09/07/23 22:21:53 BgO9MD6O0
>>495
どういう問題が起こってるか理解できないなら閉鎖すべき
501:192.168.0.774
09/08/17 14:57:37 hbGGuN4M0
既出かもしれんが
ちんこアプロダっていう同人誌うpしてるサイトがGENOウィルスに感染してることが判明した。
たまに見てた奴とかは気をつけろよ。
しばらくはアクセスしない方がいい。
502:192.168.0.774
09/08/17 21:10:39 zz5TreCn0
今更だけど、横浜市役所もやられてたのね。
ゾンビPCが市役所の中に残ってないといいんだけど・・・
URLリンク(safebrowsing.clients.google.com)
503:192.168.0.774
09/08/17 21:47:46 ZC/t7WDI0
>>501
今感染してるの?いままでと使われてる脆弱性は一緒?
それとも未知の脆弱性が使われてるの?
504:192.168.0.774
09/08/18 15:07:14 yHZM8N0b0
何気なくCCCクリーナーやってみたら
JS_GUMBLAR.ERKが検出された。ぐぐってもほとんど情報なし。
つか5月にGENOに感染してリカバリしたってのに。
その時はとにかくまとめwikiにある症状とドンピシャだったんだけど、
今回はなんか重いな、と時々CPUが100になってすぐ戻る。位の症状だった。
ノートン先生は検出せず。
やたらとトロイアタックが来てたのはそういうわけだったのか?
CCCのログ見ると検出された場所が
C:\Documents and Settings\○○○○\My Documents\katjusha\kakikomi.txt [JS_GUMBLAR.ERK]
なんでこんなとこが感染??(↑[ ]内は検出されたウィルス)
505:192.168.0.774
09/08/18 15:16:58 0i2srOIl0
>>504
それウイルスじゃなくてJavaScriptの文字列がどっかに残ってて反応するんじゃなかったか?
つか名前の先頭にJSって付いてるしな
506:192.168.0.774
09/08/18 16:42:27 l+rBKTqS0
>>504
CCCクリーナーについてkwsk
507:192.168.0.774
09/08/18 16:51:32 RLJ3E0Kh0
>>506
URLリンク(www.ccc.go.jp)
508:192.168.0.774
09/08/18 20:18:26 dL5Wim8Q0
>>504
おまえ過去にGENO関連スクリプトをどっかのスレに貼りやがっただろ
509:192.168.0.774
09/08/18 20:19:09 dL5Wim8Q0
日本語でおkだった
510:504
09/08/19 11:38:59 DbCeAkRW0
>>508
そんなことしてないよ~
GENOでリカバリして以来、かちゅ~しゃ入れたものの
ほとんど起動してなかったし書き込みも1、2回程度。
しかもそれも既女板だし。
ログ見てみたけど該当するJSから始まるウィルス名はなし。
だからkakikomi.txtから検出されたのが???なわけ。
511:192.168.0.774
09/08/19 16:00:06 8YMbZHjT0
514 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/08/19(水) 15:49:34
とあるブログにウイルスバスターのフィッシングレベルを高にすれば
GENOウイルス系をほぼ100%防げるってあったけどウイルスバスターって意外と凄いと思った
512:192.168.0.774
09/08/20 05:00:33 kk6VBHkM0
URLリンク(safebrowsing.clients.google.com)
> Google が最後にこのサイトを巡回したのは2009-08-19で、
> このサイトで不審なコンテンツが最後に検出されたのは2009-08-19です。
国立情報学研究所はちゃんとGENOの駆除を済ませたんだろうか?
513:192.168.0.774
09/08/20 11:02:09 0pZFhpsy0
変なものは入ってなく見えるけどなあ
そこの子サイトよく使うんで、会社のPCもうちのPCも一応チェックしとくか
514:192.168.0.774
09/08/20 13:01:02 kk6VBHkM0
「nii.ac.jp」から絞り込んでみた。
URLリンク(safebrowsing.clients.google.com)
> このサイトで過去 90 日間に Google がテストした 1030 ページのうち
> 3 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、
> インストールされていたことが判明しました。
感染歴があるのは「wwwsoc.nii.ac.jp」だけかな?
515:192.168.0.774
09/08/20 14:00:22 RCyIYJ870
>>514
そのアドレスだと下位を各学会が使ってたりするからなあ
516:192.168.0.774
09/08/22 09:37:06 jhIYmbtr0
>>504
ウェブ改ざんウイルス「JS_GUMBLAR.ERK」が初登場2位 - トレンド週間ランキング
URLリンク(www.security-next.com)
で、バスターのパターンファイル追加の該当リスト(2009/8/9)
URLリンク(matcha139.hiemalis.org)
バスターのパターンファイルへJS_GUMBLAR.ERKが追加されたのが2009/8/9っぽいから、
単に今まで検出できなかったのが、今になってやっと検出できるようになっただけの希ガス
517:192.168.0.774
09/08/22 12:33:21 B5xgqliz0
1ヶ月ぶりにGENOの感染確認してみたら
sqlsodbc.chmのボリュームが2,894,207 バイトになってた・・・
これ感染してるんだよね・・・やべえ・・・
518:192.168.0.774
09/08/22 12:52:46 rMzmO16b0
いまさら感染?
ブラウザの種類とかブラウザの設定とかウイルス対策ソフトとかどうしてたの?
519:192.168.0.774
09/08/22 22:10:42 jhIYmbtr0
>>517
sqlsodbc.chmは盗聴のログって話だから、それだけ肥大化しているってことは
かなり色々と盗られたんじゃないかって気がする。
とりあえず、ご愁傷様としか。再インストールしてパスワード全部変えた方が良いでしょうね。
どこのセキュリティソフトを使っていたかわかりませんけど、余裕があるなら
シマンテック等のオンラインスキャンをして、何に感染していたか確認しておくのも、
今後のためには良いかも。
520:192.168.0.774
09/08/22 23:34:12 B5xgqliz0
ごめんーーーー違ったファイルみてたわ・・・・
ちゃんと正常だった
今月の頭にウィルスバスターの使用期間が切れて後で買えばいいかって思ってて
今までセキュリティなしだったんだよね
・・・セキュリティソフトやっぱ買ったほうがいいね
521:192.168.0.774
09/08/22 23:59:52 jhIYmbtr0
>>520
や、正常だったようで、それは何より。
んでも、今使ってるのが期限切れしてるんなら、とりあえず適当な会社の体験版入れてセキュリティを維持するか、
もしくはフリーのでも良いから何か入れておいた方が良いよ。 体験版でも、1ヶ月は市販品と同じ最新状態維持できるし。
※ ただ、KINGとかZEROは避けた方が無難。フリーより検出率悪いから、それら入れるくらいならフリー使った方が良い。
あと、個人的には、最近バスターはパターンファイルの作成遅れが多くなってきたんで、これも避けた方が良いかも。
(>516みたいな話ね。ウチの会社バスター使ってるんで、ちょっと頑張って欲しいところではある。)
522:192.168.0.774
09/08/27 16:01:29 wRk6Vuyp0
avast か AVG か...
avast使ってるけどどうもこのごろ心配だなあ
あとファイアウォールもいるけど
COMODO ,Outpost, Online Armor, PC Toolsがあるけど
PC Toolsがわかりやすいらしいというのを見た記憶がある。
COMODOは強力だが使いづらい。
523:192.168.0.774
09/09/20 14:33:09 urdUUYmlO
PC初心者です、教えてください。
どうやら感染していたようなのですが、
どういった被害がありますか?
保存していたファイル等が流出してしまったりするのでしょうか?
524:192.168.0.774
09/09/20 18:21:10 qQSKk28C0
>>523
URLリンク(www31.atwiki.jp)
525:192.168.0.774
09/10/05 20:40:47 THEkkja60
wakatta
526:192.168.0.774
09/10/18 23:16:07 YIA/Ffw80
再始動した模様なのでage
URLリンク(blog.scansafe.com)
感染したまま放置されてたサイトや、
対策が不十分だったサイトを見たら、さっそく変なスクリプト発見・・・
527:192.168.0.774
09/10/18 23:49:21 3V7/xmbJ0
なんと
528:192.168.0.774
09/10/19 11:24:25 hqU1jDcR0
セキュ板より転載
366 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2009/10/19(月) 10:55:17
再襲来したGENOウイルスについて報告してるブログみつけた。
URLリンク(blogs.yahoo.co.jp)
URLリンク(blogs.yahoo.co.jp)
URLリンク(blogs.yahoo.co.jp)
zlkon/gumblar/martuzは単一ホストでウイルスを撒いてたけど、
今度のスクリプトだと陥落した別サイトで撒いてるから、
従来のチェッカーじゃ判別できないな。
529:192.168.0.774
09/10/19 21:56:32 SXUexp960
うへー怖いな・・・
530:192.168.0.774
09/10/19 22:53:05 t5PH3W/d0
これは流行りそうだな
まさに、gumblar comes back!
531:192.168.0.774
09/10/21 04:07:51 BsxJ0MOv0
Google SafeBrowsingで、適当にmartuzスクリプト放置サイトを
拾ってみたら・・・・
martuzスクリプトの直後に
NewGumblarのスクリプト(<script src=~.php ></script>)が追加されてた。
こりゃ同一犯なんだろうねえ・・・・
532:192.168.0.774
09/10/22 13:40:42 9iMdmyQM0
Genoウイルス(Gumblar)検出状況
URLリンク(slashdot.jp)
このphpファイルは見に行くたびに変わりますが、
カスペルスキーさんはまるで「おれにまかせろ」状態。かっこいい。
533:192.168.0.774
09/10/22 15:45:05 WyqDsNKh0
スレリンク(win板:140番)
Windowsが起動できない、(マウスは動くが画面真っ暗でwindowsが起動しない)
ってトラブルが出てて、自動更新失敗によるレジストリ破損と見られてるけど、
実はGENOなのか?
スレリンク(sec板:251番)
534:192.168.0.774
09/10/22 17:00:27 9iMdmyQM0
レジストリのdriverのなんたらとか
sqlなんたらchmのハッシュ調べればわかるんでね
535:192.168.0.774
09/10/23 22:55:35 epXZwyKF0
>>533
これじゃね?
黒い画面にマウスカーソル (Win32/Daonol)
URLリンク(blogs.technet.com)
再起動後に、黒い画面 (またはログオンスクリーンの色) に、マウスカーソルのみが表示されてしまう・・・
536:192.168.0.774
09/10/24 02:39:17 5GUKVqGx0
【セキュリティ】「GENO」に酷似したウイルスが流行の兆し、国内60サイトで感染確認(09/10/23)
スレリンク(pcnews板)
GENOウイルスに類似したあらたな攻撃が発生
スレリンク(news板)
537:192.168.0.774
09/10/25 00:04:06 h/d9Job30
今回のGENOも感染してるか否かの確認方法は前回と同じでいいのか?
538:192.168.0.774
09/10/25 11:40:55 onz9X9EW0
いいんでね?
539:192.168.0.774
09/10/25 17:57:44 N2xTSqMh0
>>535
知人PCも22日にこれになってセーフモードもなにも利かないんで
しかたないから再セットアップしたぜw
アンチウイルス入れて無いノーガードPCだった
540:192.168.0.774
09/10/25 20:20:23 FaKoDDbI0
>>539
乙です。色々サイト見たけど、この状態からの復旧は相当難しそうですね。
結構Gumblar(GENO)に感染していて潜伏状態だったPC、多いのかな?
Freeのセキュリティソフト、選択肢増えてるんだから何か入れれば良いのにねぇ。(苦笑
MSEあたりなら、ノーガード派にも受け入れやすいんだろうか...
541:192.168.0.774
09/10/26 06:16:57 bOuJ+ruU0
俺の友人のXPも真っ黒黒助だ
avast入ってたのに
ろくに更新もしてないんだとは思うけど
なんかlsass.exeエラーは出てるけど真っ黒でカーソル動くだけ
再セットアップしてさらにスキャンしてあげました
542:192.168.0.774
09/10/26 18:51:38 iUCf4CzS0
今回も携帯からサイト見る分は大丈夫なのかな?
543:192.168.0.774
09/10/27 08:26:45 +mI19/Pp0
問題無いが、パケ代には注意
544:192.168.0.774
09/10/27 20:26:11 gldzFeMo0
AVGで自動アップデートできないのもGENOの症状でしょうか?
545:192.168.0.774
09/10/27 23:45:38 Tnfh4hrr0
違うだろ
AVGスレでどうぞ
546:192.168.0.774
09/10/28 20:56:21 ALDKpRa40
>544
AVGで自動アップデートできないのはGENOの感染した症状の一部です。
genoは進化していますよ。
**のアップデートでは対応できません。
547:192.168.0.774
09/10/28 21:02:46 ALDKpRa40
AVG 9は、カリカリ・ソフトです。
新型GENOにもまだ未対応です。
URLリンク(www.virustotal.com)
548:192.168.0.774
09/10/29 01:16:39 vNcQ1fvq0
しばらlく落ち着いてたと思ってたのに
549:192.168.0.774
09/11/05 02:56:10 6KQsgcnM0
Gumblar再々起動
550:192.168.0.774
09/11/05 03:07:53 Z0Xlitm00
551:192.168.0.774
09/11/27 21:39:07 +ILGL8bh0
ニフティのウィルスチェックしようとすると
カスペアドオンのインストール画面でブラウザが固まるんだが…
552:192.168.0.774
09/12/01 14:10:18 kHQYcET/0
GENOウイルススレ ★23
スレリンク(sec板)
553:192.168.0.774
09/12/10 14:31:03 IsDGsV3gO
Flashのアップデート公開されたな
>552
変な荒らしが住み着いてるぞ、なんだこれ
554:192.168.0.774
09/12/10 14:34:02 Bn4hH/xd0
はいはい
555:192.168.0.774
09/12/18 15:15:12 zuzqPmN80
うちのも黒い画面になるけど数回つけるとつく
ただ壷が使えなくなった
556:192.168.0.774
09/12/25 22:23:34 QN6U8Z750
こいつはwindows7でも感染報告あるの?
557:192.168.0.774
09/12/26 07:26:34 xFVMWyO/0
あったね
558:192.168.0.774
09/12/27 17:06:12 mjUeSJohO
ken@mx6.ttcn.ne.jp
559:192.168.0.774
10/01/07 16:51:36 2C5Kv5XL0
スレリンク(sec板:405番)
今北さん用、GENO(Gumblar)ウイルス対処法。
行っておくべき事項を箇条書きにしました。
細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2)Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。
Acrobat JavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
560:192.168.0.774
10/01/11 23:49:13 WnL+xizZ0
windows7って対処方法ないんだよなわろす
561:192.168.0.774
10/05/01 17:49:02 lXIq/NWf0
そもそも感染しないから対処する必要はないしね
感染報告はガセだし