11:48 yKeLT0rF0
よっしゃあ。1個見っけた
ソースチェック中にブラウザ先読みでかキャッシュに入ってきてビビった
757:192.168.0.774
09/05/18 09:14:20 qhPHQv7V0
>>735
2chにはROMというのが書き込みの数倍おってな…
またねらーが2chでしか活動しないわけでもなく、知識は広がる
GENOだって感染してるのにテキトーぶっこいて誤魔化したから、
知らずにアクセスする人が出て感染拡大してこの有様なんだろ。
よくわからん感染してない層が今後感染する確率を減らすためにも、
感染してる危険な状態のサイトを知る機会を作ることは充分に意味があると思う。
758:192.168.0.774
09/05/18 09:14:29 NjPoBYuDO
747の言う事はある程度納得。
そういう具体的な説明されれば動く奴は動くと思う。
正直同人板ではこの質問オールスルーだったから荒し認定も仕方なかった
759:192.168.0.774
09/05/18 09:16:48 lbjdJxFz0
本家 F-Secure SAS 提出分の回答 現在のところなし。
定義ファイルも昨日から変更なし。
760:192.168.0.774
09/05/18 09:21:08 2hjuGSUk0
>>757
まとめサイトも見ないようなタコが君の言うようなリスト見るとでも思ってるのか?
そのリストをタコに見せたら感染者増えるだけだと思うんだけど、どう考えてる?
761:192.168.0.774
09/05/18 09:22:08 k2CI1leb0
>>758
答えようとしたら連投規制食らって、その後の流れ見てて相手するのが
面倒になったんだよ。
762:192.168.0.774
09/05/18 09:22:35 0cCnuNjQP
>>760
同人板のノリをこっちに持ち込むなよタコ
763:192.168.0.774
09/05/18 09:22:40 yKeLT0rF0
で>>721のリンク集は使うの?
やっと1個見つけれたんだが
764:192.168.0.774
09/05/18 09:23:36 EUa+NIiOO
>>750
そうなのかそれはすまん
素人を理由にするなと言われるだろうが
自分も含め 知識のない人にとっては ただ晒せと言われたってわからないんだ
何に使うか説明されずに「いいから署名しろ」って言われてる感じ
何故晒す必要があるのか晒してどうするかを具体的に言われたら同人板でも理解のあるやつはいると思う
解決に役立てたいと思っているなら尚更 わかりやすく向こうでそれを説明してほしい
長文になったごめん
765:192.168.0.774
09/05/18 09:24:30 7S654oYT0
>>764
もうここでのやりとりが貼られてるよ
766:192.168.0.774
09/05/18 09:29:30 kqUxb44l0
>>760
自業自得だろw
767:192.168.0.774
09/05/18 09:32:02 bBtWfmBn0
>>764
同人板でやるよりも理解のある人にこっちに来て協力してもらった方がはるかに効率的だよ
あくまでも同人板ではヒントを出してくれるだけだと思ってさ
なんの手がかりもないよりかはジャンル名でも出てたら少しはマシでしょ
768:192.168.0.774
09/05/18 09:32:35 GfBjvcuO0
もういいから見つけたら
URLリンク(genolists.alink.uic.to)
にのせて行こうぜ、白ならすぐ消せるんだし
769:192.168.0.774
09/05/18 09:33:55 3Wf1BgQ0O
同人板は便乗煽りやらなんやらでてきてるから話が全く進まないな
770:192.168.0.774
09/05/18 09:34:17 qhPHQv7V0
>>760
テンプレも飛ばすくらいウイルスにビビってるタコとやらが、
「感染するから行くな」と直接言われてなお行くと思うその思考がわからない。
771:192.168.0.774
09/05/18 09:35:45 xKJ07MeN0
>>764
検体詐欺で凝り固まってるからもう何言っても無理だよ
772:192.168.0.774
09/05/18 09:40:08 Zt9X7rvA0
>>771
そうでもないよ
煽りが多発してるんでややこしくなってるけど
興味のある人はこちらを見に来ると思う
つか、今自分が来ました
773:192.168.0.774
09/05/18 09:40:28 RYc+mlfs0
>>770
載ってないから大丈夫と無防備のまま、他所で感染するところまでは想定内
774:192.168.0.774
09/05/18 09:41:38 yKeLT0rF0
すまん。リンク登録しようとしてるんだが
公式はともかく同人サイトも固有のサイト名?
ジャンル名?とかのがわかりやすそうな気がするんだけど
別に中身はどうでも良いから固有サイト名で良いのかな
775:192.168.0.774
09/05/18 09:41:46 lNiEWqwt0
今回、GENOウイルスについては何故か2chとそこから作られたまとめサイト程度しか情報が無く、
報道された事例も、4月騒動の時にGENOでウイルスが配布されたってちょいかかれた程度しかない。
亜種はともかく、初期段階で艦船に使用された脆弱性が3月修正のものなのか5月修正のものなのかもはっきりしない。
ウイルスの強度としては、どうがんばっても検知しか出来ず、駆除は不可能、回復にはシステム再インストールしかなく、
それだって挙動が不明だからそれくらいしか安心できる手段が無いっていう、nimdaとかと同等、下手すりゃそれ以上の
かなりやばいレベルのウイルスなのに、2ch以外ではほとんど話題になっていない、報道は何やってんだ。
776:192.168.0.774
09/05/18 09:41:58 ua7Ctj4Z0
>>752
最初に感染が確認されたGENOという通販サイトの告知が「ブラウザのキャッシュを消せ」であり
(後に、それすらもなかったことにされたが)全く効果がないものでした。それを揶揄する為に
貼られているAAですので、無視してください。
ブラウザのキャッシュを消すことに害はありませんが、感染前後の対処・予防には一切関係ありません。
777:192.168.0.774
09/05/18 09:44:30 7S654oYT0
キャッシュを消せってのは履歴を消させようとしたって事?
778:192.168.0.774
09/05/18 09:45:11 v6qQswXM0
>>774
私の意見だが、個人サイトならサイトタイトルそのままは避けた方が良いかも
企業サイトとか既に感染真っ黒で有名なところならまだしも
サイト名検索した人が、検索でうっかりリンク集に辿り着いちゃう可能性もあるし
779:778
09/05/18 09:49:08 v6qQswXM0
すまん、焦って途中送信してしまった
これじゃ思い切り矛盾してるw
散々既出の有名どころなら検体鑑定してくれる人にも解るように書いた方が良いかなと最初は思ったんだが
一般のお客さんとかが企業名で検索して辿り着くケースもあるから、企業サイトも伏せ字とかにした方がいいかな
780:192.168.0.774
09/05/18 09:49:10 q3s4agtr0
正直同人板は精神的に子供の集まりです。多少の基地外ぶりは勘弁してやって欲しい。
ケットコム という同人イベントの案内サイトがある
そこの[過去]で最近終了したイベントのジャンルを見る(特定ジャンル系ならなお良)
イベントサイトへのリンクを辿ればその中に参加サークルのリストがあったりする
イベントに参加したばかりのサイトは同人誌在庫情報や日記等を始め少なからず更新作業があったりする
感染サイト捜索法のひとつとして有効かもしれないです。
781:192.168.0.774
09/05/18 09:49:17 ZOxYxVRDO
前レスに出てたが検体を探すなら夢、夢絵、名前変換を掲げるところがいいと思う
確か夢マナー夢絵マナーのサイトが感染してたと聞いたのでより可能性が高い
また夢と通常二次を兼用しているところもあるから倍率ドン
782:192.168.0.774
09/05/18 09:49:43 yKeLT0rF0
>>772他同人板から来た人
来ました宣言とか挨拶みたいな雑談参加はいらんよ。
雑談は同人板のでもうお腹いっぱいです。
>>778
レス㌧。だが考えてみれば他に登録する人と重複しちゃなんだし
サイト名を一部だけ伏字で登録してみた。
783:192.168.0.774
09/05/18 09:50:48 GfBjvcuO0
>>774
固有サイト名でおk
URLはhttp://抜いてコメントかどっかにどうぞ
ある程度溜まったらまとめて解析なり提出なりしてもいいし
784:192.168.0.774
09/05/18 09:51:33 4ySopLDi0
>>776 回答ありがとうです。つまりGENOが証拠隠滅?を謀ったからなのでしょうか。
キャッシュ消す事でGENOがウイルスに感染した事が証拠隠滅になるのかわかりませんが・・・
785:192.168.0.774
09/05/18 09:51:57 c4TnzPSv0
>>764
ってかね、自分の目から見た分には
真面目に意見してた人は
ただ晒せ晒せなんて言ってないし、相当丁寧に説明してたと思うよ。
自分も参加しようと思ってたが、連投規制くらってるうちに
それがほとんど荒らしやら釣り認定されて
正直もういいやって気分になった。
今も頑張って説明してる人はいるけど
まだ「スルー検定」とか言われてるしね。
あれじゃ見限られても仕方ない。
786:192.168.0.774
09/05/18 09:52:21 tFgIi2z+0
自分が最初に登録しておいてアレだけど
「黒」って表現はいまいち宜しくない気がした
もっと良い表現は無いもんかな
787:192.168.0.774
09/05/18 09:52:52 0DpAySJK0
今北。ちょっと聞きたいんだが、cmd.exeの起動確認ってしても大丈夫なのか?
ダメって言うの見りゃ大丈夫っていうのもあってもう何が何だか
788:192.168.0.774
09/05/18 09:53:02 EUa+NIiOO
ジャンルヲチスレにスレ住人にはわかる形で具体的な感染サイトのヒントが出ていた
あいにくサイト名覚えてないし携帯だから確認できないが
789:192.168.0.774
09/05/18 09:54:45 yKeLT0rF0
>>784
適当な回答で誤魔化したんだよ
証拠隠滅と言うかうやむやにしようとしたの
黒は確かに黒だから放り込んでるんだしな。ふむ
自分が登録した分ちょっと弄ってくる
790:192.168.0.774
09/05/18 09:59:39 yKeLT0rF0
チェッカで1000%は確定で良いのかな?
アバスト反応しなかったから未確認の方が良い?
良く考えたらhostsでドメイン弾いていたはずなんだけど
もう一個の方でアバストが反応したのはなんでだ?
新しいドメインとったのだろうか? わかる人いたらちょっと頼む
791:192.168.0.774
09/05/18 10:02:34 TTbAOLbH0
試しにmixiの日記で告知してみたら普通の人は誰も知らないみたいで戦慄モノだった
企業とか狙われてるんだし、もう知ってる奴はできる限り一般に広めたほうがいいんじゃね
もし仮に単位確認時期の大学HPとか改ざんされたら大混乱なんてもんじゃねーぞ
まず普通の人間は「あっぷでいと?なにそれ新しいソフト?」って感じなんだから、いやマジで
792:192.168.0.774
09/05/18 10:02:46 duvNIOfD0
>>520
PG2導入したら、そこもIPブロックされているな
ネット巡回がしにくくて困る・・・・
793:192.168.0.774
09/05/18 10:02:48 yKeLT0rF0
>>789
ごめん自己解決した
ただの仕込まれてたHTMLファイルでもうトロイ扱いだっただけだった
俺はずかしー
794:192.168.0.774
09/05/18 10:03:40 BKfPdn6O0
感染サイト開くとcookieに
miek
1
www.abcdefg.com/ランダムな文字列
*
みたいなの保存されてどこのサイトで感染したか判る
795:192.168.0.774
09/05/18 10:04:17 xKiO8GiH0
住人のみんなおはやう
GENOウィルス対応済ませて疲れて夕方横になったら朝だったよー
一応対策してるスレと感染済み検体リスト貼っとくねん
スレリンク(internet板)
URLリンク(genolists.alink.uic.to)
検体協力出来る人居たらしてあげてちょ
同人板のスレは対処は出来ても検体協力頼んだら荒らし認定されちゃうから
対処に関してははこの2個見てちょ
URLリンク(www40.atwiki.jp)
URLリンク(www31.atwiki.jp)
同人サイトから一般サイトへの広がりもやばくなってきたみたいだから一応貼っとく
新型インフルも大変だけど、ねらー的にはこっちも大変だよな
796:192.168.0.774
09/05/18 10:04:18 yKeLT0rF0
更に安価もミスってるし。しばらくサイト探しだけしてROMってるわ
797:192.168.0.774
09/05/18 10:06:04 xKiO8GiH0
>>795は誤爆
ごめんなさい(;つД`)
798:192.168.0.774
09/05/18 10:07:49 GfBjvcuO0
じわじわリストも上がってるな、協力感謝
799:192.168.0.774
09/05/18 10:14:07 Uvd5wKih0
>>786
GENO
NON GENO
とか
800:192.168.0.774
09/05/18 10:17:33 ua7Ctj4Z0
>>775
>報道は何やってんだ。
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
(2009/04/13 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
(2009/04/13 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
薬事日報のサイトが改ざん~閲覧者にウイルス感染のおそれ
(2009/04/22 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
正規サイト改ざん(3) ウイルスに感染しないための対策
(2009/04/24 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
国内の正規サイト改ざん:攻撃サイトを変え再襲来
(2009/05/13 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
2009年5月14日 10:49:00 AM
人気の夜遊びウェブサイトへアクセスした人の週末が台無しに
URLリンク(www.aladdin.co.jp)'s-weekend.html
新手のWebベースマルウェアが急拡大
正規のWebサイトに感染する新手のマルウェアが勢力を急拡大している。
[ITmedia]2009年05月15日 08時24分 更新
URLリンク(www.itmedia.co.jp)
SophosLabs ブログ (英語)
Troj/PHPMod-A: Behind the Troj/JSRedir-R attacks.
URLリンク(www.sophos.com)
801:192.168.0.774
09/05/18 10:18:34 ua7Ctj4Z0
小林製薬の一部サイトが改ざん、閲覧者はウイルス感染の恐れ
[INTERNET Watch]2009/05/14 14:57
URLリンク(internet.watch.impress.co.jp)
小林製薬のサイトが改ざん被害、閲覧でウイルス感染の可能性
[Yahoo!ニュース]5月15日17時11分配信
URLリンク(headlines.yahoo.co.jp)
Symantec
脅威レポートのタブ(Volume XIII ハイライト)
URLリンク(www.symantec.com)
(概要としては今回の攻撃型の予測になっているような気がするので、ちょっとずれてるけど記載)
てきとーに漁ってこんなもんかな。
802:192.168.0.774
09/05/18 10:20:34 ihTs5Cw90
あれ?so-netってGENOにやられてるんじゃないっけ?気のせいだっけ
803:192.168.0.774
09/05/18 10:20:40 lNiEWqwt0
>>800
情報㌧、俺の調べが駄目駄目だったようだ、申し訳ない。
しかし、薬事日報までアウトだったとは・・・
804:192.168.0.774
09/05/18 10:24:09 k2CI1leb0
>>794
そのcookieチェックがないスクリプトもあるよ。
つか、gnomeの中の人が報告してるphp埋め込みのタイプのを収集してる
ところなんだけど、なかなか新しいバリエーションが見つからない。
805:192.168.0.774
09/05/18 10:25:01 gw0F+TVl0
Adobe Shockwave Playerってのも更新したほうがいいの?
ってかどうやってバージョン確認するんでしょうか?
xp pro sp2
806:192.168.0.774
09/05/18 10:25:52 cIdqirF80
命まで取られねえ
そのまま使え
807:192.168.0.774
09/05/18 10:26:22 iven4hyc0
>>800
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
808:192.168.0.774
09/05/18 10:28:28 n6Y+m8FmO
感染確認方法にあるタスクマネージャでの方法だけど
小文字と大文字とか関係ある?
見本は小文字なんだけど見たらうちのは大文字でSVCHOST.EXEだった
さらにsvchst.exeっつーのがあるんだが…
ひょっとしてアウト?
809:192.168.0.774
09/05/18 10:28:41 k2CI1leb0
>>805
ま、↓から最新をインストールしとけ。
URLリンク(www.adobe.com)
810:192.168.0.774
09/05/18 10:31:33 7k/9HGtp0 BE:660438427-2BP(0)
>>808
URLリンク(www29.atwiki.jp)
811:192.168.0.774
09/05/18 10:31:52 2hjuGSUk0
>>808
その二つのプロセス名でググってみろ
812:192.168.0.774
09/05/18 10:35:45 gw0F+TVl0
>>806
>>809
どっちなんだ・・・orz
813:192.168.0.774
09/05/18 10:37:26 cIdqirF80
>>812
更新してよ・・
814:スパムのような警告メール
09/05/18 10:38:36 ua7Ctj4Z0
Webサイト製作 ご担当者さま
■ お願い
御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
ダウンロードさせるスクリプトが挿入されております。
状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知をお願いします。
この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。
同様のスクリプトの仕込まれたHPを閲覧することで、そのPCにウイルス本体が感染します。
感染したPCを利用して、HPの更新作業を行なうと、(該当PCで稼働中のマルウェアが行なったのか、
FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)感染を広げるための
スクリプトの埋め込みを行なうようです。
他者から報告があり、当方でも確認したところ、確かに危険コードが含まれておりました。
HP閲覧者のPCにウイルスが勝手にダウンロードされてしまうため、御社のHPが意図せぬ加害者と
なっております。
■ 確認した感染ページ
<多分、全てのページが感染中>
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。
(例外的に<body>タグが存在しないページの場合は危険コードの挿入箇所を見付けられず
危険コードが埋めこまれないようです)
●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
815:スパムのような警告メール
09/05/18 10:39:31 ua7Ctj4Z0
■感染していると思われるページの危険部分
(これは一例です。複数のバリエーションがありますので、同じ文字列とは限りません)
|<script language=javascript><!--
|(function(){var UkRR='%';var WdBp=('v&61r&20a&3d&22S&63<以下省略>
| --></script>
■ 感染していると思われるウイルスの情報
HP更新に使用したPCが感染していると思われるマルウェア(コンピュータウイルス)は
新種の為、正式名称が定まっておらず、GENO(ZLKON)ウイルス/gumblar.cn/martuz.cn などと
呼ばれているものと思われます。下記のサイトの情報をご参照ください。
まとめサイト
URLリンク(www29.atwiki.jp)
各社の告知
So-NET セキュリティ通信
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
URLリンク(www.so-net.ne.jp)
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
URLリンク(www.so-net.ne.jp)
正規サイト改ざん(3) ウイルスに感染しないための対策
URLリンク(www.so-net.ne.jp)
国内の正規サイト改ざん:攻撃サイトを変え再襲来
URLリンク(www.so-net.ne.jp)
[ITmedia]新手のWebベースマルウェアが急拡大
URLリンク(www.itmedia.co.jp)
専門的な解説等
URLリンク(ilion.blog.shinobi.jp)
URLリンク(jvnrss.ise.chuo-u.ac.jp)
URLリンク(www3.atword.jp)
このマルウェアに感染したPCで、FTP接続しファイルを更新することでhtmlやphp、js
といったファイルが書き換えられて現在の状況になっているものと思われます。
816:192.168.0.774
09/05/18 10:40:03 k2CI1leb0
>>812
最新にしておいて害はない。
817:スパムのような警告メール
09/05/18 10:40:44 ua7Ctj4Z0
■ 解決方法について
駆除方法
URLリンク(www29.atwiki.jp)
一度感染してしまうと、PC稼動状態で除去するのは困難…というより、無理です。
必要なデータをバックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にするしかありません。
1.Webサイトにある「ファイルを一旦全て削除し」被害の拡大を阻止
隠れた所に残存する可能性があるのですべてのファイルを削除してください
この段階では、告知を上げても、告知自体に危険コードが入りますので
まずは削除だけをお願いします。
2.各種データのバックアップ(IDとかパスワードのメモやブックマークも忘れず)
3.OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
インストールや、バックアップしたデータの書き戻しを行なってください。
4.HP更新に使用するftpパスワードの変更
(以前のものは盗まれており外部から悪用される可能性があります)
5.Webサイトに危険コードを含まないファイルをアップロードしなおす。
6.感染が行われる状態であった日時の告知とサイト訪問者に対するお詫び、及び
解決策の紹介(PCリカバリ/OS再インストールしかない訳ですが)。
正直かつ正確に書くことで訪問者からの信用回復を行なってください。
最初にこのウイルスが確認された、某通販サイトのように、危険な状態であったことを
隠蔽したり、ブラウザのキャッシュを消せばOKといった嘘情報を書くことで、被害を
拡大させるようなことだけは行なわないようにお願いいたします。
ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。
感染PCはゾンビ化して、ボットネットに組込まれるという情報もありますが
正確なことはわかっていません。
■再発防止策
・WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデート
・既知の危険サイト(今回の場合は、URLリンク(www3.atword.jp)の焼却リスト参照)を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、
PG2といったソフトのIPブロックで感染を回避する。
焼却リスト:URLリンク(www3.atword.jp)
感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
818:192.168.0.774
09/05/18 10:41:01 gw0F+TVl0
>>813
>>816
うん・・・更新してくる
819:スパムのような警告メール
09/05/18 10:42:24 ua7Ctj4Z0
■私見による蛇足
幾つかのサイトの告知ページ等では、セキュリティソフトベンダーを紹介しておりますが、
実際に稼動する本体は、ほとんど日替わりのように入れ替えられている為に、紹介されている
セキュリティソフトにて「除去が行なえるとは言い切れません」。(というか多分無理です)
実際の動作を解析された方の報告によると、一定時間毎に自己を複製して古いものを
自己消滅させて捕捉を困難にする挙動のようですし、現時点では、感染後に元の環境に
戻すことのできるセキュリティソフトは確認できていません。
また、感染ファイルの除去を行なっても、ランダムな文字列でWindowsのレジストリ等を
変更してしまっているなど、原状復帰には至りません。閲覧者向けに告知される場合は、
セキュリティソフトベンダーのを紹介するよりも、PCのリカバリを推奨するのが
良いのではないかと思われます。
以上、要件のみにて失礼致します。
820:スパムのような警告メール
09/05/18 10:44:28 ua7Ctj4Z0
(サイト管理者ではなく、レンタルサーバーなどのドメインの管理者宛の場合、下記を頭につける)
ご担当者さま
御社管理下のIP「~」に開設されているホームページ
「http://~」において、閲覧者のPCに第三者の
サーバーからマルウェア(コンピュータウイルス)をダウンロードさせる
攻撃スクリプトが挿入されていることを確認しました。
該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
連絡先のメールアドレスを見付けることができませんでした。
管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
閲覧するだけで感染する形で被害が広がっており、他の御社顧客の中にも
同様の危険を放置しているケースがあるかもしれません。そちらも併せて
ご確認いただければと思います。
攻撃スクリプトは、Avast!のJS:Redirector-H~JS:Redirector-H9、
SophosのTroj/JSRedir-Rという名称で検出可能なようですので、
御社顧客のサイトを一通りチェックして頂けると有難いです。
他のセキュリティベンダーでは、危険ファイルをダウンロードする
第三者のサーバーIPをFWでのブロック対象にする形で対応している
ようですので、この攻撃スクリプトは検出されないようです。
-----
>該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
>連絡先のメールアドレスを見付けることができませんでした。
>管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
ここを、対応をお願いします…だけでもいいかも。
821:192.168.0.774
09/05/18 10:45:47 ua7Ctj4Z0
>>814-815,>>817,>>819-820
という訳で、ちょっと手直しして昨日使ったものです。
使いまわしされるならご自由に。
822:192.168.0.774
09/05/18 10:46:11 RopbQr7x0
同人の方でXP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の
環境で感染したって報告あったけど防ぎようがないじゃんもうこれ
823:192.168.0.774
09/05/18 10:48:54 yKeLT0rF0
361 :報告 :2009/05/18(月) 10:38:34 ID:Efl7GhePO
(略)
そして自分も只今クリーンインストール中
XP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の
環境で感染しました
ジャバスク切りに失敗してたのが原因かも知れません
アホすぐる
■sqlsodbc.chmサイズ変更確認
■cmd.exe、regedit.exeは起動した
■白紙のPDFファイルが一気に10個以上開いてCPU使用率\(^o^)/オワタ
■Windows Updateに接続できない
一応自分の環境ではこういう症状が出ました
(後略)
だってさ
824:192.168.0.774
09/05/18 10:50:08 EdkHVUmF0
>>822
その人はJavaScript無効になってなかったと言ってたような
825:192.168.0.774
09/05/18 10:51:14 gM07vQcn0
誰かPV数の多いたれこみ可能サイトへ情報投稿したらどうだろう?
スラドとかITmediaとかGigazineとか。
826:192.168.0.774
09/05/18 10:51:18 ua7Ctj4Z0
>>822
SP2なところがダメダメな気がしますが
>Avast導入
スクリプトがすり抜けるケースも報告されており、過信はできません。
また、5/14に攻撃サイトのドメインが変更されており、すり抜けが増えている可能性があります。
>IP遮断済
最新の martuz.cn を遮断IPに加えていなかったか、設定が間違っていた可能性が高いです。
>Adobeリーダー・フラッシュプレイヤー最新
PDF、SWF以外にexeも落ちてくるんですが…exeの実行手法がわかりませんけど。
827:192.168.0.774
09/05/18 10:52:47 GfBjvcuO0
IP遮断してもって、文字通りだとしたら、どういうことよw
リスト全く増えねぇなwジャンル報告だかは普通にあるのにな
828:192.168.0.774
09/05/18 10:52:47 lNiEWqwt0
>>823
が本当なら、テキはAdobeの脆弱性で未公表のものをいくつかストックしている可能性があるってことか。
新規脆弱性の波状ゼロデイ攻撃でGENOウイルスを散布されたらシャレにならん。
ひょっとしたらpdfが開くのだって「まだAdobeの脆弱性をつかってますよー」ってう偽装で、本当は
他の脆弱性を使ってるかもしれないし。
なんてことだ
829:192.168.0.774
09/05/18 10:54:31 yKeLT0rF0
>>826
やっぱexeに引っかかったってことかー
exeを実行させるってことはJS必須?JSオフで画像でも可?
あんまりスキル無いから感染サイト捜索打ち切った方が良いかな。
数個しか見つけれなんだ。役に立たなくてすまん。皆は頑張ってくれ
830:192.168.0.774
09/05/18 10:54:51 JmCcr4Q60
>>823
Avast導入 → 何時導入?定義更新は自動任せ?
IP遮断済 → 何時導入?
Adobeリーダー・フラッシュプレイヤー最新 → 何時更新?
この辺が判らんと感染してから更新or対策した可能性が否定できんのでなんとも。
相手さん改良続いてるから他の脆弱性突いてきてる可能性も否定できんし、こりゃ困ったもんだのう…
831:192.168.0.774
09/05/18 10:54:53 BZxCgznZ0
【セキュリティ】サイトが改ざん被害、閲覧でウイルス感染の可能性(小林製薬)[09/05/14]
スレリンク(newsplus板)
832:192.168.0.774
09/05/18 10:55:47 Wk6IzuQl0
あくまでも未確認情報だから確定事項みたいに書かないように気をつけろよ。
と他の板から見に来てる人に書いておく。
833:192.168.0.774
09/05/18 10:56:23 k2CI1leb0
>>828
スクリプトのID全部落ちてこないことも多いから、Adobe以外の脆弱性を
突いてる可能性は十分あるよな。
834:192.168.0.774
09/05/18 10:56:34 +m52NSIq0
GENOウイルス注意喚起の記事書いたらいつもの10倍のアクセスになった件
そんなつもりで書いたわけじゃないのに
835:192.168.0.774
09/05/18 10:56:36 iven4hyc0
197 名前: スイセン(dion軍)[sage] 投稿日:2009/05/18(月) 10:14:34.01 ID:sn4Pmcsx
ちょっと聞いてくれ
当方、評価用にWindows7(not Virtual XP)を運用しているんだが
試しに当該感染URLを踏んでみたら全然無害でした。
無害どころか、AppLockerとBitLockerのおかげでプロセスに乗せないよう
遮断してくれました。
ただし、これも評価用で入れたNorton 360 3.0 Betaは無反応でしたw
836:192.168.0.774
09/05/18 10:59:01 k2CI1leb0
>>829
画像&MIME改変のケースもあるよ。IEでは8未満は画像ファイルを
実行しちゃうっぽい。
837:192.168.0.774
09/05/18 11:00:21 ua7Ctj4Z0
>>835
だから、「現時点では」 Windows2000/XP以外のOSはバージョンチェックではねてるんだってば。
838:192.168.0.774
09/05/18 11:01:21 zpCoVVcL0
リストに同人サーチ上げた人、リンク繋がってるよ
839:192.168.0.774
09/05/18 11:02:12 n6Y+m8FmO
>>810-811
ありがとう
…別のウィルスに感染してんのか…
svchst.exeとか一文字違いなのが紛らわしい
しかもユーザー名出てて一瞬イきかけた
840:192.168.0.774
09/05/18 11:02:48 ua7Ctj4Z0
>>836
・IEを使う場合は下記を設定
・信頼できるSite以外ではスクリプトやActiveXを切る
:インターネットオプションのセキュリティの部分で設定可能
・偽装jpg対策(IE6SP2以降限定。IE6SP1以前では出来ない)
:インターネットオプション→セキュリティ→レベルのカスタマイズ
→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
841:192.168.0.774
09/05/18 11:11:48 UHl6zS+i0
avastいれたんだが、なんか必要な設定とかある?
情弱ですまんお
842:192.168.0.774
09/05/18 11:15:54 9Pl8YtKN0
>>841
人それぞれ環境が違うから何ともいえない
↓を読んでみるといいと思うよ
URLリンク(www.iso-g.com)
843:192.168.0.774
09/05/18 11:20:01 yKeLT0rF0
思いついたんだけど、検体集め&レポーターさん達で
自力で検体作成ってのは無理なんかね?
適当にFTPで非公開サイト作ってワザと感染すれば
色んな検体が集めれるんじゃとか思ったんだけど。ダメ?
844:192.168.0.774
09/05/18 11:23:00 B1//bRJ30
>>838
すいません、まちがえました。
こちらで削除できないので管理人さまお手数お掛けしますが
削除お願いいたします。
845:192.168.0.774
09/05/18 11:23:10 kA5lVKLe0
>>805
Adobe Shockwave と Flash Playerのテスト
URLリンク(www.adobe.com)
846:192.168.0.774
09/05/18 11:23:39 eM8L/6820
おはヨーグルト
烏骨鶏はまだ放置だな
847:192.168.0.774
09/05/18 11:24:25 ua7Ctj4Z0
そだ、>>1の
>・再起動時にBSOD
踏んでもならなかったなーと思ってたんだが、(すぐにOS入れなおしたけど)
www3.atword.jp/gnome/の中の人の実験によると、再起動時に、IP遮断していると発生するとのこと。
>あと、 BSoD になる理由が判明
>ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・?
>強引に explorer.exeをクラッシュさせてる様子
>
>これってアレだ・・
> 下手にIPブロックすると起動できなくなる・・
> 起動するためには IP情報、その他を抜かれるという・・・
>
>どこまでいやらしいんだオマエハ・・・・
848:192.168.0.774
09/05/18 11:26:08 k2CI1leb0
>>843
それが駄目なんだな。
IP変えつつアクセスしないといけないし、どうもサイトごと?に
バラまくものの傾向があって、同じものばかり落ちてくる。
ほぼ同時刻に別サイトで拾うと別のものが落ちてくる。
ドメイン名かIPアドレスかなんかをキーに送り込むファイルを
自動生成してるのかもしれない。
849:192.168.0.774
09/05/18 11:26:50 uJCPKem80
>>837
え、じゃあWin9x系には無害なの?
850:192.168.0.774
09/05/18 11:26:56 xKiO8GiH0
>>841
同人板からですまないが
389 GENO ◆AbjB8MStDM sage New! 2009/05/18(月) 11:00:57 ID:4tM/xy9HO
>>1
報告ってか提案なんだけど、あばすと使いとかでFW入れてない人用に
フリーのFWの紹介載っけてみたらどうだろう
やりすぎかな?
とりあえず自分はコモドのFW導入したので、コモドのまとめWikiどうぞ
つURLリンク(www4.atwiki.jp)
自分もavast使いだから入れてみたよ
今の所軽くて快適
851:192.168.0.774
09/05/18 11:29:21 Sh8lpjBX0
>>307
うちもよく同じ症状になる(JAVA無効)
852:192.168.0.774
09/05/18 11:30:29 yKeLT0rF0
>>848
なかなか手が込んでるね……
>>850
hostsでドメインで弾く派は少数なのか
853:192.168.0.774
09/05/18 11:30:54 +m52NSIq0
これを機にマジでNokia機を買おうかな
WM機がメインのネット端末だとかなり不安だ
854:192.168.0.774
09/05/18 11:31:40 k2CI1leb0
>>850
入れただけだとほぼ無意味だけど大丈夫?
Defense+で防御してくれる場合もあるけど、何も設定しないと
ばんばん通信を許可していくよ。
855:192.168.0.774
09/05/18 11:33:46 wsKEiiw60
ビビリな俺はnonscriptで全ページプラグイン禁止 リーダーはアンインスコ
一時的JS有効の時もフラッシュは切られてる状態
気休めかなあ 動画サイトはどうしようもないけど・・・
856:192.168.0.774
09/05/18 11:36:01 +m52NSIq0
もう同人板の連中なんてほっとけ!
なんて言ってられないからな・・・そこから広がると目も当てられないから。
857:192.168.0.774
09/05/18 11:36:56 DLMrt4rx0
>>852
俺やってる
気休めかなぁ
858:192.168.0.774
09/05/18 11:37:22 GfBjvcuO0
これが疫病とかなら言う事聞かなくても村を隔離する、で済むんだがなw
859:192.168.0.774
09/05/18 11:38:56 xKiO8GiH0
>>854
IPリストの人のブログ参照して片っ端からIP入れたよ
これでいいんだよね?
860:192.168.0.774
09/05/18 11:41:54 k2CI1leb0
>>859
とりあえずはOK。
ブロックするべきIP範囲もドメインもころころ変わるというか増えていく
可能性が高いけど。
861:192.168.0.774
09/05/18 11:47:36 +m52NSIq0
>>795
ブログでこの下のサイト2個にリンクしてもいいですか?
862:192.168.0.774
09/05/18 11:48:07 pOfdtuRP0
>>856
気分的にはほっときたいけどそうも言ってられんねw
同人板で「同人サイトなんてヒット数が少ないから影響も少ないはずなのに何故晒す必要があるの?」と言ってた人がいたけど
ヒット数が少なくてもねずみ算式で増えていくし、しかもその数が多いから対象を把握できないことにはどうしようもない
サイト管理者も低スキル、観閲者は更にひどい状況で対策が期待出来ないこともある
863:192.168.0.774
09/05/18 11:49:55 xKiO8GiH0
>>861
それ誤爆レスなんだけどなぁ(・ω・`;)
自分は自分のサイトとブログにリンクしたけど、特に問題は起こってないから
リンクしちゃっても大丈夫なんじゃないかな?
まぁ、自分の場合はねらーだってサイトでバレてるのもあるだろうけど
864:192.168.0.774
09/05/18 11:51:28 yKeLT0rF0
>>857
ナカーマ。気休めなのかなー。
IP増えてもドメインそのままなら有効だからお得
とか思ったんだが。
同人板の元になったノウハウ板のスレの方にリンク集貼られてた。
協力的とまでは言えないがそれでも同人以外で見つけた時とか
一応協力できそうな場合はリンク集に放り込んでくれるってさ。
貼った人の書き方もあるだろうけど向こうは穏やかだった。
感染しても活動的なとこならすぐ対処しちゃうわけでなかなか難しいんだな
865:192.168.0.774
09/05/18 11:52:36 J2AfAwvy0
(){e●val(unes●cape(('Sc●ript(t,'●%')))})(/./●g);
avast!ってこれに反応するのね
866:192.168.0.774
09/05/18 11:55:17 gw0F+TVl0
>>845
さっき更新して、そこで調べたらOKでした
ありがとう
867:192.168.0.774
09/05/18 11:55:57 +m52NSIq0
>>863
ありがとう。遠慮なくさせていただきます。
868:192.168.0.774
09/05/18 11:56:55 lbjdJxFz0
>>855
さらにビビリな人はcookieSafeとか使って、cookieも許可制にしておく。
普通に手動で設定もできるけどcookiesafeだとステータスバーとかからボタン押すだけなので設定が楽。
869:192.168.0.774
09/05/18 11:58:32 yKeLT0rF0
クッキー設定は常に高だぜ。
クッキー要のところでしょっちゅう躓いてるわorz
870:192.168.0.774
09/05/18 12:03:15 834BtslA0
>>861
初心者まとめの方の管理者です。
あまりねらっぽくないように作ったつもりなので(ギコナビとか見えるけど)リンクしても大丈夫だと思います。
不安を煽るような文章がないかどうか、分かりにくいところなどがありましたら連絡よろしくお願いします。
871:192.168.0.774
09/05/18 12:04:57 +JwqLcuL0
hostsファイルは#出始まるのはコメント扱いになるんですよね?
てことは自分でわかるようにメモ書きしても大丈夫ですか
# GENOウイルス対策5月18日
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
872:192.168.0.774
09/05/18 12:07:57 yKeLT0rF0
>>871
俺もそうしてる
873:192.168.0.774
09/05/18 12:09:44 wU1qChfhP
>>871
うん
それと127.0.0.1より0.0.0.0の方が精神衛生上安全じゃね
874:192.168.0.774
09/05/18 12:11:12 +JwqLcuL0
>>872-873
ありがとうございます、書き換えときます
875:192.168.0.774
09/05/18 12:14:41 gw0F+TVl0
>>871
URLリンク(geno.2ch.tc)
ここみると1つだけなんだけど、3つ入れた方がいいの?
876:192.168.0.774
09/05/18 12:21:44 +m52NSIq0
>>870
ありがとうございます。
877:192.168.0.774
09/05/18 12:23:02 wU1qChfhP
>>875
3つとも入れた方が安全だけど
そんな事より JavaScript(flash) を切っとくべき
最新で安全か分からんし
878:192.168.0.774
09/05/18 12:26:53 7eAX9wM+0
ただいま産業
879:192.168.0.774
09/05/18 12:30:33 eM8L/6820
難読化スクリプトにに google Chrome は除外するように書いてあるんですね
怪しいサイトをgoogleに自動送信されるのを避けるためか?
880:192.168.0.774
09/05/18 12:43:02 NNK7xlMd0
とりあえずブラウズする場合は火狐にNoscript入れときゃいい話だろ?
そこまであわてる話じゃない
881:192.168.0.774
09/05/18 13:00:59 ua7Ctj4Z0
>>875
現在使用されているのは martuz.cn なので、それだけ入ってればいい。
前の2つはおまじない。
またドメイン変更される可能性は十分あるし、(無いとは思うが)前の名前に戻される可能性もあるので
履歴みたいなもんだが、のこしといていいよ。実害ないし。
882:192.168.0.774
09/05/18 13:06:08 gw0F+TVl0
>>877
>>881
ありがとう、おまじないも含め3つ入れときます
883:192.168.0.774
09/05/18 13:06:43 +m52NSIq0
感染していないPCなら、最低限これやっとけば今の所は安心。
・Windows Update(Microsoft Update)をして、システムを最新の状態にする。
・Adobe Reader を最新(9.1.1)にするか、アンインストールする。
最新にした場合→[編集(E)] -> [環境設定(N)...] -> [JavaScript] -> [Acrobat JavaScript を使用(J)]のチェックを外す。
・Adobe Flash Player をブラウザごとに最新(10.0.22.87)にする。
・ブラウザを Firefox に統一し、NoScript(アドオン)を導入する。
(もしくは、[ツール(T)] -> [オプション(O)...] -> [コンテンツ] -> [JavaScript を有効にする(J)]のチェックを外す。
・C:\WINDOWS\system32\drivers\etc にある hosts ファイルに以下を追加
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
884:192.168.0.774
09/05/18 13:07:00 eM8L/6820
>>881
烏骨鶏と出版社には連絡できたのでしょうか?
未だに放置されてるようなので
885:192.168.0.774
09/05/18 13:07:12 qnzegN6T0
ここはやっぱまったりしてんな
886:192.168.0.774
09/05/18 13:07:21 ua7Ctj4Z0
感染サイトを拾っていて気付いたこと。
<body>とか<BODY>だと、スクリプトが挿入されているが、<BODY bgcolor=#dddddd>のように記載されている
ページに限っては、感染者のサイトであってもスクリプトが挿入されていない。
まかりまちがって気づかないうちに感染した時対策のおまじないとしてはありかもしれん。
phpとかjsも使ってるページだと、おまじないのしようがないけど。
887:192.168.0.774
09/05/18 13:07:36 +m52NSIq0
他スレへの注意喚起コピペ用を作成してみました。
888:192.168.0.774
09/05/18 13:08:28 ua7Ctj4Z0
>>884
連絡は入れてあるけど、担当者が読んだかどうかは知らない。
(出版社は、アドレスわからなかったので、サーバー管理者の方のabuse窓口に送った)
889:192.168.0.774
09/05/18 13:10:08 ua7Ctj4Z0
>>886
訂正…ごめん、そのおまじない無効だわ。その形式でも入ってるページあった。orz
890:192.168.0.774
09/05/18 13:11:31 k2CI1leb0
>>881
cnドメインって20円くらいらしいから、どんどん増殖するんだろうな。
hosts書き換えはお手軽でいいんだけど、以前拾ったスクリプトでは
IPが書き込まれてるものもあったから、hostsだけだと安心できない
んだよね。
891:192.168.0.774
09/05/18 13:12:20 DC1VgNqQ0
>>884
429 名前: ミツバツツジ(北海道)[] 投稿日:2009/05/18(月) 12:48:44.35 ID:EpvayYrU
■ウィルス感染対策済のお知らせ
2009/05/16の朝海外サイトからの攻撃でウィルスを仕込まれご心配をおかけしましたが
すべてクリアし、また対策も済んでおりますのでご安心ください。
URLリンク(www.seibidoshuppan.co.jp)
892:192.168.0.774
09/05/18 13:13:55 eM8L/6820
>>888
お手数かけました、ありがとうございます。
最近はお年寄りもインターネットで買い物するようになってきましたが
セキュリティに関しては全く分からないという方が多いと思います。
それで早くサイトを修正してもらわないと、感染者がますます増える気がして
心配しています。
893:192.168.0.774
09/05/18 13:17:13 yKeLT0rF0
>>891
>2009/05/16の朝海外サイトからの攻撃で
海外サイトからの攻撃で。確かにウイルスの入手が自分でも
攻撃と言えば攻撃だが、なんかこうモヤモヤするな
894:192.168.0.774
09/05/18 13:22:26 ABiZoUCL0
あれ?ソース見る限りまだ直ってないみたいだけど……
895:192.168.0.774
09/05/18 13:23:37 bJKwd5tS0
チェッカーでは0%
896:192.168.0.774
09/05/18 13:23:38 xKiO8GiH0
何か亜種の情報来たみたい?
URLリンク(www3.atword.jp)
897:192.168.0.774
09/05/18 13:27:49 wU1qChfhP
Opera での flash の切り方
・F12叩く → JavaScriptかプラグインを無効にする
・plugin-ignore.ini(C:\Program Files\Opera\defaults\) を開いて以下を追加
NPSWF32.dll = flash
flash だけ切りたい人は下、そうでない人は上の方法で
898:192.168.0.774
09/05/18 13:28:04 xSUvMAHu0
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
これをそのままコピペすればいいんですか?
hostsファイル中開いたら既にえらいたくさん指定してあったんですが
一番下に付け加えればいいんでしょうか
899:192.168.0.774
09/05/18 13:28:08 ABiZoUCL0
ああ、キャッシュ見てたわ
これは失敬
900:192.168.0.774
09/05/18 13:28:26 lbjdJxFz0
>>894
キャッシュ見てるんじゃない?
ソース見てきたけど、それっぽいのなかったですが
901:192.168.0.774
09/05/18 13:30:12 rNK1DQEo0
>>896
findyourbigwhy.cn
bigtopsuper.cn
このへんもhostsにつっこむべきかなあ
902:192.168.0.774
09/05/18 13:32:18 xKiO8GiH0
>>901
自分はhostsへの書き込み方解んない初心者に近いから
とりあえずFWへ突っ込んどいたよ
これから一応htaccessにも記入するとこ
903:192.168.0.774
09/05/18 13:32:24 +m52NSIq0
>>898
127.0.0.1 localhost の下でいいよ
904:192.168.0.774
09/05/18 13:32:47 ua7Ctj4Z0
seibidoshuppan の件
WebARENA Suite 担当者より返答。
>現在の状況、およびウイルスの対策につきまして該当ホームページの
>管理者さまへは連絡をさせて頂き、改善のご検討並びにご対応をいただいております。
905:192.168.0.774
09/05/18 13:33:55 rNK1DQEo0
>>902
うーん
いっそ .cnを全部遮断したい
906:192.168.0.774
09/05/18 13:34:34 xSUvMAHu0
>903
ありがとうございます
907:192.168.0.774
09/05/18 13:34:56 iven4hyc0
【緊急】ウイルス感染について2009年5月16日 投稿者: 雪町灯之助
sprnv。xii。jp/
doris。xii。jp/
から始まるURLにアクセスなさらないようによろしくお願いいたします。
908:192.168.0.774
09/05/18 13:35:41 DLMrt4rx0
ファイアウォールの設定よりhostsのがよほどわかりやすいと思うけどなぁ
突っ込めば遮断なんて死ぬほど明解
909:192.168.0.774
09/05/18 13:36:58 JmCcr4Q60
>>905
ネトゲ関係で垢ハック流行ってるから中国韓国台湾はデフォで全部弾いてるな(PG2利用)
910:192.168.0.774
09/05/18 13:37:43 ua7Ctj4Z0
(スクリプト確認:管理者にメール済み)
p://www■geocities■jp/themusasi/
p://www■geocities■jp/themusasi2/
(同じ管理者と思われるがスクリプトなし)
p://www■geocities■jp/themusasi2de/
p://www■geocities■jp/themusasi4/
(他のスレで感染サイトとして出ていたが、スクリプト見当たらず。ガセ)
p://zaq■ne■jp
p://okwave■jp/qa1152486■html
911:192.168.0.774
09/05/18 13:38:23 wU1qChfhP
>>908
FWとhostsは全く別物だけどな
hostsは遮断してる訳じゃないだろ
912:192.168.0.774
09/05/18 13:40:20 ua7Ctj4Z0
>>907
上、接続失敗
下、ウイルス横行の為閉鎖中。閉鎖告知にはスクリプトなし。
913:192.168.0.774
09/05/18 13:44:13 ua7Ctj4Z0
>>908
IP遮断:ドメイン名で書かれていても、IPの数字でも遮断する。
DDNSなどで、ドメイン名に割当てられているIPが変化すると、同じ名前のサイトでもブロックできないことがある。
hosts:DNSサーバーより優先して参照され、ドメイン→IPへの変換を行なう。
登録してあれば、該当サイトの代わりに自PC(もしくは登録してある別のIP)を見に行くようになる。
安全のためには、両方設定しておくのが基本。
>>909
(・∀・)人(・∀・)ナカーマ
914:192.168.0.774
09/05/18 13:44:30 rNK1DQEo0
>>909
マジか
.cnなんて普通要らないし設定してこようかな
915:192.168.0.774
09/05/18 13:45:06 oyOEXJA00
>>911
ルーティングされないから、遮断と一緒だよ。
FWと原理は違うけど。
916:192.168.0.774
09/05/18 13:47:15 +OaLYMxp0
>>883
zlkon.lv時代はIPで投下されていたから
hostsへの記載は無駄な気もする。
>>908
ワイルドカード使えないのがな…。example.comを書いても
foo.example.comやbar.example.comは阻止できない。
917:192.168.0.774
09/05/18 13:49:11 iven4hyc0
>>912
THX!
918:192.168.0.774
09/05/18 13:49:26 wWVwQ3nP0
検証の方、乙です。
自分のノートパソコンもどうやら餌食になってしまったみたいなので、
現在バックアップとってリカバリー準備中です。
大分落ち着いてきたぞ!
919:192.168.0.774
09/05/18 13:51:10 PjPI1FGb0
確かにIPレベルで通信されたらhostsに書いてても意味無いね。
FWで止める方が確実か。
920:192.168.0.774
09/05/18 13:52:18 lbjdJxFz0
hosts fw ルータ の3段で防げばかなり強固
921:192.168.0.774
09/05/18 13:53:48 XBZCbjSj0
.cn全弾きってできないの?
922:192.168.0.774
09/05/18 13:55:28 oyOEXJA00
こんな方法もある。
route -p add 95.129.144.0 mask 255.255.254.0 127.0.0.1
923:192.168.0.774
09/05/18 14:01:55 JmCcr4Q60
>>920
その三段構えが鉄板だね。こまめにメンテしなきゃ意味無いけどw
924:604
09/05/18 14:02:44 1VMrtiIH0
ウィンドウズモバイルで怪しいサイト踏むって言ってた者だけど
URLリンク(genolists.alink.uic.to)
にあるサイト片っ端から行ってみた。
結果
とりあえず問題ないっぽいが、接続切ってブラウザ閉じた後に2回ほど携帯が勝手に接続しようとして失敗した旨のエラーメッセージ確認。
携帯自身のエラーなのかウィルスなのかわからんのでなんともいえん。
ウィンドウズOSの入った機械でアクセスするのは控えたほうがいいかもしれん。
皆さんの協力感謝です。
あと、仮眠とった後PCにWin7をクリーンインスコ&イーモバイルで再接続したからID変わってるかも
これで自分の人柱報告は終わろうと思います。
925:192.168.0.774
09/05/18 14:03:02 t3VCyTRM0
FWはZoomAlearmでおk?
926:192.168.0.774
09/05/18 14:05:47 j9Y4xggD0
>>922
ルーティングテーブルか、その方法もあったな
927:192.168.0.774
09/05/18 14:07:26 oyOEXJA00
>>926
この方法なら、とりあえずソフトいらないよ。
928:192.168.0.774
09/05/18 14:09:16 lXGw6ssR0
adobe readerのアップデートが8.15で最新になるんですが
最新版は9ですよね?
929:192.168.0.774
09/05/18 14:11:40 UxU4hqfi0
>>928
URLリンク(www40.atwiki.jp)
930:192.168.0.774
09/05/18 14:12:44 oyOEXJA00
>>928
8 系の最新は、8.1.5
9 系の最新は、9.1.1
どちらも、セキュリティホールはつぶれているので安心してOK
931:192.168.0.774
09/05/18 14:16:20 oMiyEi290
うちはDNSサーバにダミーエントリいれて、サブドメインごとまとめてブロックした
zone "zlkon.lv" {
type master;
file "zone\block.zone";
};
zone "gumblar.cn" {
type master;
file "zone\block.zone";
};
zone "martuz.cn" {
type master;
file "zone\block.zone";
};
932:192.168.0.774
09/05/18 14:16:36 lXGw6ssR0
>>929>>930
有り難うございます
933:192.168.0.774
09/05/18 14:18:39 pVOaBjI60
Adobe Flash Playerがアップデートできないんですが
これはアップデート時はActiveXやJavaScriptを有効にしないといけないんでしょうか
934:192.168.0.774
09/05/18 14:18:52 k2CI1leb0
これ、本当かね?
あとで検証してみるか。
671 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 14:15:47 ID:
>>617
これVMで踏んでみたけど、確かに軽くなってるし、コマンドプロンプトも
レジストリエディタも立ち上がる。
chmファイルはなにやら更新されていく。
935:192.168.0.774
09/05/18 14:19:48 j9Y4xggD0
>>931
自前のDNSサーバーを持ってるってこと?
936:192.168.0.774
09/05/18 14:21:14 oyOEXJA00
>>931
微妙にスレチだが・・・
file "/dev/null"; でOK
937:192.168.0.774
09/05/18 14:21:28 XTSMt63n0
>>922
なるほどねぇ。ありがとうございます。
938:192.168.0.774
09/05/18 14:23:58 k2CI1leb0
>>936
でも、zoneファイルで逆引きを定義しておかないとhosts書くのと
大差ない気がする。
939:192.168.0.774
09/05/18 14:26:12 hvJT/vJv0
こういう騒動がある度に覗くけど
お前らすげえな素人の俺にはさっぱりだ
940:192.168.0.774
09/05/18 14:28:17 oyOEXJA00
>>938
hosts も DNS も正引きは同じだからね。
DNS は、逆引きも設定できるけど。
IP アドレスで指定されたら、DNS やドメインによる制御は役に
たたないから、ルーティングとかF/Wで 95.129.144.0/23 への
アクセスを止めてしまった方が、現在のところは有効な気がする。
941:192.168.0.774
09/05/18 14:32:22 PjPI1FGb0
ただ、接続先IP変える位なら簡単に出来るだろうから、
どちらにしても、しばらく情報収集して無いと怖いね。
942:192.168.0.774
09/05/18 14:32:56 wU1qChfhP
一般に役に立たないレスは控えた方がいいじゃないか
DNSサーバーで対策なんて普通ありえんw
943:192.168.0.774
09/05/18 14:33:37 abbvkkL50
今日初めてhostsを知った情弱の俺でも、hostsをいじる事ができた。
これはPC詳しくない人間にはやりやすい対策かもしれないね。
944:192.168.0.774
09/05/18 14:36:14 k2CI1leb0
>>942
逆に、ヤバ気なところを片っ端から登録したDNSを立てて、
それを使ってもらうというのもありかもしれん。
って、たぶんgnome氏が「身内」に提供してるのがまさに
そういうもんなんだろうな。
945:192.168.0.774
09/05/18 14:37:31 j9Y4xggD0
>>943
XPは簡単にできるけれどVistaはアクセス権がらみで手軽に書き換えられないよ
946:192.168.0.774
09/05/18 14:39:03 t3VCyTRM0
hosts煽ったのなんて広告ブロック以来だ
947:192.168.0.774
09/05/18 14:39:27 PjPI1FGb0
>>944
それ、身内ならいいだろうけど、怖くて使う気になれないと思うんだがw
誘導され放題w
948:192.168.0.774
09/05/18 14:40:01 oMiyEi290
Vista使いだけど、普段は一般ユーザーで使ってるから、ウイルスやワームにやられても
システム書き換えられないようにしてる
hostsファイル書き換えるときは、「メモ帳」を管理者権限で起動して、hostsファイル開いて書き換える
949:192.168.0.774
09/05/18 14:41:07 xKiO8GiH0
>>948
なる程!
ちょっとやってみる!
950:192.168.0.774
09/05/18 14:41:29 oMiyEi290
>>944
インターネット上で匿名のだれかがそんなサービス提供してたら、
逆にYahooやGoogleアクセスしたらウイルス感染サイトのIPアドレスに誘導されるかもわからん
951:192.168.0.774
09/05/18 14:44:33 k2CI1leb0
>>945
こんなんでどうだろう。
Vistaでhostsを編集する方法
スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック
「管理者として実行」を選択
「ファイル」メニュー→「開く」
ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更
C:\Windows\System32\drivers\etc\hosts
を開く
以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
952:192.168.0.774
09/05/18 14:46:04 k2CI1leb0
>>947
確かにそうだなw
そのDNSがやられたら一蓮托生だし。
953:192.168.0.774
09/05/18 14:46:49 j9Y4xggD0
>>951
良いテンプレGJ
954:192.168.0.774
09/05/18 14:50:12 j9Y4xggD0
>>948
加えてバッファ オーバーフロー対策にどうですか
XPSP2以上用の解説ですがVistaも同様です
URLリンク(support.microsoft.com)
(通常で不安定なPCにはおすすめでないですが)
955:不安な初心者
09/05/18 14:50:14 duvNIOfD0
皆さんに質問。テンプレセキュリティサイトの焼却炉の数字をPG2に登録したんですけど
焼却炉の数字を数字を登録するでGENO対策になってますよね?
956:192.168.0.774
09/05/18 14:53:50 ua7Ctj4Z0
p://park17■wakwak■com/~kitagawadaisuke/
感染を確認。HP管理者の連絡先不明のため、サーバー管理者に連絡済み。
957:192.168.0.774
09/05/18 14:57:07 eM8L/6820
85.214.90.254 これどうするかなぁ・・独り言
めんどくさいから全焼きしとくか
85.214.16.0 - 85.214.139.255
85.214.0.0/16
958:192.168.0.774
09/05/18 14:59:08 dRkGHa1G0
>>955
リストとしてきちんと登録されていれば現状は対策になっていると思うよ
959:192.168.0.774
09/05/18 14:59:34 ImVScTUk0
XP SP3遣いっす。
不安なんで教えてください。
C:\WINDOWS\system32\drivers\etcにあるhostファイルの最後に
#090518 zlkon, GENO malware
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
を追加しときました。
これでhostsファイルはおっけーですか?
960:192.168.0.774
09/05/18 15:02:13 8q4bxpc+0
>>951
ありがとう!
昨日半年ぶりくらいにログインしたmixiにGENOの事書いたら
腐の方達からすごい質問攻め
「自分もよく解らないのでまとめwiki見たほうがいいですよ」と返信したら
二人程から
「なら書くな!」
と
泣いていい?
961:192.168.0.774
09/05/18 15:02:24 BZ5+cjSr0
>>454
それ英語版ファイルだから無問題ってことで俺の中では脳内変換されてる。
962:192.168.0.774
09/05/18 15:04:56 BZ5+cjSr0
>>469
俺のVista機だと
日本語50727バイト
英語46133バイト
963:192.168.0.774
09/05/18 15:05:24 k2CI1leb0
>>960
なんかよくわからんが、存分に泣くがいい。
964:192.168.0.774
09/05/18 15:05:43 gw0F+TVl0
>>960
www
965:192.168.0.774
09/05/18 15:07:07 xKJ07MeN0
>>960
怖いのう怖いのう
966:192.168.0.774
09/05/18 15:08:01 wU1qChfhP
>>960の人気に嫉妬
967:192.168.0.774
09/05/18 15:08:46 t3VCyTRM0
>>960
一緒に泣いてやるよ
968:192.168.0.774
09/05/18 15:09:50 oMiyEi290
>>954
普段は一般ユーザーで利用、DEPは全アプリでオン、IE8は保護モード動作、と一通りやってますよ
969:192.168.0.774
09/05/18 15:10:14 8q4bxpc+0
>>963-967
みんな ありがとう
本当に優しいな
俺、検証も人柱もできないけど、これだけは言いたい
mixiに書いちゃだめ
970:192.168.0.774
09/05/18 15:10:37 ImVScTUk0
○
ノ|)
_| ̄|○ <し
↑
>>960
971:192.168.0.774
09/05/18 15:11:42 qG7NJCuDO
おー ウイルスリンク集続々と集まってるね
俺も帰ったらサブPCで怪しいとこ特攻するわ
同人は東方とボーカロイドが特に危ないんだよな?
972:192.168.0.774
09/05/18 15:15:35 v0TdaQEv0
今までセキュリティはソフトにおまかせだけだったので、先人の皆さんに感謝です。
>>2の1.から4.までは比較的楽にできました。
「5.危険IPのブロック」はレスを参考に以下のようにやってみました。
hostsに3つのドメインを127.0.0.1で入れ、さらにIPでもはじくようにと思い、
ググってリンクたどって一番分かりやすかったのが・・・
「Kaspersky Internet Security 2009 通信を遮断するアドレスを範囲指定する方法」
自分がカスペ最近使い始めたのもあるんですが、これを見ながら
94.229.64.0/20(zlkon.lvに割り当てられていた範囲)と
95.129.144.0/23(martuz.cnとgumblar.cnに割り当てられていた範囲)を
カスペにFW設定してみました。
findyourbigwhy.cnとbigtopsuper.cnはカスペでドメイン名のFW遮断設定だけしましたが、
IP範囲ではどういう設定すべきか、>>957さん同様考え中です。
973:192.168.0.774
09/05/18 15:18:40 ihTs5Cw90
>>969
誰だったらそういう奴らに広めてやるわ
やらないけど
974:192.168.0.774
09/05/18 15:19:28 9Pl8YtKN0
>>969
謎の文字列はまだかね?
975:192.168.0.774
09/05/18 15:20:58 j9Y4xggD0
>>968
あぁDNSサーバー使いの人だったのですか
レスを読み返すと対策はかなり完璧じゃないですか
976:192.168.0.774
09/05/18 15:22:25 LQfReDty0
同人サイトって、同人誌出してるような絵描きのサイトのことなのか?
977:192.168.0.774
09/05/18 15:26:15 oyOEXJA00
>>957
allow 85.214.0.0/20
deny 85.214.0.0/16
ってポリシーでどう?
978:192.168.0.774
09/05/18 15:27:31 AGzlLrAA0
>>5
カスペでも検知できるって聞いたんだけどavastの方がいいの?
979:192.168.0.774
09/05/18 15:27:45 jXgQJsa10
デルのPC XPで感染してしまったようです。
再インストールしたかったのですが、セットアップ途中で反応無し
デルのサポートセンターの答えは、HD故障の疑いで現在検査中
1時間くらい掛かるということでしたが、5時間半経過でまだ56%
感染&HD故障がたまたま重なったと言うことなのでしょうか?
980:192.168.0.774
09/05/18 15:27:48 gw0F+TVl0
通称「GENOウイルス」・同人サイト向け対策まとめ
URLリンク(www31.atwiki.jp)
にある
ウイルスバスター2009(ver.17.1.1251)のファイアウォール設定
ですが
URLリンク(esupport.trendmicro.co.jp)
の注意書きにある
注意:
例外ルール設定に、トロイの木馬が使用するプロトコルとポート番号を設定した場合については
トロイの木馬アタックを防ぐことができません。
例外ルール設定の追加に関しましては、お客様の自己責任でおこなっていただきますよう
お願いいたします。
のとおりトロイの木馬は防げませんってサポートが言ってました
981:192.168.0.774
09/05/18 15:27:50 oyOEXJA00
>>977 の訂正
allow 85.214.0.0/20
allow 85.214.240.0/20
deny 85.214.0.0/16
982:192.168.0.774
09/05/18 15:34:43 k2CI1leb0
さっきから最新?のGenoを飼ってるんだけど、>>401あたりからの情報通り、
普通にオペレーションできてしまう。
qlsodbc.chm以外にわかりやすい判定方法がないぞ、これ。
しばらく動かしたままにしてるんだけど、サイズは1,323バイトのまま変化せず。
中身はASCIIテキストで謎の文字列。
サイズが変わったとかハッシュがどうこうではなく、chmファイルをダブルクリック
して開けなければ感染してる。
別のVMで他のサイトから感染させてみて、文字列が変わるかどうか調べてみるか。
983:192.168.0.774
09/05/18 15:41:11 +lw3mpsu0
FTPしないとサイズ変わらないのかな。
どこかの anonymous サーバにテストFTPしてみるとかどうだろう?
984:192.168.0.774
09/05/18 15:45:21 j9Y4xggD0
>>980
トロイの木馬が使用するプロトコルとポート番号を(例外ルールで通信の許可)設定した場合は防げないってことでは?
ファイル共有などで誤って、トロイの木馬ポートを許可設定した場合だと思うけれどどうだろう
985:192.168.0.774
09/05/18 15:50:31 8GKrEP5/O
ちょwwwwwww手ぶろ感染ってまじ?wwwwwww
986:192.168.0.774
09/05/18 15:50:51 ua7Ctj4Z0
p://pmpk■dojin■com 感染報告のメールに対し、対応完了の返答あり。完了してるかの確認まではやってない。
987:192.168.0.774
09/05/18 15:51:00 BEaSjZsm0
genoに感染、再起動後にregeditを起動しようとしてもエクスプローラー再起動みたくなって
起動できないけど
regedit.exeをa.exeのような適当な名前に変えて実行すると正常に起動できる
その後、ファイル名を元のregedit.exeに戻しても普通に起動できるようになった
988:192.168.0.774
09/05/18 15:52:34 k2CI1leb0
>>983
それはやってる。別のVMのftpサーバにアクセスしたけど、変わらない。
sniffingツール等の有無を確認して動作を停止してしまうのかもしれない。
あるいはデバイスを見てVMで実行していることを検知して動作を停止して
いるのかも。
妙に軽く動くのは、このウィルス本来の動作を行っていないからという
可能性がある。
とりあえずすっぴんのVMで試してみて、駄目ならネットブックでも
使ってみようかと。
989:192.168.0.774
09/05/18 15:53:34 o7Ns7JFwP
>>969
mixiこわい
990:192.168.0.774
09/05/18 15:55:49 BEaSjZsm0
>>986
パンプキン日記内のgenoスクリプト消し忘れているようだ
991:192.168.0.774
09/05/18 15:57:52 k2CI1leb0
>>987
それは実機?
992:192.168.0.774
09/05/18 15:59:16 gw0F+TVl0
>>984
俺も処理を「許可」にした場合はってことだと思うんだけど
サポートの不慣れな姉さんはトロイの木馬は防げませんの一点張りw
じゃあなんのための設定なのかとwww
993:192.168.0.774
09/05/18 16:00:05 BEaSjZsm0
>>991
仮想
994:192.168.0.774
09/05/18 16:00:30 wU1qChfhP
>>988
>デバイスを見てVMで実行していることを検知して
さらりと怖いこと言うね
995:192.168.0.774
09/05/18 16:04:13 k2CI1leb0
>>993
そっか。ってことは別種なのかな。こっちはregeditもExplorerもcmd.exeも
普通に動く。
>>994
実際、ラボでの検証をすり抜けるために、VM特有のデバドラをチェックする
ウィルスがあるらしいからねぇ。
996:192.168.0.774
09/05/18 16:07:25 r4h+PdSAO
手ブロが感染とは、どこのスレがソースですか
997:192.168.0.774
09/05/18 16:07:37 BZ5+cjSr0
この件で何の役にも立たない俺だけど、次スレ立ててくるわ
998:192.168.0.774
09/05/18 16:08:27 Re7/n4dW0
>>996
情弱の同人板では問題ないと判断されてた
999:192.168.0.774
09/05/18 16:08:42 j9Y4xggD0
>>992
萌え萌えなお姉さんだ・・・
1000:192.168.0.774
09/05/18 16:09:05 rNK1DQEo0
>>996
VIP
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。