09/05/18 10:02:46 duvNIOfD0
>>520
PG2導入したら、そこもIPブロックされているな
ネット巡回がしにくくて困る・・・・
793:192.168.0.774
09/05/18 10:02:48 yKeLT0rF0
>>789
ごめん自己解決した
ただの仕込まれてたHTMLファイルでもうトロイ扱いだっただけだった
俺はずかしー
794:192.168.0.774
09/05/18 10:03:40 BKfPdn6O0
感染サイト開くとcookieに
miek
1
www.abcdefg.com/ランダムな文字列
*
みたいなの保存されてどこのサイトで感染したか判る
795:192.168.0.774
09/05/18 10:04:17 xKiO8GiH0
住人のみんなおはやう
GENOウィルス対応済ませて疲れて夕方横になったら朝だったよー
一応対策してるスレと感染済み検体リスト貼っとくねん
スレリンク(internet板)
URLリンク(genolists.alink.uic.to)
検体協力出来る人居たらしてあげてちょ
同人板のスレは対処は出来ても検体協力頼んだら荒らし認定されちゃうから
対処に関してははこの2個見てちょ
URLリンク(www40.atwiki.jp)
URLリンク(www31.atwiki.jp)
同人サイトから一般サイトへの広がりもやばくなってきたみたいだから一応貼っとく
新型インフルも大変だけど、ねらー的にはこっちも大変だよな
796:192.168.0.774
09/05/18 10:04:18 yKeLT0rF0
更に安価もミスってるし。しばらくサイト探しだけしてROMってるわ
797:192.168.0.774
09/05/18 10:06:04 xKiO8GiH0
>>795は誤爆
ごめんなさい(;つД`)
798:192.168.0.774
09/05/18 10:07:49 GfBjvcuO0
じわじわリストも上がってるな、協力感謝
799:192.168.0.774
09/05/18 10:14:07 Uvd5wKih0
>>786
GENO
NON GENO
とか
800:192.168.0.774
09/05/18 10:17:33 ua7Ctj4Z0
>>775
>報道は何やってんだ。
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
(2009/04/13 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
(2009/04/13 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
薬事日報のサイトが改ざん~閲覧者にウイルス感染のおそれ
(2009/04/22 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
正規サイト改ざん(3) ウイルスに感染しないための対策
(2009/04/24 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
国内の正規サイト改ざん:攻撃サイトを変え再襲来
(2009/05/13 セキュリティ通信)
URLリンク(www.so-net.ne.jp)
2009年5月14日 10:49:00 AM
人気の夜遊びウェブサイトへアクセスした人の週末が台無しに
URLリンク(www.aladdin.co.jp)'s-weekend.html
新手のWebベースマルウェアが急拡大
正規のWebサイトに感染する新手のマルウェアが勢力を急拡大している。
[ITmedia]2009年05月15日 08時24分 更新
URLリンク(www.itmedia.co.jp)
SophosLabs ブログ (英語)
Troj/PHPMod-A: Behind the Troj/JSRedir-R attacks.
URLリンク(www.sophos.com)
801:192.168.0.774
09/05/18 10:18:34 ua7Ctj4Z0
小林製薬の一部サイトが改ざん、閲覧者はウイルス感染の恐れ
[INTERNET Watch]2009/05/14 14:57
URLリンク(internet.watch.impress.co.jp)
小林製薬のサイトが改ざん被害、閲覧でウイルス感染の可能性
[Yahoo!ニュース]5月15日17時11分配信
URLリンク(headlines.yahoo.co.jp)
Symantec
脅威レポートのタブ(Volume XIII ハイライト)
URLリンク(www.symantec.com)
(概要としては今回の攻撃型の予測になっているような気がするので、ちょっとずれてるけど記載)
てきとーに漁ってこんなもんかな。
802:192.168.0.774
09/05/18 10:20:34 ihTs5Cw90
あれ?so-netってGENOにやられてるんじゃないっけ?気のせいだっけ
803:192.168.0.774
09/05/18 10:20:40 lNiEWqwt0
>>800
情報㌧、俺の調べが駄目駄目だったようだ、申し訳ない。
しかし、薬事日報までアウトだったとは・・・
804:192.168.0.774
09/05/18 10:24:09 k2CI1leb0
>>794
そのcookieチェックがないスクリプトもあるよ。
つか、gnomeの中の人が報告してるphp埋め込みのタイプのを収集してる
ところなんだけど、なかなか新しいバリエーションが見つからない。
805:192.168.0.774
09/05/18 10:25:01 gw0F+TVl0
Adobe Shockwave Playerってのも更新したほうがいいの?
ってかどうやってバージョン確認するんでしょうか?
xp pro sp2
806:192.168.0.774
09/05/18 10:25:52 cIdqirF80
命まで取られねえ
そのまま使え
807:192.168.0.774
09/05/18 10:26:22 iven4hyc0
>>800
・小林製薬【対策済】
・BIG-server.com【対策済】
・ウェルネス(医療情報提供企業)【対策済】
・薬事日報社【対策済】
・国交省中部地方整備局岐阜国道事務所【対策済】
・全日本民医連【対策済】
・総合ホビー展示即売会「ホビコン」【対策済】
・GENO(PC通販ショップ)【キャッシュ削除済】
・NHT紀尾井町グループ(自毛植毛斡旋企業)【対策済】
・SayMove!【対策済】
・ライブハウス「あさがやドラム」【対策済】
808:192.168.0.774
09/05/18 10:28:28 n6Y+m8FmO
感染確認方法にあるタスクマネージャでの方法だけど
小文字と大文字とか関係ある?
見本は小文字なんだけど見たらうちのは大文字でSVCHOST.EXEだった
さらにsvchst.exeっつーのがあるんだが…
ひょっとしてアウト?
809:192.168.0.774
09/05/18 10:28:41 k2CI1leb0
>>805
ま、↓から最新をインストールしとけ。
URLリンク(www.adobe.com)
810:192.168.0.774
09/05/18 10:31:33 7k/9HGtp0 BE:660438427-2BP(0)
>>808
URLリンク(www29.atwiki.jp)
811:192.168.0.774
09/05/18 10:31:52 2hjuGSUk0
>>808
その二つのプロセス名でググってみろ
812:192.168.0.774
09/05/18 10:35:45 gw0F+TVl0
>>806
>>809
どっちなんだ・・・orz
813:192.168.0.774
09/05/18 10:37:26 cIdqirF80
>>812
更新してよ・・
814:スパムのような警告メール
09/05/18 10:38:36 ua7Ctj4Z0
Webサイト製作 ご担当者さま
■ お願い
御社のHPに、閲覧者のPCに、第三者のサイトよりマルウェア(コンピュータウイルス)を
ダウンロードさせるスクリプトが挿入されております。
状況確認の上、感染PCからのウイルス除去と、HPの修正、閲覧者向けの告知をお願いします。
この攻撃プログラムは、Adobe Acrobat Reader、Adobe Flash Playerの脆弱性を利用して
パソコンの中にスパイプログラムを送り込みます。 Windows XP、2000とAcrobat Reader、
Flash Playerの古いバージョンが組み合わさった場合、この攻撃を受けてしまいます。
同様のスクリプトの仕込まれたHPを閲覧することで、そのPCにウイルス本体が感染します。
感染したPCを利用して、HPの更新作業を行なうと、(該当PCで稼働中のマルウェアが行なったのか、
FTPのIDとパスを盗みだした外部からのアクセスかはわかりませんが)感染を広げるための
スクリプトの埋め込みを行なうようです。
他者から報告があり、当方でも確認したところ、確かに危険コードが含まれておりました。
HP閲覧者のPCにウイルスが勝手にダウンロードされてしまうため、御社のHPが意図せぬ加害者と
なっております。
■ 確認した感染ページ
<多分、全てのページが感染中>
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。
(例外的に<body>タグが存在しないページの場合は危険コードの挿入箇所を見付けられず
危険コードが埋めこまれないようです)
●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
815:スパムのような警告メール
09/05/18 10:39:31 ua7Ctj4Z0
■感染していると思われるページの危険部分
(これは一例です。複数のバリエーションがありますので、同じ文字列とは限りません)
|<script language=javascript><!--
|(function(){var UkRR='%';var WdBp=('v&61r&20a&3d&22S&63<以下省略>
| --></script>
■ 感染していると思われるウイルスの情報
HP更新に使用したPCが感染していると思われるマルウェア(コンピュータウイルス)は
新種の為、正式名称が定まっておらず、GENO(ZLKON)ウイルス/gumblar.cn/martuz.cn などと
呼ばれているものと思われます。下記のサイトの情報をご参照ください。
まとめサイト
URLリンク(www29.atwiki.jp)
各社の告知
So-NET セキュリティ通信
多数サイトが改ざん(1) PC通販「GENO」など閲覧者にウイルス感染のおそれ
URLリンク(www.so-net.ne.jp)
多数サイトが改ざん(2) 狙われた「Adobe Reader」と「Adobe Flash Player」
URLリンク(www.so-net.ne.jp)
正規サイト改ざん(3) ウイルスに感染しないための対策
URLリンク(www.so-net.ne.jp)
国内の正規サイト改ざん:攻撃サイトを変え再襲来
URLリンク(www.so-net.ne.jp)
[ITmedia]新手のWebベースマルウェアが急拡大
URLリンク(www.itmedia.co.jp)
専門的な解説等
URLリンク(ilion.blog.shinobi.jp)
URLリンク(jvnrss.ise.chuo-u.ac.jp)
URLリンク(www3.atword.jp)
このマルウェアに感染したPCで、FTP接続しファイルを更新することでhtmlやphp、js
といったファイルが書き換えられて現在の状況になっているものと思われます。
816:192.168.0.774
09/05/18 10:40:03 k2CI1leb0
>>812
最新にしておいて害はない。
817:スパムのような警告メール
09/05/18 10:40:44 ua7Ctj4Z0
■ 解決方法について
駆除方法
URLリンク(www29.atwiki.jp)
一度感染してしまうと、PC稼動状態で除去するのは困難…というより、無理です。
必要なデータをバックアップした後で、PCリカバリもしくはOS再インストールを行なって、
安全な環境にするしかありません。
1.Webサイトにある「ファイルを一旦全て削除し」被害の拡大を阻止
隠れた所に残存する可能性があるのですべてのファイルを削除してください
この段階では、告知を上げても、告知自体に危険コードが入りますので
まずは削除だけをお願いします。
2.各種データのバックアップ(IDとかパスワードのメモやブックマークも忘れず)
3.OS再インストール(またはPCリカバリ)の後、WindowsUpdateを全て当てて、
セキュリティソフトを導入し、パターンを最新にした上で、各種アプリの
インストールや、バックアップしたデータの書き戻しを行なってください。
4.HP更新に使用するftpパスワードの変更
(以前のものは盗まれており外部から悪用される可能性があります)
5.Webサイトに危険コードを含まないファイルをアップロードしなおす。
6.感染が行われる状態であった日時の告知とサイト訪問者に対するお詫び、及び
解決策の紹介(PCリカバリ/OS再インストールしかない訳ですが)。
正直かつ正確に書くことで訪問者からの信用回復を行なってください。
最初にこのウイルスが確認された、某通販サイトのように、危険な状態であったことを
隠蔽したり、ブラウザのキャッシュを消せばOKといった嘘情報を書くことで、被害を
拡大させるようなことだけは行なわないようにお願いいたします。
ftpパスワードやID、その他のSNSのパスワードなども、盗みだされている可能性が
ありますので、安全なPCから、自分の使用している(4月以降にログイン動作を
行なった可能性のある)パスワードを全て変更しておいたほうがいいかもしれません。
感染PCはゾンビ化して、ボットネットに組込まれるという情報もありますが
正確なことはわかっていません。
■再発防止策
・WindowsUpdate、Adobe Acrobat Reader、Adobe Flash Playerの積極的なアップデート
・既知の危険サイト(今回の場合は、URLリンク(www3.atword.jp)の焼却リスト参照)を
ブロックするよう、セキュリティソフトのFWを適切に設定したり、
PG2といったソフトのIPブロックで感染を回避する。
焼却リスト:URLリンク(www3.atword.jp)
感染してしまったことは、新型の危険ファイル配布方法の為、仕方ない面もありますが、
再発防止と、閲覧者に対する告知によって、被害の拡大を食い止めて頂きたいと思います。
818:192.168.0.774
09/05/18 10:41:01 gw0F+TVl0
>>813
>>816
うん・・・更新してくる
819:スパムのような警告メール
09/05/18 10:42:24 ua7Ctj4Z0
■私見による蛇足
幾つかのサイトの告知ページ等では、セキュリティソフトベンダーを紹介しておりますが、
実際に稼動する本体は、ほとんど日替わりのように入れ替えられている為に、紹介されている
セキュリティソフトにて「除去が行なえるとは言い切れません」。(というか多分無理です)
実際の動作を解析された方の報告によると、一定時間毎に自己を複製して古いものを
自己消滅させて捕捉を困難にする挙動のようですし、現時点では、感染後に元の環境に
戻すことのできるセキュリティソフトは確認できていません。
また、感染ファイルの除去を行なっても、ランダムな文字列でWindowsのレジストリ等を
変更してしまっているなど、原状復帰には至りません。閲覧者向けに告知される場合は、
セキュリティソフトベンダーのを紹介するよりも、PCのリカバリを推奨するのが
良いのではないかと思われます。
以上、要件のみにて失礼致します。
820:スパムのような警告メール
09/05/18 10:44:28 ua7Ctj4Z0
(サイト管理者ではなく、レンタルサーバーなどのドメインの管理者宛の場合、下記を頭につける)
ご担当者さま
御社管理下のIP「~」に開設されているホームページ
「http://~」において、閲覧者のPCに第三者の
サーバーからマルウェア(コンピュータウイルス)をダウンロードさせる
攻撃スクリプトが挿入されていることを確認しました。
該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
連絡先のメールアドレスを見付けることができませんでした。
管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
閲覧するだけで感染する形で被害が広がっており、他の御社顧客の中にも
同様の危険を放置しているケースがあるかもしれません。そちらも併せて
ご確認いただければと思います。
攻撃スクリプトは、Avast!のJS:Redirector-H~JS:Redirector-H9、
SophosのTroj/JSRedir-Rという名称で検出可能なようですので、
御社顧客のサイトを一通りチェックして頂けると有難いです。
他のセキュリティベンダーでは、危険ファイルをダウンロードする
第三者のサーバーIPをFWでのブロック対象にする形で対応している
ようですので、この攻撃スクリプトは検出されないようです。
-----
>該当ページの管理者さまに直接連絡を差し上げようとしましたがざっと眺めたところ、
>連絡先のメールアドレスを見付けることができませんでした。
>管理者からの改善要求の形か、下記の文面の転送をお願いできませんでしょうか。
ここを、対応をお願いします…だけでもいいかも。
821:192.168.0.774
09/05/18 10:45:47 ua7Ctj4Z0
>>814-815,>>817,>>819-820
という訳で、ちょっと手直しして昨日使ったものです。
使いまわしされるならご自由に。
822:192.168.0.774
09/05/18 10:46:11 RopbQr7x0
同人の方でXP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の
環境で感染したって報告あったけど防ぎようがないじゃんもうこれ
823:192.168.0.774
09/05/18 10:48:54 yKeLT0rF0
361 :報告 :2009/05/18(月) 10:38:34 ID:Efl7GhePO
(略)
そして自分も只今クリーンインストール中
XP(SP2)、Avast導入、IP遮断済、IE7、Adobeリーダー・フラッシュプレイヤー最新の
環境で感染しました
ジャバスク切りに失敗してたのが原因かも知れません
アホすぐる
■sqlsodbc.chmサイズ変更確認
■cmd.exe、regedit.exeは起動した
■白紙のPDFファイルが一気に10個以上開いてCPU使用率\(^o^)/オワタ
■Windows Updateに接続できない
一応自分の環境ではこういう症状が出ました
(後略)
だってさ
824:192.168.0.774
09/05/18 10:50:08 EdkHVUmF0
>>822
その人はJavaScript無効になってなかったと言ってたような
825:192.168.0.774
09/05/18 10:51:14 gM07vQcn0
誰かPV数の多いたれこみ可能サイトへ情報投稿したらどうだろう?
スラドとかITmediaとかGigazineとか。
826:192.168.0.774
09/05/18 10:51:18 ua7Ctj4Z0
>>822
SP2なところがダメダメな気がしますが
>Avast導入
スクリプトがすり抜けるケースも報告されており、過信はできません。
また、5/14に攻撃サイトのドメインが変更されており、すり抜けが増えている可能性があります。
>IP遮断済
最新の martuz.cn を遮断IPに加えていなかったか、設定が間違っていた可能性が高いです。
>Adobeリーダー・フラッシュプレイヤー最新
PDF、SWF以外にexeも落ちてくるんですが…exeの実行手法がわかりませんけど。
827:192.168.0.774
09/05/18 10:52:47 GfBjvcuO0
IP遮断してもって、文字通りだとしたら、どういうことよw
リスト全く増えねぇなwジャンル報告だかは普通にあるのにな
828:192.168.0.774
09/05/18 10:52:47 lNiEWqwt0
>>823
が本当なら、テキはAdobeの脆弱性で未公表のものをいくつかストックしている可能性があるってことか。
新規脆弱性の波状ゼロデイ攻撃でGENOウイルスを散布されたらシャレにならん。
ひょっとしたらpdfが開くのだって「まだAdobeの脆弱性をつかってますよー」ってう偽装で、本当は
他の脆弱性を使ってるかもしれないし。
なんてことだ
829:192.168.0.774
09/05/18 10:54:31 yKeLT0rF0
>>826
やっぱexeに引っかかったってことかー
exeを実行させるってことはJS必須?JSオフで画像でも可?
あんまりスキル無いから感染サイト捜索打ち切った方が良いかな。
数個しか見つけれなんだ。役に立たなくてすまん。皆は頑張ってくれ
830:192.168.0.774
09/05/18 10:54:51 JmCcr4Q60
>>823
Avast導入 → 何時導入?定義更新は自動任せ?
IP遮断済 → 何時導入?
Adobeリーダー・フラッシュプレイヤー最新 → 何時更新?
この辺が判らんと感染してから更新or対策した可能性が否定できんのでなんとも。
相手さん改良続いてるから他の脆弱性突いてきてる可能性も否定できんし、こりゃ困ったもんだのう…
831:192.168.0.774
09/05/18 10:54:53 BZxCgznZ0
【セキュリティ】サイトが改ざん被害、閲覧でウイルス感染の可能性(小林製薬)[09/05/14]
スレリンク(newsplus板)
832:192.168.0.774
09/05/18 10:55:47 Wk6IzuQl0
あくまでも未確認情報だから確定事項みたいに書かないように気をつけろよ。
と他の板から見に来てる人に書いておく。
833:192.168.0.774
09/05/18 10:56:23 k2CI1leb0
>>828
スクリプトのID全部落ちてこないことも多いから、Adobe以外の脆弱性を
突いてる可能性は十分あるよな。
834:192.168.0.774
09/05/18 10:56:34 +m52NSIq0
GENOウイルス注意喚起の記事書いたらいつもの10倍のアクセスになった件
そんなつもりで書いたわけじゃないのに
835:192.168.0.774
09/05/18 10:56:36 iven4hyc0
197 名前: スイセン(dion軍)[sage] 投稿日:2009/05/18(月) 10:14:34.01 ID:sn4Pmcsx
ちょっと聞いてくれ
当方、評価用にWindows7(not Virtual XP)を運用しているんだが
試しに当該感染URLを踏んでみたら全然無害でした。
無害どころか、AppLockerとBitLockerのおかげでプロセスに乗せないよう
遮断してくれました。
ただし、これも評価用で入れたNorton 360 3.0 Betaは無反応でしたw
836:192.168.0.774
09/05/18 10:59:01 k2CI1leb0
>>829
画像&MIME改変のケースもあるよ。IEでは8未満は画像ファイルを
実行しちゃうっぽい。
837:192.168.0.774
09/05/18 11:00:21 ua7Ctj4Z0
>>835
だから、「現時点では」 Windows2000/XP以外のOSはバージョンチェックではねてるんだってば。
838:192.168.0.774
09/05/18 11:01:21 zpCoVVcL0
リストに同人サーチ上げた人、リンク繋がってるよ
839:192.168.0.774
09/05/18 11:02:12 n6Y+m8FmO
>>810-811
ありがとう
…別のウィルスに感染してんのか…
svchst.exeとか一文字違いなのが紛らわしい
しかもユーザー名出てて一瞬イきかけた
840:192.168.0.774
09/05/18 11:02:48 ua7Ctj4Z0
>>836
・IEを使う場合は下記を設定
・信頼できるSite以外ではスクリプトやActiveXを切る
:インターネットオプションのセキュリティの部分で設定可能
・偽装jpg対策(IE6SP2以降限定。IE6SP1以前では出来ない)
:インターネットオプション→セキュリティ→レベルのカスタマイズ
→「拡張子ではなく、内容によってファイルを開くこと」の項目を無効にする
841:192.168.0.774
09/05/18 11:11:48 UHl6zS+i0
avastいれたんだが、なんか必要な設定とかある?
情弱ですまんお
842:192.168.0.774
09/05/18 11:15:54 9Pl8YtKN0
>>841
人それぞれ環境が違うから何ともいえない
↓を読んでみるといいと思うよ
URLリンク(www.iso-g.com)
843:192.168.0.774
09/05/18 11:20:01 yKeLT0rF0
思いついたんだけど、検体集め&レポーターさん達で
自力で検体作成ってのは無理なんかね?
適当にFTPで非公開サイト作ってワザと感染すれば
色んな検体が集めれるんじゃとか思ったんだけど。ダメ?
844:192.168.0.774
09/05/18 11:23:00 B1//bRJ30
>>838
すいません、まちがえました。
こちらで削除できないので管理人さまお手数お掛けしますが
削除お願いいたします。
845:192.168.0.774
09/05/18 11:23:10 kA5lVKLe0
>>805
Adobe Shockwave と Flash Playerのテスト
URLリンク(www.adobe.com)
846:192.168.0.774
09/05/18 11:23:39 eM8L/6820
おはヨーグルト
烏骨鶏はまだ放置だな
847:192.168.0.774
09/05/18 11:24:25 ua7Ctj4Z0
そだ、>>1の
>・再起動時にBSOD
踏んでもならなかったなーと思ってたんだが、(すぐにOS入れなおしたけど)
www3.atword.jp/gnome/の中の人の実験によると、再起動時に、IP遮断していると発生するとのこと。
>あと、 BSoD になる理由が判明
>ユーザ認証直後に 95.129.145.57 へ何らかのアクセスに失敗すると・・・?
>強引に explorer.exeをクラッシュさせてる様子
>
>これってアレだ・・
> 下手にIPブロックすると起動できなくなる・・
> 起動するためには IP情報、その他を抜かれるという・・・
>
>どこまでいやらしいんだオマエハ・・・・
848:192.168.0.774
09/05/18 11:26:08 k2CI1leb0
>>843
それが駄目なんだな。
IP変えつつアクセスしないといけないし、どうもサイトごと?に
バラまくものの傾向があって、同じものばかり落ちてくる。
ほぼ同時刻に別サイトで拾うと別のものが落ちてくる。
ドメイン名かIPアドレスかなんかをキーに送り込むファイルを
自動生成してるのかもしれない。
849:192.168.0.774
09/05/18 11:26:50 uJCPKem80
>>837
え、じゃあWin9x系には無害なの?
850:192.168.0.774
09/05/18 11:26:56 xKiO8GiH0
>>841
同人板からですまないが
389 GENO ◆AbjB8MStDM sage New! 2009/05/18(月) 11:00:57 ID:4tM/xy9HO
>>1
報告ってか提案なんだけど、あばすと使いとかでFW入れてない人用に
フリーのFWの紹介載っけてみたらどうだろう
やりすぎかな?
とりあえず自分はコモドのFW導入したので、コモドのまとめWikiどうぞ
つURLリンク(www4.atwiki.jp)
自分もavast使いだから入れてみたよ
今の所軽くて快適
851:192.168.0.774
09/05/18 11:29:21 Sh8lpjBX0
>>307
うちもよく同じ症状になる(JAVA無効)
852:192.168.0.774
09/05/18 11:30:29 yKeLT0rF0
>>848
なかなか手が込んでるね……
>>850
hostsでドメインで弾く派は少数なのか
853:192.168.0.774
09/05/18 11:30:54 +m52NSIq0
これを機にマジでNokia機を買おうかな
WM機がメインのネット端末だとかなり不安だ
854:192.168.0.774
09/05/18 11:31:40 k2CI1leb0
>>850
入れただけだとほぼ無意味だけど大丈夫?
Defense+で防御してくれる場合もあるけど、何も設定しないと
ばんばん通信を許可していくよ。
855:192.168.0.774
09/05/18 11:33:46 wsKEiiw60
ビビリな俺はnonscriptで全ページプラグイン禁止 リーダーはアンインスコ
一時的JS有効の時もフラッシュは切られてる状態
気休めかなあ 動画サイトはどうしようもないけど・・・
856:192.168.0.774
09/05/18 11:36:01 +m52NSIq0
もう同人板の連中なんてほっとけ!
なんて言ってられないからな・・・そこから広がると目も当てられないから。
857:192.168.0.774
09/05/18 11:36:56 DLMrt4rx0
>>852
俺やってる
気休めかなぁ
858:192.168.0.774
09/05/18 11:37:22 GfBjvcuO0
これが疫病とかなら言う事聞かなくても村を隔離する、で済むんだがなw
859:192.168.0.774
09/05/18 11:38:56 xKiO8GiH0
>>854
IPリストの人のブログ参照して片っ端からIP入れたよ
これでいいんだよね?
860:192.168.0.774
09/05/18 11:41:54 k2CI1leb0
>>859
とりあえずはOK。
ブロックするべきIP範囲もドメインもころころ変わるというか増えていく
可能性が高いけど。
861:192.168.0.774
09/05/18 11:47:36 +m52NSIq0
>>795
ブログでこの下のサイト2個にリンクしてもいいですか?
862:192.168.0.774
09/05/18 11:48:07 pOfdtuRP0
>>856
気分的にはほっときたいけどそうも言ってられんねw
同人板で「同人サイトなんてヒット数が少ないから影響も少ないはずなのに何故晒す必要があるの?」と言ってた人がいたけど
ヒット数が少なくてもねずみ算式で増えていくし、しかもその数が多いから対象を把握できないことにはどうしようもない
サイト管理者も低スキル、観閲者は更にひどい状況で対策が期待出来ないこともある
863:192.168.0.774
09/05/18 11:49:55 xKiO8GiH0
>>861
それ誤爆レスなんだけどなぁ(・ω・`;)
自分は自分のサイトとブログにリンクしたけど、特に問題は起こってないから
リンクしちゃっても大丈夫なんじゃないかな?
まぁ、自分の場合はねらーだってサイトでバレてるのもあるだろうけど
864:192.168.0.774
09/05/18 11:51:28 yKeLT0rF0
>>857
ナカーマ。気休めなのかなー。
IP増えてもドメインそのままなら有効だからお得
とか思ったんだが。
同人板の元になったノウハウ板のスレの方にリンク集貼られてた。
協力的とまでは言えないがそれでも同人以外で見つけた時とか
一応協力できそうな場合はリンク集に放り込んでくれるってさ。
貼った人の書き方もあるだろうけど向こうは穏やかだった。
感染しても活動的なとこならすぐ対処しちゃうわけでなかなか難しいんだな
865:192.168.0.774
09/05/18 11:52:36 J2AfAwvy0
(){e●val(unes●cape(('Sc●ript(t,'●%')))})(/./●g);
avast!ってこれに反応するのね
866:192.168.0.774
09/05/18 11:55:17 gw0F+TVl0
>>845
さっき更新して、そこで調べたらOKでした
ありがとう
867:192.168.0.774
09/05/18 11:55:57 +m52NSIq0
>>863
ありがとう。遠慮なくさせていただきます。
868:192.168.0.774
09/05/18 11:56:55 lbjdJxFz0
>>855
さらにビビリな人はcookieSafeとか使って、cookieも許可制にしておく。
普通に手動で設定もできるけどcookiesafeだとステータスバーとかからボタン押すだけなので設定が楽。
869:192.168.0.774
09/05/18 11:58:32 yKeLT0rF0
クッキー設定は常に高だぜ。
クッキー要のところでしょっちゅう躓いてるわorz
870:192.168.0.774
09/05/18 12:03:15 834BtslA0
>>861
初心者まとめの方の管理者です。
あまりねらっぽくないように作ったつもりなので(ギコナビとか見えるけど)リンクしても大丈夫だと思います。
不安を煽るような文章がないかどうか、分かりにくいところなどがありましたら連絡よろしくお願いします。
871:192.168.0.774
09/05/18 12:04:57 +JwqLcuL0
hostsファイルは#出始まるのはコメント扱いになるんですよね?
てことは自分でわかるようにメモ書きしても大丈夫ですか
# GENOウイルス対策5月18日
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 martuz.cn
872:192.168.0.774
09/05/18 12:07:57 yKeLT0rF0
>>871
俺もそうしてる
873:192.168.0.774
09/05/18 12:09:44 wU1qChfhP
>>871
うん
それと127.0.0.1より0.0.0.0の方が精神衛生上安全じゃね
874:192.168.0.774
09/05/18 12:11:12 +JwqLcuL0
>>872-873
ありがとうございます、書き換えときます
875:192.168.0.774
09/05/18 12:14:41 gw0F+TVl0
>>871
URLリンク(geno.2ch.tc)
ここみると1つだけなんだけど、3つ入れた方がいいの?
876:192.168.0.774
09/05/18 12:21:44 +m52NSIq0
>>870
ありがとうございます。
877:192.168.0.774
09/05/18 12:23:02 wU1qChfhP
>>875
3つとも入れた方が安全だけど
そんな事より JavaScript(flash) を切っとくべき
最新で安全か分からんし
878:192.168.0.774
09/05/18 12:26:53 7eAX9wM+0
ただいま産業
879:192.168.0.774
09/05/18 12:30:33 eM8L/6820
難読化スクリプトにに google Chrome は除外するように書いてあるんですね
怪しいサイトをgoogleに自動送信されるのを避けるためか?
880:192.168.0.774
09/05/18 12:43:02 NNK7xlMd0
とりあえずブラウズする場合は火狐にNoscript入れときゃいい話だろ?
そこまであわてる話じゃない
881:192.168.0.774
09/05/18 13:00:59 ua7Ctj4Z0
>>875
現在使用されているのは martuz.cn なので、それだけ入ってればいい。
前の2つはおまじない。
またドメイン変更される可能性は十分あるし、(無いとは思うが)前の名前に戻される可能性もあるので
履歴みたいなもんだが、のこしといていいよ。実害ないし。
882:192.168.0.774
09/05/18 13:06:08 gw0F+TVl0
>>877
>>881
ありがとう、おまじないも含め3つ入れときます
883:192.168.0.774
09/05/18 13:06:43 +m52NSIq0
感染していないPCなら、最低限これやっとけば今の所は安心。
・Windows Update(Microsoft Update)をして、システムを最新の状態にする。
・Adobe Reader を最新(9.1.1)にするか、アンインストールする。
最新にした場合→[編集(E)] -> [環境設定(N)...] -> [JavaScript] -> [Acrobat JavaScript を使用(J)]のチェックを外す。
・Adobe Flash Player をブラウザごとに最新(10.0.22.87)にする。
・ブラウザを Firefox に統一し、NoScript(アドオン)を導入する。
(もしくは、[ツール(T)] -> [オプション(O)...] -> [コンテンツ] -> [JavaScript を有効にする(J)]のチェックを外す。
・C:\WINDOWS\system32\drivers\etc にある hosts ファイルに以下を追加
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
884:192.168.0.774
09/05/18 13:07:00 eM8L/6820
>>881
烏骨鶏と出版社には連絡できたのでしょうか?
未だに放置されてるようなので
885:192.168.0.774
09/05/18 13:07:12 qnzegN6T0
ここはやっぱまったりしてんな
886:192.168.0.774
09/05/18 13:07:21 ua7Ctj4Z0
感染サイトを拾っていて気付いたこと。
<body>とか<BODY>だと、スクリプトが挿入されているが、<BODY bgcolor=#dddddd>のように記載されている
ページに限っては、感染者のサイトであってもスクリプトが挿入されていない。
まかりまちがって気づかないうちに感染した時対策のおまじないとしてはありかもしれん。
phpとかjsも使ってるページだと、おまじないのしようがないけど。
887:192.168.0.774
09/05/18 13:07:36 +m52NSIq0
他スレへの注意喚起コピペ用を作成してみました。
888:192.168.0.774
09/05/18 13:08:28 ua7Ctj4Z0
>>884
連絡は入れてあるけど、担当者が読んだかどうかは知らない。
(出版社は、アドレスわからなかったので、サーバー管理者の方のabuse窓口に送った)
889:192.168.0.774
09/05/18 13:10:08 ua7Ctj4Z0
>>886
訂正…ごめん、そのおまじない無効だわ。その形式でも入ってるページあった。orz
890:192.168.0.774
09/05/18 13:11:31 k2CI1leb0
>>881
cnドメインって20円くらいらしいから、どんどん増殖するんだろうな。
hosts書き換えはお手軽でいいんだけど、以前拾ったスクリプトでは
IPが書き込まれてるものもあったから、hostsだけだと安心できない
んだよね。
891:192.168.0.774
09/05/18 13:12:20 DC1VgNqQ0
>>884
429 名前: ミツバツツジ(北海道)[] 投稿日:2009/05/18(月) 12:48:44.35 ID:EpvayYrU
■ウィルス感染対策済のお知らせ
2009/05/16の朝海外サイトからの攻撃でウィルスを仕込まれご心配をおかけしましたが
すべてクリアし、また対策も済んでおりますのでご安心ください。
URLリンク(www.seibidoshuppan.co.jp)
892:192.168.0.774
09/05/18 13:13:55 eM8L/6820
>>888
お手数かけました、ありがとうございます。
最近はお年寄りもインターネットで買い物するようになってきましたが
セキュリティに関しては全く分からないという方が多いと思います。
それで早くサイトを修正してもらわないと、感染者がますます増える気がして
心配しています。
893:192.168.0.774
09/05/18 13:17:13 yKeLT0rF0
>>891
>2009/05/16の朝海外サイトからの攻撃で
海外サイトからの攻撃で。確かにウイルスの入手が自分でも
攻撃と言えば攻撃だが、なんかこうモヤモヤするな
894:192.168.0.774
09/05/18 13:22:26 ABiZoUCL0
あれ?ソース見る限りまだ直ってないみたいだけど……
895:192.168.0.774
09/05/18 13:23:37 bJKwd5tS0
チェッカーでは0%
896:192.168.0.774
09/05/18 13:23:38 xKiO8GiH0
何か亜種の情報来たみたい?
URLリンク(www3.atword.jp)
897:192.168.0.774
09/05/18 13:27:49 wU1qChfhP
Opera での flash の切り方
・F12叩く → JavaScriptかプラグインを無効にする
・plugin-ignore.ini(C:\Program Files\Opera\defaults\) を開いて以下を追加
NPSWF32.dll = flash
flash だけ切りたい人は下、そうでない人は上の方法で
898:192.168.0.774
09/05/18 13:28:04 xSUvMAHu0
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
これをそのままコピペすればいいんですか?
hostsファイル中開いたら既にえらいたくさん指定してあったんですが
一番下に付け加えればいいんでしょうか
899:192.168.0.774
09/05/18 13:28:08 ABiZoUCL0
ああ、キャッシュ見てたわ
これは失敬
900:192.168.0.774
09/05/18 13:28:26 lbjdJxFz0
>>894
キャッシュ見てるんじゃない?
ソース見てきたけど、それっぽいのなかったですが
901:192.168.0.774
09/05/18 13:30:12 rNK1DQEo0
>>896
findyourbigwhy.cn
bigtopsuper.cn
このへんもhostsにつっこむべきかなあ
902:192.168.0.774
09/05/18 13:32:18 xKiO8GiH0
>>901
自分はhostsへの書き込み方解んない初心者に近いから
とりあえずFWへ突っ込んどいたよ
これから一応htaccessにも記入するとこ
903:192.168.0.774
09/05/18 13:32:24 +m52NSIq0
>>898
127.0.0.1 localhost の下でいいよ
904:192.168.0.774
09/05/18 13:32:47 ua7Ctj4Z0
seibidoshuppan の件
WebARENA Suite 担当者より返答。
>現在の状況、およびウイルスの対策につきまして該当ホームページの
>管理者さまへは連絡をさせて頂き、改善のご検討並びにご対応をいただいております。
905:192.168.0.774
09/05/18 13:33:55 rNK1DQEo0
>>902
うーん
いっそ .cnを全部遮断したい
906:192.168.0.774
09/05/18 13:34:34 xSUvMAHu0
>903
ありがとうございます
907:192.168.0.774
09/05/18 13:34:56 iven4hyc0
【緊急】ウイルス感染について2009年5月16日 投稿者: 雪町灯之助
sprnv。xii。jp/
doris。xii。jp/
から始まるURLにアクセスなさらないようによろしくお願いいたします。
908:192.168.0.774
09/05/18 13:35:41 DLMrt4rx0
ファイアウォールの設定よりhostsのがよほどわかりやすいと思うけどなぁ
突っ込めば遮断なんて死ぬほど明解
909:192.168.0.774
09/05/18 13:36:58 JmCcr4Q60
>>905
ネトゲ関係で垢ハック流行ってるから中国韓国台湾はデフォで全部弾いてるな(PG2利用)
910:192.168.0.774
09/05/18 13:37:43 ua7Ctj4Z0
(スクリプト確認:管理者にメール済み)
p://www■geocities■jp/themusasi/
p://www■geocities■jp/themusasi2/
(同じ管理者と思われるがスクリプトなし)
p://www■geocities■jp/themusasi2de/
p://www■geocities■jp/themusasi4/
(他のスレで感染サイトとして出ていたが、スクリプト見当たらず。ガセ)
p://zaq■ne■jp
p://okwave■jp/qa1152486■html
911:192.168.0.774
09/05/18 13:38:23 wU1qChfhP
>>908
FWとhostsは全く別物だけどな
hostsは遮断してる訳じゃないだろ
912:192.168.0.774
09/05/18 13:40:20 ua7Ctj4Z0
>>907
上、接続失敗
下、ウイルス横行の為閉鎖中。閉鎖告知にはスクリプトなし。
913:192.168.0.774
09/05/18 13:44:13 ua7Ctj4Z0
>>908
IP遮断:ドメイン名で書かれていても、IPの数字でも遮断する。
DDNSなどで、ドメイン名に割当てられているIPが変化すると、同じ名前のサイトでもブロックできないことがある。
hosts:DNSサーバーより優先して参照され、ドメイン→IPへの変換を行なう。
登録してあれば、該当サイトの代わりに自PC(もしくは登録してある別のIP)を見に行くようになる。
安全のためには、両方設定しておくのが基本。
>>909
(・∀・)人(・∀・)ナカーマ
914:192.168.0.774
09/05/18 13:44:30 rNK1DQEo0
>>909
マジか
.cnなんて普通要らないし設定してこようかな
915:192.168.0.774
09/05/18 13:45:06 oyOEXJA00
>>911
ルーティングされないから、遮断と一緒だよ。
FWと原理は違うけど。
916:192.168.0.774
09/05/18 13:47:15 +OaLYMxp0
>>883
zlkon.lv時代はIPで投下されていたから
hostsへの記載は無駄な気もする。
>>908
ワイルドカード使えないのがな…。example.comを書いても
foo.example.comやbar.example.comは阻止できない。
917:192.168.0.774
09/05/18 13:49:11 iven4hyc0
>>912
THX!
918:192.168.0.774
09/05/18 13:49:26 wWVwQ3nP0
検証の方、乙です。
自分のノートパソコンもどうやら餌食になってしまったみたいなので、
現在バックアップとってリカバリー準備中です。
大分落ち着いてきたぞ!
919:192.168.0.774
09/05/18 13:51:10 PjPI1FGb0
確かにIPレベルで通信されたらhostsに書いてても意味無いね。
FWで止める方が確実か。
920:192.168.0.774
09/05/18 13:52:18 lbjdJxFz0
hosts fw ルータ の3段で防げばかなり強固
921:192.168.0.774
09/05/18 13:53:48 XBZCbjSj0
.cn全弾きってできないの?
922:192.168.0.774
09/05/18 13:55:28 oyOEXJA00
こんな方法もある。
route -p add 95.129.144.0 mask 255.255.254.0 127.0.0.1
923:192.168.0.774
09/05/18 14:01:55 JmCcr4Q60
>>920
その三段構えが鉄板だね。こまめにメンテしなきゃ意味無いけどw
924:604
09/05/18 14:02:44 1VMrtiIH0
ウィンドウズモバイルで怪しいサイト踏むって言ってた者だけど
URLリンク(genolists.alink.uic.to)
にあるサイト片っ端から行ってみた。
結果
とりあえず問題ないっぽいが、接続切ってブラウザ閉じた後に2回ほど携帯が勝手に接続しようとして失敗した旨のエラーメッセージ確認。
携帯自身のエラーなのかウィルスなのかわからんのでなんともいえん。
ウィンドウズOSの入った機械でアクセスするのは控えたほうがいいかもしれん。
皆さんの協力感謝です。
あと、仮眠とった後PCにWin7をクリーンインスコ&イーモバイルで再接続したからID変わってるかも
これで自分の人柱報告は終わろうと思います。
925:192.168.0.774
09/05/18 14:03:02 t3VCyTRM0
FWはZoomAlearmでおk?
926:192.168.0.774
09/05/18 14:05:47 j9Y4xggD0
>>922
ルーティングテーブルか、その方法もあったな
927:192.168.0.774
09/05/18 14:07:26 oyOEXJA00
>>926
この方法なら、とりあえずソフトいらないよ。
928:192.168.0.774
09/05/18 14:09:16 lXGw6ssR0
adobe readerのアップデートが8.15で最新になるんですが
最新版は9ですよね?
929:192.168.0.774
09/05/18 14:11:40 UxU4hqfi0
>>928
URLリンク(www40.atwiki.jp)
930:192.168.0.774
09/05/18 14:12:44 oyOEXJA00
>>928
8 系の最新は、8.1.5
9 系の最新は、9.1.1
どちらも、セキュリティホールはつぶれているので安心してOK
931:192.168.0.774
09/05/18 14:16:20 oMiyEi290
うちはDNSサーバにダミーエントリいれて、サブドメインごとまとめてブロックした
zone "zlkon.lv" {
type master;
file "zone\block.zone";
};
zone "gumblar.cn" {
type master;
file "zone\block.zone";
};
zone "martuz.cn" {
type master;
file "zone\block.zone";
};
932:192.168.0.774
09/05/18 14:16:36 lXGw6ssR0
>>929>>930
有り難うございます
933:192.168.0.774
09/05/18 14:18:39 pVOaBjI60
Adobe Flash Playerがアップデートできないんですが
これはアップデート時はActiveXやJavaScriptを有効にしないといけないんでしょうか
934:192.168.0.774
09/05/18 14:18:52 k2CI1leb0
これ、本当かね?
あとで検証してみるか。
671 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 14:15:47 ID:
>>617
これVMで踏んでみたけど、確かに軽くなってるし、コマンドプロンプトも
レジストリエディタも立ち上がる。
chmファイルはなにやら更新されていく。
935:192.168.0.774
09/05/18 14:19:48 j9Y4xggD0
>>931
自前のDNSサーバーを持ってるってこと?
936:192.168.0.774
09/05/18 14:21:14 oyOEXJA00
>>931
微妙にスレチだが・・・
file "/dev/null"; でOK
937:192.168.0.774
09/05/18 14:21:28 XTSMt63n0
>>922
なるほどねぇ。ありがとうございます。
938:192.168.0.774
09/05/18 14:23:58 k2CI1leb0
>>936
でも、zoneファイルで逆引きを定義しておかないとhosts書くのと
大差ない気がする。
939:192.168.0.774
09/05/18 14:26:12 hvJT/vJv0
こういう騒動がある度に覗くけど
お前らすげえな素人の俺にはさっぱりだ
940:192.168.0.774
09/05/18 14:28:17 oyOEXJA00
>>938
hosts も DNS も正引きは同じだからね。
DNS は、逆引きも設定できるけど。
IP アドレスで指定されたら、DNS やドメインによる制御は役に
たたないから、ルーティングとかF/Wで 95.129.144.0/23 への
アクセスを止めてしまった方が、現在のところは有効な気がする。
941:192.168.0.774
09/05/18 14:32:22 PjPI1FGb0
ただ、接続先IP変える位なら簡単に出来るだろうから、
どちらにしても、しばらく情報収集して無いと怖いね。
942:192.168.0.774
09/05/18 14:32:56 wU1qChfhP
一般に役に立たないレスは控えた方がいいじゃないか
DNSサーバーで対策なんて普通ありえんw
943:192.168.0.774
09/05/18 14:33:37 abbvkkL50
今日初めてhostsを知った情弱の俺でも、hostsをいじる事ができた。
これはPC詳しくない人間にはやりやすい対策かもしれないね。
944:192.168.0.774
09/05/18 14:36:14 k2CI1leb0
>>942
逆に、ヤバ気なところを片っ端から登録したDNSを立てて、
それを使ってもらうというのもありかもしれん。
って、たぶんgnome氏が「身内」に提供してるのがまさに
そういうもんなんだろうな。
945:192.168.0.774
09/05/18 14:37:31 j9Y4xggD0
>>943
XPは簡単にできるけれどVistaはアクセス権がらみで手軽に書き換えられないよ
946:192.168.0.774
09/05/18 14:39:03 t3VCyTRM0
hosts煽ったのなんて広告ブロック以来だ
947:192.168.0.774
09/05/18 14:39:27 PjPI1FGb0
>>944
それ、身内ならいいだろうけど、怖くて使う気になれないと思うんだがw
誘導され放題w
948:192.168.0.774
09/05/18 14:40:01 oMiyEi290
Vista使いだけど、普段は一般ユーザーで使ってるから、ウイルスやワームにやられても
システム書き換えられないようにしてる
hostsファイル書き換えるときは、「メモ帳」を管理者権限で起動して、hostsファイル開いて書き換える
949:192.168.0.774
09/05/18 14:41:07 xKiO8GiH0
>>948
なる程!
ちょっとやってみる!
950:192.168.0.774
09/05/18 14:41:29 oMiyEi290
>>944
インターネット上で匿名のだれかがそんなサービス提供してたら、
逆にYahooやGoogleアクセスしたらウイルス感染サイトのIPアドレスに誘導されるかもわからん
951:192.168.0.774
09/05/18 14:44:33 k2CI1leb0
>>945
こんなんでどうだろう。
Vistaでhostsを編集する方法
スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック
「管理者として実行」を選択
「ファイル」メニュー→「開く」
ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更
C:\Windows\System32\drivers\etc\hosts
を開く
以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
952:192.168.0.774
09/05/18 14:46:04 k2CI1leb0
>>947
確かにそうだなw
そのDNSがやられたら一蓮托生だし。
953:192.168.0.774
09/05/18 14:46:49 j9Y4xggD0
>>951
良いテンプレGJ
954:192.168.0.774
09/05/18 14:50:12 j9Y4xggD0
>>948
加えてバッファ オーバーフロー対策にどうですか
XPSP2以上用の解説ですがVistaも同様です
URLリンク(support.microsoft.com)
(通常で不安定なPCにはおすすめでないですが)
955:不安な初心者
09/05/18 14:50:14 duvNIOfD0
皆さんに質問。テンプレセキュリティサイトの焼却炉の数字をPG2に登録したんですけど
焼却炉の数字を数字を登録するでGENO対策になってますよね?
956:192.168.0.774
09/05/18 14:53:50 ua7Ctj4Z0
p://park17■wakwak■com/~kitagawadaisuke/
感染を確認。HP管理者の連絡先不明のため、サーバー管理者に連絡済み。
957:192.168.0.774
09/05/18 14:57:07 eM8L/6820
85.214.90.254 これどうするかなぁ・・独り言
めんどくさいから全焼きしとくか
85.214.16.0 - 85.214.139.255
85.214.0.0/16
958:192.168.0.774
09/05/18 14:59:08 dRkGHa1G0
>>955
リストとしてきちんと登録されていれば現状は対策になっていると思うよ
959:192.168.0.774
09/05/18 14:59:34 ImVScTUk0
XP SP3遣いっす。
不安なんで教えてください。
C:\WINDOWS\system32\drivers\etcにあるhostファイルの最後に
#090518 zlkon, GENO malware
127.0.0.1 zlkon.lv
127.0.0.1 gumblar.cn
127.0.0.1 gumlar.cn
127.0.0.1 martuz.cn
127.0.0.1 findyourbigwhy.cn
127.0.0.1 bigtopsuper.cn
を追加しときました。
これでhostsファイルはおっけーですか?
960:192.168.0.774
09/05/18 15:02:13 8q4bxpc+0
>>951
ありがとう!
昨日半年ぶりくらいにログインしたmixiにGENOの事書いたら
腐の方達からすごい質問攻め
「自分もよく解らないのでまとめwiki見たほうがいいですよ」と返信したら
二人程から
「なら書くな!」
と
泣いていい?
961:192.168.0.774
09/05/18 15:02:24 BZ5+cjSr0
>>454
それ英語版ファイルだから無問題ってことで俺の中では脳内変換されてる。
962:192.168.0.774
09/05/18 15:04:56 BZ5+cjSr0
>>469
俺のVista機だと
日本語50727バイト
英語46133バイト
963:192.168.0.774
09/05/18 15:05:24 k2CI1leb0
>>960
なんかよくわからんが、存分に泣くがいい。
964:192.168.0.774
09/05/18 15:05:43 gw0F+TVl0
>>960
www
965:192.168.0.774
09/05/18 15:07:07 xKJ07MeN0
>>960
怖いのう怖いのう
966:192.168.0.774
09/05/18 15:08:01 wU1qChfhP
>>960の人気に嫉妬
967:192.168.0.774
09/05/18 15:08:46 t3VCyTRM0
>>960
一緒に泣いてやるよ
968:192.168.0.774
09/05/18 15:09:50 oMiyEi290
>>954
普段は一般ユーザーで利用、DEPは全アプリでオン、IE8は保護モード動作、と一通りやってますよ
969:192.168.0.774
09/05/18 15:10:14 8q4bxpc+0
>>963-967
みんな ありがとう
本当に優しいな
俺、検証も人柱もできないけど、これだけは言いたい
mixiに書いちゃだめ
970:192.168.0.774
09/05/18 15:10:37 ImVScTUk0
○
ノ|)
_| ̄|○ <し
↑
>>960
971:192.168.0.774
09/05/18 15:11:42 qG7NJCuDO
おー ウイルスリンク集続々と集まってるね
俺も帰ったらサブPCで怪しいとこ特攻するわ
同人は東方とボーカロイドが特に危ないんだよな?
972:192.168.0.774
09/05/18 15:15:35 v0TdaQEv0
今までセキュリティはソフトにおまかせだけだったので、先人の皆さんに感謝です。
>>2の1.から4.までは比較的楽にできました。
「5.危険IPのブロック」はレスを参考に以下のようにやってみました。
hostsに3つのドメインを127.0.0.1で入れ、さらにIPでもはじくようにと思い、
ググってリンクたどって一番分かりやすかったのが・・・
「Kaspersky Internet Security 2009 通信を遮断するアドレスを範囲指定する方法」
自分がカスペ最近使い始めたのもあるんですが、これを見ながら
94.229.64.0/20(zlkon.lvに割り当てられていた範囲)と
95.129.144.0/23(martuz.cnとgumblar.cnに割り当てられていた範囲)を
カスペにFW設定してみました。
findyourbigwhy.cnとbigtopsuper.cnはカスペでドメイン名のFW遮断設定だけしましたが、
IP範囲ではどういう設定すべきか、>>957さん同様考え中です。
973:192.168.0.774
09/05/18 15:18:40 ihTs5Cw90
>>969
誰だったらそういう奴らに広めてやるわ
やらないけど
974:192.168.0.774
09/05/18 15:19:28 9Pl8YtKN0
>>969
謎の文字列はまだかね?
975:192.168.0.774
09/05/18 15:20:58 j9Y4xggD0
>>968
あぁDNSサーバー使いの人だったのですか
レスを読み返すと対策はかなり完璧じゃないですか
976:192.168.0.774
09/05/18 15:22:25 LQfReDty0
同人サイトって、同人誌出してるような絵描きのサイトのことなのか?
977:192.168.0.774
09/05/18 15:26:15 oyOEXJA00
>>957
allow 85.214.0.0/20
deny 85.214.0.0/16
ってポリシーでどう?
978:192.168.0.774
09/05/18 15:27:31 AGzlLrAA0
>>5
カスペでも検知できるって聞いたんだけどavastの方がいいの?
979:192.168.0.774
09/05/18 15:27:45 jXgQJsa10
デルのPC XPで感染してしまったようです。
再インストールしたかったのですが、セットアップ途中で反応無し
デルのサポートセンターの答えは、HD故障の疑いで現在検査中
1時間くらい掛かるということでしたが、5時間半経過でまだ56%
感染&HD故障がたまたま重なったと言うことなのでしょうか?
980:192.168.0.774
09/05/18 15:27:48 gw0F+TVl0
通称「GENOウイルス」・同人サイト向け対策まとめ
URLリンク(www31.atwiki.jp)
にある
ウイルスバスター2009(ver.17.1.1251)のファイアウォール設定
ですが
URLリンク(esupport.trendmicro.co.jp)
の注意書きにある
注意:
例外ルール設定に、トロイの木馬が使用するプロトコルとポート番号を設定した場合については
トロイの木馬アタックを防ぐことができません。
例外ルール設定の追加に関しましては、お客様の自己責任でおこなっていただきますよう
お願いいたします。
のとおりトロイの木馬は防げませんってサポートが言ってました
981:192.168.0.774
09/05/18 15:27:50 oyOEXJA00
>>977 の訂正
allow 85.214.0.0/20
allow 85.214.240.0/20
deny 85.214.0.0/16
982:192.168.0.774
09/05/18 15:34:43 k2CI1leb0
さっきから最新?のGenoを飼ってるんだけど、>>401あたりからの情報通り、
普通にオペレーションできてしまう。
qlsodbc.chm以外にわかりやすい判定方法がないぞ、これ。
しばらく動かしたままにしてるんだけど、サイズは1,323バイトのまま変化せず。
中身はASCIIテキストで謎の文字列。
サイズが変わったとかハッシュがどうこうではなく、chmファイルをダブルクリック
して開けなければ感染してる。
別のVMで他のサイトから感染させてみて、文字列が変わるかどうか調べてみるか。
983:192.168.0.774
09/05/18 15:41:11 +lw3mpsu0
FTPしないとサイズ変わらないのかな。
どこかの anonymous サーバにテストFTPしてみるとかどうだろう?
984:192.168.0.774
09/05/18 15:45:21 j9Y4xggD0
>>980
トロイの木馬が使用するプロトコルとポート番号を(例外ルールで通信の許可)設定した場合は防げないってことでは?
ファイル共有などで誤って、トロイの木馬ポートを許可設定した場合だと思うけれどどうだろう
985:192.168.0.774
09/05/18 15:50:31 8GKrEP5/O
ちょwwwwwww手ぶろ感染ってまじ?wwwwwww
986:192.168.0.774
09/05/18 15:50:51 ua7Ctj4Z0
p://pmpk■dojin■com 感染報告のメールに対し、対応完了の返答あり。完了してるかの確認まではやってない。
987:192.168.0.774
09/05/18 15:51:00 BEaSjZsm0
genoに感染、再起動後にregeditを起動しようとしてもエクスプローラー再起動みたくなって
起動できないけど
regedit.exeをa.exeのような適当な名前に変えて実行すると正常に起動できる
その後、ファイル名を元のregedit.exeに戻しても普通に起動できるようになった
988:192.168.0.774
09/05/18 15:52:34 k2CI1leb0
>>983
それはやってる。別のVMのftpサーバにアクセスしたけど、変わらない。
sniffingツール等の有無を確認して動作を停止してしまうのかもしれない。
あるいはデバイスを見てVMで実行していることを検知して動作を停止して
いるのかも。
妙に軽く動くのは、このウィルス本来の動作を行っていないからという
可能性がある。
とりあえずすっぴんのVMで試してみて、駄目ならネットブックでも
使ってみようかと。
989:192.168.0.774
09/05/18 15:53:34 o7Ns7JFwP
>>969
mixiこわい
990:192.168.0.774
09/05/18 15:55:49 BEaSjZsm0
>>986
パンプキン日記内のgenoスクリプト消し忘れているようだ
991:192.168.0.774
09/05/18 15:57:52 k2CI1leb0
>>987
それは実機?
992:192.168.0.774
09/05/18 15:59:16 gw0F+TVl0
>>984
俺も処理を「許可」にした場合はってことだと思うんだけど
サポートの不慣れな姉さんはトロイの木馬は防げませんの一点張りw
じゃあなんのための設定なのかとwww
993:192.168.0.774
09/05/18 16:00:05 BEaSjZsm0
>>991
仮想
994:192.168.0.774
09/05/18 16:00:30 wU1qChfhP
>>988
>デバイスを見てVMで実行していることを検知して
さらりと怖いこと言うね
995:192.168.0.774
09/05/18 16:04:13 k2CI1leb0
>>993
そっか。ってことは別種なのかな。こっちはregeditもExplorerもcmd.exeも
普通に動く。
>>994
実際、ラボでの検証をすり抜けるために、VM特有のデバドラをチェックする
ウィルスがあるらしいからねぇ。
996:192.168.0.774
09/05/18 16:07:25 r4h+PdSAO
手ブロが感染とは、どこのスレがソースですか
997:192.168.0.774
09/05/18 16:07:37 BZ5+cjSr0
この件で何の役にも立たない俺だけど、次スレ立ててくるわ
998:192.168.0.774
09/05/18 16:08:27 Re7/n4dW0
>>996
情弱の同人板では問題ないと判断されてた
999:192.168.0.774
09/05/18 16:08:42 j9Y4xggD0
>>992
萌え萌えなお姉さんだ・・・
1000:192.168.0.774
09/05/18 16:09:05 rNK1DQEo0
>>996
VIP
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。