5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

☆ウィルス情報&質問 総合スレッド☆part13

1 :939:03/08/21 17:32
ウィルスに関わる話題・質問はこちらに
ウィルスかどうかはウィルススキャンして判断してください。
この板ではURLの鑑定は行っていません。
URLを貼り付けて「このURL大丈夫ですか?」といった質問は
避けてください。鑑定の依頼はラウンジhttp://ex.2ch.net/entrance/の鑑定スレでお願いします。
上記のURLが新スレに移行した場合ラウンジで「勇気」「鑑定」
などのキーワードで検索してください。

IPAセキュリティセンターhttp://www.ipa.go.jp/security/isg/virus.html
Symantec Security Response
http://www.symantec.com/region/jp/sarcj/
Trend Micro ウイルス情報
http://www.trendmicro.co.jp/virusinfo/index.asp
McAfee ウイルス情報
http://www.nai.com/japan/security/
オンラインウイルス検索
http://housecall.antivirus.com/housecall/start_jp.asp

[関連リンク]過去ログ・関連スレ等>>1-20あたり 補足>>1-50
セキュリティ初心者質問スレッドのテンプレも参照。

同じ質問を複数の板やスレッドに書き込むマルチポストは嫌われます。
どの板でも回答をもらえなくなってしまうので、書き込んでせめて1日程度はお待ちください。
お急ぎなら検索が早いかも? → http://www.google.co.jp/



952 :931:03/09/19 14:01
941さんにカキコいただきましたが以下の状況で、
現状MSブラストと違い何事も感じませんが
通常のウイルススキャンでは検出されなかったが、オンラインウイルススキャンをかけたら、
WINDOWS SYSTEMのスキャン終了直後付近同じ場所と思われるが接続が切れてスキャン出来なくなった。
その間PUROGRAM FILEで通常スキャンで検出されなかったウイルス検出表示。

やはり何もしないですでに感染している恐れ。
どう判断すればいいのでしょうか。


953 :931:03/09/19 14:08
対処も教えてください。
とりあえず思いあたるネット接続策含めて警察その他被害報告いたします。

954 :名無しさん@お腹いっぱい。:03/09/19 14:25
最近、127.0.0.1:80からアタック受けてます
loopbackじゃないです
正真正銘、外からのものです

なんか情報ないですか?

955 :名無しさん@お腹いっぱい。:03/09/19 14:36
>>953
>944 でないの?

956 :940:03/09/19 14:49
>942
すみません。win XPです。
Read Me.txt、Save.db、Save.exe、Save.htm、Save.Uninst.exe
の5つのファイルが入っていました。
いくつかのプログラムが応答しなくなったり、
ネットにつなげなくなることもあったり、やはりあきらかにおかしいです。

957 :931:03/09/19 14:54
944は違いますが

958 :名無しさん@お腹いっぱい。:03/09/19 14:59
>>956
オンラインスキャンで検出されなければとりあえず感染してないと考えていいと思うけど。
単にシステムが不安定なんじゃないの。デフラグとスキャンディスクとクリーンアップしてみれば。

959 :958:03/09/19 15:02
>>956
オンラインスキャン途中で止まるのか。失礼しました。
体験版1ヶ月更新できるからこれでしてみては。
http://www.symantec.co.jp/region/jp/trial/index.html

960 :名無しさん@お腹いっぱい。:03/09/19 15:15
>>952
すまんが英数字は半角で書いてくれると読みやすい

>>956
Readme.txtには何が書いてあるんだろう

961 :931:03/09/19 15:26
931ですが、別人と重複しているようです。
私の場合通常スキャン(アップデート)で検出されず、オンラインスキャンで
WINDOWS SYSTEM終わったあたりで2度連続して回線が切断されました。
よろしく

962 :名無しさん@お腹いっぱい。:03/09/19 15:57
毎回、起動するたびに、スタートアップに
qki.exeというファイルができます。
これってウィルスでしょうか?かなり調べたのですがわからん。

963 :941:03/09/19 16:10
>>931 >>952 その他w
だれが誰やらよくわからんが…今流行のSWENワームの可能性を
中心に説明する。

> ウイルス検出表示
なんていうウィールス名が表示された?

レジストリエディタ(ファイル名を指定実行→regedit)は使えるか?
使えるならまだ感染していないかも。エラーが返ってきて使えな
かったら完璧に感染している。

ネットワークアソシエーツのSWEN@MM(別名SWEN.A)の解説は
もう読んだか? 
http://www.nai.com/japan/security/virS.asp?v=W32/Swen@MM
まあ初心者にはちょっとわかりづらいかもしれないw






964 :941:03/09/19 16:11
(つづき)
もしSWENないし亜種に感染していたら手動修復は初心者には困難。
アンチウィールス体験版を落としてきて駆除するしかなさげ
トレンド、ネットワークアソシエーツ(マカフィー)、シマンテックいずれも
SWEN対応ずみ。

前レスでシマンテックが出ていたが、マカフィー、トレンドはここ↓ 
http://www.nai.com/japan/products/mcafee/asap/asap.asp
http://www.trendmicro.com/jp/security/tool/overview.htm







965 :名無しさん@お腹いっぱい。:03/09/19 16:23
>>962
誰かがkqi.exeについて書いているのだがハンガリー語だw
http://mail.irisz.hu/pipermail/akta/2002-October/012813.html
googleでこれ1件しかない。

オンラインスキャン、アンチスパイウェア(ad-aware spybot)
導入は? 

それで何も見つからなければ、「窓の手」でスタートアップから
外しておく。外したのに戻ってくるようならそうとう怪しいので本格的
にレジストリを点検する必要があるかも。




966 :名無しさん@お腹いっぱい。:03/09/19 16:53
>>965
ありがとうございます。
自分も具具ってハンガリー語が翻訳できずにあきらめました。
窓の手の自動実行のところにはqki.exeは出てこないので外せないです。

今のところは不具合が出ていないのでそのままでも問題ないのですが、
気持ち悪いです・・・ね。。

qki.exe 50KB DOSモード用の実行ファイル
(Windows2000でAdministratorのスタートアップフォルダに起動時に毎回作成されます。)

967 :名無しさん@お腹いっぱい。:03/09/19 17:03
>>966
メーラー見てたら、qki.exeの日付と同じ日のメールに
怪しい添付ファイルがついてました。。。

添付ファイル名: 2000年9月13日から始まる心の記録.doc.exe

968 :名無しさん@お腹いっぱい。:03/09/19 17:08
>>967
面白い人だな

969 :名無しさん@お腹いっぱい。:03/09/19 18:16
ブラウザを開くと paypalとか言う英語のサイトにとんでしまいます。これってウイルスなのでしょうか?
エクスポローラーでもホットゾヌでも同じ結果です。

paypalのURLは下記です。(開くのは危険だと思われます。)
www.paypal.com/cgi-bin/webscr

わかる方いらっしゃったら助けて下さい。

970 :名無しさん@お腹いっぱい。:03/09/19 18:20
>>969
1、ウイルススキャン
2、Ad-awareなどでスパイウェアのスキャン

この二つをやっても解決しなかったらまたおいで

971 :名無しさん@お腹いっぱい。:03/09/19 18:25
>>954
うちも 9/2 から Snort で
"BAD-TRAFFIC loopback traffic" 検出中。
ググってみたがわからん。

頻度は 100/day ってとこだ。

swen うざい。


972 :名無しさん@お腹いっぱい。:03/09/19 18:36
>>970

ノートン入れてますのでスキャンは実行しましたが、改善ならず。
Ad-awareとは?厨房ですまそ。

なにぶん、NETにつながらないものですから、検索も出来ません。
メーラーは正常なようなのですが。

ホットゾヌにてここは見られますが、他はどんなURL入れてもPAY PALに行ってしまいます。。。
どうすればいいでしょうか。


973 :名無しさん@お腹いっぱい。:03/09/19 18:45
>972
ググル習慣をつけなさい
http://pc.2ch.net/test/read.cgi/sec/1058423961/

974 :名無しさん@お腹いっぱい。:03/09/19 18:55
>>973

いやですね、
ですのでブラウザ開くと全部PAY PALになってしまうので、ぐぐれないんですよ。
ここのスレを読む事と書き込む事は出来るのですが、他のURLは一切開けない状態なんです。
普段は充分、ぐぐる習慣ついてますよ。

975 :名無しさん@お腹いっぱい。:03/09/19 19:07
ああ、こりゃ俺が悪かったわ
書いたあったな ワリカッタよ

976 :名無しさん@お腹いっぱい。:03/09/19 19:16
こんばんは。ネット接続するとほぼ毎日、一分間に10個前後のウイルスが
沸いてきます。一体何なんでしょうか・・・トロイとかも入ってるんですが。
原因がわからないのでウイルスバスターでなんとか防御してます。

思い当たる事は、前にとあるBBSの(普通のHPの)ツリー式のスレッドを見ていたとき
管理人名で「このスレッドからウイルスが発見されたので削除しました」とかいてあり、
その下にそのウイルス入ったスレッドを立てた人から「ありがとう」の書き込みがあったので
その「ありがとう」レスを開いたら書き込みが無く、それから突然ウイルスに引っかかったみたいです。

OSはWindows2000でADSL引いてます。
なんか、時間帯によってウイルス送られてきたりもするんですがなんなんだろう・・・

977 :名無しさん@お腹いっぱい。:03/09/19 19:35
>>976
女の子か(w
泣きつけば誰かが、ヨシヨシ(うらしやまし(ゲラ

978 :名無しさん@お腹いっぱい。:03/09/19 19:49
>>974
少し前、同じ症状で苦しんでいた人がいたな。
その人はスパイウェアが原因でSpybotで削除できたらしいけど。

とりあえず近くのネットカフェに行って>>973のad-awareとSpybotを
CD-Rにでも入れて持ち帰るか、友達にメールで送ってもらったほうが。


979 :名無しさん@お腹いっぱい。:03/09/19 20:10
>>978

ありがとうございます。
試してみます。

980 :名無しさん@お腹いっぱい。:03/09/19 21:13
buckdoor/subseven
がノートン2003で検出しまくる 日に3回は遮断してるんだけど
どうすればいいかな?
spybotもレジストリも調べたけどそれらしいのがないです。
ノートンが誤認してるだけですか?

981 :名無しさん@お腹いっぱい。:03/09/19 22:07
Playonlineのプログラムを起動すると
http://www.yourproduct.com
とでるのですが、これはウィルスでしょうか?

982 :名無しさん@お腹いっぱい。:03/09/19 22:32
Worm.Automat.AHB ってのがMSのセキュリティパッチ等を装ってガンガンきている
W32/Swen@MMと手口はそっくりだけど別種らしい シマンテックサイトにも詳細情報
ないからよく分からないなぁ
さっきLiveUpdeteしてから検出できるようになったんだけど、3割程度打ち漏らしがあるので
また亜型があるのかなぁ

983 :名無しさん@お腹いっぱい。:03/09/19 23:17
>>982 シマンテックより
ttp://www.symantec.com/region/jp/sarcj/data/w/w32.swen.a@mm.html
>注意:デジタル・イミューン・システム によって自動的に生成された定義により、
>以前はWorm.Automat.AHBという名称で検出されています。

984 :名無しさん@お腹いっぱい。:03/09/20 00:10
なーんか怪しげなメールが続々…

以下題名
Internet Pack
Last Network Critical Pack
Last Network Update
Newest Network Critical Pack
Bug Report
Last Security Patch
Last Network Security Pack
Last Net Security Upgrade
Taste the update from M$ Corporation

985 :名無しさん@お腹いっぱい。:03/09/20 00:22
>983
サンクス

>984
まさに話題のW32.Swen.A@mm ではないか
発信先はMicrosoftとかになってないか?

ガンガンきているよ

986 :名無しさん@お腹いっぱい。:03/09/20 00:30
長文で申し訳ございません。ネットで検索してもわからなかったもので、質問させていただきたいのですが・・・。
OutLookExpress(セキュリティレベル高、カスタマイズ済、「ウイルスの可能性がある添
付ファイルを保存したり開いたりしない」はチェックを入れてます。)を使用、
AVG導入、zonealarmを導入してます。
ところが先日から友人やマイクロソフトからのメールに添付ファイルがついており、
ファイル名は「ATT00***.htm(*部分はランダムな数字)」で、「ウイルスの可能性がある添
付ファイルを保存したり開いたりしない」チェックがあるため、
削除された旨のメッセージが表示されます。
友人に内容および添付ファイルをつけたかを問い合わせました。
内容は確かに友人が送ってきたものであり、添付ファイルはつけていないという返事でした。
友人はマカフィのソフトを導入しているのでウィルス定義を更新後スキャンしてもらいましたが
検出なし、オンラインチェックも何社かしてもらいましたがやはり検出されません。
私もAVGで検出なし、オンラインチェックでも検出なしです。
多少詳しい人に聞いたところ、「メールサーバがやられてるんじゃないか」
とのことだったのですが・・・・。
これはウィルスですか?そうだとしたらなんというウィルスでしょうか?
ウィルスだとしたらやはりメールサーバが感染しているのでしょうか?
ちなみにヘッダー(抜粋)は以下です。
X-Apparently-To: ***@ybb.ne.jp via web1401.mail.yahoo.co.jp; 19 Sep 2003 22:51:40 +0900 (JST)
Received: from hfep06.dion.ne.jp (***.***.***.**)
by ybbmta21.mail.yahoo.co.jp with SMTP; 19 Sep 2003 22:51:40 +0900 (JST)
Received: from computer ([**.***.***.**]) by hfep06.dion.ne.jp with SMTP
id <2003*********38535.YPFC@hfep06.dion.ne.jp>
for <***@ybb.ne.jp>; Fri, 19 Sep 2003 22:51:38 +0900
Message-ID: <004d01a9af4d$55f39c40$3579cc3d@computer>
From: "***" <*****@m2.dion.ne.jp>
To: "***" <***@ybb.ne.jp>
宜しくお願いいたします。

987 :名無しさん@お腹いっぱい。:03/09/20 00:32
シマンテックはSWENの脅威評価を3に上げた。それと…

> 実行されたファイル名の接頭語が q, u, p, あるいは i ではじまっている場合、
> "Microsoft Internet Update Pack" (マイクロソフト・インターネット・アップデート・パック)
> に見せかけたダイアログボックスを表示します。
> 注意: この時点でユーザが選択したオプションに関係なく、W32.Swen.A@mmは
> 自分自身をインストールします。

つまりWindows Security Update窓が出た香具師はすでにワームに感染ずみ
ということだから、急ぎ駆除のこと。

SWENは専用スレ立てて対応したほうがいいんじゃないか?
動作が複雑、感染経路が多様、駆除手順が難しい→説明が面倒
他の質問とごっちゃになるとレスが混乱してくる。




988 :名無しさん@お腹いっぱい。:03/09/20 00:38
>986
ご友人は貴方にHTMLでメールを送信してらっしゃいませんか?
もしそうなら、貴方の方ではHTMLを開かない設定にしているわけですから
謎のファイルはその残骸です。ウィスルではありません。
一度お友達に確かめてみてください。

989 :名無しさん@お腹いっぱい。:03/09/20 00:39
>>988
ありがとうございます、聞いてみます。

990 :名無しさん@お腹いっぱい。:03/09/20 00:45
>>986
マイクロソフトからのメールは詐称だろう。MSを詐称するのは
ウィールスメールの定番。

友人側の発信記録と受信ヘッダー内容とは一致してるか?

(と、ここで新着チェックしたら>>988が友人側のファイル添付の可能性
を指摘ずみであったw)



991 :名無しさん@お腹いっぱい。:03/09/20 01:41
そろそろ次スレだな

>>987の言う通りW32.Swen.A@mmスレあるといいかも

992 :名無しさん@お腹いっぱい。:03/09/20 05:00
>>991
同意。シマ、トレ、NAの解説読んだが、ほんとSWENの作者って
イクナイ性格してる。粘着の見本だ。

動作メチャメチェ複雑だから初心者があの解説読んでもワカンネだろうなー。
感染数がブラスタみたいに爆発的に増えなくても説明のメンドさ考えると
専用スレの価値ありげ。

しかし漏れはヘタレだからスレ立てられないよのねん…


993 :名無しさん@お腹いっぱい。:03/09/20 05:12
1000

994 :名無しさん@お腹いっぱい。:03/09/20 06:01
SWENでスレたてたいのだが、1はこんなんでOK?

SWEN@MM(別名SWEN.A)
ユーザーを欺くためにエラーメールを装ったり、マイクロソフト社からのメールに
見せかけた内容になっています。お約束ですが添付ファイルを開かないように!

ネットワークアソシエイツ
http://www.nai.com/japan/security/virS.asp?v=W32/Swen@MM
トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A
シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.swen.a@mm.html
注意:デジタル・イミューン・システム によって自動的に生成された定義により、
以前は Worm.Automat.AHB という名称で検出されています。


添付ファイルを実行しなくても以下のセキュリティホールの対策をしていなけ
れば、見ただけで感染します。
 不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020


995 :(* ̄д ̄)y─┛〜〜:03/09/20 06:03
http://homepage3.nifty.com/coco-nut/

996 :名無しさん@お腹いっぱい。:03/09/20 06:23
>>994
よかとですたい。

997 :名無しさん@お腹いっぱい。:03/09/20 06:46
WORM_SWEN.A
朝から27連発を喰らってまつ
(´・ω・`)ショボーン


998 :名無しさん@お腹いっぱい。:03/09/20 07:29
立てました よろしくお願いします

SWEN@MM(SWEN.A) スレ
http://pc.2ch.net/test/read.cgi/sec/1064010406/l50

999 :名無しさん@お腹いっぱい。:03/09/20 07:37
>998



1000 ::03/09/20 07:46
ん?余裕で1000ゲト
みんなありがとう!!!!!


1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

284 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)