GENOウイルススレat SEC
GENOウイルススレ - 暇つぶし2ch163:名無しさん@お腹いっぱい。
09/04/09 00:09:06
>>158
よかった!ありがとう!
でも不思議なことにantivirが定期的にバックドアーを検出するんだよ
これとはまた別の何かかもしれないが

164:名無しさん@お腹いっぱい。
09/04/09 00:11:14
>>163
俺はavastだけどなんか攻撃うけてますっていうメッセージが右下から出てくる

165:名無しさん@お腹いっぱい。
09/04/09 00:12:37
>>159への害はPC激重、キーロガーでこれから打つキー情報抜かれるかもetc.。
でも最インスコすれば失った時間と消すことになるデータ以外は解決

ほっといた場合>>159のパソコン経由で悪さされるかも

166:名無しさん@お腹いっぱい。
09/04/09 00:12:40
c:\windows\system32\sqlsodbc.chm
のsqlsodbc.chmが見つからない!

osはXP sp3 何かソフトいれないとだめなの?
 

167:名無しさん@お腹いっぱい。
09/04/09 00:12:56
>>159
リカバリは当然したほうがいいでそ。
実際何送信してるのかは未確定なのかな。

>>160
ファイル名うpればみんなの助けになるかも

168:名無しさん@お腹いっぱい。
09/04/09 00:15:19
>>159
このスレの最初からレスを追って貰えば判ると思うけど、
食らった際に実際にどんなデータが盗み出されたりするかとか、
その辺の詳細まではまだ残念ながらわかってないよ。

あくまで一般論でいえばWindowsのプロダクトキーだとか
Windowsインスコ時に入れた利用者名とか、
なんかのID/パスワードとか
レジストリ内に記録/保存されているデータだったりする事が往々にしてあるって感じ。

それに、クリーンインストールやリカバリをしないと
キーロガータイプのウィルスが常駐し続けて、
コピペしようとした内容とかサイト等でフォームに入力したデータ等が
逐一クラッカーの元に送り届けられてしまう事も考えられる。

とにかく、最終的にはクリーンインストールかリカバリしないと駄目です。絶対に。

169:名無しさん@お腹いっぱい。
09/04/09 00:15:40
>165
再インスコ前に、
専ブラのログ、各種アプリ設定ファイル、エロ画像
諸々バックアップしときたいんだけど、
それにもウィルスくっ付いてくる可能性はある?

170:名無しさん@お腹いっぱい。
09/04/09 00:15:46
俺のsqlsodbcは更新が2002年8月31日、21:00:00だぜ
ところでTCPMonitorでdpupdchk.exeがラトビアに接続しているように見えたので終了したけど
誰か同じ人いる?

171:162
09/04/09 00:19:10
sqlsodbc.chmは
サイズ 1,323バイト
ディスク上のサイズが 4,096バイト

172:名無しさん@お腹いっぱい。
09/04/09 00:20:38
>>171
作成日時と更新日時は?
>>152さんと一緒?

173:名無しさん@お腹いっぱい。
09/04/09 00:21:11
>>167
今のところだいぶ前に落としたり自分で作ったファイルなどが最近アクセスされた扱いになってる
今のところ更新はされていないようだけどこの先はどうなるかわからない

174:名無しさん@お腹いっぱい。
09/04/09 00:21:34
>>157
作成日時 2006年3月2日、21:00:00
更新日時 2006年3月2日、21:00:00

ハッシュ:F639AFDE02547603A3D3930EE4BF8C12

175:名無しさん@お腹いっぱい。
09/04/09 00:22:34
>>148
イサキを思い出す。


人柱になった人、感染後に Symantec で Trojan.KillAV を検出してる人いない?
俺の会社で数台のPCが「IEが落ちまくる」「OEが落ちまくる」という症状がちょっと前から出てて
ようやく4/7付けの定義ファイルで Trojan.KillAV を検出してくれたんよ。
それまではまったく検出なし。

他の症状としてはコマンドプロンプト・レジストリエディタを起動するとExplorerが死ぬっていうのもあった。
ログオン後にExplorerが起動せずデスクトップが真っ青のまま(Explorerを起動するとアイコンとタスクバー登場)という
ものもあった。

sqlsodbc.chmはまだ調べてないけど問題の出たWindows機はまだフォーマットかけてないので
明日調べてみるよ。

176:名無しさん@お腹いっぱい。
09/04/09 00:23:00
有名な店だから決行感染してるんじゃないか
感染にすら気づいてない奴がほとんどだと思う

177:名無しさん@お腹いっぱい。
09/04/09 00:25:27
>>169
各種アプリ設定以外は気にせずバックアップしていいと思う。
各種アプリ設定は気をつけたほうがいい

このウィルスについては完全に不明だけどUSB挿すだけで
USBに感染するやつがあるからバックアップのとり方には細心の注意を

ありきたりの事しかいえなくてすまないね

178:名無しさん@お腹いっぱい。
09/04/09 00:26:42
流れをまとめるとこんな感じであってるだろうか
URLリンク(www29.atwiki.jp)

179:名無しさん@お腹いっぱい。
09/04/09 00:27:27
>>175
間違いなく感染してるよそれw
数回実験したけどまったく同じ症状でた。
断言する、絶対GENOウイルスに感染してるw

180:名無しさん@お腹いっぱい。
09/04/09 00:27:38
ちょ、パピーヌとクレストロンジャパンはまだサイト閉じてないのかw

181:144
09/04/09 00:27:54
>175
今履歴見てみたら、
BAT.trojanってのがあった。
ノートン先生が遮断してくれたみたいで、
tempフォルダから見つかってる。


182:名無しさん@お腹いっぱい。
09/04/09 00:28:50
>>179
デスヨネーw

sqlsodbcは時間が無くて調べてないんだ。
献体PCはもうしばらく取っておくから、「こことかこれ調べてみてくれ」ってのあったら
調べてみるお

183:156=174
09/04/09 00:28:51
ちなみにIE8でXPのSP3です
news/?id=2に行ったけどPDFは起動しませんでした

184:名無しさん@お腹いっぱい。
09/04/09 00:30:31
>>174
改変されてないみたいですね

185:名無しさん@お腹いっぱい。
09/04/09 00:30:36
会社の数台のPCが感染してるってのは奇妙だな
まさか全てのPCがGENOやjuicyrock開いたわけでもないだろうし

186:名無しさん@お腹いっぱい。
09/04/09 00:30:47
スレリンク(pc板:39番)

39 :名無しさん :sage :2009/04/09(木) 00:14:21 0

前スレの958です。

combofixで検疫したファイルをVirustotalでスキャンしてみた。

ファイル名 _ycmmf_.cjq.zip 受理 2009.04.08 17:04:29 (CET)
現在の状態: 読込み中 ... 順番待ち 待機中 スキャン中 完了 発見せず 停止
結果: 7/40 (17.5%)

検知できたのは以下の7つのウィルス対策ソフトだけでした。

AntiVir TR/Agent.caaj.B
Avast Win32:Trojan-gen {Other}
eTrust-Vet Win32/SillyDl.HDU
GData Win32:Trojan-gen {Other}
McAfee-GW-Edition Trojan.Agent.caaj.B
NOD32 variant of Win32/Delf.OEX
Prevx1 High Risk Cloaked Malware

AVGもカスペルスキーもダメでした。

187:名無しさん@お腹いっぱい。
09/04/09 00:31:39
そうそう、それと感染中っつか発症中のコンピュータで
C:\WINDOWS\ 直下や C:\Documents and Settings\username\Local Settings\ 直下に
ファイルが生成され、先生はそれを Trojan.KillAV として検出してた。

で、さっさと検疫に移動させるんだけど次から次へと同じファイルが生成されて
検出リストがエラいことにwww
作成ユーザーが、ログオンユーザー以外に SYSTEM とか NETWORK SERVICE とかもいてフイタw
もう俺の手には負えないって素直に負けを認めたwwwww

188:名無しさん@お腹いっぱい。
09/04/09 00:31:46
>>175
ちょっとまえっていつごろから?
やはり先週土曜辺り?

それより前からの情報は出てきてないよね

189:名無しさん@お腹いっぱい。
09/04/09 00:33:00
>>186
カスペが駄目なのか


190:名無しさん@お腹いっぱい。
09/04/09 00:33:36
>>184
そうか!ありがとう!
俺は運が良かったのかな

191:名無しさん@お腹いっぱい。
09/04/09 00:33:51
******まとめ*******
感染確認方法
・sqlsodbc.chmのハッシュを調べて
F639AFDE02547603A3D3930EE4BF8C12
と異なる値が出た場合感染してる可能性あり

・以下のサイト(有名な駆除ツール)にアクセスできなければ危険
(鯖落ちじゃない限り、ほぼ感染してると見て問題ないと思う)
URLリンク(download.bleepingcomputer.com)

・パソコン再起動後、regedit.exeを起動しようとすると
explorerが落ちる場合、確実に感染してます。

・ブラウジングがまともにできない

駆除方法
完全な駆除方法は今のところない。(断定するのは現段階では危険)
セーフモードで、ComboFixを実行すればある程度よくなるかもしれない程度。
以上の問題が解決していればある程度よくなってるかも。

192:名無しさん@お腹いっぱい。
09/04/09 00:34:02
>>185
どこのサイトとは言えないけれど、ヤられたサイトを開いた覚えがある、っていう証言はあるんだわ。

で、ちょっと疑問なのが、問題が発生し始めたのが3月末っていうこと。
GENOウイルスが騒がれ始めたのは4月に入ってからだし、
もしかすると会社の数台のPCは今回のGENOウイルスとは関係ないのかも試練。

とりあえずログは漁ってみるけどねー

193:名無しさん@お腹いっぱい。
09/04/09 00:34:35
>>188
>>192で書いたけど、3月末からなんだわ

194:名無しさん@お腹いっぱい。
09/04/09 00:36:33
>>190
いや、でもそれはあくまで一つの目安であって
どういう挙動をするかまだはっきりしてないから安心はしないで。。

195:名無しさん@お腹いっぱい。
09/04/09 00:37:08
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★10
スレリンク(news板:527番)

527 名前: ジョウシュウアズマギク(新潟県)[sage] 投稿日:2009/04/09(木) 00:31:39.93 ID:35GKJh/C
avastはさっきの更新で駆除まで出来るみたいだけど、
亜種に対してどうなのかは不明
誰か踏んでみてくれ 俺は嫌だ


avastで駆除できんの?

196:名無しさん@お腹いっぱい。
09/04/09 00:37:11
>>191
regedit 以外に、cmd も同様の症状でないかな?

regedit.exe をコピーして違う名前(aaaaaaaa.exeとか)にすると起動できるんよね。
コピー ~ regedit.exe では explorer が落ちるわ。

197:名無しさん@お腹いっぱい。
09/04/09 00:37:19
>>187
それ、セーフモードやUbuntuCDでも削除できなかったけど
Bart'sPEというソフトで作成した起動CDで,C:\Windows直下からは削除出来たよ。

でその後はC:\RECYCLERフォルダ内へ名前を変えて移動してるので、そいつも削除したら
取りあえず何とかなるかも・・・

198:名無しさん@お腹いっぱい。
09/04/09 00:38:39
あ、ここID出ないのか。
>>175 = >>182 = >>187 = >>192 = >>193 = >>196 っす。
スマソ

199:名無しさん@お腹いっぱい。
09/04/09 00:39:53
>>193
THX
どっからもらったかはっきりしないのはgkbrだね。
もしかしたらまだ絶賛垂れ流し中の可能性もあるし、
そういうサイトが無数に出てきたらヤバス

200:名無しさん@お腹いっぱい。
09/04/09 00:40:10
>>197

Bart'sPEか。調べてみて時間が取れればチャレンジしてみるよ。
まあどのみち感染PCはフォーマットかけて再インスココースなんだけどね。
消す前に調べられる(&試せる)ことはやっておきたいなー。

201:名無しさん@お腹いっぱい。
09/04/09 00:41:25
>>199
幸い、各コンピュータの操作ログは取ってあるので、
ファイル生成ログを追っかければ多少は追求出来るかも。
ただ生成されたファイル名がわからんので手探り状態だけどね。

202:名無しさん@お腹いっぱい。
09/04/09 00:41:43
昨日半年ぶりくらいに以前使ってたパソコンを起動してどこのサイトも開く前に
Windowsアップデードしようとしたら失敗して再起動しようとしてら起動出来なくなったんだけど
このウイルスのせいなのかな。こんなことってありえるの?

203:名無しさん@お腹いっぱい。
09/04/09 00:42:28
ウイルスバスター2009は駄目駄目。
VPC上でA-SQUARED FREEで検知かかるのにバスター君は最新でも完全にスルー

気になったので、脱線してちょっと古めの検体を用意。
(BiosEdit内にトロイの木馬とバックドア付)、A-SQUARED FREEは検知するがバスター君またもやスルー

トレンドよ、最近TVCMやって拡販してるが大丈夫か?

204:名無しさん@お腹いっぱい。
09/04/09 00:43:36
>>202
情報が足らんのでGENOウイルスのせいとは言えんが、
そういうことは割とあり得る。
物理的な故障の気配を感じるけどな。

205:名無しさん@お腹いっぱい。
09/04/09 00:43:44
>>192
海外では3月28日の報告があるみたいだ。
思ったより早く攻撃が始まっていたのかも。

URLリンク(www.dynamicdrive.com)

206:名無しさん@お腹いっぱい。
09/04/09 00:44:39
A-SQUARED FREEは誤検地も多いけど、ちゃんと検地してくれるのは救いだね。
名称は良く出てたやつでいいのかな

207:名無しさん@お腹いっぱい。
09/04/09 00:44:46
>>205
3/28て割とビンゴなんですがw

208:名無しさん@お腹いっぱい。
09/04/09 00:46:28
>>205
途中送信してしもた。
3/28は割とビンゴ。

3/30から症状が出たっつーのと、3/27・・・だったかな、から症状が出てたっつーのがある。

209:名無しさん@お腹いっぱい。
09/04/09 00:50:27
>>185
おまいちゃんの会社のPC、PROXYかませてないの?

もしSquid等でPROXY立てて噛ませているのなら
当該PC利用者のログインID等を元にSquidのログを追えば
きっと感染源が特定出来ると思うよ。

古いログを上書きして消される前にとっとと調べたほうがいいかも。

万一取引先の会社の鯖が感染してるとか、最悪自社のイントラ鯖が感染していたら
洒落にならないよ。社内的に。

210:名無しさん@お腹いっぱい。
09/04/09 00:51:09
10日近くたって未だに検知スルーと挙動不明ってのはキビシイな。
そんな対応遅れた記憶ないわ

211:名無しさん@お腹いっぱい。
09/04/09 00:52:10
>>191
>以下のサイト(有名な駆除ツール)にアクセスできなければ危険

あの、そこに入ろうとしたら入れてあったウイルス探知ソフトがブロックしてしまったのですけど
それも危険なのでしょうか?

212:名無しさん@お腹いっぱい。
09/04/09 00:52:43
>>209
マルチ乙www

213:名無しさん@お腹いっぱい。
09/04/09 00:54:02
>>212
てへっ♪

一杯呑んでほろ酔いだからアレだなw

214:名無しさん@お腹いっぱい。
09/04/09 00:54:18
>>212
マルチじゃなくて誤爆だろw

215:名無しさん@お腹いっぱい。
09/04/09 00:55:38
>>209
Proxyないんだぜwww
基本内部から外部へは全パケット通すんだぜwwwwww
以前Proxy提案したことあるけど、「インターネットが遅くなる(と利用者から苦情が来る)からダメ」って言われたんだぜwwwwwwww

うちみたいなユルユルの会社、他にあるんだろうか。

216:名無しさん@お腹いっぱい。
09/04/09 00:55:38
>>214
誤爆先がアレ過ぎて笑えないんだけどなw

217:名無しさん@お腹いっぱい。
09/04/09 00:55:40
>>192
このウイルスは今年一月から活動してる
べつに不思議なことじゃない

218:名無しさん@お腹いっぱい。
09/04/09 00:56:01
>>194
立った今データ実行防止でexploerが落っこちた・・・これは

219:名無しさん@お腹いっぱい。
09/04/09 00:56:24
>>215
もしかして、あの有名な荒らし新聞社の方ですか?w

220:名無しさん@お腹いっぱい。
09/04/09 00:56:27
誤爆にレスした俺(´・ω・`)

221:名無しさん@お腹いっぱい。
09/04/09 00:56:57
ちなみにこんなことされてます
URLリンク(ranobe.com)
COMODOとaviraは無反応でした

222:名無しさん@お腹いっぱい。
09/04/09 00:57:09
>>217

じゃー一般人(?)が引っかかりやすい環境が整ったのが最近ってことかな。

223:名無しさん@お腹いっぱい。
09/04/09 00:57:20
>>191
そのURL、「危険」と出てアクセスできないが・・・。(ウイルスバスター2009で)


224:名無しさん@お腹いっぱい。
09/04/09 00:57:42
>>219
マスゴミなんかと一緒にしないでくれw

225:名無しさん@お腹いっぱい。
09/04/09 01:00:02
>>218
><

226:名無しさん@お腹いっぱい。
09/04/09 01:00:11
>>以下のサイト(有名な駆除ツール)にアクセスできなければ危険
ウイルス対策ソフトがブロックした場合は問題なし、
一部のソフトで検出しちゃうから>ComboFix

227:名無しさん@お腹いっぱい。
09/04/09 01:01:37
bxatg.mnn(tempに落とされるやつ)
はexeファイルだな。
こいつが親玉でFAかな

228:名無しさん@お腹いっぱい。
09/04/09 01:01:48
>221

inetnum: 114.160.0.0 - 114.191.255.255
netname: OCN
descr: NTT Communications Corporation

229:名無しさん@お腹いっぱい。
09/04/09 01:02:28
>>227
ほう
ファイル生成ログでそのファイル名探してみるわ

230:名無しさん@お腹いっぱい。
09/04/09 01:02:32
>218

バッファーオーバーフロー

231:名無しさん@お腹いっぱい。
09/04/09 01:04:05
>>191
取り消されたアクションてなるってことは…orz

232:名無しさん@お腹いっぱい。
09/04/09 01:07:20
>>231
感染してる可能性ありありw
一応sqlsodbc.chmのハッシュ、regedit.exeも試してみてくれない?

233:名無しさん@お腹いっぱい。
09/04/09 01:08:13
>>231
ご愁傷様です。

234:名無しさん@お腹いっぱい。
09/04/09 01:08:59
サイト見ただけでウイルス感染とかありえるの?
マルウェアとかスパイウェアならともかく
exe開かなきゃ大丈夫じゃないの

235:名無しさん@お腹いっぱい。
09/04/09 01:11:07
>>234
あり得るも何も、みんなそのせいでこーして大騒ぎしてるんでしょうがw


236:名無しさん@お腹いっぱい。
09/04/09 01:11:19
>>234釣られてやるよ
>>1読んで理解できないならググるなりしてパソコンの知識付けな

237:名無しさん@お腹いっぱい。
09/04/09 01:11:35
だから・・・

238:名無しさん@お腹いっぱい。
09/04/09 01:13:06
>>191
アバストで感染なしと言われたあとそこにアクセスしたら、「零」さまが反応して隔離しましたよ・・・


ちなみにビスタで最新バージョンです。

239:名無しさん@お腹いっぱい。
09/04/09 01:14:00
>>234
568 名前: カキツバタ(兵庫県)[] 投稿日:2009/04/09(木) 00:48:06.52 ID:vdIiBaJc
あるサイトに行っただけでウイルス感染とか信じてる
情報弱者ってまだいたんだびっくり
exe開かない限りそんなのねーから

240:名無しさん@お腹いっぱい。
09/04/09 01:14:10
ゼロが反応とかギャグだな

241:名無しさん@お腹いっぱい。
09/04/09 01:14:18
みなさんはJavaスクリプトは通常は切っておいて必要な時だけオンにしてるんですか?

242:名無しさん@お腹いっぱい。
09/04/09 01:14:25
238
ちなみにそれトロ屋さんだって言われましたw

243:名無しさん@お腹いっぱい。
09/04/09 01:16:18
ていうかこのスレ読んでるのにまだゼロ使ってるのかよ

244:名無しさん@お腹いっぱい。
09/04/09 01:20:21
NoScriptでjsも読み込んでないし、そもそもgenoとか踏んでないし、怪しいIPは除外してるんだが
CドライブとDドライブでパーティション切ってて
DにもXP入れたんだけど認証しわすれて起動できないからデータ用にしてるのよ
でもシステムファイルとか残ってるんだが、Dはフォーマットしたほうがいいのかな
スレチな感じだけどみんな詳しそうだから質問させてください

245:名無しさん@お腹いっぱい。
09/04/09 01:21:19
>>241
うちはPCの台数を物理的に増やして、2chや普通にWeb閲覧する奴を専用化して、
そのPCには個人情報からなにから一切要れずに
万一ウィルスを食らってもとっとと再インスコすれば良いだけの状況で使ってる。
その代わりJavascriptは常にオン。

で、銀行だとかネット通販で買う場合はそれ専用の別のPCを使うんだけど、
今回みたいに通販サイトでこーいう事態も起きたから、ちょっと運用を見直さないと駄目だと思ってる。

246:名無しさん@お腹いっぱい。
09/04/09 01:21:43
>241

つSleipnir

247:名無しさん@お腹いっぱい。
09/04/09 01:22:02
>>232
regedit.exe 起動できる
sqlsodbc.chmのハッシュの見方がわからないけどサイズは49.5KB(50,727バイト)
今気づいたけどCPUの使用率が100パーセント近い…

248:名無しさん@お腹いっぱい。
09/04/09 01:22:19
>>239
さすがν速、真の情弱はν速にいるんだな

249:名無しさん@お腹いっぱい。
09/04/09 01:24:11
>>247
MD5はこのソフトで確認すると楽
URLリンク(www.vector.co.jp)

installくりっくすれば右クリックから調べられる

250:名無しさん@お腹いっぱい。
09/04/09 01:27:22
>>249
これは便利で楽だな

251:名無しさん@お腹いっぱい。
09/04/09 01:28:13
不安な人のために言っておくけど
画像とか動画とかテキストファイルとかバックアップとっても
コード埋め込みとかはしないからバックアップはとってリカバリーすること

252:名無しさん@お腹いっぱい。
09/04/09 01:28:44
URLリンク(www.forest.impress.co.jp)
こっちもおすすめ

253:名無しさん@お腹いっぱい。
09/04/09 01:29:09
そもそもsqlsodbc.chmが全ローカルディスクに検索かけても見つからなかった
システムも全て表示させているのに

254:名無しさん@お腹いっぱい。
09/04/09 01:32:37
>251
感染経路ははっきりしてるのか
とりあえずバックアップ取って再インスコしてみる

255:名無しさん@お腹いっぱい。
09/04/09 01:32:53
>>249
ありがとう。こうなった。
f639afde02547603a3d3930ee4bf8c12

256:名無しさん@お腹いっぱい。
09/04/09 01:33:51
>>255
djb

257:名無しさん@お腹いっぱい。
09/04/09 01:34:44
>>244
DでOS起動しなけりゃ無問題。だと思う

258:名無しさん@お腹いっぱい。
09/04/09 01:34:54
>>255
>>191
>F639AFDE02547603A3D3930EE4BF8C12

おkおk

259:名無しさん@お腹いっぱい。
09/04/09 01:35:19
>>255
セーフ。

260:名無しさん@お腹いっぱい。
09/04/09 01:36:10
>>256
d 駄目
j じゃん
b バカ

かな?

261:名無しさん@お腹いっぱい。
09/04/09 01:36:41
---まとめ2---
感染経路は>>1

感染確認方法は>>191
「sqlsodbc.chm」はsystem32にある。
MD5の確認方法は>>249
ComboFixのダウンロードリンクは場合によってはアンチウイルスに引っかかるが
これは問題なし。危険な人は"取り消されたアクション"になるか、"ページが真っ白"

駆除方法は現状なしと思ったほうが安全、つまりリカバリー
ただ>>162のようなケースも

とにかく
・感染したらリカバリー
・感染確認は>>191でMD5のとり方は>>249のソフトで右クリックから

262:名無しさん@お腹いっぱい。
09/04/09 01:37:30
>246
プニルって、
JSについて何か有利な点あるの?


263:261
09/04/09 01:39:52
補足、
sqlsodbc.chmの探し方
スタート→検索→ファイルとフォルダすべて→ファイル名の一部の所に
sqlsodbc.chmと入れる→探す場所を"参照..."にしてマイコンピューターから
Windows、System32を選択
これで探してみる

264:名無しさん@お腹いっぱい。
09/04/09 01:48:16
リカバリしたくないし、変な動きは無いしとりあえずアンチウイルスで駆除出来るまで放置しよう

265:名無しさん@お腹いっぱい。
09/04/09 01:50:44
>>252
これ凄いね。

一昨日見慣れないエラーが出たりプニルがフリーズしたんだよね…
次の日PC起動したらブルースクリーン。
ネットに繋いだらZAがjquery.jsをブロック。
>191のサイトが表示されない。
CPU使用率が高い。これ怪しいよなぁ…
低価格PCスレかグーグルの検索結果から感染したかもしれない

266:名無しさん@お腹いっぱい。
09/04/09 01:55:24
>>241
undonut+modで通常はJavaScriptは切っておいて
信頼できるサイトだけ「URL別セキュリティ」ONにしてる。
でも今回みたいなことだと、どうしようもない罠。

267:名無しさん@お腹いっぱい。
09/04/09 01:56:46
>>265
>>191って実行ファイルがダウンロードできるか出来ないか,じゃないの?

268:名無しさん@お腹いっぱい。
09/04/09 01:57:28
>>265
hashTabで調子にのって各種ハッシュを無駄にわんさか算出するようにして使うと
ちょっと大きなファイルの算出を行う際にとんでもなく重くなって時間が掛かるのがアレだけど、
使い勝手は良いよ。お勧め。

ちなみにZAで遮断されたところで、それなりにjsを読み込んでいる筈で、
恐らくオンタイムでウィルスが動作しちゃってる筈だから
CPU使用率が高い時点で既に食らった物と見て覚悟を決めた方がいいと思うよ。

269:名無しさん@お腹いっぱい。
09/04/09 02:00:44
>>267
最近のマルウェアは自身を駆除されないために有用な駆除ツールのダウンロードをブロックする
このGENOウイルスもそうするようで
サーバーの混雑とかじゃないのにダウンロード出来ない人(ページが表示されない人)はヤバいかもね


270:名無しさん@お腹いっぱい。
09/04/09 02:12:17
432 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/04/09(木) 01:55:40
俺もGENOウィルスに感染したが、とりあえず元凶のウィルス本体は削除できたので報告。

まずa-squaredで検査。C:\Windows直下に変な名前のファイル(gluogug.gyd)が出来てる。
これがTROJAN-SPY.AGENT!IKと警告される。これは削除しても何遍でも復活する。
セーフモードやUbuntu起動CDから削除を試みたがそれでもダメ。

某スレで報告のあった、BART'sPEというソフトで起動CDを作成しCDから起動。
ファイルマネージャでC:\Windows内のウィルス本体ファイルを削除する。(その際フリーズするかも)
暫くしてそのまま再起動。今度はC:\RECYCLER内に先ほどのウィルス本体がリネームされて移動してるので
再度削除する。

これで、取りあえずGENOウィルス感染中に起きた異常は収まった。
(※WindowsUpdate不能、Regedit.exe使用不能、ブラウザの頻繁な異常終了、スタートアップ登録アプリの不起動等)

俺は比較的軽い症状だったので、あまり参考にならないかも試練が・・・


271:名無しさん@お腹いっぱい。
09/04/09 02:14:51
いいか、みんな

        (゚д゚ )
        (| y |)


GENOと再度(cide)では単なる文字列だが

     GENO ( ゚д゚) cide
       \/| y |\/


2つ合わされば最強のウイルスサイトへと変化する

 ( ゚д゚) Genocide(ジェノサイド=大量虐殺、集団殺戮)
 (\/\/

272:名無しさん@お腹いっぱい。
09/04/09 02:15:34
>>268
覚悟は決めたけど再インストールは避けたいな…

プニルを起動してるときはプニルのCPU使用率が100パーセント近かった。
プニルを終了したらMsMpEng.exeが動き出してCPU使用率50~80パーセントくらい。
…今↑を書いたらMsMpEng.exeの動きが止まった。怖えー
変わりにSystem Idle Processの使用率が100パーセントになった。
なんだこれ?

273:名無しさん@お腹いっぱい。
09/04/09 02:16:50
これからビクビクしてずっと過ごすのは辛いよ

274:名無しさん@お腹いっぱい。
09/04/09 02:17:30
>System Idle Processの使用率が100パーセント
これ正常

275:名無しさん@お腹いっぱい。
09/04/09 02:18:10
System Idle Processってそんなもんだよね

276:名無しさん@お腹いっぱい。
09/04/09 02:18:59
>>274
そうなんだw
たしかにCPU使用率はMsMpEng.exeが止まってから正常化してる。

277:名無しさん@お腹いっぱい。
09/04/09 02:19:45
>>270
こんなダルいことやるなら>>162やるだろ
逆アセンブラして調べたり
動的解析で調べた上での駆除出来た宣言ならまだいいがそうじゃないだろうな

278:名無しさん@お腹いっぱい。
09/04/09 02:19:53
>272

それはマイクロソフト謹製のウィルスみたいなスパイウェア対策ツール

そんな物既に捨てたよ

279:名無しさん@お腹いっぱい。
09/04/09 02:26:59
サイト上のjsが読み込まれた時点でAdobe Readerが起動、
バッファオーバーフローの脆弱性を狙ってpdfファイル内に埋め込まれたスクリプトが実行される。
(Readerの設定でスクリプトの実行を切っていれば被害を受けない。)
ここまでは最新版のAdobe Readerでも同じっぽい。

Readerが最新版でなければこの段階でクリーンインストール推奨。
最新版の場合、被害があるのかないのかってのがよくわからない。
致命的なことにはならないと思うんだけど。

280:名無しさん@お腹いっぱい。
09/04/09 02:27:42
>>277
今このスレに足りないのはプログラマだと思う。。。

ウィルスのEXEファイルを逆アセンブルしてソースを解読すれば
少なくてもEXEファイルで何をやってるのかまでは掌握出来るんだし。

281:名無しさん@お腹いっぱい。
09/04/09 02:28:11
しかしID出ないセキュ板は使いにくいな
誰が誰やらわからんから安価誤爆も出てるし
情報の集約はID出る板の方がいいんじゃないか?

282:名無しさん@お腹いっぱい。
09/04/09 02:28:16
>>278
危険度がまだ分類されてない~のオプションをオンにすればいいんだよ
ソフトウェアエクスプローラもあるし最悪の事態は回避できる

283: ◆W07s5cWHb.
09/04/09 02:31:30
>>281
ホントはそうなんだよね。ID欲しい。
ぶっちゃけ、トリップ付けてレスつければ良い話って事でもあるんだけどさ。

284:名無しさん@お腹いっぱい。
09/04/09 02:33:49
>>281
自作板に関連スレが立ってたはず

285:名無しさん@お腹いっぱい。
09/04/09 02:33:53
>>277

>>270の元カキ子したの俺だけど、確かに>>162の方がスマートだよね。
しかし、書き忘れてたが俺の場合、感染中はウィルスに邪魔されてComboFixをダウンロードすることもできなかった。
で、ウィルス本体を削除したあと、今しがたComboFixを落として念のためチェックしてみたところ。

286:名無しさん@お腹いっぱい。
09/04/09 03:07:52
対策のまとめまだ~

287:名無しさん@お腹いっぱい。
09/04/09 03:13:02
ウイルスがどの程度の繁殖力があるのか判らんから怖いなぁ。
マルチブートでパーティションが10くらい有るけど感染したところだけ
バックアップイメージから復元してしてとりあえず様子見orz
ディスクのどこかに潜むたちの悪いタイプじゃなければ良いんだが。

288:名無しさん@お腹いっぱい。
09/04/09 04:04:28
AVソフトの対応した早さってわかる?

一番速かったところのAVソフト使いたいんだけど

289:名無しさん@お腹いっぱい。
09/04/09 04:09:13
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
スレリンク(jisaku板)l50


290: ◆W07s5cWHb.
09/04/09 04:12:13
>>288
私の記憶が正しければ対応一番乗りはマカフィーだったような。。。

291:名無しさん@お腹いっぱい。
09/04/09 04:44:18
>>223
同じく
こっちは2008だけど

292:名無しさん@お腹いっぱい。
09/04/09 05:05:52
通販サイト「GENO」の改ざん、広告掲載サイトにも影響
URLリンク(www.security-next.com)

通信販売サイト「GENO」が不正アクセスにより改ざんされた問題で、
同社広告を表示したメディアなどに影響が出ている。
アイティメディアでは、一部サイトにおいて4月1日より広告を掲載していたが、広告のリンク先が改ざんされ、
閲覧者にFlashやAdobe Readerにおける既知の脆弱性を攻撃するウイルスに感染するおそれがあったことから、
4月6日13時に広告掲載を停止したという。
最新版のウイルス対策ソフトなどを利用している場合、検知される可能性が高いが、
アイティメディアでは問題の期間に広告を閲覧したユーザーに対し、
ウイルス感染の有無を確認するよう呼びかけている。

アイティメディア
URLリンク(corp.itmedia.co.jp)
GENO
URLリンク(www.geno.co.jp)

293:名無しさん@お腹いっぱい。
09/04/09 05:07:00
自分はXP SP3で、4/7朝にGENOに行ったんだが現在まで感染の兆候が無い。
なんか気持ち悪いなあ、と思っていたんだが、VB2009のログを見て判った。

FWが動作してないのは昨日確認してたんだが、なんと、「フィッシング詐欺対策」で
94.247.2.195への接続を蹴りまくってくれてた。なんでも、「Web上の脅威」なんだと。

こうした、回避例もあった方が良いかと思って報告。

294:名無しさん@お腹いっぱい。
09/04/09 05:07:42
広告主とのなんという差www

295:名無しさん@お腹いっぱい。
09/04/09 05:20:54
jquery.js検出 4/5 0:00頃

●a-squared     4.0.0.101
 2009.04.03 Trojan-Spy.Agent!IK
●Avast       4.8.1335.0
 2009.04.03 Win32:Daonol-L
●eSafe       7.0.17.0
 2009.04.02 Suspicious File
●GData       19
 2009.04.03 Win32:KillAV-KS
●Ikarus    T3.1.1.49.0
 2009.04.03 Trojan-Spy.Agent
●Kaspersky     7.0.0.125
 2009.04.03 Backdoor.Win32.Agent.afhg
●McAfee+Artemis 5573
 2009.04.03 Generic!Artemis
●Prevx1      V2
 2009.04.03 High Risk Cloaked Malware
●Sophos 4.40.0
 2009.04.03 Mal/Generic-A
●TrendMicro 8.700.0.1004
 2009.04.03 PAK_Generic.001

296:名無しさん@お腹いっぱい。
09/04/09 05:22:18
*.exe検出 4/7 0:00頃

●McAfee 5576
 2009.04.06 Generic Dropper.ef(GmL.exe La.exe)
●McAfee+Artemis 5576
 2009.04.06 Generic Dropper.ef(GmL.exe)
●eSafe 7.0.17.0
 2009.04.06 Suspicious File(La.exe)
●Prevx1 V2
 2009.04.06 High Risk Cloaked Malware(GmL.exe La.exe)
●Symantec 1.4.4.12
 2009.04.06 Trojan.Dropper(GmL.exe La.exe)
●TrendMicro 8.700.0.1004
 2009.04.06 PAK_Generic.001(GmL.exe La.exe)

297:名無しさん@お腹いっぱい。
09/04/09 05:24:51
これもうリカバリするしかないですか?

298:名無しさん@お腹いっぱい。
09/04/09 05:25:13
>>295-296
乙です。

299:名無しさん@お腹いっぱい。
09/04/09 05:26:54
※TrendMicroは圧縮ファイル指摘で検出ではない

300:名無しさん@お腹いっぱい。
09/04/09 05:31:41
>>293
今フィッシング詐欺対策のログ見てきたら
4/7昼に94.247.2.195蹴ってくれてた
バスター見直した

301:名無しさん@お腹いっぱい。
09/04/09 05:45:52
>>297
サーバーのウィルス感染や個人情報の流失はございません。
旧プログラムを消去するためお客様側の対処といたしましてはwebブラウザのキャッシュのリセット頂く事をお願い致します。

URLリンク(www.geno.co.jp)
URLリンク(www.geno.co.jp)

302:名無しさん@お腹いっぱい。
09/04/09 06:39:45
Bart'PEでウィルスを削除⇒正常なファイルに置き換え⇒常駐プログラムの削除
(レジストリのハイブを読み込んで修正)でどうにかナンねェか、これ?

303:名無しさん@お腹いっぱい。
09/04/09 06:44:42
感染中はSP+メーカーの統合が動かない(CMD.exeの動作不良に起因)ので、他パーティションのVista起動して
そっちでSP統合済みDVDを作ってからXP入れなおししたよ。

304:名無しさん@お腹いっぱい。
09/04/09 06:47:36
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。


GENOウイルス被害者の会
URLリンク(yy701.60.kg)

305:名無しさん@お腹いっぱい。
09/04/09 06:54:17
素性のわからんやつの作った板には行きにくい
管理者はhusianasanでもしてくれ

306:名無しさん@お腹いっぱい。
09/04/09 06:55:08
確かに迂闊に踏めないから困るw

307:名無しさん@お腹いっぱい。
09/04/09 06:59:33
取り敢えず役立ちそうなものをまとめてUP。
URLリンク(www1.axfc.net)
Size/40.4MB
MD5/813785CE59E7026893BFF5726193104B

 内容/
 ・Adobe Reader ver.9.1(要更新)
 ・Adobe Flash Player ver.10.0.22.87 for FireFox(要更新/FireFoxのみ)
 ・HashTab Windows Shell Extension ver.2.3(ハッシュ確認)
 ・MD5 Checker ver.1.03b(ハッシュ確認)
 ・Combofix(マルウェア削除 USEフォルダ内に使用方法あり、使用は要注意)
 ・激動たる俺RegEdit改 ver.1.2.0.0(レジストリエディタ regeditが起動しないユーザ用)


あと、感染環境下だとcmdが動かないみたいだけどcommandは起動できる?

308:名無しさん@お腹いっぱい。
09/04/09 07:02:31
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。


GENOウイルス被害者の会
URLリンク(yy701.60.kg)

309:名無しさん@お腹いっぱい。
09/04/09 07:03:55
>>308
危なくて踏めねーよ

310:husianasan
09/04/09 07:08:56
GENOウイルス被害者の会は釣りじゃないです

311:名無しさん@お腹いっぱい。
09/04/09 07:10:35
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。


GENOウイルス被害者の会
URLリンク(yy701.60.kg)

312:名無しさん@お腹いっぱい。
09/04/09 07:12:12
ミスッタorz

GENOウイルス被害者の会は釣りではありません
安全なので安心してください。



被害者が多ければ集団訴訟なんかできないかと思っています。
かなり難しい戦いになると思いますが。

メールや電話でGENOに報告された方おられましたらご連絡ください。

313:名無しさん@お腹いっぱい。
09/04/09 07:13:37
なんか怪しいURLだなw Noscript対応FireFoxで見てみたけど、もうちょっと
スレの内容を反映させて「使える」コンテンツにしてくれよ。あれじゃどうしようもない。

314:名無しさん@お腹いっぱい。
09/04/09 07:13:46
            /)
           ///)
          /,.=゙''"/
   /     i f ,.r='"-‐'つ____   キャッシュ削除すりゃぁいいんだよ!!
  /      /   _,.-‐'~/⌒  ⌒\
    /   ,i   ,二ニ⊃( ●). (●)\
   /    ノ    il゙フ::::::⌒(__人__)⌒::::: \
      ,イ「ト、  ,!,!|     |r┬-|     |
     / iトヾヽ_/ィ"\      `ー'´     /

315:名無しさん@お腹いっぱい。
09/04/09 07:17:58
フシアナサンできないorz

>>313
自分も感染しているので、スレと照らし合わせて
とりあえず経験上の確定要素のみ書き込んでいます。

色々書きたいのですが、間違っていたら
迷惑を掛けてしまうので、、、

316:名無しさん@お腹いっぱい。
09/04/09 07:19:30
感染してるPCから立てたんじゃないだろうな?w

317:名無しさん@お腹いっぱい。
09/04/09 07:20:28
XPSP3で全部最新だったが踏んだあとに
デフラグしてもCドライブが真っ赤な状態がおさまらなかった。
他に思い当たる原因がないんだよなぁ ウィルススキャンもデフラグも頻繁にしてるし
リカバリしたら直ったし



318:名無しさん@お腹いっぱい。
09/04/09 07:22:16
>>315
>>316

ftpでバシバシファイル送受信してwebサイト作ってくれw

319:名無しさん@お腹いっぱい。
09/04/09 07:23:50
>>316
感染してるPCはブラウザが死に掛けで使い物にならないので
未感染のノートPC使っています。

掲示板はレンタルサーバーの物でメルアド一つで作成できるタイプですので
ウイルス汚染の心配はありません。

320:名無しさん@お腹いっぱい。
09/04/09 07:24:00
>>317
スタートボタン⇒ファイル名を指定して実行 でcmdとかregeditは正常に動くの?

321:名無しさん@お腹いっぱい。
09/04/09 07:25:24
>>319
内容を充実させてくれ~

322:名無しさん@お腹いっぱい。
09/04/09 07:26:34
>>9
PCがおかしくなったんだけどどうやってなおせばいい?orz

323:名無しさん@お腹いっぱい。
09/04/09 07:26:52
>>319
5・6人集まったらmixiあたりでコミュニティでも作れば?
無料掲示板よかましだろ

324:名無しさん@お腹いっぱい。
09/04/09 07:29:05
>>322
そういう質問がでる時点でリカバリかと
必要なファイルのバックアップとってOSインスコし直しなさいな

325:名無しさん@お腹いっぱい。
09/04/09 07:38:52
>>323
多くの情報が欲しいのと、
荒らし、アンチ(社員)排除のために、自分で規制を発動できる
レンタル掲示板にしました。

326:名無しさん@お腹いっぱい。
09/04/09 07:40:39
>>322
   ___
  |___ミ⌒ヽペタン
    |  ⌒)ノ ペタン
 ._ノ )   ((
 | .・∀|  ( 嘘ヽ
 |__|  | ̄ ̄ ̄|
  /  > . |     |
""""""""""""""""""""

327:名無しさん@お腹いっぱい。
09/04/09 07:42:30
>>322
感染してから対策したって意味ないぞw

328:名無しさん@お腹いっぱい。
09/04/09 07:45:40
husianasan hじゃなくてfだぞ

329:名無しさん@お腹いっぱい。
09/04/09 07:49:04
こういうときマカはさびしいよな
ウィルスに縁がなす
祭りのみんながうらやましい

330:名無しさん@お腹いっぱい。
09/04/09 07:52:18
>>329
GENOでWin機買えば今ならセットです。

331:名無しさん@お腹いっぱい。
09/04/09 07:55:29
>>326
unable to launch application. please restart your computer try again. error code: ー2147023174

って出てネットにもつながらんw
携帯から打ってる。
再インスコするわ

332:名無しさん@お腹いっぱい。
09/04/09 08:03:58
>>330
なんかすごくお得そうで欲しくなる不思議さw

333:名無しさん@お腹いっぱい。
09/04/09 08:07:50
>>332
あなたもこの機会に如何ですか?
今なら、GENOウイルスもフルセットで付いてきます。

334:名無しさん@お腹いっぱい。
09/04/09 08:20:04
スタッフA
「Webサイトの改ざんによるウイルス感染など普通にパソコンを使用しているだけでも、
ウイルスに感染してしまうという事例が増えています」

スタッフB
「ウイルスの感染を未然に防ぐためにも、最新のセキュリティソフトを使用し、
ウイルス定義データベースを常に最新に保つことが、安全なPC使用の第一歩です」

スタッフC
「ただいま、通販ショップGENOでは、総合セキュリティソフト各種を好評取り扱い中!
PCパーツご購入の際にご一緒にいかがですか?」

URLリンク(www.geno.co.jp)

335:名無しさん@お腹いっぱい。
09/04/09 08:26:56
最近PCが重い!

├ 1.ウィルスを駆除する
│                              
│    [まちがい]                         
│      安上がりな方法ではありますが、対応していない場合もあるのが難点です。
│      それよりも別の手段を探してみませんか?
│      もっと確実な方法があるかも?
│              ↑
│          ココがポイント!

└ 2.GENOで新しいPCを買う

      [せいかい]

web通販ショップ GENO
URLリンク(www.geno.co.jp)


336:名無しさん@お腹いっぱい。
09/04/09 08:34:13
概要>>1,51
la.exeがsqlsodbc.chmを書換>>60
sqlsodbc.chm?>>47-49
chm脆弱性>>52,65
sqlsodbc.chmの確認>>84,144,159,168,181
ComboFixで駆除例>>162
まとめ>>191,261
メモリ上のプロセスが書換られる>>71-72,79
感染経路?海外での感染例>>80,82
役立ちファイルまとめ>>307
結論>>314







337:名無しさん@お腹いっぱい。
09/04/09 08:35:10
右クリックが使い物になりません。。。

ファイルやフォルダにカーソル当てて右クリックすると
確実にエクスプローラーが落ちます。

ノートン先生の起動もブロックされてるようだし
これは 死 亡 確 認 でよろしいでしょうかw

338:名無しさん@お腹いっぱい。
09/04/09 08:35:32
踏んでしまったようなのですが、
気になって最初にカスペルオンラインで調べたところ、
Trojan-Downloader.JS.Agent.dwfが検知されました。
ただ、インターネットの一時ファイルを削除したら検知されなくなりました。
AdobeReader/Flash共に最新版ですし、
sqlsodbc.chmのハッシュ値も>>84の通り。
挙動も問題なく再起動も可能です。

これって安心して良いのでしょうか?
最初にカスペルオンラインで検知されたのが気になるんですが…


339:名無しさん@お腹いっぱい。
09/04/09 08:37:53
安心したければ、クリーンインストールしかない

340:名無しさん@お腹いっぱい。
09/04/09 08:37:54
まだやってたのか

341:名無しさん@お腹いっぱい。
09/04/09 08:40:16
>>338
>>279

現段階では安心とは言えない

342:名無しさん@お腹いっぱい。
09/04/09 09:27:37
ハッシュが正規のものと完全一致してれば間違いなく感染してないってことでFA?

343:名無しさん@お腹いっぱい。
09/04/09 09:28:28
あくまで一つの確認法だとおもわれ

344:名無しさん@お腹いっぱい。
09/04/09 09:40:00
質問。
閲覧して感染した場合、PC内のデータその物も感染してヤバいですかね?
ROMに焼いて他に移すとかもダメ?

最悪データを全部廃棄の形でクリーンインストするしかないのかな…?

345:名無しさん@お腹いっぱい。
09/04/09 09:42:18
>>343
特に問題も起きてないようなんで、とりあえず安心しておくことにしますわ
ただ、ここからは目を離せないなぁ

346:名無しさん@お腹いっぱい。
09/04/09 09:46:05
>>336
La.exeの書き換えは違うぞ。
La.exeはGENOウイルスと独立したもの。
La.exe、GENOウイルスは同じウイルスだがsqlsodbc.chmを書き換えるのはTEMPに作成される
explore.exe、または○○○.exeだと思われ(多分La.exeもexplorer.exeだと思う)

347:名無しさん@お腹いっぱい。
09/04/09 09:48:12
そもそもsqlsodbc.chmがwindows直下に見当たらない自分はアウト?

348:名無しさん@お腹いっぱい。
09/04/09 09:49:01
>>347
system32直下では?

349:名無しさん@お腹いっぱい。
09/04/09 09:49:16
C:\WINDOWS\system32の下だよ

350:名無しさん@お腹いっぱい。
09/04/09 09:50:10
サンクス>>348-349
ちょっと確認しみてる

351:名無しさん@お腹いっぱい。
09/04/09 09:51:52
あった
f639afde02547603a3d3930ee4bf8c12
一応安心した

352:名無しさん@お腹いっぱい。
09/04/09 09:53:38
ちなみにAVGの有料版は対応してる

353:名無しさん@お腹いっぱい。
09/04/09 10:02:57
そんな手間掛けなくてもnrtstatコマンドで感染してるか簡単に調べられるだろ

354:名無しさん@お腹いっぱい。
09/04/09 10:04:07
>>353
それやっちゃだめ 地雷が発動するから

355:名無しさん@お腹いっぱい。
09/04/09 10:05:20
>>353
netstatな

356:名無しさん@お腹いっぱい。
09/04/09 10:06:01
ニュー速で同じことを書いてる人が

357:名無しさん@お腹いっぱい。
09/04/09 10:07:39
某掲示板でAMD64のCPUなら大丈夫と書かれてたのですが
本当ですか?

358:名無しさん@お腹いっぱい。
09/04/09 10:08:56
>>356
まあ同時進行みたいなもんだからね。
俺はニュー速アク禁になってるからこっちだけ書いてる。

359:名無しさん@お腹いっぱい。
09/04/09 10:16:40
>>344だが誰か分かる人いない?

360:名無しさん@お腹いっぱい。
09/04/09 10:19:17
>>357
おれX2 3800+で感染したよorz

361:名無しさん@お腹いっぱい。
09/04/09 10:19:45
>>359
モノによるだろうから、例をあげれば答えやすいと思う。
アプリなら全て入れなおした方がいい。

おれもあまり詳しくない、スマソ

362:名無しさん@お腹いっぱい。
09/04/09 10:19:59
なんか思っていたよりもタチの悪いウイルスっぽいな。
キャッシュ削除で解決とかアリエナス。
間違った対処法を掲載して感染拡大させてるGENOは本当に酷いな

363:名無しさん@お腹いっぱい。
09/04/09 10:20:39
crestronjapan.comで感染を試みる(未だ有害)
Flashのバージョン10.0.22.87
Adobe Readerなしの環境→感染せず

Flashのバージョン10.0.22.87
Adobe Reader7環境→感染

Flashのバージョン10.0.22.87
Adobe Reader9→感染せず

つまり最新のAdobe Reader9なら感染しない




364:名無しさん@お腹いっぱい。
09/04/09 10:21:23
>>360
ギャフン!

365:名無しさん@お腹いっぱい。
09/04/09 10:21:31
>>359
ROMに焼いたデータは他のPCでチェックしてから移せば良いじゃん。
チェックは、このスレや他のGENO関連スレで挙がってる複数のソフトでやった方がいいと思う。

366:名無しさん@お腹いっぱい。
09/04/09 10:22:44
>>359
感染したPCにUSBメモリを挿した瞬間USBメモリ自体に感染してしまう
可能性も無きにしも非ずなので、試して見ないとわかりませんが、
自分は他のPCまで感染させるわけにいかないので、試せません

367:名無しさん@お腹いっぱい。
09/04/09 10:24:54
>>359
このウイルスはPE型ウイルス、ファイル感染型ウイルスではないので
バックアップは問題なし、またAutoRun系の機能もないです。

368:359
09/04/09 10:29:32
うを!?色々と書き込みが(大汗
レスしてくれた人達、本当にありがとうね。感謝。

デジカメ画像なんだけどとりあえずROMに焼いて
数週間経ってからスキャンしてみるよ。
多分その頃には各ベンダーも対応してるかもしれないから。



369:名無しさん@お腹いっぱい。
09/04/09 10:30:42
ν速やその他のアホがいい加減な事いったりしてるから
それにだまされる初心者が沢山いそうだな

370:名無しさん@お腹いっぱい。
09/04/09 10:31:37
>>357
98002 4400X2 2台環境でリーダーが7フラッシュ最新で感染未遂
pdf開かれたけど再起は問題無し
早々バックアップから復元してんでそれ以外は不明

371:名無しさん@お腹いっぱい。
09/04/09 10:31:40
>>346
sorry

372:名無しさん@お腹いっぱい。
09/04/09 10:32:37
>>368
引き続きここも継続監視を

373:名無しさん@お腹いっぱい。
09/04/09 10:32:58
>>368
それが最善策だと思います

374:名無しさん@お腹いっぱい。
09/04/09 10:33:02
>>367
なるほど。安心しますた。
ありがとう~(T_T)

375:名無しさん@お腹いっぱい。
09/04/09 10:38:51
とりあえず、
naxos、GENO公式は現在無害。
crestronjapan.com は未だjquery.jsが存在。
Adobe Readerのバージョンが古いと感染する恐れ>>363

376:名無しさん@お腹いっぱい。
09/04/09 10:41:49
>>375
> crestronjapan.com は未だjquery.jsが存在。
放置するんかねw

377:名無しさん@お腹いっぱい。
09/04/09 10:44:09
ほぼわかってきたね
・ウイルスの動作
・ウイルスの親玉(まだちょっと?)
・ウイルスの被害
・駆除方法
・今後の対策
・感染していないか確認する方法

ウイルスの親玉らしきものは検体採取済みでセキュ板内の可否スレの
住民が各ベンダーに検体提出してるみたいだし

378:名無しさん@お腹いっぱい。
09/04/09 10:49:37
とにかく ,lv ドメインを
ルーターやファイヤーウォールなどで
イン・アウトバウンドともに弾くこと、発症したら何があるかわからん

379:名無しさん@お腹いっぱい。
09/04/09 10:51:57
ウイルス自体は結構厄介だけど感染経路は別によくあるパターンだろ
特にFlashの脆弱性含め、Adobe Collab overflowなんて珍しくもなんともない気がするんだけど
これだけ感染広まってるって事はそれだけセキュリティに無頓着なやつが多いんだろうな
このウイルスで初めてpdfでもウイルスに感染すること知ったやついるだろ

今は逆に仮想PCでネットするしかないとか言い始めてるやつも要るけど・・・

380:名無しさん@お腹いっぱい。
09/04/09 10:56:20
でっていう

381:名無しさん@お腹いっぱい。
09/04/09 10:58:01
>>379
常に正常なサイトだと思っていたサイトが書き換えられてたりする危険は
前からあったしな
セキュリティ系ニュースのスレで情弱が、
あやしいサイトみなけりゃいいじゃん的なレスを散々目にしたがw

382:名無しさん@お腹いっぱい。
09/04/09 10:59:11
サイトが乗っ取られるのが一番悪い

383:名無しさん@お腹いっぱい。
09/04/09 11:01:29
たいした情報じゃないけど
sqlsodbc.chm
は改変されるんじゃなくて上書きされる

384:名無しさん@お腹いっぱい。
09/04/09 11:04:36
PDFとFlashのエクスプロイトコードはアンチウイルスソフトで引っかかるの?

385:名無しさん@お腹いっぱい。
09/04/09 11:05:56
Readerのバージョンにふれてる人、マイナーバージョンまで書いてほしいな。
バージョン7、8に関しては脆弱性に対応するアップデート(7.1.1、8.1.4)があるはず。
バージョン9も最新の9.1.0でないとダメなわけだから。

386:名無しさん@お腹いっぱい。
09/04/09 11:08:46
会社の感染したPCで sqlsodbc.chm のMD5調べたら
F639AFDE02547603A3D3930EE4BF8C12
ではなかった\(^o^)/

さて感染日時と感染経路を調べてみますわ

387:名無しさん@お腹いっぱい。
09/04/09 11:09:38
>>385
古いadobeが7.0.0.0
最新のが9.1.0.163

388:名無しさん@お腹いっぱい。
09/04/09 11:10:11
結局、一般で被害受けてるのはみんなXPなん?

俺はPDFとFlashを未対策のままVista+先生で
短縮ふんじゃったけど、特に何もおかしな挙動は
起きてないんだが・・・・。

389:名無しさん@お腹いっぱい。
09/04/09 11:10:11
GIZMODE Japan (ギズモードジャパン)GIZMODE japan
URLリンク(gizmode.blog26.fc2.com)

GENOウイルス情報
4日~7日までの間にPCショップGENOを観覧された方は
ウイルス感染の可能性があります。

サイトを開くだけでウイルスに感染する凶悪なタイプで
現在、大騒ぎになっております。

心当たりのある方は GENOウイルス被害者の会
で、情報交換しておりますので是非ご覧ください。

390:名無しさん@お腹いっぱい。
09/04/09 11:11:51
>>384
検体を入手できてないからわからんが
URLリンク(wepawet.iseclab.org)
でpdfの解析結果は出てる

391:名無しさん@お腹いっぱい。
09/04/09 11:14:06
んで何、今GENOは何食わぬ顔で営業したりしてやがってくれちゃったりするわけ?


392:名無しさん@お腹いっぱい。
09/04/09 11:15:13
>>390
サンクス

そのMD5でVirusTotalあさってみた
今はもう少し増えていることを願いたい
URLリンク(www.virustotal.com)

393:名無しさん@お腹いっぱい。
09/04/09 11:16:32
>>391
アンチウイルスソフトがバカ売れでウハウハらしい

394:名無しさん@お腹いっぱい。
09/04/09 11:16:40
AMDのCPU使ってても32bit版で動かしてたらx86だろw
AMD64なら大丈夫ってのは64Bit版って事だろ

395:名無しさん@お腹いっぱい。
09/04/09 11:19:19
>>388
感染の可能性がある人
・Windows XP以下(SPでも)
・ブラウザで IE/Fx/Sf/Op/GC を使用
・Adobe Reader(Ver 9.1未満)
・Adobe Flash(Ver n.m以下)

感染の可能性が低い(または無い)人
・Windows Vista
・JavaScriptをオフにしている
・Adobe Reader未インストール
・Adobe Reader互換のPDF Readerだけインストールしてある
・スタンドアロン
・sqlsodbc.chmのmd5値が [f639afde02547603a3d3930ee4bf8c12] >101

詳細情報
>336

上記はほぼコピペ

ReaderやFlashの脆弱バージョンについては
ここのスレの奴がかなり詳しいだろうから頼んます

396:名無しさん@お腹いっぱい。
09/04/09 11:19:22
あ、394はOSの話ね
64Bitだから感染しないって理由も無い気がするが。

397:名無しさん@お腹いっぱい。
09/04/09 11:24:36
親玉らしきファイルが
bxatg.mnn
カスペによると無害だそうだ。
ますます迷宮入り?

398:名無しさん@お腹いっぱい。
09/04/09 11:25:22
vistaだけど、そもそもsqlsodbc.chmが無い

399:名無しさん@お腹いっぱい。
09/04/09 11:28:21
PCの操作ログたどっていったら %WINDIR%\~.exe が生成されてて C:\_.bat にリネームされてたわw
直前にAdobe Readerが起動してるんでPDFの脆弱性付かれたっぽい。


400:名無しさん@お腹いっぱい。
09/04/09 11:29:58
>>395
Vistaは可能性低そうだけど、確定的じゃないから
油断せずにマシンの動作とスレの情報に気をつけておくよ。

情報ありが㌧

401:名無しさん@お腹いっぱい。
09/04/09 11:31:03
>>399
(-ノ-)/Ωチーン
ガンガレ

402:名無しさん@お腹いっぱい。
09/04/09 11:34:46
>>54をみるとFlashPlayerのほうは9.0.124未満狙いのようだが
それ以降が安全とも限らんのか

403:名無しさん@お腹いっぱい。
09/04/09 11:38:52
a-squaredてアンチマルウェアの方?無印?

404:名無しさん@お腹いっぱい。
09/04/09 11:41:43
URLリンク(itpro.nikkeibp.co.jp)
これのたぐいか

405:名無しさん@お腹いっぱい。
09/04/09 11:44:46
ノートンとバスターは2月に既に対応してたのか。やるじゃん

406:名無しさん@お腹いっぱい。
09/04/09 11:52:52
うちのVistaではsqlsodbc.chmはc:\windows\help\mui\0411にあった

407:名無しさん@お腹いっぱい。
09/04/09 11:56:03
>>405
もし、今回のウィルスがこの記事の内容のモノなら、
少なくともノートンとバスター入れてる人は被害に
あってないのかな?


408:名無しさん@お腹いっぱい。
09/04/09 11:57:11
今はどんな状況?
GENO以外のサイトにも拡散してるとか聞いたけど

409:名無しさん@お腹いっぱい。
09/04/09 11:58:01
わしの超漢字は絶好調

410:名無しさん@お腹いっぱい。
09/04/09 11:58:16
>>381
そもそも怪しいサイトって判定も曖昧だよな
俺も常連で通ってて何ともなかったサイトが改変されてた
のを直に体験したことあるんで、『怪しいところは開かない』
という標語の中身のなさを実感した

411:名無しさん@お腹いっぱい。
09/04/09 11:59:47
>>406
俺の環境では0409(米語)にもある。
ま、SQL Serverのバージョンによってハッシュも違うし、判断基準として
使うのは難しいよな。

412: ◆W07s5cWHb.
09/04/09 12:05:38
>>407
うちはノートン先生を毎日最新定義ファイルで動かしてるけど、
当初はLa.exeも未対応で検出しなかったし、
そもそも感染状態のGenoサイトを踏んでもまったく反応しなかったよ。

結局、Acrobatの脆弱性を突いたウィルスが沢山あって、
今回のウィルスもその一つで、
元々どこのセキュリティソフトメーカーにも対処されていなかっただけって話だよ。

413: ◆W07s5cWHb.
09/04/09 12:08:48
補足だけど、ノートン先生は既に現行最新の定義ファイルに更新すれば
ちゃんと検知してくれて
Javascriptを改ざんされていてラトビアに飛ばされるサイトを踏んでも
感染を未然に防ぐ。
てか、これはノートン先生以外でも恐らく同程度の対処は既に行われている筈。

414:名無しさん@お腹いっぱい。
09/04/09 12:10:41
既にウイルス入られてる人は先生もカスペも無反応って言ってたけど
あれ改善されたのかな?

415:名無しさん@お腹いっぱい。
09/04/09 12:12:50
山田チェッカーみたいに、感染してるか否か検査できるツールがあれば便利なのにね

416:名無しさん@お腹いっぱい。
09/04/09 12:15:16
>>363
Adobe Reader 7のバージョンは7.10?

417:名無しさん@お腹いっぱい。
09/04/09 12:17:24
sqlsodbc.HLPとsqlsodbc.GIDはあるけど
sqlsodbc.chmのファイル自体がない。
GIDの更新日時が今日になってるのが気になるんだけど
まさか拡張子偽装まではしないよね?

418:名無しさん@お腹いっぱい。
09/04/09 12:22:02
パソコン一般の方に一人親玉らしき献体持ってる奴いたな
そいつのはVTで反応してたんだけど

419: ◆W07s5cWHb.
09/04/09 12:23:02
>>414
少なくてもPC上に保存されていたla.exeに関しては
ノートン先生はZIP内のものも、UPX圧縮を解除したものに関しても即効で検知して
ぶっとばしてくれた。

恐らく他のセキュリティソフトも同様だと思う。

ただ、あんたはなにもわかってないみたいだから一言言うけど
ウィルスを食らった後の場合はそもそもセキュリティソフトで検知して駆除したから安心なんて話じゃなくて
原理原則的に可及的速やかにクリーンインストールかリカバリしないと駄目だよ。絶対に。

420:名無しさん@お腹いっぱい。
09/04/09 12:27:37
jsファイルは大体各ベンダー対応してるみたいだし
今後感染心配してる奴はAVアップデートすればいいと思う
で問題が感染後にドロップするファイルでこのドロップするファイルの採取が難しくて
未だにAVは役立たずという状態

421:名無しさん@お腹いっぱい。
09/04/09 12:28:49
>>412-413

973 名前: オステオスペルマム(dion軍)[] 投稿日:2009/04/09(木) 11:35:08.65 ID:jWIkg7dG
思い出スレになってんだろうと思って見に来たけどどうなってんだ。
収束してないどころかまだ拡散中?

982 名前: マンサク(大阪府)[] 投稿日:2009/04/09(木) 11:54:31.16 ID:g6SEJUpr
>>973
ウイルス仕込まれてるサイトが拡大してる。
セキュ板解析班がウイルスの親玉らしきファイルを特定したが
各ベンダーのアンチウイルスではスルー。

【結論】
何一つ解決してない。

422:名無しさん@お腹いっぱい。
09/04/09 12:29:02
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
スレリンク(news板)

423:名無しさん@お腹いっぱい。
09/04/09 12:29:35
la.exeは結局
HKLM\?SOFTWARE\?Microsoft\?Windows NT\?CurrentVersion\?Drivers32\aux
にドライバ登録して、それが再起動時になんかやってんだよね?
何やってんのかわかる人いない?


424: ◆W07s5cWHb.
09/04/09 12:32:42
>>421
てか、おいらはν速の人なんて
そっちのスレの中身は把握してます><

425:名無しさん@お腹いっぱい。
09/04/09 12:33:52
アクロバットは使って無くてFoxit Reader使ってるんですが
Versionは先月以降更新されてないようです。
このままでは危ないですか?

Foxit Reader 3.0 Build 1506 03/09/09

426:414
09/04/09 12:33:57
>>419
ごめんなんか怒らせた?

もちろん自分の場合は必ずリカバリするよ。
ただそういう話が出てたけどどうなったのかなと思って

427: ◆W07s5cWHb.
09/04/09 12:37:18
>>423
その辺はla.exeを逆アセンブルしてソースを解読して
La.exeの処理内容を把握しないと駄目なんだけど、
このスレには残念ながら現状ではその種のスキルがある奴がいないんだと思う。

プログラマ板から有能なプログラマを召還して解析しないとだめかもしらんね。

428: ◆W07s5cWHb.
09/04/09 12:38:43
>>426
全然怒ってないよん♪

ただ、あまり無闇に怯えたり、逆にやたらに過信しても駄目って事をいいたいだけ。

429:名無しさん@お腹いっぱい。
09/04/09 12:43:32
親玉を引っ張り出すところまでしかわかってなくて、
親玉が何をするかは一切不明なんだよね 今のところ。
ただ、ブラウザが落ちまくったりとかの症状しかあがってない。

430:414
09/04/09 12:44:14
下手に出れば調子に乗りやがって
いい加減巣に帰れゴミカス

431:名無しさん@お腹いっぱい。
09/04/09 12:46:16
>>430
勝手に俺を名乗るなw

432: ◆W07s5cWHb.
09/04/09 12:49:06
>>431
だからここはID出ない過疎板なんだから
まともなレスを付けたり詐称されたくないのなら
トリップつけるしかないだろってのw

そもそもウィルス並の基地外がわんさかいる板なんだからw

433:名無しさん@お腹いっぱい。
09/04/09 12:49:07
こえ~
リカバリでWin回復しても、データなかったら意味ない
今回はセキュリティソフトの完敗か

434:名無しさん@お腹いっぱい。
09/04/09 12:49:29
ウイルス解析よりもウイルスを各ベンダーに送って対応してもらうのが先

それとLa.EXEが引き金で感染したやつはいないだろ?
これはまた別URL(同じラトビアIP)から
ダウンロードしたものであって今回のGENO騒動とはノータッチの筈

ホームページ経由の感染に絞って解析を進めるべき

435: ◆W07s5cWHb.
09/04/09 12:55:00
>>434
それならあとは大方出尽くして鯖側の感染経路の特定位しか残ってないと思うけど、
そのへんになるとそれこそ囮鯖でも立ててクラッカーにクラッキングして貰う位しか残ってないと思うよ。
結局、FTPパスが何らかの方法で事前に漏れて、FTPで直に鯖にログインされて堂々と改ざんされているって説が
全世界的に有力になってるけど、
それの裏づけ作業みたいな感じのをまだ誰もやっていないんで、それをやるとか。

ちなみに検体提出なんてとっくに済んでるでしょ。

436:名無しさん@お腹いっぱい。
09/04/09 12:55:26
>>434
なんでそこを切り離そうとするんだよ
GENOの怠慢な対応でウイルスをダウンロードして実行する
ウイルスを配布した事実を隠そうとしてるのか?

437:名無しさん@お腹いっぱい。
09/04/09 13:00:24
ちなみに今回のが2000/XP狙いうちでVISTAは大丈夫ってのは
どういう根拠なん?

438:名無しさん@お腹いっぱい。
09/04/09 13:01:27
>>437
>>137

439:名無しさん@お腹いっぱい。
09/04/09 13:02:51
>>436
だからGENOその他汚染されたサイトで感染する今回のウイルス侵入経路でLa.exeなんてものは少しも絡んでない。

GENOのサイトをみてPDF又はFLASHのExploitで感染→La.exeが作られる
なら解るがここでいってるLa.exeは別URLの物だろ?

440:名無しさん@お腹いっぱい。
09/04/09 13:03:02
よくいくFLA板は今すげぇ過疎ってるのにID出てるんだよなぁ…。
昔は盛り上がってたからだろうけどね。

441:名無しさん@お腹いっぱい。
09/04/09 13:04:47
>>434
だって仮想PCじゃadobeReaderがエラー吐いて落ちるだけなんだもん
つまんないじゃん


442:名無しさん@お腹いっぱい。
09/04/09 13:06:01
>>439
GENO観覧→(中略)→ブラウザが壊れOSも不安定

これが全て。

443:名無しさん@お腹いっぱい。
09/04/09 13:06:19
>>435
感染後に作られる少数ファイル、一部の感染元ファイルはまだ。
それは今晩やる予定

444: ◆W07s5cWHb.
09/04/09 13:07:11
>>437
ウィルス内の処理の一部でUserAgentを参照して
2kやXPのみを対象にしていた点と>>137の点。

ただ、VistaでもUAを詐称して踏んだ場合とか、
UA詐称をしない場合でもウィルスをモロに食らう形ではなくても部分的に食らってしまう事はあるかと思う。

いずれにしてもUACをどこまで信用するかって話になる。
個人的にはDEPもUACも過信するほど強固ではないと思うよ。

445:名無しさん@お腹いっぱい。
09/04/09 13:11:30
La.exeとGENO経由の感染、解析レポートがごっちゃになりそうだから
ホームページ経由の感染を解析したほうが滅茶苦茶にならないと思ったんだけど
La.exeがホームページ経由の感染タイプと全く同じとは現段階では言い切れないから

446:名無しさん@お腹いっぱい。
09/04/09 13:12:09
バッファオーバーランを起こせるなら、La.exeみたいな実行ファイルをどこかに残す必要はないんじゃないかと思うんだが。
一番の問題はサイトのjsをあっさり書き換えられてるってことじゃないか。

447:名無しさん@お腹いっぱい。
09/04/09 13:14:08
うわあ・・・

特別な動作するときに逐一許可してくれるうざいやつでしょ
VISTAの高速化設定とかで本やサイト見てUAC切ってた・・・

というユーザー多いんじゃ

448:名無しさん@お腹いっぱい。
09/04/09 13:16:45
>>446
海外でjs改竄されたおなの子はftpパス盗まれたと言ってる
どう盗まれたまでは書いてない

449: ◆W07s5cWHb.
09/04/09 13:17:45
>>447
UACを切ってた場合もそうだし、
そもそもHDD上のファイル書き換えではなくて
メモリ上のExplorer.exeを書き換えて悪さをしているみたいなんだから
そこでなにかやられたらそれこそアウト。

ぶっちゃけ、たとえVistaでUACを入れててもも
レジストリを下手に書き換えられたりした時点で負けってレベル。

450:名無しさん@お腹いっぱい。
09/04/09 13:17:55
>>448
そのソースは?

451: ◆W07s5cWHb.
09/04/09 13:20:15
>>448
どう盗まれていたかまで判っていたら
恐らくそのおんなのこがクラッカーだろw

452:名無しさん@お腹いっぱい。
09/04/09 13:22:31
URLリンク(www.dynamicdrive.com)
URLリンク(forums.powweb.com)

これかな

453: ◆W07s5cWHb.
09/04/09 13:25:07
>>446
これ以上のサイト側の感染を抑止する為にはその部分の調査も必要だけど、
ホントはそんな解析をプロの業者にやらせたら軽く1000万位取られても当然ってレベルだよなw

いずれにしてもこれまでに感染が確認されたサイトが稼動しているOS、httpd、CMSがそれぞれバラバラなんで、
単純にこれらのセキュリティホールが突かれているっていう単純な話ではない様な気がする。

454:名無しさん@お腹いっぱい。
09/04/09 13:25:31
>>449
VISTAは大勝負ってのは大ウソか

455:名無しさん@お腹いっぱい。
09/04/09 13:26:00
>>405
先生入れてるけど4月4日にGENO踏んでAdobe起動
スキャン→無反応 だけど違和感を感じる
カスペでオンラインスキャン→トロイ検出。

456:名無しさん@お腹いっぱい。
09/04/09 13:26:50
>404

ただしハードウエアの環境によっては、ウイルスプログラムが実行されずに、
Adobe Readerが強制終了させられるだけの場合もあるという。

これがAMD64の事かな?

457: ◆W07s5cWHb.
09/04/09 13:29:05
>>454
少なくてもUACを切って使っているのがデフォだと思うんで、
そーいう奴は知らず知らずにキーロガー等だけ仕込まれてて涙目って感じだと思う。
とにかく、過信や油断したら負けだと思う。

458:名無しさん@お腹いっぱい。
09/04/09 13:33:30
UACってあれか、コンパネいじくってるとよく出てくる「許可くれよ」ってやつか
あれを切って、許可する手間が省ける以外にメリットあんの?

459:名無しさん@お腹いっぱい。
09/04/09 13:33:47
>>439
?id=2の変造PDFによるバッファオーバーフローで?id=10のexeがダウンロード・実行させる
その1つが通称La.exe
?id=10で落ちてくるexeは数種類あるようだ
時間とともに差し替えられたのか、何らかの条件に基づいて選ばれるのか、はたまた
ランダムなのかは不明

いわゆるLa.exe(15872 bytes)
6de7f96fe398ca304b1992869faf55c7

いわゆる8lv.exe(15360 bytes)【実物は未確認】
791509d03706cbc8883536b5131341d4

さらに別のexe(16384 bytes)
2586a42cfdc03ea62694f5641b5d7633

また、?id=3のFlash(swf)もバッファオーバーフローを引き起こす変造ファイルだと
思われるが詳細不明

460:名無しさん@お腹いっぱい。
09/04/09 13:34:26
カスペのオンラインが薦められてるけどノートンのオンラインスキャンでも検知してくれますか?

461:名無しさん@お腹いっぱい。
09/04/09 13:35:22
UAC嫌でVISTA使う意味が分からん


462: ◆W07s5cWHb.
09/04/09 13:37:38
>>459
補足すると、それらのEXEに共通するのは皆u.batを生成するって点だよね。

>>439さんは既存の海外のウィルス情報に全然目を通していないみたいだけど、
もうちょっと勉強したほうがいいと思う。

463:名無しさん@お腹いっぱい。
09/04/09 13:37:41
>>457 トン。

>>458
例えば、だ。

VISTA使いが2ちゃで短縮urlやただの画像を踏んだ時
そうした警告がでたらどうする

464:名無しさん@お腹いっぱい。
09/04/09 13:39:19
XPの制限ユーザーでもGENOにやられますか?

465:名無しさん@お腹いっぱい。
09/04/09 13:41:14
あれ・・・
>>458
UAC切ってメリット →UAC使ってメリット と脳内変換してた、ごめん

466:名無しさん@お腹いっぱい。
09/04/09 13:42:16
よし、今から俺が初心者質問対応係になるよ
ただし、今から寝る。いつ起きるかもわからん。

467:名無しさん@お腹いっぱい。
09/04/09 13:43:56
>>452
英語力なさすぎて嘆いてるのか本気で言ってるのか読めない

468:名無しさん@お腹いっぱい。
09/04/09 13:45:01
頭が禿げてきたんだけどこれなにウィルス?

469:名無しさん@お腹いっぱい。
09/04/09 13:46:14
HAGENOウイルス

470:名無しさん@お腹いっぱい。
09/04/09 13:46:48
>>460
対応は遅かったけど、今は先生でもOK

471: ◆W07s5cWHb.
09/04/09 13:47:11
>>468
白癬菌ウィルス。

最寄の皮膚科へどうぞw

472:439
09/04/09 13:48:58
>>459
なる程、
勘違いしてたわw

473:名無しさん@お腹いっぱい。
09/04/09 13:51:11
>>471
水虫かよ。

474:名無しさん@お腹いっぱい。
09/04/09 13:52:28
VB2009が蹴ったアドレス、末尾が?id=101だった。
この末尾の数字が違うと、落ちてくるウイルスも違うってことかな?

475:名無しさん@お腹いっぱい。
09/04/09 13:54:32
>>474
それはわからない
ただ共通してu.batを作るのはわかってる


476:名無しさん@お腹いっぱい。
09/04/09 14:01:44
まぁ自業自得だな
いまだにXP使ってるからこういうことになる VISTAなら大丈夫

VISTA SP1 Mozilla Firefox
Adobe Reader 9 flash プレーヤー10
が最強

477:名無しさん@お腹いっぱい。
09/04/09 14:06:36
笑ってあげたほうがいいかな?
わし的には失笑なんだが

478:名無しさん@お腹いっぱい。
09/04/09 14:08:04
>>477
海外では3月28日の報告があるみたいだ。

479:名無しさん@お腹いっぱい。
09/04/09 14:17:39
高校入学祝いにやっと買ってもらってPCがVISTA機で
中学時代にXP機買ってもらってるツレに相手にされない
香具師がうるさいスレはここですか

480:名無しさん@お腹いっぱい。
09/04/09 14:26:50
>>479
高校入学祝いに買ってもらったPCは n88日本語BASICが
付いたPC9801VXだったお!!

481: ◆W07s5cWHb.
09/04/09 14:28:08
ラトビアのIPの94.247.2.195でぐぐると
↓の公開DBがヒットしたわ。

これを見た限り、少なくても3/25の段階で
ラトビアのIPに関してチェックしようとしている人がいたんで、
クラッカーがウィルスの動作チェック等に使ったのか
サイトを書き換えられてしまったWebマスター等が確認の為に使ってた痕跡だと思う。

VisualRoute Database Reporting
URLリンク(visualroute.visualware.com)
2009%2F03%2F24+19%3A55.56&dtotext=2009%2F03%2F25+19%3A55.56&pg=21&perpg=50
※URL長すぎなんて改行してます。。。

ぐーぐる先生の日本語訳
URLリンク(translate.google.co.jp)
search%3Fdfromtext%3D2009%252F03%252F24%2B19%253A55.56%26dtotext
%3D2009%252F03%252F25%2B19%253A55.56%26pg%3D21%26perpg%3D50&ei=
ioXdSfbEB8yNkAX2l9ybDg&sa=X&oi=translate&resnum=1&ct=result&prev=
/search%3Fq%3D94.247.2.195%26hl%3Dja%26lr%3D%26sa%3DN%26start%3D60
※URL長すぎなんて改行してます。。。

482:名無しさん@お腹いっぱい。
09/04/09 14:29:32
中学入学祝いにせがんだのがappleⅡplus

483: ◆W07s5cWHb.
09/04/09 14:31:13
小学生の頃に友達がPC6001を買ってもらったのに触発して
親に駄々こねて買ってもらったのがSordのM5♪

484:名無しさん@お腹いっぱい。
09/04/09 14:32:37
馬鹿にされ、MSからもスルーされ、各業界からも屑扱い
悲しい日々を送っている糞OSのVISTA厨歓喜!
 
でもVISTAが大丈夫というのは都市伝説だったwww

485:名無しさん@お腹いっぱい。
09/04/09 14:33:38
XP豚涙拭けよ?>>484


486:名無しさん@お腹いっぱい。
09/04/09 14:35:46
XP使ってるゴミどもw


487:名無しさん@お腹いっぱい。
09/04/09 14:39:44
>>407
バスター2009入れてたけど感染したよorz
不正変更の監視がエクスプローラの書き換え要求を検知したけど
もうその時点では感染してやられてたわけだから後の祭り。
キャッシュに残ってた本体exeもスクリプトも感染後にチェックしてもスルーだった。

つーか毎回こんなこと書いてるな俺。
operaなら大丈夫?
orz
AMD64なら大丈夫?
orz
バスターはいってれば大丈夫?
orz

488:名無しさん@お腹いっぱい。
09/04/09 14:44:49
>>459
> いわゆる8lv.exe(15360 bytes)【実物は未確認】

俺はこれだった。
バイト数でしか確認してないが、キャッシュに残ってた。
バスターは安全と判断してくれました。

489:名無しさん@お腹いっぱい。
09/04/09 14:46:49
firefoxで94.247.2.195にアクセスしたらセーフブラウジングが遮断した
以下そこに表示された「このサイトがブロックされる理由」

セーフ ブラウジング
94.247.2.0 の診断ページ

94.247.2.0 の現在のステータス
現在のところ、このサイトは疑わしくないと認識されています。

Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 272 ページのうち 0 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは2009-04-07で、このサイトで不審なコンテンツが最後に検出されたのは2009-04-07です。
Malicious software includes 240 scripting exploit(s), 16 trojan(s), 5 exploit(s).
This site was hosted on 1 network(s) including AS12553.

有害な不正ソフトの感染を広げる媒介をしていたかどうか
過去 90 日に、94.247.2.0 は ultimathulelodge.com/, zavallis.com/, databpo.com/ を含む 4 サイトの感染媒体として機能していたようです。

不正なソフトウェアをホストしていたかどうか
はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。serona.pe.kr/, hitzwallpaper.com/, firat.edu.tr/ を含む 7560 個のドメインを感染させています。

Updated 36 hours ago

490:名無しさん@お腹いっぱい。
09/04/09 14:50:02
7560・・・

491:名無しさん@お腹いっぱい。
09/04/09 15:00:57
>7560 個のドメインを感染させています。

ちょっとwなにそれ

492:名無しさん@お腹いっぱい。
09/04/09 15:01:36
悪意あるウェブサイトが進化、セキュリティベンダーの目を盗む手口も
URLリンク(www.security-next.com)

493:名無しさん@お腹いっぱい。
09/04/09 15:04:48
そろそろ騒動も下火になってきたな。

494:名無しさん@お腹いっぱい。
09/04/09 15:07:53
サイト乗っ取り→ゼロデイアタック→あぼん
序章にすぎん

495:名無しさん@お腹いっぱい。
09/04/09 15:09:16
某サイトの青板には今回のウイルス被害はないのか

496:名無しさん@お腹いっぱい。
09/04/09 15:10:44
>>493
つかまだ騒動知らない人の方が大半だよ。
今後改竄されたサイトが増えるにつれて更に被害が拡大するだろ。


497:名無しさん@お腹いっぱい。
09/04/09 15:12:56
ノーガードでもadobeも一切入れてない俺は完全セーフ。
ノーガードの俺にいつも文句言ってたおまいら涙目w

498:名無しさん@お腹いっぱい。
09/04/09 15:14:50
>>495
なんせログに現れないからな
実はいたりして

SpywareWarriorで話題にはなってたな

499:名無しさん@お腹いっぱい。
09/04/09 15:14:52
282 : クレマチス・モンタナ(北海道) [] :2009/04/07(火) 21:43:42.14 ID:CWnPkqk+
flash playerについて試してみた。IE6/2k。
やっぱりこのswfは flash player 9.0.115.0 以前に存在する脆弱性を利用したもの。
9.0.115.0でswfを読み込んでみたが、実行ファイルがダウンロードされコマンドプロンプトが立ち上がる。
9.0.124.0 以上であれば何も起こらず、攻撃は失敗するようだ。

500:名無しさん@お腹いっぱい。
09/04/09 15:17:53
何時亜種が出てもおかしくない状況で
「俺は○○○だから感染しない」とか言ってる奴は
危機意識が薄すぎるだろw

501:名無しさん@お腹いっぱい。
09/04/09 15:18:43
安価忘れてた
>>395
>>499

502:名無しさん@お腹いっぱい。
09/04/09 15:21:11
>>500
主にν速民だな

503: ◆W07s5cWHb.
09/04/09 15:22:51
>>502
ν速民でもおいらみたいな情報強者もちゃんといるんだけどなw

504:名無しさん@お腹いっぱい。
09/04/09 15:24:18
だよなぁ・・・ここ数日は触れ始めたばかりのUbuntuLinuxに
火狐+addonでネット系は使ってるけどこれだって安心とは言えないでしょ?

505: ◆W07s5cWHb.
09/04/09 15:26:56
>>504
今や、本当に安全なWeb閲覧環境なんてPC-DOSとWebBoyの組み合わせ位しかないと思うw
殆どのサイトが閲覧不可だけどなw
てか、発売元のIBMのサイトすらブラウズ出来ないと思う。試したこと無いけど。

506:名無しさん@お腹いっぱい。
09/04/09 15:28:23
7560…。社内に注意喚起しておこう。これは洒落にならん。
客先から問い合わせが殺到する前に手を打っておこう。

507:名無しさん@お腹いっぱい。
09/04/09 15:29:55
こりゃ、サイバーテロものだな

508:名無しさん@お腹いっぱい。
09/04/09 15:30:22
セキュ板でコテつける奴って変な奴しかいないよな


509: ◆W07s5cWHb.
09/04/09 15:30:31
>>506
IT担当者として適切な対応だね。
イントラ掲示板とか、社内回覧板なんかで注意喚起を促したほうが良いと思う。

510:名無しさん@お腹いっぱい。
09/04/09 15:31:12
CNET
URLリンク(japan.cnet.com)

511: ◆W07s5cWHb.
09/04/09 15:31:14
>>508
だから本当は酉使いたくないんだけど、この際仕方ない。

512:名無しさん@お腹いっぱい。
09/04/09 15:33:50
>>511
なにが仕方がないの?

513: ◆W07s5cWHb.
09/04/09 15:37:38
>>512
ウィルス並の基地外に成りすまされたくないからw
ここはID無しの釣堀なんだから仕方ないだろw

514:名無しさん@お腹いっぱい。
09/04/09 15:39:23
ID出ない板だからじゃね。見るほうも酉付けてもらったほうがいいわ。

515:名無しさん@お腹いっぱい。
09/04/09 15:41:41
むしろコテでまともなやつなんて
ほとんど見たことない
まぁ例外もあるけど

酉は付けてもらわないとむしろ困る

516:名無しさん@お腹いっぱい。
09/04/09 15:42:24
やたらComboFix、ComboFix言って
一時期いたSmitFraudFix無責任に進める奴、使う奴が出てきそうな感じw

517:名無しさん@お腹いっぱい。
09/04/09 15:44:36
酉つけなくても発言内容が薄ら寒いからわかる

518:名無しさん@お腹いっぱい。
09/04/09 15:47:43
いつも通り殺伐としてきて安心した

519:名無しさん@お腹いっぱい。
09/04/09 15:48:18
ラトビアのほう、サーバ管理者にコンテンツ消されたかな
クッキーを食わせるJavaScriptも返ってこなくなった
代わりに「There is no site at this address!!」というテキストが

520:名無しさん@お腹いっぱい。
09/04/09 15:51:42
マルウェア配布サイトは大抵数日て消えるからな

521:名無しさん@お腹いっぱい。
09/04/09 15:52:43
>519

生きてるよ

522:名無しさん@お腹いっぱい。
09/04/09 15:52:45
見る側のセキュリティ対策はもちろんだが、
サイト運営管理の側も改竄されないようにちゃんと対策しといてもらいたい。
検出未対応な強力ウィルスを使われたらどうにもならん。

523: ◆W07s5cWHb.
09/04/09 15:56:26
>>517
ぎくっ

まぁ、文体でバレバレだと思うけど、逆に簡単に成りすまされやすいんで。

524:名無しさん@お腹いっぱい。
09/04/09 15:57:02
URLリンク(itpro.nikkeibp.co.jp)
URLリンク(www.ipa.go.jp)

Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正した最新版とか
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正した最新版ですかね

525:名無しさん@お腹いっぱい。
09/04/09 16:29:44
>>336あたりまとめてJPCert/CCにも送ってみるよ
あそこのMLで流れてくれればおそらく被害が出てる
企業なんかでもこれを知る人が出てくるとおもう

526: ◆W07s5cWHb.
09/04/09 16:33:35
>>525
判ってると思うけど、>>336の最後の結論はネタだからな。

527:名無しさん@お腹いっぱい。
09/04/09 16:39:16
>>521
jquery.jsは生きてますな
ほかは内容をエラーメッセージに変えただけか

528:名無しさん@お腹いっぱい。
09/04/09 16:41:10
酉付けてるなら無駄話してないで早く全貌を解明して
対策と対処を明確にしたまえ。

529:名無しさん@お腹いっぱい。
09/04/09 16:41:59
>>526
もちろんはあくだ

まとめてて思ったけどクライアントPC視点とWebサーバ視点の
両方報告いるねこれ

530: ◆W07s5cWHb.
09/04/09 16:44:14
>>529
そう。

鯖側に関してもまだ感染経路が判明していないんでその点の注意喚起も必要。
てか、これ以上の被害拡大を防ぐ手立ては鯖の感染数を減らすのが一番なんだから。

531:名無しさん@お腹いっぱい。
09/04/09 16:46:49
>492

>527

532:名無しさん@お腹いっぱい。
09/04/09 16:52:44
  【審議中】
        _,,..,,,,_   _,,..,,,,_
     _,,..,,,_/ ・ω・ヽ/・ω・ ヽ,..,,,,_
    ./ ・ω_,,..,,,,_  l _,,..,,,,_/ω・  ヽ
   |   /   ・ヽ /・   ヽ    l
    `'ー--l      ll      l---‐´
       `'ー---‐´`'ー---‐´

533: ◆N9P3SuvBPo
09/04/09 17:01:14
HijackThisやRSITのログにも現れないということだが、
SilentRunnersやKVRTやGMERのログにも現れないのか?

534:名無しさん@お腹いっぱい。
09/04/09 17:09:34
URLリンク(internet.watch.impress.co.jp)

535:名無しさん@お腹いっぱい。
09/04/09 17:14:43
とりあえずこんな感じにまとめてみたけど
なんか足らんとかわかりにくいわボケとかあったらいってね
URLリンク(www1.axfc.net)

長文テキストなんでめんどい人はスルーで

536:名無しさん@お腹いっぱい。
09/04/09 17:15:28
IDでないんだった><
>>535>>525れす

537:名無しさん@お腹いっぱい。
09/04/09 17:20:56
ちょ、その結論ヤバスw

538:名無しさん@お腹いっぱい。
09/04/09 17:25:56
> 各種ウィルス本体をInternetTempが展開される
日本語でOK

> chmファイルの脆弱性を利用しようとしている模様
これ確定してたっけ?

539:名無しさん@お腹いっぱい。
09/04/09 17:27:48
まじお役立ちツールサンクス

540:525
09/04/09 17:46:48
やっぱりわかりにくいんでサーバとクライアントわけます

>>538
指摘thx
コピペしてちょっと改変とかだからおかしいとこあるかもしんない
chmはどっかにあがってた気がするけど忘れた
確定じゃないかもしれんからやめとくか

541:名無しさん@お腹いっぱい。
09/04/09 18:03:36
とりあえず家族のPCのadobeReaderのJS切ってきた
説明するのに苦労したよ・・・・・・・

542:名無しさん@お腹いっぱい。
09/04/09 18:07:48
マジびっくりした。起動したまま放置してたらPCがピロリッとか言うんで見てみた。
全てパッチ済みで踏んだXPのSP3なんだけどいつの間にかTR/Agent.caaj [trojan]が、
\System Volume Information\_restoreに潜り込んでた。
ここからexeを呼ぶということは他に仕組みが動いてるはず。やばい。ある日突然活動開始するかも。


543:525
09/04/09 18:09:07
サーバとクライアントわけて修正
これで出そうかなと
URLリンク(www1.axfc.net)

544:525
09/04/09 18:24:04
語尾とか言葉の修正と参考URL適当に追加して送るわ

545:名無しさん@お腹いっぱい。
09/04/09 18:26:19
で、うちバスターなんだけど
各社のウイルス対応状況はどうなの?
カスペ・ノートンはOK?

GENOが情報出さないから(情報出す能力がない?)
どんな事サイトにされたかウイルス仕掛けられたのかが判ってない状況で
各社に対応してもらってないのか

調べてると情報が色々あって判んなくなってきたわ

546:名無しさん@お腹いっぱい。
09/04/09 18:29:14
>>545
半年ROMってろ

547:名無しさん@お腹いっぱい。
09/04/09 18:32:14
半年後には沈静化してるだろうがな

548:名無しさん@お腹いっぱい。
09/04/09 18:33:07
んじゃ、100年ROMってろ

549:名無しさん@お腹いっぱい。
09/04/09 18:34:55
前にexplore.exe改竄された時Dr.Webで修復出来たような・・・

550:名無しさん@お腹いっぱい。
09/04/09 18:38:34
ROMって判んなくなってきてるから聞いたのに。。。
100年ROMってマス

551:名無しさん@お腹いっぱい。
09/04/09 18:39:04
//www.naxos.co.jp/

【お詫び】
2009年4月7日午前より、8日昼頃にかけまして、弊社サイト内で
障害が発生しておりましたが、現在は復旧致しております。
ご迷惑をおかけ致しましたことをお詫び申し上げます。

なお、上記期間中に弊社サイトをご覧になられた場合、
パソコンによっては、ウイルスに感染している可能性がございます。
お心当たりの方は、大変恐れ入りますが、お使いのパソコンの
ウイルスチェックや、ウイルスソフトの最新版へのアップデートなどの
ご作業をお願い申し上げます。
(2009年4月8日 15時30分 ナクソス・ジャパン株式会社)

552:名無しさん@お腹いっぱい。
09/04/09 18:47:27
ウィルスソフト最新にしちゃらめえええええええええ

553:名無しさん@お腹いっぱい。
09/04/09 18:48:22
            /)
           ///)
          /,.=゙''"/
   /     i f ,.r='"-‐'つ____   キャッシュ削除すりゃぁいいんだよ!!
  /      /   _,.-‐'~/⌒  ⌒\
    /   ,i   ,二ニ⊃( ●). (●)\
   /    ノ    il゙フ::::::⌒(__人__)⌒::::: \
      ,イ「ト、  ,!,!|     |r┬-|     |
     / iトヾヽ_/ィ"\      `ー'´     /

554:名無しさん@お腹いっぱい。
09/04/09 18:51:10
> ウイルスソフトの最新版へのアップデート
ダメだなこりゃ

555:名無しさん@お腹いっぱい。
09/04/09 18:52:36
ソフト最新にして再起動であぼんですねわかります

556: ◆W07s5cWHb.
09/04/09 18:53:52
あんちとうんちの違いに迷ってそのまま付けずにテキトーに書いた感じだなw

557:名無しさん@お腹いっぱい。
09/04/09 18:55:06
まあIIS5.0じゃこんなもんだろうな・・・
とりあえずJPCert/CC送信完了

558: ◆W07s5cWHb.
09/04/09 18:59:41
どうみても管理者不在鯖だな。

>>557
もつかれちゃん。

559:名無しさん@お腹いっぱい。
09/04/09 19:01:52
攻撃サイトとして報告されています!と火狐に怒られるんだが・・・
URLリンク(www.umax.net)
「Google が最後にこのサイトを巡回したのは2009-04-06で、
このサイトで不審なコンテンツが最後に検出されたのは2009-04-06です。」
だって。

560: ◆W07s5cWHb.
09/04/09 19:05:40
>>559
うちのIEでは全然問題ないな。

てか、UMAXが感染したら格安メモリ厨完全死亡だなw

561:名無しさん@お腹いっぱい。
09/04/09 19:08:00
今sqlsodbc.chmのMD5を確認してみたが
F639AFDE02547603A3D3930EE4BF8C12 だった
まあ安全圏だな

562:名無しさん@お腹いっぱい。
09/04/09 19:12:45
>>560
迷わず突撃するお前が大好きだ

atom機用に一枚ポチったらこの騒ぎにこのタイミングだw

563: ◆W07s5cWHb.
09/04/09 19:15:50
>>562
ちなみにトップページしか見てないんで、そこんとこよろしこ。
UMAXの全てのコンテンツの現段階での安全性を保障している訳じゃないんで。

てか、若しかしてUMAXもGenoウィルス食らってて
書き換えられた部分を修正した後なのかも知れないな。

564:名無しさん@お腹いっぱい。
09/04/09 19:16:48
感染したドライブのバックアップから感染ファイルを復元するためにリアルタイム検索を停めて
あれこれやってたらtmproxyがランタイムエラーで落ちたorz。
落ちるなよ…
再起動したらIPフレンドがIEの設定を変えようとしていると不正変更の監視に引っかかるし
またやられたかなぁ。
まだ復元してなかったんだけどなぁ。
今の所前回みたいな症状は何も出てないしcmdもregeditも動いてる。
netstatでもあやしい接続はない。
IPフレンドもハッシュはZIPから解凍したオリジナルと変わらない。
バスターによるウイルス検索もクイック検索では何も出てこない。
とりあえずこのままオンラインチェックをやって問題ないようなら様子見だな…


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch