05/03/01 01:58:58
只今2chでvbsのウィルスのソースを貼りノートンなどのセキュリティツールを誤反応させるのが流行っています。
あまりにも質問スレなどで既出の(このvbsの)質問が多すぎるのでこのスレへURLを貼って誘導してください。
また新たなパターンのvbsが見つかったら一応このスレで報告願えると幸いです。
■この問題について■
2chのスレにvbsウィルスのソースを書き込むことによってブラウザがそのスレのhtmlファイルをダウンロードする際に
ウィルスのパターンと一致するので、ウィルスが検出されたとノートン先生などが騒ぎます。(設定によっては反応しないこともありますが、全く問題ありません)
ご存知の通り、htmlを読んでもこのvbsのソースは実行されることは無いので、全く問題ありません。
また、デフォルトだとIEはInternet Temporary Filesフォルダにhtmlをダウンロードしますので、感染ファイルはここのhtmlファイルにになります。
これらのファイルは削除しても全く問題ありませんが、該当スレを読み直すとまたvbsのソース付きhtmlがダウンロードされてしまうので警告が出ます。
■まとめと対策■
2ちゃんねる見ていたらvbsウィルスが検出された!
URLリンク(info.2ch.net)
2ちゃんねる専用ブラウザでノートンを使うと今まで取得したログが抹消されてしまい、スレを再表示した時全てが新しいレスになってしまいます、どうすれば解決できるでしょうか?
URLリンク(info.2ch.net)
2chブラウザのログ保存フォルダを「除外」に設定。
NAV2003以降はNorton Anti Virusのオプションで手動スキャンとAuto-Protectでそれぞれ除外の指定をして下さい。
前スレ
ノートンがvbsウィルスのソースに誤反応
スレリンク(sec板)
ノートンがvbsウィルスのソースに誤反応2
スレリンク(pcqa板)
テンプレ>>1-10あたり
2:ひよこ名無しさん
05/03/01 01:59:38
■既知のvbsウィルスのソース■
・VBS.Internal
出元はスレリンク(download板:197番)だと思われる。
ダウソ板からいろんな板へ飛び火した模様。
・VBS.LoveLetter.A
c.Copy(dirsystem&”LOVE-LETTER-FOR-YOU.TXT.vbs
(反応しないように全角で書いてあります)出元不明。ニュー速から?
一般論として「htm」「html」拡張子などを安易に検索対象から外すことは奨励されません。これを感染ターゲットにするウィルスが数種確認されています。
URLリンク(www.symantec.com)
Q.ウイルスコードが貼られているのにノートン反応しない。。。
A.ウイルスコードが貼られている2ちゃんねるのスレをテストページとして使用するのは奨励されない。
なぜなら、ここで言われているノートンの反応は単なる掲示板とスキャンエンジンの「仕様の衝突」であり、
これからも同じページを見ればその都度反応するという保証がないから。
仕様というものは、ある時突然変更されたりするもの。
ネットサーフィン中のウイルス対策ソフトの常駐動作確認は、テスト用に作られたEICARテストファイルにアクセスして行うべき。
EICARテストファイル(正常に常駐していればURLにアクセスと同時に反応します)
URLリンク(www.eicar.org)
3:ひよこ名無しさん
05/03/01 01:59:46
/ ̄|
| |
| | / ̄ ̄ ̄ ̄ ̄ ̄
,― \ |
| ___) | ∩∩ ∠ リュンパッチ♪
| ___) | | |_| | \______
| ___) |\___(・∀・ )_____
ヽ__)_/ \___ _____, )__
〃 . / / / / 〃⌒i
| / ./ / / .i::::::::::i
____| /⌒\./ / / | ____|;;;;;;;;;;;i
[__]___| / /-、 .\_. / Uし'[_] .|
| || | / /i i / | || |
| ||____|____/ / .| .|\_ノ______..| || |
|(_____ノ /_| |_________..| || |
| LLLLLL./ __)L_| |LLLLLLLLLLLLLLLLL. | ||_____」
| || (_/ / i .| || | ||
|_|| / .ノ |_|| |_||
(_/
4:ひよこ名無しさん
05/03/01 02:00:21
fso.copyfile "c:\network.vbs", "j:\windows\start menu\programs\startup\"
If s = "htm" and fso.FileExists(f1.path+"l") = False then fso.CopyFile f1.path, f1.path+"l"
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
< => <
> => >
& => &
" => "
それぞれしっかり置換されていれば反応しない、ここの掲示板の問題。
ノートンが反応するのは、ここの掲示板(2Ch)の仕様なので気にする必要なし。
ここは、時に他のウィルス対策ソフトが反応する場合もある。
反応したらソースを見てみるといい。他の掲示板と違うことに気付くはずだ。
断言できることは、他のWebページでノートンが反応した場合は要注意ということ。
尚、ここはウイルス鑑定スレではありません。
危ないと思ったURLはラウンジ板等の”勇気が無くて見られない画像解説スレ”で診てもらいましょう。
URLリンク(find.2ch.net)
■関連
ノートン入れたら2chに書きこめない人へ
URLリンク(ansitu.s53.xrea.com)
ノートンインターネットセキュリティ@2ちゃんねる検索
URLリンク(find.2ch.net)
【ノートン入れたら2chに書きこめない】人へ@2ちゃんねる検索
URLリンク(find.2ch.net)
5:ひよこ名無しさん
05/03/01 02:05:28
補足ありましたらお願いします。
6:ひよこ名無しさん
05/03/01 02:06:29
ニャンです
7:ひよこ名無しさん
05/03/01 18:00:01
Q.2ちゃんねるの板開いただけで反応します。
A.スレッドタイトルにウイルスコードが貼られていることがあり、それに反応しています。
2ちゃんねるブラウザの場合、ログ保存フォルダの他にスレタイ・既読スレ履歴等を保存しているファイルやフォルダを除外。
各2ちゃんねるブラウザによってスレタイ・既読スレ履歴等を保存しているファイルやフォルダが異なるようなので
特定のドライブ、フォルダ、ファイルをウイルススキャンの対象から除外する方法
URLリンク(service1.symantec.com)
↑を参考にお使いの2ちゃんねるブラウザのスレでお聞きください。
NAV2003以降はNorton Anti Virusのオプションで手動スキャンとAuto-Protectでそれぞれ除外の指定をして下さい。
URLリンク(info.2ch.net)
8:ひよこ名無しさん
05/03/02 00:36:43
その他リンク@2ちゃんねる検索
エロサイト見たら…助けて下さい!
URLリンク(find.2ch.net)
パソコン初心者総合質問スレッド
URLリンク(find.2ch.net)
セキュリティ初心者質問スレッド
URLリンク(find.2ch.net)
9:ひよこ名無しさん
05/03/03 00:26:00
◆◇◆ 報告用テンプレ ◆◇◆ (暫定)
■>>1-9を読みましたか? 『YES/NO』
■2ちゃんねるの板・スレ・レス番のアドレス 『 』
■ノートンのメッセージ(ウイルス名) 『 』
■ブラウザの種類 『 』
■ノートンのヴァージョン 『 』
■ノートン以外のアンチウイルスソフト名 『 』
■その他. 『 』
10:ひよこ名無しさん
05/03/03 01:13:35
2ちゃんねるに貼られたウイルスコードに誤反応していたことがわかったら
インターネットエクスプローラの場合
ツール→インターネットオプション→インターネット一時ファイル、ファイルの削除
これをしないでウイルススキャンしたらインターネット一時ファイル(Temporary Internet Filesフォルダ)でウイルス反応がでます。
また、該当レスを再び読み込むとウイルス反応がでます。
2ちゃんねるブラウザを使って以下の設定をして2ちゃんねるを見ましょう。
2ちゃんねるブラウザの場合
2ちゃんねる専用ブラウザでノートンを使うと今まで取得したログが抹消されてしまい、スレを再表示した時全てが新しいレスになってしまいます、どうすれば解決できるでしょうか?
URLリンク(info.2ch.net)
2chブラウザのログ保存フォルダを「除外」に設定。
NAV2003以降はNorton Anti Virusのオプションで手動スキャンとAuto-Protectでそれぞれ除外の指定をして下さい。
11:ひよこ名無しさん
05/03/03 02:43:55 7F9C8/Th
よろ
kak.hta';ken=wdt'START
ms-its:mhtml:file://c:\