5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

GENOウイルススレ

1 :名無しさん@お腹いっぱい。:2009/04/08(水) 10:09:39
(1)感染したWebページをひらく
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
(5)bufferOverrunでウィルス本体の起動を試行

以下が問題のURL、
"id=2"はpdfの脆弱性を利用し、
buffer overflowを引き起こさせ感染を試みる。(Adobe Collab overflow)
"id=3"はswf(Flash)の脆弱性を利用しoverflowを引き起こさせ、感染を試みる。
いずれも最新のFlash Playerの導入とPDF Readerを入れていれば問題なし(?)
hxxp://94.247.2.195/jquery.js
hxxp://94.247.2.195/news/?id=100
hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3

リンクは切れており現在無害(当環境では)


以下のリンクは生きており感染実験希望の方はドゾ
★危険ですので注意
hxxp://94.247.2.195/news/index.php

少しわかってること:
WINDOWSの正規ファイルを上書き(?)する可能性大

Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html


952 : ◆W07s5cWHb. :2009/04/10(金) 19:32:00
それは、おいらに粘着してる基地外が書いたのだよ。
昔木っ端微塵に論破した奴か罵倒して遊んでいた相手か
荒らし系コテをヲチして遊んでいたら逆恨みされてるとか、そんな感じで。
無駄に歴が長いんで、無駄に敵が多いんだよ。そこんとこ判れ。

てか、そもそもあのν速コテ図鑑は
ν速で毎回VBS.Loveletterをコピペして貼り付ける事で有名だった
某基地外コテが開設しているサイトだ。
押して知るべし。

953 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:32:14
>>951
見事にあてはまってるね

954 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:36:39
>>951
うわ…きも

955 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:36:57
>>952
DAPのスレ来てる人?

956 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:37:20
◆W07s5cWHb. ←こいつの相手は薮パソユーザーと八頭に任せた。

957 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:38:38
ちょっと待て

       その書き込みは

                 GENOかも

958 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:39:06
とりあえず有用な情報を書いて欲しい。まぁでも明日の朝で一週間なんだな

959 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:40:39
ttp://ecnavi.jp/help/information/info/221/
09/04/10[障害・サポート情報] 【重要】掲載のリンク先ページのウイルス感染について

お知らせ
【重要】ECナビの掲載広告にて発生したリンク先ページのウイルス感染について

この度、ECナビサイトにて掲載を行っておりました広告にてリンク先ページが
改ざんされた可能性があり、広告をクリックして遷移先ページを閲覧した
ご利用者様がウイルスに感染した可能性があるという事態が発生しました。

なお、対象となる広告は下記となります。

■対象広告
puppine(株式会社ブランジスタ)

■掲載期間、箇所
【4/2〜4/9  ポイントチャンス!】
://ecnavi.jp/frame/?url=http%3A%2F%2Fkensho.ecnavi.jp%2Fsearch%2F&KID=&search=&order=new
愛犬と一緒に楽しめる最新ライフスタイル情報が満載「puppine」

【4/9〜4/10 宝くじ ガラガラでポン!】
://point.ecnavi.jp/campaign/lottery/game/
ペットとわたしの新感覚ウェブマガジン「puppine」


※ECナビでは上記の危険認識により、4月10日 15時に広告掲載を停止いたしました。
今回のウィルスに関しましては、Flash/Adobe Readerの既知の脆弱性を悪用するもので、
最新版をお使いならば感染の危険がないという情報もございます。
しかしながら、被害状況等の詳細に関しましては現在掲載サイトにて確認を行っております。
状況が分かり次第再度ご報告させていただきますので、
今しばらくお待ちくださいますようお願いいたします。

960 : ◆W07s5cWHb. :2009/04/10(金) 19:41:39
>>955
DAPのスレって?

961 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:43:02
そのコテの人の知識は役に立つ
ただ自分語りは控えていただきたい

962 : ◆W07s5cWHb. :2009/04/10(金) 19:44:06
>>961
すまんな。

963 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:46:34
>>959
今頃発表か。
クリーンインストしれとはいわないのか。
コテは、叩かれやすくて大変だ。

964 :ハッカー大西 ◆LPbKkZKP8Q :2009/04/10(金) 19:49:53
逆アセンブル(?)ってやつやってやってもいいけど

965 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:51:53
>>964
お前おもしろいなw

966 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:53:44
>>964
お前まだいたのかw

967 :g0d0fH4ck大西 ◆LPbKkZKP8Q :2009/04/10(金) 19:57:21
>>966
セキュ板はずっと見てきてるからな。
俺もかなりの古参だし(草の根BBSの住人だった)
いま逆アセンブリやってる。


968 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:58:14
逆逆アセンブリまであとどんくらい?

969 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:58:51
>>967
どうやって逆アセンブルやるんですか?

970 :名無しさん@お腹いっぱい。:2009/04/10(金) 19:59:41
今回の騒ぎでクリーンインスト3台やった俺が来ましたよっと。
クリーンインストのおかげで3台共動きが軽快。
ただし四日間かかったけど。

何がブラウザキャッシュをクリアだ。ふざけんな。


971 :ハッカー大西 ◆LPbKkZKP8Q :2009/04/10(金) 20:00:44
>>968
大体わかってきた。
どうやらあらゆるプロセスを乗っ取るらしい

>>969
俺は今改造されたsqlsodbc.chmを逆アセンブルでしらべてるんだけど
やり方は、
スタートからアクセサリでメモ帳を開きそこに、sqlsodbc.chmをドロップアンドドラッグする。
そうすると文字列が出てくるだろ?

972 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:02:52
>>971
お前久しぶりに見たわ。


973 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:03:44
>>971
>プロセスを乗っ取るらしい
そういうのってSSMとかCOMODOのディフェンス+とかで防げないの?
今回のケースではどうだったんだろ?

974 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:05:13
大西だったらν速から来た基地外の方がまし

975 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:06:08
>>973
防げるんじゃないか?
ただHIPS入れてるやつなら当然jsオフにしてるだろうから、
引っかかったやつはそういないと思うが。


976 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:07:48
コモドとかHIPS入ってるならそれより前の段階で防げるよ

977 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:07:54
>>971
コードはなに語で書かれてる?

978 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:08:59
>>973
てかそれより前の段階で防げるよ

979 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:10:44
>>977
分かるわけないだろそんなこと。


980 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:14:23
ν速の方のすれってまだあるの?

981 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:14:23
リバエンするって言うもんだから(ry

982 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:14:59
>>975
だよなぁ
防いでくんないと困るよな

>>978
前の段階って何?


983 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:15:32
俺は再インスコするのが面倒だからアンチウィルスソフトで検出されたマルウェア等を片っ端から削除した。
sqlsodbc.chmも改竄されてたので一旦削除してから、クリーンな別PCからソレを移植した。
まぁ一応平穏な状態には戻った。

984 : ◆W07s5cWHb. :2009/04/10(金) 20:17:16
>>980
【0.1】ネットショップ「GENO」等でウイルス感染 業務再開するもGENOサイドは「キャッシュ消せ」とふざけた対応★11
http://tsushima.2ch.net/test/read.cgi/news/1239241638/


985 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:18:55
>>980
もうグダグダで覗く価値なし

986 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:20:25
いえーい!
再インスコした俺が通るよwwww

それで、フルスキャンで検知→駆除はできるようになったの??

987 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:23:46
次スレは?

988 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:29:56
>前の段階って何?
感染直前の段階、ぜい弱性をついて感染を試みるこの段階で警告がでるはず

>それで、フルスキャンで検知→駆除はできるようになったの??
AntiVirだけ感染後ドロップされる一つファイルを検知できる
検知、駆除以前にドロップするファイル数がこのウイルスは極端に少ない、
ウイルスの動きが把握し切れてないので完全に駆除できたとは言い切れない
よくて症状が治った程度

989 : ◆W07s5cWHb. :2009/04/10(金) 20:32:05
>>977
おいらはプログラマじゃないんで細かい事は判らないけど、
UPX圧縮を解除したLa.exeなら今ノートン先生の検疫から戻してバイナリエディタで開いてる。

ファイルの最後に空っぽのVSVersionInfoが在るからどー見てもVC系で作られたEXEだな。
確約出来ないけど。

証拠の画像
ttp://www1.axfc.net/uploader/Img/so/42510.jpg

990 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:32:46
>>988
サンクス、もうしばらく注意必要って事ね。

991 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:33:50
>>988
さんくす
感染を試みる段階で警告か
いままで一回も見たことないw
AntivirとCOMODOで固めてて良かったみたいだ
てかGENOってこの事件ではじめて知ったけど

992 : ◆W07s5cWHb. :2009/04/10(金) 20:36:32
あ、選んだロダがアレだったな。
専用ブラでもプレビュー出来ないし、ちと開くのが怖いな。、これだと。

993 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:36:52
>>989
SSアップロードしてもらうまでもなかったんだが
手間取らせたね
サンキュウ

994 : ◆W07s5cWHb. :2009/04/10(金) 20:38:05
証拠画像上げなおし。
ttp://up2.viploader.net/pic/src/viploader975165.jpg

995 :991:2009/04/10(金) 20:38:32
あ、意味分かった
頓珍漢なこと聞いて済まなかった

996 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:38:59
>>992
ここ比較的長持ちするしいいかも
http://ranobe.com/up/upload.html
ってもう上げちゃってるw

997 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:42:27
次すれ立ててもこれ以上結論出そうにない

998 : ◆W07s5cWHb. :2009/04/10(金) 20:42:44
>>996
どもども。

999 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:43:38
本スレ統合っえことでおk?

1000 :名無しさん@お腹いっぱい。:2009/04/10(金) 20:45:17
次スレ誰か立ててくれ

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

250 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)