1read 100read
2012年6月セキュリティ417: プライスロトの不正プログラム復旧方法 (845) TOP カテ一覧 スレ一覧 2ch元 削除依頼
Process Explorerってどうよ? (894)
fusianasanトラップになんらかの対処を (891)
★ウィルスに感染してしまった!どうしよう!?★ (436)
【オープンソース】ClamWin Antivirus part2【フリー/クラウド】 (203)
【Gumblar/GENO】Web改竄ウイルス総合10【8080】 (968)
●カフェや漫画喫茶からの書き込みのセキュリティ● (217)

プライスロトの不正プログラム復旧方法


1 :01/08/21 〜 最終レス :11/01/10
http://www.iosnet.ne.jp/~anti-virus/cgi-bin/treebbs.cgi
にも書いてたんですが、ごちゃごちゃしたのでこっちにも書かせて。
まず、感染するとほとんどのアプリの起動が制限されて、またすべ
てのドライブにアクセスできなくなるのでこれを復旧します。僕の
レジストリハイブを間違いまで真似した「日本ネットワークアソシ
エイツのAVERTウイルス解析チーム」はこれを認識していないので
あの方法ではダメです。
・マシンを再起動し、ブート時にF8キーを押すことでメニューを出します。
・「Command Prompt Only」でコンソールに入ります。
・「edit c:\rescue.reg」と入力し、実行します。
・後述の"レジストリハイブ"の4行を正確に入力します。
・ファイルを保存し、エディタを終了します。
・「regedit c:\rescue.reg」と入力し、実行します。
これでアプリとドライブの制限が消えますので、次に本格的な復旧をします。
http://www.geocities.co.jp/SiliconValley-Bay/5474/unfuckjp.html
を参照し、Start!ボタンをクリックします。
(なお、このブラウザによる仕上げは攻撃されたときと同じ脆弱性を
利用して行います。このまえにパッチを当ててしまうと利用できません。)
・再起動します。
これで復旧します。
レジストリハイブの内容は次の発言に。

2 :
EDITで入力するレジストリハイブの内容です。
正確に入力してください。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000000
"NoDrives"=dword:00000000
以上のREGEDIT4から始まる4行です。紙などにメモってください。
では。感染した方は健闘を祈ります。

3 :
真似に関する抗議と復旧方法は分けて書いてもらわないとレスしずらい。
パクられて別に腹立ってないならいちいちくだらんこと書くな。

4 :
ぶはは、むこうのスレで「この件で新しくスレ立てたら?」って言おうと思ったんだよ。
もう立ててたか・・・・・・・・

5 :
どうでもいいが、あっちのスレでの自演はかっこ悪いぞ

6 :
抗議メール書いてみました。
こういうのはじめてなんですがこんな感じでいいのだろうか。
今回の件で自作自演をした覚えはないです。全部こてはんだし。
------
日本ネットワークアソシエイツ様
 貴社のサイトのhttp://www.nai.com/japan/virusinfo/010820malware.asp
から配布されているレジストリハイブは、私が
http://www.iosnet.ne.jp/~anti-virus/cgi-bin/treebbs.cgi?vew=8018にて
公開したものと酷似しているため、抗議させていただきます。
酷似しているとする理由は
1 一箇所ハイブ中に間違いがあり、場所と間違い方が同一である
2 ファイルの全体的な構成が酷似している
3 復旧手順が私の公開情報と同一である
4 時間的に私の公開が早い
です。
 3については補足として、それが完全ではなく復旧できないこともあるの
に「検証した」などと書かれていることから、それがオリジナルの情報でな
いことを裏付けていると思います。
 以上のことから貴社で頒布しているファイルの原著作者は私であると推測
しました。
抗議理由として
・著作権者に無断での改変
・著作権者の名前の削除
・著作権者に無断での頒布
を挙げます。
 今回の件について、貴社の真意を知りたく思い、メールいたしました。こ
の事実に対する貴社の公式なコメントを早急にお返事ください。

7 :
あら、自演じゃなかったか。スマンね

8 :
マカフィーがヘタな対応しなければ、50スレくらいで決着しそうだな(笑

9 :
「50レス」だった

10 :
あぶね、メール追伸。
----
日本ネットワークアソシエイツ様
数分前に送った「公開されたファイルに対する抗議」に追加です。
 そちらから返信していただいたメールはすべて公式のものとして扱い、私
が公開することに差し障りがないものと判断しますので、ご理解のほどよろ
しくお願いいたします。

11 :
じゃ、メールの返信は明日だろうから、オヤスミ。

12 :
おつかれさん
向こうのいい訳が楽しみだな(w

13 :
>マカフィー
素直に謝らないでね、つまんないから。
どうせなら、「パクって悪いか!」ぐらいの逆切れきぼん

14 :
個人的に、
1には、マカフィーがシェアナンバーワンを誇る
理由(裏工作)についても問い詰めていただきたい。

15 :
ネットワークアソシエイツの言ってることを解釈すると、
つまり、1は修復方法を公開した時点で、
解析チームの一員になったということだよ。

16 :
パクッたパクらないの問題を抜きにしても、
情報の扱いについて慎重さに欠けるセキュリティ会社は逝ってヨシ

17 :
>>16
落ち目=何をしてもよい とはどこにも
書いてない輿ナァ。つくづくぼーし

18 :
ひろゆきに遊ばれているINSIもセキュリティ専門会社、マカフィも同様。
あまりにもお粗末な内容だわ。

19 :
海上保安庁でもプライスロト大流行?(藁)
http://www.odn.ne.jp/odnnews/20010820i213.html

20 :
findlu@21cn.comにボムっていいっすか?

21 :
結局、今回の件は、Windows Update をちゃんとやって入れば、問題なかったということ?

22 :
>>20
そういや、そのアドレスはいったい何なんだろ?

23 :
>>19
勤務時間中にやっていたんだから処分問題だね

24 :
つーかプライスロトもIISなんか使ってるからやられるんだよ

25 :
とりあえずfindlu@21cn.comにメル出してみたら送れたことは送れたみたいだねぇ

26 :
>>22
中国のフリーメール、だったっけ?

27 :
そういえば、IPAは今回のやつをウイルスには含めなかったけど、
他のマシンに送ったりしないからなのかな?
悪意あるものってウイルスだと思ってた・・・。

28 :
>>20
www.21cn.comは無関係だと思うから、止めておいた方がいいと思われ。
ちなみに見てみたけど、フォント入れてないからさっぱり分からん。

29 :
増殖するのがウィルスだろう。普通に考えて。
プライスロトのは、なんだろう?地雷?

30 :
自分だけだけど感染、って思ったからさ。

31 :
>>29
ネットサーフィンという死語があるんだから、
むしろ機雷だな。

32 :
ネット機雷で決定。

33 :
http://www.zdnet.co.jp/news/0108/20/javascript.html
> また,電気通信大学の研究室が運営するウイルス対策掲示板では,被害に遭った
>ユーザー向けにレジストリを復旧させる方法を紹介している。
これは援護射撃になるかな。

34 :
ウィルスの定義は
・ファイルに寄生して増殖する
・一定の潜伏期間がある
・システムに何らかの被害を与える
確かこの三点だったから、上記二点は当てはまらないね。
ブラウザを落とすのがブラクラだからOSクラッシャーって感じ?

35 :
ウイルス定義、どうもです。
で、OSクラッシャーっていうとconconっぽいから、
レジストリクラッシャーっていうのは?

36 :
「If you have any trouble please email:findlu@21cn.com. note:not for japanese&dog&pig」
(トラブルの際はfindlu@21cn.comにメールを。ただし,豚と犬と日本人は除く)

37 :
AKIOさんにお聞きしますが、「本格的復旧」という書き方からすると、
自分で行うレジストリ復旧では本格的ではない(=悪影響が残る)と
いうことなんでしょうか?

38 :
>>37
まず
"RestrictRun"=dword:00000000
"NoDrives"=dword:00000000
をやってあとでやられたと同じ方法でレジ書き戻すってかいてあるじゃん。
自分で同じことやるならそれでいいんでわ。
マカフィーは糞だね。AKIOさんを応援するよ。

39 :
マカフィーは直し方のページを更新したね。
でも、レジストリ修復用ファイルは相変わらず古いまま。
こういったセキュリティにかかわる企業が杜撰な情報提供をしていて良いものなのか、
どこかのメディアが取り上げてくれないかな。

40 :
http://www.jgnn.com
こちらのクリッピングニュースに「McAfeeでも対策ツールが
配布されている。予断だがこのツール、某大学の対策掲示板
で「善意で制作されてアップされた」ものとほぼ同じとして、
「無断でコピーして自己主張してるんじゃない!」というク
レームも。オープンソースというか、善意の心を踏みにじる
のはいかがなものか。」というコメントアリ。

41 :
プライスロトの復旧前該当ページのキャッシュ、
誰かtxtソースで持ってないの??
所謂God Messageって奴に近いのね。キット。

42 :
http://www.zdnet.co.jp/news/0106/16/b_0615_08.html
↑この辺、近いような。。発想同じだと思う。
そこらで手に入るサンプルコード自体はアンチウイルスで引っかかるけど
いぢればだめだろね。
こんなツールも去年あたりから密かにネットに有るのよ。

43 :
返事はまだこないです。
パクったこと自体には怒ってないんです。ネットに公開した
ものなので誰がどのように使おうと自由です。ただ、それを
なんとか解析チームが作ったなどと言われるのは非常にムカ
つきます。
個人的にあまり暇ではないので、ちゃんと認めてお詫びの一
言でも書くか、手馴れた感じで華麗にあしらってくれるかす
ると嬉しいかな。下手な対応でずるずるはイヤ。
ところでこの不正プログラムなんですが、僕がやるとしたら
10日あたりにばら撒いて15日まで潜伏させるますね。
そしたら凄いことになっていたような気がするんですが…。
ちなみに犯人は厨房です。プログラム中に余分な個所がいく
つかありますので。スマートに書かれていたらノートンでも
発見できなかったかも。

44 :
>10日あたりにばら撒いて15日まで潜伏させる
それをやろうとしたが、ヘボ腕なので間に合わなかったんだろ(w >犯人

45 :
>>43
>パクったこと自体には怒ってないんです。ネットに公開した
>ものなので誰がどのように使おうと自由です。ただ、それを
>なんとか解析チームが作ったなどと言われるのは非常にムカ
>つきます。
いいこといった!!
きみが書いた一ヶ所の間違いっていうのがもしなかったら
今回ほどはっきりとしたことがいえなかったかもね。
これってパクリ発見に超有効な手段だね、ありがとう。
>ところでこの不正プログラムなんですが、僕がやるとしたら
>10日あたりにばら撒いて15日まで潜伏させるますね。
>そしたら凄いことになっていたような気がするんですが…。
もうすでにあるかもね。


46 :
>>41 ガイシュツだよ
ttp://fuga.jp/~densuke/data/priceloto-danger-code.txt

47 :
あと根本的に機雷踏んだ(機雷って踏むのか?)あとは
IEすら起動できない感じなんですが、被害者の方はど
うやってここに来てるんでしょう。二台目?

48 :
>>47
よくわかりまへん。
http://natto.2ch.net/test/read.cgi?bbs=pcqa&key=997485641&st=124&to=126
にも被害者がいるんだけど、なぜか開けてる。
Yahoo!の掲示板にも数日前から被害者が溜まっていたようだけど、
なぜか無理やり起動できてる人もいる。
(ちなみに、
If you have any trouble please email:findlu@21cn.com. note:not for japanese&dog&pig
で検索した。)
どういう裏技なのか不明。

49 :
とりあえず機雷は踏まない

50 :
1さんゑ
診断用のデモプログラムうぷしていただけませんか。
ただ危険ですというメッセージがでるだけのコードきぼぬ。

51 :
AVERTウイルス解析チーム=コピペ厨房って本当ですか?

52 :
全文をHTMLとして保存して閲覧して。
<HTML>
<BODY>
<SCRIPT type="text/javascript" language="javascript">
function attack() {
try {
a = document.applets[0];
a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a.createInstance();
shl = a.GetObject();
alert("危険");
} catch(e) {
alert("安全");
}
}
setTimeout("attack()", 3000);
</SCRIPT>
<APPLET width="0" height="0" code="com.ms.activeX.ActiveXComponent"></APPLET>
</BODY>
</HTML>

53 :
>>52
>保存して閲覧して
これってローカルっつーか、file://〜で実行すると
大体危険ってならない?ローカル鯖立ててhttp://
開けば安全になるんだけど。
まあIEのローカル設定も硬くしてればいいんだろうけど、
ちょっとわかりづらいのでは

54 :
>>53
セキュリティホールは設定で誤魔化すのではなくて
確実に塞ぐべきですので、危険と出るようなら危険
です。JSとかXの許可設定とは別の次元の話です。

55 :
うん、まあそうなんだけどね。ちょっと言ってみただけ。
失敬失敬

56 :
お安全(w
1さん、解析チームってきっと掲示板読みまくってパクる
チームのことなんすよ。ここも見てるかな?

57 :
中国のポータルサイト誰かはくして貼り付けてあげれば?

58 :
だけのことはあるな
流石マカフィーだ

59 :
どうやって>>1に弁解するかを、自慢の解析チームがネット使って捜索中の模様。

60 :
どうやら、マカフィーは1の指示に従って公開している修正ファイルを
直したみたいだな(w

61 :
昨日、1のファイルを見つけたチームの一員は鼻高々だったって本当ですか?

62 :
プログラマーがネット上の不特定多数っていう奇特な会社だな

63 :
ネット上で拾ったものを、自分で作ったっつって上司に渡したドキュソ社員が居るんだろうな。
早く正式回答が読みたいね。

64 :
1が最初にアップしたという記録はちゃんと残っているんですか?

65 :
会社的には解析チームの一人が作った物だと思ってた
まさか盗作なんて思いもしなかった
今後は一層注意していきたい
スマソ
じゃねぇの?
こんな言い訳するなよ(w

66 :
「知らぬ存ぜぬ」 じゃないの?

67 :
サポセンに聞いてみよう!
と思って電話したが繋がらないYO。

68 :
Win98の起動メニューはF8じゃなくてCtrlだぞ。。。>マカフィー・・・
そりゃ、瞬間に押せばOKだが・・・キーボードエラー出そう・・・
Ctrl押して起動って、間違ってます?
でも、Ctrlの方法は取り説にも書いてあるぞ・・・
ほんとにPCの知識がある奴が作ったのだろうか・・・

69 :
2ちゃんねらはこんな話が大好き

70 :
ていうか、こんな話だから2ちゃんねるで話すんだけどな。

71 :
http://www.pluto.dti.ne.jp/~m-tec/zatugaku/body/etc_body.htm
うえの情報がしたにパクられた。
http://www.ucatv.ne.jp/~akemaru/puti/puti07.html
さぁ大好きか?

72 :
>>52
おお、たった20分しかかかってない。
すっげーなー、尊敬。
1さんどうもありがとう、これからもがんばってください。
応援してます。

73 :
マカフィー、シマンテックをパクって訴えられる経歴が。
http://www.softic.or.jp/YWG/reports/Symantec_v_McAfee.html

74 :
悪意あるJavaScriptが埋め込まれたWebページによる被害の修復ツールが公開
http://www.forest.impress.co.jp/article/2001/08/21/maljavascript.html

75 :
>>52
1さんありがとう。
セキュリティは気にしてるつもりだったけど、
(Windows Updateで重要な更新はあててる)
>>52を試したら危険ってでたから早速
Windows Updateの推奨する更新の中の
「Microsoft virtual machine」をあてたよ。
これで、危険ってでなくなった。
推奨じゃなく重要にしろ!!>MS

76 :
>>75
セキュリティ気にしてるのにブラウザのsp当ててないのか?
5.5でも5.01でもsp2でパッチ当たるようになってると聞いたが

77 :
SP2でも「標準」では更新されないらしいです。

78 :
>>73
このときのマカフィーは、ネットワークアソシエイツになっていたか?

79 :
>>76
思いっきりつっこまれてしまいました。
開発の関係で、ちょっとIEのパッチは保留にしてました。

80 :
つーかJavaVMってWin2kだとSP2当てるしかないのな。

81 :
SP1が当たってればHotfixで直せるが・・・

82 :
>>81
http://www.microsoft.com/java/vm/dl_vm40.htm
このページ,前はHotFixへのリンクだったけど
今はSP2なんだよ(;´д`)。

83 :
>>52
このHTMLをうちのページでアップしました。
問題ないですか?>AKIOさん

84 :
>>82
http://www.microsoft.com/japan/java/vm/dl_vm40.asp
からたどれるのは
http://www.microsoft.com/windows2000/downloads/critical/q287030/default.asp
で、ちゃんといけるぞ・・・

85 :
McAfeeの配布ファイル、いつの間にか修正されてたぞ。
当然修正したことなぞ告知されてない。

86 :
返事来ました。
----
メールにてご連絡頂きました内容、拝見させて頂きました。
私、日本ネットワークアソシエイツ株式会社 広報担当の石黒より、ご返事させて頂
きます。
1、一箇所ハイブ中に間違いがあり、場所と間違い方が同一である。
弊社では同じような被害が発生した場合、レジストリの修正スクリプトとして過去に
も同じ形式を使用しリリースしております。被害を与えている問題のスクリプトから
“修正スクリプト”を作ったのですが、偶然に同じ箇所がタイプミスにより間違って
おりました。また、一方弊社スクリプトには、他にも間違いがあり、修正を加えてい
るところです。
2 ファイルの全体的な構成が酷似している。
“修正スクリプト”を作成するにあたり、構成が似てしまうのはやむを得ないところ
だと考えております。
3, 復旧手順が私の公開情報と同一である
AKIO様の復旧手順については、事前事後も全く確認をしておりません。
4 時間的に私の公開が早いです。
これに関しましては、認識しております。
以上が、ご指摘項目に対しての弊社のコメントとなります。
さらにご不明な点があれば、メールのやりとりでは十分に意を尽くせないおそれがあ
りますので、弊社が誠意をもって本件に対応していることを理解していただくため、
NACの担当者から直接ご説明する機会をいただきたいと存じます。
なにとぞご理解頂けますよう、よろしくお願い申し上げます。
----
予想通りといえば予想通り。事を構えるつもりはありません。
客観的に、本当に同一のミスである可能性も少ないがあるしね。
>AKIO様の復旧手順については、事前事後も全く確認をしておりません。
日本"ネットワーク"アソシエイツにしてはお粗末かな。
他にもツッコミどころ募集。

87 :
>>86
なんだかねー。この回答。現金を盗んだ泥棒が「私のこの1万円札はあなたがもっ
ていたのと同じ種類の1万円札ですが、それは偶然の一致です。同じ個所が折れて
いるのも偶然の一致です」といってるのと同じやん。
今回の一件で、日本"ネットワーク"アソシエイツは信用ならないということで
激しく同意!

88 :
>>87
というか「一万円に名前が書いてありましたが偶然の一致です。」ぐらいだね。

89 :
>>88
(゚д゚)ウマーなので座布団一枚(゚д゚)/◆

90 :
もっとハッキリした、根拠が欲しいですね。
それを考えて、是非とも訴えて裁判きぼんぬ

91 :
1さんはこの後もやり取りをする気はあるのかな?
だったらメールでやり取りしてほしいね。
記録が残るし、それを公開してもらった方が面白いし。

92 :
http://cocoa.2ch.net/job/kako/989/989665472.html

93 :
1さんがこれ以上うだうだ言うよりも、
こういうやり取りがあった、ということを広めたほうが効果的だとは思うな。
返信はほとんど子供の屁理屈レベルだし。

94 :
たぶん、NACはここを読んでいるので、1さんがここに書いたことについては考えて対処するだろう。
ま、公開しても1さんは問題ないから公開してるんだろうけども。

95 :
しらばっくれたかー。
件の掲示板のアクセスログにマカフィーなログが残ってないかね?
そんな迂闊なまねはしないか?

96 :
>>91
とりあえず、
・本職のクセして間違ったファイル上げんな
・僕の情報を知らないというがネットワークの情報にも注意してなかったのか
・現在公開している手順では復旧できないことを認識してるのか
・上に関連して、本当に破壊されたレジストリの項目を解析したのか
は訊いて突っ込んでおかないと。他にも突っ込めることある?
・ノートンのやつは防げたことをどう思うか
も聞いてみたい気もするが僕って小心者だし。
直接あったりはしません。
時給くれるわけじゃないのに。それとも…?(w

97 :
93さんに同意、ZAK@ZAKあたりがニュースにしてくれるかな。

98 :
>>96
何かくれるかもよ?
ほら、メールは公開されるの知ってる訳だから。
どうか穏便に(以下略
ってね。

99 :
>>98
向こうにも一応メンツってもんがあるからな(w

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
100%完璧なセキュリティ対策 (537)
【VB】ウイルスバスター2006 Part30【TrendMicro】 (494)
気持ち悪い女の顔が (225)
【Gumblar/GENO】Web改竄ウイルス総合10【8080】 (968)
★★脆弱ってどう読むの?★★ (445)
またまたブラクラ踏んでしまいました(TAT) (449)
--log9.info------------------
大腿骨頭壊死症。5 (384)
歯医者でされたムカつくこと (392)
自分で治す仮性31 (297)
膀胱炎9 (886)
【チラ裏】 雑談オンリー@ピルスレ Part15【PMS】 (880)
膠原病 その16 (854)
SIBO 小腸内細菌過剰繁殖 (233)
介護生活の悩み Part8 (603)
【感音性】 難聴 18 【伝音性】 (880)
【ゆっくり】太極拳【川の流れのように】 (210)
外国人の平均身長があまりにも高すぎる (318)
身長175cm、脚が長すぎる。 (315)
【社会人専用】過敏性腸症候群ガス型 Part4 (376)
心臓カテーテル・ステント・バルーン・バイパス手術【2】 (470)
痛み】 ペインクリニック 【ブロック注射 (258)
【SLE】全身性エリテマトーデス 8【膠原病】 (568)
--log55.com------------------
【爆発音楽は】マイティジャック 12【ポキュンポキュン】
特撮マニアにとって真のオナペットクイーンは誰なの?
桐龍座恋川劇団
【剣戟】鶫汀組&倭組 【はる駒座】
る・ひまわりの舞台を語るスレ9
ナイロン100℃・ケラpart13
【東宝】1789バスティーユの恋人たちPart21
劇団四季ミュージカルCATS【168】