Hatena::Group::onlooker::2ch-Dojin このページをアンテナに追加 RSSフィード

2009-05-16

[] 同人サイト・GENOウィルス注意 19:06  同人サイト・GENOウィルス注意 - Hatena::Group::onlooker::2ch-Dojin を含むブックマーク はてなブックマーク -  同人サイト・GENOウィルス注意 - Hatena::Group::onlooker::2ch-Dojin

http://www31.atwiki.jp/doujin_vinfo/

1 名前: GENO Mail: 投稿日: 2009/05/16(土) 12:18:52 ID: 5lkXxW8S0

新種のコンピュータウィルス流行っています。

感染サイトを踏んだだけで発症し、大半のアンチウィルスソフトで検知されません。

変化が早く、一部の検知可能なソフトも最新型には対応できていない状況です。


感染の場合ワクチンはなく、クリーンインスコ必須、パス変必須(FTPパス抜きされる)です。


現時点で大半のセキュリティソフトをくぐり抜けてしまうため、

とりあえずジャンル関係なく、全ジャンルサイト管理人・閲覧者に感染チェックを推奨します。

特にサイト管理人二次被害を起こしてしまいますので、早急な確認が望ましいと思われます。


・確認点


【sqlsodbc.chmが改ざんされていないかを確認】

 Windows XP: 改ざんされていなければ

 C:¥WINDOWS¥system32¥sqlsodbc.chm 50,727 bytes

 Windows 2000: そもそも存在しないはずなので、

 C:¥WINDOWS¥system32¥sqlsodbc.chmが無いことを確認。

【cmd.exe、regedit.exeが立ち上がるかどうか】

 このウイルス感染しているとコマンドプロンプトレジストリエディタが立ち上がらない。



4 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:37:14 ID: jxRVr/+e0

[現状での対策方法]


WindowsUpdate

PDFリーダーを最新にする (AdobeReader や Foxit Reader

AdobeFlashを最新にする

FW(ファイアウォール)を有効にし、以下のIPを遮断→94.247.0.0/16、94.229.65.160/27(最新)

Javascriptを切る

貼られている怪しいリンクをむやみに開かない

ウイルス定義ファイル更新する


[確認される症状]

・sqlsodbc.chmを改変

・cmd.exe、regedit.exeが起動不能

・一部のアンチウイルスソフト更新不能

・特定サイトアクセス不能(Windows Updateアンチウイルスソフト関連サイト)

ネットワークトラフィックを監視、ユーザー名やパスワード等の情報を収集

Google検索結果を改竄(リンクを弄る)

explorer.exeや一部のブラウザが異常終了

Acrobat勝手に起動

PDFファイルシステムファイルが増殖

・CPU、メモリ使用率がUP

再起動時にBSOD


感染するとFTPのパス抜かれて、自サイトウイルスjavaスクリプト貼られるらしい。

結果、サイトゾンビ化し来た閲覧者に二次感染する



6 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:45:35 ID: JMVvzCMa0

■■■感染していたら(HP管理人向け)■■■

・とりあえずFTP上のファイルを全て削除し、閲覧できない状態にしましょう。

 感染ファイルを残しておくと閲覧者が感染しさらに拡大することになります。


・PCはクリーンインストールするしか手がありません。早急に。

 完了するまでネット接続しないよう、LANケーブルやルータを引っこ抜いて完全に遮断してしまいましょう。


・可能であれば携帯感染していないサブマシンなどから相互リンクサイトなどの管理人に報告。

 サーチに登録している人はサーチ管理人にも必ず連絡し、注意喚起をお願いして下さい。


クリーンインストールが完了したら、すぐにFTPのパスワードを変更してください。

 感染時に使っていたIDとパスは既に悪意あるユーザー漏れています。

 以後、しばらくは短期・不定期にパスワードを変えた方が安全でしょう。



8 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:46:21 ID: JMVvzCMa0

■■■初心者向けまとめ ■■■


【sqlsodbc.chmが改ざんされていないかを確認】

 Windows XP: 改ざんされていなければ

 C:¥WINDOWS¥system32¥sqlsodbc.chm 50,727 bytes

 Windows 2000: そもそも存在しないはずなので、

 C:¥WINDOWS¥system32¥sqlsodbc.chmが無いことを確認。

確認方法

1)マイコンピュータ→CドライブWINDOWSフォルダ→system32フォルダを開く

2)Ctrl+Fか目視で sqlsodbc.chm を探す

3)ファイル右クリックプロパティでサイズを確認

4)サイズ:49.5 KB (50,727 バイト)と表示されればとりあえず一つクリア

 →それ以外なら感染してる可能性高



9 名前: GENO Mail: 投稿日: 2009/05/16(土) 12:46:24 ID: QEvo2/9u0

Firefoxデフォルトのままだとgoogle検索結果を先読みする。

先読みしたページがウィルス感染してるとアウト。


[対策]

FirefoxのURLバーに「about:config」と入力する。※警告が出てきても大丈夫

上のフィルタという所に「network.prefetch-next」と入力して、

出てきた値がtrueだったらダブルクリック→falseにする。


以上 GENOウイルススレ ★5より



10 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:47:03 ID: JMVvzCMa0

※sqlsodbc.chmが見つからない人

マイコンピュータを開く→Ctrl+F→ファイルフォルダ検索

ファイル名に「sqlsodbc」

検索先を「マイコンピュータ」で探せ

時間かかるけど確実だから


【cmd.exe、regedit.exeが立ち上がるかどうか】

 このウイルス感染しているとコマンドプロンプトレジストリエディタが立ち上がらない。

確認方法

1)スタートファイル名を指定して実行→regeditもしくはcmdと入力→OK押す

2)コマンドプロンプト(cmd.exe・黒い背景のウィンドウ)

  レジストリエディタ(regedit.exe・起動しても何も触らずすぐ閉じるが吉。初心者がいじると危険)

  が立ち上がれば一つクリア

 →実行できない場合は感染してる可能性高



15 名前: .  Mail: sage 投稿日: 2009/05/16(土) 12:54:21 ID: RB3rnXLV0

オンラインウィルススキャン

ttp://www.kaspersky.com/virusscanner


ソースチェッカーオンライン

ttp://so.7walker.net/guide.php



19 名前: geno  Mail: sage 投稿日: 2009/05/16(土) 12:55:02 ID: fsWEj42p0

現在ウィルス検出出来てるソフトも新種・亜種にはなかなか対応出来ないため、JavaScript切るのがとりあえず確実

ネサフしないのが一番安全。


※単にJavaとだけ言うと、JavaScriptではなくJavaアプレットを指すことがあります。名前は似てるけど別物

ここで確実に切ってほしいのはJavaScript

ちなみにJavaアプレットを使っているページではタスクトレイマークが表示される。念のためこちらも最新のものに更新して、使ってる覚えがなければ切っておくとベター