09/05/23 03:25:05
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
・Googleの検索結果を改竄(リンクを弄る)
・explorer.exeや一部のブラウザが異常終了
・Acrobatが勝手に起動
・PDFファイルやシステムファイルが増殖
・CPU、メモリ使用率がUP
・再起動時にBSOD
感染が疑わしい人は迷わずクリーンインストール推奨です。
★Anubisレポート
URLリンク(anubis.iseclab.org)
★GENOウイルスまとめ
URLリンク(www29.atwiki.jp)
★このサイトは諸事情により内容を書き換え
URLリンク(www3.atword.jp)
前スレ
GENOウイルススレ(Gumblar,Martuz,JSRedir-R) ★19
スレリンク(sec板)
2:名無しさん@お腹いっぱい。
09/05/23 03:27:18
【感染の確認方法】
①cmd.exe(コマンドプロント)、regedit.exe(レジストリエディタ)が起動するか確認する
※このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「regedit.exe」と入力して「OK」ボタンを押す。
※立ち上がったことを確認したら弄らず閉じること。
3.同様に、「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
※立ち上がったことを確認したら②へ
②sqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
■確認方法
1.スタートから「ファイル名を指定して実行」
2.「ファイルを指定して実行」という画面が出てくるので、入力欄に
「cmd.exe」(全部小文字で)と入力して「OK」ボタンを押す
→背景が黒いウィンドウが開いた場合3へ
→起動しない場合:感染疑い濃厚
3.背景が黒いウィンドウを選択。
小文字で「dir C:\WINDOWS\system32\sqlsodbc.chm」と入力してEnterキー
③avast!(無料のアンチウイルスソフト)で確認
URLリンク(www.btfree.info)
Code by: 790e3cc3feabad9
3:名無しさん@お腹いっぱい。
09/05/23 03:28:21
感染予防対策(1)
1.Adobe Flash Player の最新版にアップデート
2.Adobe Acrobat Reader の最新版にアップデート
3.NoScriptの導入(Firefoxの導入)
4.Adobe Acrobat Readerの JavaScript 機能OFF
5.危険IPのブロック
諸事情でAdobe Reader 最新版を使わざるを得ない場合
2009年4月29日現在の最新版バージョン9.1設定例
1.Adobe Readerを起動し「編集」メニューの「環境設定」
「Acrobat JavaScriptを使用」のチェックボックスをオフ(チェックを外す)
OKを押して設定確定後、Adobe Readerを終了。
↓
2.必要と好みに応じて Adobe Reader Speed-Up にてプラグインを整理
設定は SpeedUp - Fast がおすすめ。
注意すべきは
Acroform(拡張子なし)
Annotations(拡張子なし)
これら2つのチェックボックスをオン(チェックが入っている)状態にしておく必要がある。
そうしないと Adobe Reader が起動しなかったりする。
このとき追加作業として
EScript.apiとEScript.JPNのチェックボックスをオフ(チェックを外す)状態にしておくと
より安心かもしれない。
4:名無しさん@お腹いっぱい。
09/05/23 03:30:22
感染予防対策(2)
危険ポートを閉じることでセキュリティを強化する。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
以下はお約束
上に書いたことを行えば安全という保証はなく、すべて自己責任でお願いします。
またAdobe Reader&各ポートの環境設定をどうするかも各自考える必要があります。
5:名無しさん@お腹いっぱい。
09/05/23 03:33:50
GENOウイルスチェッカー(アフィリエイトも充実)
URLリンク(geno.2ch.tc)← アフィリエイト(Amazon) ↓ソース
<iframe src="URLリンク(rcm-jp.amazon.co.jp)
0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" frameborder="0"></iframe>
<iframe src="URLリンク(rcm-jp.amazon.co.jp)
0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" frameborder="0"></iframe>
<iframe src="URLリンク(rcm-jp.amazon.co.jp)
0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" frameborder="0"></iframe>
<iframe src="URLリンク(rcm-jp.amazon.co.jp)
0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="width:120px;height:240px;" scrolling="no" marginwidth="0" marginheight="0" frameborder="0"></iframe>
Jane使っている人は
ツール-設定-コマンドで
コマンド名 適当
実行するコマンドに URLリンク(geno.2ch.tc)
でjaneから検索でチェックできる
6:名無しさん@お腹いっぱい。
09/05/23 03:36:44
★対処法
■ adobe readerを9.1.1にアップデートする(9.1:9.1.0では駄目)
(9.1.0)
URLリンク(ardownload.adobe.com) [exe注意]
(9.1.1↑,をインストールしてから↓を適用)
URLリンク(ardownload.adobe.com)
バージョン情報はadobe readerを起動してヘルプ→adobe reader ?についてで表示されます
■ adobe javascriptをオフに
adobe readerを開いて メニュー→編集→環境設定→javascript→adobe javascriptを使用のチェックを外す
■ adobe flashplayerを最新版に更新
URLリンク(fpdownload.macromedia.com) [exe注意]
■ FirefoxにてNoscriptを利用
(Operaでflashオフでもおk([F12]を押す→[プラグインを有効にする]のチェックを外す)
(sleipnir、IEでも上手に設定するとなんとかなりますが、難しいです。)
swfのロード、pdfの関連づけ、activeXの無効化がきちんと出来れば問題ないが、IEコンポーネント利用ブラウザでは難しい
そのアタリが比較的楽に設定できるOperaはお勧め
■ hostsファイル書き換え
hostsファイルに以下の行を追加
127.0.0.1 martuz.cn
hostsファイルの在処
Windows XPの場合→「C:\WINDOWS\system32\drivers\etc」
Windows 2000の場合→「C:\WINNT\system32\drivers\etc」
Windows 95/98/MEの場合→「C:\Windows」
■ Vistaの人ははUACをONにする
7:名無しさん@お腹いっぱい。
09/05/23 03:37:52
アフィリンク抜けってのに
立てのがしたちくしょう
8:名無しさん@お腹いっぱい。
09/05/23 03:45:15
>>1
対応済
Flash Player 9.0.159.0 10.0.22.87
Adobe Reader 7.1.1 8.1.4 9.1.0
最新
Flash Player 10.0.22.87
Adobe Reader 9.1.1
9:名無しさん@お腹いっぱい。
09/05/23 03:47:05
お勧めhostファイル設定
127.0.0.1 geno.2ch.tc
10:名無しさん@お腹いっぱい。
09/05/23 03:50:02
>>7
えっ、どれ?
11:名無しさん@お腹いっぱい。
09/05/23 03:53:45
>>10
>>9
12:名無しさん@お腹いっぱい。
09/05/23 03:54:31
かんちがいごめ
13:名無しさん@お腹いっぱい。
09/05/23 03:54:50
>>10
>>5
14:名無しさん@お腹いっぱい。
09/05/23 03:57:46
Adobe Reader Speed-Up検索しても出てこない
15:名無しさん@お腹いっぱい。
09/05/23 04:04:44
URLリンク(www.ipa.go.jp)
このバグなら 9.1.0で修正済み
9.1.0では駄目ってのはどっからでてきたわけ
16:名無しさん@お腹いっぱい。
09/05/23 04:09:49
genoが突いてくるセキュリティホールは9.1.0で直ってるよ
9.1.1は別のセキュリティホール
17:名無しさん@お腹いっぱい。
09/05/23 04:13:42
前スレから貼っとく
799 :名無しさん@お腹いっぱい。:2009/05/22(金) 20:41:27
>>795について自分も知りたい。
というか今回のウイルスは、
1)感染したサイトを閲覧すると、不正に埋め込まれたjsが不正なswfやpdfを開く
↓
2)脆弱性対策してないFlash PlayerやAcrobat Readerがクラッシュ
↓
3)クラッシュ時の脆弱性を悪用しマルウェアを実行
↓
4)実行されたマルウェアはPC内部にトロイを埋め込む
↓
5)埋め込まれたトロイプログラムは感染したPCのネットアクセスを監視、
FTPアクセスを監視してID/PWを盗む
↓
6)盗んだID/PWを使ってFTPアクセス先に不正侵入、
そのサイトに不正なコードを埋め込む
↓
1)に戻る、この繰り返しで感染範囲拡大
…のようだけど、てことはつまり、2)の時点でFlash PlayerやAcrobat Readerが
そもそも無ければ感染しないよね?
亜種やら何やらリスクあるから普段から、1)の時点でjs無効にしとくのがベストだと思うけど、
閲覧先の都合上、無効にできない場合もあるし…。
18:名無しさん@お腹いっぱい。
09/05/23 04:14:41
802 :名無しさん@お腹いっぱい。:2009/05/22(金) 20:46:56
>>799に追加
それと、4)の段階はmartuz.cn等にアクセスさせられてトロイを仕込まれる、
と理解してるんだが違うのかな…?
あと、3)の挙動が良く分からない。
ソフトをクラッシュさせられるとマルウェアって実行させられるものなの?一般的に。
806 :名無しさん@お腹いっぱい。:2009/05/22(金) 21:21:54
>>802
3)クラッシュ時の脆弱性を悪用しマルウェアを実行
この脆弱性で場合によってはシステムを制御できるようになっちゃうから
それを利用して仕込むの
URLリンク(www.adobe.com)
クラッシュ=マルウェア実行じゃなくて、脆弱性を使ってクラッシュさせて
システムを制御できるようにするのが目的
一度奪えればその間はなんだってできちゃう
こういう脆弱性とつながってない限りは単純なクラッシュだけじゃそうはならないよ
19:名無しさん@お腹いっぱい。
09/05/23 04:15:56
874 :802:2009/05/22(金) 22:24:19
>>806
詳しくありが㌧。
にしても、クラッシュさせてシステムを制御できる脆弱性って具体的にはどうなってるんだろ。
Flash PlayerやAcrobat Readerが使えなくなるだけなら分かるんだけど…。
926 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:24:38
Gadgetadvisor.com の悪意ある IFrame
URLリンク(blog.f-secure.jp)
fsecure_websecurity
ヘルシンキ発 by:ウェブセキュリティチーム
同サイトはAdobe AcrobatおよびReader用のPDFブラウザ・プラグインを検知すると、
スタックベースのバッファ・オーバフロー脆弱性(CVE-2008-2992)を利用する、悪意あるPDFファイルをロードする。
この攻撃の結果、util.printf JavaScriptファンクションをコールすることで、
Trojan-Downloader.Win32.Agent.brxrとして検出されるトロイの木馬が脆弱なシステム上に仕込まれ、
マシンにトロイの木馬をダウンロードする目的で、悪意あるァ & ェブサイトに接続することになる。
同トロイの木馬に感染すると、リモート攻撃者はそのユーザーのマシンにアクセスすることができる。
この攻撃は、以前の、修正パッチを当てていないバージョンのAdobeプログラムを標的としており、
最新のAdobeアップデートはすでにこの問題をフィックスしている。
詳細およびアップデートについては、Adobeの以下のページを参照のこと
:URLリンク(www.adobe.com) /support/security/bulletins/apsb08-19.html
AcrobatおよびReaderのJavaScriptファンクションを停止することで、この脅威を避けることも可能だ。
20:名無しさん@お腹いっぱい。
09/05/23 04:17:09
955 :名無しさん@お腹いっぱい。:2009/05/23(土) 00:26:13
Readerだけなら、この引用の人と俺は同じ考え。>>926見てたら見つけた。
Adobe Acrobat Readerに新たに2種の脆弱性
URLリンク(blog.f-secure.jp)
2009年04月29日13:18 サンノゼ発 by:パトリック・ルノー
以前にも言ったことだが、繰り返しておく価値があるだろう。すなわち、Adobe Acrobat Readerに
代わる物を使用せよ、だ。特定のPDFリーダーを薦めるということはしない。
様々な種類のリーダーを使用する方が望ましいと考えるからだ。
各種リーダーのリストについてはURLリンク(pdfreaders.org)を参照して欲しい。
そのほかにはFoxIT、CutePDFなどがある。
Adobe Acrobat Reader以外のものを使用することができない場合は、
JavaScriptを実行する機能をオフにしておくことを強くお勧めする。
編集→初期設定で「Adobe JavaScriptを使用」のチェックをはずすことにより、簡単にオフにできる。
976 :名無しさん@お腹いっぱい。:2009/05/23(土) 02:22:47
960 :192.168.0.774:2009/05/23(土) 00:13:09 ID:FQnBqUEn0
Adobe ReadeとAdobe Flash Playerを最新にして、
Readerのスクリプトはオフ、ブラウザのスクリプトはオン、
アンチウィルスを外して該当コードがあるページを踏んでみた。
感染しないみたいだな。
21:名無しさん@お腹いっぱい。
09/05/23 04:23:01
もう 9.1.0までの穴つく亜種が出てるのかと思った
22:名無しさん@お腹いっぱい。
09/05/23 04:24:56
まぁ3日も前からmartuzが死んでるんで
感染するはずないんですけどね
23:名無しさん@お腹いっぱい。
09/05/23 04:28:28
接続先は変化する罠
24:名無しさん@お腹いっぱい。
09/05/23 04:29:27
前スレの1000が何を言ってるのかサッパリ
25:名無しさん@お腹いっぱい。
09/05/23 04:31:53
賛成するかはともかくナに言ってるかはわかる
26:名無しさん@お腹いっぱい。
09/05/23 04:35:28
いやわからん
27:名無しさん@お腹いっぱい。
09/05/23 04:39:10
で、感染したまま放置してるサイトのリストとかないの?
痛いニュースが感染したとかいくつかもスレで見たんだが
28:名無しさん@お腹いっぱい。
09/05/23 04:40:37
@echo off
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32" > hoge.txt
これをテキストファイルに貼り付けて
hoge.batに名前変えて
実行してできたhoge.txtみて絶対パスの怪しいのがあればお疲れ様でした
29:名無しさん@お腹いっぱい。
09/05/23 04:45:34
別所さん
30:名無しさん@お腹いっぱい。
09/05/23 05:18:19
(´・ω・`)何かしらの専門家である私に言わせればか弱いJSを保護する為にブルマーのごとき最強な装備させれば大安心であり大正解であり大勝利でもあるということですな
31:前749
09/05/23 07:45:53
前スレの749です。
>>前804
Adobe Flash Playerが、何やら入っていたのを確認しました。
「プログラムの追加と削除」で出てこないのですね。
とりあえず、Adobe ReadeとAdobe Flash Playerを削除しちゃいます。
>>20の976もあるようなので、これで大丈夫かなと思います。
いろいろとありがとうございました。
32:名無しさん@お腹いっぱい。
09/05/23 08:07:48
>>31
flash消すのはいいけどyoutubeとか見ないんすか?
33:名無しさん@お腹いっぱい。
09/05/23 08:10:16
>>1
タイトル削るなよw
34:名無しさん@お腹いっぱい。
09/05/23 08:14:25
これってSpyware Blasterとルーターで即市じゃね?
という俺の妄想はどうですか?
35:名無しさん@お腹いっぱい。
09/05/23 08:18:03
的外れ
ルータ関係ない。
そのソフトも定義ファイルがないと動かん
36:名無しさん@お腹いっぱい。
09/05/23 08:47:21
スレリンク(news4vip板)
↑の>>1の画像はGENOウイルス?
それともファイルサイズが馬鹿でかいだけ?
セキュ板の皆様どうか教えてください
37:名無しさん@お腹いっぱい。
09/05/23 09:36:54
>>31
うちのはプログラムの追加と削除で出来るんだが…
38:名無しさん@お腹いっぱい。
09/05/23 09:43:46
FireFoxのnoscriptがオススメと聞いてネットサーフィン中に障害物に当りました
ここのサイトを開くにはどうしたら良いかわかりますか
URLリンク(g.e-hentai.org)
39:名無しさん@お腹いっぱい。
09/05/23 09:48:27
Firefoxで2ちゃんねるの
スレリンク(sec板)
ここも開けなくなったどうしたら良いの?
40:名無しさん@お腹いっぱい。
09/05/23 09:54:54
サイトがスクリプトを使用しなくなるように念じる。
41:名無しさん@お腹いっぱい。
09/05/23 09:57:57
念じてもだめだったから
fox全サイトの許可をしても開きません
42:名無しさん@お腹いっぱい。
09/05/23 10:04:55
FlashPlayerのアンインストールはツールを使うのが基本だ
バージョンアップ時も一度アンインストールしてからじゃないとうまくいかない場合がある
43:名無しさん@お腹いっぱい。
09/05/23 10:20:26
このウイルスにかかりたくて
いらないパソコンで感染サイトに行ったのに全然感染しません
セキュリティーソフトは入れてません
他に何したらいいの
44:名無しさん@お腹いっぱい。
09/05/23 10:22:49
>>43
OSは何だか?
45:名無しさん@お腹いっぱい。
09/05/23 10:27:03
>>38
おれも同じだわIEは問題なく見れた
46:名無しさん@お腹いっぱい。
09/05/23 10:27:07
踏んだマシンにウイルスをDLさせるドメインが死んでるという話だし
47:名無しさん@お腹いっぱい。
09/05/23 10:32:26
>>44
XP SP2
48:名無しさん@お腹いっぱい。
09/05/23 10:37:49
>>44
俺VISTA
プロセスの数は?
俺167個
49:名無しさん@お腹いっぱい。
09/05/23 10:39:01
旅館ふくぜんに誰か忠告してあげた?
ああいうサイトが感染してるとやばいと思うけど。
50:名無しさん@お腹いっぱい。
09/05/23 10:42:52
忠告した方がいいのかな?
51:名無しさん@お腹いっぱい。
09/05/23 10:48:01
メールでもしようかと思ったけど
「突然すみません。貴サイトがウイルスにやられています」
じゃ信じてもらえないかなと思ってやめた。
52:名無しさん@お腹いっぱい。
09/05/23 10:54:33
今から電話してみる
53:名無しさん@お腹いっぱい。
09/05/23 10:59:18
めちゃくちゃ怪しまれたw
インターネットがわかる担当者がいないんでわかりませんとの事でした
54:名無しさん@お腹いっぱい。
09/05/23 11:02:01
メールで「グーグルで当サイトの名前を検索してみてください。」で良いんじゃないか?
55:名無しさん@お腹いっぱい。
09/05/23 11:05:12
>>54
それ言ったら「私にはわかりません。わかる担当も居りません」っていわれちった
56:名無しさん@お腹いっぱい。
09/05/23 11:05:59
>>53
マジ乙
ネットの知識が皆無な人にこれが結構クリティカルなことだとわからせるにはどうすればいいのかなあ
57:名無しさん@お腹いっぱい。
09/05/23 11:06:40
わかる担当が出勤する日まで放置か?
58:名無しさん@お腹いっぱい。
09/05/23 11:07:27
あわわwwwwwww
59:名無しさん@お腹いっぱい。
09/05/23 11:08:36
居ないなら連絡取ってくれ
と言いたいぐらいの事態なんだがなあ
60:名無しさん@お腹いっぱい。
09/05/23 11:09:07
>>49
旅館ふくぜんの上位プロバイダーに言えばいいんじゃね?
ドメイン貸してるとこ。
つーか、リアル社会で毒物を放置してたら処理されるのに
ネット上では放置してても無罪なのが 21世紀じゃねーよな、、、
61:名無しさん@お腹いっぱい。
09/05/23 11:09:27
>>55
うわー
ことの重大さを理解していない
利用者に被害が
って強調すればさすがに動くかもね
62:名無しさん@お腹いっぱい。
09/05/23 11:10:52
居りませんってwww
63:名無しさん@お腹いっぱい。
09/05/23 11:11:03
キレられるの覚悟で強く担当を呼ぶように言うしかないかもね
まずは結構深刻な事態であることをわからせた上で
俺?俺はそんな話術ないよ・・
64:名無しさん@お腹いっぱい。
09/05/23 11:15:29
>>55
検索も出来ないのかwwふくぜん頑張れ
65:名無しさん@お腹いっぱい。
09/05/23 11:16:40
ネット警察的な所に通報とかできないの?
66:名無しさん@お腹いっぱい。
09/05/23 11:18:32
あなたがたのHPがこんぴゅーたうぃるすに感染している
→こんぴゅーたうぃるすは見た人のパソコンを壊すものである
→つまり予約しに閲覧した人のパソコンが壊れる
→パソコンを壊したら迷惑をかけるだけでなく器物破損で訴えられる
→さあわかったら担当者を出せ
こんな感じで
67:名無しさん@お腹いっぱい。
09/05/23 11:18:54
嫌がらせや冗談ではないとも言ったが、相手のおっちゃん、なんかめんどくさそうだった
「わざわざありがとうございました」ってw
2~3日前に電話した観光協会のおねーさんとは楽しく話せたのになw
68:名無しさん@お腹いっぱい。
09/05/23 11:19:55
ふくぜんならFIREFOXで超反応するし
FIREFOX3で自サイトを見るように仕向けたら
危険ってことがわかるんじゃねぇの
69:名無しさん@お腹いっぱい。
09/05/23 11:20:46
そのサイトはGENO感染してるって確定なの?
70:名無しさん@お腹いっぱい。
09/05/23 11:22:15
>>53
あー ありがとう
やっぱり思ってるだけじゃなくて動かないとな…
71:名無しさん@お腹いっぱい。
09/05/23 11:22:23
>>69
ソース見ろカス
72:名無しさん@お腹いっぱい。
09/05/23 11:22:48
誰でも通れる場所に豚インフル患者放置してるようなもん
って言えばいいよ
73:名無しさん@お腹いっぱい。
09/05/23 11:23:45
まずパソコンのイメージができてない人に例え話してもよく理解してくれないと思う
74:名無しさん@お腹いっぱい。
09/05/23 11:23:50
顧客情報とか流出してるんじゃねーのwww
75:名無しさん@お腹いっぱい。
09/05/23 11:24:37
ふくぜんの従業員にねらはいないのか…
76:名無しさん@お腹いっぱい。
09/05/23 11:24:56
・感染してるのは確定
・利用者に被害
・個人情報の流出
これだけ言っても「はぁそうですか」的な反応なら諦めろ
77:名無しさん@お腹いっぱい。
09/05/23 11:26:43
あなたがたが知らぬうちに加害者になってる可能性があります
これで
78:名無しさん@お腹いっぱい。
09/05/23 11:27:42
旅館が業者に委託して作成したホムペならその業者に責任があるけどね
79:名無しさん@お腹いっぱい。
09/05/23 11:28:24
今更で申し訳ないのですが、WindowsMEだと感染しないのでしょうか?
メインのXP機がだいぶ前に電源が壊れて修理中で、昔使ってたME機でネットしてるのです…
Adobe ReaderやAdobe Flash Playerは最新版に更新できないし、まとめサイトなどにある感染確認の方法もできないしで不安です。
MEのような時代遅れで申し訳ありませんがよろしくお願いいたします。
80:名無しさん@お腹いっぱい。
09/05/23 11:28:59
メインPCの挙動がおかしくなってきてGENOのまとめ見たら
症状かぶりすぎ感染確定オワタ
81:名無しさん@お腹いっぱい。
09/05/23 11:36:02
いま気がついたけど、ふくぜんて.comと.orgがあるのね
感染しているのは.comの方だけだ
もうちょっと調べてから電話すればよかったかな?
82:名無しさん@お腹いっぱい。
09/05/23 11:37:15
>>79
regedit開けるか?
SQLSODBC.HLPのサイズは?
ちなみにMEにcmd.exeは無い
83:名無しさん@お腹いっぱい。
09/05/23 11:41:45
hlpなのか?dbじゃなくて
84:名無しさん@お腹いっぱい。
09/05/23 11:44:48
旅館組合とか観光協会に電話でわかる人いないかな
85:名無しさん@お腹いっぱい。
09/05/23 11:46:22
>>80
②sqlsodbc.chmのファイルサイズの確認を確認する
■Windows XP:
改ざんされていなければ
C:\WINDOWS\system32\sqlsodbc.chm 50,727 bytes
■Windows 2000:
そもそも存在しないはずなので、
C:\WINDOWS\system32\sqlsodbc.chmが無いことを確認。
これの結果教えてくれ
86:名無しさん@お腹いっぱい。
09/05/23 11:47:35
Adobe Acrobat Reader を使わない人はインストールしなければいいんだよね?
Adobe Flash Player だけ最新版にしています。
87:名無しさん@お腹いっぱい。
09/05/23 11:49:15
【楽天トラベル】伊香保温泉 旅館ふくぜん TOPページ
URLリンク(travel.rakuten.co.jp)
Google Chrome だとストップされてる。肝心のIEだと機能しないから意味ないが。
警告: このサイトにアクセスするとコンピュータに損害を与える可能性があります。
travel.rakuten.co.jp のウェブサイトに含まれている www.fukuzen.com のサイトの要素に、
コンピュータに損害を与えたり無断で動作する不正なソフトウェアが含まれている可能性があります。
不正なソフトウェアを含むサイトにアクセスするだけでコンピュータに感染する場合があります。
問題の詳細については、www.fukuzen.com に関する Google セーフ ブラウジング診断ページをご覧ください。
URLリンク(safebrowsing.clients.google.com)
88:名無しさん@お腹いっぱい。
09/05/23 11:54:24
>>86
使わないソフトはインストールする必要なし
ただしAdobe Reader(古い場合はAdobe Acrobat Reader)はメーカー製PCなら
高確率でプリインストールされているので、本当に入ってないか
プログラムの追加と削除から確認してください
89:名無しさん@お腹いっぱい。
09/05/23 12:01:59
>>87
ChromeやFireFoxがブロックしても「このサイトをみる」を押して
続行する、天然の強者もいるだろうなw
90:名無しさん@お腹いっぱい。
09/05/23 12:03:00
>>89
事故責任でw
91:名無しさん@お腹いっぱい。
09/05/23 12:04:31
>>87
whois調べた感じだとtsukaeru.netがホスティングしてるのかな
とりあえずJPCERTには連絡するわ
他もあったらまとめて連絡するんでリンクしない程度に貼ってくれ
92:名無しさん@お腹いっぱい。
09/05/23 12:06:40
また、楽天かw
93:名無しさん@お腹いっぱい。
09/05/23 12:07:16
>>87のgoogleセーフブラウジングをJaneからやるコマンド
コマンド名(適当でおk)
googleSafeBrowsing
実行するコマンド
URLリンク(safebrowsing.clients.google.com)
94:名無しさん@お腹いっぱい。
09/05/23 12:08:16
>>85
さっきメインPC起動したんだけどcmdが開けないんだ。
ファイル名を指定して実行→cmd入力→PC重くなる→そのままなにも起こらない
って感じ
95:名無しさん@お腹いっぱい。
09/05/23 12:08:42
>>91
乙です
96:名無しさん@お腹いっぱい。
09/05/23 12:11:13
ただ事じゃねぇなこりゃ・・・
97:名無しさん@お腹いっぱい。
09/05/23 12:13:44
>>86
>>17を見る限りAcrobat Readerがインストールされてなくても意味ないんじゃないだろうか
1)の段階で、pdfは開かなくてもswfを開いてFlash Playerがクラッシュしちゃうんじゃないの?
まあ最新版だから大丈夫だとは思うけど・・・
98:名無しさん@お腹いっぱい。
09/05/23 12:19:11
>>94
感染濃厚やな・・・
ちなみにsystem32\sqlsodbc.chm のサイズは?
99:名無しさん@お腹いっぱい。
09/05/23 12:26:02
vista奈良GENOウイルスはかからんとですか?
100:名無しさん@お腹いっぱい。
09/05/23 12:34:06
vistaでも感染したってレスあったよ
101:名無しさん@お腹いっぱい。
09/05/23 12:35:40
>>92
楽天は違うよ
102:名無しさん@お腹いっぱい。
09/05/23 12:41:14
>>100
㌧です、やっぱり対策はちゃんとせにゃいけんですね
103:名無しさん@お腹いっぱい。
09/05/23 12:45:14
一番わかりやすいのはsqlsodbc.chmを開いてみればいい。
反応がなかったり、開けませんとかダイアログが出たらほぼ感染間違いなし。
正常なsqlsodbc.chmならデータソースウィザードヘルプが立ち上がって
データ ソース ウィザードの最初の画面と表示されるはず。
104:名無しさん@お腹いっぱい。
09/05/23 12:51:21
↑ヘルプ関連の機能が有効になってないと確認できないので念のため。
105:名無しさん@お腹いっぱい。
09/05/23 13:16:13
>>104
有効にするにはどうすれば?
106:名無しさん@お腹いっぱい。
09/05/23 13:16:17
URLリンク(www.s-progress.com)
URLリンク(www.wellness.co.jp)
URLリンク(p-frying.com)
URLリンク(sound.jp)
URLリンク(www.nenrei-hayami.net)
107:名無しさん@お腹いっぱい。
09/05/23 13:25:28
>>105
標準では有効になっている。
だから、有効無効の切り換え方がわからないようなら有効になっているはず。
108:名無しさん@お腹いっぱい。
09/05/23 13:29:00
>>107
ども
109:名無しさん@お腹いっぱい。
09/05/23 13:30:12
>>87のふくぜんってとこが感染してるのは確定なの?
だとしたら、対応した人危機感ねーなーw
110:名無しさん@お腹いっぱい。
09/05/23 13:33:56
従業員一同、手の消毒や口内洗浄を徹底しておりますのでご安心ください
とか言われそうだな
111:名無しさん@お腹いっぱい。
09/05/23 13:39:12
>>105
ファイル名を指定して実行→services.msc→OK
Help and Supportの項目でスタートアップの種類が自動、
もしくは手動になってれば有効。
112:名無しさん@お腹いっぱい。
09/05/23 13:46:08
働いている人に質問だけど、
会社でこのウイルスに関する話題が上る事ってある?
ウチの場合は、誰も知らないまま普通にパソ使っててちょっと怖えぇ。
俺の方から伝えてみても、だからと言って会社でどうこうという方向にも行かず。
豚インフルは大騒ぎしてるけど、これもある意味重要な情報だと思うんだけどなー。
113:名無しさん@お腹いっぱい。
09/05/23 13:46:11
>>84
1323バイトだた
もうリカバリするしかないかな
114:名無しさん@お腹いっぱい。
09/05/23 13:50:32
>>113
え!?
そんなに小さくなるの?
別の見てるんじゃないよね
似たくさいの沢山あるから
115:名無しさん@お腹いっぱい。
09/05/23 13:52:15
>>114
俺がVMで感染させた時もそれくらいのサイズだったよ。
中身は一見無意味な文字列。
116:名無しさん@お腹いっぱい。
09/05/23 13:55:56
>>87
今ソース見たけど修復されたっぽい。
更新日時は5/23 13:30:46
117:名無しさん@お腹いっぱい。
09/05/23 13:59:21
>>116
よかった
118:名無しさん@お腹いっぱい。
09/05/23 13:59:35
>>113
それアウトです
119:名無しさん@お腹いっぱい。
09/05/23 13:59:52
お前のところのHPでウイルスに感染した、もしくは
感染しそうになったって怒り口調で言った方が効き目あるよ
120:名無しさん@お腹いっぱい。
09/05/23 14:01:08
>>116
どこのソース見た?
fukuzencomは修正されとらんがな
121:名無しさん@お腹いっぱい。
09/05/23 14:01:16
www●fukuzen●comは改竄されたまま
122:名無しさん@お腹いっぱい。
09/05/23 14:01:54
>>114
やり方よくわからなかったから
ファイル名を指定して実行→system32入力→検索でsystem32\sqlsodbc.chm入力
でsqlsodc コンパイル済みHTMLヘルプファイルっていうのが出てきたんだけど全然違うの?
123:名無しさん@お腹いっぱい。
09/05/23 14:04:16
system32\sqlsodbc.chmの容量が50KB前後で
開ければおk
124:名無しさん@お腹いっぱい。
09/05/23 14:06:13
>>120
ああ、すまん。楽天の方じゃないのか。
たしかにそっちは感染したまんまだ。
125:名無しさん@お腹いっぱい。
09/05/23 14:06:53
コンパイル済みHTMLだからヘルプ機能使わなくても開けるね
126:名無しさん@お腹いっぱい。
09/05/23 14:09:02
>>87
楽天トラベルに警告だせばいいか
127:名無しさん@お腹いっぱい。
09/05/23 14:09:48
>>122
それで合ってるし、間違いなく感染してる。
試しにメモ帳で読み込んでみ?
変な文字列が出てくるから。
128:名無しさん@お腹いっぱい。
09/05/23 14:10:22
>>126
よく読んでくれ
楽天は違う
129:名無しさん@お腹いっぱい。
09/05/23 14:15:06
なあんだ、期限切れでもないのにavastさんの自動更新が死んでたのはそういうことだったのか
\(^o^)/なあんだ
130:122
09/05/23 14:18:09
リカバリしてくる
皆ありがとう
131:名無しさん@お腹いっぱい。
09/05/23 14:19:02
sqlsodbc.chmって結局何に使ってたんだろうな。
感染させて放置してもサイズが増えていったりもしないし、内容も
変わらずそのままなんだよな。
132:名無しさん@お腹いっぱい。
09/05/23 14:22:55
外部にHP作成依頼してたらそこの会社のPCが感染してるんだよね?
該当HPのところに問い合わせてもだめなんじゃないか?
133:名無しさん@お腹いっぱい。
09/05/23 14:22:59
初心者な書き込みだったらごめん。
シマンテックでGENOはDaonolで検出されるとあって、so-netのセキュ報告から
見に行ってみたんだけど、危険度1:ほとんど影響なし、となってる。
確かに以前USBウィルスが猛威をふるった時にも、感染PC:0-1台、危険度1
になってて、どういう基準なんだと思ったんだけど、これってそういうものなの?
新型インフルのフェーズ6みたいに、何かシロウト感覚に合わない基準とか?
URLリンク(www.symantec.com)
134:名無しさん@お腹いっぱい。
09/05/23 14:23:03
>>106
1.lolipopによって削除されてる模様
2.問題のスクリプトは見当たらない
3.スクリプト残留確認
4.403 Forbidden TOPは特に無し
5.問題のスクリプトは見当たらない
問題あるのは3番目だけかな。
でも直接リンク貼るのはやめてね><
135:名無しさん@お腹いっぱい。
09/05/23 14:23:13
>>49-128
旅館ふくぜんのサイトは、レンタルサーバー管理会社の方に 5/22 18:19頃 報告いれてあります。
あとは修正されるのをおとなしく待て。騒ぎすぎるな。
ただ、abuse窓口の登録メールアドレスに届かず、Webのフォームからその他のお問い合わせで
投げてるので、対応まで時間がかかると思われる。土日休みなら、対応は月曜日以降だろう。
136:名無しさん@お腹いっぱい。
09/05/23 14:24:15
意味不明なアルファベットの羅列が一行だけだった
あれで何かできるとはとても思えない
137:名無しさん@お腹いっぱい。
09/05/23 14:29:29
>>136
感染PCのシリアライズか、bot動作のオプションスイッチの類かもよ。
138:名無しさん@お腹いっぱい。
09/05/23 14:33:13
>>136
>>133のサイトを見ると説明が書いてあった。
-----
このトロイの木馬は、ネットワークトラフィックを監視し、
FTP アカウント情報を盗み取り、次のファイルに保存します。
%System%\sqlsodbc.chm
注意:オリジナルの %System%\sqlsodbc.chm ファイルは上書きされます。
-----
FTP接続すれば何か増えるかもしれないね。
139:名無しさん@お腹いっぱい。
09/05/23 14:36:05
>>133
駆除されたり検疫されたファイルが提出された数なんかで危険度の
ランキングしてるんじゃないかな?
対応がだいぶ遅れたし、感染PCはSymantecのサイトに繋がらなかったり
するし、ウィルス配布サイトが停止する前後にウィルス定義が公開されたり
という要素が絡んでるんでない?
140:名無しさん@お腹いっぱい。
09/05/23 14:42:18
>>133
危険度ランクってページがあったけどgoogleキャッシュでしか残ってなかった
「Symantec 危険度」でぐぐればでてくるよ
危険度1
ユーザに対する脅威になる可能性はほぼ皆無で、話題に取り上げられることも
ほとんどありません。蔓延しているという被害届けもないタイプです。
危険度2
危険性が低いか、または中程度(しかし、さほどの影響はなく、対処も十分可能)
、あるいは、大規模な被害または増殖活動を行わないタイプのもので、
特性によってはニュースで大きく取り上げられるウィルスがこの部類に入ります。
危険度3
かなり蔓延度が高い(有害性は低く、抑制可能)か、あるいは、蔓延した場合に
危険な(かつ抑制不可能)タイプです。
危険度4
危険な脅威タイプで、抑制も困難です。
最新のウィルス定義をすぐにダウンロードして、事態に備えてください。
危険度5
非常に危険なタイプの脅威で、抑制も極めて困難です。
このタイプの脅威に備えるには、最新のウィルス定義をただちに
ダウンロードし、全てのマシン上でウィルススキャンを実行してください。
141:名無しさん@お腹いっぱい。
09/05/23 14:42:45
>>139
なるほど、ネットの噂話レベルではなく、自分とこで把握した数字のみで判断とか、
そういう基準があるかもしれないですね。
USBトロイの時なんか、ウチの会社だけで30台はやられたのに、なんでこんなに
簡単な書き方してるんだ、とイラッとしたりしましたがw
ちゃんと通報しないといけないか。
142:名無しさん@お腹いっぱい。
09/05/23 14:43:48
お前らせっかく俺が>>28でchmみるより確実な方法伝えたのに試さないのかよ
cmd立ち上がるなら
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32"
を入力するだけでいいから試せよ
143:名無しさん@お腹いっぱい。
09/05/23 14:44:01
>>140
あれれれ? だったらせめて危険度2だよね。不思議だ。
144:名無しさん@お腹いっぱい。
09/05/23 14:44:42
>>138
それが増えなかったんだよね。
ホスト側でパケットを監視しながら、別VMのftpサーバにアクセスしても、
感染VMがスクリプトを埋め込むだけで、外部へのパケットは一切流れな
かった。
ウィルスの動作が制作者の意図通りでなかったのか、あるいは感染が一気に
広まりすぎて、足が付きかねない動作を殺してたのか。
145:名無しさん@お腹いっぱい。
09/05/23 14:47:20
旅館とかに電話するなら
客を装ってみて
大分悪意のあるサイトの様だが
しっかり旅館やってんのか、とかして聞いたほうがいいんじゃねーか?
割とかかってくるいたずら電話も多いから警戒する、俺の場合(旅館じゃ無くてホテルのバイトだが
146:名無しさん@お腹いっぱい。
09/05/23 14:48:26
>>144
割とお茶目な作者だから前者だろうな
147:名無しさん@お腹いっぱい。
09/05/23 14:53:53
>>143
1か2だとおもう
Symantecちゃんから見たらこの程度は1なのかもしれない
外務省の海外危険情報みたいなもんだな
148:名無しさん@お腹いっぱい。
09/05/23 14:55:24
>>144
感染VM自身がスクリプトをうめこむの?
それじゃFTPパスワード盗む必要がないような
149:名無しさん@お腹いっぱい。
09/05/23 14:56:35
実際挙動は凄まじいけどやってることはたいしたこと無い品
150:名無しさん@お腹いっぱい。
09/05/23 14:59:47
>>148
複数の書き換え手段を用意してても不思議ないっしょ。
151:名無しさん@お腹いっぱい。
09/05/23 15:04:32
>>150
複数の手段を用意してても不思議ではないが
そんな報告が国内外のどこにも無いのが不思議
152:名無しさん@お腹いっぱい。
09/05/23 15:13:23
>>151
ん~、パケットを拾い損ねたとは思えないんだけどなぁ。
153:名無しさん@お腹いっぱい。
09/05/23 15:15:38
「ブルースクリーン オブ デス」ってカッコイイ響きだな
古風なRPGに出てきそう
154:名無しさん@お腹いっぱい。
09/05/23 15:16:12
>>151
思い出した。
ftpdのログにも別IPからの接続は記録されてなかったよ。
155:名無しさん@お腹いっぱい。
09/05/23 15:22:14
>>154
お前鯖管なの?
とりあえず貴重な情報サンクス
156:名無しさん@お腹いっぱい。
09/05/23 15:25:08
>>131
そのファイルじゃ 感染の判断つかなくなってるん?
157:名無しさん@お腹いっぱい。
09/05/23 15:36:40
っていうか、今は配信停止してるから感染しても機能はしないだろ
158:名無しさん@お腹いっぱい。
09/05/23 15:39:21
>>154
実験したの5月19日以前?
159:名無しさん@お腹いっぱい。
09/05/23 15:59:49
>>82
即レスいただいていたのに遅くなり申し訳ありません。
regeditは開きました。
レジストリエディタが起動しました。
SQLSODBC.HLPはプロパティを見ると、サイズが17,148バイトで、ディスク上のサイズが24,576バイトでした。
いかがでしょうか…?
よろしくお願い致します。
160:名無しさん@お腹いっぱい。
09/05/23 16:02:23
>>159
OS再インストールだな
161:名無しさん@お腹いっぱい。
09/05/23 16:04:48
おれは鯖味噌缶がすきだ
162:名無しさん@お腹いっぱい。
09/05/23 16:08:19
鯖水煮缶も好きだな
163:名無しさん@お腹いっぱい。
09/05/23 16:12:29
>>159
HLPじゃないchm
164:名無しさん@お腹いっぱい。
09/05/23 16:38:47
未だに改竄されたままのHPなんてあるの?
165:名無しさん@お腹いっぱい。
09/05/23 16:48:33
>>6
> ■ adobe flashplayerを最新版に更新
> URLリンク(fpdownload.macromedia.com) [exe注意]
それで更新できるのはFirefox, Safari, Opera用のプラグインだけ。
IE用のActiveXコントロールは別途更新する必要がある。
166:名無しさん@お腹いっぱい。
09/05/23 16:54:42
>>164
>>49あたりから言われてる旅館のサイトがそう
167:名無しさん@お腹いっぱい。
09/05/23 16:56:27
>>1やまとめにある「再起動時にBSOD」っていうのは、LAN抜いてた場合?
168:名無しさん@お腹いっぱい。
09/05/23 16:57:06
URLリンク(www.so-net.ne.jp)
22日時点で感染中となってるサイトがいくらかあるね。
今はもう対策されてるかもしれないけど。
169:名無しさん@お腹いっぱい。
09/05/23 16:57:13
久々にGENOスレに来て、浦島状態なんだけど、
martuz.cnも閉鎖したってことは、今現在はどんなに無防備状態であっても
GENOには感染しないわけだよね。
仮に今も感染状態にあるサイトを見たとしても、martuz.cnが閉鎖しているから、
アクセスしたユーザーは感染することはないと思ってるんだけど。
170:名無しさん@お腹いっぱい。
09/05/23 16:58:19
環境によるってだけ
マルウェアはすべての環境で完璧に動作するよう徹底的にテストしたり
行儀よく公開APIだけを使ったりする必要なんかないから
171:名無しさん@お腹いっぱい。
09/05/23 16:58:49
>>159
>SQLSODBC.HLP
似た名前がいっぱいあって混乱するよねー
172:名無しさん@お腹いっぱい。
09/05/23 17:00:33
GENOなんか数あるウィルスの一つに過ぎんからな
油断してると、別物にやられるだけ
173:名無しさん@お腹いっぱい。
09/05/23 17:01:08
>>169
gumblar.cnはIP変わって復活してるね
174:名無しさん@お腹いっぱい。
09/05/23 17:05:43
IP貼って
175:名無しさん@お腹いっぱい。
09/05/23 17:08:41
CIDR: 71.6.128.0/17
176:名無しさん@お腹いっぱい。
09/05/23 17:09:41
>nslookup gumblar.cn
サーバー: web.setup
Address: 192.168.0.1
権限のない回答:
名前: gumblar.cn
Address: 71.6.202.216
177:名無しさん@お腹いっぱい。
09/05/23 17:11:38
ほんとしつけえやつだよなあ
いつまで続ける気なんだろ
178:名無しさん@お腹いっぱい。
09/05/23 17:11:45
>>173
レジストラが止めたからレジストラの宣伝ページになってるだけで
マルウェアのダウンロードサイトが復活したわけではない
179:名無しさん@お腹いっぱい。
09/05/23 17:12:25
>>178
そうなんだ
じゃあ安心なのか
180:名無しさん@お腹いっぱい。
09/05/23 17:20:31
官能小説の部屋 haru0425.h.fc2.com
このエロ小説サイト、トップ頁以外はチェッカーで1000%だす。
グーグルでも危険認定されてる
181:名無しさん@お腹いっぱい。
09/05/23 17:22:46
あのカスチェッカーまだ使ってる奴いたの
182:名無しさん@お腹いっぱい。
09/05/23 17:23:45
アンチ乙
183:名無しさん@お腹いっぱい。
09/05/23 17:30:22
また活動し始めた?
184:名無しさん@お腹いっぱい。
09/05/23 17:31:17
役に立たないと思うけどなぁ
宣伝の甲斐あって使ってる人は多いだろうけど
185:名無しさん@お腹いっぱい。
09/05/23 17:32:13
記事に取り上げられたくて必死なんだろ > チェッカー
186:名無しさん@お腹いっぱい。
09/05/23 17:33:59
インターネット板のほうもチェッカーテンプレだな
案の定酷い有様
187:名無しさん@お腹いっぱい。
09/05/23 17:38:26
>>159
遅くなってすまん
俺のMEもサイズが17,148バイトで、ディスク上のサイズが24,576バイトだ
ちなみにwin98使いの↓の場合
-----------------------
962 : ◆N9P3SuvBPo :2009/05/18(月) 00:20:13
現在win98使ってて、GENOウイルスに感染してるか知りたい人へ
SQLSODBC.HLP
(C:\WINDOWS\SYSTEM32ではなく、“C:\WINDOWS\SYSTEM”の中です)
のファイルサイズが
16.8KB (17,302 バイト)、24,576 バイト使用 で
更新日時が
1999年5月5日 22:22:00 で、あれば問題ありません。
-----------------------
ですが
基本的にそのファイルを開いてみて
データ ソース ウィザードの最初の画面と出てくれば、感染してません
188:名無しさん@お腹いっぱい。
09/05/23 17:38:46
>>155
鯖管もしてるんで、挙動を確認しておこうかなと。
>>158
17日から始めて、別種でも試そうかと思ってたら配布元が停止してしまった。
189:名無しさん@お腹いっぱい。
09/05/23 17:41:34
>>186
ageてるのが荒らしだなw
実にわかりやすい
190:名無しさん@お腹いっぱい。
09/05/23 17:42:38
■↓■テンプレ案■↓■
>>4 をまるごと削除。
■↑■テンプレ案■↑■
理由1: GENOウイルスとは関係ない。
理由2: 初心者には変更が難しく、各自でどうするかを考える必要がある(混乱を招くおそれ)。
理由3:Remote Procedure Callを止めると、これに依存している複数のサービスが機能しなくなる。
例えば、その中にBackground Intelligent Transfer Serviceがあるが、これはWindowsUpdateに使われる。
よって、Remote Procedure Call サービスを無効化すると、WindowsUpdateがうまくいかない場合がある。
理由4: ルーター側の設定(機能)とPCの設定にもよるので一概にはいえないが、
PCがネットにつながらなくなったり、つながるまでに時間がかかるようになる。
GENOウイルスには関係ないと知っているが、
これを機会にこれらの危険なポートを塞ぎたいのであれば、サービスを停止するのではなく、
ルーターで行うのがおすすめ。
たとえば、YAMAHAの製品などは初めから該当ポートを塞いである(全てかは知らん)。
PCの脆弱性(ただしマイクロソフト関連の脆弱性に限定)に不安があるなら、
マイクロソフトのMBSAで、パスワードからサービスまでを含めて調査可能。
以上、>>4を残しておくのがこのスレにふさわしいのか、必要なさそうなのか、ご検討をよろしく。
191:名無しさん@お腹いっぱい。
09/05/23 17:43:11
>>180
TOPについてはソース確認した感じだと問題なさそう
他は知らん
192:名無しさん@お腹いっぱい。
09/05/23 17:44:27
チェッカーの人はこのまま事態が収束したら憤死するだろうな
193:名無しさん@お腹いっぱい。
09/05/23 17:48:23
>>190
Windowsファイアウォールはインターネットに対してポート135, 445を開かないよう
最初から設定されてる(VistaはもちろんXPのSP2以降も)。いらないでしょ
テンプレ修正するなら>>165もよろしく
ActiveX版インストーラの入手先は調べてないけど
194:名無しさん@お腹いっぱい。
09/05/23 17:51:18
チェッカー叩きする俺たちカッコイイ!
195:名無しさん@お腹いっぱい。
09/05/23 17:54:14
で、だいたい>>194みたいな反応だよな
乙とか必死とか。
196:初心者@レン様萌死
09/05/23 17:56:42
皆様こんにちは
197:名無しさん@お腹いっぱい。
09/05/23 17:56:50
Meってどうなんだろう
これが固定ならMeは相手にされてないのかも
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\
Genoが偶然スルーしていたとしても決してMeが安全というわけじゃないよ
198:名無しさん@お腹いっぱい。
09/05/23 17:56:59
曖昧な判定しかできない上にアフィ満載
本人曰く亜種対策らしいけどな
199:名無しさん@お腹いっぱい。
09/05/23 17:59:13
>>197
ウイルスがregeditの起動を阻止する方法もWin9xでは使えないし
テンプレに書かれてることはWin9xには当てはまらないと思ったほうがよさげ
200:名無しさん@お腹いっぱい。
09/05/23 18:00:06
>>197
HKLM\System\CurrentControlSet\Control\MediaResources\
になるんじゃないの?98もMeももって無いから確かめようがないが
201:名無しさん@お腹いっぱい。
09/05/23 18:00:23
あっちのスレ立てたのはvipper臭い
ageるし前スレの感じとか
202:名無しさん@お腹いっぱい。
09/05/23 18:01:07
>>201
もう許してやれ
203:名無しさん@お腹いっぱい。
09/05/23 18:01:54
Adobe Reader7.0のJavascriptを切ったんですが
これで感染することはなくなったんでしょうか?
あと7.0以外にも5.0とか6.0も入ってるんですが削除しちゃった方がいいんでしょうか?
204:名無しさん@お腹いっぱい。
09/05/23 18:03:18
なんだか幽霊みたいに存在感のないウイルスだな。
205:名無しさん@お腹いっぱい。
09/05/23 18:05:35
アンチチェッカーは使いこなせなくて文句いってるだけだろカス
206:名無しさん@お腹いっぱい。
09/05/23 18:08:30
>>190
うん、削除でいいと思う。
RPC止めるってのはねーわ。
207:名無しさん@お腹いっぱい。
09/05/23 18:08:52
>>199
こっち見てた
URLリンク(www.symantec.com)
影響を受けるシステムがNT系のみの記述なんだよね
そもそもMeとかのっとる前から不安定だしシェアもないし
たいして効果が望めないところにコストかけて対応する必要もないと
考えれば妥当かもなあと
regeditを防いでるわけじゃないんだね。ちょっとおもしろい。
-----
また、次の文字列を含むプロセスが実行されるのを阻止します。
.com
.bat
.reg
cmd
reged
208:名無しさん@お腹いっぱい。
09/05/23 18:08:54
ジョークツールなんだからそんなに必死にならなくても
209:名無しさん@お腹いっぱい。
09/05/23 18:11:00
>>203
> あと7.0以外にも5.0とか6.0も入ってるんですが削除しちゃった方がいいんでしょうか?
どういう理由で入ってるのか分からないから何とも言えない
7.1.1にバージョンアップしないでJavaScript切って済ませようとしている以上
7.0でないと困る理由があるんだろうし
210:名無しさん@お腹いっぱい。
09/05/23 18:12:33
> その後、次の Windows API をフックして、新規に作成されたすべてのプロセスを挿入します。
> kernel32!CreateProcessW
どう見てもWin9xには関係ありません
本当にありがとうございました
211:名無しさん@お腹いっぱい。
09/05/23 18:13:41
>>187
わざわざ、ご丁寧にありがとうございます。
今更、MEでセキュリティもないかもですが、今回はだいじょぶそうで安心しました。
皆様のWin9x系についてのご助言もありがたく思います。
またお世話になるときにはよろしくお願いいたします。
212:名無しさん@お腹いっぱい。
09/05/23 18:15:47
>>209
いえ、特に理由はないです
最近使った覚えもないし、たぶん前のが残ってるだけだと思うのですが…
7.0でないと困る理由も特にないです
JavaScriptを切るよりバージョンアップした方がいいならそうしようと思います
213:名無しさん@お腹いっぱい。
09/05/23 18:16:32
このトロイの木馬は、次の文字列を含む URL がアクセスされると、自分自身を削除します。
DaonolFix
なんて駆除が簡単なんだ
214:名無しさん@お腹いっぱい。
09/05/23 18:17:10
>>212
ごみが残ってるだけならいったん全部アンインストールして
9.1を入れなおすのが良いと思うよ
んでそのあとJavaScriptオフ
215:名無しさん@お腹いっぱい。
09/05/23 18:17:41
>>207
こいつがブロックしようとしてるgmerってのはどういうものかわかったけど、
le38ってなんだかわからない。
216:名無しさん@お腹いっぱい。
09/05/23 18:18:47
>>214
そうなんですか
分かりました、ありがとうございます
217:名無しさん@お腹いっぱい。
09/05/23 18:24:57
>>215
GMERと同様のツールなんだろうね。よく知らんけど。
218:名無しさん@お腹いっぱい。
09/05/23 18:27:44
>>215
Rootkit Unhookerぽいな
よくわからんけど
219:名無しさん@お腹いっぱい。
09/05/23 18:30:22
ウイルスが便利なツール教えてくれてるな
220:名無しさん@お腹いっぱい。
09/05/23 18:31:00
米連邦捜査機関のコンピューターがウィルス汚染、外部から緊急隔離
URLリンク(www.technobahn.com)
221:名無しさん@お腹いっぱい。
09/05/23 18:31:30
>>210
MSだけでなくウイルスにも見放されたwin9x
222:名無しさん@お腹いっぱい。
09/05/23 18:57:06
>>173
Hack鯖のPort8080が開いてる
ほかにPort22(遠隔操作用) Port25 Port80 Port110 Port135 を開けているが何をするつもりだ
ブラウザで直接アクセスしても弾かれる
Port137-139 Port445は閉じられていた
感染する状態なのか、誰か感染してみてくれ
223:名無しさん@お腹いっぱい。
09/05/23 18:58:42
「GENOウイルス」、今年最大級の脅威に
スレリンク(news板)
224:名無しさん@お腹いっぱい。
09/05/23 19:06:16
うこっけいと出版社もそうだよね
225:名無しさん@お腹いっぱい。
09/05/23 19:06:25
セキュリティなし、フラッシュ最新、リーダーなしでふくぜん見たけど感染はなかった
226:名無しさん@お腹いっぱい。
09/05/23 19:10:08
GENOウイルスが活動開始か
JSが、Gumblar.cnに飛ばす感染サイトが危ないな
227:名無しさん@お腹いっぱい。
09/05/23 19:11:29
>>222
gumblar.cnを指定しているスクリプトをVMのapacheに書いて踏んでみたけど
何も落ちてこないね。
IP変えたり、イーモバ接続で踏んでみても駄目だ。
228:名無しさん@お腹いっぱい。
09/05/23 19:14:06
アンチチェッカー沸いてたのか
なんかいつも急に現れて急に同意する連中がこぞって現れるな
ま どうせ自演なんだろうけど
229:名無しさん@お腹いっぱい。
09/05/23 19:14:26
>>227
乙
230:名無しさん@お腹いっぱい。
09/05/23 19:14:41
ラトビア→ロシア→イギリス→アメリカ
大西洋横断しました
231:名無しさん@お腹いっぱい。
09/05/23 19:16:06
gumblar.cnの開始の意図はなに?
232:名無しさん@お腹いっぱい。
09/05/23 19:19:04
>>230
ラトビアZlkon → ロシアGumblar → イギリスMartuz → アメリカ???
アメリカ初耳なんだが誰かkwsk!
233:名無しさん@お腹いっぱい。
09/05/23 19:20:44
gumblar.cnで感染してて放置されてるところ知らない?
踏んでみるけど。
234:名無しさん@お腹いっぱい。
09/05/23 19:20:51
>>222の
Port135はFILTEREDの誤りスマソ
235:名無しさん@お腹いっぱい。
09/05/23 19:31:49
結局parked.everydns.netかよ
死ねよ
236:名無しさん@お腹いっぱい。
09/05/23 19:34:21
ほとんどmartuz.cn行きかorz
237:名無しさん@お腹いっぱい。
09/05/23 19:41:30
>>236
URLリンク(genolists.alink.uic.to)
の「ひ○みの内緒話」は3つ入ってて全部がんぶら
238:名無しさん@お腹いっぱい。
09/05/23 19:53:56
>>237
やっぱり落ちてこないわ。
ただ、さっきもVM経由でアクセスしたから、俺のところに割り当てられるIP範囲が
焼かれちゃってる可能性もある。
239:名無しさん@お腹いっぱい。
09/05/23 20:01:23
gumblarで中国の感染サイト1つ見つけた。
240:名無しさん@お腹いっぱい。
09/05/23 20:01:55
危険な旧AdobeのURL希望
241:名無しさん@お腹いっぱい。
09/05/23 20:08:47
中国のgoogleは、検索する用語は赤字になるのだな。
242:名無しさん@お腹いっぱい。
09/05/23 20:17:50
>>238
>>235の意味がわからんのか?
>>178見ろ
243:名無しさん@お腹いっぱい。
09/05/23 20:18:14
>>241
太字にすると漢字が潰れて読めなくなるからな
244:名無しさん@お腹いっぱい。
09/05/23 20:18:40
ヘェー
245:名無しさん@お腹いっぱい。
09/05/23 20:50:37
で、バスターさまはまだ対応してないの?
なにやってんの? うまい棒でも食べてんの?
246:名無しさん@お腹いっぱい。
09/05/23 20:53:44
>>240
URLリンク(www.adobe.com)
テスト用のアーカイブ版 Flash Player の提供について
247:名無しさん@お腹いっぱい。
09/05/23 21:00:56
バスター亜種は知らんが対応してます
248:名無しさん@お腹いっぱい。
09/05/23 21:53:21
> Flash Player 2
ここまで来ると逆にFlash Player 1が気になる
249:名無しさん@お腹いっぱい。
09/05/23 22:43:52
解析したいんだが、現在、まだ感染しているページある?
250:名無しさん@お腹いっぱい。
09/05/23 22:46:08
旅館ふくぜんは対応したのかな?
251:名無しさん@お腹いっぱい。
09/05/23 23:08:07
>>250
してない
ブログじゃ感染してるの認識してるっぽいんだがな
252:名無しさん@お腹いっぱい。
09/05/23 23:18:34
いつも当館のブログを閲覧いただきありがとうございます。
自宅のインターネット環境をADSLから遂に光へ変更!!
が、光のスピードでウィルスに感染し泣きそうな担当:福田です。
遂に自宅のネット環境が【光】になる!!
これは、現在とさほど値段が変わらずできることから
妻に了承を得て実現となりました。
URLリンク(fukuzen.seesaa.net)
マジキチ
253:名無しさん@お腹いっぱい。
09/05/23 23:21:54
教えたやれよw
254:名無しさん@お腹いっぱい。
09/05/23 23:26:13
暢気だな・・・。
こうして感染は広がるのか。
255:名無しさん@お腹いっぱい。
09/05/23 23:27:51
やっぱりメディアが事の重大さを伝えるべきなんだ
256:名無しさん@お腹いっぱい。
09/05/23 23:31:42
ふくぜん、重大さを全く分かっとらんなwwww
257:名無しさん@お腹いっぱい。
09/05/23 23:32:26
これまだ出てなかった気がするから一応貼っとく
「感染すると、さまざまな被害に」―最新Webウイルスを徹底解説
URLリンク(itpro.nikkeibp.co.jp)
新しい情報はこのへん
----------------
FTPアカウントを盗み出す対象となるのは、感染パソコンだけではない。
感染パソコンが接続しているネットワーク(サブネット)が対象となる。
ウイルスは、ネットワークを流れるデータを収集するソフトを特定のサイトから
ダウンロードしてインストール。
そのソフトを使ってネットワークを流れるデータを監視し、FTPアカウントと
思われるデータを記録する。
258:名無しさん@お腹いっぱい。
09/05/23 23:32:54
自分のサイトが原因でウイルス入ってるのが気付いてないってこと?
259:名無しさん@お腹いっぱい。
09/05/23 23:33:33
■最大・最後の脆弱性は「人間」
と書いているのは、問い合わせにおもろいメールを返してきたトレンドマイクロなんだけど
252見たらすごく共感した
260:名無しさん@お腹いっぱい。
09/05/23 23:34:27
身内から心無い言葉を浴びせられるのも当然の報いだな・・・ふくぜん・・・。
261:名無しさん@お腹いっぱい。
09/05/23 23:38:07
>>252
感染したことはわかってるけど気にかけてないってことかな
ある意味尊敬するが関わりたくないな
262:名無しさん@お腹いっぱい。
09/05/23 23:40:49
>>253-256,258-260
>>135
263:名無しさん@お腹いっぱい。
09/05/23 23:40:51
ブログから予約のリンクとして貼ってある、YAHOO!トラベルは、「ふくぜん」削除してるな。
264:名無しさん@お腹いっぱい。
09/05/23 23:41:02
こまけぇことはいいんだよぉ!
265:名無しさん@お腹いっぱい。
09/05/23 23:42:36
だれだ、被害者とかいってふくぜんブログにコメントしたのはwww
266:名無しさん@お腹いっぱい。
09/05/23 23:52:22
コメ凸すんなよw
267:名無しさん@お腹いっぱい。
09/05/23 23:55:40
>>257
この手の情報ってどこまで信じていいものやら。
元記事は
URLリンク(www.martinsecurity.net)
だけど、偽アンチウィルス仕込まれたって話は今まで日本では報告されてないんじゃ
ないかな。
ちなみに「FTPアカウントを盗み出す対象となるのは、感染パソコンだけではない」っていうのは
別に新しい情報じゃないよ。sniffingできる範囲なら当然漏れる。
268:名無しさん@お腹いっぱい。
09/05/23 23:58:28
ふくぜんの人気に嫉妬
269:名無しさん@お腹いっぱい。
09/05/24 00:03:45
(TT)
270:名無しさん@お腹いっぱい。
09/05/24 00:06:52
ブログのコメ開放してあるならウイルスの詳細とか色々書いてあげればいいじゃない
271:名無しさん@お腹いっぱい。
09/05/24 00:13:27
いまどきリピータハブなんか残ってないだろ
272:名無しさん@お腹いっぱい。
09/05/24 00:16:03
感染するのが早ければ「FUKUZENウィルス」って名前になったのにな…
273:名無しさん@お腹いっぱい。
09/05/24 00:19:52
何というイメージダウン
274:名無しさん@お腹いっぱい。
09/05/24 00:20:33
VIP辺りに旅館のサイトがウイルス感染認識してるのに放置
とかってスレ立てたら祭りにならないかな
なんてね
275:名無しさん@お腹いっぱい。
09/05/24 00:21:26
昨夜から踏んでるが変化はないぞ。
ふくぜん は。
276:名無しさん@お腹いっぱい。
09/05/24 00:22:55
知らずに放置してるなんかの企業や店の公式HPってどれだけあるんだろうね
―ってほども無いか・・・・
277:名無しさん@お腹いっぱい。
09/05/24 00:23:38
ブログ書いてる暇あるならウィルスの話もたのむよ
278:名無しさん@お腹いっぱい。
09/05/24 00:23:43
>>274
VIPなんかに立ったら
店が潰されてしまうんじゃないか?
279:名無しさん@お腹いっぱい。
09/05/24 00:24:02
>>257の日経の記事が>>267のリンクの記事をほぼ訳して整理しただけってのがちょっと笑える
そういや新聞の日経の経済記事で、「おっ!なかなか鋭い!」って評価が高いやつは、
英フィナンシャルタイムズの社説を三日遅れで訳しただけだったりするのが殆ど。
社の体質なんかもしれんなw
280:名無しさん@お腹いっぱい。
09/05/24 00:33:03
>>274
VIPに期待
281:名無しさん@お腹いっぱい。
09/05/24 00:35:53
どこが最初かわからんけど、
旅行業界で一部感染が広がっていたのかもしれんな。
URLリンク(www.google.com)
282:名無しさん@お腹いっぱい。
09/05/24 00:39:26
Foxit Readerの脆弱性も利用される場合があるようですのでお気をつけて
283:名無しさん@お腹いっぱい。
09/05/24 00:44:30
もう名称 別名ふくぜんウィルスってのを一つ加えてもいいレベルだろw
284:名無しさん@お腹いっぱい。
09/05/24 00:46:16
ふくぜんでググルとちゃんと
このサイトはコンピュータに損害を与える可能性があります。
って注意が出てるwwww
285:名無しさん@お腹いっぱい。
09/05/24 00:49:04
伊香保まで車で30分かからないぜ
今度ふくぜん行ってみようかな
286:名無しさん@お腹いっぱい。
09/05/24 00:51:29
ふくぜんウィルスってほのぼのしてるなw
誰か近くに住んでる奴か暇な奴が遊びがてら行って
何とかしてあげて
287:名無しさん@お腹いっぱい。
09/05/24 00:53:46
コロンブスは既出?
288:名無しさん@お腹いっぱい。
09/05/24 00:54:19
豚インフルじゃないけど
ふくぜんにアクセスしたパソコンは安全が確認されるまで強制隔離なww
289:名無しさん@お腹いっぱい。
09/05/24 00:54:37
「サイト覗いたらウィルスに感染した」ってクレーム入れれば動くかな
290:名無しさん@お腹いっぱい。
09/05/24 00:55:14
これは何かね?食べられるの?
URLリンク(www.value-press.com)
291:名無しさん@お腹いっぱい。
09/05/24 00:58:10
運営で醜態晒してからチェッカーの人見て無いんだけど何処行ったの?
292:名無しさん@お腹いっぱい。
09/05/24 00:59:04
>>291
kwsk
293:名無しさん@お腹いっぱい。
09/05/24 01:00:12
アフィチェッカー?
294:名無しさん@お腹いっぱい。
09/05/24 01:02:16
と思ったらまた湧いてた
スレリンク(operate板)
295:名無しさん@お腹いっぱい。
09/05/24 01:39:15
友達がGENOに感染しててクリーンインストールじゃなくて修復インストールで
直したって聞いたんだけどこの場合ウィルスは完全に駆除されたのかな?
一応、sqlsodbc.chmのファイルサイズとかは正常に戻ったみたいだけど。
296:名無しさん@お腹いっぱい。
09/05/24 01:39:28
>>291
醜態って何よ?
297:名無しさん@お腹いっぱい。
09/05/24 01:50:02
さっきyoutube見てて閉じようと思ったらインターネットブラウザが大量に起動してタブも
大量に開かれたんだけど>>1に書いてある症状とは違う?
298:名無しさん@お腹いっぱい。
09/05/24 01:52:48
>>297
ブラウザの起動なら別の問題です
そもそもyoutubeだけではそういうことは起こらないと思います
299:名無しさん@お腹いっぱい。
09/05/24 01:59:02
>>298
GENOは関係ないですか
一応Aviraで検索していますがウィルスの他の可能性は
あるのでしょうか?
300:名無しさん@お腹いっぱい。
09/05/24 02:02:30
知 る か
301:名無しさん@お腹いっぱい。
09/05/24 02:04:30
Janeを変な立ち上げ方したら
エラー画面が次々出てJaneを閉じれなくなって
にっちもさっちもいかなくなって電源落として終了させてから
電源入れ直したら、BIOSでパスワードかけてたのにも関わらず
メーカーロゴの後そのままwinが立ち上がって来るようになった
302:名無しさん@お腹いっぱい。
09/05/24 02:08:00
もっと相応しいスレがあるからそっち行ったほうがいいと思うぞw
303:名無しさん@お腹いっぱい。
09/05/24 02:16:18
>>87は安全だね
危ないのは
URLリンク(www.fukuzen.com)
絶対開かないでね。
googleタンは「このサイトはコンピュータに損害を与える可能性があります」
と出ますがウイルスバスターのTrendプロテクトは安全だと言い張ってますw
304:名無しさん@お腹いっぱい。
09/05/24 02:19:30
絶対開かないで言うならアドレスそのまま張るなよボケ
しかしバスター使えねーな
305:名無しさん@お腹いっぱい。
09/05/24 02:25:38
>>304
Adobe Flash Player の最新版にアップデート
Adobe Acrobat Reader の最新版にアップデート
上記をしてるのであえて踏んでみたが感染はしてないようだ。
306:名無しさん@お腹いっぱい。
09/05/24 02:28:57
>>299
他の何かである可能性はあるけどGenoとは違いそうです
スキャンしてるならおとなしくそれを待てば良いとおもいます
youtube以外にもいきましたよね
リンクは貼らなくて良いです
307:名無しさん@お腹いっぱい。
09/05/24 02:29:59
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
流石Sophosさん恥ずかしい勝利宣言しただけのことはあるな
308:名無しさん@お腹いっぱい。
09/05/24 02:35:25
>>303
そこも無害じゃね?
ソース見ても何もなさそうだが
309:名無しさん@お腹いっぱい。
09/05/24 02:38:41
もしや解決したんじゃね?
310:名無しさん@お腹いっぱい。
09/05/24 02:40:23
なわけないだろ
311:名無しさん@お腹いっぱい。
09/05/24 02:41:00
>>308
ソース見たら真っ黒なんすけど
312:名無しさん@お腹いっぱい。
09/05/24 02:41:38
少なくとも22日付けのwepawet先生は激怒しておられる
URLリンク(wepawet.iseclab.org)
313:名無しさん@お腹いっぱい。
09/05/24 02:42:04
googleで開いたらこの始末(IE8)
警告- このウェブサイトにアクセスすると、コンピュータに損害が生じる可能性があります。
検索のヒント:
前のページに戻って、他の検索結果を選んでください。
別のキーワードで検索してみてください。
または、ご自身の責任のもとで URLリンク(www.fukuzen.com) にアクセスできます。見つかった問題の詳細については、Google が提供するこのサイトのセーフ ブラウジング診断ページをご覧ください。
不正なオンライン ソフトウェアから保護する方法については、StopBadware.org をご覧ください。
サイトの管理者である場合は、Google のウェブマスター ツールを使用して、サイトの再審査を依頼できます。審査プロセスの詳細については、Google のウェブマスター ヘルプ センターをご覧ください。
Advisory provided by
314:308
09/05/24 02:43:21
あれ?
ダウンロードしたのなぜか問題なかったけど
感染してるね
315:305
09/05/24 02:45:53
アドレスに貼り付けて開いた俺はもしかして・・・感染した?
316:308
09/05/24 02:48:23
XPでダウンロードしたら感染部分もダウンロードできたけど
Vistaだと問題の部分だけないのがダウンロードできるな
317:名無しさん@お腹いっぱい。
09/05/24 02:48:38
>>305
いや感染していない
318:名無しさん@お腹いっぱい。
09/05/24 02:49:34
>>315
分からないのに何でそんなことするんだよ・・・
martuz死んでるから感染して無いよ
319:名無しさん@お腹いっぱい。
09/05/24 02:50:28
FUKUZENウィルス怖いれす
320:名無しさん@お腹いっぱい。
09/05/24 02:51:17
FUKUZENとして認知されたのか~??? やるね
321:305
09/05/24 02:52:33
>>317
>>318
無茶して・馬鹿だね俺。
でも感染してないようで良かった㌧
安心してこれで寝られます。
322:名無しさん@お腹いっぱい。
09/05/24 02:52:46
C&C用の鯖は両方生きてるな
これから何かしてくれるのかな
323:名無しさん@お腹いっぱい。
09/05/24 02:54:04
URLリンク(mat.blogdns.com)
URLリンク(mat.blogdns.com)
URLリンク(mat.blogdns.com)
URLリンク(mat.blogdns.com)
URLリンク(mat.blogdns.com)
URLリンク(mat.blogdns.com)
URLリンク(mat.blogdns.com)
URLリンク(mat.blogdns.com)
324:名無しさん@お腹いっぱい。
09/05/24 02:55:10
今現在はノーガードでもGENOに関しては感染しないよ
一時間後は知らんけど
>>323
グロ注意
たいしたことないけどw
325:名無しさん@お腹いっぱい。
09/05/24 03:01:50
本当に大した事ないグロでがっくりした
326:名無しさん@お腹いっぱい。
09/05/24 03:05:14
rottenでも行ってこいよ
そして戻ってくるな
327:名無しさん@お腹いっぱい。
09/05/24 03:07:29
URLリンク(www.bianchi-inuyama.com)
↑
このサイト異常に重いんですが、GENOに感染してますか?
328:名無しさん@お腹いっぱい。
09/05/24 03:10:06
知るかヴォケ
329:名無しさん@お腹いっぱい。
09/05/24 03:19:14
グロスレ住民の俺の専ブラはその画像は激しく既出だとおっしゃっています。
330:名無しさん@お腹いっぱい。
09/05/24 03:19:54
>>327
>>1
331:名無しさん@お腹いっぱい。
09/05/24 03:20:01
_,,,
_/::o・ァ しらんがな
∈ミ;;;ノ,ノ
332:名無しさん@お腹いっぱい。
09/05/24 03:22:57
adobe導入してなくても感染しますか?
333:名無しさん@お腹いっぱい。
09/05/24 03:24:53
確認するならレジストリ見るのが確実だけど
DaonolFix使ってもいいんじゃないの
334:名無しさん@お腹いっぱい。
09/05/24 03:39:03
テンプレにある確認方法試したら大丈夫でした
adobeはサイズが大きいのでfoxitを使ってますが
感染する可能性はありますか?
初心者質問ですみません。
335:名無しさん@お腹いっぱい。
09/05/24 03:41:07
adobe消しとけばおk
336:名無しさん@お腹いっぱい。
09/05/24 03:43:35
ありがとうございます。
安心して得ろサイトをパトロール出来ます。
337:名無しさん@お腹いっぱい。
09/05/24 03:55:10
ageには注意
338:名無しさん@お腹いっぱい。
09/05/24 04:10:16
ふくぜんから目が離せない
339:名無しさん@お腹いっぱい。
09/05/24 04:13:16
>>336
FoxItも脆弱性があったから、最新版にしておけ。
340:名無しさん@お腹いっぱい。
09/05/24 04:19:11
>>323が俺が見てるスレにも張られてて
それに対して「これグロ+GENOウィルスだよ」ってレスがついてたんだが本当なのかな
もうgumblar.cn消えてるらしいしどうでもいいんだろうけど専ブラ使ってないと死んでたのか気になる
一応言っとくと俺が323張ったんじゃないからね
341:名無しさん@お腹いっぱい。
09/05/24 04:20:43
テンプレ戻ってて安心した
342:名無しさん@お腹いっぱい。
09/05/24 04:21:37
>>339
忠告ありがとうございます。
早速そうします。
343:名無しさん@お腹いっぱい。
09/05/24 04:27:49
アフィのテンプレよりは遥かにいいけど
このテンプレも情報古いし適当だよな
344:名無しさん@お腹いっぱい。
09/05/24 04:30:34
>>343
お前みたいな文句いうだけのカスが一番存在価値ないけどな
345:名無しさん@お腹いっぱい。
09/05/24 04:34:34
>>344
早いが、次スレ>>1決定でいいな?
346:名無しさん@お腹いっぱい。
09/05/24 04:36:30
馬鹿にスイッチ入ったか
347:名無しさん@お腹いっぱい。
09/05/24 04:36:57
やっぱり、Vistaにかえた方が無難なんだろうか・・・
XPにfirefox(noscript導入済)、ノートン先生、PG2でかろうじて凌いでるけど
ネットに依存しているタイプだから活動スペースがかなり限定されてしまって毎日ストレスがorz
ほとんどのサイトがJS使ってるから色々つらい
348:名無しさん@お腹いっぱい。
09/05/24 04:37:58
>>347
JSめんどいなら一時的に許可しまくればいいじゃない
349:名無しさん@お腹いっぱい。
09/05/24 04:39:32
>>347
お前ネットやるには向いていないぞ
350:名無しさん@お腹いっぱい。
09/05/24 04:41:23
まとめWikiを取っ払ってまでチェッカーを1に書いた奴のせいで反感を買う
351:名無しさん@お腹いっぱい。
09/05/24 04:44:12
>>348
それが出来れば楽なんですけどね・・・
感染を防ぐためにこんな縛りを強いてるわけでして
長い間、再セットアップしてないからそろそろバックアップを取って事前準備をしておいた方がいい時期なのかも
>>349
向いてないのは否めないですが、ネット歴は一応は10年(ただし、情報弱者)だから
すっかり依存しきってますよ
352:名無しさん@お腹いっぱい。
09/05/24 04:45:43
>>347
このウィルスがなければ普通にネットサーフィンしてたのかい
353:名無しさん@お腹いっぱい。
09/05/24 04:47:01
ソース見てなにもなければ一時許可してるんだけどそれはまた違うの?
354:名無しさん@お腹いっぱい。
09/05/24 04:50:33
今の所はアドビ製品のjsの項目オフにしてりゃいい話じゃない...か
355:名無しさん@お腹いっぱい。
09/05/24 04:51:04
>>340
俺は情弱だからよくわからんけど、このURLは踏んだ事があると専ブラが言っている。
いつごろ見たかよく覚えてないが、すくなくともGENO騒ぎが起きるよりは前。
アドレスを変えずに画像だけ差し替えたのならわからんが、そうじゃないなら
この騒動が起こる前からGENOが仕込まれていたか、340が騙されたかのどっちかだ。
356:名無しさん@お腹いっぱい。
09/05/24 04:53:30
>>354
ブラウザのオフでも効果あるでしょ
もちろんこれ以外にも有効だからそうしてるんでしょ
357:名無しさん@お腹いっぱい。
09/05/24 04:54:44
GENOはまた店の名前変えたら幸せになれる
358:名無しさん@お腹いっぱい。
09/05/24 04:55:35
まー、Adobe Readerは必要な人が多いんじゃないか
他にPDFを扱える似たようなものがあるにしても使い勝手も違うだろうし
私は潔くアンインストールしたけど
Flashはネットをやっている以上はさすがに必要
359:名無しさん@お腹いっぱい。
09/05/24 04:56:42
もう解決したね
次スレいらないね
360:名無しさん@お腹いっぱい。
09/05/24 04:57:19
他のソフトに慣れればいい
361:名無しさん@お腹いっぱい。
09/05/24 05:00:21
Win2k、IE6のセキュリティ中低、FlashPlayer9.0.159.0、AcrobatReader5.0の俺が感染していないですよ
362:名無しさん@お腹いっぱい。
09/05/24 05:03:15
AVAST入れてたもんで勝手に遮断してくれてた
これ騒ぎになってないときだったから何も知らなかったわ
363:名無しさん@お腹いっぱい。
09/05/24 05:14:16
>>361
気づいてないだけだろw
364:名無しさん@お腹いっぱい。
09/05/24 05:17:04
小林製薬とmaidoさん以外でウィルスについて報告したサイトはある?
365:名無しさん@お腹いっぱい。
09/05/24 05:26:24
maidoって?
366:名無しさん@お腹いっぱい。
09/05/24 05:27:51
maidoだけで分かる前提で書き込むとかウザイわ・・・
367:名無しさん@お腹いっぱい。
09/05/24 05:32:45
maido3じゃん。普通に。
368:名無しさん@お腹いっぱい。
09/05/24 05:36:19
>>363
それが感染していないんだよね。何でかは知らんがマジでw
369:名無しさん@お腹いっぱい。
09/05/24 05:38:05
>>368
亜種はcmd.exe、regedit.exeも起動するよ...
370:名無しさん@お腹いっぱい。
09/05/24 05:39:13
>>368
お気に入りサイトが感染していないんだろ
運がいい
371:名無しさん@お腹いっぱい。
09/05/24 05:39:26
大事な所でタイポすんなや解りづらい
372:名無しさん@お腹いっぱい。
09/05/24 06:24:08
やばい終わった
373:名無しさん@お腹いっぱい。
09/05/24 06:24:51
やばいどうしようどうすればいいんだ助けてくれ
374:名無しさん@お腹いっぱい。
09/05/24 06:25:26
てか駆除できないってのが信じられないんだけど、
再起動とか何かEXEを消すとかサービスを止めればいいんじゃねーの?
375:名無しさん@お腹いっぱい。
09/05/24 06:32:45
>>369 >>370
一週間ほど入院していてGENOウイルスの事知らなかったんすよ
お気に入りに入れておいたサイトが結構404で何でかな?っと知り合いにメールしたらこのスレ教わったっす
カスペルスキーのオンラインでJAVAが必要なのか・・・めんどくせ
376:名無しさん@お腹いっぱい。
09/05/24 06:34:26
>>374
駆除はできるよ。全亜種の駆除ができるかはわからんけど。
ただ、駆除してもchmファイルは書き換えられたままだし、クリーンなものに
差し替える必要がある。
他にも書き換えられるシステムファイルがあるかもしれない。
クリーンなシステムファイルを書き戻す方法はSymantecのサイトに書かれているけど、
クリーンインストールしてしまった方が安心できる。
377:名無しさん@お腹いっぱい。
09/05/24 06:38:06
>>376
もちろんクリーンが安定なのは承知の上です。
ただ.chmなんてヘルプファイルだし、もしこれがおかしいとヤバイってんなら、
これはMS04-023/MS05-026あたりの全然違う脆弱性でしょ。
それならAdobeには罪はないですし、WinXP SP3なら感染はしません。
まあ.chmならIEの脆弱性を突かれてる可能性もあるけど。
378:名無しさん@お腹いっぱい。
09/05/24 06:39:32
ああ、ここIDが出ないのね。オレは>>377=>>374です。
379:名無しさん@お腹いっぱい。
09/05/24 06:40:21
>>377
勘違いしているね
380:374
09/05/24 06:48:38
ふっるいFlashしか入ってないVirtualPCでふくぜんを開いたら
「Flashをインストールしますか?」だってorz
そこでインストールしたら最新版が入っちゃうじゃんかよ。
WireSharkによると確かに全然関係ないところからjquery_utf8.jsってのを
落とそうとしてるから、何かしようとしてるのは間違いないな。もう少し調べるわ。
381:名無しさん@お腹いっぱい。
09/05/24 06:54:31
>>377
URLリンク(www.symantec.com)
ヘルプファイルなんかは別に放置してもいいが、他のファイルが書き換えられる可能性が
あるから、駆除手順として「Windows ファイルを抽出して修復」が上がっているんだと
思うんだが。
ま、他に何も書き換えられていないと自分で判断できるならそのままでいいよ。
382:名無しさん@お腹いっぱい。
09/05/24 07:00:28
>>377
Genoに利用されているAdobeの脆弱性がどんなもので、それを突かれた場合、
どういうことが可能なのか調べてみな。
383:374
09/05/24 07:07:34
>>382
一応そいつは調べた。今のところPDFとSWFを最初の突破口にされるのは間違いない。
おそらくふくぜんの場合はSWFを狙ってる。
ただ今Adobeに行くと最新のFlash10しか落とせない(そりゃそうだわな)。古いFlashが
残ってるPCを調達しなきゃいかんのかな。
「既に感染してるVirtualPC」ってのを作って解析したいんだがな・・・
384:名無しさん@お腹いっぱい。
09/05/24 07:10:04
チャレンジャーあらわるあらわる
385:名無しさん@お腹いっぱい。
09/05/24 07:11:24
>>383
好きなのでテストしてくれ
URLリンク(www.adobe.com)
386:名無しさん@お腹いっぱい。
09/05/24 07:21:53
>>383
調べたのにどうして
> ただ.chmなんてヘルプファイルだし、もしこれがおかしいとヤバイってんなら、
> これはMS04-023/MS05-026あたりの全然違う脆弱性でしょ。
なんてことになるの?
もうやめた方がいいと思うよ。
今はウィルス本体が落ちてこないからいいが、その程度の理解じゃケガするよ。
387:名無しさん@お腹いっぱい。
09/05/24 07:24:47
まあ、釣りだろうね
388:374
09/05/24 07:25:13
>>386
オレが知りたいのは既に感染してしまった場合駆除
できないかどうかだから、たとえばHKEY_LOCAL_MACHIN\~\Runに
何か仕掛けるのかとかそういうことを調べたかったんだよ。
なんだウィルス本体はもう消えてるのか? それじゃ意味ないな。
>>385ありがとう。ふくぜんの結果は報告する。
389:374
09/05/24 07:25:46
すまん。MACHIN\じゃなかったMACHINE\だ。
390:名無しさん@お腹いっぱい。
09/05/24 07:27:26
>>388
おーがんばってくれ
インストールはどうやるんですかなんて聞くなよ
391:名無しさん@お腹いっぱい。
09/05/24 07:29:15
朝から糞ワラタ
お前が調べるとか冗談だろ
392:名無しさん@お腹いっぱい。
09/05/24 07:32:56
>>388
感染させたいなら検出可否報告スレに上がってる検体を実行しろよ。
やめた方がいいと思うけどね。
VMに感染させた場合、無防備だとホストOSも平文パスワードを抜かれるぞ。
393:374
09/05/24 07:37:53
ああトラフィックを見て送るってヤツだろ。
まあここまで情報が出てない以上誰にもわかんないんだろうな。
煽られてもしょうがない。
しかし感染した人にクリーンしろってのはちょっと酷だから
何とか止められないもんかという、それだけなんだよ。
しかしおかしいな。確かに9r16ってのが入ったが、バージョン確認でも出てこない。
394:名無しさん@お腹いっぱい。
09/05/24 07:40:17
>>380
> WireSharkによると確かに全然関係ないところからjquery_utf8.jsってのを
Wiresharkの使い方もわかってないだろ。
jQueryはルートのScriptフォルダから落ちてくるし、それはWebデザイナーの
設計通りの動作だ。
中身はGENOが追加されているけど。
395:名無しさん@お腹いっぱい。
09/05/24 07:47:36
一般の人が感染したならクリーンインストールしたほうが何かと安全じゃないすか?
大切なものはバックアップとっておけばいいし、そんなに面倒でもないし・・・
いや、面倒か?
396:名無しさん@お腹いっぱい。
09/05/24 07:54:09
>>393
こことネ板の過去ログ読んだ?
情報が出てないんじゃなくて理解できてないだけだろ?
397:名無しさん@お腹いっぱい。
09/05/24 07:56:00
パーティションでシステムとデータを分けた環境ならリカバリーが30分で済むし楽
398:名無しさん@お腹いっぱい。
09/05/24 07:56:20
Nyftyでスキャンしてみたが
見つかったウイルス:9
感染したアイテム:8 / 0 スキャンしたファイル:21926
疑わしいアイテム:2 スキャンプロセスの経過時間:00:42:00
リカバリしてきまっす
399:名無しさん@お腹いっぱい。
09/05/24 08:05:34
>>397
常にバックアップをしていれば(ry
400:名無しさん@お腹いっぱい。
09/05/24 08:38:03
>>393
>まあここまで情報が出てない以上誰にもわかんないんだろうな
今頃出てきて何言ってんだwww
散々検証が繰り返されて情報も対応策も出切ってるよ
そのおかげで初心者の間でプチパニックになってたのもやっとおさまって
ぼちぼち落着きを取り戻し始めたところなのに空気読めてなさすぎ
つーか今までの流れすらちゃんと読んでもいないくせに
俺がなんとかしてやる的な思い込みしてるところが勘違いも甚だしい
401:名無しさん@お腹いっぱい。
09/05/24 09:01:41
URLリンク(www.so-net.ne.jp)
感染サイト一覧
402:名無しさん@お腹いっぱい。
09/05/24 09:16:47
GENOウイルスの亜種は今後も出てきて難読化も進むだろうが
「JavaScript+既知のAdobe脆弱性」の感染手法が変わらない限り
基本対策をしっかりしてれば仮に検出できなくても感染しないから関係ない
逆に、既に感染した奴がOSクリーンインストールするのは常識中の常識
仕込まれたファイルが検出可能な周知のコードパーツだけとは限らないからな
そんなことも理解できない馬鹿は窓からPC投げ捨てて回線切って首吊っとけ
403:名無しさん@お腹いっぱい。
09/05/24 09:44:04
騒ぎすぎだよ大したことないだろ
店名晒して逆に営業妨害で訴えられたらどうするの?
404:名無しさん@お腹いっぱい。
09/05/24 09:48:04
じゃあ各ニュースサイトもGENOウイルスの名前出してるから訴えられそうだな
405:名無しさん@お腹いっぱい。
09/05/24 09:53:46
いやー久々に面白いおばかちゃんを見たなw
406:名無しさん@お腹いっぱい。
09/05/24 10:52:42
ポート445を閉じたらネットに繋がらなくなったんだが…
407:名無しさん@お腹いっぱい。
09/05/24 11:04:05
>>406
DHCP使わなきゃいいだろ
408:名無しさん@お腹いっぱい。
09/05/24 11:27:31
>>406
書き込みは出来るんだねw
409:名無しさん@お腹いっぱい。
09/05/24 11:29:17
2ちゃんくらいなら携帯でもできますけど
410:名無しさん@お腹いっぱい。
09/05/24 11:50:17
再度ポートを開いたってことも
411:名無しさん@お腹いっぱい。
09/05/24 11:50:28
セキュリティパッチ当てているので今まで軽く流してきたんだけど、
いまさらだけど、FTPのパスワードを盗むってのに興味を引いた。
GENOウイルス感染後の話ではなく、GENOに限らず感染前のサーバー管理者向けの一般的な話として、
FTPを使わずにSFTPを使うって話があまり話題になっていないみたい。
このウイルスはなぜFTPパスワードを抜けるのか?それはFTPプロトコルが暗号化されていないから。
FTPプロトコルを使うことは本質的に危険。同じ理由で暗号化されていないTELNETを使うのも危険。
なのでTELNETの代わりにSSH、FTPの代わりにSFTPを使いましょう。
SSHは普通はどのサーバーでも対応しているはず。またFTPはSSHを解して通信を行うため
SSHが使えるサーバーならSFTPも使えるはず。だからサーバー側のファイアウォールでFTPを許可する必要すら無い。
クライアントソフトとしてはFileZillaがSFTPに対応している。俺のお勧め。
日本ではFFFTPが人気があるみたいだけど、SFTPには直接対応していないみたい。
でもちゃんと設定すればFFFTPでもSFTPを使えるのでどうしてもFFFTPを使いたい人は調べてほしい。
412:名無しさん@お腹いっぱい。
09/05/24 11:56:05
sshやsftp使うのはサイト管理してる人にとっては常識でしょ。
秘密鍵認証のみにしてポートも変えておけばかなり安全。
413:名無しさん@お腹いっぱい。
09/05/24 11:57:22
人に意味不明なメール送りつけたりきもい
ウイルスなんてずっと騒いでるのお前らだけだから。
これだからオタクは嫌われるんだよ・・・こわい
414:名無しさん@お腹いっぱい。
09/05/24 11:58:11
>>412
いやいや、その常識に反してFTPを使っているから
このように感染拡大しているわけで。
日本では(なぜか)人気のFFFTPがSFTPに対応してないみたいだしさ。
どうもSSHにくらべてSFTPに知名度が低い気がするのよ。
415:名無しさん@お腹いっぱい。
09/05/24 11:59:13
世の中バカが多いし、sshが使えないレンタルサーバもかなりあるんでない?
416:名無しさん@お腹いっぱい。
09/05/24 11:59:47
>>413
えっ
417:名無しさん@お腹いっぱい。
09/05/24 12:02:25
>>413
えっなにそれこわい
418:名無しさん@お腹いっぱい。
09/05/24 12:08:12
>>413
で、感染したらまっさきに泣き付きにくるんですね
419:名無しさん@お腹いっぱい。
09/05/24 12:11:25
企業向けや玄人向けのレンタルサーバならSFTPやFTPSに対応してるはずだが、
証明書の用意が面倒なんで素人向けのカンタン激安系サーバは対応してないかもな。
420:名無しさん@お腹いっぱい。
09/05/24 12:12:00
感染してるどっかのサイトの管理人さんかな
421:名無しさん@お腹いっぱい。
09/05/24 12:13:01
バスターってもう対策してるんだよね?
422:名無しさん@お腹いっぱい。
09/05/24 12:18:09
>>416417
判で押したように同じ反応してる方が怖いから
どうせ2ちゃんに洗脳されちゃったんだろ?
仮にどこかのサイトが感染してお前らに何の関係があるの?
お前らがなんとかしてやれるの?意味不明な長文メール何通も
送られてもただのスパムと同じだろ
これだからパソコンオタクはきもいんだよ
423:名無しさん@お腹いっぱい。
09/05/24 12:19:31
>>422
感染しちゃったの?
どうでもいいなら放っておけばいいんじゃないの
そのうち誰からも相手にされなくなってちょうど良くなるからなw
424:名無しさん@お腹いっぱい。
09/05/24 12:19:37
>>406
おいらは全部のポートを閉じてネットしてるよ
これセキュ板住人の常識な
425:名無しさん@お腹いっぱい。
09/05/24 12:20:33
>>422
伊香保温泉の中の人?
なら、とっとと対策を講じろよ。
426:名無しさん@お腹いっぱい。
09/05/24 12:23:57
>>424
どうゆうこと?
427:名無しさん@お腹いっぱい。
09/05/24 12:24:15
>>422
君らにとっては意味不明な事象なんだろうね 知らないうちに人に迷惑かけてることを思ってください