5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

ノートンがvbsウィルスのソースに誤反応2

1 :ひよこ名無しさん:02/10/07 08:50 ID:QfkvTmEl
只今2chでvbsのウィルスのソースを貼り
ノートンなどのセキュリティツールを誤反応させるのが流行っています。
あまりにも質問スレなどで既出の(このvbsの)質問が多すぎるので
このスレへURLを貼って誘導してください。
また新たなパターンのvbsが見つかったら一応
このスレで報告願えると幸いです。

基本(この問題について) >>2
既知の2chで話題になってるvbsソース >>3 その他関連リンク>>2-10

セキュリティ板よりもこの板が適当なので2はこちらに立てました。
前スレhttp://pc.2ch.net/test/read.cgi/sec/1025872269/

2 :ひよこ名無しさん:02/10/07 08:50 ID:???
■この問題について■

2chのスレにvbsウィルスのソースを書き込むことによって
ブラウザがそのスレのhtmlファイルをダウンロードする際に
ウィルスのパターンと一致するので、ウィルスが検出されたと
ノートン先生などが騒ぎます。(設定によっては反応しないことも
ありますが、全く問題ありません)
ご存知の通り、htmlを読んでもこのvbsのソースは実行されること
は無いので、全く問題ありません。
また、デフォルトだとIEはInternet Temporary Filesフォルダに
htmlをダウンロードしますので、感染ファイルはここのhtmlファイルにになります。
なので、まだ2chで話題に上がって無くても、Internet〜フォルダの
htmlファイルが感染したと警告が出た場合、同じ問題だと言えます。
(もちろん、全く問題無い)
これらのファイルは削除しても全く問題ありませんが、
該当スレを読み直すとまたvbsのソース付きhtmlがダウンロードされて
しまうので、警告が出ます。

3 :ひよこ名無しさん:02/10/07 08:50 ID:???
■既知のvbsウィルスのソース■

・VBS.Internal
出元はhttp://tmp.2ch.net/test/read.cgi/download/1025717301/
の197だと思われる。
ダウソ板からいろんな板へ飛び火した模様。

・VBS.LoveLetter.A
c.Copy(dirsystem&”LOVE−LETTER−FOR−YOU.TXT.vbs
(反応しないように全角で書いてあります)
出元不明。ニュー速から?

4 :ひよこ名無しさん:02/10/07 08:51 ID:???
.srcの拡張子でもVBSと同様です。

5 :ひよこ名無しさん:02/10/07 09:32 ID:???
誤反応がウザイと思う人は以下の対処法があります。
・A Bone では、ログ保存フォルダを「除外」に設定すればよい。
・Nortonの設定でAutoProtectのスキャンの対象からhtmを外す。
・IE使ってる人は除外するディレクトリにTemporary Internet Files選ぶ。
・反応しないブラウザ(ネスケ・Operaなど)を使う。

6 :ひよこ名無しさん:02/10/07 10:03 ID:???
fso.copyfile "c:\network.vbs", "j:\windows\start menu\programs\startup\"
c.Copy(dirsystem&"\LOVE-LETTER-FOR-YOU.TXT.vbs")

7 :ひよこ名無しさん:02/10/07 10:08 ID:JV6V55Ex
てst

8 :ひよこ名無しさん:02/10/07 10:08 ID:???
>>1
乙〜

9 :ひよこ名無しさん:02/10/07 10:30 ID:???
ノートンを使っている人は >>6 に誤反応します。
かちゅ〜しゃ等の2ちゃんブラウザを使っている人は
6 を左クリックして「透明あぼ〜ん」でレスを消しちゃいましょう。

10 :ひよこ名無しさん:02/10/07 10:32 ID:???
他のスレッドでも「透明あぼ〜ん」を使えば語反応をしなくなります。

11 :ひよこ名無しさん:02/10/07 10:33 ID:???
×語反応
○誤反応

12 :ひよこ名無しさん:02/10/07 10:35 ID:???
>>3
過去スレで今まで報告されたのはそれだけ?

13 :ひよこ名無しさん:02/10/07 10:46 ID:Qk/PDlhB
tesuto

14 :ひよこ名無しさん:02/10/07 10:48 ID:???
>>12 面倒なので探してください(w

15 :ひよこ名無しさん:02/10/07 10:49 ID:???
誤反応がウザイと思う人は以下の対処法があります。
・A Bone では、ログ保存フォルダを「除外」に設定すればよい。
・Nortonの設定でAutoProtectのスキャンの対象からhtmを外す。
・IE使ってる人は除外するディレクトリにTemporary Internet Files選ぶ。
・反応しないブラウザ(ネスケ・Operaなど)を使う。

16 :ひよこ名無しさん:02/10/07 10:50 ID:???
test

17 :ひよこ名無しさん:02/10/07 11:26 ID:lL9QFIag
てすと

18 :ひよこ名無しさん:02/10/07 11:47 ID:vl0dGLSK
c.Copy(dirsystem&"記 念 カ キ コ.vbs")

19 :あぼーん:あぼーん
あぼーん

20 :ひよこ名無しさん:02/10/07 14:04 ID:???
htmlを読んでもこのvbsのソースは実行されることは無いので、全く問題ありません。
誤反応がウザイと思う人は以下の対処法があります。
・A Bone では、ログ保存フォルダを「除外」に設定すればよい。
・Nortonの設定でAutoProtectのスキャンの対象からhtmを外す。
・IE使ってる人は除外するディレクトリにTemporary Internet Files選ぶ。
・反応しないブラウザ(ネスケ・Operaなど)を使う。

21 :ひよこ名無しさん:02/10/08 12:53 ID:???
安心しました。

22 :ひよこ名無しさん:02/10/08 23:48 ID:/BHIxjUU
あげ

23 :ひよこ名無しさん:02/10/09 12:38 ID:???
めんどくせーな、新手の誤反応を貼るヤシがいる。MSKernel32.vbs

24 :ひよこ名無しさん:02/10/09 18:58 ID:???
ヽ(`Д´)ノ ウワァァァァーーーーーーン!!!

25 :ひよこ名無しさん:02/10/09 18:59 ID:???


26 :ひよこ名無しさん:02/10/09 18:59 ID:???


27 :ひよこ名無しさん:02/10/09 18:59 ID:???


28 :ひよこ名無しさん:02/10/09 19:00 ID:???


29 :ひよこ名無しさん:02/10/09 19:00 ID:???


30 :ひよこ名無しさん:02/10/09 19:28 ID:???
VBS.Haptime.A@mm
http://www.symantec.com/region/jp/sarcj/data/v/vbs.haptime.a@mm.html

こういった類のウィルスが、
アンチウィルスを使用していない個人ユーザが持つHPなどを媒体として
再拡散しつつあるようなので(そのHPを閲覧したユーザのマシンは、感染すると、
今度は自分のHPに感染ファイルをup、.htm拡張子の添付ファイル付メールも送信する)、
>>5 の、『・Nortonの設定でAutoProtectのスキャンの対象からhtmを外す。』
は、あまり賢くない選択と思われ。
『警告が出たら「その都度確認」、誤認であれば、「無視」。』 が賢明。

.htm を拡張子に持つウィルスの素は、他にもいろいろある。
要は、放っておけばよいだけのこと。
誤認がウザイと思うレベルの人ほど、実は、この手のウィルスにマシンが感染すると、
システムの修復に苦慮するのではないかと思われる。

31 :ひよこ名無しさん:02/10/10 11:42 ID:???
htmlを読んでもこのvbsのソースは実行されることは無いので、全く問題ありません。
誤反応がウザイと思う人は以下の対処法があります。
・A Bone では、ログ保存フォルダを「除外」に設定すればよい。
・IE使ってる人は除外するディレクトリにTemporary Internet Files選ぶ。
・反応しないブラウザ(ネスケ・Operaなど)を使う。

32 :ひよこ名無しさん:02/10/10 19:30 ID:???
・IE使用で、除外するディレクトリに「\Temporary Internet Files\*.*」を
 追加した場合は、本物の感染ページを踏んだ時の脅威を常に念頭において
 ブラウズしましょう。例えば、エクスプローラのサムネイル表示に注意。
 ファイルを削除しようとポインタを当てただけで感染する場合があり得ます。
 http://www.ipa.go.jp/security/topics/newvirus/nimda_01.html

33 :ひよこ名無しさん:02/10/11 11:42 ID:R9izmqbC
age

34 :ひよこ名無しさん:02/10/12 06:28 ID:???
 

35 :ひよこ名無しさん:02/10/12 12:09 ID:+LkFWSZN
っつーか>>5の最後のはちょっと違うんじゃない?
NetscapeだろうがMozillaだろうが反応するよ

36 :ひよこ名無しさん:02/10/13 11:56 ID:UUF+HD4R
ここ見ようとしたらノートンが反応するんですけど誤反応でしょうか?
ソースが見当たらないんですけど
http://www.google.co.jp/search?q=%E7%A5%9E%E3%83%84%E3%83%BC%E3%83%AB&ie=UTF-8&oe=UTF-8&hl=ja&lr=

37 :メルトダウン:02/10/13 13:33 ID:???
>>36 チート交換所(Ragnarok) その3の紹介文にFreelink.bの文字列があるせいだな。
ソースはノートンが消してるんだろ。

38 :ひよこ名無しさん:02/10/13 18:12 ID:???
>>37
なるほどサンクス

39 :ひよこ名無しさん:02/10/14 03:35 ID:???
初心者板だから言いますけど、
初めてノートン先生がVBS.Network.Eに反応して、
もう一時間以上も焦ってパニック、
騒ぎまくって疲労困憊、
検索してもnetwork.vbsファイルが見つからない、
削除してないのに2回目のスキャンでは何故か感染が見つからず、
またもやパニック
ここにたどり着いたらまた反応したので、
誤反応という事で良いのでしょうか?
疲れた(泣)
もう寝ます。

40 :ひよこ名無しさん:02/10/15 16:13 ID:???
>>35 うちのはIE6SP1だが、何にも設定いじってないが反応しないなぁ。NAV2002
そういえばSP1にする前から反応しなくなってた。IE6のパッチはその都度当ててた。

41 :ひよこ名無しさん:02/10/15 16:14 ID:???
>>40
 (´ι _`  )アッソ

42 :ひよこ名無しさん:02/10/15 20:44 ID:???
マジ勘弁・・・。
お気に入りのスレにVBS.Network.Eのコピペされて、Norton先生が誤検出。
検出した場所がよりによって学校だったから、イタヅラで無害というのは分かってるんだけど、
報告しなきゃしないで、ファイルサーバーにログが残るもんだから、後でメンドウな事になるし・・・。
一応管理人の先生に報告することに・・・。(*´д`;)ハァ…。
まぁ、学校で2ちゃん見るなYOって言われればそれまでなんだけどね(´・ω・`)ショボーン
今度から2ちゃんを見る際はNortonさん切っておくことにします。

43 :ひよこ名無しさん:02/10/15 20:48 ID:???
age2ch

44 :ひよこ名無しさん:02/10/16 16:59 ID:???
ヽ(`Д´)ノ ウワァァァァーーーーーーン!!!

45 :ひよこ名無しさん:02/10/17 15:24 ID:???
ふう。

46 :ひよこ名無しさん:02/10/17 16:24 ID:???
ヽ(`Д´)ノ 退ガクゥー!!!

47 :ひよこ名無しさん:02/10/17 21:35 ID:???
>>46 誰のメアド?

48 :ひよこ名無しさん:02/10/18 11:51 ID:???
2003でも反応しますた。。。

49 :今日始めてひっかかった人:02/10/20 14:31 ID:???
感染が報告されたファイルでTemporary Internet Files\Content.IE5
に入ってしまってる奴って圧縮されてるよね?

このファイルの中身を展開して、どのスレが原因だったか探る方法ってないの?


50 :ひよこ名無しさん:02/10/20 15:47 ID:???
>>49 展開しなくてもわかるでしょ。

51 :メルトダウン:02/10/20 16:34 ID:???
>>49 圧縮なぞされてない。

52 :ひよこ名無しさん:02/10/20 16:42 ID:dCfFiV9R
誤反応が出るレスは完全にl50から流せよ。
でないと初心者はぜったい信用しねーんだよ。
「教えてもらったスレでフリーズした!最低!!」ってね。

53 :ひよこ名無しさん:02/10/20 16:44 ID:dCfFiV9R
118 :会員NO3 ◆riphRx9D4. :02/10/18 03:13
改めまして警告なり。
VBS.Haptime.A@mm

発見日:2001年4月29日
最終更新日:2001年12月12日

Symantec Security Responseへの感染被害の報告件数が減少したので、
2001年12月10日現在、このワームの危険度を「4」から「3」に変更しました。

VBS.Haptime.A@mmは、拡張子が .htm、.html、.vbs、.asp、または.httのファイルに
感染するVisual Basic Script (VBS) ワームです。
このワームはMAPIオブジェクトを使って増殖し、自分自身を添付した電子メールを介して
感染を広げます。また、Outlook Expressのひな形指定機能を使って、
送信されるメール全てに自分自身を添付します。

VBS.Haptime.A@mmは、添付ファイルが実行されなくてもワームが実行できて
しまうというMicrosoft Outlook Expressの既知のセキュリティホールを利用します。

マイクロソフト社は、"Scriptlet.TypLib"というActiveXコントロールにおける
セキュリティ上の脆弱性を排除する修正プログラムを配布しています。
この修正プログラムは下記サイトから入手可能です。

http://www.microsoft.com/technet/ie/tools/scrpteye.asp(英語)

修正プログラムをインストールしていた場合、このワームは自動的には動作しません。

54 :ひよこ名無しさん:02/10/20 16:47 ID:dCfFiV9R
120 :会員NO3 ◆riphRx9D4. :02/10/18 03:23
ここまで書いたら馬鹿でも分かるよね!(^0^)
ノートン先生の誤作動ではないのれすよ。


192 :警報! :02/10/18 22:18
またまたノートン・アンチウイルスからウイルス警告出ました。
どこかに潜んでいる可能性大です。みなさんご注意下さい。
ちなみに、わたしのPCはセキュリティーレベルを最高設定にしていますので、
リンク先等に書かれている場合にも反応します。
「ノートン・アンチウイルス2003」も昨日発売されましたね。
最近の宗教板ど〜なってるのでしょうか?

193 :名無しさん@1周年 :02/10/18 22:22
検出されたのは前回と同じVBSウイルスで、JavaScriptによると思われ。
これでこの一週間で削除するファイルは3個になりました。(;_;)

55 :ひよこ名無しさん:02/10/20 16:49 ID:dCfFiV9R
というわけで、こいつら黙らせるには
どうしたらいいかい?

56 :メルトダウン:02/10/20 16:52 ID:???
誰をだよ?

57 :ひよこ名無しさん:02/10/20 18:00 ID:5QJjtS4M
このスレに反応しました

58 :ひよこ名無しさん:02/10/20 22:15 ID:???
age

59 :ひよこ名無しさん:02/10/21 10:04 ID:???


60 :ひよこ名無しさん:02/10/22 10:33 ID:???
(;´Д`)

61 :ひよこ名無しさん:02/10/23 17:24 ID:???
(((((((( ;゚Д゚)))))))ガクガクブルブル

62 :ひよこ名無しさん:02/10/24 22:44 ID:???
このスレに反応しました

63 :ひよこ名無しさん:02/10/25 08:08 ID:???
(・∀・)

64 :ひよこ名無しさん:02/10/25 14:38 ID:zVVo27lY
なんか「修復できません」って出るぞ?
どうすればいいんだ?
誰か教えれ

65 :ひよこ名無しさん:02/10/25 14:39 ID:i3h8v5T8
ram形式はどうやって保存するんですか?
オナガイスマス

66 :ひよこ名無しさん:02/10/25 14:42 ID:zVVo27lY
このスレに反応してまう!

67 :ひよこ名無しさん:02/10/25 15:54 ID:???
ヽ(`Д´)ノ ウワァァァァーーーーーーン!!!

68 :ひよこ名無しさん:02/10/26 00:13 ID:yomBqQPs
   ||
 ∧||∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( / ⌒ヽ < スマンかった・・・
 | |   |  \_____________
 ∪ 亅|
  | | |
  ∪∪
   :
   :

 ‐ニ三ニ‐

69 :test:02/10/26 00:20 ID:yomBqQPs
   ||
 ∧||∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( / ⌒ヽ < スマンかった・・・
 | |   |  \_____________
 ∪ 亅|
  | | |
  ∪∪
   :
   :

 ‐ニ三ニ‐

70 :test:02/10/26 03:14 ID:???
test

71 :ひよこ名無しさん:02/10/27 14:35 ID:/C/ROOuj
VBS.LoveLetter,Var
これってもしかして無害ですか?
修復できませんって書いてあるんですけど・・・
初心者なのでおねがいします

72 :ひよこ名無しさん:02/10/27 14:35 ID:/C/ROOuj
今度はファイルへのアクセスを拒否されましたって出てきました

73 :ひよこ名無しさん:02/10/27 14:37 ID:???
>>72
ウィルスだよ

74 :ひよこ名無しさん:02/10/27 14:38 ID:/C/ROOuj
ウィルス(・∀・)キチャッタ
もう終わりですか?なにもかも

75 :ひよこ名無しさん:02/10/27 14:39 ID:???
>>74
ウィルス対策は?

76 :ひよこ名無しさん:02/10/27 14:40 ID:/C/ROOuj
なにもしてないです・・・・・・・

77 :ひよこ名無しさん:02/10/27 14:41 ID:/C/ROOuj
なにをしていいのかわかりませn

78 :ひよこ名無しさん:02/10/27 14:42 ID:???
>>77
とりあえずトレンドマイクロとかのサイトに逝け。
オンラインスキャンがあるからやれ。たしか修復ソフトもあったはず。

79 :ひよこ名無しさん:02/10/27 14:42 ID:/C/ROOuj
ウィルススレに移りますね

80 :ひよこ名無しさん:02/10/27 14:43 ID:/C/ROOuj
>>78
スキャンはしたんですけど感染ファイルは0でした
確かこの前も0でした

81 :ひよこ名無しさん:02/10/27 14:46 ID:???
>>80
それなら一時ファイルの削除でOK。

82 :ひよこ名無しさん:02/10/27 14:54 ID:/C/ROOuj
なにを削除すればいいかわからないんですけど
もしかしてエロ画像を全部削除しなければならないんですか?

83 :ひよこ名無しさん:02/10/27 14:55 ID:???
>>82
インターネットオプション→履歴のクリア→再起動

84 :ひよこ名無しさん:02/10/27 14:56 ID:???
>>82
ツール→インターネットオプション→インターネット一時ファイル、ファイルの削除

85 :ひよこ名無しさん:02/10/27 15:04 ID:/C/ROOuj
>>83-84
すべて実行しました

86 :ひよこ名無しさん:02/10/27 15:07 ID:/C/ROOuj
今恐ろしいことに気付きました・・・・・

87 :ひよこ名無しさん:02/10/27 15:09 ID:???
>>85
乙!ならもう大丈夫。しかし、ウィルス対策しないでネットに繋ぐのは激しく危険!
そんなに高いもんじゃないから買って入れとくのが吉。

88 :ひよこ名無しさん:02/10/27 15:09 ID:???
>>85
良かったな。

89 :ひよこ名無しさん:02/10/27 15:12 ID:???
>>86
また来たんだろ。このスレにウィルスのコードが貼ってあるからだよ。
同じ事すれば大丈夫。

90 :ひよこ名無しさん:02/10/27 22:28 ID:yu/rqqi4
とりあえずこのスレに来たら、>>6をあぼ〜んしろ。

91 :ひよこ名無しさん:02/10/28 01:12 ID:PkaRah58
http://pc.2ch.net/test/read.cgi/pcqa/1020469241/l50
レス52
http://easyweb.easynet.co.uk/~hiros/virii00/METALLICA_SONG.MP3
↑ウィルスじゃないかな?
ノートン先生が騒ぎ出すよ。

92 :ひよこ名無しさん:02/10/28 01:28 ID:???
あれ?スレッド立てた覚えないのになぜか>>1になってる!!

93 :ひよこ名無しさん:02/10/28 01:28 ID:???
>>91
つーか直リンしないように
W95.MTXは、ウイルスコンポーネントとワームコンポーネントで構成されています。特定ディレクトリにある一部のWin32実行ファイルに感染します。


別名: W95.Oisdbo

種別: ワーム, ウイルス

感染サイズ: 9250(可変


94 :ひよこ名無しさん:02/10/28 01:29 ID:???


このウイルスを駆除するには、次の手順にしたがってください。


Norton AntiVirusでスキャンを実行し、W95.mtx、W95.mtx.dllとして検出されたファイルを全て修復する。

W95.mtx.drとして検出されたファイルを全て削除する。

次のレジストリキーを削除する。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
の値"SystemBackup"="C:\WINDOWS\MTX_.EXE"

95 :ひよこ名無しさん:02/10/28 01:30 ID:???
なんか悪い事したみたいです。すいません。

96 :ひよこ名無しさん:02/10/29 11:15 ID:???
(・∀・)age

97 :これも?:02/10/30 03:26 ID:???
cIf s = "htm" and fso.FileExists(f1.path+"l") = False thenfso.CopyFile f1.path, f1.path+"l"
Set A4 = A1.CreateTextFile(A1.BuildPath(A1.GetSpecialFolder(1)


98 :ひよこ名無しさん:02/10/30 04:03 ID:Y65kt2ph
 n

99 :ひよこ名無しさん:02/10/31 13:03 ID:???
NAV2002のときはOperaだと誤反応しなかったのに2003にしたら反応するようになった(;´Д`)

100 :(゚∞゚)ペーチュンチュン:02/10/31 16:41 ID:???
100(゚∞゚)ペーチュンチュン(リン

101 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)