09/04/09 09:50:10
サンクス>>348-349
ちょっと確認しみてる
351:名無しさん@お腹いっぱい。
09/04/09 09:51:52
あった
f639afde02547603a3d3930ee4bf8c12
一応安心した
352:名無しさん@お腹いっぱい。
09/04/09 09:53:38
ちなみにAVGの有料版は対応してる
353:名無しさん@お腹いっぱい。
09/04/09 10:02:57
そんな手間掛けなくてもnrtstatコマンドで感染してるか簡単に調べられるだろ
354:名無しさん@お腹いっぱい。
09/04/09 10:04:07
>>353
それやっちゃだめ 地雷が発動するから
355:名無しさん@お腹いっぱい。
09/04/09 10:05:20
>>353
netstatな
356:名無しさん@お腹いっぱい。
09/04/09 10:06:01
ニュー速で同じことを書いてる人が
357:名無しさん@お腹いっぱい。
09/04/09 10:07:39
某掲示板でAMD64のCPUなら大丈夫と書かれてたのですが
本当ですか?
358:名無しさん@お腹いっぱい。
09/04/09 10:08:56
>>356
まあ同時進行みたいなもんだからね。
俺はニュー速アク禁になってるからこっちだけ書いてる。
359:名無しさん@お腹いっぱい。
09/04/09 10:16:40
>>344だが誰か分かる人いない?
360:名無しさん@お腹いっぱい。
09/04/09 10:19:17
>>357
おれX2 3800+で感染したよorz
361:名無しさん@お腹いっぱい。
09/04/09 10:19:45
>>359
モノによるだろうから、例をあげれば答えやすいと思う。
アプリなら全て入れなおした方がいい。
おれもあまり詳しくない、スマソ
362:名無しさん@お腹いっぱい。
09/04/09 10:19:59
なんか思っていたよりもタチの悪いウイルスっぽいな。
キャッシュ削除で解決とかアリエナス。
間違った対処法を掲載して感染拡大させてるGENOは本当に酷いな
363:名無しさん@お腹いっぱい。
09/04/09 10:20:39
crestronjapan.comで感染を試みる(未だ有害)
Flashのバージョン10.0.22.87
Adobe Readerなしの環境→感染せず
Flashのバージョン10.0.22.87
Adobe Reader7環境→感染
Flashのバージョン10.0.22.87
Adobe Reader9→感染せず
つまり最新のAdobe Reader9なら感染しない
364:名無しさん@お腹いっぱい。
09/04/09 10:21:23
>>360
ギャフン!
365:名無しさん@お腹いっぱい。
09/04/09 10:21:31
>>359
ROMに焼いたデータは他のPCでチェックしてから移せば良いじゃん。
チェックは、このスレや他のGENO関連スレで挙がってる複数のソフトでやった方がいいと思う。
366:名無しさん@お腹いっぱい。
09/04/09 10:22:44
>>359
感染したPCにUSBメモリを挿した瞬間USBメモリ自体に感染してしまう
可能性も無きにしも非ずなので、試して見ないとわかりませんが、
自分は他のPCまで感染させるわけにいかないので、試せません
367:名無しさん@お腹いっぱい。
09/04/09 10:24:54
>>359
このウイルスはPE型ウイルス、ファイル感染型ウイルスではないので
バックアップは問題なし、またAutoRun系の機能もないです。
368:359
09/04/09 10:29:32
うを!?色々と書き込みが(大汗
レスしてくれた人達、本当にありがとうね。感謝。
デジカメ画像なんだけどとりあえずROMに焼いて
数週間経ってからスキャンしてみるよ。
多分その頃には各ベンダーも対応してるかもしれないから。
369:名無しさん@お腹いっぱい。
09/04/09 10:30:42
ν速やその他のアホがいい加減な事いったりしてるから
それにだまされる初心者が沢山いそうだな
370:名無しさん@お腹いっぱい。
09/04/09 10:31:37
>>357
98002 4400X2 2台環境でリーダーが7フラッシュ最新で感染未遂
pdf開かれたけど再起は問題無し
早々バックアップから復元してんでそれ以外は不明
371:名無しさん@お腹いっぱい。
09/04/09 10:31:40
>>346
sorry
372:名無しさん@お腹いっぱい。
09/04/09 10:32:37
>>368
引き続きここも継続監視を
373:名無しさん@お腹いっぱい。
09/04/09 10:32:58
>>368
それが最善策だと思います
374:名無しさん@お腹いっぱい。
09/04/09 10:33:02
>>367
なるほど。安心しますた。
ありがとう~(T_T)
375:名無しさん@お腹いっぱい。
09/04/09 10:38:51
とりあえず、
naxos、GENO公式は現在無害。
crestronjapan.com は未だjquery.jsが存在。
Adobe Readerのバージョンが古いと感染する恐れ>>363
376:名無しさん@お腹いっぱい。
09/04/09 10:41:49
>>375
> crestronjapan.com は未だjquery.jsが存在。
放置するんかねw
377:名無しさん@お腹いっぱい。
09/04/09 10:44:09
ほぼわかってきたね
・ウイルスの動作
・ウイルスの親玉(まだちょっと?)
・ウイルスの被害
・駆除方法
・今後の対策
・感染していないか確認する方法
ウイルスの親玉らしきものは検体採取済みでセキュ板内の可否スレの
住民が各ベンダーに検体提出してるみたいだし
378:名無しさん@お腹いっぱい。
09/04/09 10:49:37
とにかく ,lv ドメインを
ルーターやファイヤーウォールなどで
イン・アウトバウンドともに弾くこと、発症したら何があるかわからん
379:名無しさん@お腹いっぱい。
09/04/09 10:51:57
ウイルス自体は結構厄介だけど感染経路は別によくあるパターンだろ
特にFlashの脆弱性含め、Adobe Collab overflowなんて珍しくもなんともない気がするんだけど
これだけ感染広まってるって事はそれだけセキュリティに無頓着なやつが多いんだろうな
このウイルスで初めてpdfでもウイルスに感染すること知ったやついるだろ
今は逆に仮想PCでネットするしかないとか言い始めてるやつも要るけど・・・
380:名無しさん@お腹いっぱい。
09/04/09 10:56:20
でっていう
381:名無しさん@お腹いっぱい。
09/04/09 10:58:01
>>379
常に正常なサイトだと思っていたサイトが書き換えられてたりする危険は
前からあったしな
セキュリティ系ニュースのスレで情弱が、
あやしいサイトみなけりゃいいじゃん的なレスを散々目にしたがw
382:名無しさん@お腹いっぱい。
09/04/09 10:59:11
サイトが乗っ取られるのが一番悪い
383:名無しさん@お腹いっぱい。
09/04/09 11:01:29
たいした情報じゃないけど
sqlsodbc.chm
は改変されるんじゃなくて上書きされる
384:名無しさん@お腹いっぱい。
09/04/09 11:04:36
PDFとFlashのエクスプロイトコードはアンチウイルスソフトで引っかかるの?
385:名無しさん@お腹いっぱい。
09/04/09 11:05:56
Readerのバージョンにふれてる人、マイナーバージョンまで書いてほしいな。
バージョン7、8に関しては脆弱性に対応するアップデート(7.1.1、8.1.4)があるはず。
バージョン9も最新の9.1.0でないとダメなわけだから。
386:名無しさん@お腹いっぱい。
09/04/09 11:08:46
会社の感染したPCで sqlsodbc.chm のMD5調べたら
F639AFDE02547603A3D3930EE4BF8C12
ではなかった\(^o^)/
さて感染日時と感染経路を調べてみますわ
387:名無しさん@お腹いっぱい。
09/04/09 11:09:38
>>385
古いadobeが7.0.0.0
最新のが9.1.0.163
388:名無しさん@お腹いっぱい。
09/04/09 11:10:11
結局、一般で被害受けてるのはみんなXPなん?
俺はPDFとFlashを未対策のままVista+先生で
短縮ふんじゃったけど、特に何もおかしな挙動は
起きてないんだが・・・・。
389:名無しさん@お腹いっぱい。
09/04/09 11:10:11
GIZMODE Japan (ギズモードジャパン)GIZMODE japan
URLリンク(gizmode.blog26.fc2.com)
GENOウイルス情報
4日~7日までの間にPCショップGENOを観覧された方は
ウイルス感染の可能性があります。
サイトを開くだけでウイルスに感染する凶悪なタイプで
現在、大騒ぎになっております。
心当たりのある方は GENOウイルス被害者の会
で、情報交換しておりますので是非ご覧ください。
390:名無しさん@お腹いっぱい。
09/04/09 11:11:51
>>384
検体を入手できてないからわからんが
URLリンク(wepawet.iseclab.org)
でpdfの解析結果は出てる
391:名無しさん@お腹いっぱい。
09/04/09 11:14:06
んで何、今GENOは何食わぬ顔で営業したりしてやがってくれちゃったりするわけ?
392:名無しさん@お腹いっぱい。
09/04/09 11:15:13
>>390
サンクス
そのMD5でVirusTotalあさってみた
今はもう少し増えていることを願いたい
URLリンク(www.virustotal.com)
393:名無しさん@お腹いっぱい。
09/04/09 11:16:32
>>391
アンチウイルスソフトがバカ売れでウハウハらしい
394:名無しさん@お腹いっぱい。
09/04/09 11:16:40
AMDのCPU使ってても32bit版で動かしてたらx86だろw
AMD64なら大丈夫ってのは64Bit版って事だろ
395:名無しさん@お腹いっぱい。
09/04/09 11:19:19
>>388
感染の可能性がある人
・Windows XP以下(SPでも)
・ブラウザで IE/Fx/Sf/Op/GC を使用
・Adobe Reader(Ver 9.1未満)
・Adobe Flash(Ver n.m以下)
感染の可能性が低い(または無い)人
・Windows Vista
・JavaScriptをオフにしている
・Adobe Reader未インストール
・Adobe Reader互換のPDF Readerだけインストールしてある
・スタンドアロン
・sqlsodbc.chmのmd5値が [f639afde02547603a3d3930ee4bf8c12] >101
詳細情報
>336
上記はほぼコピペ
ReaderやFlashの脆弱バージョンについては
ここのスレの奴がかなり詳しいだろうから頼んます
396:名無しさん@お腹いっぱい。
09/04/09 11:19:22
あ、394はOSの話ね
64Bitだから感染しないって理由も無い気がするが。
397:名無しさん@お腹いっぱい。
09/04/09 11:24:36
親玉らしきファイルが
bxatg.mnn
カスペによると無害だそうだ。
ますます迷宮入り?
398:名無しさん@お腹いっぱい。
09/04/09 11:25:22
vistaだけど、そもそもsqlsodbc.chmが無い
399:名無しさん@お腹いっぱい。
09/04/09 11:28:21
PCの操作ログたどっていったら %WINDIR%\~.exe が生成されてて C:\_.bat にリネームされてたわw
直前にAdobe Readerが起動してるんでPDFの脆弱性付かれたっぽい。
400:名無しさん@お腹いっぱい。
09/04/09 11:29:58
>>395
Vistaは可能性低そうだけど、確定的じゃないから
油断せずにマシンの動作とスレの情報に気をつけておくよ。
情報ありが㌧
401:名無しさん@お腹いっぱい。
09/04/09 11:31:03
>>399
(-ノ-)/Ωチーン
ガンガレ
402:名無しさん@お腹いっぱい。
09/04/09 11:34:46
>>54をみるとFlashPlayerのほうは9.0.124未満狙いのようだが
それ以降が安全とも限らんのか
403:名無しさん@お腹いっぱい。
09/04/09 11:38:52
a-squaredてアンチマルウェアの方?無印?
404:名無しさん@お腹いっぱい。
09/04/09 11:41:43
URLリンク(itpro.nikkeibp.co.jp)
これのたぐいか
405:名無しさん@お腹いっぱい。
09/04/09 11:44:46
ノートンとバスターは2月に既に対応してたのか。やるじゃん
406:名無しさん@お腹いっぱい。
09/04/09 11:52:52
うちのVistaではsqlsodbc.chmはc:\windows\help\mui\0411にあった
407:名無しさん@お腹いっぱい。
09/04/09 11:56:03
>>405
もし、今回のウィルスがこの記事の内容のモノなら、
少なくともノートンとバスター入れてる人は被害に
あってないのかな?
408:名無しさん@お腹いっぱい。
09/04/09 11:57:11
今はどんな状況?
GENO以外のサイトにも拡散してるとか聞いたけど
409:名無しさん@お腹いっぱい。
09/04/09 11:58:01
わしの超漢字は絶好調
410:名無しさん@お腹いっぱい。
09/04/09 11:58:16
>>381
そもそも怪しいサイトって判定も曖昧だよな
俺も常連で通ってて何ともなかったサイトが改変されてた
のを直に体験したことあるんで、『怪しいところは開かない』
という標語の中身のなさを実感した
411:名無しさん@お腹いっぱい。
09/04/09 11:59:47
>>406
俺の環境では0409(米語)にもある。
ま、SQL Serverのバージョンによってハッシュも違うし、判断基準として
使うのは難しいよな。
412: ◆W07s5cWHb.
09/04/09 12:05:38
>>407
うちはノートン先生を毎日最新定義ファイルで動かしてるけど、
当初はLa.exeも未対応で検出しなかったし、
そもそも感染状態のGenoサイトを踏んでもまったく反応しなかったよ。
結局、Acrobatの脆弱性を突いたウィルスが沢山あって、
今回のウィルスもその一つで、
元々どこのセキュリティソフトメーカーにも対処されていなかっただけって話だよ。
413: ◆W07s5cWHb.
09/04/09 12:08:48
補足だけど、ノートン先生は既に現行最新の定義ファイルに更新すれば
ちゃんと検知してくれて
Javascriptを改ざんされていてラトビアに飛ばされるサイトを踏んでも
感染を未然に防ぐ。
てか、これはノートン先生以外でも恐らく同程度の対処は既に行われている筈。
414:名無しさん@お腹いっぱい。
09/04/09 12:10:41
既にウイルス入られてる人は先生もカスペも無反応って言ってたけど
あれ改善されたのかな?
415:名無しさん@お腹いっぱい。
09/04/09 12:12:50
山田チェッカーみたいに、感染してるか否か検査できるツールがあれば便利なのにね
416:名無しさん@お腹いっぱい。
09/04/09 12:15:16
>>363
Adobe Reader 7のバージョンは7.10?
417:名無しさん@お腹いっぱい。
09/04/09 12:17:24
sqlsodbc.HLPとsqlsodbc.GIDはあるけど
sqlsodbc.chmのファイル自体がない。
GIDの更新日時が今日になってるのが気になるんだけど
まさか拡張子偽装まではしないよね?
418:名無しさん@お腹いっぱい。
09/04/09 12:22:02
パソコン一般の方に一人親玉らしき献体持ってる奴いたな
そいつのはVTで反応してたんだけど
419: ◆W07s5cWHb.
09/04/09 12:23:02
>>414
少なくてもPC上に保存されていたla.exeに関しては
ノートン先生はZIP内のものも、UPX圧縮を解除したものに関しても即効で検知して
ぶっとばしてくれた。
恐らく他のセキュリティソフトも同様だと思う。
ただ、あんたはなにもわかってないみたいだから一言言うけど
ウィルスを食らった後の場合はそもそもセキュリティソフトで検知して駆除したから安心なんて話じゃなくて
原理原則的に可及的速やかにクリーンインストールかリカバリしないと駄目だよ。絶対に。
420:名無しさん@お腹いっぱい。
09/04/09 12:27:37
jsファイルは大体各ベンダー対応してるみたいだし
今後感染心配してる奴はAVアップデートすればいいと思う
で問題が感染後にドロップするファイルでこのドロップするファイルの採取が難しくて
未だにAVは役立たずという状態
421:名無しさん@お腹いっぱい。
09/04/09 12:28:49
>>412-413
973 名前: オステオスペルマム(dion軍)[] 投稿日:2009/04/09(木) 11:35:08.65 ID:jWIkg7dG
思い出スレになってんだろうと思って見に来たけどどうなってんだ。
収束してないどころかまだ拡散中?
982 名前: マンサク(大阪府)[] 投稿日:2009/04/09(木) 11:54:31.16 ID:g6SEJUpr
>>973
ウイルス仕込まれてるサイトが拡大してる。
セキュ板解析班がウイルスの親玉らしきファイルを特定したが
各ベンダーのアンチウイルスではスルー。
【結論】
何一つ解決してない。
422:名無しさん@お腹いっぱい。
09/04/09 12:29:02
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
スレリンク(news板)
423:名無しさん@お腹いっぱい。
09/04/09 12:29:35
la.exeは結局
HKLM\?SOFTWARE\?Microsoft\?Windows NT\?CurrentVersion\?Drivers32\aux
にドライバ登録して、それが再起動時になんかやってんだよね?
何やってんのかわかる人いない?
424: ◆W07s5cWHb.
09/04/09 12:32:42
>>421
てか、おいらはν速の人なんて
そっちのスレの中身は把握してます><
425:名無しさん@お腹いっぱい。
09/04/09 12:33:52
アクロバットは使って無くてFoxit Reader使ってるんですが
Versionは先月以降更新されてないようです。
このままでは危ないですか?
Foxit Reader 3.0 Build 1506 03/09/09
426:414
09/04/09 12:33:57
>>419
ごめんなんか怒らせた?
もちろん自分の場合は必ずリカバリするよ。
ただそういう話が出てたけどどうなったのかなと思って
427: ◆W07s5cWHb.
09/04/09 12:37:18
>>423
その辺はla.exeを逆アセンブルしてソースを解読して
La.exeの処理内容を把握しないと駄目なんだけど、
このスレには残念ながら現状ではその種のスキルがある奴がいないんだと思う。
プログラマ板から有能なプログラマを召還して解析しないとだめかもしらんね。
428: ◆W07s5cWHb.
09/04/09 12:38:43
>>426
全然怒ってないよん♪
ただ、あまり無闇に怯えたり、逆にやたらに過信しても駄目って事をいいたいだけ。
429:名無しさん@お腹いっぱい。
09/04/09 12:43:32
親玉を引っ張り出すところまでしかわかってなくて、
親玉が何をするかは一切不明なんだよね 今のところ。
ただ、ブラウザが落ちまくったりとかの症状しかあがってない。
430:414
09/04/09 12:44:14
下手に出れば調子に乗りやがって
いい加減巣に帰れゴミカス
431:名無しさん@お腹いっぱい。
09/04/09 12:46:16
>>430
勝手に俺を名乗るなw
432: ◆W07s5cWHb.
09/04/09 12:49:06
>>431
だからここはID出ない過疎板なんだから
まともなレスを付けたり詐称されたくないのなら
トリップつけるしかないだろってのw
そもそもウィルス並の基地外がわんさかいる板なんだからw
433:名無しさん@お腹いっぱい。
09/04/09 12:49:07
こえ~
リカバリでWin回復しても、データなかったら意味ない
今回はセキュリティソフトの完敗か
434:名無しさん@お腹いっぱい。
09/04/09 12:49:29
ウイルス解析よりもウイルスを各ベンダーに送って対応してもらうのが先
それとLa.EXEが引き金で感染したやつはいないだろ?
これはまた別URL(同じラトビアIP)から
ダウンロードしたものであって今回のGENO騒動とはノータッチの筈
ホームページ経由の感染に絞って解析を進めるべき
435: ◆W07s5cWHb.
09/04/09 12:55:00
>>434
それならあとは大方出尽くして鯖側の感染経路の特定位しか残ってないと思うけど、
そのへんになるとそれこそ囮鯖でも立ててクラッカーにクラッキングして貰う位しか残ってないと思うよ。
結局、FTPパスが何らかの方法で事前に漏れて、FTPで直に鯖にログインされて堂々と改ざんされているって説が
全世界的に有力になってるけど、
それの裏づけ作業みたいな感じのをまだ誰もやっていないんで、それをやるとか。
ちなみに検体提出なんてとっくに済んでるでしょ。
436:名無しさん@お腹いっぱい。
09/04/09 12:55:26
>>434
なんでそこを切り離そうとするんだよ
GENOの怠慢な対応でウイルスをダウンロードして実行する
ウイルスを配布した事実を隠そうとしてるのか?
437:名無しさん@お腹いっぱい。
09/04/09 13:00:24
ちなみに今回のが2000/XP狙いうちでVISTAは大丈夫ってのは
どういう根拠なん?
438:名無しさん@お腹いっぱい。
09/04/09 13:01:27
>>437
>>137
439:名無しさん@お腹いっぱい。
09/04/09 13:02:51
>>436
だからGENOその他汚染されたサイトで感染する今回のウイルス侵入経路でLa.exeなんてものは少しも絡んでない。
GENOのサイトをみてPDF又はFLASHのExploitで感染→La.exeが作られる
なら解るがここでいってるLa.exeは別URLの物だろ?
440:名無しさん@お腹いっぱい。
09/04/09 13:03:02
よくいくFLA板は今すげぇ過疎ってるのにID出てるんだよなぁ…。
昔は盛り上がってたからだろうけどね。
441:名無しさん@お腹いっぱい。
09/04/09 13:04:47
>>434
だって仮想PCじゃadobeReaderがエラー吐いて落ちるだけなんだもん
つまんないじゃん
442:名無しさん@お腹いっぱい。
09/04/09 13:06:01
>>439
GENO観覧→(中略)→ブラウザが壊れOSも不安定
これが全て。
443:名無しさん@お腹いっぱい。
09/04/09 13:06:19
>>435
感染後に作られる少数ファイル、一部の感染元ファイルはまだ。
それは今晩やる予定
444: ◆W07s5cWHb.
09/04/09 13:07:11
>>437
ウィルス内の処理の一部でUserAgentを参照して
2kやXPのみを対象にしていた点と>>137の点。
ただ、VistaでもUAを詐称して踏んだ場合とか、
UA詐称をしない場合でもウィルスをモロに食らう形ではなくても部分的に食らってしまう事はあるかと思う。
いずれにしてもUACをどこまで信用するかって話になる。
個人的にはDEPもUACも過信するほど強固ではないと思うよ。
445:名無しさん@お腹いっぱい。
09/04/09 13:11:30
La.exeとGENO経由の感染、解析レポートがごっちゃになりそうだから
ホームページ経由の感染を解析したほうが滅茶苦茶にならないと思ったんだけど
La.exeがホームページ経由の感染タイプと全く同じとは現段階では言い切れないから
446:名無しさん@お腹いっぱい。
09/04/09 13:12:09
バッファオーバーランを起こせるなら、La.exeみたいな実行ファイルをどこかに残す必要はないんじゃないかと思うんだが。
一番の問題はサイトのjsをあっさり書き換えられてるってことじゃないか。
447:名無しさん@お腹いっぱい。
09/04/09 13:14:08
うわあ・・・
特別な動作するときに逐一許可してくれるうざいやつでしょ
VISTAの高速化設定とかで本やサイト見てUAC切ってた・・・
というユーザー多いんじゃ
448:名無しさん@お腹いっぱい。
09/04/09 13:16:45
>>446
海外でjs改竄されたおなの子はftpパス盗まれたと言ってる
どう盗まれたまでは書いてない
449: ◆W07s5cWHb.
09/04/09 13:17:45
>>447
UACを切ってた場合もそうだし、
そもそもHDD上のファイル書き換えではなくて
メモリ上のExplorer.exeを書き換えて悪さをしているみたいなんだから
そこでなにかやられたらそれこそアウト。
ぶっちゃけ、たとえVistaでUACを入れててもも
レジストリを下手に書き換えられたりした時点で負けってレベル。
450:名無しさん@お腹いっぱい。
09/04/09 13:17:55
>>448
そのソースは?
451: ◆W07s5cWHb.
09/04/09 13:20:15
>>448
どう盗まれていたかまで判っていたら
恐らくそのおんなのこがクラッカーだろw
452:名無しさん@お腹いっぱい。
09/04/09 13:22:31
URLリンク(www.dynamicdrive.com)
URLリンク(forums.powweb.com)
これかな
453: ◆W07s5cWHb.
09/04/09 13:25:07
>>446
これ以上のサイト側の感染を抑止する為にはその部分の調査も必要だけど、
ホントはそんな解析をプロの業者にやらせたら軽く1000万位取られても当然ってレベルだよなw
いずれにしてもこれまでに感染が確認されたサイトが稼動しているOS、httpd、CMSがそれぞれバラバラなんで、
単純にこれらのセキュリティホールが突かれているっていう単純な話ではない様な気がする。
454:名無しさん@お腹いっぱい。
09/04/09 13:25:31
>>449
VISTAは大勝負ってのは大ウソか
455:名無しさん@お腹いっぱい。
09/04/09 13:26:00
>>405
先生入れてるけど4月4日にGENO踏んでAdobe起動
スキャン→無反応 だけど違和感を感じる
カスペでオンラインスキャン→トロイ検出。
456:名無しさん@お腹いっぱい。
09/04/09 13:26:50
>404
ただしハードウエアの環境によっては、ウイルスプログラムが実行されずに、
Adobe Readerが強制終了させられるだけの場合もあるという。
これがAMD64の事かな?
457: ◆W07s5cWHb.
09/04/09 13:29:05
>>454
少なくてもUACを切って使っているのがデフォだと思うんで、
そーいう奴は知らず知らずにキーロガー等だけ仕込まれてて涙目って感じだと思う。
とにかく、過信や油断したら負けだと思う。
458:名無しさん@お腹いっぱい。
09/04/09 13:33:30
UACってあれか、コンパネいじくってるとよく出てくる「許可くれよ」ってやつか
あれを切って、許可する手間が省ける以外にメリットあんの?
459:名無しさん@お腹いっぱい。
09/04/09 13:33:47
>>439
?id=2の変造PDFによるバッファオーバーフローで?id=10のexeがダウンロード・実行させる
その1つが通称La.exe
?id=10で落ちてくるexeは数種類あるようだ
時間とともに差し替えられたのか、何らかの条件に基づいて選ばれるのか、はたまた
ランダムなのかは不明
いわゆるLa.exe(15872 bytes)
6de7f96fe398ca304b1992869faf55c7
いわゆる8lv.exe(15360 bytes)【実物は未確認】
791509d03706cbc8883536b5131341d4
さらに別のexe(16384 bytes)
2586a42cfdc03ea62694f5641b5d7633
また、?id=3のFlash(swf)もバッファオーバーフローを引き起こす変造ファイルだと
思われるが詳細不明
460:名無しさん@お腹いっぱい。
09/04/09 13:34:26
カスペのオンラインが薦められてるけどノートンのオンラインスキャンでも検知してくれますか?
461:名無しさん@お腹いっぱい。
09/04/09 13:35:22
UAC嫌でVISTA使う意味が分からん
462: ◆W07s5cWHb.
09/04/09 13:37:38
>>459
補足すると、それらのEXEに共通するのは皆u.batを生成するって点だよね。
>>439さんは既存の海外のウィルス情報に全然目を通していないみたいだけど、
もうちょっと勉強したほうがいいと思う。
463:名無しさん@お腹いっぱい。
09/04/09 13:37:41
>>457 トン。
>>458
例えば、だ。
VISTA使いが2ちゃで短縮urlやただの画像を踏んだ時
そうした警告がでたらどうする
464:名無しさん@お腹いっぱい。
09/04/09 13:39:19
XPの制限ユーザーでもGENOにやられますか?
465:名無しさん@お腹いっぱい。
09/04/09 13:41:14
あれ・・・
>>458
UAC切ってメリット →UAC使ってメリット と脳内変換してた、ごめん
466:名無しさん@お腹いっぱい。
09/04/09 13:42:16
よし、今から俺が初心者質問対応係になるよ
ただし、今から寝る。いつ起きるかもわからん。
467:名無しさん@お腹いっぱい。
09/04/09 13:43:56
>>452
英語力なさすぎて嘆いてるのか本気で言ってるのか読めない
468:名無しさん@お腹いっぱい。
09/04/09 13:45:01
頭が禿げてきたんだけどこれなにウィルス?
469:名無しさん@お腹いっぱい。
09/04/09 13:46:14
HAGENOウイルス
470:名無しさん@お腹いっぱい。
09/04/09 13:46:48
>>460
対応は遅かったけど、今は先生でもOK
471: ◆W07s5cWHb.
09/04/09 13:47:11
>>468
白癬菌ウィルス。
最寄の皮膚科へどうぞw
472:439
09/04/09 13:48:58
>>459
なる程、
勘違いしてたわw
473:名無しさん@お腹いっぱい。
09/04/09 13:51:11
>>471
水虫かよ。
474:名無しさん@お腹いっぱい。
09/04/09 13:52:28
VB2009が蹴ったアドレス、末尾が?id=101だった。
この末尾の数字が違うと、落ちてくるウイルスも違うってことかな?
475:名無しさん@お腹いっぱい。
09/04/09 13:54:32
>>474
それはわからない
ただ共通してu.batを作るのはわかってる
476:名無しさん@お腹いっぱい。
09/04/09 14:01:44
まぁ自業自得だな
いまだにXP使ってるからこういうことになる VISTAなら大丈夫
VISTA SP1 Mozilla Firefox
Adobe Reader 9 flash プレーヤー10
が最強
477:名無しさん@お腹いっぱい。
09/04/09 14:06:36
笑ってあげたほうがいいかな?
わし的には失笑なんだが
478:名無しさん@お腹いっぱい。
09/04/09 14:08:04
>>477
海外では3月28日の報告があるみたいだ。
479:名無しさん@お腹いっぱい。
09/04/09 14:17:39
高校入学祝いにやっと買ってもらってPCがVISTA機で
中学時代にXP機買ってもらってるツレに相手にされない
香具師がうるさいスレはここですか
480:名無しさん@お腹いっぱい。
09/04/09 14:26:50
>>479
高校入学祝いに買ってもらったPCは n88日本語BASICが
付いたPC9801VXだったお!!
481: ◆W07s5cWHb.
09/04/09 14:28:08
ラトビアのIPの94.247.2.195でぐぐると
↓の公開DBがヒットしたわ。
これを見た限り、少なくても3/25の段階で
ラトビアのIPに関してチェックしようとしている人がいたんで、
クラッカーがウィルスの動作チェック等に使ったのか
サイトを書き換えられてしまったWebマスター等が確認の為に使ってた痕跡だと思う。
VisualRoute Database Reporting
URLリンク(visualroute.visualware.com)
2009%2F03%2F24+19%3A55.56&dtotext=2009%2F03%2F25+19%3A55.56&pg=21&perpg=50
※URL長すぎなんて改行してます。。。
ぐーぐる先生の日本語訳
URLリンク(translate.google.co.jp)
search%3Fdfromtext%3D2009%252F03%252F24%2B19%253A55.56%26dtotext
%3D2009%252F03%252F25%2B19%253A55.56%26pg%3D21%26perpg%3D50&ei=
ioXdSfbEB8yNkAX2l9ybDg&sa=X&oi=translate&resnum=1&ct=result&prev=
/search%3Fq%3D94.247.2.195%26hl%3Dja%26lr%3D%26sa%3DN%26start%3D60
※URL長すぎなんて改行してます。。。
482:名無しさん@お腹いっぱい。
09/04/09 14:29:32
中学入学祝いにせがんだのがappleⅡplus
483: ◆W07s5cWHb.
09/04/09 14:31:13
小学生の頃に友達がPC6001を買ってもらったのに触発して
親に駄々こねて買ってもらったのがSordのM5♪
484:名無しさん@お腹いっぱい。
09/04/09 14:32:37
馬鹿にされ、MSからもスルーされ、各業界からも屑扱い
悲しい日々を送っている糞OSのVISTA厨歓喜!
でもVISTAが大丈夫というのは都市伝説だったwww
485:名無しさん@お腹いっぱい。
09/04/09 14:33:38
XP豚涙拭けよ?>>484
486:名無しさん@お腹いっぱい。
09/04/09 14:35:46
XP使ってるゴミどもw
487:名無しさん@お腹いっぱい。
09/04/09 14:39:44
>>407
バスター2009入れてたけど感染したよorz
不正変更の監視がエクスプローラの書き換え要求を検知したけど
もうその時点では感染してやられてたわけだから後の祭り。
キャッシュに残ってた本体exeもスクリプトも感染後にチェックしてもスルーだった。
つーか毎回こんなこと書いてるな俺。
operaなら大丈夫?
orz
AMD64なら大丈夫?
orz
バスターはいってれば大丈夫?
orz
488:名無しさん@お腹いっぱい。
09/04/09 14:44:49
>>459
> いわゆる8lv.exe(15360 bytes)【実物は未確認】
俺はこれだった。
バイト数でしか確認してないが、キャッシュに残ってた。
バスターは安全と判断してくれました。
489:名無しさん@お腹いっぱい。
09/04/09 14:46:49
firefoxで94.247.2.195にアクセスしたらセーフブラウジングが遮断した
以下そこに表示された「このサイトがブロックされる理由」
セーフ ブラウジング
94.247.2.0 の診断ページ
94.247.2.0 の現在のステータス
現在のところ、このサイトは疑わしくないと認識されています。
Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 272 ページのうち 0 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは2009-04-07で、このサイトで不審なコンテンツが最後に検出されたのは2009-04-07です。
Malicious software includes 240 scripting exploit(s), 16 trojan(s), 5 exploit(s).
This site was hosted on 1 network(s) including AS12553.
有害な不正ソフトの感染を広げる媒介をしていたかどうか
過去 90 日に、94.247.2.0 は ultimathulelodge.com/, zavallis.com/, databpo.com/ を含む 4 サイトの感染媒体として機能していたようです。
不正なソフトウェアをホストしていたかどうか
はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。serona.pe.kr/, hitzwallpaper.com/, firat.edu.tr/ を含む 7560 個のドメインを感染させています。
Updated 36 hours ago
490:名無しさん@お腹いっぱい。
09/04/09 14:50:02
7560・・・
491:名無しさん@お腹いっぱい。
09/04/09 15:00:57
>7560 個のドメインを感染させています。
ちょっとwなにそれ
492:名無しさん@お腹いっぱい。
09/04/09 15:01:36
悪意あるウェブサイトが進化、セキュリティベンダーの目を盗む手口も
URLリンク(www.security-next.com)
493:名無しさん@お腹いっぱい。
09/04/09 15:04:48
そろそろ騒動も下火になってきたな。
494:名無しさん@お腹いっぱい。
09/04/09 15:07:53
サイト乗っ取り→ゼロデイアタック→あぼん
序章にすぎん
495:名無しさん@お腹いっぱい。
09/04/09 15:09:16
某サイトの青板には今回のウイルス被害はないのか
496:名無しさん@お腹いっぱい。
09/04/09 15:10:44
>>493
つかまだ騒動知らない人の方が大半だよ。
今後改竄されたサイトが増えるにつれて更に被害が拡大するだろ。
497:名無しさん@お腹いっぱい。
09/04/09 15:12:56
ノーガードでもadobeも一切入れてない俺は完全セーフ。
ノーガードの俺にいつも文句言ってたおまいら涙目w
498:名無しさん@お腹いっぱい。
09/04/09 15:14:50
>>495
なんせログに現れないからな
実はいたりして
SpywareWarriorで話題にはなってたな
499:名無しさん@お腹いっぱい。
09/04/09 15:14:52
282 : クレマチス・モンタナ(北海道) [] :2009/04/07(火) 21:43:42.14 ID:CWnPkqk+
flash playerについて試してみた。IE6/2k。
やっぱりこのswfは flash player 9.0.115.0 以前に存在する脆弱性を利用したもの。
9.0.115.0でswfを読み込んでみたが、実行ファイルがダウンロードされコマンドプロンプトが立ち上がる。
9.0.124.0 以上であれば何も起こらず、攻撃は失敗するようだ。
500:名無しさん@お腹いっぱい。
09/04/09 15:17:53
何時亜種が出てもおかしくない状況で
「俺は○○○だから感染しない」とか言ってる奴は
危機意識が薄すぎるだろw
501:名無しさん@お腹いっぱい。
09/04/09 15:18:43
安価忘れてた
>>395
>>499
502:名無しさん@お腹いっぱい。
09/04/09 15:21:11
>>500
主にν速民だな
503: ◆W07s5cWHb.
09/04/09 15:22:51
>>502
ν速民でもおいらみたいな情報強者もちゃんといるんだけどなw
504:名無しさん@お腹いっぱい。
09/04/09 15:24:18
だよなぁ・・・ここ数日は触れ始めたばかりのUbuntuLinuxに
火狐+addonでネット系は使ってるけどこれだって安心とは言えないでしょ?
505: ◆W07s5cWHb.
09/04/09 15:26:56
>>504
今や、本当に安全なWeb閲覧環境なんてPC-DOSとWebBoyの組み合わせ位しかないと思うw
殆どのサイトが閲覧不可だけどなw
てか、発売元のIBMのサイトすらブラウズ出来ないと思う。試したこと無いけど。
506:名無しさん@お腹いっぱい。
09/04/09 15:28:23
7560…。社内に注意喚起しておこう。これは洒落にならん。
客先から問い合わせが殺到する前に手を打っておこう。
507:名無しさん@お腹いっぱい。
09/04/09 15:29:55
こりゃ、サイバーテロものだな
508:名無しさん@お腹いっぱい。
09/04/09 15:30:22
セキュ板でコテつける奴って変な奴しかいないよな
509: ◆W07s5cWHb.
09/04/09 15:30:31
>>506
IT担当者として適切な対応だね。
イントラ掲示板とか、社内回覧板なんかで注意喚起を促したほうが良いと思う。
510:名無しさん@お腹いっぱい。
09/04/09 15:31:12
CNET
URLリンク(japan.cnet.com)
511: ◆W07s5cWHb.
09/04/09 15:31:14
>>508
だから本当は酉使いたくないんだけど、この際仕方ない。
512:名無しさん@お腹いっぱい。
09/04/09 15:33:50
>>511
なにが仕方がないの?
513: ◆W07s5cWHb.
09/04/09 15:37:38
>>512
ウィルス並の基地外に成りすまされたくないからw
ここはID無しの釣堀なんだから仕方ないだろw
514:名無しさん@お腹いっぱい。
09/04/09 15:39:23
ID出ない板だからじゃね。見るほうも酉付けてもらったほうがいいわ。
515:名無しさん@お腹いっぱい。
09/04/09 15:41:41
むしろコテでまともなやつなんて
ほとんど見たことない
まぁ例外もあるけど
酉は付けてもらわないとむしろ困る
516:名無しさん@お腹いっぱい。
09/04/09 15:42:24
やたらComboFix、ComboFix言って
一時期いたSmitFraudFix無責任に進める奴、使う奴が出てきそうな感じw
517:名無しさん@お腹いっぱい。
09/04/09 15:44:36
酉つけなくても発言内容が薄ら寒いからわかる
518:名無しさん@お腹いっぱい。
09/04/09 15:47:43
いつも通り殺伐としてきて安心した
519:名無しさん@お腹いっぱい。
09/04/09 15:48:18
ラトビアのほう、サーバ管理者にコンテンツ消されたかな
クッキーを食わせるJavaScriptも返ってこなくなった
代わりに「There is no site at this address!!」というテキストが
520:名無しさん@お腹いっぱい。
09/04/09 15:51:42
マルウェア配布サイトは大抵数日て消えるからな
521:名無しさん@お腹いっぱい。
09/04/09 15:52:43
>519
生きてるよ
522:名無しさん@お腹いっぱい。
09/04/09 15:52:45
見る側のセキュリティ対策はもちろんだが、
サイト運営管理の側も改竄されないようにちゃんと対策しといてもらいたい。
検出未対応な強力ウィルスを使われたらどうにもならん。
523: ◆W07s5cWHb.
09/04/09 15:56:26
>>517
ぎくっ
まぁ、文体でバレバレだと思うけど、逆に簡単に成りすまされやすいんで。
524:名無しさん@お腹いっぱい。
09/04/09 15:57:02
URLリンク(itpro.nikkeibp.co.jp)
URLリンク(www.ipa.go.jp)
Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正した最新版とか
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正した最新版ですかね
525:名無しさん@お腹いっぱい。
09/04/09 16:29:44
>>336あたりまとめてJPCert/CCにも送ってみるよ
あそこのMLで流れてくれればおそらく被害が出てる
企業なんかでもこれを知る人が出てくるとおもう
526: ◆W07s5cWHb.
09/04/09 16:33:35
>>525
判ってると思うけど、>>336の最後の結論はネタだからな。
527:名無しさん@お腹いっぱい。
09/04/09 16:39:16
>>521
jquery.jsは生きてますな
ほかは内容をエラーメッセージに変えただけか
528:名無しさん@お腹いっぱい。
09/04/09 16:41:10
酉付けてるなら無駄話してないで早く全貌を解明して
対策と対処を明確にしたまえ。
529:名無しさん@お腹いっぱい。
09/04/09 16:41:59
>>526
もちろんはあくだ
まとめてて思ったけどクライアントPC視点とWebサーバ視点の
両方報告いるねこれ
530: ◆W07s5cWHb.
09/04/09 16:44:14
>>529
そう。
鯖側に関してもまだ感染経路が判明していないんでその点の注意喚起も必要。
てか、これ以上の被害拡大を防ぐ手立ては鯖の感染数を減らすのが一番なんだから。
531:名無しさん@お腹いっぱい。
09/04/09 16:46:49
>492
>527
532:名無しさん@お腹いっぱい。
09/04/09 16:52:44
【審議中】
_,,..,,,,_ _,,..,,,,_
_,,..,,,_/ ・ω・ヽ/・ω・ ヽ,..,,,,_
./ ・ω_,,..,,,,_ l _,,..,,,,_/ω・ ヽ
| / ・ヽ /・ ヽ l
`'ー--l ll l---‐´
`'ー---‐´`'ー---‐´
533: ◆N9P3SuvBPo
09/04/09 17:01:14
HijackThisやRSITのログにも現れないということだが、
SilentRunnersやKVRTやGMERのログにも現れないのか?
534:名無しさん@お腹いっぱい。
09/04/09 17:09:34
URLリンク(internet.watch.impress.co.jp)
535:名無しさん@お腹いっぱい。
09/04/09 17:14:43
とりあえずこんな感じにまとめてみたけど
なんか足らんとかわかりにくいわボケとかあったらいってね
URLリンク(www1.axfc.net)
長文テキストなんでめんどい人はスルーで
536:名無しさん@お腹いっぱい。
09/04/09 17:15:28
IDでないんだった><
>>535は>>525れす
537:名無しさん@お腹いっぱい。
09/04/09 17:20:56
ちょ、その結論ヤバスw
538:名無しさん@お腹いっぱい。
09/04/09 17:25:56
> 各種ウィルス本体をInternetTempが展開される
日本語でOK
> chmファイルの脆弱性を利用しようとしている模様
これ確定してたっけ?
539:名無しさん@お腹いっぱい。
09/04/09 17:27:48
まじお役立ちツールサンクス
540:525
09/04/09 17:46:48
やっぱりわかりにくいんでサーバとクライアントわけます
>>538
指摘thx
コピペしてちょっと改変とかだからおかしいとこあるかもしんない
chmはどっかにあがってた気がするけど忘れた
確定じゃないかもしれんからやめとくか
541:名無しさん@お腹いっぱい。
09/04/09 18:03:36
とりあえず家族のPCのadobeReaderのJS切ってきた
説明するのに苦労したよ・・・・・・・
542:名無しさん@お腹いっぱい。
09/04/09 18:07:48
マジびっくりした。起動したまま放置してたらPCがピロリッとか言うんで見てみた。
全てパッチ済みで踏んだXPのSP3なんだけどいつの間にかTR/Agent.caaj [trojan]が、
\System Volume Information\_restoreに潜り込んでた。
ここからexeを呼ぶということは他に仕組みが動いてるはず。やばい。ある日突然活動開始するかも。
543:525
09/04/09 18:09:07
サーバとクライアントわけて修正
これで出そうかなと
URLリンク(www1.axfc.net)
544:525
09/04/09 18:24:04
語尾とか言葉の修正と参考URL適当に追加して送るわ
545:名無しさん@お腹いっぱい。
09/04/09 18:26:19
で、うちバスターなんだけど
各社のウイルス対応状況はどうなの?
カスペ・ノートンはOK?
GENOが情報出さないから(情報出す能力がない?)
どんな事サイトにされたかウイルス仕掛けられたのかが判ってない状況で
各社に対応してもらってないのか
調べてると情報が色々あって判んなくなってきたわ
546:名無しさん@お腹いっぱい。
09/04/09 18:29:14
>>545
半年ROMってろ
547:名無しさん@お腹いっぱい。
09/04/09 18:32:14
半年後には沈静化してるだろうがな
548:名無しさん@お腹いっぱい。
09/04/09 18:33:07
んじゃ、100年ROMってろ
549:名無しさん@お腹いっぱい。
09/04/09 18:34:55
前にexplore.exe改竄された時Dr.Webで修復出来たような・・・
550:名無しさん@お腹いっぱい。
09/04/09 18:38:34
ROMって判んなくなってきてるから聞いたのに。。。
100年ROMってマス
551:名無しさん@お腹いっぱい。
09/04/09 18:39:04
//www.naxos.co.jp/
【お詫び】
2009年4月7日午前より、8日昼頃にかけまして、弊社サイト内で
障害が発生しておりましたが、現在は復旧致しております。
ご迷惑をおかけ致しましたことをお詫び申し上げます。
なお、上記期間中に弊社サイトをご覧になられた場合、
パソコンによっては、ウイルスに感染している可能性がございます。
お心当たりの方は、大変恐れ入りますが、お使いのパソコンの
ウイルスチェックや、ウイルスソフトの最新版へのアップデートなどの
ご作業をお願い申し上げます。
(2009年4月8日 15時30分 ナクソス・ジャパン株式会社)
552:名無しさん@お腹いっぱい。
09/04/09 18:47:27
ウィルスソフト最新にしちゃらめえええええええええ
553:名無しさん@お腹いっぱい。
09/04/09 18:48:22
/)
///)
/,.=゙''"/
/ i f ,.r='"-‐'つ____ キャッシュ削除すりゃぁいいんだよ!!
/ / _,.-‐'~/⌒ ⌒\
/ ,i ,二ニ⊃( ●). (●)\
/ ノ il゙フ::::::⌒(__人__)⌒::::: \
,イ「ト、 ,!,!| |r┬-| |
/ iトヾヽ_/ィ"\ `ー'´ /
554:名無しさん@お腹いっぱい。
09/04/09 18:51:10
> ウイルスソフトの最新版へのアップデート
ダメだなこりゃ
555:名無しさん@お腹いっぱい。
09/04/09 18:52:36
ソフト最新にして再起動であぼんですねわかります
556: ◆W07s5cWHb.
09/04/09 18:53:52
あんちとうんちの違いに迷ってそのまま付けずにテキトーに書いた感じだなw
557:名無しさん@お腹いっぱい。
09/04/09 18:55:06
まあIIS5.0じゃこんなもんだろうな・・・
とりあえずJPCert/CC送信完了
558: ◆W07s5cWHb.
09/04/09 18:59:41
どうみても管理者不在鯖だな。
>>557
もつかれちゃん。
559:名無しさん@お腹いっぱい。
09/04/09 19:01:52
攻撃サイトとして報告されています!と火狐に怒られるんだが・・・
URLリンク(www.umax.net)
「Google が最後にこのサイトを巡回したのは2009-04-06で、
このサイトで不審なコンテンツが最後に検出されたのは2009-04-06です。」
だって。
560: ◆W07s5cWHb.
09/04/09 19:05:40
>>559
うちのIEでは全然問題ないな。
てか、UMAXが感染したら格安メモリ厨完全死亡だなw
561:名無しさん@お腹いっぱい。
09/04/09 19:08:00
今sqlsodbc.chmのMD5を確認してみたが
F639AFDE02547603A3D3930EE4BF8C12 だった
まあ安全圏だな
562:名無しさん@お腹いっぱい。
09/04/09 19:12:45
>>560
迷わず突撃するお前が大好きだ
atom機用に一枚ポチったらこの騒ぎにこのタイミングだw
563: ◆W07s5cWHb.
09/04/09 19:15:50
>>562
ちなみにトップページしか見てないんで、そこんとこよろしこ。
UMAXの全てのコンテンツの現段階での安全性を保障している訳じゃないんで。
てか、若しかしてUMAXもGenoウィルス食らってて
書き換えられた部分を修正した後なのかも知れないな。
564:名無しさん@お腹いっぱい。
09/04/09 19:16:48
感染したドライブのバックアップから感染ファイルを復元するためにリアルタイム検索を停めて
あれこれやってたらtmproxyがランタイムエラーで落ちたorz。
落ちるなよ…
再起動したらIPフレンドがIEの設定を変えようとしていると不正変更の監視に引っかかるし
またやられたかなぁ。
まだ復元してなかったんだけどなぁ。
今の所前回みたいな症状は何も出てないしcmdもregeditも動いてる。
netstatでもあやしい接続はない。
IPフレンドもハッシュはZIPから解凍したオリジナルと変わらない。
バスターによるウイルス検索もクイック検索では何も出てこない。
とりあえずこのままオンラインチェックをやって問題ないようなら様子見だな…
565:名無しさん@お腹いっぱい。
09/04/09 19:17:59
VISTAが守ってくれました
ありがとうVISTA
566:名無しさん@お腹いっぱい。
09/04/09 19:42:29
なんか自分語りとか雑談で連投してるやつがキチガイに成りすまされたら~みたいなこといってるけど
お前だろうが他のキチガイだろうがこっちからしたら同じだってことに気づいてくれないもんかな
やっぱキチガイだから無理か
567:名無しさん@お腹いっぱい。
09/04/09 19:46:55
な
お
や
568:名無しさん@お腹いっぱい。
09/04/09 19:50:46
清書して送信したバージョンうpっときます
URLリンク(www1.axfc.net)
569:名無しさん@お腹いっぱい。
09/04/09 19:55:52
GENOウイルススレ
スレリンク(sec板)
570:名無しさん@お腹いっぱい。
09/04/09 19:58:53
なるほど。>>566が ◆W07s5cWHb.の言っていた
ウィルス並みの基地外か。
571:名無しさん@お腹いっぱい。
09/04/09 20:02:58
>>568のミスって名前とメアド入ってたんで削除しました
URLリンク(www1.axfc.net)
572: ◆W07s5cWHb.
09/04/09 20:04:10
>>571
ドジっ子めっ♪
573:名無しさん@お腹いっぱい。
09/04/09 20:04:52
574:名無しさん@お腹いっぱい。
09/04/09 20:07:24
結局「GENOウィルス」って名称で確定したのか?
GENO涙目だな。
575:名無しさん@お腹いっぱい。
09/04/09 20:09:34
>>571
おつ
576: ◆W07s5cWHb.
09/04/09 20:13:28
>>574
てか、特定のセキュリティ製品の定義ファイルで使われているからな。既に。
577:KD125054108237.ppp-bb.dion.ne.jp.2ch.net
09/04/09 20:16:52
geno geno
578:名無しさん@お腹いっぱい。
09/04/09 20:17:19
>>568
>>571
ゲットしたぜw
579:名無しさん@お腹いっぱい。
09/04/09 20:21:19
>>577
入れた?
580:名無しさん@お腹いっぱい。
09/04/09 20:23:38
>>577
何だお前さんだったのかw
乙
581:名無しさん@お腹いっぱい。
09/04/09 20:23:40
まだぶっちゃけ何をするウィルスかは分かってないだろ・・
実は匿名でwindowsの欠陥を直してくれている正義ウィルスだったり
582:名無しさん@お腹いっぱい。
09/04/09 20:26:09
>>566
なんか
お前だ
やっぱ
583:名無しさん@お腹いっぱい。
09/04/09 20:26:51
いや使用者に無断で何かするのは正義とは言えないだろww
584:名無しさん@お腹いっぱい。
09/04/09 20:28:17
>>576
で、お前がトリップがどうのと言い始めたことが火種になって荒れはじめたのは、
どう解決してくれるの?
585:名無しさん@お腹いっぱい。
09/04/09 20:28:32
>>568
なれないことはするもんじゃないねw
586:名無しさん@お腹いっぱい。
09/04/09 20:31:47
>>577
だれだよw
>>585
ですよねー
本名じゃないから大丈夫だけどいたずらメールしないでね><
587:名無しさん@お腹いっぱい。
09/04/09 20:35:12
おれの突撃フォルダにあるメールボムは上限1,000通らしいが
588:名無しさん@お腹いっぱい。
09/04/09 20:35:57
何、なんでこんな馴れ合いスレになってるんだ?w
589:名無しさん@お腹いっぱい。
09/04/09 20:36:28
>>586
本名じゃないから晒してもいい?
つか、メアドググルといろいろヒットするんだね…
590:名無しさん@お腹いっぱい。
09/04/09 20:36:29
GEBO
591:名無しさん@お腹いっぱい。
09/04/09 20:37:33
VMじゃうまく感染できないから力になれんのだよ
592:名無しさん@お腹いっぱい。
09/04/09 20:38:04
対策のまとめまだ~
593:名無しさん@お腹いっぱい。
09/04/09 20:39:01
>>588
ν速民が流れ込んできた
594:名無しさん@お腹いっぱい。
09/04/09 20:41:23
お前ら玄人面しててワロタw
595:名無しさん@お腹いっぱい。
09/04/09 20:43:33
>>589
メアドあせって検索したけどでてこなかった
アレありそうな名前だから誰かかぶったらかわいそうなんだが
596:名無しさん@お腹いっぱい。
09/04/09 20:45:21
>>595
晒したメアドは破棄するのが常識だぞ
597:名無しさん@お腹いっぱい。
09/04/09 20:48:03
>>595
新たなメアドと新たな名前で再送しとけ。
598:名無しさん@お腹いっぱい。
09/04/09 20:48:15
URLリンク(crestronjapan.com)
ほかまだ直ってないんだけど、これ通報してもいいレベルだろ
599:名無しさん@お腹いっぱい。
09/04/09 21:02:19
すいません577です
裏に入れると書いてたのがあってやってみました(^_^;)
間違えたようですm(_ _)m
600:名無しさん@お腹いっぱい。
09/04/09 21:04:44
>>599
ドン
裏で待ってるよw
601: ◆W07s5cWHb.
09/04/09 21:11:37
ν速のスレ見てる奴は把握してると思うけど、ちと大きめなサイトが来たな。
**** 価格比較のECナビ Part43 ****
スレリンク(point板:84番)
84 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/04/07(火) 12:26:50 ID:AHGC13lc0
今日の■□□□をクリックすると、カス7が木馬だ木馬だと騒ぐんだが
カスだから誤検知かなぁ
602:名無しさん@お腹いっぱい。
09/04/09 21:13:45
>601
それmag-puppine.com/about/だろ?
603: ◆W07s5cWHb.
09/04/09 21:15:18
>>602
あ、結局お勧めの中の鯖がそうだったんだっけか。
すまんな。
604:名無しさん@お腹いっぱい。
09/04/09 21:18:40
>>598
直リンすんなキモブタ
605:名無しさん@お腹いっぱい。
09/04/09 21:20:17
>>604
おい名無し
張り切っているのはわかるが図に乗るのはほどほどにしておけ・・・
ここでいきなり引退させてやろうか?
606: ◆N9P3SuvBPo
09/04/09 21:20:31
>>598
ほかというか、そのトップすら直ってないんじゃないか?
ソースにもろ問題のコードがあるし。
でも直リンはしないでくださいね。
607:名無しさん@お腹いっぱい。
09/04/09 21:22:59
いよいよ始まったか
608:名無しさん@お腹いっぱい。
09/04/09 21:24:04
>>598
直リンすんなキモブタ
こうですか?わかりません><
609:名無しさん@お腹いっぱい。
09/04/09 21:26:29
まだ対応してないアンチウイルスソフトってあるんですか?
610:名無しさん@お腹いっぱい。
09/04/09 21:40:25
>>598
直リンすんなキモブタ
611:名無しさん@お腹いっぱい。
09/04/09 21:42:56
>>598
直リンすんなキモブタ
612:名無しさん@お腹いっぱい。
09/04/09 21:47:17
>>609
ソフト次第で検知レベルにも色々と差があるから対応/未対応の区別は難しい
でも調べたところウイルスセキュリティZEROが未対応なのはガチ
613:名無しさん@お腹いっぱい。
09/04/09 21:55:00
>>612
横から申し訳ないんだけど、本体はまだほとんど検知できないってマジ?
614:名無しさん@お腹いっぱい。
09/04/09 21:58:36
くそっ またフリーズした このウィルスめ・・・
買い物は全て激安通販でって思ってたのに情けない・・・
笑っちゃうよねっ 馬鹿みたいだけどさ・・・ 俺は
新品ノートPCが激安で売ってるショップがあるからって見に行っただけなのに・・・
正直・・・ 面食らっちゃって 動揺を隠すよう振舞うので精一杯だった・・・
俺は・・・ 本当は・・・ 悔しいですっ!!
615:名無しさん@お腹いっぱい。
09/04/09 21:59:03
先日の土曜日午前にGENOにアクセスして
ブラウザ(ニール)落ち。その後数回試すも同じ
その後、IEで試しても落ち。
Readerは起動せず。
AdobeReaderは9.1
flashは最新じゃなかったかも
OSはXPsp3
で各サイトでかかれいてる検証方法をいろいろ試したのですが
どれもヒットなし。
これって助かってるんですかね?
616:名無しさん@お腹いっぱい。
09/04/09 22:05:33
再起動すれば、完全に分かるよ。
お勧めはしませんが。
617:名無しさん@お腹いっぱい。
09/04/09 22:07:28
俺は土曜日午後一時頃にGENOにアクセスして
ブラウザ(ニール)全く変化無し IEで試しても変化無し
Readerは起動せず。
AdobeReaderは6.0
flashは不明
OSはMe
jsは常に切ってる
で各サイトでかかれいてる検証方法をいろいろ試したのですが
どれもヒットなし。
アンチウィルス オンラインウィルス アンチスパイウェアどれも検知せず
これって助かってるんですかね?
618: ◆W07s5cWHb.
09/04/09 22:09:21
>>615
土曜日午前だと判断に窮するな。
ぶっちゃけ、その頃には既にgeno鯖が改ざんされていたと思われるんで。
とにかく、疑わしい場合は手間を惜しまずに可及的速やかにクリーンインストールかリカバリを行うべき。絶対に。
619:名無しさん@お腹いっぱい。
09/04/09 22:10:22
まとめるとこういう事だな
URLリンク(kissho.xii.jp)
620:名無しさん@お腹いっぱい。
09/04/09 22:12:29
>>618
ジャバスクリプト切ってても感染するの?
621:名無しさん@お腹いっぱい。
09/04/09 22:14:51
不安なら>>191にある方法試してみたら?
622:名無しさん@お腹いっぱい。
09/04/09 22:15:03
>>618
俺は? ねえ俺は?
623: ◆W07s5cWHb.
09/04/09 22:15:27
>>620
切っていれば理論上感染しない。
てか、情報を小出しに質問すんなっての。
624: ◆W07s5cWHb.
09/04/09 22:16:51
>>622
めんどいからぼるおっさんにでも聞いて来い。
ぼるじょあ(・3・)質問箱 セキュ板出張所27
スレリンク(sec板)
625:名無しさん@お腹いっぱい。
09/04/09 22:18:44
>>623
書いてるだろうが
626:名無しさん@お腹いっぱい。
09/04/09 22:18:50
>>624
どうせ暇なんだから答えてやれ
627:名無しさん@お腹いっぱい。
09/04/09 22:19:33
(・3・) エェー
レスまとまってる>>336は定期的にageていくべき
628:名無しさん@お腹いっぱい。
09/04/09 22:20:11
>>627
名にそのKAO?
馬鹿に支店の?
629: ◆W07s5cWHb.
09/04/09 22:24:20
>>626
こー見えても桜花賞の展望を検討とか予想したりして何気に結構忙しかったりするw
630:名無しさん@お腹いっぱい。
09/04/09 22:25:11
(・3・) エェー バカになんてしてないYO!
631:名無しさん@お腹いっぱい。
09/04/09 22:27:02
>>601のECスレの84なのですが、それを踏んだ時にkasperskey7.01.325を一時切ってました...
踏んだと同時にadobe readerの9.01へのupdateが起動kasperskeyの更新処理が同時に発動し、CPUが100%近くになり固まったため
電源落として強制的に終了
その後再起動しkasperskeyもオンにして再度踏んだら84だったワケですが、後でやった完全スキャンでは何も出ませんでした
>>336を見て
・再起動後regedit.exeは問題無く起動、cmdも同じく起動
・sqlsodbc.chmの値はここの>>84と同じf639afde02547603a3d3930ee4bf8c12(50,727 バイト)
・>>191のページは取り消されたアクションになるがダウンロードはできる
なら、取りあえず可能性は低いとみて良いでしょうか
632:名無しさん@お腹いっぱい。
09/04/09 22:28:23
>>613
マジ。
つい最近ネタのつもりで買ったんだけど
噂に違わぬ検知力だと実感w
633:名無しさん@お腹いっぱい。
09/04/09 22:29:57
自分のブログにここのまとめ書いていいのかな…
634:名無しさん@お腹いっぱい。
09/04/09 22:30:14
nod32は?
635:名無しさん@お腹いっぱい。
09/04/09 22:30:32
>>631
>>314
636:名無しさん@お腹いっぱい。
09/04/09 22:34:11
>>631
限りなく怪しい
637:名無しさん@お腹いっぱい。
09/04/09 22:35:00
>>631
adobe readerとflashのバージョンは?
638:名無しさん@お腹いっぱい。
09/04/09 22:36:00
>>631
とりあえずキャッシュ消せ
それで解決って感染元が言ったんだから、それで間違えたら責任追及できる
639:名無しさん@お腹いっぱい。
09/04/09 22:36:46
>>633
皆が賛成すればOKじゃないだろうか。
2chのスレだと、読みにくいし、
規制されている人もいるから。
640:名無しさん@お腹いっぱい。
09/04/09 22:38:22
readerがタイミング良すぎてやっぱり怪しいですか....
>>631
当時は9.0今は最新に、flashは現在最新にしてしまって当時は分かりません
641:名無しさん@お腹いっぱい。
09/04/09 22:38:46
>>633
知識がない奴が間違ってGENO踏まないような配慮すりゃいいんじゃない
642:640
09/04/09 22:39:23
×>>631
○>>637です
643:名無しさん@お腹いっぱい。
09/04/09 22:39:48
>>631
>>637次第でかなり絞られる
感染例のあるバージョンだと
どう潜んでるかわからんから安全かどうかなんて誰もわからんよ
セキュ板住民ですらお手上げでJPCERT/CCの回答待ちなんだから…
644: ◆W07s5cWHb.
09/04/09 22:39:49
>>631
感染の可能性が高い低いって観点で考えないで、↓の様に考えた方がいいと思う。
・ウィルスを踏んだ恐れがあるPC内に個人情報や消されたり外部に流出しても痛くも痒くもない物しか入っていないのなら、
そのまま使い続けても構わない。
・そのPCで定常的にネットバンキングの残高照会をしたり、競馬のPAT投票をしたり、
アマゾンやその他のネット通販でカード番号を入力したりする事がある場合は、
面倒がらずにとっとと再インストールかリカバリをする。
645:名無しさん@お腹いっぱい。
09/04/09 22:40:04
FOXが何らかの対処とればいいんだが宝くじを当てるぐらいの確率でやらないなw
646:名無しさん@お腹いっぱい。
09/04/09 22:41:30
>>632
㌧。前段階で蹴らないソフトだとおしまいってことか。怖っ。
647:633
09/04/09 22:43:56
>>639
ニュースにもなってるし被害拡大しない為にも
書いてみるかな…
>>641
それだけだと自分が感染してるか心配な人が検索しまくって
間違ってGENOにいっちゃうとかありえそうでな~
2chを見るのに抵抗がある人もいるし
つーことで簡単に自分なりにまとめて書いてみます。
648:名無しさん@お腹いっぱい。
09/04/09 22:45:58
>>644
botnetに組み込まれて犯罪のお手伝いをする可能性はあるからクリーンインストール推奨
649: ◆W07s5cWHb.
09/04/09 22:48:50
>>648
まぁ、結論を言うとその通りなんだけどね。
疑わしきPCは全て再インスコorリカバリ必須って事で。
650:631
09/04/09 22:50:24
そうですね今は不確定な情報の状態だから「確実」はないので入れ直した方がいいですね
再インストールを考えた場合、こういった感染というものはC:以外にもするのでしょうか
一つのHDDをCとかDとか分割して使用してる場合や、HDDが複数ある場合も
全て感染を疑うべきものなのでしょうか?
C:だけをリカバリすれば済むものなのでしょうか
651:名無しさん@お腹いっぱい。
09/04/09 22:50:28
絶対やだ><
652:名無しさん@お腹いっぱい。
09/04/09 22:50:44
>>647
このURLは絶対踏んじゃダメリストを作って、検索エンジン使う際は
上記URLと検索結果のURLを確認すること、悪意を持って転送トラップを
仕掛けてる人が居るから怪しいURLは踏まないこととか
しっかり書いておくしかないんじゃね?
653:名無しさん@お腹いっぱい。
09/04/09 22:52:57
2chの人達がひたすらあれから調べているのに
未だに本体が分からないって凄いな
やはり書き換えの実行した後消すような感じかな
654:名無しさん@お腹いっぱい。
09/04/09 22:57:00
これまだガキでよくわからんのだけどこういうののプロになりたい
名に目指せばいいの?
655:名無しさん@お腹いっぱい。
09/04/09 22:57:51
てっぺん
656:名無しさん@お腹いっぱい。
09/04/09 23:01:35
げっげっ げげGENOげー♪
で替え歌作ってくれ。
657:名無しさん@お腹いっぱい。
09/04/09 23:02:10
しょうもな
658: ◆W07s5cWHb.
09/04/09 23:03:06
>>650
現状ではまだウィルスが具体的にどんなデータを盗み出したりする等の詳細すら判明していない状況なので、
正直誰にも「このPCは安全」と断定する事は出来ない状況です。
とにかく、面倒だというのは承知の上で言ってるんだけど、再インストールやリカバリを行うべきです。
ちなみにリカバリ方法に関しても、まだノウハウが完全に纏まっている状況ですらないです。
確実にウィルスとおさらばしたいのなら必要なファイルだけをピンポイントで抜き取って、
メーラ等のデータもメーラが正常に起動するのであればメーラ内からエクスポートして
エクスポートしたデータのみを別のPCやCD/DVD-R等に焼いてバックアップを取るなんて方法が望ましいかと。
一応、このウィルスの今までに判っている挙動を見る限り
一般的なWindows環境の場合はDドライブ内にウィルスが入り込む事はほぼ無いと思うけど、
正直保障は出来ないレベル。
659:名無しさん@お腹いっぱい。
09/04/09 23:04:25
今年の最強ウィルス?
660: ◆W07s5cWHb.
09/04/09 23:05:53
>>644をちょこっと訂正
・ウィルスを踏んだ恐れがあるPC内に個人情報を一切記録してなくて
データが消されたり外部に流出しても痛くも痒くもない物しか入ってなく、
その上で外部のクラッカー等からパソコンを踏み台にされてインターネット犯罪等に利用されても一向に構わないというのなら
そのまま使い続けても構わない。
・そのPCで定常的にネットバンキングの残高照会をしたり、競馬のPAT投票をしたり、
アマゾンやその他のネット通販等でカード番号を入力したり、
他人に知られたら恥ずかしくて生きていけなくなる様な自分のブログにログインして記事を書いたりする事がある場合は、
面倒がらずにとっとと再インストールかリカバリをする。
661:615
09/04/09 23:06:17
>>618
㌧
おそらくそのころGENOサイトは改竄されていたんでしょうけど・・・
トップにアクセスしたらしばらく表示したあと、メモリ使用量があがり、ブラウザが落ちる
って状態でした。
インスコがよさげですね。
662: ◆W07s5cWHb.
09/04/09 23:07:50
>>659
食らうとマイドキュメント等のユーザーデータを一切合財消去するウィルスがあったから
あれが一番最凶だと思う。
てか、この前食らって再インストールしたわw
663:名無しさん@お腹いっぱい。
09/04/09 23:09:18
>>662
ざまあ
664:名無しさん@お腹いっぱい。
09/04/09 23:09:57
pdfのJavaScriptを読むと
Adobe Reader 8系8.1.2未満、7系7.1.0未満、6以下全て
→CVE-2007-5659
それ以外
→CVE-2008-2992
みたいな感じで脆弱性をついているように見える。
CVE-2008-2992は8系8.1.2以下に存在する脆弱性なので、まとめると
Adobe Reader 9.0/8.1.3/7.1.0以上
であればpdfによる感染は免れるように思うんだけど、
上に挙げたバージョンのAdobe Reader使ってて感染した例はあったっけ。
665:名無しさん@お腹いっぱい。
09/04/09 23:10:41
マイドキュメントの中身300GB全部削除されたら自殺するな。オレ。
666:名無しさん@お腹いっぱい。
09/04/09 23:15:13
>>644
>>615によれば、Adobe Reader9.1で感染したような事を>>661で言ってるような・・
未対処・未知の脆弱性かも
667:名無しさん@お腹いっぱい。
09/04/09 23:15:31
>>664
8.1.3だったけど、readerの使用メモリが異常に増えたよ。
それ移行の挙動はreaderがアップデートしろって言うだけで
他に挙動不審な点はなかった。u.bat作成なし、sqlsodbc.chm改変なし
一応a-squadでいくつかウイルスは見つかったけど、
今回のものかどうかわかんないや。>>156に人も同じ感じだな
668:名無しさん@お腹いっぱい。
09/04/09 23:16:53
とりあえず、おいらは火狐のアドオンでAdobeReaderを無効化しておいた。
669:名無しさん@お腹いっぱい。
09/04/09 23:17:39
>>662
kwsk
検体ある?
670:名無しさん@お腹いっぱい。
09/04/09 23:17:44
>>658
有り難うございましす、動画が1テラ以上あるので(noエロw)そういうのはどうなのかと思いまして
何とかやってみます
>>660
個人情報ありまくりですwC:にはありませんがrobotのpassたちが
皆様有り難うございました
671:666
09/04/09 23:17:52
訂正
× >>644
〇 >>644
672:666
09/04/09 23:19:07
aaaa再訂正...orz
× >>644
〇 >>664
673:名無しさん@お腹いっぱい。
09/04/09 23:19:18
勝手に無理なOCさせてBIOSぶっこわすウイルスなかったっけ
674: ◆W07s5cWHb.
09/04/09 23:20:40
>>664
そこまで完全に把握出来てないんだけど、
確かν速のスレで9でも食らったと言ってた人がいた記憶がある。確約出来ないけど。
恐らく9.0を指していたと思うけど。
ちなみにν速の過去スレにて挙動実験をおこなってた人がいて、
その結果では8.X系に関しては
8.1.1以下でしかウィルスが動作せずに
8.1.2以上ではウィルスが動作しなかった様な事を報告していた人がいたと思う。
その点ではCVE-2008-2992の脆弱性と一致するね。
尚、その人からの7.X系や9.Xに関しての報告はあの時点では無かった筈。
もしかして貴方があの報告をしてくれた人なのかも知れないけどw
675:名無しさん@お腹いっぱい。
09/04/09 23:20:39
俺も踏んだとき、ページファイル食わされただけだった
その後、確認されている感染現象は大抵チェックしたし、普段使っていておかしなところもない
ページファイルはウィルスというよりJavaScriptの問題なのかな?
ブラウザに異常があっても、感染していないケースがあってもいいと思いたい
最近クリーンインストールしていたので、リーダー、FlashPlayer、WindowsUpdateは多分最新
676:名無しさん@お腹いっぱい。
09/04/09 23:21:09
>>659
ここ数年でも最凶レベルだと思う
このクラスのゼロデイアタックは滅多にないんじゃない?
ある程度のセキュリティ対策してる人でも余裕で感染するし
adobeのソフトウェアは入れてる人が多い割にはアップデートあんまりしない人が多いしな
677: ◆W07s5cWHb.
09/04/09 23:22:12
>>666
その可能性もゼロではないけど、正直なんともいえないな。
ちなみにうちはProExtend9.1でなんども踏みまくってるけど、全然無問題。
678:名無しさん@お腹いっぱい。
09/04/09 23:22:58
ゼロデイじゃないけどな。
しかしPDFが貼られていないページ参照でもPDFの脆弱性を突かれるとは盲点だった・・
679:615
09/04/09 23:24:31
>>666
感染したかどうかはわかりません。
ただ、今まででいてる検証ではなにも問題がでていません。
でもだからといっても安心もできないわけで・・・
680: ◆W07s5cWHb.
09/04/09 23:25:15
>>669
ノートン先生もスルーして検体すら採取出来ずに終わった。
最終的にハングって再起動→ブルースクリーンのコンボを食らった。
ぶっちゃけ、セキュ板かソフトウェア板あたりのスレに張られていたリンクを踏んで食らったんですよ。
681:名無しさん@お腹いっぱい。
09/04/09 23:26:36
この件があってから Reader8から
Reader9.1にした
682:676
09/04/09 23:27:56
>>678
そうか。なんか噂じゃ現地時間の四月二日のカナダ産って聞いたから
んでGENOが攻撃受けたのが日本の四月四日の朝だっけ
ただその前にも外国ではあったみたいだしよくわからん(三月末辺り?)
683:名無しさん@お腹いっぱい。
09/04/09 23:29:18
Adobe readerは9.1にアップデートしようとするとインストールモジュールが
70MB超なのがダルい。
この容量のせいでアップデート面倒くさがる人が多いんだろうなと思う(俺含め)
たかがReaderの分際で・・・
684:名無しさん@お腹いっぱい。
09/04/09 23:32:06
>>682
脆弱性の指摘は2008/08~
u.batの存在は2009/01~
感染報告は2009/03/28~
685:名無しさん@お腹いっぱい。
09/04/09 23:32:46
そもそもpdfが重いから嫌い、って人多いしね
見れなきゃ困るから一応入れとくけど更新はしないor更新に気がつかない、ってのが大半な気がする
686:名無しさん@お腹いっぱい。
09/04/09 23:34:30
今年に入って必死にスパム送りまくってロガーからftp手動で頑張って流行らそうとしてるktがいるんだろ
687:名無しさん@お腹いっぱい。
09/04/09 23:34:51
>>682
恐らく、同じ脆弱性を突く別のものなんじゃないかね。
で、これは使えるwwwwって、ラトビアの人が改造してばら撒いたと。
まぁ、こんな感じだから、なんとかクリーンインストールを避けたくて
ここ見に来る人も、面倒臭がらずに入れ直した方が良いよ。
あれこれやって時間だけ食って、結局入れなおす羽目になるから。
しかし、Adobe ReaderとFlash Playerの脆弱性か。これは確かに
盲点だなぁ。WinUpdateと比べて自己主張しないし、実害ないだろって
自動アップデートも告知もOFFにしてる人多そうだ。
688:名無しさん@お腹いっぱい。
09/04/09 23:38:05
4月から会社のIT委員(IT部門のような専門家じゃない)になったら
いきなりウイルス騒動でてんてこまい。
GENOの話も今日知ったので、アドビのうpdateするようにいわなきゃ。
689:664
09/04/09 23:38:18
>>666
>>667
>>674
flashの方の脆弱性をつかれてる可能性もあるから切り分けが難しいな…
ちなみにLinux上のFirefoxでも踏んだら落ちる。
メモリをバカ食いするのは、メモリを食いまくるようなコードになっているため。
sqlsodbc.chmの改変がないところを見ると>>664で正しいような気もするが…
もし他の感染例があったら報告頼む
690:名無しさん@お腹いっぱい。
09/04/09 23:39:37
>>687
いい勉強になったよ、確かに意識が低すぎたと反省しきり
脆弱性に関するニュースはちゃんとチェックしなきゃと痛感
691:名無しさん@お腹いっぱい。
09/04/09 23:40:39
携帯電話向けワームが出現,エフセキュアがマルウエア動向を発表
URLリンク(itpro.nikkeibp.co.jp)
692:名無しさん@お腹いっぱい。
09/04/09 23:44:42
このウィルスって、
メモリ馬鹿食いさせて、メモリ上のアプリを落とす。
再起動した時にメモリ上のexeを乗っ取って悪さをする。
La.exeや8lv.exe自体はウィルス的な挙動を行わず、
あくまでもメモリ上で乗っ取ったWindowsのexeで
ウィルス的な挙動をさせるってことだよね?
だから大元のファイルを特定できず、アンチウィルスソフトも
右往左往してるってことで合ってる?
693: ◆W07s5cWHb.
09/04/09 23:51:23
>>669
ちなみにちょっと思い出したけど、
確か食らったのはソフトウェア板のPerfectDiskスレの現行の一つ前のスレ内のリンクだったと思う。
ギコナビのログも採取出来なかったんで、レス番等の詳細も追えない。
で、ウィルスの挙動に関しては正直今回のGenoウィルスに結構似てて、
Regeditやメモ帳等Windows標準アプリがジャックされて起動不能になって
ProcessExplorerで確認しつつ、いじくるツールでレジストリの起動系キーを確認してる間に
Document and Settings内のファイルがジャンジャン消されてハング。
マイドキュメント内のデータが少なかった事が仇となった様で即効でハングした。
694:名無しさん@お腹いっぱい。
09/04/09 23:52:16
ウィルス本体よりも、むしろこれほどまでのウィルスを製作した奴がどんな人間なのか知りたい
まさか元Adobe社員のプログラマとかないだろうな
695:名無しさん@お腹いっぱい。
09/04/09 23:53:07
+から飛来したか
696: ◆W07s5cWHb.
09/04/09 23:53:26
あ、あと、おいらが食らったウィルスはタスクマネージャーもジャックして起動出来なかったわ。
参考までに報告。
697:名無しさん@お腹いっぱい。
09/04/09 23:53:30
最強のウィルスってのは人知れずコソーリ活動するものじゃないのか?
698:名無しさん@お腹いっぱい。
09/04/10 00:00:15
>>693
システム破壊系のウイルスなんて過去に腐るほどあるだろ・・・
699:名無しさん@お腹いっぱい。
09/04/10 00:02:05
>>697
感染力が強くて被害がでかい割にコソーリ活動するのが最強だな
今回は感染力は普通だけど2ちゃんねらの短縮URL&GENOの対応の遅れで感染力が大幅アップ
700:名無しさん@お腹いっぱい。
09/04/10 00:02:21
そもそもウイルスに最強とかないだろw
701:名無しさん@お腹いっぱい。
09/04/10 00:02:46
むしろ最近キンタマ、オンゲの垢抜きとかいうように多様化しただけで
昔はウイルス=破壊というようなイメージしかなかった
702:名無しさん@お腹いっぱい。
09/04/10 00:04:17
>>694
>>686
これがネタじゃなけりゃ神
703:名無しさん@お腹いっぱい。
09/04/10 00:05:51
>>700
そういうのを格付けしたくなる年頃なんだろ
704: ◆W07s5cWHb.
09/04/10 00:07:12
>>698
昔からある典型的なタイプだけど、恐らく一部バイナリ改変して
当時のノートン先生等をクリアしちゃう様にしてた物を踏んだんだと思う。
どうせ検出されるだろうと高をくくって踏んだら食らっちゃいましたってお話。
ノートン先生を過信しすぎてたw
705:名無しさん@お腹いっぱい。
09/04/10 00:09:39
>>702
普通にクラッカーってどこで知識つけるか知りたいんだが
706:名無しさん@お腹いっぱい。
09/04/10 00:11:23
>>705
子供は早く寝ようね
707:名無しさん@お腹いっぱい。
09/04/10 00:12:21
>>705
ネットワーク板
ホームページをハッキングする方法
スレリンク(hack板)
708: ◆W07s5cWHb.
09/04/10 00:12:48
>>705
ナビスコのオレオを沢山食べると腕が上がるって言ってたよw
709:名無しさん@お腹いっぱい。
09/04/10 00:13:27
ニコ動で動画再生するとCPU使用率が
50前後ぐらいいくんだけど元々、そんなもんかねぇ
710:名無しさん@お腹いっぱい。
09/04/10 00:13:46
性質の悪いウイルスなら知ってるけど最強のウイルスはしらない
711:名無しさん@お腹いっぱい。
09/04/10 00:13:50
(* >ω<)=3プー
712:名無しさん@お腹いっぱい。
09/04/10 00:25:49
>>709
皆は君のCPUが何か知らないからエスパーに聞くといい。
713:名無しさん@お腹いっぱい。
09/04/10 00:28:39
>>712
dualcoreの2Gです
714:709
09/04/10 00:33:30
>>713
>>709は私だ(* >ω<)=3プー
>>712
あぁ、やっぱりそうですよね、すみません
x86 Family 15 Model 79 Stepping 1 AuthenticAMD ~2204 Mhz
これがCPUでしょうか?
合計物理メモリってのが 1,024,00MB
利用可能な物理メモリが354,19MB
合計仮想メモリ 2,00GB
こんな感じです
Readerは7系の最新だったけどflashが10.0.10~ぐらいで最新でなく
楽天系のブログ見てて記事押しても
表示されない変なブログがあったのが気がかり
ハッシュは>>84と一緒なんですけど
715:名無しさん@お腹いっぱい。
09/04/10 00:38:28
>>714
flashについては>>499
716:名無しさん@お腹いっぱい。
09/04/10 00:39:25
・・・・
717:名無しさん@お腹いっぱい。
09/04/10 00:44:05
OS再インスコしとけ(* >ω<)=3プー
718:名無しさん@お腹いっぱい。
09/04/10 00:46:54
( * > ω < ) = 3 フ ゚ ー
719:615
09/04/10 00:51:12
>>715
flashのバージョンおぼえてないけど
なんか助かってる気もするけど・・・大丈夫と断定できないのがかなし。
インスコ・・・面倒やなぁ
720: ◆W07s5cWHb.
09/04/10 00:52:35
思い出した。ウィルス報告があったから
敢えて試しに下のを踏んで食らったんだったわw
【最適化】PerfectDisk Part11【デフラグ】
スレリンク(software板:7番)
ここのレスの下のリンクを踏んで食らった。
もうファイル消されていると思うけど、踏むなら自己責任で最悪再インスコを覚悟してね。
hxxp://www.btfree.info/file.php?action-get.html
721:615
09/04/10 00:54:52
もしも GENOウイルスが感染してるとして
問題なのはCドライブだけですかね?
パーティションきってるんですが他のドライブは・・
再インスコしたかたはどうしてますか?
722:名無しさん@お腹いっぱい。
09/04/10 01:02:03
関係ないけど私のDELLもパーティションきってあるけど
DELL自体のシステム専用みたいなパーティションとかあって
素人だし意味がわかんないからサポに送ったよー
すっからかんになるみたいw
723: ◆W07s5cWHb.
09/04/10 01:27:28
>>721
あくまで一般論でしか言えないけど、可能であれば当然全部フォーマットしなおすべきだし、
可能であればパーティションも再度切りなおすべき。
また、RAIDを組んでてストライピングやミラーリングを行っている場合は
パーティションを切りなおす以前にRAIDボリュームまで新たに組みなおすべき。
基本的にBIOSから認識される順で、1台目のHDDにマスターブートレコードが保存されているんだけど
その部分にも感染するウィルスの場合だと本当に厄介で、
原則的にはパーティションから切りなおして全てのドライブをフォーマットする感じになる。
今の所判ってる範囲ではこのGenoウィルスはそこまでしないウィルスだとは思うし、
単純にXPのシステム復元から復帰出来た人もいる様なので、そこまで気にしなくても大丈夫だとは思うけどね。
それに最近はUSBメモリの普通のブートレコードにも感染するウィルスとか、色々ある位なんで、
本来、原理原則に則って完璧に対処するのであれば、2台目等の複数のHDDを搭載している場合も
可能な限り一通りパーティションを切りなおす所から始めたほうが良いかと。
基本的にパーティションを切りなおす事で正しいブートレコードに書き換えられるんで。
ただ、実際にはどうしても消せない秘蔵エロ動画等のデータがDドライブにある等、止むを得ない場合は
キーロガー等が最悪残ってしまう等のリスクを承知の上で
Cドライブだけをフォーマットする形でお茶を濁すのもアリかと。
その上でXPやVistaを再インストールが完了した後に最新定義ファイルに更新したアンチウィルスソフトで
フルスキャンしてウィルスの残留の有無をチェックしたりして。
ぶっちゃけ、一度それで試して駄目ならその時にもう一度再セットアップを行って全部のドライブを消せばよいんだし。
二度手間になる可能性はあるけどね。
724:名無しさん@お腹いっぱい。
09/04/10 01:28:55
悔しいですっ!!
725:名無しさん@お腹いっぱい。
09/04/10 01:30:55
なげえ
2-4パラグラフは蛇足だな
726: ◆W07s5cWHb.
09/04/10 01:35:39
うんうんw
酔ってるから無駄に長文で無駄に駄文になってるわw
727:名無しさん@お腹いっぱい。
09/04/10 01:38:54
誰か>>723をデフラグしてきて
728:名無しさん@お腹いっぱい。
09/04/10 01:40:09
>>727
不良セクタがあるから無理
729:名無しさん@お腹いっぱい。
09/04/10 01:41:04
>>720
サンクス
けどパスが分からん
URLリンク(www.btfree.info)
Code by:c418478c216f027
ちなみにリンク先は普通のダウンロードサイト
730: ◆W07s5cWHb.
09/04/10 01:41:04
>>727
うちはSSDを使ってるからデフラグは無理w
731:名無しさん@お腹いっぱい。
09/04/10 01:42:26
>>730
それも効果あるって話だが
732:名無しさん@お腹いっぱい。
09/04/10 01:42:57
>728
じゃあローレベルフォーマットで
733: ◆W07s5cWHb.
09/04/10 01:44:05
>>729
うちは確かレスに書かれてた記載コードを入れて食らった。
多分、コードを書き換えられたりしてて開けられないのかも知れないな。
734:名無しさん@お腹いっぱい。
09/04/10 01:44:37
GENOウイルスが人体に与える影響も解析したほうがいいな
735:名無しさん@お腹いっぱい。
09/04/10 01:46:26
>>733
zipの解凍パスだで?
736: ◆W07s5cWHb.
09/04/10 01:50:12
>>731
実は何回かSSDにもデフラグ行ってるw
ただ、自作PC板のSSDスレ等で半分誤って書かれているのは
既存のデフラグソフトとは違って、
SSDの内部的に配置までちゃんと書き換えてくれる、
いわばSSD対応デフラグみたいな奴じゃないと殆ど意味無いんですよ。
SSDはHDDと違って、コントローラーがテキトーに割り振って
OSや通常のデフラグソフト上から見える位置とは全然異なる部分にデータを書き込んでるんで、
テキトーなコントローラーに騙されない
賢いデフラグソフトじゃないとSSDでは無意味なの。
737: ◆W07s5cWHb.
09/04/10 01:52:59
>>735
多分想像付いてると思うけど、食らった時も酔ってたんだよw
で、確かパスを入れたらその時点で食らった筈なんだよね。
ZIPの解凍はしないでウィルスを食らった筈。
738:名無しさん@お腹いっぱい。
09/04/10 01:53:50
>>736
誰かさんの逃避ダイアリーに書いてあったな
739:名無しさん@お腹いっぱい。
09/04/10 01:55:37 BE:918273299-2BP(0)
>>737
んなはずあるかよwwwww
ちゃんとヘッダはPKだっつーのwww
740: ◆W07s5cWHb.
09/04/10 01:59:02
>>735
今恐る恐る踏んでZIPを落としたけどなんか感染した当時と異なってる感じだな。
今はなんかZIP中のKEYGEN.EXEにパスが掛かってるけど、そもそもあんなんじゃなかった筈。
ZIP自体がリプレースされているのかも。
741:名無しさん@お腹いっぱい。
09/04/10 02:01:44
ああ、クリーンインストール終わって
やっと復帰したと思ったら今度はPCIDevice認識しないだRealTEKのオンボード
音源から音が出ないやらで大変です。パソ工のBTOパソコンは再インストール時に
音源を殺す設定がついているのでしょうかね。
742: ◆W07s5cWHb.
09/04/10 02:03:24
ちなみに>>729のZIPもノートン先生無反応だな。
念のため扱いには十分注意してね。
743:名無しさん@お腹いっぱい。
09/04/10 02:06:56
>>740
これと間違ってね?
URLリンク(www.btfree.info)
Code by: d5ddf2d3204c8f4
>>729はウイルスじゃないぞw
744: ◆W07s5cWHb.
09/04/10 02:08:43
>>741
流石にそこまではこのスレでは本来フォロー出来ない事だけど、酔って気分が良いから特別に。
↓の蟹さん謹製のドライバでも駄目なの?
URLリンク(www.realtek.com.tw)
>>743
あ、そうかもw
745:名無しさん@お腹いっぱい。
09/04/10 02:09:15 BE:340101465-2BP(0)
>>743
ちょ
パスマジ気になるから解凍できたのなら教えて
746:名無しさん@お腹いっぱい。
09/04/10 02:10:11
>>721
もし問題がおきてから、C→他のドライブにファイルの移動とか
やってたらそのファイルに感染がある場合、広がる可能性もあるんじゃない?
基本パーティション切ってんなら、隔絶した空間だよな?(間違ってるかこの認識?)
747:名無しさん@お腹いっぱい。
09/04/10 02:12:21
>>745
釣りかw
つPika Zip
748:746
09/04/10 02:14:08
あ、上で詳しい解説あったか
失礼
749: ◆W07s5cWHb.
09/04/10 02:15:06
>>746
最悪、傷口を広げて元の木阿弥になる可能性もあるよ。
だから完全にパーティションレベルから切り直してやらない限り
キーロガー等が残存しちゃう可能性はゼロではないの。
750:名無しさん@お腹いっぱい。
09/04/10 02:15:20 BE:612182669-2BP(0)
>>747
pikazipめんどい!
5桁で出なかったから投げた
751:名無しさん@お腹いっぱい。
09/04/10 02:18:56 BE:68020823-2BP(0)
ちょwwwww数字とかwwwww
752:名無しさん@お腹いっぱい。
09/04/10 02:21:27
とりあえずバックアップしたいんなら
感染が疑われるドライブ or パーティションからシステムを起動させるのを避けて
別のドライブ or パーティションからOS立ち上げて作業したほうが無難
753:名無しさん@お腹いっぱい。
09/04/10 02:23:09 BE:102030833-2BP(0)
酔っぱらっるって
Pikazipが使えてなんでどう考えてもkeygenっぽくない(コンソールアプリっぽい)ファイル開いちまうんだよwww
ちなみにばっちりウイルスでした
754:名無しさん@お腹いっぱい。
09/04/10 02:23:33
おやすみ 大体出尽くした感じだね
またなんかあったら繰る歯
755:名無しさん@お腹いっぱい。
09/04/10 02:26:23
>>749
なるほど
参考になった
さんくす
756: ◆W07s5cWHb.
09/04/10 02:27:56
>>752
だね。
てか、複数台のPCがある奴なら別のPCでアンチウィルスソフトのレスキューブートCD等をこしらえて、
再起動前にそいつでCD起動してブートセクタから何から一切合財スキャンしてチェックするのが望ましいね。
757: ◆W07s5cWHb.
09/04/10 02:32:28
>>753
うちの環境だとPikaZipは入れてなくてLhaplusでしかパス解析出来ないけど、
そもそも酔ってるのに一々そんな事までして食らう訳ないだろw
ほぼワンクリックで食らったんだってのw
>>754
おやすも。
758:名無しさん@お腹いっぱい。
09/04/10 07:47:50
俺おそらく感染してるんだけどsqlsodbc.chmはMD5:f639afde02547603a3d3930ee4bf8c12だった
svchostは5個中2個がNETWORKSERVICEでうごいてる
ちなみにカスペルスキーのオンラインスキャンのアップデートが途中でエラーでてできない
759:名無しさん@お腹いっぱい。
09/04/10 07:51:25
判定の仕方がいまだにあいまいなのは非常に困った
760:名無しさん@お腹いっぱい。
09/04/10 08:02:00
◆W07s5cWHb. が、いろんなレスしてる俺カッコいい!!
こんな事も知ってる俺すごい!と自己陶酔してるのがきもいネ!
761:名無しさん@お腹いっぱい。
09/04/10 08:04:53
妬み
762:名無しさん@お腹いっぱい。
09/04/10 08:14:45
>>757
そろそろ巣に帰れば?
763:名無しさん@お腹いっぱい。
09/04/10 08:17:40
でも何一つ解決してないよ
764:名無しさん@お腹いっぱい。
09/04/10 08:22:31
>>763
問題を解決する上で自称ニュー速民は必要かね?w
765:615
09/04/10 08:26:10
>>723
㌧
週末インスコやります。
766:名無しさん@お腹いっぱい。
09/04/10 08:27:04
問題のjsファイルも殆ど対応したし
あらゆるプロセスを乗っ取ることもわかったしこれ以上なにをしろと
767:名無しさん@お腹いっぱい。
09/04/10 08:27:59
感染判定の確定情報ってある?
768:名無しさん@お腹いっぱい。
09/04/10 08:31:27
>>758
オンラインスキャンがハングで落ちるわけでないならそのハッシュは正常なので感染を何らかの理由で防いでるのかも
769:名無しさん@お腹いっぱい。
09/04/10 08:49:43
>>191
>以下のサイト(有名な駆除ツール)にアクセスできなければ危険
これってexeが落ちてきたら安心なのかな?
sqlsodbc.chmのMD5は先に確認したけど。
770:名無しさん@お腹いっぱい。
09/04/10 08:52:34
>>758
> ちなみにカスペルスキーのオンラインスキャンのアップデートが途中でエラーでてできない
俺も同じく、途中でエラー。
そこで、カスペルスキースキャンエンジンを採用している、niftyオンラインスキャンに移動、
ここでは問題なかった。
771:名無しさん@お腹いっぱい。
09/04/10 08:53:50
URLリンク(pagead2.googlesyndication.com)
772:名無しさん@お腹いっぱい。
09/04/10 09:06:27
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
スレリンク(news板:209番)
209 名前: 雪割草ユキワリソウ(香川県)[sage] 投稿日:2009/04/09(木) 18:25:27.33 ID:Dyr5cr7f
楽天のショップ何個か感染しておりますな
↑これの真偽はどんなもんでしょ?
773:156
09/04/10 10:23:45
>>667
こっちはreaderも何も変な動きが無い
CPUは0~2%くらいだしメモリも600M程度
774:名無しさん@お腹いっぱい。
09/04/10 10:26:16
>>598
直リンすんなキモブタ
775:156
09/04/10 10:30:26
あ、そういや俺もカスペルスキーオンラインスキャンが出来ないわ
776:名無しさん@お腹いっぱい。
09/04/10 10:33:20
msとアンチウイルスサイトに繋がりません
かんせんですか?
777:名無しさん@お腹いっぱい。
09/04/10 10:36:45
>>776
このウイルスは特定サイトに繋がらないんじゃなくて、
極端に繋がりにくくなるだけ。
何度も何度も試せば繋がるよ。
778:名無しさん@お腹いっぱい。
09/04/10 10:44:43
まったく駄目です
あとイーモバイルで接続すると凄いポートスキャンでCPU使用率100パーになります
779:名無しさん@お腹いっぱい。
09/04/10 10:47:26
てst
780:名無しさん@お腹いっぱい。
09/04/10 10:51:47
>>772
正確には感染していた、の方が正しいんじゃない?
www.rakuten.ne.jp/gold/i-na/が感染してたと話題が上がってて今は何事もなかったように営業してるし、
慌てて楽天がなんらかの処置を施したのかと
楽天のサーバーがハッキングされたとして他の店も同時多発的にやられてたとしても不思議じゃないよ
781:名無しさん@お腹いっぱい。
09/04/10 10:54:24
各サイトが対策を施すのは待つしかないとして・・・
ウィルス対策ソフトメーカーの対応状況はどうなってるか誰か教えて。
782:名無しさん@お腹いっぱい。
09/04/10 11:00:49
土曜のウィルス報告が上がる前にIE/firefox/chromeで突撃してすべて落ちたけど無害ですんだ
XPhomeのavast常駐でreaderが9.0.0だった