にも書いてたんですが、ごちゃごちゃしたのでこっちにも書かせて。
まず、感染するとほとんどのアプリの起動が制限されて、またすべ
てのドライブにアクセスできなくなるのでこれを復旧します。僕の
レジストリハイブを間違いまで真似した「日本ネットワークアソシ
エイツのAVERTウイルス解析チーム」はこれを認識していないので
あの方法ではダメです。
・マシンを再起動し、ブート時にF8キーを押すことでメニューを出します。
・「Command Prompt Only」でコンソールに入ります。
・「edit c:\rescue.reg」と入力し、実行します。
・後述の"レジストリハイブ"の4行を正確に入力します。
・ファイルを保存し、エディタを終了します。
・「regedit c:\rescue.reg」と入力し、実行します。
これでアプリとドライブの制限が消えますので、次に本格的な復旧をします。
http://www.geocities.co.jp/SiliconValley-Bay/5474/unfuckjp.html
を参照し、Start!ボタンをクリックします。
(なお、このブラウザによる仕上げは攻撃されたときと同じ脆弱性を
利用して行います。このまえにパッチを当ててしまうと利用できません。)
・再起動します。
これで復旧します。
レジストリハイブの内容は次の発言に。
正確に入力してください。
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=dword:00000000
"NoDrives"=dword:00000000
以上のREGEDIT4から始まる4行です。紙などにメモってください。
では。感染した方は健闘を祈ります。
パクられて別に腹立ってないならいちいちくだらんこと書くな。
もう立ててたか・・・・・・・・
こういうのはじめてなんですがこんな感じでいいのだろうか。
今回の件で自作自演をした覚えはないです。全部こてはんだし。
------
日本ネットワークアソシエイツ様
貴社のサイトのhttp://www.nai.com/japan/virusinfo/010820malware.asp
から配布されているレジストリハイブは、私が
http://www.iosnet.ne.jp/~anti-virus/cgi-bin/treebbs.cgi?vew=8018にて
公開したものと酷似しているため、抗議させていただきます。
酷似しているとする理由は
1 一箇所ハイブ中に間違いがあり、場所と間違い方が同一である
2 ファイルの全体的な構成が酷似している
3 復旧手順が私の公開情報と同一である
4 時間的に私の公開が早い
です。
3については補足として、それが完全ではなく復旧できないこともあるの
に「検証した」などと書かれていることから、それがオリジナルの情報でな
いことを裏付けていると思います。
以上のことから貴社で頒布しているファイルの原著作者は私であると推測
しました。
抗議理由として
・著作権者に無断での改変
・著作権者の名前の削除
・著作権者に無断での頒布
を挙げます。
今回の件について、貴社の真意を知りたく思い、メールいたしました。こ
の事実に対する貴社の公式なコメントを早急にお返事ください。
----
日本ネットワークアソシエイツ様
数分前に送った「公開されたファイルに対する抗議」に追加です。
そちらから返信していただいたメールはすべて公式のものとして扱い、私
が公開することに差し障りがないものと判断しますので、ご理解のほどよろ
しくお願いいたします。
向こうのいい訳が楽しみだな(w
素直に謝らないでね、つまんないから。
どうせなら、「パクって悪いか!」ぐらいの逆切れきぼん
1には、マカフィーがシェアナンバーワンを誇る
理由(裏工作)についても問い詰めていただきたい。
つまり、1は修復方法を公開した時点で、
解析チームの一員になったということだよ。
情報の扱いについて慎重さに欠けるセキュリティ会社は逝ってヨシ
落ち目=何をしてもよい とはどこにも
書いてない輿ナァ。つくづくぼーし
あまりにもお粗末な内容だわ。
http://www.odn.ne.jp/odnnews/20010820i213.html
そういや、そのアドレスはいったい何なんだろ?
勤務時間中にやっていたんだから処分問題だね
中国のフリーメール、だったっけ?
他のマシンに送ったりしないからなのかな?
悪意あるものってウイルスだと思ってた・・・。
www.21cn.comは無関係だと思うから、止めておいた方がいいと思われ。
ちなみに見てみたけど、フォント入れてないからさっぱり分からん。
プライスロトのは、なんだろう?地雷?
ネットサーフィンという死語があるんだから、
むしろ機雷だな。
> また,電気通信大学の研究室が運営するウイルス対策掲示板では,被害に遭った
>ユーザー向けにレジストリを復旧させる方法を紹介している。
これは援護射撃になるかな。
・ファイルに寄生して増殖する
・一定の潜伏期間がある
・システムに何らかの被害を与える
確かこの三点だったから、上記二点は当てはまらないね。
ブラウザを落とすのがブラクラだからOSクラッシャーって感じ?
で、OSクラッシャーっていうとconconっぽいから、
レジストリクラッシャーっていうのは?
(トラブルの際はfindlu@21cn.comにメールを。ただし,豚と犬と日本人は除く)
自分で行うレジストリ復旧では本格的ではない(=悪影響が残る)と
いうことなんでしょうか?
まず
"RestrictRun"=dword:00000000
"NoDrives"=dword:00000000
をやってあとでやられたと同じ方法でレジ書き戻すってかいてあるじゃん。
自分で同じことやるならそれでいいんでわ。
マカフィーは糞だね。AKIOさんを応援するよ。
でも、レジストリ修復用ファイルは相変わらず古いまま。
こういったセキュリティにかかわる企業が杜撰な情報提供をしていて良いものなのか、
どこかのメディアが取り上げてくれないかな。
こちらのクリッピングニュースに「McAfeeでも対策ツールが
配布されている。予断だがこのツール、某大学の対策掲示板
で「善意で制作されてアップされた」ものとほぼ同じとして、
「無断でコピーして自己主張してるんじゃない!」というク
レームも。オープンソースというか、善意の心を踏みにじる
のはいかがなものか。」というコメントアリ。
誰かtxtソースで持ってないの??
所謂God Messageって奴に近いのね。キット。
↑この辺、近いような。。発想同じだと思う。
そこらで手に入るサンプルコード自体はアンチウイルスで引っかかるけど
いぢればだめだろね。
こんなツールも去年あたりから密かにネットに有るのよ。
パクったこと自体には怒ってないんです。ネットに公開した
ものなので誰がどのように使おうと自由です。ただ、それを
なんとか解析チームが作ったなどと言われるのは非常にムカ
つきます。
個人的にあまり暇ではないので、ちゃんと認めてお詫びの一
言でも書くか、手馴れた感じで華麗にあしらってくれるかす
ると嬉しいかな。下手な対応でずるずるはイヤ。
ところでこの不正プログラムなんですが、僕がやるとしたら
10日あたりにばら撒いて15日まで潜伏させるますね。
そしたら凄いことになっていたような気がするんですが…。
ちなみに犯人は厨房です。プログラム中に余分な個所がいく
つかありますので。スマートに書かれていたらノートンでも
発見できなかったかも。
それをやろうとしたが、ヘボ腕なので間に合わなかったんだろ(w >犯人
>パクったこと自体には怒ってないんです。ネットに公開した
>ものなので誰がどのように使おうと自由です。ただ、それを
>なんとか解析チームが作ったなどと言われるのは非常にムカ
>つきます。
いいこといった!!
きみが書いた一ヶ所の間違いっていうのがもしなかったら
今回ほどはっきりとしたことがいえなかったかもね。
これってパクリ発見に超有効な手段だね、ありがとう。
>ところでこの不正プログラムなんですが、僕がやるとしたら
>10日あたりにばら撒いて15日まで潜伏させるますね。
>そしたら凄いことになっていたような気がするんですが…。
もうすでにあるかもね。
ttp://fuga.jp/~densuke/data/priceloto-danger-code.txt
IEすら起動できない感じなんですが、被害者の方はど
うやってここに来てるんでしょう。二台目?
よくわかりまへん。
http://natto.2ch.net/test/read.cgi?bbs=pcqa&key=997485641&st=124&to=126
にも被害者がいるんだけど、なぜか開けてる。
Yahoo!の掲示板にも数日前から被害者が溜まっていたようだけど、
なぜか無理やり起動できてる人もいる。
(ちなみに、
If you have any trouble please email:findlu@21cn.com. note:not for japanese&dog&pig
で検索した。)
どういう裏技なのか不明。
診断用のデモプログラムうぷしていただけませんか。
ただ危険ですというメッセージがでるだけのコードきぼぬ。
<HTML>
<BODY>
<SCRIPT type="text/javascript" language="javascript">
function attack() {
try {
a = document.applets[0];
a.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");
a.createInstance();
shl = a.GetObject();
alert("危険");
} catch(e) {
alert("安全");
}
}
setTimeout("attack()", 3000);
</SCRIPT>
<APPLET width="0" height="0" code="com.ms.activeX.ActiveXComponent"></APPLET>
</BODY>
</HTML>
>保存して閲覧して
これってローカルっつーか、file://〜で実行すると
大体危険ってならない?ローカル鯖立ててhttp://で
開けば安全になるんだけど。
まあIEのローカル設定も硬くしてればいいんだろうけど、
ちょっとわかりづらいのでは
セキュリティホールは設定で誤魔化すのではなくて
確実に塞ぐべきですので、危険と出るようなら危険
です。JSとかXの許可設定とは別の次元の話です。
失敬失敬
1さん、解析チームってきっと掲示板読みまくってパクる
チームのことなんすよ。ここも見てるかな?
流石マカフィーだ
直したみたいだな(w
早く正式回答が読みたいね。
まさか盗作なんて思いもしなかった
今後は一層注意していきたい
スマソ
じゃねぇの?
こんな言い訳するなよ(w
と思って電話したが繋がらないYO。
そりゃ、瞬間に押せばOKだが・・・キーボードエラー出そう・・・
Ctrl押して起動って、間違ってます?
でも、Ctrlの方法は取り説にも書いてあるぞ・・・
ほんとにPCの知識がある奴が作ったのだろうか・・・
うえの情報がしたにパクられた。
http://www.ucatv.ne.jp/~akemaru/puti/puti07.html
さぁ大好きか?
おお、たった20分しかかかってない。
すっげーなー、尊敬。
1さんどうもありがとう、これからもがんばってください。
応援してます。
http://www.softic.or.jp/YWG/reports/Symantec_v_McAfee.html
http://www.forest.impress.co.jp/article/2001/08/21/maljavascript.html
1さんありがとう。
セキュリティは気にしてるつもりだったけど、
(Windows Updateで重要な更新はあててる)
>>52を試したら危険ってでたから早速
Windows Updateの推奨する更新の中の
「Microsoft virtual machine」をあてたよ。
これで、危険ってでなくなった。
推奨じゃなく重要にしろ!!>MS
セキュリティ気にしてるのにブラウザのsp当ててないのか?
5.5でも5.01でもsp2でパッチ当たるようになってると聞いたが
このときのマカフィーは、ネットワークアソシエイツになっていたか?
思いっきりつっこまれてしまいました。
開発の関係で、ちょっとIEのパッチは保留にしてました。
http://www.microsoft.com/java/vm/dl_vm40.htm
このページ,前はHotFixへのリンクだったけど
今はSP2なんだよ(;´д`)。
このHTMLをうちのページでアップしました。
問題ないですか?>AKIOさん
http://www.microsoft.com/japan/java/vm/dl_vm40.asp
からたどれるのは
http://www.microsoft.com/windows2000/downloads/critical/q287030/default.asp
で、ちゃんといけるぞ・・・
当然修正したことなぞ告知されてない。
----
メールにてご連絡頂きました内容、拝見させて頂きました。
私、日本ネットワークアソシエイツ株式会社 広報担当の石黒より、ご返事させて頂
きます。
1、一箇所ハイブ中に間違いがあり、場所と間違い方が同一である。
弊社では同じような被害が発生した場合、レジストリの修正スクリプトとして過去に
も同じ形式を使用しリリースしております。被害を与えている問題のスクリプトから
“修正スクリプト”を作ったのですが、偶然に同じ箇所がタイプミスにより間違って
おりました。また、一方弊社スクリプトには、他にも間違いがあり、修正を加えてい
るところです。
2 ファイルの全体的な構成が酷似している。
“修正スクリプト”を作成するにあたり、構成が似てしまうのはやむを得ないところ
だと考えております。
3, 復旧手順が私の公開情報と同一である
AKIO様の復旧手順については、事前事後も全く確認をしておりません。
4 時間的に私の公開が早いです。
これに関しましては、認識しております。
以上が、ご指摘項目に対しての弊社のコメントとなります。
さらにご不明な点があれば、メールのやりとりでは十分に意を尽くせないおそれがあ
りますので、弊社が誠意をもって本件に対応していることを理解していただくため、
NACの担当者から直接ご説明する機会をいただきたいと存じます。
なにとぞご理解頂けますよう、よろしくお願い申し上げます。
----
予想通りといえば予想通り。事を構えるつもりはありません。
客観的に、本当に同一のミスである可能性も少ないがあるしね。
>AKIO様の復旧手順については、事前事後も全く確認をしておりません。
日本"ネットワーク"アソシエイツにしてはお粗末かな。
他にもツッコミどころ募集。
なんだかねー。この回答。現金を盗んだ泥棒が「私のこの1万円札はあなたがもっ
ていたのと同じ種類の1万円札ですが、それは偶然の一致です。同じ個所が折れて
いるのも偶然の一致です」といってるのと同じやん。
今回の一件で、日本"ネットワーク"アソシエイツは信用ならないということで
激しく同意!
というか「一万円に名前が書いてありましたが偶然の一致です。」ぐらいだね。
(゚д゚)ウマーなので座布団一枚(゚д゚)/◆
それを考えて、是非とも訴えて裁判きぼんぬ
だったらメールでやり取りしてほしいね。
記録が残るし、それを公開してもらった方が面白いし。
こういうやり取りがあった、ということを広めたほうが効果的だとは思うな。
返信はほとんど子供の屁理屈レベルだし。
ま、公開しても1さんは問題ないから公開してるんだろうけども。
件の掲示板のアクセスログにマカフィーなログが残ってないかね?
そんな迂闊なまねはしないか?
とりあえず、
・本職のクセして間違ったファイル上げんな
・僕の情報を知らないというがネットワークの情報にも注意してなかったのか
・現在公開している手順では復旧できないことを認識してるのか
・上に関連して、本当に破壊されたレジストリの項目を解析したのか
は訊いて突っ込んでおかないと。他にも突っ込めることある?
・ノートンのやつは防げたことをどう思うか
も聞いてみたい気もするが僕って小心者だし。
直接あったりはしません。
時給くれるわけじゃないのに。それとも…?(w
何かくれるかもよ?
ほら、メールは公開されるの知ってる訳だから。
どうか穏便に(以下略
ってね。
向こうにも一応メンツってもんがあるからな(w
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
GoldTachってどう? (702)
【News】セキュリティ ニュース購読スレッド Vol.4 (449)
「Nimda !! 」【その4】 (627)
VISTA標準ファイアウォールを語る (419)
【ノートン】ccapp.exeの負荷率【Norton】 (902)
eTrust Antivirus part6 (464)
--log9.info------------------
【HG→BK】藤井まどかアナX【→復活の日】 (200)
【春カレー】ためしてガッテン【やばせばび】 (657)
【アジアクロスロード】岩渕梢 4【きょうの世界】 (521)
【神崎】ラジオビタミン 2【LOVE】 (883)
【きょうの】中岡由佳〜part33〜【健康】 (316)
桜井洋子 (318)
きょうのおじゃる丸PART15 (936)
【新番組】Bizスポ・Bizスポワイド (307)
NHK受信料・受信契約総合スレッド161 (296)
【NW9】廣瀬智美スレッド★7【スポーツ】 (215)
★今夜も生でさだまさし2★ (805)
【尾野真千子】カーネーション2【夏木マリ】 (444)
【のんびり】秋野由美子アナ Part4【ゆったり】 (607)
【ゴトーリ】後藤理アナ 5通り (218)
【糸ようじ】糸井羊司アナ Part1 (366)
■ ■ 安部みちこ part5 ■ ■ (343)
--log55.com------------------
◆鬼平犯科帳を語ろう その二十三◆
テレ玉【必殺シリーズ】再放送専用スレ第1話
ザ!時代劇クイズ
NHK木曜時代劇「ぼんくら2」
【フンドシ】時代劇のチラリズム【ジュバン】
●時代劇●クレジットの序列七十七●大河ドラマ
【BS時代劇】酔いどれ小籐次Part1 【2013年6月期】
一般人と時代劇ファンの見分け方