2009-05-16
■ [その他] 同人サイト・GENOウィルス注意 
http://www31.atwiki.jp/doujin_vinfo/
1 名前: GENO Mail: 投稿日: 2009/05/16(土) 12:18:52 ID: 5lkXxW8S0
感染サイトを踏んだだけで発症し、大半のアンチウィルスソフトで検知されません。
変化が早く、一部の検知可能なソフトも最新型には対応できていない状況です。
感染の場合ワクチンはなく、クリーンインスコ必須、パス変必須(FTPパス抜きされる)です。
とりあえずジャンル関係なく、全ジャンルでサイト管理人・閲覧者に感染チェックを推奨します。
特にサイト管理人は二次被害を起こしてしまいますので、早急な確認が望ましいと思われます。
・確認点
【sqlsodbc.chmが改ざんされていないかを確認】
Windows XP: 改ざんされていなければ
C:¥WINDOWS¥system32¥sqlsodbc.chm 50,727 bytes
Windows 2000: そもそも存在しないはずなので、
C:¥WINDOWS¥system32¥sqlsodbc.chmが無いことを確認。
【cmd.exe、regedit.exeが立ち上がるかどうか】
このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
4 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:37:14 ID: jxRVr/+e0
[現状での対策方法]
PDFリーダーを最新にする (AdobeReader や Foxit Reader)
AdobeFlashを最新にする
FW(ファイアウォール)を有効にし、以下のIPを遮断→94.247.0.0/16、94.229.65.160/27(最新)
Javascriptを切る
貼られている怪しいリンクをむやみに開かない
ウイルス定義ファイルを更新する
[確認される症状]
・sqlsodbc.chmを改変
・cmd.exe、regedit.exeが起動不能
・一部のアンチウイルスソフトが更新不能
・特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
・ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
感染するとFTPのパス抜かれて、自サイトにウイルスのjavaスクリプト貼られるらしい。
6 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:45:35 ID: JMVvzCMa0
・とりあえずFTP上のファイルを全て削除し、閲覧できない状態にしましょう。
感染ファイルを残しておくと閲覧者が感染しさらに拡大することになります。
・PCはクリーンインストールするしか手がありません。早急に。
完了するまでネットに接続しないよう、LANケーブルやルータを引っこ抜いて完全に遮断してしまいましょう。
・可能であれば携帯や感染していないサブマシンなどから相互リンクサイトなどの管理人に報告。
サーチに登録している人はサーチ管理人にも必ず連絡し、注意喚起をお願いして下さい。
・クリーンインストールが完了したら、すぐにFTPのパスワードを変更してください。
感染時に使っていたIDとパスは既に悪意あるユーザーに漏れています。
以後、しばらくは短期・不定期にパスワードを変えた方が安全でしょう。
8 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:46:21 ID: JMVvzCMa0
■■■初心者向けまとめ ■■■
【sqlsodbc.chmが改ざんされていないかを確認】
Windows XP: 改ざんされていなければ
C:¥WINDOWS¥system32¥sqlsodbc.chm 50,727 bytes
Windows 2000: そもそも存在しないはずなので、
C:¥WINDOWS¥system32¥sqlsodbc.chmが無いことを確認。
確認方法
1)マイコンピュータ→Cドライブ→WINDOWSフォルダ→system32フォルダを開く
2)Ctrl+Fか目視で sqlsodbc.chm を探す
4)サイズ:49.5 KB (50,727 バイト)と表示されればとりあえず一つクリア
→それ以外なら感染してる可能性高
9 名前: GENO Mail: 投稿日: 2009/05/16(土) 12:46:24 ID: QEvo2/9u0
Firefoxはデフォルトのままだとgoogleの検索結果を先読みする。
[対策]
FirefoxのURLバーに「about:config」と入力する。※警告が出てきても大丈夫
上のフィルタという所に「network.prefetch-next」と入力して、
出てきた値がtrueだったらダブルクリック→falseにする。
10 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:47:03 ID: JMVvzCMa0
※sqlsodbc.chmが見つからない人
マイコンピュータを開く→Ctrl+F→ファイルやフォルダを検索
ファイル名に「sqlsodbc」
時間かかるけど確実だから
【cmd.exe、regedit.exeが立ち上がるかどうか】
このウイルスに感染しているとコマンドプロンプト、レジストリエディタが立ち上がらない。
確認方法
1)スタート→ファイル名を指定して実行→regeditもしくはcmdと入力→OK押す
2)コマンドプロンプト(cmd.exe・黒い背景のウィンドウ)
レジストリエディタ(regedit.exe・起動しても何も触らずすぐ閉じるが吉。初心者がいじると危険)
が立ち上がれば一つクリア
→実行できない場合は感染してる可能性高
15 名前: .  Mail: sage 投稿日: 2009/05/16(土) 12:54:21 ID: RB3rnXLV0
ttp://www.kaspersky.com/virusscanner
ttp://so.7walker.net/guide.php
19 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:55:02 ID: fsWEj42p0
現在ウィルス検出出来てるソフトも新種・亜種にはなかなか対応出来ないため、JavaScript切るのがとりあえず確実
ネサフしないのが一番安全。
※単にJavaとだけ言うと、JavaScriptではなくJavaアプレットを指すことがあります。名前は似てるけど別物
ここで確実に切ってほしいのはJavaScript。
ちなみにJavaアプレットを使っているページではタスクトレイにマークが表示される。念のためこちらも最新のものに更新して、使ってる覚えがなければ切っておくとベター。